JP2006121209A - ゲートウェイ装置 - Google Patents
ゲートウェイ装置 Download PDFInfo
- Publication number
- JP2006121209A JP2006121209A JP2004304558A JP2004304558A JP2006121209A JP 2006121209 A JP2006121209 A JP 2006121209A JP 2004304558 A JP2004304558 A JP 2004304558A JP 2004304558 A JP2004304558 A JP 2004304558A JP 2006121209 A JP2006121209 A JP 2006121209A
- Authority
- JP
- Japan
- Prior art keywords
- mobile terminal
- address
- communication
- gateway device
- location information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 185
- 238000001914 filtration Methods 0.000 claims abstract description 105
- 238000000034 method Methods 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 11
- 230000008859 change Effects 0.000 description 10
- 238000011084 recovery Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 移動可能な端末間でのP2P通信に対するパケットフィルタリングを可能とするパケットフィルタリング制御機能を持つゲートウェイ装置を提供する
【解決手段】 内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置において、モバイルIPにおけるホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段と、移動端末間での通信の許可もしくは拒否を定めた設定情報を保持する手段と、前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段とを備える。
【選択図】 図1
【解決手段】 内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置において、モバイルIPにおけるホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段と、移動端末間での通信の許可もしくは拒否を定めた設定情報を保持する手段と、前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段とを備える。
【選択図】 図1
Description
本発明は、内部ネットワークと外部ネットワークとの境界に設けられ、パケットフィルタリングを行うゲートウェイ装置に関するものであり、特に、移動端末間のPeer-to-Peer(以下P2Pと略記する)通信に対するパケットフィルタリングルールをゲートウェイ装置に動的に設定する技術に関する。
近年、ホットスポットに代表される無線によるモバイル環境が整備されつつあるが、そのような環境下においては端末の物理的移動に伴う所属ネットワークの変更が頻繁に発生する。
このような環境下でも、端末間の通信をシームレスに継続させる技術としてモバイル IPv6(以下MIPv6と略記する)がある。MIPv6では、移動端末にホームアドレスが永続的に付与されるとともに、移動端末が移動する度に移動先のネットワークで気付アドレスが付与され、ホームエージェントがホームアドレスと気付アドレスとの対応を管理している。ホームエージェントを経由することにより、上記移動端末の通信相手端末は、移動端末の気付アドレスの変化を意識することなく、移動端末との通信をシームレスに継続できる。また、MIPv6では、リターンルータビリティ (Return Routability)手順によって、ホームエージェントを経由することなく、移動端末間でP2P通信を行うことが可能である。なお、MIPv6に関しては非特許文献1に詳細が規定されている。
さて、社内ネットワークのようにセキュリティを要するネットワーク(内部ネットワークと呼ぶ)では、内部ネットワークと、内部ネットワーク外のネットワーク(外部ネットワークと呼ぶ)との間にゲートウェイ装置(ファイアウォール装置ともいう)を備えることが一般的である。そして、従来のゲートウェイ装置では、どのような通信を許可するかを規定するフィルタリングルールを静的に設定する。
しかしながら、移動端末間でのP2P通信を考えた場合、移動端末のアドレスは移動端末のネットワーク間移動に伴い変化し、移動端末がどのネットワークに移動するかは予測不可能であることから、従来のように静的にしかフィルタリング条件を設定できないゲートウェイ装置では、移動端末間のP2P通信に係るパケットフィルタリングを行うことは不可能であった。すなわち、内部ネットワークと外部ネットワークとの間のP2P通信をセキュリティを損ねることなく許可するようなゲートウェイ装置は従来は存在しなかった。
Internet-Draft 「Mobility Support in IPv6 draft-ietf-mobileip-IPv6-24.txt」 IETF Mobile IP Working Group, June 30, 2003
Internet-Draft 「Mobility Support in IPv6 draft-ietf-mobileip-IPv6-24.txt」 IETF Mobile IP Working Group, June 30, 2003
本発明は上記の点に鑑みてなされたものであり、移動可能な端末間でのP2P通信に対するパケットフィルタリングを可能とするパケットフィルタリング制御機能を持つゲートウェイ装置を提供することを目的とする。
上記の課題は、内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置であって、モバイルIPにおけるホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段と、移動端末間での通信の許可もしくは拒否を定めた設定情報を保持する手段と、前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段とを有することを特徴とするゲートウェイ装置により解決される。
前記ゲートウェイ装置は、前記在圏位置情報格納手段により格納された在圏位置情報を、予め設定した他のゲートウェイ装置に送信する手段を更に有してもよい。
また、前記在圏位置情報は、移動端末のホームアドレスと気付アドレス及びホームエージェントのアドレスを含み、前記パケットフィルタリングルール設定手段は、前記在圏位置情報及び前記設定情報に基づき、内部ネットワークに在圏する一の移動端末に対し、当該一の移動端末に対する通信が許容される外部ネットワークに在圏する移動端末の気付アドレスを送信元アドレスとし、当該一の移動端末の気付アドレスを送信先アドレスとしたパケットフィルタリングルールを設定することができる。これにより、移動端末間のP2P通信に対するフィルタリングルールが設定できる。
また、前記パケットフィルタリングルール設定手段は、前記一の移動端末のホームエージェントが内部ネットワークに存在する場合には、前記外部ネットワークに在圏する移動端末の気付アドレスを送信元アドレスとし、前記一の移動端末のホームアドレスを送信先アドレスとしたルールを前記パケットフィルタリングルールに含め、前記一の移動端末のホームエージェントが外部ネットワークに存在する場合には、前記一の移動端末のホームエージェントのアドレスを送信元アドレスとし、前記一の移動端末の気付アドレスを送信先アドレスとしたルールを前記パケットフィルタリングルールに含めることができる。このようなルールを含めることにより、P2P通信が開始される前のホームエージェント経由の通信に対するパケットフィルタリングルールを設定することができる。
また、前記設定情報において、内部ネットワークに在圏する一の移動端末に対し、当該一の移動端末のホームエージェントを経由した、外部ネットワークに在圏する通信相手端末からの通信を許容する設定がなされ、かつ、当該通信相手端末と前記一の移動端末間のリターンルータビリティ処理後の直接通信を許容する設定がなされている場合において、前記パケットフィルタリングルール設定手段は、前記通信相手端末と前記一の移動端末間のリターンルータビリティ処理の際に送受信される制御パケットを取得し、当該制御パケットから前記通信相手端末の気付アドレスを取得して、当該通信相手端末の気付アドレスを送信元アドレスとし、前記一の移動端末の気付アドレスを送信先アドレスとしたルールをパケットフィルタリングルールに追加する。このような処理を行うことにより、リターンルータビリティ処理後のP2P通信に対するパケットフィルタリングルールを動的に設定することができる。
なお、前記ゲートウェイ装置における前記在圏位置情報格納手段は、前記在圏位置情報が、移動端末の新規出現により新たに受信されたものである場合は、当該在圏位置情報を前記記憶装置に追加し、前記在圏位置情報が、既に格納された情報に対して変更されたものであった場合は、既に格納された在圏位置情報を更新し、前記在圏位置情報が、移動端末がネットワークから離脱したことを示すものである場合は、既に格納された情報を削除する。このような処理を行うので、記憶装置には最新の在圏位置情報が格納されることになり、結果として移動端末の現在位置に対応したパケットフィルタリングルールを生成することが可能となる。
また、本発明は、内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置としての機能をコンピュータに実現させるプログラムであって、コンピュータを、モバイルIPのホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段、前記記憶装置に格納され、移動端末間での通信の許可もしくは拒否を定めた設定情報を参照する手段、前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段、として機能させるプログラムとしても実現できる。
本発明によれば、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、その在圏位置情報と、移動端末間の通信の許可もしくは拒否を設定した設定情報とからパケットフィルタリングルールを設定することとしたので、移動端末の在圏位置に応じたパケットフィルタリングルールを設定できる。よって、端末の移動通信が想定される環境下において、外部ネットワークに移動している移動端末と内部ネットワークに在圏している移動端末との間のP2P通信を、それ以外の内部ネットワークへの不正アクセスに対するセキュリティを損ねることなく、動的に許可することが可能となる。
以下、本発明の実施の形態を添付の図面を参照して説明する。
本発明に係るゲートウェイ装置が適用されるシステム構成の例を図1に示す。図1のシステムは、内部ネットワーク4と外部ネットワーク3とがゲートウェイ装置1を介して接続された構成を有している。内部ネットワーク4には、ルータ2、移動端末8、及びホームエージェント7が存在する。また、内部ネットワーク4中の符号5はホームリンクを示している。ネットワークを構成する各ノードはIPv6アドレスを使用して通信を実行する。
また、外部ネットワーク3には、ルータ11、移動端末8の通信相手である通信相手端末6が存在する。なお、図1では、外部ネットワーク3として、インターネットを含む例を示している。図1の構成では、内部ネットワーク4と外部ネットワーク3に各々1つの移動端末が示されているが、各々のネットワークに複数の移動端末が存在してもよい。なお、本明細書及び特許請求の範囲において、“移動端末”とは、移動可能な端末を意味する。すなわち、“移動端末”は、いわゆるモバイル端末と呼ばれる小型のコンピュータや携帯電話機のみならず、PCやサーバ等の一般的なコンピュータ、更には、IP通信を行うことが可能な装置全般を含むものである。また、本明細書及び特許請求の範囲において、“内部ネットワーク”と“外部ネットワーク”は相対的なものである。“内部ネットワーク”は、ゲートウェイ装置においてパケットフィルタリングの対象となる移動端末が在圏するネットワークをその移動端末から見たものであるが、当該“内部ネットワーク”は、当該“内部ネットワーク”外の他のネットワークに在圏する移動端末から見れば“外部ネットワーク”である。
(各装置の機能概要)
以下、各装置の機能概要について説明する。
以下、各装置の機能概要について説明する。
図1に示す移動端末8と通信相手端末6は、それぞれIPv6アドレスを用いてP2P通信を行う機能に加え、MIPv6プロトコルを使用したモバイル通信を行う機能を有している。
ホームエージェント7は、通信相手端末6のホームアドレスに対応するホームリンク5に接続されるホストであり、非特許文献1に記載される通常のホームエージェントの機能を含む。図1の例では、そのホームリンク5が内部ネットワーク4に存在しているが、外部ネットワーク3上に存在していてもよい。ホームエージェント7は、各端末からバインディングアップデートを受けて、各端末のホームアドレスと最新の気付アドレスとの対を、バインディングキャッシュとして保持している。
また、ホームエージェント7は、非特許文献1に記載される通常のホームエージェントの機能に加え、ゲートウェイ装置1に対しバインディングアップデートの情報を通知する機能を有する。より詳細には、ホームエージェント7は、バインディングアップデートの情報が、バインディングキャッシュの情報と異なる場合に、その変化種別(新規、更新、削除)とともにバインディングアップデートの情報を送信する。送信は変化の都度行ってもようし、定期的に行ってもよい。また、ホームエージェント7は、ライフタイム切れ等によりバインディングキャッシュが更新された場合にも、更新において変化した情報をゲートウェイ装置1に送信する。ただし、移動端末がホームリンク5に存在する場合に関しては、ホームエージェント7にはその移動端末に関するバインディングキャッシュが登録されないため、移動端末がホームリンクに存在することを通知するバインディングアップデートの受信を契機に、その移動端末がホームリンクに存在することを示す情報をゲートウェイ装置1に対し通知する。
バインディングアップデートには、移動端末が新規にネットワークに接続した場合、移動端末が他のネットワークへ移動した場合、移動端末がネットワークから離脱した場合の3つの種別がある。それぞれ場合において、ホームエージェント7はバインディングアップデートの情報をゲートウェイ装置1に通知するので、ゲートウェイ装置1は、ホームエージェント7が管理する通信端末の最新の気付アドレスを含む情報を取得することができる。
ゲートウェイ装置1は、外部ネットワーク3と内部ネットワーク4との境界に設けられ、外部ネットワーク3側から内部ネットワーク4側へ送信されるパケット、及び内部ネットワーク4側から外部ネットワーク3側へ送信されるパケットのフィルタリング制御を行う装置である。また、ホームエージェント7から移動端末の最新気付アドレスを含む情報を受信し、受信した最新気付アドレスに基づきフィルタリングルールを更新する機能を有している。
(ゲートウェイ装置1の機能)
ゲートウェイ装置1の機能構成例を図2に示す。
ゲートウェイ装置1の機能構成例を図2に示す。
ゲートウェイ装置1は、外部ネットワーク向けの通信ポート12、内部ネットワーク向けの通信ポート13、移動端末対応アドレス情報管理表14(以後管理表14と略記する)、制御部15、外部ネットワーク内アドレスリスト17、内部ネットワーク内アドレスリスト18、内部ネットワークプレフィックスリスト19、移動端末ポリシーリスト20を有している。
なお、ゲートウェイ装置1は、通信機能を有するコンピュータと、当該コンピュータにより実行されるプログラムにより実現されるものであり、上記の通信ポート及び制御部は、コンピュータのハードウェアとプログラムにより実現される。また、上記の各リストは、コンピュータの記憶装置に格納されるものである。
管理表14に登録される情報は、ホームエージェント7から受信したバインディングアップデートの情報、及び他のゲートウェイ装置から受信したバインディングキャッシュ情報であり、管理表14に登録される情報の項目は、
・移動端末のホームアドレス
・移動端末の気付アドレス
・移動端末の所属するホームエージェントアドレス
を含む。なお、移動端末のホームアドレスと気付アドレスの対を含む情報を在圏位置情報と呼ぶことにする。移動端末がホームリンクに存在する場合は、移動端末のホームアドレスのみでも在圏位置情報と呼ぶことにする。
・移動端末のホームアドレス
・移動端末の気付アドレス
・移動端末の所属するホームエージェントアドレス
を含む。なお、移動端末のホームアドレスと気付アドレスの対を含む情報を在圏位置情報と呼ぶことにする。移動端末がホームリンクに存在する場合は、移動端末のホームアドレスのみでも在圏位置情報と呼ぶことにする。
また、内部ネットワークプレフィックスリスト19は、ゲートウェイ装置1の内部ネットワークに相当するネットワークプレフィックスをリストにしたものである。
移動端末ポリシーリスト20は、ゲートウェイ装置のP2P通信パケットに対するフィルタリング処理のために用いる設定内容を保持しているものである。移動端末ポリシーリスト20により、内部ネットワークに在圏する移動端末が受け入れを許可するP2P通信を、移動端末毎に個々に設定することが可能である。
例えば、内部ネットワークに在圏する移動端末の気付アドレス宛ての全ての通信パケットを許可する設定とすることが可能である。また、通信を許可したいホストアドレス、ネットワークアドレス、ポート番号、プロトコル種別を任意に設定することも可能である。また外部ネットワークに在圏する任意の通信相手端末から、内部ネットワークに在圏する移動端末の特定のホームアドレスあての全てのP2P通信を許可することも可能であるし、通信移動端末がモバイル IPv6のモバイルノード機能を実装している場合には、内部ネットワークに在圏する移動端末の気付アドレスあてのP2P通信を許可する通信相手端末のホームアドレスを個別に設定することも可能である。
外部ネットワーク内アドレスリスト17は、管理表14において管理される移動端末のうち、外部ネットワークに在圏する移動端末のアドレスのリストであり、内部ネットワーク内アドレスリスト18は、管理表14において管理される移動端末のうち、内部ネットワークに在圏する移動端末のアドレスのリストである。なお、上記の各リストについては後により具体的に説明する。
制御部15は、移動端末対応アドレス情報取得部、移動端末在圏位置情報管理部、他ゲートウェイ装置への通信制御部、管理対象移動端末情報判定部、フィルタリング条件動的制御部、リカバリー処理部、リターンルータビリティパケット取得部を有している。
制御部15の移動端末対応アドレス情報取得部は、ホームエージェント7から送信される移動端末の在圏位置情報を含む情報をゲートウェイ装置1が受信するための制御を行う機能を有している。また、他のゲートウェイ装置から送信される、当該他のゲートウェイ装置の移動端末対応アドレス情報管理表における在圏位置情報の変化分の受信を行う機能も有している。
移動端末対応アドレス情報取得部が、ホームエージェントもしくは他のゲートウェイ装置から取得する情報は、例えば、
・移動端末のアドレス情報の変化種別(新規、更新、削除)
・移動端末のホームアドレス
・移動端末の最新の気付アドレス(移動端末がホームリンクに存在する場合は、移動端末のホームアドレスが値として入る)
を含む。
・移動端末のアドレス情報の変化種別(新規、更新、削除)
・移動端末のホームアドレス
・移動端末の最新の気付アドレス(移動端末がホームリンクに存在する場合は、移動端末のホームアドレスが値として入る)
を含む。
制御部15の移動端末在圏位置管理部は、移動端末対応アドレス情報取得部により取得された移動端末の在圏位置情報を、ゲートウェイ装置1自身が持つ管理表14に反映する機能を有している。
例えば、移動端末対応アドレス情報取得部により取得された在圏位置情報が、新たに出現した移動端末に関するもの(すなわち、新規に通知されたホームアドレスと気付アドレスの対)であった場合には、それを管理表14に新規に登録する。また、移動端末対応アドレス情報取得部により取得された在圏位置情報が、ネットワークを移動した移動端末に関するもの(すなわち、既に登録されているホームアドレスと、対になる変更された気付アドレス)である場合には、管理表14の該当する気付アドレスを更新し、ネットワークから離脱した移動端末に関するものであった場合には、管理表14の該当するホームアドレスと気付アドレスの対を削除する。
制御部15における他ゲートウェイ装置への通信制御部は、移動端末対応アドレス情報取得部がホームエージェントもしくは他ゲートウェイ装置から取得した在圏位置情報(管理表14に登録されている情報)を、他の予め定めたゲートウェイ装置へ転送する機能を有している。
制御部15のリターンルータビリティパケット制御部は、ゲートウェイ装置1を挟んで内部ネットワークに在圏する移動端末と、外部ネットワークに在圏するMIPv6を実装した通信相手端末との間で行われるリターンルータビリティ処理に際し送受信されるHoTI、CoTI、HoT、CoT、Binding Update、Binding Ack等のパケットをフックし、必要な情報を取得する機能を有している。リターンルータビリティパケット制御部は、ここで得られた情報に基づき、リターンルータビリティ処理後の移動端末と通信相手端末間のP2P通信に対するフィルタリングルールを動的に設定する。
制御部15のフィルタリング条件動的制御部は、移動端末在圏位置管理部が更新する管理表14の内容に基づき、内部ネットワークと外部ネットワーク間のP2P通信パケットに対するフィルタリングルールを動的に追加、更新、削除するものである。以下、制御部15のフィルタリング条件動的制御部の処理について詳細に説明する。
フィルタリング条件動的制御部は、随時更新される移動端末対応アドレス情報を用いて外部ネットワークに在圏する通信相手端末のアドレスリスト17と、そのあて先となる内部ネットワークに在圏する移動端末のアドレスリスト18を更新し、これらのリストと、移動端末ポリシーリスト20とに基づきフィルタリングルールを動的に追加、更新、削除する処理を行う。
上記の処理のうち、まず、外部ネットワーク内アドレスリスト17の内容更新について説明する。
管理表14への在圏位置情報の新規登録があった場合、ゲートウェイ装置1は、登録された新しい移動端末の気付アドレスを内部ネットワークプレフィックスリスト19と比較し、内部ネットワークプレフィックスリスト19のいずれにも一致しない外部ネットワークのものであれば、その移動端末の在圏位置情報を外部ネットワーク内アドレスリスト17に追加する。追加される情報の項目は、管理表14に登録されている項目(ホームアドレス、気付アドレス、ホームエージェントアドレスを含む項目)である。
ただし、制御部15の管理対象移動端末情報判定部が上記の追加を拒否した場合は追加は行われない。
ゲートウェイ装置1は、例えば、内部ネットワークに在圏する移動端末とのP2P通信を禁止する端末のネットワークプレフィックスをその記憶装置に保持している。そして、管理対象移動端末情報判定部は、管理表14における通信相手端末の気付アドレスのネットワークプレフィックスが上記ネットワークプレフィックスと一致するか否かを判定し、一致すれば、外部ネットワーク内アドレスリスト17への情報追加を拒否する。これにより、通信相手端末の移動先ネットワークに応じてP2P通信の受け入れ可否制御を行うことが可能となる。
管理表14において、外部ネットワークに在圏する通信相手端末の気付アドレスの変更があった場合には、ゲートウェイ装置1は、通信相手端末の変更後の新しい気付アドレスで、外部ネットワーク内アドレスリスト内の該当アドレスを更新する。これにより、移動元の旧気付アドレスから移動後の新しい気付アドレスへの変更がなされることになる。なお、新しい気付アドレスが、該移動端末がP2P通信を禁止するネットワークプレフィックスを持つ場合には上記の更新は行われない。
管理表14において、外部ネットワークに在圏する通信相手端末の在圏位置情報の削除があった場合には、ゲートウェイ装置1は、ネットワークから離脱した通信相手端末に対応する気付アドレスを、外部ネットワーク内アドレスリストから削除する。
次に、内部ネットワーク内アドレスリスト18の内容更新について説明する。管理表14への在圏位置情報の登録があった場合、ゲートウェイ装置1は、登録された新しい移動端末の気付アドレスが、内部ネットワークプレフィックスリスト19のいずれかに一致する内部ネットワークで配布されたものか否かを判定し、一致する場合、この移動端末に該当する在圏位置情報を内部ネットワーク内アドレスリスト18に追加する。追加される項目は、管理表14に登録のある項目である。また管理表14において、内部ネットワークに在圏する移動端末の在圏位置情報の更新、削除があった場合にも、それぞれ内部ネットワーク内アドレスリスト18への更新または削除が行われる。ただし、制御部15の管理対象移動端末情報判定部が追加を拒否した場合は上記の追加は行われない。
ゲートウェイ装置1は、例えば外部ネットワークとのP2P通信を一切禁止する移動端末のホームアドレスをその記憶装置に保持しており、制御部15の管理対象移動端末情報判定部は、管理表14における移動端末のホームアドレスが、P2P通信を禁止するホームアドレスであるか否かを判定し、P2P通信を禁止するホームアドレスである場合に内部ネットワーク内アドレスリスト18への追加を拒否する。
上記のP2P通信を禁止するための設定は、禁止したい移動端末のホームアドレスを設定してもよいし、許可したい移動端末のホームアドレスを設定して、それ以外の全てのホームアドレスを持つ移動端末を禁止することとしてもよい。これにより、外部ネットワークからの通信パケットを許可する、内部ネットワークに在圏する移動端末を個別に設定することができる。なお、フィルタリングルールの作成処理については「ゲートウェイ装置1におけるフィルタリングルール動的制御」のところで詳細に説明する。
次に、制御部15のリカバリー処理部により制御されるリカバリー処理について説明する。
制御部15のリカバリー処理部は、ホームエージェント7が持つバインディングキャッシュ情報(在圏位置情報)と、ゲートウェイ装置1の持つ管理表14が保持する在圏位置情報との間に齟齬が生じた場合に、両者の整合を取る機能を有している。リカバリー処理部によるリカバリー処理は、周期的もしくは何らかのデータ不整合をゲートウェイ装置1が検知した任意のタイミングで実行される。またゲートウェイ装置1が起動した直後にも、連携するホームエージェント7とバインディングキャッシュ情報の同期を取る目的でリカバリー処理が行われる。
ゲートウェイ装置1は、リカバリー処理において、ホームエージェント7が保持する全てのバインディングキャッシュ情報をホームエージェント7に要求し、ホームエージェント7は、その要求に応じて全てのバインディングキャッシュ情報をゲートウェイ装置1に送信する。そして、ゲートウェイ装置1は、管理表14を、受信したバインディングキャッシュ情報に整合させる。具体的には、ホームエージェント7側のバインディングキャッシュに情報があってゲートウェイ装置1側の管理表14にその情報がない場合、ゲートウェイ装置1側の管理表14にホームエージェント7側のバインディングキャッシュにない情報がある場合、ホームエージェント7側のバインディングキャッシュ情報とゲートウェイ装置1側の管理表14における情報に差異がある場合等に、ゲートウェイ装置1側の管理表14の登録情報を、ホームエージェント側のバインディングキャッシュ情報に合うように修正する。
(ゲートウェイ装置1におけるフィルタリングルール動的制御)
次に、ゲートウェイ装置1おけるフィルタリングルール動的制御について、図3に示すネットワーク構成を例にとって説明する。
次に、ゲートウェイ装置1おけるフィルタリングルール動的制御について、図3に示すネットワーク構成を例にとって説明する。
図3に示すホームエージェント7は、ゲートウェイ装置1に対し移動端末の在圏位置情報を送信し、ホームエージェント24はゲートウェイ装置19に対し移動端末の在圏位置情報を送信するものとする。なお、ホームエージェントが移動端末の在圏位置情報を送信する宛先は、ホームエージェントに予め設定しておくものとする。
更にゲートウェイ装置19は、ゲートウェイ装置1に対しホームエージェント24より取得した移動端末の在圏位置情報を転送するものとする。またそれぞれの端末、ホームエージェントの持つアドレスは図3に記した通りである。このとき、ゲートウェイ装置1が持つ管理表14の内容は図4に示すとおりである。
更に、ゲートウェイ装置1は、図5(a)に示すフィルタリング制御対象のホームアドレスのリスト、図5(b)に示す内部ネットワークプレフィックスリスト、及び図5(c)に示す移動端末ポリシーリストを保持している。フィルタリング制御対象のホームアドレスリスト、内部ネットワークプレフィックスリスト、及び移動端末ポリシーリストは、予め登録しておくものである。
図5(a)の例では、フィルタリング制御対象の移動端末を特定するのにホームアドレスを用いているが、フィルタリング制御対象の移動端末をネットワークプレフィックスを用いて特定してもよい。更に、フィルタリング制御対象としない移動端末のホームアドレス、もしくはネットワークプレフィックスを設定することにより、設定した移動端末以外の移動端末をフィルタリング制御対象としてもよい。
また、移動端末ポリシーリストには、フィルタリング制御対象の移動端末毎に、その移動端末が受け入れを許可するレベルや相手先アドレスが記述可能である。それ以外にも外部ネットワークからの通信を許可したい任意のホストアドレスやネットワークアドレス、ポート番号、プロトコル種別等が設定される。図5(c)の例では、移動端末毎に、P2P通信を許可する相手先のホームアドレス、P2P通信を許可した移動端末(MNと略記)以外の端末からのホームエージェント経由通信を許可するか否か、このホームエージェント経由通信を許可する場合においてリターンルータビリティ処理後の直接通信を許可する端末(CNと略記)が設定されている。なお、図5(c)の例では、図3に示す時点で内部ネットワークに在圏する移動端末に関するポリシーのみを示している。
以下、図3に示す構成におけるフィルタリングルールの動的制御に係るゲートウェイ装置1の動作を説明する。
まず、ゲートウェイ装置1は、フィルタリング制御対象のホームアドレスリスト及び内部ネットワークプレフィックスリストを参照し、管理表14からフィルタリング制御の対象となる移動端末の在圏位置情報を取得し、それを内部ネットワーク内アドレスリストへ追加する。この例では、移動端末8、21、25が内部ネットワークに在圏し、かつフィルタリング制御対象として登録されているので、図6(a)に示すように、これらの在圏位置情報が内部ネットワーク内アドレスリストに追加される。
更に、図6(b)に示すように、フィルタリング制御対象であるが、内部ネットワークに在圏しない移動端末である通信相手端末22の在圏位置情報が外部ネットワーク内アドレスリストに追加される。
次に、ゲートウェイ装置1は、内部ネットワーク内アドレスリスト、外部ネットワーク内アドレスリスト、及び移動端末ポリシーリストから、内部ネットワークに在圏する移動端末毎にフィルタリングルールを作成する。
本実施の形態では、フィルタリングルールは、送信先アドレスとそれに対応する送信元アドレスとで構成される。具体的には、送信先アドレスとして設定されたアドレスを送信先とし、それに対応する送信元アドレスを送信元とするパケットの通過を許可するようにフィルタリングルールが構成されている。
ゲートウェイ装置1は、内部ネットワークに在圏するある移動端末に対し、移動端末ポリシーリスト及び外部ネットワーク内アドレスリストに基づき、リターンルータビリティ処理後のP2P通信を許可する通信相手端末があれば、その通信相手端末の気付アドレスを外部ネットワーク内アドレスリストから抽出し、当該移動端末に対応するフィルタリングルールにおける送信元アドレスとする。また、当該移動端末の気付アドレスを内部ネットワーク内アドレスリストから抽出し送信先アドレスとする。そして、これらのアドレスをフィルタリングルールとして記憶装置に書き込む。
より詳細には、P2P通信を許可する通信相手端末のホームアドレスは、移動端末のポリシーリストに移動端末毎にその設定があるので、ゲートウェア装置1は、外部ネットワーク内アドレスリストから、対象とする移動端末のポリシーリスト内の通信相手端末ホームアドレスのうちのいずれかに一致するものを全て抽出する。これにより、移動端末とのP2P通信が許可されている通信相手端末のうち、現時点で外部ネットワークに在圏しているものが全て抽出されることになる。更に、そこで抽出された各通信相手端末の最新の気付アドレスが送信元アドレスとして書き込まれる。
例えば、図3の移動端末8についてのフィルタリングルールは図7のようになる。
図7の1行目のルールは、リターンルータビリティ処理後の移動端末8と通信相手端末22間のP2P通信を許可するためのものであり、上記の手順により設定されたものである。すなわち、移動端末ポリシーリストにおける移動端末8に対してP2P通信が許可された相手先ホームアドレスに通信相手端末22のホームアドレスが含まれているので、通信相手端末22の気付アドレスが送信元アドレスとなり、移動端末8の気付アドレスが送信先アドレスとなる。
2行目のルールは、リターンルータビリティ処理前のホームエージェントを経由した三角ルーティングによるパケットの通信を許可するためのものである。2行目のルールは、ホームエージェントが内部ネットワークに存在する場合、ホストルーティングを経由するパケットとして、通信相手端末からホームエージェントへ向かうパケットがゲートウェイ装置1を通過することに着目して設定されたものである。2行目のルール設定は、具体的には次のようにして行われる。
まず、ゲートウェイ装置1は、移動端末8に関する内部ネットワーク内アドレスリスト中の項目から、所属するホームエージェント7のアドレスを抽出する。続いてこれを、内部ネットワークプレフィックスリスト19と比較し、そのホームエージェント7がゲートウェイ装置1の内部ネットワークに存在すると判断された場合には、フィルタリングルールの送信先アドレスに移動端末のホームアドレスを、送信元アドレスに、該当する移動端末に対し通信を許可するよう設定された通信相手端末の気付アドレスを新たに追加する。
なお、ゲートウェイ装置1は、管理表14の変化に応じて外部ネットワーク内アドレスリスト、および内部ネットワーク内アドレスリストを更新している。外部ネットワーク内アドレスリスト、および内部ネットワーク内アドレスリストの更新に伴って、関連するフィルタリングルールを更新する。すなわち、例えば、内部ネットワーク内アドレスリスト中のある移動端末の気付アドレスが更新された場合、ゲートウェア装置1は、フィルタリングルールにおけるその気付アドレスに対応する部分を最新のものに書き換える。
移動端末21についてのフィルタリングルールを図8に示す。
図5(c)の移動端末ポリシーリストに示すように、移動端末21に対しては、P2P通信を許可する移動端末以外の端末からのホームエージェント経由の通信が許可されており、かつ、移動端末21のホームエージェント7は内部ネットワークに存在する。この場合、図8の1行目に示すように、移動端末21のホームアドレス宛の任意のパケットの通過を許可する必要があるため、ゲートウェイ装置1は、送信元アドレスとして全てのアドレスを受け付けるワイルドカードを設定し、送信先アドレスとして移動端末21のホームアドレスを設定する。2行目に関しては、図7における1行目と同様に、P2P通信に関する気付アドレスが設定される。
次に、移動端末25についてのフィルタリングルールを図9に示す。
図5(c)の移動端末ポリシーリストに示すように、移動端末25に対しては、P2P通信を許可する移動端末以外の端末からのホームエージェント経由の通信が許可されているが、移動端末25の所属するホームエージェント24は外部ネットワークに存在する。また、移動端末25については、P2P通信を許可する相手先ホームアドレスは設定されていない。
このように、ホームエージェント24が外部ネットワークに存在する場合、ホストルーティングを経由するパケットとして、ホームエージェント24で転送された後の、ホームエージェント24から移動端末25へ向かうパケットがゲートウェイ装置1を通過するので、送信先アドレスとして移動端末25の気付アドレスが、送信元アドレスとしてそのホームエージェント24のアドレスが追加される。このような設定をすることにより、ホームエージェント経由の任意の送信元からの通信が許可されることになる。
さて、P2P通信を許可する移動端末以外の端末からのホームエージェント経由の通信が許可されている場合において、その端末がMIPv6のCorrespondent Node機能を実装していた場合、移動端末とその端末間のリターンルータビリティ処理を経た後、その端末から移動端末の気付アドレスに対して直接通信パケットが送信される。
P2P通信を許可する移動端末以外の端末からの、リターンルータビリティ処理を経た後のP2P通信を許可するポリシーが設定されている場合(図5(c)の移動端末21と25)にはこのような直接通信が許可されることになる。
この場合において、ホームエージェント経由の通信が許可された後からのゲートウェイ装置1の動作について説明する。
まず、ゲートウェイ装置1は、移動端末ポリシーリストから、リターンルータビリティ処理を経た後のP2P通信を許可することを把握すると、制御部15のリターンルータビリティパケット制御部において、その移動端末と通信相手の端末間のリターンルータビリティパケット(リターンルータビリティ処理の中で送受信されるパケット)を監視し、リターンルータビリティパケットがあればフックする。
そして、内部ネットワークに在圏する移動端末の気付アドレスを送信元アドレスとして有し、外部ネットワークに在圏する上記通信相手の端末の気付アドレスを送信先アドレスとするCoTIパケットをフックした時点で、通信相手端末の気付アドレスを取得し、取得された通信相手端末の気付アドレスを、フィルタリングルールにおける上記移動端末の気付アドレス(送信先アドレス)に対応する送信元アドレスとして追加する。
その後ある一定時間を経ても通信相手端末から移動端末へ向かうBinding Ackパケットがフックされなかった場合、つまりリターンルータビリティの処理に失敗した場合には、送信元アドレスから、上記のようにして追加したアドレスを削除する。
逆に、一定時間内に通信相手端末から移動端末へ向かうBinding Ackパケットをフックした場合には、上記アドレスを削除しない。これにより、上記アドレスが正式に追加されたことになり、リターンルータビリティ処理後の両者間の直接通信を許可することが可能となる。
上記の手順により通信相手端末6の気付アドレスが追加された例を図10と図11に示す。図10は、移動端末21についての図8に示すルールに通信相手端末6の気付アドレスが追加された例であり、図11は、移動端末25についての図9に示すルールに通信相手端末6の気付アドレスが追加された例である。
その他、移動端末ポリシーリストに外部ネットワークからの通信を許可したいネットワークアドレス、ポート番号、プロトコル種別等が個別に設定されていた場合には、その条件に合うような形でフィルタリングルールが生成される。
(実施例1)
以下、内部ネットワークに在圏する移動端末と、外部ネットワークに在圏する通信相手端末間のP2P通信の動的フィルタリング制御の実施例1を、図12に示す構成を例にとって説明する。図12の構成は、ホームエージェント7とゲートウェイ装置1とが1対1で連携する基本構成である。なお図12では、ホームエージェント7はゲートウェイ装置1の内部ネットワーク内にホームリンク5を有しているが、これが外部ネットワーク上に存在していても、以下で説明する処理手順は基本的に変わらない。また、通信相手端末6は、移動端末同様MIPv6のモバイル ノード機能を実装しているものとする。
以下、内部ネットワークに在圏する移動端末と、外部ネットワークに在圏する通信相手端末間のP2P通信の動的フィルタリング制御の実施例1を、図12に示す構成を例にとって説明する。図12の構成は、ホームエージェント7とゲートウェイ装置1とが1対1で連携する基本構成である。なお図12では、ホームエージェント7はゲートウェイ装置1の内部ネットワーク内にホームリンク5を有しているが、これが外部ネットワーク上に存在していても、以下で説明する処理手順は基本的に変わらない。また、通信相手端末6は、移動端末同様MIPv6のモバイル ノード機能を実装しているものとする。
通信相手端末6が、プレフィックス1を持つネットワーク9で起動した場合、気付アドレスとして、プレフィックス1を上位64ビットに持つアドレスが通信相手端末6において生成される。この気付アドレスが生成された後、通信相手端末6が所属するホームエージェント7に対して、自身のホームアドレスと気付アドレスとの対を含む情報を送信することにより、バインディングアップデート通知を行う。
これを受けたホームエージェント7は、通信相手端末6に対してバインディングアックを送信するとともに、通知されたバインディングアップデートの情報を、ライフタイム値とともにバインディングキャッシュに記録する。そしてそれをもとに通信相手端末6の在圏位置情報を、ゲートウェイ装置1に対して送信する。
ホームエージェント7より送信された在圏位置情報を、ゲートウェイ装置1が取得した後、ゲートウェイ装置1は、移動端末対応アドレス情報管理表14にホームアドレスと気付アドレスの対を含む在圏位置情報を登録する。続いて、管理表14に登録された在圏位置情報を、例えばP2P通信を禁止するネットワークプレフィックスとしてゲートウェイ装置に設定された情報と比較する。
ここでは、拒否されるアドレスが設定されていないものとすると、その通信相手端末6に関するアドレス情報が、外部ネットワーク内アドレスリストに追加される。また内部ネットワーク内アドレスリストには、移動端末8のアドレスが追加されている。更に内部および外部ネットワークアドレスリストより、移動端末8に関するフィルタリングルールが作成される。また、図7において説明したように、リターンルータビリティ処理前のホームエージェント7経由のパケットについて、ゲートウェイ装置1を通過させるように、通信相手端末6の気付アドレスが送信元アドレスに、移動端末8のホームアドレスが送信先アドレスに追加される。
これにより、通信相手端末6と移動端末8間では、リターンルータビリティ処理を経て、P2P通信が可能となる
ここで、通信相手端末6が、プレフィックス2を持つネットワーク10に移動したとすると、新しい気付アドレスとして、プレフィックス2を上位64ビットに持つアドレスが生成され、これを契機にホームエージェント7へバインディングアップデートが送信される。そして、変更に係る在圏位置情報がゲートウェイ装置1に通知されると、ゲートウェイ装置1は、管理表における通信相手端末6に関する情報を、送信された新しい気付アドレスに更新する。
ここで、通信相手端末6が、プレフィックス2を持つネットワーク10に移動したとすると、新しい気付アドレスとして、プレフィックス2を上位64ビットに持つアドレスが生成され、これを契機にホームエージェント7へバインディングアップデートが送信される。そして、変更に係る在圏位置情報がゲートウェイ装置1に通知されると、ゲートウェイ装置1は、管理表における通信相手端末6に関する情報を、送信された新しい気付アドレスに更新する。
ここで送信された気付アドレスが拒否されるネットワークプレフィックスを持つものではないとすると、外部ネットワーク内アドレスリスト内の該当気付アドレスが、新しい移動先の気付アドレスで更新され、更にフィルタリングルールにおける送信元アドレス中の気付アドレスも更新される。こうして通信相手端末6の移動後も引き続き移動端末8との通信を継続することができる。
その後、通信相手端末6が、プレフィックス2を持つネットワーク10内からシャットダウンにより離脱をした場合、ホームエージェント7は通信相手端末6のバインディングキャッシュのライフタイムが0になるのを待った上で、次の在圏位置情報通知を契機として気付アドレス削除の通知をゲートウェイ装置1に対して行う。
気付アドレス削除の通知を受けたゲートウェイ装置1は、管理表から該当する移動端末の在圏位置情報を削除するとともに、外部ネットワーク内アドレスリスト内から該当する気付アドレスを削除する。これにより、送信元アドレス中の通信相手端末6との通信に係るアドレスが削除されることになる。
(実施例2)
以下、実施例2として、実施例1と同様のシステム構成において、通信相手端末の移動先気付アドレスの持つプレフィックスアドレスが、ゲートウェイ装置1においてP2P通信拒否するよう設定されていた場合のP2P通信の動的フィルタリング制御の手順を説明する。
以下、実施例2として、実施例1と同様のシステム構成において、通信相手端末の移動先気付アドレスの持つプレフィックスアドレスが、ゲートウェイ装置1においてP2P通信拒否するよう設定されていた場合のP2P通信の動的フィルタリング制御の手順を説明する。
通信相手端末6がプレフィックス2を持つネットワーク10に移動した場合、新しい気付アドレスとして、プレフィックス2を上位64ビットに持つアドレスが生成され、これを契機にホームエージェント7へバインディングアップデートが送信される。それがゲートウェイ装置1に通知された後、管理表に既に登録された在圏位置情報のうち本移動端末に該当する情報を、送信された新しい気付アドレスに更新する。
ここで送信された新しい気付アドレスのネットワークプレフィックスは、拒否されるネットワークプレフィックスと一致するので、外部ネットワーク内アドレスリスト内の該当気付アドレスを削除する。これにより通信相手端末6は、移動後のネットワークにおいては移動端末8との通信を継続することができない。
なお通信相手端末6がネットワーク9に再移動した場合には、付与される気付アドレスが再び許可されるネットワークプレフィックスとなるため、外部ネットワーク内アドレスリスト内に該当気付アドレスが再登録され、移動端末8との通信が再開される。
また、通信相手端末6が、外出先のプレフィックス1を持つネットワーク10で新規に起動した場合においても、そこでの新しい気付アドレスのネットワークプレフィックスが拒否されるネットワークプレフィックスと一致した場合には、管理表への登録がされた後、外部ネットワーク内アドレスリストへの登録は行われず、移動端末8と通信相手端末6間でのP2P通信を行うことはできない。
(実施例3)
次に、実施例3として、実施例1と同様のシステム構成において、通信相手端末6のホームアドレスが、ゲートウェイ装置1上の移動端末ポリシーリストにおいて、移動端末8とのP2P通信を拒否するよう設定されていた場合のP2P通信の動的フィルタリング制御の手順について説明する。
次に、実施例3として、実施例1と同様のシステム構成において、通信相手端末6のホームアドレスが、ゲートウェイ装置1上の移動端末ポリシーリストにおいて、移動端末8とのP2P通信を拒否するよう設定されていた場合のP2P通信の動的フィルタリング制御の手順について説明する。
通信相手端末6が、外出先のプレフィックス1を持つネットワーク9で起動した場合、気付アドレスとしてプレフィックス1を上位64ビットに持つアドレスが生成され、これを契機にホームエージェント7へバインディングアップデートが送信される。
その後、実施例1と同様の手順により、ゲートウェイ装置1における管理表に在圏位置情報が登録され、続いて管理表に登録された在圏位置情報を、該移動端末ポリシーリストと比較する。
このとき管理表に登録されたホームアドレスが、移動端末ポリシーリストにおいて拒否するよう設定されたホームアドレスと一致した場合、もしくは許可するよう設定されたホームアドレスのいずれにも一致しない場合、その通信相手端末の気付アドレスがフィルタリングルールにおける送信元アドレスに追加されることはない。このため、通信相手端末6の現気付アドレスを送信元とするP2P通信のパケットは、ゲートウェイ装置を通過することができない。なお、この例に示すように、外部ネットワーク内アドレスリスト、内部ネットワーク内アドレスリストは必ず必要であるわけではない。
(実施例4)
次に、実施例4として、図13に示す構成における、外部ネットワークに移動している通信相手端末と内部ネットワーク内に在圏する移動端末間のP2P通信の動的フィルタリング制御の手順を説明する。図13に示す構成は、1台のホームエージェントに対して2台のゲートウェイ装置1、40が対応付けられて設置された構成である。図13では、2台のゲートウェイ装置が設置された構成であるが、2以上でも同様の手順となる。
次に、実施例4として、図13に示す構成における、外部ネットワークに移動している通信相手端末と内部ネットワーク内に在圏する移動端末間のP2P通信の動的フィルタリング制御の手順を説明する。図13に示す構成は、1台のホームエージェントに対して2台のゲートウェイ装置1、40が対応付けられて設置された構成である。図13では、2台のゲートウェイ装置が設置された構成であるが、2以上でも同様の手順となる。
図13の構成において、ホームエージェント7がゲートウェイ装置1に対して、通信相手端末6の在圏位置情報を送信する設定になっていた場合、通信相手端末6と移動端末8との間のゲートウェイ装置1におけるフィルタリング制御は、実施例1〜3において説明した制御と同様に行われる。
また、ゲートウェイ装置40の内部ネットワーク41に在圏する移動端末24と移動端末8との間のゲートウェイ装置1におけるフィルタリング制御も、ゲートウェイ装置1から見てゲートウェイ装置40の内部ネットワークも外部ネットワークと認識されるため、同様の手順で行われることになる。
次に、通信相手端末6と移動端末24との間のゲートウェイ装置40におけるフィルタリング制御について説明する。
ゲートウェイ装置40には、移動端末の在圏位置情報を定期送信するホームエージェント7が対応づけられていないが、ゲートウェイ装置40はゲートウェイ装置1から、移動端末の在圏位置情報を受信することができる。すなわち、ゲートウェイ装置1上にゲートウェイ装置40へ在圏位置情報の転送を行う設定があり、かつゲートウェイ装置40にゲートウェイ装置1から転送される在圏位置情報を取得する設定がなされている。
ゲートウェイ装置40にはゲートウェイ装置1と同様の在圏位置情報が設定されるので、通信相手端末6と移動端末24との間のフィルタリング制御は、実施例1〜3において、ホームエージェント7が担う役割をゲートウェイ装置1に置き換えたものと同様なものとなる。
また、ゲートウェイ装置1の内部ネットワーク4に在圏する移動端末8と移動端末24との間のゲートウェイ装置40におけるフィルタリング制御も、ゲートウェイ装置40から見てゲートウェイ装置1の内部ネットワークも外部ネットワークと認識されるため、同様の手順で行われることになる。
(実施例5)
次に、実施例5として、図14に示す構成における、各ゲートウェイの内部ネットワーク内の移動端末間のP2P通信の動的フィルタリング制御の手順を説明する。図14の構成は、2台のゲートウェイ装置がそれぞれ1台のホームエージェントに対応づけられた構成である。図14では、2台のゲートウェイ装置がそれぞれ1台のホームエージェントと対応付けられた設置された構成であるが、各々それ以上の台数でも同様の手順となる。
次に、実施例5として、図14に示す構成における、各ゲートウェイの内部ネットワーク内の移動端末間のP2P通信の動的フィルタリング制御の手順を説明する。図14の構成は、2台のゲートウェイ装置がそれぞれ1台のホームエージェントに対応づけられた構成である。図14では、2台のゲートウェイ装置がそれぞれ1台のホームエージェントと対応付けられた設置された構成であるが、各々それ以上の台数でも同様の手順となる。
図14の構成において、ホームエージェント7がゲートウェイ装置1に対して、ホームエージェント27がゲートウェイ装置40に対して、移動端末の在圏位置情報を送信する設定になっていた場合、ホームエージェント7に所属する通信相手端末6と移動端末8との間のゲートウェイ装置1におけるフィルタリング制御は、実施例1〜3において説明した制御と同様に行われる。
ホームエージェント27に所属する通信相手端末25と移動端末8との間のゲートウェイ装置1におけるフィルタリング制御は次のようになる。
ゲートウェイ装置1には、通信相手端末25の在圏位置情報を送信するホームエージェント27が対応づけられていないが、ホームエージェント27と連携しているゲートウェイ装置40から、通信相手端末の在圏位置情報を受信できる。
すなわち、ゲートウェイ装置40上にゲートウェイ装置1へ在圏位置情報の転送を行う設定があり、かつゲートウェイ装置1にゲートウェイ装置40から転送される在圏位置情報を取得する設定がなされており、通信相手端末25と移動端末8との間のフィルタリング制御は、実施例1〜3において、ホームエージェントが担う役割をゲートウェイ装置40に置き換えたものと同様なものとなる。これは通信相手端末24から移動端末8への通信におけるフィルタリング制御においても同様である。
また、同様の条件においてゲートウェイ装置40における、通信相手端末6、25および移動相手8と、移動端末24との間のフィルタリング制御は、上述した手順と同様のものとなる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
1、19、40 ゲートウェイ装置
2、11 ルータ
3 外部ネットワーク
4、41 内部ネットワーク
5、42 ホームエージェントのホームリンク
6、25 通信相手端末
7、27 ホームエージェント
8、21、25、26 移動端末
9 ネットワークプレフィックス1のネットワーク
10 ネットワークプレフィックス2のネットワーク
11 ネットワークプレフィックス3のネットワーク
12 外部ネットワーク向け通信ポート
13 内部ネットワーク向け通信ポート
14 移動端末対応アドレス情報管理表
15 制御部
16 フィルタリング条件動的制御部
17 外部ネットワーク内アドレスリスト
18 内部ネットワーク内アドレスリスト
19 内部ネットワークプレフィックスリスト
20 移動端末ポリシーリスト
2、11 ルータ
3 外部ネットワーク
4、41 内部ネットワーク
5、42 ホームエージェントのホームリンク
6、25 通信相手端末
7、27 ホームエージェント
8、21、25、26 移動端末
9 ネットワークプレフィックス1のネットワーク
10 ネットワークプレフィックス2のネットワーク
11 ネットワークプレフィックス3のネットワーク
12 外部ネットワーク向け通信ポート
13 内部ネットワーク向け通信ポート
14 移動端末対応アドレス情報管理表
15 制御部
16 フィルタリング条件動的制御部
17 外部ネットワーク内アドレスリスト
18 内部ネットワーク内アドレスリスト
19 内部ネットワークプレフィックスリスト
20 移動端末ポリシーリスト
Claims (7)
- 内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置であって、
モバイルIPにおけるホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段と、
移動端末間での通信の許可もしくは拒否を定めた設定情報を保持する手段と、
前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段と
を有することを特徴とするゲートウェイ装置。 - 前記ゲートウェイ装置は、前記在圏位置情報格納手段により格納された在圏位置情報を、予め設定した他のゲートウェイ装置に送信する手段を更に有する請求項1に記載のゲートウェイ装置。
- 前記在圏位置情報は、移動端末のホームアドレスと気付アドレス及びホームエージェントのアドレスを含み、
前記パケットフィルタリングルール設定手段は、前記在圏位置情報及び前記設定情報に基づき、内部ネットワークに在圏する一の移動端末に対し、当該一の移動端末に対する通信が許容される外部ネットワークに在圏する移動端末の気付アドレスを送信元アドレスとし、当該一の移動端末の気付アドレスを送信先アドレスとしたパケットフィルタリングルールを設定する請求項1に記載のゲートウェイ装置。 - 前記パケットフィルタリングルール設定手段は、
前記一の移動端末のホームエージェントが内部ネットワークに存在する場合には、前記外部ネットワークに在圏する移動端末の気付アドレスを送信元アドレスとし、前記一の移動端末のホームアドレスを送信先アドレスとしたルールを前記パケットフィルタリングルールに含め、
前記一の移動端末のホームエージェントが外部ネットワークに存在する場合には、前記一の移動端末のホームエージェントのアドレスを送信元アドレスとし、前記一の移動端末の気付アドレスを送信先アドレスとしたルールを前記パケットフィルタリングルールに含める請求項3に記載のゲートウェイ装置。 - 前記設定情報において、内部ネットワークに在圏する一の移動端末に対し、当該一の移動端末のホームエージェントを経由した、外部ネットワークに在圏する通信相手端末からの通信を許容する設定がなされ、かつ、当該通信相手端末と前記一の移動端末間のリターンルータビリティ処理後の直接通信を許容する設定がなされている場合において、
前記パケットフィルタリングルール設定手段は、前記通信相手端末と前記一の移動端末間のリターンルータビリティ処理の際に送受信される制御パケットを取得し、当該制御パケットから前記通信相手端末の気付アドレスを取得して、当該通信相手端末の気付アドレスを送信元アドレスとし、前記一の移動端末の気付アドレスを送信先アドレスとしたルールをパケットフィルタリングルールに追加する請求項1に記載のゲートウェイ装置。 - 前記在圏位置情報格納手段は、前記在圏位置情報が、移動端末の新規出現により新たに受信されたものである場合は、当該在圏位置情報を前記記憶装置に追加し、
前記在圏位置情報が、既に格納された情報に対して変更されたものであった場合は、既に格納された在圏位置情報を更新し、
前記在圏位置情報が、移動端末がネットワークから離脱したことを示すものである場合は、既に格納された情報を削除する請求項1に記載のゲートウェイ装置。 - 内部ネットワークと外部ネットワークとの境界に設けられ、その間のパケットフィルタリングを行うゲートウェイ装置としての機能をコンピュータに実現させるプログラムであって、コンピュータを、
モバイルIPのホームエージェントもしくは他のゲートウェイ装置から、内部ネットワークもしくは外部ネットワークに在圏する移動端末の在圏位置情報を受信し、受信した在圏位置情報を記憶装置に格納する在圏位置情報格納手段、
前記記憶装置に格納され、移動端末間での通信の許可もしくは拒否を定めた設定情報を参照する手段、
前記モバイルIPのホームエージェントもしくは他のゲートウェイ装置から受信した在圏位置情報と前記設定情報とから、内部ネットワークに在圏する移動端末と外部ネットワークに在圏する移動端末との間の通信に対するパケットフィルタリングルールを設定するパケットフィルタリングルール設定手段、
として機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004304558A JP4563135B2 (ja) | 2004-10-19 | 2004-10-19 | ゲートウェイ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004304558A JP4563135B2 (ja) | 2004-10-19 | 2004-10-19 | ゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006121209A true JP2006121209A (ja) | 2006-05-11 |
| JP4563135B2 JP4563135B2 (ja) | 2010-10-13 |
Family
ID=36538709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004304558A Active JP4563135B2 (ja) | 2004-10-19 | 2004-10-19 | ゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4563135B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007138653A1 (ja) * | 2006-05-25 | 2007-12-06 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
| WO2007141835A1 (ja) * | 2006-06-02 | 2007-12-13 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
| KR100828920B1 (ko) | 2007-02-14 | 2008-05-13 | 주식회사 대우일렉트로닉스 | 이동통신 시스템에서의 모바일 아이피를 이용한 파일 공유방법 및 장치 |
| JP2013192160A (ja) * | 2012-03-15 | 2013-09-26 | Nippon Telegraph & Telephone West Corp | 携帯端末在圏検知に基づくポート開閉制御方法 |
| US9130918B2 (en) | 2009-09-21 | 2015-09-08 | Thomson Licensing | System and method for automatically verifying storage of redundant contents into communication equipments, by data comparison |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1070576A (ja) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | ファイアウォール動的制御方法 |
| JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
| JP2003244746A (ja) * | 2002-02-15 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体 |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
-
2004
- 2004-10-19 JP JP2004304558A patent/JP4563135B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1070576A (ja) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | ファイアウォール動的制御方法 |
| JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
| JP2003244746A (ja) * | 2002-02-15 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体 |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007138653A1 (ja) * | 2006-05-25 | 2007-12-06 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
| US8117305B2 (en) | 2006-05-25 | 2012-02-14 | Duaxes Corporation | Communication management system, communication management method, and communication control device |
| WO2007141835A1 (ja) * | 2006-06-02 | 2007-12-13 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
| US8417677B2 (en) | 2006-06-02 | 2013-04-09 | Duaxes Corporation | Communication management system, communication management method and communication control device |
| KR100828920B1 (ko) | 2007-02-14 | 2008-05-13 | 주식회사 대우일렉트로닉스 | 이동통신 시스템에서의 모바일 아이피를 이용한 파일 공유방법 및 장치 |
| US9130918B2 (en) | 2009-09-21 | 2015-09-08 | Thomson Licensing | System and method for automatically verifying storage of redundant contents into communication equipments, by data comparison |
| JP2013192160A (ja) * | 2012-03-15 | 2013-09-26 | Nippon Telegraph & Telephone West Corp | 携帯端末在圏検知に基づくポート開閉制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4563135B2 (ja) | 2010-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6633761B1 (en) | Enabling seamless user mobility in a short-range wireless networking environment | |
| CN102656845B (zh) | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 | |
| JP4020576B2 (ja) | パケット転送方法、移動端末装置及びルータ装置 | |
| JP4595997B2 (ja) | 負荷分散装置、ホームエージェント及びモバイルip端末 | |
| EP1408666A1 (en) | Routing in a data communication network | |
| US20040179539A1 (en) | Communication system, gateway equipment, communication method and authentication method | |
| US20060233144A1 (en) | Mobility support apparatus for mobile terminal | |
| JP2009508434A (ja) | 制御一時的モバイルネットワーク | |
| AU2001283178A1 (en) | Enabling seamless user mobility in a short-range wireless networking environment | |
| US20090265767A1 (en) | Methods and arrangements for prefix management in moving networks | |
| US8849983B2 (en) | Method and system for updating and retrieving state information for mobile nodes in a communication network | |
| JP4563135B2 (ja) | ゲートウェイ装置 | |
| JPWO2009054127A1 (ja) | 通信システム及び移動端末並びにネットワークノード | |
| JP4175855B2 (ja) | 移動ネットワークおよびその通信管理方法 | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP2005204289A (ja) | ホームエージェント装置、モバイルルータ装置、通信システム、および通信方法 | |
| JP4425757B2 (ja) | モバイルネットワークシステム | |
| JP4677803B2 (ja) | アドホックネットワークにおけるアドホックルータの移動管理方法 | |
| JP2003204350A (ja) | 負荷分散装置、ホームエージェント及びモバイルip端末 | |
| JP6564673B2 (ja) | 情報処理装置及びプログラム | |
| JP4351123B2 (ja) | ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント | |
| JP4430512B2 (ja) | 中継装置および中継方法 | |
| JP4165826B2 (ja) | 移動端末の通信システム、通信方法、通信プログラムおよびホームエージェント | |
| JP4637469B2 (ja) | ゲートウエイ装置、移動通信システム及び通信処理方法 | |
| JP6276009B2 (ja) | 交換機、転送設定システムおよび転送設定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071012 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091102 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100727 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100728 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130806 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4563135 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140806 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |