JP4215010B2 - 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 - Google Patents

可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 Download PDF

Info

Publication number
JP4215010B2
JP4215010B2 JP2005059990A JP2005059990A JP4215010B2 JP 4215010 B2 JP4215010 B2 JP 4215010B2 JP 2005059990 A JP2005059990 A JP 2005059990A JP 2005059990 A JP2005059990 A JP 2005059990A JP 4215010 B2 JP4215010 B2 JP 4215010B2
Authority
JP
Japan
Prior art keywords
address
change
security association
communication
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005059990A
Other languages
English (en)
Other versions
JP2006246098A (ja
Inventor
浩司 芦原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005059990A priority Critical patent/JP4215010B2/ja
Publication of JP2006246098A publication Critical patent/JP2006246098A/ja
Application granted granted Critical
Publication of JP4215010B2 publication Critical patent/JP4215010B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、無線LANエリアなどのサブネットワークに接続する端末装置に対し動的にIPアドレスを付与する可変IPアドレス環境下において、端末装置の移動によりIPアドレスが変更になった場合でも通信相手との間のセキュリティアソシエーションを継続することができる方法に関する。
TCP/IPを利用するネットワーク環境で用いられるセキュリティプロトコルには、SSLなど多くのものが提案ないし実用化されているが、その中で近年は、アプリケーション毎のセキュリティ設定が不要なIPSecが注目されている。IPSecの詳細は、RFC(Request For Comments)2401〜2412で規定されている。
IPSec通信では、セキュリティアソシエーション(Security Association:SA)と呼ばれる論理的な通信路上で暗号通信を行う。SAは、IPSec通信の当事者同士がお互いにネゴシエーションして確立される。つまり、送信者側から保持しているセキュリティポリシーの内容を元に提案を行い、受信者側がそれを受け入れれば、SAが確立される。
SAに関する情報を保存するテーブルを、セキュリティアソシエーションデータベース(Security Association Database:SAD)と呼ぶ。SADには、セキュリティ・パラメータ・インデックス(Security Parameter Index:SPI)、宛先アドレスである終点IPアドレス、プロトコル(ESP(Encapsulating Security Payload)またはAH(Authentication Header))、AHまたはESPで使用されるアルゴリズムと鍵などが保持される。SAは単方向の論理的な通信路なので、双方向通信を行う装置間には送信用と受信用のSAがそれぞれの装置に設けられる。
パケットを送信する場合、まず、送信先アドレスなどをキーにセキュリティ・ポリシー・データベース(Security Policy Database)を検索し、セキュリティ・ポリシーを選択する。セキュリティ・ポリシーは、「パケットを破棄する」、「パケットをそのまま通過させる」、「IPSecの処理を行う」の何れかを定めるものである。セキュリティ・ポリシーが「IPSecの処理を行う」であった場合、使用する送信用SAが記述されているので、そのSAの内容をSADから参照し、対象パケットに対して暗号などの処理を行う。なお、SAがない場合は、SAの確立を行う。
他方、IPSecが適用されたパケットを受信した場合、受信パケットの送信先アドレスである終点IPアドレスとSPIから受信用SAを決定し、この決定したSAの内容をSADから参照してIPSecの復号を行う。この結果得られたパケットをもとにSPDを検索し、得たセキュリティ・ポリシーに応じて当該パケットを処理する。
上述したようなIPSec通信を記載した文献として特許文献1がある。特に特許文献1の段落0041以降には、ユーザが通信に使用する固定端末を変更した場合でも、既に確立されているSAを継続できるようにする技術が示されている。具体的には、ユーザが第1の固定端末(そのIPアドレスはAとする)を使って通信相手ホストとの間にSAを確立して通信中に、使用端末を第2の固定端末(そのIPアドレスはBとする)に変更した場合、ICカードを媒介として第1の固定端末から第2の固定端末にSADを移し、第2の固定端末においてそのSADに記載されたIPアドレスAをIPアドレスBに更新し、更新後のSADに従って暗号化処理を行ったセキュリティアソシエーション継続通知を通信相手ホストに対して送信し、通信相手ホストが、受信した継続通知に対して所定の復号処理を行い、自身が保持するSADに記載された通信相手のIPアドレスをIPアドレスAからIPアドレスBに更新することによって、上記確立したSAを継続する。
また特許文献1の従来技術の欄には、MIP(Mobile IP)方式における移動端末がサブネットワーク間を移動しても通信相手ホストとの間のSAを維持する技術が示されている。具体的には、気付アドレス(Care−of Address:CoA)Aを有する移動端末が通信相手ホストとの間にSAを確立して通信中に、移動により新たな気付アドレスBを取得した場合、次の3つの処理を行う。
1)Dynamic DNS(Domain Name System) Update
自己の新たな気付アドレスBをDNSに登録する。
2)SA Gateway Update
通信相手ホストに「SA Gateway Update」を行う。これにより、通信相手ホストが保有するSAD中の移動端末の気付アドレスがAからBに更新される。
3)SA Local Update
移動端末自身が保有するSAD中の自端末の気付アドレスをAからBに更新する。
特開2003−115834号公報
上述した特許文献1では、使用する端末をユーザが変更した場合のSAの継続、およびMIP方式における移動端末が移動した場合のSAの継続の何れの場合も、SA中の端末のIPアドレスを変更後のIPアドレスに更新している。従って、変更前のIPアドレスを送信先アドレスとして含むIPSecパケットがネットワークの遅延などの原因によって遅れて到着した場合、もはや当該端末では受信されず、パケットロスが生じるという課題がある。
本発明の目的は、可変IPアドレス環境下において端末装置の移動によりIPアドレスが変更になった場合でも通信相手との間のセキュリティアソシエーションを継続でき、かつパケットロスも防止できるようにすることにある。
本発明の第1の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法は、端末装置と通信相手装置との間にセキュリティアソシエーションを確立し、前記確立したセキュリティアソシエーションを用いて暗号通信を行う通信システムにおいて、前記端末装置の移動により前記端末装置のIPアドレスが変更になった場合、前記端末装置が、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報に前記変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を前記受信用のセキュリティアソシエーションを用いて行うと共に、前記通信相手装置にIPアドレスの変更を通知し、前記通信相手装置が、前記端末装置との送信用のセキュリティアソシエーションに関する情報に記載された前記端末装置の変更前のIPアドレスを前記通知された変更後のIPアドレスに変更し、変更後のIPアドレスを含む暗号化パケットの送信を前記送信用のセキュリティアソシエーションを用いて行うことを特徴とする。
本発明の第2の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法は、第1の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法において、前記端末装置が、一定時間経過後、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報から変更前のIPアドレスを削除し、変更前のIPアドレスを含む暗号化パケットの受信を停止することを特徴とする。
本発明の第3の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法は、第1または第2の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法において、前記暗号通信がIPSec通信であることを特徴とする。
本発明の第1の端末装置は、通信相手装置との間にセキュリティアソシエーションを確立し、前記確立したセキュリティアソシエーションを用いて暗号通信を行う端末装置において、前記確立されたセキュリティアソシエーションに関する情報を保持する記憶部と、自端末装置の移動により自端末装置のIPアドレスが変更になった場合、前記記憶部に記憶された前記通信相手装置との受信用のセキュリティアソシエーションに関する情報に前記変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を前記受信用のセキュリティアソシエーションを用いて行うと共に、前記通信相手装置にIPアドレスの変更を通知するプロトコルモジュール手段とを備えたことを特徴とする。
本発明の第2の端末装置は、第1の端末装置において、一定時間経過後、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報から変更前のIPアドレスを削除し、変更前のIPアドレスを含む暗号化パケットの受信を停止させる変更手段を備えることを特徴とする。
本発明の第3の端末装置は、第1または第2の端末装置において、前記暗号通信がIPSec通信であることを特徴とする。
『作用』
本発明にあっては、移動によりIPアドレスが変更になった端末装置は、通信相手装置との受信用のセキュリティアソシエーションに関する情報に変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を受信用のセキュリティアソシエーションを用いて行うと共に、通信相手装置にIPアドレスの変更を通知し、通信相手装置は、端末装置との送信用のセキュリティアソシエーションに関する情報に記載された端末装置の変更前のIPアドレスを通知された変更後のIPアドレスに変更し、変更後のIPアドレスを含む暗号化パケットの送信を送信用のセキュリティアソシエーションを用いて行う。これにより、通信相手との間のセキュリティアソシエーションを継続でき、また端末装置は変更前のIPアドレスを含むパケットの受信がなおも可能になるので、パケットロスを防止することができる。
本発明によれば、可変IPアドレス環境下において端末装置の移動によりIPアドレスが変更になった場合でも通信相手との間のセキュリティアソシエーションを継続でき、しかもIPアドレス変更に伴うパケットロスを防止することができる。
図1を参照すると、本発明の実施の形態にかかる通信システムでは、無線LANエリア3に接続された端末1とインターネット7に接続されたサーバ2との間で、端末1をIPSec通信の始動側(Initiator)、サーバ2を応答側(Responder)として、IPSec通信が行われる。また、端末1を使用するユーザは移動しながら通信することを想定し、移動後の無線LANエリアが無線LANエリア4である。無線LANエリア3では端末1へDHCPサーバ5にて動的にIPアドレス(A.A.A.A)が付与され、無線LANエリア4へ移動後はDHCPサーバ6により動的にIPアドレス(B.B.B.B)が付与される可変IPアドレス環境となっている。なお、サーバ2は固定IPアドレスとして(C.C.C.C)が付与されている。
上述した構成において、端末1が無線LANエリア3から無線LANエリア4に通信しながら移動した場合、端末1のIPアドレスが(A.A.A.A)から(B.B.B.B)に変わる。この際、IPSec通信を一旦切断し、新しいIPアドレス(B.B.B.B)が割り当てられた端末1とサーバ2との間でセキュリティパラメータを再ネゴシエーションし、SADを新しく作成するならば、通信遅延が発生する。
また、サーバ2から端末1のIPアドレス(A.A.A.A)宛に送信されたIPSecパケットがインターネット7のネットワーク遅延の影響を受けて、端末1が無線LANエリア4に移動し新たなIPアドレス(B.B.B.B)に変わった直後に無線LANエリア3から端末1宛に送信された場合、無線LANエリア3と無線LANエリア4とが一部重複していて無線LANエリア4に移動した直後の端末1が無線LANエリア3から送信されるパケットを受信可能であっても、IPアドレスが既に(B.B.B.B)に変わっているために受信不能になり、パケットロスが生じる。
そこで本実施の形態では、このように通信の途中で端末1のIPアドレスが変わる環境においても、パラメータの再ネゴシエーション無しで、つまりIPSecを切断しないで、IPSec通信を継続し、且つIPアドレス変更に伴うパケットロスを防止する。
本実施の形態で端末1が使用する受信用SAD9の構成例を図2に示す。図2に示されるように、受信用SAD9は、IPパケットに対する暗号通信適用の検索キーワードとして、終点IPアドレス21、IPSecプロトコル(ESPまたはAH)22およびSPI23を使用し、これらに対応して対向装置とのネゴシエーションによって決定した暗号通信に使用するその他のSAパラメータ24を保持する。その他のSAパラメータ24としては、カプセル化モード、暗号化アルゴリズム、暗号化鍵、認証アルゴリズム、認証鍵などがある。本実施の形態の受信用SAD9が従来のSADと異なる点は、2つの終点IPアドレスを保持するフィールド25、26が設けられていることである。なお、本実施の形態で端末1が使用する送信用SAD8、サーバ2が使用する送信用SAD10および受信用SAD11は、従来のSADと同じものを使用することができる。
図3は端末1の構成例を示すブロック図である。図3を参照すると、端末1は、1つ以上のアプリケーションプログラム31、TCT/IPモジュール32、IPSecプロトコルモジュール33、通信インタフェース34、タイマ35、変更部36、および送信用SAD8や受信用SAD9を記憶する記憶部37を有する。
TCP/IPモジュール32は、端末1を構成するコンピュータのOS(オペレーティングシステム)が標準的に有するTCP/IPスタックであり、IPSecプロトコルモジュール33はこのTCP/IPスタックに組み込まれて実装される。通信相手とのネゴシエーションにより生成された送信用SAD8と受信用SAD9は記憶部37で保持され、IPSecプロトコルモジュール33は、この記憶部37に保持された送信用SAD8および受信用SAD9に格納されたセキュリティパラメータに従いIPSec通信を行う。通信インタフェース34は、無線LANエリアの図示しない基地局との間でパケットの送受信を行うモジュールである。タイマ35と変更部36は、IPSecプロトコルモジュール33によって一時的に継続使用する変更前のIPアドレスを一定時間経過後に無効化するための手段である。
このような端末1は、CPU、ROMやRAM等で構成された主記憶、ハードディスク等で構成された外部記憶装置、無線LANを通じて他の装置とデータの授受を行う通信部などを備えたパーソナルコンピュータ等のコンピュータとプログラムとで構成することができる。プログラムは磁気ディスク等のコンピュータ読み取り可能な記録媒体に記録され、コンピュータの立ち上げ時などにコンピュータにより読み取られ、コンピュータの動作を制御することにより、コンピュータ上にTCP/IPモジュール32、IPSecプロトコルモジュール33、通信インタフェース34、タイマ35および変更部36といった機能手段を実現する。
図4は端末1とサーバ2との間のセキュリティパラメータのネゴシエーション時の動作説明図である。始動側である端末1は、無線LANエリア3に接続されており、サーバ2とIPSec通信するため、IPSecプロトコルモジュール33はセキュリティパラメータのネゴシエーションを行い、送受信用それぞれのSAD8、9を作成する。このとき、受信用SAD9の終点IPアドレスの第1のフィールド25にはDHCP5から獲得したIPアドレス(A.A.A.A)が設定され、第2のフィールド26はNULLにされる。同様に、サーバ2においても、送受信用それぞれのSAD10、11が作成される。
端末1とサーバ2は、それぞれ送受信用のSAD8〜11を参照し、そのセキュリティパラメータに従って、IPSec通信を行う。つまり、端末1からサーバ2へパケットを送信する場合、端末1のIPSecプロトコルモジュール33は、送信用SAD8中のセキュリティパラメータを参照してIPSecを適用したパケットを作成して通信インタフェース34を通じて送信し、サーバ2は、受信用SAD11中のセキュリティパラメータを参照して、受信したパケットのIPSecを解凍する。反対に、サーバ2から端末1へパケットを送信する場合、サーバ2は、送信用SAD10中のセキュリティパラメータを参照してIPSecを適用したパケットを作成して送信し、端末1は、このパケットを通信インタフェース34で受信し、IPSecプロトコルモジュール33において受信用SAD9中のセキュリティパラメータを参照して、受信パケットのIPSecを解凍する。このとき、終端IPアドレスおよびSPI等の組み合わせをキーに必要なSADが検索される。
この状態で、端末1が無線LANエリア3から隣の無線LANエリア4へ移動した場合を考える。図5は端末1が無線LANエリア4に移動した直後の動作説明図であり、図6(a)はその際の端末1の動作フローである。エリアの移動により、端末1のIPSecプロトコルモジュール33はDHCPサーバ6からIPアドレス(B.B.B.B)を獲得し(図6のステップS1)、受信用SAD9の終点IPアドレス21の第1のフィールド25に設定されたIPアドレス(A.A.A.A)をそのままにして、第2のフィールド26にIPアドレス(B.B.B.B)を追加し(ステップS2)、また端末1においてIPアドレス(A.A.A.A)およびIPアドレス(B.B.B.B)の何れか一方を含むIPSecパケットが受信されるように通信インタフェース34のIPアドレスの設定を行う(ステップS3)。ただし、以前の無線LANエリア3で獲得したIPアドレス(A.A.A.A)は一時的に使用を継続するだけであり、所定時間経過後には無効にするため、IPアドレス(B.B.B.B)の設定後にタイマ35を起動しておく(ステップS4)。
次に端末1は、サーバ2へ自端末のIPアドレスが(A.A.A.A)から(B.B.B.B)に変更になったことを示す通知41を送出する(ステップS5)。この通知41には、例えばIPSec-configを使用することができる。
サーバ4は、端末1から上記のアドレス変更の通知41を受信すると、送信用SAD10の終点IPアドレスを(A.A.A.A)から(B.B.B.B)に変更する。
以後、端末1のIPSecプロトコルモジュール33は、サーバ2とのIPSec通信に関し、受信用SADとして(A.A.A.A)と(B.B.B.B)の2つの終点IPアドレスが設定されたSAD9を参照し、送信用のSADは今までと同じ内容のSAD8を参照して、IPSec通信を継続する。また、サーバ2は、端末1とのIPSec通信に関し、送信用のSADとして終点IPアドレスが(A.A.A.A)から(B.B.B.B)に変更されたSAD10を参照し、受信用SADとしては今までと同じ内容のSAD11を参照して、IPSec通信を継続する。
この結果、サーバ2は、端末1へパケットを送信する場合、送信用SAD10を参照して移動後のIPアドレス(B.B.B.B)を使用したIPSecパケットを送信し、端末1はこの受信したIPSecパケットを受信用SAD9を参照して解凍することができる。
また、サーバ2が送信用SAD10の終点IPアドレスを(A.A.A.A)から(B.B.B.B)に切り替える前に作成して送信した、終点IPアドレス(A.A.A.A)を含むIPSecパケットが、ネットワークの遅延などが原因で、端末1が無線LANエリア4へ移動した後に元の無線LANエリア3に届いてエリア内に送信された場合でも、端末1が無線LANエリア3からのパケットを物理的に受信可能な場所にいれば、端末1はこの受信したIPSecパケットを受信用SAD9を参照して解凍することができる。
その後、図6(a)のステップS4で起動されたタイマ35が、所定時間経過後にタイムアウトすると(図6(b)のステップS11)、端末1の変更部36は、受信用SAD9の終点IPアドレス21の第1のフィールド25に設定された変更前のIPアドレス(A.A.A.A)を図7に示すようにNULLにし(ステップS12)、端末1においてIPアドレス(A.A.A.A)を含むIPSecパケットの受信を停止するように通信インタフェースのIPアドレスの設定を行う(ステップS13)。これにより、端末1におけるIPアドレス(A.A.A.A)を含むIPSecパケットの受信が停止する。
再度エリアの移動により端末1のIPアドレスの変更が発生した場合、上記と同様の動作が繰り返され、受信用SAD9の第1のフィールド25に変更後のIPアドレスが追加され、第2のフィールド26に設定されている変更前のIPアドレス(B.B.B.B)が一定時間後に無効にされる。
このように本実施の形態によれば、端末1が無線LANエリア間を移動したことにより端末1のIPアドレスが通信中に変わった場合においても、通信中のサーバ2との間でパラメータの再ネゴシエーション無しにIPSec通信を継続でき、また変更前のIPアドレスのパケットを一時的に受信可能とすることによりパケットロスを防止することができる。
以上本発明の実施の形態について説明したが、本発明は以上の例に限定されず、その他各種の付加変更が可能である。例えば、前記の実施の形態では、端末1の受信用SAD9の終点IPアドレス21の格納場所を第1および第2のフィールド25、26に二重化したが、受信用SADの全領域を複写し、複写元のSADの終点IPアドレス21には変更前アドレスを設定し、複写先のSADの終点IPアドレス21には変更後アドレスを設定し、一時的に2つの受信用SADを使用するようにしてもよい。この場合、タイマ35のタイムアウト時、変更部36は、複写元のSADを消去することになる。
本発明の実施の形態にかかる通信システムのブロック図である。 本発明の実施の形態にかかる端末で使用する受信用SADの構成例を示す図である。 本発明の実施の形態にかかる端末のブロック図である。 本発明の実施の形態にかかる端末とサーバとの間のセキュリティパラメータのネゴシエーション時の動作説明図である。 本発明の実施の形態にかかる端末が隣の無線LANエリアに移動した直後の動作説明図である。 本発明の実施の形態にかかる端末の動作を示すフローチャートである。 本発明の実施の形態にかかる端末が隣の無線LANエリアに移動した時点から所定時間経過後の動作説明図である。
符号の説明
1…端末
2…サーバ
3、4…無線LANエリア
5、6…DHCPサーバ
7…インターネット
8…端末の送信用SAD
9…端末の受信用SAD
10…サーバの送信用SAD
11…サーバの受信用SAD
21…終点IPアドレス
22…IPSecプロトコル
23…SPI
24…その他のSAパラメータ
25…第1のフィールド
26…第2のフィールド

Claims (9)

  1. 端末装置と通信相手装置との間にセキュリティアソシエーションを確立し、前記確立したセキュリティアソシエーションを用いて暗号通信を行う通信システムにおいて、前記端末装置の移動により前記端末装置のIPアドレスが変更になった場合、
    前記端末装置が、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報に前記変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を前記受信用のセキュリティアソシエーションを用いて行うと共に、前記通信相手装置にIPアドレスの変更を通知し、
    前記通信相手装置が、前記端末装置との送信用のセキュリティアソシエーションに関する情報に記載された前記端末装置の変更前のIPアドレスを前記通知された変更後のIPアドレスに変更し、変更後のIPアドレスを含む暗号化パケットの送信を前記送信用のセキュリティアソシエーションを用いて行うことを特徴とする可変IPアドレス環境下におけるセキュリティアソシエーション継続方法。
  2. 前記端末装置が、一定時間経過後、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報から変更前のIPアドレスを削除し、変更前のIPアドレスを含む暗号化パケットの受信を停止することを特徴とする請求項1記載の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法。
  3. 前記暗号通信がIPSec通信であることを特徴とする請求項1または2記載の可変IPアドレス環境下におけるセキュリティアソシエーション継続方法。
  4. 通信相手装置との間にセキュリティアソシエーションを確立し、前記確立したセキュリティアソシエーションを用いて暗号通信を行う端末装置において、
    前記確立されたセキュリティアソシエーションに関する情報を保持する記憶部と、
    自端末装置の移動により自端末装置のIPアドレスが変更になった場合、前記記憶部に記憶された前記通信相手装置との受信用のセキュリティアソシエーションに関する情報に前記変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を前記受信用のセキュリティアソシエーションを用いて行うと共に、前記通信相手装置にIPアドレスの変更を通知するプロトコルモジュール手段とを備えたことを特徴とする端末装置。
  5. 一定時間経過後、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報から変更前のIPアドレスを削除し、変更前のIPアドレスを含む暗号化パケットの受信を停止させる変更手段を備えることを特徴とする請求項4記載の端末装置。
  6. 前記暗号通信がIPSec通信であることを特徴とする請求項4または5記載の端末装置。
  7. 通信相手装置との間にセキュリティアソシエーションを確立し、前記確立したセキュリティアソシエーションを用いて暗号通信を行う端末装置を構成するコンピュータを、
    自端末装置の移動により自端末装置のIPアドレスが変更になった場合、前記確立されたセキュリティアソシエーションに関する情報を保持する記憶部に記憶された前記通信相手装置との受信用のセキュリティアソシエーションに関する情報に前記変更後のIPアドレスを追加し、変更前のIPアドレスおよび変更後のIPアドレスの何れか一方を含む暗号化パケットの受信を前記受信用のセキュリティアソシエーションを用いて行うと共に、前記通信相手装置にIPアドレスの変更を通知するプロトコルモジュール手段、として機能させるためのプログラム。
  8. 前記コンピュータを、さらに、一定時間経過後、前記通信相手装置との受信用のセキュリティアソシエーションに関する情報から変更前のIPアドレスを削除し、変更前のIPアドレスを含む暗号化パケットの受信を停止させる変更手段、として機能させるための請求項7記載のプログラム。
  9. 前記暗号通信がIPSec通信であることを特徴とする請求項7または8記載のプログラム。
JP2005059990A 2005-03-04 2005-03-04 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 Expired - Fee Related JP4215010B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005059990A JP4215010B2 (ja) 2005-03-04 2005-03-04 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005059990A JP4215010B2 (ja) 2005-03-04 2005-03-04 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置

Publications (2)

Publication Number Publication Date
JP2006246098A JP2006246098A (ja) 2006-09-14
JP4215010B2 true JP4215010B2 (ja) 2009-01-28

Family

ID=37052024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005059990A Expired - Fee Related JP4215010B2 (ja) 2005-03-04 2005-03-04 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置

Country Status (1)

Country Link
JP (1) JP4215010B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008072576A1 (ja) * 2006-12-11 2008-06-19 Panasonic Corporation 通信継続方法及びその方法で用いられる通信端末
US20080159204A1 (en) * 2006-12-28 2008-07-03 Qi Emily H Techniques for lossless packet transition across basic service sets in wireless networks
JP5015662B2 (ja) * 2007-05-30 2012-08-29 株式会社リコー 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
JP5321030B2 (ja) * 2008-12-10 2013-10-23 株式会社リコー 通信装置、通信方法およびプログラム
JP5590803B2 (ja) * 2009-01-13 2014-09-17 キヤノン株式会社 通信装置及び通信方法
JP5522201B2 (ja) * 2012-06-07 2014-06-18 株式会社リコー 通信路復帰方法、通信装置及び通信システム
JP6214466B2 (ja) * 2014-05-21 2017-10-18 三菱電機株式会社 イニシエータ、レスポンダおよびセキュア通信方法
JP6272187B2 (ja) 2014-08-27 2018-01-31 株式会社日立製作所 通信システム、管理サーバ、サーバ、集信装置、及び暗号化設定方法

Also Published As

Publication number Publication date
JP2006246098A (ja) 2006-09-14

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
JP4215010B2 (ja) 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置
US7020464B2 (en) System and method for providing agent-free and no-packet overhead mobility support with transparent session continuity for mobile devices
JP4163215B2 (ja) 私設ネットワークとローミング移動端末との間の通信
JP4755203B2 (ja) ホスト・アイデンティティ・プロトコルの方法および装置
US8437345B2 (en) Terminal and communication system
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
US7620810B2 (en) Method and network for ensuring secure forwarding of messages
JP4634349B2 (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
US20040037260A1 (en) Virtual private network system
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
EP1884102B1 (en) Host identity protocol method and apparatus
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
JP2007522744A (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP5746446B2 (ja) ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード
EP1466458B1 (en) Method and system for ensuring secure forwarding of messages
Kivinen et al. Design of the IKEv2 mobility and multihoming (MOBIKE) protocol
WO2005069557A1 (ja) モバイルルータ装置およびホームエージェント装置
US7207063B1 (en) Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol
JP2005175825A (ja) 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置
JP2003115834A (ja) セキュリティアソシエーション切断/継続方法および通信システム
Li et al. Mobile IPv6: protocols and implementation
JP2005210645A (ja) データ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置
JP3972335B2 (ja) ネットワーク接続機器、通信方法、プログラムおよびプログラムを記憶した記憶媒体

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080327

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081014

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081027

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111114

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111114

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131114

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees