JP2004180155A - 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 - Google Patents
通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 Download PDFInfo
- Publication number
- JP2004180155A JP2004180155A JP2002346271A JP2002346271A JP2004180155A JP 2004180155 A JP2004180155 A JP 2004180155A JP 2002346271 A JP2002346271 A JP 2002346271A JP 2002346271 A JP2002346271 A JP 2002346271A JP 2004180155 A JP2004180155 A JP 2004180155A
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- mobile device
- packet
- communication control
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/10—Mobility data transfer between location register and external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/082—Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】移動機に対するファイアウォール機能の適用を可能とする
【解決手段】本発明に係る通信制御システム1は、ホームエージェント装置10と複数のファイアウォール装置20〜40と移動機50とを備える。移動機50が例えばファイアウォール装置20に接続すると、ファイアウォール装置20は、移動機50の識別情報及び設定ファイルをホームエージェント装置10から受信し、設定ファイルを使用して、移動機50用のファイアウォールを構築する。ファイアウォール装置20は、IPパケットを受信すると、当該パケットの宛先である移動機50に適したファイアウォールを選定し、このファイアウォールに設定されているフィルタリング条件に従って通過許否の判定を行う。
【選択図】 図1
【解決手段】本発明に係る通信制御システム1は、ホームエージェント装置10と複数のファイアウォール装置20〜40と移動機50とを備える。移動機50が例えばファイアウォール装置20に接続すると、ファイアウォール装置20は、移動機50の識別情報及び設定ファイルをホームエージェント装置10から受信し、設定ファイルを使用して、移動機50用のファイアウォールを構築する。ファイアウォール装置20は、IPパケットを受信すると、当該パケットの宛先である移動機50に適したファイアウォールを選定し、このファイアウォールに設定されているフィルタリング条件に従って通過許否の判定を行う。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法に関する。
【0002】
【従来の技術】
従来、携帯電話などの移動機が、その移動に関わらず同一のIP(Internet Protocol)アドレスを使用する技術であるモバイルIPv6がIETF(Internet Engineering Task Force)において検討されている。モバイルIPv6は、移動機としてのモバイルIP端末とホームエージェントとにより実現される。宛先アドレスがモバイルIP端末の恒久的なIPアドレス(ホームアドレス)であるパケットは、通常のIPの手順で転送された後、ホームエージェントのあるリンクに到達する。これにより、ホームエージェントは、ホームアドレス宛のパケットを受信する。
【0003】
モバイルIP端末は、移動すると、移動先のノードで、既存のステートレスアドレス自動生成技術(RFC2462)やステートフルアドレス自動生成技術(DHCP:Dynamic Host Configuration Protocol)を使用して、一時的なIPアドレスである気付アドレスを取得する。モバイルIP端末は、この気付アドレスをホームエージェントに登録する。
【0004】
モバイルIP端末が他の端末と通信を行う方法には、双方向トンネルモードと経路最適化モードとの2つの方法がある。双方向トンネルモードでは、モバイルIP端末とホームエージェントとの間にトンネルが生成される。トンネルとは、RFC2473に開示されている様に、元のIPパケットを別のIPパケットに包含して送信することにより、元のIPパケットの送信元IPアドレスや宛先IPアドレスとは無関係に、任意の経路でパケットを運ぶ技術である。
【0005】
モバイルIP端末から他の端末に向けてIPパケットを送信する場合には、このIPパケットは、トンネルを経由して、まずホームエージェント宛に送信される。ホームエージェントは、IPパケットをトンネルから出した後、通常のIPの手順により他の端末宛に送出する。これにより、IPパケットは、他の端末に到達する。反対に、他の端末からモバイルIP端末に向けてIPパケットを送信する場合には、IPパケットは、通常のIPの手順によりホームエージェントに到達する。その後、ホームエージェントは、このIPパケットをトンネルに入れて、モバイルIP端末宛に送出する。
【0006】
これに対して、経路最適化モードでは、モバイルIP端末は、IPパケットの送信に先立って、他の端末にIPアドレスを通知する。IPパケットが双方向トンネルモードにより他の端末からモバイルIP端末宛に送信された場合、モバイルIP端末は、経路最適化モードにモード変更するために、自端末の気付アドレスを上記他の端末宛に送信する。
【0007】
経路最適化モードにおいて、モバイルIP端末から他の端末に向けてIPパケットを送信する場合には、このIPパケットは、モバイルIP端末から他の端末宛に直接(トンネルを経由せずに)送信される。このとき、IPパケットの送信元アドレスには気付アドレスが設定されており、IPパケット内のホームアドレスオプションにはホームアドレスが設定されている。
【0008】
一方、他の端末からモバイルIP端末に向けてIPパケットを送信する場合には、IPパケットにルーチングヘッダが付され、IPパケットは、他の端末からモバイルIP端末に直接に(トンネルを経由せずに)送信される。なお、ルーチングヘッダは、RFC2460により規定されており、任意の中継点を経由してパケットを送信するための情報である。IPパケットの第1の宛先(中継点)としては気付アドレスが設定され、第2の宛先としてはホームアドレスが設定される。
【0009】
また、LAN等の内部ネットワークでは、インターネット等の外部ネットワークからの不正アクセスを検出及び遮断するために、所定のフィルタリング条件に従って、各ネットワークの境界に到達したデータの通過許否を判定するファイアウォールを設置する。ファイアウォールは、多くの場合ソフトウェアの形で提供され、ルータやプロキシサーバ等に組み込まれて使用されるが、高い性能が要求されるため、専用のハードウェアが用いられる場合もある(例えば、特許文献1参照。)。
【0010】
【特許文献1】
特開平10−70576
【0011】
【発明が解決しようとする課題】
ファイアウォールは、高価で高度な設定技術が必要なため専門家以外による運用が困難である上に、以下の理由などから、主に企業内LANを守るために使用されていた。すなわち、ダイヤルアップ接続を行う端末や携帯電話などの移動機は、外部ネットワークに接続する場所が状況や用途に応じて異なるので、ファイアウォールの適切かつ固定的な設置場所の特定が困難である。また、ダイヤルアップ接続を行う端末は、割り当てられるIPアドレスが接続時毎に異なるので、接続時毎にフィルタリングの条件を変更する必要があり実用的ではない。更に、ダイヤルアップ接続は、接続時間が短いため、その間にインターネットから攻撃される可能性は低く、端末をファイアウォールで守らなくてもトラブルに合うことは殆どなかった。
【0012】
更に、近年では、個人ユーザが使用する端末が常時接続により外部ネットワークと接続する形態が増加しており、この様な端末に関しても、ファイアウォールを使用する必要性が高まってきた。ところが、かかる端末としての、携帯電話やノートパソコン等の携帯型通信端末(以下、「移動機」と記す。)は、接続先のノードが高頻度かつ高速に変化することが想定されるため、設置位置が不変的なファイアウォールを使用できない。
【0013】
そこで、本発明の課題は、移動機に対するファイアウォール機能の適用を可能とすることである。
【0014】
【課題を解決するための手段】
上記課題を解決するために、本発明に係る通信制御装置は、移動機を接続可能な複数のファイアウォール装置とデータの送受信を行う通信制御装置において、前記移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段と、前記移動機の接続先のファイアウォール装置を検知する検知手段と、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を前記ファイアウォール装置宛に送信する送信手段とを備える。
【0015】
本発明に係るデータ通信方法は、移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段を備える通信制御装置が、前記移動機を接続可能な複数のファイアウォール装置とデータの送受信を行うデータ通信方法において、前記通信制御装置の検知手段が、前記移動機の接続先のファイアウォール装置を検知する検知ステップと、前記通信制御装置の送信手段が、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を前記ファイアウォール装置宛に送信する送信ステップとを含む。
【0016】
これらの発明によれば、移動機の接続先のファイアウォール装置が検知されたことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報が、前記移動機の新規接続先のファイアウォール装置宛に送信される。これにより、移動機に適したファイアウォール設定情報は、移動機の接続先のファイアウォール装置に送信され設定される。
【0017】
したがって、移動機がファイアウォール装置に初期接続した場合にはもとより、移動機が移動により接続先のファイアウォール装置を変更した場合にも、ファイアウォール設定情報は、接続先変更後のファイアウォール装置に送信され設定される。つまり、ファイアウォール設定情報は、移動機の移動に追従する。ファイアウォール設定情報には、上記移動機宛のパケットのフィルタリング条件が含まれているので、ファイアウォール装置に到達した上記パケットに関しては、かかるフィルタリング条件に従って通過の許否(転送又は破棄)が判定される。その結果、移動機に対しても、適切なファイアウォール機能の適用が可能となる。
【0018】
本発明に係るファイアウォール装置は、上述した通信制御装置と複数の移動機との間におけるデータ送受信を中継するファイアウォール装置において、前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持手段と、前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別手段と、前記識別手段により識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定手段とを備える。
【0019】
本発明に係るデータ通信方法は、ファイアウォール装置が、上述した通信制御装置と複数の移動機との間におけるデータ送受信を中継するデータ通信方法において、前記ファイアウォール装置の保持手段が、前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持ステップと、前記ファイアウォール装置の識別手段が、前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別ステップと、前記ファイアウォール装置の判定手段が、前記識別ステップにて識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定ステップとを含む。
【0020】
これらの発明によれば、ファイアウォール設定情報に含まれるフィルタリング条件が各移動機の識別情報と対応付けて保持された後、通信制御装置からファイアウォール装置に送信されたパケットの宛先である移動機が識別され、該移動機に対応するフィルタリング条件に従って、前記パケットの通過許否が判定される。これにより、ファイアウォール装置に到達したパケットの通過許否の判定に際して使用されるフィルタリング条件が移動機毎に適宜変更される。したがって、当該パケットが宛先となる可能性のない移動機に関してまで、通過許否判定処理が不要に行われることが防止される。その結果、ファイアウォール装置を使用する移動機が増加しても、各移動機宛のパケットの伝送遅延時間の増大を抑制することが可能となる。
【0021】
本発明に係る通信制御システムは、上述した通信制御装置と上述したファイアウォール装置とを備え、前記移動機は、受信するパケットを前記ファイアウォール装置を経由して受信する。
【0022】
【発明の実施の形態】
(第1の実施形態)
以下、本発明の第1の実施形態について、図面を参照して詳細に説明する。
図1は、本発明に係る通信制御システム1の全体構成を示す図である。図1に示す様に、通信制御システム1は、ホームエージェント装置10(通信制御装置に対応)と三台のファイアウォール装置20,30,40(複数のファイアウォール装置に対応)と移動機50とを備えて構成される。
【0023】
ホームエージェント装置10と移動機50とは、三台のファイアウォール装置20〜40の内の任意の1台を少なくとも経由して、相互に各種データの送受信が可能な様に接続されている。インターネット等の外部ネットワークから送信されたIPパケットは、ホームエージェント装置10により一旦受信された後、移動機50の現在位置の最も近傍に位置するファイアウォール装置20により中継され、当該IPパケットの宛先である移動機50に到達可能である。
【0024】
図2は、本発明に係るホームエージェント装置10の機能的構成を示す図である。図2に示す様に、ホームエージェント装置10は、設定ファイル元データ格納部11(格納手段に対応)と、BU受信部12(検知手段に対応)と、設定ファイル送信部13(送信手段に対応)とを備える。各部はバスを介して、各部の機能に応じた信号の入出力が可能な様に接続されている。
【0025】
以下、ホームエージェント装置10の各構成要素について詳細に説明する。
設定ファイル元データ格納部11には、後述の設定ファイル元データ(ファイアウォール設定情報に対応)が、移動機識別情報と対応付けて格納されている。移動機識別情報は、例えば、移動機のホームアドレスやMACアドレスである。
【0026】
設定ファイル元データには、例えば以下に示す情報が記述されている。
▲1▼.ファイアウォール名
▲2▼.「外部ネットワークから来るIPパケットの振分け基準」の生成に必要な情報
▲3▼.「移動機から送信されるIPパケットの振分け基準」の生成に必要な情報
▲4▼.「アクセス制御リスト」の生成に必要な情報
【0027】
すなわち、▲1▼の情報は、ファイアウォールの設定内容を一意に特定可能な情報であり、既に送信済の又は作成時から所定時間経過した設定ファイル元データをホームエージェント装置10が削除する際に使用される。
▲2▼の情報は、外部ネットワークからホームエージェント装置10を経由して送信されるIPパケットの宛先となる移動機をファイアウォール装置が識別するための情報である。▲2▼の情報は、必要に応じて記述される。かかる情報は、例えば、移動機50のIPアドレスであるが、必ずしも1つのIPアドレスに限らず、複数の宛先IPアドレスが範囲指定されたものであってもよい。
【0028】
▲3▼の情報は、移動機から送信されるIPパケットの送信元をファイアウォール装置が識別するための情報である。かかる情報は、例えば、送信元MACアドレスを振分け基準にするか送信元IPアドレスを振分け基準にするかを指定するための情報や、MACアドレスを振分け基準にする場合のMACアドレスである。
【0029】
▲4▼の情報は、ファイアウォール装置がIPパケットの通過許否を判定する際に使用されるフィルタリング条件が記載された周知慣用のアクセス制御リストの生成に必要な情報である。例えば、アクセス制御リストの元になるリストと、該リスト上のどの部分を気付アドレスに書き換えるかを指定するための情報である。但し、アクセス制御リストには、▲2▼及び▲3▼の情報に基づいて識別される移動機宛のIPパケットの通過許否判定に使用されるフィルタリング条件が記載されており、その他の移動機に関するフィルタリング条件は記載されていない。これにより、通過許否判定に伴う検索データ量を減らし、パケットフィルタリング処理の高速化を図る。アクセス制御リストは、最上行からの順次検索が可能な様に行単位で記載されており、各行の先頭項目から順に、IPパケットの通過の可否を示す“deny”又は“permit”、IPパケットの上位層プロトコル、IPパケットの送信元アドレス及び送信元ポート番号、IPパケットの宛先アドレス及び宛先ポート番号などが記載されている。
【0030】
BU受信部12は、移動機50が移動した旨を通知するためのパケットであるバインディングアップデート(BU:Binding Update)を、移動先のファイアウォール装置20から受信する。BU受信部12は、このバインディングアップデートの受信により、移動機50がファイアウォール装置と接続したこと(接続先の変更を含む)を検知し、その旨を設定ファイル送信部13に通知する。
【0031】
設定ファイル送信部13は、移動機50の接続がBU受信部12から通知されると、上記バインディングアップデートを参照して、ファイアウォール装置と接続した移動機を特定する。設定ファイル送信部13は、特定された移動機の識別情報及び対応する設定ファイル元データを設定ファイル元データ格納部11から取得し、設定ファイル元データを元に設定ファイルを生成する。設定ファイル送信部13は、上記移動機識別情報及び設定ファイルをバインディングアック(BA:Binding Acknowledgement)と共に、移動機50の新規接続先であるファイアウォール装置宛に送信する。バインディングアックとは、バインディングアップデートに対する確認応答信号である。
【0032】
図3は、本発明に係るファイアウォール装置20の機能的構成を示す図である。ファイアウォール装置20は、アクセスルータを始めとするルータ自体であってもよいし、ルータとは別体に構成されたファイアウォール専用の端末であってもよい。図3に示す様に、ファイアウォール装置20は、パケット振分け部21,24(識別手段に対応)と、ファイアウォールプロセス221,222,223(保持手段及び判定手段に対応)と、出力バッファ23,25とを備える。各部はバスを介して、各部の機能に応じた信号の入出力が可能な様に接続されている。
【0033】
パケット振分け部21は、ホームエージェント装置10から送信された移動機識別情報及び設定ファイルを受信すると、該移動機識別情報に基づいて設定ファイルの設定先となるファイアウォールプロセスを特定する。該当するファイアウォールプロセスがない場合には、ファイアウォールプロセスを生成する。特定又は生成されたファイアウォールプロセスには、上記移動機識別情報及び設定ファイルが保持される。また、パケット振分け部21には、設定ファイル内のファイアウォール名、及び外部ネットワークから来るIPパケットの振分け基準が設定される。パケット振分け部24には、設定ファイル内のファイアウォール名、及び移動機から送信されるIPパケットの振分け基準が設定される。
【0034】
その後、パケット振分け部21は、外部ネットワークから送信されたIPパケットを受信すると、設定された振分け基準に従って、当該IPパケットを、その宛先移動機に対応するファイアウォールに出力する。同様に、パケット振分け部24は、移動機から送信されたIPパケットを受信すると、設定された振分け基準に従って、当該IPパケットを、その送信元移動機に対応するファイアウォールプロセスに出力する。
【0035】
また、外部ネットワークから移動機50に向かう方向(下り方向)にIPパケットが送信される場合には、ファイアウォールプロセス221は、通過許否の判定に先立って、パケット振分け部21から取得されたIPパケットから、以下の1〜3に示す手順で、フィルタリング用の宛先IPアドレス及び送信元IPアドレスを取得する。
【0036】
1.IPパケットが双方向トンネルモードにより送信されている場合、すなわち、外側のIPパケットの送信元アドレスがホームエージェントアドレスであり、宛先アドレスが気付アドレスであり、IPパケットがIPパケットを内包する場合には、ファイアウォールプロセス221は、内部のIPパケットを取得し、該IPパケットに対して、下記の2及び3に示す手順を適用する。一方、IPパケットが双方向トンネルモードにより送信されていない場合には、ファイアウォールプロセス221は、パケット振分け部21から取得されたIPパケットに対して、そのまま下記の2及び3に示す手順を適用する。
【0037】
2.IPパケットが経路最適化モードにより移動機50宛に送信されている場合、すなわち、IPパケットの宛先アドレスが気付アドレスであり、ルーチングヘッダが存在し、該ルーチングヘッダに設定されている第2の宛先がホームアドレスである場合には、ファイアウォールプロセス221は、フィルタリング用の宛先IPアドレスとしてホームアドレスを使用する。一方、IPパケットが経路最適化モードにより移動機50宛に送信されていない場合には、ファイアウォールプロセス221は、IPパケットの宛先アドレスをフィルタリング用の宛先IPアドレスとしてそのまま使用する。
【0038】
3.IPパケットが経路最適化モードによりモバイルIP端末から送信されている場合、すなわち、IPパケットの送信元アドレスが気付アドレスであり、ホームアドレスオプションが設定されている場合には、ファイアウォールプロセス221は、該ホームアドレスオプションに設定されているアドレスを、フィルタリング用の送信元IPアドレスとして使用する。一方、IPパケットが経路最適化モードによりモバイルIP端末から送信されていない場合には、ファイアウォールプロセス221は、IPパケットの送信元アドレスをフィルタリング用の送信元IPアドレスとしてそのまま使用する。
【0039】
移動機50から外部ネットワークに向かう方向(上り方向)にIPパケットが送信される場合には、ファイアウォールプロセス221は、通過許否の判定に先立って、パケット振分け部24から取得されたIPパケットから、以下の1〜3に示す手順で、フィルタリング用の宛先IPアドレス及び送信元IPアドレスを取得する。
【0040】
1.IPパケットが双方向トンネルモードにより送信されている場合、すなわち、外側のIPパケットの送信元アドレスが気付アドレスであり、宛先アドレスがホームエージェントアドレスであり、IPパケットがIPパケットを内包する場合には、ファイアウォールプロセス221は、内部のIPパケットを取得し、該IPパケットに対して、下記の2及び3に示す手順を適用する。一方、IPパケットが双方向トンネルモードにより送信されていない場合には、ファイアウォールプロセス221は、パケット振分け部24から取得されたIPパケットに対して、そのまま下記の2及び3に示す手順を適用する。
【0041】
2.IPパケットが経路最適化モードによりモバイルIP端末宛に送信されている場合、すなわち、IPパケット内にルーチングヘッダが存在する場合には、ファイアウォールプロセス221は、該ルーチングヘッダに設定されている第2の宛先をフィルタリング用の宛先IPアドレスとして使用する。一方、IPパケットが経路最適化モードによりモバイルIP端末宛に送信されていない場合には、ファイアウォールプロセス221は、IPパケットの宛先アドレスをフィルタリング用の宛先IPアドレスとしてそのまま使用する。
【0042】
3.IPパケットが経路最適化モードにより移動機50から送信されている場合、すなわち、IPパケットの送信元アドレスが気付アドレスであり、ホームアドレスオプションが設定されている場合には、ファイアウォールプロセス221は、該ホームアドレスオプションに設定されているアドレスを、フィルタリング用の送信元IPアドレスとして使用する。一方、IPパケットが経路最適化モードにより移動機50から送信されていない場合には、ファイアウォールプロセス221は、IPパケットの送信元アドレスをフィルタリング用の送信元IPアドレスとしてそのまま使用する。
【0043】
更に、ファイアウォールプロセス221は、上記の手順で取得されたフィルタリング用の宛先IPアドレス及び送信元IPアドレスを使用して、設定ファイル内のアクセス制御リストに記載されているフィルタリング条件に従って、パケット振分け部21により振り分けられたIPパケットの通過許否を判定する。通過が許可されたIPパケットは出力バッファ23に出力され、通過が拒否されたIPパケットは破棄される。これにより、ファイアウォールプロセス221は、宛先又は送信元が移動機50であるIPパケットのフィルタリングを実現する。
【0044】
ファイアウォールプロセス222は、上述したファイアウォールプロセス221と同一の機能的構成を有する。すなわち、ファイアウォールプロセス222は、移動機50とは別の移動機である移動機60(図示せず)の識別情報及び設定ファイルを保持し、宛先又は送信元アドレスが移動機60であるIPパケットのフィルタリングを実現する。ファイアウォールプロセス223に関しても同様に、更に別の移動機である移動機70(図示せず)の識別情報及び設定ファイルを保持し、宛先又は送信元が移動機70であるIPパケットのフィルタリングを実現する。
【0045】
出力バッファ23は、ファイアウォールプロセス221〜223の何れかから入力されたIPパケットを、当該IPパケットの宛先である移動機宛に無線チャネルを介して送信(転送)する。
【0046】
パケット振分け部24は、上述したパケット振分け部21と機能的構成を同一とするが、パケット振分け部21とはIPパケットの送信方向が異なる。すなわち、パケット振分け部21が、ホームエージェント装置10側に形成されたインターネット等の外部ネットワークからIPパケットを受信するのに対して、パケット振分け部24は、移動機50側から送信されたIPパケットを受信する。
【0047】
出力バッファ25は、ファイアウォールプロセス221〜223の何れかから入力されたIPパケットを、当該IPパケットの宛先のノードに送信(転送)する。
ファイアウォール装置30,40は、ファイアウォール装置20と設置位置が異なるものの、構成に関しては、上述したファイアウォール装置20と同様であるので、その説明は省略する。
【0048】
移動機50は、Mobile IPv6に準拠した移動ノードである。移動機50は、電源投入や長期断線後の再接続に伴い、ファイアウォール装置20〜40の内、最も受信レベルの高いファイアウォール装置と無線接続する。本実施の形態では特に、通信制御システム1内のファイアウォール装置20に移動機50が新規に接続(初期接続)する場合を想定するが、移動に伴って、接続先のファイアウォール装置を変更(ハンドオーバ)することも勿論可能である。
【0049】
移動機50は、ファイアウォール装置と接続すると、当該ファイアウォール装置を経由してホームエージェント装置10宛に上記バインディングアップデートを送信する。また、移動機50は、ホームエージェント装置10から送信される上記バインディングアックを受信する。
【0050】
次に、図4及び図5を参照して、通信制御システム1の動作を説明する。併せて、本発明に係るデータ通信方法を構成する各ステップについて説明する。
図4は、通信制御システム1により実行制御されるファイアウォール構築処理を説明するためのフローチャートである。
【0051】
まず、S1では、移動機50は、電源が投入されたり、長期断線後に再接続されたことを契機として、ファイアウォール装置20〜40の内、最も受信レベルの高い(通常は最も近傍に位置する)ファイアウォール装置20と無線接続する。
【0052】
S2では、移動機50は、周知慣用のMobile IPv6の接続手順に従って、ファイアウォール装置20との無線接続が完了した旨を通知すべく、バインディングアップデートをホームエージェント装置10宛に送信する。このバインディングアップデートには、送信元である移動機50の識別情報が少なくとも含まれている。
【0053】
S3では、ホームエージェント装置10は、BU受信部12により、移動機50から送信されたバインディングアップデートを受信する。
S4では、ホームエージェント装置10は、設定ファイル送信部13により、上記バインディングアップデートに含まれる送信元移動機の識別情報を基に、移動機50の識別情報及びこれに対応する設定ファイル元データを設定ファイル元データ格納部11から取得する。
【0054】
S5では、ホームエージェント装置10は、設定ファイル送信部13により、S4で取得された設定ファイル元データを元に、以下のI〜Vに示す手順で設定ファイルを生成する。
【0055】
I.ファイアウォール名を設定ファイル元データからコピーする。
II.「外部ネットワークから来るIPパケットの振分け基準」として、気付アドレスを設定する。
III.送信元IPアドレスを振分け基準にする様に指定されている場合には、「移動機から送信されるIPパケットの振分け基準」として、ホームアドレスと気付アドレスとを設定する。送信元MACアドレスを振分け基準にする様に指定されている場合には、「移動機から送信されるIPパケットの振分け基準」として、設定ファイル元データのMACアドレスをコピーする。
IV.アクセス制御リストの元になるリスト上において書き換えが指定されている部分を気付アドレスに置換し、「アクセス制御リスト」として設定する。
V.「ホームエージェントアドレス」として、ホームエージェントのIPアドレスを設定する。
【0056】
S6では、ホームエージェント装置10は、設定ファイル送信部13により、S4で取得された移動機50の識別情報及びS5で生成された設定ファイルをバインディングアックに添付して、移動機50宛に送信する。
【0057】
なお、本実施の形態では、設定ファイルは、ホームエージェント装置10側で生成及び送信されるものとして説明した。しかし、ホームエージェント装置10がファイアウォール装置宛に設定ファイル元データを送信し、ファイアウォール装置が、この設定ファイル元データを元に設定ファイルを生成するものとしてもよい。
【0058】
移動機50は、ファイアウォール装置20と接続されているので、移動機50宛のバインディングアックは、ファイアウォール装置20を必然的に経由する。S7では、ファイアウォール装置20は、送信途中のバインディングアックに添付されている、移動機50の識別情報及び設定ファイルを取得する。
S8では、移動機50がバインディングアックを受信し、これを以って、移動機50のホームエージェント装置10に対する位置登録が完了する。このとき、移動機50は、バインディングアックと共に上記設定ファイルを受信してもよい。
【0059】
なお、移動機識別情報及び設定ファイルは、バインディングアックに乗せて送信されるものとしたが、バインディングアックとは別に送信されるものとしてもよい。すなわち、ホームエージェント装置10が、バインディングアップデートの気付アドレスを基に、移動機50が接続しているファイアウォール装置20のプレフィクスを割り出し、該プレフィクスの示すネットワーク上の全てのファイアウォール装置に対して設定ファイルをマルチキャストする。その後、ホームエージェント装置10は、移動機50宛にバインディングアックを送信する。
【0060】
S9においては、ファイアウォール装置20は、S7で取得された移動機50の識別情報及び設定ファイルを使用して、移動機50用のファイアウォールプロセス221を生成する。S9におけるファイアウォールの生成とは、設定ファイル内のアクセス制御リストを実行するプロセスを特定の移動機用にカスタマイズすることである。ファイアウォールの生成に際して、上記プロセスの初期化(内部変数の設定)が必要であればこれを実行し、移動前の動作状態が設定ファイル内に存在すれば、これを上記プロセスの内部変数に設定する。
【0061】
S10では、ファイアウォール装置20は、S7で取得された設定ファイルからファイアウォール名及び振分け基準を取得し、パケット振分け部21及び24に設定する。
以上、移動機50に適用されるファイアウォールを構築する過程について説明したが、移動機60,70に適用されるファイアウォールに関しても同様のステップを経て構築される。
【0062】
続いて、図5を参照して、ファイアウォール構築後のファイアウォール装置20により実行制御されるIPパケットフィルタリング処理について説明する。
以下、ホームエージェント10から移動機50に向かう方向(下り方向)にIPパケットが送信される場合を想定して説明するが、これとは反対方向(上り方向)にIPパケットが送信される場合に関しても同様の処理を実行可能である。
【0063】
T1では、パケット振分け部21により、IPパケットの受信の有無が監視される。
T2では、パケット振分け部21により、IPパケットのヘッダ情報から宛先IPアドレスが特定されると共に、該アドレスを有する移動機に対応するファイアウォールを振分け先として上記IPパケットが出力される。例えば、受信されたIPパケットの宛先IPアドレスが移動機50のIPアドレスである場合には、IPパケットはファイアウォールプロセス221に振り分けられる。
【0064】
このとき、受信されたIPパケットの振分け先となるファイアウォールが未生成の状況が懸念されるが、かかる場合には、事前に設定された処理(以下、「デフォルト処理」と記す。)が実行される。デフォルト処理としては、例えば、ファイアウォール装置20がIPパケットの記述内容を検査し、記述内容がホームエージェント装置10へのバインディングアップデートであれば、当該パケットをホームエージェント装置10に送信する。バインディングアップデートでない場合にはその時点でIPパケットを破棄する。
【0065】
T3では、ファイアウォールプロセス221により、図4のS9で生成された上記プロセスに基づいて、IPパケットの通過許否が判定される。なお、ファイアウォールプロセス221は、IPパケットの通過許否判定処理に限らず、通過優先順位の設定、認証情報の検査、記述内容の変更などの処理を実行するものとしてもよい。
【0066】
T3における判定の結果、通過が許可されると(T4;Yes)、ファイアウォールプロセス221により、IPパケットが出力バッファ23に出力及び保持される(T5)。そして、T6では、出力バッファ23に保持されているIPパケットは、ファイアウォール装置20と移動機50とを接続する無線チャネルを介して、移動機50宛に送信される。
【0067】
一方、T3における判定の結果、通過が拒否されると(T4;No)、ファイアウォールプロセス221により、IPパケットは削除される(T7)。このとき、IPパケットが削除された旨が、その送信元であるホームエージェント装置10に通知されるものとしてもよい。
【0068】
T6又はT7の処理終了後、ファイアウォール装置20は、更なるIPパケットの受信を待機すべく、T1に戻り、T1以降の処理を再び実行する。
以上、通信制御システム1が移動機50宛のIPパケットに対してフィルタリングを行う過程について説明したが、移動機60,70宛のIPパケットに対するフィルタリング処理に関しても同様のステップを経ることにより実行可能である。これにより、専用のファイアウォールが生成された全ての移動機宛のIPパケットに関して、高速かつ適確な通過許否判定が可能となる。
【0069】
上述した様に、本発明に係る通信制御システム1によれば、移動機が直接的に接続する可能性のある端末の位置にファイアウォールを配備する。ホームエージェント装置10が、任意の移動機から送信されたバインディングアップデートを受信すると、当該移動機に適したファイアウォールの設定ファイルを上記ファイアウォール装置宛に送信する。ファイアウォール装置は、この設定ファイルを使用して、上記移動機に適したファイアウォールを生成する。これにより、移動機が接続した任意のファイアウォール装置に、当該移動機用のファイアウォールが構築されることになり、移動する端末へのファイアウォール機能の適用が可能となる。
【0070】
ここで、移動機に対してファイアウォール機能を適用した場合、移動機を利用するユーザの増加に伴って、フィルタリング条件が指定されたアクセス制御リストの記載量が膨大になることが予測される。一方で、ファイアウォール装置は、パケットの通過許否判定に際して、アクセス制御リストの最上行から順番にヘッダ情報と条件との照合を行う。このため、上記記載量の増加に伴って通過許否判定の処理時間が長くなり、パケットの伝送遅延時間が増大することが懸念される。
【0071】
かかる懸念を解消するためには、ファイアウォール装置が、移動機毎に異なるフィルタリング条件を使用することが有効である。フィルタリング条件を移動機毎に変更する手法としては、物理的なインタフェースを移動機毎に変えることも考えられる。しかしながら、この手法では、無線LANに代表されるレイヤ2での接続の様に、同一の物理インタフェースを多数の移動機で共有する場合への適用が極めて困難である。
【0072】
そこで、フィルタリング条件を移動機毎に変更するために、ファイアウォール装置は、パケットを受信すると、当該パケットの宛先となる移動機を識別し、該識別結果に応じて、パケットに適用するファイアウォールを適宜変更する。これにより、パケットが送信される可能性のない移動機に関して、不必要な通過許否判定が行われることが未然に防止される。したがって、移動機の増加に伴うパケットの伝送遅延時間の増大が抑制される。その結果、転送処理速度を低下させることなく、移動機に対してファイアウォール機能を適用することが可能となる。
【0073】
(第2の実施形態)
以下、本発明の第2の実施形態について、図面を参照して詳細に説明する。
第1の実施形態では、移動機50が通信制御システム1内のファイアウォール装置に初期接続した場合を想定した。このため、ファイアウォール装置は、ホームエージェント装置が生成した設定ファイルを受信して使用するものとした。これに対して、本実施の形態では、移動機50が移動により接続先のファイアウォール装置を変更(ハンドオーバ)した場合を想定し、移動元のファイアウォール装置に保持されている設定ファイルを移動先のファイアウォール装置が受信して使用する。
【0074】
以下、本実施の形態における通信制御システムについて詳細に説明する。
本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様である。したがって、各構成要素には同一の符合を付すと共にその説明は省略する。本実施の形態では、移動機50が、ファイアウォール装置20からファイアウォール装置30へ接続先を変更した場合を想定する。
【0075】
次に、図6を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
移動機50が接続先のファイアウォール装置を変更すると(S11)、ホームエージェント装置10宛にバインディングアップデートを送信する(S12)。ホームエージェント装置10は、バインディングアップデートを移動機50から受信すると(S13)、移動元のファイアウォール装置20のIPアドレスを移動先のファイアウォール装置30へ送信する(S14)。このIPアドレスは、移動機50がファイアウォール装置20に接続した際、つまり移動前に、バインディングアップデートと共に通知される。
【0076】
ファイアウォール装置30は、ファイアウォール装置20のIPアドレスを受信したことを契機として(S15)、当該アドレス宛に、移動機50用の設定ファイルの転送要求を送信する(S16)。
ファイアウォール装置20は、上記転送要求をファイアウォール装置30から受信すると(S17)、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルをファイアウォール装置30に向けて送信する(S18)。
【0077】
ファイアウォール装置30は、移動機50の識別情報及び設定ファイルをファイアウォール装置20から受信すると(S19)、当該設定ファイルを使用して、移動機50用のファイアウォールを生成する(S20)。
以下、図4に示したS10と同様の処理が実行される。すなわち、パケット振分け部21に、ファイアウォール名及び振分け基準が設定される。
【0078】
上述した様に、移動機50は、ハンドオーバに伴ってホームエージェント装置10宛にバインディングアップデートを送信する。したがって、移動機50が接続先のファイアウォール装置を変更する度、つまり移動機50が移動する度に、当該移動機に適したフィルタリング条件を有するファイアウォールの位置が可変的に制御される。結果として、ファイアウォールが移動機50の変位に追随することになり、移動する端末へのファイアウォール機能の適用が可能となる。
【0079】
移動機50の移動先にファイアウォールを構築する手法としては様々な態様が考えられるが、通信負荷を極力抑制して効率的なファイアウォール構築を行う観点から、移動前のファイアウォール装置に既存の設定ファイルを移動後のファイアウォール装置に転用することが好適である。すなわち、移動先のファイアウォール装置30が、移動機50の設定ファイルを既に保持するファイアウォール装置のIPアドレスをホームエージェント装置10から取得すると共に、当該ファイアウォール装置から上記設定ファイルを取得する。これにより、ホームエージェント装置10とファイアウォール装置30との間で設定ファイルの送受信を行うことなく、移動後の移動機50に対してファイアウォール機能を適用することができる。IPアドレスは、設定ファイルと比較してデータ容量が小さいので、通信制御システム1における通信負荷を低減することが可能となる。
【0080】
(第3の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第3の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0081】
図7を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第2の実施形態において詳述したファイアウォール構築処理(図6参照)と共通するステップを複数含む。具体的には、図7のS21〜S23,S29,及びS30以降の各ステップは、図6に示したS11〜S13,S19,及びS20以降の各ステップにそれぞれ相当する。
【0082】
以下、本実施の形態に特有のステップであるS24〜S28(図7中太線で示す処理)について説明する。すなわち、ホームエージェント装置10は、バインディングアップデートを移動機50から受信したことを契機として、移動元のファイアウォール装置20宛に、移動機50用の設定ファイルの転送要求を送信する(S24)。
ファイアウォール装置20は、上記転送要求をホームエージェント装置10から受信すると(S25)、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルを一旦ホームエージェント装置10へ送信する(S26)。
【0083】
ホームエージェント装置10は、移動機50の識別情報及び設定ファイルをファイアウォール装置20から受信すると(S27)、これらの情報を、移動先のファイアウォール装置30宛に送信(転送)する(S28)。以下、図6に示したS19と同様の処理が実行される。すなわち、パケット振分け部21及び24に、ファイアウォール名及び振分け基準が設定される。
かかる態様を採ることによっても、通信制御システム1は、ファイアウォールの位置を可変的に制御することができ、移動機50の移動元から移動先にファイアウォールを追随させることが可能となる。
【0084】
(第4の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第4の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2及び第3の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0085】
図8を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第3の実施形態において詳述したファイアウォール構築処理(図7参照)と共通するステップを複数含む。具体的には、図8のS31〜S35,S37,及びS38以降の各ステップは、図7に示したS21〜S25,S29,及びS30以降の各ステップにそれぞれ相当する。
【0086】
以下、本実施の形態に特有のステップであるS36(図8中太線で示す処理)について説明する。すなわち、S36においては、移動元のファイアウォール装置20は、ホームエージェント装置10から設定ファイルの転送要求を受信したことを契機として、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルをマルチキャストする。
【0087】
ここで、マルチキャスト先のアドレスとしては、ホームエージェント装置10から通知されたIPアドレスが使用される。すなわち、ホームエージェント装置10は、S33で受信されたバインディングアップデートの気付アドレスに基づいて、移動機50が接続していたファイアウォール装置20のプレフィクスを割り出し、当該プレフィクスの示すネットワーク上の全てのファイアウォール装置をマルチキャスト先として選択する。その後、ホームエージェント装置10は、選択されたマルチキャスト先のIPアドレスを転送要求と共に、ファイアウォール装置20に通知する。これにより、ファイアウォール装置20は、システム内における他のファイアウォール装置30,40に対するマルチキャストを実行可能となる。
【0088】
ファイアウォール装置20からマルチキャストされた、移動機50の識別情報及び設定ファイルは、上記ネットワーク上のファイアウォール装置30により受信され、ファイアウォールの生成に使用される。ファイアウォール装置40宛にマルチキャストされた、移動機50の識別情報及び設定ファイルは、移動機50がファイアウォール装置40に接続先を変更した場合におけるファイアウォールの生成に使用することができる。
かかる態様を採ることによっても、通信制御システム1は、ファイアウォールの位置を可変的に制御することができ、移動機50の移動元から移動先にファイアウォールを追随させることが可能となる。
【0089】
(第5の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第5の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2〜第4の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0090】
図9を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第2の実施形態において詳述したファイアウォール構築処理(図6参照)と共通するステップを複数含む。具体的には、図9のS41,S44,S45〜S49以降の各ステップは、図6に示したS11,S13,S16〜S20以降の各ステップにそれぞれ相当する。
【0091】
以下、本実施の形態に特有のステップであるS42,S43(図9中太線で示す処理)について説明する。すなわち、S42においては、移動機50は、バインディングアップデート、及び移動前にホームエージェント装置10から送信された設定ファイル(以下、「旧設定ファイル」と記す。)をホームエージェント装置10宛に送信する。
【0092】
S43では、移動先のファイアウォール装置30は、上記旧設定ファイルを参照して、移動元のファイアウォール装置20のIPアドレスを認識する。これにより、ファイアウォール装置30は、移動機50の識別情報及び設定ファイルの転送要求先を特定することができる。続いて、ファイアウォール装置30は、転送要求先であるファイアウォール装置20から、上記識別情報及び設定ファイルを受信して、移動機50用のファイアウォールを生成する。したがって、ファイアウォールの位置を可変的に制御することができ、移動機50の移動にファイアウォールを追随させることが可能となる。
【0093】
上述した様に、第2〜第5の実施形態では、移動元のファイアウォール装置から移動先のファイアウォール装置に、設定ファイル等の情報の転送を行っているが、この目的は以下に示す通りである。
【0094】
第一の目的は、ファイアウォール装置が内部状態又はグローバル変数をもっている場合に、この状態を引き継ぐことである。例えば、移動機は、TCP(Transmission Control Protocol)の接続信号を受信すると、TCPに関するデータを記憶し、TCPの切断信号を受信するとデータを消去し、通信中でないのにデータを受信すると破棄する、といった動作をする。かかる動作を移動機に適用する場合、移動機に記憶されたデータを移動先に引き継ぐ必要がある。
【0095】
第二の目的は、情報の転送の最小化を図ることである。すなわち、アクセス制御リストに関しては、移動機1台分の情報といえども、データ容量が大きくなることがあり得る。また、ホームエージェント装置は、移動機(又はファイアウォール装置)から遠い位置に存在することが多いが、ハンドオーバ時における移動元のファイアウォール装置と移動先のファイアウォール装置とは極めて近い位置に存在する可能性が高い。このため、第2、第4、及び第5の実施形態に示した様に、移動元のファイアウォール装置から移動先のファイアウォール装置に情報を送信すると、ネットワーク負荷が低減される可能性がある。
【0096】
なお、本発明は、上述した実施の形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲において、適宜変形態様を採ることも可能である。例えば、本実施の形態では、ファイアウォールの設定ファイルを生成及び送信する主体は、ホームエージェント装置としたが、ホームエージェント機能を有する装置とは別体に構成されたサーバ装置であってもよい。
【0097】
特に、移動機に対してRADIUS(Remote Authentication Dial−In User Service)認証を行う場合には、認証時に移動機の移動が検知できるので、RADIUSサーバが設定ファイルを生成及び送信してもよい。
【0098】
以下、ホームエージェント装置の代わりにRADIUSサーバを使用した態様について説明する。まず、RADIUSは、RFC2865により標準化されている技術であるので、詳細な説明は省略し基本的な手順について簡単に説明する。ユーザ端末からリモートアクセス装置に対して、電話による遠隔接続の要求があると、リモートアクセス装置は、RADIUSサーバにアクセス要求メッセージを送信する。通常、このアクセス要求メッセージには、ユーザ端末にて入力されたユーザIDやパスワードが含まれている。RADIUSサーバは、ユーザIDやパスワードに基づいてユーザの検証を行い、検証結果に応じたメッセージ(アクセス許可メッセージ又はアクセス許否メッセージ)を返信する。リモートアクセス装置は、このメッセージに従って、遠隔接続の実行又は電話の切断を行う。
【0099】
また、上記手順が規定されたプロトコルは、以下の様に拡張された。一つの拡張は、アクセス許可メッセージとしてのパケットに様々なデータを乗せることである。様々なデータとは、例えば、ユーザ端末が遠隔接続可能な最大時間、使用されるIPアドレス、フィルタリングID等である。他の拡張は、RADIUSをリモートアクセス以外に使用することである。例えば、リモートアクセス装置の代わりに無線LAN基地局を使用すれば、無線LANの利用者認証にRADIUSを使用することができる。
【0100】
以下、上記拡張技術を勘案して、RADIUSが適用された通信制御システムの構成及び動作を説明する。通信制御システムは、移動機と、無線基地局を兼ねるファイアウォール装置(基地局兼ファイアウォール)と、RADIUSサーバとを少なくとも備えて構成される。移動機は、報知情報を受信すると、その送信元である基地局兼ファイアウォールに対して、基地局への接続要求を送信する。基地局兼ファイアウォールは、当該接続要求の受信に伴い、RADIUSサーバにアクセス要求を送信する。
【0101】
アクセス要求を受けたRADIUSサーバは、上記移動機に関してユーザ検証を行い、検証の結果アクセス許可が得られると、当該移動機用のファイアウォールの設定ファイルを生成する。そして、アクセス許可メッセージ(パケット)に上記設定ファイルを乗せて、基地局兼ファイアウォール宛に送信する。基地局兼ファイアウォールは、設定ファイルを参照してファイアウォールプロセスを初期化した後、移動機による基地局への接続を許可する。
【0102】
すなわち、移動機は、移動する度に、新たな通信エリアの無線基地局との通信許可をとり、通信許可が得られた場合には、この無線基地局にファイアウォールが設定される。なお、ファイアウォールの設定に関するRADIUSサーバの動作は、上記各実施形態にて詳述したホームエージェント装置の動作と同様であるので、その説明は省略する。
【0103】
更に、本実施の形態では、移動機は、単体の装置であるものとして説明したが、複数の装置が回線により接続された移動式ネットワークであってもよい。この場合、複数の装置は同時かつ同様に移動することになり、インターネット等の外部ネットワークからは1つの端末として認識される。移動式ネットワークと外部ネットワークとを接続する装置は例えばルータである。
【0104】
【発明の効果】
本発明によれば、移動機に対するファイアウォール機能の適用が可能となる。
【図面の簡単な説明】
【図1】通信制御システムの全体構成を示す図である。
【図2】ホームエージェント装置の機能的構成を示すブロック図である。
【図3】ファイアウォール装置の機能的構成を示すブロック図である。
【図4】第1の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図5】IPパケットフィルタリング処理を説明するためのフローチャートである。
【図6】第2の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図7】第3の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図8】第4の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図9】第5の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【符号の説明】
1…通信制御システム、10…ホームエージェント装置、11…設定ファイル元データ格納部、12…BU受信部、13…設定ファイル送信部、20,30,40…ファイアウォール装置、21,24…パケット振分け部、221,222,223…ファイアウォールプロセス、23,25…出力バッファ、50…移動機
【発明の属する技術分野】
本発明は、通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法に関する。
【0002】
【従来の技術】
従来、携帯電話などの移動機が、その移動に関わらず同一のIP(Internet Protocol)アドレスを使用する技術であるモバイルIPv6がIETF(Internet Engineering Task Force)において検討されている。モバイルIPv6は、移動機としてのモバイルIP端末とホームエージェントとにより実現される。宛先アドレスがモバイルIP端末の恒久的なIPアドレス(ホームアドレス)であるパケットは、通常のIPの手順で転送された後、ホームエージェントのあるリンクに到達する。これにより、ホームエージェントは、ホームアドレス宛のパケットを受信する。
【0003】
モバイルIP端末は、移動すると、移動先のノードで、既存のステートレスアドレス自動生成技術(RFC2462)やステートフルアドレス自動生成技術(DHCP:Dynamic Host Configuration Protocol)を使用して、一時的なIPアドレスである気付アドレスを取得する。モバイルIP端末は、この気付アドレスをホームエージェントに登録する。
【0004】
モバイルIP端末が他の端末と通信を行う方法には、双方向トンネルモードと経路最適化モードとの2つの方法がある。双方向トンネルモードでは、モバイルIP端末とホームエージェントとの間にトンネルが生成される。トンネルとは、RFC2473に開示されている様に、元のIPパケットを別のIPパケットに包含して送信することにより、元のIPパケットの送信元IPアドレスや宛先IPアドレスとは無関係に、任意の経路でパケットを運ぶ技術である。
【0005】
モバイルIP端末から他の端末に向けてIPパケットを送信する場合には、このIPパケットは、トンネルを経由して、まずホームエージェント宛に送信される。ホームエージェントは、IPパケットをトンネルから出した後、通常のIPの手順により他の端末宛に送出する。これにより、IPパケットは、他の端末に到達する。反対に、他の端末からモバイルIP端末に向けてIPパケットを送信する場合には、IPパケットは、通常のIPの手順によりホームエージェントに到達する。その後、ホームエージェントは、このIPパケットをトンネルに入れて、モバイルIP端末宛に送出する。
【0006】
これに対して、経路最適化モードでは、モバイルIP端末は、IPパケットの送信に先立って、他の端末にIPアドレスを通知する。IPパケットが双方向トンネルモードにより他の端末からモバイルIP端末宛に送信された場合、モバイルIP端末は、経路最適化モードにモード変更するために、自端末の気付アドレスを上記他の端末宛に送信する。
【0007】
経路最適化モードにおいて、モバイルIP端末から他の端末に向けてIPパケットを送信する場合には、このIPパケットは、モバイルIP端末から他の端末宛に直接(トンネルを経由せずに)送信される。このとき、IPパケットの送信元アドレスには気付アドレスが設定されており、IPパケット内のホームアドレスオプションにはホームアドレスが設定されている。
【0008】
一方、他の端末からモバイルIP端末に向けてIPパケットを送信する場合には、IPパケットにルーチングヘッダが付され、IPパケットは、他の端末からモバイルIP端末に直接に(トンネルを経由せずに)送信される。なお、ルーチングヘッダは、RFC2460により規定されており、任意の中継点を経由してパケットを送信するための情報である。IPパケットの第1の宛先(中継点)としては気付アドレスが設定され、第2の宛先としてはホームアドレスが設定される。
【0009】
また、LAN等の内部ネットワークでは、インターネット等の外部ネットワークからの不正アクセスを検出及び遮断するために、所定のフィルタリング条件に従って、各ネットワークの境界に到達したデータの通過許否を判定するファイアウォールを設置する。ファイアウォールは、多くの場合ソフトウェアの形で提供され、ルータやプロキシサーバ等に組み込まれて使用されるが、高い性能が要求されるため、専用のハードウェアが用いられる場合もある(例えば、特許文献1参照。)。
【0010】
【特許文献1】
特開平10−70576
【0011】
【発明が解決しようとする課題】
ファイアウォールは、高価で高度な設定技術が必要なため専門家以外による運用が困難である上に、以下の理由などから、主に企業内LANを守るために使用されていた。すなわち、ダイヤルアップ接続を行う端末や携帯電話などの移動機は、外部ネットワークに接続する場所が状況や用途に応じて異なるので、ファイアウォールの適切かつ固定的な設置場所の特定が困難である。また、ダイヤルアップ接続を行う端末は、割り当てられるIPアドレスが接続時毎に異なるので、接続時毎にフィルタリングの条件を変更する必要があり実用的ではない。更に、ダイヤルアップ接続は、接続時間が短いため、その間にインターネットから攻撃される可能性は低く、端末をファイアウォールで守らなくてもトラブルに合うことは殆どなかった。
【0012】
更に、近年では、個人ユーザが使用する端末が常時接続により外部ネットワークと接続する形態が増加しており、この様な端末に関しても、ファイアウォールを使用する必要性が高まってきた。ところが、かかる端末としての、携帯電話やノートパソコン等の携帯型通信端末(以下、「移動機」と記す。)は、接続先のノードが高頻度かつ高速に変化することが想定されるため、設置位置が不変的なファイアウォールを使用できない。
【0013】
そこで、本発明の課題は、移動機に対するファイアウォール機能の適用を可能とすることである。
【0014】
【課題を解決するための手段】
上記課題を解決するために、本発明に係る通信制御装置は、移動機を接続可能な複数のファイアウォール装置とデータの送受信を行う通信制御装置において、前記移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段と、前記移動機の接続先のファイアウォール装置を検知する検知手段と、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を前記ファイアウォール装置宛に送信する送信手段とを備える。
【0015】
本発明に係るデータ通信方法は、移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段を備える通信制御装置が、前記移動機を接続可能な複数のファイアウォール装置とデータの送受信を行うデータ通信方法において、前記通信制御装置の検知手段が、前記移動機の接続先のファイアウォール装置を検知する検知ステップと、前記通信制御装置の送信手段が、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を前記ファイアウォール装置宛に送信する送信ステップとを含む。
【0016】
これらの発明によれば、移動機の接続先のファイアウォール装置が検知されたことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報が、前記移動機の新規接続先のファイアウォール装置宛に送信される。これにより、移動機に適したファイアウォール設定情報は、移動機の接続先のファイアウォール装置に送信され設定される。
【0017】
したがって、移動機がファイアウォール装置に初期接続した場合にはもとより、移動機が移動により接続先のファイアウォール装置を変更した場合にも、ファイアウォール設定情報は、接続先変更後のファイアウォール装置に送信され設定される。つまり、ファイアウォール設定情報は、移動機の移動に追従する。ファイアウォール設定情報には、上記移動機宛のパケットのフィルタリング条件が含まれているので、ファイアウォール装置に到達した上記パケットに関しては、かかるフィルタリング条件に従って通過の許否(転送又は破棄)が判定される。その結果、移動機に対しても、適切なファイアウォール機能の適用が可能となる。
【0018】
本発明に係るファイアウォール装置は、上述した通信制御装置と複数の移動機との間におけるデータ送受信を中継するファイアウォール装置において、前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持手段と、前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別手段と、前記識別手段により識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定手段とを備える。
【0019】
本発明に係るデータ通信方法は、ファイアウォール装置が、上述した通信制御装置と複数の移動機との間におけるデータ送受信を中継するデータ通信方法において、前記ファイアウォール装置の保持手段が、前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持ステップと、前記ファイアウォール装置の識別手段が、前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別ステップと、前記ファイアウォール装置の判定手段が、前記識別ステップにて識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定ステップとを含む。
【0020】
これらの発明によれば、ファイアウォール設定情報に含まれるフィルタリング条件が各移動機の識別情報と対応付けて保持された後、通信制御装置からファイアウォール装置に送信されたパケットの宛先である移動機が識別され、該移動機に対応するフィルタリング条件に従って、前記パケットの通過許否が判定される。これにより、ファイアウォール装置に到達したパケットの通過許否の判定に際して使用されるフィルタリング条件が移動機毎に適宜変更される。したがって、当該パケットが宛先となる可能性のない移動機に関してまで、通過許否判定処理が不要に行われることが防止される。その結果、ファイアウォール装置を使用する移動機が増加しても、各移動機宛のパケットの伝送遅延時間の増大を抑制することが可能となる。
【0021】
本発明に係る通信制御システムは、上述した通信制御装置と上述したファイアウォール装置とを備え、前記移動機は、受信するパケットを前記ファイアウォール装置を経由して受信する。
【0022】
【発明の実施の形態】
(第1の実施形態)
以下、本発明の第1の実施形態について、図面を参照して詳細に説明する。
図1は、本発明に係る通信制御システム1の全体構成を示す図である。図1に示す様に、通信制御システム1は、ホームエージェント装置10(通信制御装置に対応)と三台のファイアウォール装置20,30,40(複数のファイアウォール装置に対応)と移動機50とを備えて構成される。
【0023】
ホームエージェント装置10と移動機50とは、三台のファイアウォール装置20〜40の内の任意の1台を少なくとも経由して、相互に各種データの送受信が可能な様に接続されている。インターネット等の外部ネットワークから送信されたIPパケットは、ホームエージェント装置10により一旦受信された後、移動機50の現在位置の最も近傍に位置するファイアウォール装置20により中継され、当該IPパケットの宛先である移動機50に到達可能である。
【0024】
図2は、本発明に係るホームエージェント装置10の機能的構成を示す図である。図2に示す様に、ホームエージェント装置10は、設定ファイル元データ格納部11(格納手段に対応)と、BU受信部12(検知手段に対応)と、設定ファイル送信部13(送信手段に対応)とを備える。各部はバスを介して、各部の機能に応じた信号の入出力が可能な様に接続されている。
【0025】
以下、ホームエージェント装置10の各構成要素について詳細に説明する。
設定ファイル元データ格納部11には、後述の設定ファイル元データ(ファイアウォール設定情報に対応)が、移動機識別情報と対応付けて格納されている。移動機識別情報は、例えば、移動機のホームアドレスやMACアドレスである。
【0026】
設定ファイル元データには、例えば以下に示す情報が記述されている。
▲1▼.ファイアウォール名
▲2▼.「外部ネットワークから来るIPパケットの振分け基準」の生成に必要な情報
▲3▼.「移動機から送信されるIPパケットの振分け基準」の生成に必要な情報
▲4▼.「アクセス制御リスト」の生成に必要な情報
【0027】
すなわち、▲1▼の情報は、ファイアウォールの設定内容を一意に特定可能な情報であり、既に送信済の又は作成時から所定時間経過した設定ファイル元データをホームエージェント装置10が削除する際に使用される。
▲2▼の情報は、外部ネットワークからホームエージェント装置10を経由して送信されるIPパケットの宛先となる移動機をファイアウォール装置が識別するための情報である。▲2▼の情報は、必要に応じて記述される。かかる情報は、例えば、移動機50のIPアドレスであるが、必ずしも1つのIPアドレスに限らず、複数の宛先IPアドレスが範囲指定されたものであってもよい。
【0028】
▲3▼の情報は、移動機から送信されるIPパケットの送信元をファイアウォール装置が識別するための情報である。かかる情報は、例えば、送信元MACアドレスを振分け基準にするか送信元IPアドレスを振分け基準にするかを指定するための情報や、MACアドレスを振分け基準にする場合のMACアドレスである。
【0029】
▲4▼の情報は、ファイアウォール装置がIPパケットの通過許否を判定する際に使用されるフィルタリング条件が記載された周知慣用のアクセス制御リストの生成に必要な情報である。例えば、アクセス制御リストの元になるリストと、該リスト上のどの部分を気付アドレスに書き換えるかを指定するための情報である。但し、アクセス制御リストには、▲2▼及び▲3▼の情報に基づいて識別される移動機宛のIPパケットの通過許否判定に使用されるフィルタリング条件が記載されており、その他の移動機に関するフィルタリング条件は記載されていない。これにより、通過許否判定に伴う検索データ量を減らし、パケットフィルタリング処理の高速化を図る。アクセス制御リストは、最上行からの順次検索が可能な様に行単位で記載されており、各行の先頭項目から順に、IPパケットの通過の可否を示す“deny”又は“permit”、IPパケットの上位層プロトコル、IPパケットの送信元アドレス及び送信元ポート番号、IPパケットの宛先アドレス及び宛先ポート番号などが記載されている。
【0030】
BU受信部12は、移動機50が移動した旨を通知するためのパケットであるバインディングアップデート(BU:Binding Update)を、移動先のファイアウォール装置20から受信する。BU受信部12は、このバインディングアップデートの受信により、移動機50がファイアウォール装置と接続したこと(接続先の変更を含む)を検知し、その旨を設定ファイル送信部13に通知する。
【0031】
設定ファイル送信部13は、移動機50の接続がBU受信部12から通知されると、上記バインディングアップデートを参照して、ファイアウォール装置と接続した移動機を特定する。設定ファイル送信部13は、特定された移動機の識別情報及び対応する設定ファイル元データを設定ファイル元データ格納部11から取得し、設定ファイル元データを元に設定ファイルを生成する。設定ファイル送信部13は、上記移動機識別情報及び設定ファイルをバインディングアック(BA:Binding Acknowledgement)と共に、移動機50の新規接続先であるファイアウォール装置宛に送信する。バインディングアックとは、バインディングアップデートに対する確認応答信号である。
【0032】
図3は、本発明に係るファイアウォール装置20の機能的構成を示す図である。ファイアウォール装置20は、アクセスルータを始めとするルータ自体であってもよいし、ルータとは別体に構成されたファイアウォール専用の端末であってもよい。図3に示す様に、ファイアウォール装置20は、パケット振分け部21,24(識別手段に対応)と、ファイアウォールプロセス221,222,223(保持手段及び判定手段に対応)と、出力バッファ23,25とを備える。各部はバスを介して、各部の機能に応じた信号の入出力が可能な様に接続されている。
【0033】
パケット振分け部21は、ホームエージェント装置10から送信された移動機識別情報及び設定ファイルを受信すると、該移動機識別情報に基づいて設定ファイルの設定先となるファイアウォールプロセスを特定する。該当するファイアウォールプロセスがない場合には、ファイアウォールプロセスを生成する。特定又は生成されたファイアウォールプロセスには、上記移動機識別情報及び設定ファイルが保持される。また、パケット振分け部21には、設定ファイル内のファイアウォール名、及び外部ネットワークから来るIPパケットの振分け基準が設定される。パケット振分け部24には、設定ファイル内のファイアウォール名、及び移動機から送信されるIPパケットの振分け基準が設定される。
【0034】
その後、パケット振分け部21は、外部ネットワークから送信されたIPパケットを受信すると、設定された振分け基準に従って、当該IPパケットを、その宛先移動機に対応するファイアウォールに出力する。同様に、パケット振分け部24は、移動機から送信されたIPパケットを受信すると、設定された振分け基準に従って、当該IPパケットを、その送信元移動機に対応するファイアウォールプロセスに出力する。
【0035】
また、外部ネットワークから移動機50に向かう方向(下り方向)にIPパケットが送信される場合には、ファイアウォールプロセス221は、通過許否の判定に先立って、パケット振分け部21から取得されたIPパケットから、以下の1〜3に示す手順で、フィルタリング用の宛先IPアドレス及び送信元IPアドレスを取得する。
【0036】
1.IPパケットが双方向トンネルモードにより送信されている場合、すなわち、外側のIPパケットの送信元アドレスがホームエージェントアドレスであり、宛先アドレスが気付アドレスであり、IPパケットがIPパケットを内包する場合には、ファイアウォールプロセス221は、内部のIPパケットを取得し、該IPパケットに対して、下記の2及び3に示す手順を適用する。一方、IPパケットが双方向トンネルモードにより送信されていない場合には、ファイアウォールプロセス221は、パケット振分け部21から取得されたIPパケットに対して、そのまま下記の2及び3に示す手順を適用する。
【0037】
2.IPパケットが経路最適化モードにより移動機50宛に送信されている場合、すなわち、IPパケットの宛先アドレスが気付アドレスであり、ルーチングヘッダが存在し、該ルーチングヘッダに設定されている第2の宛先がホームアドレスである場合には、ファイアウォールプロセス221は、フィルタリング用の宛先IPアドレスとしてホームアドレスを使用する。一方、IPパケットが経路最適化モードにより移動機50宛に送信されていない場合には、ファイアウォールプロセス221は、IPパケットの宛先アドレスをフィルタリング用の宛先IPアドレスとしてそのまま使用する。
【0038】
3.IPパケットが経路最適化モードによりモバイルIP端末から送信されている場合、すなわち、IPパケットの送信元アドレスが気付アドレスであり、ホームアドレスオプションが設定されている場合には、ファイアウォールプロセス221は、該ホームアドレスオプションに設定されているアドレスを、フィルタリング用の送信元IPアドレスとして使用する。一方、IPパケットが経路最適化モードによりモバイルIP端末から送信されていない場合には、ファイアウォールプロセス221は、IPパケットの送信元アドレスをフィルタリング用の送信元IPアドレスとしてそのまま使用する。
【0039】
移動機50から外部ネットワークに向かう方向(上り方向)にIPパケットが送信される場合には、ファイアウォールプロセス221は、通過許否の判定に先立って、パケット振分け部24から取得されたIPパケットから、以下の1〜3に示す手順で、フィルタリング用の宛先IPアドレス及び送信元IPアドレスを取得する。
【0040】
1.IPパケットが双方向トンネルモードにより送信されている場合、すなわち、外側のIPパケットの送信元アドレスが気付アドレスであり、宛先アドレスがホームエージェントアドレスであり、IPパケットがIPパケットを内包する場合には、ファイアウォールプロセス221は、内部のIPパケットを取得し、該IPパケットに対して、下記の2及び3に示す手順を適用する。一方、IPパケットが双方向トンネルモードにより送信されていない場合には、ファイアウォールプロセス221は、パケット振分け部24から取得されたIPパケットに対して、そのまま下記の2及び3に示す手順を適用する。
【0041】
2.IPパケットが経路最適化モードによりモバイルIP端末宛に送信されている場合、すなわち、IPパケット内にルーチングヘッダが存在する場合には、ファイアウォールプロセス221は、該ルーチングヘッダに設定されている第2の宛先をフィルタリング用の宛先IPアドレスとして使用する。一方、IPパケットが経路最適化モードによりモバイルIP端末宛に送信されていない場合には、ファイアウォールプロセス221は、IPパケットの宛先アドレスをフィルタリング用の宛先IPアドレスとしてそのまま使用する。
【0042】
3.IPパケットが経路最適化モードにより移動機50から送信されている場合、すなわち、IPパケットの送信元アドレスが気付アドレスであり、ホームアドレスオプションが設定されている場合には、ファイアウォールプロセス221は、該ホームアドレスオプションに設定されているアドレスを、フィルタリング用の送信元IPアドレスとして使用する。一方、IPパケットが経路最適化モードにより移動機50から送信されていない場合には、ファイアウォールプロセス221は、IPパケットの送信元アドレスをフィルタリング用の送信元IPアドレスとしてそのまま使用する。
【0043】
更に、ファイアウォールプロセス221は、上記の手順で取得されたフィルタリング用の宛先IPアドレス及び送信元IPアドレスを使用して、設定ファイル内のアクセス制御リストに記載されているフィルタリング条件に従って、パケット振分け部21により振り分けられたIPパケットの通過許否を判定する。通過が許可されたIPパケットは出力バッファ23に出力され、通過が拒否されたIPパケットは破棄される。これにより、ファイアウォールプロセス221は、宛先又は送信元が移動機50であるIPパケットのフィルタリングを実現する。
【0044】
ファイアウォールプロセス222は、上述したファイアウォールプロセス221と同一の機能的構成を有する。すなわち、ファイアウォールプロセス222は、移動機50とは別の移動機である移動機60(図示せず)の識別情報及び設定ファイルを保持し、宛先又は送信元アドレスが移動機60であるIPパケットのフィルタリングを実現する。ファイアウォールプロセス223に関しても同様に、更に別の移動機である移動機70(図示せず)の識別情報及び設定ファイルを保持し、宛先又は送信元が移動機70であるIPパケットのフィルタリングを実現する。
【0045】
出力バッファ23は、ファイアウォールプロセス221〜223の何れかから入力されたIPパケットを、当該IPパケットの宛先である移動機宛に無線チャネルを介して送信(転送)する。
【0046】
パケット振分け部24は、上述したパケット振分け部21と機能的構成を同一とするが、パケット振分け部21とはIPパケットの送信方向が異なる。すなわち、パケット振分け部21が、ホームエージェント装置10側に形成されたインターネット等の外部ネットワークからIPパケットを受信するのに対して、パケット振分け部24は、移動機50側から送信されたIPパケットを受信する。
【0047】
出力バッファ25は、ファイアウォールプロセス221〜223の何れかから入力されたIPパケットを、当該IPパケットの宛先のノードに送信(転送)する。
ファイアウォール装置30,40は、ファイアウォール装置20と設置位置が異なるものの、構成に関しては、上述したファイアウォール装置20と同様であるので、その説明は省略する。
【0048】
移動機50は、Mobile IPv6に準拠した移動ノードである。移動機50は、電源投入や長期断線後の再接続に伴い、ファイアウォール装置20〜40の内、最も受信レベルの高いファイアウォール装置と無線接続する。本実施の形態では特に、通信制御システム1内のファイアウォール装置20に移動機50が新規に接続(初期接続)する場合を想定するが、移動に伴って、接続先のファイアウォール装置を変更(ハンドオーバ)することも勿論可能である。
【0049】
移動機50は、ファイアウォール装置と接続すると、当該ファイアウォール装置を経由してホームエージェント装置10宛に上記バインディングアップデートを送信する。また、移動機50は、ホームエージェント装置10から送信される上記バインディングアックを受信する。
【0050】
次に、図4及び図5を参照して、通信制御システム1の動作を説明する。併せて、本発明に係るデータ通信方法を構成する各ステップについて説明する。
図4は、通信制御システム1により実行制御されるファイアウォール構築処理を説明するためのフローチャートである。
【0051】
まず、S1では、移動機50は、電源が投入されたり、長期断線後に再接続されたことを契機として、ファイアウォール装置20〜40の内、最も受信レベルの高い(通常は最も近傍に位置する)ファイアウォール装置20と無線接続する。
【0052】
S2では、移動機50は、周知慣用のMobile IPv6の接続手順に従って、ファイアウォール装置20との無線接続が完了した旨を通知すべく、バインディングアップデートをホームエージェント装置10宛に送信する。このバインディングアップデートには、送信元である移動機50の識別情報が少なくとも含まれている。
【0053】
S3では、ホームエージェント装置10は、BU受信部12により、移動機50から送信されたバインディングアップデートを受信する。
S4では、ホームエージェント装置10は、設定ファイル送信部13により、上記バインディングアップデートに含まれる送信元移動機の識別情報を基に、移動機50の識別情報及びこれに対応する設定ファイル元データを設定ファイル元データ格納部11から取得する。
【0054】
S5では、ホームエージェント装置10は、設定ファイル送信部13により、S4で取得された設定ファイル元データを元に、以下のI〜Vに示す手順で設定ファイルを生成する。
【0055】
I.ファイアウォール名を設定ファイル元データからコピーする。
II.「外部ネットワークから来るIPパケットの振分け基準」として、気付アドレスを設定する。
III.送信元IPアドレスを振分け基準にする様に指定されている場合には、「移動機から送信されるIPパケットの振分け基準」として、ホームアドレスと気付アドレスとを設定する。送信元MACアドレスを振分け基準にする様に指定されている場合には、「移動機から送信されるIPパケットの振分け基準」として、設定ファイル元データのMACアドレスをコピーする。
IV.アクセス制御リストの元になるリスト上において書き換えが指定されている部分を気付アドレスに置換し、「アクセス制御リスト」として設定する。
V.「ホームエージェントアドレス」として、ホームエージェントのIPアドレスを設定する。
【0056】
S6では、ホームエージェント装置10は、設定ファイル送信部13により、S4で取得された移動機50の識別情報及びS5で生成された設定ファイルをバインディングアックに添付して、移動機50宛に送信する。
【0057】
なお、本実施の形態では、設定ファイルは、ホームエージェント装置10側で生成及び送信されるものとして説明した。しかし、ホームエージェント装置10がファイアウォール装置宛に設定ファイル元データを送信し、ファイアウォール装置が、この設定ファイル元データを元に設定ファイルを生成するものとしてもよい。
【0058】
移動機50は、ファイアウォール装置20と接続されているので、移動機50宛のバインディングアックは、ファイアウォール装置20を必然的に経由する。S7では、ファイアウォール装置20は、送信途中のバインディングアックに添付されている、移動機50の識別情報及び設定ファイルを取得する。
S8では、移動機50がバインディングアックを受信し、これを以って、移動機50のホームエージェント装置10に対する位置登録が完了する。このとき、移動機50は、バインディングアックと共に上記設定ファイルを受信してもよい。
【0059】
なお、移動機識別情報及び設定ファイルは、バインディングアックに乗せて送信されるものとしたが、バインディングアックとは別に送信されるものとしてもよい。すなわち、ホームエージェント装置10が、バインディングアップデートの気付アドレスを基に、移動機50が接続しているファイアウォール装置20のプレフィクスを割り出し、該プレフィクスの示すネットワーク上の全てのファイアウォール装置に対して設定ファイルをマルチキャストする。その後、ホームエージェント装置10は、移動機50宛にバインディングアックを送信する。
【0060】
S9においては、ファイアウォール装置20は、S7で取得された移動機50の識別情報及び設定ファイルを使用して、移動機50用のファイアウォールプロセス221を生成する。S9におけるファイアウォールの生成とは、設定ファイル内のアクセス制御リストを実行するプロセスを特定の移動機用にカスタマイズすることである。ファイアウォールの生成に際して、上記プロセスの初期化(内部変数の設定)が必要であればこれを実行し、移動前の動作状態が設定ファイル内に存在すれば、これを上記プロセスの内部変数に設定する。
【0061】
S10では、ファイアウォール装置20は、S7で取得された設定ファイルからファイアウォール名及び振分け基準を取得し、パケット振分け部21及び24に設定する。
以上、移動機50に適用されるファイアウォールを構築する過程について説明したが、移動機60,70に適用されるファイアウォールに関しても同様のステップを経て構築される。
【0062】
続いて、図5を参照して、ファイアウォール構築後のファイアウォール装置20により実行制御されるIPパケットフィルタリング処理について説明する。
以下、ホームエージェント10から移動機50に向かう方向(下り方向)にIPパケットが送信される場合を想定して説明するが、これとは反対方向(上り方向)にIPパケットが送信される場合に関しても同様の処理を実行可能である。
【0063】
T1では、パケット振分け部21により、IPパケットの受信の有無が監視される。
T2では、パケット振分け部21により、IPパケットのヘッダ情報から宛先IPアドレスが特定されると共に、該アドレスを有する移動機に対応するファイアウォールを振分け先として上記IPパケットが出力される。例えば、受信されたIPパケットの宛先IPアドレスが移動機50のIPアドレスである場合には、IPパケットはファイアウォールプロセス221に振り分けられる。
【0064】
このとき、受信されたIPパケットの振分け先となるファイアウォールが未生成の状況が懸念されるが、かかる場合には、事前に設定された処理(以下、「デフォルト処理」と記す。)が実行される。デフォルト処理としては、例えば、ファイアウォール装置20がIPパケットの記述内容を検査し、記述内容がホームエージェント装置10へのバインディングアップデートであれば、当該パケットをホームエージェント装置10に送信する。バインディングアップデートでない場合にはその時点でIPパケットを破棄する。
【0065】
T3では、ファイアウォールプロセス221により、図4のS9で生成された上記プロセスに基づいて、IPパケットの通過許否が判定される。なお、ファイアウォールプロセス221は、IPパケットの通過許否判定処理に限らず、通過優先順位の設定、認証情報の検査、記述内容の変更などの処理を実行するものとしてもよい。
【0066】
T3における判定の結果、通過が許可されると(T4;Yes)、ファイアウォールプロセス221により、IPパケットが出力バッファ23に出力及び保持される(T5)。そして、T6では、出力バッファ23に保持されているIPパケットは、ファイアウォール装置20と移動機50とを接続する無線チャネルを介して、移動機50宛に送信される。
【0067】
一方、T3における判定の結果、通過が拒否されると(T4;No)、ファイアウォールプロセス221により、IPパケットは削除される(T7)。このとき、IPパケットが削除された旨が、その送信元であるホームエージェント装置10に通知されるものとしてもよい。
【0068】
T6又はT7の処理終了後、ファイアウォール装置20は、更なるIPパケットの受信を待機すべく、T1に戻り、T1以降の処理を再び実行する。
以上、通信制御システム1が移動機50宛のIPパケットに対してフィルタリングを行う過程について説明したが、移動機60,70宛のIPパケットに対するフィルタリング処理に関しても同様のステップを経ることにより実行可能である。これにより、専用のファイアウォールが生成された全ての移動機宛のIPパケットに関して、高速かつ適確な通過許否判定が可能となる。
【0069】
上述した様に、本発明に係る通信制御システム1によれば、移動機が直接的に接続する可能性のある端末の位置にファイアウォールを配備する。ホームエージェント装置10が、任意の移動機から送信されたバインディングアップデートを受信すると、当該移動機に適したファイアウォールの設定ファイルを上記ファイアウォール装置宛に送信する。ファイアウォール装置は、この設定ファイルを使用して、上記移動機に適したファイアウォールを生成する。これにより、移動機が接続した任意のファイアウォール装置に、当該移動機用のファイアウォールが構築されることになり、移動する端末へのファイアウォール機能の適用が可能となる。
【0070】
ここで、移動機に対してファイアウォール機能を適用した場合、移動機を利用するユーザの増加に伴って、フィルタリング条件が指定されたアクセス制御リストの記載量が膨大になることが予測される。一方で、ファイアウォール装置は、パケットの通過許否判定に際して、アクセス制御リストの最上行から順番にヘッダ情報と条件との照合を行う。このため、上記記載量の増加に伴って通過許否判定の処理時間が長くなり、パケットの伝送遅延時間が増大することが懸念される。
【0071】
かかる懸念を解消するためには、ファイアウォール装置が、移動機毎に異なるフィルタリング条件を使用することが有効である。フィルタリング条件を移動機毎に変更する手法としては、物理的なインタフェースを移動機毎に変えることも考えられる。しかしながら、この手法では、無線LANに代表されるレイヤ2での接続の様に、同一の物理インタフェースを多数の移動機で共有する場合への適用が極めて困難である。
【0072】
そこで、フィルタリング条件を移動機毎に変更するために、ファイアウォール装置は、パケットを受信すると、当該パケットの宛先となる移動機を識別し、該識別結果に応じて、パケットに適用するファイアウォールを適宜変更する。これにより、パケットが送信される可能性のない移動機に関して、不必要な通過許否判定が行われることが未然に防止される。したがって、移動機の増加に伴うパケットの伝送遅延時間の増大が抑制される。その結果、転送処理速度を低下させることなく、移動機に対してファイアウォール機能を適用することが可能となる。
【0073】
(第2の実施形態)
以下、本発明の第2の実施形態について、図面を参照して詳細に説明する。
第1の実施形態では、移動機50が通信制御システム1内のファイアウォール装置に初期接続した場合を想定した。このため、ファイアウォール装置は、ホームエージェント装置が生成した設定ファイルを受信して使用するものとした。これに対して、本実施の形態では、移動機50が移動により接続先のファイアウォール装置を変更(ハンドオーバ)した場合を想定し、移動元のファイアウォール装置に保持されている設定ファイルを移動先のファイアウォール装置が受信して使用する。
【0074】
以下、本実施の形態における通信制御システムについて詳細に説明する。
本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様である。したがって、各構成要素には同一の符合を付すと共にその説明は省略する。本実施の形態では、移動機50が、ファイアウォール装置20からファイアウォール装置30へ接続先を変更した場合を想定する。
【0075】
次に、図6を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
移動機50が接続先のファイアウォール装置を変更すると(S11)、ホームエージェント装置10宛にバインディングアップデートを送信する(S12)。ホームエージェント装置10は、バインディングアップデートを移動機50から受信すると(S13)、移動元のファイアウォール装置20のIPアドレスを移動先のファイアウォール装置30へ送信する(S14)。このIPアドレスは、移動機50がファイアウォール装置20に接続した際、つまり移動前に、バインディングアップデートと共に通知される。
【0076】
ファイアウォール装置30は、ファイアウォール装置20のIPアドレスを受信したことを契機として(S15)、当該アドレス宛に、移動機50用の設定ファイルの転送要求を送信する(S16)。
ファイアウォール装置20は、上記転送要求をファイアウォール装置30から受信すると(S17)、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルをファイアウォール装置30に向けて送信する(S18)。
【0077】
ファイアウォール装置30は、移動機50の識別情報及び設定ファイルをファイアウォール装置20から受信すると(S19)、当該設定ファイルを使用して、移動機50用のファイアウォールを生成する(S20)。
以下、図4に示したS10と同様の処理が実行される。すなわち、パケット振分け部21に、ファイアウォール名及び振分け基準が設定される。
【0078】
上述した様に、移動機50は、ハンドオーバに伴ってホームエージェント装置10宛にバインディングアップデートを送信する。したがって、移動機50が接続先のファイアウォール装置を変更する度、つまり移動機50が移動する度に、当該移動機に適したフィルタリング条件を有するファイアウォールの位置が可変的に制御される。結果として、ファイアウォールが移動機50の変位に追随することになり、移動する端末へのファイアウォール機能の適用が可能となる。
【0079】
移動機50の移動先にファイアウォールを構築する手法としては様々な態様が考えられるが、通信負荷を極力抑制して効率的なファイアウォール構築を行う観点から、移動前のファイアウォール装置に既存の設定ファイルを移動後のファイアウォール装置に転用することが好適である。すなわち、移動先のファイアウォール装置30が、移動機50の設定ファイルを既に保持するファイアウォール装置のIPアドレスをホームエージェント装置10から取得すると共に、当該ファイアウォール装置から上記設定ファイルを取得する。これにより、ホームエージェント装置10とファイアウォール装置30との間で設定ファイルの送受信を行うことなく、移動後の移動機50に対してファイアウォール機能を適用することができる。IPアドレスは、設定ファイルと比較してデータ容量が小さいので、通信制御システム1における通信負荷を低減することが可能となる。
【0080】
(第3の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第3の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0081】
図7を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第2の実施形態において詳述したファイアウォール構築処理(図6参照)と共通するステップを複数含む。具体的には、図7のS21〜S23,S29,及びS30以降の各ステップは、図6に示したS11〜S13,S19,及びS20以降の各ステップにそれぞれ相当する。
【0082】
以下、本実施の形態に特有のステップであるS24〜S28(図7中太線で示す処理)について説明する。すなわち、ホームエージェント装置10は、バインディングアップデートを移動機50から受信したことを契機として、移動元のファイアウォール装置20宛に、移動機50用の設定ファイルの転送要求を送信する(S24)。
ファイアウォール装置20は、上記転送要求をホームエージェント装置10から受信すると(S25)、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルを一旦ホームエージェント装置10へ送信する(S26)。
【0083】
ホームエージェント装置10は、移動機50の識別情報及び設定ファイルをファイアウォール装置20から受信すると(S27)、これらの情報を、移動先のファイアウォール装置30宛に送信(転送)する(S28)。以下、図6に示したS19と同様の処理が実行される。すなわち、パケット振分け部21及び24に、ファイアウォール名及び振分け基準が設定される。
かかる態様を採ることによっても、通信制御システム1は、ファイアウォールの位置を可変的に制御することができ、移動機50の移動元から移動先にファイアウォールを追随させることが可能となる。
【0084】
(第4の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第4の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2及び第3の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0085】
図8を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第3の実施形態において詳述したファイアウォール構築処理(図7参照)と共通するステップを複数含む。具体的には、図8のS31〜S35,S37,及びS38以降の各ステップは、図7に示したS21〜S25,S29,及びS30以降の各ステップにそれぞれ相当する。
【0086】
以下、本実施の形態に特有のステップであるS36(図8中太線で示す処理)について説明する。すなわち、S36においては、移動元のファイアウォール装置20は、ホームエージェント装置10から設定ファイルの転送要求を受信したことを契機として、ファイアウォールプロセス221に保持していた移動機50の識別情報及び設定ファイルをマルチキャストする。
【0087】
ここで、マルチキャスト先のアドレスとしては、ホームエージェント装置10から通知されたIPアドレスが使用される。すなわち、ホームエージェント装置10は、S33で受信されたバインディングアップデートの気付アドレスに基づいて、移動機50が接続していたファイアウォール装置20のプレフィクスを割り出し、当該プレフィクスの示すネットワーク上の全てのファイアウォール装置をマルチキャスト先として選択する。その後、ホームエージェント装置10は、選択されたマルチキャスト先のIPアドレスを転送要求と共に、ファイアウォール装置20に通知する。これにより、ファイアウォール装置20は、システム内における他のファイアウォール装置30,40に対するマルチキャストを実行可能となる。
【0088】
ファイアウォール装置20からマルチキャストされた、移動機50の識別情報及び設定ファイルは、上記ネットワーク上のファイアウォール装置30により受信され、ファイアウォールの生成に使用される。ファイアウォール装置40宛にマルチキャストされた、移動機50の識別情報及び設定ファイルは、移動機50がファイアウォール装置40に接続先を変更した場合におけるファイアウォールの生成に使用することができる。
かかる態様を採ることによっても、通信制御システム1は、ファイアウォールの位置を可変的に制御することができ、移動機50の移動元から移動先にファイアウォールを追随させることが可能となる。
【0089】
(第5の実施形態)
以下、移動機50が、移動により接続先のファイアウォール装置を変更した場合における更に別の態様としての第5の実施形態について、図面を参照して詳細に説明する。ここで、本実施形態における通信制御システムの構成は、第1の実施形態において詳述した通信制御システムの構成と同様であるので、各構成要素には同一の符合を付すと共にその説明は省略する。また、本実施の形態では、第2〜第4の実施形態と同様に、移動機50が、ファイアウォール装置20からファイアウォール装置30にハンドオーバした場合を想定する。
【0090】
図9を参照して、通信制御システム1により実行されるファイアウォール構築処理について説明する。
本実施の形態において通信制御システム1により実行されるファイアウォール構築処理は、第2の実施形態において詳述したファイアウォール構築処理(図6参照)と共通するステップを複数含む。具体的には、図9のS41,S44,S45〜S49以降の各ステップは、図6に示したS11,S13,S16〜S20以降の各ステップにそれぞれ相当する。
【0091】
以下、本実施の形態に特有のステップであるS42,S43(図9中太線で示す処理)について説明する。すなわち、S42においては、移動機50は、バインディングアップデート、及び移動前にホームエージェント装置10から送信された設定ファイル(以下、「旧設定ファイル」と記す。)をホームエージェント装置10宛に送信する。
【0092】
S43では、移動先のファイアウォール装置30は、上記旧設定ファイルを参照して、移動元のファイアウォール装置20のIPアドレスを認識する。これにより、ファイアウォール装置30は、移動機50の識別情報及び設定ファイルの転送要求先を特定することができる。続いて、ファイアウォール装置30は、転送要求先であるファイアウォール装置20から、上記識別情報及び設定ファイルを受信して、移動機50用のファイアウォールを生成する。したがって、ファイアウォールの位置を可変的に制御することができ、移動機50の移動にファイアウォールを追随させることが可能となる。
【0093】
上述した様に、第2〜第5の実施形態では、移動元のファイアウォール装置から移動先のファイアウォール装置に、設定ファイル等の情報の転送を行っているが、この目的は以下に示す通りである。
【0094】
第一の目的は、ファイアウォール装置が内部状態又はグローバル変数をもっている場合に、この状態を引き継ぐことである。例えば、移動機は、TCP(Transmission Control Protocol)の接続信号を受信すると、TCPに関するデータを記憶し、TCPの切断信号を受信するとデータを消去し、通信中でないのにデータを受信すると破棄する、といった動作をする。かかる動作を移動機に適用する場合、移動機に記憶されたデータを移動先に引き継ぐ必要がある。
【0095】
第二の目的は、情報の転送の最小化を図ることである。すなわち、アクセス制御リストに関しては、移動機1台分の情報といえども、データ容量が大きくなることがあり得る。また、ホームエージェント装置は、移動機(又はファイアウォール装置)から遠い位置に存在することが多いが、ハンドオーバ時における移動元のファイアウォール装置と移動先のファイアウォール装置とは極めて近い位置に存在する可能性が高い。このため、第2、第4、及び第5の実施形態に示した様に、移動元のファイアウォール装置から移動先のファイアウォール装置に情報を送信すると、ネットワーク負荷が低減される可能性がある。
【0096】
なお、本発明は、上述した実施の形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲において、適宜変形態様を採ることも可能である。例えば、本実施の形態では、ファイアウォールの設定ファイルを生成及び送信する主体は、ホームエージェント装置としたが、ホームエージェント機能を有する装置とは別体に構成されたサーバ装置であってもよい。
【0097】
特に、移動機に対してRADIUS(Remote Authentication Dial−In User Service)認証を行う場合には、認証時に移動機の移動が検知できるので、RADIUSサーバが設定ファイルを生成及び送信してもよい。
【0098】
以下、ホームエージェント装置の代わりにRADIUSサーバを使用した態様について説明する。まず、RADIUSは、RFC2865により標準化されている技術であるので、詳細な説明は省略し基本的な手順について簡単に説明する。ユーザ端末からリモートアクセス装置に対して、電話による遠隔接続の要求があると、リモートアクセス装置は、RADIUSサーバにアクセス要求メッセージを送信する。通常、このアクセス要求メッセージには、ユーザ端末にて入力されたユーザIDやパスワードが含まれている。RADIUSサーバは、ユーザIDやパスワードに基づいてユーザの検証を行い、検証結果に応じたメッセージ(アクセス許可メッセージ又はアクセス許否メッセージ)を返信する。リモートアクセス装置は、このメッセージに従って、遠隔接続の実行又は電話の切断を行う。
【0099】
また、上記手順が規定されたプロトコルは、以下の様に拡張された。一つの拡張は、アクセス許可メッセージとしてのパケットに様々なデータを乗せることである。様々なデータとは、例えば、ユーザ端末が遠隔接続可能な最大時間、使用されるIPアドレス、フィルタリングID等である。他の拡張は、RADIUSをリモートアクセス以外に使用することである。例えば、リモートアクセス装置の代わりに無線LAN基地局を使用すれば、無線LANの利用者認証にRADIUSを使用することができる。
【0100】
以下、上記拡張技術を勘案して、RADIUSが適用された通信制御システムの構成及び動作を説明する。通信制御システムは、移動機と、無線基地局を兼ねるファイアウォール装置(基地局兼ファイアウォール)と、RADIUSサーバとを少なくとも備えて構成される。移動機は、報知情報を受信すると、その送信元である基地局兼ファイアウォールに対して、基地局への接続要求を送信する。基地局兼ファイアウォールは、当該接続要求の受信に伴い、RADIUSサーバにアクセス要求を送信する。
【0101】
アクセス要求を受けたRADIUSサーバは、上記移動機に関してユーザ検証を行い、検証の結果アクセス許可が得られると、当該移動機用のファイアウォールの設定ファイルを生成する。そして、アクセス許可メッセージ(パケット)に上記設定ファイルを乗せて、基地局兼ファイアウォール宛に送信する。基地局兼ファイアウォールは、設定ファイルを参照してファイアウォールプロセスを初期化した後、移動機による基地局への接続を許可する。
【0102】
すなわち、移動機は、移動する度に、新たな通信エリアの無線基地局との通信許可をとり、通信許可が得られた場合には、この無線基地局にファイアウォールが設定される。なお、ファイアウォールの設定に関するRADIUSサーバの動作は、上記各実施形態にて詳述したホームエージェント装置の動作と同様であるので、その説明は省略する。
【0103】
更に、本実施の形態では、移動機は、単体の装置であるものとして説明したが、複数の装置が回線により接続された移動式ネットワークであってもよい。この場合、複数の装置は同時かつ同様に移動することになり、インターネット等の外部ネットワークからは1つの端末として認識される。移動式ネットワークと外部ネットワークとを接続する装置は例えばルータである。
【0104】
【発明の効果】
本発明によれば、移動機に対するファイアウォール機能の適用が可能となる。
【図面の簡単な説明】
【図1】通信制御システムの全体構成を示す図である。
【図2】ホームエージェント装置の機能的構成を示すブロック図である。
【図3】ファイアウォール装置の機能的構成を示すブロック図である。
【図4】第1の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図5】IPパケットフィルタリング処理を説明するためのフローチャートである。
【図6】第2の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図7】第3の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図8】第4の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【図9】第5の実施形態におけるファイアウォール構築処理を説明するためのフローチャートである。
【符号の説明】
1…通信制御システム、10…ホームエージェント装置、11…設定ファイル元データ格納部、12…BU受信部、13…設定ファイル送信部、20,30,40…ファイアウォール装置、21,24…パケット振分け部、221,222,223…ファイアウォールプロセス、23,25…出力バッファ、50…移動機
Claims (5)
- 移動機を接続可能な複数のファイアウォール装置とデータの送受信を行う通信制御装置において、
前記移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段と、
前記移動機の接続先のファイアウォール装置を検知する検知手段と、
前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を、前記ファイアウォール装置宛に送信する送信手段と
を備えることを特徴とする通信制御装置。 - 請求項1に記載の通信制御装置と複数の移動機との間におけるデータ送受信を中継するファイアウォール装置において、
前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持手段と、
前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別手段と、
前記識別手段により識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定手段と
を備えることを特徴とするファイアウォール装置。 - 請求項1に記載の通信制御装置と、請求項2に記載のファイアウォール装置とを備え、
前記移動機は、受信するパケットを、前記ファイアウォール装置を経由して受信することを特徴とする通信制御システム。 - 移動機に適したファイアウォール設定情報を、当該移動機の識別情報と対応付けて格納する格納手段を備える通信制御装置が、前記移動機を接続可能な複数のファイアウォール装置とデータの送受信を行うデータ通信方法において、
前記通信制御装置の検知手段が、前記移動機の接続先のファイアウォール装置を検知する検知ステップと、
前記通信制御装置の送信手段が、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を、前記ファイアウォール装置宛に送信する送信ステップと
を含むことを特徴とするデータ通信方法。 - ファイアウォール装置が、請求項1に記載の通信制御装置と複数の移動機との間におけるデータ送受信を中継するデータ通信方法において、
前記ファイアウォール装置の保持手段が、前記ファイアウォール設定情報に含まれるフィルタリング条件を各移動機の識別情報と対応付けて保持する保持ステップと、
前記ファイアウォール装置の識別手段が、前記通信制御装置から送信されるパケットの宛先である移動機を識別する識別ステップと、
前記ファイアウォール装置の判定手段が、前記識別ステップにて識別された移動機に対応するフィルタリング条件に従って、前記パケットの通過許否を判定する判定ステップと
を含むことを特徴とするデータ通信方法。
Priority Applications (11)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002346271A JP2004180155A (ja) | 2002-11-28 | 2002-11-28 | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
EP07116442A EP1873996A1 (en) | 2002-11-28 | 2003-11-18 | Communication control apparatus, firewall apparatus, and data communication method |
EP08169688A EP2086200A1 (en) | 2002-11-28 | 2003-11-18 | Communication control apparatus, firewall apparatus, and data communication method |
EP08169695A EP2086201A1 (en) | 2002-11-28 | 2003-11-18 | Communication control apparatus, firewall apparatus, and data communication method |
EP03026581A EP1424828A3 (en) | 2002-11-28 | 2003-11-18 | Communication control apparatus, firewall apparatus, and data communication method |
EP07117071A EP1865685A1 (en) | 2002-11-28 | 2003-11-18 | Communication control apparatus, firewall apparatus, and data communication method |
EP08169716A EP2088740A1 (en) | 2002-11-28 | 2003-11-18 | Communication Control Apparatus, Firewall Apparatus, and Data Communication Method |
US10/715,496 US20040151135A1 (en) | 2002-11-28 | 2003-11-19 | Communication control apparatus, firewall apparatus, and data communication method |
CNA2006101321908A CN1941777A (zh) | 2002-11-28 | 2003-11-28 | 通信控制设备、防火墙设备与数据通信方法 |
CNB200310118696XA CN1287550C (zh) | 2002-11-28 | 2003-11-28 | 通信控制设备、防火墙设备与数据通信方法 |
US11/953,474 US8745719B2 (en) | 2002-11-28 | 2007-12-10 | Communication control apparatus, firewall apparatus, and data communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002346271A JP2004180155A (ja) | 2002-11-28 | 2002-11-28 | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007032564A Division JP4390813B2 (ja) | 2007-02-13 | 2007-02-13 | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004180155A true JP2004180155A (ja) | 2004-06-24 |
Family
ID=32290476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002346271A Pending JP2004180155A (ja) | 2002-11-28 | 2002-11-28 | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US20040151135A1 (ja) |
EP (6) | EP2086200A1 (ja) |
JP (1) | JP2004180155A (ja) |
CN (2) | CN1941777A (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005260345A (ja) * | 2004-03-09 | 2005-09-22 | Nippon Telegr & Teleph Corp <Ntt> | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ |
JP2006054720A (ja) * | 2004-08-12 | 2006-02-23 | Nakayo Telecommun Inc | ファイアウォール、フォーリンエージェント、ホームエージェント、移動端末、および通信方法 |
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
WO2006041080A1 (ja) * | 2004-10-12 | 2006-04-20 | Matsushita Electric Industrial Co., Ltd. | ファイアウォールシステム及びファイアウォール制御方法 |
JP2006121209A (ja) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | ゲートウェイ装置 |
JP2006246311A (ja) * | 2005-03-07 | 2006-09-14 | Hitachi Ltd | 通信装置、通信ネットワークおよびデータベース更新方法 |
JP2008507208A (ja) * | 2004-07-15 | 2008-03-06 | クゥアルコム・インコーポレイテッド | パケットデータフィルタリング |
JP2008524970A (ja) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | クライアント援用ファイヤウオール構造 |
US8042170B2 (en) | 2004-07-15 | 2011-10-18 | Qualcomm Incorporated | Bearer control of encrypted data flows in packet data communications |
JP2017163505A (ja) * | 2016-03-11 | 2017-09-14 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
US7668145B2 (en) * | 2003-12-22 | 2010-02-23 | Nokia Corporation | Method to support mobile IP mobility in 3GPP networks with SIP established communications |
US7974311B2 (en) * | 2004-02-10 | 2011-07-05 | Spyder Navigations L.L.C. | Configuring addresses in a communication network |
US20060026674A1 (en) * | 2004-08-02 | 2006-02-02 | Ward Mark K | Firewall port search system |
KR20070072853A (ko) * | 2004-08-12 | 2007-07-06 | 텔코디아 테크놀로지스, 인코포레이티드 | 이종 환경에서의 투명한 서비스 적합화 |
US8776206B1 (en) * | 2004-10-18 | 2014-07-08 | Gtb Technologies, Inc. | Method, a system, and an apparatus for content security in computer networks |
US7904940B1 (en) * | 2004-11-12 | 2011-03-08 | Symantec Corporation | Automated environmental policy awareness |
CN100414929C (zh) | 2005-03-15 | 2008-08-27 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
SE0501014L (sv) * | 2005-05-04 | 2006-11-05 | Lars Waldenstroem Med Lawal Ek | Förfarande och anordning för överföring av digital information |
CN100446506C (zh) * | 2005-09-19 | 2008-12-24 | 华为技术有限公司 | 移动ip网络的安全方案的解决方法和系统 |
ES2284362A1 (es) * | 2005-11-28 | 2007-11-01 | France Telecom España, S.A. | Metodo para la deteccion de configuraciones incorrectas de acceso a servicios en terminales moviles y su correccion posterior. |
CN1980231B (zh) * | 2005-12-02 | 2010-08-18 | 华为技术有限公司 | 一种在移动IPv6中更新防火墙的方法 |
JP4577222B2 (ja) * | 2006-01-20 | 2010-11-10 | 株式会社デンソー | 移動通信システム、無線基地局、および配信方法 |
CN1997010B (zh) * | 2006-06-28 | 2010-08-18 | 华为技术有限公司 | 一种包过滤的实现方法 |
US8132248B2 (en) * | 2007-07-18 | 2012-03-06 | Trend Micro Incorporated | Managing configurations of a firewall |
EP2346247B1 (en) * | 2008-10-10 | 2019-09-04 | Sharp Kabushiki Kaisha | Broadcast receiver apparatus |
US8407789B1 (en) * | 2009-11-16 | 2013-03-26 | Symantec Corporation | Method and system for dynamically optimizing multiple filter/stage security systems |
US8743688B2 (en) * | 2009-12-11 | 2014-06-03 | At&T Intellectual Property I, L.P. | Method and apparatus for dynamically controlling internet protocol packet handling in a voice over internet protocol network |
US8635367B2 (en) * | 2009-12-23 | 2014-01-21 | Citrix Systems, Inc. | Systems and methods for managing static proximity in multi-core GSLB appliance |
US8707022B2 (en) * | 2011-04-05 | 2014-04-22 | Apple Inc. | Apparatus and methods for distributing and storing electronic access clients |
KR101401168B1 (ko) * | 2013-09-27 | 2014-05-29 | 플러스기술주식회사 | Ip 주소를 이용한 네트워크 보안 방법 및 장치 |
WO2015184064A1 (en) * | 2014-05-30 | 2015-12-03 | Apple Inc. | Secure storage of an electronic subscriber identity module on a wireless communication device |
CN112887941B (zh) * | 2014-11-27 | 2024-04-16 | 皇家Kpn公司 | 使用ott服务的基于基础设施的d2d连接建立 |
CN110995768B (zh) * | 2019-12-31 | 2022-04-15 | 奇安信科技集团股份有限公司 | 一种构建及生成防火墙的方法、装置和介质 |
CN112165447B (zh) * | 2020-08-21 | 2023-12-19 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE59509057D1 (de) | 1994-11-07 | 2001-04-05 | Eupec Gmbh & Co Kg | Brücken-Modul |
JP3262689B2 (ja) * | 1995-05-19 | 2002-03-04 | 富士通株式会社 | 遠隔操作システム |
JP3662080B2 (ja) | 1996-08-29 | 2005-06-22 | Kddi株式会社 | ファイアウォール動的制御方法 |
EP1117231A3 (en) * | 2000-01-14 | 2004-03-24 | Sony Corporation | Information processing device, method thereof, and recording medium |
US6466779B1 (en) * | 2000-03-07 | 2002-10-15 | Samsung Electronics Co., Ltd. | System and method for secure provisioning of a mobile station from a provisioning server using IWF-based firewall |
AU2002239249A1 (en) * | 2000-11-13 | 2002-06-03 | Ecutel, Inc | System and method for secure network mobility |
US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
JP2002290444A (ja) | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
US7089586B2 (en) * | 2001-05-02 | 2006-08-08 | Ipr Licensing, Inc. | Firewall protection for wireless users |
JP2003318958A (ja) | 2002-02-20 | 2003-11-07 | Mitsubishi Materials Corp | 情報管理サーバ |
US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
FI20012339A0 (fi) * | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuurien välillä siirtyvien yhteyksien käsittely |
US7146428B2 (en) * | 2001-12-12 | 2006-12-05 | At&T Corp. | Secure in-band signaling method for mobility management crossing firewalls |
JP3984053B2 (ja) * | 2002-01-09 | 2007-09-26 | 富士通株式会社 | ホームエージェント |
US7756073B2 (en) * | 2002-09-20 | 2010-07-13 | Franck Le | Method for updating a routing entry |
JP2004180155A (ja) | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
-
2002
- 2002-11-28 JP JP2002346271A patent/JP2004180155A/ja active Pending
-
2003
- 2003-11-18 EP EP08169688A patent/EP2086200A1/en not_active Withdrawn
- 2003-11-18 EP EP07117071A patent/EP1865685A1/en not_active Withdrawn
- 2003-11-18 EP EP03026581A patent/EP1424828A3/en not_active Withdrawn
- 2003-11-18 EP EP07116442A patent/EP1873996A1/en not_active Withdrawn
- 2003-11-18 EP EP08169695A patent/EP2086201A1/en not_active Withdrawn
- 2003-11-18 EP EP08169716A patent/EP2088740A1/en not_active Withdrawn
- 2003-11-19 US US10/715,496 patent/US20040151135A1/en not_active Abandoned
- 2003-11-28 CN CNA2006101321908A patent/CN1941777A/zh active Pending
- 2003-11-28 CN CNB200310118696XA patent/CN1287550C/zh not_active Expired - Fee Related
-
2007
- 2007-12-10 US US11/953,474 patent/US8745719B2/en not_active Expired - Fee Related
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005260345A (ja) * | 2004-03-09 | 2005-09-22 | Nippon Telegr & Teleph Corp <Ntt> | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ |
JP2008507208A (ja) * | 2004-07-15 | 2008-03-06 | クゥアルコム・インコーポレイテッド | パケットデータフィルタリング |
US8265060B2 (en) | 2004-07-15 | 2012-09-11 | Qualcomm, Incorporated | Packet data filtering |
US8042170B2 (en) | 2004-07-15 | 2011-10-18 | Qualcomm Incorporated | Bearer control of encrypted data flows in packet data communications |
JP2006054720A (ja) * | 2004-08-12 | 2006-02-23 | Nakayo Telecommun Inc | ファイアウォール、フォーリンエージェント、ホームエージェント、移動端末、および通信方法 |
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
WO2006041080A1 (ja) * | 2004-10-12 | 2006-04-20 | Matsushita Electric Industrial Co., Ltd. | ファイアウォールシステム及びファイアウォール制御方法 |
US7950053B2 (en) | 2004-10-12 | 2011-05-24 | Panasonic Corporation | Firewall system and firewall control method |
JP4563135B2 (ja) * | 2004-10-19 | 2010-10-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ゲートウェイ装置 |
JP2006121209A (ja) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | ゲートウェイ装置 |
JP2008524970A (ja) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | クライアント援用ファイヤウオール構造 |
JP2006246311A (ja) * | 2005-03-07 | 2006-09-14 | Hitachi Ltd | 通信装置、通信ネットワークおよびデータベース更新方法 |
JP2017163505A (ja) * | 2016-03-11 | 2017-09-14 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
Also Published As
Publication number | Publication date |
---|---|
US8745719B2 (en) | 2014-06-03 |
CN1505320A (zh) | 2004-06-16 |
EP2088740A1 (en) | 2009-08-12 |
US20080107068A1 (en) | 2008-05-08 |
EP1865685A1 (en) | 2007-12-12 |
US20040151135A1 (en) | 2004-08-05 |
EP1424828A3 (en) | 2006-06-07 |
EP2086201A1 (en) | 2009-08-05 |
EP1873996A1 (en) | 2008-01-02 |
CN1941777A (zh) | 2007-04-04 |
EP1424828A2 (en) | 2004-06-02 |
EP2086200A1 (en) | 2009-08-05 |
CN1287550C (zh) | 2006-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004180155A (ja) | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 | |
US11051350B2 (en) | Wireless internet system and method | |
US7733824B2 (en) | Fixed access point for a terminal device | |
RU2406267C2 (ru) | Способ и устройство для динамического назначения домашнего адреса домашним агентом при организации межсетевого взаимодействия множества сетей | |
US20060233144A1 (en) | Mobility support apparatus for mobile terminal | |
US8446874B2 (en) | Apparatus and method for filtering packet in a network system using mobile IP | |
US20070006295A1 (en) | Adaptive IPsec processing in mobile-enhanced virtual private networks | |
EP2144416A1 (en) | Mobile network managing apparatus and mobile information managing apparatus for controlling access requests | |
JP2007259507A (ja) | テレコミュニケーションシステムにおけるなりすましの防止 | |
JP2006279960A (ja) | 無線ネットワークのためのシームレス・ローミングの方法および装置 | |
JP2011097600A (ja) | 通信システム及び通信ノード | |
JPH1070576A (ja) | ファイアウォール動的制御方法 | |
US20070025309A1 (en) | Home agent apparatus and communication system | |
KR101561108B1 (ko) | 소프트웨어 정의 네트워크에 기반한 프록시 모바일 IPv6환경에서의 데이터 통신 방법 및 핸드오버 방법 | |
WO2008151557A1 (fr) | Procédé, équipement et système ip mobile de serveur mandataire pour déclencher une optimisation de route | |
WO2018188482A1 (zh) | 连接建立方法及装置 | |
JP4390813B2 (ja) | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 | |
JP3669366B2 (ja) | 移動端末及びネットワークインタフェース切替方法 | |
JP3756781B2 (ja) | データ中継装置及びデータ中継方法 | |
JP6755171B2 (ja) | 接続切り替えシステム、接続切り替え方法、および、接続先装置 | |
JP4180458B2 (ja) | Vpn通信システム及びvpnトンネル形成方法 | |
Molloy | Seamless handoff between 802.11 b and CDMA2000 networks | |
JP2010239195A (ja) | 通信傍受システム、通信傍受装置、通信傍受方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050411 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070821 |