JP2002199003A - 移動端末位置登録方法及びその実施装置 - Google Patents

移動端末位置登録方法及びその実施装置

Info

Publication number
JP2002199003A
JP2002199003A JP2000390676A JP2000390676A JP2002199003A JP 2002199003 A JP2002199003 A JP 2002199003A JP 2000390676 A JP2000390676 A JP 2000390676A JP 2000390676 A JP2000390676 A JP 2000390676A JP 2002199003 A JP2002199003 A JP 2002199003A
Authority
JP
Japan
Prior art keywords
mobile terminal
registration request
home agent
gateway node
request packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000390676A
Other languages
English (en)
Inventor
Akio Masuda
暁生 増田
Junichi Koga
淳一 古賀
Juichi Bessho
寿一 別所
Ryoichi Nakamura
亮一 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000390676A priority Critical patent/JP2002199003A/ja
Publication of JP2002199003A publication Critical patent/JP2002199003A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 ホームエージェントをネットワーク外に公開
する必要性を無くし、ホームエージェントへの外部から
の悪意による攻撃を防止することが可能な技術を提供す
る。 【解決手段】 移動端末からゲートウェイノードへ送信
されたパケットが当該移動端末の位置情報の登録を要求
する登録要求パケットである場合に、その登録要求パケ
ットを当該ゲートウェイノードから代表サーバヘ転送す
るステップと、ゲートウェイノードから代表サーバに転
送された前記登録要求パケットの送信元の移動端末が正
規の移動端末である場合に、当該登録要求パケットを送
信した移動端末のホームエージェントを判別し、その登
録要求パケットを前記判別されたホームエージェントへ
転送するステップと、代表サーバからホームエージェン
トに転送された前記登録要求パケットの内容に基づい
て、その送信元の移動端末の位置情報を登録するステッ
プとを有するものである。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は移動端末の位置情報
をホームエージェントに登録する移動端末位置登録シス
テムに関し、特にモバイルIP機能により移動端末の移
動性を提供するIPネットワークでVPN等の高セキュ
リティを確保しつつ移動端末の位置情報をホームエージ
ェントに登録する移動端末位置登録システムに適用して
有効な技術に関するものである。
【0002】
【従来の技術】近年、携帯電話やPHS(Personal Hand
y-phone System)を用いてインターネットやイントラネ
ットにアクセスする利用形態が増加してきており、この
様なモバイル環境でデータを送受信する場合には、移動
端末が移動した場合でもデータを移動先まで届けるプロ
トコルであるモバイルIPが用いられている。
【0003】このモバイルIPに関する技術仕様につい
ては、IETF(Internet EngineeringTask Force)のRFC200
2にて公開されており、このプロトコルでは、ホームエ
ージェント(HA:Home Agent)と呼ばれるゲートウェイル
ータに移動端末の位置情報を登録しておき、この位置情
報を用いて移動先にIPパケットを転送している。
【0004】図10は従来の技術における位置登録方法
の概要を示す図である。図10では、高セキュリティな
IPネットワーク1と、移動IP端末または他ネットワ
ーク(以下、端末)である端末20〜22を表してい
る。
【0005】図10において、高セキュリティなIPネ
ットワーク1は、モバイルIPのホームエージェント装
置(以下HA)であるHA30〜32と、端末20〜2
2の最寄りのルータであるゲートウェイノード40〜4
2から構成されており、端末20〜22は、それぞれH
A装置30〜32に所属している。
【0006】HA30〜32は、モバイルIPを実現す
る為に、移動端末の位置情報の管理機能301、311
及び321と、モバイルIP認証機能302、312及
び322を有している。
【0007】ゲートウェイノード40〜42は、端末2
0〜22から発せられたIPパケットをパケットのヘッ
ダに記された適切な到着先に転送するIPパケット転送
機能101、111及び121と、高セキュリティを確
保する為に、予め指定されているアドレスにしかIPパ
ケットを転送しないフィルター機能102、112及び
122と、端末20〜22から送信されたIPパケット
をVPN(Virtual Private Network)トンネルを用いて
VPNの接続先に転送し、VPNを実現するVPN機能
103、113及び123を有している。
【0008】このIPネットワーク1においてVPNの
様な高セキュリティ(特定のゲートウェイノードからは
特定のゲートウェイノードのみにしかアクセスできない
様にする)を実現する際には、端末からゲートウェイノ
ードを通してHAへ、モバイルIP認証、位置情報の登
録等を要求する信号が到達する必要がある。そのため、
位置登録を要求する信号は、その発信元の移動端末の所
属するHAのIPアドレスを宛先アドレスに設定したI
Pパケットの形をとっており、各ゲートウェイノードは
このIPパケットを該当するHAへ転送する必要があ
る。また、各ゲートウェイノードの配下には、端末20
〜22のいずれの端末も移動してくる可能性がある。こ
れらにより、各ゲートウェイノードのフィルタ機能に
は、転送先アドレスとして端末20のHA30、端末2
1のHA31、端末22のHA31を予め指定しておか
なければならない。
【0009】
【発明が解決しようとする課題】前記従来の技術では、
各ゲートウェイノードのフィルタ機能に、転送先アドレ
スとして端末20のHA30、端末21のHA31、端
末22のHA32を予め指定しておかなければならない
為、これにより、全てのHAがIPネットワークの外部
の端末からの悪意による攻撃に晒される可能性がある。
【0010】また、HAの増設(新たな端末のHAの追
加)や変更がある場合、全てのゲートウェイノードのフ
ィルター機能のアクセス設定(転送先アドレスの指定)
を追加・変更する必要(新たな端末のHAへのアクセス
を許容する様に設定追加)があり、保守作業が繁雑とな
る。図10を例にすると、このIPネットワーク1に、
新たなHA33(端末23が収容される)を増設した場
合、全てのゲートウェイノード40〜42の配下に端末
23が移動して来る可能性があるので、ゲートウェイノ
ード40〜42では端末23からHA33への位置登録
パケットの転送を許可する様にフィルター機能のアクセ
ス設定を追加する保守作業が生ずる。この作業は全ての
ゲートウェイノードに対して必要であるため、IPネッ
トワーク1の保守・運用作業は、そのネットワークの規
模に応じて煩雑さを増すという問題がある。
【0011】本発明の目的は上記問題を解決し、ホーム
エージェントをネットワーク外に公開する必要性を無く
し、ホームエージェントへの外部からの悪意による攻撃
を防止することが可能な技術を提供することにある。
【0012】本発明の他の目的はホームエージェントの
増設や変更が起こっても代表サーバでのみ設定の追加・
変更を行えば良く、全てのゲートウェイノードの設定を
追加・変更する作業の繁雑さを無くすことが可能な技術
を提供することにある。
【0013】
【課題を解決するための手段】本発明は、移動端末の位
置情報をホームエージェントに登録する移動端末位置登
録システムにおいて、移動端末の位置情報のホームエー
ジェントへの登録を代表サーバ経由で行うものである。
【0014】本発明では、まず移動端末からゲートウェ
イノードへ送信されたパケットが当該移動端末の位置情
報の登録を要求する登録要求パケットであるかどうかを
識別し、その結果、前記ゲートウェイノードへ送信され
たパケットが前記登録要求パケットである場合に、その
登録要求パケットを当該ゲートウェイノードから代表サ
ーバヘ転送する。
【0015】ゲートウェイノードから登録要求パケット
を受け取った代表サーバは、モバイルIP認証を行っ
て、ゲートウェイノードから転送された前記登録要求パ
ケットの送信元の移動端末が正規の移動端末であるかど
うかを判定し、前記登録要求パケットを送信した移動端
末が正規の移動端末である場合には、当該登録要求パケ
ットを送信した移動端末のホームエージェントを判別
し、その登録要求パケットを前記判別されたホームエー
ジェントへ転送する。
【0016】代表サーバから登録要求パケットを受け取
ったホームエージェントでは、そのホームエージェント
に転送された登録要求パケットの内容に基づいて、その
送信元の移動端末の位置情報を登録する。
【0017】前記の様に本発明では、パケットを一度代
表サーバへ転送する為、ホームエージェントをネットワ
ークの外部へ直接公開することを防止でき、ネットワー
クのセキュリティを高めることが可能である。
【0018】また、パケットを一度代表サーバヘ転送す
る為、ゲートウェイノードのフィルタリング機能の設定
を、代表サーバヘのアクセスのみを許容する内容にする
ことができる。すなわち、本発明のフィルター機能の設
定は、従来方式で説明した各端末による各ホームエージ
ェントへのアクセスを許容する様なホームエージェント
の数に影響を受ける設定ではなく、ホームエージェント
の数に独立な設定とすることができる。従って本発明で
は、従来のホームエージェントの増設/変更時に全ての
ゲートウェイノードで行われていたフィルタリング設定
の追加/変更作業を無くすことができる。なお本発明で
は、ホームエージェントの増設/変更時の設定は代表サ
ーバにおいてのみ実施される。
【0019】以上の様に本発明の移動端末位置登録シス
テムによれば、移動端末の位置情報のホームエージェン
トへの登録を代表サーバ経由で行うので、ホームエージ
ェントをネットワーク外に公開する必要性を無くし、ホ
ームエージェントへの外部からの悪意による攻撃を防止
することが可能である。
【0020】
【発明の実施の形態】以下にホームエージェントで移動
端末の位置情報を管理することにより移動端末の移動性
とVPNサービスを提供するネットワークで、移動端末
の位置情報をホームエージェントに登録する一実施形態
の移動端末位置登録システムについて説明する。
【0021】図1は本実施形態の移動端末位置登録シス
テムの概要を示す図である。図1では、モバイルIP機
能を有し、VPNサービスを提供するIPネットワーク
1と、端末20及び21を表しており、図1においてI
Pネットワーク1は、端末20及び21を収容するゲー
トウェイノード40〜42と、端末20や21の位置情
報の登録要求をゲートウェイノード40〜42からHA
30や31に転送する代表サーバ5と、モバイルIPの
ホームエージェント装置であるHA30及び31とから
構成されている。
【0022】ゲートウェイノード40〜42は、高セキ
ュリティを確保する為に、不適切なIPパケットの流入
をガードするフィルター機能と、端末から発せられたI
PパケットをVPNトンネルを用いて適切な到着先に転
送するVPN機能と、位置情報の登録要求パケットを代
表サーバ5へ転送する代表サーバ転送機能とを有してい
る。
【0023】代表サーバ5は、位置情報の登録要求を行
った端末の認証処理を行うモバイルIP認証機能と、端
末の所属するHAを判別して位置情報の登録要求をその
HAへ転送するHA判別・転送機能とを有している。
【0024】HA30は端末20の所属するHA装置で
あり、HA31は端末21の所属するHA装置である。
各HA装置は、モバイルIPを実現する為に、移動端末
の位置情報の管理機能を有している。
【0025】図2は本実施形態のゲートウェイノード4
0〜42の概略構成を示す図である。図2に示す様に本
実施形態のゲートウェイノード40〜42は、CPU2
01と、RAM202と、ROM203と、入力装置2
04と、出力装置205と、通信装置206とを有して
いる。
【0026】CPU201は、ゲートウェイノード全体
の動作を制御する装置である。RAM202は、ゲート
ウェイノード全体の動作を制御する際にその為の各種処
理プログラムやデータをロードする記憶装置である。
【0027】ROM203は、前記各種処理プログラム
やデータを格納しておく記憶装置である。入力装置20
4は、移動端末からの位置情報の登録要求を代表サーバ
5に転送する為の各種入力を行う装置である。出力装置
205は、位置情報の登録要求の代表サーバ5への転送
に伴う各種出力を行う装置である。通信装置206は、
ネットワークを介して移動端末や代表サーバ5との通信
を行う装置である。
【0028】またゲートウェイノード40〜42は、フ
ィルター処理部211と、VPN処理部212と、代表
サーバ転送処理部213とを有している。
【0029】フィルター処理部211は、移動端末から
受信したパケットが移動端末の位置情報の登録を要求す
る登録要求パケットであるかどうかを識別する処理部で
ある。VPN処理部212は、各ゲートウェイノード間
でVPNによる通信を行う処理部である。代表サーバ転
送処理部213は、移動端末から受信したパケットが前
記登録要求パケットである場合に、その登録要求パケッ
トを代表サーバ5ヘ転送する処理部である。
【0030】ゲートウェイノード40〜42をフィルタ
ー処理部211、VPN処理部212及び代表サーバ転
送処理部213として機能させる為のプログラムは、R
OM等の記録媒体に記録されて実行されるものとする。
なお前記プログラムを記録する記録媒体はROM以外の
他の記録媒体でも良い。
【0031】図3は本実施形態の代表サーバ5の概略構
成を示す図である。図3に示す様に本実施形態の代表サ
ーバ5は、CPU301と、メモリ302と、磁気ディ
スク装置303と、入力装置304と、出力装置305
と、CD−ROM装置306と、通信装置307とを有
している。
【0032】CPU301は、代表サーバ5全体の動作
を制御する装置である。メモリ302は、代表サーバ5
全体の動作を制御する際にその為の各種処理プログラム
やデータをロードする記憶装置である。磁気ディスク装
置303は、前記各種処理プログラムやデータを格納し
ておく記憶装置である。
【0033】入力装置304は、移動端末の位置情報の
登録要求をゲートウェイノード40〜42からHA30
や31に転送する為の各種入力を行う装置である。出力
装置305は、位置情報の登録要求の転送に伴う各種出
力を行う装置である。
【0034】CD−ROM装置306は、前記各種処理
プログラムを記録したCD−ROMの内容を読み出す装
置である。通信装置307は、ネットワークを介してH
A30及び31やゲートウェイノード40〜42との通
信を行う装置である。
【0035】また代表サーバ5は、認証処理部311
と、HA判別・転送処理部312と、情報追加処理部3
13とを有している。
【0036】認証処理部311は、移動端末の位置情報
の登録を要求する登録要求パケットをゲートウェイノー
ド40〜42から受信し、その送信元の移動端末が正規
の移動端末であるかどうかを判定する処理部である。
【0037】HA判別・転送処理部312は、前記登録
要求パケットの送信元の移動端末が正規の移動端末であ
る場合に、当該移動端末の所属するHAを判別し、その
登録要求パケットを前記判別されたHAへ転送する処理
部である。
【0038】情報追加処理部313は、IPネットワー
ク1にHAを増設する場合に、当該HAによって位置情
報の管理が行われる移動端末の認証情報と、当該HAへ
転送される登録要求パケットを判別する為の判別情報と
を代表サーバ5に追加する処理部である。
【0039】代表サーバ5を認証処理部311、HA判
別・転送処理部312及び情報追加処理部313として
機能させる為のプログラムは、CD−ROM等の記録媒
体に記録され磁気ディスク等に格納された後、メモリに
ロードされて実行されるものとする。なお前記プログラ
ムを記録する記録媒体はCD−ROM以外の他の記録媒
体でも良い。
【0040】図4は本実施形態のHA30及び31の概
略構成を示す図である。図4に示す様に本実施形態のH
A30及び31は、CPU401と、RAM402と、
ROM403と、入力装置404と、出力装置405
と、通信装置406とを有している。
【0041】CPU401は、HA全体の動作を制御す
る装置である。RAM402は、HA全体の動作を制御
する際にその為の各種処理プログラムやデータをロード
する記憶装置である。ROM403は、前記各種処理プ
ログラムやデータを格納しておく記憶装置である。
【0042】入力装置404は、移動端末の位置情報を
登録する為の各種入力を行う装置である。出力装置40
5は、移動端末の位置情報の登録に伴う各種出力を行う
装置である。通信装置406は、ネットワークを介して
代表サーバ5との通信を行う装置である。
【0043】またHA30及び31は、位置情報管理処
理部411と、VPN変更処理部412とを有してい
る。
【0044】位置情報管理処理部411は、移動端末の
位置情報の登録を要求する登録要求パケットを代表サー
バ5から受信し、その登録要求パケットの内容に基づい
て移動端末の位置情報を登録する処理部である。VPN
変更処理部412は、前記位置情報の登録が行われた移
動端末がVPNを用いた通信を行っている場合に、通信
相手のゲートウェイノードとの間に設定されていたVP
Nの解除を当該移動端末が移動する前のゲートウェイノ
ードに指示し、前記通信相手のゲートウェイノードとの
間の新たなVPNの設定を当該移動端末の移動後のゲー
トウェイノードに指示する処理部である。
【0045】HA30及び31を位置情報管理処理部4
11及びVPN変更処理部412として機能させる為の
プログラムは、ROM等の記録媒体に記録されて実行さ
れるものとする。なお前記プログラムを記録する記録媒
体はROM以外の他の記録媒体でも良い。
【0046】以下に、本実施形態のIPネットワーク1
における高セキュリティなVPNサービスの実現方法に
ついて説明する。ゲートウェイノード40〜42には、
VPN機能があり、端末20は、端末21とVPNトン
ネルにて接続されている。端末20から送信されたIP
パケットはゲートウェイノード40のVPN機能によっ
てカプセル化され、ゲートウェイノード41経由で端末
21へ送られることにより、このIPパケットは端末2
1へしか到達することができない様に制御されている。
端末21から端末20の逆のルートについても同様であ
る。
【0047】本実施形態では、このVPNサービスに端
末の移動性を与える為に、モバイルIPの位置情報の登
録機能を実装する方法を提供する。ここでは、端末21
がゲートウェイノード41の配下からゲートウェイノー
ド42の配下へ移動し、端末21の所属するHA31に
対して位置情報の登録要求が送信されるときの動作につ
いて説明する。
【0048】図5は本実施形態のゲートウェイノード4
2におけるパケット転送処理の処理手順を示すフローチ
ャートである。図5に示す様にゲートウェイノード42
のフィルター処理部211は、端末21から受信したパ
ケットが端末21の位置情報の登録を要求する登録要求
パケットであるかどうかを識別し、前記受信したパケッ
トが登録要求パケットである場合に、代表サーバ転送処
理部213によりその登録要求パケットを代表サーバ5
ヘ転送させる処理を行う。
【0049】図5のステップ501でゲートウェイノー
ド42内のフィルター処理部211は、端末21からゲ
ートウェイノード42へパケットが送信されると、端末
21から受信したパケットの宛先IPアドレス等を分析
し、宛先IPアドレスがHAのアドレスである場合には
前記ステップ502へ進み、宛先IPアドレスがVPN
通信相手のアドレスである場合にはステップ504へ進
み、宛先IPアドレスがそれ以外のアドレスである場合
にはステップ506へ進む。
【0050】ステップ502では、前記受信したパケッ
トがモバイルIPのプロトコルにより端末21の位置情
報の登録を要求する登録要求パケットであるものとし
て、代表サーバ転送処理部213のインタフェースへそ
の登録要求パケットを渡し、ステップ503で代表サー
バ転送処理部213は、前記渡された登録要求パケット
を代表サーバ5へ転送する。
【0051】ステップ504では、前記受信したパケッ
トがVPNトンネルを介して端末20との通信を行う為
のパケットであるものとして、VPN処理部212への
仮想インタフェースへそのパケットを渡し、ステップ5
04でVPN処理部212は、前記渡されたパケットを
VPNトンネル経由で端末20へ転送する。
【0052】ステップ506では、前記受信したパケッ
トをフィルター処理の仮想インタフェースへ入力する。
ステップ507では、そのパケットがゲートウェイノー
ド42での転送を許容されたパケットであるかどうかを
判定し、転送が許容されたパケットである場合にはステ
ップ508で当該パケットの転送を行い、転送が許容さ
れていないパケットである場合にはステップ509でエ
ラーメッセージを返却する。
【0053】前記の様に本実施形態のゲートウェイノー
ド42内のフィルター処理部211は、モバイルIPで
の位置情報の登録要求パケットを代表サーバ5ヘ転送す
る処理を許容する様に設定されている為、代表サーバ転
送処理部213は、このフィルター処理部211による
フィルター処理を受けること無く登録要求パケットを代
表サーバ5ヘ転送することができる。
【0054】図6は本実施形態の代表サーバ5の処理手
順を示すフローチャートである。図6に示す様に代表サ
ーバ5の認証処理部311は、端末21の位置情報の登
録を要求する登録要求パケットをゲートウェイノード4
2から受信し、その送信元の端末21が正規の移動端末
であるかどうかを判定する処理を行い、前記登録要求パ
ケットの送信元の端末21が正規の移動端末である場合
にHA判別・転送処理部312は、端末21の所属する
HA31を判別し、その登録要求パケットを前記判別さ
れたHA31へ転送する処理を行う。
【0055】図6のステップ601で代表サーバ5は、
ゲートウェイノード40〜42から登録要求パケットを
受信しているかどうかを調べ、ゲートウェイノード40
〜42のいずれかから登録要求パケットを受信している
場合にはステップ602へ進む。
【0056】ステップ602で代表サーバ5の認証処理
部311は、前記受信した登録要求パケットを受け取
り、ユーザ認証情報を用いてモバイルIP認証を行う。
このユーザ認証情報には、全てのゲートウェイノードの
フォーリンエージェントとしての認証情報と、全ての端
末の認証情報が含まれているが、この時に行うモバイル
IP認証は、ゲートウェイノード42のフォーリンエー
ジェントの認証と端末21の認証である。
【0057】図7は本実施形態の端末21の認証処理の
概要を示す図である。図7に示す様に代表サーバ5と端
末21のそれぞれでは秘密鍵情報となる関数を認証情報
として共有しており、この関数にはMD5(RFC1321 MD5
Message-Digest Algorithm)のアルゴリズムが用いられ
ている。
【0058】位置登録要求を行う際に端末21は、代表
サーバ5と共有している鍵(関数)を用いて登録要求内
容のデータからメッセージダイジェストを作成し、位置
登録要求の内容にこのメッセージダイジェストを付加し
て位置登録要求メッセージとして送信する。
【0059】ステップ602で代表サーバ5の認証処理
部311は、前記登録要求パケットとして受信したメッ
セージ中の位置登録要求の内容部分を読み出し、ステッ
プ603では、端末21と同様にして同じ関数を用いて
メッセージダイジェストを作成する。
【0060】ステップ604では、ステップ603で作
成したメッセージダイジェストと、端末21から受信し
たメッセージ中のメッセージダイジェストとを比較し、
両者が一致する場合には当該位置登録要求メッセージが
正規の移動端末から送信されたものとしてステップ60
5へ進む。また、両者が一致しない場合にはステップ6
08に進み、正規の移動端末以外から位置情報の登録要
求が行われたことを示すエラーメッセージを代表サーバ
5の出力装置305へ出力する。この一連の認証処理に
よって、位置登録要求メッセージの送信者の本人性の確
認と、位置登録要求の内容の一貫性(他人に改竄されて
いないこと)を証明することができる。
【0061】モバイルIP認証が完了すると、ステップ
605で代表サーバ5内のHA判別・転送処理部312
は、各移動端末が所属するHAを判別する為のHA判別
情報を参照し、前記受信した登録要求パケットの送信元
の端末21が所属するHA31のアドレスを検索する。
【0062】ステップ606では、前記検索の結果、H
A31のアドレスが検索されたかどうかを調べ、HA3
1のアドレスが検索された場合にはステップ607へ進
み、前記受信した位置登録要求メッセージをHA31へ
転送する。またHA31のアドレスが検索されなかった
場合にはステップ609に進み、位置情報の登録が行え
なかったことを示すエラーメッセージを端末21へ応答
する。
【0063】図8は本実施形態のHA31の処理手順を
示すフローチャートである。図8に示す様にHA31の
位置情報管理処理部411は、端末21の位置情報の登
録を要求する登録要求パケットを代表サーバ5から受信
し、その登録要求パケットの内容に基づいて端末21の
位置情報を登録する処理を行う。またVPN変更処理部
412は、前記位置情報の登録が行われた端末21がV
PNを用いた通信を行っている場合に、通信相手のゲー
トウェイノード40との間に設定されていたVPNの解
除を端末21が移動する前のゲートウェイノード41に
指示し、前記通信相手のゲートウェイノード40との間
の新たなVPNの設定を端末21の移動後のゲートウェ
イノード42に指示する処理を行う。
【0064】図8のステップ801でHA31の位置情
報管理処理部411は、代表サーバ5から登録要求パケ
ットを受信しているかどうかを調べ、代表サーバ5から
登録要求パケットを受信している場合にはステップ80
2へ進む。
【0065】ステップ802では、HA31内に登録さ
れている移動端末の位置情報を参照し、前記登録要求パ
ケットを送信した送信元の端末21の位置情報を検索す
る。
【0066】ステップ803では、前記検索の結果、端
末21の位置情報が検索されたかどうかを調べ、端末2
1の位置情報が検索された場合にはステップ804へ進
み、端末21の移動後の位置情報を前記検索されたエン
トリに格納して端末21の位置情報を更新する。また端
末21の位置情報が検索されなかった場合にはステップ
805に進み、端末21の移動後の位置情報を示すエン
トリを新規に作成する。
【0067】前記の様にHA31の位置情報管理処理部
411は、代表サーバ5からの位置情報の登録要求パケ
ットのみ許容する設定となっており、このパケットを受
信して位置情報の登録を行う。この一連の処理によって
HA31には端末21の位置情報が登録される。
【0068】位置情報登録後に、端末20から送信され
たパケットをVPNトンネル経由で端末21に到達させ
る方法はいくつか考えられるが、ここではVPNトンネ
ルを張り替える例を説明する。この方法では、端末21
が移動する前にはゲートウェイノード4Oとゲートウェ
イノード41の間で接続されていたVPNトンネルを、
端末21の移動に従ってゲートウェイノード40とゲー
トウェイノード42との間で接続する様に変更する。
【0069】すなわちステップ806でHA31のVP
N変更処理部412は、前記位置情報の登録が行われた
端末21がVPNを用いた通信を行っているかどうかを
調べ、端末21がVPNを用いた通信を行っている場合
にはステップ807へ進む。
【0070】ステップ807では、端末21が移動する
前のゲートウェイノード41に対してVPNトンネルの
変更指示を送って、通信相手のゲートウェイノード40
との間に設定されていたVPNの解除と、ゲートウェイ
ノード40と移動後のゲートウェイノード42との間の
新たなVPNトンネルの設定とを指示する。
【0071】そしてステップ808で、ゲートウェイノ
ード41からVPNトンネルの変更が完了したことを示
すVPNトンネル変更指示応答を受信した後、ステップ
809へ進み、端末21の位置情報の登録が完了したこ
とを示す位置登録応答をゲートウェイノード42へ送信
する。
【0072】図9は本実施形態のVPNトンネルの張り
替え指示のメッセージシーケンスを示す図である。図9
に示す様に、HA31のVPN変更処理部412からゲ
ートウェイノード41のVPN処理部212にVPNト
ンネル変更指示を送って、ゲートウェイノード40と移
動前のゲートウェイノード41との間で設定されていた
VPNトンネルを解除し、ゲートウェイノード40と移
動先のゲートウェイノード42との間でVPNトンネル
を新たに張ることによって、端末20と端末21は端末
21の移動後もVPNによる通信を持続できる。
【0073】先に述べた様に、各ゲートウェイノードの
フィルター処理部211は、モバイルIP認証及び位置
情報の登録要求のアクセスにおいて、代表サーバ5ヘの
みアクセスを許容する様に設定されており、存在するH
Aの数には依存しない設定となっている。
【0074】従って図1のVPNサービスを提供するI
Pネットワーク1にHA32を増設する場合にも、ゲー
トウェイノード40〜42ではフィルター機能の設定の
追加・変更は不要であり、代表サーバ5の情報追加処理
部313において、HA32配下の端末のモバイルIP
認証を行う為の認証情報の追加と、HA32の判別を行
う為のHA判別情報を追加するだけで良い。これにより
保守作業は一つのサーバ(ここでは代表サーバ5)の設
定の追加変更のみを意識すれば良いので、多くのゲート
ウェイノード全ての設定をHA増設の度にいちいち追加
変更する繁雑さから解放される。
【0075】以上説明した様に本実施形態の移動端末位
置登録システムによれば、移動端末の位置情報のホーム
エージェントへの登録を代表サーバ経由で行うので、ホ
ームエージェントをネットワーク外に公開する必要性を
無くし、ホームエージェントへの外部からの悪意による
攻撃を防止することが可能である。
【0076】また本実施形態の移動端末位置登録システ
ムによれば、ホームエージェントにアクセスするのは代
表サーバのみであるので、ホームエージェントの増設や
変更が起こっても代表サーバでのみ設定の追加・変更を
行えば良く、全てのゲートウェイノードの設定を追加・
変更する作業の繁雑さを無くすことが可能である。
【0077】
【発明の効果】本発明によれば移動端末の位置情報のホ
ームエージェントへの登録を代表サーバ経由で行うの
で、ホームエージェントをネットワーク外に公開する必
要性を無くし、ホームエージェントへの外部からの悪意
による攻撃を防止することが可能である。
【図面の簡単な説明】
【図1】本実施形態の移動端末位置登録システムの概要
を示す図である。
【図2】本実施形態のゲートウェイノード40〜42の
概略構成を示す図である。
【図3】本実施形態の代表サーバ5の概略構成を示す図
である。
【図4】本実施形態のHA30及び31の概略構成を示
す図である。
【図5】本実施形態のゲートウェイノード42における
パケット転送処理の処理手順を示すフローチャートであ
る。
【図6】本実施形態の代表サーバ5の処理手順を示すフ
ローチャートである。
【図7】本実施形態の端末21の認証処理の概要を示す
図である。
【図8】本実施形態のHA31の処理手順を示すフロー
チャートである。
【図9】本実施形態のVPNトンネルの張り替え指示の
メッセージシーケンスを示す図である。
【図10】従来の技術における位置登録方法の概要を示
す図である。
【符号の説明】
5…代表サーバ、201…CPU、202…RAM、2
03…ROM、204…入力装置、205…出力装置、
206…通信装置、211…フィルター処理部、212
…VPN処理部、213…代表サーバ転送処理部、30
1…CPU、302…メモリ、303…磁気ディスク装
置、304…入力装置、305…出力装置、306…C
D−ROM装置、307…通信装置、311…認証処理
部、312…HA判別・転送処理部、313…情報追加
処理部、401…CPU、402…RAM、403…R
OM、404…入力装置、405…出力装置、406…
通信装置、411…位置情報管理処理部、412…VP
N変更処理部、1…IPネットワーク、20〜22…端
末、23…端末、30〜32…HA、33…HA、40
〜42…ゲートウェイノード、301、311及び32
1…位置情報の管理機能、302、312及び322…
モバイルIP認証機能、101、111及び121…I
Pパケット転送機能、102、112及び122…フィ
ルター機能、103、113及び123…VPN機能。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 別所 寿一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 中村 亮一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HD03 JT09 KA01 KA05

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 ホームエージェントで移動端末の位置情
    報を管理することにより移動端末の移動性を提供するネ
    ットワークで、移動端末の位置情報をホームエージェン
    トに登録する移動端末位置登録方法において、 移動端末からゲートウェイノードへ送信されたパケット
    が当該移動端末の位置情報の登録を要求する登録要求パ
    ケットであるかどうかを識別するステップと、前記ゲー
    トウェイノードへ送信されたパケットが前記登録要求パ
    ケットである場合に、その登録要求パケットを当該ゲー
    トウェイノードから代表サーバヘ転送するステップと、 ゲートウェイノードから代表サーバに転送された前記登
    録要求パケットの送信元の移動端末が正規の移動端末で
    あるかどうかを判定するステップと、前記登録要求パケ
    ットを送信した移動端末が正規の移動端末である場合
    に、当該登録要求パケットを送信した移動端末のホーム
    エージェントを判別し、その登録要求パケットを前記判
    別されたホームエージェントへ転送するステップと、代
    表サーバからホームエージェントに転送された前記登録
    要求パケットの内容に基づいて、その送信元の移動端末
    の位置情報を登録するステップとを有することを特徴と
    する移動端末位置登録方法。
  2. 【請求項2】 前記位置情報の登録が行われた移動端末
    がVPNを用いた通信を行っている場合に、通信相手の
    ゲートウェイノードとの間に設定されていたVPNの解
    除を当該移動端末が移動する前のゲートウェイノードに
    指示するステップと、前記通信相手のゲートウェイノー
    ドとの間の新たなVPNの設定を当該移動端末の移動後
    のゲートウェイノードに指示するステップとを有するこ
    とを特徴とする請求項1に記載された移動端末位置登録
    方法。
  3. 【請求項3】 前記ネットワークにホームエージェント
    を増設する場合に、当該ホームエージェントによって位
    置情報の管理が行われる移動端末の認証情報と、当該ホ
    ームエージェントへ転送される登録要求パケットを判別
    する為の判別情報とを代表サーバに追加することを特徴
    とする請求項1または請求項2のいずれかに記載された
    移動端末位置登録方法。
  4. 【請求項4】 ホームエージェントで移動端末の位置情
    報を管理することにより移動端末の移動性を提供するネ
    ットワークで、移動端末の位置情報をホームエージェン
    トに登録する移動端末位置登録システムにおいて、 移動端末からゲートウェイノードへ送信されたパケット
    が当該移動端末の位置情報の登録を要求する登録要求パ
    ケットであるかどうかを識別するフィルター処理部と、
    前記ゲートウェイノードへ送信されたパケットが前記登
    録要求パケットである場合に、その登録要求パケットを
    当該ゲートウェイノードから代表サーバヘ転送する代表
    サーバ転送処理部と、 ゲートウェイノードから代表サーバに転送された前記登
    録要求パケットについて、その送信元の移動端末が正規
    の移動端末であるかどうかを判定する認証処理部と、前
    記登録要求パケットを送信した移動端末が正規の移動端
    末である場合に、当該登録要求パケットを送信した移動
    端末のホームエージェントを判別し、その登録要求パケ
    ットを代表サーバから前記判別されたホームエージェン
    トへ転送するHA判別・転送処理部と、 代表サーバからホームエージェントに転送された前記登
    録要求パケットの内容に基づいて、その送信元の移動端
    末の位置情報を登録する位置情報管理処理部とを備える
    ことを特徴とする移動端末位置登録システム。
  5. 【請求項5】 前記位置情報の登録が行われた移動端末
    がVPNを用いた通信を行っている場合に、通信相手の
    ゲートウェイノードとの間に設定されていたVPNの解
    除を当該移動端末が移動する前のゲートウェイノードに
    指示し、前記通信相手のゲートウェイノードとの間の新
    たなVPNの設定を当該移動端末の移動後のゲートウェ
    イノードに指示するVPN変更処理部を備えることを特
    徴とする請求項4に記載された移動端末位置登録システ
    ム。
  6. 【請求項6】 前記ネットワークにホームエージェント
    を増設する場合に、当該ホームエージェントによって位
    置情報の管理が行われる移動端末の認証情報と、当該ホ
    ームエージェントへ転送される登録要求パケットを判別
    する為の判別情報とを代表サーバに追加する情報追加処
    理部を備えることを特徴とする請求項4または請求項5
    のいずれかに記載された移動端末位置登録システム。
  7. 【請求項7】 ホームエージェントで移動端末の位置情
    報を管理することにより移動端末の移動性を提供するネ
    ットワークで、移動端末からの位置情報の登録要求を代
    表サーバに転送するゲートウェイノードであって、 移動端末から受信したパケットが当該移動端末の位置情
    報の登録を要求する登録要求パケットであるかどうかを
    識別するフィルター処理部と、 移動端末から受信したパケットが登録要求パケットであ
    る場合に、その登録要求パケットを代表サーバヘ転送す
    る代表サーバ転送処理部とを備えることを特徴とするゲ
    ートウェイノード。
  8. 【請求項8】 ホームエージェントで移動端末の位置情
    報を管理することにより移動端末の移動性を提供するネ
    ットワークで、移動端末の位置情報の登録要求をホーム
    エージェントに転送する代表サーバであって、 移動端末の位置情報の登録を要求する登録要求パケット
    をゲートウェイノードから受信し、その送信元の移動端
    末が正規の移動端末であるかどうかを判定する認証処理
    部と、 前記登録要求パケットの送信元の移動端末が正規の移動
    端末である場合に、当該移動端末のホームエージェント
    を判別し、その登録要求パケットを前記判別されたホー
    ムエージェントへ転送するHA判別・転送処理部とを備
    えることを特徴とする代表サーバ。
  9. 【請求項9】 前記ネットワークにホームエージェント
    を増設する場合に、当該ホームエージェントによって位
    置情報の管理が行われる移動端末の認証情報と、当該ホ
    ームエージェントへ転送される登録要求パケットを判別
    する為の判別情報とを代表サーバに追加する情報追加処
    理部を備えることを特徴とする請求項8に記載された代
    表サーバ。
  10. 【請求項10】 ホームエージェントで移動端末の位置
    情報を管理することにより移動端末の移動性を提供する
    ネットワークで、移動端末の位置情報を登録するホーム
    エージェントにおいて、 移動端末の位置情報の登録を要求する登録要求パケット
    を代表サーバから受信し、その登録要求パケットの内容
    に基づいて移動端末の位置情報を登録する位置情報管理
    処理部と、 前記位置情報の登録が行われた移動端末がVPNを用い
    た通信を行っている場合に、通信相手のゲートウェイノ
    ードとの間に設定されていたVPNの解除を当該移動端
    末が移動する前のゲートウェイノードに指示し、前記通
    信相手のゲートウェイノードとの間の新たなVPNの設
    定を当該移動端末の移動後のゲートウェイノードに指示
    するVPN変更処理部とを備えることを特徴とするホー
    ムエージェント。
JP2000390676A 2000-12-22 2000-12-22 移動端末位置登録方法及びその実施装置 Pending JP2002199003A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000390676A JP2002199003A (ja) 2000-12-22 2000-12-22 移動端末位置登録方法及びその実施装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000390676A JP2002199003A (ja) 2000-12-22 2000-12-22 移動端末位置登録方法及びその実施装置

Publications (1)

Publication Number Publication Date
JP2002199003A true JP2002199003A (ja) 2002-07-12

Family

ID=18856992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000390676A Pending JP2002199003A (ja) 2000-12-22 2000-12-22 移動端末位置登録方法及びその実施装置

Country Status (1)

Country Link
JP (1) JP2002199003A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535363A (ja) * 2005-03-28 2008-08-28 ケイティーフリーテル カンパニー リミテッド モバイルipを用いた移動ノードの仮想私設網接続方法
JP2013005110A (ja) * 2011-06-14 2013-01-07 Ntt Communications Kk 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム
JP2013229924A (ja) * 2013-07-08 2013-11-07 Ntt Communications Kk 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535363A (ja) * 2005-03-28 2008-08-28 ケイティーフリーテル カンパニー リミテッド モバイルipを用いた移動ノードの仮想私設網接続方法
JP2013005110A (ja) * 2011-06-14 2013-01-07 Ntt Communications Kk 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム
JP2013229924A (ja) * 2013-07-08 2013-11-07 Ntt Communications Kk 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム

Similar Documents

Publication Publication Date Title
JP3492865B2 (ja) 移動計算機装置及びパケット暗号化認証方法
JP3662080B2 (ja) ファイアウォール動的制御方法
JP4327575B2 (ja) 動的ファイアウォールシステム
JP3557056B2 (ja) パケット検査装置、移動計算機装置及びパケット転送方法
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
JP2004128782A (ja) 鍵交換代理ネットワークシステム
JP2001356973A (ja) ネットワークシステム
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
JP2004180155A (ja) 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
US20040066764A1 (en) System and method for resource authorizations during handovers
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
KR20050083204A (ko) 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법
US11102172B2 (en) Transfer apparatus
JP2005167646A (ja) 接続制御システム、接続制御装置、及び接続管理装置
US20040156374A1 (en) Router and routing method for providing linkage with mobile nodes
JP2004304696A (ja) 暗号通信装置
JP2007006248A (ja) リモートアクセス方法、およびリモートアクセスシステム
KR100816309B1 (ko) 이동 통신 단말기간의 통신 경로 변경을 고속화시키는 통신시스템
WO2023116165A1 (zh) 网络负载均衡方法、装置、电子设备、介质和程序产品
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP4011528B2 (ja) ネットワーク仮想化システム
CN116545665A (zh) 一种安全引流方法、系统、设备及介质
JP2002199003A (ja) 移動端末位置登録方法及びその実施装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040831

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041019

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050111