JP4087848B2 - モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法 - Google Patents

モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法 Download PDF

Info

Publication number
JP4087848B2
JP4087848B2 JP2004562369A JP2004562369A JP4087848B2 JP 4087848 B2 JP4087848 B2 JP 4087848B2 JP 2004562369 A JP2004562369 A JP 2004562369A JP 2004562369 A JP2004562369 A JP 2004562369A JP 4087848 B2 JP4087848 B2 JP 4087848B2
Authority
JP
Japan
Prior art keywords
network
home agent
mobile
mobile node
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004562369A
Other languages
English (en)
Other versions
JP2006511169A (ja
Inventor
リウ,チャンウェン
アンドリューズ,マイケル
アイアー,プラカシュ
Original Assignee
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2006511169A publication Critical patent/JP2006511169A/ja
Application granted granted Critical
Publication of JP4087848B2 publication Critical patent/JP4087848B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、概してモバイルネットワークを提供するコンピュータシステム及び方法に関するものであり、特にモバイルノードと対応のノードとの間でネットワークデータをルーティングするセキュリティ機構とモバイルネットワークとを統合することに関するものである。
この特許文献の開示の一部は、著作権保護の対象の資料を含んでいる。著作権保有者は、特許商標庁の特許ファイル又は記録に現れる特許文献又は特許開示の如何なるものによるファクシミリ複製に対して異議はないが、その他の場合には何であっても全ての著作権を保留する。以下の通知は、図面及び以下に記載のソフトウェア及びデータに当てはまる。著作権(c)2002, Intel Corporation.転載禁止。
無線ネットワークの使用は急速に成長し続けている。無線ネットワークは複数の理由で魅力的である。それらは便利であり、柔軟性及びローミングを可能にし、動的な環境に対応することができる。更に、有線の対応物に比較して、インストールが比較的容易である。ある場合には、例えば古いビルでは、配置が安価なことがある。配線又は再配線の必要なく、全体ネットワークは数日ではなく、数時間の問題で組み立てられ得る。多くの場合に、有線LANカードの安価なコストにもかかわらず、無線ネットワークは有線の対応物より低コストの所有権を有する可能性がある。
コンピュータの更なるトレンドは、個人及び会社のコンピュータリソースの無許可又は不当の使用を避けるために、セキュリティ機構の更なる使用になってきている。例えば、多くの会社及び個人は“ファイヤウォール”をインストールし、ファイヤウォールの内部のシステムを無許可のアクセスから保護している。当該技術分野において既知のように、ファイヤウォールはハードウェアとソフトウェアの双方、又はその双方の組み合わせで実装され得る。ファイヤウォールは、無許可のインターネットユーザがインターネットに接続されたプライベートネットワーク(特にイントラネット)にアクセスすることを回避するためにしばしば使用される。イントラネットに入るメッセージ又は出るメッセージの全てが一般的にファイヤウォールを通過し、ファイヤウォールは各メッセージを検査して、指定のセキュリティ基準を満たさないものをブロックする。
ファイヤウォールはネットワークセキュリティを増加させる有用なツールであるが、ファイヤウォールの内部のシステムにアクセスする正当な必要性を有するファイヤウォールの外部の無線ユーザにとって問題を引き起こす。ファイヤウォールに実装されるセキュリティ機構は、ネットワークデータパケットがファイヤウォールを通過することを許可されているか否かを決定するのに役立つため、しばしばIPアドレスを使用し、IPSecに依存する。残念なことに、無線システムの場合、ユーザがある無線ネットワークから他のものに移動すると、モバイルノードのIPアドレスが頻繁に変化することがある。その結果、ユーザが新たなネットワークに移動する毎に、セキュリティ機構(例えばIPSec)が再確立されなければならない。新たなネットワーク接続に対するセキュリティ機構の再確立は、CPUサイクルの観点と、新たなセキュアの接続が確立されるまでユーザが待つ必要のある経過時間との双方において高コストである可能性がある。
前述の問題を鑑みて、当該技術分野において本発明の必要性が存在する。
本発明の例示的な実施例の以下の詳細な説明において、その一部を形成する添付図面に参照が行われ、添付図面では本発明が実施され得る特定の例示的な実施例を一例として示している。これらの実施例は、当業者が本発明を実施することができる程度に十分に記載されており、他の実施例も利用可能であり、且つ本発明の範囲を逸脱することなく論理的、機械的、電気的及び他の変更が行われ得ることがわかる。従って、以下の詳細な説明は限定の意味で受け取られるべきではない。
図面において、複数の図面に表れる同一の構成要素を示すために、全体を通じて同じ参照番号が使用される。信号及び接続は同じ参照番号により示されることがあり、実際の意味はその説明の内容におけるその使用から明らかである。更に、同一の構成要素のグループの動作又は特徴を一般的に示すときに、明細書及び図面において同じ基礎参照番号(例えば120)が使用される。小数点により取り入れられる数値インデックス(例えば120.1)は、同一の構成要素のグループ間で特定の構成要素が動作を実行する場合又は特徴を有する場合に使用される。
詳細な説明は複数のセクションに分割されている。第1のセクションでは、本発明の異なる実施例のハードウェア及びソフトウェア動作環境について説明する。第2のセクションでは、本発明の多様な実施例による方法について説明する。最後のセクションでは、結論が提供されている。
(動作環境)
図1Aは、本発明の多様な実施例を組み込んだハードウェア及びソフトウェア動作環境100のブロック図である。本発明のシステム及び方法は、モバイルネットワークをサポートする如何なるハードウェア又はソフトウェアシステムで提供されてもよい。一般的に、そのようなハードウェアは、パーソナルコンピュータと、サーバコンピュータと、メインフレームコンピュータと、ラップトップコンピュータと、携帯用ハンドヘルドコンピュータと、携帯情報端末(PDA)と、ネットワーク可能携帯電話と、前述の装置の組み合わせとを有する。本発明の何らかの実施例では、動作環境100は、対応のノード110と、ホームエージェント112と、セキュリティゲートウェイ104と、モバイルIPプロキシ102と、フォーリンエージェント(foreign agent)122と、モバイルノード120と、内部ファイヤウォール106と、外部ファイヤウォール108とを有する。動作環境で動作するソフトウェア構成要素は、一般的に機械読取可能媒体から読み取られ、オペレーティングシステムとインタフェース接続してオペレーティングシステムの制御下で動作する。このような機械読取可能媒体の例は、ハードディスク、フロッピー(登録商標)ディスク、CD-ROM、DVD-ROMを有する。更に、機械読取可能媒体は、ネットワークで伝送される有線信号及び無線信号を有する。オペレーティングシステムの例は、Microsoft CorporationからのWindows(登録商標) 95と、Windows(登録商標) 98と、Windows(登録商標) MEと、Windows(登録商標) CEと、Windows(登録商標) NTと、Windows(登録商標) 2000と、Windows(登録商標) XPとを有する。しかし、本発明は特定のオペレーティングシステムに限定されず、代替実施例では、ソフトウェア構成要素は、Palm Inc.からのPalm OS(登録商標)、UNIX(登録商標)及びLinuxオペレーティングシステムの変形、並びに携帯電話のオペレーティングシステムで動作してもよい。
本発明の何らかの実施例では、動作環境100は、モバイルノード120と対応のノード110との間のネットワーク通信をサポートする。モバイルノード120は、有線及び/又は無線ネットワーク通信をサポートする如何なるモバイルコンピュータ装置でもよい。このような装置の例は、ラップトップコンピュータと、ハンドヘルドコンピュータと、携帯情報端末と、ネットワーク可能携帯電話とを有する。本発明は、モバイルノード120の特定のモバイルコンピュータ装置に限定されない。
モバイルノード120は一般的にホームネットワーク114に割り当てられ、それに割り当てられた不変のホームネットワークアドレスを有する。ホームネットワーク114は如何なる種類のネットワークでもよい。一般的に、ホームネットワーク114は企業ネットワーク又はキャンパスネットワークのようなプライベートネットワークである。しかし、本発明はホームネットワーク114の特定の種類に限定されない。対応のノード110は、サーバコンピュータ、メインフレームコンピュータ、パーソナルコンピュータ、ルータ、ハンドヘルド、ラップトップ、PDA、携帯電話等を含み、モバイルノード120にデータを送信し、又はモバイルノード120からデータを受信する如何なる種類のネットワーク結合装置でもよい。本発明は、対応のノード110の特定の種類に限定されない。
本発明の何らかの実施例では、ホームエージェント112及びフォーリンエージェント122は、Internet Engineering Task Force(IETF)のMobile IP Working Groupによりそれぞれ1996年10月と2002年1月と2002年8月に公表されたモバイルIP通信のRFC2002、RFC3220及び/又はRFC3344の標準のトラックプロトコルに実質的に従って、モバイルネットワーク通信を促進するネットワークノードである。ホームエージェント112はモバイルノードのホームサブセットでルータとして機能し、モバイルノード120がホームサブネットの外側にある場合(例えばモバイルノード120がフォーリンネットワーク130に接続されている場合)に、トラヒックをモバイルノード120に導く。フォーリンネットワーク130は、如何なる種類の有線又は無線ネットワークでもよい。ある実施例では、フォーリンネットワーク130はインターネットを有する。
本発明の何らかの実施例では、モバイルノード120.2が新たなネットワーク130に移動すると、モバイルノード120.2はフォーリンエージェント122に登録する。一般的に、フォーリンエージェント122はモバイルノードへの気付ネットワークアドレス(care-of network address)を与え、モバイルノードからの要求を中継して気付アドレスをホームアドレスに通知する。ホームエージェントは要求を引き受けるように選択することができ、フォーリンエージェントを通じてモバイルノードに肯定応答を返信する。次に、ホームエージェントは、フォーリンエージェント122を通じて、モバイルノード宛てのネットワークパケットをフォーリンネットワーク130のモバイルノードに転送する。全てのフォーリンネットワーク130がフォーリンエージェントを有しているわけではない。本発明の何らかの実施例では、モバイルノード120.1がそのフォーリンエージェントとして動作してもよい。ある実施例では、モバイルノード120はフォーリンネットワーク130で使用する気付アドレスを取得するためにDHCP(Dynamic Host Configuration Protocol)を使用する。
企業ネットワークやキャンパスネットワークのようなプライベートネットワークは、プライベートネットワークのコンピュータ及びシステムへの無許可のアクセスを回避するために、しばしば保護されている。本発明の何らかの実施例では、ホームネットワーク114は内部ファイヤウォール106と外部ファイヤウォール108とにより保護されている。ファイヤウォール106及び108はデータパケットとメッセージとを検査し、指定のセキュリティ基準を満たさないものをブロックする。内部ファイヤウォール106及び外部ファイヤウォール108は、当該技術分野においてDMZ160(Demilitarized Zone)として知られるものを形成する。一般的に、DMZは、ウェブ(HTTP)サーバやFTPサーバやSMTP(電子メール)サーバやDNSサーバのようなインターネットトラヒックにアクセス可能な装置を有する。DMZを確立するために内部ファイヤウォール及び外部ファイヤウォールを使用することはセキュリティの観点から望ましいが、本発明のシステム及び方法は、1つのみのファイヤウォールを備えた環境又はファイヤウォールのない環境にも十分に適用可能である。
本発明の何らかの実施例では、DMZ160は、VPN(Virtual Private Network)ゲートウェイ104と、MIP(Mobile IP)プロキシ102とを有する。VPNゲートウェイ104は、内部ネットワークのノードと、フォーリンネットワーク130のようなフォーリンネットワークのノードとの間でVPNの生成を促進する。VPNはパブリックIPインフラ上のセキュアなネットワークリンクである。VPNプロトコルの例は、IPセキュリティ(IPSec)である。しかし、本発明は特定のVPNプロトコルに限定されない。
MIPプロキシ102は、ホームエージェント112とフォーリンエージェント122との間の中間物として機能する。本発明の何らかの実施例では、MIPプロキシ102はモバイルノード120への代理ホームエージェントとして機能し、ホームエージェント114への代理モバイルノードとして機能する。図1Aに示す例示的な実施例では、MIPプロキシ102はVPNゲートウェイ104と同じコンピュータで動作していない。これらの実施例では、MIPプロキシ102はVPNゲートウェイ104への代理フォーリンエージェントとして機能する。
図1Bは、本発明の多様な実施例によるシステムのブロック図を提供しており、MIPプロキシ102はVPNゲートウェイ104と同じハードウェア及びソフトウェアに実装され得る。これらの実施例では、統合MIPプロキシ/VPNゲートウェイコンピュータは、ホームエージェント112のモバイルノードをエミュレートするモバイルノード(MN:Mobile Node)モジュール144と、モバイルノード120のホームエージェント(又は代替として、フォーリンエージェント122)をエミュレートするホームエージェント(HA:Home Agent)モジュール142とを有する。
図1Cは、代替実施例のブロック図を提供しており、MIPプロキシ102の機能構成要素であるHAモジュール142とMN/FAモジュール144が異なるコンピュータに実装され得る。HAモジュール142はWAN側のボックス(例えば外部ファイヤウォール108の外部のWANルータ123)に実装されてもよく、MN/FAモジュール144は外部レイヤのファイヤウォールの内部のDMZボックス146に実装されてもよい。外部レイヤのファイヤウォール108を通じてHAモジュール142をMN/FAモジュール144に接続するセキュアなパケットデータのトンネルが存在するため、HAモジュールはMN/FAモジュールからデータを送受信することができる。換言すると、HAモジュールは、更なる処理のため、全ての受信モバイルIPv4パケットをMN/FAモジュールに送信し、MN/FAモジュールは、更なる処理のため、VPNゲートウェイから受信した全てのパケットをHAモジュールに送信する。セキュアなパケットデータのトンネルは、ネットワークレイヤ、トランスポートレイヤ又はアプリケーションレイヤを含み、ネットワークスタックの如何なるレイヤで確立されてもよい。
図1Dは、本発明の多様な実施例によるシステムのその他のブロック図を提供しており、MIPプロキシ102は異なるハードウェア構成要素に実装され得る。これらの実施例では、MIPプロキシは、異なるコンピュータに実装されたHAモジュール142と、MNモジュール144とを有する。これらの実施例では、HAモジュール142はWAN側のボックス(例えば外部レイヤのファイヤウォールの外部のWANルータ123)に実装されてもよく、MNモジュール144はVPNゲートウェイに実装されてもよい。外部レイヤのファイヤウォールを通じてHAモジュールをVPNゲートウェイのMNモジュールに接続するセキュア且つトランスペアレントな内部トンネルが存在するため、HAモジュールはMNモジュールからパケットを送受信することができる。換言すると、HAモジュールは、更なる処理のため、全ての受信モバイルIPv4パケットをMNモジュールに送信し、VPNゲートウェイは、更なる処理のため、全ての暗号化パケットをHAモジュールに送信する。同様に、セキュアなパケットデータのトンネルは、ネットワークレイヤ、トランスポートレイヤ又はアプリケーションレイヤを含み、ネットワークスタックの如何なるレイヤで確立されてもよい。
図1Aに戻り、前述のシステムの動作は一般的に説明が行われたが、本発明の多様な実施例の動作の更なる詳細が以下のセクションの方法で提供される。モバイルノード120がフォーリンネットワークに登録すると、ある実施例ではMIPプロキシ102に登録する。更に、モバイルノード120とMIPプロキシ102との間に、データトラヒックのネットワークトンネルが作られる。モバイルノード120はまた、ノードの不変のホームアドレスとVPNゲートウェイ104との間にIPSec SA(Security Association)を作る。SAは手動で作られてもよく、また、IKE(Internet Key Exchange)のような鍵管理プロトコルを使用して作られてもよい。SAは、モバイルノードによる対応のノード110のように、ホームネットワーク114の内部のノード宛ての如何なるネットワークデータにも適用される。これは、モバイルノードによるモバイルIPカプセル化の前にIPSec SAカプセル化を適用することにより実現され得る。
本発明の代替実施例では、モバイルノード120はフォーリンエージェント122に登録し、MIPプロキシ102をホームエージェントとして指定する。MIPプロキシがモバイルノード120の実際のホームエージェントであるかのように、フォーリンエージェント122はMIPプロキシ102と相互作用する。
モバイルノード120から登録要求を受信した後に、MIPプロキシ102がVPNゲートウェイ104から分離している本発明の何らかの実施例では、MIPプロキシ102は、モバイルノード120の気付アドレスとしてMIPプロキシを指定する登録要求をモバイルノード120の代わりに送信する。更に、MIPプロキシ102は、モバイルノードの不変のホームネットワークアドレス宛てのパケットを傍受し始め、モバイルノードのフォーリンエージェントの気付アドレスにパケットをトンネリングする(モバイルノードがそのフォーリンエージェントとして動作していてもよいことに留意すべきである)。
登録要求を受信した後に、ホームエージェント112は、モバイルノード120の気付アドレスとしてMIPプロキシアドレスを結びつける。MIPプロキシ102がVPNゲートウェイ104から分離している何らかの実施例では、MIPプロキシは、VPNゲートウェイ104の気付アドレスとしてMIPプロキシ102のアドレスを指定する一度の最初且つ別個の登録をVPNゲートウェイ102の代わりにホームエージェント112に送信する。MIPプロキシ102から登録要求を受信した後に、ホームエージェント114は、VPNゲートウェイ104の気付アドレスとしてMIPプロキシを結びつける。更に、ホームエージェント112はVPNゲートウェイ104とIPSec SAを確立し、ホームネットワーク114の対応のノードから傍受した、モバイルネットワーク120の不変のホームネットワークアドレス宛ての全てのネットワークパケットにSAを適用する。何らかの実施例では、適用される何らかのモバイルIPカプセル化の前に、IPSec SAカプセル化が適用される。
図2Aは、本発明の何らかの実施例の多様なエンティティの多様なネットワークレイヤ間のデータ伝送の図を提供しており、MIPプロキシはVPNゲートウェイ104と別のコンピュータシステムである。何らかの実施例では、モバイルノード120や、MIPプロキシ102や、VPNゲートウェイ104や、ホームエージェント112のような主なノードのそれぞれは、それぞれネットワークスタック220、202、204、212を有する。一般的に、ネットワークスタックはTCP/IPネットワークスタック230を有する。TCP/IPネットワークスタック230は、更にサブレイヤ(“通常”のIPサブレイヤ232と、セキュリティサブレイヤ234と、モバイルIPサブレイヤ236)に分割され得る。本発明の何らかの実施例では、セキュリティサブレイヤ234はIPSecサブレイヤである。全てのノードが全てのサブレイヤを必要とするのではない点に留意すべきである。接続240、242、244、248は、多様なネットワークレイヤ間のデータ通信を示している。
図2Bは、本発明の実施例の多様なエンティティの多様なネットワークレイヤ間のデータ伝送の図を提供しており、MIPプロキシはVPNゲートウェイと同一場所にある。モバイルノード120や、MIPプロキシ+VPNゲートウェイ104や、ホームエージェント112のような主なノードのそれぞれは、それぞれネットワークスタック220、204、212を有する。一般的に、このネットワークスタックはTCP/IPネットワークスタック230を有する。TCP/IPネットワークスタック230は、更にサブレイヤ(“通常”のIPサブレイヤ232と、セキュリティサブレイヤ234と、モバイルIPサブレイヤ236)に分割され得る。本発明のこれらの実施例では、セキュリティレイヤ234はIPSecサブレイヤである。全てのノードが全てのサブレイヤを必要とするのではない点に留意すべきである。
図2Cは、本発明の実施例の多様なエンティティの多様なネットワークレイヤ間のデータ伝送の図を提供しており、MIPプロキシのMN/FAモジュールはDMZのVPNゲートウェイと別のコンピュータシステムにあり、HAモジュールはWANルータと同一場所にある。モバイルノード120や、WANルータ123や、VPNゲートウェイ104や、MIPプロキシ+FA/MN102や、ホームエージェント112のような主なノードのそれぞれは、それぞれネットワークスタック220、223、204、202、212を有する。一般的に、このネットワークスタックはTCP/IPネットワークスタック230を有する。TCP/IPネットワークスタック230は、更にサブレイヤ(“通常”のIPサブレイヤ232と、セキュリティサブレイヤ234と、モバイルIPサブレイヤ236)に分割され得る。本発明のこれらの実施例では、セキュリティレイヤ234はIPSecサブレイヤである。全てのノードが全てのサブレイヤを必要とするのではない点に留意すべきである。HAモジュールとMNモジュールとの間のセキュアなパケットデータのトンネルは、図面で接続250として表されている。前述及び図2Cの括弧のように、それはネットワークレイヤ、トランスポートレイヤ又はアプリケーションレイヤのように如何なるレイヤのトンネルでもよく、一般的に他のエンティティにトランスペアレントである。
図2Dは、本発明の実施例の多様なエンティティの多様なネットワークレイヤ間のデータ伝送の図を提供しており、MIPプロキシのMNモジュールはVPNゲートウェイと同一場所にあり、MIPプロキシのHAモジュールはWANルータと同一場所にある。モバイルノード120や、WANルータ123や、MIP+ VPNゲートウェイ104や、ホームエージェント112のような主なノードのそれぞれは、それぞれネットワークスタック220、223、204、212を有する。一般的に、このネットワークスタックはTCP/IPネットワークスタック230を有する。TCP/IPネットワークスタック230は、更にサブレイヤ(“通常”のIPサブレイヤ232と、セキュリティサブレイヤ234と、モバイルIPサブレイヤ236)に分割され得る。本発明のこれらの実施例では、セキュリティレイヤ234はIPSecサブレイヤである。全てのノードが全てのサブレイヤを必要とするのではない点に留意すべきである。HAモジュールとMNモジュールとの間のセキュアなパケットデータのトンネルは、図面で接続250として表されている。同様に、それはネットワークレイヤ、トランスポートレイヤ又はアプリケーションレイヤのように如何なるレイヤのトンネルでもよく、一般的に他のエンティティにトランスペアレントである。
本発明の何らかの実施例のレイヤ間の通信は、データパス240、242、244、248により図示されている。例えば、MIPプロキシとVPNゲートウェイが分離している場合には、ホームエージェント212のIPSecサブレイヤは、パス244を介してVPNゲートウェイ204のIPSecサブレイヤと通信する。この通信は直接でなくてもよい。一例として、MIPプロキシ102がVPNゲートウェイ104から分離している本発明の実施例では、IPSecサブレイヤのデータはモバイルIPサブレイヤでカプセル化される。モバイルIPサブレイヤの通信はデータパス240により図示されている。同様に、モバイルノード220はVPNプロキシ204に対してセキュアな通信パス248を有する。しかし、セキュリティレイヤのデータはモバイルIPレイヤによりカプセル化され、本発明の何らかの実施例ではデータパス242を介してMIPプロキシ202を通じてルーティングされる。
このセクションでは、セキュリティベースのVPNとモバイルIPネットワークとを統合することを提供するシステムの多様な論理モジュールについて説明した。当業者にわかるように、モジュールを実装するソフトウェアは、C/C++、Java(登録商標)、Visual Basic、Smalltalk、Pascal、Ada及び同様のプログラミング言語を非限定的に含み、当該技術分野で既知の複数のプログラミング言語のうち如何なるもので書かれてもよい。本発明は、実装の特定のプログラミング言語に限定されない。
(本発明の例示的な実施例の方法)
前のセクションでは、本発明の例示的な実施例の動作のシステムレベルの概要を説明した。このセクションでは、例示的な実施例を実行する動作環境で実行される本発明の特定の方法について、図3−4に示す一連のフローチャートを参照して説明する。動作環境で実行される方法は、コンピュータ実行可能命令から構成されるコンピュータプログラムを構成する。フローチャートを参照してその方法を記述することで、当業者は、適切なコンピュータ(コンピュータ読取可能媒体からの命令を実行するコンピュータのプロセッサ)でその方法を実行するような命令を含み、このようなプログラムを開発することが可能になる。図3−4に示す方法は、本発明の例示的な実施例を実行する動作環境で実行される動作を含む。
図3は、モバイルノードと対応のノードとの間でセキュアなネットワークパスを提供する方法を示したフローチャートである。MIPプロキシ102のようなその方法を実行するシステムがモバイルノードから登録要求を受信したときに(ブロック305)、その方法が開始する。一般的に、その要求はモバイルノードの不変のネットワークアドレスを有する。MIPプロキシは、モビリティ・バインディング・リストにおいて、モバイルノードの不変のホームアドレスをモバイルノードの現在の気付アドレスに結びつける。更に、MIPプロキシは結びつけをホームエージェントに関連付けてもよい。
次に、その方法を実行するシステムは、モバイルノードのホームネットワークのホームエージェントに第2の登録要求を発行する(ブロック310)。一般的に、第2の要求は、モバイルノードの不変のアドレスと、MIPプロキシ102のプロキシアドレスとを有する。ホームエージェントは、ホームエージェントのモビリティ・バインディング・リストにおいて、モバイルノードの不変のホームアドレスをMIPプロキシのアドレスのうちの1つに結びつける。
本発明の何らかの実施例では、その方法を実行するシステムは、ホームエージェントから受信した応答コードを、その方法を実行するシステムによりモバイルノードに送信された応答メッセージにコピーする(ブロック315)。一般的に、応答コードは、ホームネットワークの対応のノードから受信したモバイルノード宛てのネットワークデータを処理するホームエージェントの機能又は意思を示す。
次に、本発明の何らかの実施例では、システムはホームエージェント(ブロック320)とモバイルノード(ブロック325)との双方をエミュレートし始める。ブロック320及び325は同じレベルに図示されており、ブロックの並行した実行の潜在的な性質を示している。システムは、モバイルノードに対して送信されるデータに関して、ホームエージェントをエミュレートする。同様に、システムは、ホームエージェントに対して送信されるデータに関して、モバイルノードをエミュレートする。
図4Aは、モバイルノードがMIPプロキシに登録した後に、対応のノードからモバイルノード宛てのネットワークデータを処理する本発明の実施例による方法について、更なる詳細を提供するフローチャートである。ホームエージェントがモバイルノードの代わりに対応のノードからパケットを受信したときに(例えば図1のパス1)、その方法が開始する。MIPプロキシがVPNゲートウェイと別のエンティティである本発明の何らかの実施例では、ホームエージェントは、一般的にIPSecを介してVPNゲートウェイにパケットをトンネリングする(ブロック405)。次に、ホームエージェントは、モバイルIPを使用してMIPプロキシにパケットをトンネリングする(ブロック410、例えば図1のパス2)。MIPプロキシがホームエージェントの観点からVPNの気付アドレスとして指定されているため、IPSecとモバイルIPカプセル化とを有するパケットはMIPプロキシに送信される。
MIPプロキシはホームエージェントからパケットを受信し、モバイルIPレイヤをカプセル除去する(ブロック415)。MIPプロキシがVPNゲートウェイと別のエンティティである何らかの実施例では、IPSecレイヤのデータはカプセル除去のためVPNゲートウェイに転送される(ブロック420、例えば図1Aのパス3)。
VPNゲートウェイはモバイルノードの不変のネットワークアドレスを使用して、VPNゲートウェイとモバイルノードとの間でIPSecを用いてパケットをトンネリングする(ブロック425)。MIPプロキシがVPNゲートウェイから分離している何らかの実施例では、パケットは、モバイルノードに転送するため、MIPプロキシに送信される(例えば図1のパス4)。MIPプロキシは複数の方法でVPNゲートウェイからモバイルノード宛てのパケットを取得してもよい。本発明の一実施例では、VPNのルーティングテーブルは、モバイルノードのパケットがMIPプロキシを通じて自動的にルーティングされるように処理される。本発明の代替実施例では、MIPプロキシはモバイルノードの代わりにARP(Address Resolution Protocol)パケットに応答する。更なる代替実施例では、最初にモバイルノードがMIPプロキシを通じて登録を要求したときに、MIPプロキシはVPNゲートウェイの気付アドレスとして自分を最初に確立する。
VPNゲートウェイからデータパケットを受信した後に、MIPプロキシは、フォーリンネットワーク130のモバイルノードの気付アドレスを通じて、モバイルIPを使用してモバイルノードにパケットをトンネリングする(ブロック430、例えば図1のパス5)。
図4Bは、モバイルノードがMIPプロキシに登録した後に、モバイルノードから対応のノード宛のネットワークデータを処理する本発明の実施例による方法について、更なる詳細を提供するフローチャートである。モバイルノードとVPNゲートウェイとの間でIPSecを使用してパケットがトンネリングされたときに(ブロック450)、その方法が開始する。パケットは、モバイルノードとMIPプロキシとの間でモバイルIPを使用してトンネリングされる(ブロック455、図1のパス6)。MIPプロキシはモバイルIPレイヤをカプセル除去し(ブロック460)、VPNゲートウェイがMIPプロキシから分離している実施例では、パケットをVPNゲートウェイに転送する(図1のパス7)。
VPNゲートウェイはIPSecパケットをカプセル除去する(ブロック465)。VPNゲートウェイはそのデータを対応のノードに直接送信する(ブロック470、図1のパス8)。
前述のトンネリングをバイパスすることが望ましいことがある点に留意すべきである。例えば、本発明の何らかの実施例では、モバイルノードがVPNゲートウェイでIKEを実行する場合、IKEデータは通常のIPトラヒックとして運ばれる。
(結論)
セキュリティベースのVPNとモバイルネットワークとの統合を提供するシステム及び方法が提供される。本発明の実施例は、以前のシステムに対して利点を提供する。例えば、モバイルノードの不変のネットワークアドレスを使用するセキュリティ・アソシエーションを作ることをサポートすることで、本発明の方法は以前のシステムより効率的である。その理由は、モバイルノードがあるサブネットから他に移動したときにセキュリティ・アソシエーションを再構成する必要がないからである。更に、そのシステム及び方法は、既存のセキュリティ機構及びモバイルIP標準にほとんど変更を加えずに、又は全く変更を加えずに対応可能である。従って、ネットワークシステムの主要な構成要素を更新する必要なく、ユーザは本発明の利点を受けることができる。
ここで特定の実施例について図示及び説明したが、同じ目的を実現するように適合された何らかの構成が図示の特定の実施例に代用され得ることが、当業者にわかる。この出願は、本発明の如何なる適合又は変更をもカバーすることを意図する。
この出願で使用される用語は、これらの全ての周囲を含むように意図されている。前述の説明は説明的であり限定的ではないことを意図していることがわかる。前述の説明を検討することで、多数の他の実施例が当業者に明らかになる。従って、本発明は特許請求の範囲及びその同等物によってのみ限定されることを明白に意図する。
本発明の例示的な実施例のシステムレベルでの概要を示したブロック図 本発明の例示的な代替実施例のシステムレベルでの概要を示したブロック図 本発明の例示的な更なる代替実施例のシステムレベルでの概要を示したブロック図 本発明の例示的な更なる代替実施例のシステムレベルでの概要を示したブロック図 図1Aに示す本発明の例示的な実施例の構成要素のネットワークレイヤ間の通信を示した図 図1Bに示す本発明の例示的な代替実施例の構成要素のネットワークレイヤ間の通信を示した図 図1Cに示す本発明の例示的な更なる代替実施例の構成要素のネットワークレイヤ間の通信を示した図 図1Dに示す本発明の例示的な更なる代替実施例の構成要素のネットワークレイヤ間の通信を示した図 モバイルノードのセキュアなネットワーク通信を確立する方法を示したフローチャート 本発明の実施例に従ってファイヤウォールを通じてモバイルノードにネットワークパケットをルーティングする本発明の実施例による方法を示したフローチャート 本発明の実施例に従ってファイヤウォールを通じてモバイルノードにネットワークパケットをルーティングする本発明の実施例による方法を示したフローチャート

Claims (20)

  1. ネットワークノード間でセキュアなネットワークパスを提供する方法であって、
    外部ファイヤウォールのフォーリンネットワーク側のネットワーク装置にホームエージェントモジュールを提供し、前記外部ファイヤウォールと内部ファイヤウォールとにより生成されるネットワーク領域内にフォーリンエージェントモジュールを提供し、前記ホームエージェントモジュール及び前記フォーリンエージェントモジュールはモバイルIPプロキシを生成し、
    ホームエージェントと前記フォーリンエージェントモジュールとの間に第1のモバイル IP レイヤ接続を確立し、
    モバイルノードと前記ホームエージェントモジュールとの間に第2のモバイル IP レイヤ接続を確立し、
    前記ホームエージェントと仮想プライベートネットワーク (VPN) ゲートウェイとの間に第1の IP セキュリティ (IPSec) 接続を確立し、
    前記 VPN ゲートウェイと前記モバイルノードとの間に第2の IPSec 接続を確立し、
    前記ホームエージェントモジュールと前記フォーリンエージェントモジュールとの間にセキュアなネットワークトンネルを確立し、
    前記モバイルノードから第1の登録要求を受信し、前記登録要求は前記モバイルノードの不変のネットワークアドレスを有し、
    前記不変のネットワークアドレスとプロキシの気付アドレスとを指定して、前記ホームエージェントに第2の登録要求を送信し、
    前記モバイルIPプロキシにより、代理ホームエージェントとして、前記モバイルノードから受信したネットワークデータを処理し、
    前記モバイルIPプロキシにより、代理モバイルノードとして、前記ホームエージェントから受信したネットワークデータを処理することを有する方法。
  2. 請求項1に記載の方法であって、
    前記ホームエージェントから受信したホームエージェントの応答コードを前記モバイルノードに送信することを更に有する方法。
  3. 請求項1に記載の方法であって、
    前記ホームエージェントから受信したネットワークデータを処理することは、前記セキュアなネットワークトンネルにより提供されるセキュリティレイヤでカプセル化するために、前記仮想プライベートネットワーク(VPN)ゲートウェイに前記ネットワークデータを送信し、更に、前記第1のモバイル IP 接続を通じて送信するために、前記ネットワークデータをモバイル IP レイヤにカプセル化することを有する方法。
  4. 請求項3に記載の方法であって、
    セキュリティレイヤでカプセル化することは、IPセキュリティ(IPSec)レイヤでカプセル化し、ソース又は宛先アドレスとして前記モバイルノードの前記不変のネットワークアドレスを使用することを有する方法。
  5. 請求項3に記載の方法であって、
    前記VPNゲートウェイから前記モバイルノード宛てのネットワークデータを受信し、
    前記ネットワークデータを前記モバイルネットワークに送信することを更に有する方法。
  6. 請求項1に記載の方法であって、
    前記モバイルノードに関連する不変のネットワークアドレスを使用して、前記モバイルノードと前記VPNゲートウェイとの間で第1のセキュリティ・アソシエーションを作り、
    ホームエージェントと前記VPNゲートウェイとの間で第2のセキュリティ・アソシエーションを作り、
    前記VPNゲートウェイの気付アドレスとしてモバイルIPプロキシのIPアドレスを前記ホームエージェントにより使用することを有する方法。
  7. 請求項6に記載の方法であって、
    対応のノードからのデータのパケットを前記ホームエージェントにより受信し、
    前記データのパケットを前記MIPプロキシにルーティングし、
    前記MIPプロキシによる前記データのパケットを前記VPNゲートウェイにルーティングし、
    前記VPNゲートウェイにより、前記データのパケットをセキュリティレイヤでカプセル化し、
    前記VPNゲートウェイから前記MIPプロキシにより前記カプセル化されたデータを受信し、
    前記MIPプロキシからの前記カプセル化されたデータを前記モバイルノードにルーティングすることを更に有する方法。
  8. 請求項6に記載の方法であって、
    前記第1のセキュリティ・アソシエーション及び前記第2のセキュリティ・アソシエーションはそれぞれIPSecセキュリティ・アソシエーションである方法。
  9. ホームネットワークにおける第1のホームエージェントと、
    外部ファイヤウォールのフォーリンネットワーク側のネットワーク装置にホームエージェントモジュールを有し、前記外部ファイヤウォールと内部ファイヤウォールとにより生成されるネットワーク領域内にフォーリンエージェントモジュールを有するMIPプロキシと
    ホームネットワークにおける前記第1のホームエージェントと前記フォーリンエージェントモジュールとの間の第1のモバイル IP レイヤ接続と、
    モバイルノードと前記ホームエージェントモジュールとの間の第2のモバイル IP レイヤ接続と、
    前記ホームエージェントと仮想プライベートネットワーク (VPN) ゲートウェイとの間の第1の IP セキュリティ (IPSec) 接続と、
    前記 VPN ゲートウェイと前記モバイルノードとの間の第2の IPSec 接続と、
    前記ホームエージェントモジュールと前記フォーリンエージェントモジュールとの間のセキュアなネットワークトンネルと
    を有し、
    前記MIPプロキシの前記ホームエージェントモジュールは、モバイルノードに対して第2のホームエージェントをエミュレートするように動作可能であり、前記フォーリンエージェントモジュールは、前記第1のホームエージェントに対して前記モバイルノードをエミュレートするように動作可能であるコンピュータシステム。
  10. 請求項に記載のコンピュータシステムであって、
    前記MIPプロキシの前記フォーリンエージェントモジュールと前記VPNゲートウェイとの少なくとも一部は、単一のユニットに統合されているコンピュータシステム。
  11. 請求項に記載のコンピュータシステムであって、
    前記ネットワーク装置は、前記フォーリンネットワークのルータを有するコンピュータシステム。
  12. 請求項に記載のコンピュータシステムであって、
    前記MIPプロキシは、複数のサブネットで通信するように動作可能なコンピュータシステム。
  13. ネットワークのノード間でセキュアなネットワークパスを提供する方法を実行する機械実行可能命令を有する機械読取可能媒体であって、
    前記方法は、
    外部ファイヤウォールのフォーリンネットワーク側のネットワーク装置にホームエージェントモジュールを提供し、前記外部ファイヤウォールと内部ファイヤウォールとにより生成されるネットワーク領域内にフォーリンエージェントモジュールを提供し、前記ホームエージェントモジュール及び前記フォーリンエージェントモジュールはモバイルIPプロキシを生成し、
    ホームエージェントと前記フォーリンエージェントモジュールとの間に第1のモバイル IP レイヤ接続を確立し、
    モバイルノードと前記ホームエージェントモジュールとの間に第2のモバイル IP レイヤ接続を確立し、
    前記ホームエージェントと仮想プライベートネットワーク (VPN) ゲートウェイとの間に第1の IP セキュリティ (IPSec) 接続を確立し、
    前記 VPN ゲートウェイと前記モバイルノードとの間に第2の IPSec 接続を確立し、
    前記ホームエージェントモジュールと前記フォーリンエージェントモジュールとの間にセキュアなネットワークトンネルを確立し、
    前記ホームエージェントモジュールにより、前記モバイルノードから第1の登録要求を受信し、前記登録要求は前記モバイルノードの不変のネットワークアドレスを有し、
    前記フォーリンエージェントモジュールにより、前記不変のネットワークアドレスとプロキシの気付アドレスとを指定して、前記ホームエージェントに第2の登録要求を送信し、
    前記モバイルIPプロキシにより、代理ホームエージェントとして、前記モバイルノードから受信したネットワークデータを処理し、
    前記モバイルIPプロキシにより、代理モバイルノードとして、前記ホームエージェントから受信したネットワークデータを処理することを有する機械読取可能媒体。
  14. 請求項13に記載の機械読取可能媒体であって、
    前記ホームエージェントから受信したホームエージェントの応答コードを前記モバイルノードに送信することを更に有する機械読取可能媒体。
  15. 請求項13に記載の機械読取可能媒体であって、
    前記ホームエージェントから受信したネットワークデータを処理することは、前記セキュアなネットワークトンネルにより提供されるセキュリティレイヤでカプセル化するために、前記仮想プライベートネットワーク(VPN)ゲートウェイに前記ネットワークデータを送信し、更に、前記第1のモバイル IP 接続を通じて送信するために、前記ネットワークデータをモバイル IP レイヤにカプセル化することを有する機械読取可能媒体。
  16. 請求項15に記載の機械読取可能媒体であって、
    セキュリティレイヤでカプセル化することは、IPセキュリティ(IPSec)レイヤでカプセル化し、ソース又は宛先アドレスとして前記モバイルノードの前記不変のネットワークアドレスを使用することを有する機械読取可能媒体。
  17. 請求項15に記載の機械読取可能媒体であって、
    前記VPNゲートウェイから前記モバイルノード宛てのネットワークデータを受信し、
    前記ネットワークデータを前記モバイルネットワークに送信することを更に有する機械読取可能媒体。
  18. 請求項13に記載の機械読取可能媒体であって、
    前記方法は、
    前記モバイルノードに関連する不変のネットワークアドレスを使用して、前記モバイルノードと前記VPNゲートウェイとの間で第1のセキュリティ・アソシエーションを作り、
    ホームエージェントと前記VPNゲートウェイとの間で第2のセキュリティ・アソシエーションを作り、
    前記VPNゲートウェイの気付アドレスとしてモバイルIPプロキシのIPアドレスを前記ホームエージェントにより使用することを有する機械読取可能媒体。
  19. 請求項18に記載の機械読取可能媒体であって、
    対応のノードからのデータのパケットを前記ホームエージェントにより受信し、
    前記データのパケットを前記MIPプロキシにルーティングし、
    前記MIPプロキシによる前記データのパケットを前記VPNゲートウェイにルーティングし、
    前記VPNゲートウェイにより、前記データのパケットをセキュリティレイヤでカプセル化し、
    前記VPNゲートウェイから前記MIPプロキシにより前記カプセル化されたデータを受信し、
    前記MIPプロキシからの前記カプセル化されたデータを前記モバイルノードにルーティングすることを更に有する機械読取可能媒体。
  20. 請求項18に記載の機械読取可能媒体であって、
    前記第1のセキュリティ・アソシエーション及び前記第2のセキュリティ・アソシエーションはそれぞれIPSecセキュリティ・アソシエーションである機械読取可能媒体。
JP2004562369A 2002-12-19 2003-12-19 モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法 Expired - Fee Related JP4087848B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/325,657 US7616597B2 (en) 2002-12-19 2002-12-19 System and method for integrating mobile networking with security-based VPNs
PCT/US2003/040960 WO2004057822A2 (en) 2002-12-19 2003-12-19 System and method for integrating mobile ip with virtual private networks (vpn)

Publications (2)

Publication Number Publication Date
JP2006511169A JP2006511169A (ja) 2006-03-30
JP4087848B2 true JP4087848B2 (ja) 2008-05-21

Family

ID=32593843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004562369A Expired - Fee Related JP4087848B2 (ja) 2002-12-19 2003-12-19 モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法

Country Status (8)

Country Link
US (2) US7616597B2 (ja)
JP (1) JP4087848B2 (ja)
KR (1) KR100814988B1 (ja)
AU (1) AU2003300268A1 (ja)
DE (1) DE10393628B4 (ja)
GB (1) GB2411092B (ja)
HK (1) HK1075148A1 (ja)
WO (1) WO2004057822A2 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6649143B1 (en) * 1994-07-01 2003-11-18 The Board Of Trustees Of The Leland Stanford Junior University Non-invasive localization of a light-emitting conjugate in a mammal
US7623497B2 (en) * 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
FR2861934B1 (fr) * 2003-10-30 2006-01-27 Wavecom Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication.
US20070008924A1 (en) * 2004-01-15 2007-01-11 Padraig Moran Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
CN1938991B (zh) * 2004-03-31 2014-06-25 Lg电子株式会社 能够经网络与其他电子设备通信的电子设备中的分组处理方法和装置
EP1650924B1 (en) * 2004-09-30 2007-03-21 Alcatel Mobile authentication for network access
WO2006059216A1 (en) * 2004-12-01 2006-06-08 Nokia Corporation Method and system for providing wireless data network interworking
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
US8031672B2 (en) * 2004-12-28 2011-10-04 Samsung Electronics Co., Ltd System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
WO2006072891A1 (en) * 2005-01-07 2006-07-13 Alcatel Lucent Method and apparatus for providing route-optimized secure session continuity between mobile nodes
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US7583662B1 (en) * 2005-04-12 2009-09-01 Tp Lab, Inc. Voice virtual private network
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8943304B2 (en) * 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US7809386B2 (en) * 2005-06-29 2010-10-05 Nokia Corporation Local network proxy for a remotely connected mobile device operating in reduced power mode
US7808970B2 (en) * 2005-06-30 2010-10-05 Motorola, Inc. Method of dynamically assigning mobility configuration parameters for mobile entities
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
EP1966970B1 (en) 2005-12-26 2017-06-14 Panasonic Intellectual Property Corporation of America Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
US7693059B2 (en) * 2006-01-30 2010-04-06 International Business Machines Corporation Advanced VPN routing
US7899964B2 (en) 2006-07-13 2011-03-01 Samsung Electronics Co., Ltd. Method and system for providing universal plug and play resource surrogates
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8036232B2 (en) 2006-08-22 2011-10-11 Samsung Electronics Co., Ltd Apparatus and method for filtering packet in a network system using mobile IP
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
DK1912413T3 (da) 2006-10-13 2010-05-25 Quipa Holdings Ltd Fremgangsmåde til at etablere et sikkert virtuelt privat netværk som udnytter peer-to-peer-kommunikation
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
US8406237B2 (en) * 2006-11-17 2013-03-26 Qualcomm Incorporated Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode
US20100014464A1 (en) * 2006-12-26 2010-01-21 Panasonic Corporation Communication method, communication system, home agent, and mobile node
US20100097977A1 (en) * 2006-12-28 2010-04-22 Telefonaktiebolaget L M Ericsson (Publ) Mobile IP Proxy
WO2008145174A1 (en) * 2007-05-25 2008-12-04 Telefonaktiebolaget Lm Ericsson (Publ) Route optimisation for proxy mobile ip
CN101355425A (zh) * 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
EP2241081B1 (en) 2008-01-26 2018-05-02 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
US8385300B2 (en) * 2008-10-03 2013-02-26 Cisco Technology, Inc. Internet protocol address management for communicating packets in a network environment
US8385332B2 (en) * 2009-01-12 2013-02-26 Juniper Networks, Inc. Network-based macro mobility in cellular networks using an extended routing protocol
US8411691B2 (en) * 2009-01-12 2013-04-02 Juniper Networks, Inc. Transfer of mobile subscriber context in cellular networks using extended routing protocol
US20110085552A1 (en) * 2009-10-14 2011-04-14 Electronics And Telecommunications Research Institute System and method for forming virtual private network
AT11799U1 (de) * 2009-12-15 2011-05-15 Plansee Se Formteil
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
US8458787B2 (en) 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8474035B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
EP2659650B1 (en) 2010-12-29 2022-06-22 Citrix Systems Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
US9021578B1 (en) * 2011-09-13 2015-04-28 Symantec Corporation Systems and methods for securing internet access on restricted mobile platforms
WO2013184618A1 (en) * 2012-06-04 2013-12-12 Interdigital Patent Holdings, Inc. Lawful interception for local selected ip traffic offload and local ip access performed at a non-core gatway
DE102013017789A1 (de) 2013-10-25 2015-04-30 LowoTec GmbH System für eine abgesicherte LAN-über-WAN-Übertragung
US9860279B2 (en) 2015-08-28 2018-01-02 Nicira, Inc. Defining network rules based on remote device management attributes
JP2019531652A (ja) * 2016-10-12 2019-10-31 アル・ハジリ、ムハンマド・ハマドAl Hajri,MohammedHamad 代理セルラレスローミング
US10491567B2 (en) * 2017-03-17 2019-11-26 Verizon Patent And Licensing Inc. Dynamic firewall configuration based on proxy container deployment
KR102492489B1 (ko) 2020-09-18 2023-01-30 주식회사 애그유니 체계적 생장환경 조성을 위한 식물재배시스템

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3662080B2 (ja) 1996-08-29 2005-06-22 Kddi株式会社 ファイアウォール動的制御方法
US6137791A (en) * 1997-03-25 2000-10-24 Ericsson Telefon Ab L M Communicating packet data with a mobile station roaming within an incompatible mobile network
US5852630A (en) * 1997-07-17 1998-12-22 Globespan Semiconductor, Inc. Method and apparatus for a RADSL transceiver warm start activation procedure with precoding
EP0924913A1 (de) * 1997-12-19 1999-06-23 Siemens Aktiengesellschaft Verfahren zur Unterstützung von Mobilität im Internet
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
FI20000574A (fi) * 2000-03-13 2001-09-14 Nokia Mobile Phones Ltd Kuorman tasaus IP-liikkuvuutta tukevassa tietoliikennejärjestelmässä
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US20030224788A1 (en) * 2002-03-05 2003-12-04 Cisco Technology, Inc. Mobile IP roaming between internal and external networks
US7269173B2 (en) * 2002-06-26 2007-09-11 Intel Corporation Roaming in a communications network
US7436804B2 (en) * 2002-09-18 2008-10-14 Qualcomm Incorporated Methods and apparatus for using a Care of Address option
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US6978317B2 (en) * 2003-12-24 2005-12-20 Motorola, Inc. Method and apparatus for a mobile device to address a private home agent having a public address and a private address

Also Published As

Publication number Publication date
DE10393628T5 (de) 2005-08-25
GB0509950D0 (en) 2005-06-22
KR20050085834A (ko) 2005-08-29
US7616597B2 (en) 2009-11-10
GB2411092A (en) 2005-08-17
HK1075148A1 (en) 2005-12-02
AU2003300268A8 (en) 2004-07-14
WO2004057822A2 (en) 2004-07-08
JP2006511169A (ja) 2006-03-30
DE10393628B4 (de) 2012-01-26
KR100814988B1 (ko) 2008-03-18
WO2004057822A3 (en) 2004-09-10
AU2003300268A1 (en) 2004-07-14
US20040120295A1 (en) 2004-06-24
GB2411092B (en) 2007-01-10
US20100122337A1 (en) 2010-05-13

Similar Documents

Publication Publication Date Title
JP4087848B2 (ja) モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法
US6591306B1 (en) IP network access for portable devices
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US7685317B2 (en) Layering mobile and virtual private networks using dynamic IP address management
US7428226B2 (en) Method, apparatus and system for a secure mobile IP-based roaming solution
JP4431112B2 (ja) 端末及び通信システム
US20040266420A1 (en) System and method for secure mobile connectivity
EP1575238A1 (en) IP mobility in mobile telecommunications system
US20100049967A1 (en) Method and network for ensuring secure forwarding of messages
EP1627499A2 (en) ARRANGEMENT FOR TRAVERSING AN IPv4 NETWORK BY IPv6 MOBILE NODES
US20070025309A1 (en) Home agent apparatus and communication system
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US20040103311A1 (en) Secure wireless mobile communications
Inoue et al. Secure mobile IP using IP security primitives
Arkko et al. Internet protocol version 6 (IPv6) for some second and third generation cellular hosts
Bansal et al. Dual stack implementation of mobile IPv6 software architecture
JP3575369B2 (ja) アクセスルーティング方法及びアクセス提供システム
JP3936366B2 (ja) 通信装置及び通信方法
Ishiyama et al. Design and implementation of mobile IP system with security consideration
Tsuda et al. Design and implementation of Network CryptoGate-IP-layer security and mobility support
Bhatti et al. Network Working Group D. von Hugo Internet-Draft Deutsche Telekom Intended status: Informational B. Sarikaya Expires: July 10, 2018 Huawei
Molloy Seamless handoff between 802.11 b and CDMA2000 networks
Wang et al. IPSec-based key management in mobile IP networks
Singh et al. Linux Based Implementation and Performance Measurements of Dual Stack Mobile IPv6
Mun et al. Security in Mobile IP

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070528

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070604

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070627

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070724

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070814

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071112

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080221

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees