地址管理装置及地址管理方法与流程

[0001]
本发明涉及一种地址管理装置及地址管理方法，特别涉及ipv6环境下的地址管理技术。


背景技术：

[0002]
近年来，随着iot的普及，各种设备都与互联网相连。随之，连接到互联网的设备的数目也爆发性地增加，并且正在从以往用作互联网协议的ipv4迁移到作为具有128位地址长度的新协议的ipv6。另外，在网络监视装置等多种网络安全产品中，也迅速寻求支持ipv6的产品。
[0003]
例如，专利文献1公开了防止ipv6环境下的对网络的非法连接的技术。在专利文献1记载的技术中，在网络中设置监视装置，监视在网络内流动的ns(neighbor solicitation，邻居请求报文)数据包，根据ns数据包的发送源地址、mac地址，判断是否是被许可与网络连接的终端装置。[现有技术文献][专利文献]
[0004]
专利文献1：日本专利特开2007-104396号公报


技术实现要素：

发明要解决的问题
[0005]
但是，在专利文献1所记载的技术中，即使将调查数据包发送到与网络连接但未设定ipv6地址的终端装置，也由于未设定ipv6地址而不会被回复。因此，难以掌握例如以窃听为目的等对网络进行非法访问那样的未设定ipv6地址的终端装置。特别是，如果是以窃听为目的等的终端装置，由于也不会自己发送数据包，因此更加难以检测。
[0006]
本发明是为了解决上述课题而完成的，其目的在于，更简易地掌握与网络连接的终端装置的ipv6地址的设定状况。用于解决问题的技术手段
[0007]
为了解决上述问题，本发明的地址管理装置具备：第一发送部，其构成为经由通信网络对路由器通告数据包进行所有节点多播发送；第二发送部，其构成为经由所述通信网络对关于对多播组的加入状况的询问数据包进行所有节点多播发送；接收部，其构成为接收针对所述询问数据包的应答数据包；以及第一判定部，其构成为根据所述应答数据包中包含的、识别所述应答包的发送源的终端装置根据所述路由器通告数据包的接收而加入的第一多播组的第一地址，来判定所述终端装置中是否设定了ipv6地址。
[0008]
另外，在本发明的地址管理装置中，还可以具备确定部，该确定部构成为根据所述应答数据包来确定所述终端装置中设定的ipv6地址的数目。
[0009]
此外，在本发明的地址管理装置中，所述确定部也可以根据所述应答数据包中包含的第一地址和识别作为所述终端装置所加入的其他多播组的第二多播组的第二地址，来
确定所述终端装置中设定的ipv6地址的数目。
[0010]
另外，在本发明的地址管理装置中，所述第二地址也可以是请求节点多播地址。
[0011]
另外，在本发明的地址管理装置中，还可以具备第二判定部，该第二判定部构成为将所述第一判定部判定为未设定ipv6地址的所述终端装置判定为未被许可与所述通信网络连接的终端装置。
[0012]
另外，在本发明的地址管理装置中，所述第一地址也可以是请求节点多播地址。
[0013]
另外，在本发明的地址管理装置中，还可以具备显示装置，该显示装置构成为将所述第一判定部的判定结果显示在显示画面上。
[0014]
为了解决上述课题，本发明的地址管理方法包括：第一步骤，经由通信网络对路由器通告数据包进行所有节点多播发送；第二步骤，在所述第一步骤之后，经由所述通信网络对关于对多播组的加入状况的询问数据包进行所有节点多播发送；第三步骤，接收针对所述询问数据包的应答数据包；以及第四步骤，根据所述应答数据包中包含的、识别所述应答数据包的发送源的终端装置根据所述路由器通告数据包的接收而加入的第一多播组的第一地址，来判定所述终端装置中是否设定了ipv6地址。发明的效果
[0015]
根据本发明，由于根据识别终端装置随着接收到所有节点多播发送的路由器通告数据包而加入的第一多播组的第一地址，来判定终端装置中是否设定了ipv6地址，所以能够更简易地掌握ipv6地址的设定状况。
附图说明
[0016]
图1是表示包含本发明的实施方式的地址管理装置的网络系统的构成的框图。图2是表示实施方式的地址管理装置的构成的框图。图3是表示实施方式的地址管理装置的硬件构成的框图。图4是用于说明实施方式的地址管理方法的流程图。图5是表示实施方式的网络系统的动作的顺序图。图6是表示本实施方式的变形例1的地址管理装置的构成的框图。图7是表示本实施方式的变形例2的地址管理装置的构成的框图。
具体实施方式
[0017]
以下，参照图1至图7详细说明本发明的优选实施方式。[网络系统的构成]首先，对本发明的实施方式的地址管理装置1的概要进行说明。本发明的实施方式的地址管理装置1掌握经由lan等网络nw连接的终端装置2、3的ipv6地址的设定状况。地址管理装置1例如设置在图1所示的网络系统中。
[0018]
如图1所示，网络系统具备经由网络nw相互可通信地连接的地址管理装置1和终端装置2、3。在本实施方式中，假设在网络nw中，无状态自动设定ipv6地址。
[0019]
终端装置2、3是运行ipv6的pc等终端。假设图1所示的多个终端装置2是被许可与网络nw连接的终端，预先设定了ipv6地址。另一方面，假设终端装置3例如是未被许可网络nw的连接的终端，未设定ipv6地址。
[0020]
在本实施方式中，地址管理装置1对链路本地的同一网段上的终端装置2中设定了ipv6地址的情况，以及终端装置3中未设定ipv6地址的情况进行检测。
[0021]
具体而言，地址管理装置1经由网络nw将icmpv6的路由器通告(router advertisement：ra)数据包进行所有节点多播发送。路由器通告(ra)是路由器通过ipv6网络对自己所属的网络的设备通知地址信息、网络设定等的结构。ra数据包被用作ipv6路由器进行ipv6地址的自动设定的无状态自动设定功能的一部分。
[0022]
接收到ra数据包的终端装置2、3根据ra数据包的信息，计算各自的ipv6地址，并在网络nw中发送其他没有使用相同地址的neighbor solicitation(ns)数据包。如果没有对于由终端装置2、3发送的ns数据包的回复，则在终端装置2、3中新设定ipv6地址。
[0023]
进而，地址管理装置1将基于icmpv6的multicast listener discorvery(mld)消息类型130的multicast listener query(mlq)中的general query进行所有节点多播发送。mlq是用于由路由器向侦听者询问是否存在希望接收的多播组的消息。另外，general query是用于针对存在于链接本地范围内的所有侦听者，调查参与了哪个多播组的查询。
[0024]
接收到mlq数据包的终端装置2、3向发送源的地址管理装置1发送应答数据包，该应答数据包用于报告识别终端装置2、3各自所加入的多播组的多播地址。应答数据包是基于icmpv6的mld消息类型131的multicast lietener report(mlr)。
[0025]
在地址管理装置1从终端装置2、3接收到的mlr数据包中包含请求节点多播地址。请求节点多播地址是在发送ns时加入ipv6报头内的目的地地址中的多播地址。此外，根据分配给接口的单播地址、任播地址来计算请求节点多播地址。
[0026]
即，终端装置2、3根据对应于由地址管理装置1所有节点多播发送的ra数据包的接收而设定的ipv6地址，成为至少一个请求节点多播地址的成员。
[0027]
该请求节点多播地址由单播地址、任播地址的低24bit构成，具有相同低24bit的终端装置必须加入相同的多播地址。另外，在除了基于由地址管理装置1所有节点多播发送的ra数据包而赋予的单播或任播地址以外，还对终端装置2、3赋予了单播地址、任播地址的情况下，存在与其对应的请求节点多播地址。
[0028]
根据请求节点多播地址的地址范围为[ff02::1ff00:0000]至[ff02::1ffff:ffff]，也能够容易地判别。本实施方式的地址管理装置1的特征之一在于，根据从终端装置2、3作为对mlq数据包的响应而接收到的mlr数据包中包含的至少一个请求节点多播地址，来判定终端装置2、3中是否设定了ipv6地址。
[0029]
[地址管理装置的功能块]如图2所示，地址管理装置1例如具有发送部(第一发送部、第二发送部)10、生成部11、存储部12、接收部13以及第一判定部14。
[0030]
发送部10经由网络nw对ra数据包进行所有节点多播发送。具体而言，发送部10能够以一定周期发送以[ff02::1]为发送目的地的ra数据包。例如，发送部10能够对包含由生成部11生成的前缀信息、以[ff02::1]为目的地的ra数据包进行所有节点多播发送。
[0031]
另外，发送部10经由网络nw将general query的mlq数据包作为关于对多播组的加入状况的询问数据包而进行所有节点多播发送。具体而言，发送部10能够以一定周期发送以[ff02::1]为发送目的地的mlq数据包。例如，发送部10能够对由生成部11生成的、以[ff02::1]为目的地的mlq数据包进行所有节点多播发送。
[0032]
生成部11生成包含从发送部10所有节点多播发送的ra数据包以及mlq数据包的多播数据包。
[0033]
存储部12存储从终端装置2、3接收到的mlr数据包中包含的信息。另外，存储部12存储第一判定部14的判定结果。
[0034]
接收部13接收作为对mlq数据包的应答数据包的mlr数据包。在本实施方式中，如图1所示，接收部13接收来自终端装置2、3的mlr数据包。
[0035]
第一判定部14基于mlr数据包中包含的请求节点多播地址(第一地址)来确定终端装置2、3中是否设定了ipv6地址，所述请求节点多播地址是响应于作为mlr数据包的发送源的终端装置2、3接收到ra数据包而加入的多播组(第一多播组)的请求节点多播地址。
[0036]
这里，在mlr数据包中报告识别终端装置2、3所加入的全部多播组的多播地址。在mlr数据包中包含的请求节点多播地址为1个的情况下，第一判定部14判定为该mlr数据包的发送源的终端装置2、3中未设定ipv6地址。另一方面，在mlr数据包中包含的请求节点多播地址为1个以外、即为2个以上的情况下，判定为该mlr数据包的发送源的终端装置2、3中设定了ipv6地址。
[0037]
此外，如上所述，请求节点多播地址是通过将ipv6地址的低24位(低3字节)加到链路本地的前缀而生成的。基于此，第一判定部14能够判定mlr数据包中包含的请求节点多播地址。
[0038]
[地址管理装置的硬件构成]接着，使用图3说明具有上述功能的地址管理装置1的硬件构成的一例。
[0039]
如图3所示，地址管理装置1例如可以通过具备经由总线101连接的处理器102、主存储装置103、通信接口104、辅助存储装置105、及输入输出i/o106的计算机、和控制这些硬件资源的程序来实现。
[0040]
主存储装置103中预先存储有供处理器102进行各种控制、运算用的程序。通过处理器102和主存储装置103实现图2所示的生成部11、第一判定部14等地址管理装置1的各功能。
[0041]
通信接口104是用于将地址管理装置1与终端装置2、3、各种外部电子设备之间进行网络连接的接口电路。
[0042]
辅助存储装置105由可读写的存储介质和用于对该存储介质读写程序、数据等各种信息的驱动装置构成。辅助存储装置105可以使用硬盘、闪存等半导体存储器作为存储介质。
[0043]
辅助存储装置105具有程序存储区域，该程序存储区域存储地址管理装置1判定在终端装置2、3中是否设定了ipv6地址用的程序。通过辅助存储装置105实现图2中说明的存储部12。进而，例如也可以具有用于备份上述的数据、程序等的备份区域等。
[0044]
输入输出i/o106由输入来自外部设备的信号或向外部设备输出信号的i/o端子而构成。
[0045]
显示装置107由液晶显示器等构成。显示装置107能够在显示画面上显示第一判定部14的判定结果。
[0046]
[地址管理方法]接着，参照图4的流程图说明具有上述构成的地址管理装置1的动作。
[0047]
首先，发送部10经由网络nw对ra数据包进行所有节点多播发送(步骤s1)。更详细地说，发送部10通过对ra数据包进行所有节点多播发送，对网络系统中的所有终端装置2、3动态地设定新的ipv6地址。
[0048]
接着，发送部10经由网络nw对mlq数据包进行所有节点多播发送(步骤s2)。此后，接收部13从接收到mlq数据包的终端装置2、3接收mlr数据包作为应答数据包(步骤s3)。
[0049]
接着，在mlr数据包中包含的请求节点多播地址为1个的情况下(步骤s4：是)，第一判定部14判定mlr数据包的发送源的终端装置2、3中未设定ipv6地址(步骤s5)。
[0050]
另一方面，在mlr数据包中包含的请求节点多播地址为1个以外、即为2个以上的情况下，判定mlr数据包的发送源的终端装置2、3中设定了ipv6地址(步骤s6)。
[0051]
[网络系统的动作]接着，使用图5的顺序图说明具有上述构成的网络系统的动作。
[0052]
首先，地址管理装置1将以[ff02::1]为目的地的ra数据包进行所有节点多播发送(步骤s100)。终端装置2接收ra数据包，获取ra数据包中包含的前缀信息，通过无状态设定来设定ipv6地址(步骤s101)。另一方面，对于终端装置3，也同样通过无状态设定来设定ipv6地址(步骤s102)。
[0053]
然后，地址管理装置1将以[ff02::1]为目的地的general query的mlq数据包进行所有节点多播发送(步骤s103)。接收到mlq数据包的终端装置2将包含终端装置2所加入的全部多播组的多播地址的mlr数据包发送到地址管理装置1(步骤s104)。例如，终端装置2发送包含与ipv6地址对应的请求节点多播地址的、例如包含3个请求节点多播地址的mlr数据包，所述ipv6地址是根据来自地址管理装置1的ra数据包而设定的。
[0054]
另一方面，终端装置3向地址管理装置1发送mlr数据包，该mlr数据包仅包含与根据来自地址管理装置1的ra数据包而设定的ipv6地址对应的一个请求节点多播地址(步骤s106)。
[0055]
由于在从终端装置2接收到的mlr数据包中存在多个请求节点多播地址，所以地址管理装置1判定终端装置2中设定了ipv6地址(步骤s105)。另一方面，由于在从终端装置3接收到的mlr数据包中仅存在一个请求节点多播地址，所以地址管理装置1判定终端装置3中未设定ipv6地址(步骤s107)。
[0056]
如以上说明的那样，根据第一实施方式的地址管理装置1，构成为预先对ra数据包进行所有节点多播发送，在网络nw上的终端装置2、3中设定新的ipv6地址。进一步地，对询问网络nw上的各终端装置2、3所加入的全部多播组的mlq数据包进行所有节点多播发送。由于地址管理装置1判别从网络nw上的终端装置2、3接收到的响应数据包即mlr数据包中包含的请求节点多播地址，因此能够更容易地掌握终端装置2、3中有无设定ipv6地址。
[0057]
另外，根据第一实施方式的地址管理装置1，不需要在网络nw上的终端装置2、3中设置新的软件，能够使用更简单的构成来掌握网络nw上的终端装置2、3中的ipv6地址的设定状况。
[0058]
另外，由第一实施方式的地址管理装置1掌握的、网络nw上的终端装置2、3中的ipv6地址的设定状况能够用于ipv6环境下的各种安全对策。
[0059]
[变形例1]接着，对上述实施方式的变形例1进行说明。另外，在以下的说明中，对于与上述实施方
式相同的构成标注相同的符号，并省略其说明。
[0060]
在所说明的实施方式中，说明了第一判定部14判定网络nw上的终端装置2、3中是否设定了ipv6地址的情况。与此相对，变形例1的地址管理装置1a根据第一判定部14的判定结果，判定终端装置2、3是否是被许可与网络nw连接的终端装置。
[0061]
如图6所示，地址管理装置1a包括发送部10、生成部11、存储部12、接收部13、第一判定部14以及第二判定部15。第二判定部15以外的构成与第一实施方式相同。
[0062]
第二判定部15将由第一判定部14判断为未设定ipv6地址的终端装置3判定为未被许可与网络nw连接的非法终端装置。另外，第二判定部15能够将由第一判定部14判定为设定了ipv6地址的终端装置2判定为是被许可与网络nw连接的合法终端装置。
[0063]
这样，根据变形例1的地址管理装置1a，使用第一判定部14的表示有无设定ipv6地址的判定结果，判定为未设定ipv6地址的终端装置3是未被许可与网络nw连接的终端装置3。因此，例如能够容易地检测出因窃听目的等而未设定ipv6地址的终端装置。
[0064]
[变形例2]接着，对上述实施方式的变形例2进行说明。另外，在以下的说明中，对于与上述实施方式相同的构成标注相同的符号，并省略其说明。
[0065]
如图7所示，变形例2的地址管理装置1b具备发送部10、生成部11、存储部12、接收部13、第一判定部14以及确定部16。确定部16以外的构成与已经说明的实施方式相同。
[0066]
确定部16根据接收部13接收到的mlr数据包，确定终端装置2、3中设定的ipv6地址的数目。如上所述，发送部10事先对ra数据包进行所有节点多播发送。由此，在接收到ra数据包的终端装置2、3中，新设定了ipv6地址。
[0067]
另外，在针对发送部10对终端装置2、3进行所有节点多播发送的mlq数据包的来自这些终端装置2、3的应答数据包即mlr数据包中，包含至少一个请求节点多播地址，所述请求节点多播地址包含与上述新设定的ipv6地址对应的请求节点多播地址。
[0068]
确定部16使用终端装置2、3中设定的新的ipv6地址和识别终端装置2、3所加入的其他多播组(第二多播组)的多播地址(第二地址)，来确定终端装置2、3中设定的ipv6地址的数目。
[0069]
例如，确定部16对mlr数据包中包含的请求节点多播地址的数目进行计数，通过[(请求节点多播地址的数目)-1]，来求出终端装置2、3中设定的ipv6地址的数目。如果使用上述图5的例子，则在终端装置2中，由于请求节点多播地址的数目为3个，所以确定终端装置2中设定的ipv6地址的数目为2个(3-1＝2)。另外，在终端装置3中，由于请求节点多播地址的数目是1个，所以确定所设定的ipv6地址的数目为0。
[0070]
这样，根据变形例2，由于能够确定网络nw上的终端装置2、3中设定的ipv6地址的数目，所以例如能够检测出由有恶意的终端发送的ra数据包所设定的ipv6地址等。
[0071]
以上，对本发明的地址管理装置以及地址管理方法中的实施方式进行了说明，但本发明并不限定于所说明的实施方式，在权利要求书所记载的发明的范围内，能够进行本领域技术人员能够设想的各种变形。符号说明
[0072]
1、1a、1b
…
地址管理装置，2、3
…
终端装置，10
…
发送部，11
…
生成部，12
…
存储部，13
…
接收部，14
…
第一判定部，15
…
第二判定部，16
…
确定部，101
…
总线，102
…
处理器，
103
…
主存储装置，104
…
通信接口，105
…
辅助存储装置，106
…
输入输出i/o，107
…
显示装置，nw
…
网络。