JP2007036641A - ホームエージェント装置、及び通信システム - Google Patents

ホームエージェント装置、及び通信システム Download PDF

Info

Publication number
JP2007036641A
JP2007036641A JP2005216643A JP2005216643A JP2007036641A JP 2007036641 A JP2007036641 A JP 2007036641A JP 2005216643 A JP2005216643 A JP 2005216643A JP 2005216643 A JP2005216643 A JP 2005216643A JP 2007036641 A JP2007036641 A JP 2007036641A
Authority
JP
Japan
Prior art keywords
communication
mobile terminal
terminal
communication partner
location registration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005216643A
Other languages
English (en)
Inventor
Tadashi Yano
正 矢野
Takehiro Morishige
健洋 森重
Katsumi Konishi
勝己 小西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Communication Technologies Ltd
Original Assignee
Hitachi Communication Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Communication Technologies Ltd filed Critical Hitachi Communication Technologies Ltd
Priority to JP2005216643A priority Critical patent/JP2007036641A/ja
Priority to US11/328,144 priority patent/US20070025309A1/en
Priority to CNA2006100051070A priority patent/CN1905519A/zh
Publication of JP2007036641A publication Critical patent/JP2007036641A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】MobileIPv6を利用した通信において移動端末と通信相手間でセキュリティを確保できない場合に、経路を最適化した通信を行うと移動先において通信傍受などの脅威にさらされてしまう。
【解決手段】移動端末はMobileIPv6を利用した通信を行う場合で、通信相手と経路を最適化した通信を行う場合にはIPsecを利用するように自動設定する機能を有し、通信相手とのIPsecの設定に失敗した場合にはMN-HAとIPsecで保護されたトンネルを利用する機能を有する。
【選択図】図8

Description

本発明は移動データ通信システムに係り、特に端末がネットワーク間を移動して通信を行う場合にパケットの暗号化によってセキュリティを確保する技術に関する。
ノート型パソコンやPDA(Personal Digital Assistant)のような小型軽量の端末の普及やインターネットの爆発的な普及により、自宅やオフィス以外の外出先においても端末を使用できる環境が整備されている。また、第3世代携帯電話、PHS、無線LANを利用したホットスポットサービスなど高速の公衆無線によるIPネットワークへのアクセス環境が整備されてきた。
一般にIPネットワークは、ネットワーク番号が異なる複数のネットワーク(サブネットワークという)を互いに接続することにより構成され、サブネットワークに接続される端末にはサブネットワークごとに割り当てられているIPアドレス群の中からIPアドレスが与えられる。一般にサブネットワーク間転送されるパケットはネットワーク番号に基づいてパケットをフォワーディングしているため、端末は別のサブネットワークに移動するたびに異なるIPアドレスを移動先のサブネットワークに割り当てられたIPアドレス群から割り当ててもらう必要がある。
インターネットの通信プロトコルとして広く用いられている32ビットのアドレス空間を持つIPv4に代わって、次世代のインターネット通信プロトコルとしてアドレス空間を128ビットへ拡張したIPv6が普及しつつある。IPv6では、上記の問題を解決するために端末が他のサブネットワークに移動した場合にもコネクションを引き続いて保つことを可能にするMobile IPv6 (RFC3775)と呼ばれる技術が提案され、インターネット標準化委員会IETF (Internet Engineering Task Force)において標準化されている。
Mobile IPv6では、移動端末は、上記サブネットワークの中に、移動端末が普段属しているサブネットワーク(ホームネットワークという)を定める。移動端末はホームネットワークで使用するIPアドレスとしてホームアドレスが割り当てられ、ホームネットワークには当該サブネットワークをホームネットワークとする移動端末の位置情報を管理する機能を持つホームエージェント装置を置く。
各サブネットワークには、IPv6のプレフィックスアドレスが割り当てられる。各移動端末は移動先のサブネットワークにおいて、移動先のサブネットワークのプレフィックスアドレスを移動先の広告ルータが広告するRA(Router Advertisement)情報から取得し、IPv6のAuto Configuration機能、あるいはDHCP(Dynamic Host Configuration Protocol)によりアドレスを割り当ててもらうことにより、移動先のサブネットワークで一時的に使用する気付けアドレス(Care-of Address)を取得する。移動端末は取得した気付けアドレスをホームエージェント装置に通知し、以後ホームエージェント装置は端末のホームアドレス宛に届いたIPv6パケットを捕捉してカプセル化して気付けアドレス宛てに送り、移動端末は気付けアドレス宛てに届いたカプセル化されたパケットのカプセルをはずし、ホームアドレス宛てに届いたIPv6パケットを受信する。
上記の場合、移動端末と通信相手のパケットは一旦、ホームエージェント装置を介するために最適な経路の通信とならない。このため、移動端末はホームエージェント装置を介してトンネル経由で通信相手からのパケットを受信した場合、通信相手に対してホームエージェント装置を介することなく直接通信する機能を保持しているかどうかを試すRR(Return Routability)手順を行う。RR手順が成功した場合には移動端末はホームエージェント装置への位置登録と同様に、移動先のサブネットワークで一時的に使用する気付けアドレスを通信相手に通知する位置登録を行い、以後通信相手は気付けアドレスを利用して移動端末に直接パケットを送ることにより経路を最適化する(非特許文献1参照)。
次に、Mobile IPv6におけるセキュリティの問題について述べる。Mobile IPv6では、移動端末とホームエージェント装置間の位置登録のパケット保護するために、IPパケットの認証・暗号化を行うIPsecの使用が必須とされている(RFC3776)。これは、認証されていない相手からの位置登録パケットを受け付けてしまうと、本来送信される相手でなく、認証されていない別のあて先にパケットが転送されてしまい、成りすましや通信内容傍受などのセキュリティ上の問題を生じてしまうことによる(非特許文献2参照)。同様のことは移動端末と通信相手間において経路の最適化に使用される位置登録についても同様のことが言える。
また、移動先のネットワークにおいてはたとえば無線LANを使用している場合、暗号化がなされていない基地局や、基地局の暗号機能を利用している場合でも基地局の使用者間で同じ暗号の鍵情報を利用した運営を行っている場合には容易に通信内容を傍受することが可能である。このように、移動先のネットワークにおいては、通常利用しているホームネットワークと比較するとセキュリティ上の問題がある場合が見られる。
これを解決するために、上記で述べたIPsecを位置登録を行うパケットだけでなく、ユーザパケットに対しても適用することが考えられる。IPsecは、RFC2401によって規定されており、送信者と受信者間で安全な通信を行うために共通鍵によって認証・暗号化される(非特許文献3参照)。このため、送受信者の間ではIPsecによる通信を行う前に、共通鍵、認証・暗号アルゴリズム、アルゴリズムに必要なパラメータ等をあらかじめ決めておく必要がある。この取り決めをセキュリティアソシエーション(SA)と呼ぶ。また、IPsec通信を行うノードにはどのパケットに対して適用するかの方針を示すセキュリティポリシーデータベース(SPD)が格納され、このポリシーに適合した通信相手と通信を行う場合には上記のSA情報に基づいて認証・暗号化される。
IPsecはMobile IPv6環境においても適用可能であり、移動端末とホームエージェント装置間の位置登録パケットだけでなく、移動端末と通信相手間のパケットをホームエージェント装置経由で通信する場合、移動端末とホームエージェント装置間のパケット転送に利用されるトンネルをIPsecによって保護することによってセキュリティを保つことができる。
C. Perkins, J. Arkko 「Mobility Support in IPv6」 RFC3775 , 2004年6月
J. Arkko, V. Devarapalli, F. Dupont 「Using IPsec to Protect Mobile IPv6 Signaling Between Mobile Nodes and Home Agents」 RFC3776, 2004年6月 S.Kent, R. Atkinson, 「Security Architecture for the Internet Protocol」 RFC2401, 1998年11月
上記のように、Mobile IPv6の環境においてもIPsecを利用した通信を行うことができる。しかし、移動端末が安全なホームネットワークにいる場合で、通信相手も安全なネットワークにいる場合など通常はIPsecを使用していない移動端末がホームネットワークから移動し、移動先において通信を行う場合を考える。この場合、移動端末、通信相手ともにセキュリティポリシーデータベースに登録されていないため、移動先のネットワークにおいて安全な通信を行うためには、移動時のみ互いにセキュリティポリシーデータベース、セキュリティアソシエーションの設定を行わない限りIPsecによる安全な通信ができない。このため、移動時のみ経路最適化を行う場合には移動端末と通信相手に対してIPsecのセキュリティポリシーデータベースやセキュリティアソシエーションの設定を行うなど利用者、サーバの管理者、移動端末、サーバの負担が増加してしまう。
また、移動端末等と通信相手の間でセキュリティポリシーデータベース、セキュリティアソシエーションの設定ができなかった場合、端末が移動先においてセキュリティが確保されていない設定の無線LAN等を利用していると通信傍受などの脅威にさらされてしまう。このような場合には、経路の最適化を利用せずに、移動端末と通信相手間のパケットは、経路最適化を利用せずにホームエージェント装置と移動端末間のセキュリティを確保されたトンネルを用い、ホームエージェント装置経由で通信を行ったほうが良い。このため、移動端末と通信相手間でIPsecのセキュリティアソシエーションが確保できない場合には経路最適化を利用せずにホームエージェント経由で通信を行うように設定を変更する必要があり、利用者、端末に煩雑な手順を要求してしまう。
本発明の目的は、移動通信ネットワーク内の端末間の通信を安全に行うためのセキュリティの設定について自動化しつつセキュリティを確保することを目的とする。本発明の一つの形態として、本発明で利用される移動端末と通信相手は、MobileIPv6における経路最適化を行う手段を有しているものとする。また、移動端末には移動端末に設定されたセキュリティポリシーデータベースとセキュリティアソシエーションに基づいて通信相手とIPsecによる暗号化通信を行う機能を有しているものとする。
移動端末は、通常属しているホームネットワークから移動した場合、移動先のルータに含まれるルータ広告から移動先のネットワークにおいて一時的に利用する気付けアドレスを生成し、この気付けアドレスをホームエージェント装置にホームアドレスと共に位置登録する。ホームエージェント装置は有効な位置登録を受信した場合、ホームエージェント装置内部に先ほどのホームアドレスと気付けアドレスに対応付けをテーブルに保持し、移動端末のホームアドレス宛のパケットを捕捉する機能を有し、捕捉したパケットを移動端末の気付けアドレス宛にカプセル化して転送する機能を有する。また、移動端末とホームエージェント装置間には、位置登録のパケットおよびユーザデータのパケットを保護するために、予め位置登録に使用されるパケットとユーザデータパケットを保護するためのセキュリティポリシーデータベースおよびセキュリティアソシエーションを静的に設定、あるいは動的に作成・設定する機能をお互いに有している。
移動端末は、通信相手からのパケットを移動先のネットワークにおいてホームエージェント装置を介して気付けアドレス宛にカプセル化されたパケットの形で受信した場合に、通信相手がホームエージェント装置を介さずに直接通信する経路最適化機能を有しているかどうかテストする機能を有している。移動端末はこのテストに成功した場合には、通信相手とやり取りするパケットをIPsecによって保護されるように設定する機能を有する。
本発明によると、移動端末は通信相手が経路最適化した通信を行う機能を有する場合で、かつ移動端末と通信相手との間でIPsecによる保護された通信が可能な場合には経路最適化通信が可能なように自動的に設定し、移動端末と通信相手との間でIPsecによる保護された通信ができない場合には、移動端末とホームエージェント装置間でカプセル化して転送する機能を利用して通信を行うように設定することにより、移動端末が移動先においても保護された通信を提供することが可能となる。
移動端末が移動先においても利用者の手を煩わせることなくIPsecによって保護された通信を提供することが可能となる。
図1は本発明の実施例による移動通信システムのシステム構成図である。図1において(101)は、ホームエージェント装置(以下HAと略)であり、移動端末(以下MNと略)(105)からの位置登録(BU: Binding Update)を受け付けてMNの位置管理を行い、移動端末がホームネットワーク(102)以外の他のサブネットワーク(107)に移動した場合に、MN(105)のホームアドレス宛に送られてきたパケットを捉えてカプセル化し、位置登録時に登録された気付けアドレス宛に転送する機能を有する。(103)はルータでありIPパケットの転送を行い、また当該サブネットワーク内に存在している端末に対して端末が位置しているサブネットワーク(107)の情報を広告しており、(104)は無線LAN等の基地局であり移動端末などを収容している。(105)はMNであり、MNは固定アドレスとしてホームネットワークに属するアドレスを持ち、移動時には移動先のサブネットワーク(107)において、移動先のルータ(103)が広告するサブネットワークの情報に基づいて気付けアドレスをIPv6のIPv6ステートレスアドレス自動設定機能、あるいはDHCPv6(Dynamic Host Configuration Protocol v6)などを用いて取得し、HA(101)に位置登録を行う機能を有する。(106)はMN(105)の通信相手(以下CNと略)となる端末、あるいはサーバであり、MNと通信を行う際にHA(101)経由で行うことも、あるいは移動端末と経路最適化を行うことにより直接通信を行うことも可能である。
次に図2を用いて、MN(105)がCN(106)と経路を最適化して、IPsecによって安全な通信を行うまでの動作について述べる。MN(105)はホームネットワーク(102)から移動し、移動先のサブネットワーク(107)に移動した場合、最初にMN(105)は基地局(104)がサービスを行っているサービス範囲内で、ルータ(103)が広告しているRouter Advertisement(201)を受信して、この中に含まれているPrefix情報により移動した先のサブネットワークのPrefix情報を取得して気付けアドレスを生成する。あるいは、DHCPv6(Dynamic Host Configuration Protocol IPv6)など用いて移動先のネットワークより気付けアドレスを取得しても良い。MN(105)は、HA(101)に位置登録を行う際に、不正な移動端末からの位置登録を排除し、位置登録パケットの改ざん防止するために、MN-HA間のパケットの共通鍵よる暗号化あるいはメッセージ認証を行うIPsecを使用する。(202)はIPsecを利用するためにMN-HA間で暗号あるいはメッセージ認証に使用するアルゴリズムや鍵を動的に交換しSA(Security Association)を作成するIKE(Internet Key Exchange)の動作を示す。SAの作成には、(202)のように動的に作成しても良いし、MN-HA間で事前に互いに設定しておいても良い。(203)はMNがHAに対して位置登録を行うもので前記のMNが取得した気付けアドレスとMNのホームアドレスとを前記HA(101)に対して通知する。(204)は前記位置登録(203)に対するHAの応答であり、HAがMNからの位置登録を受け付けたことを示す。(205)は、MNがHAを経由してCN(106)と通信を行う場合に、MNとCNで通信されるパケットを、MNとHA間でパケットをトンネル化して送受信する場合に使用されるIPsecトンネル(207)について、暗号化あるいはメッセージ認証に使用するアルゴリズムや鍵を動的に交換しSA(Security Association)を作成するためのIKE(Internet Key Exchange)である。このSAの作成にも前記のMN-HA間のパケットのためのSAと同様にMN-HA間で事前に互いに設定しておいても良い。MNは通信相手となるCN(106)からのパケットを上記のMN-HA間のIPsecトンネルを通じて受信した場合には(206)、MN-CN間の位置登録(224)に含まれるハッシュ値を計算するための鍵交換のRR(Return Routability)手順(207)〜(211)を開始する。この手順に対応できないCNに対してMNは位置登録を送信せずHA-MN間のIPsecトンネルを使用した通信を行う。このため、RR手順は、CNが経路の最適化に対応しているかを確認することにも利用可能である。(208)はHoTI(Home Test Init)であり、位置登録(224)で使用されるハッシュ値の計算のためのホーム開始クッキー値などをHA経由でCNに送信する。(210)はCoTI(Care-of Test Init)であり、位置登録(224)で使用されるハッシュ値の計算のための気付け開始クッキー値などをCNに直接送信する。HoTI(208)はMN-HA間のIPsecトンネル(207)を経由してCN(106)に送信され、CoTIはHAを経由せずに直接CNに送信される。CNからのHoTIに対する応答としてのHoT(Home Test)(209)をMN-HA間のIPsecトンネルを経由して受信し、CNからのCoTIに対する応答としてのCoT(Care-of Test)(211)をMNが受信し、両方に誤りの無い場合にはCN(106)が経路の最適化に対応した機能を持つことを示している。この場合MN(105)は、CN(106)とIPsecによる暗号通信が可能かどうかを試み、IPsecによって通信が可能な場合にのみ経路最適化を行う。MN(105)はCN(106)とのIPsecによる暗号化通信ができないと判断したときには、MN(105)はCN(106)に対して位置登録を行わない。これによりCNとMN間のパケットはHAを経由し、HAとMN間のIPsecによって保護されているトンネルを通るため、MNの移動先においてもMNとCN間のパケットはIPsecによって保護される。このため、MNはRR手順が成功した場合で、CNと暗号化通信を行うことをSPD(Security Policy Database)に動的に追加する(212)。MNのSPDにCNが追加されると、次にMN(105)はCN(106)に対して位置登録を(226)を送信しようとするが、SPDにCN(106)が追加されたために位置登録の送信前に暗号通信が可能か、CN(106)と暗号化あるいはメッセージ認証の使用するアルゴリズムや鍵を動的に交換するIKEを起動し、SA(Security Association)を作成する(213)〜(223) 。このIKEはMN-HA間のIPsecトンネル(207)を通じてHA(101)を経由して行われる。(213)〜(218)はIKEのPhase1(219)と呼ばれる手順で、メインモードあるいはアグレッシブモードで行われる。メインモードでは6つのメッセージを使用してPhase1を終了しID情報が保護されるのに対し、アグレッシブモードでは3つのメッセージによりPhse1が終了するがID情報が保護されない場合がある。ID情報としてIPアドレスを使用し、事前共有秘密鍵認証方式を利用するときにはアグレッシブモードを使用する。IKEのPhase1(219)では、ISAKMP SAが作成されるが、移動前に既にMN-CN間でISAKMP SAが作成されている場合には省略しても良い。MNとCNは作成されたISAKMP SAを利用して、(220)〜(222)のIKEのPhase2(223)によってMN-CN間のパケットを保護するために使用される暗号化アルゴリズム、認証アルゴリズム、鍵、IPsec SAの有効時間等を互いに交渉し・設定する。MNはCNとのIKEに成功した場合にはMNはCNとの通信用のSAを設定し(224) 、CNはMN用のSAを設定する(225)。次にMNはCNに対してIPsecによって保護された位置登録(226)を送信する。CNは位置登録を受信した場合には、位置登録に対する応答(227)を返しても良い。以後、MN(105)とCN(106)はHA(101)を介さずに直接通信することが可能となる。これにより、MN(105)がホームネットワークに収容されている時点においてはIPsecによって通信を行っていなかったCNに対しても、盗聴等のセキュリティの上の懸念があるネットワークに移動した場合には動的にIPsecの設定を変更することが可能となり、安全な通信が可能となる。
図3の動作は、図2と同様にMNが移動した場合でMN-CN間のIKEに失敗した場合の動作を示すものである。MNは図2と同様にRAを受信後(201)、HAとの間でIKE(202)を行って、SAを作成して位置登録を実施する(203)(204) 。さらに、MN-HA間のIPsecトンネル用のSAをIKEによって作成する(205)。次にMNは、CNからMN-HA間のIPsecトンネル経由(207)でパケットを受信した場合には(206)、RR手順((208)-(211))を実行する。MNはRR手順が成功した場合には、CNと暗号化通信を行うことをSPD(Security Policy Database)に動的に追加する(212)。MNのSPDにCNが追加されると、MNは位置登録の送信前に暗号通信のために、CNと暗号化あるいはメッセージ認証の使用するアルゴリズムや鍵を動的に交換するIKEを起動し、SA(Security Association)を作成しようとする((213)〜(216)(301)(302)) 。このIKEはMN-HA間のIPsecトンネル(207)を通じてHAを経由して行われる。IKEの際中に何らかの原因でMN-CN間でSAの設定に失敗した場合((301)(302))、MNは先に追加したCNに関するSPDを削除し、IPsecトンネル経由でCNからのパケットを受信した場合でもRR手順を開始しないように設定(304)する。図3の例では、IKEのPhase1(303)で、IKEに失敗しているが、IKEのPhase2(223) において失敗した場合も同様である。そして、MN はCNに対する位置登録の送信を中止し、以後もCNとはHA経由のIPsecトンネル(206)を通して通信を行う。この場合、MN-HA間はIPsecのトンネルによって保護されているので、MN-CN間の通信もHAを経由したIPsecトンネルを利用することにより、盗聴等のセキュリティの上の懸念があるネットワークに移動した場合にも安全な通信が可能となる。
図4は、図2、図3におけるMNの動作を示すフローチャートである。MNは、RAを受信(401)後、気付けアドレス(CoA)を生成(402)することで移動を検出した場合(403)、まずHAへの位置登録を開始する。(404)は、HAとの位置登録に使用するパケットを保護するためのSAを作成するためのIKEである。SAの作成に失敗した場合、MNは最初から処理をやり直す。(406)は、MNからHAに対する位置登録処理である。(407)は、MNとHAとのIPsecトンネル用のIKEであり、これによりIPsecトンネル用のSAを作成する。MNは、CNからのパケットを上記のIPsecトンネル経由で受信した場合には、CNとの経路の最適化について試みる。MNはCNとの間でRR手順を開始し(409)、RR手順が成功した場合には(410) 経路の最適化が可能なので、CNに位置登録を行う前にHAとのIPsecトンネルを通じてMNとCN間でIKEを実施する(411) 。IKEに成功して、MN-CN間でSAが作成されると(412)、MNはCNに対して位置登録を行い(413)、以後IPsec付きでMN-CN間で経路を最適化した通信を行う(416)。(410)においてRR手順に失敗した場合、およびMNとCNとの間でSAの作成に失敗した場合には、CNとはHA経由のIPsecトンネルを通じて通信を行う。このときにCNとの間で不要なSPDがある場合には削除し、またIPsecトンネル経由でCNからのパケットを受信した場合でもRR手順を開始しないように設定する(414)。
次に別の実施例として、位置登録後にMN-CN間でIKEを行う場合の動作について図5に示す。図5中において(201)から(211)までは図2と同様の動作を示す。(501)はCN対する位置登録であり、CNは位置登録に対する応答を返しても良い(502)。MNはRR手順の成功、あるいは位置登録の送信(501) を契機に、MN-CN間の通信がIPsecによって保護されるようにSPDにCNを追加する(503)。次に、MNのSPDにCNが追加されると、MNはCN宛のパケットを送信する場合にSAが無い場合には、MN-CN間の通信で利用する暗号化あるいはメッセージ認証で使用するアルゴリズムや鍵を動的に交換するIKEを起動し、SA(Security Association)を作成する(504)〜(515) 。このIKEは経路を最適化して行われる。(504)〜(509)はIKEのPhase1(510)と呼ばれる手順で、メインモードあるいはアグレッシブモードで行われる。IKEのPhase1では(510)、ISAKMP SAが作成されるが既にMN-CN間でISAKMP SAが作成されている場合には省略しても良い。MNとCNは作成されたISAKMP SAを利用して、(511)〜(513)のIKEのPhase2(514)によってMC-CN間のパケットを保護するために使用される暗号化アルゴリズム、認証アルゴリズム、鍵、IPsec SAの有効時間等を互いに交渉し、その結果をMNとCNのそれぞれが設定する(516) (517) 。以後、MNとCN間ではIPsec付の経路最適化通信を行う(518)(519)。
図6に位置登録後にMN-CN間でIKEを行う場合でIKEに失敗した場合の動作について示す。(201)〜(211)、(501)〜(503)までは図5と同様の動作を示す。IKEの際中に何らかの原因でMN-CN間でSAの設定に失敗した場合(508)(509)、MNは先に追加したCNに関するSPDを削除し、IPsecトンネル経由でCNからのパケットを受信した場合でもRR手順を開始しないように設定(601)する。図6の例では、IKEのPhase1(510)で、IKEに失敗しているが、IKEのPhase2(514) において失敗した場合も同様である。さらに、このままではCNからのパケットは経路を最適化して送られてくるために、CNに対して位置登録の解除が必要となる。このため、MNはCNに対してRR手順を再度実行する(602)〜(605)。さらにCN対して位置登録パケットのライフタイム値を0に設定したパケットなどを送信することにより、CNのMNに対する位置登録を解除させる(606)(607)。この後MN-CN間の通信は、IPsecによって保護されたMN-HA間のトンネルを利用することにより、盗聴等のセキュリティの上の懸念があるネットワークに移動した場合にも安全な通信が可能となる。
図7は、図5、図6におけるMNの動作を示すフローチャートである。MNは、RAを受信(701)後、気付けアドレス(CoA)を生成(702)することで移動を検出した場合(703)、まずHAへの位置登録を開始する。(704)は、HAとの位置登録に使用するパケットを保護するためのSAを作成するためのIKEである。SAの作成に失敗した場合、MNは最初から処理をやり直す。(706)は、MNからHAに対する位置登録処理である。(707)は、MNとHAとのIPsecトンネル用のIKEであり、これによりMM-HA間のIPsecトンネル用のSAを作成する。MNは、CNからのパケットを上記のIPsecトンネル経由で受信した場合には、MNはCNとの通信の経路の最適化について試みる。MNはCNとの間でRR手順を開始し(709)、RR手順が成功した場合には(710) 、経路の最適化が可能なので、CNに位置登録を行う(711)。さらに、MNはSPDにCNを追加し、CN宛のパケットが発生した場合には、CNとの間でIKEを実施する(712)。IKEに成功して、MN-CN間でSAが作成されると(713)、以後IPsec付きでMN-CN間で経路を最適化した通信を行う(718)。(710)においてRR手順に失敗した場合CNとはHA経由のIPsecトンネルを通じて通信を行う(717)。また、MNとCNとの間のIKEに失敗してSAの作成に失敗した場合(713)、MNはCNとの間で不要なSPDがある場合には削除し、またIPsecトンネル経由でCNからのパケットを受信した場合でもRR手順の開始しないように設定する(714)。さらに、MNはCNに対する位置登録を解除するために使用する位置登録パケット送信用のRR手順を実行し(715)、その後にCNに対して位置登録パケットのライフタイム値を0に設定したパケットを送信することによりCNの位置登録を解除し(716)、以後MN-CN間の通信はHAを経由したHA-MN間のIPsecトンネルを通じて行われるようにする(717)。
図8は、IPsec付の経路の最適化を行った場合の通信経路および(805)、経路の最適化を行わなかった場合の通信経路(806)を示す。(801)はMNのSPDを示し、CNと経路の最適化を行う前には、HAとの位置登録用のSPDおよびIPsecトンネル用のSPDが格納され、経路の最適化を行う場合にはCNとのSPDがCNとのRR手順、あるいはCNへの位置登録の成功後に動的に追加される。(802)はSAであり、HAとの位置登録用の他に、IPsecトンネル用経路の最適化を行う場合にはCNとのSAがIKE後に追加される。(803)はCNのSPDであり、(804) はCNのSAであり、経路の最適化を行う場合、MNとCNのIKEの成功後にMNとのSAが追加され、失敗した場合には追加されない。
図9の動作は、MNが移動した場合でMN移動先のネットワーク、MNの通信相手となるCNあるいはCNの属しているネットワークがどのネットワークかによって、MN-CN間で経路を最適化した通信を可能とするか否かをHAにおいて判断する場合の動作を示す。HAは、予めMNが移動したネットワーク(アドレスとPrefix長によって指定される)において経路を最適化した通信を可能/不可能かを設定し、HAのメモリ内に格納する機能を有する。同様に、MNの通信相手となるCNあるいはCNの属するネットワーク(アドレスとPrefix長で指定される)がどのネットワークかによって経路を最適化した通信を可能/不可能かを設定し、HAのメモリ内に格納する機能を有する。MNは図2と同様にRAを受信後(201)、HAとの間でIKE(202)を行って、SAを作成して位置登録を実施する(203)(204) 。さらに、MN-HA間のIPsecトンネル用のSAをIKEによって作成する(205)。次にMNは、CNからMN-HA間のIPsecトンネル経由(207)でパケットを受信した場合には(206)、RR手順を開始する。MNからCNに直接送られるCoTI(210)がCNに届き、CNがMNと経路を最適化した通信を行う機能を有する場合には、CoTIに対する応答としてCoT(Care-of Test)(211)がCNからMNに直接送信される。HoTI(208)は、MN-HA間のIPsecトンネル(207)を経由してCN(106)宛てに送信されるが、HAはメモリ内に格納されている、MNの移動先のネットワークに応じて経路を最適化した通信を可能・不可能とする条件、あるいはCNの属するネットワークによって経路を最適化した通信を可能・不可能とする条件と照らし合わせて、不可能となる場合にはHoTIをHAにてフィルタリングしてCNに転送しない(901)。この場合CNにはHoTIが届かないため、MNに対してHoTも返答されない。このため、MNはCNに対して位置登録を送信せずに、MN-HA間のIPsecトンネルを通じてHA経由で通信を行う(902)(903) 。
図10はMN、CN、あるいはHAのハードウェア構成例である。(1001)はCPUであり、(1002)はメモリであり、(1004)はネットワークインターフェースである。ネットワークインターフェースは複数存在することもある。(1003)はシステムバス/スイッチを示している。CPU(1001)、メモリ(1002)、ネットワークインターフェースは(1004)はシステムバス/スイッチ(1003)を通じて互いに接続されている。CPU(1001)は、メモリ(1002)に格納されているプログラムによって動作する。MNはメモリ(1002)にHAあるいはCNとパケットを保護するためにIPsec通信を行う場合に使用するSAやSPDのデータ、経路の最適化を通信しているCNを示すBinding Update Listなどのデータを持つ。CN、HAも同様にMNとIPsec通信を行う場合に使用するSAやSPDのデータ、MNと経路の最適化通信を行っている場合に、MNのホームアドレスと記気付けアドレスの対応付け(Binding Cache)やMNが経路を最適化した通信を可能・不可能とする移動先のネットワークやCNのネットワークの情報をメモリ(1002)に保持している。
移動端末が移動した先においても利用者の手を煩わせることなく安全な通信を提供する携帯電話や携帯対端末、無線通信機能を有するセンサーなどに適用できる。
本発明を適用したネットワーク構成図。 MN-CN間で経路の最適化とIPsec通信を併用できる場合のシーケンス図。 MN-CN間でRR手順成功後にIKEに失敗した場合のシーケンス図。 MNの動作を示すフローチャート。 MN-CN間で位置登録後のIKEが成功する場合でのシーケンス図。 MN-CN間で位置登録後のIKEが失敗する場合でのシーケンス図。 MN-CN間で位置登録後のIKEを実施する場合のMNのフローチャート。 MN-CN間の通信経路図。 HAにおいてフィルタリングを行う場合のシーケンス図。 MN,HA,CNの構成例。
符号の説明
HA ホームエージェント装置 MN 移動端末
CN 通信相手
SPD セキュリティポリシーデータベース SA セキュリティアソシエーション
HoTI ホームテスト開始 HoT ホームテスト
CoTI 気付けアドレステスト開始 CoT 気付けアドレステスト。

Claims (10)

  1. 移動端末と該移動端末の通信相手端末とに接続され、該移動端末のホーム網に接続され、該移動端末のホームアドレスと気付けアドレスを対応付けて管理するホームエージェント装置であって、
    上記移動端末と上記通信相手端末との間で直接、暗号化または認証化された通信を行えない場合には、上記移動端末と上記通信相手端末との間の通信を中継し、
    上記移動端末と上記通信相手端末との間で直接、暗号化または認証化された通信を行える場合には、上記移動端末と上記通信相手端末との間の通信を中継しないことを特徴とするホームエージェント装置。
  2. 移動端末と該移動端末の通信相手端末とに接続され、該移動端末のホーム網に接続され、該移動端末のホームアドレスと気付けアドレスを対応付けて管理するホームエージェント装置であって、
    上記移動端末が収容されるネットワーク、上記通信相手端末、または上記通信相手端末が収容されるネットワークの少なくともいずれか一つごとに、位置登録の許可または不許可を設定した情報を格納したメモリを有し、
    上記移動端末から上記通信相手端末への、または上記通信相手端末から上記移動端末への位置登録を受信した場合には、上記メモリ内の上記情報に基づいて、許可の場合は上記位置登録を中継し、不許可の場合は上記位置登録を破棄する制御部を有するホームエージェント装置。
  3. 移動端末と、該移動端末の通信相手端末と、該移動端末のホーム網に接続され、該移動端末のホームアドレスと気付けアドレスを対応付けて管理するホームエージェント装置とを備えた通信システムであって、
    上記移動端末と上記通信相手端末とが直接、暗号化または認証化された通信を行える場合は、上記ホームエージェント装置を介さずに上記移動端末と上記通信相手端末との間で通信し、
    上記移動端末と上記通信相手端末とが直接、暗号化または認証化された通信を行えない場合は、上記ホームエージェント装置を介して上記移動端末と上記通信相手端末とが通信することを特徴とする通信システム。
  4. 請求項3記載の通信システムであって、
    上記移動端末は、上記通信相手端末と暗号化または認証化された通信を行える場合は、暗号化通信を行うことを方針とするセキュリティポリシーデータベースに前記通信相手端末を追加することを特徴とする通信システム。
  5. 請求項3記載の通信システムであって、
    上記移動端末は、上記通信相手端末と暗号化または認証化された通信を行えない場合は、暗号化通信を行うことを方針とするセキュリティポリシーデータベースから前記通信相手端末を削除することを特徴とする通信システム。
  6. 請求項3記載の通信システムであって、
    上記移動端末は、上記通信相手端末と暗号化または認証化された通信を行えない場合は、上記移動端末の位置登録を削除する要求を上記通信相手端末に対して送信することを特徴とする通信システム。
  7. 請求項3記載の通信システムであって、上記移動端末は、上記通信相手端末と暗号化または認証化された通信を行える場合は、上記通信相手端末への位置登録の後に、鍵交換手順を開始することを特徴とする通信システム。
  8. 請求項3記載の通信システムであって、上記通信相手端末が移動端末であることを特徴とする通信システム。
  9. 請求項3記載の通信システムであって、
    上記通信相手端末は、上記通信相手端末と暗号化または認証化された通信を行える場合は、前記移動端末と暗号化通信を行うことを方針とするセキュリティポリシーデータベースに前記移動端末を追加することを特徴とする通信システム。
  10. 請求項3記載の通信システムであって、
    上記移動端末は、ルーティングの機能を持つことを特徴とする通信システム。
JP2005216643A 2005-07-27 2005-07-27 ホームエージェント装置、及び通信システム Withdrawn JP2007036641A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005216643A JP2007036641A (ja) 2005-07-27 2005-07-27 ホームエージェント装置、及び通信システム
US11/328,144 US20070025309A1 (en) 2005-07-27 2006-01-10 Home agent apparatus and communication system
CNA2006100051070A CN1905519A (zh) 2005-07-27 2006-01-12 本地代理装置和通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005216643A JP2007036641A (ja) 2005-07-27 2005-07-27 ホームエージェント装置、及び通信システム

Publications (1)

Publication Number Publication Date
JP2007036641A true JP2007036641A (ja) 2007-02-08

Family

ID=37674651

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005216643A Withdrawn JP2007036641A (ja) 2005-07-27 2005-07-27 ホームエージェント装置、及び通信システム

Country Status (3)

Country Link
US (1) US20070025309A1 (ja)
JP (1) JP2007036641A (ja)
CN (1) CN1905519A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009152891A (ja) * 2007-12-20 2009-07-09 Fujitsu Ltd 通信システム、クライアント装置、サーバ装置及びコンピュータプログラム
EP2117271A2 (en) 2008-05-07 2009-11-11 Fujitsu Limited Base station device, base station management device and base station management system
JP2011512734A (ja) * 2008-02-08 2011-04-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおいて使用する方法および装置

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7551915B1 (en) * 2006-04-24 2009-06-23 Sprint Spectrum L.P. Method of establishing route optimized communication in mobile IPv6 by securing messages sent between a mobile node and home agent
US8446874B2 (en) * 2006-08-21 2013-05-21 Samsung Electronics Co., Ltd Apparatus and method for filtering packet in a network system using mobile IP
EP2153620A1 (en) * 2007-05-25 2010-02-17 Telefonaktiebolaget L M Ericsson (publ) Route optimisation for proxy mobile ip
US8875237B2 (en) * 2007-10-31 2014-10-28 Microsoft Corporation Private network access using IPv6 tunneling
US8897139B2 (en) * 2008-12-05 2014-11-25 Hewlett-Packard Development Company, L.P. Packet processing indication
US20120117617A1 (en) * 2009-07-10 2012-05-10 Telefonaktiebolaget Lm Ericsson (Publ) Method for selectng an ipsec policy
US9392525B2 (en) 2014-05-16 2016-07-12 Qualcomm Incorporated Establishing reliable routes without expensive mesh peering
US9380513B2 (en) 2014-05-16 2016-06-28 Qualcomm Incorporated Reducing broadcast duplication in hybrid wireless mesh protocol routing
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
CN108347723B (zh) * 2017-01-25 2021-01-29 华为技术有限公司 一种切换方法和装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020157024A1 (en) * 2001-04-06 2002-10-24 Aki Yokote Intelligent security association management server for mobile IP networks
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes
JP2004186814A (ja) * 2002-11-29 2004-07-02 Fujitsu Ltd 共通鍵暗号化通信システム
JP4352728B2 (ja) * 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
WO2005101793A1 (en) * 2004-04-14 2005-10-27 Nortel Networks Limited Securing home agent to mobile node communication with ha-mn key
US9654963B2 (en) * 2004-07-01 2017-05-16 Qualcomm Incorporated Dynamic assignment of home agent and home address in wireless communications
US7477626B2 (en) * 2004-09-24 2009-01-13 Zyxel Communications Corporation Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
US7447186B2 (en) * 2005-05-12 2008-11-04 Cisco Technology, Inc. Methods and apparatus for implementing mobile IPv6 route optimization enhancements

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009152891A (ja) * 2007-12-20 2009-07-09 Fujitsu Ltd 通信システム、クライアント装置、サーバ装置及びコンピュータプログラム
JP2011512734A (ja) * 2008-02-08 2011-04-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおいて使用する方法および装置
EP2117271A2 (en) 2008-05-07 2009-11-11 Fujitsu Limited Base station device, base station management device and base station management system
KR101012545B1 (ko) 2008-05-07 2011-02-07 후지쯔 가부시끼가이샤 기지국 장치, 기지국 관리 장치, 및, 기지국 관리 시스템
US8358666B2 (en) 2008-05-07 2013-01-22 Fujitsu Limited Base station device, base station management device and base station management system

Also Published As

Publication number Publication date
CN1905519A (zh) 2007-01-31
US20070025309A1 (en) 2007-02-01

Similar Documents

Publication Publication Date Title
JP2007036641A (ja) ホームエージェント装置、及び通信システム
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
JP4861426B2 (ja) モビリティキーを提供する方法とサーバ
JP5087012B2 (ja) ロケーションプライバシをサポートする経路最適化
US20060182083A1 (en) Secured virtual private network with mobile nodes
JP5102372B2 (ja) 通信ネットワークにおいて使用する方法および装置
US20040037260A1 (en) Virtual private network system
US8611543B2 (en) Method and system for providing a mobile IP key
US9043599B2 (en) Method and server for providing a mobility key
US8447979B2 (en) Method and apparatus for binding update between mobile node and correspondent node
US20100046434A1 (en) Network-based and host-based mobility management in packet-based communication networks
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
WO2005006674A1 (ja) 端末及び通信システム
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
US8514777B1 (en) Method and apparatus for protecting location privacy of a mobile device in a wireless communications network
EP2449800B1 (en) Methods and systems for mobile ip route optimization
US20100275253A1 (en) Communication method, communication system, mobile node, and communication node
Haverinen et al. Authentication and key generation for mobile IP using GSM authentication and roaming
Chandrasekaran Mobile ip: Issues, challenges and solutions
Tripathi et al. Security issues in mobile IPv6
Hazarika et al. Survey on design and analysis of mobile IP
Deng et al. Protecting location information of mobile nodes in mobile ipv6
Wang et al. IPSec-based key management in mobile IP networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071026

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090602