具体实施方式
(实施例1)
使用附图来说明本发明的第一实施方式。
详细说明移动IPv6对应移动节点(MN)移动到本地链路(下面称为本地网)之外的网(下面称为外部网)时的通信方法来作为代表例。
图1表示本发明中的通信网的结构例。本发明中的通信网包括:MN1的本地网6、IP网7、和外部网5(5a、5b)。在本实施例中,本地网6、IP网7和外部网5是IPv6网。MN1是移动IPv6对应移动节点(MN)。外部网5和IP网7、以及IP网7和本地网6通过路由器或网关装置连接。外部网5和本地网6也可以通过路由器、或网关装置连接。
本地网6具有HA4。外部网5(5a、5b)具备路由器3(3a、3b),该路由器具有与IP网7的接口。
HA4是移动IPv6对应本地代理(HA)。HA4管理本地网6之外存在的MN1的位置信息。上述位置信息是MN的本地地址和转交地址的绑定信息。HA4具有将通信节点终端(CN)2向MN1的本地地址目标发送的信息包捕捉,并向存在于外部网5b的MN1传送信息包的功能。
图2表示通过存储在MN1的存储器等存储装置的程序来实现的应用程序的结构例。MN1包括:主机OS13、主机OS上的应用程序空间11、和虚拟机12。
虚拟机12包括:客户机OS17、和客户机OS上的应用程序空间16。
主机OS17具有:移动IPv6处理部25、连接主机OS13和客户机OS17的虚拟通信网15、以及连接客户机OS17和外部通信网的虚拟通信网14。移动IPv6处理部25具有移动IPv6的MN(Mobile Node移动节点)功能,包含绑定更新列表管理表210和BA处理程序70。
应用程序空间16包括:IP信息包处理部22、状况处理部23、IPv6信息包处理部24、和状况策略21。IP信息包处理部22具有与主机OS13的信息包输入输出功能。IPv6信息包处理部24具有与外部通信网的信息包收发功能。状况策略21具有管理MN1的通信方法的功能,包含状况策略管理表220。
在本实施例中,MN1装载了虚拟机。也可以是MN1装载相当于虚拟机的程序来代替虚拟机。
图3表示绑定更新列表管理表210的表格结构的一例。绑定更新列表管理表210对绑定更新发送目的地地址211,至少存储MN的本地地址212、和MN在外部网中取得的转交地址(CoA)213的对应关系。上述绑定更新列表管理表210也可以包含表示绑定高速缓存器的有效期间的生存期214。在绑定更新列表管理表210包含生存期214的情况下,MN1可以删除上述表格中已到有效期的项目。
图4表示状况策略管理表220的表格结构的另一例。状况策略管理表220对状况号码221,至少存储表示状况的处理内容的状况内容222、与状态223的对应关系。
图5表示MN1具有IP地址转换功能的情况的结构例。图5所示的各构成要素通过存储在存储器等存储装置的程序来实现。状况处理部23具有IPv4-IPv6转换功能和IPv4-IPv6转换表230。信息包处理部22具有IPv4信息包输入输出功能。
图6表示IPv4-IPv6转换表230的表格结构的一例。IPv4-IPv6转换表230对IPv6地址231,至少存储与IPv4地址232的对应关系。IPv4-IPv6转换表230也可以包含与表示变换项目的有效期的生存期233的对应关系。IPv4-IPv6转换表230包含生存期233的情况下,MN可以删除已到有效期的项目。
根据图10所示的时序,说明图1所示的网5b外部的MN1向HA4进行位置注册,并收发信息包的时序。
这里,设状况策略管理表220是“有IPv4-IPv6转换功能、无IPsec”为有效的表格。这时,IPv6信息包处理部24进行MN1接收的所有信息包的处理。
MN1从属于外部网5b的路由器3b接收路由广告(RouterAdvertisement),并取得CoA。MN1在向虚拟通信网14的接口部18设置转交地址。即,MN1的程序保持上述接口部18和转交地址的对应信息。
在外部网5b中已取得CoA的MN1向HA4发送位置注册消息(绑定更新)(501)。
接收到绑定更新消息的HA4更新MN1的位置注册信息,并作为MN1的代理而工作。
HA4向MN1发送绑定更新的响应(Binding Acknowledgement)(502)。
图7表示IPv6信息包格式。IPv6信息包包括:IPv6基本标题41、扩展标题42和有效负载43。基本标题41包含发送源地址41a和接收端地址41b。
图8表示绑定确认消息的格式例S1。将IPv6路由标题421和IPv6移动标题422存储在IPv6信息包的扩展标题42中。HA4向MN1发送的绑定确认存储以下值。在IPv6信息包标题的接收端地址41b中存储外部网5b中取得的转交地址。在接收端地址41b中存储MN1的本地地址以外的值的情况下,在IPv6路由标题421的本地地址字段4211上存储MN1的本地地址。
当MN1的移动IPv6处理部25接收到表示绑定更新正常结束的绑定确认时,在绑定更新列表管理表上注册与HA4对应的项目(503)。
若接收信息包包含IPv6移动标题422,MH类型4221包含表示BA的代码,则IPv6信息包处理部24判断为接收信息包是绑定确认。当IPv6信息包处理部24输入移动IPv6的绑定确认(504)时,向输入信息包添加包含状况识别符的标题。在状况识别符上设置表示“有IPv4-IPv6转换,无IPsec”的号码(10000)。IPv6信息包处理部24将带标题的信息包输出到状况处理部23。图11表示带附加标题的信息包的格式例S3。对输入信息包附加UDP标题44。在UDP标题44的目标端口字段45上设置状况识别符。
通过附加状况识别符,MN可以选择从状况处理部23具备的多个程序启动的程序。另外,由于容易进行对状况处理部23的功能追加,而增加MN1的扩展性。
状况处理部23启动BA处理程序60,并根据附加标题的识别符决定状况(61、505),删除附加标题。在“有IPv4-IPv6转换、无IPsec”的情况下,首先参照绑定确认消息的状况(Status)字段4222(62)。若状况字段的值比128小,则状况处理部23取得HA地址、转交地址。从接收信息包的发送源地址41a取得HA地址。从接收信息包的接收端地址41b取得CoA。接着,在IPv6信息包处理部24设置IPinIP信道信息(63、506)。IPv6信息包处理部24保持IPinIP信道用的接口。对于该IPinIP信道用的接口,至少使信道的起点地址和终点地址对应。
接着,取得MN1的本地地址。从绑定确认消息的IPv6路由标题421内从本地地址4211取得MN1的本地地址。这里,状况处理部23以MN1的本地地址来检索IPv4-IPv6转换表230。若存在该项目,则更新该项目的有效期(64、507),并结束本程序。若不存在该项目,状况处理部23从虚拟IPv4地址池(pool)中选择一个IPv4地址,并将使该虚拟IPv4地址和MN1的本地地址对应的新转换项目追加到IPv4-IPv6转换表230。接着,将设定为上述转换项目的IPv4字段232的虚拟IPv4地址(64、507),设置在接口部19,并结束本程序。虚拟IPv4地址池是确保IP地址变换用的IPv4地址群。由于由IPv4网络来识别IPv6目标的信息包,所以对IPv6地址使虚拟IPv4地址对应。MN1的程序保存上述接口部19和虚拟IPv4地址的对应信息。
在步骤62中,若绑定确认消息的状况字段4222的值大于等于128,废弃接收信息包并结束本程序(67)。在步骤63中不能进行IPinIP信道设置的情况下,或在步骤64中不能进行转换项目的更新的情况下,废弃接收信息包并结束本程序(67)。HA用绑定确认消息的状况字段的值来表示绑定更新的处理结果。在状况字段的值比128小的情况下,表示HA已允许绑定更新。在dStatus字段的值大于等于128的情况下,表示HA已拒绝绑定更新。
这里,回到图10继续说明信息包的收发时序。
在CN2向MN1发送信息包时,CN2将信息包发送到MN1的本地地址目标(508)。HA4捕捉上述信息包,并附加IP标题(509)。下面,将该附加后的IP标题称作外侧IP标题。对外侧IP标题的接收端地址设置MN1在外部网5b中取得的CoA。对外侧IP标题的发送源地址设置HA4的地址。
MN1的IPv6信息包处理部24当接收到信息包509时,确认外侧IP标题的发送源地址。若外侧IP标题的发送源地址为HA4的地址,IPv6信息包处理部24删除外侧IP标题(去封装),并将信息包输出到状况处理部23。
状况处理部23将接收信息包的IP标题从IPv6转换为IPv4(511)。首先,由接收端地址参照IPv4-IPv6转换表230。若在上述转换表230存在该项目,则使用设置在该项目的IPv6地址和IPv4地址的对应,将接收端地址转换为IPv4。接着,用接收信息包的发送源地址来参照上述转换表230。若在上述转换表230中存在该项目,则使用设定在该项目上设置的IPv6地址和IPv4地址的对应,将发送源地址转换为IPv4。若不存在该项目,状况处理部23从虚拟IPv4地址表中选择一个IPv4地址,并在上述转换表230追加使该虚拟IPv4地址和发送源地址对应的新项目。
状况处理部23将包含IPv4标题的信息包经由IPv4信息包处理部22输出到主机OS上的应用程序11。
接着,说明主机OS上的应用程序11向CN2发送信息包的方法。主机OS上的应用程序11输出包含IPv4标题的信息包(513)。IPv4信息包处理部22输入上述信息包,输出到状况处理部23。首先,以发送源地址来参照IPv4-IPv6转换表230。若上述转换表230上存在该项目,则将发送源地址转换为IPv6。接着,状况处理部23以信息包的接收端地址来参照IPv4-IPv6转换表230。若上述转换表230中存在该项目,则将接收端地址转换为IPv6。若不存在该项目,则状况处理部23从虚拟IPv6地址池中选择一个IPv6地址,并将使该虚拟IPv6地址和接收端地址对应的新项目追加到上述转换表230。
在IP标题转换后(514),状况处理部23向IPv6信息包处理部24输出信息包。IPv6信息包处理部24参照在步骤506中设置的IPinIP信道信息追加IP标题后(封装)(515),发送信息包(516)。HA删除了上述封装标题后,向CN2传送信息包(517)。
若根据本发明的第一实施方式,即使在终端装置的主机OS不具有移动IPv6对应MN功能的情况下,也可以向终端装置提供移动IPv6服务。另外,上述终端装置具有IP地址转换功能,对于应用程序不对应于IPv6的终端,可以提供移动IPv6服务。
(实施例2)
使用附图来说明本发明的第二实施方式。第二实施例的特征在于,在第一实施例中,在使用IPv6对应应用程序的终端装置是具有提供移动IPv6服务的单元。
这里,状况策略管理表220使“无IPv4-IPv6转换功能、无IPsec”为有效。这时,IPv6信息包处理部24处理MN接收的所有信息包。
根据图12所示的时序,说明图1所示的网5b外部的MN1向HA4进行位置注册,收发信息包的时序。
MN1在外部网中取得CoA,进行位置注册为止的处理(步骤501到步骤504)与第一实施例相同。
IPv6信息包处理部24当输入移动IPv6的绑定确认信号(504)时,向接收信息包附加包含状况识别符的标题。在状况识别符上设置表示“无IPv4-IPv6转换,无IPsec”的号码(10001)。IPv6信息包处理部24向状况处理部23输出带标题的信息包。
状况处理部23启动BA处理程序60,根据附加标题的识别符决定状况(61、105),并删除附加标题。在“无IPv4-IPv6转换,无IPsec”的情况下,与第一实施例中的步骤62和步骤63相同,进行绑定确认消息的状况字段4222的校验(65)和IPinIP信道设置处理(66、506),结束本程序。IPinIP信道设置处理(66、506)的处理与实施例1相同。
另外,在主机OS的接口部19上设置MN1的本地地址。即,MN1的程序在上述接口部19上使MN1的本地地址对应。
接着说明信息包的接收方法。步骤508到步骤510与第一实施例相同。IPv6信息包处理部24对去封装化处理结束后的信息包不进行IP地址转换,而经由IP信息包处理部22向主机OS输出(512)。
接着说明信息包的发送方法。当状况处理部23从主机OS的应用程序11输入信息包(513)时,不进行IP地址转换,而输出到IPv6信息包处理部24。步骤515到步骤517与第一实施例相同。
根据本发明的第二实施方式,即使在终端装置的主机OS不具有移动IPv6对应MN功能的情况下,也可以向终端装置提供移动IPv6服务。另外,可以在终端装置的主机OS的接口部进行MN的本地地址的设置。
(实施例3)
使用附图来说明本发明的第三实施方式。
第三实施例除第一实施例之外,其特征在于,还具有向移动IP信号使用IPsec的终端装置提供移动IPv6服务的单元。
IPsec是IETF进行标准化的保密功能。IPsec具有信息包的认证功能和加密功能。使用了根据IPsec的认证功能的IP信息包包含认证标题(AH:Authentication Header)。使用了根据IPsec的加密功能的IP信息包包含加密有效负载(ESP:Encapsulating Security Payload)标题。
根据图1 9到图22所示的时序,说明图1所示的网5b外部的MN1向HA4进行位置注册,并收发信息包的时序。
这里,设状况策略管理表220是“有IPv4-IPv6转换功能”或“有IPv4-IPv6转换,有路径最优化”为有效的表格。这时,IPv6信息包处理部24处理MN接收的所有信息包。
在第三实施例中,移动IPv6处理部25具有BA处理程序70。在第三实施例中,IPv6信息包处理部24具有信息包发送处理程序100、信息包接收处理程序120和绑定更新列表管理表210。
首先,使用图19说明在HA4进行了位置注册的MN1的信息包收发时序。
MN1在外部网中取得CoA,并从HA4接收绑定确认消息为止的处理(步骤501、步骤502)与第一实施例相同。在第三实施例中,对绑定确认消息实施了IPsec。即,包含绑定确认消息的IP信息包至少包含ESP标题。上述信息包也可以包含AH标题。
图14表示带IPsec的绑定确认消息的格式例S2。IPsec(AH标题或ESP标题)423设置在IPv6路由标题421和IPv6移动标题422之间。
当移动IPv6处理部25接收到移动IPv6的绑定确认消息时,启动BA处理程序70。首先,进行IPv6路由标题421的处理(71),并且转换在路由标题上设置的MN1的本地地址4211和在IPv6接收端地址41b上设置的MN1的CoA。接着,确认IPv6标题41的下一标题值是否为IPsec(72)。如果下一标题是IPsec,则决定IPsec标题的SA,并对接收信息包进行IPsec处理(认证处理、解密处理)(73)。接着,参照SPD,来确认与安全策略一致的情况(74)。之后,移动IPv6处理部处理绑定确认消息。移动IPv6处理部以绑定确认消息的发送源地址来检索绑定更新列表管理表210。若存在该项目,则进行项目的更新。若没有该项目,则追加新项目(75、503)。
接着,移动IPv6处理部25向状况处理部23发送在接收信息包上添加了包含状况识别符的标题的信息包(76、521、522),来结束本程序。在绑定确认发送源为HA的情况下,对状况识别符设置表示IPv4-IPv6转换的号码(10010)。
在步骤72中,下一标题不是IPsec的情况下,进入步骤74。
在步骤73中,移动IPv6处理部25不能决定SA的情况下,或在步骤74中接收信息包不能满足保密策略的情况下,或在步骤75中不能更新绑定更新列表管理表210的情况下,废弃接收信息包(77),并结束本程序。
状况处理部23启动BA处理程序60,并根据附加标题的识别符决定状况(61、505),并删除附加标题。在有IPv4-IPv6转换的情况下,状况处理部23取得HA地址和转交地址,并在IP信息包处理部24上设置IPinIP信道信息(81、506)。接着,取得MN1的本地地址,进行转换项目的生成、更新,并结束本程序(82、507)。步骤81和步骤82的处理与第一实施例的步骤63、步骤64的处理相同。
在步骤81中不能设置IPinIP信道信息的情况、以及在步骤82中不能进行转换项目的生成、更新的情况下,废弃接收信息包(67),而结束本程序。
这里,回到图19并继续进行信息包的收发时序的说明。
在CN2向MN1发送信息包时,CN2向MN1的本地地址目标发送信息包(508)。HA4捕捉上述信息包,并附加IP标题(509)。在外侧IP标题的接收端地址设置MN1在外部网5b中取得的CoA。在外侧IP标题的发送源地址设置HA4的地址。
当MN1的IPv6信息包处理部24接收到信息包509时,启动信息包接收处理程序120。
当IPv6信息包处理部接收到信息包509时,判断MN1是否存在于本地网中(121)。在步骤506中已经取得CoA,所以IPv6信息包处理部24判断MN1存在于本地网之外。接着,参照接收信息包的下一标题值。若下一标题值为IP标题,确认外侧IP标题的发送源地址。若外侧IP标题的发送源地址是HA4的地址,IPv6信息包处理部24删除外侧IP标题(去封装化)(128、510)。接着,确认有无保密策略(129)。若不存在保密策略,则将信息包发送到状况处理部23(127),并结束本程序。
在步骤129中,存在保密策略的情况下,确认接收信息包是否满足上述策略(126)。在满足保密策略的情况下,参照信息包的下一标题值。若下一标题值不是IP标题(131),则将接收信息包发送到状况处理部23(127),并结束本程序。
在步骤126中,在不满足保密策略的情况下,废弃接收信息包(130),并结束本程序。
在步骤128中,若外侧IP标题的发送源地址不是HA4的地址,则废弃接收信息包(130),并结束本程序。
步骤511、512与第一实施例相同。
接着,说明主机OS上的应用程序11向CN2发送信息包的方法。步骤513、514与第一实施例相同。
在IP信息包转换后(514),状况处理部23向IPv6信息包处理部24发送信息包。IPv6信息包处理部24启动信息包发送处理程序100。
IPv6信息包处理部当接收到信息包514时,判断MN1是否存在于本地网中(101)。在步骤506中已经取得CoA,所以IPv6信息包处理部24判断MN1存在于本地网之外。接着,用接收端地址41b来参照绑定更新列表管理表210(102)。若上述绑定更新列表管理表210不存在该项目,则确认有无保密策略(108)。若不存在保密策略,则IPv6信息包处理部参照在步骤506中设置的IPinIP信道信息来追加IP标题(封装)(515、111)。并且,发送信息包(107),并结束本程序。
步骤516、517与第一实施例相同。
在步骤109中,判断为应废弃信息包的情况下,或者,在步骤110中,不能检测出SA的情况下,废弃接收信息包(112),并结束本程序。
图20表示MN1在与CN2之间进行了移动IPv6的路径最佳化处理的情况下的信息包收发时序。
MN1的移动IPv6处理部25通知MN1的CoA,因此,向CN2发送绑定更新消息(531)。MN1的移动IPv6处理部25从CN2接收绑定确认消息(532)。上述绑定确认消息532不含有IPsec。
移动IPv6处理部25当接收到移动IPv6的绑定确认消息时,启动BA处理程序70。首先,进行路由标题421的处理(71)。转换设置在IPv6路由标题上的MN1的本地地址4211、和设置在IPv6接收端地址41b上的MN1的CoA。接着,确认IPv6标题41的下一标题值是否为IPsec(72)。若下一标题不是IPsec,则参照SPD,来确认与保密策略一致的情况(74)。之后,移动IPv6处理部25进行绑定确认消息处理。移动IPv6处理部25用绑定确认消息的发送源地址来检索绑定更新列表管理表210。若存在该项目,则进行项目的更新。若不存在该项目,则添加新项目(75、533)。
接着,移动IPv6处理部25对接收信息包附加包含状况识别符的标题,向状况处理部23发送后(76、534、535),结束本程序。绑定确认消息532的发送源地址是CN地址,而不是HA地址。因此,在状况识别符上设置表示有IPv4-IPv6转换、有路径最佳化的号码(10011)。
状况处理部23启动BA处理程序60,根据附加标题的识别符决定状况(61、536),并删除附加标题。在有IPv4-IPv6转换、有路径最佳化的情况下,首先,状况处理部23参照绑定确认消息532的MH类型4221(83)。若MH类型为表示绑定确认消息的值,则用绑定确认消息的发送源地址来检索IPv6信息包处理部24的绑定更新列表管理表210。若存在该项目,则更新项目的信息。若不存在该项目,则将新项目追加在上述表格210中(84)。接着,取得MN1的本地地址,并进行转换项目的生成、更新,并结束本程序(82、537)。
在步骤84中,在不能进行绑定更新列表管理表210的项目更新或项目追加的情况下,废弃接收信息包(67),并结束本程序。
在步骤83中,若MH类型为表示绑定差错消息的值,则从绑定更新列表管理表210删除该项目(85),并结束本程序。
这里,回到图20,继续说明信息包的收发时序。
在CN2向MN1发送信息包时,用MN1的本地地址来参照CN2的绑定高速缓存器管理表。CN2在步骤531中取得MN1的绑定信息。因此,CN2发送在接收端地址41b上设置了MN1的CoA的信息包,在IPv6路由标题421上设置了MN1的本地地址的信息包,在发送源地址41a上设置了CN2的地址的信息包(538)。
当MN1的IPv6信息包处理部24接收到信息包538时,启动信息包接收处理程序120。
IPv6信息包处理部判断MN1是否存在于本地网中(121)。在步骤506中已经取得CoA,因此,IPv6信息包处理部24判断MN1存在于本地网之外。接着,参照接收信息包的下一标题值。若下一标题值为路由标题,进行路由标题处理(123、539)。接着,确认路由标题的下一标题值(124)。若下一标题值为IPsec,检索SA并进行IPsec处理(125)。接着,确认保密策略(126)。在步骤124中,若下一标题值不是IPsec,则确认有无保密策略(129)。若不存在保密策略,则向状况处理部23发送信息包(127),并结束本程序。
在步骤129中,存在保密策略的情况下,确认接收信息包是否满足上述策略(126)。在满足保密策略的情况下,参照信息包的下一标题值。若下一标题值不是IP标题(131),则将接收信息包发送到状况处理部23(127),并结束本程序。
在步骤126中,不满足保密策略的情况下,废弃接收信息包(130),并结束本程序。
在步骤125中,若IPsec处理没有正常结束,则废弃接收信息包(130),并结束本程序。
在步骤123中,若在路由标题的本地地址字段上未设有MN的本地地址,则废弃接收信息包(130),并结束本程序。
步骤540、541与第一实施例的步骤511、512相同。
接着,说明主机OS上的应用程序11向CN2发送信息包的方法。步骤542、543与第一实施例的步骤513、514相同。
在IP标题转换后(543),状况处理部23向IPv6信息包处理部24发送信息包。IPv6信息包处理部24启动信息包发送处理程序100。
IPv6信息包处理部判断MN1是否存在于本地网中(101)。由于在步骤506中已经取得CoA,则IPv6信息包处理部24判断MN1存在于本地网之外。接着,用接收端地址41b来参照绑定更新列表管理表210(102)。在上述绑定更新列表管理表210上存在步骤537中生成的项目。因此,IPv6信息包处理部生成目标选项标题的本地地址选项(103、544)。在本地地址选项上设置MN1的本地地址。在发送源地址41a上设置MN1的CoA。在接收端地址41b上设置CN2的地址。
接着,确认有无保密策略(104)。若不存在保密策略,则IPv6信息包处理部发送信息包(107、545),并结束本程序。
在步骤104中,存在保密策略的情况下,决定发送信息包的保密策略(105)。在使用IPsec时,IPv6信息包处理部检索SA来进行IPsec处理(106)。接着,发送信息包(107),并结束本程序。在不使用IPsec时,IPv6信息包处理部发送信息包(107),并结束本程序。
在步骤105中,判断为应废弃信息包的情况下,或,在步骤106中,不能检测出SA的情况下,IPv6信息包处理部废弃接收信息包(112),来参照本程序。
接着,使用图21,来说明向HA4进行了位置注册的MN1通过带IPsec的移动IP信道来收发信息包的情况的时序。
步骤501到507的处理与图19相同。
CN2在向MN1发送信息包时,CN2向MN1的本地地址目标发送信息包(508)。HA4捕捉上述信息包,并附加移动信道标题和带IPsec功能的IP标题(IPsec信道模式)(551)。在移动信道标题和带Ipsec功能的IP标题的接收端地址上设置MN1在外部网5b中取得的CoA。在移动信道标题和带Ipsec功能的IP标题的发送源地址上设置HA4的地址。
当MN1的Ipv6信息包处理部24接收到信息包551时,启动信息包接收处理程序120。
当Ipv6信息包处理部接收到信息包551时,判断MN1是否存在于本地网中(121)。在步骤506中已经取得CoA,因此Ipv6信息包处理部24判断MN1存在于本地网之外。接着,参照接收信息包的下一标题值。若下一标题值为IPsec,则检索SA进行IPsec处理,并删除外侧的IP标题(去封装)(IPsec信道模式处理)(125、552)。接着,确认接收信息包是否满足保密策略(126、553)。在满足保密策略的情况下,参照IPsec处理后的信息包的下一标题值。
若下一标题值为IP标题,则启动步骤128。首先,确认外侧IP标题的发送源地址。若外侧IP标题的发送源地址为HA4的地址,则Ipv6信息包处理部24删除外侧IP标题(去封装、510)。接着,确认有无保密策略(129)。若不存在保密策略,则将信息包发送到状况处理部23(127),并结束本程序。
若下一标题值不是IP标题,则将信息包发送到状况处理部23(127),并结束本程序。
在步骤126中,不满足保密策略的情况下,废弃接收信息包(130),并结束本程序。
在步骤125中,若不能检测出SA,则废弃接收信息包(130),并结束本程序。
步骤511、512与第一实施例相同。
接着,说明主机OS上的应用程序11向CN2发送信息包的方法。步骤513、514与第一实施例相同。
在IP标题转换后(514),状况处理部23向IPv6信息包处理部24发送信息包。IPv6信息包处理部24启动信息包发送处理程序100。
当IPv6信息包处理部接收到信息包514时,判断MN1是否存在于本地网中(101)。在步骤506中已经取得CoA,因此IPv6信息包处理部24判断MN1存在于本地网之外。接着,在接收端地址41b中,参照绑定更新列表管理表210(102)。若在上述绑定更新列表管理表210中不存在该项目,则确认有无保密策略(108)。
在存在保密策略的情况下,决定发送信息包的保密策略(109、504)。在使用IPsec时,检索SA来进行IPsec处理(IPsec信道模式处理)和移动IP的封装处理(110、555)。之后,Ipv6信息包处理部24发送信息包(107、556),并结束本程序。
接着,使用图22说明,向HA4进行了位置注册的MN1通过带IPsec的移动IP信道来收发信息包的情况的第二时序。
图21、图22是HA和MN之间的信息包格式不同。
图22中的HA4,在移动信道标题和带IPsec功能的IP标题(IPsec信道模式)的发送源地址和接收端地址分别相等的情况下,捕捉MN目标的信息包,只附加带IPsec功能的IP标题(IPsec信道模式)(557)。
在带IPsec功能的IP标题的接收端地址设置MN1在外部网5b中取得的CoA。在带IPsec功能的IP标题的发送源地址上设置HA4的地址。
当MN1的IPv6信息包处理部24接收到信息包557时,启动信息包接收处理程序120。
步骤552、553(121、122、125、126)与图21的情况相同。
在步骤131中,下一标题值不是IP标题,因此IPv6信息包处理部将信息包发送到状况处理部23(127),并结束本程序。
步骤511、512与第一实施例相同。
接着,说明主机OS上的应用程序11向CN2发送信息包的方法。步骤513、514与第一实施例相同。
在IP标题转换后(514),状况处理部23向IPv6信息包处理部24发送信息包。IPv6信息包处理部24启动信息包发送处理程序100。
步骤554、555(101、102、108、109)与图21的情况相同。
在步骤110中,在IPsec信道模式用的IP标题、移动信道标题的发送源地址和接收端地址分别相等的情况下,MN检索SA并只进行IPsec用的标题处理(IPsec信道模式处理)(110、555)。之后,IPv6信息包处理部24发送信息包(107、558),并结束本程序。
根据本发明的第三实施方式,即使在终端装置的主机OS不具有移动IPv6对应MN功能的情况下,也可以由移动IPv6处理部进行移动IPv6处理后,通过启动客户机OS的状况,可以向终端装置提供对移动IPv6信号使用了IPsec的移动IPv6服务。
另外,客户机OS的IPv6信息包处理部具有绑定更新列表,由此可以向终端装置提供移动IPv6的路径最佳化服务。
另外,在终端装置和HA之间的移动信道可以使用IPsec,可以提供安全性高的服务。
并且,在移动信道用的标题的发送源地址和接收端地址、与Ipsec用的发送源地址和接收端地址分别相等的情况下,可以省略移动信道用的标题,可以更高效地提供服务。
(实施例4)
使用附图来说明本发明的第四实施方式。第四实施例的特征在于,在第三实施例中,在利用IPv6对应应用程序的终端装置上,具有提供移动IPv6服务的单元。
在第四实施例中,设状况策略管理表220为:无IPv4-IPv6转换功能、或无Ipv4-IPv6转换功能、有路径最佳化是有效的。
在第四实施例中,状况处理部23启动图16所示的BA处理程序。图16所示的BA处理程序与图15相比,不同点在于不含有转换项目更新步骤。从步骤91到步骤94与第三实施例的步骤81、从步骤83到步骤85相同。
若根据本发明的第四实施方式,即使在利用IPv6对应应用程序的终端装置的主机OS不具有移动IPv6对应MN功能的情况下,也可以在移动IPv6处理部中进行移动IPv6处理后,通过启动客户机OS的状况,向终端装置提供对移动IPv6信号使用了IPsec的移动IPv6服务。
另外,通过客户机OS的IPv6信息包处理部具有绑定更新列表,可以提供移动IPv6的路径最佳化服务。
另外,可以在终端装置和HA之间的移动信道上使用IPsec,可以提供安全性高的服务。
并且,在移动信道用的标题的发送源地址和接收端地址、与IPsec用的发送源地址和接收端地址分别相等的情况下,可以省略移动信道用的标题,可以更高效地提供服务。
(实施例5)
用附图来说明本发明的第五实施方式。第五实施例的特征在于,在第四实施例中,终端装置具有利用IPv6对应SIP的VoIP服务的单元。在第五实施例中,设状况策略管理表220为:无IPv4-Ipv6转换功能、或无IPv4-IPv6转换功能、有路径最佳化是有效的。
图23表示本发明中的第五实施例的通信网的结构例。SIP代理8与路由器连接。
图24、图25、图26是第五实施例中的MN1的通信时序。
从步骤501到步骤506与图19相同,所以说明步骤561之后的处理。
CN2经由SIP代理8,向MN1发送SIP邀请消息(561、562)。MN1的主机OS上的应用程序接收上述消息。在接收上述消息的情况下,MN1的主机OS上的应用程序发送对上述邀请的响应消息(200OK)。该响应消息经由SIP代理8向CN2发送(563、564)。该响应消息作为MN1接收声音信息包的IP地址的信息,包含MN1的本地地址。
CN2接收上述响应消息,并向MN1发送响应确认消息(ACK)(565、566)。如上所述,在CN2和MN1之间确立对话。
另外,在SIP代理8不保持MN1的绑定信息的情况下,MN1和SIP代理8之间收发的消息经由HA4。
接着,CN2向MN1的本地地址目标发送声音信息包(RTP信息包)(567)。传送模式的IPsec适用于上述声音信息包。
HA4捕捉上述信息包来进行封装,并发送到MN1的CoA目标(568)。
IPv6信息包处理部24接收上述信息包。步骤510与图19相同。
IPv6信息包处理部24经由IP信息包处理部22向主机OS发送接收信息包(570)。步骤570与步骤512相比,不同点在于对原始信息包实施了IPsec。主机OS进行原始信息包的IPsec处理后,进行声音信息包的处理。
接着,描述MN1向CN2发送声音信息包的顺序。MN1对包含声音信息的IP信息包进行IPsec处理,并发送信息包(571)。IPv6信息包处理部24对信息包附加移动信道用的标题(封装)(515)。之后,IPv6信息包处理部经由HA4(574)向CN2目标发送信息包(575)。
图25表示IPsec适用于终端间声音信息包和移动信道的情况下的MN1的通信时序。
在HA4和MN1的移动信道上,使用信道模式IPsec。
从步骤561到步骤566与图24相同,因此说明步骤567以后的处理。
CN2向MN1的本地地址目标发送声音信息包(567)。HA4捕捉上述信息包,添加移动信道标题和带IPsec功能的IP标题(IPsec信道模式)(581)。在移动信道标题和带IPsec功能的IP标题的接收端地址设置MN1在外部网5b中取得的CoA。在移动信道标题和带IPsec功能的IP标题的发送源地址上设置HA4的地址。
当IPv6信息包处理部24接收到上述信息包时,进行SA处理和去封装处理(IPsec信道模式处理)(568)、SPD检查处理(569)和去封装(510)。
步骤568、569、510的处理与图21的步骤552、553、510的处理相同,所以省略详细说明。IPv6信息包处理部24经由IP信息包处理部22向主机OS发送信息包(570)。若主机OS接收到带IPsec的信息包570,则进行了IPsec处理后,进行声音信息包的处理。
接着,描述MN1向CN2发送声音信息包的顺序。MN1对包含声音信息的IP信息包进行IPsec处理,并发送信息包(571)。IPv6信息包处理部24进行SPD检查处理(572)、IPsec处理(IPsec信道模式处理)和移动IP的封装处理(573)。步骤572、573与图21的步骤554、555的处理相同,所以省略详细说明。接着,IPv6信息包处理部24经由HA4(582)向CN2目标发送信息包(575)。
图26表示IPsec适用于终端间声音信息包和移动信道的情况下的MN1的通信时序。
由于步骤561到步骤566与图24相同,所以说明步骤567之后的处理。
图25和图26是HA和MN之间的信息包格式不同。CN2向MN1的本地地址目标发送声音信息包(567)。图26中的HA4捕捉MN目标的信息包(567),并仅附加IP标题(IPsec信道模式)(583)。在外侧IP标题的接收端地址上设置MN1在外部网5b中取得的CoA。在外侧IP标题的发送源地址上设置HA4的地址。
当IPv6信息包处理部24接收到上数据信息包时,进行SA处理和去封装处理(IPsec信道模式处理)(568)、SPD检查处理(569)。
步骤568、569的处理与图22的步骤552、553的处理相同,所以省略详细说明。IPv6信息包处理部24经由IP信息包处理部22向主机OS发送信息包(570)。当主机OS接收到带IPsec的信息包570时,进行IPsec处理后,进行声音信息包的处理。
接着,描述MN1向CN2发送声音信息包的顺序。MN1对包含声音信息的IP信息包进行IPsec处理,并发送信息包(571)。IPv6信息包处理部24进行SPD检查处理(572)、IPsec处理(IPsec信道模式处理)(573)。步骤572、573与图22的步骤554、555的处理相同,所以省略详细说明。接着,IPv6信息包处理部24经由HA4(584)向CN2目标发送信息包(575)。
根据本发明的第五实施方式,即使在利用带IPsec的IPv6对应应用程序的终端装置的主机OS不具有移动IPv6对应MN功能的情况下,也可以在由移动IPv6处理部进行了移动IPv6处理后,通过启动客户机OS的状况,对终端装置提供在移动IPv6信号上使用了IPsec的移动IPv6服务。
另外,通过分离移动IP的IPsec处理部和应用的IPsec处理部,即使在终端装置和HA之间的移动信道上使用IPsec的情况下,也可使用带IPsec的应用。
(实施例6)
使用附图来说明本发明的第六实施方式。第六实施例的特征在于,终端装置具有移动IPv6功能和HMIPv6功能。在第六实施例中,设状况策略管理表220从MAP类型1到3为有效。
图27表示本发明中的第六实施例的通信网的结构例。路由器3具有HMIPv6的MAP功能。
图28表示本发明的第六实施例的终端1的结构例。除了第一实施例的终端1的功能之外,主机OS13具有移动IPv6处理部252。另外,客户机OS17代替移动IPv6处理部25,具有HMIPv6处理部251。
图29表示MAP3发送的路由广告的消息格式例S4。
将包含路由广告消息的ICMP信息包431存储在IPv6信息包的有效负载部43中。MAP3发送的路由广告S4包含MAP选项。MAP选项432具有向终端通知HMIPv6对应终端的位置注册模式和MAP地址的功能。
MIPv6对应终端的位置注册模式根据MAP选项432的I、P、V的各位(bit)的值分为三个类型。
类型1是在MN-MAP之间封装传送终端1与HA4之间收发的位置注册消息(绑定更新、绑定确认)的方法。
类型2是终端1向HA4直接发送绑定更新,并在MAP-MN之间封装传送从HA4向终端1的绑定确认的方法。
类型3是在与HA4之间直接收发终端1与HA4之间收发的位置注册消息的方法。
根据图31到图33所示的时序,说明在图27所示的网5b外部的MN1向HA4进行位置注册,并收发信息包的时序。
首先,使用图31,来说明接收了表示上述类型1的路由广告消息的MN1的信息包收发时序。
MN1在接收路由广告601并生成RCoA和LCoA后,在接口18设置LCoA。接着,MN1向MAP3b发送位置注册消息(绑定更新)(602)。MAP3b保持RCoA和LCoA的对应信息。MAP3b发送对上述绑定更新的响应(绑定确认)(603)。HMIPv6处理部251具有绑定更新列表管理表,并向上述表格追加MAP的项目(已经存在项目的情况下,进行更新)(604)。
接着,HMIPv6处理部251对绑定确认追加包含表示是类型1的MAP位置注册的识别符的标题,并发送到状况处理部23(605、606)。
状况处理部23启动BA处理程序60,来决定状况(61、607)。
状况处理部23从接收信息包取得RCoA、LCoA、MAP地址。从发送源地址41a取得MAP地址,从IPv6路由标题取得RCoA,从接收端地址41b取得LCoA(95)。若在RCoA有变更(96),则在移动标题402的移动选项设置表示类型1的MAP位置注册的值。状况处理部23经由IP信息包处理部22向主机OS的移动IPv6处理部252发送包含上述移动选项的绑定确认(97、608、609),并结束本程序。
若RCoA没有变更,则结束本程序。若在步骤95中处理没有正常结束,则废弃接收信息包(67),并结束本程序。
当移动IPv6处理部252接收到上述绑定确认时,向HA4发送绑定更新消息(610)。
上述消息对发送源地址41a设置RCoA,对接收端地址41b设置HA4地址,对目的地选项标题的本地地址选项设置MN1的本地地址。接收到上述消息610的HMIPv6处理部251以IPinIP封装上述信息包后,经由MAP3b发送到HA4。
从HA4接收到绑定确认(611)的MAP3b进行IPinIP封装,并向MN1发送信息包。当HMIPv6处理部251接收到上述消息时,进行去封装,并发送到移动IPv6处理部252。在上述消息中,对发送源地址41a设置HA4的地址,对接收端地址41b设置RCoA,对路由标题的本地地址字段设置MN1的本地地址。
移动IP处理部252进行上述位置注册信号的IPsec处理。
接着,描述MN1收发信息包的方法。移动IPv6处理部对MN1收发的信息包进行MN1-HN4之间的封装、去封装。并且,HMIPv6处理部251进行MN1-MAP之间的封装、去封装(612、613)。
接着,使用图32说明接收到表示上述类型2的路由广告消息的MN1的信息包收发时序。
步骤601到604与图31的处理相同。
下面,HMIPv6处理部251对绑定确认追加包含表示类型2的MAP位置注册的识别符的标题,并发送到状况处理部23(605、606)、
状况处理部23启动BA处理程序60来决定状况(61、607)。
状况处理部23从接收信息包中取得RCoA、LCoA、MAP地址。从发送源地址41a中取得MAP地址,从路由标题中取得RCoA,从接收端地址41b取得LCoA(98)。
若RCoA有变更(96),则对移动标题402的移动选项设置表示类型2的MAP位置注册的值。状况处理部23经由IP信息包处理部22将包含上述移动选项的绑定确认发送到主机OS的移动IPv6处理部252(97、608、609),并结束本程序。
若RCoA没有变更,则结束本程序。若在步骤98中处理没有正常结束,则废弃接收信息包(67),来结束本程序。
当移动IPv6处理部252接收到上述绑定确认时,向HA4发送绑定更新消息(621)。
上述消息对发送源地址41a设置RCoA,对接收端地址41b上设置HA4地址,对目的地选项标题的本地地址选项设置MN1的本地地址。接收到上述消息621的HMIPv6处理部251向HA4发送上述信息包。
从HA4接收到绑定确认(622)的MAP3b进行IPinIP封装,并向MN1发送信息包。当HMIPv6处理部251接收到上述消息时,进行去封装,并发送到移动IPv6处理部252。对上述消息的发送源地址41a设置HA4的地址,以接收端地址41b设置RCoA,对路由标题的本地地址字段设置MN1的本地地址。
移动IP处理部252进行上述位置注册信号的IPsec处理。
接着,MN1的信息包接收方法(623)与图31的步骤612相同。
MN1发送信息包时,移动IPv6处理部252进行MN-HA之间封装,并发送信息包(624)。
接着,使用图33说明接收到表示上述类型3的路由广告消息的MIPv6对应MN1的信息包收发时序。
步骤601到604与图31的处理相同。
下面,HMIPv6处理部251对绑定确认追加表示类型3的MAP位置注册的识别符的标题,并发送到状况处理部23(605、606)。
状况处理部23启动BA处理程序60,来决定状况(61、607)。
状况处理部23从接收信息包中取得RCoA、LCoA、MAP地址。从发送源地址41a中取得MAP地址,从路由标题中取得RCoA、从接收端地址41b中取得LCoA(99)。
若RCoA有变更(96),则对移动标题402的移动选项设置表示类型3的MAP位置注册的值。状况处理部23经由IP信息包处理部22将包含上述移动选项的绑定确认发送到主机OS的移动IPv6处理部252(97、608、609),并结束本程序。
若RCoA没有变更,则结束本程序。若在步骤99中处理没有正常结束,则废弃接收信息包(67),并结束本程序。
当移动IPv6处理部252接收到上述绑定确认时,向HA4发送绑定更新消息(631)。
上述消息是对发送源地址41a设置LCoA,对接收端地址41b设置HA4地址,对目标选项标题的本地地址选项设置RCoA,对绑定更新的移动选项的交替-转交地址选项字段设置MN1的本地地址。接收到上述消息631的HMIPv6处理部251向HA4发送上述信息包。
从HA4接收到绑定确认(632)的HMIPv6处理部251向移动IPv6处理部252发送上述消息。对上述消息的发送源地址41a设置HA4的地址,对接收端地址41b设置LCoA,对路由标题的本地地址字段设置MN1的本地地址。
移动IP处理部252进行上述位置注册信号的IPsec处理。
接着,MN1的信息包收发方法(633、634)与图32的步骤623、624相同。
根据本发明的实施方式,可以容易实现向移动Ipv6对应MN提供HMIPv6服务。并且,通过分离移动IPv6处理部和HMIPv6处理部,HMIPv6对应终端的IPinIP封装处理或IPsec处理变得容易。
(实施例7)
使用附图来说明本发明的第七实施方式。图34表示本发明中的第七实施方式的通信网的结构例。第七实施例的特征在于,移动路由器10(10a、10b)与路由器3(3a、3b)连接,各移动路由器10构成移动网络9(9a、9b)。
图35表示对MN1的本地网6设置的HA4的结构例。HA4包括收纳线路(318a、318b、318m、318n)的接口部(IF)(319a、319b、319m、319n)、服务器部311(311a、311b、311m)和开关部317(317a、317b)。
服务器部311具有:信息包接收、发送处理部313、IPsec处理部314和移动IP处理部315。
移动IP处理部315具有移动IP协议处理功能和移动IP的本地代理(HA)功能。移动IP的本地代理功能具有绑定高速缓存管理表。绑定高速缓存管理表保持MN1的本地地址和转交地址的对应信息。并且,本实施例中的HA4具有对移动IP处理部315执行多次移动信道处理的处理程序。
图36表示HA4为移动路由器10、和移动网9内的MN1的HA的情况的移动信道适用区间。
HA4与MN1通信的情况下,对MN1和HA4之间((1)MN-HA移动信道)、以及移动路由器10和HA4之间((2)MR-HA移动信道)设置移动信道。
首先,HA4参照MN1的绑定信息,在原始信息包351追加IP标题352。在IP标题352的接收端地址设置MN1的转交地址(CoA)。接着,HA4参照移动路由器(MR)10的绑定信息,追加IP标题353。对IP标题353的接收端地址设置MR10的转交地址。
根据本发明的第七实施方式,可以容易实现HA4提供网络移动服务时所需的多次的IPinIP封装处理或IPsec处理。
(实施例8)
使用附图来说明本发明的第八实施方式。图38表示本发明中的第八实施例的通信网的结构例。第八实施例的特征在于,包含MN1的本地网6和CN2的网络361通过GW362,与IP网7连接。GW362具有TLS终端功能。
在第八实施例中,MN1的客户机OS APL16具有第一TLS终端功能。MN1的主机OS APL11具有第二TLS终端功能。
图39说明MN1使用TLS进行通信的情况的时序。
存在于网络361的外部的MN1在与存在于网络361中的通信装置(CN2)进行通信的情况下,在MN1和GW362之间设置TLS来进行通信。
首先,说明在MN1和GW362之间设置TLS的对话的顺序。MN1的客户机OS APL 16将包含可使用的加密算法、压缩算法、客户随机值等的客户问候(client hello)消息发送到GW362(701)。接收到上述消息的GW362决定所使用的加密算法和压缩算法。接着,GW362向MN1的客户机OS APL16通知包含所决定的值和服务器随机值的服务器问候消息(702)。GW362也可以根据需要来发送自身的证书等。若GW362向MN1发送证书,则MN1可以使用上述证书来进行GW362的认证。GW362以服务器问候结束来向MN1的客户机OS APL16通知选项消息的发送结束(703)。MN1的客户机OS APL16生成成为各加密参数的源的预主秘密(pre-master secret)(48)后,以客户密码交换消息来通知GW362(704)。
这里,MN1的客户机OS APL16和GW362为将利用算法、服务器随机数、客户随机数、预主秘密共有的状态。MN1的客户机OS APL16和GW362生成加密通信所需的保密参数。
MN1的客户机OS APL16和GW362分别通知保密参数的设置结束(Change Cipher Spec)和新的加密标准的工作的确认(Finished)(705到708)。以上,在MN1的客户机OS APL16和GW362之间确立了TLS的对话(709)。
接着,在MN1的主机OS APL11中运行的应用程序,在与CN2之间进行用了TLS的通信712,因此交换消息(710),并在MN1的主机OS APL11和CN2之间确立TLS对话711。TLS连接711的设置顺序与从步骤701到708相同,省略详细说明。TLS对话711利用MN1的客户机OS APL16和GW362之间的TLS对话709。
根据本发明的第八实施方式,在MN1与两个通信装置之间确立TLS对话的情况下,可以容易实现多次TLS处理。
(实施例9)
本发明也可以在如下这样的移动终端装置中实现。
在具有相互连接的第一和第二网、以及与上述第一网连接的本地代理的通信系统中,与该本地代理连接的移动终端装置,其特征在于,将从该移动终端向上述本地代理发送的、对位置注册的来自上述本地代理的响应进行接收,并根据该响应决定上述移动终端装置中使用的通信方式。
或者,上述移动终端装置的特征在于,具有:移动IPv6处理部和IP地址转换部,上述移动终端装置在接收到根据第一地址体系的信息包时,上述移动IPv6处理部将上述接收到的信息包进行移动Ipv6处理后,上述IP地址转换部将上述被移动IPv6处理的信息包转换为第二地址体系,在上述移动终端装置发送根据第一地址体系的信息包时,上述IP地址转换部将上述发送的信息包转换为第二地址体系后,上述移动IPv6处理部对上述被转换的信息包进行移动Ipv6处理。
或者,上述移动终端装置的特征在于,上述第一地址体系是IPv6,上述第二地址体系是IPv4。
或者,上述移动终端装置的特征在于,具有:移动IPv6处理部和第一IPsec处理部,上述移动IPv6处理部在其内部还具有第二IPsec处理部,上述移动终端装置接收到信息包时,上述第二IPsec处理部对上述接收到的信息包进行与移动IPv6处理相关的IPsec处理后,上述第一IPsec处理部对被上述IPsec处理的信息包再进行IPsec处理。
或者,上述移动终端装置的特征在于,上述通信系统还具有连接上述第一网和第二网的连接装置,上述连接装置是HMIPv6的MAP。
(工业上的可利用性)
若使用本发明,通信装置可以多次终结同一层的保密处理、或标题处理。本发明有可能在实现进行与保密管理方式相应的处理的通信装置的情况下使用。