JP2002044141A - モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 - Google Patents
モバイルipネットワークにおけるvpnシステム及びvpnの設定方法Info
- Publication number
- JP2002044141A JP2002044141A JP2000225857A JP2000225857A JP2002044141A JP 2002044141 A JP2002044141 A JP 2002044141A JP 2000225857 A JP2000225857 A JP 2000225857A JP 2000225857 A JP2000225857 A JP 2000225857A JP 2002044141 A JP2002044141 A JP 2002044141A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- information
- network device
- home
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
てVPN用の特殊な機能を持たせること無く、任意の端
末間でのIPSecトンネルによるVPN設定サービス
を提供する。 【解決手段】 移動端末と、認証サーバと、VPNデー
タベースと、ネットワーク装置とで構成され、ホーム認
証サーバは、移動端末からの位置登録要求時に認証を要
求したユーザのVPN情報をVPNデータベースから抽
出し、そのVPN情報を所定の位置登録メッセージ及び
認証応答メッセージを用いて各ネットワーク装置に通知
する。ネットワーク装置は、通知されたVPN情報を基
にホームネットワーク装置と外部ネットワーク装置間、
ホームネットワーク装置と所定のネットワーク装置間、
及び/又は外部ネットワーク装置と所定のネットワーク
装置間にそれぞれIPSecによるVPNパスを設定す
る。
Description
伴い、企業の専用線をインターネット上の仮想パス(V
PN:Virtual Private Network )で置き換える事によ
り、通信コストを低減しようとする試みが広く行われる
ようになってきている。また、電子商取引を実現する上
でもインターネット上のセキュリティ強化は必須であ
り、これらを実現する技術としてIP Securit
y Protocol(以降、「IPSec」と称す)
が注目されている。
かに控え、インターネット環境はモバイル環境への移行
が始まっている。モバイル環境をインターネットへ導入
することはそれを利用するユーザの利便性を高める。し
かしながら、その一方でセキュリティを脆弱にする危険
性も増大させることになり、モバイル環境でセキュリテ
ィを保護する枠組みが求められている。
キテクチャの基礎となるRFC2002で規定されたI
P Mobility Support(以降、「モバ
イルIP (Mobile IP)」と称す)にIPSecを組み合
わせる方式についても、いくつかの提案がされている。
ここで、モバイルIP(mobile internet protocol)と
は、IPネットワーク上で端末がネットワーク間を移動
した時に、IPアドレスの管理と移動先への通信パケッ
トの転送を自動化した技術である。ルータにアドレスの
転送を実行するエージェント機能を実装し、端末の“本
籍”にあたるホーム・アドレスと現住所の“気付アドレ
ス”の2つを管理させる。端末は、ネットワーク間を移
動した際に新しい気付アドレスを、ホーム・アドレスの
あるネットワークのルータに登録し、移動を知らない通
信相手からのメッセージをトンネリング技術で転送させ
る。
的にはホームエージェントと通信端末との間)の完全な
セキュリティを保証していないために、エンドユーザ端
末がIPSec機能を持つことを前提としている。これ
らの提案では、結局通信に関与する端末が全てIPSe
cを実装する必要があり、モバイル環境でセキュリティ
を保護する枠組みとしては、不十分であり、モバイルI
PとIPSecとを連携させる意義が薄い。
+IPSecを適用したネットワーク構成の一例を示し
たものである。ここでは、モバイル環境をサポートする
IPアーキテクチャとしてRFC2002で提案された
モバイルIPと、インターネット上でセキュリティを実
現するアーキテクチャであるIPSecとを併用してい
る。モバイルIPは、その本質から通常のネットワーク
に比較してセキュリティ面が脆弱なため、IPSecを
含む様々なセキュリティ強化の方式がとりいれられてい
る。
ユーザ1(MN:Mobile Node)がアクセスしたネットワ
ーク2にある移動性エージェント21(外部エージェン
トFA:Foreign Agent)とユーザのホームネットワーク
3にある移動性エージェント31(ホームエージェント
HA:Home Agent)との間におけるIP−IPトンネル
をIPSecトンネル6で置き換えるものであり、IP
Secで用いるVPN用の情報はあらかじめ各移動性エ
ージェント21及び31に設定しておく必要がある。
とについてもこれらの提案で触れているが、移動端末1
と移動性エージェント21、31との間の自動鍵交換
(IKE)に頼った方式であり、通信先ホスト52(C
N:Corespondent Node )とも自動鍵交換(IKE)を
用いて個別にIPSecを設定する必要がある。この場
合、さらにモバイルIPの変更も必要となる。
を用いてインターネット上に張られるユーザの仮想パス
のことを言うが、他のインターネット技術、例えばDi
fferentiated Service(以降、
「差別化サービス」と称す)等、とユーザ単位では連携
しておらず、その結果VPNのサービス品質保証は十分
なネットワーク資源の割当てと一律な優先制御(例え
ば、IPSecプロトコルのプロトコル番号をフィルタ
リング条件とした簡単な優先度制御)とによって行われ
ている。
式によれば、結局は通信に関与する端末が全てIPSe
cを実装する必要がある。そのため、ネットワークとし
てIPSecサービスを提供する意義が薄く、またセキ
ュリティサービスとサービス品質保証とを自由に組み合
わせてユーザの利便性を向上させたネットワークサービ
スを、IPSecを実装していない既存の端末を含め
て、提供することが出来ないという問題があった。
信を安全な通信経路を用いて可能にすることにある。ま
た、本発明の目的は、モバイルIPにおける位置登録手
順と連携して、通信に関与する端末の公衆IPネットワ
ークへのセキュリティゲートウェイに動的にIPSec
を用いたVPNを設定することによって、移動端末や通
信端末にVPN用の特殊な機能を持たせること無く任意
の端末間での通信にVPN設定サービスを提供し、ユー
ザの利便性向上させたVPNサービスを提供することに
ある。それにより、VPNサービスを提供するサービス
プロバイダの差別化も可能になる。
る。 1)モバイルIPにおける位置登録手順と連携して、通
信に関与する端末の公衆IPネットワークへのセキュリ
ティゲートウェイ21、31に動的にIPSecを用い
たVPNを設定することで、MN1やCN42,52に
VPN用の特殊な機能を持たせること無く、任意の端末
間でのVPN設定サービスの提供を可能にする。 2)ユーザが自由に組み合わせて指定したサービス品
質、セキュリティレベル、経路でのVPN設定を可能に
する。 3)MN1の移動に伴い、VPNの経路を自動更新する
ことを可能にする。
対比させた本発明に基くネットワーク構成例を示してお
り、モバイルIPにおける位置登録手順と連携して、通
信に関与する端末の公衆IPネットワーク2〜5の各セ
キュリティゲートウェイ21〜51に動的にIPSec
を用いたVPNを設定することで任意の端末1やホスト
32〜52間の通信にVPN設定サービスを提供する。
成例を示したものである。最初に、以降で使用される用
語の簡単な説明を行なっておく。MIP(MobileIP )
は、RFC2002と将来の全ての拡張で規定されるモ
バイルIPプロトコルである。AAAプロトコルは、A
AAシステムが使用するプロトコルであって、本願の実
施例では現在IETFで検討中のDIAMETERプロ
トコルの使用を想定している。AAAプロトコルは認証
(Authentication)、認可(Authorization) 、課金(Acoun
ting) 、及びポリシーに関する情報を伝達可能なあらゆ
るプロトコルで実装可能である。本発明で必要となる新
たな情報の伝達には前記DIAMETERプロトコルで
定義されるAVP(Attribute Value Pair)と呼ばれる
拡張可能な属性パラメータを用いる。拡張される属性は
VPN設定に関する情報である。
ロトコル機能を有する移動端末を示す。AAAは、上述
した認証、認可、課金を行うサーバ群のIETFで用い
られる名称である。AAAHは認証要求ユーザーの加入
者データを持つネットワークのAAAであり、AAAF
は該ユーザーの加入者データを持たないネットワークの
AAAである。本発明のAAAは上記機能に加えてVP
Nデータベースから認証要求ユーザのVPN情報を抽出
し、HAへHA登録要求メッセージで、またFAへはA
AAFを経由した認証応答メッセージでVPN情報を通
知し、さらにユーザ単位のVPN情報の抽出とVPN経
路の決定を行う。
2で定義される機能エンティティであって移動端末に割
り付けられるホームアドレスを所有しないエージェント
である。自ノードのアドレスである気付アドレス(Care
-of-Address )にカプセル化されて送られてきたパケッ
トをデカプセル化し、ホームアドレスに対応したリンク
レイヤアドレスへ回送する。このアドレスの対応は、訪
問者リストと呼ばれるテーブルで管理される。本発明の
FAはIPSecのセキュリティゲートウェイ機能と差
別化サービスのエッジルータ機能とを兼ね備える。
定義される機能エンティティであって移動端末に割り付
けられたホームアドレスを所有するエージェントであ
る。HAに回送されてきた移動端末のホームアドレスを
送信先とするパケットはホームアドレスに対応したFA
の気付アドレスへカプセル化されて送出される。このア
ドレスの対応は移動結合と呼ばれるテーブルで管理され
る。本発明のHAはIPSecのセキュリティゲートウ
ェイ機能と差別化サービスのエッジルータ機能を兼ね備
える。
特許2000−32372号で規定された機能エンティ
ティであって配下のモバイルIPをサポートしない通信
ノード(CN;Correspondent Node)に代わって、HA
から送られてきたCNへの結合更新メッセージを代理受
信し、結合更新で通知された宛先へ結合トンネルを設定
する。本発明のPCNはIPSecのセキュリティゲー
トウェイ機能と差別化サービスのエッジルータ機能を兼
ね備えており、MIPプロトコルで通知されるVPN情
報を解析し、その解析したVPN情報に基づいてネット
ワークカーネルに差別化サービスの設定と指定されたセ
キュリティレベルでのトンネルを設定する。
するIPネットワークは、ユーザ認証サーバ及びネット
ワーク装置で構成され、移動端末1からの初回位置登録
要求(認証要求)時に、認証サーバ(AAAH)が認証
を要求したユーザのVPN情報をVPNデータベースか
ら抽出し、そのVPN情報を位置登録メッセージ及び認
証応答メッセージを用いてネットワーク装置(HA,F
A)に通知する。ネットワーク装置(HA,FA)は、
通知されたVPN情報を基にHAとFA間にVPNを設
定する。その際、ネットワーク装置(HA)は、通信先
端末CNが他のネットワーク4に存在する場合は更にH
AからVPN情報で指定された通信先端末収容のセキュ
リティゲートウェイ(PCN)へVPNを設定する。
置は、移動端末1の移動による位置登録要求と連動して
認証サーバ及びネットワーク装置にキャッシュされたV
PN情報を新経路情報に更新するか又はモバイルIPで
通知される位置情報で書き換える。その結果、新FAと
HA間及びPCNと新FA間に新たなIPSecトンネ
ルが動的に設定され、VPN経路が自動更新される。さ
らに、FA間のデータパケット転送におけるセキュリテ
ィ保護を完全なものとするため、スムースハンドオフ時
のFA間の結合トンネルにもIPSecトンネルが設定
される。
ザが所望するサービス品質、セキュリティゲートウェイ
間のセキュリティ情報、及びVPNを設定する通信先ホ
スト(CN)のIPアドレス群からなるユーザ単位のV
PN情報と通信先ホストを収容するセキュリティゲート
ウェイ(VPNGW)との対応表を格納するVPNデー
タベースと、認証要求メッセージに設定された移動端末
が接続したアクセスネットワーク2のセキュリティゲー
トウェイ(FA)アドレスと移動端末のホームネットワ
ーク3のセキュリティゲートウェイ(HA)アドレス、
及び前記ユーザ対応VPN情報に設定された通信先ホス
ト(CN)と前記対応表から抽出される通信先ホストを
収容するセキュリティゲートウェイ(PCN;Proxy C
N)アドレスからVPN設定経路を特定するAAAVP
N制御部と、各セキュリティゲートウェイ間のサービス
品質とセキュリティ情報をサービスプロファイルとし
て、アクセスネットワークへの認証応答メッセージ及び
ホームネットワークへの位置登録メッセージに設定する
AAAプロトコル処理部と、を有する。
ら成るネットワーク装置(HA、FA、PCN)は、上
記VPN情報を設定されたサービスプロファイルとRF
C2002とそれに関連するその他の拡張プロトコルを
理解するためのMA(Mobility Agent)プロトコル処理部
と、通知されたサービスプロファイルに従いサービス品
質を保証するQoS制御とセキュリティゲートウェイ間
のセキュリティを保証するためのトンネルを設定するM
AVPN制御部と、を有する。
イルIPをサポートしないCNに代わってHAからのC
Nへの結合更新メッセージを代理受信し、結合更新で通
知されたVPN情報が設定されたサービスプロファイル
を基に、CNに代わってFAへの結合トンネルをIPS
ecトンネルで設定するプロトコル処理を行なう。
3にあるネットワーク装置(HA)のMAVPN制御部
は、前記トンネルの設定の際にサービスプロファイルで
セキュリティ保護が要求されるとRFC2002で規定
されたHAから移動端末の現在の接続点である外部ネッ
トワーク2にあるネットワーク装置(FA)に設定する
トンネルを通常のIP−IPトンネルに代わりIPSe
cトンネルを設定し、一方FAの側のMAVPN制御部
もサービスプロファイルでセキュリティ保護が要求され
ると、FAからHAへのトンネル(通常リバーストンネ
ルと呼ばれる)をIP−IPトンネルではなくIPSe
cトンネルで設定する。
IPにおける位置登録手順と連携して、通信に関与する
端末の公衆IPネットワークへのセキュリティゲートウ
ェイに動的にIPSecを用いたVPNが設定される。
従って、移動端末(MN)や通信先ホスト(CN)にV
PN用の特殊な機能を持たせること無く任意の端末やホ
スト間でVPN設定サービスが提供可能となる。また、
ネットワーク側でVPN設定サービスが提供されるた
め、ユーザによる自由な組み合わせによるサービス品
質、セキュリティレベル、及び経路等の指定が可能とな
る。
示したものである。本例は、初期位置登録時のVPN設
定例(静的HA−CN間VPN存在時)を示しており、
あるユーザがVPNサービスを提供しているISP(Int
ernet Service Provider) を利用して自分が勤めている
企業に公衆ネットワークからアクセスする時に、自動的
にVPNが設定されるような契約をした場合を想定して
いる。以降では、本願発明の理解の容易のため、本実施
例の説明と併せて図3で示した本発明の各機能ブロック
のより詳細な構成及び動作について随時説明していく。
1は、まず企業5とホームISP3との間でVPN契約
(SLA:Service Level Agreement )を取り交わす
()。契約内容は使用するSPI(Security Paramet
er Index)と鍵群、サービス品質、このVPNを利用可
能なユーザのリストである。企業側は前記SLAに基づ
き、自企業のVPNGW装置51にISP3のHA31
のVPN情報を設定する。ISP側は企業に示されたユ
ーザのVPNデータベースにこの企業ドメインのアドレ
スとSPI、鍵等を設定する。またVPN情報35とし
てCN−GW対応表に企業ドメインアドレスとVPNG
W装置51のアドレスを登録し、GW種別にVPN動的
設定不可を設定する。
ベースの構成例を示している。VPNデータベース34
は各ユーザの設定したVPNデータインスタンス1〜n
の集合であり、各インスタンスが一つのVPNに対応す
る。各VPNデータインスタンスは、このVPN情報を
一意に表す識別子であるプロファイル番号(Profile Nu
mber)、ユーザのネットワーク識別子(NAI; Networ
k Access Identifier )、セキュリティゲートウェイ間
の共有のセキュリティ関係を使用するか又はユーザ固有
のセキュリティ関係を使用するかを示すVPN共有指標
(vpnshare)、通信先端末のIPアドレス(destadd
r)、上り方向のQoSクラス(upclass )、下り方向
のQoSクラス(downclass )、IPSecで使用する
上り方向SPI(upSPI ),IPSecで使用する下り
方向SPI(downSPI )で構成される。
合、upclass,downclass,upSP
I,downSPIは省略可能である。このデータベー
スはユーザのNAIで検索され、検索された全てのイン
スタンスは後述するVPN情報キャッシュにアドレス情
報を付加して記録される。なお、データ検索に使用する
データベース検索プロトコルはVPNデータベースを実
装するデータベースの製品等に依存しており、通常はL
DAP(Light Directory Access Protocol )やSQL
が用いられる。また、上述したVPN情報35のCN−
GW対応表については後述の図8にその一例を示す。
ームISP3とローミング契約をしているISP2の任
意のアクセスポイントに接続し、モバイルIPの位置登
録要求(Reg Req)()を送出することでネッ
トワークの利用が可能になる。ローミング契約している
ISP2の接続ポイントとなるFA21はこの登録要求
を認証要求メッセージ(AMR)()に含めて、自I
SP内のローカルAAAサーバ(AAAF)23を介し
て、ユーザのホームISP3のAAA(AAAH)33
に送出する。
に含まれるNAIでVPNデータベース34を検索し、
このユーザに固有のVPN情報35を抽出する。また、
そのCN−GWアドレス対応表よりVPNデータベース
で通信先として指定されている企業ドメインのアドレス
はVPN動的設定不可であることがわかるので、後述す
るVPN情報キャッシュにFA−HA,HA−企業GW
の2つのVPNを設定する。次に、HAに対してこの2
つのVPNのプロファイルを付加した位置登録要求メッ
セージ(HAR)を送信する()。
して図7〜12にはその動作例を示している。図6にお
いて、AAA33(23も同様)は、図3で示したAA
Aプロトコル制御部301、AAAVPN制御部302
に加えて、アプリケーションサーバ305、ネットワー
クカーネル303、及び物理ネットワークデバイスイン
タフェース304から構成される。AAAプロトコル制
御部302は、AAAプロトコルを制御するAAAプロ
トコル処理部311から構成される。
タベース(図5)より抽出したVPN情報をキャッシュ
するVPN情報キャッシュ312、VPN経路決定制御
部313、鍵生成器315から構成される。図7には、
VPN情報キャッシュ312の一例を示している。VP
N情報キャッシュ312はVPN情報キャッシュインス
タンス1〜nの集まりであり、ユーザがネットワークに
アクセスしている間有効なネットワークで一意なユーザ
に固有な情報を含むセッションIDで検索される。各V
PN情報キャッシュインスタンス1〜nは一意な識別子
であるセッションID、このユーザが設定しているVP
Nの数を示すプロファイル数、各VPNの設定情報を含
むVPN情報プロファイル1〜nで構成される。
Nを一意に識別する識別子であるプロファイル番号、V
PN適用のパケットを特定するための送信元と宛先のI
Pアドレストとそのネットマスク、パケットに設定する
TOS値、IPSecをAH,ESP、カプセル化の
み、のいずれかで設定するかを示すセキュリティタイ
プ、IPSecトンネルモードで参照されるIPSec
トンネルの入口と出口である送信元と宛先のゲートウェ
イアドレス、宛先ゲートウェイが動的なVPN設定が可
能かどうかを示す宛先GW種別、上りと下り方向のセキ
ュリティ関係の識別子であるSPI(Security Paramet
er Index)、ESP暗号鍵、ESP認証鍵で構成され
る。
にCN−GWアドレス対応表314を有しており、図8
にCN−GWアドレス対応表の一例を示している。CN
−GWアドレス対応表は、CNアドレス/ネットマス
ク、GWアドレス、及びGW種別を含むアドレスインス
タンス1〜nから構成され、CNアドレス/ネットマス
ク(企業ドメインアドレス)をキーとして検索される。
ベース34とWEBアプリケーション36から構成され
る。ネットワークカーネル303はIPパケットの回送
とネットワークへの接続点である物理インタフェースを
制御するオペレーティングシステムである。物理ネット
ワークデバイスインタフェース304は物理ネットワー
クデバイスへのインタフェース(ハード制御ドライバ)
であり、通常はLANのNICカードである。
を示している。図9はAAAの全体処理フロー例であっ
て、ネットワークカーネル303が物理ネットワークイ
ンタフェース304からパケットを受信すると、そのポ
ート番号によりAAAシグナリングパケットを選択し、
AAAプロトコル制御部301に受信パケットの情報を
渡す(S100)。図10はAAAプロトコル処理部3
11の処理フロー例である。先ず、受信したAAAプロ
トコルのコマンドコードAVP(属性パラメータ)より
受信メッセージを判定する(S101)。認証要求メッ
セージ(AMR)であればステップS102へ、後述す
る認証応答メッセージ(AMA)であればステップS1
03へ、その他であればステップS104へ処理を分岐
する。
御部302を起動する(S102)。次に、VPNデー
タベース34より抽出したVPN情報又は認証応答メッ
セージ(AMA)をVPN情報キャッシュに設定する
(S103)。そして、CN−GW対応表に従って対応
メッセージを編集、例えば、差別化サービスの設定等を
してから送出する(S104)。AAAH33が送出す
る認証応答メッセージ(AMA)及び位置登録要求メッ
セージ(HAR)にはVPN情報キャッシュを設定した
旨のプロファイルキャッシュAVP(Profile Cache AV
P) を設定する。なお、図11には、図10のステップ
S103におけるメッセージ対応表(送受信メッセージ
とその処理実行主体との関係)を示している。
理フロー例である。AAAVPN制御部302は、始め
にVPNデータベース34を移動端末のNAIで検索し
て対応するVPN情報を読み出す(S105)。次にV
PN経路決定制御部313を起動し(S106)、そし
てVPNデータベース34から読み出したSPI(Secu
rity Parameter Index)がデフォルトSPIであれば処
理を終了し、そうでなければ鍵生成器315で個別の鍵
を生成する(S108)。
処理フロー例である。VPN経路決定制御部313は、
認証要求メッセージ(AMR)の要求元ホストアドレス
からMN1側のVPNGW(FA)21のアドレスを抽
出する(S109)。また、VPNデータベース34か
ら読み出したCNアドレスによりCN−GWアドレス対
応表314を検索してCN52側のVPNGW51のア
ドレスとVPNGW種別を読み出す(S110)。
定可能であればステップS112へ、そうでなければス
テップS113へ処理を分岐する(S111)。本例で
はステップS113の処理を行なうことになる。この場
合、HA31へ通知するVPN情報の送信元GWアドレ
スにHA31のアドレス、宛先GWアドレスにCN−G
Wアドレス対応表314から読み出したGW51のアド
レスを設定する。また、FA21へ通知するVPN情報
の送信元GWアドレスにFA21のアドレス、宛先GW
アドレスにHA31のアドレスを設定して処理を終了す
る(経路をFA−HA−CNに設定)。
能であれば、HA31へ通知するVPN情報の宛先GW
アドレスにFA21のアドレス、送信元GWアドレスに
CN−GWアドレス対応表314から読み出したGW5
1のアドレスを設定する。FA21へ通知するVPN情
報の送信元GWアドレスにFA21のアドレス、宛先G
Wアドレスに同じくCN−GWアドレス対応表より読み
出したGW51のアドレスを設定し終了する(経路をF
A−CN(又はPCN)に設定)。
3から受信した位置登録要求メッセージ(HAR)に付
加されたVPN情報をキャッシュし、さらに指定された
差別化サービスのマッピングを行った後、受信した経路
情報に従ってHA31から企業GW51へのIPSec
トンネル(2)とHA31からFA21へのIPSec
トンネル(3)を設定する。また逆方向トンネルのパケ
ットを復号するための情報を後述するIPSec情報テ
ーブルに設定する。なお、企業側のGW51からHA3
1へのIPSecトンネル(1)は最初の契約設定(S
LA)に基いて既に固定的に張られているため、HA3
1から企業GW51への設定処理は不要である。HA3
1は位置登録処理終了後に位置登録応答メッセージ(H
AA)をAAAH33に返送する()。
ジ(HAA)を受信すると、次にVPN情報キャッシュ
312からFA−HA間のVPNを抽出し(図13のS
113参照)、FA21に対して設定するこのVPNの
プロファイルを付加した認証応答メッセージ(AMA)
をAAAF23へ送信する()。AAAF23はMN
1のローカルドメイン内での移動に対応するためVPN
情報をAAAF23内にキャッシュした後にそれをFA
21に回送する(図10のS101、103、及び10
4参照)。
A)に付加されたVPN情報をキャッシュし、さらに指
定された差別化サービスのマッピングを行った後に、F
A21からHA31へのIPSecトンネル(4)を設
定する。また逆方向トンネルのパケットを復号するため
の情報をIPSec情報テーブルに設定する。最後に、
登録応答メッセージ(Reg Rep)をMN1に返送
する()。その結果、MN1のアクセスポイントから
企業のGW51までのVPNが設定される。なお、企業
が指定していないユーザはIPSecトンネルを介して
パケットが回送されないので、これを利用して不正ユー
ザのアクセスを防ぐことも可能になり、また複数のIS
PとSLAを契約する煩わしさから逃れることができ
る。
詳細機能ブロックを、そして図15〜24にはその動作
例を示している。図14において、FA,HA,PCN
の各ネットワーク装置は、MAプロトコル制御部32
1、MAVPN制御部322、ネットワークカーネル3
23、及び物理ネットワークデバイスインタフェース3
24から構成される。MAプロトコル制御部321は、
AAAプロトコルを制御するAAAプロトコル処理部3
31とモバイルIPを制御するモバイルIPプロトコル
処理部332から構成される。また、MAVPN制御部
322は、AAA又はMIPプロトコルにより通知され
たVPN情報をキャッシュするVPN情報キャッシュ3
33、QoS制御部334、及びトンネル制御部335
から構成される。
説明したのと同様の構成である。QoS制御部334
は、VPN情報キャッシュ333に設定されたTOS値
と、TOS値をマーキングするパケットを識別するため
の送信元アドレス、宛先アドレス及びそれらのネットマ
スクからなるフィルタ情報をネットワークカーネル32
3に設定する。トンネル制御部335は、VPN情報キ
ャッシュ333に設定された宛先のIPアドレストに対
してルートテーブル337の出口デバイスを仮想デバイ
スに書き換える。またIPSec情報テーブル336に
送信元と宛先のIPアドレストとそのネットマスク、セ
キュリティタイプ、送信元と宛先のゲートウェイアドレ
ス、上りと下り方向のセキュリティ関係の識別子である
SPI、ESP暗号鍵、ESP認証鍵を設定する。ネッ
トワークカーネル323から仮想デバイスに出力された
パケットはIPSec情報テーブル335を参照して、
暗号化とカプセル化が実行される。
3の一例を示している。IPSec情報テーブルは、I
PSec情報、ESP情報、トンネル情報で構成され
る。IPSec情報はIPSec情報インスタンスの集
まりであり、送信元アドレスと宛先アドレスの組で特定
される。IPSec情報インスタンスは送信元アドレス
/ネットマスク、宛先アドレス/ネットマスク、パケッ
トの実際の回送先である実宛先アドレス、このパケット
に適用するトンネル情報の識別子、このパケットに適用
するESP情報の識別子から構成される。ESP情報は
ESP情報インスタンスの集まりであり、ESP情報を
一意に識別するESP識別子、暗号化手法、方向、AH
認証鍵長、ESP認証鍵長、ESP暗号鍵長、AH認証
鍵、ESP認証鍵、ESP暗号鍵で構成される。トンネ
ル情報はトンネル情報インスタンスの集まりであり、ト
ンネル情報を一意に識別するトンネル識別子、カプセル
化手法、方向、トンネルの入口と出口になる送信元アド
レスと宛先アドレスから構成される。
ットの回送とネットワークへの接続点である物理インタ
フェースを制御するオペレーティングシステムであり、
IPパケット回送のルートを決定するルーティングテー
ブル337を持つ。ネットワークカーネル323はIP
パケットのカプセル化、パケット編集、パケット送出の
キュー制御等を行うが、これらの機能はオペレーティン
グシステムに依存しており、本発明では言及しない。
例を示す。一般的なルーティングテーブル337は、宛
先アドレス、ゲートウェイアドレス、ネットマスク、メ
トリック、出口インタフェースとその他の制御用補助情
報から構成されており、宛先アドレスとメトリックでル
ートが決定される。本発明はルートテーブルの構成には
依存しないが、出力先に仮想デバイスを設定できるよう
なネットワークカーネルを例に以降の具体的な説明を行
う。又、ネットワークカーネルはカプセル化されたパケ
ットを受信すると、パケットをデカプセル化する機能を
持っており、デカプセル後のパケットがESPヘッダを
含んでいれば、トンネル制御部335で保持しているE
SP情報を参照して暗号化されたパケットをデコードす
る機能を持つ。物理ネットワークデバイスインタフェー
ス324は物理ネットワークデバイスへのインタフェー
ス(ハード制御ドライバ)であり、物理ネットワークデ
バイスは例えばLAN,ISDN,ATM等のパッケー
ジ又はNICカードである。
示している。以下、各処理フロー例を用いて本願発明に
よるMA処理について説明する。図17は、MAの全体
処理フローである。ネットワークカーネル323は物理
ネットワークインタフェース324よりパケットを受信
すると、既に概略を説明したようにデカプセル化及び暗
号化復号を行った後、受信パケットをシグナリングパケ
ットかデータパケットかで切り分ける(S200)。シ
グナリングパケットの選択はMAプロトコル制御部32
1が指定したポート番号でパケットを受信したかどうか
で決定される。シグナリングパケットであればステップ
S201、それ以外であればステップS203へ処理を
分岐する。
コル制御部321へ受信パケットの情報を渡し、AAA
プロトコル処理331及びモバイルIPプロトコル処理
332を行う(S201)。次に、MAVPN制御部3
22を起動してVPN情報の設定を行う(S202)。
ステップS203では、ネットワークカーネルが受信パ
ケットの出力先のインタフェースを、ルーティングテー
ブル337を参照して決定する。ネットワークカーネル
323はカーネル内に予め設定された差別化サービスの
フィルタリング条件に従ってパケットの編集を行う。出
力先が仮想デバイスであればステップS204へ処理を
分岐する。出力先が物理デバイスであれば、そのデバイ
スへパケットを回送する。
322へ回送するパケットの情報を渡し、予め設定され
た情報に基づきトンネル化及び暗号化処理を行う。トン
ネル処理でIPパケットをカプセル化する場合は、オリ
ジナルパケットのTOS情報を引き継ぐ。IPパケット
の編集が終了したパケットは、再度、ネットワークカー
ネル323に戻され、新しく付与されたIPパケットの
宛先に基づいてルーティングテーブル337が参照され
て対応する物理デバイスへパケットの回送が行われる。
処理フロー例である。先ず、受信したパケットのポート
番号を調べ、AAAプロトコルのポート番号であればス
テップS206へ、一方モバイルIPプロトコルであれ
ばステップS207へ処理を分岐する(S205)。ス
テップS206では、AAAプロトコル処理部331を
起動してAAAプロトコルの処理後に(図19参照)、
AAAプロトコルに情報の一部として付加されているモ
バイルIPプロトコルを取り出してステップS207へ
処理を渡す。ステップS207では、モバイルIPプロ
トコル処理部332を起動して処理を終了する。
の処理フロー例である。先ず、受信したAAAプロトコ
ルより、VPN情報を抽出してそれをVPN情報キャッ
シュ333へ設定する。次に、後述のモバイルIPプロ
トコル処理部332が参照するために、キャッシュの設
定及び更新を行った場合に共有メモリ上に更新したこと
を示すフラグを立てる(S208)。AAAプロトコル
の処理後、AAAプロトコルに情報の一部として付加さ
れているモバイルIPプロトコルを取り出す(S20
9)。そして、受信メッセージが位置登録要求メッセー
ジ(HAR)なら位置登録応答メッセージ(HAA)を
送出する(S210及び211)。
32の処理フロー例である。ステップS212では、受
信したモバイルIPプロトコルメッセージのタイプを判
定する。タイプが登録要求であればステップS213
へ、登録応答であればステップS220へ、BU(Bindi
ng Update),BA(Binding Acknowledge) であばステッ
プS218へそれぞれ処理を分岐する。
セージの気付アドレスと移動性結合内の旧気付アドレス
とを比較し、比較結果が異なればステップS214へ処
理を分岐する。比較結果が一致した場合又は登録要求を
受信したMAがFAの場合はステップS217へ処理を
分岐する(S213)。ステップS214では位置登録
メッセージを送出したMNのVPN情報キャッシュイン
スタンスを特定し、VPN情報キャッシュ333の宛先
GWアドレスを気付アドレスで通知されたアドレスに書
き換える。
NのIPアドレスを持たせることや、移動性結合とVP
N情報キャッシュインスタンスのリンクを持たせること
で実現可能である。HAは特定したVPN情報キャッシ
ュインスタンスに設定されている全てのVPN情報プロ
ファイルを検索し、宛先GW種別が動的VPN設定可能
であれば、そのプロファイルの送信元アドレスに対して
VPN情報を設定したBUメッセージを編集して送出す
る(S215)。ステップS216ではMAVPN制御
部322を起動し、図21のメッセージ対応表に示すよ
うに、受信メッセージと処理MAで特定されるメッセー
ジを編集して送出する(S217)。
によりあらかじめ共有メモリに設定されたキャッシュ更
新情報を参照し、更新有りであればステップS216
へ、更新無しであればステップS217へ処理を分岐す
る。
ステップS219へ、BAであればステップS217へ
処理を分岐する。PCNの場合は、PCN配下のCN宛
てのBUメッセージを全て代理受信する。この仕組み
は、例えば特許2000−32372の方式で実現され
る。処理MAがPCNの場合はBUメッセージに設定さ
れたVPN情報をVPN情報キャッシュ333に設定も
しくは置換する。処理MAがFAの場合はVPN情報キ
ャッシュ333の宛先GWアドレスをBUメッセージで
通知された新FAアドレスに変更する(S219)。
フロー例である。ステップS221ではQoS制御部3
34を起動し、次にステップS222でトンネル制御部
335を起動する。図23は、QoS制御部334の処
理フロー例である。先ず、ステップS223でVPN情
報インスタンスの情報を元にネットワークカーネル32
3に設定済みの差別化サービスの情報を削除する。次
に、VPN情報インスタンスのTOS値が0以外であれ
ばステップS225へ処理を分岐し、そうでなければ処
理を終了する(S224)。ステップS225では、V
PN情報インスタンスの情報を元にネットワークカーネ
ルに差別化サービスの情報を設定する(S225)。
である。先ず、VPN情報インスタンスの情報を元にネ
ットワークカーネル323に設定済みのルートテーブル
337の情報とIPSec情報テーブル336の該当す
る情報を削除する(S226)。次に、VPN情報イン
スタンスのVPN情報プロファイルに設定された宛先ア
ドレスの出力先を仮想デバイスに設定し(S227)、
またVPN情報インスタンスのVPN情報プロファイル
を参照して、IPSec情報テーブル336のトンネル
情報インスタンスを設定する(S228)。
タンスのVPN情報プロファイル内セキュリティタイプ
を参照して、ESPかAHが指定されていればステップ
S230へ処理を分岐し、そうでなければ処理を終了す
る。ステップS230では、VPN情報インスタンスの
VPN情報プロファイル内SPIを参照して、SPIが
ユーザ個別であればステップS231へ、デフォルトS
PIであればステップS232へ処理を分岐する。この
デフォルトSPIについては予めMA内に初期構成時や
MAのローカルな保守コンソールから設定されているも
のとする。ステップS231では、VPN情報インスタ
ンスのVPN情報プロファイルのSPIと関連する鍵情
報をESP情報インスタンスに設定する。また、ステッ
プS232では、IPSec情報インスタンスにESP
識別子を設定する。
とに、本願発明動作の理解をより一層深めるために、先
に説明した第1の実施例とは別の本発明の種々の実施態
様例について説明する。図25は、本発明の第2の実施
例を示したものである。本例は、同一ドメイン内移動時
のVPN設定例(静的HA−CN間VPN存在時)を示
している。ここでは、先の実施例1でローミング契約I
SP2のFA21から企業ドメインのGW51にVPN
が設定された後、ユーザのMN1が同一ローミング契約
ISP2の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
メイン2内でFA21から新FA21’へ移動すると、
モバイルIP経路最適化ドラフト(draft-ietf-mobilei
p-optim-09)に規定されているように、旧FA21のア
ドレスを含めた登録要求メッセージ(Reg Req)
を送出する()。新FA21’はこの登録要求を認証
要求メッセージ(AMR)に含めて()、自ISP2
内のローカルAAAサーバ(AAAF)23に送出す
る。AAAF23は、認証要求メッセージ(AMR)に
旧FA21の情報が含まれている場合、VPN情報キャ
ッシュからFA−HAのVPNを抽出してFA21のア
ドレスを新FA21’のアドレスに置換した後、FAに
設定するこのVPNのプロファイルを付加した認証応答
メッセージ(AMA)を新FA21’へ返送する
()。
要求メッセージ(Reg Req)をHA31に回送す
る()。HA31はVPN情報キャッシュのうち、H
AからFAへのVPNプロファイルを特定し、FAのア
ドレスを新FA21’に書き換える。次に、旧FA21
へのIPSecトンネルを削除し、新FA21’へ新た
なIPSecトンネル(1)を設定する。そして、位置
登録処理終了後、登録応答メッセージ(Reg Re
p)をFA21’に返送する()。
照して指定された差別化サービスのマッピングを行った
後、FA21’からHA31へのIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。さらに、VPN情報キャッシュを複写して送信元G
Wアドレスを旧FA21、宛先GWアドレスを新FA2
1’に書き換えた後に、このVPN情報をBUメッセー
ジに付加して旧FA21に送信する()。
VPN情報をキャッシュし、FA21からHA31への
IPSecトンネルを削除し、指定された差別化サービ
スのマッピングを行った後、旧FA21から新FA2
1’へスムースハンドオフ時のIPSecトンネル
(3)を設定する。その結果、HA31が新たなIPS
ecトンネル(1)への切り替え前にMN1宛に旧FA
21で受信したパケットは全てこのIPSecトンネル
(3)を介して新FA21’へ回送される。旧FA21
はIPSecトンネル(3)の設定完了後にBAメッセ
ージをMNに返送する()。これにより、新FA2
1’は登録応答メッセージ(Reg Rep)をMN1
に返送する()。
ものである。本実施例は、異なる管理ドメイン間移動時
のVPN設定例(静的HA−CN間VPN存在時)を示
しており、ここでは、実施例1でローミング契約ISP
2のFA21から企業ドメインのGW51にVPNが設
定された後、ユーザのMN1が異なるローミング契約I
SP2’の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
管理ドメイン2−2’間を移動すると、DIAMETE
RモバイルIP拡張ドラフト(draft-ietf-calhoun-dia
meter-mobileip-08)に規定されているように、通常の初
回位置登録と同じ手順で、登録要求(Reg Req)
を送出する()。移動先のFA21’はこの登録要求
を認証要求メッセージ(AMR)に含め()、自IS
P内のローカルAAAサーバ(AAAF)22’を介し
て、ユーザのホームISPのAAA(AAAH)33に
送出する。
FA−HA,HA−企業GWの2つのVPNが設定済な
ので、FA−HAに関するVPNのFAを新FA21’
のアドレスに書き換える。次に、HA31にこの2つの
VPNのプロファイルを付加した位置登録要求メッセー
ジ(HAR)を送信する()。HA31は、位置登録
要求メッセージ(HAR)に付加されたVPN情報でキ
ャッシュを更新し、HA31から旧FA21へのIPS
ecトンネルを削除後、新FA21’への新たなIPS
ecトンネル(1)を設定する。そして、位置登録処理
終了後、位置登録応答メッセージ(HAA)をAAAH
に返す()。この時、旧FA21のアドレスの情報を
付加情報として返す。
(HAA)を受信すると、VPN情報キャッシュからF
A−HAのVPNを抽出し、FAに設定するこのVPN
のプロファイルを付加した認証応答メッセージ(AM
A)をAAAF23’へ送信する()。AAAF2
3’はMN1のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、それ
をFA21’に回送する。FA21’は、認証応答メッ
セージ(AMA)に付加されたVPN情報をキャッシュ
し、指定された差別化サービスのマッピングを行った後
にFA21’からHA31へのIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。
旧FAのアドレスが含まれている場合はVPN情報キャ
ッシュを複写し、送信元GWアドレスを旧FA21、宛
先GWアドレスを新FA21’に書き換えた後にこのV
PN情報をBUメッセージに付加して旧FA21に送信
する()。旧FA21はBUメッセージに付加された
VPN情報をキャッシュし、FAからHAへのIPSe
cトンネルを削除し、指定された差別化サービスのマッ
ピングを行った後にこのFA21から新FA21’へハ
ンドオフ時のIPSecトンネル(3)を設定する。
(1)への切り替え前にMN1宛に旧FA21が受信し
たパケットは全てこのIPSecトンネル(3)を介し
て新FA21’へ回送される。FA21はIPSecト
ンネル(3)の設定完了後にBAメッセージを新FA2
1’に返す()。これにより、FA21’は登録応答
メッセージ(Reg Rep)をMN1に返送する
()。上述した実施例2及び3によれば、企業とIS
Pを介して通信を行うユーザは、企業のGW装置に特殊
な機能を持つことなく、ISPが提供するモバイル対応
VPNのサービスを享受する事が可能となる。
ものである。本実施例は、初期位置登録時のVPN設定
例(PCN存在時)を示しており、ここでは通信先のロ
ーミング契約ISPが動的にVPN設定可能なVPN
GW(PCN)を配備している場合のVPN設定例を図
式的に示している。動的にVPN設定可能なVPNGW
を持つISPはISP間でローミング契約を結ぶとき
に、各々のプロバイダのCN−GW対応表にISPのド
メインアドレスとGW装置アドレスを登録し、GW種別
にVPN動的設定可を設定する。
ープのいずれかのISPに加入しているユーザは最寄り
のアクセスポイントに接続し、そのMN1よりモバイル
IPの位置登録要求(Reg Req)を送出する
()。FA21はこの登録要求を認証要求メッセージ
(AMR)に含めて自ISP内のローカルAAAサーバ
(AAAF)23を介して、ユーザのホームISPのA
AA(AAAH)33に送出する()。
MR)に含まれたNAIでVPNデータベース34を検
索し、このユーザに固有のVPN情報を抽出する。VP
Nデータベース34にユーザ通信先として指定している
アドレスがローミング契約ISP4内であれば、CN−
GWアドレス対応表からVPN動的設定可であることが
わかるので、VPN情報キャッシュにFA−通信先IS
P4のGW(PCN)41のVPNを設定する。HA3
1にこのVPNのプロファイルを付加した位置登録要求
メッセージ(HAR)を送信する()。HA31は位
置登録要求メッセージ(HAR)に付加されたVPN情
報をキャッシュする。そして、位置登録処理終了後、V
PN情報に設定された通信先GW41のGW種別を参照
し、VPN動的設定可であるので、通信先端末CN42
宛てにこのVPN情報を付加したMIP結合更新メッセ
ージBUを送出する()。
BUを代理受信し、BUに付加されたVPN情報をキャ
ッシュする。通知されたVPN情報に従い差別化サービ
スのマッピングを行った後、PCN41からFA21へ
IPSecトンネル(1)を設定する。その後、MIP
結合承認メッセージBAをHA31に送出する()。
HA31はBAを受信すると位置登録応答メッセージ
(HAA)をAAAH33に返す()。AAAH33
は位置登録応答メッセージ(HAA)を受信すると、V
PN情報キャッシュからFA−通信先ISP4のGW
(PCN)のVPNを抽出し、FA21に設定するこの
VPNのプロファイルを付加した認証応答メッセージ
(AMA)をAAAF23へ送信する()。AAAF
23はMN1 のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、FA
21に回送する。
に付加されたVPN情報をキャッシュし、指定された差
別化サービスのマッピングを行った後、FA21からP
CN41へIPSecトンネル(2)を設定する。また
逆方向トンネルのパケットを復号するための情報をIP
Sec情報テーブルに設定する。その後、登録応答メッ
セージ(Reg Rep)をMNに返す()。これに
より、ローミング契約をしたISPグループ内であれ
ば、ユーザは任意の通信先とVPN通信をすることでき
る。
ものである。本実施例は、同一ドメイン内移動時のVP
N設定例(PCN存在時)を示しており、ここでは実施
例4でローミング契約ISP2のFA21から任意のロ
ーミング契約ISP4のPCN41にVPNが設定され
た後、ユーザのMN1が同一ローミング契約ISP2の
別のFA21’に移動した場合に、どのようにVPNが
再構築されるかを図式的に示している。
メイン2内でFA21からFA21’へ移動すると、モ
バイルIP経路最適化ドラフト(draft-ietf-mobileip-
optim-09)に規定されているように、登録要求メッセー
ジ(Reg Req)には旧FA21のアドレスを含め
て送出する()。新FA21’はこの登録要求を認証
要求メッセージ(AMR)に含めて自ISP内のローカ
ルAAAサーバ(AAAF)23に送出する()。A
AAF23は、認証要求メッセージ(AMR)に旧FA
21の情報が含まれている場合、VPN情報キャッシュ
からFA−PCNのVPNを抽出し、FAのアドレスを
新FA21’のアドレスに置換した後、FAに設定する
このVPNのプロファイルを付加した認証応答メッセー
ジ(AMA)を新FA21’へ送信する()。
要求メッセージ(Reg Req)をHA31に回送す
る()。HA31はVPN情報キャッシュのうち、こ
のMN1が利用しているVPNのVPNプロファイルを
特定し、FAのアドレスを新FA21’に書き換える。
本実施例の場合、既にVPNはFA21とPCN41と
の間に直接設定されているため、その旨をPCN41へ
BUメッセージで通知する()。なお、BUメッセー
ジを送出するか否かはVPN情報キャッシュの通信先G
Wの種別が動的VPN設定可であるかどうかで判定す
る。
1へのIPSecトンネルを削除し、それに代えて新F
A21’へのIPSecトンネル(1)を設定する。そ
の後、BAメッセージをHA31に送信する()。H
A31はBAメッセージの受信により登録応答メッセー
ジ(Reg Rep)を新FA21’に送信する
()。新FA21’はVPN情報キャッシュを参照し
て、指定された差別化サービスのマッピングを行った
後、新FA21’からPCN41へIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。更にVPN情報キャッシュを複写し、送信元GWア
ドレスを旧FA21、宛先GWアドレスを新FA21’
に書き換えた後、このVPN情報をBUメッセージに付
加して旧FA21に送信する()。
VPN情報をキャッシュし、旧FA21からPCN41
へのIPSecトンネルを削除し、指定された差別化サ
ービスのマッピングを行った後に旧FA21から新FA
21’へスムースハンドオフ時のIPSecトンネル
(3)を設定する。旧FA21がIPSecトンネルへ
の切り替え前にPCN41からMN1宛に受信したパケ
ットは全てこのIPSecトンネル(3)を介して新F
A21へ回送される。FA21は、IPSecトンネル
設定完了後にBAメッセージを返送する()。新FA
21’は登録応答メッセージ(Reg Rep)をMN
1に返送する(’) 。
ものである。本実施例は、異なる管理ドメイン間移動時
のVPN設定例(PCN存在時)を示しており、ここで
は実施例4でローミング契約ISP2のFA21から任
意のローミング契約ISP4のPCN41にVPNが設
定された後、ユーザのMN1が異なるローミング契約I
SP2’の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
管理ドメイン間2−2’を移動すると、DIAMETE
RモバイルIP拡張ドラフト(draft-ietf-calhoun-dia
meter-mobileip-08)に規定されているように、通常の初
回位置登録と同じ手順で登録要求メッセージ(Reg
Req)を送出する()。FA21’はこの登録要求
を認証要求メッセージ(AMR)に含めて自ISP内の
ローカルAAAサーバ(AAAF)23’を介して、ユ
ーザのホームISPのAAA(AAAH)33に送出す
る()。AAAH33は、VPN情報キャッシュにF
A21−PCN41のVPNが設定済なので、このFA
21のアドレスを新FA21’のアドレスに書き換え
る。そして、HA31にはこのVPNのプロファイルを
付加した位置登録要求メッセージ(HAR)を送信する
()。
AR)に付加されたVPN情報でキャッシュを更新し、
BUメッセージをPCN41へ送出する()。PCN
41はBUメッセージを受信すると、旧FA21へのI
PSecトンネルを削除し、新FA21’へIPSec
トンネル(1)を設定する。その後、BAメッセージを
HA31に送信する()。HA31はBAメッセージ
を受信すると位置登録応答メッセージ(HAA)をAA
AH33に返送する()。この時、旧FA21のアド
レスの情報を付加情報として返す。
(HAA)を受信すると、VPN情報キャッシュからF
A−PCNのVPNを抽出し、FAに設定するこのVP
Nのプロファイルを付加した認証応答メッセージ(AM
A)をAAAF23’へ送信する()。AAAF2
3’はMN1のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、それ
を新FA21’に回送する。新FA21’は認証応答メ
ッセージ(AMA)に付加されたVPN情報をキャッシ
ュし、指定された差別化サービスのマッピングを行った
後、新FA21’からPCN41へのIPSecトンネ
ル(2)を設定する。また逆方向トンネルのパケットを
復号するための情報をIPSec情報テーブルに設定す
る。
A)に旧FA21のアドレスが含まれている場合は、V
PN情報キャッシュを複写し、送信元GWアドレスを旧
FA21、宛先GWアドレスを新FA21’に書き換え
た後、このVPN情報をBUメッセージに付加して旧F
A21に送信する()。旧FA21はBUメッセージ
に付加されたVPN情報をキャッシュし、旧FA21か
らPCN41へのIPSecトンネルを削除し、指定さ
れた差別化サービスのマッピングを行った後、このFA
21から新FA21’へスムーズハンドオフ時のIPS
ecトンネル(3)を設定する。
宛にPCN41から受信したパケットは全てこのIPS
ecトンネルを介して新FA21’へ回送される。旧F
A21はIPSecトンネル(3)の設定完了後にBA
メッセージをMNに返す()。それにより、新FA2
1’は登録応答メッセージ(Reg Rep)をMN1
に返送する(’)。実施例5及び6に示すように、本
発明によればローミング契約ISPグループに加入して
いるユーザはグループ内の任意の通信先とVPNを設定
でき、またVPNを保持したままでグループ内を自由に
移動することができる。
ものである。本実施例はユーザ指定の任意の端末間での
VPN設定例を示しており、これまではユーザが指定し
た特定の通信先に対してVPNを設定する例を示した
が、ユーザがVPNを設定する通信先を動的に設定する
こともできる。この実施例では、ユーザが契約時に指定
していた通信先以外の通信先にVPNを設定する例を示
す。
ザのホームISP3が提供するVPNサービスカスタマ
イズ用のホームページにアクセスする。ユーザは、この
ホームページを介して、通信先のアドレスを設定する。
このホームページと連動したWEBアプリ36はVPN
データベース34の該ユーザのVPN情報をユーザが指
定した情報に変更する()。ユーザのMN1はカスタ
マイズが終了すると、サービス更新要求を付加した位置
登録要求メッセージ(Reg Req)を現在接続して
いるFA21へ送出する()。FA21はサービス更
新要求が付加された登録要求を受信すると、この登録要
求を認証要求メッセージ(AMR)に含めて自ISP内
のローカルAAAサーバ(AAAF)23を介して、ユ
ーザのホームISPのAAA(AAAH)33に送出す
る()。
既に存在するか否かに関係なくサービス更新要求が付加
されたメッセージを受信すると、認証要求メッセージ
(AMR)に含まれたNAIでVPNデータベース34
を検索し、このユーザに固有のVPN情報を抽出する。
VPNデータベース34にユーザ通信先として指定して
いるアドレスがローミング契約ISP内であれば、CN
−GWアドレス対応表からVPN動的設定可であること
がわかるので、本例ではVPN情報キャッシュにFA2
1−通信先ISPのGW(PCN)41’のVPNを設
定する。HA31にこのVPNのプロファイルを付加し
た位置登録要求メッセージ(HAR)を送信する
()。
AR)に付加されたVPN情報をキャッシュする。位置
登録処理終了後、VPN情報に設定された通信先GW4
1’のGW種別を参照し、VPN動的設定可であるので
通信先端末CN42’宛てにこのVPN情報を付加した
MIP結合更新メッセージBUを送出する()。P
CN41’はCN42’宛てに送出されたBUを代理受
信し、BUメッセージに付加されたVPN情報をキャッ
シュする。通知されたVPN情報に従い差別化サービス
のマッピングを行った後、PCN41’からFA21へ
のIPSecトンネル(1)を設定する。その後、MI
P結合承認メッセージBAをHA31に返送する。
置登録応答メッセージ(HAA)をAAAH33に返す
()。AAAH33は位置登録応答メッセージ(HA
A)を受信すると、VPN情報キャッシュからFA21
−通信先ISPのGW(PCN)41’のVPNを抽出
し、FA21に設定するこのVPNのプロファイルを付
加した認証応答メッセージ(AMA)をAAAF23へ
送信する()。AAAF23はMN1のローカルドメ
イン内での移動に対応するためVPN情報をAAAF内
にキャッシュした後、それをFA21に回送する。
に付加されたVPN情報をキャッシュし、指定された差
別化サービスのマッピングを行った後、FA21からP
CN41’へのIPSecトンネル(2)を設定する。
また逆方向トンネルのパケットを復号するための情報を
IPSec情報テーブルに設定する。その後、登録応答
メッセージ(Reg Rep)をMNに返す()。V
PN変更前に設定されていたVPNが存在していれば、
VPN情報を保持しているPCN41はライフタイムの
残り時間が閾値以下になった時、このVPN情報を通知
してきたHA31へ結合要求メッセージBRを送出して
VPNを削除して良いか尋ねる(’)。
それに設定されたMN1の情報からVPN情報キャッシ
ュを検索し、このPCN41に関するVPNがまだキャ
ッシュされているか調べる。キャッシュされていればB
UメッセージをPCN41へ送出する。キャッシュされ
ていなければ何も送らない。本例ではPCN41はライ
フタイム満了までにBUが受信されないため既存のVP
Nを削除する。このように、ユーザが動的にVPN設定
先を指定することもできる。本実施例では、単純にWE
Bを介してVPN設定先を指定する例を示したが、本発
明の本質は、モバイル環境での指定された設定先へのV
PN情報の配布とその設定・解放手段であり、通信先の
指定方法とそれに伴うVPNデータベース34への反映
手段は様々なものが可能である。例えば、携帯電話によ
る通信先とVPNコードのダイヤルや、通信先サーバか
らの1クリックVPN設定等の応用例が考えられる。
けるVPNシステムは、移動端末と、ユーザのホームネ
ットワークに設けられたホーム認証サーバとそれ以外の
外部ネットワークに設けられた外部認証サーバと、ホー
ムネットワークに設けられたVPNデータベースと、ホ
ームネットワーク、外部ネットワーク、及び所定の通信
ホスト及び/又はその代理サーバの各ゲートウェイ機能
を有するネットワーク装置と、で構成され、ホーム認証
サーバは、移動端末からの位置登録要求時に認証を要求
したユーザのVPN情報をVPNデータベースから抽出
し、そのVPN情報を所定の位置登録メッセージ及び認
証応答メッセージを用いて各ネットワーク装置に通知
し、各ネットワーク装置は、通知されたVPN情報を基
にホームネットワーク装置と外部ネットワーク装置間、
ホームネットワーク装置と所定のネットワーク装置間、
及び/又は外部ネットワーク装置と所定のネットワーク
装置間にそれぞれIPSecによるVPNパスを設定す
る、ことを特徴とするVPNシステム。 (付記2)認証サーバ及びネットワーク装置は、移動端
末の移動による位置登録要求と連動して認証サーバ及び
ネットワーク装置にキャッシュされたVPN情報を新経
路情報に更新するか、又はモバイルIPで通知される位
置情報で書き換えることにより、ホームネットワーク装
置と外部ネットワーク装置間、ホームネットワーク装置
と所定のネットワーク装置間、及び/又は外部ネットワ
ーク装置と所定のネットワーク装置間の各VPNパスを
新たなIPSecによるVPNパスに自動更新する、付
記1記載のシステム。 (付記3)さらに、外部認証サーバと外部ネットワーク
装置間の所定の結合更新/承認メッセージにより、それ
らの間のスムースハンドオフ時にIPSecによるVP
Nパスを設定する、付記2記載のシステム。 (付記4)VPNデータベースは、ユーザが所望するサ
ービス品質、セキュリティゲートウェイ間のセキュリテ
ィ・サービス情報、及びVPNを設定する通信先ホスト
のIPアドレス群からなるユーザ単位のVPN情報を格
納する、付記1記載のシステム。 (付記5)ホーム認証サーバは、前記VPNデータベー
スのVPN情報と、自身が保有すると通信先ホストを収
容する所定のネットワーク装置との対応表を用い、所定
の認証要求メッセージに設定された移動端末が接続した
外部ネットワーク装置の情報と移動端末のホームネット
ワーク装置の情報からVPN設定経路を特定するAAA
VPN制御部と、各ネットワーク装置間のサービス品質
とセキュリティ情報をサービスプロファイルとして、ア
クセスネットワークへの所定の認証応答メッセージ及び
ホームネットワークへの位置登録メッセージに設定する
AAAプロトコル処理部と、を有する付記1記載の装
置。 (付記6)各ネットワーク装置は、キャッシュによりV
PN情報が設定されたサービスプロファイルに関連する
プロトコル群を制御するMAプロトコル処理部と、その
サービスプロファイルに従ってサービス品質を保証する
QoS制御とセキュリティゲートウェイ間のセキュリテ
ィを保証するためのトンネルを設定するMAVPN制御
部と、を有する付記1記載の装置。 (付記7)MAプロトコル処理部は、さらに配下のモバ
イルIPをサポートしない通信ホストに代わってホーム
ネットワーク装置からの通信ホストへの結合更新メッセ
ージを代理受信し、結合更新で通知されたVPN情報が
設定されたサービスプロファイルを基に通信ホスト代わ
って他のネットワーク装置へのIPSecトンネルによ
るVPNパスを設定するプロトコル処理を実行する、付
記6記載のシステム。 (付記8)モバイルIPネットワークにおけるVPNの
設定方法は、 − ユーザのネットワーク装置からそのホームエージェ
ントに向けて静的なIPSecトンネルによるVPNパ
スを設定すること、 − ユーザの移動端末から外部エージェントに位置登録
要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
む認証要求メッセージを、自身のローカル認証サーバを
介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
より自身のデータベースを参照して通信先ホスト、ネッ
トワーク装置種別、及びユーザ別のセキュリティ・サー
ビス情報を抽出して外部−ホームエージェント間及びユ
ーザのネットワーク装置−ホームエージェント間のVP
N情報をキャッシュし、それらを含む位置登録要求メッ
セージをホームエージェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
セージをキャッシュし、指定されたセキュリティ・サー
ビスを設定し、ホームエージェントから通信先ホストで
あるユーザのネットワーク装置及び外部エージェントに
向けたIPSecトンネルによるVPNパスを設定し、
位置登録処理の終了後に位置登録応答メッセージをホー
ム認証サーバに送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部−ホームエージェン
ト間のVPN情報を付加した認証応答メッセージを外部
エージェントのローカル認証サーバに送信すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをそのホーム−外部エージェント間のVPN情報をキ
ャッシュしてから外部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
に含まれるVPN情報をキャッシュし、指定されたセキ
ュリティ・サービスを設定し、外部エージェントからホ
ームエージェントに向けたIPSecトンネルによるV
PNパスを設定した後、ユーザの移動端末へ位置登録応
答メッセージを返送すること、から成ることを特徴とす
るVPNの設定方法。 (付記9)さらに、 − ユーザの移動端末が同一ネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、ローカル認証サーバへ送信
すること、 − ローカル認証サーバは、キャッシュしてある外部−
ホームエージェント間のVPN情報の外部エージェント
情報を新外部エージェントの情報に書き換え、その情報
を含む認証応答メッセージを新外部エージェントに送信
すること、 − 新外部エージェントは、受信した位置登録要求メッ
セージをホームエージェントへ回送すること、 − ホームエージェントは、受信した位置登録要求情報
よりキャッシュしてある外部−ホームエージェント間の
VPN情報の外部エージェント情報を新外部エージェン
トの情報に書き換え、ホームエージェントから旧外部エ
ージェントに向けたVPNパスを削除し、指定されたセ
キュリティ・サービスを設定したホームエージェントか
ら新外部エージェントに向けたIPSecトンネルによ
るVPNパスを設定し、位置登録処理の終了後に位置登
録応答メッセージを新外部エージェントに送信するこ
と、 − 新外部エージェントは、受信した位置登録応答メッ
セージに含まれるVPN情報をキャッシュし、指定され
たセキュリティ・サービスを設定し、新外部エージェン
トからホームエージェントに向けたIPSecトンネル
によるVPNパスを設定した後、ユーザの移動端末へ位
置登録応答メッセージを返送すること、を含む付記8記
載の方法。 (付記10)さらに、 − ユーザの移動端末が別のネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、自身のローカル認証サーバ
を介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
よりキャッシュしてある外部−ホームエージェント間の
VPN情報の外部エージェント情報を新外部エージェン
トの情報に書き換え、その情報を含む位置登録要求メッ
セージをホームエージェントに送信すること、 − ホームエージェントは、受信した位置登録要求情報
によりキャッシュしてあるVPN情報を更新し、ホーム
エージェントから旧外部エージェントに向けたVPNパ
スを削除し、指定されたセキュリティ・サービスを設定
したホームエージェントから新外部エージェントに向け
たIPSecトンネルによるVPNパスを設定し、位置
登録処理の終了後に位置登録応答メッセージをホーム認
証サーバに送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部−ホームエージェン
ト間のVPN情報を付加した認証応答メッセージを新外
部エージェントのローカル認証サーバに送信すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをキャッシュしてあるVPN情報を更新してから新外
部エージェントへ回送すること、 − 新外部エージェントは、受信した認証応答メッセー
ジに含まれるVPN情報をキャッシュし、指定されたセ
キュリティ・サービスを設定し、及び新外部エージェン
トからホームエージェントに向けたIPSecトンネル
によるVPNパスを設定した後、ユーザの移動端末へ位
置登録応答メッセージを返送すること、を含む付記8記
載の方法。 (付記11)モバイルIPネットワークにおけるVPN
の設定方法は、 − ユーザの移動端末から外部エージェントに位置登録
要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
む認証要求メッセージを、自身のローカル認証サーバを
介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
より自身のデータベースを参照して通信先ホスト、ネッ
トワーク装置種別、及びユーザ別のセキュリティ・サー
ビス情報を抽出し、ネットワーク装置種別がVPN動的
設定可である場合はVPNキャッシュに外部エージェン
ト−通信先ネットワーク装置のVPNを設定して、それ
らの情報を含む位置登録要求メッセージをホームエージ
ェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
セージをキャッシュし、位置登録処理の終了後にネット
ワーク装置種別がVPN動的設定可である場合は通信先
ホスト宛にこのVPN情報を付加した結合更新メッセー
ジを送出すること、 − ネットワーク装置は結合更新メッセージを代理受信
し、それに付加されたVPN情報をキャッシュし、指定
されたセキュリティ・サービスを設定し、ネットワーク
装置から外部エージェントに向けたIPSecトンネル
によるVPNパスを設定し、その後に結合承認メッセー
ジをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージをホーム認証サーバへ
送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部エージェント−ネッ
トワーク装置間のVPN情報を付加した認証応答メッセ
ージを外部エージェントのローカル認証サーバに送信す
ること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをその付加されたVPN情報をキャッシュしてから外
部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
に含まれるVPN情報をキャッシュし、指定されたセキ
ュリティ・サービスを設定し、外部エージェントからネ
ットワーク装置に向けたIPSecトンネルによるVP
Nパスを設定した後、ユーザの移動端末へ位置登録応答
メッセージを返送すること、から成ることを特徴とする
VPNの設定方法。 (付記12)さらに、 − ユーザの移動端末が同一ネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、ローカル認証サーバへ送信
すること、 − ローカル認証サーバは、キャッシュしてある外部エ
ージェント−ネットワーク装置間のVPN情報の外部エ
ージェント情報を新外部エージェントの情報に書き換
え、その情報を含む認証応答メッセージを新外部エージ
ェントに送信すること、 − 新外部エージェントは、受信した位置登録要求メッ
セージをホームエージェントへ回送すること、 − ホームエージェントは、受信した位置登録要求情報
よりキャッシュしてある外部エージェント−ネットワー
ク装置間のVPN情報の外部エージェント情報を新外部
エージェントの情報に書き換え、ネットワーク装置種別
がVPN動的設定可である場合は通信先ホスト宛にこの
VPN情報を付加した結合更新メッセージを送出するこ
と、 − ネットワーク装置は受信した結合更新メッセージよ
りキャッシュしてあるVPN情報を更新し、ネットワー
ク装置から旧外部エージェントに向けたVPNパスを削
除し、指定されたセキュリティ・サービスを設定したネ
ットワーク装置から新外部エージェントに向けたIPS
ecトンネルによるVPNパスを設定し、その後に結合
承認メッセージをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージを新外部エージェント
へ送信すること、 − 新外部エージェントは、受信した位置登録応答メッ
セージに含まれるVPN情報をキャッシュし、指定され
たセキュリティ・サービスを設定し、新外部エージェン
トからネットワーク装置に向けたIPSecトンネルに
よるVPNパスを設定した後、ユーザの移動端末へ位置
登録応答メッセージを返送すること、を含む付記11記
載の方法。 (付記13)さらに、 − ユーザの移動端末が別のネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、自身のローカル認証サーバ
を介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
よりキャッシュしてある外部エージェント−ネットワー
ク装置間のVPN情報の外部エージェント情報を新外部
エージェントの情報に書き換え、その情報を含む位置登
録要求メッセージをホームエージェントに送信するこ
と、 − ホームエージェントは、受信した位置登録要求情報
によりキャッシュしてあるVPN情報を更新し、ネット
ワーク装置種別がVPN動的設定可である場合は通信先
ホスト宛にこのVPN情報を付加した結合更新メッセー
ジを送出すること、 − ネットワーク装置は受信した結合更新メッセージよ
りキャッシュしてあるVPN情報を更新し、ネットワー
ク装置から旧外部エージェントに向けたVPNパスを削
除し、指定されたセキュリティ・サービスを設定したネ
ットワーク装置から新外部エージェントに向けたIPS
ecトンネルによるVPNパスを設定し、その後に結合
承認メッセージをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージをホーム認証サーバへ
送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部エージェント−ネッ
トワーク装置間のVPN情報を付加した認証応答メッセ
ージを新外部エージェントのローカル認証サーバに送信
すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをその付加されたVPN情報をキャッシュしてから新
外部エージェントへ回送すること、 − 新外部エージェントは、受信した認証応答メッセー
ジに含まれるVPN情報をキャッシュし、指定されたセ
キュリティ・サービスを設定し、新外部エージェントか
らネットワーク装置に向けたIPSecトンネルによる
VPNパスを設定した後、ユーザの移動端末へ登録応答
メッセージを返送すること、を含む付記11記載の方
法。 (付記14)さらに、 − 新外部エージェントは、キャッシュしてあるVPN
情報を複写して、送信元を旧外部エージェント及び送信
先を新外部エージェントに書き換えたVPN情報を付加
した結合更新メッセージを旧外部エージェントへ送信す
ること、 − 旧外部エージェントは、受信した結合更新メッセー
ジのVPN情報をキャッシュし、旧外部エージェントか
らホームエージェントに向けたVPNパスを削除し、指
定されたセキュリティ・サービスを設定した旧外部エー
ジェントから新外部エージェントに向けたIPSecト
ンネルによるVPNパスを設定した後、新外部エージェ
ントへ結合承認メッセージを送信すること、を含む付記
9又は12記載の方法。 (付記15)さらに、 − 新外部エージェントは、認証応答メッセージに旧外
部エージェントの情報が含まれている時は、キャッシュ
してあるVPN情報を複写して、送信元を旧外部エージ
ェント及び送信先を新外部エージェントに書き換えたV
PN情報を付加した結合更新メッセージを旧外部エージ
ェントへ送信すること、 − 旧外部エージェントは、受信した結合更新メッセー
ジのVPN情報をキャッシュし、旧外部エージェントか
らホームエージェントに向けたVPNパスを削除し、指
定されたセキュリティ・サービスを設定した旧外部エー
ジェントから新外部エージェントに向けたIPSecト
ンネルによるVPNパスを設定した後、新外部エージェ
ントへ結合確認メッセージを送信すること、を含む付記
10又は13記載の方法。 (付記16)さらに、 − ユーザが所定の通信手段によりそのホーム認証サー
バのデータベースへアクセスしてユーザのVPN情報を
カスタマイズし、それによりネットワーク装置種別がV
PN動的設定可であるネットワーク装置に通信先を変更
すること、 − ユーザの移動端末から外部エージェントにサービス
更新要求を付加した位置登録要求メッセージを送信する
こと、を含む付記11記載の方法。 (付記17)さらに、 − ネットワーク装置は配下の通信ホストのライフタイ
ムを計測し、残りのライフタイムが所定閾値以下になっ
た時にそのVPN情報を通知してきたホームエージェン
トに結合要求メッセージを送信し、結合更新メッセージ
を受信しない場合には前記VPN情報を削除すること、 − ホームエージェントは受信した結合要求メッセージ
に含まれるユーザの移動端末の情報からキャッシュして
あるVPN情報を検索し、前記ネットワーク装置の情報
が存在する場合は結合更新メッセージを送信し、存在し
ない場合には放置すること、を含む付記16記載の方
法。
下に示す効果が奏される。 1)モバイルIPにおける位置登録手順に連携して、通
信に関与する端末の公衆IPネットワークへのセキュリ
ティゲートウェイに動的にIPSecを用いたVPNを
設定する事で、MNやCNにVPN用の特殊な機能を持
たせる事無しに、任意の端末間でのVPN設定サービス
の提供を可能にする。 2)ユーザが自由に組み合わせて指定したサービス品
質、セキュリティレベル、経路でのVPN設定を可能に
する。 3)MNの移動に伴い、VPNの経路を自動更新するこ
とを可能にする。
用例を示した図である。
図である。
る。
る。
ある。
る。
した図である。
る。
図である。
た図である。
ック例を示した図である。
である。
た図である。
した図である。
例を示した図である。
る。
である。
る。
ある。
Claims (10)
- 【請求項1】 IPネットワーク上で端末がネットワー
ク間を移動したときに、IPアドレスの管理と移動先へ
の通信パケットの転送を自動化したプロトコルを用いた
ネットワークのホームネットワークに設けられるサーバ
装置において、 前記端末と関連つけて、IPネットワーク内に安全な通
信路を構築するための情報を記憶する記憶手段と、 移動先の外部ネットワーク内の前記端末と、前記端末と
通信を行う相手先端末との間に安全な通信路を構築でき
るように前記情報を分配する分配手段とを設けたことを
特徴とするサーバ装置。 - 【請求項2】 前記分配手段は、相手先端末のある外部
ネットワークのルータへ前記情報を転送することを特徴
とする請求項1に記載のサーバ装置。 - 【請求項3】 前記安全な通信経路は仮想プライベート
・ネットワークで実現される通信路であり、前記情報は
前記仮想プライベート・ネットワークとしての設定経路
情報とセキュリティ情報を含む情報であることを特徴と
する請求項1に記載のサーバ装置。 - 【請求項4】 前記分配手段は、前記端末からの位置登
録要求メッセージに対する認証応答メッセージ送出時
に、前記情報を分配することを特徴とする請求項1に記
載のサーバ装置。 - 【請求項5】 前記分配手段は、通信先となる相手先端
末からの通信パケットを受け取った後に、前記情報を分
配することを特徴とする請求項1に記載のサーバ装置。 - 【請求項6】 モバイルIPネットワークにおけるVP
Nシステムは、 移動端末と、 ユーザのホームネットワークに設けられたホーム認証サ
ーバとそれ以外の外部ネットワークに設けられた外部認
証サーバと、 ホームネットワークに設けられたVPNデータベース
と、 ホームネットワーク、外部ネットワーク、及び所定の通
信ホスト及び/又はその代理サーバの各ゲートウェイ機
能を有するネットワーク装置と、 で構成され、 ホーム認証サーバは、移動端末からの位置登録要求時に
認証を要求したユーザのVPN情報をVPNデータベー
スから抽出し、そのVPN情報を所定の位置登録メッセ
ージ及び認証応答メッセージを用いて各ネットワーク装
置に通知し、 各ネットワーク装置は、通知されたVPN情報を基にホ
ームネットワーク装置と外部ネットワーク装置間、ホー
ムネットワーク装置と所定のネットワーク装置間、及び
/又は外部ネットワーク装置と所定のネットワーク装置
間にそれぞれIPSecによるVPNパスを設定する、
ことを特徴とするVPNシステム。 - 【請求項7】 認証サーバ及びネットワーク装置は、移
動端末の移動による位置登録要求と連動して認証サーバ
及びネットワーク装置にキャッシュされたVPN情報を
新経路情報に更新するか、又はモバイルIPで通知され
る位置情報で書き換えることにより、ホームネットワー
ク装置と外部ネットワーク装置間、ホームネットワーク
装置と所定のネットワーク装置間、及び/又は外部ネッ
トワーク装置と所定のネットワーク装置間の各VPNパ
スを新たなIPSecによるVPNパスに自動更新す
る、請求項6記載のシステム。 - 【請求項8】 ホーム認証サーバは、 前記VPNデータベースのVPN情報と、自身が保有す
ると通信先ホストを収容する所定のネットワーク装置と
の対応表を用い、所定の認証要求メッセージに設定され
た移動端末が接続した外部ネットワーク装置の情報と移
動端末のホームネットワーク装置の情報からVPN設定
経路を特定するAAAVPN制御部と、 各ネットワーク装置間のサービス品質とセキュリティ情
報をサービスプロファイルとして、アクセスネットワー
クへの所定の認証応答メッセージ及びホームネットワー
クへの位置登録メッセージに設定するAAAプロトコル
処理部と、 を有する請求項6記載の装置。 - 【請求項9】 各ネットワーク装置は、 キャッシュによりVPN情報が設定されたサービスプロ
ファイルに関連するプロトコル群を制御するMAプロト
コル処理部と、 そのサービスプロファイルに従ってサービス品質を保証
するQoS制御とセキュリティゲートウェイ間のセキュ
リティを保証するためのトンネルを設定するMAVPN
制御部と、 を有する請求項6記載の装置。 - 【請求項10】 モバイルIPネットワークにおけるV
PNの設定方法は、 − ユーザの移動端末から外部エージェントに位置登録
要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
む認証要求メッセージを、自身のローカル認証サーバを
介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
より自身のデータベースを参照して通信先ホスト、ネッ
トワーク装置種別、及びユーザ別のセキュリティ・サー
ビス情報を抽出し、ネットワーク装置種別がVPN動的
設定可である場合はVPNキャッシュに外部エージェン
ト−通信先ネットワーク装置のVPNを設定して、それ
らの情報を含む位置登録要求メッセージをホームエージ
ェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
セージをキャッシュし、位置登録処理の終了後にネット
ワーク装置種別がVPN動的設定可である場合は通信先
ホスト宛にこのVPN情報を付加した結合更新メッセー
ジを送出すること、 − ネットワーク装置は結合更新メッセージを代理受信
し、それに付加されたVPN情報をキャッシュし、指定
されたセキュリティ・サービスを設定し、ネットワーク
装置から外部エージェントに向けたIPSecトンネル
によるVPNパスを設定し、その後に結合承認メッセー
ジをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージをホーム認証サーバへ
送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部エージェント−ネッ
トワーク装置間のVPN情報を付加した認証応答メッセ
ージを外部エージェントのローカル認証サーバに送信す
ること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをその付加されたVPN情報をキャッシュしてから外
部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
に含まれるVPN情報をキャッシュし、指定されたセキ
ュリティ・サービスを設定し、外部エージェントからネ
ットワーク装置に向けたIPSecトンネルによるVP
Nパスを設定した後、ユーザの移動端末へ位置登録応答
メッセージを返送すること、 から成ることを特徴とするVPNの設定方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000225857A JP4201466B2 (ja) | 2000-07-26 | 2000-07-26 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
US09/801,557 US7068640B2 (en) | 2000-07-26 | 2001-03-08 | VPN system in mobile IP network, and method of setting VPN |
EP20010105384 EP1176781A3 (en) | 2000-07-26 | 2001-03-09 | VPN system in mobile IP network and method of setting VPN |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000225857A JP4201466B2 (ja) | 2000-07-26 | 2000-07-26 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002044141A true JP2002044141A (ja) | 2002-02-08 |
JP4201466B2 JP4201466B2 (ja) | 2008-12-24 |
Family
ID=18719571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000225857A Expired - Fee Related JP4201466B2 (ja) | 2000-07-26 | 2000-07-26 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7068640B2 (ja) |
EP (1) | EP1176781A3 (ja) |
JP (1) | JP4201466B2 (ja) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004068805A1 (ja) * | 2003-01-31 | 2004-08-12 | Nippon Telegraph And Telephone Corporation | Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置 |
JP2004260833A (ja) * | 2003-02-26 | 2004-09-16 | Lucent Technol Inc | ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning) |
JP2005204289A (ja) * | 2003-12-15 | 2005-07-28 | Matsushita Electric Ind Co Ltd | ホームエージェント装置、モバイルルータ装置、通信システム、および通信方法 |
JP2005269661A (ja) * | 2004-03-19 | 2005-09-29 | Microsoft Corp | モバイルコンピューティングデバイスのための仮想私設網構造の再使用 |
JP2006121647A (ja) * | 2004-08-03 | 2006-05-11 | Zyxel Communications Corp | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 |
WO2006112095A1 (ja) * | 2005-03-31 | 2006-10-26 | Nec Corporation | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム |
JP2007013866A (ja) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | 端末移動管理システム |
KR100687415B1 (ko) * | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
JP2007518349A (ja) * | 2004-01-15 | 2007-07-05 | インタラクティブ ピープル アンプラグド アクチボラグ | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 |
WO2007125606A1 (ja) | 2006-04-28 | 2007-11-08 | Fujitsu Limited | 移動通信システムにおけるQoSサーバ |
JP2008535363A (ja) * | 2005-03-28 | 2008-08-28 | ケイティーフリーテル カンパニー リミテッド | モバイルipを用いた移動ノードの仮想私設網接続方法 |
US7464177B2 (en) | 2002-02-20 | 2008-12-09 | Mitsubishi Denki Kabushiki Kaisha | Mobile network that routes a packet without transferring the packet to a home agent server |
US7522625B2 (en) | 2004-08-03 | 2009-04-21 | Fujitsu Limited | Processing method of fragmented packet and packet transfer equipment using the same |
US20100169953A1 (en) * | 2008-12-30 | 2010-07-01 | Emulex Design & Manufacturing Corporaton | Client/server authentication over fibre channel |
JP2010158048A (ja) * | 2003-07-22 | 2010-07-15 | Toshiba Corp | 秘密保護及びシームレスなwan−lanローミング |
JP2010220252A (ja) * | 2010-06-09 | 2010-09-30 | Nec Corp | 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム |
US8312532B2 (en) | 2006-09-14 | 2012-11-13 | Fujitsu Limited | Connection supporting apparatus |
Families Citing this family (154)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6360100B1 (en) | 1998-09-22 | 2002-03-19 | Qualcomm Incorporated | Method for robust handoff in wireless communication system |
KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
US20020138635A1 (en) * | 2001-03-26 | 2002-09-26 | Nec Usa, Inc. | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations |
US7139833B2 (en) * | 2001-04-04 | 2006-11-21 | Ipr Licensing, Inc. | Proxy mobile node capability for mobile IP |
US7339903B2 (en) * | 2001-06-14 | 2008-03-04 | Qualcomm Incorporated | Enabling foreign network multicasting for a roaming mobile node, in a foreign network, using a persistent address |
US8000241B2 (en) | 2001-06-26 | 2011-08-16 | Qualcomm Incorporated | Methods and apparatus for controlling access link packet flow aggregation and resource allocation in a mobile communications system |
US7027400B2 (en) * | 2001-06-26 | 2006-04-11 | Flarion Technologies, Inc. | Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system |
US7474650B2 (en) * | 2001-06-26 | 2009-01-06 | Qualcomm Incorporated | Methods and apparatus for controlling resource allocation where tunneling and access link packet aggregation are used in combination |
US20030021253A1 (en) * | 2001-07-03 | 2003-01-30 | Tae-Sung Jung | Method of transmitting data from server of virtual private network to mobile node |
DE10142007C1 (de) * | 2001-08-28 | 2003-04-03 | Siemens Ag | Anordnung zur drahtlosen Anbindung von Endeinrichtungen an ein Kommunikationssystem |
US7457267B1 (en) | 2001-10-10 | 2008-11-25 | Qualcomm Incorporated | Methods and apparatus for quickly exploiting a new link during hand-off in a wireless network |
KR100407324B1 (ko) * | 2001-10-26 | 2003-11-28 | 삼성전자주식회사 | 가상 사설 네트워크에서 서버가 이동 통신 단말기로데이터를 전송하는 방법 |
KR100450973B1 (ko) * | 2001-11-07 | 2004-10-02 | 삼성전자주식회사 | 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법 |
KR100482545B1 (ko) * | 2001-11-13 | 2005-04-14 | 현대자동차주식회사 | 가변 노즐 터빈의 베인 각도 조절장치 |
FI116017B (fi) * | 2002-01-22 | 2005-08-31 | Netseal Mobility Technologies | Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi |
US20030193952A1 (en) * | 2002-02-04 | 2003-10-16 | O'neill Alan | Mobile node handoff methods and apparatus |
US8649352B2 (en) * | 2002-02-04 | 2014-02-11 | Qualcomm Incorporated | Packet forwarding methods for use in handoffs |
US6785256B2 (en) * | 2002-02-04 | 2004-08-31 | Flarion Technologies, Inc. | Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity |
US7564824B2 (en) * | 2002-02-04 | 2009-07-21 | Qualcomm Incorporated | Methods and apparatus for aggregating MIP and AAA messages |
US7471661B1 (en) * | 2002-02-20 | 2008-12-30 | Cisco Technology, Inc. | Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network |
JP3959288B2 (ja) * | 2002-03-13 | 2007-08-15 | 株式会社エヌ・ティ・ティ・ドコモ | パケット送信システム、パケット送信方法、パケット送信装置、ホームエージェント、移動端末、及びアクセスルータ |
EP1488577B1 (en) * | 2002-03-18 | 2007-04-18 | Nortel Networks Limited | Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks |
KR100424620B1 (ko) * | 2002-03-27 | 2004-03-25 | 삼성전자주식회사 | 무선 근거리 네트워크에서 이동단말의 서브네트워크간이동성을 지원하기 위한 장치 및 방법 |
US20050201342A1 (en) * | 2002-03-27 | 2005-09-15 | Randy Wilkinson | Wireless access point network and management protocol |
US6831921B2 (en) * | 2002-03-27 | 2004-12-14 | James A. Higgins | Wireless internet access system |
US7356020B2 (en) * | 2002-04-08 | 2008-04-08 | Qualcomm Incorporated | Support of disparate addressing plans and dynamic HA address allocation in mobile IP |
US7072657B2 (en) * | 2002-04-11 | 2006-07-04 | Ntt Docomo, Inc. | Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks |
US7623497B2 (en) * | 2002-04-15 | 2009-11-24 | Qualcomm, Incorporated | Methods and apparatus for extending mobile IP |
WO2003096588A2 (en) * | 2002-04-15 | 2003-11-20 | Flarion Technologies, Inc. | Methods and apparatus for extending mobile ip |
AU2003221929A1 (en) * | 2002-04-15 | 2003-11-03 | Flarion Technologies, Inc. | Methods and apparatus for the utilization of multiple uplinks in reverse tunneling |
DE60203099T2 (de) * | 2002-06-04 | 2006-05-04 | Alcatel | Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver |
KR100882431B1 (ko) * | 2002-06-25 | 2009-02-05 | 주식회사 케이티 | 축약된 인증 토큰에 의한 이동 호스트 인증 지연 감소 방법 |
NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
US7512088B1 (en) * | 2002-07-12 | 2009-03-31 | Cisco Technology, Inc. | Routing data packets to a mobile node |
US20040022258A1 (en) * | 2002-07-30 | 2004-02-05 | Docomo Communications Laboratories Usa, Inc. | System for providing access control platform service for private networks |
US6993333B2 (en) * | 2003-10-16 | 2006-01-31 | Flarion Technologies, Inc. | Methods and apparatus of improving inter-sector and/or inter-cell handoffs in a multi-carrier wireless communications system |
KR100459765B1 (ko) * | 2002-08-30 | 2004-12-03 | 에스케이 텔레콤주식회사 | 무선 근거리통신망/이동전화 연동서비스를 위한 시스템선택 및 데이터 전송방법 |
JP4159328B2 (ja) * | 2002-09-11 | 2008-10-01 | Necインフロンティア株式会社 | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 |
US8068479B2 (en) * | 2002-09-17 | 2011-11-29 | Broadcom Corporation | System and method for hardware acceleration in a hybrid wired/wireless local area network |
EP1547408B1 (en) * | 2002-09-17 | 2015-01-21 | Broadcom Corporation | System and method for hardware acceleration in a hybrid wire/wireless local area network |
US7869803B2 (en) * | 2002-10-15 | 2011-01-11 | Qualcomm Incorporated | Profile modification for roaming in a communications environment |
US7882346B2 (en) | 2002-10-15 | 2011-02-01 | Qualcomm Incorporated | Method and apparatus for providing authentication, authorization and accounting to roaming nodes |
WO2004036834A1 (en) * | 2002-10-17 | 2004-04-29 | Nokia Corporation | Secured virtual private network with mobile nodes |
KR100464319B1 (ko) * | 2002-11-06 | 2004-12-31 | 삼성전자주식회사 | 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법 |
US20050148321A1 (en) * | 2002-11-13 | 2005-07-07 | Yoichiro Igarashi | Network access control system |
US7804826B1 (en) * | 2002-11-15 | 2010-09-28 | Nortel Networks Limited | Mobile IP over VPN communication protocol |
US7457289B2 (en) * | 2002-12-16 | 2008-11-25 | Cisco Technology, Inc. | Inter-proxy communication protocol for mobile IP |
US7428226B2 (en) * | 2002-12-18 | 2008-09-23 | Intel Corporation | Method, apparatus and system for a secure mobile IP-based roaming solution |
US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
US7362742B1 (en) | 2003-01-28 | 2008-04-22 | Cisco Technology, Inc. | Methods and apparatus for synchronizing subnet mapping tables |
US6862446B2 (en) * | 2003-01-31 | 2005-03-01 | Flarion Technologies, Inc. | Methods and apparatus for the utilization of core based nodes for state transfer |
US7668541B2 (en) | 2003-01-31 | 2010-02-23 | Qualcomm Incorporated | Enhanced techniques for using core based nodes for state transfer |
US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
US20040168051A1 (en) * | 2003-02-26 | 2004-08-26 | Lucent Technologies Inc. | Optimally provisioning connectivity for network-based mobile virtual private network (VPN) services |
ES2264756T3 (es) | 2003-03-27 | 2007-01-16 | Motorola Inc. | Comunicacion entre una red privada y un terminal movil itinerante. |
KR100512959B1 (ko) * | 2003-04-12 | 2005-09-07 | 삼성전자주식회사 | 멀티홈 서비스 시스템 |
US7343158B2 (en) * | 2003-04-16 | 2008-03-11 | Nortel Networks Limited | Home agent redirection for mobile IP |
US7505432B2 (en) * | 2003-04-28 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for securing proxy Mobile IP |
EP1618720B1 (en) * | 2003-04-28 | 2016-05-18 | Chantry Networks Inc. | System and method for mobile unit session management across a wireless communication network |
US7447203B2 (en) | 2003-07-29 | 2008-11-04 | At&T Intellectual Property I, L.P. | Broadband access for virtual private networks |
US7269727B1 (en) * | 2003-08-11 | 2007-09-11 | Cisco Technology, Inc. | System and method for optimizing authentication in a network environment |
US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
US7212821B2 (en) * | 2003-12-05 | 2007-05-01 | Qualcomm Incorporated | Methods and apparatus for performing handoffs in a multi-carrier wireless communications system |
US7047009B2 (en) * | 2003-12-05 | 2006-05-16 | Flarion Technologies, Inc. | Base station based methods and apparatus for supporting break before make handoffs in a multi-carrier system |
US8572249B2 (en) | 2003-12-10 | 2013-10-29 | Aventail Llc | Network appliance for balancing load and platform services |
WO2005062650A1 (ja) * | 2003-12-19 | 2005-07-07 | Fujitsu Limited | 移動端末の移動支援装置 |
US7620979B2 (en) * | 2003-12-22 | 2009-11-17 | Nokia Corporation | Supporting mobile internet protocol in a correspondent node firewall |
JP3955025B2 (ja) * | 2004-01-15 | 2007-08-08 | 松下電器産業株式会社 | 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ |
US7697501B2 (en) | 2004-02-06 | 2010-04-13 | Qualcomm Incorporated | Methods and apparatus for separating home agent functionality |
US7545782B2 (en) | 2004-02-19 | 2009-06-09 | Belair Networks, Inc. | Mobile station traffic routing |
US7715340B2 (en) * | 2004-03-04 | 2010-05-11 | At&T Corp. | Method and apparatus for enabling IP mobility with high speed access and network intelligence in communication networks |
US7991854B2 (en) * | 2004-03-19 | 2011-08-02 | Microsoft Corporation | Dynamic session maintenance for mobile computing devices |
BRPI0511097A (pt) * | 2004-05-17 | 2007-12-26 | Thomson Licensing | métodos e equipamentos para gerenciamento de acesso a rede virtual privada para dispositivos portáteis sem cliente vpn |
US20050271128A1 (en) * | 2004-06-02 | 2005-12-08 | Williams Jeffery D | Distributed SCADA system for remote monitoring and control of access points utilizing an intelligent uninterruptible power supply system for a WISP network |
JP4013920B2 (ja) * | 2004-06-02 | 2007-11-28 | 日本電気株式会社 | 通信システム、通信装置及びその動作制御方法並びにプログラム |
US7447188B1 (en) | 2004-06-22 | 2008-11-04 | Cisco Technology, Inc. | Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs |
US7920793B2 (en) | 2004-06-23 | 2011-04-05 | Nippon Telegraph And Telephone Corporation | Inline repeater and optical fiber communication system |
US8151348B1 (en) * | 2004-06-30 | 2012-04-03 | Cisco Technology, Inc. | Automatic detection of reverse tunnels |
US7366182B2 (en) * | 2004-08-13 | 2008-04-29 | Qualcomm Incorporated | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain |
US8189530B2 (en) * | 2004-08-13 | 2012-05-29 | Qualcomm Incorporated | Methods and apparatus for VPN support in mobility management |
EP1792465A1 (en) * | 2004-09-20 | 2007-06-06 | Matsushita Electric Industrial Co., Ltd. | Return routability optimisation |
US7697513B1 (en) * | 2004-09-30 | 2010-04-13 | Network Equipment Technologies, Inc. | Private branch exchange (PBX) networking over IP networks |
US7298725B2 (en) * | 2004-10-08 | 2007-11-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing initiated from a home service network involving intermediary network preferences |
US7590732B2 (en) * | 2004-10-08 | 2009-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing originated from a local access network involving intermediary network preferences |
US7292592B2 (en) * | 2004-10-08 | 2007-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Home network-assisted selection of intermediary network for a roaming mobile terminal |
US7551926B2 (en) * | 2004-10-08 | 2009-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal-assisted selection of intermediary network for a roaming mobile terminal |
KR100918440B1 (ko) | 2004-11-12 | 2009-09-24 | 삼성전자주식회사 | 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치 |
WO2006059216A1 (en) * | 2004-12-01 | 2006-06-08 | Nokia Corporation | Method and system for providing wireless data network interworking |
JP4664987B2 (ja) * | 2004-12-21 | 2011-04-06 | サムスン エレクトロニクス カンパニー リミテッド | 移動通信加入者に私設音声呼サービスを提供する方法及びシステム並びにこのための無線ソフトスイッチ装置 |
US7577130B2 (en) * | 2005-02-18 | 2009-08-18 | Microsoft Corporation | SyncML based OMA connectivity object to provision VPN connections |
WO2006087817A1 (ja) * | 2005-02-21 | 2006-08-24 | Fujitsu Limited | 通信制御システム |
US8411650B2 (en) * | 2005-04-18 | 2013-04-02 | Cisco Technology, Inc. | Method and system for providing virtual private network services through a mobile IP home agent |
US8856311B2 (en) | 2005-06-30 | 2014-10-07 | Nokia Corporation | System coordinated WLAN scanning |
US20070177550A1 (en) * | 2005-07-12 | 2007-08-02 | Hyeok Chan Kwon | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same |
US8418233B1 (en) * | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
FI119863B (fi) * | 2005-08-22 | 2009-04-15 | Teliasonera Ab | Etäasiakkaan aitouden ja oikeuksien varmistaminen |
US9078084B2 (en) | 2005-12-22 | 2015-07-07 | Qualcomm Incorporated | Method and apparatus for end node assisted neighbor discovery |
US8983468B2 (en) | 2005-12-22 | 2015-03-17 | Qualcomm Incorporated | Communications methods and apparatus using physical attachment point identifiers |
US8982835B2 (en) | 2005-09-19 | 2015-03-17 | Qualcomm Incorporated | Provision of a move indication to a resource requester |
US8982778B2 (en) | 2005-09-19 | 2015-03-17 | Qualcomm Incorporated | Packet routing in a wireless communications environment |
US8509799B2 (en) | 2005-09-19 | 2013-08-13 | Qualcomm Incorporated | Provision of QoS treatment based upon multiple requests |
US9066344B2 (en) | 2005-09-19 | 2015-06-23 | Qualcomm Incorporated | State synchronization of access routers |
US9736752B2 (en) | 2005-12-22 | 2017-08-15 | Qualcomm Incorporated | Communications methods and apparatus using physical attachment point identifiers which support dual communications links |
US20070127420A1 (en) * | 2005-12-05 | 2007-06-07 | Paula Tjandra | Method, system and apparatus for creating a reverse tunnel |
US9083355B2 (en) | 2006-02-24 | 2015-07-14 | Qualcomm Incorporated | Method and apparatus for end node assisted neighbor discovery |
US20070283430A1 (en) * | 2006-06-02 | 2007-12-06 | Research In Motion Limited | Negotiating vpn tunnel establishment parameters on user's interaction |
US20070281626A1 (en) * | 2006-06-05 | 2007-12-06 | Dobosz Paul J | Vehicle telematics satellite data transceiver utilizing fm radio circuitry |
EP1876549A1 (de) * | 2006-07-07 | 2008-01-09 | Swisscom Mobile AG | Verfahren und System zur verschlüsselten Datenübertragung |
US8891506B2 (en) * | 2006-07-26 | 2014-11-18 | Motorola Mobility Llc | Method and apparatus for providing mobile IP service through a network address translation gateway |
US8068499B2 (en) * | 2006-08-10 | 2011-11-29 | Motorola Solutions, Inc. | Optimized tunneling methods in a network |
US8130771B2 (en) * | 2006-10-10 | 2012-03-06 | Alcatel Lucent | Packet-forwarding for proxy mobile IP |
KR100826670B1 (ko) * | 2006-11-16 | 2008-05-02 | 한국전자통신연구원 | Ip 이동성 지원을 위한 이동 단말의 터널링 방법 |
US8102758B2 (en) * | 2007-03-05 | 2012-01-24 | Cisco Technology, Inc. | Analyzing virtual private network failures |
US20080225806A1 (en) * | 2007-03-15 | 2008-09-18 | Adc Telecommunication Israel Ltd. | System and method for enabling mobility in internet protocol networks |
US9155008B2 (en) | 2007-03-26 | 2015-10-06 | Qualcomm Incorporated | Apparatus and method of performing a handoff in a communication network |
US8743853B2 (en) * | 2007-05-08 | 2014-06-03 | Intel Corporation | Techniques to include virtual private networks in a universal services interface |
US8830818B2 (en) | 2007-06-07 | 2014-09-09 | Qualcomm Incorporated | Forward handover under radio link failure |
US9094173B2 (en) | 2007-06-25 | 2015-07-28 | Qualcomm Incorporated | Recovery from handoff error due to false detection of handoff completion signal at access terminal |
US8379623B2 (en) * | 2007-07-10 | 2013-02-19 | Motorola Solutions, Inc. | Combining mobile VPN and internet protocol |
CN101779482B (zh) * | 2007-08-13 | 2014-01-22 | 苹果公司 | 用于移动ipv4的新diameter信令 |
JP4430091B2 (ja) * | 2007-08-17 | 2010-03-10 | 富士通株式会社 | パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ |
US20090089399A1 (en) * | 2007-09-28 | 2009-04-02 | Andre Beck | Method and Apparatus for Providing Services Across Service Domains |
US20090205046A1 (en) * | 2008-02-13 | 2009-08-13 | Docomo Communications Laboratories Usa, Inc. | Method and apparatus for compensating for and reducing security attacks on network entities |
US8675551B2 (en) * | 2008-03-31 | 2014-03-18 | Futurewei Technologies, Inc. | Multi-protocol label switching support for proxy mobile internet protocol version 6 |
US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
DK2144460T3 (en) * | 2008-07-10 | 2016-02-08 | Teliasonera Ab | A method, system, packet data gateway, and computer program for providing connection to the supply of data |
US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
US9401855B2 (en) * | 2008-10-31 | 2016-07-26 | At&T Intellectual Property I, L.P. | Methods and apparatus to deliver media content across foreign networks |
US20100125897A1 (en) * | 2008-11-20 | 2010-05-20 | Rahul Jain | Methods and apparatus for establishing a dynamic virtual private network connection |
US9036504B1 (en) | 2009-12-07 | 2015-05-19 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to associate network addresses with computing nodes |
US7937438B1 (en) | 2009-12-07 | 2011-05-03 | Amazon Technologies, Inc. | Using virtual networking devices to manage external connections |
US9203747B1 (en) | 2009-12-07 | 2015-12-01 | Amazon Technologies, Inc. | Providing virtual networking device functionality for managed computer networks |
US8995301B1 (en) | 2009-12-07 | 2015-03-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing cost information |
AT11799U1 (de) * | 2009-12-15 | 2011-05-15 | Plansee Se | Formteil |
US7991859B1 (en) | 2009-12-28 | 2011-08-02 | Amazon Technologies, Inc. | Using virtual networking devices to connect managed computer networks |
US7953865B1 (en) | 2009-12-28 | 2011-05-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing communications between connected computer networks |
US8224971B1 (en) * | 2009-12-28 | 2012-07-17 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to initiate external actions |
US8615241B2 (en) | 2010-04-09 | 2013-12-24 | Qualcomm Incorporated | Methods and apparatus for facilitating robust forward handover in long term evolution (LTE) communication systems |
US8458787B2 (en) | 2010-06-30 | 2013-06-04 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically translated user home page |
US8127350B2 (en) | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
US10142292B2 (en) | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
US8473734B2 (en) | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having dynamic failover |
US8474035B2 (en) | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically constructed display for native access to web mail |
US8549617B2 (en) * | 2010-06-30 | 2013-10-01 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having integrated acceleration |
US8464336B2 (en) | 2010-06-30 | 2013-06-11 | Juniper Networks, Inc. | VPN network client for mobile device having fast reconnect |
US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
US10277630B2 (en) * | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
US9473351B2 (en) * | 2013-04-02 | 2016-10-18 | General Electric Company | System and method for automated provisioning of a wireless device |
US9781046B1 (en) | 2013-11-19 | 2017-10-03 | Tripwire, Inc. | Bandwidth throttling in vulnerability scanning applications |
JP5790891B1 (ja) * | 2015-01-27 | 2015-10-07 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
US9826401B2 (en) * | 2015-03-11 | 2017-11-21 | Verizon Patent And Licensing Inc. | Authenticated communication session for wireless roaming |
US11870604B2 (en) * | 2015-07-17 | 2024-01-09 | Nec Corpoation | Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network |
US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001224070A (ja) | 2000-02-09 | 2001-08-17 | Fujitsu Ltd | モバイル通信システム及びその方法 |
US6728536B1 (en) * | 2000-05-02 | 2004-04-27 | Telefonaktiebolaget Lm Ericsson | Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks |
-
2000
- 2000-07-26 JP JP2000225857A patent/JP4201466B2/ja not_active Expired - Fee Related
-
2001
- 2001-03-08 US US09/801,557 patent/US7068640B2/en not_active Expired - Fee Related
- 2001-03-09 EP EP20010105384 patent/EP1176781A3/en not_active Withdrawn
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7464177B2 (en) | 2002-02-20 | 2008-12-09 | Mitsubishi Denki Kabushiki Kaisha | Mobile network that routes a packet without transferring the packet to a home agent server |
WO2004068805A1 (ja) * | 2003-01-31 | 2004-08-12 | Nippon Telegraph And Telephone Corporation | Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置 |
US8364822B2 (en) | 2003-01-31 | 2013-01-29 | Nippon Telegraph And Telephone Corporation | VPN communication control device, communication control method in VPN, and virtual dedicated network management device |
JP4629350B2 (ja) * | 2003-02-26 | 2011-02-09 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning) |
JP2004260833A (ja) * | 2003-02-26 | 2004-09-16 | Lucent Technol Inc | ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning) |
US8792454B2 (en) | 2003-07-22 | 2014-07-29 | Toshiba America Resesarch, Inc. | Secure and seamless WAN-LAN roaming |
JP2012114946A (ja) * | 2003-07-22 | 2012-06-14 | Toshiba Corp | 秘密保護及びシームレスなwan−lanローミング |
US8243687B2 (en) | 2003-07-22 | 2012-08-14 | Toshiba America Research, Inc. | Secure and seamless WAN-LAN roaming |
JP2010158048A (ja) * | 2003-07-22 | 2010-07-15 | Toshiba Corp | 秘密保護及びシームレスなwan−lanローミング |
JP2005204289A (ja) * | 2003-12-15 | 2005-07-28 | Matsushita Electric Ind Co Ltd | ホームエージェント装置、モバイルルータ装置、通信システム、および通信方法 |
JP2007518349A (ja) * | 2004-01-15 | 2007-07-05 | インタラクティブ ピープル アンプラグド アクチボラグ | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 |
JP2005269661A (ja) * | 2004-03-19 | 2005-09-29 | Microsoft Corp | モバイルコンピューティングデバイスのための仮想私設網構造の再使用 |
JP2006121647A (ja) * | 2004-08-03 | 2006-05-11 | Zyxel Communications Corp | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 |
JP4510682B2 (ja) * | 2004-08-03 | 2010-07-28 | 合勤科技股▼ふん▲有限公司 | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 |
US7522625B2 (en) | 2004-08-03 | 2009-04-21 | Fujitsu Limited | Processing method of fragmented packet and packet transfer equipment using the same |
JP2008535363A (ja) * | 2005-03-28 | 2008-08-28 | ケイティーフリーテル カンパニー リミテッド | モバイルipを用いた移動ノードの仮想私設網接続方法 |
JPWO2006112095A1 (ja) * | 2005-03-31 | 2008-11-27 | 日本電気株式会社 | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム |
JP4748157B2 (ja) * | 2005-03-31 | 2011-08-17 | 日本電気株式会社 | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム |
WO2006112095A1 (ja) * | 2005-03-31 | 2006-10-26 | Nec Corporation | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム |
US7953081B2 (en) | 2005-03-31 | 2011-05-31 | Nec Corporation | Mobile communication control method, mobile communication system, routing device, management device, and program |
KR100687415B1 (ko) * | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
JP4541984B2 (ja) * | 2005-07-04 | 2010-09-08 | 三菱電機株式会社 | 端末移動管理システム |
JP2007013866A (ja) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | 端末移動管理システム |
JPWO2007125606A1 (ja) * | 2006-04-28 | 2009-09-10 | 富士通株式会社 | 移動通信システムにおけるQoSサーバ |
JP4684331B2 (ja) * | 2006-04-28 | 2011-05-18 | 富士通株式会社 | 移動通信システムにおけるQoSサーバ |
WO2007125606A1 (ja) | 2006-04-28 | 2007-11-08 | Fujitsu Limited | 移動通信システムにおけるQoSサーバ |
US8312532B2 (en) | 2006-09-14 | 2012-11-13 | Fujitsu Limited | Connection supporting apparatus |
US20100169953A1 (en) * | 2008-12-30 | 2010-07-01 | Emulex Design & Manufacturing Corporaton | Client/server authentication over fibre channel |
US9438574B2 (en) * | 2008-12-30 | 2016-09-06 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Client/server authentication over Fibre channel |
JP2010220252A (ja) * | 2010-06-09 | 2010-09-30 | Nec Corp | 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20020018456A1 (en) | 2002-02-14 |
EP1176781A2 (en) | 2002-01-30 |
EP1176781A3 (en) | 2004-09-29 |
US7068640B2 (en) | 2006-06-27 |
JP4201466B2 (ja) | 2008-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4201466B2 (ja) | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 | |
JP4060021B2 (ja) | 移動通信サービス提供システム、および移動通信サービス提供方法 | |
EP1124396B1 (en) | Mobility support for a correspondent node in a Mobile IP network | |
CA2696988C (en) | Method and apparatus for providing local breakout in a mobile network | |
US7079499B1 (en) | Internet protocol mobility architecture framework | |
US6769000B1 (en) | Unified directory services architecture for an IP mobility architecture framework | |
CA2321396C (en) | Mobile communications service system, mobile communications service method, authentication apparatus, and home agent apparatus | |
EP1634422B1 (en) | Method, system and apparatus to support hierarchical mobile ip services | |
US6917605B2 (en) | Mobile network system and service control information changing method | |
KR100988186B1 (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
US20040037260A1 (en) | Virtual private network system | |
US8594073B2 (en) | Method and apparatus for roaming between communications networks | |
US20060185013A1 (en) | Method, system and apparatus to support hierarchical mobile ip services | |
US20020199104A1 (en) | Service control network | |
JP3812455B2 (ja) | ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体 | |
Rojas et al. | IPv6 micro-mobility management and VHE based on MSP | |
EP1898587A1 (en) | A method of requesting an option to be used in a tunnel type |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060302 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080123 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080909 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081007 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111017 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |