JP2005072668A - Vpn communication system and vpn tunnel forming method - Google Patents

Vpn communication system and vpn tunnel forming method Download PDF

Info

Publication number
JP2005072668A
JP2005072668A JP2003208890A JP2003208890A JP2005072668A JP 2005072668 A JP2005072668 A JP 2005072668A JP 2003208890 A JP2003208890 A JP 2003208890A JP 2003208890 A JP2003208890 A JP 2003208890A JP 2005072668 A JP2005072668 A JP 2005072668A
Authority
JP
Japan
Prior art keywords
communication
vpn
mobile
information
handover
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003208890A
Other languages
Japanese (ja)
Other versions
JP4180458B2 (en
Inventor
Hideki Kitahama
秀基 北濱
So Ishida
創 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2003208890A priority Critical patent/JP4180458B2/en
Publication of JP2005072668A publication Critical patent/JP2005072668A/en
Application granted granted Critical
Publication of JP4180458B2 publication Critical patent/JP4180458B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a VPN communication system capable of making secret communication while excluding packets causing a defect by utilizing VPN encryption communication and packet filtering by mobile firewall at the same time and relieving a load imposed on users and improving the convenience when mobile communication terminals use the VPN functions, and a VPN tunnel forming method. <P>SOLUTION: A CN 12 being a communication opposite party registers VPN connection opposite party information required for communication through a VPN tunnel to a database on a mobile communication network 20. A mobile firewall apparatus 18-1 on the mobile communication network 20 acquires the VPN connection opposite party information at the reception of packets received from an MN 22 connected to the communication network and forms a VPN tunnel 24-1 between itself and a VPN gateway apparatus 16 when receiving packets to the CN 12 and the information of the received packets is coincident with the destination of the VPN connection opposite party information having been acquired before. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、携帯電話機やPDA(PersonalDigital Assistance)などの移動通信端末機にて行われるIP(Internet Protocol)パケットによる通信を、セキュリティを確保しながら行うことができるVPN通信システム及びVPNトンネル形成方法に関する。
【0002】
【従来の技術】
一般的に、ファイアウォールは、モバイルファイアウォールを含めて、IPパケット(以降、パケットという)の送信元アドレス・宛先アドレス・ポート番号、更にはパケット内容や通信パターンから判断して、パケットを通過させるか否かを決定する機能である。所謂、パケットのヘッダに含まれる情報をもとに通信を制御するパケットフィルタリングを行う機能である。
【0003】
ここで、仮にユーザが移動通信端末機に暗号化通信を用いると、モバイルファイアウォールは、ポート番号やパケット内容を見ることができないため、これらの情報を用いたパケットのフィルタリングが不可能となってしまう。このため、モバイルファイアウォールでパケット内容に基づくパケットフィルタリングを用いるためには、ユーザが暗号化通信を使用しないことが前提となっている。このようなモバイルファイアウォールとしては、例えば下記の特許文献1に記載の技術内容がある。
【0004】
上述したように、モバイルファイアウォールでは、暗号化通信を使用しないことを前提としている。しかし、現在では、例えば社内の重要なデータの送受信を、外部からインターネットや公衆回線網を通じて行うことが増えている。このため、盗聴や改竄等から保護する必要があるので、VPN(Virtual Private Network:仮想私設網)に代表される暗号化を用いた秘匿通信に対するユーザの需要が高まっている。
【0005】
VPNとは、インターネットや公衆回線網などのグローバルなネットワークに特定のユーザしか認識できない仮想の通信路(トンネル)を構築して通信する方法である。このVPNを構築する方法をトンネリングと呼ぶ。必要な場合は、トンネリングの他に暗号化処理が適用される。
この種の従来のVPNを用いた通信システムとして、例えば特許文献2に記載のものがある。この内容は次の通りである。IP通信網に接続されるLAN(Local AreaNetwork)の間にVPNを設定している時、そのLANがIP通信網への接続位置を移動した場合でも自動的にVPNの設定を保持する。IP通信網にVPNトンネルを設定し、その後、そのVPNトンネルが設定されたLANの何れかが、IP通信網に接続されるLAN収容装置の場所を移動した場合に、LAN収容装置間にモバイルIPトンネルを設定し、このモバイルIPトンネルと元のVPNトンネルとを連結して新たなVPNを形成する。これによって、移動後もLAN間のVPNの設定を自動的に保持するといった技術である。
【0006】
【特許文献1】
特願2002−346271号公報
【特許文献2】
特開2002−77273号公報
【0007】
【発明が解決しようとする課題】
しかし、従来の通信システムにおいては、VPNに代表される暗号化を用いた秘匿通信に対するユーザの需要が高まっていることから、暗号化通信をモバイルファイアウォールの適用対処外として無視することはもはやできなくなってきている。
そこで、VPNによる暗号化通信を利用しながらもモバイルファイアウォールのパケットフィルタリングを利用できるサービスを提供する必要があるが、実際には、上述したように、移動通信端末機に暗号化通信を用いると、モバイルファイアウォールは、ポート番号やパケット内容を見ることができないため、これらの情報を用いたパケットのフィルタリングが不可能となってしまうという問題がある。
【0008】
また、上記特許文献1に開示されているモバイルファイアウォールでは、想定環境とする移動通信サービスにおいて、様々な移動通信端末機が接続されるとしているが、その中にはセキュリティ機能を全く搭載できない移動通信端末機も存在すると考えられる。この様な移動通信端末機は、それ自体ではVPNサービスを利用できないという問題がある。
【0009】
更に、例え移動通信端末機が高性能でVPN機能を搭載できるとしても、ユーザがその機能を有効に活用できるとは限らない。モバイルファイアウォールのサービス提供環境では、様々なレベルのユーザがネットワーク接続サービスを利用するので、セキュリティ知識レベルの低いユーザは、セキュリティの機能を設定・使用することができないことがある。またレベルの高いユーザですら、その設定・使用を面倒なものと考えるかもしれない。つまり、ユーザの負担が大きく、利便性が悪いという問題がある。
【0010】
また、上記特許文献2においては、IP通信網への接続位置を移動した場合にも自動的にVPNの設定を保持するが、パケットフィルタリングを同時に実行することができないので、移動通信端末機に不具合を及ぼすパケットを通過させてしまうという問題がある。
本発明は、このような課題に鑑みてなされたものであり、VPNによる暗号化通信とモバイルファイアウォールによるパケットフィルタリングとを同時に利用可能とすることによって、不具合要因となるパケットの排除を行いながら秘匿通信を行うことを可能とし、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができるVPN通信システム及びVPNトンネル形成方法を提供することを目的としている。
【0011】
【課題を解決するための手段】
上記目的を達成するために、本発明の請求項1によるVPN通信システムは、通信網に、暗号化処理を用いてパケットを伝送するためのVPNトンネルを形成し、このVPNトンネルを介して移動通信端末機と通信先端末機とが通信を行うVPN通信システムにおいて、前記通信先端末機が前記VPNトンネルを介して通信を行うために必要な通信先端末機情報を登録したデータベースと、前記通信先端末機が前記VPNトンネルを介して通信を行う際に通信形式の整合をとって通信可能とするゲートウェイ装置と、前記移動通信端末機が通信網に接続した際のパケットの受信時に前記データベースから通信先端末機情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、前記ゲートウェイ装置との間にVPNトンネルを形成するモバイルファイアウォール装置とを備えたことを特徴としている。
【0012】
この構成によれば、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
また、本発明の請求項2によるVPN通信システムは、請求項1において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、前記取得した内部状態情報をもとに前記ゲートウェイ装置との間にVPNトンネルを形成することを特徴としている。
【0013】
この構成によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてゲートウェイ装置との間にVPNトンネルを形成するので、自動的にVPNトンネルを張り替えることができる。
【0014】
また、本発明の請求項3によるVPN通信システムは、請求項1において、前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を更に備え、前記モバイルファイアウォール装置は、前記受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡し、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成することを特徴としている。
【0015】
この構成によれば、プロキシ装置がVPNトンネルの終端装置として動作し、また、プロキシ装置とモバイルファイアウォール装置との間に暗号化トンネルを形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
【0016】
また、本発明の請求項4によるVPN通信システムは、請求項3において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、この取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成することを特徴としている。
【0017】
この構成によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてプロキシ装置との間に暗号化トンネルを形成する。この暗号化トンネルは、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0018】
また、本発明の請求項5によるVPNトンネル形成方法は、通信網に、暗号化を用いて移動通信端末機と通信先端末機間の通信パケットを伝送するためのVPNトンネルを形成するVPNトンネル形成方法において、通信網上のデータベースに、前記通信先端末機が前記VPNトンネルを介して通信を行うために必要な通信先端末機情報を登録する第1のステップと、前記移動通信端末機が通信を行う通信網上のモバイルファイアウォール装置は、前記移動通信端末機が通信網に接続した際のパケットの受信時に、前記データベースから通信先端末機情報を取得する第2のステップと、当該モバイルファイアウォール装置が、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記第2のステップにおいて取得した通信先端末機情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成する第3のステップとを含むことを特徴としている。
【0019】
この方法によれば、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
また、本発明の請求項6によるVPNトンネル形成方法は、請求項5において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第4のステップと、当該ハンドオーバ先のモバイルファイアウォール装置は、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記第4のステップで取得した通信先端末機情報との宛先が一致した際に、前記第4のステップで取得した内部状態情報をもとに前記ゲートウェイ装置との間にVPNトンネルを形成する第5のステップとを更に含むことを特徴としている。
【0020】
この方法によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてゲートウェイ装置との間にVPNトンネルを形成するので、自動的にVPNトンネルを張り替えることができる。
【0021】
また、本発明の請求項7によるVPNトンネル形成方法は、請求項5において、前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を備えた際に、前記モバイルファイアウォール装置は、前記第5のステップにおいて前記受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡する第6のステップと、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成する第7のステップとを更に含むことを特徴としている。
【0022】
この方法によれば、プロキシ装置がVPNトンネルの終端装置として動作し、また、プロキシ装置とモバイルファイアウォール装置との間に暗号化トンネルを形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
【0023】
また、本発明の請求項8によるVPNトンネル形成方法は、請求項7において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第8のステップと、当該ハンドオーバ先のモバイルファイアウォール装置は、前記第8のステップで取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成する第9のステップとを更に含むことを特徴としている。
【0024】
この方法によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてプロキシ装置との間に暗号化トンネルを形成する。この暗号化トンネルは、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0025】
【発明の実施の形態】
以下、本発明の実施の形態を、図面を参照して説明する。
(第1の実施の形態)
図1は、本発明の第1の実施の形態に係るVPN通信システムの構成を示す図である。
図1に示すVPN通信システム10は、パーソナルコンピュータ等のCN(Correspondent Node)12を有するリモートネットワーク14と、VPNゲートウェイ装置16及び複数(ここでは第1及び第2)のモバイルファイアウォール装置18−1,18−2を有する移動通信ネットワーク20と、各モバイルファイアウォール装置18−1,18−2と無線回線にて通信を行う移動通信端末機であるMN(Mobile Node)22とを備えて構成されている。
【0026】
但し、ここでは説明のためにMobile IPv6を前提としたシステムを用いるが、他のトランスポート技術及びプロトコルを用いて実現することも可能である。なお、以下の(a)及び(b)の条件を満たす場合は、ここでの説明の方式とほぼ同様の手法で実現可能である。
(a)モバイルファイアウォール装置が移動通信端末機の移動を検知できること。
【0027】
(b)通過するパケットの実質的な宛先・発信元アドレスをアクセスルータが認知することができ、これをモバイルファイアウォール装置へ通知できること。
次に、VPN通信システム10の特徴は、リモートネットワーク14と移動通信ネットワーク20との接続境界にVPNゲートウェイ装置16を配置し、このVPNゲートウェイ装置16と各モバイルファイアウォール装置18−1,18−2との間にVPNトンネル24−1,24−2を張り、各モバイルファイアウォール装置18−1,18−2を、そのVPNトンネル24−1,24−2の終端装置として動作させるようにした点にある。つまり、各モバイルファイアウォール装置18−1,18−2をVPNプロキシ装置として利用するようにした。
【0028】
MN22とCN12とは、VPNトンネル24−1又は24−2を介して通信を行うようになっている。例えば、第1のモバイルファイアウォール装置18−1とVPNゲートウェイ装置16との間のVPNトンネル24−1を介してCN12と通信を行っているMN22が、矢印Y1で示すようにハンドオーバを行った場合、モバイルファイアウォール装置も、第2のモバイルファイアウォール装置18−2へ移動することになる。
【0029】
この場合、VPNゲートウェイ装置16と第2のモバイルファイアウォール装置18−2との間にVPNトンネル24−2が張り替えられ、このVPNトンネル24−2を介してMN22とCN12とが通信を行うようになっている。
また、VPNトンネル24−1,24−2は、固定網で一般に用いられている既存の方式であるIPsec、L2TP、L2E、PPPTP等を利用して張られるため、VPNゲートウェイ装置16に特殊な機能を搭載する必要はない。なお、VPNゲートウェイ装置16は、CN12に搭載される場合もある。
【0030】
また、各モバイルファイアウォール装置18−1,18−2は、アクセスルータに配置されるものである。更に、各モバイルファイアウォール装置18−1,18−2とMN22との間の無線回線は、VPNトンネルに係るレイヤよりも下レイヤのセキュリティに依存するものであって、かつ同一無線インターフェースに接続する他の端末機とは物理的にリンクは共有するがデータは供給しない、いわゆる共有型リンクではない。従って、移動通信端末機とモバイルファイアウォール装置間の通信を他の端末機やノードから盗聴することは不可能である。
【0031】
ところで、モバイルファイアウォールサービスの想定環境として、MN22には特別なセキュリティ機能は搭載されていないものとされている。このため、MN22のユーザがリモートネットワーク14に接続しようとしても、ユーザ自らがコマンドやクライアント等を用いてVPN接続することはできない。
従って、ユーザがVPN接続を希望するリモートネットワーク14又はCN12宛のパケットを送信すると、移動通信ネットワーク20側で自動的にVPN接続を確立する必要がある。つまり、予めネットワーク20側でVPN接続を行う通信相手(CN12)を把握しておく必要がある。
【0032】
そこで、MN22のユーザは、予めモバイルファイアウォールのセキュリティポリシー情報として、VPNゲートウェイ装置16のアドレス、VPNアカウント、VPNパスワード等のVPN接続相手情報を、セキュリティポリシーデータベース(以下、SP・DBと称す)に登録しておく。但し、SP・DBは、通常、移動通信ネットワーク20上に設けられている。
【0033】
このような、モバイルファイアウォール想定環境におけるセキュリティポリシー登録方法には、例えば、次の(1)〜(3)のようなものがある。
(1)電話連絡によりオペレータに説明してセキュリティポリシー情報を登録してもらう(低レベルユーザ向け)。
(2)セキュリティポリシー設定Webページを用いてセキュリティポリシー情報を設定する(中レベルユーザ向け)。
(3)SP・DBを操作して直接編集する(高レベルユーザ向け)。
なお、モバイルファイアウォール装置では、所有移動通信端末機(MN)の一括設定機能や、他人の所有する移動通信端末機の設定代行機能の提供を想定しているため、VPN接続相手先登録のために、必ずしもVPN接続を行う移動通信端末機自体を用いる必要はない。
【0034】
次に、VPN通信システム10において、VPNトンネルを形成してMN22とCN12間で通信を行う場合の処理を、図2に示すシーケンス図を参照して説明する。
まず、ステップS1において、MN22が移動通信ネットワーク20に新規接続して最初のパケット及びこれに続くパケットを送信すると、その新規接続された第1のモバイルファイアウォール装置18−1が、それらのパケットをホールドする。このパケットをホールドしておく理由は、第1のモバイルファイアウォール装置18−1に、そのMN22のユーザセキュリティポリシー情報がないためである。また、ここでは説明を簡単にするため、上記のパケットが、移動通信ネットワーク20上に存在するHA(Home Agent)宛のBU(Binding Up data)であるとする。
【0035】
次に、ステップS2において、第1のモバイルファイアウォール装置18−1は、当該ユーザのセキュリティポリシー情報を要求して受信するためのセキュリティポリシー要求を、SP・DBへ送信する。
この応答としてSP・DBは、ステップS3において、第1のモバイルファイアウォール装置18−1にセキュリティポリシー情報を返信する。このセキュリティポリシー情報には、VPN接続を行う等の情報が含まれている。第1のモバイルファイアウォール装置18−1は、そのセキュリティポリシー情報を受信すると、ステップS4において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、前述の想定環境により、HA宛のBUであるため、ステップS5において、HAは応答としてBA(Binding Acknowledgement)をMN22へ返信する。これでMN22の位置登録が完了する。
【0036】
続いて、ステップS6において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第1のモバイルファイアウォール装置18−1は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、ステップS7に示すようにVPN接続処理を行って、VPNゲートウェイ装置16との間にVPNトンネル24−1を確立する。
【0037】
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24−1を利用した通信を行う際に用いるアドレスを払い出すが、MN22にはVPNクライアント機能が無いので、そのアドレスを扱うことができない。このため、ステップS8において、第1のモバイルファイアウォール装置18−1が、そのアドレスを用いてCN12と通信し、NAT(Network Address Translation)によるアドレス変換を行いMN22へパケットを転送する。このように、ステップS9に示すように、VPNトンネル24−1を介してMN22とCN12間で通信を行うことが可能となる。
【0038】
次に、MN22がハンドオーバを行う場合の処理を説明する。
まず、ステップS11において、MN22がハンドオーバしてから最初のパケットを送信すると、ハンドオーバ先の第2のモバイルファイアウォール装置18−2が、そのパケットをホールドする。なお、ここでは説明を簡単にするため、上記のパケットが、HA宛のBUであるとする。
【0039】
ステップS12において、第2のモバイルファイアウォール装置18−2は、SP・DBに対して、当該ユーザのセキュリティポリシー情報を要求するためのセキュリティポリシー要求を送信する。この応答としてSP・DBが、ステップS13において、第2のモバイルファイアウォール装置18−2にセキュリティポリシー情報を返信する。
【0040】
これと同時に、ステップS14において、SP・DBは、MN22が以前接続していた第1のモバイルファイアウォール装置18−1に対して、ファイアウォール内部状態の転送を要求するための内部状態フォワード要求を送信する。第1のモバイルファイアウォール装置18−1は、その内部状態フォワード要求を受信すると、ステップS15において、第2のモバイルファイアウォール装置18−2へ内部状態情報を転送し、また、VPNトンネル24−1を切断する。
【0041】
その内部状態情報と先のセキュリティポリシー情報を受信した第2のモバイルファイアウォール装置18−2は、ステップS16において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、前述の想定環境によりHA宛のBUであるため、ステップS17において、HAは応答としてBAをMN22へ送信する。これによってMN22の位置登録が完了する。
【0042】
続いて、ステップS18において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第2のモバイルファイアウォール装置18−2は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、ステップS19に示すようにVPN接続処理を行って、VPNゲートウェイ装置16との間にVPNトンネル24−2を確立する。
【0043】
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24−1を利用した通信を行う際に用いるアドレスを払い出すが、この際、DHCP(Dynamic Host Configuration Protocol)機能によりIPアドレスを払い出す場合は、ハンドオーバ前と同じアドレスを優先的に割り当てる設定又は機能が必要となる。
【0044】
ステップS20において、第2のモバイルファイアウォール装置18−2は、その割り当てられたアドレスを用いてCN12と通信し、NAT(Network Address Translation)によるアドレス変換を行いMN22へパケットを転送する。このように、ステップS21に示すように、VPNトンネル24−2を介してMN22とCN12間で通信を行うことが可能となる。
【0045】
このように、第1の実施の形態のVPN通信システム10によれば、モバイルファイアウォール装置18−1がVPNトンネル24−1の終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置18−1のパケットフィルタリングを利用して、MN22とCN12とが通信を行うことができる。
【0046】
従って、不具合要因となるパケットの排除を行いながら秘匿通信を行うことが可能となり、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができる。
また、MN22がハンドオーバした際に、モバイルファイアウォール装置も、そのMN22に追随して移動し、この移動先のモバイルファイアウォール装置18−2が、ハンドオーバ前のモバイルファイアウォール装置18−1の情報を用いてVPNゲートウェイ装置16との間にVPNトンネル24−2を形成するので、自動的にVPNトンネルを張り替えることができる。
【0047】
(第2の実施の形態)
図3は、本発明の第2の実施の形態に係るVPN通信システムの構成を示す図である。但し、図3に示す第2の実施の形態において、図1に示した第1の実施の形態の各部に対応する部分には同一符号を付し、その説明を省略する。
図3に示すVPN通信システム30が図1に示したVPN通信システム10と異なる点は、移動通信ネットワーク20に、VPNプロキシ装置32を更に備え、このVPNプロキシ装置32とVPNゲートウェイ装置16との間にVPNトンネル24を張って終端し、また、VPNプロキシ装置32と各モバイルファイアウォール装置18−1,18−2との間に、移動通信に特化した方式による暗号化トンネル34−1,34−2を張るようにしたことにある。つまり、VPNプロキシ装置32は、2種類のトンネルの中継を行うようになっている。
【0048】
MN22とCN12とは、VPNトンネル24に加え、暗号化トンネル34−1又は34−2を介して通信を行うようになっている。例えば、第1のモバイルファイアウォール装置18−1とVPNゲートウェイ装置16との間のVPNトンネル24及び暗号化トンネル34−1を介してCN12と通信を行っているMN22が、矢印Y3で示すようにハンドオーバを行った場合、モバイルファイアウォール装置も、第2のモバイルファイアウォール装置18−2へ移動することになる。
【0049】
この場合、VPNプロキシ装置32と第2のモバイルファイアウォール装置18−2との間に暗号化トンネル34−2が張り替えられ、この暗号化トンネル34−2を介してMN22とCN12とが通信を行うようになっている。
次に、VPN通信システム30において、VPNトンネル及び暗号化トンネルを形成してMN22とCN12間で通信を行う場合の処理を、図4に示すシーケンス図を参照して説明する。
【0050】
まず、ステップS31において、MN22が移動通信ネットワーク20に新規接続して最初のパケットを送信すると、その新規接続された第1のモバイルファイアウォール装置18−1が、そのパケットをホールドする。このパケットをホールドしておく理由は、第1のモバイルファイアウォール装置18−1に、そのMN22のユーザセキュリティポリシー情報がないためである。また、ここでは説明を簡単にするため、上記のパケットが、移動通信ネットワーク20上に存在するHA(Home Agent)宛のBU(Binding Up data)であるとする。
【0051】
次に、ステップS32において、第1のモバイルファイアウォール装置18−1は、当該ユーザのセキュリティポリシー情報を要求して受信するためのセキュリティポリシー要求を、SP・DBへ送信する。
この応答としてSP・DBは、ステップS33において、第1のモバイルファイアウォール装置18−1にセキュリティポリシー情報を返信する。このセキュリティポリシー情報には、VPN接続を行う等の情報が含まれている。第1のモバイルファイアウォール装置18−1は、そのセキュリティポリシー情報を受信すると、ステップS34において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、第1の実施の形態に記載した想定環境により、HA宛のBUであるため、ステップS35において、HAは応答としてBA(Binding Acknowledgement)をMN22へ返信する。これでMN22の位置登録が完了する。
【0052】
続いて、ステップS36において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第1のモバイルファイアウォール装置18−1は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、第1のモバイルファイアウォール装置18−1は、ステップS37に示すように、第1のモバイルファイアウォール装置18−1とVPNプロキシ装置32との間の接続処理を行って、VPNプロキシ装置32との間に暗号化トンネル34−1を確立し、VPNプロキシ装置32にVPN接続情報を渡す。
【0053】
このVPN接続情報を受けたVPNプロキシ装置32は、ステップS38において、VPN接続処理を行ってVPNゲートウェイ装置16との間にVPNトンネル24を確立する。
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24を利用した通信を行う際に用いるアドレスを払い出すが、MN22にはVPNクライアント機能が無いので、そのアドレスを扱うことができない。このため、ステップS39及びS40において、VPNトンネル24の終端を担うVPNプロキシ装置32がMN22に成りすまして、そのアドレスを用いてCN12と通信を行う。VPNゲートウェイ装置16は、VPNプロキシ装置32から受信したパケットを一度復号化してパケットのデータ部分(ペイロード)を取り出し、再び暗号化トンネル34−1を通して第1のモバイルファイアウォール装置18−1へ転送する。第1のモバイルファイアウォール装置18−1は、そのパケットを復号化してデータ部分を取り出し、NAT(Network Address Translation)により、アドレス変換した上でMN22へパケットを転送する。
【0054】
この際、VPNプロキシ装置32で行っているパケットの暗号化・復号化を第1のモバイルファイアウォール装置18−1が代行して行う。VPNプロキシ装置32は、既に第1のモバイルファイアウォール装置18−1及びVPNゲートウェイ装置16によって暗号化されているパケットを、それぞれ暗号化トンネル34−1及びVPNトンネル24を通して、そのまま転送するという方式を用いる。これによって、暗号化・復号化の回数を削減することも可能である。但し、この場合は、VPNプロキシ装置32がVPNトンネル24を構築するために用いた情報を、予め第1のモバイルファイアウォール装置18−1へ通知しておく必要がある。第1のモバイルファイアウォール装置18−1は、その情報を用いて暗号化・復号化を行う。
【0055】
次に、MN22がハンドオーバを行う場合の処理を説明する。
まず、ステップS41において、MN22がハンドオーバしてから最初のパケットを送信すると、ハンドオーバ先の第2のモバイルファイアウォール装置18−2が、そのパケットをホールドする。なお、ここでは説明を簡単にするため、上記のパケットが、HA宛のBUであるとする。
【0056】
ステップS42において、第2のモバイルファイアウォール装置18−2は、SP・DBに対して、当該ユーザのセキュリティポリシー情報を要求するためのセキュリティポリシー要求を送信する。この応答としてSP・DBが、ステップS43において、第2のモバイルファイアウォール装置18−2にセキュリティポリシー情報を返信する。
【0057】
これと同時に、ステップS44において、SP・DBは、MN22が以前接続していた第1のモバイルファイアウォール装置18−1に対して、ファイアウォール内部状態の転送を要求するための内部状態フォワード要求を送信する。
第1のモバイルファイアウォール装置18−1は、その内部状態フォワード要求を受信すると、ステップS45において、第2のモバイルファイアウォール装置18−2へ内部状態情報を転送し、ステップS46において、VPNトンネル24−1を切断する。
【0058】
内部状態情報を受信した第2のモバイルファイアウォール装置18−2は、ステップS47において、第2のモバイルファイアウォール装置18−2とVPNプロキシ装置32との間の接続処理を行って、VPNプロキシ装置32との間に暗号化トンネル34−2を確立し、VPNプロキシ装置32にVPN接続情報を渡す。
【0059】
この後、第2のモバイルファイアウォール装置18−2は、ステップS48において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、第1の実施の形態で記載した想定環境によりHA宛のBUであるため、ステップS49において、HAは応答としてBAをMN22へ送信する。これによってMN22の位置登録が完了する。
【0060】
なお、VPNプロキシ装置32は、NAT機能によりMN22のハンドオーバ後のアドレスヘアドレス変換を行う必要がある。VPNプロキシ装置32はアドレス変換を行うだけであり、パケットの暗号化及び復号化は、第2のモバイルファイアウォール装置18−2とVPNゲートウェイ装置16の間で行う。このようにしてステップS50に示すように、VPNトンネル24及び暗号化トンネル34−2を介してMN22とCN12間で通信を行うことが可能となる。
【0061】
このように、第2の実施の形態のVPN通信システム30によれば、VPNプロキシ装置32がVPNトンネル24の終端装置として動作し、また、VPNプロキシ装置32とモバイルファイアウォール装置18−1との間に暗号化トンネル34−1を形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置18−1のパケットフィルタリングを利用して、MN22とCN12とが通信を行うことができる。
【0062】
従って、不具合要因となるパケットの排除を行いながら秘匿通信を行うことが可能となり、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができる。
また、MN22がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置18−2が、ハンドオーバ前のモバイルファイアウォール装置18−1の情報を用いてVPNプロキシ装置32との間に暗号化トンネル34−2を形成する。この暗号化トンネル34−2は、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0063】
なお、上記第1の実施の形態では、モバイルファイアウォール装置18−1又は18−2とVPNゲートウェイ装置16との間に、上記第2の実施の形態では、モバイルファイアウォール装置18−1又は18−2とVPNプロキシ装置32との間、並びにVPNプロキシ装置32とVPNゲートウェイ装置16との間に、暗号化したトンネルを張るようにしたが、他の方法で盗聴や改竄からの安全を確保できるのであれば暗号化しないトンネルを張るようにしてもよい。
【0064】
【発明の効果】
以上説明したように本発明は、通信網上のデータベースに、通信先端末機がVPNトンネルを介して通信を行うために必要な通信先端末機情報を登録しておき、移動通信端末機が通信を行う通信網上のモバイルファイアウォール装置が、移動通信端末機が通信網に接続した際のパケットの受信時に、データベースから通信先端末機情報を取得し、更に、通信先端末機へのパケットの受信時に、この受信パケットの情報と先に取得した通信先端末機情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成するようにした。
【0065】
これによって、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
従って、VPNによる暗号化通信とモバイルファイアウォールによるパケットフィルタリングとを同時に利用可能とすることができるので、不具合要因となるパケットの排除を行いながら秘匿通信を行うことを可能とし、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができるという効果がある。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るVPN通信システムの構成を示す図である。
【図2】第1の実施の形態に係るVPN通信システムにおいてVPNトンネルを形成してMNとCN間で通信を行う場合の処理を説明するためのシーケンス図である。
【図3】本発明の第2の実施の形態に係るVPN通信システムの構成を示す図である。
【図4】第2の実施の形態に係るVPN通信システムにおいてVPNトンネル及び暗号化トンネルを形成してMNとCN間で通信を行う場合の処理を説明するためのシーケンス図である。
【符号の説明】
10,30 VPN通信システム
12 CN(Correspondent Node)
14 リモートネットワーク
16 VPNゲートウェイ装置
18−1 第1のモバイルファイアウォール装置
18−2 第2のモバイルファイアウォール装置
20 移動通信ネットワーク
22 移動通信端末機であるMN(Mobile Node)
24,24−1,24−2 VPNトンネル
32 VPNプロキシ装置
34−1,34−2 暗号化トンネル[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a VPN communication system and a VPN tunnel forming method capable of performing communication using an IP (Internet Protocol) packet performed in a mobile communication terminal such as a mobile phone or a PDA (Personal Digital Assistance) while ensuring security. .
[0002]
[Prior art]
In general, firewalls, including mobile firewalls, determine whether to pass packets based on the source address, destination address, and port number of IP packets (hereinafter referred to as packets), as well as packet contents and communication patterns. It is a function that determines whether or not. This is a function of performing packet filtering for controlling communication based on information included in a packet header.
[0003]
Here, if the user uses encrypted communication for the mobile communication terminal, the mobile firewall cannot see the port number and the packet contents, and thus filtering of packets using such information becomes impossible. . For this reason, in order to use packet filtering based on packet contents in the mobile firewall, it is assumed that the user does not use encrypted communication. As such a mobile firewall, for example, there is a technical content described in Patent Document 1 below.
[0004]
As described above, it is assumed that the mobile firewall does not use encrypted communication. However, nowadays, for example, in-house important data transmission / reception is increasingly performed from the outside via the Internet or public network. For this reason, since it is necessary to protect against eavesdropping, tampering, and the like, there is an increasing demand for users for secret communication using encryption typified by VPN (Virtual Private Network).
[0005]
VPN is a method of communicating by constructing a virtual communication path (tunnel) that can be recognized only by a specific user on a global network such as the Internet or a public line network. This method of constructing a VPN is called tunneling. If necessary, encryption processing is applied in addition to tunneling.
As a communication system using this type of conventional VPN, for example, there is one described in Patent Document 2. The contents are as follows. When a VPN is set between a LAN (Local Area Network) connected to the IP communication network, the VPN setting is automatically held even when the LAN moves the connection position to the IP communication network. When a VPN tunnel is set in the IP communication network, and then any of the LANs to which the VPN tunnel is set moves from the LAN accommodating device connected to the IP communication network, the mobile IP is transferred between the LAN accommodating devices. A tunnel is set up, and this mobile IP tunnel and the original VPN tunnel are connected to form a new VPN. As a result, the VPN setting between LANs is automatically maintained even after movement.
[0006]
[Patent Document 1]
Japanese Patent Application No. 2002-346271
[Patent Document 2]
JP 2002-77273 A
[0007]
[Problems to be solved by the invention]
However, in the conventional communication system, since the user's demand for the secret communication using the encryption represented by the VPN is increasing, the encrypted communication can no longer be ignored as outside the application of the mobile firewall. It is coming.
Therefore, it is necessary to provide a service that can use packet filtering of the mobile firewall while using encrypted communication by VPN. In fact, as described above, if encrypted communication is used for a mobile communication terminal, Since the mobile firewall cannot see the port number and packet contents, there is a problem that packet filtering using such information becomes impossible.
[0008]
In the mobile firewall disclosed in Patent Document 1, various mobile communication terminals are connected in a mobile communication service as an assumed environment. However, mobile communication in which no security function can be installed at all. Terminals are also considered to exist. Such a mobile communication terminal has a problem that the VPN service cannot be used by itself.
[0009]
Furthermore, even if a mobile communication terminal has a high performance and a VPN function, the user cannot always effectively use the function. In a mobile firewall service providing environment, users at various levels use network connection services, and thus users with low security knowledge levels may not be able to set and use security functions. Even high-level users may find it cumbersome to set up and use. That is, there is a problem that the burden on the user is large and the convenience is poor.
[0010]
Further, in Patent Document 2, VPN settings are automatically maintained even when the connection position to the IP communication network is moved. However, since packet filtering cannot be executed at the same time, there is a problem with the mobile communication terminal. There is a problem of passing a packet that affects.
The present invention has been made in view of such a problem, and by making it possible to simultaneously use encrypted communication by VPN and packet filtering by a mobile firewall, it is possible to perform secret communication while eliminating packets that cause problems. It is another object of the present invention to provide a VPN communication system and a VPN tunnel forming method that can reduce the burden on the user and improve convenience when using the VPN function in a mobile communication terminal.
[0011]
[Means for Solving the Problems]
In order to achieve the above object, a VPN communication system according to claim 1 of the present invention forms a VPN tunnel for transmitting packets using encryption processing in a communication network, and performs mobile communication via this VPN tunnel. In a VPN communication system in which a terminal and a communication destination terminal communicate with each other, a database in which communication destination terminal information necessary for the communication destination terminal to perform communication via the VPN tunnel is registered, and the communication destination Communicate from the database when receiving a packet when the mobile communication terminal is connected to a communication network, and a gateway device that enables communication by matching the communication format when the terminal communicates through the VPN tunnel The destination terminal information is acquired, and when receiving the packet to the communication destination terminal, the destination of the received packet information and the acquired communication destination terminal information is When the match is characterized by comprising a mobile firewall apparatus for forming a VPN tunnel between the gateway device.
[0012]
According to this configuration, since the mobile firewall apparatus operates as a VPN tunnel termination apparatus, the mobile communication terminal and the communication destination terminal are used by using packet filtering of the mobile firewall apparatus while using encrypted communication by VPN. Can communicate with each other.
The VPN communication system according to claim 2 of the present invention is the VPN communication system according to claim 1, wherein when the mobile communication terminal performs a handover, the mobile firewall apparatus to which the handover is performed receives a packet from the mobile communication terminal after the handover. At the time of reception, the communication destination terminal information is acquired from the database, the internal state information of the device is acquired from the mobile firewall device before the handover, and the received packet information is received at the time of reception of the packet to the communication destination terminal. When the destination matches the acquired communication destination terminal information, a VPN tunnel is formed with the gateway device based on the acquired internal state information.
[0013]
According to this configuration, when the mobile communication terminal is handed over, the mobile firewall apparatus also moves following the mobile communication terminal, and the mobile firewall apparatus at the destination moves to the mobile firewall apparatus information before the handover. Since the VPN tunnel is formed between the gateway device and the gateway device, the VPN tunnel can be automatically replaced.
[0014]
The VPN communication system according to claim 3 of the present invention further comprises a proxy device for forming a VPN tunnel with the gateway device according to claim 1, wherein the mobile firewall device includes the received packet information and the When the destination matches with the acquired communication destination terminal information, an encrypted tunnel is formed between the mobile firewall device and the proxy device according to an arbitrary communication protocol specialized for mobile communication. VPN connection information is transferred to the proxy device, and the proxy device forms a VPN tunnel with the gateway device when the VPN connection information is transferred.
[0015]
According to this configuration, the proxy device operates as a termination device of the VPN tunnel, and an encrypted tunnel is formed between the proxy device and the mobile firewall device. Therefore, the mobile firewall is used while using encrypted communication by VPN. The mobile communication terminal and the communication destination terminal can communicate with each other using the packet filtering of the apparatus.
[0016]
The VPN communication system according to claim 4 of the present invention is the VPN communication system according to claim 3, wherein when the mobile communication terminal performs a handover, the mobile firewall device to which the handover is performed sends a packet from the mobile communication terminal after the handover. At the time of reception, the communication terminal information is acquired from the database, the internal state information of the device is acquired from the mobile firewall device before the handover, and the proxy device is connected based on the acquired internal state information. It is characterized by forming an encrypted tunnel.
[0017]
According to this configuration, when the mobile communication terminal is handed over, the mobile firewall apparatus also moves following the mobile communication terminal, and the mobile firewall apparatus at the destination moves to the mobile firewall apparatus information before the handover. Is used to form an encrypted tunnel with the proxy device. Since this encrypted tunnel is formed by an arbitrary communication protocol specialized for mobile communication, the overhead at the time of handover can be reduced by using a protocol that considers handover.
[0018]
According to a fifth aspect of the present invention, there is provided a VPN tunnel forming method for forming a VPN tunnel for transmitting a communication packet between a mobile communication terminal and a communication destination terminal using encryption in a communication network. In the method, a first step of registering communication destination terminal information necessary for the communication destination terminal to perform communication via the VPN tunnel in a database on a communication network, and the mobile communication terminal communicate with the database. A mobile firewall device on a communication network for performing a second step of acquiring communication destination terminal information from the database when receiving a packet when the mobile communication terminal is connected to the communication network; and the mobile firewall device However, when receiving the packet to the communication destination terminal, the information of the received packet and the communication destination terminal acquired in the second step When the destination of the information matches, is characterized in that it comprises a third step of forming a VPN tunnel between the gateway device.
[0019]
According to this method, since the mobile firewall device operates as a terminating device of the VPN tunnel, the mobile communication terminal and the destination terminal are used by using packet filtering of the mobile firewall device while using encrypted communication by VPN. Can communicate with each other.
The VPN tunnel forming method according to claim 6 of the present invention is the VPN tunnel forming method according to claim 5, wherein when the mobile communication terminal performs handover, the handover-target mobile firewall apparatus receives the handover from the mobile communication terminal after handover. A fourth step of acquiring communication destination terminal information from the database and receiving internal state information of the device from the mobile firewall device before handover when receiving a packet, and the mobile firewall device of the handover destination When receiving the packet to the destination terminal, if the destination of the received packet information matches the destination terminal information acquired in the fourth step, the internal state information acquired in the fourth step is Based on the fifth step, a VPN tunnel is formed with the gateway device. It is characterized by further comprising and.
[0020]
According to this method, when the mobile communication terminal is handed over, the mobile firewall apparatus also moves following the mobile communication terminal, and the mobile firewall apparatus at the destination moves to the mobile firewall apparatus information before the handover. Since the VPN tunnel is formed between the gateway device and the gateway device, the VPN tunnel can be automatically replaced.
[0021]
According to claim 7 of the present invention, when the VPN tunnel forming method according to claim 5 is provided with a proxy device for forming a VPN tunnel with the gateway device, the mobile firewall device may In the step, when the destination of the received packet information and the acquired communication destination terminal information match, encryption between the mobile firewall device and the proxy device according to any communication protocol specialized for mobile communication A sixth step of forming a virtual tunnel and transferring VPN connection information to the proxy device after the formation, and the proxy device, when the VPN connection information is transferred, between the gateway device and the VPN device And a seventh step of forming.
[0022]
According to this method, since the proxy device operates as a termination device of the VPN tunnel and an encrypted tunnel is formed between the proxy device and the mobile firewall device, the mobile firewall can be used while using encrypted communication by VPN. The mobile communication terminal and the communication destination terminal can communicate with each other using the packet filtering of the apparatus.
[0023]
The VPN tunnel forming method according to claim 8 of the present invention is the VPN tunnel forming method according to claim 7, wherein when the mobile communication terminal performs a handover, the handover destination mobile firewall apparatus receives the handover from the mobile communication terminal after the handover. Upon receiving a packet, the eighth step of acquiring communication destination terminal information from the database and acquiring the internal state information of the device from the mobile firewall device before handover, and the mobile firewall device of the handover destination, And a ninth step of forming an encrypted tunnel with the proxy device based on the internal state information acquired in the eighth step.
[0024]
According to this method, when the mobile communication terminal is handed over, the mobile firewall apparatus also moves following the mobile communication terminal, and the mobile firewall apparatus at the destination moves to the mobile firewall apparatus information before the handover. Is used to form an encrypted tunnel with the proxy device. Since this encrypted tunnel is formed by an arbitrary communication protocol specialized for mobile communication, the overhead at the time of handover can be reduced by using a protocol that considers handover.
[0025]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(First embodiment)
FIG. 1 is a diagram showing a configuration of a VPN communication system according to the first embodiment of the present invention.
A VPN communication system 10 shown in FIG. 1 includes a remote network 14 having a CN (Correspondent Node) 12 such as a personal computer, a VPN gateway device 16 and a plurality (first and second in this case) of mobile firewall devices 18-1, A mobile communication network 20 having 18-2, and a mobile communication terminal MN (Mobile Node) 22 that communicates with each of the mobile firewall devices 18-1 and 18-2 via a wireless line. .
[0026]
However, although a system based on Mobile IPv6 is used here for the sake of explanation, it can also be realized using other transport technologies and protocols. In addition, when the following conditions (a) and (b) are satisfied, it can be realized by a method substantially similar to the method described here.
(A) The mobile firewall device can detect the movement of the mobile communication terminal.
[0027]
(B) The access router can recognize the substantial destination / source address of the packet passing through and can notify the mobile firewall device of this.
Next, the VPN communication system 10 is characterized in that a VPN gateway device 16 is arranged at the connection boundary between the remote network 14 and the mobile communication network 20, and the VPN gateway device 16 and each of the mobile firewall devices 18-1 and 18-2. VPN tunnels 24-1 and 24-2 are stretched between the mobile firewall devices 18-1 and 18-2 so as to operate as termination devices of the VPN tunnels 24-1 and 24-2. . That is, the mobile firewall devices 18-1 and 18-2 are used as VPN proxy devices.
[0028]
The MN 22 and the CN 12 communicate with each other via the VPN tunnel 24-1 or 24-2. For example, when the MN 22 communicating with the CN 12 via the VPN tunnel 24-1 between the first mobile firewall device 18-1 and the VPN gateway device 16 performs a handover as indicated by an arrow Y1, The mobile firewall device will also move to the second mobile firewall device 18-2.
[0029]
In this case, the VPN tunnel 24-2 is replaced between the VPN gateway device 16 and the second mobile firewall device 18-2, and the MN 22 and the CN 12 communicate with each other via the VPN tunnel 24-2. ing.
Further, since the VPN tunnels 24-1 and 24-2 are established using IPsec, L2TP, L2E, PPPTP, etc., which are existing methods generally used in fixed networks, special functions are provided for the VPN gateway device 16. There is no need to install. The VPN gateway device 16 may be mounted on the CN 12.
[0030]
The mobile firewall devices 18-1 and 18-2 are arranged in the access router. Further, the wireless lines between the mobile firewall devices 18-1, 18-2 and the MN 22 depend on the security of the lower layer than the layer related to the VPN tunnel, and are connected to the same wireless interface. This terminal is not a so-called shared link that physically shares a link but does not supply data. Accordingly, it is impossible to eavesdrop on communication between the mobile communication terminal and the mobile firewall device from another terminal or node.
[0031]
By the way, as an assumed environment of the mobile firewall service, the MN 22 is not equipped with a special security function. For this reason, even if the user of the MN 22 tries to connect to the remote network 14, the user himself / herself cannot make a VPN connection using a command, a client, or the like.
Therefore, when the user transmits a packet addressed to the remote network 14 or CN 12 that desires a VPN connection, it is necessary to automatically establish a VPN connection on the mobile communication network 20 side. That is, it is necessary to grasp in advance the communication partner (CN 12) that performs VPN connection on the network 20 side.
[0032]
Therefore, the user of the MN 22 registers VPN connection partner information such as the address of the VPN gateway device 16, VPN account, and VPN password in advance in the security policy database (hereinafter referred to as SP / DB) as security policy information of the mobile firewall. Keep it. However, the SP / DB is usually provided on the mobile communication network 20.
[0033]
Examples of the security policy registration method in such a mobile firewall assumption environment include the following (1) to (3).
(1) Ask the operator to register security policy information by telephone contact (for low-level users).
(2) Security policy information is set using a security policy setting Web page (for intermediate level users).
(3) Direct editing by operating SP / DB (for high-level users).
In addition, since the mobile firewall device is assumed to provide a collective setting function of the owned mobile communication terminal (MN) and a setting proxy function of the mobile communication terminal owned by another person, it is necessary to register a VPN connection partner. However, it is not always necessary to use the mobile communication terminal itself that performs VPN connection.
[0034]
Next, in the VPN communication system 10, a process when a VPN tunnel is formed and communication is performed between the MN 22 and the CN 12 will be described with reference to a sequence diagram shown in FIG.
First, in step S1, when the MN 22 newly connects to the mobile communication network 20 and transmits the first packet and the subsequent packet, the newly connected first mobile firewall device 18-1 holds these packets. To do. The reason for holding this packet is that the first mobile firewall device 18-1 does not have the user security policy information of the MN 22. In addition, here, to simplify the description, it is assumed that the packet is a BU (Binding Up data) addressed to the HA (Home Agent) existing on the mobile communication network 20.
[0035]
Next, in step S2, the first mobile firewall device 18-1 transmits a security policy request for requesting and receiving the security policy information of the user to the SP / DB.
As a response, the SP / DB returns security policy information to the first mobile firewall device 18-1 in step S3. This security policy information includes information such as VPN connection. When the first mobile firewall device 18-1 receives the security policy information, it forwards the previously held packet in step S4. Since the forwarded packet is a BU addressed to the HA according to the above-mentioned assumed environment, the HA returns a BA (Binding Acknowledgment) to the MN 22 as a response in step S5. This completes the location registration of the MN 22.
[0036]
Subsequently, in step S6, the MN 22 transmits a packet addressed to the communication partner CN 12 that desires VPN connection. When the first mobile firewall device 18-1 receives the packet, it compares it with the security policy information. As a result, if it is determined that the VPN connection is necessary, a VPN connection process is performed as shown in step S7 to establish the VPN tunnel 24-1 with the VPN gateway device 16.
[0037]
At the time of this establishment, the VPN gateway device 16 pays out an address used when the MN 22 performs communication using the previous VPN tunnel 24-1, but since the MN 22 does not have a VPN client function, it can handle the address. Can not. For this reason, in step S8, the first mobile firewall device 18-1 communicates with the CN 12 using the address, performs address conversion by NAT (Network Address Translation), and transfers the packet to the MN 22. In this way, as shown in step S9, communication can be performed between the MN 22 and the CN 12 via the VPN tunnel 24-1.
[0038]
Next, processing when the MN 22 performs handover will be described.
First, in step S11, when the MN 22 transmits the first packet after the handover, the second mobile firewall device 18-2 that is the handover destination holds the packet. Here, in order to simplify the description, it is assumed that the packet is a BU addressed to the HA.
[0039]
In step S12, the second mobile firewall device 18-2 transmits a security policy request for requesting the security policy information of the user to the SP / DB. As a response, the SP / DB returns security policy information to the second mobile firewall apparatus 18-2 in step S13.
[0040]
At the same time, in step S14, the SP / DB transmits an internal state forward request for requesting transfer of the firewall internal state to the first mobile firewall device 18-1 to which the MN 22 has previously connected. . Upon receiving the internal state forward request, the first mobile firewall device 18-1 transfers the internal state information to the second mobile firewall device 18-2 and disconnects the VPN tunnel 24-1 in step S15. To do.
[0041]
Receiving the internal state information and the previous security policy information, the second mobile firewall device 18-2 forwards the previously held packet in step S16. Since the forwarded packet is a BU addressed to the HA according to the assumed environment described above, the HA transmits the BA to the MN 22 as a response in step S17. Thereby, the location registration of the MN 22 is completed.
[0042]
Subsequently, in step S18, the MN 22 transmits a packet addressed to the communication partner CN 12 that desires VPN connection. When the second mobile firewall device 18-2 receives the packet, it compares it with the security policy information. When it is determined that VPN connection is necessary, VPN connection processing is performed as shown in step S19 to establish a VPN tunnel 24-2 with the VPN gateway device 16.
[0043]
At the time of this establishment, the VPN gateway device 16 pays out an address used when the MN 22 performs communication using the previous VPN tunnel 24-1. At this time, the IP address is paid by a DHCP (Dynamic Host Configuration Protocol) function. When issuing, a setting or a function for preferentially assigning the same address as before the handover is required.
[0044]
In step S20, the second mobile firewall device 18-2 communicates with the CN 12 using the assigned address, performs address conversion by NAT (Network Address Translation), and transfers the packet to the MN 22. In this way, as shown in step S21, communication can be performed between the MN 22 and the CN 12 via the VPN tunnel 24-2.
[0045]
As described above, according to the VPN communication system 10 of the first embodiment, since the mobile firewall device 18-1 operates as a termination device of the VPN tunnel 24-1, the mobile firewall device 18-1 operates while using encrypted communication by VPN. The MN 22 and the CN 12 can communicate using the packet filtering of the firewall device 18-1.
[0046]
Accordingly, it is possible to perform secret communication while eliminating a packet that causes a problem, and it is possible to reduce the burden on the user and improve convenience when using the VPN function in the mobile communication terminal.
Further, when the MN 22 is handed over, the mobile firewall device also moves following the MN 22, and the destination mobile firewall device 18-2 uses the information of the mobile firewall device 18-1 before the handover to use the VPN. Since the VPN tunnel 24-2 is formed with the gateway device 16, the VPN tunnel can be automatically replaced.
[0047]
(Second Embodiment)
FIG. 3 is a diagram showing a configuration of a VPN communication system according to the second embodiment of the present invention. However, in the second embodiment shown in FIG. 3, parts corresponding to those in the first embodiment shown in FIG.
The VPN communication system 30 shown in FIG. 3 is different from the VPN communication system 10 shown in FIG. 1 in that the mobile communication network 20 further includes a VPN proxy device 32, and between the VPN proxy device 32 and the VPN gateway device 16. The VPN tunnel 24 is extended and terminated, and between the VPN proxy device 32 and each of the mobile firewall devices 18-1 and 18-2, encrypted tunnels 34-1 and 34- by a method specialized for mobile communication are provided. The reason is that 2 is set. That is, the VPN proxy device 32 relays two types of tunnels.
[0048]
The MN 22 and the CN 12 communicate with each other via the encryption tunnel 34-1 or 34-2 in addition to the VPN tunnel 24. For example, the MN 22 communicating with the CN 12 via the VPN tunnel 24 and the encryption tunnel 34-1 between the first mobile firewall device 18-1 and the VPN gateway device 16 performs handover as indicated by an arrow Y3. When the mobile firewall device is performed, the mobile firewall device also moves to the second mobile firewall device 18-2.
[0049]
In this case, the encrypted tunnel 34-2 is replaced between the VPN proxy device 32 and the second mobile firewall device 18-2, and the MN 22 and the CN 12 communicate with each other via the encrypted tunnel 34-2. It has become.
Next, in the VPN communication system 30, a process when a VPN tunnel and an encrypted tunnel are formed and communication is performed between the MN 22 and the CN 12 will be described with reference to a sequence diagram shown in FIG.
[0050]
First, in step S31, when the MN 22 newly connects to the mobile communication network 20 and transmits the first packet, the newly connected first mobile firewall device 18-1 holds the packet. The reason for holding this packet is that the first mobile firewall device 18-1 does not have the user security policy information of the MN 22. In addition, here, to simplify the description, it is assumed that the packet is a BU (Binding Up data) addressed to the HA (Home Agent) existing on the mobile communication network 20.
[0051]
Next, in step S32, the first mobile firewall device 18-1 transmits a security policy request for requesting and receiving the security policy information of the user to the SP / DB.
As a response, the SP / DB returns security policy information to the first mobile firewall device 18-1 in step S33. This security policy information includes information such as VPN connection. When the first mobile firewall device 18-1 receives the security policy information, it forwards the previously held packet in step S34. Since the forwarded packet is a BU addressed to the HA according to the assumed environment described in the first embodiment, the HA returns a BA (Binding Acknowledgment) as a response to the MN 22 in step S35. This completes the location registration of the MN 22.
[0052]
Subsequently, in step S36, the MN 22 transmits a packet addressed to the communication partner CN 12 that desires VPN connection. When the first mobile firewall device 18-1 receives the packet, it compares it with the security policy information. When it is determined that the VPN connection is necessary, the first mobile firewall device 18-1 connects the first mobile firewall device 18-1 and the VPN proxy device 32 as shown in step S37. Processing is performed to establish an encrypted tunnel 34-1 with the VPN proxy device 32, and VPN connection information is passed to the VPN proxy device 32.
[0053]
Upon receiving this VPN connection information, the VPN proxy device 32 performs VPN connection processing and establishes the VPN tunnel 24 with the VPN gateway device 16 in step S38.
At the time of establishment, the VPN gateway device 16 pays out an address used when the MN 22 performs communication using the previous VPN tunnel 24. However, since the MN 22 does not have a VPN client function, the address cannot be handled. For this reason, in steps S39 and S40, the VPN proxy device 32 responsible for the termination of the VPN tunnel 24 impersonates the MN 22 and communicates with the CN 12 using the address. The VPN gateway device 16 once decrypts the packet received from the VPN proxy device 32, extracts the data portion (payload) of the packet, and transfers it again to the first mobile firewall device 18-1 through the encryption tunnel 34-1. The first mobile firewall device 18-1 decrypts the packet, extracts the data portion, converts the address by NAT (Network Address Translation), and transfers the packet to the MN 22.
[0054]
At this time, the first mobile firewall device 18-1 performs the encryption / decryption of the packet performed by the VPN proxy device 32. The VPN proxy device 32 uses a method in which packets already encrypted by the first mobile firewall device 18-1 and the VPN gateway device 16 are transferred as they are through the encryption tunnel 34-1 and the VPN tunnel 24, respectively. . As a result, the number of encryption / decryption operations can be reduced. However, in this case, the information used by the VPN proxy device 32 to construct the VPN tunnel 24 needs to be notified in advance to the first mobile firewall device 18-1. The first mobile firewall device 18-1 performs encryption / decryption using the information.
[0055]
Next, processing when the MN 22 performs handover will be described.
First, in step S41, when the MN 22 transmits the first packet after the handover, the second mobile firewall device 18-2 that is the handover destination holds the packet. Here, in order to simplify the description, it is assumed that the packet is a BU addressed to the HA.
[0056]
In step S42, the second mobile firewall device 18-2 transmits a security policy request for requesting the security policy information of the user to the SP / DB. In response, the SP / DB returns security policy information to the second mobile firewall device 18-2 in step S43.
[0057]
At the same time, in step S44, the SP / DB transmits an internal state forward request for requesting transfer of the firewall internal state to the first mobile firewall device 18-1 to which the MN 22 has previously connected. .
When receiving the internal state forward request, the first mobile firewall device 18-1 transfers the internal state information to the second mobile firewall device 18-2 in step S45, and in step S46, the VPN tunnel 24-1. Disconnect.
[0058]
In step S47, the second mobile firewall device 18-2 that has received the internal state information performs a connection process between the second mobile firewall device 18-2 and the VPN proxy device 32, and the VPN proxy device 32 The encrypted tunnel 34-2 is established between the VPN proxy device 32 and the VPN connection information.
[0059]
Thereafter, the second mobile firewall device 18-2 forwards the previously held packet in step S48. Since the forwarded packet is a BU addressed to the HA according to the assumed environment described in the first embodiment, the HA transmits the BA to the MN 22 as a response in step S49. Thereby, the location registration of the MN 22 is completed.
[0060]
Note that the VPN proxy device 32 needs to perform address conversion to the address after the handover of the MN 22 by the NAT function. The VPN proxy device 32 only performs address translation, and packet encryption and decryption are performed between the second mobile firewall device 18-2 and the VPN gateway device 16. In this way, as shown in step S50, it becomes possible to perform communication between the MN 22 and the CN 12 via the VPN tunnel 24 and the encrypted tunnel 34-2.
[0061]
As described above, according to the VPN communication system 30 of the second embodiment, the VPN proxy device 32 operates as a termination device of the VPN tunnel 24, and between the VPN proxy device 32 and the mobile firewall device 18-1. Thus, the MN 22 and the CN 12 can communicate using the packet filtering of the mobile firewall device 18-1 while using the encrypted communication by VPN.
[0062]
Accordingly, it is possible to perform secret communication while eliminating a packet that causes a problem, and it is possible to reduce the burden on the user and improve convenience when using the VPN function in the mobile communication terminal.
Further, when the MN 22 is handed over, the mobile firewall device also moves following the mobile communication terminal, and the mobile firewall device 18-2 at the destination moves the information of the mobile firewall device 18-1 before the handover. By using this, an encrypted tunnel 34-2 is formed with the VPN proxy device 32. Since this encrypted tunnel 34-2 is formed by an arbitrary communication protocol specialized for mobile communication, the overhead at the time of handover can be reduced by using a protocol considering handover.
[0063]
In the first embodiment, between the mobile firewall device 18-1 or 18-2 and the VPN gateway device 16, in the second embodiment, the mobile firewall device 18-1 or 18-2. An encrypted tunnel is set up between the VPN proxy device 32 and between the VPN proxy device 32 and the VPN gateway device 16. However, it is possible to secure safety from eavesdropping and tampering by other methods. For example, a tunnel that is not encrypted may be set up.
[0064]
【The invention's effect】
As described above, the present invention registers the communication destination terminal information necessary for the communication destination terminal to communicate via the VPN tunnel in the database on the communication network, and the mobile communication terminal communicates. When the mobile firewall device on the communication network receives a packet when the mobile communication terminal is connected to the communication network, it acquires communication destination terminal information from the database, and further receives the packet to the communication destination terminal. Sometimes, when the destination of the received packet information matches the destination terminal information acquired earlier, a VPN tunnel is formed with the gateway device.
[0065]
As a result, the mobile firewall device operates as a VPN tunnel termination device, so that the mobile communication terminal and the communication destination terminal communicate with each other using packet filtering of the mobile firewall device while using encrypted communication by VPN. It can be performed.
Accordingly, since encrypted communication by VPN and packet filtering by mobile firewall can be used at the same time, it is possible to perform secret communication while eliminating packets that cause problems, and mobile communication terminals. There is an effect that it is possible to reduce the burden on the user when using the VPN function and to improve convenience.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a VPN communication system according to a first embodiment of the present invention.
FIG. 2 is a sequence diagram for explaining processing when a VPN tunnel is formed and communication is performed between the MN and the CN in the VPN communication system according to the first embodiment.
FIG. 3 is a diagram showing a configuration of a VPN communication system according to a second embodiment of the present invention.
FIG. 4 is a sequence diagram for explaining processing when communication is performed between a MN and a CN by forming a VPN tunnel and an encrypted tunnel in the VPN communication system according to the second embodiment.
[Explanation of symbols]
10,30 VPN communication system
12 CN (Correspondent Node)
14 Remote network
16 VPN gateway device
18-1 First mobile firewall device
18-2 Second mobile firewall device
20 Mobile communication network
22 MN (Mobile Node) which is a mobile communication terminal
24, 24-1, 24-2 VPN tunnel
32 VPN proxy device
34-1 and 34-2 encrypted tunnel

Claims (8)

通信網に、暗号化処理を用いてパケットを伝送するためのVPNトンネルを形成し、このVPNトンネルを介して移動通信端末機と通信先端末機とが通信を行うVPN通信システムにおいて、
前記通信先端末機が前記VPNトンネルを介して通信を行うために必要な通信先端末機情報を登録したデータベースと、
前記通信先端末機が前記VPNトンネルを介して通信を行う際に通信形式の整合をとって通信可能とするゲートウェイ装置と、
前記移動通信端末機が通信網に接続した際のパケットの受信時に前記データベースから通信先端末機情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、前記ゲートウェイ装置との間にVPNトンネルを形成するモバイルファイアウォール装置と
を備えたことを特徴とするVPN通信システム。In a VPN communication system in which a VPN tunnel for transmitting packets is formed in a communication network using encryption processing, and a mobile communication terminal and a communication destination terminal communicate with each other through this VPN tunnel.
A database in which communication destination terminal information necessary for the communication destination terminal to communicate via the VPN tunnel is registered;
A gateway device that enables communication by matching the communication format when the destination terminal communicates via the VPN tunnel;
When receiving a packet when the mobile communication terminal is connected to a communication network, acquire information on the communication destination terminal from the database. When receiving a packet to the communication destination terminal, information on the received packet and the acquired communication A VPN communication system comprising: a mobile firewall device that forms a VPN tunnel with the gateway device when the destination matches the destination terminal information. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、前記取得した内部状態情報をもとに前記ゲートウェイ装置との間にVPNトンネルを形成する
ことを特徴とする請求項1に記載のVPN通信システム。When the mobile communication terminal performs a handover, the mobile firewall device of the handover destination obtains the communication destination terminal information from the database upon reception of a packet from the mobile communication terminal after the handover, and before the handover. The internal state information of the device is acquired from the mobile firewall device, and when receiving the packet to the communication destination terminal, when the destination of the received packet information and the acquired communication destination terminal information match, The VPN communication system according to claim 1, wherein a VPN tunnel is formed with the gateway device based on the acquired internal state information. 前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を更に備え、
前記モバイルファイアウォール装置は、前記受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡し、
前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成する
ことを特徴とする請求項1に記載のVPN通信システム。A proxy device that forms a VPN tunnel with the gateway device;
The mobile firewall device, when the destination of the received packet information and the acquired destination terminal information match, between the mobile firewall device and the proxy device, any mobile communication specialized Form an encrypted tunnel according to the communication protocol, and after this formation, transfer VPN connection information to the proxy device,
The VPN communication system according to claim 1, wherein the proxy device forms a VPN tunnel with the gateway device when the VPN connection information is transferred. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、この取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成する
ことを特徴とする請求項3に記載のVPN通信システム。When the mobile communication terminal performs a handover, the mobile firewall device of the handover destination obtains the communication destination terminal information from the database upon reception of a packet from the mobile communication terminal after the handover, and before the handover. 4. The VPN according to claim 3, wherein the internal state information of the device is acquired from the mobile firewall device, and an encrypted tunnel is formed with the proxy device based on the acquired internal state information. Communications system. 通信網に、暗号化を用いて移動通信端末機と通信先端末機間の通信パケットを伝送するためのVPNトンネルを形成するVPNトンネル形成方法において、
通信網上のデータベースに、前記通信先端末機が前記VPNトンネルを介して通信を行うために必要な通信先端末機情報を登録する第1のステップと、
前記移動通信端末機が通信を行う通信網上のモバイルファイアウォール装置は、前記移動通信端末機が通信網に接続した際のパケットの受信時に、前記データベースから通信先端末機情報を取得する第2のステップと、
当該モバイルファイアウォール装置が、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記第2のステップにおいて取得した通信先端末機情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成する第3のステップと
を含むことを特徴とするVPNトンネル形成方法。In a VPN tunnel forming method for forming a VPN tunnel for transmitting a communication packet between a mobile communication terminal and a communication destination terminal using encryption in a communication network,
A first step of registering communication destination terminal information necessary for the communication destination terminal to communicate via the VPN tunnel in a database on a communication network;
A mobile firewall device on a communication network with which the mobile communication terminal communicates obtains second communication terminal information from the database when receiving a packet when the mobile communication terminal is connected to the communication network. Steps,
When the mobile firewall device receives a packet to the communication destination terminal, and the destination of the received packet information matches the communication destination terminal information acquired in the second step, And a third step of forming a VPN tunnel. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第4のステップと、
当該ハンドオーバ先のモバイルファイアウォール装置は、通信先端末機へのパケットの受信時に、この受信パケットの情報と前記第4のステップで取得した通信先端末機情報との宛先が一致した際に、前記第4のステップで取得した内部状態情報をもとに前記ゲートウェイ装置との間にVPNトンネルを形成する第5のステップと
を更に含むことを特徴とする請求項5に記載のVPNトンネル形成方法。When the mobile communication terminal performs a handover, the mobile firewall device of the handover destination obtains the communication destination terminal information from the database upon reception of a packet from the mobile communication terminal after the handover, and before the handover. A fourth step of acquiring internal state information of the device from the mobile firewall device of
The mobile firewall device of the handover destination, when receiving the packet to the communication destination terminal, when the destination of the information of the received packet matches the destination terminal information acquired in the fourth step, The VPN tunnel forming method according to claim 5, further comprising a fifth step of forming a VPN tunnel with the gateway device based on the internal state information acquired in step 4. 前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を備えた際に、前記モバイルファイアウォール装置は、前記第5のステップにおいて前記受信パケットの情報と前記取得した通信先端末機情報との宛先が一致した際に、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡する第6のステップと、
前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成する第7のステップと
を更に含むことを特徴とする請求項5に記載のVPNトンネル形成方法。When the mobile firewall device includes a proxy device that forms a VPN tunnel with the gateway device, the destination of the received packet information and the acquired communication destination terminal information in the fifth step is When they match, an encrypted tunnel is formed between the mobile firewall device and the proxy device according to an arbitrary communication protocol specialized for mobile communication, and VPN connection information is transferred to the proxy device after the formation. 6 steps,
6. The VPN tunnel formation according to claim 5, wherein the proxy device further includes a seventh step of forming a VPN tunnel with the gateway device when the VPN connection information is transferred. Method. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから通信先端末機情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第8のステップと、
当該ハンドオーバ先のモバイルファイアウォール装置は、前記第8のステップで取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成する第9のステップと
を更に含むことを特徴とする請求項7に記載のVPNトンネル形成方法。When the mobile communication terminal performs a handover, the mobile firewall device of the handover destination obtains the communication destination terminal information from the database upon reception of a packet from the mobile communication terminal after the handover, and before the handover. An eighth step of acquiring internal state information of the device from the mobile firewall device of
The handover destination mobile firewall device further includes a ninth step of forming an encrypted tunnel with the proxy device based on the internal state information acquired in the eighth step. The VPN tunnel formation method according to claim 7.
JP2003208890A 2003-08-26 2003-08-26 VPN communication system and VPN tunnel forming method Expired - Fee Related JP4180458B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003208890A JP4180458B2 (en) 2003-08-26 2003-08-26 VPN communication system and VPN tunnel forming method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003208890A JP4180458B2 (en) 2003-08-26 2003-08-26 VPN communication system and VPN tunnel forming method

Publications (2)

Publication Number Publication Date
JP2005072668A true JP2005072668A (en) 2005-03-17
JP4180458B2 JP4180458B2 (en) 2008-11-12

Family

ID=34402002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003208890A Expired - Fee Related JP4180458B2 (en) 2003-08-26 2003-08-26 VPN communication system and VPN tunnel forming method

Country Status (1)

Country Link
JP (1) JP4180458B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010524320A (en) * 2007-04-04 2010-07-15 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Large-scale mobile network address translation
JP2011229150A (en) * 2010-04-22 2011-11-10 Palo Alto Research Center Inc Session migration over content-centric networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010524320A (en) * 2007-04-04 2010-07-15 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Large-scale mobile network address translation
JP2011229150A (en) * 2010-04-22 2011-11-10 Palo Alto Research Center Inc Session migration over content-centric networks

Also Published As

Publication number Publication date
JP4180458B2 (en) 2008-11-12

Similar Documents

Publication Publication Date Title
EP1784942B1 (en) A method for dynamically and securely establishing a tunnel
US7213263B2 (en) System and method for secure network mobility
JP4675909B2 (en) Multihoming and service network selection using IP access network
JP4377814B2 (en) Method and apparatus for achieving seamless handoff between IP connections
US6970459B1 (en) Mobile virtual network system and method
EP2398263B1 (en) Secure and seamless WAN-LAN roaming
US7515573B2 (en) Method, system and apparatus for creating an active client list to support layer 3 roaming in wireless local area networks (WLANS)
TWI262683B (en) A method, a wireless server, a mobile device, and a system for handing over, from a wireless server to another wireless server, in a connection between a mobile device in a foreign intranet network, and an intranet network
US20020161905A1 (en) IP security and mobile networking
EP1575238A1 (en) IP mobility in mobile telecommunications system
US20060245393A1 (en) Method, system and apparatus for layer 3 roaming in wireless local area networks (WLANs)
US20060268834A1 (en) Method, system and wireless router apparatus supporting multiple subnets for layer 3 roaming in wireless local area networks (WLANs)
JP2004180155A (en) Communication control apparatus, firewall device, communication control system and data communication method
JP2004153392A (en) Communication system
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP4180458B2 (en) VPN communication system and VPN tunnel forming method
KR100737140B1 (en) The processing apparatus and method for providing internet protocol virtual private network service on mobile communication
KR20030050550A (en) Simple IP virtual private network service in PDSN system
JP2005006147A (en) Network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071218

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080827

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110905

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120905

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130905

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees