JP2006229424A - 通信装置およびパケットフィルタリング方法 - Google Patents

通信装置およびパケットフィルタリング方法 Download PDF

Info

Publication number
JP2006229424A
JP2006229424A JP2005039022A JP2005039022A JP2006229424A JP 2006229424 A JP2006229424 A JP 2006229424A JP 2005039022 A JP2005039022 A JP 2005039022A JP 2005039022 A JP2005039022 A JP 2005039022A JP 2006229424 A JP2006229424 A JP 2006229424A
Authority
JP
Japan
Prior art keywords
packet
transmitted
received
communication
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005039022A
Other languages
English (en)
Inventor
Ryuichi Nagano
竜一 永野
Takaki Hayashi
孝起 林
Takashi Okazaki
隆 岡崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005039022A priority Critical patent/JP2006229424A/ja
Publication of JP2006229424A publication Critical patent/JP2006229424A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】 MIPv6ネットワークにおける不正なパケットを正しく検出し、DoS攻撃等からホームエージェント装置(HA)を保護する。
【解決手段】 移動機(MN)とそのHAとの間で授受されるパケットが経由する経路上に設置された通信装置100は、MNからHAに送信されるMIPv6パケットを受信し、受信したパケットがトンネリングモードにより送信されてきたパケットの場合、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、この暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスを記憶部121に記憶されたフィルタリング条件と照合して、当該パケットの通過許否を判定する。
【選択図】 図5

Description

本発明は、MIPv6(Mobile IPv6)およびIPsec環境に適したパケットフィルタリング方法および通信装置に関する。
MIPv6は、MN(Mobile Node;移動機)とHA(Home Agent;ホームエージェント装置)とにより実現される。宛先アドレスがMNの恒久的なIPアドレス(Home Address)であるパケットは、通常のIP(Internet Protocol)の手順で転送された後、HAのあるリンクに到達する。これにより、HAは、ホームアドレス宛のパケットを受信する。MNは、移動すると、移動先のノードで、既存のステートレスアドレス自動生成技術やステートフルアドレス自動生成技術(DHCP:Dynamic Host Configuration Protocol)を使用して、一時的なIPアドレスであるCoA(Care-of Adress;気付アドレス)を取得する。MNは、このCoAをHAに登録する。MNが他の端末と通信を行う方法には、双方向トンネルモードと経路最適化モードとの2つの方法がある。
双方向トンネルモードでは、MNとHAとの間にトンネルが生成される。トンネルとは、元のIPパケットを別のIPパケットに包含して送信することにより、元のIPパケットの送信元IPアドレスや宛先IPアドレスとは無関係に、任意の経路でパケットを運ぶ技術である。MNから他の端末に向けてIPパケットを送信する場合には、このIPパケットは、トンネルを経由して、まずHA宛に送信される。HAは、IPパケットをトンネルから出した後、通常のIPの手順により他の端末宛に送出する。これにより、IPパケットは、他の端末に到達する。反対に、他の端末からMNに向けてIPパケットを送信する場合には、IPパケットは、通常のIPの手順によりHAに到達する。その後、HAは、このIPパケットをトンネルに入れて、MN宛に送出する。
これに対して、経路最適化モードでは、MNは、IPパケットの送信に先立って、他の端末にIPアドレスを通知する。IPパケットが双方向トンネルモードにより他の端末からMN宛に送信された場合、MNは、経路最適化モードにモード変更するために、自MNのCoAを上記他の端末宛に送信する。経路最適化モードにおいて、MNから他の端末に向けてIPパケットを送信する場合には、このIPパケットは、MNから他の端末宛にトンネルを経由せずに直接送信される。このとき、IPパケットの送信元アドレスにはCoAが設定されており、IPパケット内のホームアドレスオプションにはHoA(Home Address;ホームアドレス)が設定されている。一方、他の端末からMNに向けてIPパケットを送信する場合には、IPパケットにルーティングヘッダが付され、IPパケットは、他の端末からMNにトンネルを経由せずに直接送信される。ここで、ルーティングヘッダは、RFC2460に規定されており、任意の中継点を経由してパケットを送信するための情報である。IPパケットの第1の宛先(中継点)としてはCoAが設定され、第2の宛先としてはHoAが設定される。
また、LAN等の内部ネットワークでは、インターネット等の外部ネットワークからの不正アクセスを検出及び遮断するために、所定のフィルタリング条件に従って、各ネットワークの境界に到達したデータの通過許否を判定するFW(Fire Wall;ファイアウォール)を設置する。また、高頻度かつ高速に移動するMNの場合、設置位置が不変的なFWは使用できないので、特許文献1では、MNを接続可能な複数のFWを設け、MNが移動先のFWと接続すると、そのFWはMNの識別情報及び設定ファイルをHAから受信し、そのMN用のフィルタリング条件に従うFWを構築することにより、MNに対するファイアウォール機能の適用を可能にしている。
他方、特許文献2には、エアコンなどの宅内機器が宅内ネットワークおよび宅外ネットワークを介して宅外機器とIPv6を用いた通信を行う通信システムにおいて、宅外ネットワークと宅内ネットワークとの間にFWを設け、宅外機器との相互認証などのセキュリティ通信路の確保はFWが行い、宅内ネットワーク上では宅内機器の確認のみをFWが行うことにより、宅内機器にIPsecなどのセキュリティ通信機能を実装しなくとも宅内ネットワークの安全性が保たれるようにしている。
特開2004-180155号公報 特開2003-115880号公報
現在、RFC3775で定義されており、MIPv6環境で用いられているHAは、IPアドレスが公開されているため、DoS(Denial of Service)攻撃等を受け易い問題がある。特許文献1の技術は個々のMNに対してファイアウォール機能の適用を可能にするものであるため、HAに対するDoS攻撃等は防御できない。また、特許文献2の技術はIPv6環境で動作するFWであり、MIPv6パケットの解釈、IPsecの復号化が共にできない。従って、MIPv6パケットを正しく解釈できず、パケットを全て通過させないとMIPv6サービスを実行することができなくなり、FWとして意味をなさない。
本発明の目的は、従来のFWにMIPv6パケットの解釈とIPsecプロキシの2つの機能を追加することで、MIPv6ネットワークにおける不正なパケットを正しく検出し得るようにして、DoS攻撃等からHAを保護することにある。
本発明の第1の通信装置は、移動機のホームエージェント装置または通信相手装置を対象装置とするとき、前記移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置され、前記対象装置の前記移動機とのIPsec通信時に前記対象装置に代わってIPsecを終端し、かつ、IPsec適用部分の内容に基づいて前記移動機から前記対象装置に送信されるパケットの通過許否を判定することを特徴とする。
本発明の第2の通信装置は、第1の通信装置において、前記移動機から前記対象装置に送信されるパケットを受信する入力バッファと、該入力バッファに受信されたパケットのうちトンネリングモードにより送信されてきたパケットを処理する第1の処理部と、前記入力バッファに受信されたパケットのうちトランスポートモードにより送信されてきたパケットを処理する第2の処理部と、前記第1および第2の処理部によって処理されたパケットを前記対象装置へ送信する出力バッファとを備えることを特徴とする。
本発明の第3の通信装置は、第2の通信装置において、前記第1の処理部は、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記出力バッファに出力するものであることを特徴とする。
本発明の第4の通信装置は、第3の通信装置において、前記第2の処理部は、受信パケット中のDOH(Destination Option Header)のHAO(Home Address Option)に設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記出力バッファに出力するものであることを特徴とする。
本発明の第1のパケットフィルタリング方法は、移動機のホームエージェント装置または通信相手装置を対象装置とするとき、移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置された通信装置が、前記移動機から前記対象装置に送信されるパケットを受信し、該受信したパケットがトンネリングモードにより送信されてきたパケットの場合、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記対象装置へ送信することを特徴とする。
本発明の第2のパケットフィルタリング方法は、第1のパケットフィルタリング方法において、前記受信したパケットがトランスポートモードにより送信されてきたパケットの場合、前記通信装置が、受信パケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定することを特徴とする。
本発明の第1のプログラムは、移動機のホームエージェント装置または通信相手装置を対象装置とするとき、移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置された通信装置を構成するコンピュータに、前記移動機から前記対象装置に送信されるパケットを受信する処理、該受信したパケットがトンネリングモードにより送信されてきたパケットの場合、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定する処理、通過させると判定したパケットのみを前記対象装置へ送信する処理、を行わせることを特徴とする。
本発明の第2のプログラムは、第1のプログラムにおいて、前記コンピュータに、前記受信したパケットがトランスポートモードにより送信されてきたパケットの場合、受信パケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定する処理、を行わせることを特徴とする。
『作用』
本発明にあっては、移動機からそのホームエージェント装置または通信相手装置に向けてトンネリングモードでMIPv6パケットが送信された場合、ホームエージェント装置または通信相手装置が受信する前に通信装置がそのパケットを受信し、IPsec適用部分の暗号化を解除し、解除後のパケットの内容に基づいて当該パケットの通過許否を判定することにより、MIPv6ネットワークにおける不正なパケットを正しく検出し、DoS攻撃等からホームエージェント装置や通信相手装置を保護する。
本発明によれば、MIPv6ネットワークにおける不正なパケットを正しく検出し、ホームエージェント装置や通信相手装置をDoS攻撃等から保護することができる。その理由は、通信装置が、ホームエージェント装置や通信相手装置に代わってIPsecを終端し、IPsec適用部分の暗号化を解除したパケットを解析して、パケットの通過許否を判定するためである。
また、通信装置をホームエージェント装置の前段に設置すれば、ホームエージェント装置が行うIPsec処理を通信装置が代理で行うため、ホームエージェント装置の負荷軽減が可能となり、これによりホームエージェント装置の処理能力に余裕ができ、レスポンス向上によるサービス遅延の軽減、同時接続ユーザ数の向上、ホームエージェント装置導入台数の削減も可能になる。
図1を参照すると、本発明の実施の形態にかかる通信装置100は、MNおよびそのHAが存在するIPv6網において、MNからHAへ送信されるパケット及びその反対にHAからMNへ送信されるパケットが必ず通過するHAとMN間の経路上に設置され、HAを不正パケットから保護するために使用される。また、図2に示すように、本発明の実施の形態にかかる通信装置100はまた、MNおよびそのCN(Correspondent Node)が存在するIPv6網において、MNからCNへ送信されるパケット及びその反対にCNからMNへ送信されるパケットが必ず通過するMNとCN間の経路上に設置され、CNを不正パケットから保護するために使用することもできる。
本実施の形態にかかる通信装置100は、IPsecを本来IPsecを終端する装置に代わって終端する。これをIPsecプロキシと呼ぶ。つまり、図1の構成における通信装置100が存在しない従来構成では、図3の上側に示すようにHA側ではHA自身がIPsecを終端するが、通信装置100を接続した場合、図3の下側に示すように通信装置100がHAに代わってIPsecを終端する。このとき、MNでは、通信装置100を設置する前と同様にHAに対してIPsecの設定を行えば良く、通信装置100の導入による設定の変更は不要であるため、HAに対してIPsecを行っているように見える。
同様に、図2の構成における通信装置100が存在しない従来構成では、図4の上側に示すようにCN側ではCN自身がIPsecを終端するが、通信装置100を接続した場合、図4の下側に示すように通信装置100がCNに代わってIPsecを終端する。このとき、MNでは、通信装置100を設置する前と同様にCNに対してIPsecの設定を行えば良く、装置装置100の導入による設定の変更は不要であるため、CNに対してIPsecを行っているように見える。
以下、通信装置100の構成例と動作を説明する。
図5を参照すると、通信装置100の一例は、入力バッファ101、111、出力バッファ102、112、分配部103、113、処理部104、105、114、115、記憶部121を含んで構成される。
入力バッファ101は、MNからHAまたはCNへトンネリングモードおよびトランスポートモードにより送信されたパケットを受信して蓄積し、分配部103へ出力する。
トンネリングモードによりMNから送信されるMIPv6パケットのフォーマットを図6に示す。ペイロードおよびIPv6基本ヘッダIIを含むパケットがIPv6基本ヘッダIによりカプセル化されており、IPv6基本ヘッダIIには、Dst(Destination Address;送信先アドレス)としてCNA(Correspondent Node address)、Src(Soutce Address;送信元アドレス)としてHoA(Home Address)が設定され、IPv6基本ヘッダIには、DstとしてHAA(Home Agent address)、SrcとしてCoAが設定される。また、トンネリングモードでは、図6のパケットは、IPv6基本ヘッダI以外、すべてIPsecが適用されている。
トランスポートモードによりMNから送信されるMIPv6パケットのフォーマットを図7に示す。ペイロード、DOH(Destination Option Header)およびIPv6基本ヘッダから構成され、IPv6基本ヘッダには、DstとしてHAAまたはCNA、SrcとしてCoAが設定される。また、DOHには、HAO(Home Address Option)としてHoAが設定される。トランスポートモードでは、図7のパケットは、ペイロード部分のみIPsecが適用される。
分配部103は、入力バッファ101から出力されたパケットの種類に応じて、トンネリングモードによるパケットは処理部104へ分配し、トランスポートモードによるパケットは処理部105へ分配する。
処理部104は、MNからトンネリングモードによりHAまたはCNへ送信されたパケットを分配部103から受け取り、そのパケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、この暗号化を解除した部分に現れるIPv6基本ヘッダII中の送信元アドレスSrcと送信先アドレスDstを記憶部121に記憶されているフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを出力バッファ102に出力する。
処理部105は、MNからトランスポートモードによりHAまたはCNへ送信されたパケットを分配部103から受け取り、そのパケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、この送信元アドレスとIPv6基本ヘッダ中の送信先アドレスDstを記憶部121に記憶されているフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを出力バッファ102に出力する。
出力バッファ102は、処理部104および処理部105から出力されるパケットを蓄積し、HAまたはCNへ送信する。
入力バッファ111は、HAまたはCNからMNへトンネリングモードおよびトランスポートモードにより送信されたパケットを受信して蓄積し、分配部113へ出力する。
トンネリングモードによりHAから送信されるMIPv6パケットのフォーマットを図8に示す。図6と同様に、ペイロードおよびIPv6基本ヘッダIIを含むパケットがIPv6基本ヘッダIによりカプセル化されているが、図6とは異なり、IPv6基本ヘッダIIには、DstとしてHoA、SrcとしてCNAが設定され、IPv6基本ヘッダIには、DstとしてCoA、SrcとしてHAAが設定される。
トランスポートモードによりHAから送信されるMIPv6パケットのフォーマットを図9に示す。ペイロード、T2RH(Type 2 Routing Header)およびIPv6基本ヘッダから構成され、IPv6基本ヘッダには、DstとしてCoA、SrcとしてHAAまたはCNAが設定される。また、T2RHには、HoAが設定される。
分配部113は、入力バッファ111から出力されたパケットの種類に応じて、トンネリングモードによるパケットは処理部114へ分配し、トランスポートモードによるパケットは処理部115へ分配する。
処理部114は、HAまたはCNからトンネリングモードによりMNへ送信されたパケットを分配部113から受け取り、IPv6基本ヘッダII中の送信元アドレスSrcと送信先アドレスDstを記憶部121に記憶されているフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみに対し、IPv6基本ヘッダI以外のすべてにIPsecを適用して出力バッファ112に出力する。
処理部115は、HAまたはCNからトランスポートモードによりMNへ送信されたパケットを分配部113から受け取り、そのパケット中のT2RHに設定されたHoAを送信先アドレスとし、IPv6基本ヘッダ中の送信元アドレスSrcと前記送信先アドレスを記憶部121に記憶されているフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみに対し、ペイロード部分のみにIPsecを適用して出力バッファ112に出力する。
出力バッファ112は、処理部114および処理部115から出力されるパケットを蓄積し、MNへ送信する。
記憶部121は、処理部104、105、114、115のフィルタリング条件を記憶する。例えば、通信装置100を通過させるべきパケットの送信元アドレスと送信先アドレスの組の情報を記憶する。
このような通信装置100は、CPU、ROMやRAM等で構成された主記憶、ハードディスク等で構成された外部記憶装置、他の装置と有線または無線によりデータの授受を行う通信部などを備えたコンピュータとプログラムとで構成することができる。磁気ディスク等のコンピュータ読取可能な記録媒体に記録されたプログラムは、通信装置101を構成するコンピュータの立ち上げ時などにそのコンピュータにより読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に分配部103、113、処理部104、105、114、115といった機能手段を実現し、かつそれら機能手段に後述する処理を実行させる。
次に本実施の形態にかかる通信装置100の動作を説明する。
(1)MNからパケットをトンネリングモードによりHAへ送信する際の動作
図10はMNから図6のパケットをトンネリングモードによりHAへ送信する際の処理シーケンスを示す。図10を参照すると、MNにてIPsecを適用(以下、エンコードと呼ぶ)後、MNからHAにパケットを送信する(S1)。この際、図6のパケットは、IPv6基本ヘッダI以外、すべてIPsecが適用されている。IPsecのセキュリティプロトコルには、認証ヘッダ(AH: Authentication Header)や暗号セキュリティペイロード(ESP: Encrypted Secure Payload)を適用する(以下、AHやESPを適用した場合をIPsec適用部分と呼ぶ)。
MNからHAにパケットが送信されると、通信装置100がHAの受信前にこのパケットを受信し、入力バッファ101、分配部103を通じて処理部104に入力する。
処理部104は、まず、IPsec適用部分に記述されているSPI(Security Parameter Index)を基にSA(Security Authentication)を決定する(S2)。
次に処理部104は、この決定したSAに従い、図6のパケットにIPsecを適用したパケットのIPsecを解凍(以下、デコードと呼ぶ)し、図6のパケットに戻す(S3)。ただし、このステップS3では、IPsecを適用された箇所のみ解凍し、カプセル化は解除しない。
次に処理部104は、ステップS3により解凍されたパケットをフィルタリングし、不正なパケットは廃棄し、正常なパケットは通過させる、つまり出力バッファ102に出力する(S4)。フィルタリングは、具体的には、図6のIPv6基本ヘッダIに含まれるDstとしてのCNAを送信先アドレス、SrcとしてのHoA(Home Address)を送信元アドレスとしてそれぞれ解釈し、これら送信先アドレスと送信元アドレスの組み合わせが、記憶部121に記憶されているかどうかによって廃棄するか、通過させるかを判断する。
出力バッファ102は、ステップS4において通過したパケットのIPv6基本ヘッダIのDstとして設定されたHAAを参照し、当該パケットをHAに送信する(S5)。
(2)HAからパケットをトンネリングモードによりMNへ送信する際の動作
図11はHAから図8のパケットをトンネリングモードによりMNへ送信する際の処理シーケンスを示す。図11を参照すると、HAは、IPv6基本ヘッダIのDstに設定されたCoAを基にMNに向けてパケットを送信すると(S11)、MNが受信する前に通信装置100がこのパケットを受信する。
通信装置100は、HAから受信したパケットを入力バッファ111および分配部113を通じて処理部114に入力し、この処理部114において、受信パケットからSP(Security Policy)を決定し、必要に応じてフィルタリングすることで、不正なパケットは廃棄する(S12)。フィルタリングは、具体的には、図8のIPv6基本ヘッダIに含まれるDstとしてのHoAを送信先アドレス、SrcとしてのCNAを送信元アドレスとして解釈し、これら送信先アドレスと送信元アドレスの組み合わせが、記憶部121に記憶されているかどうかによって廃棄するか否かを判断する。
次に処理部114は、廃棄しないと決定したパケットについて、SPを基にSAを決定する(S13)。次に処理部114は、この決定したSAに従い、図8のパケットにおけるIPv6基本ヘッダI以外の全てにIPsecを適用(以下、エンコードと呼ぶ)する(S14)。IPsecが適用されたパケットは、出力バッファ112に蓄積され、そのパケットのIPv6基本ヘッダIのDstとして設定されたCoAに基づいて、MNに送信される。
(3)MNからパケットをトランスポートモードによりHAまたはCNへ送信する際の動作
図12はMNから図7のパケットをトランスポートモードによりHAまたはCNへ送信する際の処理シーケンスを示す。図12を参照すると、MNにて図7のパケットをエンコード後、MNからHAまたはCNにパケットを送信する(S21)。この際、トランスポートモードでは、図7のパケットはペイロード部分のみIPsecが適用される。
MNからHAまたはCNにパケットが送信されると、通信装置100がHAまたはCNの受信前にこのパケットを受信し、入力バッファ101、分配部103を通じて処理部105に入力する。
処理部105は、まず、IPsec適用部分に記述されているSPIを基にSAを決定する(S22)。次に処理部105は、この決定したSAに従い、ペイロード部分にIPsecを適用された図7のパケットをデコードする(S23)。次に処理部105は、デコード後のパケットをフィルタリングし、不正なパケットは廃棄し、正常なパケットは通過させるべく出力バッファ102に出力する(S24)。フィルタリングは、具体的には、図7のIPv6基本ヘッダに含まれるDstとしてのHAAまたはCNAを送信先アドレス、DOHにおけるHAOとしてのHoAを送信元アドレスとしてそれぞれ解釈し、これら送信先アドレスと送信元アドレスの組み合わせが、記憶部121に記憶されているかどうかによって廃棄するか、通過させるかを判断する。
出力バッファ102は、ステップS24において通過したパケットのIPv6基本ヘッダのDstとして設定されたHAAまたはCNAを参照し、当該パケットをHAまたはCNに送信する(S25)。
(4)HAまたはCNからパケットをトランスポートモードによりMNへ送信する際の動作
図13はHAまたはCNから図9のパケットをトランスポートモードによりMNへ送信する際の処理シーケンスを示す。図13を参照すると、HAまたはCNは、IPv6基本ヘッダのDstに設定されたCoAを基にMNに向けてパケットを送信すると(S31)、MNが受信する前に通信装置100がこのパケットを受信する。
通信装置100は、HAまたはCNから受信したパケットを入力バッファ111および分配部113を通じて処理部115に入力し、この処理部115において、受信パケットからSP(Security Policy)を決定し、必要に応じてフィルタリングすることで、不正なパケットは廃棄する(S32)。フィルタリングは、具体的には、図9のIPv6基本ヘッダに含まれるSrcとしてのHAAまたはCNAを送信元アドレス、T2RH内のアドレスHoAを送信元アドレスとして解釈し、これら送信元アドレスと送信先アドレスの組み合わせが、記憶部121に記憶されているかどうかによって廃棄するか否かを判断する。
次に処理部115は、廃棄しないと決定したパケットについて、SPを基にSAを決定する(S33)。次に処理部115は、この決定したSAに従い、図9のパケットにおけるペイロード部分のみをエンコードする(S34)。IPsecが適用されたパケットは、出力バッファ112に蓄積され、そのパケットのIPv6基本ヘッダのDstとして設定されたCoAに基づいて、MNに送信される(S35)。
次に本実施の形態の効果を説明する。本実施の形態によれば、以下のような効果が得られる。
(i)図1のように通信装置100をHAの前段に設置する構成にあっては、通信装置100により不正パケットの排除がなされ、HAを悪意あるユーザから保護できるため、HAのセキュリティが向上する。また、HAが行うIPsec処理を通信装置100が代理で行うため、HAの負荷軽減が可能となる。これによりHAの処理能力に余裕ができ、レスポンス向上によるサービス遅延の軽減が可能になる。また、同時接続ユーザ数の向上、HA導入台数の削減も可能となる。
(ii)図2のように通信装置100をCNの前段に設置する構成にあっては、通信装置100により不正パケットの排除がなされ、CNを悪意あるユーザから保護できるため、CNのセキュリティが向上する。
以上本発明の実施の形態について説明したが、本発明は以上の例に限定されず、その他各種の付加変更が可能である。例えば、特開2004-215120号公報に記載されるサーバに本発明の通信装置を適用することにより、サーバがMIPv6とIPsecに対応していない場合およびサーバがIPv4でIPsecに対応していない場合でも、IPsecを用いた経路最適化通信が可能となる。
本発明の実施の形態にかかる通信装置の設置例を示す図である。 本発明の実施の形態にかかる通信装置の別の設置例を示す図である。 図1の設定例における通信装置のIPsec機能の説明図である。 図2の設定例における通信装置のIPsec機能の説明図である。 本発明の実施の形態にかかる通信装置の構成例を示すブロック図である。 トンネリングモードにより移動機からホームエージェント装置へ送信されるMIPv6パケットのフォーマットを示す図である。 トランスポートモードにより移動機からホームエージェント装置へ送信されるMIPv6パケットのフォーマットを示す図である。 トンネリングモードによりホームエージェント装置から移動機へ送信されるMIPv6パケットのフォーマットを示す図である。 トランスポートモードによりホームエージェント装置から移動機へ送信されるMIPv6パケットのフォーマットを示す図である。 移動機からパケットをトンネリングモードによりホームエージェント装置へ送信する際の処理シーケンスを示す図である。 ホームエージェント装置からパケットをトンネリングモードにより移動機へ送信する際の処理シーケンスを示す図である。 移動機からパケットをトランスポートモードによりホームエージェント装置へ送信する際の処理シーケンスを示す図である。 ホームエージェント装置からパケットをトランスポートモードにより移動機へ送信する際の処理シーケンスを示す図である。
符号の説明
100…通信装置
101、111…入力バッファ
102、112…出力バッファ
103、113…分配部
104、105、114、115…処理部
121…記憶部

Claims (8)

  1. 移動機のホームエージェント装置または通信相手装置を対象装置とするとき、前記移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置され、前記対象装置の前記移動機とのIPsec通信時に前記対象装置に代わってIPsecを終端し、かつ、IPsec適用部分の内容に基づいて前記移動機から前記対象装置に送信されるパケットの通過許否を判定することを特徴とする通信装置。
  2. 前記移動機から前記対象装置に送信されるパケットを受信する入力バッファと、該入力バッファに受信されたパケットのうちトンネリングモードにより送信されてきたパケットを処理する第1の処理部と、前記入力バッファに受信されたパケットのうちトランスポートモードにより送信されてきたパケットを処理する第2の処理部と、前記第1および第2の処理部によって処理されたパケットを前記対象装置へ送信する出力バッファとを備えることを特徴とする請求項1記載の通信装置。
  3. 前記第1の処理部は、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記出力バッファに出力するものであることを特徴とする請求項2記載の通信装置。
  4. 前記第2の処理部は、受信パケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記出力バッファに出力するものであることを特徴とする請求項3記載の通信装置。
  5. 移動機のホームエージェント装置または通信相手装置を対象装置とするとき、移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置された通信装置が、前記移動機から前記対象装置に送信されるパケットを受信し、該受信したパケットがトンネリングモードにより送信されてきたパケットの場合、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定し、通過させると判定したパケットのみを前記対象装置へ送信することを特徴とするパケットフィルタリング方法。
  6. 前記受信したパケットがトランスポートモードにより送信されてきたパケットの場合、前記通信装置が、受信パケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定することを特徴とする請求項5記載のパケットフィルタリング方法。
  7. 移動機のホームエージェント装置または通信相手装置を対象装置とするとき、移動機と前記対象装置との間で授受されるパケットが経由する経路上に設置された通信装置を構成するコンピュータに、前記移動機から前記対象装置に送信されるパケットを受信する処理、該受信したパケットがトンネリングモードにより送信されてきたパケットの場合、受信パケットのカプセル化を解除せずにIPsec適用部分の暗号化を解除し、該暗号化を解除した部分に現れるIPv6基本ヘッダ中の送信元アドレスと送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定する処理、通過させると判定したパケットのみを前記対象装置へ送信する処理、を行わせるためのプログラム。
  8. 前記コンピュータに、前記受信したパケットがトランスポートモードにより送信されてきたパケットの場合、受信パケット中のDOHのHAOに設定されたHoAを送信元アドレスとし、該送信元アドレスとIPv6基本ヘッダ中の送信先アドレスをフィルタリング条件と照合して当該パケットの通過許否を判定する処理、を行わせることを特徴とする請求項7記載のプログラム。
JP2005039022A 2005-02-16 2005-02-16 通信装置およびパケットフィルタリング方法 Pending JP2006229424A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005039022A JP2006229424A (ja) 2005-02-16 2005-02-16 通信装置およびパケットフィルタリング方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005039022A JP2006229424A (ja) 2005-02-16 2005-02-16 通信装置およびパケットフィルタリング方法

Publications (1)

Publication Number Publication Date
JP2006229424A true JP2006229424A (ja) 2006-08-31

Family

ID=36990407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005039022A Pending JP2006229424A (ja) 2005-02-16 2005-02-16 通信装置およびパケットフィルタリング方法

Country Status (1)

Country Link
JP (1) JP2006229424A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100955883B1 (ko) 2008-03-31 2010-05-06 고려대학교 산학협력단 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100955883B1 (ko) 2008-03-31 2010-05-06 고려대학교 산학협력단 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체

Similar Documents

Publication Publication Date Title
US8446874B2 (en) Apparatus and method for filtering packet in a network system using mobile IP
EP1463257B1 (en) Communication between a private network and a roaming mobile terminal
JP5102836B2 (ja) ネットワークノード及び移動端末
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US8094565B2 (en) Loop detection for mobile IP home agents
US20100023765A1 (en) Method for updating a routing entry
JP5102372B2 (ja) 通信ネットワークにおいて使用する方法および装置
US20070025309A1 (en) Home agent apparatus and communication system
JP2006270894A (ja) ゲートウェイ装置、端末装置、通信システムおよびプログラム
Braun et al. Secure mobile IP communication
JP2009528735A (ja) ロケーションプライバシをサポートする経路最適化
US8423760B2 (en) Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment
US20100275253A1 (en) Communication method, communication system, mobile node, and communication node
CN1980231B (zh) 一种在移动IPv6中更新防火墙的方法
KR100922939B1 (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
JP2006229424A (ja) 通信装置およびパケットフィルタリング方法
Inoue et al. Secure mobile IP using IP security primitives
CN101399754B (zh) 一种移动ip穿越防火墙的方法及设备
Salsano et al. The UPMT solution (Universal Per-application Mobility Management using Tunnels)
CN100574228C (zh) 在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信
Brian et al. Security scheme for mobility management in the internet of things
Ishiyama et al. Design and implementation of mobile IP system with security consideration
Dhawale et al. A Robust Secured Mechanism for Mobile IPv6 Threats
Tsuda et al. Design and implementation of Network CryptoGate-IP-layer security and mobility support
Mehdizadeh et al. Experimental test-bed on security enhancement of Route Optimization in mobile IPv6 wireless networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080111

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090615

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090915

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100126