JP2007166146A - 通信中にアドレス変更が可能な通信装置、システム及び通信方法 - Google Patents
通信中にアドレス変更が可能な通信装置、システム及び通信方法 Download PDFInfo
- Publication number
- JP2007166146A JP2007166146A JP2005358837A JP2005358837A JP2007166146A JP 2007166146 A JP2007166146 A JP 2007166146A JP 2005358837 A JP2005358837 A JP 2005358837A JP 2005358837 A JP2005358837 A JP 2005358837A JP 2007166146 A JP2007166146 A JP 2007166146A
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- address
- connection
- port number
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】通信途中で使用するアドレスを変更できる通信装置を提供する。
【解決手段】通信装置は、コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション設定時に、設定するコネクションのコネクション識別子を、既に設定している他のコネクションのコネクション識別子と重複しないように設定先通信装置と交渉して決定する。
【選択図】図2
【解決手段】通信装置は、コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション設定時に、設定するコネクションのコネクション識別子を、既に設定している他のコネクションのコネクション識別子と重複しないように設定先通信装置と交渉して決定する。
【選択図】図2
Description
本発明は、通信中に接続するネットワークを切り替えたことにより、使用するアドレスが変更になった場合においても、通信を継続できる通信装置、システム及び通信方法に関する。
無線技術の進展にともない、空港や駅等に無線アクセスポイントが設けられ、外出先においても、ラップトップコンピュータや、携帯端末等といった無線インタフェースを有する通信装置から気軽にネットワークへのアクセスが可能となっている。
通常、通信装置が使用する通信用のアドレスは、接続先のネットワークが付与するため、接続先のネットワークの変更に伴い、通信装置には新しいアドレスが付与されることになる。
一方、インターネットで用いられる、TCP(Transmission Control Protocol)/IP(Internet Protocol)は、送信元通信装置のアドレス及びポート番号と、宛先通信装置のアドレス及びポート番号との組で、同一コネクションに属するパケットを判定しているため、通信中に使用するアドレスを変更した場合には、以後送受信されるパケットが属するコネクションの判定ができず、通信が断となってしまう。
図11は、通信途中で使用するアドレスを変更した場合の問題点を説明する図である。図11によると、通信装置Xと通信装置Y間の通信において、通信装置XはアドレスAx及びポート番号Pxを使用し、通信装置YはアドレスAy及びポート番号Pyを使用している。通信装置Axが、例えば、ネットワークの移動によりそのアドレスをAx’に変更した場合、通信装置Axが送信するパケットは、通信装置Yに到達するが、送信元アドレスがAx’であることから、通信装置Yは既にコネクションを確立している通信装置Xからのパケットであるとは認識できず、また、アドレスAx’を有する通信装置とはコネクションを設定していないため、受信したパケットを廃棄する。一方、通信装置Yが送信する宛先アドレスをAxとしたパケットは、通信装置Xのアドレスではないため、通信装置Xには到達しない。
上記問題を解決するために、例えば、通信装置のホームネットワーク上にホームエージェント装置を設け、通信装置がホームネットワーク以外のネットワークである外部ネットワークから接続している場合、外部ネットワークから取得するアドレスである気付アドレスを、ホームエージェント装置に登録しておき、ホームエージェント装置が、通信装置宛てのパケットを捕捉して、気付アドレスでカプセル化して転送する構成が開示されている(例えば、非特許文献1参照。)。
C.Perkins、"IP Mobility Support for IPv4"、IETF RFC3344、2002年8月
非特許文献1による構成では、各ネットワークにホームエージェント装置を設置し、総ての通信をホームエージェント装置経由としなければならないという問題がある。また、ホームエージェント装置と通信装置間はカプセル化を使用するため、通信装置での処理負担が重くなるという問題もある。
従って、本発明は、通信装置の移動のために、ネットワークに設けた特別な装置経由で通信することなく、より簡易な処理で、通信途中で使用するアドレスを変更できる通信装置、システム及び通信方法を提供することを目的とする。
本発明における通信装置によれば、
コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション設定時にコネクションの設定先通信装置と交渉し、既に設定している他のコネクションのコネクション識別子と重複しないコネクション識別子を、設定するコネクションのコネクション識別子として決定することを特徴とする。
コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション設定時にコネクションの設定先通信装置と交渉し、既に設定している他のコネクションのコネクション識別子と重複しないコネクション識別子を、設定するコネクションのコネクション識別子として決定することを特徴とする。
本発明の通信装置における他の実施形態によれば、
コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理し、コネクションの設定先通信装置へ送信するパケットには、該コネクションのコネクション識別子に関連付けられているアドレスを宛先アドレスとして使用し、受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新することも好ましい。
コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理し、コネクションの設定先通信装置へ送信するパケットには、該コネクションのコネクション識別子に関連付けられているアドレスを宛先アドレスとして使用し、受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新することも好ましい。
また、本発明の通信装置における他の実施形態によれば、
コネクション設定時に、コネクションの設定先通信装置と共有する秘密鍵を決定して、該コネクションのコネクション識別子に関連付けて保存し、パケットを送信する場合には、少なくとも送信パケットに含まれるコネクション識別子に対する認証子を、該コネクション識別子に関連付けられた秘密鍵を用いて生成し、生成した認証子を送信パケットに付加し、パケットを受信した場合には、受信パケットに含まれるコネクション識別子に関連付けられている秘密鍵と、受信パケットに付加された認証子に基づき、受信パケットの改竄を検査することも好ましい。
コネクション設定時に、コネクションの設定先通信装置と共有する秘密鍵を決定して、該コネクションのコネクション識別子に関連付けて保存し、パケットを送信する場合には、少なくとも送信パケットに含まれるコネクション識別子に対する認証子を、該コネクション識別子に関連付けられた秘密鍵を用いて生成し、生成した認証子を送信パケットに付加し、パケットを受信した場合には、受信パケットに含まれるコネクション識別子に関連付けられている秘密鍵と、受信パケットに付加された認証子に基づき、受信パケットの改竄を検査することも好ましい。
本発明の通信システムによれば、
前記通信装置と、ドメインネームサーバとを有するシステムであって、ドメインネームサーバは、通信装置のアドレスと名前を関連付けて保存し、通信装置は、コネクション設定時に、コネクションの設定先通信装置とそれぞれの名前を交換し、アドレスを変更した場合には、ドメインネームサーバに新しいアドレスを通知し、コネクションの設定先通信装置から所定の時間以上パケットを受信しない場合には、設定先通信装置の名前に基づき、ドメインネームサーバから設定先通信装置のアドレスを取得することを特徴とする。
前記通信装置と、ドメインネームサーバとを有するシステムであって、ドメインネームサーバは、通信装置のアドレスと名前を関連付けて保存し、通信装置は、コネクション設定時に、コネクションの設定先通信装置とそれぞれの名前を交換し、アドレスを変更した場合には、ドメインネームサーバに新しいアドレスを通知し、コネクションの設定先通信装置から所定の時間以上パケットを受信しない場合には、設定先通信装置の名前に基づき、ドメインネームサーバから設定先通信装置のアドレスを取得することを特徴とする。
本発明の通信システムによれば、
前記通信装置と、ネットワーク毎に配置された転送装置を有するシステムであって、通信装置は、現在接続しているネットワークに配置された転送装置に、自装置のアドレスを登録し、接続するネットワークを変更した場合には、変更前に接続していたネットワークに配置された転送装置に新しいアドレスを登録し、転送装置は、通信装置より新しいアドレスの登録があった場合、新しいアドレスの登録を行った通信装置の変更前のアドレスを宛先アドレスとするパケットを捕捉して、捕捉したパケットを、新しいアドレスの登録を行った通信装置に転送することを特徴とする。
前記通信装置と、ネットワーク毎に配置された転送装置を有するシステムであって、通信装置は、現在接続しているネットワークに配置された転送装置に、自装置のアドレスを登録し、接続するネットワークを変更した場合には、変更前に接続していたネットワークに配置された転送装置に新しいアドレスを登録し、転送装置は、通信装置より新しいアドレスの登録があった場合、新しいアドレスの登録を行った通信装置の変更前のアドレスを宛先アドレスとするパケットを捕捉して、捕捉したパケットを、新しいアドレスの登録を行った通信装置に転送することを特徴とする。
本発明の通信方法によれば、
コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理している通信装置における通信方法であって、受信パケットの送信元アドレスと、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと、を比較するステップと、受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新するステップとを有することを特徴とする。
コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理している通信装置における通信方法であって、受信パケットの送信元アドレスと、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと、を比較するステップと、受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新するステップとを有することを特徴とする。
コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組によりコネクションを特定することで、通信中にアドレスを変更した場合であってもアドレスの変更を認識でき、通信を継続することができる。また、コネクション毎に秘密鍵を設け、少なくとも送信するパケットのコネクション識別子に対しての認証子を計算して送信パケットに付加することで、通信の安全性を高めることができる。
ドメインネームサーバを利用し、或いは、転送装置を設けることで、通信を行なっている両通信装置がほぼ同時に使用するアドレスを変更したとしても、通信を継続することができる。
本発明を実施するための最良の実施形態について、以下では図面を用いて詳細に説明する。
図1は、本発明の通信方法を説明するためのシステム構成図である。図1によると、ネットワーク10、20、30及び40が、ネットワークを相互に接続するバックボーン100と接続している。また、ネットワーク10には本発明による通信装置1が接続し、ネットワーク20には本発明による通信装置2が接続している。
本発明による通信装置1及び2は、コネクションをポート番号のみで特定できるように、即ち、通信装置1及び2が現在設定している各コネクションについて、自装置が使用するポート番号である送信元ポート番号と、コネクションの設定先である通信装置が使用するポート番号である宛先ポート番号の組が重複しないように、通信開始時に、コネクション設定先の通信装置と使用するポート番号の交渉を行う。尚、以下の説明において、コネクションに使用する送信元ポート番号と宛先ポート番号の組をコネクション識別子と呼ぶ。
図2は、ネットワーク10に接続している通信装置1と、ネットワーク20に接続している通信装置2が通信を開始するときの手順を示すシーケンス図である。簡単のため、通信装置1は、例えば、ウェブサーバといったWell−knownポートで通信の待ち受けを行っている通信装置であり、通信装置2は、無線インタフェースを有し、ネットワークへの接続ポイントとなる図示しない基地局やアクセスポイントとの接続を、通信中においても切り替えることができる通信装置であるものとする。また、初期状態において通信装置1のアドレスをA1、通信装置2のアドレスをA2とする。
(S21)通信装置2は、通信装置1に対して開始メッセージを送信する。開始メッセージの宛先アドレスはA1であり、宛先ポート番号は、Well−knownポートであるP1であり、送信元アドレスはA2であり、送信元ポート番号は、通信装置2が選択するP2である。また、開始メッセージには、通信装置2が、使用可能であるポート番号の候補が含まれている。ポート番号の候補は、通信装置1のWell−knownポートであるP1とコネクション識別子を構成したとしても、現在通信装置2が設定している他のコネクションのコネクション識別子と重複しない番号が選択される。尚、通信装置2が開始メッセージの送信で使用する送信元ポート番号、つまり図2の例でのP2は、ポート番号の候補に含まれるものを使用する。
(S22)通信装置1は、開始メッセージに含まれるポート番号の候補から1つ選択して、選択したポート番号と通信装置1が使用しているポート番号の組を、通信装置2とのコネクション識別子として、通信装置2のアドレスと関連付けして登録する。尚、選択するポート番号は、通信装置1が設定している他のコネクションのコネクション識別子と重複しないポート番号である。また、選択したポート番号を通信装置2に通知するため、応答メッセージを通信装置2に送信する。図2においては、ポート番号としてP21を選択し、宛先ポート番号を選択したP21として応答メッセージを送信している。しかしながら、応答メッセージの宛先ポート番号は、開始メッセージで送信元として使用されていたP2として、応答メッセージ内で選択したポート番号であるP21を通知し、以後の通信でポート番号P21を使用する構成でもよい。
(S23)通信装置2も、コネクションの登録処理を、即ち、自装置が使用するポート番号P21と通信装置1が使用するポート番号P1の組を、通信装置1とのコネクション識別子とし、通信装置1のアドレスに関連付けて登録する。
図3は、開始メッセージを受信した通信装置1が、開始メッセージに含まれるポート番号の候補のいずれを選択しても、現在設定している他のコネクションのコネクション識別子と重複する場合のシーケンス図を示している。
(S31)S21と同様、通信装置2は開始メッセージを通信装置1に送信する。
(S32)通信装置1は、開始メッセージに含まれるポート番号の候補のいずれを選択しても、現在設定している他のコネクションのコネクション識別子と重複するため、応答メッセージにおいて、通信装置1が選択できる、通信装置2のポート番号の候補を指定する。
(S33)通信装置2は、通信装置1が指定するポート番号の候補から、通信装置2が現在設定している他のコネクションのコネクション識別子と重複しないポート番号を選択して通信装置1に再度開始メッセージを送信する。尚、ここでは送信元ポート番号を、選択したポート番号P51として開始メッセージを送信している。しかしながら、開始メッセージの送信元ポート番号を、最初に使用していたP2とし、開始メッセージ内で選択したポート番号であるP51を通知する構成であってもよい。
(S34)通信装置1は、再受信した開始メッセージに含まれるポート番号と自装置が使用しているポート番号の組に基づき、コネクション識別子の登録処理を行う。その後の処理は、図2と同じである。
(S31)S21と同様、通信装置2は開始メッセージを通信装置1に送信する。
(S32)通信装置1は、開始メッセージに含まれるポート番号の候補のいずれを選択しても、現在設定している他のコネクションのコネクション識別子と重複するため、応答メッセージにおいて、通信装置1が選択できる、通信装置2のポート番号の候補を指定する。
(S33)通信装置2は、通信装置1が指定するポート番号の候補から、通信装置2が現在設定している他のコネクションのコネクション識別子と重複しないポート番号を選択して通信装置1に再度開始メッセージを送信する。尚、ここでは送信元ポート番号を、選択したポート番号P51として開始メッセージを送信している。しかしながら、開始メッセージの送信元ポート番号を、最初に使用していたP2とし、開始メッセージ内で選択したポート番号であるP51を通知する構成であってもよい。
(S34)通信装置1は、再受信した開始メッセージに含まれるポート番号と自装置が使用しているポート番号の組に基づき、コネクション識別子の登録処理を行う。その後の処理は、図2と同じである。
図2及び図3のシーケンスでは、通信装置1は、Well−knownポートであるP1を固定的に使用しているが、通信装置1もWell−knownポート以外のポート番号を選択的に使用することで、コネクション識別子の重複が回避しやすくなる。図4は、通信装置1が、Well−knownポート以外のポート番号を使用する場合のシーケンス図である。
(S41)S21と同様、通信装置2は開始メッセージを通信装置1に送信する。
(S42)通信装置1は、通信装置2からの開始メッセージに含まれる通信装置2が使用するポート番号の候補から1つポート番号を選択すると共に、選択したポート番号と組で使用したときに、通信装置1が現在設定している他のコネクションのコネクション識別子と重複しないポート番号の候補を含む応答メッセージを通信装置2に送信する。
(S43)通信装置2は、通信装置1が選択した、通信装置2が使用するポート番号と組で使用したときに、通信装置2が現在設定している他のコネクションのコネクション識別子と重複しないポート番号を、応答メッセージに含まれるポート番号の候補から選択して、選択したポート番号を宛先ポート番号とする開始メッセージを送信する。尚、通信装置2は、宛先ポート番号を前の開始メッセージと同一とし、選択したポート番号を含む開始メッセージを通信装置1に送信して、選択したポート番号を通信装置1に通知し、以後のデータ通信等のメッセージから選択したポート番号を宛先ポート番号として使用する構成であってもよい。
(S44)通信装置1は、開始メッセージの受信により、決定したコネクション識別子を登録すると共に、応答メッセージを通信装置2に送信する。通信装置2は、応答メッセージの受信により、コネクションの登録処理を行う。
(S41)S21と同様、通信装置2は開始メッセージを通信装置1に送信する。
(S42)通信装置1は、通信装置2からの開始メッセージに含まれる通信装置2が使用するポート番号の候補から1つポート番号を選択すると共に、選択したポート番号と組で使用したときに、通信装置1が現在設定している他のコネクションのコネクション識別子と重複しないポート番号の候補を含む応答メッセージを通信装置2に送信する。
(S43)通信装置2は、通信装置1が選択した、通信装置2が使用するポート番号と組で使用したときに、通信装置2が現在設定している他のコネクションのコネクション識別子と重複しないポート番号を、応答メッセージに含まれるポート番号の候補から選択して、選択したポート番号を宛先ポート番号とする開始メッセージを送信する。尚、通信装置2は、宛先ポート番号を前の開始メッセージと同一とし、選択したポート番号を含む開始メッセージを通信装置1に送信して、選択したポート番号を通信装置1に通知し、以後のデータ通信等のメッセージから選択したポート番号を宛先ポート番号として使用する構成であってもよい。
(S44)通信装置1は、開始メッセージの受信により、決定したコネクション識別子を登録すると共に、応答メッセージを通信装置2に送信する。通信装置2は、応答メッセージの受信により、コネクションの登録処理を行う。
S42において、応答メッセージに含まれるいずれのポート番号を使用したとしても、通信装置2が現在設定している他のコネクションのコネクション識別子と重複する場合は、コネクション識別子が重複しない通信装置1のポート番号の候補を、通信装置2は次の開始メッセージで送信する。
尚、本発明によれば、新たなコネクション設定時に、設定するコネクションのコネクション識別子として、コネクションの設定を行う通信装置が既に設定しているコネクションのコネクション識別子と重複しない値を設定できればよく、その決定方法は上述した方法以外であってもよい。
図5は、本発明による通信装置が、通信中に使用するアドレスを変更した場合のシーケンス図である。図5においては、通信装置2と通信装置1は、それぞれポート番号P21とP1を使用して通信を行っており、通信装置2のアドレスはA2であり、通信装置1のアドレスはA1である(S51)。
通信装置2の接続先のネットワークがネットワーク30に変更されたことにより、通信装置2のアドレスがA3に変更され、その結果、通信装置1が送信する宛先アドレスがA2のパケットは、通信装置2には到達しない(S52)。
しかしながら、通信装置2が送信する宛先アドレスがA1のパケットは、通信装置1には到達する。本発明による通信装置では、宛先ポート番号と送信元ポート番号の組は、通信装置内において一意であるため、受信パケットの宛先ポート番号であるP1と、送信元ポート番号であるP21の組から、通信装置1は、このパケットが通信装置2により送信されたものであることを認識し、また、このパケットの受信により通信装置2のアドレスがA2からA3に変更されたことも認識する(S53)。
従って、通信装置1は、管理しているコネクション識別子に関連付けられている通信装置2のアドレスをA2からA3へ更新し(S54)、以後、通信装置2に送信するパケットの宛先アドレスをA3とする(S55)。
尚、アドレス変更時に、変更した通信装置は必ずコネクションを設定している通信装置にパケットを送信して、アドレス変更を認識させることが好ましい。
以上説明したように、通信の開始時に、両通信装置が交渉して、ポート番号の組のみでコネクションを識別できるように、即ち、両通信装置が使用するポート番号が、各通信装置においてそれぞれ一意となるように使用するポート番号を決定することで、通信途中にそのアドレスを変更した場合でも通信を継続することができる。尚、上記説明において、通信装置1は、Well−knownポートで待ち受けている通信装置であるものとして説明したが、通信を行う通信装置間で明示的又は暗示的に合意しているポート番号があり、通信の開始を要求するパケットが、要求先である通信装置に受信され、要求に対する処理が行われれば、特殊なアプリケーションが使用する特別なポート番号であっても本発明は当然に適用可能である。
ポート番号の交渉のための開始メッセージ及び応答メッセージの形態は任意であり、例えば、TCP又はUDP(User Datagram Protocol)で送信することも、専用のプロトコルを使用することも可能である。しかしながら、実際の通信でTCPを使用する場合はTCPを、UDPを使用する場合はUDPといった具合に、実際の通信に使用するプロトコルと同じものを使用することが好ましい。これは、通信経路上にファイアウォールが存在する場合、ポート番号の交渉のための開始メッセージ及び応答メッセージ用のパケットのポート番号と、実際の通信に使用するデータパケットのポート番号を同じとすることで、ファイアウォールを問題なく通過させることができるからである。また、TCPを使用する場合には、コネクションの確立のために、いわゆる、3ウェイハンドシェークが行われるが、これらパケットに開始メッセージ及び応答メッセージを乗せることができ、メッセージのために送受信するパケット数を削減することができる。
尚、経路上にNAPT(Network Address Port Translation)ノードが存在する場合、NAPTノードが一方の通信装置が送信したパケットの送信元ポート番号を書き換えるため、一方の通信装置において、交渉により決定したポート番号と、受信パケットのポート番号が乖離し、コネクションの識別ができなくなってしまう。
上記問題を解決するためには、例えば、TCPヘッダやUDPヘッダといった、トランスポート層のヘッダに拡張領域を追加する。図6は、NAPTノードが存在する場合の問題を回避するパケットの構造を示す図である。図6によると、トランスポート層ヘッダに拡張領域を設け、拡張領域に、送信元ポート番号及び宛先ポート番号を設定している。通信装置は、トランスポート層ヘッダに含まれ、NAPTノードにより書き換えられる送信元ポート番号及び宛先ポート番号の組ではなく、トランスポート層ヘッダの拡張領域に含まれ、NAPTノードは変更しない送信元ポート番号及び宛先ポート番号の組によりコネクションの識別を行うことでNAPTノードの存在による問題を回避できる。
尚、経路上にNAPTノードが存在しているか否かは、開始メッセージ又は応答メッセージで、例えば、図6に示す、トランスポート層ヘッダの拡張領域のようなNAPTノードが変更しない領域に、使用するポート番号と同じポート番号を設定しておき、受信側の通信装置が受信パケットのポート番号と、NAPTノードが変更しない領域に設定されているポート番号を比較することで確認できる。更に、拡張領域の使用については、例えば、トランスポート層のヘッダ領域に、使用又は未使用を示すフラグを設けて対向通信装置に通知する。
続いて、本発明による通信装置による通信方法での安全性の確保について述べる。本発明による通信装置は、ポート番号の組をコネクション識別子としているため、使用しているコネクション識別子と同じポート番号の組を有するパケットを、第3者から受信した場合、通信相手である通信装置のアドレスが変更されたものとして、以後、第3者と通信を継続してしまうことになる。このような通信の乗っ取りを防ぐため、通信開始時の開始及び応答メッセージで、共有する秘密鍵を決定し、決定した秘密鍵により送受信するパケットにメッセージ認証子を付加し、受信側において、メッセージ認証子を検査して、通信相手により生成されたパケットであることの確認を行うことが望ましい。
共有する秘密鍵の決定には、例えば、Diffie‐Hellman鍵交換アルゴリズムの利用が可能であり、通信装置A及び通信装置B間で秘密鍵を決定する場合の概略を以下に示す。
(1)通信装置Aは、大きな素数p(位数)及び原始根gを決定する。
(2)通信装置Aは、秘密の整数aを選びKa=g^a mod pを計算する。
(3)通信装置Aは、p、g及びKaを通信装置Bに送信する。
(4)通信装置Bは、秘密の整数bを選びKb=g^b mod pを計算する。
(5)通信装置Bは、Kbを通信装置Bに送信する。
(6)通信装置Bは、Ka^b mod pを計算する。
(7)通信装置Aは、Kb^a mod pを計算する。
Ka^b mod p=(g^a)^b mod p=g^(a×b) mod p
Kb^a mod p=(g^b)^a mod p=g^(a×b) mod p
であるため、Ka^b mod p=Kb^a mod pであり、これを秘密鍵Sとすることで、Sの値そのものを通信装置Aと通信装置B間で送受することなく秘密鍵Sを決定できる。
(1)通信装置Aは、大きな素数p(位数)及び原始根gを決定する。
(2)通信装置Aは、秘密の整数aを選びKa=g^a mod pを計算する。
(3)通信装置Aは、p、g及びKaを通信装置Bに送信する。
(4)通信装置Bは、秘密の整数bを選びKb=g^b mod pを計算する。
(5)通信装置Bは、Kbを通信装置Bに送信する。
(6)通信装置Bは、Ka^b mod pを計算する。
(7)通信装置Aは、Kb^a mod pを計算する。
Ka^b mod p=(g^a)^b mod p=g^(a×b) mod p
Kb^a mod p=(g^b)^a mod p=g^(a×b) mod p
であるため、Ka^b mod p=Kb^a mod pであり、これを秘密鍵Sとすることで、Sの値そのものを通信装置Aと通信装置B間で送受することなく秘密鍵Sを決定できる。
パケットに対する署名は、HMAC(keyed Hashing for Message Authentication Code)−MD5(Message Digest 5)や、HMAC−SHA1(Secure Hash Algorithm 1)等を使用する。図7にメッセージ認証子の付加方法を示す。図7(a)によると、メッセージ認証子は、トランスポート層ヘッダの拡張領域に付加されている。
認証子の計算範囲としては、少なくともコネクション識別子を含むことが必要である。ここでコネクション識別子は、トランスポート層ヘッダにある送信元と宛先ポート番号の組、又は、NAPTノード対策のためにトランスポート層ヘッダの拡張領域を使用する場合には、トランスポート層ヘッダの拡張領域に設定される送信元と宛先ポート番号の組である。図7(a)においては、トランスポート層ヘッダ、トランスポート層ヘッダ拡張領域及びトランスポート層ペイロードを認証子の計算範囲としている。尚、メッセージ認証子の計算に当たり、メッセージ認証子を付加する部分は総て0であるものとして計算を行う。また、NAPTの存在によりポート番号が書き換えられる場合には、トランスポート層ヘッダのポート番号も総て0であるものとして計算を行う。
図7(b)は、トランスポート層ヘッダのチェックサムフィールドに、メッセージ認証子を格納する方法を示している。認証子の計算範囲は、トランスポート層ヘッダ及びトランスポート層ペイロードとし、メッセージ認証子の計算に当たり、メッセージ認証子を付加する部分は総て0であるものとして計算を行う。この場合には、メッセージ認証子のビット数を大きくとることができないため、図7(a)の方法に較べて安全度は低くなる。いずれにしても、受信側において、メッセージ認証子を検査して、受信パケットが改竄されているか否かを確認し、改竄されている場合には廃棄する。尚、図7においてはTCPヘッダを用いて説明を行っているが、トランスポート層ヘッダをTCPに限定するものではない。
続いて、通信を行っている両方の通信装置が移動する場合について説明する。通信装置の両方が移動する場合であっても、一方の通信装置がアドレスを変更した後、変更したアドレスを送信元アドレスとするパケットが、他方の通信装置のアドレス変更前に到達する限りにおいては、上述した方法で問題の発生はない。しかしながら、変更したアドレスを送信元アドレスとするパケットが、他方の通信装置のアドレス変更前に到達しなかった場合、即ち、両通信装置がほぼ同時にアドレスを変更した場合には、両通信装置共にその送信パケットが相手側通信装置に到達しなくなるという問題が生じる。
この問題を解決するための第1の方法としては、Dynamic DNS(Domain Name Server)を利用する。図8は、同時移動の問題を解決する第1の方法のシーケンス図である。図5と同様、通信装置2と通信装置1は、それぞれポート番号P21とP1を使用して通信を行っており、通信装置2のアドレスはA2であり、通信装置1のアドレスはA1であるものとする。
(S81)両通信装置は、開始及び応答メッセージでそれぞれの完全修飾ドメイン名(FQDN:Fully Qualified Domain Name)を相手側に通知しておく。
(S82)通信装置2は、ネットワーク30に接続先を変更したことによりアドレスがA3となり、通信装置1は、ネットワーク40に接続先を変更したことによりアドレスがA4となったため、通信装置1及び2は、DNSに対してDNSアップデートメッセージを送信する。DNSアップデートメッセージには、通信装置1及び2のFQDNと変更前及び変更後のアドレスが含まれており、DNSは、通信装置1及び2のレコードを更新する。
(S83)通信装置1及び2がほぼ同時にアドレスを変更したため、通信装置1及び2が送信するパケットは共に相手側には到達しない。通信装置1及び2は、例えば、ある一定期間相手側通信装置からパケットを受信しない場合、或いは、送信したパケットに対する応答が無い場合には、DNSに対して相手側通信装置のFQDNを送信し、相手側通信装置のアドレスをDNSより取得する。図8においては、通信装置1が通信装置2の変更後のアドレスをDNSより取得し、これにより通信装置1は、通信装置2のアドレス変更を認識して、管理しているコネクションに関連付けられているアドレスの更新処理を行っている。
以後は、既に説明したのと同じ処理で、通信装置2も通信装置1のアドレス変更を認識して、自装置で管理しているコネクションに関連付けられたアドレスを更新する。尚、両通信装置は、コネクション設定後、一定期間以上送信すべきデータがない場合には、キープアライブ信号を送信する構成とすることで、同時移動の検出を素早く行うことができる。
同時移動の問題を解決するための第2の方法としては、各ネットワークに転送装置を設ける方法もある。図9は、同時移動の問題を解決する第2の方法でのシステム構成図である。
図9によると、図1の構成に加え、ネットワーク10には転送装置11が設置され、ネットワーク20には転送装置21が設置され、ネットワーク30には転送装置31が設置され、ネットワーク40には転送装置41が設置されている。図10は、同時移動の問題を解決する第2の方法のシーケンス図であり、図8と同様、通信装置2と通信装置1は、それぞれポート番号P21とP1を使用して通信を行っており、通信装置2のアドレスはA2であり、通信装置1のアドレスはA1であるものとする。
(S101)各通信装置は、接続しているネットワーク内にある転送装置に、登録要求を送信し、転送装置は、登録要求に含まれるアドレスを登録して、登録要求を行った通信装置に装置識別子と登録鍵を含む登録応答を、SSL等の安全な通信方法を用いて送信する。
(S102)通信中でのネットワークの変更により、通信装置2はアドレスをA3に、通信装置1はアドレスをA4に変更したため、それぞれの通信装置は、変更前のネットワークにある転送装置、即ち、S101においてアドレスの登録を行った転送装置に対して、新しいアドレスを通知する移動登録を行う。通信装置の識別は、アドレスの登録を行ったときに転送装置が発行する装置識別子により行い、移動登録に含まれる種々の情報は、登録鍵により暗号化される。
(S103)通信装置が送信したパケットは、相手側通信装置が前に接続していたネットワークに到達するが、移動登録が行われた転送装置は、登録処理を行った通信装置宛てであるこのパケットを捕捉して、移動登録により通知されたアドレスに転送を行う。図10においては、通信装置1が送信した宛先アドレスがA2であるパケットを、転送装置21が捕捉して、通信装置2の新しいアドレスであるA3に宛先アドレスを変更して転送している。通信装置2は、転送装置21が転送するパケットを受信することで、通信装置1のアドレス変更を認識して、管理しているコネクションに関連付けられたアドレスの更新処理を行う。
以後は、既に説明したのと同じ処理で、通信装置1も通信装置2のアドレス変更を認識して更新処理を行う。
転送装置は、周期的に、転送装置のアドレス、転送のためのポート番号、ネットワークのドメイン名を含む広告メッセージを送信し、各通信装置は、広告メッセージにより、個々の転送装置を認識する。また、通信装置が転送装置を発見するためにネットワーク内にブロードキャストメッセージを送信し、転送装置に応答させる構成とすることも可能である。広告メッセージやブロードキャストメッセージにはICMPや、その他のプロトコルを用いることができる。
移動登録において、変更後のアドレス以外にも、設定しているコネクションのポート番号の組と、通信相手である通信装置のアドレスも登録し、登録したポート番号の組及びアドレスに該当するパケットのみを転送させる構成とすることも可能であり、これら情報は、安全のため登録時に配布された登録鍵で暗号化して送信する。
移動登録を受け付けた転送装置は、以後、移動登録を行った通信装置宛てのパケットを捕捉する必要があるため、例えば、ネットワーク内にgratuitous ARP信号を送信し、移動登録を行った通信装置宛てのパケットを、転送装置に送信させる。
転送装置になされた移動登録は、通信中の両ノードがお互いのアドレス変更を認識すればもはや必要がないため、比較的短い所定の時間だけ有効にすればよく、所定の時間を経過した移動登録は転送装置から削除することができる。
尚、通信の安全のため、通信装置はメッセージ認証子を送受信するパケットに付加し、また、転送装置を使用する場合には、転送装置への移動登録を暗号化する形態で説明を行ったが、通信装置間及び/又は通信装置と転送装置間に、IPSec等の安全性の高い通信を使用して代用することも可能である。
1、2 通信装置
10、20、30、40 ネットワーク
11、21、31、41 転送装置
100 バックボーン
10、20、30、40 ネットワーク
11、21、31、41 転送装置
100 バックボーン
Claims (6)
- コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、
コネクション設定時にコネクションの設定先通信装置と交渉し、既に設定している他のコネクションのコネクション識別子と重複しないコネクション識別子を、設定するコネクションのコネクション識別子として決定することを特徴とする通信装置。 - コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理し、
コネクションの設定先通信装置へ送信するパケットには、該コネクションのコネクション識別子に関連付けられているアドレスを宛先アドレスとして使用し、
受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新すること、
を特徴とする請求項1に記載の通信装置。 - コネクション設定時に、コネクションの設定先通信装置と共有する秘密鍵を決定して、該コネクションのコネクション識別子に関連付けて保存し、
パケットを送信する場合には、少なくとも送信パケットに含まれるコネクション識別子に対する認証子を、該コネクション識別子に関連付けられた秘密鍵を用いて生成し、生成した認証子を送信パケットに付加し、
パケットを受信した場合には、受信パケットに含まれるコネクション識別子に関連付けられている秘密鍵と、受信パケットに付加された認証子に基づき、受信パケットの改竄を検査すること、
を特徴とする請求項2に記載の通信装置。 - 請求項1から3のいずれか1項に記載の通信装置と、ドメインネームサーバとを有するシステムであって、
ドメインネームサーバは、通信装置のアドレスと名前を関連付けて保存し、
通信装置は、コネクション設定時に、コネクションの設定先通信装置とそれぞれの名前を交換し、アドレスを変更した場合には、ドメインネームサーバに新しいアドレスを通知し、コネクションの設定先通信装置から所定の時間以上パケットを受信しない場合には、設定先通信装置の名前に基づき、ドメインネームサーバから設定先通信装置のアドレスを取得すること、
を特徴とするシステム。 - 請求項1から3のいずれか1項に記載の通信装置と、ネットワーク毎に配置された転送装置を有するシステムであって、
通信装置は、現在接続しているネットワークに配置された転送装置に、自装置のアドレスを登録し、接続するネットワークを変更した場合には、変更前に接続していたネットワークに配置された転送装置に新しいアドレスを登録し、
転送装置は、通信装置より新しいアドレスの登録があった場合、新しいアドレスの登録を行った通信装置の変更前のアドレスを宛先アドレスとするパケットを捕捉して、捕捉したパケットを、新しいアドレスの登録を行った通信装置に転送すること、
を特徴とするシステム。 - コネクションの設定先通信装置が使用するポート番号である宛先ポート番号と、自装置が使用するポート番号である送信元ポート番号との組をコネクション識別子とし、コネクション識別子を、コネクションの設定先通信装置のアドレスと関連付けて管理している通信装置における通信方法であって、
受信パケットの送信元アドレスと、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと、を比較するステップと、
受信パケットの送信元アドレスが、受信パケットに含まれるコネクション識別子に関連付けられているアドレスと異なる場合には、関連付けられているアドレスを、受信パケットの送信元アドレスに更新するステップと、
を有することを特徴とする通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005358837A JP4586721B2 (ja) | 2005-12-13 | 2005-12-13 | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005358837A JP4586721B2 (ja) | 2005-12-13 | 2005-12-13 | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007166146A true JP2007166146A (ja) | 2007-06-28 |
| JP4586721B2 JP4586721B2 (ja) | 2010-11-24 |
Family
ID=38248552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005358837A Expired - Fee Related JP4586721B2 (ja) | 2005-12-13 | 2005-12-13 | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4586721B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008166874A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | Naptルータを介して接続された端末のハンドオフ方法、転送エージェント、端末及びプログラム |
| JP2010130524A (ja) * | 2008-11-28 | 2010-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信システム、通信装置、通信方法、又はプログラム |
| US7860082B2 (en) | 2008-04-24 | 2010-12-28 | Kabushiki Kaisha Toshiba | Telephone system and terminal device therein |
| US8615604B2 (en) | 2008-09-17 | 2013-12-24 | Fuji Xerox Co., Ltd. | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002176462A (ja) * | 2000-09-29 | 2002-06-21 | Ricoh Co Ltd | セッション確立方法 |
| JP2005295468A (ja) * | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
-
2005
- 2005-12-13 JP JP2005358837A patent/JP4586721B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002176462A (ja) * | 2000-09-29 | 2002-06-21 | Ricoh Co Ltd | セッション確立方法 |
| JP2005295468A (ja) * | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008166874A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | Naptルータを介して接続された端末のハンドオフ方法、転送エージェント、端末及びプログラム |
| JP4698571B2 (ja) * | 2006-12-27 | 2011-06-08 | Kddi株式会社 | Naptルータを介して接続された端末のハンドオフ方法及びシステム |
| US7860082B2 (en) | 2008-04-24 | 2010-12-28 | Kabushiki Kaisha Toshiba | Telephone system and terminal device therein |
| US8615604B2 (en) | 2008-09-17 | 2013-12-24 | Fuji Xerox Co., Ltd. | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change |
| JP2010130524A (ja) * | 2008-11-28 | 2010-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信システム、通信装置、通信方法、又はプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4586721B2 (ja) | 2010-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4579934B2 (ja) | レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 | |
| EP1340337B1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| US9451643B2 (en) | System and method for a multiple IP interface control protocol | |
| KR100847167B1 (ko) | 단말기 및 통신 시스템 | |
| US8451840B2 (en) | Mobility in IP without mobile IP | |
| US8867553B2 (en) | Performing interactive connectivity checks in a mobility environment | |
| US20120271965A1 (en) | Provisioning mobility services to legacy terminals | |
| Henderson et al. | Experience with the host identity protocol for secure host mobility and multihoming | |
| US7623500B2 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
| US20110296027A1 (en) | Host identity protocol server address configuration | |
| JP4586721B2 (ja) | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 | |
| US20120072513A1 (en) | Method and system for obtaining host identity tag | |
| JP4475514B2 (ja) | IPv6/IPv4トンネリング方法 | |
| US8850066B2 (en) | Dynamically assigning unique addresses to endpoints | |
| WO2011044810A1 (zh) | 实现多方通信的方法、装置及系统 | |
| Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
| JP2007166552A (ja) | 通信装置及び暗号通信方法 | |
| JP4311471B2 (ja) | アドレス変換装置、アドレス変換システム、及びsipサーバ | |
| WO2022218194A1 (zh) | 服务路由方法及设备 | |
| JP4432599B2 (ja) | モバイルipのha及び/又は通信相手端末への登録方法及び通信端末 | |
| JP2010021713A (ja) | 代理端末、通信方法および通信プログラム | |
| David et al. | CASAN: A new communication architecture for sensors based on CoAP | |
| Keränen et al. | RFC 9028: Native NAT Traversal Mode for the Host Identity Protocol | |
| Komu et al. | RFC 5770: Basic Host Identity Protocol (HIP) Extensions for Traversal of Network Address Translators | |
| JP2010157858A (ja) | Vpn接続装置、dnsパケット制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100525 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100823 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130917 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |