JP3946731B2 - 仮想閉域網システム - Google Patents

仮想閉域網システム Download PDF

Info

Publication number
JP3946731B2
JP3946731B2 JP2005136693A JP2005136693A JP3946731B2 JP 3946731 B2 JP3946731 B2 JP 3946731B2 JP 2005136693 A JP2005136693 A JP 2005136693A JP 2005136693 A JP2005136693 A JP 2005136693A JP 3946731 B2 JP3946731 B2 JP 3946731B2
Authority
JP
Japan
Prior art keywords
network
address
communication
mobile terminal
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005136693A
Other languages
English (en)
Other versions
JP2005229651A (ja
Inventor
光明 掛水
新也 山村
宏 若目田
浩之 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005136693A priority Critical patent/JP3946731B2/ja
Publication of JP2005229651A publication Critical patent/JP2005229651A/ja
Application granted granted Critical
Publication of JP3946731B2 publication Critical patent/JP3946731B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、プライベートなネットワークである組織網、と移動端末を収容するネットワーク間の仮想閉域網を実現するためのシステム、移動端末、ホームエージェントおよび通信制御方法に関する。
近年IMT−2000、ホットスポット、無線LAN等に代表される様々なネットワークによるモバイル環境が整いつつあり、これらのネットワークを通じ企業網に代表されるプライベートなネットワークである組織網へアクセスする機会も増加してきている。
外部ネットワークから組織網へアクセスする際、外部ネットワークで割り振られたアドレスを使用し、組織網のセキュリティゲートウェイを経由し通信しているのが一般的である。組織網ではセキュリティを考慮し、アドレスによるフィルタリングを実施している例も少なくない。
しかしながら、前述したようなアクセス方法では組織網の内外でアドレスを使い分けている為、必ずしも組織網に直接接続した場合と同様のネットワーク環境が提供されているとはいい難く、接続状況に関わらずユーザの利便性向上とシームレスで安全な通信が求められている。
シームレスな通信を行う手段として、RFC3220(IP Mobility Support for IPv4)で規定されたモバイルIPがあるが、同一アドレス体系で運用されるネットワーク内で運用することを前提としており、アドレス体系の異なるネットワーク間での移動は不可能であった。特に、組織網ではプライベートアドレスによる運用が一般的であり、例えばインターネットのような公共ネットワーク内でのルーティングは不可能である。
一方、公共ネットワーク内を透過的にプライベートアドレスでルーティングする技術としてRFC2764(A Framework for IP Based Virtual Private Networks)で規定された仮想閉域網がある。ここでは、仮想閉域網にホストとホストとの間に設定されるトンネルを含めるものとする。端末の収容先である外部ネットワークで割り振られたアドレスで、組織網に設置したVPNゲートウェイにトンネルを設置し、組織網内の端末と通信を行う方式が一般的である。
VPN装置は転送IPパケットにVPNの通信用にRFC2003(IP Encapsulation within IP) で規定されるルーティング可能なIPヘッダを付加する機能(IPinIP)を有し、本来はグローバルアドレスのIPパケットのみしか通らないインターネットに、例えば、プライベートアドレスや、TCP/IPでないプロトコルを利用した通信を可能にすることを、インターネット通信中に別の通信を通すという意味合いから「トンネリング」と呼ばれる。更にトンネリングさせるIPパケットの機密性、安全性を保証するための暗号化と認証行う技術としてRFC2401(Security Architecture for the Internet Protocol)で規定されたIPSecがある。
プライベートアドレスによるネットワーク運用が行われている組織網と公共ネットワークを経由したシームレスな通信を行う為には、モバイルIPにおける固定的なアドレスであるホームアドレスに組織網でのプライベートアドレスを適用し、VPNによる公共ネットワーク内をルーティングさせる必要がある。
図76、及び図77は、従来の技術における組織網とインターネットのような公共ネットワークを経由したシームレスな通信を行う方法を説明する図である。
外部ネットワークとは、インターネットサービスプロバイダ、FOMA、CDMA2000、ホットスポットに代表される組織網とは異なる組織または事業者によってネットワーク接続サービスが提供されるネットワークである。ここで、ホットスポットとは、無線LANなどで構築された、領域限定の通信ネットワークのことであり、例えば、店舗や企業社屋内などに無線LANなどにより構築されたネットワークである。従って、ホットスポットは、移動通信事業者のサービスの配下にあるが、店舗や企業が移動通信事業者と契約をして、店舗あるいは企業社屋内に限定して構築される。
従来においては、図76に示すように、予め組織網のホームエージェント(RFC3220で規定されるHAであり)と外部ネットワークに設置されたフォーリンエージェント(RFC3220で規定されるFA)間でVPNを設定しても移動端末(RFC3220で規定されるMN)とフォーリンエージェント(FA)間をプライベートアドレスによるルーティングが行えない。すなわち、ホームエージェント(HA)とフォーリンエージェント(FA)間では、プライベートアドレスをルーティングするためのトンネルを張ることができるが、フォーリンエージェント(FA)と移動端末(MN)の間は、外部ネットワークを介して通信が行われるので、外部ネットワークで移動端末(MN)に与えられるグローバルなアドレスを使用しなければ、移動端末(MN)とフォーリンエージェント(FA)が通信できない。
そこで、図77に示すようにco-locatedモードサポートによる移動端末(MN)を使用することで、モバイルIPによる位置登録より前にVPNゲートウェイ間にプライベートアドレスによるルーティングを行う為のVPNを設定し、設定したVPNを使用したモバイルIPの位置登録を行う。
これにより、ホームエージェント(HA)と移動端末(MN)の間でプライベートアドレスによる通信が可能になる。すなわち、co-locatedモードを利用した場合、最初に移動端末(MN)と、ホームエージェント(HA)を収容するネットワークのゲートウェイ(GW)との間に、トンネリングを利用してVPNが張られ、次に、このVPNを利用してモバイルIPのトンネルをホームエージェント(HA)と移動端末(MN)の間に設定するという2段階のトンネルの設定作業が必要となる。
co-locatedモードとは、RFC3220で規定されているモードで、DHCP(Dynamic Host Configuration Protocol)等で移動端末(MN)に割り振られたアドレスを気付アドレス(care of address)とし、移動端末(MN)自身でモバイルIPのトンネル設定を行い、カプセル化及びデカプセル化を行うモードのことである。
上記RFC3220では、インターネット上でのモバイルノードへのIPデータグラムをルーティングするプロトコルの改良について記載されている(非特許文献1参照)。
また、従来においては、モバイルIPネットワークにおけるVPNシステム及びVPNの設定方法において、モバイルIPにおける位置登録手順と連携してVPN用の特殊な機能を持たせることなく、任意の端末間でのIPSecトンネルによるVPN設定サービスを提供する技術が既にある(特許文献1参照)。
Network Working Group, Request for Comments: 3220, Obsoletes: 2002, Category: Standards Track, C. Perkins, Ed, Nokia Research Center, January 2002, "IP Mobility Support for IPv4" 特開2002−44141号公報
上述したような方式では、外部ネットワークにフォーリンエージェントを設置した場合、外部ネットワークにおいてプライベートアドレスをルーティングすることができない。一方、co-locatedモードサポートの移動端末を使用した場合、モバイルIPによる通信と、移動端末におけるVPN設定は無関係であり、プライベートアドレスをルーティングさせる為のトンネルとモバイルIPのトンネル設定が必要となる為、モバイルIPによるトンネル設定処理を有効に活かせず、移動端末が移動した際のハンドオーバ処理が効果的でない(ネットワークの切り替えの際、新しいパスの設定に時間がかかるため、スムースなハンドオーバが行えない)、またパケット転送においても二重のカプセル化、デカプセル化が必要となる為、スループットが低下する。
本発明は、組織網内に設置したホームエージェントに組織網のセキュリティゲートウェイ機能を持たせる、または通信事業者と組織のサービス契約時に、通信事業者網に設置されたホームエージェントと組織網のセキュリティゲートウェイ間に予めVPNを設定することで、移動端末のco-locatedモードを利用し、モバイルIPの位置登録手順の中で移動端末にVPN情報を配布しモバイルIPのトンネル設定処理を有効利用することで、トンネル設定処理のオーバヘッドを抑え、公共ネットワークを組織網のプライベートなアドレスでルーティングさせ、プライベートなアドレスのままシームレスで安全な通信を可能にする。
本発明の課題は、組織網などで割り振られたプライベートなアドレスを変更することなく、組織網内外でのモバイル環境において安全でシームレスな仮想閉域網サービスの提供を可能とするシステムを提供することである。
本発明の第1のルータは、移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、該移動端末から送られてくる位置登録要求の気付けアドレスまたはドメインを検出する手段と、検出した該気付けアドレスまたは該ドメインが通信の秘匿性を確保可能な網を示している場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが通信の秘匿性を十分保証しきれない網を示している場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段とを備えることを特徴とする。
本発明の第2のルータは、移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、該移動端末から送られてくる位置登録要求の気付けアドレスと送信元アドレスを比較する手段と、該気付けアドレスが所定の通信事業者を示していない場合であって、該気付けアドレスが該送信元アドレスと一致する場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが該送信元アドレスと一致しない場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段とを備えることを特徴とする。
本発明の第1の移動端末は、プライベートネットワークに接続された端末との通信を可能にする移動端末であって、該移動端末が現在自身の属する網の情報を取得する取得手段と、取得した該網の情報がプライベートネットワークであることを示す場合には、該移動端末の位置を管理するルータのプライベートなアドレスに位置登録要求メッセージを送出し、該網が所定の通信事業者網であることを示す場合には、該ルータのグローバルなアドレスに位置登録要求メッセージを送出し、それ以外の場合には、該ルータのグローバルなアドレスに、秘匿性の高い通信経路の設定要求を含む位置登録要求メッセージを送出するように制御する制御手段とを備えることを特徴とする。
本発明の第2の移動端末は、移動端末とプライベートネットワークに接続された端末の通信を可能にする移動端末であって、該移動端末が現在自身の属する網の気付けアドレスと送信元アドレスを比較する比較手段と、該気付けアドレスが所定の通信事業者のものではない場合であって、該気付けアドレスが該送信元アドレスと一致する場合には、該移動端末とルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが該送信元アドレスと一致しない場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由し該移動端末と該端末との通信を行わせる通信制御手段とを備えることを特徴とする。
本発明によれば、ホームアドレスとしての不変的でプライベートなアドレスである第1のアドレスと気付けアドレスである通信可能な第2のアドレスの対応をとり、移動端末のローミングを可能にする過程で、移動端末とホームエージェントの間で仮想閉域網の情報を交換し、仮想閉域網を設定することにより、モバイルIPの確立と仮想閉域網の確立の手順を簡素化し、従来2重のカプセル化が必要であるために、不具合を生じていたハンドオーバなどの時においても、迅速に移動端末への仮想閉域網の設定を行うことができる。
本発明によれば、移動可能な第1の手段が移動しても通信可能なセッションの確立を行う手順の中で、仮想閉域網の設定をするので、移動可能な通信の設定と仮想閉域網の設定が一度にできる。従って、第1の手段が移動した結果、ハンドオフをする場合などにおいて、迅速に通信環境を整えることができるので、なめらかなハンドオフが実現できる。また、第1の手段は、第1のアドレスを固定的に保持して通信することができるので、どこの網に行っても、同じアドレスで通信できる。従って、第1の手段に送信しようとする場合、第1のアドレスを続けて使用可能となり、利便性が向上する。
また、これを可能にするために、移動端末と自身との間に仮想閉域網を設定する手段を有し、移動端末を認証することにより得られた、この仮想閉域網を設定するのに必要な情報を移動端末に通知して、移動端末が仮想閉域網内に入れるようにするホームエージェントが設けられるため、移動端末が別個に仮想閉域網内に入るための手順が不要となる。
更に、移動端末が送信してくる気付けアドレスあるいはドメインから移動端末がいる網の秘匿性を検出し、秘匿性が弱い網の場合には、秘匿性の高い通信プロトコルを設定するので、重要な情報が漏れる可能性を少なくする。
移動端末は、自身がいる網の情報を取得する手段を有し、自身がいる網の性質により、通信を開始するための通信プロトコルを変えることにより、やはり、重要な情報が漏れるのを防ぐことができる。
特に、移動端末はネットワークとモバイルIP用トンネルとプライベートネットワークの通信用トンネルを兼用するので、ハンドオフが滑らかに行える。
システム機能概要
図1は、本発明の機能ブロックである。
以下に機能概要を述べる。
組織網11、12
組織網11、12は、企業、大学、官庁のような組織内に閉じたプライベートなネットワークであり、例えばインターネットのような公共ネットワークとはファイアーウォール(firewall)を介して接続される。組織網内で使用されるアドレス形態はプライベートアドレス(private address)でもグローバルアドレス(global address)どちらでもよいが、組織網内のみで通信可能と言う意味で本発明では「プライベートなアドレス」と呼ぶことにする。一方、公共ネットワークで通信可能なアドレスを「グローバルなアドレス」と呼ぶことする。従って、モバイルIPプロトコルにおいては「プライベートなアドレス」は固定的な第1のアドレスにあたるホームアドレス(home address)となり、「グローバルなアドレス」は通信可能な第2のアドレスである気付アドレス(care of address)となる。
以降、本発明の実施形態を説明する上で、組織網の代表例として企業網を取り上げて説明する。
なお、図1において、ホームエージェント19は、通常複数個設けられ、一つの組織網12を複数のホームエージェント19で分散処理すると共に、このような複数のホームエージェント19の集合が、異なる組織網12毎にそれぞれ設けられる構成が採られる。
認証サーバ18
認証サーバ18は、認証(Authentication)、認可(Authorization)、課金(Accounting)を行うサーバ群のIETFで用いられる名称(以降、AAA)である。上記機能に加え、VPNデータベース17から認証要求をしてきたユーザのVPN情報を抽出し、HA19へAAAプロトコル21を用いてVPN情報を通知するAAAプロトコル制御部とユーザ単位のVPN情報の抽出とVPN経路の決定を行うAAAVPN制御部から構成される。図1においては、通信事業者網または企業網11に設けられている。
AAAプロトコル21
AAAシステムが使用するプロトコルを示す。AAAプロトコルは認証、認可、課金、ポリシに関する情報を伝達可能なあらゆるプロトコルで実装可能である。本発明の実施形態では、使用するプロトコルを特定しないが、仮に現在IETFで検討中のDIAMETERプロトコルの使用を想定する。本発明の実施形態で必要となる新たな情報の伝達には、DIAMETERプロトコルで定義される AVP(Attribute Value Pair)と呼ばれる拡張可能な属性パラメータを用いる。拡張される属性は、VPN設定に関する情報である。
データベース検索プロトコル
VPNデータベース17を検索するためのプロトコルである。使用するプロトコルはVPNデータベース17を実装するデータベースの製品に依存する。LDAP(Light Directory Access Protocol)やSQLが通常用いられる。本発明の実施形態では、検索プロトコルとデータベースの動作については限定しない。
VPNデータベース17
図13は、本発明の実施形態で使用するVPNデータベース17の構成の例を示す図である。
VPNデータベース17は、各ユーザの設定したVPNデータインスタンスの集合であり、各インスタンスが一つのVPNに対応する。各VPNデータインスタンスは、このVPN情報を一意に表す識別子であるプロファイル番号(Profile Number)、ユーザのネットワーク識別子(Nai)、セキュリティゲートウェイ間の共有のセキュリティ関係を使用するか、ユーザ固有のセキュリティ関係を使用するかを示すVPN共有指標(vpnshare)、VPN種別(vpnkind)、通信先端末のIPアドレス(destaddr)、上り方向のQoSクラス(upclass)、下り方向のQoSクラス(downclass)、IPSecで使用する上り方向SPI(upSPI)、IPSecで使用する下り方向SPI(downSPI)、UDPカプセル化で使用するIPのポート番号(portNumber)で構成される。
共有指標に0が設定された場合、upclass、downclass、upSPI、DownSPIは省略可能である。このデータベースはユーザのNAIで検索され、検索された全てのインスタンスは、後述するVPN情報キャッシュにアドレス情報を付加して記録される。
DHCPプロトコル23
RFC2131と将来の変更で規定される全ての端末のネットワーク設定プロトコルを示す。移動端末(MN16)はDHCPREQUESTメッセージを使用し、外部アクセス網10であるネットワークに設けられるDHCPサーバ15に対しネットワーク情報を要求し、DHCPサーバ15は、DHCPACKメッセージを使用し、移動端末(MN16)にネットワーク情報を指示する。DHCPACKメッセージで通知されるネットワーク情報には、移動端末(MN16)のIPアドレス、ネットマスク、ゲートウェイアドレス、ドメイン名、DNSアドレス等がある。本発明の実施形態では、移動端末(MN16)のアドレス取得手段としてDHCPプロトコルを想定しているが、ネットワークからIPアドレスを取得することができるプロトコルならば特に限定はしない。
モバイルIPプロトコル22
RFC3220と将来の変更でで規定される全てのモバイルIPプロトコルを示す。
図2〜図12は、DIAMETERプロトコルの詳細を示す図である。
図2及び図3は、モバイルIPメッセージとDIAMETERメッセージの構成を示す図である。両メッセージにおいて、IPヘッダとUDPヘッダは共通である。図2(a)のモバイルIPメッセージとDIAMETERメッセージのそれぞれのヘッダやAVPのフォーマットは、図2(b)〜図3(c)に記載した構成となっている。
また、図4は、モバイルIPの位置登録要求(Reg. Request)メッセージ構成であり、図5は、DIAMETERの認証要求(AMR:AA Mobile Node Request)メッセージの構成であり、図6は、DIAMETERのホームエージェント登録要求(HAR:Home Agent MIP Request)メッセージの構成である。
図7及び図8は、モバイルIPの位置登録応答(Reg. Reply)メッセージの構成を示し、図9(a)は、DIAMETERの認証応答(AMA:AA Mobile No
de Answer)メッセージの構成、図9(b)は、DIAMETERのホームエージェント登録応答(HAA:Home Agent MIP Answer)メッセージの構成を示す。
図10及び図11は、CN方向からMN方向へのパケットを、HAを介さず直接MNへ送信する為の経路最適化を目的としたモバイルIPの結合更新(BU:Binding Update)メッセージの構成を示し、図12は、モバイルIPの結合応答(BA:Binding Acknowledge)メッセージの構成を示している。
ホームエージェント(HA)19
RFC3220で定義されるモバイルIPプロトコル22手順を用いて移動端末(MN16)の位置を管理する機能(以降HA)である。また、ホームエージェントを移動通信制御装置あるいはルータと呼ぶことがある。
本発明の実施形態のネットワーク装置は通信事業者網内または企業網内11のセキュリティゲートウェイとして設置される。ホームエージェント(HA19)は企業網12で割り付けられたプライベートなアドレスをホームアドレスとして所有するエージェントであり、ホームエージェント(HA19)に送信されてきた移動端末(MN16)のホームアドレストを送信先とするパケットはホームアドレスに対応した移動端末(MN16)の気付アドレス(care of address)へカプセル化されて送出される。このアドレスの対応は、移動結合と呼ばれるテーブルで管理される。また、HA19は、位置登録応答(Reg. Reply)メッセージにサービスプロファイルを設定することによりVPN情報を移動端末(MN16)に通知する。本発明の実施形態のHA19はIPinIP、IPSec、IPSec+UDP(NAT(Network Address Translation)/NAPT(Network Address Port Translation)のアドレス変換及びポート番号変換されたパケットに対応する為、UDPinIPカプセル化実施後IPSecカプセル化を行う)のVPNゲートウェィ機能、及びAAAプロトコルとモバイルIPプロトコルで通知されるVPN情報を解析するMAプロトコル制御部(モバイルエージェントプロトコル制御部)と、解析したVPN情報に基づきネットワークカーネルに指定されたセキュリティレベルでのトンネル設定を行うMAVPN制御部(モバイルエージェントVPN制御部)を有する。
代理通信装置(PCN)20
モバイルIPプロトコル22の移動結合の更新処理でホームエージェント(HA19)から通知された送信先へ、VPNを設定するネットワーク機能(以降PCN:Proxy Correspondent Node)である。ホームエージェント(HA19)からの結合更新(BU)メッセージを利用し、企業網内折り返し、及び、PCN-PCN間のトンネル設定を行うことで、移動端末(MN16)への経路最適化を行う。本発明の実施形態のPCNはIPinIP、IPSec、IPSec+UDPのセキュリティゲートウェィ機能を兼ね、モバイルIPプロトコルで通知されるVPN情報を解析するMAプロトコル制御部と、解析したVPN情報に基づきネットワークカーネルに指定されたセキュリティレベルでのトンネル設定を行うMAVPN制御部を有する。図1では、PCN20は、企業網12に設けられている。
移動端末(MN)16
本発明の実施形態のネットワーク装置である移動端末(MN16)は、モバイルIPプロトコル22手順を用いてセッションを維持したままネットワーク内を移動できるRFC3220で定義される機能(以降MN)である。本発明の実施形態の移動端末(MN16)は、IPinIP、IPSec、IPSec+UDPのトンネリング機能を有し、暗号化/復号化及びカプセル化/デカプセル化を行う。移動端末(MN16)は気付アドレス(care of address)へカプセル化されて送出されてきたパケットをデカプセル化し、ホームアドレスに対応したアプリケーションへパケットを通知する。また、アプリケーションからホームアドレスで通知されたユーザパケットを気付けアドレスでカプセル化し、通信端末(CN)へパケットを送出する。ホームエージェント(HA19)からの位置登録応答(Reg. Reply)メッセージで通知されたサービスプロファイルのセキュリティレベル応じて、通常のIPinIPトンネルの他にIPSec、IPSec+UDPトンネルを設定し、移動端末(MN16)からホームエージェント(HA19)へのトンネル(通常リバーストンネルと呼ばれる)にも同様のトンネルを設定する。モバイルIPプロトコルで通知されるVPN情報を解析するMNプロトコル制御部と、解析したVPN情報に基づきネットワークカーネルに指定されたセキュリティレベルでのトンネル設定を行うMN VPN制御部を有する。本発明ではモバイルIPプロトコルによる通信可能なノートパソコンを例に説明を行う。
図14〜図20は、図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図である。
図14は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し、企業網へのアクセス手段を提供するアクセス網とで構成されるネットワークを基本にしている。
そして、図14のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間においてプライベートなアドレス(home address)を保持したまま移動し、企業網と通信を継続する移動端末(MN)と、企業内にあって移動端末(MN)を認証する認証サーバ(AAA)、企業内にあって移動端末(MN)の位置管理を行うホームエージェント(HA)で構成されたシステムである。
図15は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供するアクセス網とで構成されるネットワークを基本にしている。
そして、図15のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間をプライベートなアドレス(home address)を保持したまま移動し、企業網と通信を継続する移動端末(MN)と、企業内にあって移動端末(MN)を認証する認証サーバ(AAA)、企業網のセキュリティゲートウェイにあって移動端末(MN)の位置管理を行うホームエージェント(HA)、企業網内にってホームエージェント(HA)からの結合更新メッセージを利用し、企業網内にあって経路最適化を行う代理通信装置(PCN)で構成されたシステムである。
図16は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供するアクセス網とで構成されるネットワークを基本としている。
そして、図16のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間においてプライベートなアドレス(home address)を保持したまま移動し、企業網と通信を継続する移動端末(MN)と、企業内にあって移動端末(MN)を認証する認証サーバ(AAA)、企業網のセキュリティゲートウェイにあって移動端末(MN)の位置管理を行うホームエージェント(HA)、企業網内にあってホームエージェント(HA)からの結合更新メッセージを利用し、企業網内にあって経路最適化を行う代理通信装置(PCN)で構成されるシステムである。HA-PCN間は、サービス開始時、セキュリティを考慮し、IPSec(IETFによって標準化されているパケットの暗号化と認証技術)によるトンネルを設定しておく。
図17は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供する通信事業者網とで構成されるネットワークを基本としている。
そして、図17のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網をプライベートなアドレスを保持したまま移動し、企業網と通信を継続する移動端末(MN)と、通信事業者網にあって移動端末(MN)を認証する認証サーバ(AAA)、通信事業者網にあって移動端末(MN)の位置管理を企業網内のプライベートなアドレスで行うホームエージェント(HA)と、企業網にあって企業網とホームエージェント(HA)間において公共ネットワークを介してVPNで結ぶためのゲートウェイ装置と、企業網のセキュリティゲートウェイにあって、ホームエージェント(HA)の指示により企業網に在圏する移動端末(MN)への通信を企業網内で折り返す代理通信装置(PCN)とで構成されるシステムである。HA-PCN間はサービス開始時、セキュリティを考慮し、IPSecによるトンネルを設定しておく。
図18は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供する通信事業者網とで構成されるネットワークを基本としている。
そして、図18のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間をプライベートなアドレスを保持したまま移動し、企業網と通信を継続する移動端末(MN)と、通信事業者網にあって移動端末(MN)を認証する認証サーバ(AAA)、通信事業者網にあって移動端末(MN)の位置管理を企業網内のプライベートなアドレスで行うホームエージェント(HA)と、企業網にあって企業網とホームエージェント(HA)間において公共ネットワークを介してVPNで結ぶためのゲートウェイ装置と、通信事業者網とのゲートウェイにあって、ホームエージェント(HA)の指示により企業網に在圏する移動端末(MN)への通信を企業網内で折り返す代理通信装置(PCN)とで構成されるシステムである。HA-PCN間はサービス開始時、セキュリティを考慮し、IPSecによるトンネルを設定しておく。
図19は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供する通信事業者網とで構成されるネットワークを基本としている。
そして、図19のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間をプライベートなアドレスを保持したまま移動し、企業網と通信を継続する移動端末(MN)と、通信事業者網にあって移動端末(MN)を認証する認証サーバ(AAA)、通信事業者網にあって移動端末(MN)の位置管理を企業網内のプライベートなアドレスで行うホームエージェント(HA)と、企業網にあって企業網とホームエージェント(HA)間において公共ネットワークを介してVPNで結ぶためのゲートウェイ装置と、企業網内にあって、ホームエージェント(HA)の指示により企業網に在圏する移動端末(MN)への通信を企業網内で折り返す代理通信装置(PCN)とで構成されるシステムである。HA-PCN間はサービス開始時、セキュリティを考慮し、IPSecによるトンネルを設定しておく。
図20は、プライベートなアドレスで運用される企業網と、グローバルなアドレスで運用される公共ネットワーク(例えば、インターネット)と、企業網との相互接続契約に基づき網接続端末へグローバルなアドレスを付与し企業網へのアクセス手段を提供する通信事業者網とで構成されるネットワークを基本としている。
そして、図20のシステムは、企業網内のプライベートなアドレスをモバイルIPプロトコルにおける不変的なアドレスであるホームアドレス(home address)として持ち、企業内及び外部ネットワークのアクセス網間をプライベートなアドレスを保持したまま移動し、企業網と通信を継続する移動端末(MN)と、通信事業者網にあって移動端末(MN)を認証する認証サーバ(AAA)、通信事業者網にあって移動端末(MN)の位置管理を企業網内のプライベートなアドレスで行うホームエージェント(HA)と、企業網にあって企業網とホームエージェント(HA)間において公共ネットワークを介してVPNで結ぶためのゲートウェイ装置と、企業網外にあって、ホームエージェント(HA)の指示により企業網に在圏する移動端末(MN)への通信を企業網内で折り返す代理通信装置(PCN)とでシステムを構成する。HA-PCN間はサービス開始時、セキュリティを考慮し、IPSecによるトンネルを設定しておく。
機能エンティティ詳細説明
AAA
図21は、図1のAAA18の機能ブロックを示す図の例である。
AAAは、AAAプロトコル制御部30、AAAVPN制御部31、データベースサーバ32、ネットワークカーネル33、ネットワークデバイスインタフェース34から構成される。
AAAプロトコル制御部30は、AAAプロトコルを制御するAAAプロトコル処理部35から構成される。
AAAVPN制御部31は、VPNデータベースより抽出したVPN情報をキャッシュするVPN情報キャッシュ36(図22)、鍵生成器37から構成される。この鍵生成器37によって生成された鍵は、形成されたVPNを通るデータを暗号化するなどのために使用される。
図22は、VPN情報キャッシュの構成を示す図の例である。
例えば、VPN情報キャッシュは、VPN情報キャッシュインスタンスの集まりであり、ユーザがネットワークにアクセスしている間有効なネットワークで一意なユーザに固有な情報を含むセッションIDで検索される。VPN情報キャッシュインスタンスは一意な識別子であるセッションID、このユーザが設定しているVPNの数を示すプロファイル数、各VPNの設定情報を含むVPN情報プロファイルから構成される。VPN情報プロファイルは、VPNを一意に識別する識別子であるプロファイル番号、VPN適用のパケットを特定するための送信元と宛先のIPアドレストとそのネットマスク、パケットに設定するTOS値、IPSecをAH(Authentication Header Protocol)、ESP(Encapsulating Security Payload)、カプセル化のみのいずれかで設定するかを示すセキュリティタイプ、IPSecトンネルモードで参照されるIPSecトンネルの入口と出口である送信元と宛先のゲートウェイアドレス、宛先ゲートウェィが動的なVPN設定が可能かどうかを示す宛先GW種別、上りと下り方向のセキュリティ関係の識別子であるSPI(Security Parameter Index)、ESP暗号鍵、ESP認証鍵で構成される。
データベースサーバ32は、VPNデータベース(図13)とWEBアプリケーションから構成される。
ネットワークカーネル33はIPパケットの転送とネットワークへの接続点である物理インタフェースを制御するオペレーティングシステムであり、IPパケット転送のルートを決定するルーティングテーブル(図23)を持つ。ネットワークカーネルはIPパケットのカプセル化、パケット編集、パケット送出のキュー制御等を行うが、これらの機能はオペレーティングシステム依存であり、本発明の実施形態では限定しない。
図23は、ルートテーブルの構成を示す図の例である。一般的なルーティングテーブルは、送信先アドレス、ゲートウェィアドレス、ネットマスク、メトリック、出力インタフェースから構成されており、送信先アドレスとメトリックで転送先ネットワークノードが決定される。本発明の実施形態はルートテーブルの構成には依存しないが、出力先に仮想ネットワークデバイスインターフェースを設定できるようなネットワークカーネルを例に以降の具体的な説明を行う。
又、ネットワークカーネル33はカプセル化されたパケットを受信すると、パケットをデカプセル化する機能を持っており、デカプセル後のパケットがESPヘッダを含んでいれば、トンネル制御部で保持しているESP情報を参照して暗号化されたパケットをデコードする機能を持つ。更にIPSecデカプセル化したデータがUDP(User Datagram Protocol)フォーマットの場合、UDPデカプセル化を行う。これらの機能はカプセル化、IPSecそのものの実装に依存する部分であり、本質ではないため、概略のみを説明するに留める。
ネットワークデバイスインタフェース34はネットワークデバイスへのインタフェースである。ネットワークデバイスインタフェース34には、実装方法により、物理ネットワークデバイスインタフェースと仮想ネットワークデバイスインタフェースがある。
物理ネットワークデバイスインタフェースは、例えばLAN、ISDN、ATM等のインタフェースカードである。物理ネットワークデバイスインターフェースの制御ドライバを「実デバイス」と呼ぶ。
仮想ネットワークデバイスインタフェースは仮想のネットワークデバイスへのインタフェースであり、物理ネットワークデバイスインタフェースと同様の制御により、ソフトウェア実装によるトンネリングやIPSecなどの機能を実現する、仮想のインターフェースカードである。トンネリングなどのある機能を持った仮想ネットワークインタフェースのドライバを「仮想デバイス」と呼ぶ。ネットワークカーネル33がルーティングテーブルを参照し、仮想デバイスとパケットの送受信を行うことでカプセル化/デカプセル化などが行われる。本発明の説明ではIPinIPは仮想デバイスtunnel、IPSec、IPSec+UDPは仮想デバイスipsecで実装されている。もちろん、このような機能はハードウェア(物理ネットワークデバイスインタフェース)で実装しても構わない。
図24から図26はAAAの処理フローである。以下、これらのフローを用いてAAAの処理を説明する。
図24は、AAAの全体処理フローの例である。
S100:ネットワークカーネル33は物理ネットワークインタフェース34よりパケットを受信すると、IPのポート番号を検索することによりAAAプロトコルシグナリングパケット(DIAMETER)を選択し、AAAプロトコル制御部30に受信パケットの情報を渡す。
図25は、図21内に示されるAAAプロトコル制御部30の処理フローの例である。
S110:AAAプロトコル制御部30内のAAAプロトコル処理部35はネットワークカーネル33から受信したAAAプロトコル(DIAMETER)のコマンドコードAVPより受信メッセージを判定する。AMR(AA Mobile Node Request)であればS111へ、HAA(Home Agent MIP Answer)であればS114へ処理を分岐する。
S111:AMRを受信したAAAプロトコル処理部35はAAAVPN制御部31を起動する。
S112:AAAVPN制御部31はデータベースサーバ32内にあるVPNデータベースからVPN情報を読み出し、VPN情報キャッシュ36に設定する。
S113:AAAプロトコル処理部35はVPN情報としてSPC固定部(図7)にサービスプロファイルを設定したモバイルIPプロトコルの位置登録要求メッセージ(Reg. Request)をAAAプロトコルのホームエージェント登録要求メッセージ(HAR: Home Agent MIP Request)に設定する。
S114:HAAを受信したAAAプロトコル処理部35はAAAVPN制御部31を起動し、AAAVPN制御部31はモバイルIPプロトコルの位置登録要求メッセージ(Reg. Request)を使って位置登録を要求してきたMNの正当性を保証する為の認証子を生成する。
S115:AAAプロトコル処理部35はSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答メッセージ(Reg. Reply)に認証子を付加し、認証応答メッセージ(AMA)に設定する。
S116:AAAプロトコル制御部30はHA宛に認証応答メッセージ(AMA)メッセージ、またはホームエージェント登録要求メッセージ(HAR)を送出する。
図26は、図21内に示されるAAAVPN制御部31の処理フローの例である。図25のS112の処理時に起動される。
S120:AAAVPN制御部31はSQL等のデータベースアクセス言語を用いて、MNのNetwork Access Identifier(NAI)でデータベースサーバ32に問い合わせ、データベースサーバ32はVPNデータベースから対応するVPN情報を読み出す。
S121:AAAVPN制御部31はデータベースサーバ32内にあるVPNデータベースより読み出したSPI(Security Parameter Index)が、デフォルトSPIであれば無処理のままS112へ処理を分岐する。そうでなければS122へ処理を分岐する。デフォルトSPIは予めAAA内に初期構成時に設定されている、又はAAAのローカルな保守コンソールから設定されているものとする。
S122:AAAVPN制御部31は鍵生成器37を起動する。鍵生成器37はVPNデータベースから読み出したVPN情報の設定鍵長に従い、乱数を生成する。
図27は、図1のHA19、PCN20であるモバイルエージェント(MA)の機能ブロックを示す図の例である。モバイルIPのプロトコルを処理するプロセスあるいはエージェントを総称してモバイルエージェント(MA)と呼ぶ。
これらのネットワーク装置は、MAプロトコル制御部40、MAVPN制御部41、ネットワークカーネル42、ネットワークデバイスインタフェース43から構成される。
MAプロトコル制御部40は、AAAプロトコルを制御するAAAプロトコル処理部44とモバイルIPを制御するモバイルIPプロトコル処理部45から構成される。
MAVPN制御部41は、AAAプロトコル、モバイルIPプロトコルにより通知されたVPN情報をキャッシュするVPN情報キャッシュ46(図22)、トンネル制御部47から構成される。
トンネル制御部47は、VPN情報キャッシュ46に設定されたVPN種別に応じて送信先のIPアドレスに対してルートテーブルの出力デバイスを書き換える。IPinIPの場合トンネル仮想デバイスに、IPSecまたIPSec+UDPの場合ipsec仮想デバイスに書き換える。またVPN情報テーブル48(図28)にVPN種別、送信元と送信先のIPアドレストとそのネットマスク、セキュリティタイプ、送信元と送信先のゲートウェイアドレス、上りと下り方向のセキュリティ関係の識別子であるSPI(Security Parameter Index)、ESP暗号鍵、ESP認証鍵、UDPカプセルを行う際のIPのポート番号(portNumber)を設定する。ネットワークカーネル42により仮想デバイスに出力されたパケットはVPN情報テーブル48を参照して、暗号化/復号化とカプセル化/デカプセル化が実行される。
図28は、VPN情報テーブルを示す図の例である。
例えば図28に示すVPN情報テーブルは、IPSec情報、ESP情報、トンネル情報で構成される。IPSec情報はIPSec情報インスタンスの集まりであり、送信元アドレスと宛先アドレスの組で特定される。IPSec情報インスタンスは送信元アドレス/ネットマスク、宛先アドレス/ネットマスク、パケットの実際の転送先である実宛先アドレス、このパケットに適用するトンネル情報の識別子、このパケットに適用するESP情報の識別子から構成される。ESP情報はESP情報インスタンスの集まりであり、ESP情報を一意に識別するESP識別子、暗号化手法、方向、AH認証鍵長、ESP認証鍵長、ESP暗号鍵長、AH認証鍵、ESP認証鍵、ESP暗号鍵で構成される。トンネル情報はトンネル情報インスタンスの集まりであり、トンネル情報を一意に識別するトンネル識別子、カプセル化手法、方向、トンネルの入口と出口になる送信元アドレスと宛先アドレスから構成される。
VPN情報キャッシュ46、ネットワークカーネル42、ネットワークデバイスインタフェース43はAAAの詳細説明の中で既に述べた。
図29から図35は、MA(Mobile Agent)の処理フローである。以下、これらのフローを用いてMAの処理を説明する。なお、ここでは、モバイルIPのプロトコルを処理するプロセスあるいはエージェントを総称してモバイルエージェントと呼んでいる。
図29は、MAの全体処理フローの例である。
S200:ネットワークカーネル42はネットワークデバイスインタフェース43よりパケットを受信すると、既に概略を説明したようにデカプセル化、暗号復号化を行った後、パケットがシグナリングパケットかデータパケットかで切り分ける。
シグナリングパケットであるかどうかはMAプロトコル制御部40が指定したポート番号でパケットを受信したかどうかで決定される。シグナリングパケットであればS201、それ以外であればS203へ処理を分岐する。
S201:MAプロトコル制御部40へ受信パケットの情報を渡し、ポート番号によりAAAとのAAAプロトコル及びMNとのモバイルIPプロトコルの処理を行う。
S202:MAプロトコル制御部40はMAVPN制御部41を起動し、VPN情報の設定を行う。
S203:ネットワークカーネル42は受信パケットの出力先のインタフェースを、ルーティングテーブルを参照して決定する。出力先が仮想デバイスであればカプセル化や暗号化が行われ、再度ネットワークカーネル42はカプセル化した宛先でルーティングテーブルを参照し、出力デバイスを決定する。出力先が物理デバイスであれば、そのデバイスへパケットを送信する。
図30は、図27内に示されるMAプロトコル制御部40の処理フローの例である。
S210:図27内に示されるMAプロトコル制御部40はネットワークカーネル2から受信したパケットのIPのポート番号を調べ、AAAプロトコルのポート番号であればS211へ、モバイルIPプロトコルであればS212へ処理を分岐する。
S211:AAAプロトコル処理部44を起動し、AAAプロトコルの処理後、AAAプロトコルに情報の一部として付加されているモバイルIPプロトコルを取り出しS212へ処理を渡す。
S212:モバイルIPプロトコル処理部45を起動し処理を終了する。
図31は、図27内に示されるAAAプロトコル処理部44の処理フローの例である。
S220:AAAプロトコル処理部44はネットワークカーネル42から受信したAAAプロトコルよりVPN情報を抽出し、MAVPN制御部41を起動する。
MAVPN制御部41は、AAAプロトコル処理部44にて抽出されたVPN情報をVPN情報キャッシュ46へ設定する。後述のモバイルIPプロトコル処理部が参照するために、キャッシュの設定、更新を行った場合、共有メモリ上に更新したことを示すフラグを立てる。
S221:AAAプロトコルの処理後、AAAプロトコルに情報の一部として付加されているモバイルIPプロトコルを取り出す。
図32は、図27内で示されるモバイルIPプロトコル処理部45の処理フローの例である。
S230:受信したモバイルIPプロトコルメッセージのタイプを判定する。タイプが位置登録要求(Reg. Request)であればS231へ、登録要求(BU:Binding Update)、登録応答(BA:Binding Ack)であればS235へ処理を分岐する。
位置登録要求(Reg. Request)の場合:
S231:登録要求を受信したモバイルエージェント(MA)がホームエージェント(HA)の場合、モバイルIPプロトコル処理部45は登録要求メッセージの気付アドレス(care of address)と移動性結合内の旧気付アドレスを比較し、比較結果が異なればS232へ処理を分岐する。
S232:モバイルIPプロトコル処理部45はAAAプロトコル処理部44で認証応答メッセージ(AMA)で通知されたVPN情報をMAVPN制御部41に通知すると、MAVPN制御部41はVPN情報キャッシュを通知されたVPN情報で更新する。
S233:MAプロトコル制御部40はMAVPN制御部41を起動する。
S234:モバイルIPプロトコル処理部45は、受信メッセージが位置登録要求(Reg. Request)の場合、位置登録応答(Reg. Reply)を送信する。受信メッセージがBUの場合、BAを送信する。
登録要求(BU)、登録応答(BA)の場合:
S235:モバイルIPプロトコル処理部45は受信メッセージがBUであれば、S235へ、BAであればS234へ処理を分岐する。モバイルエージェント(MA)がPCNとして動作している場合は、PCN配下のCN宛てのBUメッセージを全て代理受信する。この仕組みは、例えば特願2000−32372号の方式で実現される。
S236:処理を要求してきたMAがPCNの場合、モバイルIPプロトコル処理部45はBUメッセージに設定されたVPN情報をVPN情報キャッシュに設定もしくは置換する。
図33は、図27内に示されるMAVPN制御部41の処理フローの例である。
S240:MAVPN制御部41は、VPNを張るために、トンネル制御部47を起動する。
図34及び図35は、図27内に示されるトンネル制御部47の処理フローの例である。
S250:周期位置登録の場合、新しいVPNへ切り替える為にトンネル制御部47はVPN情報インスタンスの情報を元にネットワークカーネル42に設定済みのルートテーブル情報とVPN情報テーブル48の該当する情報を削除する。
S251:トンネル制御部47はVPN情報インスタンスのVPN情報プロファイルに設定されたVPN種別に応じてネットワークカーネル42のルートテーブルに設定する。ルートテーブルの出力デバイスインタフェースはVPN種別がIPinIPなら物理デバイス、IPSecまたはIPSec+UDPならばIPSec仮想デバイスへ出力する。
S252:トンネル制御部47はVPN情報テーブル48にトンネル情報を設定する。
S253:トンネル制御部47は位置登録要求メッセージ(Reg. Request)内の気付けアドレスから、通信事業者または相互接続契約した通信事業者のグローバルアドレス運用によるセキュアなアクセス網(今の場合、CDMA通信システムで構成されている通信事業者のアクセス網はセキュリティが非常に高いものとしている)への通信ならばS255へ、通信事業者または相互接続契約した通信事業者のグローバルアドレス運用による非セキュアなアクセス網(例えば、店舗内のみなどに限定された無線LANなどのホットスポットが考えられる)ならばS256、それ以外ならS254へ処理を分岐させる。アドレスによる判定処理はDNS(Domain Name System)に問い合わせ、ドメイン比較による処理でもよい。
S254:トンネル制御部47は位置登録要求メッセージ(Reg. Request)の送信元アドレスと気付けアドレスを比較し、一致すれば企業網内からのアクセスとしS255、一致しなければプライベートアドレス運用による相互接続契約した通信事業者運用のアクセス網からのアクセスとしS257へ処理を分岐する。アドレスによる判定処理はDNS(Domain Name System)に問い合わせ、ドメイン比較による処理でもよい。
S255:トンネル制御部47はVPN種別にIPinIPを設定する。
S256:トンネル制御部47はVPN種別にIPSecを設定する。
S257:トンネル制御部47はVPN種別にIPSec+UDPを設定する。
S260:トンネル制御部47はVPN種別がIPinIPならば処理を終了し、IPSecならばS262、IPSec、IPSec+UDPならばS261へ処理を分岐させる。
S261:ネットワークカーネル42はVPN情報インスタンスのポート番号を用いてUDPカプセル化を行う。
S262:ネットワークカーネル42はVPN情報インスタンスのVPN情報プロファイル内SPIを参照して、SPIがユーザ個別であればS263へ、デフォルトSPIであればS264へ処理を分岐する。デフォルトSPIは予めモバイルエージェント(MA)内に初期構成時に設定される、又はモバイルエージェント(MA)のローカルな保守コンソールから設定されているものとする。
S263:ネットワークカーネル42はIPSec情報インスタンスにESP識別子を設定する。
S264:ネットワークカーネル42はIPSec情報インスタンスにトンネル識別子を設定する。
図36は、図1におけるMN16の機能ブロックの例を示す。
MNというネットワーク装置は、MNプロトコル制御部50、MN VPN制御部51、ネットワークカーネル52、ネットワークデバイスインタフェース53から構成される。
MNプロトコル制御部50は、モバイルIPを制御するモバイルIPプロトコル処理部54から構成される。MN VPN制御部51は、トンネル制御部55から構成される。トンネル制御部55はVPN情報テーブル56に設定されたVPN種別に応じて送信先のIPアドレスに対してルートテーブル58の出力デバイスを書き換える。IPinIPの場合トンネル仮想デバイスに、IPSecまたIPSec+UDPの場合IPSec仮想デバイスに書き換える。VPN情報キャッシュ57(図22)から読み込まれたVPN情報テーブル56にVPN情報を設定する。
ネットワークカーネル52により仮想デバイスに出力されたパケットはVPN情報テーブル56を参照して、暗号化/復号化及びカプセル化/デカプセル化が実行される。VPN情報テーブル56、ネットワークカーネル52、ネットワークデバイスインタフェース53はAAAの詳細説明の中で既に述べたので、詳細は省略する。
図37から図41は、MNの処理フローである。以下、これらのフローを用いてMNの処理を説明する。
図37は、MNの全体処理フローの例である。
S300:ネットワークカーネル58は物理ネットワークインタフェース53よりパケットを受信すると、既に概略を説明したようにデカプセル化、復号化を行った後、パケットがシグナリングパケットかデータパケットかで切り分ける。シグナリングパケットのであるかいなかはMNプロトコル制御部50が指定したIPのポート番号でパケットを受信したかどうかで決定される。シグナリングパケットであればS301、それ以外であればS303へ処理を分岐する。
S301:MNプロトコル制御部50はネットワークカーネルからシグナルパケットを受信し、モバイルIPプロトコルの処理を行う。
S302:MN VPN制御部51を起動し、VPN情報の設定を行う。
S303:ネットワークカーネル52は受信パケットの出力先のインタフェースを、ルーティングテーブルを参照して決定する。出力先が仮想デバイスであればカプセル化や暗号化が行われ、再度ネットワークカーネル42はカプセル化した宛先でルーティングテーブルを参照し、出力デバイスを決定する。出力先が物理デバイスであれば、そのデバイスへパケットを送信する。
図38は、図36内で示されるMNプロトコル制御部50の処理フローの例である。
S310:受信したパケットのIPのポート番号を調べ、モバイルIPプロトコルであればモバイルIPプロトコル処理部を起動し処理を終了する。
図39は、図36内に示されるモバイルIPプロトコル処理部54の処理フローの例である。
S320:モバイルIPプロトコル処理部54は受信メッセージのタイプを調べ、DHCPならS321へ、位置登録応答メッセージ(Reg. Reply)ならS327へ処理を分岐する。
S321:モバイルIPプロトコル処理部54はDHCPで通知されたアドレスを調べ、MNの気付アドレスに一致するならS323へ、不一致ならS322へ処理を分岐する。
S322:モバイルIPプロトコル処理部54はDHCPACKメッセージから、気付アドレスとなるIPアドレスとネットワークのドメイン名を取得する。
S323:モバイルIPプロトコル処理部54はDHCPで取得したアドレスを調べ、企業網のアドレスと一致した場合は、S325へ、通信事業者または相互接続契約した通信事業者のグローバルアドレスによる運用が行われているアクセス網のアドレスと一致した場合は、S326へ、相互接続契約した通信事業者のローカルアドレスによる運用が行われているアクセス網の場合はS324へ処理を分岐する。アドレスによる判定処理はDNS(Domain Name System)に問い合わせ、ドメイン比較による処理でもよい。
S324:モバイルIPプロトコル処理部54はHAのグローバルなアドレスにUDPトンネル要求ありの位置登録要求メッセージ(Reg. Request)を送出し、処理を終了する。
S325:モバイルIPプロトコル処理部54はHAのプライベートなアドレスに位置登録要求メッセージ(Reg. Request)を送出し、処理を終了する。
S326:モバイルIPプロトコル処理部54はHAのグローバルなアドレスに位置登録要求メッセージ(Reg. Request)を送出し、処理を終了する。
S327:モバイルIPプロトコル処理部54は位置登録応答メッセージ(Reg. Reply)に設定されたVPN情報をVPN情報キャッシュ57に設定する。
S328:モバイルIPプロトコル処理部54はMN VPN制御部51を起動し処理を終了する。
図40は、図36内に示されるMN VPN制御部51の処理フローの例である。
S330:MN VPN制御部51はVPNを張るため、トンネル制御部55を起動し処理を終了する。
図41は、図36内に示されるトンネル制御部55の処理フローの例である。
S340:周期位置登録の場合、新しいVPNへ切り替える為にトンネル制御部55はVPN情報インスタンスの情報を元にネットワークカーネルに設定済みのルートテーブル情報とVPN情報テーブル56の該当する情報を削除する。
S341:トンネル制御部55はVPN情報インスタンスのVPN情報プロファイルに設定されたVPN種別に応じて出力デバイスを設定する。VPN種別がIPinIPなら物理デバイス、IPSecまたはIPSec+UDPならばIPSec仮想デバイスへ出力する。
S342:トンネル制御部55はVPN情報インスタンスのVPN情報プロファイルを参照して、IPSec情報テーブルのトンネル情報インスタンスを設定する。
S343:トンネル制御部55はVPN情報インスタンスのVPN種別を参照して、IPinIPであればトンネリング処理を終了し、IPSecであればS345へ処理を分岐し、IPSec+UDPであればS344へ処理を分岐する。
S344:ネットワークカーネル52はVPN情報インスタンスのIPのポート番号を用いてUDPカプセル化を行う。
S345:ネットワークカーネル52はVPN情報インスタンスのVPN情報プロファイル内SPIを参照して、SPIがユーザ個別であればS346へ、デフォルトSPIであればS347へ処理を分岐する。デフォルトSPIは予めMN内に初期構成時に設定されている、又はMNのローカルな保守コンソールから設定されているものとする。
S346:ネットワークカーネル52はIPSec情報インスタンスにESP識別子を設定する。
S347:ネットワークカーネル52はIPSec情報インスタンスにトンネル識別子を設定する。
以下、MNがネットワークにアクセスした時にどのようにしてVPNが設定されていくかを幾つかの例を示して説明する。以降の実施形態では、HAを通信事業者網内に設置されたことを想定して説明を行うが、HAを企業網内に設置した場合においても同様である。トンネルを終端するネットワーク装置でのカプセル化、デカプセル化については企業網内同一拠点からのアクセス時におけるVPN設定方式で詳細に述べる。VPN設定方式は、それ以外の実施形態でも動作は同様である為、その他の実施形態では説明を省略する。
・企業網内同一拠点からのアクセス時におけるVPN設定方式
図42及び図43は、本発明の実施形態に従った、企業網内で通信する場合を説明する図である。
図42に示すとおり、企業網拠点Aに存在するMNから企業網の同一拠点内であるCNと通信を行った場合のVPN設定とパケットルーティングについて示す。企業網内のある拠点に存在するMNの位置登録手順におけるIPinIP VPNの設定シーケンスを図43に示す。図43で示されるMNはホームアドレスとして10.10.255.1が割り振られており、通信事業者網内に設置されたHAにはモバイルIP用の企業網としてプライベートなネットワークである仮想ホームセグメントが設定されている。その仮想ホームセグメントとのゲートウェイアドレスとして10.10.255.100のプライベートなアドレスが設定されている。
PCN-HA間は静的にIPSecが設定されており、HAとPCNのルーティングテーブルにはルーティング可能なルートが設定されている(1)。
MNはDHCPサーバにDHCPREQUESTを送信し、DHCPACKを受信することで、ネットワーク内でルーティング可能なIPアドレス[10.10.1.100]とドメイン名[asya.com]を取得する(2)、(3)。
送信元アドレスをDHCPで割り振られた企業網のプライベートなアドレス[10.10.1.100]を気付けアドレスとし、送信先アドレスをHAのプライベートなアドレス[10.10.255.100]とする、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(4)。
PCN-HA間は静的にIPSecによるVPNが設定されている為、PCN装置内にて、送信先アドレスがHAのプライベートなアドレス[10.10.255.100]であるので、ルーティングテーブルを参照し、IPSec0仮想インタフェースへパケットを送出する。IPSec0仮想インタフェースでパケットを受信すると、IPSecの設定で指定された暗号化アルゴリズムを使用し、受信パケットを暗号化し、PCNのグローバルなアドレスを送信元アドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPヘッダとIPSecヘッダを付加したIPSecカプセル化を行い、ルーティングテーブルを参照し、実インタフェースeth1からHAへパケットが送信される(5)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAは、ルーティングテーブルを参照し、パケットの送信先アドレスがHAのグローバルなアドレス[100.1.1.1]であることから、実インタフェースeth0でパケットを受信する。IPSecヘッダを参照し、オリジナルパケットの暗号をデコードする。デコードされたパケットの送信先アドレスがHAのインタフェースアドレスであるプライベートなアドレス[10.10.255.100]であるので、パケットを終端し、アプリケーションであるMAプロトコル制御部へ位置登録要求メッセージ(Reg. Request)を渡す。HAは、位置登録要求メッセージ(Reg. Request)の解析を行い、解析結果に従いAAAに認証要求メッセージ(AMR)を送信する(6)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスが企業網ネットワークであることから、VPN種別にIPinIPを設定したVPN情報をサービスプロファイルに設定する。SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(7)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(8)。
AAAはホームエージェント登録応答メッセージ(HAR)で通知された位置
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、位置登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(9)。
HAは移動結合テーブルにMNのホームアドレス[10.10.255.1]と気付けアドレス[10.10.1.100]を移動結合テーブルに設定する。IPinIPトンネルの為のVPN情報を設定したサービスプロファイルを設定した位置登録応答(Reg. Reply)を返し、ルーティングテーブルに、送信先アドレスがMNのホームアドレス[10.10.255.1]とするパケットをMNの気付けアドレス宛[10.10.255.100]に送信する為のトンネルを設定し、HAからMN方向へのIPinIP VPNを設定する(10)、(11)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPinIP VPNを設定する。
図44から図46は、企業網内における経路の切り替え方式を説明する図である。
図44に示すような企業網内のMNと企業網内のCNで通信を行う場合に、CNからMN方向のパケットをHAへは転送せず、企業網内のPCNにてパケットを折り返し、企業網内に閉じた通信を可能とする。このHAからPCNにパケット折り返しを指示し、経路を最適化する為のシーケンスを図45に示す。
図45においては、まず、HAからPCNに対し結合要求メッセージ(BU)を送信する(12)。
PCNは通知されたホームアドレス[10.10.255.1]と気付けアドレスリスト[10.10.1.100]を移動結合テーブルに設定する。MNのホームアドレスを送信先アドレスとするパケットをMNの気付けアドレス宛に送信するようルーティグテーブルにトンネルを設定する。PCNは結合応答メッセージ(BA)を返す(13)。
経路最適化後、CNからMN方向へのデータパケットは、CNからPCNへルーティングされ、PCNで折り返され、MNへ送信される。経路最適化後のデータパケットのルーティングを図46に示す。
MNからCN方向へのパケットは送信元アドレスをMNのホームアドレス[10.10.255.1]とし、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]とし、PCNを経由し、CNへ転送される(14)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.1.2]、送信先アドレスをMNのホームアドレス[10.10.255.1]としPCNへと転送される。PCNにて移動結合テーブルを参照し、送信元アドレスをCNのプライベートなアドレス[10.10.2.1]、送信先アドレスをMNの気付けアドレス[10.10.1.100]とするモバイルIPプロトコルによるカプセル化が行われ、MNへと転送される(15)。
・企業網内他拠点からのアクセス時における拠点間通信に既存設備を流用したVPN設定方式
図47及び図48は、同一管理ドメイン内の拠点間通信について説明する図である。
図47に示すような企業網間通信には企業網拠点AのGWと企業網拠点BのGW間に張られた既存VPNを使用し、企業網拠点A内のPCNと通信事業者網に設置したHA間にのみに新たにVPNを設定したネットワーク構成で、企業網内拠点Aに存在するMNから企業網の異なる拠点Bに存在するCNと通信を行った場合のVPN設定とパケットルーティングについて示す。企業網内拠点Aに存在するMNの位置登録手順におけるIPinIP VPN設定シーケンスを図48に示す。
図48においては、MNはDHCPを利用して、IPアドレス[10.10.1.100]とドメイン名[asya.com]を取得する(1)、(2)。
送信元アドレスをDHCPで割り振られた企業網のプライベートなアドレス[10.10.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]とする、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(3)。
企業網GW-HA間は静的にIPSecによるVPNが設定されている為、企業網GWにて送信元アドレスを企業網GWのグローバルなアドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPSecカプセル化を行い、HAへ転送する(4)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAはIPSecデカプセル化を行い、AAAに認証要求メッセージ(AMR)を送信する(5)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスが企業網ネットワークであることから、VPN種別にIPinIPを設定したVPN情報をサービスプロファイルに設定する。SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(6)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(7)。
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(8)。
HAはVPN種別にIPinIPを設定した位置登録応答(Reg. Reply)を返し、HAからMN方向へのIPinIP VPNを設定する(9)、(10)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPinIP VPNを設定する。
図49から図51は、企業網内における経路切り替え方式を説明する図である。
図49に示すような企業網内のMNと企業網内のCNで通信を行う場合に、CNからMN方向のパケットをHAへは転送せず、企業網GW間に設定されているVPNを通り、企業網内のPCNにてパケットを折り返し、企業網内に閉じた通信を可能とする。このHAからPCNにパケット折り返しを指示し、経路を最適化する為のシーケンスを図50に示す。
図50においては、まず、HAからPCNに対し結合要求メッセージ(BU)を送信する(11)。通信事業者網と企業網GW間はIPSecによるトンネリングによりメッセージが転送される。
PCNは通知されたホームアドレスと気付けアドレスリストを移動結合テーブルに設定する。MNのホームアドレスを送信先アドレスとするパケットをMNの気付けアドレス宛に送信するようルーティグテーブルにトンネルを設定する。そして、PCNは結合応答メッセージ(BA)をHAに返す(12)。
経路最適化後、CNからMN方向へのデータパケットは、CNからPCNへルーティングされ、PCNで折り返され、MNへ送信される。経路最適化後のデータパケットのルーティングを図51に示す。
図51においては、MNからCN方向へのパケットは送信元アドレスをMNのホームアドレス[10.10.255.1]とし、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]とし、企業網既存VPNを経由し、CNへ転送される(13)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNのホームアドレス[10.10.255.1]としPCN送信する。PCNにて移動結合テーブルを参照し、送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNの気付けアドレス[10.10.1.100]とするモバイルIPプロトコルによるカプセル化が行われ、MNへと転送される(14)。
・企業網内他拠点からのアクセス時における拠点間通信に拠点毎VPN設定方式
図52及び図53は、同一管理ドメイン内の拠点間通信を説明する図である。
図52に示すような企業網間通信には企業網拠点AのGWと企業網拠点BのGW間に張られた既存VPNを使用し、HAとの通信の為に、新たに企業網拠点A内にPCN1と企業網拠点B内にPCN2を設置し、PCN1、PCN2とHA間にVPNを設定したネットワークにおいて、企業網内拠点Aに存在するMNからの企業網内拠点Bに存在するCNと通信を行った場合のIPinIP VPN設定とパケットルーティングについて示す。企業網Aのある拠点に存在するMN の位置登録手順におけるIPinIP VPN設定シーケンスを図53に示す。
図53においては、まず、DHCPを利用しIPアドレス[10.10.1.100]とドメイン名[asya.com]を取得する(1)、(2)。
送信元アドレスにDHCPで割り振られた企業網のプライベートなアドレス[10.10.1.100]、送信先アドレスにHAのグローバルなアドレス[100.1.1.1]を設定し、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(3)。
PCN1-HA間は静的にIPSecによるVPNが設定されている為、PCN2にて送信元アドレスをPCN2のグローバルなアドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPSecカプセル化を行い、HAへ転送する(4)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAはIPSecデカプセル化を行い、AAAに認証要求メッセージ(AMR)を送信する(5)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスが企業網ネットワークであることから、VPN種別にIPinIPを設定したVPN情報をサービスプロファイルに設定する。SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(6)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(7)。
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(8)。
HAはVPN種別にIPinIPを設定した位置登録応答(Reg. Reply)を返し、HAからMN方向へのIPinIP VPNを設定する(9)、(10)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPinIP VPNを設定する。
図54から図56は、PCN1−PCN2間の経路最適化方式を説明する図である。
図54に示すような企業網拠点A内のMNと企業網拠点B内のCNで通信を行う場合に、CNからMN方向のパケットをHAへは転送せず、企業網GW間に設定されたVPNを通り、企業網A内のPCN1にてパケットを折り返し、企業網内に閉じた通信を可能とする。このHAからPCNにパケット折り返しを指示し、経路を最適化する為のシーケンスを図55に示す。
図55においては、HAからCN側PCN1に対し、結合要求メッセージ(BU)を送信する(11)。
PCN1は通知されたホームアドレスと気付けアドレスリストを移動結合テーブルに設定する。送信先アドレスがMNのホームアドレスとなるパケットをPCN2へ送信するようルーティングテーブルにトンネルを設定する。結合応答メッセージ(BA)を送信する(12)。
経路最適化後、CNからMN方向へのデータパケットは、CNから企業網のGW間に設定されたVPNを使用し、PCN1からPCN2へルーティングされ、MNへ送信される。経路最適化後のデータパケットのルーティングを図56に示す。
MNからCN方向へのパケットは送信元アドレスをMNのホームアドレス[10.10.255.1]とし、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]とし、PCN1を経由し、CNへ転送される(13)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNのホームアドレス[10.10.255.1]としPCN2に送信する。PCN2にて結合テーブルを参照し、送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNの気付けアドレス[10.10.1.100]とするモバイルIPプロトコルによるカプセル化が行われ、MNへと転送される(14)。
・通信事業者のセキュアなアクセス網(例CDMA通信網)からのアクセス時におけるVPN設定方式
図57から図59は、移動通信事業者を介した通信について説明する図である。
図57に示すようなMNは通信事業者によってセキュリティが保証された通信事業者網に存在し、企業網に設置されたPCNと通信事業者網に設置されたHA間にIPSecによるVPNが設定されたネットワークにおいて、企業網内のCNとセキュリティが保証された通信事業者網である外部ネットワークに存在するMNと通信を行った場合のVPN設定とパケットルーティングについて示す。セキュリティが保証された通信事業者網である外部ネットワークに存在するMN の位置登録手順におけるIPinIP VPN設定シーケンスを図58に示す。
図58においては、MNはDHCPを利用しIPアドレス[200.2.1.100]とドメイン名[docomo.com]を取得する(1)、(2)。
送信元アドレスにDHCPで割り振られた通信事業者網のアドレス[200.2.1.100]、送信先アドレスにHAのグローバルなアドレス[200.1.1.101]を設定し、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(3)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAはAAAに認証要求メッセージ(AMR)を送信する(4)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスがセキュアな通信事業者網であることから、VPN種別にIPinIPを設定したVPN情報をサービスプロファイルに設定する。SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(5)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(6)。
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(7)。
HAはVPN種別にIPinIPを設定した位置登録応答(Reg. Reply)を返し、HAからMN方向へのIPinIP VPNを設定する(8)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPinIP VPNを設定する。
上記で設定されたVPNを使用し、HAを経由しMN-CN間の通信が行われる。データパケット交換シーケンスを図59に示す。図59は通信事業者網からの接続シーケンスを示している。
図59においては、MNからCN方向へのパケットはMNのco-locatedモードにより外部IPヘッダの送信元アドレスに通信事業者網で割り振られたアドレス[200.2.1.100]、送信先アドレスにHAアドレス[100.1.1.1]、内部IPヘッダの送信元アドレスにMNのホームアドレス[10.10.255.1]、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]としたパケットが生成され、HAへ送信される。PCN-HA間は静的にIPSecによるVPNが設定されている為、HAにて送信元アドレスをHAのグローバルなアドレス[100.1.1.1]、送信先アドレスをPCNのグローバルなアドレス[100.1.1.100]としたIPSecカプセル化を行い、PCNへ転送される。PCNにてIPSecデカプセル化を行い、CNへ送信する(9)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNのホームアドレス[10.10.255.1]としPCNへ送信される。PCNにて送信元アドレスをPCNグローバルなアドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPSecカプセル化を行い、HAへ送信する。HAではIPSecデカプセル化を行い、モバイルIPプロトコルによるカプセル化を行い、MNへ送信する(10)。
・通信事業者の非セキュアなアクセス網(例ホットスポット)からのアクセス時におけるVPN設定方式
図60から図62は、移動通信事業者網直結ホットスポットからの通信動作を説明する図である。
図60に示すようなMNは通信事業者によってセキュリティが保証されていないホットスポットに存在し、企業網に設置されたPCNと通信事業者網に設置されたHA間にIPSecによるVPNが設定されたネットワークにおいて、企業網内のCNとセキュリティが保証されていないホットスポット網である外部ネットワークに存在するMNと通信を行った場合のVPN設定とパケットルーティングについて示す。セキュリティが保証されていないホットスポットに存在するMN の位置登録手順におけるIPSec VPN設定シーケンスを図61に示す。
図61においては、MNはDHCPを利用しIPアドレス[200.20.1.100]とドメイン名[docomo.com]を取得する(1)、(2)。
送信元アドレスにDHCPで割り振られた通信事業者網のアドレス[200.20.1.100]、送信先アドレスにHAのグローバルなアドレス[100.1.1.1]を設定し、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(3)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAはAAAに認証要求メッセージ(AMR)を送信する(4)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスが非セキュアな通信事業者網であることから、VPN種別にIPSecを設定したVPN情報をサービスプロファイルに設定する。SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(5)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(6)。
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(7)。
HAはVPN種別にIPSecを設定した位置登録応答(Reg. Reply)を返し、HAからMN方向へのIPSec VPNを設定する(8)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPSec VPNを設定する。
上記で設定されたVPNを使用し、HAを経由しMN-CN間の通信が行われる。データパケット交換シーケンスを図62に示す。
MNからCN方向へのパケットはMNのco-locatedモードにより外部IPヘッダの送信元アドレスに通信事業者網で割り振られたアドレス[200.20.1.100]、送信先アドレスにHAのグローバルなアドレス[100.1.1.1]、内部IPヘッダの送信元アドレスにMNのホームアドレス[10.10.255.1]、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]としたパケットが生成され、HAへ送信される。PCN-HA間は静的にIPSecによるVPNが設定されている為、HAにて送信元アドレスをHAのグローバルなアドレス[100.1.1.1]、送信先アドレスをPCNのグローバルなアドレス[100.1.1.100]としたIPSecカプセル化を行い、PCNへ転送される。PCNにてIPSecデカプセル化を行い、CNへ送信する(9)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNのホームアドレス[10.10.255.1]としPCNへ送信される。PCNにて送信元アドレスをPCNグローバルなアドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPSecカプセル化を行い、HAへ送信する。HAではIPSecデカプセル化を行い、モバイルIPプロトコルによるカプセル化を行い、MNへ送信する(10)。
・通信事業者とローミング契約した他の通信事業者のアクセス網からのアクセス時におけるVPN設定方式
図63から図65は、ローミング提携先からの通信の動作を説明する図である。
図63に示すようなMNは通信事業者とローミング契約した他の通信事業者のアクセス網に存在し、企業網に設置されたPCNと通信事業者網に設置されたHA間にIPSecによるVPNが設定されたネットワークにおいて、企業網内のCNとローミング契約した他の通信事業者のアクセス網である外部ネットワークに存在するMNと通信を行った場合のVPN設定とパケットルーティングについて示す。通信事業者とローミング契約した他の通信事業者のアクセス網に存在するMN の位置登録手順におけるIPSec+UDP VPN設定シーケンスを図64に示す。
図64においては、MNはDHCPを利用しIPアドレス[10.20.1.100]とドメイン名[unknown.com]を取得する(1)、(2)。
送信元アドレスにDHCPで割り振られたローミング先の通信事業者網で割り振られたアドレス[10.20.1.100]、送信先アドレスにHAのグローバルなアドレス[100.1.1.1]を設定し、NAI拡張とAAA認証ヘッダを含む位置登録要求メッセージ(Reg. Request)をHA宛に送信する(3)。
MNからの位置登録要求メッセージ(Reg. Request)を受信したHAはAAAに認証要求メッセージ(AMR)を送信する(4)。
AAAはAMRメッセージに含まれたNAIでVPNデータベースを検索し、このユーザに固有のVPN情報を抽出する。MNの気付けアドレスのネットワークアドレスが企業網、セキュアな通信事業者網、非セキュアな通信事業者網でないので、ローミング契約した他の通信事業者のアクセス網と判断し、VPN種別にIPSec+UDPを設定したVPN情報をサービスプロファイルに設定する。
SPC固定部(図7)にサービスプロファイルを設定した位置登録要求メッセージ(Reg. Request)をホームエージェント登録要求メッセージ(HAR)に設定し、HA宛に送信する(5)。
HAはホームエージェント登録要求メッセージ(HAR)で通知されたVPN情報をVPN情報キャッシュに設定し、HAはホームエージェント登録応答メッセージ(HAA)にサービスプロファイルを含んだ位置登録応答(Reg. Reply)を設定し、AAAへ送信する(6)。
AAAはSPC固定部(図7)にVPN情報を設定したモバイルIPプロトコルの位置登録応答(Reg. Reply)を含んだホームエージェント登録応答メッセージ(HAA)を受信すると、登録応答(Reg. Reply)に認証子を付加し、HA宛に認証応答(AMA)を送信する(7)。
HAはVPN種別にIPSec+UDPを設定した位置登録応答(Reg. Reply)を返し、HAからMN方向へのIPSec+UDP VPNを設定する(8)。
MNは位置登録応答(Reg. Reply)を受信すると、サービスプロファイルに従い、MNからHA方向にIPSec+UDP VPNを設定する。
上記で設定されたVPNを使用し、MN-CN間の通信が行われる。データパケット交換シーケンスを図65に示す。
MNからCN方向へのパケットはMNのco-locatedモードにより外部IPヘッダの送信元アドレスに通信事業者網で割り振られたアドレス[10.20.1.100]、送信先アドレスにHAのグローバルなアドレス[100.1.1.1]、内部IPヘッダの送信元アドレスにMNのホームアドレス[10.10.255.1]、送信先アドレスをCNのプライベートなアドレス[10.10.2.100]としたパケットが生成され、HAへ送信される。GWのNAT/NAPT機能により送信元アドレスをGWグローバルなアドレス[100.10.1.100]に書き換えられ、HAへ転送される。PCN-HA間は静的にIPSecによるVPNが設定されている為、HAにて送信元アドレスをHAのグローバルなアドレス[100.1.1.1]、送信先アドレスをPCNのグローバルなアドレス[100.1.1.100]としたIPSec+UDPカプセル化を行い、PCNへ転送される。PCNにてIPSec+UDPデカプセル化を行い、CNへ送信する(9)。
CNからMN方向へのパケットは送信元アドレスをCNのプライベートなアドレス[10.10.2.100]、送信先アドレスをMNのホームアドレス[10.10.255.1]としHAへ送信される。PCNにて送信元アドレスをPCNグローバルなアドレス[100.1.1.100]、送信先アドレスをHAのグローバルなアドレス[100.1.1.1]としたIPSecカプセル化を行い、HAへ送信する。HAではIPSec+UDPデカプセル化を行い、モバイルIPプロトコルによるカプセル化を行い、MNへ送信する。GWのNAT/NAPT機能により送信先アドレスをGWのプライベートなアドレス[10.10.1.100]に書き換えられ、MNへ転送される(10)。
・外部ネットワークからの外部ネットワークへの通信
図66は、企業網内プロキシ経由によるインターネット接続の場合の動作を説明する図である。
この実施形態は、外部ネットワークと存在するMNが企業網外のネットワークと通信したパケットルーティングについて示す。外部ネットワーク間のパケット経路図を図66に示す。
MNは企業網のGWをプロキシアドレスとし、外部ネットワークに送信する。外部ネットワークからのパケットは企業網のGWを経由し、MNへ送信される。
・通信事業者のセキュアなアクセス網(例FOMA、CDMA)から企業網アクセス時の経路最適化
図67から図69は、移動通信業者網を介した通信の動作を説明する図である。
図67において、企業網のPCNと通信事業者網に設定されたHA間にIPSec VPNが設定され、通信事業者コア網に接続されたアクセス網が通信事業者のセキュアなアクセス網(例CDMA)の場合、通信事業者のセキュアなアクセス網のMNから企業網内のCNへ通信する場合に、EaseNet(特願2000−50220)の経路最適化の仕組みを応用して、HAを経由せずにMN-PCN間で直接通信するIPSec VPN設定方法を図68に示す。
企業は、IPSecで通信事業者のセキュアなアクセス網(例えばCDMA)をアクセス可能な拠点を、サービスプロファイルとして登録する(1)。
MNが通信事業者のセキュアなアクセス網(例CDMA)に接続された場合、EaseNetは、認証時に、あらかじめ設定されたサービスプロファイルに基づき、VPN情報をHAにダウンロードする。
MNへは位置登録応答メッセージを用いて指定された全ての拠点へのVPN情報を配布する(2)、(3)。
HAは、結合更新メッセージを用いて、指定されたそれぞれの拠点のPCNへVPN情報を配布する(4)。
配布されたVPN情報により、PCNとMNは直接相手ノードへIPSecVPNを設定する。これによりMNと指定された企業拠点間の通信は、HAを介することなく行うことが可能となる。
MNが移動した場合は、認証時と同様な手順でVPNが再設定される。
・通信事業者の非セキュアなアクセス網(例ホットスポット)から企業網アクセス時の経路最適化
図70から図72は、移動通信事業者網直結ホットスポットからの通信の動作を説明する図である。
図70において、企業網のPCNと通信事業者網に設定されたHA間にIPSec VPNが設定され、通信事業者コア網に接続されたアクセス網が通信事業者の非セキュアなアクセス網(例ホットスポット)の場合、通信事業者のセキュアなアクセス網のMNから企業網内のCNへ通信する場合に、EaseNet(特願2000−50220)の経路最適化の仕組みを応用して、HAを経由せずにMN-PCN間で直接通信するIPSec VPN設定方法を図71に示す。
企業は、IPSecで通信事業者の非セキュアなアクセス網(例ホットスポット)をアクセス可能な拠点を、サービスプロファイルとして登録する(1)。
MNが通信事業者の非セキュアなアクセス網(例ホットスポット)に接続された場合、EaseNetは、認証時に、あらかじめ設定されたサービスプロファイルに基づき、VPN情報をHAにダウンロードする。
MNへは位置登録応答メッセージを用いて指定された全ての拠点へのVPN情報を配布する(2)、(3)。
HAは、結合更新メッセージを用いて、指定されたそれぞれの拠点のPCNへVPN情報を配布する(4)。
配布されたVPN情報により、PCNとMNは直接相手ノードへIPSecVPNを設定する。これによりMNと指定された企業拠点間の通信は、HAを介することなく行うことが可能となる。
MNが移動した場合は、認証時と同様な手順でVPNが再設定される。
・通信事業者とローミング契約した他の通信事業者のアクセス網から企業網アクセス時の経路最適化
図73から図75は、ローミング提携先からの通信の動作を説明する図である。
図73において、企業網のPCNと通信事業者網に設定されたHA間にIPSec VPNが設定され、通信事業者コア網に接続されたアクセス網が通信事業者とローミング契約した他の通信事業者のアクセス網の場合、通信事業者のセキュアなアクセス網のMNから企業網内のCNへ通信する場合に、EaseNet(特願2000−50220)の経路最適化の仕組みを応用して、HAを経由せずにMN-PCN間で直接通信するIPSec+UDP VPN設定方法を図74に示す。
企業は、IPSec+UDPで通信事業者とローミング契約した他の通信事業者のアクセス網をアクセス可能な拠点とし、サービスプロファイルとして登録する。
MNが通信事業者とローミング契約した他の通信事業者のアクセス網に接続された場合、EaseNetは、認証時に、あらかじめ設定されたサービスプロファイルに基づき、VPN情報をHAにダウンロードする。
MNへは位置登録応答メッセージを用いて指定された全ての拠点へのVPN情報を配布する(1)、(2)、(3)。
HAは、結合更新メッセージを用いて、指定されたそれぞれの拠点のPCNへVPN情報を配布する(4)。
配布されたVPN情報により、PCNとMNは直接相手ノードへIPSec+UDP VPNを設定する。これによりMNと指定された企業拠点間の通信は、HAを介することなく行うことが可能となる。
MNが移動した場合は、認証時と同様な手順でVPNが再設定される。
(付記1)プライベートなネットワークである第1のネットワーク内で使用される第1のアドレスを用いて、第2のアドレスを用いて通信を制御する、第1のネットワークに接続された、第2のネットワークを介した通信を行う仮想閉域網システムであって、
該第1のアドレスを固定的に保持して通信を行う、移動可能な第1の手段と、
該第1の手段の第1のアドレスと、第2のネットワークを介した通信を行うための第2のアドレスとの対応関係を取得し、該第1の手段が移動しても通信
可能なセッションの確立を行う手順の中で、該第1の手段の認証を行い、該第2のネットワークを介して、第1のネットワークにアクセスする通信装置との間に仮想閉域網を形成する第2の手段と、
を備えることを特徴とする仮想閉域網システム。
(付記2)前記第1の手段が、該第1のネットワークに接続した端末と通信を行う場合に、該第1の手段と該端末との通信経路を最適化する手段を更に備えることを特徴とする付記1に記載の仮想閉域網システム。
(付記3)前記第2の手段と、前記第1のネットワーク間には、予め仮想閉域網が設定されていることを特徴とする付記1に記載の仮想閉域網システム。
(付記4)前記移動通信可能なプロトコルは、モバイルIPであることを特徴とする付記1に記載の仮想閉域網システム。
(付記5)前記第2の手段は、前記第1の手段との間のモバイルIPのトンネル設定手順において、該第1の手段に仮想閉域網に関する情報を通知し、該第1の手段と該第2の手段間に仮想閉域網を設定することを特徴とする付記4に記載の仮想閉域網システム。
(付記6)前記モバイルIPと仮想閉域網の設定において、前記第1の手段のco-locatedモードを利用することを特徴とする付記5に記載の仮想閉域網システム。
(付記7)前記第2のネットワークは、公共ネットワークと、通信事業者の有する移動体通信網とからなり、前記第1の手段がアクセスする該移動体通信網がセキュアなアクセス網である場合には、前記第2の手段と該第1の手段との間にIPinIPのトンネルを設定することを特徴とする付記6に記載の仮想閉域網システム。
(付記8)前記第2のネットワークは、公共ネットワークと、通信事業者の有する移動体通信網とからなり、前記第1の手段がアクセスする該移動体通信網が非セキュアなアクセス網である場合には、前記第2の手段と該第1の手段との間にIPSecのトンネルを設定することを特徴とする付記6に記載の仮想閉域網システム。
(付記9)前記第2のネットワークは、公共ネットワークと、第1の通信事業者の有する第1の移動体通信網と、第2の通信事業者の有する第2の移動体通信網とからなり、前記第1の手段が該第1の移動体通信網から第2の移動体通信網と公共ネットワークを介して前記第1のネットワークにアクセスする場合、前記第2の手段と該第1の手段との間にIPSec+UDPのトンネルを設定することを特徴とする付記6に記載の仮想閉域網システム。
(付記10)前記第2の手段と前記第1のネットワークの間には、固定的な仮想閉域網を予め設定しておくことを特徴とする付記1に記載の仮想閉域網システム。
(付記11)モバイルIPに従って移動端末とプライベートネットワークに接続された端末の通信を可能にするホームエージェントであって、
該移動端末と該ホームエージェントの間に仮想閉域網を設定する手段と、
該移動端末のアクセス認証を行う手段と、
該移動端末に、該認証手段から得られた該仮想閉域網に関する情報を通知する手段と、
を備えることを特徴とするホームエージェント。
(付記12)移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、
該移動端末から送られてくる位置登録要求の気付けアドレスまたはドメインを検出する手段と、
検出した該気付けアドレスまたは該ドメインが通信の秘匿性を確保可能な網を示している場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが通信の秘匿性を十分保証しきれない網を示している場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段と、
を備えることを特徴とするルータ。
(付記13)移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、
該移動端末から送られてくる位置登録要求の気付けアドレスと送信元アドレスを比較する手段と、
該気付けアドレスが所定の通信事業者を示していない場合であって、該気付けアドレスが該送信元アドレスと一致する場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが該送信元アドレスと一致しない場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段と、
を備えることを特徴とするルータ。
(付記14)該移動端末と該ルータとの間を秘匿性の高い通信プロトコルはIPSec+UDPのトンネルであることを特徴とする付記13に記載のルータ。
(付記15)プライベートネットワークに接続された端末との通信を可能にする移動端末であって、
該移動端末が現在自身の属する網の情報を取得する取得手段と、
取得した該網の情報がプライベートネットワークであることを示す場合には、該移動端末の位置を管理するルータのプライベートなアドレスに位置登録要求メッセージを送出し、該網が所定の通信事業者網であることを示す場合には、該ルータのグローバルなアドレスに位置登録要求メッセージを送出し、それ以外の場合には、該ルータのグローバルなアドレスに、秘匿性の高い通信経路の設定要求を含む位置登録要求メッセージを送出するように制御する制御手段と、
を備えることを特徴とする移動端末。
(付記16)該移動端末と該ルータとの間を秘匿性の高い通信プロトコルはIPSec+UDPのトンネルであることを特徴とする付記15に記載のルータ。
(付記17)移動端末とプライベートネットワークに接続された端末の通信を可能にするシステムにおける移動端末であって、
モバイルIPの通信用トンネルを設定する手段と、
該モバイルIPの通信用トンネルの設定手順において、該プライベートネットワークの通信用トンネルを設定する手段とを備え、
該移動端末は、モバイルIPの通信用トンネルとプライベートネットワークの通信用トンネルを兼用した1つの通信用トンネルを使って通信を行うことを特徴とする移動端末。
(付記18)プライベートなネットワークである第1のネットワーク内で使用される第1のアドレスを用いて、第2のアドレスを用いて通信を制御する、第1のネットワークに接続された、第2のネットワークを介した通信を行う仮想閉域網システムにおける通信制御方法であって、
該第1のアドレスを固定的に保持して通信を行う、移動可能な移動端末を設けるステップと、
該移動端末の第1のアドレスと、第2のネットワークを介した通信を行うための第2のアドレスとの対応関係を取得し、該移動端末が移動しても通信可能なセッションの確立を行う手順の中で、該移動端末の認証を行い、該第2のネットワークを介して、第1のネットワークにアクセスする通信装置との間に仮想閉域網を形成するルータを設けるステップと、
を備えることを特徴とする通信制御方法。
(付記19)前記移動端末が、該第1のネットワークに接続した端末と通信を行う場合に、該移動端末と該端末との通信経路を最適化するステップを更に備えることを特徴とする付記18に記載の通信制御方法。
(付記20)前記ホームエージェントと、前記第1のネットワーク間には、予め仮想閉域網が設定されていることを特徴とする付記18に記載の通信制御方法。
(付記21)前記移動通信可能なプロトコルは、モバイルIPであることを特徴とする付記18に記載の通信制御方法。
(付記22)前記ホームエージェントは、前記移動端末との間のモバイルIPのトンネル設定手順において、該移動端末に仮想閉域網に関する情報を通知し、該移動端末と該ルータ間に仮想閉域網を設定することを特徴とする付記21に記載の通信制御方法。
(付記23)前記モバイルIPと仮想閉域網の設定において、前記移動端末のco-locatedモードを利用することを特徴とする付記21に記載の通信制御方法。
(付記24)前記第2のネットワークは、公共ネットワークと、通信事業者の有する移動体通信網とからなり、前記移動端末がアクセスする該移動体通信網がセキュアなアクセス網である場合には、前記ホームエージェントと該移動端末との間にIPinIPのトンネルを設定することを特徴とする付記22に記載の通信制御方法。
(付記25)前記第2のネットワークは、公共ネットワークと、通信事業者の有する移動体通信網とからなり、前記移動端末がアクセスする該移動体通信網が非セキュアなアクセス網である場合には、前記ホームエージェントと該移動端末との間にIPSecのトンネルを設定することを特徴とする付記22に記載の通信制御方法。
(付記26)前記第2のネットワークは、公共ネットワークと、第1の通信事業者の有する第1の移動体通信網と、第2の通信事業者の有する第2の移動体通信網とからなり、前記移動端末が該第1の移動体通信網から第2の移動体通信網と公共ネットワークを介して前記第1のネットワークにアクセスする場合、前記ルータと該移動端末との間にIPSec+UDPのトンネルを設定することを特徴とする付記22に記載の通信制御方法。
(付記27)前記ルータと前記第1のネットワークの間には、固定的な仮想閉域網を予め設定しておくことを特徴とする付記17に記載の通信制御方法。
(付記28)移動端末とプライベートネットワークに接続された端末の通信を可能にするルータの通信制御方法であって、
該移動端末から送られてくる位置登録要求の気付けアドレスを検出するステップと、
該気付けアドレスが通信事業者が通信の秘匿性を確保可能なアクセス網を示している場合には、秘匿性の低い通信プロトコルで、該気付けアドレスが通信事業者が通信の秘匿性を十分保証しきれないアクセス網を示している場合には、秘匿性の高い通信プロトコルで、該移動端末と該端末との通信を行わせる通信制御ステップと、
を備えることを特徴とするルータの通信制御方法。
(付記29)移動端末とプライベートネットワークに接続された端末の通信を可能にするルータの通信制御方法であって、
該移動端末から送られてくる位置登録要求の気付けアドレスと送信元アドレスを比較する比較ステップと、
該気付けアドレスが該送信元アドレスと一致する場合には、秘匿性の低い通信プロトコルで、該気付けアドレス該送信元アドレスと一致しない場合には、秘匿性の高い通信プロトコルで、該移動端末と該端末との通信を行わせる通信制御ステップと、
を備えることを特徴とするルータの通信制御方法。
(付記30)プライベートネットワークに接続された端末との通信を可能にする移動端末の通信制御方法であって、
該移動端末が現在自身の属する網の情報を取得する取得ステップと、
該取得した情報が、該網がプライベートネットワークであることを示す場合には、該移動端末の位置を管理するルータのプライベートなアドレスに位置登録要求メッセージを送出し、該アクセス網がプライベートネットワークと相互接続契約した通信事業者網であることを示す場合には、該ルータのグローバルなアドレスに位置登録要求メッセージを送出し、それ以外の場合には、該ホームエージェントのグローバルなアドレスに、秘匿性の高い通信経路の設定要求を含む位置登録要求メッセージを送出するように制御する制御ステップと、
を備えることを特徴とする移動端末の通信制御方法。
(付記31)モバイルIPに従って移動端末とプライベートネットワークに接続された端末の通信を可能にするシステムにおける移動端末の通信制御方法であって、
モバイルIPの通信用トンネルを設定するステップと、
該モバイルIPの通信用トンネルの設定手順において、該プライベートネットワークの通信用トンネルを形成するプステップとを備え、
該移動端末は、モバイルIPの通信用トンネルとプライベートネットワークの通信用トンネルを兼用した1つ通信用トンネルを使って通信を行うことを特徴とする移動端末の通信制御方法。
本発明の機能ブロックである。 DIAMETERプロトコルの詳細を示す図(その1)である。 DIAMETERプロトコルの詳細を示す図(その2)である。 DIAMETERプロトコルの詳細を示す図(その3)である。 DIAMETERプロトコルの詳細を示す図(その4)である。 DIAMETERプロトコルの詳細を示す図(その5)である。 DIAMETERプロトコルの詳細を示す図(その6)である。 DIAMETERプロトコルの詳細を示す図(その7)である。 DIAMETERプロトコルの詳細を示す図(その8)である。 DIAMETERプロトコルの詳細を示す図(その9)である。 DIAMETERプロトコルの詳細を示す図(その10)である。 DIAMETERプロトコルの詳細を示す図(その11)である。 本発明の実施形態で使用するVPNデータベース17の構成を示す図である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その1)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その2)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その3)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その4)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その5)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その6)である。 図1〜図13で説明した機能を持つ認証サーバ及びネットワーク装置で構成されるIPネットワーク構成を示す図(その7)である。 AAAの機能ブロックを示す図である。 VPN情報キャッシュの構成を示す図である。 ルートテーブルの構成を示す図である。 AAAの処理フロー(その1)である。 AAAの処理フロー(その2)である。 AAAの処理フロー(その3)である。 HA、PCNの機能ブロックを示す図である。 VPN情報テーブルを示す図である。 MA(Mobile Agent)の処理フロー(その1)である。 MA(Mobile Agent)の処理フロー(その2)である。 MA(Mobile Agent)の処理フロー(その3)である。 MA(Mobile Agent)の処理フロー(その4)である。 MA(Mobile Agent)の処理フロー(その5)である。 MA(Mobile Agent)の処理フロー(その6)である。 MA(Mobile Agent)の処理フロー(その7)である。 MNの機能ブロックを示す。 MNの処理フロー(その1)である。 MNの処理フロー(その2)である。 MNの処理フロー(その3)である。 MNの処理フロー(その4)である。 MNの処理フロー(その5)である。 本発明の実施形態に従った、企業網内で通信する場合を説明する図(その1)である。 本発明の実施形態に従った、企業網内で通信する場合を説明する図(その2)である。 企業網内における経路の切り替え方式を説明する図(その1)である。 企業網内における経路の切り替え方式を説明する図(その2)である。 企業網内における経路の切り替え方式を説明する図(その3)である。 同一管理ドメイン内の拠点間通信について説明する図(その1)である。 同一管理ドメイン内の拠点間通信について説明する図(その2)である。 企業網内における経路切り替え方式を説明する図(その1)である。 企業網内における経路切り替え方式を説明する図(その2)である。 企業網内における経路切り替え方式を説明する図(その3)である。 同一管理ドメイン内の拠点間通信を説明する図(その1)である。 同一管理ドメイン内の拠点間通信を説明する図(その2)である。 PCN−PCN間の経路最適化方式を説明する図(その1)である。 PCN−PCN間の経路最適化方式を説明する図(その2)である。 PCN−PCN間の経路最適化方式を説明する図(その3)である。 移動通信事業者を介した通信について説明する図(その1)である 移動通信事業者を介した通信について説明する図(その2)である 移動通信事業者を介した通信について説明する図(その3)である 移動通信事業者網直結ホットスポットからの通信動作を説明する図(その1)である。 移動通信事業者網直結ホットスポットからの通信動作を説明する図(その2)である。 移動通信事業者網直結ホットスポットからの通信動作を説明する図(その3)である。 ローミング提携先からの通信の動作を説明する図(その1)である。 ローミング提携先からの通信の動作を説明する図(その2)である。 ローミング提携先からの通信の動作を説明する図(その3)である。 企業網内プロキシ経由によるインターネット接続の場合の動作を説明する図である。 移動通信業者網を介した通信の動作を説明する図(その1)である。 移動通信業者網を介した通信の動作を説明する図(その2)である。 移動通信業者網を介した通信の動作を説明する図(その3)である。 移動通信事業者網直結ホットスポットからの通信の動作を説明する図(その1)である。 移動通信事業者網直結ホットスポットからの通信の動作を説明する図(その2)である。 移動通信事業者網直結ホットスポットからの通信の動作を説明する図(その3)である。 ローミング提携先からの通信の動作を説明する図(その1)である。 ローミング提携先からの通信の動作を説明する図(その2)である。 ローミング提携先からの通信の動作を説明する図(その3)である。 従来の技術における企業網と公共ネットワークを経由した通信を行う方法を説明する図である。 従来の技術における企業網と公共ネットワークを経由したシームレスな通信を行う方法を説明する図ある。
符号の説明
10 外部アクセス網
11 通信事業者網または企業網
12 企業網
15 DHCPサーバ
16 移動端末(MN)
17 VPNデータベース
18 認証サーバ(AAA)
19 ホームエージェント(HA)
20 代理CN(PCN)
30 AAAプロトコル制御部
31 AAAVPN制御部
32 アプリケーションサーバ
33 ネットワークカーネル
34 ネットワークデバイスインターフェース
35 AAAプロトコル処理部
36 VPN情報キャッシュ
37 鍵生成器
40 MA プロトコル制御部
41 MAVPN制御部
42 ネットワークカーネル
43 ネットワークデバイスインターフェース
44 AAAプロトコル処理部
45 モバイルIPプロトコル処理部
46 VPN情報キャッシュ
47 トンネル制御部
48 VPN情報テーブル
50 MNプロトコル制御部
51 MN VPN制御部
52 ネットワークカーネル
53 ネットワークデバイスインターフェース
54 モバイルIPプロトコル処理部
55 トンネル制御部
56 VPN情報テーブル
57 VPN情報キャッシュ
58 ルートテーブル

Claims (4)

  1. 移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、
    該移動端末から送られてくる位置登録要求の気付けアドレスまたはドメインを検出する手段と、
    検出した該気付けアドレスまたは該ドメインが通信の秘匿性を確保可能な網を示している場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが通信の秘匿性を十分保証しきれない網を示している場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段と、
    を備えることを特徴とするルータ。
  2. 移動端末とプライベートネットワークに接続された端末の通信を可能にするルータであって、
    該移動端末から送られてくる位置登録要求の気付けアドレスと送信元アドレスを比較する手段と、
    該気付けアドレスが所定の通信事業者を示していない場合であって、該気付けアドレスが該送信元アドレスと一致する場合には、該移動端末と該ルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが該送信元アドレスと一致しない場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由して該移動端末と該端末との通信を行わせる通信制御手段と、
    を備えることを特徴とするルータ。
  3. プライベートネットワークに接続された端末との通信を可能にする移動端末であって、
    該移動端末が現在自身の属する網の情報を取得する取得手段と、
    取得した該網の情報がプライベートネットワークであることを示す場合には、該移動端末の位置を管理するルータのプライベートなアドレスに位置登録要求メッセージを送出し、該網が所定の通信事業者網であることを示す場合には、該ルータのグローバルなアドレスに位置登録要求メッセージを送出し、それ以外の場合には、該ルータのグローバルなアドレスに、秘匿性の高い通信経路の設定要求を含む位置登録要求メッセージを送出するように制御する制御手段と、
    を備えることを特徴とする移動端末。
  4. 移動端末とプライベートネットワークに接続された端末の通信を可能にする移動端末であって、
    該移動端末が現在自身の属する網の気付けアドレスと送信元アドレスを比較する比較手段と、
    該気付けアドレスが所定の通信事業者のものではない場合であって、該気付けアドレスが該送信元アドレスと一致する場合には、該移動端末とルータとの間を秘匿性の低い通信プロトコルで、該気付けアドレスが該送信元アドレスと一致しない場合には、該移動端末と該ルータとの間を秘匿性の高い通信プロトコルで、該ルータを経由し該移動端末と該端末との通信を行わせる通信制御手段と、
    を備えることを特徴とする移動端末。
JP2005136693A 2002-08-09 2005-05-09 仮想閉域網システム Expired - Fee Related JP3946731B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005136693A JP3946731B2 (ja) 2002-08-09 2005-05-09 仮想閉域網システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002233622 2002-08-09
JP2005136693A JP3946731B2 (ja) 2002-08-09 2005-05-09 仮想閉域網システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2002302304A Division JP4056849B2 (ja) 2002-08-09 2002-10-16 仮想閉域網システム

Publications (2)

Publication Number Publication Date
JP2005229651A JP2005229651A (ja) 2005-08-25
JP3946731B2 true JP3946731B2 (ja) 2007-07-18

Family

ID=35003946

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005136693A Expired - Fee Related JP3946731B2 (ja) 2002-08-09 2005-05-09 仮想閉域網システム

Country Status (1)

Country Link
JP (1) JP3946731B2 (ja)

Also Published As

Publication number Publication date
JP2005229651A (ja) 2005-08-25

Similar Documents

Publication Publication Date Title
JP4056849B2 (ja) 仮想閉域網システム
US8437345B2 (en) Terminal and communication system
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US7269173B2 (en) Roaming in a communications network
US8539554B2 (en) Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
JP4291272B2 (ja) ホームエージェントと共に移動ノードのホームアドレスを登録する方法
JP5087012B2 (ja) ロケーションプライバシをサポートする経路最適化
CA2479770A1 (en) Method to provide dynamic internet protocol security policy services
JP2007508614A (ja) 異種ipネットワークにおける認証のための装置および方法
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
JP2008527826A (ja) 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置
JP2005514868A (ja) モバイルipにおいてネットワークアドレス変換トラバーサルをインプリメントする方法および装置
JP2007036641A (ja) ホームエージェント装置、及び通信システム
US8300631B2 (en) Method for realizing mobile IP management and the network system thereof
US20050177722A1 (en) Method and system for ensuring secure forwarding of messages
US7623500B2 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
JP4025784B2 (ja) 仮想閉域網システム
JP3946731B2 (ja) 仮想閉域網システム
JP3812455B2 (ja) ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体
Noor et al. Route optimization schemes in mobile networks: a theoretical and empirical analysis
Hasan et al. FPKIN: Firewall Public Key Infrastructure for NEMO
JP4351101B2 (ja) ホームエージェント装置及びモバイルノードの位置情報の登録方法
KR20090065023A (ko) 인터넷 보안 프로토콜 터널 모드 처리방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070315

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070410

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110420

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110420

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120420

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130420

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140420

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees