JP2006333210A - エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 - Google Patents
エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 Download PDFInfo
- Publication number
- JP2006333210A JP2006333210A JP2005155684A JP2005155684A JP2006333210A JP 2006333210 A JP2006333210 A JP 2006333210A JP 2005155684 A JP2005155684 A JP 2005155684A JP 2005155684 A JP2005155684 A JP 2005155684A JP 2006333210 A JP2006333210 A JP 2006333210A
- Authority
- JP
- Japan
- Prior art keywords
- sip
- proxy server
- alg
- mobile
- making
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 SIP通信協定構造をモバイルVPNエージェントとなす方法の提供。
【解決手段】 少なくとも一つのモバイルノードを外部ネットワーク中でローミングさせて内部ネットワークの通信ノードとの間で安全にデータ伝送させ、該内部ネットワークと外部ネットワークの間に第一SIPプロキシサーバー、アプリケーションレベルゲートウエー(ALG)、第二SIPプロキシサーバー及びAAAサーバーを構築する。第二SIPプロキシサーバーはモバイルノードが内部ネットワークに接続される時、通信ノード情報パケットのデータ伝送方向を改修し、ALGに伝送する。並びに該第一SIPプロキシサーバーが該AAAサーバーを通してモバイルノードに対して認証及び授権を行い、談判キーを生成し、該ALGに伝送し、最後にALGによりモバイルノードと通信ノード間の伝送を引き継ぎ、端末から端末間の伝送遅延及びパケットヘッダーの周波数幅消耗を減らす。
【選択図】 図3
【解決手段】 少なくとも一つのモバイルノードを外部ネットワーク中でローミングさせて内部ネットワークの通信ノードとの間で安全にデータ伝送させ、該内部ネットワークと外部ネットワークの間に第一SIPプロキシサーバー、アプリケーションレベルゲートウエー(ALG)、第二SIPプロキシサーバー及びAAAサーバーを構築する。第二SIPプロキシサーバーはモバイルノードが内部ネットワークに接続される時、通信ノード情報パケットのデータ伝送方向を改修し、ALGに伝送する。並びに該第一SIPプロキシサーバーが該AAAサーバーを通してモバイルノードに対して認証及び授権を行い、談判キーを生成し、該ALGに伝送し、最後にALGによりモバイルノードと通信ノード間の伝送を引き継ぎ、端末から端末間の伝送遅延及びパケットヘッダーの周波数幅消耗を減らす。
【選択図】 図3
Description
本発明はSIP(エスアイピー;Session Initiation Protocol)構造をモバイル仮想専用線網(VPN;Virtual Private Network)エージェントとなす方法に係り、特に、インターネットエンジニアリングタスクフォース(Internet Engineering Task Force;IETF)が規定するモバイルVPNが解決できない問題を改善する方法に関する。
仮想専用線網(VPN)は広域ネットワーク(例えばインターネット)を利用して遠方のユーザーのコンピュータと本地ネットワークのサーバーに専用のネットワークチャネルを構築する一種の仮想ネットワークであり、クローズドプライベートローカルエリアネットワーク内部におけるのと同様の安全な通信協定を提供する。
VPNは安全性確認のために以下のような基本要求を具えている。
1.ユーザー検証:VPNはユーザーの身分を検証し並びに厳格に認証授権後のユーザーでなければログインできないように厳格に制御しなければならない。
2.アドレス管理: VPNはユーザーに専用ネットワーク上のアドレスを分配し、並びにアドレスの安全性を確保しなければならない。
3.データ暗号化: インターネットを通して伝送されるデータは暗号化しなければならず、それによりインターネット上で未授権のユーザーによる情報の読み取りを確実に不可能とする。
4.暗号化キー管理: VPNはユーザーのコンピュータとサーバーの暗号化キーを生成及び更新しなければならない。
5.多種の協定を支援する: VPNはインターネット上で普通に使用される基本協定、例えばIP、IPX、PPTP(点対点トンネル協定)、L2TP(第二層トンネル協定)或いはIPSec(インターネット通信安全協定)を支援しなければならない。
1.ユーザー検証:VPNはユーザーの身分を検証し並びに厳格に認証授権後のユーザーでなければログインできないように厳格に制御しなければならない。
2.アドレス管理: VPNはユーザーに専用ネットワーク上のアドレスを分配し、並びにアドレスの安全性を確保しなければならない。
3.データ暗号化: インターネットを通して伝送されるデータは暗号化しなければならず、それによりインターネット上で未授権のユーザーによる情報の読み取りを確実に不可能とする。
4.暗号化キー管理: VPNはユーザーのコンピュータとサーバーの暗号化キーを生成及び更新しなければならない。
5.多種の協定を支援する: VPNはインターネット上で普通に使用される基本協定、例えばIP、IPX、PPTP(点対点トンネル協定)、L2TP(第二層トンネル協定)或いはIPSec(インターネット通信安全協定)を支援しなければならない。
インターネットプロトコル(IP)はコンピュータネットワーク(例えばインターネット)上でデータ伝送するのに使用される通信協定であり、IPにはどのような安全性メカニズムも規定されていない。このため、IETFは「Request for Comments(RFC)2401通信標準中に一種のIPSec協定を規定し、それはIPフロー暗号化の方法であり、ネットーク通信を保護し、データ改竄、第三者による盗み見、シミュレート、及びピックアップと複製を防止する標準である。
ただし、無線ネットワーク技術の迅速な発展により、無線伝送ネットワークに対していかにモバイルVPNを構築するかが相当に重要な研究課題となっており、無線技術を応用したモバイルVPNに対して、IETFはモバイルIPv4(IETF RFC 3344)協定標準を規定し、それは一部の固定されたメカニズムを利用してVPNクライアントがインターナショナルシームレスローミング(ISR)を行なうのを支援する。
この標準は、モバイルVPN中で二つのホームエージェント(Home Agent;HA)を、それぞれ内部ネットワーク(Internal network)のHA(i−HA)と外部ネットワーク(External network)のHA(x−HA)に定義し、該i−HAは内部ネットワークがモバイルノード(Mobile Node;MN)のローミング状況を管理するのに用いられ、該x−HAはモバイルノード(MN)がローミングして外部ネットワークに至る時、該MNのローミング状況を管理するのに用いられる。ただし、該モバイルIPv4標準には以下のような解決を要する問題がある。
例えば、該MN(例えば無線ネットワーク設備が取り付けられた携帯電話)が内部ネットワーク(例えばイントラネット)にあってローミングする時は、i−HAよりモバイルIP(Mobile IP;MIP)に該MNが提供され、該MNが内部ネットワークより外部ネットワークにローミングする時、もし外地支社がインターネットにより該内部ネットワークに接続されていれば、該MNはローカルネットワーク中のx−HAよりIPSecを安全基礎とするVPNゲートウエー(VPN Gateway)に進入してi−HAに対して登録を行い、該VPNゲートウエーが該x−HAに対してIPSecトンネル(tunnel)を構築する。
該MNはそれがローミングする外部ネットワーク中で、一つの新たな接続アドレス(Care of Address;CoA)を得て、並びに該VPNゲートウエーに該MNが毎回外部ネットワークにローミングする時にIPSecトンネルを更新するよう要求する。該x−HAは既に構築されたIPSecトンネルをx−HAトンネルの下に被覆し、既に構築されたIPSecトンネルを変更する必要をなくし、これにより該MNが該VPNゲートウエーより新たなCoAを獲得した後、該VPNゲートウエーの構築するIPSecトンネルは破壊されることがなく、ゆえにこの方法を用いてモバイルIPv4標準及びIPSec標準を改修する必要がなく、ただMNが必要とする接続アドレスCoAを改変する。
図1はIETFが規定するモバイルVPN標準構造表示図である。図1中にあって、MN 11はi−HA 12を通して内部ネットワーク10内にあってローミングし、MN 11が内部ネットワーク10より外部ネットワーク20に移る時、該MN 11はx−HA 21に対して登録を行なって新たなCoAを獲得する必要があり、x−HA 21は更にVPNゲートウエー22に対してIPSecトンネルのx−HA 21との接続構築を要求する。最後にVPNゲートウエー 22がi−HA 12に対して該MN 11のVPN−TIA(VPN Tunnel Inner Address)を登録し、構築されたIPSecトンネルを該i−HA 12に接続できるようにし、外部ネットワーク20及び内部ネットワーク10のいずれからでもローミングできる仮想専用線網(VPN)を形成する。
図2はIETFの規定するモバイルVPNが構築するトンネルの情報構造表示図である。該MN 11が内部ネットワーク10より外部ネットワーク20にローミングするトンネル信号データパケット30には、一層のオリジナルパケット31が包含され、オリジナルパケット31の前は一層の内部モバイルIP(i−MIP)のトンネル情報(該i−HAから該VPNゲートウエー22まで)で被包され、また、該IPSecトンネル情報33の外部は更に一層の外部モバイルIP(x−MIP)のトンネル情報34(該x−HA21からMN 1の接続アドレスまで)で被包される。
上述のIETFの方法中、ある問題が発生する。即ち、まず、x−HA 21の安全性が十分であるか、信頼出来るか、という問題である。次に、x−HA 21の放置点をどことするのが最も適当であるか、という問題であり、不当な放置位置はハンドオフ(handoff)と端末から端末の時間遅延に影響を与える。このほか、この三層のパケットヘッダ(内部モバイルIPトンネル情報32、IPSecトンネル情報33、及び外部移動IP(x−MIP)のトンネル情報34)が情報パケットの伝送時の連則性、外部ネットワーク伝送時の秘密保持性、及び内部ネットワークからの伝送の伝送能力を提供する。しかし、却ってアプリケーションレベルのロードデータが短くなり、この三層のパケットヘッダーは周波数幅の損耗を増加し、その性能を消耗する。
ゆえに、本願発明者は上述の既存のIETFが規定するモバイルVPNのもたらす問題点を解決するため、一種のSIP構造を移動式仮想専用線網エージェントとなす方法を提供し、不必要なモバイルIPトンネルがもたらすデータ伝送の端末から端末の長時間遅延を防止し、並びに情報パケットの秘密保持性も考慮し、各種の未だ信頼されていない(un−trusted)外部ネットワークと既に保護を受けている内部ネットワーク間の情報コミュニケーションに応用し、合理的且つ有効に上述の欠点を改善できるようにする。
本発明の主要な目的は、一種のSIP構造を移動式仮想専用線網エージェントとなす方法を提供することにあり、それは、IETF協定中に包含されるSIPプロキシサーバー、AAAサーバー、安全協定(Security protocols)及びMIDCOMを採用する。そのうち、SIPプロキシサーバーは便利なセクション創造及びログイン段階過程中の認証と授権を提供する。アプリケーションレベルゲートウエー(ALG)はMIDCOMの構造に準じ、SIPエージェントからの命令の受け取り、処理したデータの伝送の安全を提供し、これにより保護されていないデータの接続と保護を請け負い、AAAサーバーによる認証と授権を通して、僅かに一回の安全伝送協定の使用を達成し、三層パッケットヘッダーが消耗する資源を減少する。
上述の目的を達成するため、本発明は一種のSIP構造をモバイルVPNエージェントとして使用する方法を提供し、それは内部ネットワーク及び少なくとも一つの外部ネットワーク中に使用され、少なくとも一つのモバイルノード(MN)を外部ネットワーク中でローミングさせて内部ネットワーク中の通信ノードとの間で安全なデータ伝送を行なわせる。この方法は以下を包含する。即ち、
a.第一SIPプロキシサーバー及びアプリケーションレベルゲートウエー(ALG)を内部ネットワークと外部ネットワークの情報伝送経路の間に構築する。
b.第二SIPプロキシサーバーを内部ネットワーク中に構築する。
c.第二SIPプロキシサーバーが外部ネットワークをローミングするモバイルノードが内部ネットワークに接続しようとするのを検出すると、通信ノードSIP/SDP(Session Description Protocol)情報パケットのデータ伝送方向を改修し、アプリケーションレベルゲートウエー(ALG)に伝送する。
d.第一SIPプロキシサーバーが該モバイルノードに対して認証と授権を行い、談判キーを生成し、該アプリケーションレベルゲートウエー(ALG)に伝送し、該第一SIPプロキシサーバーと該アプリケーションレベルゲートウエー(ALG)間の安全な接続を構築する。
e.該アプリケーションレベルゲートウエー(ALG)により該モバイルノードと該通信ノード間の伝送を引き継ぐ。
a.第一SIPプロキシサーバー及びアプリケーションレベルゲートウエー(ALG)を内部ネットワークと外部ネットワークの情報伝送経路の間に構築する。
b.第二SIPプロキシサーバーを内部ネットワーク中に構築する。
c.第二SIPプロキシサーバーが外部ネットワークをローミングするモバイルノードが内部ネットワークに接続しようとするのを検出すると、通信ノードSIP/SDP(Session Description Protocol)情報パケットのデータ伝送方向を改修し、アプリケーションレベルゲートウエー(ALG)に伝送する。
d.第一SIPプロキシサーバーが該モバイルノードに対して認証と授権を行い、談判キーを生成し、該アプリケーションレベルゲートウエー(ALG)に伝送し、該第一SIPプロキシサーバーと該アプリケーションレベルゲートウエー(ALG)間の安全な接続を構築する。
e.該アプリケーションレベルゲートウエー(ALG)により該モバイルノードと該通信ノード間の伝送を引き継ぐ。
本発明は更に上述のSIP構造をモバイルVPNエージェントとして使用する方法を提供し、そのbのステップ中に、第二SIPプロキシサーバーは通信ノードが伝送する情報パケットの安全秘密保持機能を提供し、並びにそれをアプリケーションレベルゲートウエー(ALG)に伝送する。
本発明は更に上述のSIP構造をモバイルVPNエージェントとして使用する方法を提供し、そのdのステップ中に、第一SIPプロキシサーバーはAAAサーバーを通して認証と授権を行い、談判キーを生成する。
本発明は更に上述のSIP構造をモバイルVPNエージェントとして使用する方法を提供し、そのdのステップ中に、更に、
該第一SIPプロキシサーバーが該アプリケーションレベルゲートウエー(ALG)に十分な資源を保留して伝送中のデータを引き継ぐように命令するステップと、
該アプリケーションレベルゲートウエー(ALG)が必要な結果を第一SIPプロキシサーバーに応答してSIP情報フローに介入するステップ、
を包含する。
該第一SIPプロキシサーバーが該アプリケーションレベルゲートウエー(ALG)に十分な資源を保留して伝送中のデータを引き継ぐように命令するステップと、
該アプリケーションレベルゲートウエー(ALG)が必要な結果を第一SIPプロキシサーバーに応答してSIP情報フローに介入するステップ、
を包含する。
請求項1の発明は、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、内部ネットワーク(10)及び少なくとも一つの外部ネットワーク(20)中に使用されて、該外部ネットワーク(20)中でローミングする少なくとも一つのモバイルノード(MN)(11)と該内部ネットワーク(10)の通信ノード(15)との間で安全なデータ伝送を行なわせ、この方法は、
a.第一SIPプロキシサーバー(51)及びアプリケーションレベルゲートウエー(ALG)(52)を内部ネットワーク(10)と外部ネットワーク(20)の情報伝送経路の間に構築するステップ、
b.第二SIPプロキシサーバー(16)を内部ネットワーク(10)中に構築するステップ、
c.第二SIPプロキシサーバー(16)が外部ネットワーク(20)でローミングするモバイルノード(11)が内部ネットワーク(10)に接続しようとするのを検出すると、通信ノード(15)SIP/SDP(Session Description Protocol)情報パケットのデータ伝送方向を改修し、アプリケーションレベルゲートウエー(ALG)(52)に伝送するステップ、
d.第一SIPプロキシサーバー(51)が該モバイルノード(11)に対して認証と授権を行い、談判キーを生成し、該アプリケーションレベルゲートウエー(ALG)(52)に伝送し、該第一SIPプロキシサーバー(51)と該アプリケーションレベルゲートウエー(ALG)(52)間の安全な接続を構築するステップ、
e.該アプリケーションレベルゲートウエー(ALG)(52)により該モバイルノード(11)と該通信ノード(15)間の伝送を引き継ぐステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項2の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、bのステップ中に、第二SIPプロキシサーバー(16)が通信ノード(15)が伝送する情報パケットの安全秘密保持機能を提供し、並びにそれをアプリケーションレベルゲートウエー(ALG)(52)に伝送するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項3の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、cのステップの前に、第二SIPプロキシサーバー(16)が各SIPセッション(sessiohn)の各パケットを監視するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項4の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に、モバイルノード(11)が外部ネットワーク(20)に位置し、別の外部ネットワークにローミングしようとする時、該第一SIPプロキシサーバー(51)がSIP情報パケットを完全且つ順に該通信ノード(15)に応答し、これによりアプリケーションレベルゲートウエー(ALG)(52)と通信ノード(15)間の接続を保持することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項5の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップ中に第一SIPプロキシサーバー(51)はAAAサーバー(40)を通して認証と授権を行い、談判キーを生成することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項6の発明は、請求項5記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、AAAサーバー(40)が第一及び第二SIPプロキシサーバーの間に構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項7の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に更に、
該第一SIPプロキシサーバー(51)が該アプリケーションレベルゲートウエー(ALG)(52)に十分な資源を保留して伝送中のデータを引き継ぐように命令するステップと、
該アプリケーションレベルゲートウエー(ALG)(52)が必要な結果を第一SIPプロキシサーバー(51)に応答してSIP情報フローに介入するステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項8の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、モバイルノード(11)或いは通信ノード(15)が無線ネットワーク設備を取り付けたコンピュータとされたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項9の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、aのステップ中に、第一SIPプロキシサーバー(51)とアプリケーションレベルゲートウエー(ALG)(52)が内部ネットワーク(10)のエッジに構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
a.第一SIPプロキシサーバー(51)及びアプリケーションレベルゲートウエー(ALG)(52)を内部ネットワーク(10)と外部ネットワーク(20)の情報伝送経路の間に構築するステップ、
b.第二SIPプロキシサーバー(16)を内部ネットワーク(10)中に構築するステップ、
c.第二SIPプロキシサーバー(16)が外部ネットワーク(20)でローミングするモバイルノード(11)が内部ネットワーク(10)に接続しようとするのを検出すると、通信ノード(15)SIP/SDP(Session Description Protocol)情報パケットのデータ伝送方向を改修し、アプリケーションレベルゲートウエー(ALG)(52)に伝送するステップ、
d.第一SIPプロキシサーバー(51)が該モバイルノード(11)に対して認証と授権を行い、談判キーを生成し、該アプリケーションレベルゲートウエー(ALG)(52)に伝送し、該第一SIPプロキシサーバー(51)と該アプリケーションレベルゲートウエー(ALG)(52)間の安全な接続を構築するステップ、
e.該アプリケーションレベルゲートウエー(ALG)(52)により該モバイルノード(11)と該通信ノード(15)間の伝送を引き継ぐステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項2の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、bのステップ中に、第二SIPプロキシサーバー(16)が通信ノード(15)が伝送する情報パケットの安全秘密保持機能を提供し、並びにそれをアプリケーションレベルゲートウエー(ALG)(52)に伝送するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項3の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、cのステップの前に、第二SIPプロキシサーバー(16)が各SIPセッション(sessiohn)の各パケットを監視するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項4の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に、モバイルノード(11)が外部ネットワーク(20)に位置し、別の外部ネットワークにローミングしようとする時、該第一SIPプロキシサーバー(51)がSIP情報パケットを完全且つ順に該通信ノード(15)に応答し、これによりアプリケーションレベルゲートウエー(ALG)(52)と通信ノード(15)間の接続を保持することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項5の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップ中に第一SIPプロキシサーバー(51)はAAAサーバー(40)を通して認証と授権を行い、談判キーを生成することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項6の発明は、請求項5記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、AAAサーバー(40)が第一及び第二SIPプロキシサーバーの間に構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項7の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に更に、
該第一SIPプロキシサーバー(51)が該アプリケーションレベルゲートウエー(ALG)(52)に十分な資源を保留して伝送中のデータを引き継ぐように命令するステップと、
該アプリケーションレベルゲートウエー(ALG)(52)が必要な結果を第一SIPプロキシサーバー(51)に応答してSIP情報フローに介入するステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項8の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、モバイルノード(11)或いは通信ノード(15)が無線ネットワーク設備を取り付けたコンピュータとされたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
請求項9の発明は、請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、aのステップ中に、第一SIPプロキシサーバー(51)とアプリケーションレベルゲートウエー(ALG)(52)が内部ネットワーク(10)のエッジに構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法としている。
本発明はSIP通信協定構造をモバイルVPNエージェントとなす方法を提供し、それは、少なくとも一つのモバイルノードを外部ネットワーク中でローミングさせて内部ネットワークの通信ノードとの間で安全にデータ伝送させ、該内部ネットワークと外部ネットワークの間に第一SIPプロキシサーバー、アプリケーションレベルゲートウエー(ALG)、第二SIPプロキシサーバー及びAAAサーバーを構築する。第二SIPプロキシサーバーはモバイルノードが内部ネットワークに接続される時、通信ノード情報パケットのデータ伝送方向を改修し、ALGに伝送する。並びに該第一SIPプロキシサーバーが該AAAサーバーを通してモバイルノードに対して認証及び授権を行い、談判キーを生成し、該ALGに伝送し、最後にALGによりモバイルノードと通信ノード間の伝送を引き継ぎ、端末から端末間の伝送遅延及びパケットヘッダーの周波数幅消耗を減らす。
図3は本発明のSIPを基礎とするモバイルVPNのシステム構造表示図である。それは、内部ネットワーク(Home Network)10、少なくとも一つの外部ネットワーク(Foreign Network)20、アプリケーションレベルゲートウエー(ALG)52、第一SIPプロキシサーバー51、第二SIPプロキシサーバー16及びAAA(Authentication,Authorization,Accounting)サーバー40を包含する。
該内部ネットワーク10は少なくとも一つの通信ノード(Corresponding Node,CN)15を包含し、それは内部ネットワーク10のユーザーとされる。該外部ネットワーク20は少なくとも一つのモバイルノード(MN)11を賞翫し、該モバイルノード(MN)11は外部より該外部ネットワーク20中に移動しローミングするユーザーとされ、該通信ノード(CN)と接続を行なおうとしている。該通信ノード(CN)15とモバイルノード11は無線ネットワーク設備を取り付けたコンピュータとすることもできる。
該アプリケーションレベルゲートウエー(ALG)52は内部ネットワーク10及び外部ネットワーク20の情報伝送経路の間に位置し、該AAAサーバー40は該第一及び第二SIPプロキシサーバー51、16の間に位置する。該第一SIPプロキシサーバー51と該アプリケーションレベルゲートウエー(ALG)52は該内部ネットワーク10のエッジ(edge)に位置する。
図4は本発明のフローチャートである。本発明はSIP構造を内部ネットワーク10及び外部ネットワーク20間のモバイルVPNエージェントとなす方法であり、モバイルノード11に外部ネットワーク20中をローミングさせて内部ネットワーク10の通信ノード15との間で安全なデータ伝送を行なわせる。これにより、本発明はまず内部ネットワーク10及び外部ネットワーク20の情報伝送経路の間に、第一SIPプロキシサーバー51及びアプリケーションレベルゲートウエー(ALG)52を構築(S200)し、その後、内部ネットワーク10中に第二SIPプロキシサーバー16を構築(S201)する。
本発明は三つの段階を有している。
(1)ログイン段階(Signaling phase): SIP構造を使用して情報パケットの伝送に対してセッション(session)管理を行なう。
(2)キー交換段階(key exchange phase): モバイルノード(MN)11と仮想専用線網(VPN)間のキー交換を行ない、これにより情報パケット30伝送時の保護を提供する。
(3)伝送段階(transport phase): アプリケーションレベルゲートウエー(ALG)52を通して該通信ノード(CN)15の暗号化伝送情報を処理する。
(1)ログイン段階(Signaling phase): SIP構造を使用して情報パケットの伝送に対してセッション(session)管理を行なう。
(2)キー交換段階(key exchange phase): モバイルノード(MN)11と仮想専用線網(VPN)間のキー交換を行ない、これにより情報パケット30伝送時の保護を提供する。
(3)伝送段階(transport phase): アプリケーションレベルゲートウエー(ALG)52を通して該通信ノード(CN)15の暗号化伝送情報を処理する。
上述の三つの段階中にあって、第二SIPプロキシサーバー16は通信ノード(CN)15が伝送する情報パケットの安全機能を提供し、並びにそれをアプリケーションレベルゲートウエー(ALG)52に伝送する。また、該第二SIPプロキシサーバー16とアプリケーションレベルゲートウエー(ALG)52は相互に組み合わされて外部ネットワーク20に位置するモバイルノード11が伝送する情報パケットの安全秘密保持要求を満足させる。
ログイン段階において、内部ネットワーク10中の第二SIPプロキシサーバー16は該内部ネットワーク10中に進入する各SIPセッションの各パケットを監視する(S205)。第二SIPプロキシサーバー16が外部ネットワーク20をローミングするモバイルノード(MN)11が内部ネットワーク10に接続しようとするのを検出する時、該第二SIPプロキシサーバー16はアプリケーションレベルゲートウエー(ALG)52中の十分な資源を分配し、並びに通信ノード(CN)15のSIP/SDP情報パケットのデータ伝送方向を改修し、これら情報パケットをアプリケーションレベルゲートウエー(ALG)52に伝送する(S210)。
また、モバイルノード(MN)11が外部ネットワーク20に位置し、別の外部ネットワークにローミングしようとする時、該第一SIPプロキシサーバー51はSIP情報パケットを完全に且つ順に該モバイルノード(MN)11に応答させ、これによりアプリケーションレベルゲートウエー(ALG)52と通信ノード(CN)15の間の接続を保持する。
キー交換段階にあって、キー管理協定とキー交換の要求はいずれも安全伝送協定の規範に基づく。例えばもしIPSec(IP security protocol)wo安全協定として使用する時は、IKE(Internet Key Exchange Protocol)が好ましい選択であり、このとき、該アプリケーションレベルゲートウエー(ALG)52がモバイルノード(MN)11とのキー交換に用いられる。
キー交換の第1ステップは第一SIPプロキシサーバー51がモバイルノード(MN)11に対して認証と授権を行い、AAAサーバー40によりこの認証と授権の動作を行ない、SIPプロキシサーバー中では一般にRADIUS(Remote Access Dial−up User Service)サーバーとDIAMETERサーバーがAAAサーバー40として使用される。
授権の後、AAAサーバー40は談判キーを生成するか或いは直接プライベートキーを談判キーとなす。該談判キーはキー管理協定(key management protocol)に使用され、並びに交換してセッションキー(Session keys)とされる。最後に談判キー或いはセッションキーを第一SIPプロキシサーバー51を通してアプリケーションレベルゲートウエー(ALG)52に伝送する(S215)。
伝送段階にあって、該第一SIPプロキシサーバー51と該アプリケーションレベルゲートウエー(ALG)52の間の相互動作は相当に重要な役割を果たし、その間の関係はMIDCOM協定の規定に準じ、第一SIPプロキシサーバー51はMIDCOMのエージェントとされ、該アプリケーションレベルゲートウエー(ALG)52はそのクライアントとされる。
該第一SIPプロキシサーバー51は該アプリケーションレベルゲートウエー(ALG)52に十分な資源を伝送中のデータを引き継ぐために保留するよう命令できる。該アプリケーションレベルゲートウエー(ALG)52は必要な結果を第一SIPプロキシサーバー51に応答してSIP情報フローに介入する(S220)。言い換えると、該第一SIPプロキシサーバー51は談判キー、セッションキー、或いはその他の関係する安全要素を提供する必要があり、これにより該アプリケーションレベルゲートウエー(ALG)52と安全な接続を構築する。
以上の三段階が完全に完成した後、モバイルノード(MN)11と通信ノード(CN)15間の伝送はアプリケーションレベルゲートウエー(ALG)52により引き継がれ(S230)、外部ネットワーク20中にあって、該アプリケーションレベルゲートウエー(ALG)52とモバイルノード(MN)11間の伝送は安全協定に依存する。
本発明はIETF協定中に包含されるSIPプロキシサーバー、AAAサーバー、安全プロトコル、及びMIDCOMを採用する。そのうち、SIPプロキシサーバーは便利なセクション創造及びログイン段階過程中の認証と授権を請け負う。該アプリケーションレベルゲートウエー(ALG)はMIDCOMの構造を遵守し、SIPプロキシサーバーからの命令を受け取り、処理するデータ伝送の安全を提供し、これにより保護されていないデータの接続と保護を請け負い、授権されていないデータは該アプリケーションレベルゲートウエー(ALG)を通り内部ネットワーク中に進入できないものとする。
本発明はモバイルIPに使用される三層トンネル式の安全協定とは異なり、該アプリケーションレベルゲートウエー(ALG)はただ一層の安全伝送協定を使用し、これにより不必要な情報パケットヘッダーを回避でき、ゆえに端末から端末の伝送遅延と周波数幅消耗を減らすことができる。
ゆえに本発明は上述に記載の技術により、SIP構造をモバイルVPNエージェントとなす方法を提供し、重複して何度も同一情報パケットを伝送するのを防止し、並びに情報パケットの秘密保持性も考慮し、各種の信頼されていない(un−trusted)外部ネットワークと既に保護された内部ネットワーク間の情報コミュニケーションに応用可能で、明らかに周知の設計とは異なり、その全体の使用価値が高められ、またその出願前に頒布された刊行物に記載がなく公開使用もされていないため、特許の要件に符合する。
なお、以上の実施例は本発明の実施範囲を限定するものではなく、本発明に基づきなしうる細部の修飾或いは改変は、いずれも本発明の請求範囲に属するものとする。
10 内部ネットワーク
11 モバイルノード(MN)
12 内部ホームエージェント(i−HA)
15 通信ノード(CN)
16 第二SIPプロキシサーバー(SIP Proxy Server 2)
20 外部ネットワーク(Foreign Network)
21 外部ホームエージェント(x−HA)
22 VPNゲートウエー
30 トンネル信号データパケット
31 オリジナルデータパケット
32 内部モバイルIPトンネル情報
33 IPSecトンネル情報
34 外部モバイルIPトンネル情報
40 AAAサーバー
51 第一SIPプロキシサーバー(SIP Proxy Server 1)
52 アプリケーションレベルゲートウエー(ALG)
11 モバイルノード(MN)
12 内部ホームエージェント(i−HA)
15 通信ノード(CN)
16 第二SIPプロキシサーバー(SIP Proxy Server 2)
20 外部ネットワーク(Foreign Network)
21 外部ホームエージェント(x−HA)
22 VPNゲートウエー
30 トンネル信号データパケット
31 オリジナルデータパケット
32 内部モバイルIPトンネル情報
33 IPSecトンネル情報
34 外部モバイルIPトンネル情報
40 AAAサーバー
51 第一SIPプロキシサーバー(SIP Proxy Server 1)
52 アプリケーションレベルゲートウエー(ALG)
Claims (9)
- エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、内部ネットワーク(10)及び少なくとも一つの外部ネットワーク(20)中に使用されて、該外部ネットワーク(20)中でローミングする少なくとも一つのモバイルノード(MN)(11)と該内部ネットワーク(10)の通信ノード(15)との間で安全なデータ伝送を行なわせ、この方法は、
a.第一SIPプロキシサーバー(51)及びアプリケーションレベルゲートウエー(ALG)(52)を内部ネットワーク(10)と外部ネットワーク(20)の情報伝送経路の間に構築するステップ、
b.第二SIPプロキシサーバー(16)を内部ネットワーク(10)中に構築するステップ、
c.第二SIPプロキシサーバー(16)が外部ネットワーク(20)でローミングするモバイルノード(11)が内部ネットワーク(10)に接続しようとするのを検出すると、通信ノード(15)SIP/SDP(Session Description Protocol)情報パケットのデータ伝送方向を改修し、アプリケーションレベルゲートウエー(ALG)(52)に伝送するステップ、
d.第一SIPプロキシサーバー(51)が該モバイルノード(11)に対して認証と授権を行い、談判キーを生成し、該アプリケーションレベルゲートウエー(ALG)(52)に伝送し、該第一SIPプロキシサーバー(51)と該アプリケーションレベルゲートウエー(ALG)(52)間の安全な接続を構築するステップ、
e.該アプリケーションレベルゲートウエー(ALG)(52)により該モバイルノード(11)と該通信ノード(15)間の伝送を引き継ぐステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。 - 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、bのステップ中に、第二SIPプロキシサーバー(16)が通信ノード(15)が伝送する情報パケットの安全秘密保持機能を提供し、並びにそれをアプリケーションレベルゲートウエー(ALG)(52)に伝送するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、cのステップの前に、第二SIPプロキシサーバー(16)が各SIPセッション(sessiohn)の各パケットを監視するステップを包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に、モバイルノード(11)が外部ネットワーク(20)に位置し、別の外部ネットワークにローミングしようとする時、該第一SIPプロキシサーバー(51)がSIP情報パケットを完全且つ順に該通信ノード(15)に応答し、これによりアプリケーションレベルゲートウエー(ALG)(52)と通信ノード(15)間の接続を保持することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップ中に第一SIPプロキシサーバー(51)はAAAサーバー(40)を通して認証と授権を行い、談判キーを生成することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項5記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、AAAサーバー(40)が第一及び第二SIPプロキシサーバーの間に構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、dのステップの後に更に、
該第一SIPプロキシサーバー(51)が該アプリケーションレベルゲートウエー(ALG)(52)に十分な資源を保留して伝送中のデータを引き継ぐように命令するステップと、
該アプリケーションレベルゲートウエー(ALG)(52)が必要な結果を第一SIPプロキシサーバー(51)に応答してSIP情報フローに介入するステップ、
を包含することを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。 - 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、モバイルノード(11)或いは通信ノード(15)が無線ネットワーク設備を取り付けたコンピュータとされたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
- 請求項1記載のエスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法において、aのステップ中に、第一SIPプロキシサーバー(51)とアプリケーションレベルゲートウエー(ALG)(52)が内部ネットワーク(10)のエッジに構築されたことを特徴とする、エスアイピープロトコル構造を移動式仮想専用線網エージェントとなす方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005155684A JP2006333210A (ja) | 2005-05-27 | 2005-05-27 | エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005155684A JP2006333210A (ja) | 2005-05-27 | 2005-05-27 | エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006333210A true JP2006333210A (ja) | 2006-12-07 |
Family
ID=37554401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005155684A Pending JP2006333210A (ja) | 2005-05-27 | 2005-05-27 | エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006333210A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010515315A (ja) * | 2006-12-28 | 2010-05-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルipプロキシ |
| CN112738051A (zh) * | 2020-12-24 | 2021-04-30 | 深圳赛安特技术服务有限公司 | 数据信息加密方法、系统及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004523828A (ja) * | 2001-01-31 | 2004-08-05 | テルコーディア テクノロジーズ インコーポレイテッド | セッション開始プロトコル(sip)を使用してネットワーク対応機器と通信するシステムおよび方法 |
| JP2004531110A (ja) * | 2001-01-31 | 2004-10-07 | テルコーディア テクノロジーズ インコーポレイテッド | Sipのユーザエージェントの機能をプロキシにアウトソーシングするシステムおよび方法 |
| CN1835480A (zh) * | 2005-03-15 | 2006-09-20 | 合勤科技股份有限公司 | 使用sip通信协议架构作为移动式vpn代理器的方法 |
| EP1708449A1 (en) * | 2005-04-01 | 2006-10-04 | Zyxel Communications Corporation | Mobile VPN proxy method based on session initiation protocol |
| US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
-
2005
- 2005-05-27 JP JP2005155684A patent/JP2006333210A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004523828A (ja) * | 2001-01-31 | 2004-08-05 | テルコーディア テクノロジーズ インコーポレイテッド | セッション開始プロトコル(sip)を使用してネットワーク対応機器と通信するシステムおよび方法 |
| JP2004531110A (ja) * | 2001-01-31 | 2004-10-07 | テルコーディア テクノロジーズ インコーポレイテッド | Sipのユーザエージェントの機能をプロキシにアウトソーシングするシステムおよび方法 |
| CN1835480A (zh) * | 2005-03-15 | 2006-09-20 | 合勤科技股份有限公司 | 使用sip通信协议架构作为移动式vpn代理器的方法 |
| EP1708449A1 (en) * | 2005-04-01 | 2006-10-04 | Zyxel Communications Corporation | Mobile VPN proxy method based on session initiation protocol |
| US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010515315A (ja) * | 2006-12-28 | 2010-05-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルipプロキシ |
| CN112738051A (zh) * | 2020-12-24 | 2021-04-30 | 深圳赛安特技术服务有限公司 | 数据信息加密方法、系统及计算机可读存储介质 |
| CN112738051B (zh) * | 2020-12-24 | 2023-12-01 | 深圳赛安特技术服务有限公司 | 数据信息加密方法、系统及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7890759B2 (en) | Connection assistance apparatus and gateway apparatus | |
| KR100996405B1 (ko) | 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어 | |
| CA2482648C (en) | Transitive authentication authorization accounting in interworking between access networks | |
| US20060230445A1 (en) | Mobile VPN proxy method based on session initiation protocol | |
| Patel et al. | Securing L2TP using IPsec | |
| KR100420265B1 (ko) | 무선 인터넷 망간 접속 방법 | |
| EP1661319B1 (en) | System and method for roaming between a first network and a second network | |
| US7486951B2 (en) | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same | |
| US20020059516A1 (en) | Securing Voice over IP traffic | |
| EP2159988B1 (en) | Authentication and authorisation of a remote client | |
| US7477626B2 (en) | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same | |
| Vaarala et al. | Mobile IPv4 traversal across IPsec-based VPN gateways | |
| WO2009012675A1 (fr) | Passerelle de réseau d'accès, terminal, procédé et système pour établir une connexion de données | |
| CN100423517C (zh) | 使用sip通信协议架构作为移动式vpn代理器的方法 | |
| Arkko et al. | Limitations of IPsec policy mechanisms | |
| EP1708449A1 (en) | Mobile VPN proxy method based on session initiation protocol | |
| JP2006333210A (ja) | エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 | |
| Chen et al. | Secure network mobility (SeNEMO) for real-time applications | |
| JP2006352182A (ja) | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 | |
| Kasera et al. | On securely enabling intermediary-based services and performance enhancements for wireless mobile users | |
| Zrelli et al. | Access control architecture for nested mobile environments in IPv6 | |
| EP1638285B1 (en) | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same | |
| EP1638287B1 (en) | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for same | |
| KR20030050550A (ko) | 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법 | |
| Chaouchi et al. | Signalling analysis in integrated 4G networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070105 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071220 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20071221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091013 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100907 |