JP4180458B2 - Vpn通信システム及びvpnトンネル形成方法 - Google Patents

Vpn通信システム及びvpnトンネル形成方法 Download PDF

Info

Publication number
JP4180458B2
JP4180458B2 JP2003208890A JP2003208890A JP4180458B2 JP 4180458 B2 JP4180458 B2 JP 4180458B2 JP 2003208890 A JP2003208890 A JP 2003208890A JP 2003208890 A JP2003208890 A JP 2003208890A JP 4180458 B2 JP4180458 B2 JP 4180458B2
Authority
JP
Japan
Prior art keywords
vpn
mobile
communication
tunnel
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003208890A
Other languages
English (en)
Other versions
JP2005072668A (ja
Inventor
秀基 北濱
創 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2003208890A priority Critical patent/JP4180458B2/ja
Publication of JP2005072668A publication Critical patent/JP2005072668A/ja
Application granted granted Critical
Publication of JP4180458B2 publication Critical patent/JP4180458B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、携帯電話機やPDA(PersonalDigital Assistance)などの移動通信端末機にて行われるIP(Internet Protocol)パケットによる通信を、セキュリティを確保しながら行うことができるVPN通信システム及びVPNトンネル形成方法に関する。
【0002】
【従来の技術】
一般的に、ファイアウォールは、モバイルファイアウォールを含めて、IPパケット(以降、パケットという)の送信元アドレス・宛先アドレス・ポート番号、更にはパケット内容や通信パターンから判断して、パケットを通過させるか否かを決定する機能である。所謂、パケットのヘッダに含まれる情報をもとに通信を制御するパケットフィルタリングを行う機能である。
【0003】
ここで、仮にユーザが移動通信端末機に暗号化通信を用いると、モバイルファイアウォールは、ポート番号やパケット内容を見ることができないため、これらの情報を用いたパケットのフィルタリングが不可能となってしまう。このため、モバイルファイアウォールでパケット内容に基づくパケットフィルタリングを用いるためには、ユーザが暗号化通信を使用しないことが前提となっている。このようなモバイルファイアウォールとしては、例えば下記の特許文献1に記載の技術内容がある。
【0004】
上述したように、モバイルファイアウォールでは、暗号化通信を使用しないことを前提としている。しかし、現在では、例えば社内の重要なデータの送受信を、外部からインターネットや公衆回線網を通じて行うことが増えている。このため、盗聴や改竄等から保護する必要があるので、VPN(Virtual Private Network:仮想私設網)に代表される暗号化を用いた秘匿通信に対するユーザの需要が高まっている。
【0005】
VPNとは、インターネットや公衆回線網などのグローバルなネットワークに特定のユーザしか認識できない仮想の通信路(トンネル)を構築して通信する方法である。このVPNを構築する方法をトンネリングと呼ぶ。必要な場合は、トンネリングの他に暗号化処理が適用される。
この種の従来のVPNを用いた通信システムとして、例えば特許文献2に記載のものがある。この内容は次の通りである。IP通信網に接続されるLAN(Local AreaNetwork)の間にVPNを設定している時、そのLANがIP通信網への接続位置を移動した場合でも自動的にVPNの設定を保持する。IP通信網にVPNトンネルを設定し、その後、そのVPNトンネルが設定されたLANの何れかが、IP通信網に接続されるLAN収容装置の場所を移動した場合に、LAN収容装置間にモバイルIPトンネルを設定し、このモバイルIPトンネルと元のVPNトンネルとを連結して新たなVPNを形成する。これによって、移動後もLAN間のVPNの設定を自動的に保持するといった技術である。
【0006】
【特許文献1】
特願2002−346271号公報
【特許文献2】
特開2002−77273号公報
【0007】
【発明が解決しようとする課題】
しかし、従来の通信システムにおいては、VPNに代表される暗号化を用いた秘匿通信に対するユーザの需要が高まっていることから、暗号化通信をモバイルファイアウォールの適用対処外として無視することはもはやできなくなってきている。
そこで、VPNによる暗号化通信を利用しながらもモバイルファイアウォールのパケットフィルタリングを利用できるサービスを提供する必要があるが、実際には、上述したように、移動通信端末機に暗号化通信を用いると、モバイルファイアウォールは、ポート番号やパケット内容を見ることができないため、これらの情報を用いたパケットのフィルタリングが不可能となってしまうという問題がある。
【0008】
また、上記特許文献1に開示されているモバイルファイアウォールでは、想定環境とする移動通信サービスにおいて、様々な移動通信端末機が接続されるとしているが、その中にはセキュリティ機能を全く搭載できない移動通信端末機も存在すると考えられる。この様な移動通信端末機は、それ自体ではVPNサービスを利用できないという問題がある。
【0009】
更に、例え移動通信端末機が高性能でVPN機能を搭載できるとしても、ユーザがその機能を有効に活用できるとは限らない。モバイルファイアウォールのサービス提供環境では、様々なレベルのユーザがネットワーク接続サービスを利用するので、セキュリティ知識レベルの低いユーザは、セキュリティの機能を設定・使用することができないことがある。またレベルの高いユーザですら、その設定・使用を面倒なものと考えるかもしれない。つまり、ユーザの負担が大きく、利便性が悪いという問題がある。
【0010】
また、上記特許文献2においては、IP通信網への接続位置を移動した場合にも自動的にVPNの設定を保持するが、パケットフィルタリングを同時に実行することができないので、移動通信端末機に不具合を及ぼすパケットを通過させてしまうという問題がある。
本発明は、このような課題に鑑みてなされたものであり、VPNによる暗号化通信とモバイルファイアウォールによるパケットフィルタリングとを同時に利用可能とすることによって、不具合要因となるパケットの排除を行いながら秘匿通信を行うことを可能とし、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができるVPN通信システム及びVPNトンネル形成方法を提供することを目的としている。
【0011】
【課題を解決するための手段】
上記目的を達成するために、本発明の請求項1によるVPN通信システムは、通信網に、暗号化処理を用いてパケットを伝送するためのVPNトンネルを形成し、このVPNトンネルを介して移動通信端末機と通信先端末機とが通信を行うVPN通信システムにおいて、前記移動通信端末機が前記VPNトンネルを介して通信を行う通信相手を把握するためのVPN接続情報を登録したデータベースと、前記通信先端末機が前記VPNトンネルを介して通信を行う際に通信形式の整合をとって通信可能とするゲートウェイ装置と、前記移動通信端末機が通信網に接続した際のパケットの受信時に前記VPN接続情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と取得したVPN接続情報との宛先が一致した場合、前記ゲートウェイ装置との間にVPNトンネルを形成するモバイルファイアウォール装置と、を備えたことを特徴としている。
【0012】
この構成によれば、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
また、本発明の請求項2によるVPN通信システムは、請求項1において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と取得した前記VPN接続情報との宛先が一致した場合記ゲートウェイ装置との間にVPNトンネルを形成することを特徴としている。
【0013】
この構成によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ートウェイ装置との間にVPNトンネルを形成するので、自動的にVPNトンネルを張り替えることができる。
【0014】
また、本発明の請求項3によるVPN通信システムは、請求項1において、前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を更に備え、前記モバイルファイアウォール装置は、前記受信パケットのヘッダに含まれる情報と取得した前記VPN接続情報との宛先が一致した場合、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡し、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成することを特徴としている。
【0015】
この構成によれば、プロキシ装置がVPNトンネルの終端装置として動作し、また、プロキシ装置とモバイルファイアウォール装置との間に暗号化トンネルを形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
【0016】
また、本発明の請求項4によるVPN通信システムは、請求項3において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、この取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成することを特徴としている。
【0017】
この構成によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてプロキシ装置との間に暗号化トンネルを形成する。この暗号化トンネルは、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0018】
また、本発明の請求項5によるVPNトンネル形成方法は、通信網に、暗号化を用いて移動通信端末機と通信先端末機間の通信パケットを伝送するためのVPNトンネルを形成するVPNトンネル形成方法において、通信網上のデータベースに、前記移動通信端末機が前記VPNトンネルを介して通信を行う通信相手を把握するためのVPN接続情報を登録する第1のステップと、前記移動通信端末機通信を行う通信網上のモバイルファイアウォール装置、前記移動通信端末機が通信網に接続した際のパケットの受信時に、前記データベースから前記VPN接続情報を取得する第2のステップと、当該モバイルファイアウォール装置が、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と前記第2のステップにおいて取得した通信相手を把握するためのVPN接続情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成する第3のステップとを含むことを特徴としている。
【0019】
この方法によれば、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
また、本発明の請求項6によるVPNトンネル形成方法は、請求項5において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得する第4のステップと、当該ハンドオーバ先のモバイルファイアウォール装置、通信先端末機へのパケットの受信時に、この受信パケットのヘッダ情報と取得された前記VPN接続情報との宛先が一致した場合、前記ゲートウェイ装置との間にVPNトンネルを形成する第5のステップとを更に含むことを特徴としている。
【0020】
この方法によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ートウェイ装置との間にVPNトンネルを形成するので、自動的にVPNトンネルを張り替えることができる。
【0021】
また、本発明の請求項7によるVPNトンネル形成方法は、請求項5において、前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を備えた場合、前記モバイルファイアウォール装置は、前記第5のステップにおいて、受信パケットのヘッダ情報と取得された前記VPN接続情報との宛先が一致した場合、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡する第6のステップと、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成する第7のステップと、を更に含むことを特徴としている。
【0022】
この方法によれば、プロキシ装置がVPNトンネルの終端装置として動作し、また、プロキシ装置とモバイルファイアウォール装置との間に暗号化トンネルを形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
【0023】
また、本発明の請求項8によるVPNトンネル形成方法は、請求項7において、前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第8のステップと、当該ハンドオーバ先のモバイルファイアウォール装置は、前記第8のステップで取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成する第9のステップとを更に含むことを特徴としている。
【0024】
この方法によれば、移動通信端末機がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置が、ハンドオーバ前のモバイルファイアウォール装置の情報を用いてプロキシ装置との間に暗号化トンネルを形成する。この暗号化トンネルは、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0025】
【発明の実施の形態】
以下、本発明の実施の形態を、図面を参照して説明する。
(第1の実施の形態)
図1は、本発明の第1の実施の形態に係るVPN通信システムの構成を示す図である。
図1に示すVPN通信システム10は、パーソナルコンピュータ等のCN(Correspondent Node)12を有するリモートネットワーク14と、VPNゲートウェイ装置16及び複数(ここでは第1及び第2)のモバイルファイアウォール装置18−1,18−2を有する移動通信ネットワーク20と、各モバイルファイアウォール装置18−1,18−2と無線回線にて通信を行う移動通信端末機であるMN(Mobile Node)22とを備えて構成されている。
【0026】
但し、ここでは説明のためにMobile IPv6を前提としたシステムを用いるが、他のトランスポート技術及びプロトコルを用いて実現することも可能である。なお、以下の(a)及び(b)の条件を満たす場合は、ここでの説明の方式とほぼ同様の手法で実現可能である。
(a)モバイルファイアウォール装置が移動通信端末機の移動を検知できること。
【0027】
(b)通過するパケットの実質的な宛先・発信元アドレスをアクセスルータが認知することができ、これをモバイルファイアウォール装置へ通知できること。次に、VPN通信システム10の特徴は、リモートネットワーク14と移動通信ネットワーク20との接続境界にVPNゲートウェイ装置16を配置し、このVPNゲートウェイ装置16と各モバイルファイアウォール装置18−1,18−2との間にVPNトンネル24−1,24−2を張り、各モバイルファイアウォール装置18−1,18−2を、そのVPNトンネル24−1,24−2の終端装置として動作させるようにした点にある。つまり、各モバイルファイアウォール装置18−1,18−2をVPNプロキシ装置として利用するようにした。
【0028】
MN22とCN12とは、VPNトンネル24−1又は24−2を介して通信を行うようになっている。例えば、第1のモバイルファイアウォール装置18−1とVPNゲートウェイ装置16との間のVPNトンネル24−1を介してCN12と通信を行っているMN22が、矢印Y1で示すようにハンドオーバを行った場合、モバイルファイアウォール装置も、第2のモバイルファイアウォール装置18−2へ移動することになる。
【0029】
この場合、VPNゲートウェイ装置16と第2のモバイルファイアウォール装置18−2との間にVPNトンネル24−2が張り替えられ、このVPNトンネル24−2を介してMN22とCN12とが通信を行うようになっている。
また、VPNトンネル24−1,24−2は、固定網で一般に用いられている既存の方式であるIPsec、L2TP、L2E、PPPTP等を利用して張られるため、VPNゲートウェイ装置16に特殊な機能を搭載する必要はない。なお、VPNゲートウェイ装置16は、CN12に搭載される場合もある。
【0030】
また、各モバイルファイアウォール装置18−1,18−2は、アクセスルータに配置されるものである。更に、各モバイルファイアウォール装置18−1,18−2とMN22との間の無線回線は、VPNトンネルに係るレイヤよりも下レイヤのセキュリティに依存するものであって、かつ同一無線インターフェースに接続する他の端末機とは物理的にリンクは共有するがデータは供給しない、いわゆる共有型リンクではない。従って、移動通信端末機とモバイルファイアウォール装置間の通信を他の端末機やノードから盗聴することは不可能である。
【0031】
ところで、モバイルファイアウォールサービスの想定環境として、MN22には特別なセキュリティ機能は搭載されていないものとされている。このため、MN22のユーザがリモートネットワーク14に接続しようとしても、ユーザ自らがコマンドやクライアント等を用いてVPN接続することはできない。
従って、ユーザがVPN接続を希望するリモートネットワーク14又はCN12宛のパケットを送信すると、移動通信ネットワーク20側で自動的にVPN接続を確立する必要がある。つまり、予めネットワーク20側でVPN接続を行う通信相手(CN12)を把握しておく必要がある。
【0032】
そこで、MN22のユーザは、予めモバイルファイアウォールのセキュリティポリシー情報として、VPNゲートウェイ装置16のアドレス、VPNアカウント、VPNパスワード等のVPN接続相手情報を、セキュリティポリシーデータベース(以下、SP・DBと称す)に登録しておく。但し、SP・DBは、通常、移動通信ネットワーク20上に設けられている。
【0033】
このような、モバイルファイアウォール想定環境におけるセキュリティポリシー登録方法には、例えば、次の(1)〜(3)のようなものがある。
(1)電話連絡によりオペレータに説明してセキュリティポリシー情報を登録してもらう(低レベルユーザ向け)。
(2)セキュリティポリシー設定Webページを用いてセキュリティポリシー情報を設定する(中レベルユーザ向け)。
(3)SP・DBを操作して直接編集する(高レベルユーザ向け)。
なお、モバイルファイアウォール装置では、所有移動通信端末機(MN)の一括設定機能や、他人の所有する移動通信端末機の設定代行機能の提供を想定しているため、VPN接続相手先登録のために、必ずしもVPN接続を行う移動通信端末機自体を用いる必要はない。
【0034】
次に、VPN通信システム10において、VPNトンネルを形成してMN22とCN12間で通信を行う場合の処理を、図2に示すシーケンス図を参照して説明する。
まず、ステップS1において、MN22が移動通信ネットワーク20に新規接続して最初のパケット及びこれに続くパケットを送信すると、その新規接続された第1のモバイルファイアウォール装置18−1が、それらのパケットをホールドする。このパケットをホールドしておく理由は、第1のモバイルファイアウォール装置18−1に、そのMN22のユーザセキュリティポリシー情報がないためである。また、ここでは説明を簡単にするため、上記のパケットが、移動通信ネットワーク20上に存在するHA(Home Agent)宛のBU(Binding Up data)であるとする。
【0035】
次に、ステップS2において、第1のモバイルファイアウォール装置18−1は、当該ユーザのセキュリティポリシー情報を要求して受信するためのセキュリティポリシー要求を、SP・DBへ送信する。
この応答としてSP・DBは、ステップS3において、第1のモバイルファイアウォール装置18−1にセキュリティポリシー情報を返信する。このセキュリティポリシー情報には、VPN接続を行う等の情報が含まれている。第1のモバイルファイアウォール装置18−1は、そのセキュリティポリシー情報を受信すると、ステップS4において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、前述の想定環境により、HA宛のBUであるため、ステップS5において、HAは応答としてBA(Binding Acknowledgement)をMN22へ返信する。これでMN22の位置登録が完了する。
【0036】
続いて、ステップS6において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第1のモバイルファイアウォール装置18−1は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、ステップS7に示すようにVPN接続処理を行って、VPNゲートウェイ装置16との間にVPNトンネル24−1を確立する。
【0037】
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24−1を利用した通信を行う際に用いるアドレスを払い出すが、MN22にはVPNクライアント機能が無いので、そのアドレスを扱うことができない。このため、ステップS8において、第1のモバイルファイアウォール装置18−1が、そのアドレスを用いてCN12と通信し、NAT(Network Address Translation)によるアドレス変換を行いMN22へパケットを転送する。このように、ステップS9に示すように、VPNトンネル24−1を介してMN22とCN12間で通信を行うことが可能となる。
【0038】
次に、MN22がハンドオーバを行う場合の処理を説明する。
まず、ステップS11において、MN22がハンドオーバしてから最初のパケットを送信すると、ハンドオーバ先の第2のモバイルファイアウォール装置18−2が、そのパケットをホールドする。なお、ここでは説明を簡単にするため、上記のパケットが、HA宛のBUであるとする。
【0039】
ステップS12において、第2のモバイルファイアウォール装置18−2は、SP・DBに対して、当該ユーザのセキュリティポリシー情報を要求するためのセキュリティポリシー要求を送信する。この応答としてSP・DBが、ステップS13において、第2のモバイルファイアウォール装置18−2にセキュリティポリシー情報を返信する。
【0040】
これと同時に、ステップS14において、SP・DBは、MN22が以前接続していた第1のモバイルファイアウォール装置18−1に対して、ファイアウォール内部状態の転送を要求するための内部状態フォワード要求を送信する。第1のモバイルファイアウォール装置18−1は、その内部状態フォワード要求を受信すると、ステップS15において、第2のモバイルファイアウォール装置18−2へ内部状態情報を転送し、また、VPNトンネル24−1を切断する。
【0041】
その内部状態情報と先のセキュリティポリシー情報を受信した第2のモバイルファイアウォール装置18−2は、ステップS16において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、前述の想定環境によりHA宛のBUであるため、ステップS17において、HAは応答としてBAをMN22へ送信する。これによってMN22の位置登録が完了する。
【0042】
続いて、ステップS18において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第2のモバイルファイアウォール装置18−2は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、ステップS19に示すようにVPN接続処理を行って、VPNゲートウェイ装置16との間にVPNトンネル24−2を確立する。
【0043】
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24−1を利用した通信を行う際に用いるアドレスを払い出すが、この際、DHCP(Dynamic Host Configuration Protocol)機能によりIPアドレスを払い出す場合は、ハンドオーバ前と同じアドレスを優先的に割り当てる設定又は機能が必要となる。
【0044】
ステップS20において、第2のモバイルファイアウォール装置18−2は、その割り当てられたアドレスを用いてCN12と通信し、NAT(Network Address Translation)によるアドレス変換を行いMN22へパケットを転送する。このように、ステップS21に示すように、VPNトンネル24−2を介してMN22とCN12間で通信を行うことが可能となる。
【0045】
このように、第1の実施の形態のVPN通信システム10によれば、モバイルファイアウォール装置18−1がVPNトンネル24−1の終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置18−1のパケットフィルタリングを利用して、MN22とCN12とが通信を行うことができる。
【0046】
従って、不具合要因となるパケットの排除を行いながら秘匿通信を行うことが可能となり、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができる。
また、MN22がハンドオーバした際に、モバイルファイアウォール装置も、そのMN22に追随して移動し、この移動先のモバイルファイアウォール装置18−2が、ハンドオーバ前のモバイルファイアウォール装置18−1の情報を用いてVPNゲートウェイ装置16との間にVPNトンネル24−2を形成するので、自動的にVPNトンネルを張り替えることができる。
【0047】
(第2の実施の形態)
図3は、本発明の第2の実施の形態に係るVPN通信システムの構成を示す図である。但し、図3に示す第2の実施の形態において、図1に示した第1の実施の形態の各部に対応する部分には同一符号を付し、その説明を省略する。
図3に示すVPN通信システム30が図1に示したVPN通信システム10と異なる点は、移動通信ネットワーク20に、VPNプロキシ装置32を更に備え、このVPNプロキシ装置32とVPNゲートウェイ装置16との間にVPNトンネル24を張って終端し、また、VPNプロキシ装置32と各モバイルファイアウォール装置18−1,18−2との間に、移動通信に特化した方式による暗号化トンネル34−1,34−2を張るようにしたことにある。つまり、VPNプロキシ装置32は、2種類のトンネルの中継を行うようになっている。
【0048】
MN22とCN12とは、VPNトンネル24に加え、暗号化トンネル34−1又は34−2を介して通信を行うようになっている。例えば、第1のモバイルファイアウォール装置18−1とVPNゲートウェイ装置16との間のVPNトンネル24及び暗号化トンネル34−1を介してCN12と通信を行っているMN22が、矢印Y3で示すようにハンドオーバを行った場合、モバイルファイアウォール装置も、第2のモバイルファイアウォール装置18−2へ移動することになる。
【0049】
この場合、VPNプロキシ装置32と第2のモバイルファイアウォール装置18−2との間に暗号化トンネル34−2が張り替えられ、この暗号化トンネル34−2を介してMN22とCN12とが通信を行うようになっている。
次に、VPN通信システム30において、VPNトンネル及び暗号化トンネルを形成してMN22とCN12間で通信を行う場合の処理を、図4に示すシーケンス図を参照して説明する。
【0050】
まず、ステップS31において、MN22が移動通信ネットワーク20に新規接続して最初のパケットを送信すると、その新規接続された第1のモバイルファイアウォール装置18−1が、そのパケットをホールドする。このパケットをホールドしておく理由は、第1のモバイルファイアウォール装置18−1に、そのMN22のユーザセキュリティポリシー情報がないためである。また、ここでは説明を簡単にするため、上記のパケットが、移動通信ネットワーク20上に存在するHA(Home Agent)宛のBU(Binding Up data)であるとする。
【0051】
次に、ステップS32において、第1のモバイルファイアウォール装置18−1は、当該ユーザのセキュリティポリシー情報を要求して受信するためのセキュリティポリシー要求を、SP・DBへ送信する。
この応答としてSP・DBは、ステップS33において、第1のモバイルファイアウォール装置18−1にセキュリティポリシー情報を返信する。このセキュリティポリシー情報には、VPN接続を行う等の情報が含まれている。第1のモバイルファイアウォール装置18−1は、そのセキュリティポリシー情報を受信すると、ステップS34において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、第1の実施の形態に記載した想定環境により、HA宛のBUであるため、ステップS35において、HAは応答としてBA(Binding Acknowledgement)をMN22へ返信する。これでMN22の位置登録が完了する。
【0052】
続いて、ステップS36において、MN22がVPN接続を希望する通信相手のCN12宛のパケットを送信する。第1のモバイルファイアウォール装置18−1は、そのパケットを受信すると、セキュリティポリシー情報と照らし合わせる。これによって、VPN接続する必要があると判断すると、第1のモバイルファイアウォール装置18−1は、ステップS37に示すように、第1のモバイルファイアウォール装置18−1とVPNプロキシ装置32との間の接続処理を行って、VPNプロキシ装置32との間に暗号化トンネル34−1を確立し、VPNプロキシ装置32にVPN接続情報を渡す。
【0053】
このVPN接続情報を受けたVPNプロキシ装置32は、ステップS38において、VPN接続処理を行ってVPNゲートウェイ装置16との間にVPNトンネル24を確立する。
この確立時、VPNゲートウェイ装置16は、MN22が先のVPNトンネル24を利用した通信を行う際に用いるアドレスを払い出すが、MN22にはVPNクライアント機能が無いので、そのアドレスを扱うことができない。このため、ステップS39及びS40において、VPNトンネル24の終端を担うVPNプロキシ装置32がMN22に成りすまして、そのアドレスを用いてCN12と通信を行う。VPNゲートウェイ装置16は、VPNプロキシ装置32から受信したパケットを一度復号化してパケットのデータ部分(ペイロード)を取り出し、再び暗号化トンネル34−1を通して第1のモバイルファイアウォール装置18−1へ転送する。第1のモバイルファイアウォール装置18−1は、そのパケットを復号化してデータ部分を取り出し、NAT(Network Address Translation)により、アドレス変換した上でMN22へパケットを転送する。
【0054】
この際、VPNプロキシ装置32で行っているパケットの暗号化・復号化を第1のモバイルファイアウォール装置18−1が代行して行う。VPNプロキシ装置32は、既に第1のモバイルファイアウォール装置18−1及びVPNゲートウェイ装置16によって暗号化されているパケットを、それぞれ暗号化トンネル34−1及びVPNトンネル24を通して、そのまま転送するという方式を用いる。これによって、暗号化・復号化の回数を削減することも可能である。但し、この場合は、VPNプロキシ装置32がVPNトンネル24を構築するために用いた情報を、予め第1のモバイルファイアウォール装置18−1へ通知しておく必要がある。第1のモバイルファイアウォール装置18−1は、その情報を用いて暗号化・復号化を行う。
【0055】
次に、MN22がハンドオーバを行う場合の処理を説明する。
まず、ステップS41において、MN22がハンドオーバしてから最初のパケットを送信すると、ハンドオーバ先の第2のモバイルファイアウォール装置18−2が、そのパケットをホールドする。なお、ここでは説明を簡単にするため、上記のパケットが、HA宛のBUであるとする。
【0056】
ステップS42において、第2のモバイルファイアウォール装置18−2は、SP・DBに対して、当該ユーザのセキュリティポリシー情報を要求するためのセキュリティポリシー要求を送信する。この応答としてSP・DBが、ステップS43において、第2のモバイルファイアウォール装置18−2にセキュリティポリシー情報を返信する。
【0057】
これと同時に、ステップS44において、SP・DBは、MN22が以前接続していた第1のモバイルファイアウォール装置18−1に対して、ファイアウォール内部状態の転送を要求するための内部状態フォワード要求を送信する。
第1のモバイルファイアウォール装置18−1は、その内部状態フォワード要求を受信すると、ステップS45において、第2のモバイルファイアウォール装置18−2へ内部状態情報を転送し、ステップS46において、VPNトンネル24−1を切断する。
【0058】
内部状態情報を受信した第2のモバイルファイアウォール装置18−2は、ステップS47において、第2のモバイルファイアウォール装置18−2とVPNプロキシ装置32との間の接続処理を行って、VPNプロキシ装置32との間に暗号化トンネル34−2を確立し、VPNプロキシ装置32にVPN接続情報を渡す。
【0059】
この後、第2のモバイルファイアウォール装置18−2は、ステップS48において、先にホールドしておいたパケットをフォワードする。このフォワードされるパケットは、第1の実施の形態で記載した想定環境によりHA宛のBUであるため、ステップS49において、HAは応答としてBAをMN22へ送信する。これによってMN22の位置登録が完了する。
【0060】
なお、VPNプロキシ装置32は、NAT機能によりMN22のハンドオーバ後のアドレスヘアドレス変換を行う必要がある。VPNプロキシ装置32はアドレス変換を行うだけであり、パケットの暗号化及び復号化は、第2のモバイルファイアウォール装置18−2とVPNゲートウェイ装置16の間で行う。このようにしてステップS50に示すように、VPNトンネル24及び暗号化トンネル34−2を介してMN22とCN12間で通信を行うことが可能となる。
【0061】
このように、第2の実施の形態のVPN通信システム30によれば、VPNプロキシ装置32がVPNトンネル24の終端装置として動作し、また、VPNプロキシ装置32とモバイルファイアウォール装置18−1との間に暗号化トンネル34−1を形成するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置18−1のパケットフィルタリングを利用して、MN22とCN12とが通信を行うことができる。
【0062】
従って、不具合要因となるパケットの排除を行いながら秘匿通信を行うことが可能となり、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができる。
また、MN22がハンドオーバした際に、モバイルファイアウォール装置も、その移動通信端末機に追随して移動し、この移動先のモバイルファイアウォール装置18−2が、ハンドオーバ前のモバイルファイアウォール装置18−1の情報を用いてVPNプロキシ装置32との間に暗号化トンネル34−2を形成する。この暗号化トンネル34−2は、移動通信に特化した任意の通信規約によって形成されるものなので、ハンドオーバを考慮した規約を用いれば、ハンドオーバ時のオーバヘッドを小さくすることができる。
【0063】
なお、上記第1の実施の形態では、モバイルファイアウォール装置18−1又は18−2とVPNゲートウェイ装置16との間に、上記第2の実施の形態では、モバイルファイアウォール装置18−1又は18−2とVPNプロキシ装置32との間、並びにVPNプロキシ装置32とVPNゲートウェイ装置16との間に、暗号化したトンネルを張るようにしたが、他の方法で盗聴や改竄からの安全を確保できるのであれば暗号化しないトンネルを張るようにしてもよい。
【0064】
【発明の効果】
以上説明したように本発明は、通信網上のデータベースに、通信先端末機がVPNトンネルを介して通信を行うために必要な通信先端末機情報を登録しておき、移動通信端末機が通信を行う通信網上のモバイルファイアウォール装置が、移動通信端末機が通信網に接続した際のパケットの受信時に、データベースから通信先端末機情報を取得し、更に、通信先端末機へのパケットの受信時に、この受信パケットの情報と先に取得した通信先端末機情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成するようにした。
【0065】
これによって、モバイルファイアウォール装置がVPNトンネルの終端装置として動作するので、VPNによる暗号化通信を利用しながらもモバイルファイアウォール装置のパケットフィルタリングを利用して、移動通信端末機と通信先端末機とが通信を行うことができる。
従って、VPNによる暗号化通信とモバイルファイアウォールによるパケットフィルタリングとを同時に利用可能とすることができるので、不具合要因となるパケットの排除を行いながら秘匿通信を行うことを可能とし、また、移動通信端末機におけるVPN機能使用時のユーザの負担軽減及び利便性の向上を図ることができるという効果がある。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るVPN通信システムの構成を示す図である。
【図2】第1の実施の形態に係るVPN通信システムにおいてVPNトンネルを形成してMNとCN間で通信を行う場合の処理を説明するためのシーケンス図である。
【図3】本発明の第2の実施の形態に係るVPN通信システムの構成を示す図である。
【図4】第2の実施の形態に係るVPN通信システムにおいてVPNトンネル及び暗号化トンネルを形成してMNとCN間で通信を行う場合の処理を説明するためのシーケンス図である。
【符号の説明】
10,30 VPN通信システム
12 CN(Correspondent Node)
14 リモートネットワーク
16 VPNゲートウェイ装置
18−1 第1のモバイルファイアウォール装置
18−2 第2のモバイルファイアウォール装置
20 移動通信ネットワーク
22 移動通信端末機であるMN(Mobile Node)
24,24−1,24−2 VPNトンネル
32 VPNプロキシ装置
34−1,34−2 暗号化トンネル

Claims (8)

  1. 通信網に、暗号化処理を用いてパケットを伝送するためのVPNトンネルを形成し、このVPNトンネルを介して移動通信端末機と通信先端末機とが通信を行うVPN通信システムにおいて、
    前記移動通信端末機が前記VPNトンネルを介して通信を行う通信相手を把握するためのVPN接続情報を登録したデータベースと、
    前記通信先端末機が前記VPNトンネルを介して通信を行う際に通信形式の整合をとって通信可能とするゲートウェイ装置と、
    前記移動通信端末機が通信網に接続した際のパケットの受信時に前記VPN接続情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と取得したVPN接続情報との宛先が一致した場合、前記ゲートウェイ装置との間にVPNトンネルを形成するモバイルファイアウォール装置と、
    を備えたことを特徴とするVPN通信システム。
  2. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得し、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と取得した前記VPN接続情報との宛先が一致した場合記ゲートウェイ装置との間にVPNトンネルを形成することを特徴とする請求項1に記載のVPN通信システム。
  3. 前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を更に備え、前記モバイルファイアウォール装置は、前記受信パケットのヘッダに含まれる情報と取得した前記VPN接続情報との宛先が一致した場合、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡し、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成することを特徴とする請求項1に記載のVPN通信システム。
  4. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得し、この取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成することを特徴とする請求項3に記載のVPN通信システム。
  5. 通信網に、暗号化を用いて移動通信端末機と通信先端末機間の通信パケットを伝送するためのVPNトンネルを形成するVPNトンネル形成方法において、通信網上のデータベースに、前記移動通信端末機が前記VPNトンネルを介して通信を行う通信相手を把握するためのVPN接続情報を登録する第1のステップと、前記移動通信端末機通信を行う通信網上のモバイルファイアウォール装置、前記移動通信端末機が通信網に接続した際のパケットの受信時に、前記データベースから前記VPN接続情報を取得する第2のステップと、当該モバイルファイアウォール装置が、通信先端末機へのパケットの受信時に、この受信パケットのヘッダに含まれる情報と前記第2のステップにおいて取得した通信相手を把握するためのVPN接続情報との宛先が一致した際に、ゲートウェイ装置との間にVPNトンネルを形成する第3のステップとを含むことを特徴とするVPNトンネル形成方法。
  6. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得する第4のステップと、当該ハンドオーバ先のモバイルファイアウォール装置、通信先端末機へのパケットの受信時に、この受信パケットのヘッダ情報と取得された前記VPN接続情報との宛先が一致した場合、前記ゲートウェイ装置との間にVPNトンネルを形成する第5のステップとを更に含むことを特徴とする請求項5に記載のVPNトンネル形成方法。
  7. 前記ゲートウェイ装置との間にVPNトンネルを形成するプロキシ装置を備えた場合、前記モバイルファイアウォール装置は、前記第5のステップにおいて、受信パケットのヘッダ情報と取得された前記VPN接続情報との宛先が一致した場合、当該モバイルファイアウォール装置と前記プロキシ装置との間に、移動通信に特化した任意の通信規約による暗号化トンネルを形成し、この形成後にVPN接続情報を前記プロキシ装置へ譲渡する第6のステップと、前記プロキシ装置は、前記VPN接続情報が譲渡された際に、前記ゲートウェイ装置との間にVPNトンネルを形成する第7のステップと、を更に含むことを特徴とする請求項5に記載のVPNトンネル形成方法。
  8. 前記移動通信端末機がハンドオーバを行った際に、ハンドオーバ先のモバイルファイアウォール装置は、ハンドオーバ後の移動通信端末機からのパケットの受信時に、前記データベースから前記VPN接続情報を取得すると共に、ハンドオーバ前のモバイルファイアウォール装置から当該装置の内部状態情報を取得する第8のステップと、当該ハンドオーバ先のモバイルファイアウォール装置は、前記第8のステップで取得した内部状態情報をもとに前記プロキシ装置との間に暗号化トンネルを形成する第9のステップとを更に含むことを特徴とする請求項7に記載のVPNトンネル形成方法。
JP2003208890A 2003-08-26 2003-08-26 Vpn通信システム及びvpnトンネル形成方法 Expired - Fee Related JP4180458B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003208890A JP4180458B2 (ja) 2003-08-26 2003-08-26 Vpn通信システム及びvpnトンネル形成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003208890A JP4180458B2 (ja) 2003-08-26 2003-08-26 Vpn通信システム及びvpnトンネル形成方法

Publications (2)

Publication Number Publication Date
JP2005072668A JP2005072668A (ja) 2005-03-17
JP4180458B2 true JP4180458B2 (ja) 2008-11-12

Family

ID=34402002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003208890A Expired - Fee Related JP4180458B2 (ja) 2003-08-26 2003-08-26 Vpn通信システム及びvpnトンネル形成方法

Country Status (1)

Country Link
JP (1) JP4180458B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE483317T1 (de) * 2007-04-04 2010-10-15 Ericsson Telefon Ab L M Mobilnetz-adressenübersetzung auf grossem massstab
US8375436B2 (en) * 2010-04-22 2013-02-12 Palo Alto Research Center Incorporated Session migration over content-centric networks

Also Published As

Publication number Publication date
JP2005072668A (ja) 2005-03-17

Similar Documents

Publication Publication Date Title
US7213263B2 (en) System and method for secure network mobility
US6970459B1 (en) Mobile virtual network system and method
JP4675909B2 (ja) Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
EP1784942B1 (en) A method for dynamically and securely establishing a tunnel
US8886923B1 (en) Methods and systems for secure mobile-IP traffic traversing network address translation
US7616615B2 (en) Packet forwarding apparatus for connecting mobile terminal to ISP network
JP4527721B2 (ja) トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US7428226B2 (en) Method, apparatus and system for a secure mobile IP-based roaming solution
US7861080B2 (en) Packet communication system
EP1461925B1 (en) Method and network for ensuring secure forwarding of messages
US20020161905A1 (en) IP security and mobile networking
EP1575238A1 (en) IP mobility in mobile telecommunications system
EP2398263A2 (en) Secure and seamless WAN-LAN roaming
JP2003526270A (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
WO2005006674A1 (ja) 端末及び通信システム
JP2004180155A (ja) 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP2004153392A (ja) 通信システム
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP4180458B2 (ja) Vpn通信システム及びvpnトンネル形成方法
KR100737140B1 (ko) 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
TW512263B (en) On-demand system and method for access repeater used in Virtual Private Network
Mun et al. Security in Mobile IP

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071218

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080827

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110905

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120905

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130905

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees