JP2006050487A - Initial information setting method, initial information setting device, communication device, and initial information setting program - Google Patents
Initial information setting method, initial information setting device, communication device, and initial information setting program Download PDFInfo
- Publication number
- JP2006050487A JP2006050487A JP2004232216A JP2004232216A JP2006050487A JP 2006050487 A JP2006050487 A JP 2006050487A JP 2004232216 A JP2004232216 A JP 2004232216A JP 2004232216 A JP2004232216 A JP 2004232216A JP 2006050487 A JP2006050487 A JP 2006050487A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- initial
- setting information
- mobile
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、通信を始めるにあたり初期情報の設定を必要とする通信装置の、この初期情報の設定方法、設定装置および設定プログラムに関し、特にISAKMPによる鍵交換方法を用いる通信装置に関する。 The present invention relates to a setting method, a setting device, and a setting program for initial information of a communication device that requires setting of initial information before starting communication, and more particularly to a communication device using a key exchange method by ISAKMP.
Mobile IPと呼ばれるプロトコルを用いることにより、移動端末(Mobile Node:MN)がインターネット内を自由に移動しても、他の通信端末(Correspondent Node:CN)との通信を継続することができる。しかしながら、Mobile IPプロトコルを用いるためには、移動端末(MN)には通信のための初期情報として例えば以下の設定情報が必要となる。 By using a protocol called Mobile IP, communication with other communication terminals (Correspondent Node: CN) can be continued even if the mobile terminal (Mobile Node: MN) freely moves in the Internet. However, in order to use the Mobile IP protocol, the mobile terminal (MN) needs, for example, the following setting information as initial information for communication.
・移動端末(MN)のホームアドレス
・ホームエージェントのアドレス
・ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵
移動端末を使用するような一般的な利用者にとって、これらの情報を設定するのは難しく、また設定を誤る場合も多い。
・ Home address of mobile terminal (MN) ・ Address of home agent ・ Authenticator (SPI) with home agent, authentication method, and information for general users who use authentication key mobile terminals Is difficult to set and is often misconfigured.
Mobile IPについては、IETF(Internet Engineering Task Force)が発行するRFC(Request For Comment)の、RFC3344(IP Mobility Support for IPv4)やRFC3775(Mobility Support in IPv6)に詳しい。 About Mobile IP, it is detailed in RFC3344 (IP Mobility Support for IPv4) and RFC3775 (Mobility Support in IPv6) of RFC (Request For Comment) issued by IETF (Internet Engineering Task Force).
またMobile IPを実用化する上で重要な技術としてVPN(Virtual Private Network)がある。VPNとは通信上のセキュリティを確立するための技術であり一般的に使用されるようになっている。これを実現するためのプロトコルの一つとしてISAKMP(Internet Security Association Key Management Protocol、非特許文献1参照)が規定されている。これはセキュリティ確保のために必要な鍵情報を、セキュアに通信相手(対向機器という)の端末と交換するプロトコルである。現在のところISAKMPで利用できる鍵交換プロトコルはISAKMP/IKEやISAKMP/Oakleyが知られている。
Mobile IPプロトコルを利用するためには、利用者にとって分かり難い各種の詳細な情報を設定する必要がある。 In order to use the Mobile IP protocol, it is necessary to set various details that are difficult for the user to understand.
またISAKAMPを用いた鍵交換手法では、通信端末間のセキュアな暗号化通信を実現するための鍵情報を交換する技術であるため、Mobile IPプロトコルと併せて利用されることが多いにも関わらず、Mobile IPプロトコルを使用する際に必要な設定情報の取得に利用することはできなかった。 The key exchange method using ISAKAMP is a technology for exchanging key information to realize secure encrypted communication between communication terminals, so it is often used in conjunction with the Mobile IP protocol. , It could not be used to obtain the setting information required when using the Mobile IP protocol.
本発明はISAKMPなどの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用できるようにし、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することを目的とする。 An object of the present invention is to make it possible to use a key exchange method such as ISAKMP also for distributing setting information of Mobile IP protocol, and to automate complicated setting work required by a user when using Mobile IP.
本発明の初期情報設定方法によれば、
Mobile IP通信を行う通信装置における、Mobile IP通信用の初期設定情報を設定する方法であって、前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法
が提供される。
According to the initial information setting method of the present invention,
A method of setting initial setting information for Mobile IP communication in a communication device that performs Mobile IP communication, and is to be distributed to the communication device in a communication management device that manages information related to Mobile IP communication of the communication device Storing the initial setting information and storing the communication management device using the key exchange procedure when exchanging an encryption key for encrypting communication with another communication device based on a predetermined key exchange procedure; Initial setting information corresponding to a communication apparatus is distributed, and the communication apparatus performs setting for Mobile IP communication based on the distributed initial setting information.
また本発明の初期情報設定装置によれば、
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する装置であって、他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段を備えることを特徴とする初期情報設定装置
が提供される。
According to the initial information setting device of the present invention,
A device that sets initial setting information for Mobile IP communication for a communication device that performs Mobile IP communication, using a key exchange procedure for exchanging an encryption key that encrypts communication with other communication devices, Initial setting information acquisition means for acquiring the initial setting information to be set in the communication device, and an initial setting for setting information for the communication device to perform Mobile IP communication based on the acquired initial setting information in the communication device There is provided an initial information setting device comprising a setting means.
加えて上記初期情報設定装置の機能を備えた通信装置、および当該通信装置を計算機を用いて実現する初期情報設定プログラムが提供される。 In addition, a communication device having the function of the initial information setting device and an initial information setting program for realizing the communication device using a computer are provided.
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。 With this configuration, it is possible to automate the complicated setting work required by the user when using Mobile IP.
本発明はISAKMPの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用することで、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。 In the present invention, the ISAKMP key exchange method is also used for distributing the setting information of the Mobile IP protocol, so that the complicated setting work required by the user when using Mobile IP can be automated.
図1は、ISAKMPを適用する際の、一般的なモジュール構成を説明したものである。 FIG. 1 illustrates a general module configuration when ISAKMP is applied.
図1には、Socket Layer101、ISAKMP102、Key Exchange Definition103、DOI Definition104、Security Protocol105およびApplication106が示されている。
FIG. 1 shows
Socket Layer101はこれらのアプリケーションプログラムが稼動するOS(Operating System)が備えている通信モジュールである。このOS上で稼動するアプリケーションはSocket Layer101が提供するSocketを介してデータをやり取りし他の通信端末との通信を行う。
The
ISAKMP102は、IETFが発行するRFC2408に準拠した暗号化通信のための鍵交換を行う機能を備えている。暗号化通信に先立って、自装置から暗号化通信を開始する場合にはネゴシエーションパケットを作成しSocket Layer101を介して対向機器に対して送信する。逆に対向機器からネゴシエーションパケットを受けたときはIKEやOakleyのような暗号化通信用鍵交換プロトコルに従って鍵交換する機能を備える。どのような鍵交換プロトコルに従うかは、Key Exchange Definition103で示すモジュールに依存する。
The ISAKMP 102 has a function of exchanging keys for encrypted communication in accordance with RFC2408 issued by the IETF. Prior to the encrypted communication, when the encrypted communication is started from the own apparatus, a negotiation packet is created and transmitted to the opposite device via the
Key Exchange Definition103は、ISAKMP102を介して所定のプロトコルによる対向機器との間の鍵交換を行う機能を備える。所定のプロトコルとは前述したIKE、Oakleyなどを指す。ここで交換した情報はDOI Definition104へ送られる。
The Key Exchange
DOI Definition104は、Key Exchange Definition103が受けたネゴシエーションパケットを所定の暗号化通信用に翻訳する機能を備える。通常は実装する暗号化通信ごとに用意される。翻訳した結果得られた暗号アルゴリズム、暗号鍵等の情報はISAKMP102を介してSecurity Protocol105の制御に使用される。
The
Security Protocol105は、Socket Layer101の下位層に位置するIP層に組み込まれたモジュールであり、ISAKMP102からの暗号化通信用暗号鍵等の情報を受けて、対向機器との間の暗号化通信を実現する。Application106などの汎用アプリケーションが対向機器と通信する際に、Socket Layer101を介して受け取ったデータを暗号化し、また対向機器から暗号化されたパケットを受信した場合には復号化をして最終的に汎用アプリケーションに受け渡す。
The
Application106は、自装置上で稼動する汎用アプリケーションである。Security Protocol105が対向機器との暗号化通信を自動的に暗号化/復号化を行うので、汎用アプリケーションであるApplication106は対向機器との間の通信が暗号化されているか否かについて配慮する必要がない。
上記したように、対向機器からSocket Layer101を介してネゴシエーションパケットを受けたISAKMP102はKey Exchange Definition103が定義する鍵交換手法に従って対向機器との鍵交換を実行する。ネゴシエーションパケットはDOI Definition104により暗号化通信用に翻訳され、翻訳の結果得られた暗号鍵に基づいてSecurity Protocol105を制御することにより自装置と対向機器との通信を暗号化する。
As described above, the ISAKMP 102 that has received the negotiation packet from the opposite device via the
また、RFC2408に規定されているISAKMPによる暗号化通信用鍵交換は、ネゴシエーションパケットによる鍵の交換方法およびどのような暗号化通信を実装するかについては規定していない。つまり交換方法や暗号化を司る、Key Exchange Definition103、DOI Definition104およびSecurity Protocol105を適切に実装することで種々の暗号化通信に適用可能となっている。
In addition, the key exchange for encrypted communication by ISAKMP defined in RFC2408 does not stipulate a key exchange method using a negotiation packet and what kind of encrypted communication is to be implemented. That is, by appropriately implementing the
図2は、図1に示したISAKMPに規定されているモジュール構成の具体例について説明したものである。図1のKey Exchange Definition103、DOI Definition104およびSecurity Protocol105が、それぞれIKE201、IPSec DOI202およびIPSec203となっている。図2に示す具体例では、IETF発行のRFC2409に規定されているIKE(Internet Key Exchange)を用いて鍵交換をする。そして鍵交換後の暗号化通信には、同じくIETF発行のRFC2407に規定されているIPSec DOIに基づいて翻訳された結果得られた暗号鍵等による暗号化処理が、IPSec203により施される。
FIG. 2 explains a specific example of the module configuration defined in ISAKMP shown in FIG.
図3にISAKMP/IKEによる鍵交換フローの一例を示す。図中、Initiator301はネゴシエーションパケットを送信する側であり、Responder302は受信する側である。移動端末(MN)がインターネットからVPNを使用して企業内のネットワークに接続する場合、移動端末(MN)はInitiator301、Responder302は企業網に接続されたVPNゲートウェイの組み合わせが考えられる。この例の場合、移動端末は企業網内に設置されたVPNゲートウェイとの間で暗号化通信を行うことになるため、不特定人が利用できるインターネットを利用したとしてもセキュアに通信することができる。
FIG. 3 shows an example of a key exchange flow by ISAKMP / IKE. In the figure, an
ネゴシエーションパケットの授受等、鍵交換のプロセスは前述のRFC2409に詳しい説明がされているため、ここでは細説しない。 The key exchange process, such as the exchange of negotiation packets, is described in detail in RFC 2409, and will not be detailed here.
図4は、ISAKMP/IKEを利用してIPSec用の鍵交換を行うための、RFC2407に規定されたネゴシエーションパケットの一例を示したものである。それぞれSA、Proposal#、Transform#と呼ばれるフォーマットを備えている。SA中にDomain of Interpretation(DOI)と呼ばれるフィールドが規定されており、ISAKMP102は受け取ったネゴシエーションパケットをDOI Definition104として実装されているモジュールの中から、この値に割り当てられたDOI Definitionモジュールに受け渡す。図4の例ではDOI=1であるから、IPSec用のDOIであるIPSec DOI202に渡される。現在のところ、IETFが発行するRFCではDOI=1(IPSec DOI)が規定されているのみである。
FIG. 4 shows an example of a negotiation packet defined in RFC2407 for exchanging IPSec keys using ISAKMP / IKE. Each has formats called SA, Proposal #, and Transform #. A field called Domain of Interpretation (DOI) is defined in SA, and ISAKMP 102 passes the received negotiation packet from the modules implemented as
図5は、Mobile IPを自装置に実装する際の従来のモジュール構成を示したものである。 FIG. 5 shows a conventional module configuration when Mobile IP is mounted on its own device.
従来、Mobile IPを実装するときはMobile IPプロトコルに基づくホームエージェントを介した通信をするために必要な設定情報を管理し、またホームエージェントと通信し認証などの情報をやり取りするMIP Controller501が必要である。またMIP Controller501のような制御モジュールから指示を受けて、OSが備えるIP層においてMobile IPを実現するMobile IP502のようなMobile IPドライバが必要である。しかしながらMobile IPを規定する前述のRFC3344、RFC3775ではMobile IP通信に必要なホームアドレスなどの情報を自動設定する手法には言及がなく、例えばMIP Controller501にGUIや設定ファイルなどのインターフェースを持たせるなどして利用者が設定する必要がある。この場合、ホームアドレス、ホームエージェントのアドレスあるいは認証子、認証の方法、認証鍵といった、利用者には雑多な分かりにくい情報の入力を強いることになる。 Conventionally, when implementing Mobile IP, MIP Controller 501 that manages setting information necessary for communication via a home agent based on the Mobile IP protocol and exchanges information such as authentication by communicating with the home agent is required. is there. In addition, a Mobile IP driver such as Mobile IP 502 that receives Mobile IP in the IP layer provided in the OS upon receiving an instruction from a control module such as MIP Controller 501 is required. However, RFC3344 and RFC3775, which define Mobile IP, do not mention a method for automatically setting information such as a home address necessary for Mobile IP communication. For example, MIP Controller 501 has an interface such as a GUI or a configuration file. The user needs to set it. In this case, the user is forced to input miscellaneous and difficult-to-understand information such as the home address, home agent address or authenticator, authentication method, and authentication key.
この場合であっても、一旦Mobile IP通信に必要な情報が設定されればMobile IP502がホームエージェントへの転送等の操作を自動的に行うため、Application106は通信相手との通信がMobile IP通信であるか否かは配慮する必要がない。
Even in this case, once the information necessary for Mobile IP communication is set,
(第1の実施形態)
図6は、本発明の第1の実施形態にかかる初期情報設定用のモジュール構成の一例を示したものである。図6は、図2に示すISAKMP/IKEの一例であるモジュール構成と、図5に示す従来のMobile IPのモジュール構成、および新たにMobile IP DOI601が追加されている。本実施形態における初期情報設定モジュール構成は、図2、図5に示したそれぞれのモジュールの機能と同様であるため、主にそれらと相違する構成、動作について説明する。
(First embodiment)
FIG. 6 shows an example of a module configuration for initial information setting according to the first embodiment of the present invention. In FIG. 6, a module configuration as an example of ISAKMP / IKE shown in FIG. 2, a conventional Mobile IP module configuration shown in FIG. 5, and a new
Mobile IP DOI601は、IPSec DOI202と同様にDOI Definitionの規定に従って構成されるモジュールである。しかしながらIPSec DOI202がRFC2407に規定されたIPSec DOIに従って構成されているのに対し、Mobile IP DOI601は対向機器との間のネゴシエーションパケットをMobile IP用に翻訳する機能を備えている。具体的にはネゴシエーションパケットを翻訳し、Mobile IP通信の設定に必要な情報である移動端末(MN)のホームアドレス、ホームエージェントのアドレス、ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵といった情報を抽出、またはこれらの情報を含めたネゴシエーションパケットを作成する。上記の設定情報はあくまで一例であり、Mobile IP通信を設定するのに際して必要となる様々な情報を含めるようにしても良い。
The
Mobile IP DOI601の実装については、現在のところIETFによるRFCは発行されていないため、明確な実装方法は存在しない。
Regarding the implementation of
ISAKMP102は、受け取ったネゴシエーションパケットを、暗号化通信用のネゴシエーションパケットの翻訳に使用されるIPSec DOI202に受け渡すか、Mobile IP用のMobile IP DOI601に受け渡すかは、図4で既述したDomain of Interpretation(DOI)の値に従って判断する。
The
MIP Controller501は、既述したように従来ではGUIや設定ファイルなどのインターフェースを持たせる必要があったが、本実施形態においてはMobile IP DOI601が抽出した各種の設定情報を受け取ることで、これらの値の設定を自動化する。このように構成することにより、利用者自身によるMobile IP関連の情報設定をする必要がなく、よってMobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
As described above, the
図中、IPSec DOI202およびIPSec203が破線で表現されているが、これは本実施形態においては必須のモジュールではないが併せて実装される場合が多いために記載したものである。本実施形態ではIPSecを用いている例を示しているが、これ以外の暗号化通信を適用する場合には当該モジュールの部分が置き換わる可能性がある。また、本実施形態ではIKE以外の鍵交換手法を用いることも可能であり、その場合にはIKE201も適宜入替えて実施することが可能である。
In the figure,
図7は、本実施形態における初期情報設定装置のブロック図の一例である。図7には、初期情報設定装置701、ネゴシエーションパケット処理部702、Mobile IP用初期化データネゴシエーション部703、Mobile IP翻訳部704およびMobile IP管理部705が示されている。
FIG. 7 is an example of a block diagram of the initial information setting device in the present embodiment. FIG. 7 shows an initial
初期情報設定装置701は、Mobile IP通信をする移動端末(MN)あるいはVPNゲートウェイといったその対向機器に実装するものであり、Mobile IP通信に必要な情報を自動的に取得あるいは提供し、Mobile IP通信に必要な各種設定を自動化する機能を備える。もちろん初期情報設定装置701として別に構成することなく、この機能を備えた移動端末やその対向機器とすることも可能である。
The initial
ネゴシエーションパケット処理部702は、Socket Layer101から得たネゴシエーションパケットを受け取り、あるいはネゴシエーションパケットを生成する機能を有する。
The negotiation
Mobile IP用初期化データネゴシエーション部703は、ISAKMP102に相当する機能を備える。RFC2408に規定された動作に従い、ネゴシエーションパケットの受信、受信したネゴシエーションパケットのDOIフィールド値に基づいたDOI Definitionモジュールへの受け渡し等を行う。
The Mobile IP initialization
Mobile IP翻訳部704は、Mobile IP DOI601に相当する。Mobile IP用初期化データネゴシエーション部703と連携し、受け取ったMobile IP用ネゴシエーションパケットを翻訳して設定情報を抽出する機能を有する。あるいは自装置がVPNゲートウェイといった移動端末の対向機器である場合には、Mobile IP通信に必要な移動端末で設定すべき情報を含む情報を取得して、これを含むネゴシエーションパケットの作成を指示する。移動端末に設定すべき情報は、ネゴシエーションパケットを受け取った時点でどの移動端末からのものであるかが分かるため、その移動端末に予め割り当てるべき各種設定情報を(図示しない)データベース等から検索して取得することが可能である。移動端末に割り当てるべき情報の取得方法については上記方法に限られず、ネゴシエーションパケットを送信した移動端末のそれぞれがMobile IP通信時において識別可能に設定されるものであればいずれの方法で求めても構わない。
The Mobile
Mobile IP管理部705はMIP Controller501に相当し、Mobile IP通信に必要な設定情報を管理し、またMobile IP502と連携してRFC3344またはRFC3775に規定されたMobile IPプロトコルに基づく通信を実現する機能を有する。具体的にはMobile IP用初期化データネゴシエーション部703を介して得た各種設定情報に基づき、自装置におけるMobile IP通信に必要な設定を行う。あるいは対向するホームエージェント等とSocket Layer101を介して直接通信し、認証等の必要な処理を行う場合もある。
The Mobile
図8に、本実施形態における初期情報設定装置が取り扱うMobile IP用ネゴシエーションパケットの一例を示す。基本的には図4で示したISAKMP/IKEのネゴシエーションパケットと同様であるが、図8ではSA内のDOIフィールド値を1以外の値としている。またこれに伴いProposal#、Transform#の扱いについてもMobile IP用に適宜解釈を変えて用いることが可能である。このようにMobile IP用に解釈を変えることにより、Mobile IP通信に必要な各種設定情報を含めることが可能となり、よって従来の鍵交換手法を用いるのと同様にこれらの値の受け渡しを可能としている。この図8に示すネゴシエーションパケットは、DOI=2であることからISAKMP102に相当するMobile IP用初期化データネゴシエーション部703によりMobile IP DOI601に相当するMobile IP翻訳部704に渡され、Mobile IP用のネゴシエーションパケットとして解釈され翻訳される。
FIG. 8 shows an example of a Mobile IP negotiation packet handled by the initial information setting apparatus according to this embodiment. Basically, it is the same as the ISAKMP / IKE negotiation packet shown in FIG. 4, but in FIG. 8, the DOI field value in the SA is set to a value other than 1. As a result, Proposal # and Transform # can also be used with different interpretations for Mobile IP. By changing the interpretation for Mobile IP in this way, it becomes possible to include various setting information necessary for Mobile IP communication, and thus it is possible to pass these values in the same way as using the conventional key exchange method. . Since the negotiation packet shown in FIG. 8 is DOI = 2, it is transferred to the Mobile
また本実施形態ではMobile IP用という意味でDOI=2を採用しているが、Mobile IP用のこの値については現在のところ標準的な値が定まっていないため、割り当てのされていない値を適宜使用するようにしても良い。 In this embodiment, DOI = 2 is adopted in the meaning of Mobile IP. However, since the standard value for Mobile IP has not been determined at present, an unassigned value is appropriately set. It may be used.
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。 By configuring in this way, it is possible to automate complicated setting work required by the user when using Mobile IP.
また上記設定手法に基づくISAKMPに関連するモジュールや初期情報設定装置の動作を計算機で実行するためのプログラムとして構成することが可能であり、この場合であっても本実施形態と同様の効果を得ることができる。 In addition, it is possible to configure the module related to ISAKMP based on the above setting method and the operation of the initial information setting device as a program for executing on a computer. Even in this case, the same effect as in this embodiment can be obtained. be able to.
(第2の実施形態)
図9に本実施形態における初期情報設定方法のシステム構成図の一例を示す。
(Second Embodiment)
FIG. 9 shows an example of a system configuration diagram of the initial information setting method in the present embodiment.
図9にはMobile IP通信を行う移動端末に相当するClient901、暗号化通信のための認証および暗号化通信のための暗号鍵を配布するKerberos Authentication Server902、
およびMobile IP通信時の対向機器となるApplication Server903が示されている。
FIG. 9 shows a
In addition,
Client901とKerberos Authentication Server902との間は、Kerberos認証が用いられる。ここでいうKerberos認証は、マサチューセッツ工科大(MIT)のAthenaプロジェクトで開発されたネットワーク上での利用を前提としたユーザ認証方法である。本実施形態は鍵交換のための認証および暗号化通信用の暗号鍵をKerberos認証に置き換えたものである。
Kerberos authentication is used between the
Client901は、まずKerberos Authentication Server902に対しKerberos認証を要求する。要求が認められた場合には、Kerberos Athentication Server902から、Client901のMobile IP通信に必要な設定情報が提供される。ここでいう設定情報とは、Mobile IP用の認証アルゴリズムや認証鍵、Client901に付与すべきホームアドレスやホームエージェントのアドレスといったMobile IP通信を始める際に必要な初期化データである。
The
あるいは、Kerberos認証を用いる場合、鍵配布サーバを分離して配置することができるためApplication Server903に暗号鍵を要求し、鍵の提供を受けるときにApplication Server903からMobile IP通信に必要な設定情報を受け取るようにすることもできる。
Alternatively, when Kerberos authentication is used, since the key distribution server can be arranged separately, an encryption key is requested from
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。 By configuring in this way, it is possible to automate complicated setting work required by the user when using Mobile IP.
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
101:Socket Layer
102:ISAKMPモジュール
103;Key Exchange Definitionモジュール
104:DOI Definitionモジュール
105:Security Protocolモジュール
106:Application
201:IKEモジュール
202:IPSec DOIモジュール
203:IPSecドライバ
501:MIP Controllerモジュール
502:Mobile IPドライバ
601:Mobile IP DOIモジュール
701:初期情報設定装置
702:ネゴシエーションパケット処理部
703:Mobile IP用初期化データネゴシエーション部
704:Mobile IP翻訳部
705:Mobile IP管理部
901:Client
902:Kerberos Authentication Server
903:Application Server
101: Socket Layer
102:
201: IKE module 202: IPSec DOI module 203: IPSec driver 501: MIP Controller module 502: Mobile IP driver 601: Mobile IP DOI module 701: Initial information setting device 702: Negotiation packet processing unit 703: Initialization negotiation for Mobile IP Unit 704: Mobile IP translation unit 705: Mobile IP management unit 901: Client
902: Kerberos Authentication Server
903: Application Server
Claims (20)
前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、
他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、
前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法。 A method for setting initial setting information for Mobile IP communication in a communication device that performs Mobile IP communication,
In the communication management device that manages information related to Mobile IP communication of the communication device, the initial setting information to be distributed to the communication device is stored,
Initial setting information corresponding to the communication device stored in the communication management device using the key exchange procedure when an encryption key for encrypting communication with another communication device is exchanged based on a predetermined key exchange procedure Distribute
An initial information setting method, wherein the communication device performs settings for Mobile IP communication based on distributed initial setting information.
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段と
を備えることを特徴とする初期情報設定装置。 A device that sets initial setting information for Mobile IP communication to a communication device that performs Mobile IP communication.
Initial setting information acquisition means for acquiring the initial setting information to be set in the communication device using a key exchange procedure for exchanging an encryption key for encrypting communication with another communication device;
An initial information setting device comprising: initial setting means for setting information for the communication device to perform Mobile IP communication in the communication device based on the acquired initial setting information.
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、Mobile IP通信を行うために設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて前記通信装置を設定する初期設定手段と
を備えることを特徴とする通信装置。 A communication device for performing Mobile IP communication,
Initial setting information acquisition means for acquiring the initial setting information to be set for performing Mobile IP communication using a key exchange procedure for exchanging an encryption key for encrypting communication with another communication device;
An initial setting means for setting the communication device based on the acquired initial setting information.
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得するステップと、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定するステップと
を有することを特徴とする初期情報設定プログラム。 This is a computer-executable program that sets initial setting information for Mobile IP communication for communication devices that perform Mobile IP communication.
Using the key exchange procedure for exchanging an encryption key for encrypting communication with another communication device, obtaining the initial setting information to be set in the communication device;
An initial information setting program, comprising: a step of setting information for the communication device to perform Mobile IP communication in the communication device based on the acquired initial setting information.
The initial information setting program according to claim 16, wherein initial setting information is acquired based on a procedure defined in Kerberos as the key exchange procedure.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004232216A JP2006050487A (en) | 2004-08-09 | 2004-08-09 | Initial information setting method, initial information setting device, communication device, and initial information setting program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004232216A JP2006050487A (en) | 2004-08-09 | 2004-08-09 | Initial information setting method, initial information setting device, communication device, and initial information setting program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006050487A true JP2006050487A (en) | 2006-02-16 |
Family
ID=36028485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004232216A Pending JP2006050487A (en) | 2004-08-09 | 2004-08-09 | Initial information setting method, initial information setting device, communication device, and initial information setting program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006050487A (en) |
-
2004
- 2004-08-09 JP JP2004232216A patent/JP2006050487A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8504822B2 (en) | Transparent proxy of encrypted sessions | |
JP6844908B2 (en) | Computer-based systems and computer-based methods for establishing secure sessions and exchanging encrypted data | |
US11283774B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
JP4959750B2 (en) | Dynamic connection to multiple origin servers with transcoding proxy | |
EP1730651B1 (en) | Establishing a virtual private network for a road warrior | |
US20070271606A1 (en) | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN | |
CA2427699A1 (en) | A system and method of exploiting the security of a secure communication channel to secure a non-secure communication channel | |
CN106789476B (en) | Gateway communication method and system | |
WO2017031691A1 (en) | Service processing method and apparatus | |
CN106169952B (en) | A kind of authentication method that internet Key Management Protocol is negotiated again and device | |
CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
JP2020533853A (en) | Methods and equipment for managing digital certificates | |
KR100948604B1 (en) | Security method of mobile internet protocol based server | |
JP2005295038A (en) | Providing apparatus, providing method, communication apparatus, communication method, and program | |
CN112187832A (en) | Data transmission method and electronic equipment | |
EP3462666B1 (en) | Service processing method and device | |
CN105471896B (en) | Proxy Method, apparatus and system based on SSL | |
CN109474667B (en) | Unmanned aerial vehicle communication method based on TCP and UDP | |
CN101998405B (en) | WLAN access authentication based method for accessing services | |
JP2002344443A (en) | Communication system and security association disconnection/continuing method | |
US20030177348A1 (en) | Secure internet communication with small embedded devices | |
KR20060062356A (en) | Apparatus and method for processing of ssl proxy on ggsn | |
JP2008199497A (en) | Gateway device and authentication processing method | |
JP2006050487A (en) | Initial information setting method, initial information setting device, communication device, and initial information setting program | |
CN109997342B (en) | Method for providing service in network device, corresponding device and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081014 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081215 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090414 |