JP2002044141A - モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 - Google Patents

モバイルipネットワークにおけるvpnシステム及びvpnの設定方法

Info

Publication number
JP2002044141A
JP2002044141A JP2000225857A JP2000225857A JP2002044141A JP 2002044141 A JP2002044141 A JP 2002044141A JP 2000225857 A JP2000225857 A JP 2000225857A JP 2000225857 A JP2000225857 A JP 2000225857A JP 2002044141 A JP2002044141 A JP 2002044141A
Authority
JP
Japan
Prior art keywords
vpn
information
network device
home
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000225857A
Other languages
English (en)
Other versions
JP4201466B2 (ja
Inventor
Mitsuaki Kakemizu
光明 掛水
Shinya Yamamura
新也 山村
Yoichiro Igarashi
洋一郎 五十嵐
Kazunori Murata
一徳 村田
Masaaki Wakamoto
雅晶 若本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2000225857A priority Critical patent/JP4201466B2/ja
Priority to US09/801,557 priority patent/US7068640B2/en
Priority to EP20010105384 priority patent/EP1176781A3/en
Publication of JP2002044141A publication Critical patent/JP2002044141A/ja
Application granted granted Critical
Publication of JP4201466B2 publication Critical patent/JP4201466B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 モバイルIPにおける位置登録手順と連携し
てVPN用の特殊な機能を持たせること無く、任意の端
末間でのIPSecトンネルによるVPN設定サービス
を提供する。 【解決手段】 移動端末と、認証サーバと、VPNデー
タベースと、ネットワーク装置とで構成され、ホーム認
証サーバは、移動端末からの位置登録要求時に認証を要
求したユーザのVPN情報をVPNデータベースから抽
出し、そのVPN情報を所定の位置登録メッセージ及び
認証応答メッセージを用いて各ネットワーク装置に通知
する。ネットワーク装置は、通知されたVPN情報を基
にホームネットワーク装置と外部ネットワーク装置間、
ホームネットワーク装置と所定のネットワーク装置間、
及び/又は外部ネットワーク装置と所定のネットワーク
装置間にそれぞれIPSecによるVPNパスを設定す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】近年インターネットの普及に
伴い、企業の専用線をインターネット上の仮想パス(V
PN:Virtual Private Network )で置き換える事によ
り、通信コストを低減しようとする試みが広く行われる
ようになってきている。また、電子商取引を実現する上
でもインターネット上のセキュリティ強化は必須であ
り、これらを実現する技術としてIP Securit
y Protocol(以降、「IPSec」と称す)
が注目されている。
【0002】一方、IMT−2000の本格導入をまじ
かに控え、インターネット環境はモバイル環境への移行
が始まっている。モバイル環境をインターネットへ導入
することはそれを利用するユーザの利便性を高める。し
かしながら、その一方でセキュリティを脆弱にする危険
性も増大させることになり、モバイル環境でセキュリテ
ィを保護する枠組みが求められている。
【0003】IMT−2000でコアネットワークアー
キテクチャの基礎となるRFC2002で規定されたI
P Mobility Support(以降、「モバ
イルIP (Mobile IP)」と称す)にIPSecを組み合
わせる方式についても、いくつかの提案がされている。
ここで、モバイルIP(mobile internet protocol)と
は、IPネットワーク上で端末がネットワーク間を移動
した時に、IPアドレスの管理と移動先への通信パケッ
トの転送を自動化した技術である。ルータにアドレスの
転送を実行するエージェント機能を実装し、端末の“本
籍”にあたるホーム・アドレスと現住所の“気付アドレ
ス”の2つを管理させる。端末は、ネットワーク間を移
動した際に新しい気付アドレスを、ホーム・アドレスの
あるネットワークのルータに登録し、移動を知らない通
信相手からのメッセージをトンネリング技術で転送させ
る。
【0004】しかしこれらの提案は、通信経路上(具体
的にはホームエージェントと通信端末との間)の完全な
セキュリティを保証していないために、エンドユーザ端
末がIPSec機能を持つことを前提としている。これ
らの提案では、結局通信に関与する端末が全てIPSe
cを実装する必要があり、モバイル環境でセキュリティ
を保護する枠組みとしては、不十分であり、モバイルI
PとIPSecとを連携させる意義が薄い。
【0005】
【従来の技術】図1は、既存の提案によるモバイルIP
+IPSecを適用したネットワーク構成の一例を示し
たものである。ここでは、モバイル環境をサポートする
IPアーキテクチャとしてRFC2002で提案された
モバイルIPと、インターネット上でセキュリティを実
現するアーキテクチャであるIPSecとを併用してい
る。モバイルIPは、その本質から通常のネットワーク
に比較してセキュリティ面が脆弱なため、IPSecを
含む様々なセキュリティ強化の方式がとりいれられてい
る。
【0006】図1の例では、モバイルIPで規定される
ユーザ1(MN:Mobile Node)がアクセスしたネットワ
ーク2にある移動性エージェント21(外部エージェン
トFA:Foreign Agent)とユーザのホームネットワーク
3にある移動性エージェント31(ホームエージェント
HA:Home Agent)との間におけるIP−IPトンネル
をIPSecトンネル6で置き換えるものであり、IP
Secで用いるVPN用の情報はあらかじめ各移動性エ
ージェント21及び31に設定しておく必要がある。
【0007】動的にIPSecトンネル7を設定するこ
とについてもこれらの提案で触れているが、移動端末1
と移動性エージェント21、31との間の自動鍵交換
(IKE)に頼った方式であり、通信先ホスト52(C
N:Corespondent Node )とも自動鍵交換(IKE)を
用いて個別にIPSecを設定する必要がある。この場
合、さらにモバイルIPの変更も必要となる。
【0008】一般に、VPNはIPSecやMPLS等
を用いてインターネット上に張られるユーザの仮想パス
のことを言うが、他のインターネット技術、例えばDi
fferentiated Service(以降、
「差別化サービス」と称す)等、とユーザ単位では連携
しておらず、その結果VPNのサービス品質保証は十分
なネットワーク資源の割当てと一律な優先制御(例え
ば、IPSecプロトコルのプロトコル番号をフィルタ
リング条件とした簡単な優先度制御)とによって行われ
ている。
【0009】
【発明が解決しようとする課題】上記で述べたような方
式によれば、結局は通信に関与する端末が全てIPSe
cを実装する必要がある。そのため、ネットワークとし
てIPSecサービスを提供する意義が薄く、またセキ
ュリティサービスとサービス品質保証とを自由に組み合
わせてユーザの利便性を向上させたネットワークサービ
スを、IPSecを実装していない既存の端末を含め
て、提供することが出来ないという問題があった。
【0010】本発明の目的は、モバイルIPにおける通
信を安全な通信経路を用いて可能にすることにある。ま
た、本発明の目的は、モバイルIPにおける位置登録手
順と連携して、通信に関与する端末の公衆IPネットワ
ークへのセキュリティゲートウェイに動的にIPSec
を用いたVPNを設定することによって、移動端末や通
信端末にVPN用の特殊な機能を持たせること無く任意
の端末間での通信にVPN設定サービスを提供し、ユー
ザの利便性向上させたVPNサービスを提供することに
ある。それにより、VPNサービスを提供するサービス
プロバイダの差別化も可能になる。
【0011】より具体的には、以下のことを目的とす
る。 1)モバイルIPにおける位置登録手順と連携して、通
信に関与する端末の公衆IPネットワークへのセキュリ
ティゲートウェイ21、31に動的にIPSecを用い
たVPNを設定することで、MN1やCN42,52に
VPN用の特殊な機能を持たせること無く、任意の端末
間でのVPN設定サービスの提供を可能にする。 2)ユーザが自由に組み合わせて指定したサービス品
質、セキュリティレベル、経路でのVPN設定を可能に
する。 3)MN1の移動に伴い、VPNの経路を自動更新する
ことを可能にする。
【0012】
【課題を解決するための手段】図2には、図1の構成と
対比させた本発明に基くネットワーク構成例を示してお
り、モバイルIPにおける位置登録手順と連携して、通
信に関与する端末の公衆IPネットワーク2〜5の各セ
キュリティゲートウェイ21〜51に動的にIPSec
を用いたVPNを設定することで任意の端末1やホスト
32〜52間の通信にVPN設定サービスを提供する。
【0013】図3は、本発明の基本的な機能ブロック構
成例を示したものである。最初に、以降で使用される用
語の簡単な説明を行なっておく。MIP(MobileIP )
は、RFC2002と将来の全ての拡張で規定されるモ
バイルIPプロトコルである。AAAプロトコルは、A
AAシステムが使用するプロトコルであって、本願の実
施例では現在IETFで検討中のDIAMETERプロ
トコルの使用を想定している。AAAプロトコルは認証
(Authentication)、認可(Authorization) 、課金(Acoun
ting) 、及びポリシーに関する情報を伝達可能なあらゆ
るプロトコルで実装可能である。本発明で必要となる新
たな情報の伝達には前記DIAMETERプロトコルで
定義されるAVP(Attribute Value Pair)と呼ばれる
拡張可能な属性パラメータを用いる。拡張される属性は
VPN設定に関する情報である。
【0014】MN(Mobile Node )は、モバイルIPプ
ロトコル機能を有する移動端末を示す。AAAは、上述
した認証、認可、課金を行うサーバ群のIETFで用い
られる名称である。AAAHは認証要求ユーザーの加入
者データを持つネットワークのAAAであり、AAAF
は該ユーザーの加入者データを持たないネットワークの
AAAである。本発明のAAAは上記機能に加えてVP
Nデータベースから認証要求ユーザのVPN情報を抽出
し、HAへHA登録要求メッセージで、またFAへはA
AAFを経由した認証応答メッセージでVPN情報を通
知し、さらにユーザ単位のVPN情報の抽出とVPN経
路の決定を行う。
【0015】FA(Foreign Agent )は、RFC200
2で定義される機能エンティティであって移動端末に割
り付けられるホームアドレスを所有しないエージェント
である。自ノードのアドレスである気付アドレス(Care
-of-Address )にカプセル化されて送られてきたパケッ
トをデカプセル化し、ホームアドレスに対応したリンク
レイヤアドレスへ回送する。このアドレスの対応は、訪
問者リストと呼ばれるテーブルで管理される。本発明の
FAはIPSecのセキュリティゲートウェイ機能と差
別化サービスのエッジルータ機能とを兼ね備える。
【0016】HA(Home Agent)は、RFC2002で
定義される機能エンティティであって移動端末に割り付
けられたホームアドレスを所有するエージェントであ
る。HAに回送されてきた移動端末のホームアドレスを
送信先とするパケットはホームアドレスに対応したFA
の気付アドレスへカプセル化されて送出される。このア
ドレスの対応は移動結合と呼ばれるテーブルで管理され
る。本発明のHAはIPSecのセキュリティゲートウ
ェイ機能と差別化サービスのエッジルータ機能を兼ね備
える。
【0017】PCN(Proxy Correspondent Node)は、
特許2000−32372号で規定された機能エンティ
ティであって配下のモバイルIPをサポートしない通信
ノード(CN;Correspondent Node)に代わって、HA
から送られてきたCNへの結合更新メッセージを代理受
信し、結合更新で通知された宛先へ結合トンネルを設定
する。本発明のPCNはIPSecのセキュリティゲー
トウェイ機能と差別化サービスのエッジルータ機能を兼
ね備えており、MIPプロトコルで通知されるVPN情
報を解析し、その解析したVPN情報に基づいてネット
ワークカーネルに差別化サービスの設定と指定されたセ
キュリティレベルでのトンネルを設定する。
【0018】本発明によれば、モバイル環境をサポート
するIPネットワークは、ユーザ認証サーバ及びネット
ワーク装置で構成され、移動端末1からの初回位置登録
要求(認証要求)時に、認証サーバ(AAAH)が認証
を要求したユーザのVPN情報をVPNデータベースか
ら抽出し、そのVPN情報を位置登録メッセージ及び認
証応答メッセージを用いてネットワーク装置(HA,F
A)に通知する。ネットワーク装置(HA,FA)は、
通知されたVPN情報を基にHAとFA間にVPNを設
定する。その際、ネットワーク装置(HA)は、通信先
端末CNが他のネットワーク4に存在する場合は更にH
AからVPN情報で指定された通信先端末収容のセキュ
リティゲートウェイ(PCN)へVPNを設定する。
【0019】また、前記認証サーバ及びネットワーク装
置は、移動端末1の移動による位置登録要求と連動して
認証サーバ及びネットワーク装置にキャッシュされたV
PN情報を新経路情報に更新するか又はモバイルIPで
通知される位置情報で書き換える。その結果、新FAと
HA間及びPCNと新FA間に新たなIPSecトンネ
ルが動的に設定され、VPN経路が自動更新される。さ
らに、FA間のデータパケット転送におけるセキュリテ
ィ保護を完全なものとするため、スムースハンドオフ時
のFA間の結合トンネルにもIPSecトンネルが設定
される。
【0020】本発明の認証サーバ(AAAH)は、ユー
ザが所望するサービス品質、セキュリティゲートウェイ
間のセキュリティ情報、及びVPNを設定する通信先ホ
スト(CN)のIPアドレス群からなるユーザ単位のV
PN情報と通信先ホストを収容するセキュリティゲート
ウェイ(VPNGW)との対応表を格納するVPNデー
タベースと、認証要求メッセージに設定された移動端末
が接続したアクセスネットワーク2のセキュリティゲー
トウェイ(FA)アドレスと移動端末のホームネットワ
ーク3のセキュリティゲートウェイ(HA)アドレス、
及び前記ユーザ対応VPN情報に設定された通信先ホス
ト(CN)と前記対応表から抽出される通信先ホストを
収容するセキュリティゲートウェイ(PCN;Proxy C
N)アドレスからVPN設定経路を特定するAAAVP
N制御部と、各セキュリティゲートウェイ間のサービス
品質とセキュリティ情報をサービスプロファイルとし
て、アクセスネットワークへの認証応答メッセージ及び
ホームネットワークへの位置登録メッセージに設定する
AAAプロトコル処理部と、を有する。
【0021】また本発明のセキュリティゲートウェイか
ら成るネットワーク装置(HA、FA、PCN)は、上
記VPN情報を設定されたサービスプロファイルとRF
C2002とそれに関連するその他の拡張プロトコルを
理解するためのMA(Mobility Agent)プロトコル処理部
と、通知されたサービスプロファイルに従いサービス品
質を保証するQoS制御とセキュリティゲートウェイ間
のセキュリティを保証するためのトンネルを設定するM
AVPN制御部と、を有する。
【0022】前記MAプロトコル処理部は、配下のモバ
イルIPをサポートしないCNに代わってHAからのC
Nへの結合更新メッセージを代理受信し、結合更新で通
知されたVPN情報が設定されたサービスプロファイル
を基に、CNに代わってFAへの結合トンネルをIPS
ecトンネルで設定するプロトコル処理を行なう。
【0023】移動端末(MN)1のホームネットワーク
3にあるネットワーク装置(HA)のMAVPN制御部
は、前記トンネルの設定の際にサービスプロファイルで
セキュリティ保護が要求されるとRFC2002で規定
されたHAから移動端末の現在の接続点である外部ネッ
トワーク2にあるネットワーク装置(FA)に設定する
トンネルを通常のIP−IPトンネルに代わりIPSe
cトンネルを設定し、一方FAの側のMAVPN制御部
もサービスプロファイルでセキュリティ保護が要求され
ると、FAからHAへのトンネル(通常リバーストンネ
ルと呼ばれる)をIP−IPトンネルではなくIPSe
cトンネルで設定する。
【0024】上述したように、本発明によればモバイル
IPにおける位置登録手順と連携して、通信に関与する
端末の公衆IPネットワークへのセキュリティゲートウ
ェイに動的にIPSecを用いたVPNが設定される。
従って、移動端末(MN)や通信先ホスト(CN)にV
PN用の特殊な機能を持たせること無く任意の端末やホ
スト間でVPN設定サービスが提供可能となる。また、
ネットワーク側でVPN設定サービスが提供されるた
め、ユーザによる自由な組み合わせによるサービス品
質、セキュリティレベル、及び経路等の指定が可能とな
る。
【0025】
【発明の実施の形態】図4は、本発明の第1の実施例を
示したものである。本例は、初期位置登録時のVPN設
定例(静的HA−CN間VPN存在時)を示しており、
あるユーザがVPNサービスを提供しているISP(Int
ernet Service Provider) を利用して自分が勤めている
企業に公衆ネットワークからアクセスする時に、自動的
にVPNが設定されるような契約をした場合を想定して
いる。以降では、本願発明の理解の容易のため、本実施
例の説明と併せて図3で示した本発明の各機能ブロック
のより詳細な構成及び動作について随時説明していく。
【0026】図4において、上記サービスを望むユーザ
1は、まず企業5とホームISP3との間でVPN契約
(SLA:Service Level Agreement )を取り交わす
()。契約内容は使用するSPI(Security Paramet
er Index)と鍵群、サービス品質、このVPNを利用可
能なユーザのリストである。企業側は前記SLAに基づ
き、自企業のVPNGW装置51にISP3のHA31
のVPN情報を設定する。ISP側は企業に示されたユ
ーザのVPNデータベースにこの企業ドメインのアドレ
スとSPI、鍵等を設定する。またVPN情報35とし
てCN−GW対応表に企業ドメインアドレスとVPNG
W装置51のアドレスを登録し、GW種別にVPN動的
設定不可を設定する。
【0027】図5には、本発明で使用するVPNデータ
ベースの構成例を示している。VPNデータベース34
は各ユーザの設定したVPNデータインスタンス1〜n
の集合であり、各インスタンスが一つのVPNに対応す
る。各VPNデータインスタンスは、このVPN情報を
一意に表す識別子であるプロファイル番号(Profile Nu
mber)、ユーザのネットワーク識別子(NAI; Networ
k Access Identifier )、セキュリティゲートウェイ間
の共有のセキュリティ関係を使用するか又はユーザ固有
のセキュリティ関係を使用するかを示すVPN共有指標
(vpnshare)、通信先端末のIPアドレス(destadd
r)、上り方向のQoSクラス(upclass )、下り方向
のQoSクラス(downclass )、IPSecで使用する
上り方向SPI(upSPI ),IPSecで使用する下り
方向SPI(downSPI )で構成される。
【0028】前記VPN共有指標に0が設定された場
合、upclass,downclass,upSP
I,downSPIは省略可能である。このデータベー
スはユーザのNAIで検索され、検索された全てのイン
スタンスは後述するVPN情報キャッシュにアドレス情
報を付加して記録される。なお、データ検索に使用する
データベース検索プロトコルはVPNデータベースを実
装するデータベースの製品等に依存しており、通常はL
DAP(Light Directory Access Protocol )やSQL
が用いられる。また、上述したVPN情報35のCN−
GW対応表については後述の図8にその一例を示す。
【0029】次に、ユーザ1は企業が契約を交わしたホ
ームISP3とローミング契約をしているISP2の任
意のアクセスポイントに接続し、モバイルIPの位置登
録要求(Reg Req)()を送出することでネッ
トワークの利用が可能になる。ローミング契約している
ISP2の接続ポイントとなるFA21はこの登録要求
を認証要求メッセージ(AMR)()に含めて、自I
SP内のローカルAAAサーバ(AAAF)23を介し
て、ユーザのホームISP3のAAA(AAAH)33
に送出する。
【0030】AAAHは認証要求メッセージ(AMR)
に含まれるNAIでVPNデータベース34を検索し、
このユーザに固有のVPN情報35を抽出する。また、
そのCN−GWアドレス対応表よりVPNデータベース
で通信先として指定されている企業ドメインのアドレス
はVPN動的設定不可であることがわかるので、後述す
るVPN情報キャッシュにFA−HA,HA−企業GW
の2つのVPNを設定する。次に、HAに対してこの2
つのVPNのプロファイルを付加した位置登録要求メッ
セージ(HAR)を送信する()。
【0031】図6にはAAAの詳細機能ブロックを、そ
して図7〜12にはその動作例を示している。図6にお
いて、AAA33(23も同様)は、図3で示したAA
Aプロトコル制御部301、AAAVPN制御部302
に加えて、アプリケーションサーバ305、ネットワー
クカーネル303、及び物理ネットワークデバイスイン
タフェース304から構成される。AAAプロトコル制
御部302は、AAAプロトコルを制御するAAAプロ
トコル処理部311から構成される。
【0032】AAAVPN制御部302は、VPNデー
タベース(図5)より抽出したVPN情報をキャッシュ
するVPN情報キャッシュ312、VPN経路決定制御
部313、鍵生成器315から構成される。図7には、
VPN情報キャッシュ312の一例を示している。VP
N情報キャッシュ312はVPN情報キャッシュインス
タンス1〜nの集まりであり、ユーザがネットワークに
アクセスしている間有効なネットワークで一意なユーザ
に固有な情報を含むセッションIDで検索される。各V
PN情報キャッシュインスタンス1〜nは一意な識別子
であるセッションID、このユーザが設定しているVP
Nの数を示すプロファイル数、各VPNの設定情報を含
むVPN情報プロファイル1〜nで構成される。
【0033】各VPN情報プロファイル1〜nは、VP
Nを一意に識別する識別子であるプロファイル番号、V
PN適用のパケットを特定するための送信元と宛先のI
Pアドレストとそのネットマスク、パケットに設定する
TOS値、IPSecをAH,ESP、カプセル化の
み、のいずれかで設定するかを示すセキュリティタイ
プ、IPSecトンネルモードで参照されるIPSec
トンネルの入口と出口である送信元と宛先のゲートウェ
イアドレス、宛先ゲートウェイが動的なVPN設定が可
能かどうかを示す宛先GW種別、上りと下り方向のセキ
ュリティ関係の識別子であるSPI(Security Paramet
er Index)、ESP暗号鍵、ESP認証鍵で構成され
る。
【0034】VPN経路決定制御部313は、その内部
にCN−GWアドレス対応表314を有しており、図8
にCN−GWアドレス対応表の一例を示している。CN
−GWアドレス対応表は、CNアドレス/ネットマス
ク、GWアドレス、及びGW種別を含むアドレスインス
タンス1〜nから構成され、CNアドレス/ネットマス
ク(企業ドメインアドレス)をキーとして検索される。
【0035】アプリケーションサーバは、VPNデータ
ベース34とWEBアプリケーション36から構成され
る。ネットワークカーネル303はIPパケットの回送
とネットワークへの接続点である物理インタフェースを
制御するオペレーティングシステムである。物理ネット
ワークデバイスインタフェース304は物理ネットワー
クデバイスへのインタフェース(ハード制御ドライバ)
であり、通常はLANのNICカードである。
【0036】図9〜13は、AAAの処理フローの一例
を示している。図9はAAAの全体処理フロー例であっ
て、ネットワークカーネル303が物理ネットワークイ
ンタフェース304からパケットを受信すると、そのポ
ート番号によりAAAシグナリングパケットを選択し、
AAAプロトコル制御部301に受信パケットの情報を
渡す(S100)。図10はAAAプロトコル処理部3
11の処理フロー例である。先ず、受信したAAAプロ
トコルのコマンドコードAVP(属性パラメータ)より
受信メッセージを判定する(S101)。認証要求メッ
セージ(AMR)であればステップS102へ、後述す
る認証応答メッセージ(AMA)であればステップS1
03へ、その他であればステップS104へ処理を分岐
する。
【0037】上記した本例の場合には、AAAVPN制
御部302を起動する(S102)。次に、VPNデー
タベース34より抽出したVPN情報又は認証応答メッ
セージ(AMA)をVPN情報キャッシュに設定する
(S103)。そして、CN−GW対応表に従って対応
メッセージを編集、例えば、差別化サービスの設定等を
してから送出する(S104)。AAAH33が送出す
る認証応答メッセージ(AMA)及び位置登録要求メッ
セージ(HAR)にはVPN情報キャッシュを設定した
旨のプロファイルキャッシュAVP(Profile Cache AV
P) を設定する。なお、図11には、図10のステップ
S103におけるメッセージ対応表(送受信メッセージ
とその処理実行主体との関係)を示している。
【0038】図12は、AAAVPN制御部302の処
理フロー例である。AAAVPN制御部302は、始め
にVPNデータベース34を移動端末のNAIで検索し
て対応するVPN情報を読み出す(S105)。次にV
PN経路決定制御部313を起動し(S106)、そし
てVPNデータベース34から読み出したSPI(Secu
rity Parameter Index)がデフォルトSPIであれば処
理を終了し、そうでなければ鍵生成器315で個別の鍵
を生成する(S108)。
【0039】図13は、VPN経路決定制御部313の
処理フロー例である。VPN経路決定制御部313は、
認証要求メッセージ(AMR)の要求元ホストアドレス
からMN1側のVPNGW(FA)21のアドレスを抽
出する(S109)。また、VPNデータベース34か
ら読み出したCNアドレスによりCN−GWアドレス対
応表314を検索してCN52側のVPNGW51のア
ドレスとVPNGW種別を読み出す(S110)。
【0040】次に、前記VPNGW種別が動的VPN設
定可能であればステップS112へ、そうでなければス
テップS113へ処理を分岐する(S111)。本例で
はステップS113の処理を行なうことになる。この場
合、HA31へ通知するVPN情報の送信元GWアドレ
スにHA31のアドレス、宛先GWアドレスにCN−G
Wアドレス対応表314から読み出したGW51のアド
レスを設定する。また、FA21へ通知するVPN情報
の送信元GWアドレスにFA21のアドレス、宛先GW
アドレスにHA31のアドレスを設定して処理を終了す
る(経路をFA−HA−CNに設定)。
【0041】一方、VPNGW種別が動的VPN設定可
能であれば、HA31へ通知するVPN情報の宛先GW
アドレスにFA21のアドレス、送信元GWアドレスに
CN−GWアドレス対応表314から読み出したGW5
1のアドレスを設定する。FA21へ通知するVPN情
報の送信元GWアドレスにFA21のアドレス、宛先G
Wアドレスに同じくCN−GWアドレス対応表より読み
出したGW51のアドレスを設定し終了する(経路をF
A−CN(又はPCN)に設定)。
【0042】図4に戻って、次にHA31はAAAH3
3から受信した位置登録要求メッセージ(HAR)に付
加されたVPN情報をキャッシュし、さらに指定された
差別化サービスのマッピングを行った後、受信した経路
情報に従ってHA31から企業GW51へのIPSec
トンネル(2)とHA31からFA21へのIPSec
トンネル(3)を設定する。また逆方向トンネルのパケ
ットを復号するための情報を後述するIPSec情報テ
ーブルに設定する。なお、企業側のGW51からHA3
1へのIPSecトンネル(1)は最初の契約設定(S
LA)に基いて既に固定的に張られているため、HA3
1から企業GW51への設定処理は不要である。HA3
1は位置登録処理終了後に位置登録応答メッセージ(H
AA)をAAAH33に返送する()。
【0043】AAAH33は前記位置登録応答メッセー
ジ(HAA)を受信すると、次にVPN情報キャッシュ
312からFA−HA間のVPNを抽出し(図13のS
113参照)、FA21に対して設定するこのVPNの
プロファイルを付加した認証応答メッセージ(AMA)
をAAAF23へ送信する()。AAAF23はMN
1のローカルドメイン内での移動に対応するためVPN
情報をAAAF23内にキャッシュした後にそれをFA
21に回送する(図10のS101、103、及び10
4参照)。
【0044】FA21は、認証応答メッセージ(AM
A)に付加されたVPN情報をキャッシュし、さらに指
定された差別化サービスのマッピングを行った後に、F
A21からHA31へのIPSecトンネル(4)を設
定する。また逆方向トンネルのパケットを復号するため
の情報をIPSec情報テーブルに設定する。最後に、
登録応答メッセージ(Reg Rep)をMN1に返送
する()。その結果、MN1のアクセスポイントから
企業のGW51までのVPNが設定される。なお、企業
が指定していないユーザはIPSecトンネルを介して
パケットが回送されないので、これを利用して不正ユー
ザのアクセスを防ぐことも可能になり、また複数のIS
PとSLAを契約する煩わしさから逃れることができ
る。
【0045】図14にはMA(FA、HA、PCN)の
詳細機能ブロックを、そして図15〜24にはその動作
例を示している。図14において、FA,HA,PCN
の各ネットワーク装置は、MAプロトコル制御部32
1、MAVPN制御部322、ネットワークカーネル3
23、及び物理ネットワークデバイスインタフェース3
24から構成される。MAプロトコル制御部321は、
AAAプロトコルを制御するAAAプロトコル処理部3
31とモバイルIPを制御するモバイルIPプロトコル
処理部332から構成される。また、MAVPN制御部
322は、AAA又はMIPプロトコルにより通知され
たVPN情報をキャッシュするVPN情報キャッシュ3
33、QoS制御部334、及びトンネル制御部335
から構成される。
【0046】VPN情報キャッシュ333は先に図7で
説明したのと同様の構成である。QoS制御部334
は、VPN情報キャッシュ333に設定されたTOS値
と、TOS値をマーキングするパケットを識別するため
の送信元アドレス、宛先アドレス及びそれらのネットマ
スクからなるフィルタ情報をネットワークカーネル32
3に設定する。トンネル制御部335は、VPN情報キ
ャッシュ333に設定された宛先のIPアドレストに対
してルートテーブル337の出口デバイスを仮想デバイ
スに書き換える。またIPSec情報テーブル336に
送信元と宛先のIPアドレストとそのネットマスク、セ
キュリティタイプ、送信元と宛先のゲートウェイアドレ
ス、上りと下り方向のセキュリティ関係の識別子である
SPI、ESP暗号鍵、ESP認証鍵を設定する。ネッ
トワークカーネル323から仮想デバイスに出力された
パケットはIPSec情報テーブル335を参照して、
暗号化とカプセル化が実行される。
【0047】図15には、IPSec情報テーブル33
3の一例を示している。IPSec情報テーブルは、I
PSec情報、ESP情報、トンネル情報で構成され
る。IPSec情報はIPSec情報インスタンスの集
まりであり、送信元アドレスと宛先アドレスの組で特定
される。IPSec情報インスタンスは送信元アドレス
/ネットマスク、宛先アドレス/ネットマスク、パケッ
トの実際の回送先である実宛先アドレス、このパケット
に適用するトンネル情報の識別子、このパケットに適用
するESP情報の識別子から構成される。ESP情報は
ESP情報インスタンスの集まりであり、ESP情報を
一意に識別するESP識別子、暗号化手法、方向、AH
認証鍵長、ESP認証鍵長、ESP暗号鍵長、AH認証
鍵、ESP認証鍵、ESP暗号鍵で構成される。トンネ
ル情報はトンネル情報インスタンスの集まりであり、ト
ンネル情報を一意に識別するトンネル識別子、カプセル
化手法、方向、トンネルの入口と出口になる送信元アド
レスと宛先アドレスから構成される。
【0048】ネットワークカーネル323は、IPパケ
ットの回送とネットワークへの接続点である物理インタ
フェースを制御するオペレーティングシステムであり、
IPパケット回送のルートを決定するルーティングテー
ブル337を持つ。ネットワークカーネル323はIP
パケットのカプセル化、パケット編集、パケット送出の
キュー制御等を行うが、これらの機能はオペレーティン
グシステムに依存しており、本発明では言及しない。
【0049】図16にルーティングテーブル337の一
例を示す。一般的なルーティングテーブル337は、宛
先アドレス、ゲートウェイアドレス、ネットマスク、メ
トリック、出口インタフェースとその他の制御用補助情
報から構成されており、宛先アドレスとメトリックでル
ートが決定される。本発明はルートテーブルの構成には
依存しないが、出力先に仮想デバイスを設定できるよう
なネットワークカーネルを例に以降の具体的な説明を行
う。又、ネットワークカーネルはカプセル化されたパケ
ットを受信すると、パケットをデカプセル化する機能を
持っており、デカプセル後のパケットがESPヘッダを
含んでいれば、トンネル制御部335で保持しているE
SP情報を参照して暗号化されたパケットをデコードす
る機能を持つ。物理ネットワークデバイスインタフェー
ス324は物理ネットワークデバイスへのインタフェー
ス(ハード制御ドライバ)であり、物理ネットワークデ
バイスは例えばLAN,ISDN,ATM等のパッケー
ジ又はNICカードである。
【0050】図17〜24には、MAの処理フロー例を
示している。以下、各処理フロー例を用いて本願発明に
よるMA処理について説明する。図17は、MAの全体
処理フローである。ネットワークカーネル323は物理
ネットワークインタフェース324よりパケットを受信
すると、既に概略を説明したようにデカプセル化及び暗
号化復号を行った後、受信パケットをシグナリングパケ
ットかデータパケットかで切り分ける(S200)。シ
グナリングパケットの選択はMAプロトコル制御部32
1が指定したポート番号でパケットを受信したかどうか
で決定される。シグナリングパケットであればステップ
S201、それ以外であればステップS203へ処理を
分岐する。
【0051】シグナリングパケットの場合はMAプロト
コル制御部321へ受信パケットの情報を渡し、AAA
プロトコル処理331及びモバイルIPプロトコル処理
332を行う(S201)。次に、MAVPN制御部3
22を起動してVPN情報の設定を行う(S202)。
ステップS203では、ネットワークカーネルが受信パ
ケットの出力先のインタフェースを、ルーティングテー
ブル337を参照して決定する。ネットワークカーネル
323はカーネル内に予め設定された差別化サービスの
フィルタリング条件に従ってパケットの編集を行う。出
力先が仮想デバイスであればステップS204へ処理を
分岐する。出力先が物理デバイスであれば、そのデバイ
スへパケットを回送する。
【0052】ステップS204では、MAVPN制御部
322へ回送するパケットの情報を渡し、予め設定され
た情報に基づきトンネル化及び暗号化処理を行う。トン
ネル処理でIPパケットをカプセル化する場合は、オリ
ジナルパケットのTOS情報を引き継ぐ。IPパケット
の編集が終了したパケットは、再度、ネットワークカー
ネル323に戻され、新しく付与されたIPパケットの
宛先に基づいてルーティングテーブル337が参照され
て対応する物理デバイスへパケットの回送が行われる。
【0053】図18は、MAプロトコル制御部321の
処理フロー例である。先ず、受信したパケットのポート
番号を調べ、AAAプロトコルのポート番号であればス
テップS206へ、一方モバイルIPプロトコルであれ
ばステップS207へ処理を分岐する(S205)。ス
テップS206では、AAAプロトコル処理部331を
起動してAAAプロトコルの処理後に(図19参照)、
AAAプロトコルに情報の一部として付加されているモ
バイルIPプロトコルを取り出してステップS207へ
処理を渡す。ステップS207では、モバイルIPプロ
トコル処理部332を起動して処理を終了する。
【0054】図19は、AAAプロトコル処理部331
の処理フロー例である。先ず、受信したAAAプロトコ
ルより、VPN情報を抽出してそれをVPN情報キャッ
シュ333へ設定する。次に、後述のモバイルIPプロ
トコル処理部332が参照するために、キャッシュの設
定及び更新を行った場合に共有メモリ上に更新したこと
を示すフラグを立てる(S208)。AAAプロトコル
の処理後、AAAプロトコルに情報の一部として付加さ
れているモバイルIPプロトコルを取り出す(S20
9)。そして、受信メッセージが位置登録要求メッセー
ジ(HAR)なら位置登録応答メッセージ(HAA)を
送出する(S210及び211)。
【0055】図20はモバイルIPプロトコル処理部3
32の処理フロー例である。ステップS212では、受
信したモバイルIPプロトコルメッセージのタイプを判
定する。タイプが登録要求であればステップS213
へ、登録応答であればステップS220へ、BU(Bindi
ng Update),BA(Binding Acknowledge) であばステッ
プS218へそれぞれ処理を分岐する。
【0056】A.登録要求の場合 登録要求を受信したMAがHAの場合は、登録要求メッ
セージの気付アドレスと移動性結合内の旧気付アドレス
とを比較し、比較結果が異なればステップS214へ処
理を分岐する。比較結果が一致した場合又は登録要求を
受信したMAがFAの場合はステップS217へ処理を
分岐する(S213)。ステップS214では位置登録
メッセージを送出したMNのVPN情報キャッシュイン
スタンスを特定し、VPN情報キャッシュ333の宛先
GWアドレスを気付アドレスで通知されたアドレスに書
き換える。
【0057】この特定方法は例えばセッションIDにM
NのIPアドレスを持たせることや、移動性結合とVP
N情報キャッシュインスタンスのリンクを持たせること
で実現可能である。HAは特定したVPN情報キャッシ
ュインスタンスに設定されている全てのVPN情報プロ
ファイルを検索し、宛先GW種別が動的VPN設定可能
であれば、そのプロファイルの送信元アドレスに対して
VPN情報を設定したBUメッセージを編集して送出す
る(S215)。ステップS216ではMAVPN制御
部322を起動し、図21のメッセージ対応表に示すよ
うに、受信メッセージと処理MAで特定されるメッセー
ジを編集して送出する(S217)。
【0058】B.登録応答の場合 ステップS220では、AAAプロトコル処理部331
によりあらかじめ共有メモリに設定されたキャッシュ更
新情報を参照し、更新有りであればステップS216
へ、更新無しであればステップS217へ処理を分岐す
る。
【0059】C.BU,BAの場合 ステップS218では、受信メッセージがBUであれば
ステップS219へ、BAであればステップS217へ
処理を分岐する。PCNの場合は、PCN配下のCN宛
てのBUメッセージを全て代理受信する。この仕組み
は、例えば特許2000−32372の方式で実現され
る。処理MAがPCNの場合はBUメッセージに設定さ
れたVPN情報をVPN情報キャッシュ333に設定も
しくは置換する。処理MAがFAの場合はVPN情報キ
ャッシュ333の宛先GWアドレスをBUメッセージで
通知された新FAアドレスに変更する(S219)。
【0060】図22は、MAVPN制御部322の処理
フロー例である。ステップS221ではQoS制御部3
34を起動し、次にステップS222でトンネル制御部
335を起動する。図23は、QoS制御部334の処
理フロー例である。先ず、ステップS223でVPN情
報インスタンスの情報を元にネットワークカーネル32
3に設定済みの差別化サービスの情報を削除する。次
に、VPN情報インスタンスのTOS値が0以外であれ
ばステップS225へ処理を分岐し、そうでなければ処
理を終了する(S224)。ステップS225では、V
PN情報インスタンスの情報を元にネットワークカーネ
ルに差別化サービスの情報を設定する(S225)。
【0061】図24は、トンネル制御部の処理フロー例
である。先ず、VPN情報インスタンスの情報を元にネ
ットワークカーネル323に設定済みのルートテーブル
337の情報とIPSec情報テーブル336の該当す
る情報を削除する(S226)。次に、VPN情報イン
スタンスのVPN情報プロファイルに設定された宛先ア
ドレスの出力先を仮想デバイスに設定し(S227)、
またVPN情報インスタンスのVPN情報プロファイル
を参照して、IPSec情報テーブル336のトンネル
情報インスタンスを設定する(S228)。
【0062】ステップS229では、VPN情報インス
タンスのVPN情報プロファイル内セキュリティタイプ
を参照して、ESPかAHが指定されていればステップ
S230へ処理を分岐し、そうでなければ処理を終了す
る。ステップS230では、VPN情報インスタンスの
VPN情報プロファイル内SPIを参照して、SPIが
ユーザ個別であればステップS231へ、デフォルトS
PIであればステップS232へ処理を分岐する。この
デフォルトSPIについては予めMA内に初期構成時や
MAのローカルな保守コンソールから設定されているも
のとする。ステップS231では、VPN情報インスタ
ンスのVPN情報プロファイルのSPIと関連する鍵情
報をESP情報インスタンスに設定する。また、ステッ
プS232では、IPSec情報インスタンスにESP
識別子を設定する。
【0063】以降では、これまで説明してきた事項をも
とに、本願発明動作の理解をより一層深めるために、先
に説明した第1の実施例とは別の本発明の種々の実施態
様例について説明する。図25は、本発明の第2の実施
例を示したものである。本例は、同一ドメイン内移動時
のVPN設定例(静的HA−CN間VPN存在時)を示
している。ここでは、先の実施例1でローミング契約I
SP2のFA21から企業ドメインのGW51にVPN
が設定された後、ユーザのMN1が同一ローミング契約
ISP2の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
【0064】図25において、ユーザのMN1が同一ド
メイン2内でFA21から新FA21’へ移動すると、
モバイルIP経路最適化ドラフト(draft-ietf-mobilei
p-optim-09)に規定されているように、旧FA21のア
ドレスを含めた登録要求メッセージ(Reg Req)
を送出する()。新FA21’はこの登録要求を認証
要求メッセージ(AMR)に含めて()、自ISP2
内のローカルAAAサーバ(AAAF)23に送出す
る。AAAF23は、認証要求メッセージ(AMR)に
旧FA21の情報が含まれている場合、VPN情報キャ
ッシュからFA−HAのVPNを抽出してFA21のア
ドレスを新FA21’のアドレスに置換した後、FAに
設定するこのVPNのプロファイルを付加した認証応答
メッセージ(AMA)を新FA21’へ返送する
()。
【0065】FA21’は先にMN1から受信した登録
要求メッセージ(Reg Req)をHA31に回送す
る()。HA31はVPN情報キャッシュのうち、H
AからFAへのVPNプロファイルを特定し、FAのア
ドレスを新FA21’に書き換える。次に、旧FA21
へのIPSecトンネルを削除し、新FA21’へ新た
なIPSecトンネル(1)を設定する。そして、位置
登録処理終了後、登録応答メッセージ(Reg Re
p)をFA21’に返送する()。
【0066】FA21’は、VPN情報キャッシュを参
照して指定された差別化サービスのマッピングを行った
後、FA21’からHA31へのIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。さらに、VPN情報キャッシュを複写して送信元G
Wアドレスを旧FA21、宛先GWアドレスを新FA2
1’に書き換えた後に、このVPN情報をBUメッセー
ジに付加して旧FA21に送信する()。
【0067】旧FA21はBUメッセージに付加された
VPN情報をキャッシュし、FA21からHA31への
IPSecトンネルを削除し、指定された差別化サービ
スのマッピングを行った後、旧FA21から新FA2
1’へスムースハンドオフ時のIPSecトンネル
(3)を設定する。その結果、HA31が新たなIPS
ecトンネル(1)への切り替え前にMN1宛に旧FA
21で受信したパケットは全てこのIPSecトンネル
(3)を介して新FA21’へ回送される。旧FA21
はIPSecトンネル(3)の設定完了後にBAメッセ
ージをMNに返送する()。これにより、新FA2
1’は登録応答メッセージ(Reg Rep)をMN1
に返送する()。
【0068】図26は、本発明の第3の実施例を示した
ものである。本実施例は、異なる管理ドメイン間移動時
のVPN設定例(静的HA−CN間VPN存在時)を示
しており、ここでは、実施例1でローミング契約ISP
2のFA21から企業ドメインのGW51にVPNが設
定された後、ユーザのMN1が異なるローミング契約I
SP2’の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
【0069】図26において、ユーザのMN1は異なる
管理ドメイン2−2’間を移動すると、DIAMETE
RモバイルIP拡張ドラフト(draft-ietf-calhoun-dia
meter-mobileip-08)に規定されているように、通常の初
回位置登録と同じ手順で、登録要求(Reg Req)
を送出する()。移動先のFA21’はこの登録要求
を認証要求メッセージ(AMR)に含め()、自IS
P内のローカルAAAサーバ(AAAF)22’を介し
て、ユーザのホームISPのAAA(AAAH)33に
送出する。
【0070】AAAH33は、VPN情報キャッシュに
FA−HA,HA−企業GWの2つのVPNが設定済な
ので、FA−HAに関するVPNのFAを新FA21’
のアドレスに書き換える。次に、HA31にこの2つの
VPNのプロファイルを付加した位置登録要求メッセー
ジ(HAR)を送信する()。HA31は、位置登録
要求メッセージ(HAR)に付加されたVPN情報でキ
ャッシュを更新し、HA31から旧FA21へのIPS
ecトンネルを削除後、新FA21’への新たなIPS
ecトンネル(1)を設定する。そして、位置登録処理
終了後、位置登録応答メッセージ(HAA)をAAAH
に返す()。この時、旧FA21のアドレスの情報を
付加情報として返す。
【0071】AAAH33は位置登録応答メッセージ
(HAA)を受信すると、VPN情報キャッシュからF
A−HAのVPNを抽出し、FAに設定するこのVPN
のプロファイルを付加した認証応答メッセージ(AM
A)をAAAF23’へ送信する()。AAAF2
3’はMN1のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、それ
をFA21’に回送する。FA21’は、認証応答メッ
セージ(AMA)に付加されたVPN情報をキャッシュ
し、指定された差別化サービスのマッピングを行った後
にFA21’からHA31へのIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。
【0072】さらに、認証応答メッセージ(AMA)に
旧FAのアドレスが含まれている場合はVPN情報キャ
ッシュを複写し、送信元GWアドレスを旧FA21、宛
先GWアドレスを新FA21’に書き換えた後にこのV
PN情報をBUメッセージに付加して旧FA21に送信
する()。旧FA21はBUメッセージに付加された
VPN情報をキャッシュし、FAからHAへのIPSe
cトンネルを削除し、指定された差別化サービスのマッ
ピングを行った後にこのFA21から新FA21’へハ
ンドオフ時のIPSecトンネル(3)を設定する。
【0073】その結果、HA31がIPSecトンネル
(1)への切り替え前にMN1宛に旧FA21が受信し
たパケットは全てこのIPSecトンネル(3)を介し
て新FA21’へ回送される。FA21はIPSecト
ンネル(3)の設定完了後にBAメッセージを新FA2
1’に返す()。これにより、FA21’は登録応答
メッセージ(Reg Rep)をMN1に返送する
()。上述した実施例2及び3によれば、企業とIS
Pを介して通信を行うユーザは、企業のGW装置に特殊
な機能を持つことなく、ISPが提供するモバイル対応
VPNのサービスを享受する事が可能となる。
【0074】図27は、本発明の第4の実施例を示した
ものである。本実施例は、初期位置登録時のVPN設定
例(PCN存在時)を示しており、ここでは通信先のロ
ーミング契約ISPが動的にVPN設定可能なVPN
GW(PCN)を配備している場合のVPN設定例を図
式的に示している。動的にVPN設定可能なVPNGW
を持つISPはISP間でローミング契約を結ぶとき
に、各々のプロバイダのCN−GW対応表にISPのド
メインアドレスとGW装置アドレスを登録し、GW種別
にVPN動的設定可を設定する。
【0075】図27において、これらのローミンググル
ープのいずれかのISPに加入しているユーザは最寄り
のアクセスポイントに接続し、そのMN1よりモバイル
IPの位置登録要求(Reg Req)を送出する
()。FA21はこの登録要求を認証要求メッセージ
(AMR)に含めて自ISP内のローカルAAAサーバ
(AAAF)23を介して、ユーザのホームISPのA
AA(AAAH)33に送出する()。
【0076】AAAH33は、認証要求メッセージ(A
MR)に含まれたNAIでVPNデータベース34を検
索し、このユーザに固有のVPN情報を抽出する。VP
Nデータベース34にユーザ通信先として指定している
アドレスがローミング契約ISP4内であれば、CN−
GWアドレス対応表からVPN動的設定可であることが
わかるので、VPN情報キャッシュにFA−通信先IS
P4のGW(PCN)41のVPNを設定する。HA3
1にこのVPNのプロファイルを付加した位置登録要求
メッセージ(HAR)を送信する()。HA31は位
置登録要求メッセージ(HAR)に付加されたVPN情
報をキャッシュする。そして、位置登録処理終了後、V
PN情報に設定された通信先GW41のGW種別を参照
し、VPN動的設定可であるので、通信先端末CN42
宛てにこのVPN情報を付加したMIP結合更新メッセ
ージBUを送出する()。
【0077】PCN41は、CN42宛てに送出された
BUを代理受信し、BUに付加されたVPN情報をキャ
ッシュする。通知されたVPN情報に従い差別化サービ
スのマッピングを行った後、PCN41からFA21へ
IPSecトンネル(1)を設定する。その後、MIP
結合承認メッセージBAをHA31に送出する()。
HA31はBAを受信すると位置登録応答メッセージ
(HAA)をAAAH33に返す()。AAAH33
は位置登録応答メッセージ(HAA)を受信すると、V
PN情報キャッシュからFA−通信先ISP4のGW
(PCN)のVPNを抽出し、FA21に設定するこの
VPNのプロファイルを付加した認証応答メッセージ
(AMA)をAAAF23へ送信する()。AAAF
23はMN1 のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、FA
21に回送する。
【0078】FA21は認証応答メッセージ(AMA)
に付加されたVPN情報をキャッシュし、指定された差
別化サービスのマッピングを行った後、FA21からP
CN41へIPSecトンネル(2)を設定する。また
逆方向トンネルのパケットを復号するための情報をIP
Sec情報テーブルに設定する。その後、登録応答メッ
セージ(Reg Rep)をMNに返す()。これに
より、ローミング契約をしたISPグループ内であれ
ば、ユーザは任意の通信先とVPN通信をすることでき
る。
【0079】図28は、本発明の第5の実施例を示した
ものである。本実施例は、同一ドメイン内移動時のVP
N設定例(PCN存在時)を示しており、ここでは実施
例4でローミング契約ISP2のFA21から任意のロ
ーミング契約ISP4のPCN41にVPNが設定され
た後、ユーザのMN1が同一ローミング契約ISP2の
別のFA21’に移動した場合に、どのようにVPNが
再構築されるかを図式的に示している。
【0080】図28において、ユーザのMN1は同一ド
メイン2内でFA21からFA21’へ移動すると、モ
バイルIP経路最適化ドラフト(draft-ietf-mobileip-
optim-09)に規定されているように、登録要求メッセー
ジ(Reg Req)には旧FA21のアドレスを含め
て送出する()。新FA21’はこの登録要求を認証
要求メッセージ(AMR)に含めて自ISP内のローカ
ルAAAサーバ(AAAF)23に送出する()。A
AAF23は、認証要求メッセージ(AMR)に旧FA
21の情報が含まれている場合、VPN情報キャッシュ
からFA−PCNのVPNを抽出し、FAのアドレスを
新FA21’のアドレスに置換した後、FAに設定する
このVPNのプロファイルを付加した認証応答メッセー
ジ(AMA)を新FA21’へ送信する()。
【0081】FA21’は先にMN1から受信した登録
要求メッセージ(Reg Req)をHA31に回送す
る()。HA31はVPN情報キャッシュのうち、こ
のMN1が利用しているVPNのVPNプロファイルを
特定し、FAのアドレスを新FA21’に書き換える。
本実施例の場合、既にVPNはFA21とPCN41と
の間に直接設定されているため、その旨をPCN41へ
BUメッセージで通知する()。なお、BUメッセー
ジを送出するか否かはVPN情報キャッシュの通信先G
Wの種別が動的VPN設定可であるかどうかで判定す
る。
【0082】PCN41は、BUの受信により旧FA2
1へのIPSecトンネルを削除し、それに代えて新F
A21’へのIPSecトンネル(1)を設定する。そ
の後、BAメッセージをHA31に送信する()。H
A31はBAメッセージの受信により登録応答メッセー
ジ(Reg Rep)を新FA21’に送信する
()。新FA21’はVPN情報キャッシュを参照し
て、指定された差別化サービスのマッピングを行った
後、新FA21’からPCN41へIPSecトンネル
(2)を設定する。また逆方向トンネルのパケットを復
号するための情報をIPSec情報テーブルに設定す
る。更にVPN情報キャッシュを複写し、送信元GWア
ドレスを旧FA21、宛先GWアドレスを新FA21’
に書き換えた後、このVPN情報をBUメッセージに付
加して旧FA21に送信する()。
【0083】旧FA21はBUメッセージに付加された
VPN情報をキャッシュし、旧FA21からPCN41
へのIPSecトンネルを削除し、指定された差別化サ
ービスのマッピングを行った後に旧FA21から新FA
21’へスムースハンドオフ時のIPSecトンネル
(3)を設定する。旧FA21がIPSecトンネルへ
の切り替え前にPCN41からMN1宛に受信したパケ
ットは全てこのIPSecトンネル(3)を介して新F
A21へ回送される。FA21は、IPSecトンネル
設定完了後にBAメッセージを返送する()。新FA
21’は登録応答メッセージ(Reg Rep)をMN
1に返送する(’) 。
【0084】図29は、本発明の第6の実施例を示した
ものである。本実施例は、異なる管理ドメイン間移動時
のVPN設定例(PCN存在時)を示しており、ここで
は実施例4でローミング契約ISP2のFA21から任
意のローミング契約ISP4のPCN41にVPNが設
定された後、ユーザのMN1が異なるローミング契約I
SP2’の別のFA21’に移動した場合に、どのよう
にVPNが再構築されるかを図式的に示している。
【0085】図29において、ユーザのMN1は異なる
管理ドメイン間2−2’を移動すると、DIAMETE
RモバイルIP拡張ドラフト(draft-ietf-calhoun-dia
meter-mobileip-08)に規定されているように、通常の初
回位置登録と同じ手順で登録要求メッセージ(Reg
Req)を送出する()。FA21’はこの登録要求
を認証要求メッセージ(AMR)に含めて自ISP内の
ローカルAAAサーバ(AAAF)23’を介して、ユ
ーザのホームISPのAAA(AAAH)33に送出す
る()。AAAH33は、VPN情報キャッシュにF
A21−PCN41のVPNが設定済なので、このFA
21のアドレスを新FA21’のアドレスに書き換え
る。そして、HA31にはこのVPNのプロファイルを
付加した位置登録要求メッセージ(HAR)を送信する
()。
【0086】HA31は、位置登録要求メッセージ(H
AR)に付加されたVPN情報でキャッシュを更新し、
BUメッセージをPCN41へ送出する()。PCN
41はBUメッセージを受信すると、旧FA21へのI
PSecトンネルを削除し、新FA21’へIPSec
トンネル(1)を設定する。その後、BAメッセージを
HA31に送信する()。HA31はBAメッセージ
を受信すると位置登録応答メッセージ(HAA)をAA
AH33に返送する()。この時、旧FA21のアド
レスの情報を付加情報として返す。
【0087】AAAH33は位置登録応答メッセージ
(HAA)を受信すると、VPN情報キャッシュからF
A−PCNのVPNを抽出し、FAに設定するこのVP
Nのプロファイルを付加した認証応答メッセージ(AM
A)をAAAF23’へ送信する()。AAAF2
3’はMN1のローカルドメイン内での移動に対応する
ためVPN情報をAAAF内にキャッシュした後、それ
を新FA21’に回送する。新FA21’は認証応答メ
ッセージ(AMA)に付加されたVPN情報をキャッシ
ュし、指定された差別化サービスのマッピングを行った
後、新FA21’からPCN41へのIPSecトンネ
ル(2)を設定する。また逆方向トンネルのパケットを
復号するための情報をIPSec情報テーブルに設定す
る。
【0088】本例のように認証応答メッセージ(AM
A)に旧FA21のアドレスが含まれている場合は、V
PN情報キャッシュを複写し、送信元GWアドレスを旧
FA21、宛先GWアドレスを新FA21’に書き換え
た後、このVPN情報をBUメッセージに付加して旧F
A21に送信する()。旧FA21はBUメッセージ
に付加されたVPN情報をキャッシュし、旧FA21か
らPCN41へのIPSecトンネルを削除し、指定さ
れた差別化サービスのマッピングを行った後、このFA
21から新FA21’へスムーズハンドオフ時のIPS
ecトンネル(3)を設定する。
【0089】IPSecトンネルの切り替え前にMN1
宛にPCN41から受信したパケットは全てこのIPS
ecトンネルを介して新FA21’へ回送される。旧F
A21はIPSecトンネル(3)の設定完了後にBA
メッセージをMNに返す()。それにより、新FA2
1’は登録応答メッセージ(Reg Rep)をMN1
に返送する(’)。実施例5及び6に示すように、本
発明によればローミング契約ISPグループに加入して
いるユーザはグループ内の任意の通信先とVPNを設定
でき、またVPNを保持したままでグループ内を自由に
移動することができる。
【0090】図30は、本発明の第7の実施例を示した
ものである。本実施例はユーザ指定の任意の端末間での
VPN設定例を示しており、これまではユーザが指定し
た特定の通信先に対してVPNを設定する例を示した
が、ユーザがVPNを設定する通信先を動的に設定する
こともできる。この実施例では、ユーザが契約時に指定
していた通信先以外の通信先にVPNを設定する例を示
す。
【0091】VPN設定先の変更を望むユーザは、ユー
ザのホームISP3が提供するVPNサービスカスタマ
イズ用のホームページにアクセスする。ユーザは、この
ホームページを介して、通信先のアドレスを設定する。
このホームページと連動したWEBアプリ36はVPN
データベース34の該ユーザのVPN情報をユーザが指
定した情報に変更する()。ユーザのMN1はカスタ
マイズが終了すると、サービス更新要求を付加した位置
登録要求メッセージ(Reg Req)を現在接続して
いるFA21へ送出する()。FA21はサービス更
新要求が付加された登録要求を受信すると、この登録要
求を認証要求メッセージ(AMR)に含めて自ISP内
のローカルAAAサーバ(AAAF)23を介して、ユ
ーザのホームISPのAAA(AAAH)33に送出す
る()。
【0092】AAAH33は、VPN情報キャッシュが
既に存在するか否かに関係なくサービス更新要求が付加
されたメッセージを受信すると、認証要求メッセージ
(AMR)に含まれたNAIでVPNデータベース34
を検索し、このユーザに固有のVPN情報を抽出する。
VPNデータベース34にユーザ通信先として指定して
いるアドレスがローミング契約ISP内であれば、CN
−GWアドレス対応表からVPN動的設定可であること
がわかるので、本例ではVPN情報キャッシュにFA2
1−通信先ISPのGW(PCN)41’のVPNを設
定する。HA31にこのVPNのプロファイルを付加し
た位置登録要求メッセージ(HAR)を送信する
()。
【0093】HA31は、位置登録要求メッセージ(H
AR)に付加されたVPN情報をキャッシュする。位置
登録処理終了後、VPN情報に設定された通信先GW4
1’のGW種別を参照し、VPN動的設定可であるので
通信先端末CN42’宛てにこのVPN情報を付加した
MIP結合更新メッセージBUを送出する()。P
CN41’はCN42’宛てに送出されたBUを代理受
信し、BUメッセージに付加されたVPN情報をキャッ
シュする。通知されたVPN情報に従い差別化サービス
のマッピングを行った後、PCN41’からFA21へ
のIPSecトンネル(1)を設定する。その後、MI
P結合承認メッセージBAをHA31に返送する。
【0094】HA31はBAメッセージを受信すると位
置登録応答メッセージ(HAA)をAAAH33に返す
()。AAAH33は位置登録応答メッセージ(HA
A)を受信すると、VPN情報キャッシュからFA21
−通信先ISPのGW(PCN)41’のVPNを抽出
し、FA21に設定するこのVPNのプロファイルを付
加した認証応答メッセージ(AMA)をAAAF23へ
送信する()。AAAF23はMN1のローカルドメ
イン内での移動に対応するためVPN情報をAAAF内
にキャッシュした後、それをFA21に回送する。
【0095】FA21は認証応答メッセージ(AMA)
に付加されたVPN情報をキャッシュし、指定された差
別化サービスのマッピングを行った後、FA21からP
CN41’へのIPSecトンネル(2)を設定する。
また逆方向トンネルのパケットを復号するための情報を
IPSec情報テーブルに設定する。その後、登録応答
メッセージ(Reg Rep)をMNに返す()。V
PN変更前に設定されていたVPNが存在していれば、
VPN情報を保持しているPCN41はライフタイムの
残り時間が閾値以下になった時、このVPN情報を通知
してきたHA31へ結合要求メッセージBRを送出して
VPNを削除して良いか尋ねる(’)。
【0096】HA31はBRメッセージを受信すると、
それに設定されたMN1の情報からVPN情報キャッシ
ュを検索し、このPCN41に関するVPNがまだキャ
ッシュされているか調べる。キャッシュされていればB
UメッセージをPCN41へ送出する。キャッシュされ
ていなければ何も送らない。本例ではPCN41はライ
フタイム満了までにBUが受信されないため既存のVP
Nを削除する。このように、ユーザが動的にVPN設定
先を指定することもできる。本実施例では、単純にWE
Bを介してVPN設定先を指定する例を示したが、本発
明の本質は、モバイル環境での指定された設定先へのV
PN情報の配布とその設定・解放手段であり、通信先の
指定方法とそれに伴うVPNデータベース34への反映
手段は様々なものが可能である。例えば、携帯電話によ
る通信先とVPNコードのダイヤルや、通信先サーバか
らの1クリックVPN設定等の応用例が考えられる。
【0097】(付記1)モバイルIPネットワークにお
けるVPNシステムは、移動端末と、ユーザのホームネ
ットワークに設けられたホーム認証サーバとそれ以外の
外部ネットワークに設けられた外部認証サーバと、ホー
ムネットワークに設けられたVPNデータベースと、ホ
ームネットワーク、外部ネットワーク、及び所定の通信
ホスト及び/又はその代理サーバの各ゲートウェイ機能
を有するネットワーク装置と、で構成され、ホーム認証
サーバは、移動端末からの位置登録要求時に認証を要求
したユーザのVPN情報をVPNデータベースから抽出
し、そのVPN情報を所定の位置登録メッセージ及び認
証応答メッセージを用いて各ネットワーク装置に通知
し、各ネットワーク装置は、通知されたVPN情報を基
にホームネットワーク装置と外部ネットワーク装置間、
ホームネットワーク装置と所定のネットワーク装置間、
及び/又は外部ネットワーク装置と所定のネットワーク
装置間にそれぞれIPSecによるVPNパスを設定す
る、ことを特徴とするVPNシステム。 (付記2)認証サーバ及びネットワーク装置は、移動端
末の移動による位置登録要求と連動して認証サーバ及び
ネットワーク装置にキャッシュされたVPN情報を新経
路情報に更新するか、又はモバイルIPで通知される位
置情報で書き換えることにより、ホームネットワーク装
置と外部ネットワーク装置間、ホームネットワーク装置
と所定のネットワーク装置間、及び/又は外部ネットワ
ーク装置と所定のネットワーク装置間の各VPNパスを
新たなIPSecによるVPNパスに自動更新する、付
記1記載のシステム。 (付記3)さらに、外部認証サーバと外部ネットワーク
装置間の所定の結合更新/承認メッセージにより、それ
らの間のスムースハンドオフ時にIPSecによるVP
Nパスを設定する、付記2記載のシステム。 (付記4)VPNデータベースは、ユーザが所望するサ
ービス品質、セキュリティゲートウェイ間のセキュリテ
ィ・サービス情報、及びVPNを設定する通信先ホスト
のIPアドレス群からなるユーザ単位のVPN情報を格
納する、付記1記載のシステム。 (付記5)ホーム認証サーバは、前記VPNデータベー
スのVPN情報と、自身が保有すると通信先ホストを収
容する所定のネットワーク装置との対応表を用い、所定
の認証要求メッセージに設定された移動端末が接続した
外部ネットワーク装置の情報と移動端末のホームネット
ワーク装置の情報からVPN設定経路を特定するAAA
VPN制御部と、各ネットワーク装置間のサービス品質
とセキュリティ情報をサービスプロファイルとして、ア
クセスネットワークへの所定の認証応答メッセージ及び
ホームネットワークへの位置登録メッセージに設定する
AAAプロトコル処理部と、を有する付記1記載の装
置。 (付記6)各ネットワーク装置は、キャッシュによりV
PN情報が設定されたサービスプロファイルに関連する
プロトコル群を制御するMAプロトコル処理部と、その
サービスプロファイルに従ってサービス品質を保証する
QoS制御とセキュリティゲートウェイ間のセキュリテ
ィを保証するためのトンネルを設定するMAVPN制御
部と、を有する付記1記載の装置。 (付記7)MAプロトコル処理部は、さらに配下のモバ
イルIPをサポートしない通信ホストに代わってホーム
ネットワーク装置からの通信ホストへの結合更新メッセ
ージを代理受信し、結合更新で通知されたVPN情報が
設定されたサービスプロファイルを基に通信ホスト代わ
って他のネットワーク装置へのIPSecトンネルによ
るVPNパスを設定するプロトコル処理を実行する、付
記6記載のシステム。 (付記8)モバイルIPネットワークにおけるVPNの
設定方法は、 − ユーザのネットワーク装置からそのホームエージェ
ントに向けて静的なIPSecトンネルによるVPNパ
スを設定すること、 − ユーザの移動端末から外部エージェントに位置登録
要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
む認証要求メッセージを、自身のローカル認証サーバを
介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
より自身のデータベースを参照して通信先ホスト、ネッ
トワーク装置種別、及びユーザ別のセキュリティ・サー
ビス情報を抽出して外部−ホームエージェント間及びユ
ーザのネットワーク装置−ホームエージェント間のVP
N情報をキャッシュし、それらを含む位置登録要求メッ
セージをホームエージェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
セージをキャッシュし、指定されたセキュリティ・サー
ビスを設定し、ホームエージェントから通信先ホストで
あるユーザのネットワーク装置及び外部エージェントに
向けたIPSecトンネルによるVPNパスを設定し、
位置登録処理の終了後に位置登録応答メッセージをホー
ム認証サーバに送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部−ホームエージェン
ト間のVPN情報を付加した認証応答メッセージを外部
エージェントのローカル認証サーバに送信すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをそのホーム−外部エージェント間のVPN情報をキ
ャッシュしてから外部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
に含まれるVPN情報をキャッシュし、指定されたセキ
ュリティ・サービスを設定し、外部エージェントからホ
ームエージェントに向けたIPSecトンネルによるV
PNパスを設定した後、ユーザの移動端末へ位置登録応
答メッセージを返送すること、から成ることを特徴とす
るVPNの設定方法。 (付記9)さらに、 − ユーザの移動端末が同一ネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、ローカル認証サーバへ送信
すること、 − ローカル認証サーバは、キャッシュしてある外部−
ホームエージェント間のVPN情報の外部エージェント
情報を新外部エージェントの情報に書き換え、その情報
を含む認証応答メッセージを新外部エージェントに送信
すること、 − 新外部エージェントは、受信した位置登録要求メッ
セージをホームエージェントへ回送すること、 − ホームエージェントは、受信した位置登録要求情報
よりキャッシュしてある外部−ホームエージェント間の
VPN情報の外部エージェント情報を新外部エージェン
トの情報に書き換え、ホームエージェントから旧外部エ
ージェントに向けたVPNパスを削除し、指定されたセ
キュリティ・サービスを設定したホームエージェントか
ら新外部エージェントに向けたIPSecトンネルによ
るVPNパスを設定し、位置登録処理の終了後に位置登
録応答メッセージを新外部エージェントに送信するこ
と、 − 新外部エージェントは、受信した位置登録応答メッ
セージに含まれるVPN情報をキャッシュし、指定され
たセキュリティ・サービスを設定し、新外部エージェン
トからホームエージェントに向けたIPSecトンネル
によるVPNパスを設定した後、ユーザの移動端末へ位
置登録応答メッセージを返送すること、を含む付記8記
載の方法。 (付記10)さらに、 − ユーザの移動端末が別のネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、自身のローカル認証サーバ
を介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
よりキャッシュしてある外部−ホームエージェント間の
VPN情報の外部エージェント情報を新外部エージェン
トの情報に書き換え、その情報を含む位置登録要求メッ
セージをホームエージェントに送信すること、 − ホームエージェントは、受信した位置登録要求情報
によりキャッシュしてあるVPN情報を更新し、ホーム
エージェントから旧外部エージェントに向けたVPNパ
スを削除し、指定されたセキュリティ・サービスを設定
したホームエージェントから新外部エージェントに向け
たIPSecトンネルによるVPNパスを設定し、位置
登録処理の終了後に位置登録応答メッセージをホーム認
証サーバに送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部−ホームエージェン
ト間のVPN情報を付加した認証応答メッセージを新外
部エージェントのローカル認証サーバに送信すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをキャッシュしてあるVPN情報を更新してから新外
部エージェントへ回送すること、 − 新外部エージェントは、受信した認証応答メッセー
ジに含まれるVPN情報をキャッシュし、指定されたセ
キュリティ・サービスを設定し、及び新外部エージェン
トからホームエージェントに向けたIPSecトンネル
によるVPNパスを設定した後、ユーザの移動端末へ位
置登録応答メッセージを返送すること、を含む付記8記
載の方法。 (付記11)モバイルIPネットワークにおけるVPN
の設定方法は、 − ユーザの移動端末から外部エージェントに位置登録
要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
む認証要求メッセージを、自身のローカル認証サーバを
介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
より自身のデータベースを参照して通信先ホスト、ネッ
トワーク装置種別、及びユーザ別のセキュリティ・サー
ビス情報を抽出し、ネットワーク装置種別がVPN動的
設定可である場合はVPNキャッシュに外部エージェン
ト−通信先ネットワーク装置のVPNを設定して、それ
らの情報を含む位置登録要求メッセージをホームエージ
ェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
セージをキャッシュし、位置登録処理の終了後にネット
ワーク装置種別がVPN動的設定可である場合は通信先
ホスト宛にこのVPN情報を付加した結合更新メッセー
ジを送出すること、 − ネットワーク装置は結合更新メッセージを代理受信
し、それに付加されたVPN情報をキャッシュし、指定
されたセキュリティ・サービスを設定し、ネットワーク
装置から外部エージェントに向けたIPSecトンネル
によるVPNパスを設定し、その後に結合承認メッセー
ジをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージをホーム認証サーバへ
送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部エージェント−ネッ
トワーク装置間のVPN情報を付加した認証応答メッセ
ージを外部エージェントのローカル認証サーバに送信す
ること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをその付加されたVPN情報をキャッシュしてから外
部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
に含まれるVPN情報をキャッシュし、指定されたセキ
ュリティ・サービスを設定し、外部エージェントからネ
ットワーク装置に向けたIPSecトンネルによるVP
Nパスを設定した後、ユーザの移動端末へ位置登録応答
メッセージを返送すること、から成ることを特徴とする
VPNの設定方法。 (付記12)さらに、 − ユーザの移動端末が同一ネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、ローカル認証サーバへ送信
すること、 − ローカル認証サーバは、キャッシュしてある外部エ
ージェント−ネットワーク装置間のVPN情報の外部エ
ージェント情報を新外部エージェントの情報に書き換
え、その情報を含む認証応答メッセージを新外部エージ
ェントに送信すること、 − 新外部エージェントは、受信した位置登録要求メッ
セージをホームエージェントへ回送すること、 − ホームエージェントは、受信した位置登録要求情報
よりキャッシュしてある外部エージェント−ネットワー
ク装置間のVPN情報の外部エージェント情報を新外部
エージェントの情報に書き換え、ネットワーク装置種別
がVPN動的設定可である場合は通信先ホスト宛にこの
VPN情報を付加した結合更新メッセージを送出するこ
と、 − ネットワーク装置は受信した結合更新メッセージよ
りキャッシュしてあるVPN情報を更新し、ネットワー
ク装置から旧外部エージェントに向けたVPNパスを削
除し、指定されたセキュリティ・サービスを設定したネ
ットワーク装置から新外部エージェントに向けたIPS
ecトンネルによるVPNパスを設定し、その後に結合
承認メッセージをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージを新外部エージェント
へ送信すること、 − 新外部エージェントは、受信した位置登録応答メッ
セージに含まれるVPN情報をキャッシュし、指定され
たセキュリティ・サービスを設定し、新外部エージェン
トからネットワーク装置に向けたIPSecトンネルに
よるVPNパスを設定した後、ユーザの移動端末へ位置
登録応答メッセージを返送すること、を含む付記11記
載の方法。 (付記13)さらに、 − ユーザの移動端末が別のネットワーク内の新たな外
部エージェントのエリアに移動し、そこから旧外部エー
ジェントの位置情報を含む位置登録要求メッセージを送
信すること、 − 新外部エージェントは受信した位置登録要求情報を
含む認証要求メッセージを、自身のローカル認証サーバ
を介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
よりキャッシュしてある外部エージェント−ネットワー
ク装置間のVPN情報の外部エージェント情報を新外部
エージェントの情報に書き換え、その情報を含む位置登
録要求メッセージをホームエージェントに送信するこ
と、 − ホームエージェントは、受信した位置登録要求情報
によりキャッシュしてあるVPN情報を更新し、ネット
ワーク装置種別がVPN動的設定可である場合は通信先
ホスト宛にこのVPN情報を付加した結合更新メッセー
ジを送出すること、 − ネットワーク装置は受信した結合更新メッセージよ
りキャッシュしてあるVPN情報を更新し、ネットワー
ク装置から旧外部エージェントに向けたVPNパスを削
除し、指定されたセキュリティ・サービスを設定したネ
ットワーク装置から新外部エージェントに向けたIPS
ecトンネルによるVPNパスを設定し、その後に結合
承認メッセージをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
すると、位置登録応答メッセージをホーム認証サーバへ
送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
信により、キャッシュしてある外部エージェント−ネッ
トワーク装置間のVPN情報を付加した認証応答メッセ
ージを新外部エージェントのローカル認証サーバに送信
すること、 − ローカル認証サーバは、受信した認証応答メッセー
ジをその付加されたVPN情報をキャッシュしてから新
外部エージェントへ回送すること、 − 新外部エージェントは、受信した認証応答メッセー
ジに含まれるVPN情報をキャッシュし、指定されたセ
キュリティ・サービスを設定し、新外部エージェントか
らネットワーク装置に向けたIPSecトンネルによる
VPNパスを設定した後、ユーザの移動端末へ登録応答
メッセージを返送すること、を含む付記11記載の方
法。 (付記14)さらに、 − 新外部エージェントは、キャッシュしてあるVPN
情報を複写して、送信元を旧外部エージェント及び送信
先を新外部エージェントに書き換えたVPN情報を付加
した結合更新メッセージを旧外部エージェントへ送信す
ること、 − 旧外部エージェントは、受信した結合更新メッセー
ジのVPN情報をキャッシュし、旧外部エージェントか
らホームエージェントに向けたVPNパスを削除し、指
定されたセキュリティ・サービスを設定した旧外部エー
ジェントから新外部エージェントに向けたIPSecト
ンネルによるVPNパスを設定した後、新外部エージェ
ントへ結合承認メッセージを送信すること、を含む付記
9又は12記載の方法。 (付記15)さらに、 − 新外部エージェントは、認証応答メッセージに旧外
部エージェントの情報が含まれている時は、キャッシュ
してあるVPN情報を複写して、送信元を旧外部エージ
ェント及び送信先を新外部エージェントに書き換えたV
PN情報を付加した結合更新メッセージを旧外部エージ
ェントへ送信すること、 − 旧外部エージェントは、受信した結合更新メッセー
ジのVPN情報をキャッシュし、旧外部エージェントか
らホームエージェントに向けたVPNパスを削除し、指
定されたセキュリティ・サービスを設定した旧外部エー
ジェントから新外部エージェントに向けたIPSecト
ンネルによるVPNパスを設定した後、新外部エージェ
ントへ結合確認メッセージを送信すること、を含む付記
10又は13記載の方法。 (付記16)さらに、 − ユーザが所定の通信手段によりそのホーム認証サー
バのデータベースへアクセスしてユーザのVPN情報を
カスタマイズし、それによりネットワーク装置種別がV
PN動的設定可であるネットワーク装置に通信先を変更
すること、 − ユーザの移動端末から外部エージェントにサービス
更新要求を付加した位置登録要求メッセージを送信する
こと、を含む付記11記載の方法。 (付記17)さらに、 − ネットワーク装置は配下の通信ホストのライフタイ
ムを計測し、残りのライフタイムが所定閾値以下になっ
た時にそのVPN情報を通知してきたホームエージェン
トに結合要求メッセージを送信し、結合更新メッセージ
を受信しない場合には前記VPN情報を削除すること、 − ホームエージェントは受信した結合要求メッセージ
に含まれるユーザの移動端末の情報からキャッシュして
あるVPN情報を検索し、前記ネットワーク装置の情報
が存在する場合は結合更新メッセージを送信し、存在し
ない場合には放置すること、を含む付記16記載の方
法。
【0098】
【発明の効果】以上説明したように、本発明によれば以
下に示す効果が奏される。 1)モバイルIPにおける位置登録手順に連携して、通
信に関与する端末の公衆IPネットワークへのセキュリ
ティゲートウェイに動的にIPSecを用いたVPNを
設定する事で、MNやCNにVPN用の特殊な機能を持
たせる事無しに、任意の端末間でのVPN設定サービス
の提供を可能にする。 2)ユーザが自由に組み合わせて指定したサービス品
質、セキュリティレベル、経路でのVPN設定を可能に
する。 3)MNの移動に伴い、VPNの経路を自動更新するこ
とを可能にする。
【図面の簡単な説明】
【図1】既存提案によるモバイルIP+IPSecの適
用例を示した図である。
【図2】本発明によるネットワーク構成の一例を示した
図である。
【図3】本発明の機能ブロック構成例を示した図であ
る。
【図4】本発明の第1の実施例を示した図である。
【図5】VPNデータベースの構成例を示した図であ
る。
【図6】AAAの詳細機能ブロック構成例を示した図で
ある。
【図7】VPN情報キャッシュの構成例を示した図であ
る。
【図8】CN−GWアドレス対応表を示した図である。
【図9】AAAの全体処理フロー例を示した図である。
【図10】AAAプロトコル処理部の処理フロー例を示
した図である。
【図11】図10でのメッセージ対応表を示した図であ
る。
【図12】AAAVPN制御部の処理フロー例を示した
図である。
【図13】VPN経路決定制御部の処理フロー例を示し
た図である。
【図14】MA(FA,HA,PCN)の詳細機能ブロ
ック例を示した図である。
【図15】IPSec情報テーブルの構成例を示した図
である。
【図16】ルートテーブルの構成例を示した図である。
【図17】MAの全体処理フロー例を示した図である。
【図18】MAプロトコル処理部の処理フロー例を示し
た図である。
【図19】AAAプロトコル処理部の処理フロー例を示
した図である。
【図20】モバイルIPプロトコル処理部の処理フロー
例を示した図である。
【図21】図20でのメッセージ対応表を示した図であ
る。
【図22】MAVPN制御部の処理フロー例を示した図
である。
【図23】QoS制御部の処理フロー例を示した図であ
る。
【図24】トンネル制御部の処理フロー例を示した図で
ある。
【図25】本発明の第2の実施例を示した図である。
【図26】本発明の第3の実施例を示した図である。
【図27】本発明の第4の実施例を示した図である。
【図28】本発明の第5の実施例を示した図である。
【図29】本発明の第6の実施例を示した図である。
【図30】本発明の第7の実施例を示した図である。
【符号の説明】
1…モバイルノード 2〜5…ISPネットワーク 21、31、41、51…セキュリティゲートウェイ 23、33…AAA認証サーバ 34…VPNデータベース 36…ウェブアプリケーション
───────────────────────────────────────────────────── フロントページの続き (72)発明者 五十嵐 洋一郎 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 村田 一徳 福岡県福岡市早良区百道浜2丁目2番1号 富士通西日本コミュニケーション・シス テムズ株式会社内 (72)発明者 若本 雅晶 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5K030 GA15 HA08 HC01 HC09 HD03 JA01 JL01 JL07 JT03 JT09 KA07 KA13 LA08 LB01 LC06 LD19 MA06

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 IPネットワーク上で端末がネットワー
    ク間を移動したときに、IPアドレスの管理と移動先へ
    の通信パケットの転送を自動化したプロトコルを用いた
    ネットワークのホームネットワークに設けられるサーバ
    装置において、 前記端末と関連つけて、IPネットワーク内に安全な通
    信路を構築するための情報を記憶する記憶手段と、 移動先の外部ネットワーク内の前記端末と、前記端末と
    通信を行う相手先端末との間に安全な通信路を構築でき
    るように前記情報を分配する分配手段とを設けたことを
    特徴とするサーバ装置。
  2. 【請求項2】 前記分配手段は、相手先端末のある外部
    ネットワークのルータへ前記情報を転送することを特徴
    とする請求項1に記載のサーバ装置。
  3. 【請求項3】 前記安全な通信経路は仮想プライベート
    ・ネットワークで実現される通信路であり、前記情報は
    前記仮想プライベート・ネットワークとしての設定経路
    情報とセキュリティ情報を含む情報であることを特徴と
    する請求項1に記載のサーバ装置。
  4. 【請求項4】 前記分配手段は、前記端末からの位置登
    録要求メッセージに対する認証応答メッセージ送出時
    に、前記情報を分配することを特徴とする請求項1に記
    載のサーバ装置。
  5. 【請求項5】 前記分配手段は、通信先となる相手先端
    末からの通信パケットを受け取った後に、前記情報を分
    配することを特徴とする請求項1に記載のサーバ装置。
  6. 【請求項6】 モバイルIPネットワークにおけるVP
    Nシステムは、 移動端末と、 ユーザのホームネットワークに設けられたホーム認証サ
    ーバとそれ以外の外部ネットワークに設けられた外部認
    証サーバと、 ホームネットワークに設けられたVPNデータベース
    と、 ホームネットワーク、外部ネットワーク、及び所定の通
    信ホスト及び/又はその代理サーバの各ゲートウェイ機
    能を有するネットワーク装置と、 で構成され、 ホーム認証サーバは、移動端末からの位置登録要求時に
    認証を要求したユーザのVPN情報をVPNデータベー
    スから抽出し、そのVPN情報を所定の位置登録メッセ
    ージ及び認証応答メッセージを用いて各ネットワーク装
    置に通知し、 各ネットワーク装置は、通知されたVPN情報を基にホ
    ームネットワーク装置と外部ネットワーク装置間、ホー
    ムネットワーク装置と所定のネットワーク装置間、及び
    /又は外部ネットワーク装置と所定のネットワーク装置
    間にそれぞれIPSecによるVPNパスを設定する、
    ことを特徴とするVPNシステム。
  7. 【請求項7】 認証サーバ及びネットワーク装置は、移
    動端末の移動による位置登録要求と連動して認証サーバ
    及びネットワーク装置にキャッシュされたVPN情報を
    新経路情報に更新するか、又はモバイルIPで通知され
    る位置情報で書き換えることにより、ホームネットワー
    ク装置と外部ネットワーク装置間、ホームネットワーク
    装置と所定のネットワーク装置間、及び/又は外部ネッ
    トワーク装置と所定のネットワーク装置間の各VPNパ
    スを新たなIPSecによるVPNパスに自動更新す
    る、請求項6記載のシステム。
  8. 【請求項8】 ホーム認証サーバは、 前記VPNデータベースのVPN情報と、自身が保有す
    ると通信先ホストを収容する所定のネットワーク装置と
    の対応表を用い、所定の認証要求メッセージに設定され
    た移動端末が接続した外部ネットワーク装置の情報と移
    動端末のホームネットワーク装置の情報からVPN設定
    経路を特定するAAAVPN制御部と、 各ネットワーク装置間のサービス品質とセキュリティ情
    報をサービスプロファイルとして、アクセスネットワー
    クへの所定の認証応答メッセージ及びホームネットワー
    クへの位置登録メッセージに設定するAAAプロトコル
    処理部と、 を有する請求項6記載の装置。
  9. 【請求項9】 各ネットワーク装置は、 キャッシュによりVPN情報が設定されたサービスプロ
    ファイルに関連するプロトコル群を制御するMAプロト
    コル処理部と、 そのサービスプロファイルに従ってサービス品質を保証
    するQoS制御とセキュリティゲートウェイ間のセキュ
    リティを保証するためのトンネルを設定するMAVPN
    制御部と、 を有する請求項6記載の装置。
  10. 【請求項10】 モバイルIPネットワークにおけるV
    PNの設定方法は、 − ユーザの移動端末から外部エージェントに位置登録
    要求メッセージを送信すること、 − 外部エージェントは受信した位置登録要求情報を含
    む認証要求メッセージを、自身のローカル認証サーバを
    介してユーザのホーム認証サーバへ送信すること、 − ホーム認証サーバは、受信した認証要求メッセージ
    より自身のデータベースを参照して通信先ホスト、ネッ
    トワーク装置種別、及びユーザ別のセキュリティ・サー
    ビス情報を抽出し、ネットワーク装置種別がVPN動的
    設定可である場合はVPNキャッシュに外部エージェン
    ト−通信先ネットワーク装置のVPNを設定して、それ
    らの情報を含む位置登録要求メッセージをホームエージ
    ェントに送信すること、 − ホームエージェントは、受信した位置登録要求メッ
    セージをキャッシュし、位置登録処理の終了後にネット
    ワーク装置種別がVPN動的設定可である場合は通信先
    ホスト宛にこのVPN情報を付加した結合更新メッセー
    ジを送出すること、 − ネットワーク装置は結合更新メッセージを代理受信
    し、それに付加されたVPN情報をキャッシュし、指定
    されたセキュリティ・サービスを設定し、ネットワーク
    装置から外部エージェントに向けたIPSecトンネル
    によるVPNパスを設定し、その後に結合承認メッセー
    ジをホームエージェントに送信すること、 − ホームエージェントは、結合承認メッセージを受信
    すると、位置登録応答メッセージをホーム認証サーバへ
    送信すること、 − ホーム認証サーバは、位置登録応答メッセージの受
    信により、キャッシュしてある外部エージェント−ネッ
    トワーク装置間のVPN情報を付加した認証応答メッセ
    ージを外部エージェントのローカル認証サーバに送信す
    ること、 − ローカル認証サーバは、受信した認証応答メッセー
    ジをその付加されたVPN情報をキャッシュしてから外
    部エージェントへ送信すること、 − 外部エージェントは、受信した認証応答メッセージ
    に含まれるVPN情報をキャッシュし、指定されたセキ
    ュリティ・サービスを設定し、外部エージェントからネ
    ットワーク装置に向けたIPSecトンネルによるVP
    Nパスを設定した後、ユーザの移動端末へ位置登録応答
    メッセージを返送すること、 から成ることを特徴とするVPNの設定方法。
JP2000225857A 2000-07-26 2000-07-26 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 Expired - Fee Related JP4201466B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2000225857A JP4201466B2 (ja) 2000-07-26 2000-07-26 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US09/801,557 US7068640B2 (en) 2000-07-26 2001-03-08 VPN system in mobile IP network, and method of setting VPN
EP20010105384 EP1176781A3 (en) 2000-07-26 2001-03-09 VPN system in mobile IP network and method of setting VPN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000225857A JP4201466B2 (ja) 2000-07-26 2000-07-26 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法

Publications (2)

Publication Number Publication Date
JP2002044141A true JP2002044141A (ja) 2002-02-08
JP4201466B2 JP4201466B2 (ja) 2008-12-24

Family

ID=18719571

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000225857A Expired - Fee Related JP4201466B2 (ja) 2000-07-26 2000-07-26 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法

Country Status (3)

Country Link
US (1) US7068640B2 (ja)
EP (1) EP1176781A3 (ja)
JP (1) JP4201466B2 (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004068805A1 (ja) * 2003-01-31 2004-08-12 Nippon Telegraph And Telephone Corporation Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置
JP2004260833A (ja) * 2003-02-26 2004-09-16 Lucent Technol Inc ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning)
JP2005204289A (ja) * 2003-12-15 2005-07-28 Matsushita Electric Ind Co Ltd ホームエージェント装置、モバイルルータ装置、通信システム、および通信方法
JP2005269661A (ja) * 2004-03-19 2005-09-29 Microsoft Corp モバイルコンピューティングデバイスのための仮想私設網構造の再使用
JP2006121647A (ja) * 2004-08-03 2006-05-11 Zyxel Communications Corp 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置
WO2006112095A1 (ja) * 2005-03-31 2006-10-26 Nec Corporation 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
JP2007013866A (ja) * 2005-07-04 2007-01-18 Mitsubishi Electric Corp 端末移動管理システム
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
JP2007518349A (ja) * 2004-01-15 2007-07-05 インタラクティブ ピープル アンプラグド アクチボラグ モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置
WO2007125606A1 (ja) 2006-04-28 2007-11-08 Fujitsu Limited 移動通信システムにおけるQoSサーバ
JP2008535363A (ja) * 2005-03-28 2008-08-28 ケイティーフリーテル カンパニー リミテッド モバイルipを用いた移動ノードの仮想私設網接続方法
US7464177B2 (en) 2002-02-20 2008-12-09 Mitsubishi Denki Kabushiki Kaisha Mobile network that routes a packet without transferring the packet to a home agent server
US7522625B2 (en) 2004-08-03 2009-04-21 Fujitsu Limited Processing method of fragmented packet and packet transfer equipment using the same
US20100169953A1 (en) * 2008-12-30 2010-07-01 Emulex Design & Manufacturing Corporaton Client/server authentication over fibre channel
JP2010158048A (ja) * 2003-07-22 2010-07-15 Toshiba Corp 秘密保護及びシームレスなwan−lanローミング
JP2010220252A (ja) * 2010-06-09 2010-09-30 Nec Corp 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム
US8312532B2 (en) 2006-09-14 2012-11-13 Fujitsu Limited Connection supporting apparatus

Families Citing this family (154)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6360100B1 (en) 1998-09-22 2002-03-19 Qualcomm Incorporated Method for robust handoff in wireless communication system
KR100464374B1 (ko) * 2000-11-01 2004-12-31 삼성전자주식회사 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법
US20020138635A1 (en) * 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US7139833B2 (en) * 2001-04-04 2006-11-21 Ipr Licensing, Inc. Proxy mobile node capability for mobile IP
US7339903B2 (en) * 2001-06-14 2008-03-04 Qualcomm Incorporated Enabling foreign network multicasting for a roaming mobile node, in a foreign network, using a persistent address
US8000241B2 (en) 2001-06-26 2011-08-16 Qualcomm Incorporated Methods and apparatus for controlling access link packet flow aggregation and resource allocation in a mobile communications system
US7027400B2 (en) * 2001-06-26 2006-04-11 Flarion Technologies, Inc. Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system
US7474650B2 (en) * 2001-06-26 2009-01-06 Qualcomm Incorporated Methods and apparatus for controlling resource allocation where tunneling and access link packet aggregation are used in combination
US20030021253A1 (en) * 2001-07-03 2003-01-30 Tae-Sung Jung Method of transmitting data from server of virtual private network to mobile node
DE10142007C1 (de) * 2001-08-28 2003-04-03 Siemens Ag Anordnung zur drahtlosen Anbindung von Endeinrichtungen an ein Kommunikationssystem
US7457267B1 (en) 2001-10-10 2008-11-25 Qualcomm Incorporated Methods and apparatus for quickly exploiting a new link during hand-off in a wireless network
KR100407324B1 (ko) * 2001-10-26 2003-11-28 삼성전자주식회사 가상 사설 네트워크에서 서버가 이동 통신 단말기로데이터를 전송하는 방법
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
KR100482545B1 (ko) * 2001-11-13 2005-04-14 현대자동차주식회사 가변 노즐 터빈의 베인 각도 조절장치
FI116017B (fi) * 2002-01-22 2005-08-31 Netseal Mobility Technologies Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi
US20030193952A1 (en) * 2002-02-04 2003-10-16 O'neill Alan Mobile node handoff methods and apparatus
US8649352B2 (en) * 2002-02-04 2014-02-11 Qualcomm Incorporated Packet forwarding methods for use in handoffs
US6785256B2 (en) * 2002-02-04 2004-08-31 Flarion Technologies, Inc. Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity
US7564824B2 (en) * 2002-02-04 2009-07-21 Qualcomm Incorporated Methods and apparatus for aggregating MIP and AAA messages
US7471661B1 (en) * 2002-02-20 2008-12-30 Cisco Technology, Inc. Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network
JP3959288B2 (ja) * 2002-03-13 2007-08-15 株式会社エヌ・ティ・ティ・ドコモ パケット送信システム、パケット送信方法、パケット送信装置、ホームエージェント、移動端末、及びアクセスルータ
EP1488577B1 (en) * 2002-03-18 2007-04-18 Nortel Networks Limited Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks
KR100424620B1 (ko) * 2002-03-27 2004-03-25 삼성전자주식회사 무선 근거리 네트워크에서 이동단말의 서브네트워크간이동성을 지원하기 위한 장치 및 방법
US20050201342A1 (en) * 2002-03-27 2005-09-15 Randy Wilkinson Wireless access point network and management protocol
US6831921B2 (en) * 2002-03-27 2004-12-14 James A. Higgins Wireless internet access system
US7356020B2 (en) * 2002-04-08 2008-04-08 Qualcomm Incorporated Support of disparate addressing plans and dynamic HA address allocation in mobile IP
US7072657B2 (en) * 2002-04-11 2006-07-04 Ntt Docomo, Inc. Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks
US7623497B2 (en) * 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
WO2003096588A2 (en) * 2002-04-15 2003-11-20 Flarion Technologies, Inc. Methods and apparatus for extending mobile ip
AU2003221929A1 (en) * 2002-04-15 2003-11-03 Flarion Technologies, Inc. Methods and apparatus for the utilization of multiple uplinks in reverse tunneling
DE60203099T2 (de) * 2002-06-04 2006-05-04 Alcatel Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
KR100882431B1 (ko) * 2002-06-25 2009-02-05 주식회사 케이티 축약된 인증 토큰에 의한 이동 호스트 인증 지연 감소 방법
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7512088B1 (en) * 2002-07-12 2009-03-31 Cisco Technology, Inc. Routing data packets to a mobile node
US20040022258A1 (en) * 2002-07-30 2004-02-05 Docomo Communications Laboratories Usa, Inc. System for providing access control platform service for private networks
US6993333B2 (en) * 2003-10-16 2006-01-31 Flarion Technologies, Inc. Methods and apparatus of improving inter-sector and/or inter-cell handoffs in a multi-carrier wireless communications system
KR100459765B1 (ko) * 2002-08-30 2004-12-03 에스케이 텔레콤주식회사 무선 근거리통신망/이동전화 연동서비스를 위한 시스템선택 및 데이터 전송방법
JP4159328B2 (ja) * 2002-09-11 2008-10-01 Necインフロンティア株式会社 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
US8068479B2 (en) * 2002-09-17 2011-11-29 Broadcom Corporation System and method for hardware acceleration in a hybrid wired/wireless local area network
EP1547408B1 (en) * 2002-09-17 2015-01-21 Broadcom Corporation System and method for hardware acceleration in a hybrid wire/wireless local area network
US7869803B2 (en) * 2002-10-15 2011-01-11 Qualcomm Incorporated Profile modification for roaming in a communications environment
US7882346B2 (en) 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes
KR100464319B1 (ko) * 2002-11-06 2004-12-31 삼성전자주식회사 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법
US20050148321A1 (en) * 2002-11-13 2005-07-07 Yoichiro Igarashi Network access control system
US7804826B1 (en) * 2002-11-15 2010-09-28 Nortel Networks Limited Mobile IP over VPN communication protocol
US7457289B2 (en) * 2002-12-16 2008-11-25 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
US7428226B2 (en) * 2002-12-18 2008-09-23 Intel Corporation Method, apparatus and system for a secure mobile IP-based roaming solution
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US7362742B1 (en) 2003-01-28 2008-04-22 Cisco Technology, Inc. Methods and apparatus for synchronizing subnet mapping tables
US6862446B2 (en) * 2003-01-31 2005-03-01 Flarion Technologies, Inc. Methods and apparatus for the utilization of core based nodes for state transfer
US7668541B2 (en) 2003-01-31 2010-02-23 Qualcomm Incorporated Enhanced techniques for using core based nodes for state transfer
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US20040168051A1 (en) * 2003-02-26 2004-08-26 Lucent Technologies Inc. Optimally provisioning connectivity for network-based mobile virtual private network (VPN) services
ES2264756T3 (es) 2003-03-27 2007-01-16 Motorola Inc. Comunicacion entre una red privada y un terminal movil itinerante.
KR100512959B1 (ko) * 2003-04-12 2005-09-07 삼성전자주식회사 멀티홈 서비스 시스템
US7343158B2 (en) * 2003-04-16 2008-03-11 Nortel Networks Limited Home agent redirection for mobile IP
US7505432B2 (en) * 2003-04-28 2009-03-17 Cisco Technology, Inc. Methods and apparatus for securing proxy Mobile IP
EP1618720B1 (en) * 2003-04-28 2016-05-18 Chantry Networks Inc. System and method for mobile unit session management across a wireless communication network
US7447203B2 (en) 2003-07-29 2008-11-04 At&T Intellectual Property I, L.P. Broadband access for virtual private networks
US7269727B1 (en) * 2003-08-11 2007-09-11 Cisco Technology, Inc. System and method for optimizing authentication in a network environment
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US7212821B2 (en) * 2003-12-05 2007-05-01 Qualcomm Incorporated Methods and apparatus for performing handoffs in a multi-carrier wireless communications system
US7047009B2 (en) * 2003-12-05 2006-05-16 Flarion Technologies, Inc. Base station based methods and apparatus for supporting break before make handoffs in a multi-carrier system
US8572249B2 (en) 2003-12-10 2013-10-29 Aventail Llc Network appliance for balancing load and platform services
WO2005062650A1 (ja) * 2003-12-19 2005-07-07 Fujitsu Limited 移動端末の移動支援装置
US7620979B2 (en) * 2003-12-22 2009-11-17 Nokia Corporation Supporting mobile internet protocol in a correspondent node firewall
JP3955025B2 (ja) * 2004-01-15 2007-08-08 松下電器産業株式会社 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US7697501B2 (en) 2004-02-06 2010-04-13 Qualcomm Incorporated Methods and apparatus for separating home agent functionality
US7545782B2 (en) 2004-02-19 2009-06-09 Belair Networks, Inc. Mobile station traffic routing
US7715340B2 (en) * 2004-03-04 2010-05-11 At&T Corp. Method and apparatus for enabling IP mobility with high speed access and network intelligence in communication networks
US7991854B2 (en) * 2004-03-19 2011-08-02 Microsoft Corporation Dynamic session maintenance for mobile computing devices
BRPI0511097A (pt) * 2004-05-17 2007-12-26 Thomson Licensing métodos e equipamentos para gerenciamento de acesso a rede virtual privada para dispositivos portáteis sem cliente vpn
US20050271128A1 (en) * 2004-06-02 2005-12-08 Williams Jeffery D Distributed SCADA system for remote monitoring and control of access points utilizing an intelligent uninterruptible power supply system for a WISP network
JP4013920B2 (ja) * 2004-06-02 2007-11-28 日本電気株式会社 通信システム、通信装置及びその動作制御方法並びにプログラム
US7447188B1 (en) 2004-06-22 2008-11-04 Cisco Technology, Inc. Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs
US7920793B2 (en) 2004-06-23 2011-04-05 Nippon Telegraph And Telephone Corporation Inline repeater and optical fiber communication system
US8151348B1 (en) * 2004-06-30 2012-04-03 Cisco Technology, Inc. Automatic detection of reverse tunnels
US7366182B2 (en) * 2004-08-13 2008-04-29 Qualcomm Incorporated Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain
US8189530B2 (en) * 2004-08-13 2012-05-29 Qualcomm Incorporated Methods and apparatus for VPN support in mobility management
EP1792465A1 (en) * 2004-09-20 2007-06-06 Matsushita Electric Industrial Co., Ltd. Return routability optimisation
US7697513B1 (en) * 2004-09-30 2010-04-13 Network Equipment Technologies, Inc. Private branch exchange (PBX) networking over IP networks
US7298725B2 (en) * 2004-10-08 2007-11-20 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing initiated from a home service network involving intermediary network preferences
US7590732B2 (en) * 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
US7292592B2 (en) * 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7551926B2 (en) * 2004-10-08 2009-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Terminal-assisted selection of intermediary network for a roaming mobile terminal
KR100918440B1 (ko) 2004-11-12 2009-09-24 삼성전자주식회사 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치
WO2006059216A1 (en) * 2004-12-01 2006-06-08 Nokia Corporation Method and system for providing wireless data network interworking
JP4664987B2 (ja) * 2004-12-21 2011-04-06 サムスン エレクトロニクス カンパニー リミテッド 移動通信加入者に私設音声呼サービスを提供する方法及びシステム並びにこのための無線ソフトスイッチ装置
US7577130B2 (en) * 2005-02-18 2009-08-18 Microsoft Corporation SyncML based OMA connectivity object to provision VPN connections
WO2006087817A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信制御システム
US8411650B2 (en) * 2005-04-18 2013-04-02 Cisco Technology, Inc. Method and system for providing virtual private network services through a mobile IP home agent
US8856311B2 (en) 2005-06-30 2014-10-07 Nokia Corporation System coordinated WLAN scanning
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
US8418233B1 (en) * 2005-07-29 2013-04-09 F5 Networks, Inc. Rule based extensible authentication
US8533308B1 (en) 2005-08-12 2013-09-10 F5 Networks, Inc. Network traffic management through protocol-configurable transaction processing
FI119863B (fi) * 2005-08-22 2009-04-15 Teliasonera Ab Etäasiakkaan aitouden ja oikeuksien varmistaminen
US9078084B2 (en) 2005-12-22 2015-07-07 Qualcomm Incorporated Method and apparatus for end node assisted neighbor discovery
US8983468B2 (en) 2005-12-22 2015-03-17 Qualcomm Incorporated Communications methods and apparatus using physical attachment point identifiers
US8982835B2 (en) 2005-09-19 2015-03-17 Qualcomm Incorporated Provision of a move indication to a resource requester
US8982778B2 (en) 2005-09-19 2015-03-17 Qualcomm Incorporated Packet routing in a wireless communications environment
US8509799B2 (en) 2005-09-19 2013-08-13 Qualcomm Incorporated Provision of QoS treatment based upon multiple requests
US9066344B2 (en) 2005-09-19 2015-06-23 Qualcomm Incorporated State synchronization of access routers
US9736752B2 (en) 2005-12-22 2017-08-15 Qualcomm Incorporated Communications methods and apparatus using physical attachment point identifiers which support dual communications links
US20070127420A1 (en) * 2005-12-05 2007-06-07 Paula Tjandra Method, system and apparatus for creating a reverse tunnel
US9083355B2 (en) 2006-02-24 2015-07-14 Qualcomm Incorporated Method and apparatus for end node assisted neighbor discovery
US20070283430A1 (en) * 2006-06-02 2007-12-06 Research In Motion Limited Negotiating vpn tunnel establishment parameters on user's interaction
US20070281626A1 (en) * 2006-06-05 2007-12-06 Dobosz Paul J Vehicle telematics satellite data transceiver utilizing fm radio circuitry
EP1876549A1 (de) * 2006-07-07 2008-01-09 Swisscom Mobile AG Verfahren und System zur verschlüsselten Datenübertragung
US8891506B2 (en) * 2006-07-26 2014-11-18 Motorola Mobility Llc Method and apparatus for providing mobile IP service through a network address translation gateway
US8068499B2 (en) * 2006-08-10 2011-11-29 Motorola Solutions, Inc. Optimized tunneling methods in a network
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
KR100826670B1 (ko) * 2006-11-16 2008-05-02 한국전자통신연구원 Ip 이동성 지원을 위한 이동 단말의 터널링 방법
US8102758B2 (en) * 2007-03-05 2012-01-24 Cisco Technology, Inc. Analyzing virtual private network failures
US20080225806A1 (en) * 2007-03-15 2008-09-18 Adc Telecommunication Israel Ltd. System and method for enabling mobility in internet protocol networks
US9155008B2 (en) 2007-03-26 2015-10-06 Qualcomm Incorporated Apparatus and method of performing a handoff in a communication network
US8743853B2 (en) * 2007-05-08 2014-06-03 Intel Corporation Techniques to include virtual private networks in a universal services interface
US8830818B2 (en) 2007-06-07 2014-09-09 Qualcomm Incorporated Forward handover under radio link failure
US9094173B2 (en) 2007-06-25 2015-07-28 Qualcomm Incorporated Recovery from handoff error due to false detection of handoff completion signal at access terminal
US8379623B2 (en) * 2007-07-10 2013-02-19 Motorola Solutions, Inc. Combining mobile VPN and internet protocol
CN101779482B (zh) * 2007-08-13 2014-01-22 苹果公司 用于移动ipv4的新diameter信令
JP4430091B2 (ja) * 2007-08-17 2010-03-10 富士通株式会社 パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ
US20090089399A1 (en) * 2007-09-28 2009-04-02 Andre Beck Method and Apparatus for Providing Services Across Service Domains
US20090205046A1 (en) * 2008-02-13 2009-08-13 Docomo Communications Laboratories Usa, Inc. Method and apparatus for compensating for and reducing security attacks on network entities
US8675551B2 (en) * 2008-03-31 2014-03-18 Futurewei Technologies, Inc. Multi-protocol label switching support for proxy mobile internet protocol version 6
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
DK2144460T3 (en) * 2008-07-10 2016-02-08 Teliasonera Ab A method, system, packet data gateway, and computer program for providing connection to the supply of data
US9130846B1 (en) 2008-08-27 2015-09-08 F5 Networks, Inc. Exposed control components for customizable load balancing and persistence
US9401855B2 (en) * 2008-10-31 2016-07-26 At&T Intellectual Property I, L.P. Methods and apparatus to deliver media content across foreign networks
US20100125897A1 (en) * 2008-11-20 2010-05-20 Rahul Jain Methods and apparatus for establishing a dynamic virtual private network connection
US9036504B1 (en) 2009-12-07 2015-05-19 Amazon Technologies, Inc. Using virtual networking devices and routing information to associate network addresses with computing nodes
US7937438B1 (en) 2009-12-07 2011-05-03 Amazon Technologies, Inc. Using virtual networking devices to manage external connections
US9203747B1 (en) 2009-12-07 2015-12-01 Amazon Technologies, Inc. Providing virtual networking device functionality for managed computer networks
US8995301B1 (en) 2009-12-07 2015-03-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing cost information
AT11799U1 (de) * 2009-12-15 2011-05-15 Plansee Se Formteil
US7991859B1 (en) 2009-12-28 2011-08-02 Amazon Technologies, Inc. Using virtual networking devices to connect managed computer networks
US7953865B1 (en) 2009-12-28 2011-05-31 Amazon Technologies, Inc. Using virtual networking devices to manage routing communications between connected computer networks
US8224971B1 (en) * 2009-12-28 2012-07-17 Amazon Technologies, Inc. Using virtual networking devices and routing information to initiate external actions
US8615241B2 (en) 2010-04-09 2013-12-24 Qualcomm Incorporated Methods and apparatus for facilitating robust forward handover in long term evolution (LTE) communication systems
US8458787B2 (en) 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8474035B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
US9270653B2 (en) * 2011-05-11 2016-02-23 At&T Mobility Ii Llc Carrier network security interface for fielded devices
US10277630B2 (en) * 2011-06-03 2019-04-30 The Boeing Company MobileNet
US9473351B2 (en) * 2013-04-02 2016-10-18 General Electric Company System and method for automated provisioning of a wireless device
US9781046B1 (en) 2013-11-19 2017-10-03 Tripwire, Inc. Bandwidth throttling in vulnerability scanning applications
JP5790891B1 (ja) * 2015-01-27 2015-10-07 富士ゼロックス株式会社 情報処理装置及びプログラム
US9826401B2 (en) * 2015-03-11 2017-11-21 Verizon Patent And Licensing Inc. Authenticated communication session for wireless roaming
US11870604B2 (en) * 2015-07-17 2024-01-09 Nec Corpoation Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001224070A (ja) 2000-02-09 2001-08-17 Fujitsu Ltd モバイル通信システム及びその方法
US6728536B1 (en) * 2000-05-02 2004-04-27 Telefonaktiebolaget Lm Ericsson Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464177B2 (en) 2002-02-20 2008-12-09 Mitsubishi Denki Kabushiki Kaisha Mobile network that routes a packet without transferring the packet to a home agent server
WO2004068805A1 (ja) * 2003-01-31 2004-08-12 Nippon Telegraph And Telephone Corporation Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置
US8364822B2 (en) 2003-01-31 2013-01-29 Nippon Telegraph And Telephone Corporation VPN communication control device, communication control method in VPN, and virtual dedicated network management device
JP4629350B2 (ja) * 2003-02-26 2011-02-09 アルカテル−ルーセント ユーエスエー インコーポレーテッド ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning)
JP2004260833A (ja) * 2003-02-26 2004-09-16 Lucent Technol Inc ネットワーク・ベースのモバイル仮想プライベート・ネットワーク(vpn)サービスにおける帯域幅保証サービス提供(bandwidthguaranteedprovisioning)
US8792454B2 (en) 2003-07-22 2014-07-29 Toshiba America Resesarch, Inc. Secure and seamless WAN-LAN roaming
JP2012114946A (ja) * 2003-07-22 2012-06-14 Toshiba Corp 秘密保護及びシームレスなwan−lanローミング
US8243687B2 (en) 2003-07-22 2012-08-14 Toshiba America Research, Inc. Secure and seamless WAN-LAN roaming
JP2010158048A (ja) * 2003-07-22 2010-07-15 Toshiba Corp 秘密保護及びシームレスなwan−lanローミング
JP2005204289A (ja) * 2003-12-15 2005-07-28 Matsushita Electric Ind Co Ltd ホームエージェント装置、モバイルルータ装置、通信システム、および通信方法
JP2007518349A (ja) * 2004-01-15 2007-07-05 インタラクティブ ピープル アンプラグド アクチボラグ モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置
JP2005269661A (ja) * 2004-03-19 2005-09-29 Microsoft Corp モバイルコンピューティングデバイスのための仮想私設網構造の再使用
JP2006121647A (ja) * 2004-08-03 2006-05-11 Zyxel Communications Corp 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置
JP4510682B2 (ja) * 2004-08-03 2010-07-28 合勤科技股▼ふん▲有限公司 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置
US7522625B2 (en) 2004-08-03 2009-04-21 Fujitsu Limited Processing method of fragmented packet and packet transfer equipment using the same
JP2008535363A (ja) * 2005-03-28 2008-08-28 ケイティーフリーテル カンパニー リミテッド モバイルipを用いた移動ノードの仮想私設網接続方法
JPWO2006112095A1 (ja) * 2005-03-31 2008-11-27 日本電気株式会社 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
JP4748157B2 (ja) * 2005-03-31 2011-08-17 日本電気株式会社 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
WO2006112095A1 (ja) * 2005-03-31 2006-10-26 Nec Corporation 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
US7953081B2 (en) 2005-03-31 2011-05-31 Nec Corporation Mobile communication control method, mobile communication system, routing device, management device, and program
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
JP4541984B2 (ja) * 2005-07-04 2010-09-08 三菱電機株式会社 端末移動管理システム
JP2007013866A (ja) * 2005-07-04 2007-01-18 Mitsubishi Electric Corp 端末移動管理システム
JPWO2007125606A1 (ja) * 2006-04-28 2009-09-10 富士通株式会社 移動通信システムにおけるQoSサーバ
JP4684331B2 (ja) * 2006-04-28 2011-05-18 富士通株式会社 移動通信システムにおけるQoSサーバ
WO2007125606A1 (ja) 2006-04-28 2007-11-08 Fujitsu Limited 移動通信システムにおけるQoSサーバ
US8312532B2 (en) 2006-09-14 2012-11-13 Fujitsu Limited Connection supporting apparatus
US20100169953A1 (en) * 2008-12-30 2010-07-01 Emulex Design & Manufacturing Corporaton Client/server authentication over fibre channel
US9438574B2 (en) * 2008-12-30 2016-09-06 Avago Technologies General Ip (Singapore) Pte. Ltd. Client/server authentication over Fibre channel
JP2010220252A (ja) * 2010-06-09 2010-09-30 Nec Corp 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム

Also Published As

Publication number Publication date
US20020018456A1 (en) 2002-02-14
EP1176781A2 (en) 2002-01-30
EP1176781A3 (en) 2004-09-29
US7068640B2 (en) 2006-06-27
JP4201466B2 (ja) 2008-12-24

Similar Documents

Publication Publication Date Title
JP4201466B2 (ja) モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
JP4060021B2 (ja) 移動通信サービス提供システム、および移動通信サービス提供方法
EP1124396B1 (en) Mobility support for a correspondent node in a Mobile IP network
CA2696988C (en) Method and apparatus for providing local breakout in a mobile network
US7079499B1 (en) Internet protocol mobility architecture framework
US6769000B1 (en) Unified directory services architecture for an IP mobility architecture framework
CA2321396C (en) Mobile communications service system, mobile communications service method, authentication apparatus, and home agent apparatus
EP1634422B1 (en) Method, system and apparatus to support hierarchical mobile ip services
US6917605B2 (en) Mobile network system and service control information changing method
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20040037260A1 (en) Virtual private network system
US8594073B2 (en) Method and apparatus for roaming between communications networks
US20060185013A1 (en) Method, system and apparatus to support hierarchical mobile ip services
US20020199104A1 (en) Service control network
JP3812455B2 (ja) ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体
Rojas et al. IPv6 micro-mobility management and VHE based on MSP
EP1898587A1 (en) A method of requesting an option to be used in a tunnel type

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080909

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081007

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111017

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees