JP4322201B2 - 通信装置及びゲートウェイ装置 - Google Patents

通信装置及びゲートウェイ装置 Download PDF

Info

Publication number
JP4322201B2
JP4322201B2 JP2004344834A JP2004344834A JP4322201B2 JP 4322201 B2 JP4322201 B2 JP 4322201B2 JP 2004344834 A JP2004344834 A JP 2004344834A JP 2004344834 A JP2004344834 A JP 2004344834A JP 4322201 B2 JP4322201 B2 JP 4322201B2
Authority
JP
Japan
Prior art keywords
communication
node
packet
mobile node
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004344834A
Other languages
English (en)
Other versions
JP2006157454A (ja
Inventor
真史 新本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2004344834A priority Critical patent/JP4322201B2/ja
Publication of JP2006157454A publication Critical patent/JP2006157454A/ja
Application granted granted Critical
Publication of JP4322201B2 publication Critical patent/JP4322201B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク間を移動可能な移動通信装置を位置管理する位置管理装置が接続されるネットワークを含む複数のネットワークが相互接続された通信環境(例えば、インターネット)で、移動通信装置とこの移動通信装置の位置管理装置が接続されるネットワークとは別のネットワークに接続される相手先通信装置との間の通信が、位置管理装置を経由する経路と位置管理装置を経由しない最適経路との複数の通信経路を介して行われる通信システムに係り、ネットワーク間を移動しながら位置管理装置によって位置管理されて通信を継続する移動通信装置並びにその通信相手方の通信装置、及びこの通信相手方の通信装置が接続されるネットワークの入り口に設置され、ネットワーク内外にIPパケットを転送するゲートウェイ装置に関する。
計算機装置の小型化や価格の低下に伴い、インターネットに接続する端末は、従来のデスクトップ型のパーソナルコンピュータに加え、PDA(Personal Digital Assistant)や携帯電話端末等といった小型で移動性を備えたものが現れるようになった。それに伴い、インターネットにおける移動通信技術の研究が盛んに行われている。インターネット技術を標準化しているIETF(Internet Engeneering Task Fource)においても、Mobile IPv6(Internet Protocol version 6)と呼ばれるインターネット接続の標準化方式の取り纏めが、そのmip6(Mobility for IPv6)ワーキンググループで進められている。
Mobile IPv6は、IETFによって発行されている “Mobility Support in IPv6”(RFC3775.txt)及び“Using IPsec to Protect Mobile IPv6 Signaling between Moblie Nodes and Home Agents”(RFC3776.txt)に規程されている。
そこで、このMobile IPv6の基本動作についてまず説明する。
Mobile IPv6では、移動する端末、すなわち移動通信装置は一意なIPアドレスを有し、物理的に接続するネットワークが変化しても一意なIPアドレスで通信を継続可能な移動透過性が提供されている。
図2は、Mobile IPv6方式を構築する最もシンプルなネットワーク構成の一例を示した図である。
図3〜図5は、Mobile IPv6のパケットフォーマットを示した図である。
移動ノード(Mobile Node:MN)2-1は、移動ノード(MN)2-1の移動管理を行う位置管理装置としてのホームエージェント(Home Agent:HA)2-2が接続するネットワーク2-aをホームネットワークとし、ホームネットワーク2-a上にルーティングされるIPアドレスをホームアドレス(Home Address:HoA)として一意に有する。
移動ノード(MN)2-1がホームネットワーク2-aからルータ(Router:R)が接続する別のネットワークである他の外部リンク2-bへ移動する場合、移動ノード(MN)2-1は、外部リンク2-b上で当該リンク2-bにおけるIPアドレスを立ち寄り先アドレス(Care of Address:CoA)として取得する。そして、移動ノード(MN)2-1は、自身の位置情報として、自身のホームアドレス(HoA)と現在の立ち寄り先アドレス(CoA)との対応付け情報を位置管理装置としてのホームエージェント(HA)2-2へ通知するために、図3に示した位置登録メッセージ(Binding Update:BU)3-1を送信する。
この位置登録メッセージ(BU)3-1は、IPヘッダ(Internet Protocol Header:IP Header)と、宛先オプションヘッダ(Destination Option Header:Dest Opt Header)と、ESPヘッダ(Encapsulating Security Payload Header:Esp Header)と、モビリティヘッダ(Mobility Header:MH)とを有して構成され、ESPヘッダにつづくモビリティヘッダ部分は暗号化されて送信される。
この場合、IPヘッダは、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されている。また、宛先オプションヘッダは、ホームアドレス(HoA)に、ESPヘッダは、セキュリティパラメータインデックス(Security Parameters Index:SPI)が後述するSPI=aに設定されている。また、モビリティヘッダは、位置登録メッセージであることを表わすBU(Binding Update)に設定されている。
位置管理装置としてのホームエージェント(HA)2-2は、移動ノード(MN)2-1からの上述した位置登録メッセージ(BU)3-1の受信に対して、図3に示した位置登録確認メッセージ(Binding Acknowledgement:BA)3-2をこの移動ノード(MN)2-1に送信することによって、移動ノード(MN)2-1の位置登録完了を通知する。
この位置登録確認メッセージ(BA)3-2は、IPヘッダと、RT2ヘッダ(Routing Header Type2:RT2 Header)と、ESPヘッダと、モビリティヘッダとを有して構成され、ESPヘッダにつづくモビリティヘッダ部分は暗号化されて送信される。
この場合、IPヘッダは、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が立ち寄り先アドレス(CoA)に設定されている。また、RT2ヘッダは、ホームアドレス(HoA)に、ESPヘッダは、セキュリティパラメータインデックス(SPI)が後述するSPI=bに設定されている。また、モビリティヘッダは、位置登録確認メッセージであることを表わすBA(Binding Acknowledgement)に設定されている。
このようにして、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、このホーム移動ノード(MN)2-1と他の外部リンク2-cに接続されている通信相手ノード(Correspondent Node:CN)2-3との間で通信を当初行う場合について、次に説明する。
当初、ホーム移動ノード(MN)2-1と通信相手方の通信装置となるネットワーク2-cに接続されている通信相手ノード(CN)2-3との間の通信は、ホームエージェント(HA)2-2を介した図2に示したような“く”の字型の経路で送受信が行われる。
すなわち、移動ノード(MN)2-1から通信相手ノード(CN)2-3へ情報を送信する場合は、移動ノード(MN)2-1から図5に示したMN送信パケット3-11をホームエージェント(HA)2-2に送信する。
このMN送信パケット3-11は、ホームエージェント(HA)2-2宛に伝送路1を介して送信される、移動ノード(MN)2-1から通信相手ノード(CN)2-3へのホームエージェント(HA)2-2経由の送信パケットである。
MN送信パケット3-11は、送信元アドレス(SRC)がホームアドレス(HoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ペイロード(Payload)とを有した構成のパケット本体に、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=eに設定されているESPヘッダを付加して、前述のパケット本体をカプセル化した構成になっている。ESPヘッダにつづくカプセル化された前述のパケット本体は暗号化されて送信される。
そして、移動ノード(MN)2-1から上述したMN送信パケット3-11を受信したホームエージェント(HA)2-2は、図5に示したMN送信パケット3-12を、伝送路2を介して通信相手ノード(CN)2-3に送信する。
このMN送信パケット3-12は、上述したMN送信パケット3-11に対して、そのカプセル化のために付加されたIPヘッダ及びESPヘッダが削除された前述のパケット本体である。
このように、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、移動ノード(MN)2-1から通信相手ノード(CN)2-3へ情報を送信する場合は、移動ノード(MN)2-1は、当初、送信元を自分のホームアドレス(HoA)、宛先を通信相手ノード(CN)2-3のアドレスとしたMN送信パケット3-12を、ホームエージェント(HA)2-2宛のMN送信パケット3-11の中に含めてホームエージェント(HA)2-2経由で送信する構成になっている。
これに対して、同じ状態で、通信相手ノード(CN)2-3から移動ノード(MN)2-1へ情報を送信する場合は、通信相手ノード(CN)2-3から図5に示したCN送信パケット3-13を移動ノード(MN)2-1のホームアドレス(HoA)に宛てて送信する。送信されたパケットはホームネットワークへルーティングされ、移動ノード(MN)が外部へ移動している状態においては、ホームエージェント(HA)が代わりにパケットを受信する。
このCN送信パケット3-13は、ホームエージェント(HA)2-2に伝送路2を介して送信される、通信相手ノード(CN)2-3から移動ノード(MN)2-1宛のホームエージェント(HA)2-2経由の送信パケットである。
CN送信パケット3-13は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1のホームアドレス(HoA)に設定されたIPヘッダと、ペイロード(Payload)とを有した構成になっている。
そして、通信相手ノード(CN)2-3から上述したCN送信パケット3-13を受信したホームエージェント(HA)2-2は、図5に示したCN送信パケット3-14を、伝送路1を介して移動ノード(MN)2-1に送信する。
このCN送信パケット3-14は、上述したCN送信パケット3-13に、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=fに設定されているESPヘッダを付加して、上述したCN送信パケット3-13をカプセル化した構成となり、ESPヘッダにつづくカプセル化されたCNへの通信パケット3−13は暗号化されて送信される。
このように、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、通信相手ノード(CN)2-3から移動ノード(MN)2-1へ情報を送信する場合は、移動ノード(MN)2-1宛のCN送信パケット3-13を受信したホームエージェント(HA)2-2は、当初、このCN送信パケット3-13を、送信元をホームエージェント(HA)2-2のアドレス、宛先を立ち寄り先アドレス(CoA)としたCN送信パケット3-14の中に含めて送信する構成になっている。
その上で、ホーム移動ノード(MN)2-1と通信相手ノード(CN)2-3とは、上記説明したホームエージェント(HA)2-2を経由した当初の“く”の字型の経路を用いて、この“く”の字型の経路を解消し経路を最適化するために、経路最適化処理すなわちRR処理(Return Routability)と呼ばれる手続きを行う。
このRR処理は、ホーム移動ノード(MN)2-1と通信相手ノード(CN)2-3との間における、ホームエージェント(HA)2-2を経由したホーム試験開始メッセージ(Home Test Init:HoTI)及びホーム試験メッセージ(Home Test:HoT)の送受信と、ホームエージェント2-2を経由しない最適な経路による立ち寄り試験開始メッセージ(Care of Test Int:CoTI)及び立ち寄り試験メッセージ(Care of Test:CoT)の送受信と、これらメッセージ中に含まれる認証値に基づく認証処理とによって行われる。
図4の3-3は、このRR処理で伝送路1を介してホーム移動ノード(MN)2-1からホームエージェント(HA)2-2へ送信される、ホーム試験開始メッセージ(HoTI)である。
ホーム試験開始メッセージ(HoTI)3-3は、送信元アドレス(SRC)がホームアドレス(HoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホーム試験開始メッセージ(HoTI)に設定されたモビリティヘッダ(MH)とを有した構成のパケット本体に、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=cに設定されているESPヘッダを付加して、前述のパケット本体をカプセル化した構成になっており、ESPヘッダ以下のカプセル化されたパケット部分は暗号かされて送信される。
図4の3-4は、このRR処理で伝送路2を介してホームエージェント(HA)2-2から通信相手ノード(CN)2-3へ送信される、ホーム試験開始メッセージ(HoTI)である。
ホーム試験開始メッセージ(HoTI)3-4は、上述したホーム試験開始メッセージ(HoTI)3-3に対して、そのカプセル化のために付加されたIPヘッダ及びESPヘッダが削除された前述のパケット本体である。
また、図4の3-6は、このRR処理で通信相手ノード(CN)2-3からホームエージェント(HA)2-2へ伝送路2を介して送信されるホーム試験メッセージ(HoT)である。
ホーム試験メッセージ(HoT)3-6は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)がホーム移動ノード(MN)2-1のホームアドレス(HoA)に設定されたIPヘッダと、ホーム試験メッセージ(HoT)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
図4の3-7は、伝送路1を介してホームエージェント(HA)2-2から通信相手ノード(CN)2-3へ送信されるホーム試験メッセージ(HoT)である。
このホーム試験メッセージ(HoT)3-7は、上述したホーム試験メッセージ(HoT)3-6に、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=cに設定されているESPヘッダを付加して、上述したホーム試験メッセージ(HoT)3-6をカプセル化した構成になっており、ESPヘッダにつづくカプセル化されたパケット部分は暗号化されて送信される。
一方、図4の3-5は、このRR処理でホーム移動ノード(MN)2-1から通信相手ノード(CN)2-3へホームエージェント2-2を経由しない伝送路3を介して送信される立ち寄り試験開始メッセージ(CoTI)である。
立ち寄り試験開始メッセージ(CoTI)3-5は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、立ち寄り試験開始メッセージ(CoTI)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
図4の3-8は、通信相手ノード(CN)2-3からホーム移動ノード(MN)2-1へホームエージェント2-2を経由しない伝送路3を介して送信される立ち寄り試験メッセージ(CoT)である。
立ち寄り試験メッセージ(CoT)3-8は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、立ち寄り試験メッセージ(CoT)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
移動ノード(MN)2-1は、上述した通信相手ノード(CN)2-3との間のホーム試験開始メッセージ(HoTI)及びホーム試験メッセージ(HoT)の送受信、立ち寄り試験開始メッセージ(CoTI)及び立ち寄り試験メッセージ(CoT)の送受信の後、
ホームエージェント2-2を経由しない伝送路3を介して通信相手ノード(CN)2-3に図4に示した位置登録メッセージ(BU)3-9を送信し、通信相手ノード(CN)2-3からの位置登録確認メッセージ(BA)3-10を受信することでその認証結果を確認する。
この位置登録メッセージ(BU)3-9は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホームアドレス(HoA)に設定された宛先オプションヘッダ(Dest Opt Header)と、位置登録メッセージであることを表わすBU(Binding Update)とを有した構成になっている。
また、位置登録確認メッセージ(BA)3-10は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、ホームアドレス(HoA)に設定されたRT2ヘッダと、位置登録確認メッセージであることを表わすBA(Binding Acknowledgement)とを有した構成になっている。
このようにして、移動ノード(MN)2-1とその通信相手ノード(CN)2-3との間で認証が行われ、互いの相手先の位置登録が行われてRR手続きが正常終了すると、移動ノード(MN)2-1は通信相手ノード(CN)2-3に対してバインディング・アップデート・リストを保持し、通信相手ノード(CN)2-3は移動ノード(MN)2-1に対してバインディング・キャッシュ・エントリを保持することになる。
移動ノード(MN)2-1のバインディング・アップデート・リストには、位置登録メッセージ(BU)及び位置登録確認メッセージ(BA)等の情報のうち、ライフタイム(有効時間)や通信相手ノード(CN)2-3のアドレス情報が保存される。
また、通信相手ノード(CN)2-3のバインディング・キャッシュ・エントリには、位置登録(BU)及び位置登録確認メッセージ(BA)等の情報のうち、ライフタイムや移動ノード(MN)2-1のアドレス情報が保存される。
そして、このRR処理後は、移動ノード(MN)2-1と通信相手ノード(CN)2-3は、おのおのバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリの情報に基づき、ホームエージェント(HA)2-2を介することなく、最適な経路、例えば図2中の伝送路3を介して通信を行う。
図5の3-15は、ホーム移動ノード(MN)2-1から通信相手ノード(CN)2-3へホームエージェント2-2を経由しない伝送路3を介して送信されるMN送信パケット(経路最適化後)であり、3-16は、通信相手ノード(CN)2-3からホーム移動ノード(MN)2-1へホームエージェント2-2を経由しない伝送路3を介して送信されるCN送信パケット(経路最適化処理後)である。
MN送信パケット(経路最適化処理後)3-15は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホームアドレス(HoA)に設定された宛先オプションヘッダ(Dest Opt Header)と、ペイロード(Payload)とを有した構成になっている。
CN送信パケット(経路最適化処理後)3-16は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、ホームアドレス(HoA)に設定されたRT2ヘッダ(RT2 Header)と、ペイロード(Payload)とを有した構成になっている。
その後、移動ノード(MN)2-1及び通信相手ノード(CN)2-3は、おのおのバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリのライフタイム値をカウントし、ライフタイム値が無効(=0)となった場合には、それぞれ相手方についてバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリを削除したり、RR処理を再度行う等してその維持をはかる等の処理を行う。
図6は、上述したMobile IPv6における通信確立までの一連のシーケンス図である。
Mobile IPv6では、図6に示すように、ステップS10のホーム登録処理(Home Registration)、ステップS20のホームエージェント(HA)5-2を経由してのユーザ・データ・パケット処理(user data packet)、ステップS30のRR処理を経て、ステップS40の最適化された伝送路3を用いてのユーザ・データ・パケット処理(user data packet)が実行可能になり、通信確立がはかられる。
また、Mobile IPv6では、上記の通信確立手順において、セキュリティを考慮した仕組みが取り入れられている。
移動ノード(MN)2-1とホームエージェント(HA)2-2はMobile IPv6方式の制御メッセージと、移動ノード(MN)2-1と通信相手(CN)2-3が送受信するパケットのうちホームエージェントを介して通信するパケットを、IPsec(Security Architecture for Internet Protocol)によって暗号化して送受信する。これらのパケットは移動ノード(MN)2-1とホームエージェント(HA)2-2の間の伝送路(図2のIPsecトンネル1)において暗号化されて送受信される。
暗号化されるパケットは、移動ノード(MN)2-1とホームエージェント(HA)2-2と送信元アドレス、宛先アドレス、ホームエージェントを介するか否かさらにはIPヘッダにつづくデータのタイプ等のパラメータを基にセキュリティアソシエーション(Security Association:SA)を生成し、セキュリティパラメータインデックス(SPI)で区別する。そのためにセキュリティパラメータインデックス(SPI)によって、送信元アドレス、宛先アドレス、ホームエージェントを介するか否かさらには暗号化されたデータのタイプが識別できることに加え、暗号化/復号化のアルゴリズムや、暗号鍵の確定を行う。
このセキュリティパラメータインデックス(SPI)の値は、
SPI=aは、移動ノード(MN)2-1からホームエージェント(HA)2-2へ送信する位置登録メッセージを識別する値、
SPI=bは、ホームエージェント(HA)2-2から移動ノード(MN)2-1へ送信する位置登録確認メッセージを識別する値、
SPI=cは、移動ノード(MN)2-1からホームエージェント(HA)2-2を経由して通信相手ノード(CN)2-3へパケットを送信するホーム試験開始メッセージを識別する値、
SPI=dは、通信相手ノード(CN)2-3からホームエージェント(HA)2-2を経由して移動ノード(MN)2-1へ送信する、ホーム試験メッセージを識別する値、
SPI=eは、移動ノード(MN)2-1からホームエージェント(HA)2-2を経由して通信相手ノード(CN)2-3へ送信する、移動ノード(MN)2-2から通信相手ノード(CN)2-3へのデータパケットを識別する値、
SPI=fは、通信相手ノード(CN)2-3からホームエージェント(HA)2-2を経由して移動ノード(MN)2-1へ送信する、通信相手ノード(CN)2-3から移動ノード(MN)2-1へのデータパケットを識別する値、
になっている。
Mobile IPv6では、位置登録メッセージ(BU)3-1や位置登録確認メッセージ(BA)3-2のような、移動ノード(MN)2-1とホームエージェント(HA)2-2との間のメッセージの暗号化は、SPI=a,bにそれぞれ対応した暗号化/復号化のアルゴリズムに基づいてトランスポートモードのIPsecで暗号化を行う。トランスポートモードのIPsecでは、IPヘッダを除くメッセージのデータ部分のみを認証や暗号化の対象としており、すなわち位置登録メッセージ(BU)や位置登録確認メッセージ(BA)をあらわすモビリティヘッダ部分のみを暗号化する。
また、ホーム試験開始メッセージ(HoTI)3-3、ホーム試験メッセージ(HoT)3-4、MN送信パケット3-11、CN送信パケット3-14のような、ホームエージェント(HA)2-2を経由した移動ノード(MN)2-1と通信相手ノード(CN)2-3との間のメッセージについて、その移動ノード(MN)2-1又は通信相手ノード(CN)2-3とホームエージェント(HA)2-2との間におけるメッセージの暗号化は、SPI=c,d,e,fにそれぞれ対応した暗号化/復号化のアルゴリズムに基づいて、トンネルモードのIPsecで暗号化を行う。トンネルモードのIPsecでは、移動ノード(MN)2-1と通信相手ノード(CN)2-3が送受信する元の本来のパケット全体を暗号化する。すなわち、ホーム試験開始メッセージ(HoTI)やホーム試験メッセージ(HoT)をあらわすモビリティヘッダ、移動ノード(MN)2-1と通信相手ノード(CN)2-3の送受信データペイロードに加え、移動ノード(MN)2-1と通信相手ノード(CN)で構成されるIPヘッダ部分を含めて暗号化を行う。
このようにして、前記説明したような手順で、移動ノード(MN)2-1は、ネットワークを移動した際にも、通信相手ノード(CN)2-3と通信を継続することができるようになっている。
一方、上述したMobile IPv6により規定されたセキュリティの機能とは別に、ネットワーク間を安全に通信する方式として、仮想専用線すなわちVPN(Virtual Private Network)という技術が広く使われるようになっている。
VPNは、拠点間を仮想的なパスで接続し、通信コストの低減を目的とした技術である。これを実現する技術として、IETFによりVPNの標準プロトコルとしてIPsecが規定されている。
図7は、Mobile IPv6とVPNとを適用したネットワークモデルの一例の構成図である。
ここで、このVPNに係り、Mobile IPv6を適用したサービスモデルを考えた場合、位置管理を行うホームエージェント(HA)5-2を運用するプロバイダ(Internet Service Provider:ISP)が、企業や家庭のネットワーク5-aにおける移動ノード(MN)5-1の移動管理を行うことが想定できる。また、このような場合、移動ノード(MN)5-1は、そのホームエージェント(HA)5-2が接続されるネットワーク5-aと同様な、別の企業や家庭のネットワーク5-c内部の端末すなわち通信相手ノード(CN)5-3を通信相手とする場合が多いと考えられる。
Mobile IPv6の制御メッセージや、ホームエージェント(HA)5-2を介した移動ノード(MN)5-1と通信相手の通信相手ノード(CN)5-3との通信路において、Mobile IPv6の規程では、図2に示したように、移動ノード(MN)2-1とホームエージェント(HA)2-2との間の伝送路1のみがトランスポートモードのIPsecでセキュリティが保持される。
一方、ホームエージェント(HA)5-2を運用するキャリア(プロバイダを含む通信事業者)は、家庭や企業との契約により、ホームエージェント(HA)5-2と家庭や企業のネットワーク5-cの境界のゲートウェイ(GW)5-4との間の伝送路2について、図5に示したようなVPN用のIPsecトンネル3を構築することが想定できる。
ここで、伝送路2に構築されたVPN用のIPsecトンネル3におけるIPsecのセキュリティパラメータインデックス(SPI)の値を、
SPI=iは、ホームエージェント(HA)5-2が通信相手ノード(CN)5-3が属する企業又は家庭のネットワーク5-cの境界に設けられたゲートウェイ(GW)5-4へ転送する全てのメッセージについて、その暗号化/復号化のアルゴリズムや暗号鍵の確定を行うための値、
SPI=jは、通信相手ノード(CN)5-3が属する企業又は家庭のネットワーク5-cの境界に設けられたゲートウェイ(GW)5-4がホームエージェント(HA)5-2へ転送する全てのメッセージについて、その暗号化/復号化のアルゴリズムや暗号鍵の確定を行うための値、
とする。
したがって、移動ノード(MN)5-1とホームエージェント(HA)5-2との間の伝送路1についてのIPsecトンネル1と、ホームエージェント(HA)5-2と家庭や企業のネットワーク5-cの境界のゲートウェイ(GW)5-4との間の伝送路2についてのIPsecトンネル3のVPNとを利用することにより、移動ノード(MN)5-1と通信相手ノード(CN)5-3のホームエージェント(HA)5-2を経由して送受信するメッセージを安全に送受信することができる。
上記のようにMobile IPv6及びVPNを組み合わせただけでは、図6のS30に示す経路最適化処理後のS40に示す移動ノード(MN)5-1と通信相手ノード(CN)5-3の送受信メッセージは暗号化されない。すなわち、経路最適化処理後の図7の伝送路3に流れる送受信メッセージの暗号化は行われない。
IETF "Mobility Support in IPv6",RFC3775.txt IETF "Using IPsec to Protect Mobile IPv6 Signaling between Moblie Nodes and Home Agents"(RFC3776.txt)
Mobile IPv6を利用したネットワークにおいて、移動ノード(MN)がそのホームネットワークとは別のある特定なネットワークに対して頻繁に通信を行うような通信を想定する。この場合、その特定なネットワークとしては、例えば企業のネットワークや家庭のネットワークが想定できる。
また、前述したように、Mobile IPv6において移動管理を行うホームエージェント(HA)を設置して運用し、移動ノード(MN)の移動をサポートするプロバイダ(ISP)が今後出現してくることも、当然に想定される。それは、各企業、家庭のネットワークが小さい場合や運用コストの点から、その他の移動サービスプロバイダであることが十分想定できる。
一方、Mobile IPv6の移動ノード(MN)は、ホームエージェント(HA)を端点としたホームネットワークに対するリンクをホームリンクとするため、移動サービスプロバイダが運用するホームエージェント(HA)の端点のリンクをホームリンクとして、その移動がサポートされるが、実際は、ホームネットワークとは別のある特定のネットワーク内の通信端末、例えば企業又は家庭のネットワーク内の通信端末を通信相手ノード(CN)とする通信が頻繁に行われることになる。その際は、Mobile IPv6の仕組みから、移動ノード(MN)はホームエージェント(HA)を経由して、この特定のネットワークとしての企業又は家庭のネットワークへの通信が頻繁に起こる。そのため、ホームエージェント(HA)とこの特定のネットワークとしての企業又は家庭のネットワークとの間の伝送路を上述したようにVPNで接続するメリットが生じる。
従来例に示したように、Mobile IPv6とVPNとのそれぞれが提供する仕組みを組み合わせることで、移動ノード(MN)と通信相手ノード(CN)はホームエージェント(HA)を経由した送受信パケットに対しては安全な通信をすることができる。さらに、移動ノード(MN)と通信相手ノード(CN)が経路最適化処理後、図7の伝送路3において暗号化通信を行うことを想定する。移動ノード(MN)と通信相手ノード(CN)が図7の伝送路3において暗号化通信を行うためには、移動ノード(MN)と通信相手ノード(CN)との間でセキュリティアソシエーション(Security Association:SA)を生成し、トランスポートモードのIPsecで暗号化を行うことで暗号化通信が実現できる。
例えば、この場合にトランスポートモードのIPsecおけるセキュリティパラメータインデックス(SPI)の値は、
SPI=gは、移動ノード(MN)5-1が通信相手ノード(CN)5-3へ送信するすべての通信メッセージについて、その暗号化/複合化のアルゴリズムや暗号鍵の確定を行う値
SPI=hは、通信相手ノード(CN)5-3が移動ノード(MN)5-1へ送信するすべての通信メッセージについて、その暗号化/複合化のアルゴリズムや暗号鍵の確定を行う値
これにより、移動ノード(MN)5-1と通信相手ノード(CN)5-3は、経路最適化処理後、図7の伝送路3上でIPsecトンネル2に示すように暗号化通信を行うことができる。
しかしながら、上記のセキュリティアソシエーション(Security Association:SA)の生成は、経路最適化処理が行われたか否かを判断して生成されていない。そのため、移動ノード(MN)5-1と通信相手ノード(CN)5-3が経路最適化以前のホームエージェント(HA)5-2を経由した通信を行っている場合でも、上記SAに対する暗号化が行われる。その際にはIPsecトンネル2は図7に示すように伝送路1のIPsecトンネル1の内側及び伝送路2のIPsecトンネル3の内側を通り、移動ノード(MN)5-1と通信相手ノード(CN)5-3の間で示される。
それぞれをそのまま適用すると、経路最適化以前の通信において冗長な暗号化処理が生じるという問題点がある。ホームエージェント(HA)5-2を経由した通信は、すでにIPsecトンネル1とIPsecトンネル3(VPN)により安全な通信が行われているにもかかわらず、さらにIPsecトンネル2のための暗号化処理を行うためである。この問題点について、図6〜図10に基づき説明する。
図8〜図10は、図7に示したMobile IPv6とVPNとを適用したネットワークモデルの一例のパケットフォーマットを示した図である。
図7に示したように、本例のネットワークモデルは、移動ノード(MN)5-1のネットワーク間の移動をサポートするプロバイダ(ISP)のネットワーク5-a内にホームエージェント(HA)5-2が設置され、移動ノード(MN)5-1が頻繁に通信を行う別の特定のネットワーク5-cとホームエージェント(HA)5-2との間は、VPNで接続されている構成になっている。
移動ノード(MN)5-1は、Mobile IPv6の仕組みに従い、外部ネットワーク5-bへ移動時に、ホームエージェント(HA)5-2との間で、図8に示した位置登録メッセージ(BU)6-1及び位置登録確認メッセージ(BU)6-2の送受信を行って、図6のステップS10に示した位置登録処理を行う。
その際に、移動ノード(MN)5-1が送受信する位置登録(BU)及び位置登録確認(BA)の各メッセージ6-1,6-2は、移動ノード(MN)5-1とホームエージェント(HA)5-2との間のトランスポートモードのIPsecで、セキュリティパラメータインデックスSPI=a,SPI=bによって暗号化されて、その送受信が安全に行われるようになっている。
その後、移動ノード(MN)5-1が特定のネットワーク5-cに接続された通信相手ノード(CN)5-3と通信をするとき、移動ノード(MN)5-1は、ホームエージェント(HA)5-2経由の通信相手ノード(CN)5-3へのメッセージをIPsecで規定されるセキュリティパラメータインデックス(SPI)に基づき暗号化して、ホームエージェント(HA)5-2経由で送信する(図6のステップS20)。
すなわち、まず移動ノード(MN)5-1は通信相手ノード(CN)5-3へのメッセージをIPsecトンネル2へ通すため、SPI=gで暗号化する。このメッセージはホームエージェントを経由して送信されるため、送信元アドレスが移動先アドレスで送信先がホームエージェントのアドレスアドレスとしたIPヘッダによりカプセル化され、カプセル化された本来のパケットはSPI=eで暗号化され(図10の6-11)、伝送路1上を流れる。
上記パケットを受信したホームエージェント(HA)5-2は、SPI=eにより複合化し、本来のSPI=gで暗号化された移動ノード(MN)5-1から通信相手ノード(CN)5-3へパケットを、IPsecトンネル3(VPN)によりゲートウェイ(GW)5-4へ送信する。ホームエージェントが送信する際には、送信元をホームエージェント(HA)5-2で送信先がゲートウェイ(GW)5-4としたIPヘッダによりカプセル化され、カプセル化された本来のパケットはSPI=iで暗号化され(図10の6-12)、伝送路2を流れる。
上記パケットを受信したゲートウェイは(GW)5-4は、SPI=iにより複合化を行い、通信相手ノードへのパケットを通信相手ノード(CN)5-3へルーティングする。
上記パケットを受信した通信相手ノードは、SPI=gで複合化を行い、移動ノード(MN)5-1からのパケットを受信する。
同様にして、通信相手ノード(CN)5-3から移動ノード(MN)5-4へのパケットはIPsecに規程されるセキュリティパラメータインデックス(SPI)に基づき暗号化して、ホームエージェント(HA)5-2経由で送信する(図5のステップS20)。
すなわち、まず通信相手ノード(CN)5-3は移動ノード(MN)5-1はへのメッセージをSPI=hで暗号化して送信する。ゲートウェイ(GW)5-4は、パケットの転送をIPsecトンネル3(VPN)へするため、送信元アドレスをゲートウェイ(GW)5-4で送信先アドレスがホームエージェント(HA)5-2としたIPヘッダで、通信相手ノード(CN)5-3が送信したパケットをカプセル化し、カプセル化したパケットはSPI=jで暗号化して(図10の6-12)、伝送路2を流れる。
上記パケットを受信したホームエージェント(HA)5-2は、SPI=jで複合化を行い、本来のSPI=hで暗号化された通信相手ノード(CN)5-3から移動ノード(MN)5-1へのパケットを、IPsecトンネル1を通して移動ノード(MN)5-1へ送信する。ホームエージェントが送信する際には、送信元をホームエージェント(HA)5-2で送信先が移動ノード(MN)5-1としたIPヘッダによりカプセル化され、カプセル化された本来のパケットはSPI=fで暗号かされ(図10の6-14)、伝送路1を流れる。
上記パケットを受信した移動ノード(MN)5-1は、まずSPI=fで複合化を行い、SPI=hで暗号化された通信相手ノード(CN)5-3からのパケットを得る。さらに、SPI=hで複合化を行い、通信相手ノード(CN)からのパケットを受信する。
その後、移動ノード(MN)5-1と通信相手ノード(CN)5-3との間で、図6のステップS30で表わしたRR処理が行われ、経路最適化された通信が行われる。
このRR手順で送受信されるパケットを、図9のホーム試験開始メッセージ(HoTI)6-3,6-4、立ち寄り試験開始メッセージ(CoTI)6-5、ホーム試験メッセージ(HoT)6-6,6-7、立ち寄り試験メッセージ(CoTI)6-8に示す。
この場合、移動ノード(MN)5-1が通信相手ノード(CN)5-3へ送信するホーム試験開始メッセージは、IPSecトンネル2へ送信するためセキュリティパラメータインデックスSPI=gで暗号化され、ホームエージェント(HA)5-2を経由して送信される。上記パケットは、伝送路1においては、IPsecトンネル1をとおるため、セキュリティパラメータインデックスSPI=Cで暗号化されカプセル化される(図9の6-3)。伝送路2では、IPsecトンネル3のVPNのセキュリティパラメータインデックスSPI=iによって暗号化が行われる(図9の6-4)。
また、、通信相手ノード(CN)5-3が移動ノード(MN)5-1へ送信するホーム試験メッセージは、IPsecトンネル2へ送信するためセキュリティパラメータインデックスSPI=hで暗号化され、ホームエージェント(HA)5-2を経由して送信される。上記パケットは、伝送路2では、IPsecトンネル3のVPNのセキュリティパラメータインデックスSPI=jによって暗号化が行われる(図9の6-6)。伝送路1においては、IPsecトンネル1をとおるため、セキュリティパラメータインデックスSPI=dで暗号化されカプセル化される(図9の6-7)。
さらにRR手順の最後に、移動ノード(MN)5-1と通信相手ノード(CN)は位置登録メッセージと位置登録確認メッセージを送受信する。位置登録メッセージはセキュリティパラメータインデックスSPI=gにより暗号化され(図9の6-9)、伝送路3へ送信される。また、位置登録家訓メッセージは、セキュリティパラメータインデックスSPI=hにより暗号化され(図9の6-9)、伝送路3へ送信される。
そして、このRR処理で経路最適化された後の図6のステップS40で表わしたユーザ・データ・パケット処理では、移動ノード(MN)5-1からゲートウェイ(GW)5-4への送信パケット、及びゲートウェイ(GW)5-4から移動ノード(MN)5-1への送信パケットは、前述したIPsecトンネル2のセキュリティパラメータインデックスSPI=g,SPI=hでそれぞれ暗号化され、図10に示したMN送信パケット6-15及びCN送信パケット6-16のようになっている。
上述したように、ステップS30で表わしたRR処理が行われる以前のホームエージェント(HA)5-2経由の通信において、移動ノード(MN)5-1及び通信相手ノード(CN)5-3それぞれからの暗号化されたパケットのIPSecトンネル2は、さらに2つの暗号化されたトンネルを経由してネットワーク2-bとネットワーク2-cとの間で送受信が行われる。
この2つのトンネルの中の一つは、移動ノード(MN)5-1とホームエージェント(HA)5-2との間のIPsecトンネル1であり、もう一つは、ホームエージェント(HA)5-2とゲートウェイ(GW)5-4の間のIPsecトンネル3のVPNである。
そして、この2つの暗号化されたトンネルのうち、ホームエージェント(HA)5-2とゲートウェイ(GW)5-4の間のIPsecトンネル3のVPNについては、1つのホームエージェント(HA)5-2に対して複数の移動ノード(MN)5-1が存在することを想定した場合は、ホームエージェント(HA)5-2とゲートウェイ(GW)5-4との間のトラヒックは増大するため、ホームエージェント(HA)5-2とゲートウェイ(GW)5-4の間にVPNが採用されていることは暗号化処理低減においても意味がある。
また、移動ノード(MN)5-1とホームエージェント(HA)5-2との間の暗号化トンネルのIPsecトンネル1については、Mobile IPv6の仕組みで提供されるトンネルであり、処理的な冗長部分とはならない。
これに対して、ステップS30で表わしたRR処理が行われた後に、移動ノード(MN)5-1と通信相手ノード(CN)5-3との間のIPsecトンネル2による暗号化処理については、RR処理後の安全な通信のために移動ノード(MN)5-1と通信相手ノード(CN)5-3との間の暗号化処理には十分意味があるが、そのメッセージがホームエージェント(HA)5-2を経由する場合、安全性は2つのトンネルIPsecトンネル1,3によって十分確保されるため、冗長な処理となる。
しかしながら、現在のMobileIPv6の仕組みでは、経路最適化を判別し、移動ノード5-1と通信相手ノード5-3との間の暗号化を行う仕組みがない。
本発明は、上記問題点を鑑みてなされたものであって、ネットワーク間を移動しながら位置管理装置によって位置管理されて通信を継続する移動通信装置とその通信相手方の通信装置とが暗号化通信を行う際に、通信経路にしたがって冗長な暗合化処理を削減しながら最適な暗号化処理を行うことによって、安全かつ処理負荷の軽減をはかった暗号化処理を行うことができる移動通信装置並びにその通信相手方の通信装置、及びこの通信相手方のネットワークのゲートウェイ装置を提供することを目的とする。
上記問題点を解決するために、本発明の通信装置は、ネットワーク間を移動可能な移動通信装置を位置管理する位置管理装置が接続されるネットワークを含む複数のネットワークが相互接続された通信環境で、当該移動通信装置と当該移動通信装置の前記位置管理装置が接続されるネットワークとは別のネットワークに接続される相手先通信装置との間の通信が、前記位置管理装置を経由する経路と前記位置管理装置を経由しない最適経路との複数の通信経路を介して行われる通信システムの、移動側又は相手先として適用される通信装置であって、前記位置管理装置を経由する経路で通信相手方と通信を行う場合には、送受信データを暗号化処理して通信せず、前記位置管理装置を経由しない経路で通信相手方と通信を行う場合には、送受信データを暗号化処理して通信する通信処理手段を備えていることを特徴とする。
また、本発明のゲートウェイ装置は、ネットワーク間を移動可能な移動通信装置を位置管理する位置管理装置が接続されるネットワークを含む複数のネットワークが相互接続された通信環境で、当該移動通信装置と当該移動通信装置の前記位置管理装置が接続されるネットワークとは別のネットワークに接続される相手先通信装置との間の通信が、前記位置管理装置を経由する経路と前記位置管理装置を経由しない最適経路との複数の通信経路を介して行われる通信システムの、前記相手先通信装置が接続されるネットワークに設けられるゲートウェイ装置であって、前記位置管理装置を経由する経路で通信相手方と通信を行う場合には、前記移動通信装置との間で送受信データを暗号化処理して通信せず、前記位置管理装置を経由しない経路で通信を行う場合には、前記移動通信装置との間で送受信データを暗号化処理して通信する通信処理手段を備えていることを特徴とする。
本発明によれば、移動通信装置と相手方通信装置との通信において、移動管理を行う位置管理装置を経由して通信する経路と経路最適化された経路の2種類の経路とを切り替えることにより、移動通信装置と相手方通信装置との間で行われる通信データの暗号化の有無を決定し、暗号化/復号化する。
位置管理装置を経由した通信の場合には、移動通信装置及び相手方通信装置は二者の暗号化処理は行わず、移動通信装置と位置管理装置との間の暗号化された経路と位置管理装置と相手方通信装置の接続するネットワークの間のVPNを利用して安全に通信する。
経路最適化された通信を行う場合には、移動通信装置及び相手方通信装置は二者の暗号化処理を行い、安全な通信を行う。
以上により、位置管理装置経由の通信の際の不必要な暗号化処理を行わずに済むことで移動通信装置及び相手方通信装置は処理負荷が軽減されるとともに、移動通信装置と位置管理装置との間、及び位置管理装置と相手方通信装置の接続するネットワーク間の伝送路におけるトラヒックを軽減することができる。
本発明の一実施形態としての移動通信装置(移動ノード(MN))、相手先通信装置(通信相手ノード(CN))、及びゲートウェイ装置(ゲートウェイ(GW))について、図面に基づき説明する。その説明にあたっては、図1に示すようなMobile IPv6にVPNを適用したネットワークモデルを基に説明する。
図1は、本発明の一実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの一例の構成図である。
図1に示したネットワークモデルは、複数のネットワーク1-a,1-b,1-cが上位ネットワークとしてのインターネットを介して相互接続された構成になっており、移動ノード(MN)1-1のネットワーク間の移動をサポートするプロバイダ(ISP)のネットワーク1-a内にホームエージェント(HA)1-2が設置され、移動ノード(MN)1-1が頻繁に通信を行うネットワーク1-cのゲートウェイ(GW)1-4とホームエージェント(HA)1-2との間はVPN接続されている構成の、Mobile IPv6にVPNを適用したモデルを想定している。
そして、移動ノード(MN)1-1は、複数のネットワーク1-a,1-b間を移動自在に構成されている。また、ネットワーク1-aには、この移動ノード(MN)1-1のホームネットワーク1-aとして、移動ノード(MN)1-1の移動管理を行うホームエージェント(HA)1-2が接続されている。
本実施の形態では、この移動ノード(MN)1-1が外部ネットワーク1-bに移動した際、ネットワーク1-cに接続された通信相手ノード(CN)1-3と通信する場合を例に、説明する。
図16は、図1に示したネットワークモデルにおける移動ノード(MN)の一実施の形態の構成図である。
本実施の形態では、移動ノード(MN)1-1は、TCP/IPモジュール12、Mobile IPv6モジュール13、IPsecモジュール14、通信インターフェース15を備えた可搬の計算機装置11によって構成されている。
各部について説明すると、TCP/IPモジュール12は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール13は、移動に関わる処理を行い、位置やRR処理の状態を管理し、ホームエージェント(HA)1-2や通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持する構成になっている。
図19は、バインディング・アップデート・リストの構成説明図である。
バインディング・アップデート・リスト16には、ホームエージェント(HA)1-2や通信相手ノード(CN)1-3といった通信相手のアドレスやライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール14は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIの値に対応する暗号化モード、暗号化方式、鍵を、図20に示すような暗号化データベース17として保持し、暗号化及び復号化処理を行う構成になっている。
図20は、暗号化データベースの構成説明図である。
暗号化データベース17には、セキュリティパラメータインデックス(SPI)それぞれに対して、送信元(SRC)のアドレス、送信先(DST)のアドレス、IPsecのモード、暗号化/復号化のためのプロトコル、暗号鍵が保持されている。
通信インターフェース15は、接続するネットワークとのデータの送受信部で、図1に示した状態では外部ネットワーク1-bに備えられたルータ(R)と接続されている状態になっている。
図17は、図1に示したネットワークモデルにおけるホームエージェント(HA)の一実施の形態の構成図である。
本実施の形態では、ホームエージェント(HA)1-2は、TCP/IPモジュール22、Mobile IPv6モジュール23、IPsecモジュール24、通信インターフェース25を備えた固定の計算機装置21によって構成されている。
TCP/IPモジュール22は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール23は、移動ノード(MN)1-1の位置管理を行い、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ26を保持する。
図21は、バインディング・キャッシュ・エントリの構成説明図である。
バインディング・キャッシュ・エントリ26には、移動ノード(MN)1-1のホームアドレス(HoA)に対して、移動先アドレス(立ち寄り先アドレス(CoA))やライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール24は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIに対する暗号化モード、暗号化方式、鍵を、図20に示した暗号化データベース17と同様な構成の暗号化データベース27として保持し、暗号化及び復号化処理を行う。
通信インターフェース25は、接続するネットワークとのデータの送受信部である。
図18は、図1に示したネットワークモデルにおける通信相手ノード(CN)の一実施の形態の構成図である。
通信相手ノード(CN)1-3は、TCP/IPモジュール32、Mobile IPv6モジュール33、IPsecモジュール34、通信インターフェース35を持つ固定の計算機装置31によって構成されている。
TCP/IPモジュール32は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール33は、通信相手の移動に係わる処理を行い、図21に示したバインディング・キャッシュ・エントリ26と同様な移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ36を保持することで移動ノード(MN)1-1の位置を把握する。
バインディング・キャッシュ・エントリ36には、移動ノード(MN)1-1のホームアドレス(HoA)に対して、移動先アドレス(立ち寄り先アドレス(CoA))やライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール34は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIに対する暗号化モード、暗号化方式、鍵を、図20に示した暗号化データベース17と同様な暗号化データベース37として保持し、暗号化及び復号化処理を行う。
通信インターフェース35は、接続するネットワークとのデータの送受信部である。
次に、上述した構成からなる移動ノード(MN)1-1、通信相手ノード(CN)1-3のそれぞれ機能について説明する。
移動ノード(MN)1-1は、Mobile IPv6の仕組みが提供するホームエージェント(HA)1-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
移動ノード(MN)1-1は、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間での通信データの暗号化/復号化を行うか否かを、パケット送受信時に以下の手順で判断する。
手順01)
移動ノード(MN)1-1は、外部ネットワーク1-bに移動した状態で通信相手になる通信相手ノード(CN)1-3のアドレスリストを有し、送信するパケットの宛先(DST)のアドレス又は受信したパケット送信元(SRC)のアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信したパケットの宛先(DST)又は受信した受信送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)1-1と通信相手ノード(CN)1-3が最適な経路でパケットを送受信する状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=g)、又は受信して復号化したりする(SPI=h)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=g,SPI=hで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 移動ノード(MN)1-1は、通信相手ノード(CN)のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス、又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 移動ノード(MN)1-1は、通信相手ノード(CN)のIPv6アドレスプレフィックスのリストを持ち、送信パケットの宛先(DST)のIPv6アドレス、又は受信パケットの送信元(SRC)のIPv6アドレスのプレフィックス部分と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、移動ノード(MN)1-1は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 通信相手ノード(CN)1-3とのRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を送信している場合(後述の図12の位置登録メッセージ(BU)7-9が対応)。
・ パケット処理部が経路最適化している場合のパケット、具体的には、IPヘッダの送信元(SRC)のアドレスを移動先(外部ネットワーク1-b)で取得した立ち寄りアドレス(CoA)とし、送信先(DST)のアドレスを通信相手ノード(CN)1-3のアドレスとした上で、そのIPヘッダの後にデスティネーション・オプション・ヘッダ(Dest Opt Header)が付与されているパケットを生成している場合(後述の図12の位置登録メッセージ(BU)7-9、図13のMN送信パケット7-15が対応)。
・ 通信相手ノード(CN)1-3に対するバインディング・アップデート・リストのライフタイム値が有効値(0以上)である場合。
これに対し、移動ノード(MN)1-1は、最適経路通信可能な状態できないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 図6のステップS10に示したホームエージェント(HA)1-2に対しての位置登録処理後、通信相手ノード(CN)1-3とのステップS30に示したRR手順が未処理である場合。
・ パケット処理部がホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 通信相手ノード(CN)1-3に対するバインディング・アップデート・リストがない場合。
・ 通信相手ノード(CN)に対するバインディング・アップデート・リストのライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダとしては、次のようなパケットヘッダが該当する。
・・ IPヘッダの送信元(SRC)のアドレスが移動ノード(MN)1-1のホームアドレス(HoA)で、送信先(DST)のアドレスが通信相手ノード(CN)1-3のアドレスであるパケット(例えば、後述の図12のホーム試験開始メッセージ7-3,7-4や図13のMN送信パケット7-11中にカプセルリングされるパケットが対応)。
・・ IPヘッダの送信元(SRC)のアドレスが移動ノード(MN)1-1の移動先アドレス(CoA)で、送信先(DST)のアドレスがホームエージェント(HA)1-2のアドレスのIPヘッダでカプセリングしている場合(例えば、図9のホーム試験開始メッセージ6-3や図10のMN送信パケット6-11、後述の図12のホーム試験開始メッセージ7-3や図13のMN送信パケット7-11)。
そして、上記した手順1に適合しない場合は、移動ノード(MN)1-1は、通信相手ノード(CN)1-3は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
同様に、通信相手ノード(CN)1-3も、Mobile IPv6の仕組みが提供するホームエージェント(HA)1-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間での通信データの暗号化を行うか否かを、パケット送受信で以下の手順で判断する。
手順01)
通信相手ノード(CN)1-3は、本機能を使用する移動ノード(MN)1-1のアドレスリストを持ち、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元SRCのアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信パケットの宛先(DST)又は受信パケットの送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)1-1と通信相手ノード(CN)1-3が最適な経路でパケットを送受信できる状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=h)、又は受信して復号化したりする(SPI=g)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=h,SPI=gで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 通信相手ノード(CN)1-3は、移動ノード(MN)1-1のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス、又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 通信相手ノード(CN)1-3は、移動ノード(MN)1-1のIPv6アドレスプレフィックスのリストを持ち、送信パケットの宛先(DST)のIPv6アドレス、又は受信パケットの送信元(SRC)のIPv6アドレスのプレフィックス部分(前半64ビット部分のネットワークID部分)と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、通信相手ノード(CN)1-3は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 移動ノード(MN)1-1とのRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を受信している場合(後述の図12の位置登録確認メッセージ(BU)7-9が対応)。
・ 移動ノード(MN)1-1とのRR手順の最終段階の位置登録確認メッセージ(BA)を送信している場合(後述の図12の位置登録確認メッセージ(BA)7-10が対応)。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合、具体的には、IPヘッダの送信元(SRC)のアドレスが通信相手ノード(CN)1-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)1-1の移動先アドレスCoAのIPヘッダで、IPヘッダのあとにルーティング・オプション・タイプ2ヘッダRT2が付与されている場合(後述の図12の位置登録確認メッセージ(BU)7-10、図13のCN送信パケット7-16が対応)。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリのライフタイム値が有効値(0以上)である場合。
これに対し、通信相手ノード(CN)1-3は、最適経路通信可能な状態できないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ パケット処理部がホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリがない場合。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリのライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ 送信元(SRC)のアドレスが通信相手ノード(CN)1-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)1-1のホームアドレス(HoA)のIPヘッダのパケット(図13の7-13?)
・・ IPヘッダの後にルーティング・オプション・タイプ2ヘッダが付与されていない場合のパケット(図13の7-13?)
そして、上記した手順1に適合しない場合は、通信相手ノード(CN)1-3は、移動ノード(MN)1-1は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
次に、上述した機能をそれぞれ有する移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の通信確立について説明する。
ここでは、外部ネットワーク1-bに移動した移動ノード(MN)1-1が、ネットワーク1-cに接続された通信相手ノード(CN)1-3との間で、通信確立するまでの一連のシーケンスについて、図1、図6、図11〜図13、図16〜図21を参考に、図面に基づき説明する。
図11〜図13は、本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。
説明にあたって、移動ノード(MN)1-1は、ホームリンク1-aへルーティングされる一意のホームアドレス(HoA)を有し、前述したように外部ネットワーク1-bに移動した状態になっているものとする。
移動ノード(MN)1-1は、この移動先のネットワーク1-b内で、ネットワーク1-b内のアドレス(立ち寄り先アドレス(CoA))を位置情報として取得し、ホームエージェント(HA)1-2に対して、図6のステップS10に示したホーム登録処理の実行に基づく位置登録を行う。
この位置登録の手続きは、MobileI IPv6で規定される位置登録メッセージ(BU),位置登録確認メッセージ(BA)を、伝送路1のIPsecトンネル1を介して、ホームエージェント(HA)1-2との間で交換することによって行われる。
移動ノード(MN)1-1とホームエージェント(HA)1-2との間にはトランスポートモードのIPsecによるセキュリティアソシエーション(SA)が生成され、位置登録メッセージ(BU),位置登録確認メッセージ(BA)は、セキュリティパラメータインデックス(SPI)のSPI=a,SPI=bに基づき暗号化され、識別される。
この位置登録メッセージ(BU),位置登録確認メッセージ(BA)それぞれのパケットフォーマットは、図11の7-1,7-2に示した構成になっている。
移動ノード(MN)1-1は、ホームエージェント(HA)1-2との間でステップS10に示したホーム登録処理の実行に基づく位置登録を終了すると、ホームエージェント(HA)5-2を経由して通信相手ノード(CN)1-3との間で、図6のステップS20に示したユーザ・データ・パケット処理を実行する。
ここで、図1に示したネットワークモデルにおいては、ホームエージェント(HA)1-2と、通信相手ノード(CN)1-3が接続されているネットワーク1-cの境界のゲートウェイ(GW)1-4との間の伝送路2は、IPsecトンネル3のVPNで接続されている。これにより、ホームエージェント(HA)1-2とゲートウェイ(GW)1-4との間には、トンネルモードのIPsecによるセキュリティアソシエーション(SA)が生成され、ゲートウェイ(GW)1-4及びホームエージェント(HA)1-2を経由して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で送受信するパケットは、伝送路2において、セキュリティパラメータインデックス(SPI)のSPI=i又はSPI=jに基づき暗号化される。
図6のステップS20に示したユーザ・データ・パケット処理において、移動ノード(MN)1-1は、通信相手ノード(CN)1-3へ送信するパケットを、ホームエージェント(HA)1-2経由で送信する。
本実施の形態では、このユーザ・データ・パケット処理の際に、移動ノード(MN)1-1がホームエージェント(HA)1-2を経由して通信相手ノード(CN)1-3に送信するパケット、及び通信相手ノード(CN)1-3がホームエージェント(HA)1-2を経由して移動ノード(MN)1-1に送信するパケットは、図13の7-11,7-12、7-13,7-14に示すようなパケットフォーマットになっている。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3に送信するパケットを、ホームエージェント(HA)1-2を経由して送信する。移動ノード(MN)1-1からの送信パケットは、移動ノード(MN)1-1とホームエージェント(HA)1-2との間に生成されたトランスポートモードのIPsecによるセキュリティアソシエーション(SA)によりセキュリティパラメータインデックス(SPI)のSPI=eに基づき暗号化され、MN送信パケット7-11に示すパケットフォーマットで、ホームエージェント(HA)1-2に送信される。
ホームエージェント(HA)1-2は、このMN送信パケット7-11の受信を、その受信パケットのセキュリティパラメータインデックス(SPI)がSPI=eになっていることで識別する。そして、ホームエージェント(HA)1-2は、この受信したこのMN送信パケット7-11を、識別したセキュリティパラメータインデックス(SPI)のSPI=eで復号化し、これを通信相手ノード(CN)1-3に送信するために、通信相手ノード(CN)1-3が接続されているネットワーク1-cのゲートウェイ(GW)1-4に送信するためのMN送信パケットを生成する。
その生成にあたっては、ホームエージェント(HA)1-2と通信相手ノード(CN)1-3が接続されているネットワーク1-cとはIPsecトンネル3のVPNによって接続され、ホームエージェント(HA)1-2とネットワーク1-cのゲートウェイ(GW)1-4との間の伝送路2には、トンネルモードのIPsecによるセキュリティアソシエーション(SA)が生成されているため、ホームエージェント(HA)1-2は、復号化した通信相手ノード(CN)1-3へのMN送信パケットを、このセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=iで暗号化して生成する。
そして、ホームエージェント(HA)1-2は、この生成したMN送信パケット7-11をネットワーク1-cのゲートウェイ(GW)1-4に送信する。
ゲートウェイ(GW)1-4は、このホームエージェント(HA)1-2から送信されたMN送信パケット7-12のセキュリティパラメータインデックス(SPI)のSPI=iを識別し、その暗号化を解いて、移動ノード(MN)1-1からの送信パケットを通信相手ノード(CN)5-3に届ける。
これに対し、通信相手ノード(CN)5-3は、移動ノード(MN)1-1へ送信するパケットを、通常のIPパケットでゲートウェイ(GW)1-4に送信する。
ゲートウェイ(GW)1-4は、この通信相手ノード(CN)1-3から移動ノード(MN)1-1への送信パケットを、伝送路2のIPsecトンネル3のVPNに基づくセキュリティパラメータインデックス(SPI)のSPI=jで暗号化して、ホームエージェント(HA)1-2宛のCN送信パケット7-13を生成する。
そして、ゲートウェイ(GW)1-4は、この生成したCN送信パケット7-13をホームエージェント(HA)1-2に送信する。
ホームエージェント(HA)1-2は、このゲートウェイ(GW)1-4から受信したパケットのセキュリティパラメータインデックス(SPI)のSPI=jを識別し、通信相手ノード(CN)5-3からの移動ノード(MN)1-1へのCN送信パケット7-13をセキュリティパラメータインデックス(SPI)のSPI=jで復号化し、これを移動ノード(MN)1-1に送信するためのCN送信パケットに生成する。
その生成にあたっては、ホームエージェント(HA)1-2と移動ノード(MN)1-1との間の伝送路1には、トランスポートモードのIPsecによるセキュリティアソシエーション(SA)が生成されているため、ホームエージェント(HA)1-2は、復号化した通信相手ノード(CN)1-3へのCN送信パケットを、このセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=fで暗号化して生成する。そして、ホームエージェント(HA)1-2は、この生成したCN送信パケット7-14を移動ノード(MN)1-1に送信する。
移動ノード(MN)1-1は、このホームエージェント(HA)1-2から送信されたCN送信パケット7-14のセキュリティパラメータインデックス(SPI)のSPI=fを識別し、その暗号化を解いて、通信相手ノード(CN)1-3からのCN送信パケットを受信する。
そして、この一連のシーケンスにおいて、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3との図6のステップS30に示した経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによるセキュリティパラメータインデックス(SPI)のSPI=での暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3のと間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3のと間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
そして、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持していないこと、又はRR手順の最終ステップで送信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9が未送信であることから判断している。
これに対して、この一連のシーケンスにおいて、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレスと、移動ノード(MN)1-1との図6のステップS30に示した経路最適化手順(RR手順)が終了していないことにより、移動ノード(CN)1-3と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のネットワークプリフィックスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレス、移動ノード(MN)1-1へのパケットをルーティング・オプション・ヘッダを付加しない通常のIPパケットフォーマットで送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1が、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをルーティング・オプション・ヘッダを付加しない通常のIPパケットフォーマットで送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
そして、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリを保持していないこと、又はRR手順の最終ステップで受信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9が未受信であることから判断している。
上述したようにして、移動ノード(MN)1-1と通信相手ノード(CN)1-3とが、ホームエージェント(HA)1-2経由で通信を行えた際、移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、図6のステップS30に示した経路最適化手順(RR手順)を行う。
この経路最適化手順(RR手順)は、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で、次のようにして行われる。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3へホーム試験開始メッセージ(HoTI)7-3をホームエージェント(HA)1-2を介して送信する。その際、移動ノード(MN)1-1は、通信相手ノード(CN)1-3へ、移動ノード(MN)1-1とホームエージェント(HA)1-2との間のトンネルモードのIPsecにより生成されるセキュリティパラメータインデックスSPI=cで暗号化されたホーム試験開始メッセージ(HoTI)7-3を送信する。
ホームエージェント(HA)1-2は、受信パケットをセキュリティパラメータインデックスSPI=cで識別し復号化した後、仮想専用線VPNを経由して、ゲートウェイ(GW)1-4へ送信する。その際、送信パケットは、セキュリティパラメータインデックスSPI=iで暗号化され、ホーム試験開始メッセージ(HoTI)7-3の如くのパケットフォーマットで、ゲートウェイ(GW)1-4送信される。
パケットを受信したゲートウェイ(GW)1-4は、受信パケットがホーム試験開始メッセージ(HoTI)7-3であることをそのセキュリティパラメータインデックスSPI=iで識別し、復号化して通信相手ノード(CN)1-3へ送信することで、通信相手ノード(CN)1-3は移動ノード(MN)1-1の送信するホーム試験開始メッセージ(HoTI)を受信する。
また、移動ノード(MN)1-1は、ホームエージェント(HA)1-2を介することなく、立ち寄り試験開始メッセージ(CoTI)7-5を、通信相手ノード(CN)1-3へ送信する。この立ち寄り試験開始メッセージ(CoTI)7-5は、そのまま通信相手ノード(CN)1-3まで到達する。
通信相手ノード(CN)1-3は、ホーム試験開始メッセージ(HoTI)の受信後、移動ノード(MN)1-1へホームエージェント(HA)1-2を介してホーム試験メッセージ(HoT)を送信する。
通信相手ノード(CN)1-3が送信したホーム試験メッセージ(HoT)の送信パケットを、ゲートウェイ(GW)1-4は仮想専用線VPNを介してホームエージェント(HA)1-2へ送信する。その際、送信メッセージは、セキュリティパラメータインデックスSPI=jで暗号化され、その送信パケットは、ホーム試験メッセージ(HoT)7-6で示した如くのパケットフォーマットで、ホームエージェント(HA)1-2に送信される。
ホームエージェント(HA)1-2は、受信パケットがホーム試験メッセージ(HoT)7-6であることをセキュリティパラメータインデックスSPI=jで識別し、復号化後、移動ノード(MN)1-1とホームエージェント(HA)1-2と間のトンネルモードのIPsecにより生成されるセキュリティパラメータインデックスSPI=dで暗号化して、移動ノード(MN)1-1に、ホーム試験メッセージ(HoT)7-7で示した如くのパケットフォーマットで送信する。
移動ノード(MN)1-1は、受信パケットがホーム試験メッセージ(HoT)7-7であることをそのセキュリティパラメータインデックスSPI=dで識別し、復号化することで、通信相手ノード(CN)1-3からのホーム試験メッセージ(HoT)を受信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1へホームエージェント(HA)1-2を介すことなく立ち寄り試験メッセージ(CoT)7-8を送信する。この立ち寄り試験メッセージ(CoT)7-8は、そのまま移動ノード(MN)1-1まで到達する。
移動ノード(MN)1-1は、ホーム試験メッセージ(HoT)7-7、立ち寄り試験メッセージ(CoT)7-8の受信後、通信相手ノード(CN)1-3にRR処理(経路最適化処理)完了を示す位置登録メッセージ(BU)7-9を送信する。この位置登録メッセージ(BU)7-9は、そのまま通信相手ノード(CN)1-3まで到達する。
移動ノード(MN)1-1は、位置登録メッセージ(BU)7-9の送信後、通信相手ノード(CN)1-3のアドレスで識別されるバインディング・アップデート・リスト16を保持する。さらに、移動ノード(MN)1-1は、位置登録メッセージ(BU)7-9内に含まれるライフタイムをカウントしながら維持する。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1からの位置登録メッセージ(BU)7-9の受信後、この位置登録メッセージ(BU)内に含まれる情報により確認を求められる場合には、移動ノード(MN)1-1へ位置登録確認メッセージ(BA)7-10を送信する。この位置登録確認メッセージ(BA)7-10は、そのまま移動ノード(MN)1-1まで到達する。
通信相手ノード(CN)1-3は、この位置登録メッセージ(BA)7-10の受信後、移動ノード(MN)1-1のアドレスで識別されるバインディング・キャッシュ・エントリ36を保持する。さらに、通信相手ノード(CN)1-3は、位置登録メッセージ(BU)内に含まれるライフタイムをカウントしながら維持する。
移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、バインディング・アップデート・リスト16及びバインディング・キャッシュ・エントリ36のライフタイムを維持することで、最適経路(伝送路3)で通信をし続ける。
移動ノード(MN)1-1又は通信相手ノード(CN)1-3は、保持されている双方相手方のライフタイムが期限切れした場合、又はライフタイム更新を望む場合には、上記説明したRR処理を再度行う。
以上で、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で行われる経路最適化手順(RR手順)は終了する。
このRR手順終了後、移動ノード(MN)1-1は、通信相手ノード(CN)1-3への送信パケットを最適な経路(伝送路3)で送信する。移動ノード(MN)1-1からの送信パケットは、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecで暗号化されて送信される。移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecは、セキュリティパラメータインデックスSPI=gで識別される。移動ノード(MN)1-1からの送信パケットは、トランスポートモードのIPsecトンネル2を、MN送信パケット7-15に示したパケットフォーマットで送信される。このMN送信パケット7-15は、そのまま通信相手ノード(CN)1-3まで到達する。
通信相手ノード(CN)1-3は、受信パケットが最適な経路(伝送路3)を介してのMN送信パケット7-15であることを、そのセキュリティパラメータインデックスSPI=gで識別し、復号化して受信する。
同様にして、RR手順終了後、通信相手ノード(CN)1-3は、移動ノード(MN)1-1への送信パケットを最適な経路(伝送路3)で送信する。
通信相手ノード(CN)1-3からのの送信パケットは、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecで暗号化されて送信される。移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。通信相手ノード(CN)1-3からの送信パケットは、トランスポートモードのIPsecトンネル2を、MN送信パケット7-16に示したパケットフォーマットで送信される。このMN送信パケット7-16は、そのまま移動ノード(MN)1-1まで到達する。
移動ノード(MN)1-1は、受信パケットが最適な経路(伝送路3)を介してのMN送信パケット7-16であることを、そのセキュリティパラメータインデックスSPI=hで識別し、復号化して受信する。
そして、この一連のシーケンスにおいて、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していること確認することにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していていることを確認することにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信しない場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信しない場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
そして、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していることを判断するにあたっては、通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持すること、RR手順の最終ステップで送信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9をすでに送信していることから判断している。
これに対して、この一連のシーケンスにおいて、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していることを確認し、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のネットワークプリフィックスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していることを確認し、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレス、移動ノード(MN)1-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダを付加する送信を行う場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1が、通信相手ノード(CN)1-3のネットワークプリフィックスと、移動ノード(MN)1-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダRT2を付加して送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したCN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
そして、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ36を保持すること、RR手順の最終ステップで受信する移動ノード(MN)1-1からの位置登録メッセージ(BU)を受信しているであることから判断している。
上述したようにして、移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、安全な通信を確立することができる。
次に、本発明の別の実施形態について、図面に基づき説明する。その説明にあたっては、図14に示すようなMobile IPv6にVPNを適用したネットワークモデルを基に説明する。
図14は、本発明の別の実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの一例の構成図である。
本実施の形態では、Mobile IPv6にVPNを適用したネットワークモデルにおいて、移動ノード(MN)8-1のネットワーク間の移動をサポートするプロバイダ(ISP)のネットワーク8-a内にホームエージェント(HA)8-2が設置され、移動ノード(MN)8-1が頻繁に通信を行うネットワーク8-cのゲートウェイ(GW)8-4とホームエージェント(HA)8-2との間はVPN接続がされている構成を想定する。
本実施の形態では、前述した実施の形態が、移動ノード(MN)1−1と通信相手ノード(CN)1-3がトランスポートモードのIPSecにより通信データを暗号化したのに対し、移動ノード(MN)8−1は、移動ノード(MN)8−1と通信相手ノード(CN)の間の通信を、移動ノード(MN)とゲートウェイ(GW)8−4との間のトンネルモードのIPSecにより暗号化する。
なお、このゲートウェイ(GW)8-4は、TCP/IPモジュール、Mobile IPv6モジュール、IPsecモジュール、通信インターフェースを備えた計算機装置機能を有する点では、移動ノード(MN)1-1,8-1を構成する計算機装置、又はホームエージェント(HA)1-2,8-2と同様なので、その構成についての詳細な説明は省略する。
次に、本実施の形態の移動ノード(MN)1-1、ゲートウェイ(GW)8-4のそれぞれ機能について説明する。
移動ノード(MN)8-1は、Mobile IPv6の仕組みが提供するホームエージェント(HA)8-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)8-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
移動ノード(MN)8-1は、移動ノード(MN)8-1と通信相手ノード(CN)8-3との間での通信データの暗号化/復号化を行うか否かを、パケット送受信時に以下の手順で判断する。
手順01)
移動ノード(MN)8-1は、本機能を使用する通信ゲートウェイ(GW)8-4のアドレスリストを持ち、パケットの宛先(DST)のアドレスで識別される通信相手ノード(CN)8-3が接続するネットワーク8-cのゲートウェイ(GW)8-4と適合するかを判断する。
手順02)
手順01において、送信したパケットの宛先(DST)又は受信した受信送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)8-1と通信相手ノード(CN)8-3が最適な経路(伝送路3)でパケットを送受信する状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=g)、又は受信して復号化したりする(SPI=h)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=g,SPI=hで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3のIPv6アドレスのリストと、通信相手ノード(CN)8-3のアドレスに対するゲートウェイ(GW)8-4のアドレスのリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスと、通信相手ノード(CN)8-3のアドレスのリストとを比較し、適合した場合には、通信相手ノード(CN)8-3に対するゲートウェイ(GW)8-4のアドレスをリストから取得する。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3のIPv6アドレスプリフィックスのリストと通信相手ノード(CN)8-3のアドレスプリフィックスに対するゲートウェイ(GW)8-4のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのプリフィックス部分と比較して、適合した場合にはアドレスプリフィックスに対するゲートウェイ(GW)8-4のアドレスを取得する。
・ 移動ノード(MN)8-1はゲートウェイ(GW)8-4のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのプリフィックス部分と、ゲートウェイ(GW)8-4のアドレスのプリフィックス部分とを比較して、適合した場合には適合したゲートウェイ(GW)8-4のアドレスを取得する
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、移動ノード(MN)8-1は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 通信相手ノード(CN)8-3へRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を送信している場合(図12の位置登録メッセージ(BU)7-9が対応)。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合のパケット、具体的には、IPヘッダの送信元(SRC)のアドレスを移動ノード(MN)8-1が移動先で取得したアドレス(CoA)とし、送信先(DST)のアドレスが通信相手ノード(CN)8-3のアドレスで、IPヘッダの後にデスティネーション・オプション・ヘッダ(Dest Opt Header)が付与されているパケットを生成している場合(図12の位置登録メッセージ(BU)7-9が対応)。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リストのライフタイム値が有効値(0以上)である場合。
これに対し、移動ノード(MN)8-1は、最適経路通信可能な状態でないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 図6のステップS10に示したホームエージェント(HA)1-2に対しての位置登録処理後、通信相手ノード(CN)8-3とのステップS30に示したRR手順が未処理である場合。
・ パケット処理部がホームエージェント(HA)8-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16がない場合、最適経路通信ができない状態と判断する
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16のライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)8-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ IPヘッダの送信元(SRC)のアドレスがホームアドレス(HoA)で、送信先DSTのアドレスが通信相手ノード(CN)8-3のアドレスである場合(例えば、図12のホーム試験開始メッセージ7-3,7-4や図13のMN送信パケット7-11中にカプセルリングされるパケットが対応)。
・・ 上記ヘッダを送信元(SRC)のアドレスが移動先アドレス(CoA)で、送信先DSTのアドレスがホームエージェント(HA)8-2のアドレス(HA)のIPヘッダでカプセリングしている場合(例えば、図13のMN送信パケット7-11が対応)
そして、上記した手順1に適合しない場合は、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4は本機能を持たないゲートウェイ(GW)であると判断し、通信相手ノード(CN)8-3への2つの何れの経路においても同様の暗号化の有無で通信を行う。
同様に、ゲートウェイ(GW)8-3も、Mobile IPv6の仕組みが提供するホームエージェント(HA)8-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)8-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
ゲートウェイ(GW)8-4は、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間での通信データの暗号化を行うか否かを、パケット送受信で以下の手順で判断する。
手順01)
本機能を使用する移動ノード(MN)8-1のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信パケットの宛先(DST)又は受信パケットの送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)8-1と通信相手ノード(CN)8-3が最適な経路でパケットを送受信できる状態か否かを判断する
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、ゲートウェイ(GW)8-4は、移動ノード(MN)8-1との間で生成したセキュリティアソシエーション(SA)でパケットを暗号化して送信したり(SPI=h)、又は受信して復号化したりする(SPI=g)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、ゲートウェイ(GW)8-4は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=h,SPI=gで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ ゲートウェイ(GW)8-4は、移動ノード(MN)8-1のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 移動ノード(MN)8-1のIPv6のアドレスプリフィックス部分のリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのアドレスプリフェックス部分と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合、具体的には、送信元(SRC)のアドレスが通信相手ノード(CN)8-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)8-1の移動先アドレス(CoA)のIPヘッダで、IPヘッダのあとにルーティング・オプション・タイプ2ヘッダすなわちRT2ヘッダが付与されている場合(図12の位置登録確認メッセージ(BU)7-10が対応)。
これに対し、ゲートウェイ(GW)8-4は、最適経路通信可能な状態できないことを、 ・ パケット処理部がホームエージェント(HA)8-2に対してトンネル経由で送信するパケットヘッダを生成している場合、
で判断する。
具体的に、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ 送信元(SRC)のアドレスが通信相手ノード(CN)8-3のアドレス(CN)で、送信先DSTのアドレスが移動ノード(MN)8-1のホームアドレス(HoA)のIPヘッダのパケット(図7の7-13?)。
・・ IPヘッダの後にルーティング・オプション・タイプ2ヘッダが付与されていない場合のパケット(図7の7-13?)
そして、上記した手順1に適合しない場合は、通信相手ノード(CN)1-3は、移動ノード(MN)1-1は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
次に、上述した機能をそれぞれ有する移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のゲートウェイ(GW)8-4を介しての通信確立について説明する。
本実施の形態では、複数のネットワーク8-a,8-b,8-cが相互接続され、移動ノード(MN)8-1が、ホームネットワーク8-bから外部ネットワーク8-bに移動する。
ネットワーク8-aには、移動ノード(MN)8-1の移動管理を行うホームエージェント(HA)8-2が接続されている。移動ノード(MN)8-1が外部ネットワーク8-bに移動した際、通信相手ノード(CN)8-3と通信する場合を例にとって説明する。

移動ノード(CN)8-1がホームネットワーク8-aから外部ネットワーク8-bに移動し、ホームエージェント(HA)8-2に対して行う位置登録手順、及びホームエージェント(HA)8-2を経由して通信する通信相手ノード(CN)1-3と通信する手段及びRR手順は、第一の実施の形態の場合と同様の処理となる。そのためここでは詳細の記述を省略する。
RR手順終了後、通信相手ノード(CN)8-3は、移動ノード(MN)8-1への送信パケットを最適な経路で送信する。
送信パケットは、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecで暗号化して送信する。
移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。
図15は、本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。
移動ノード(MN)8-1は、図15に示したMN送信パケット9-15を、ゲートウェイ(GW)8-4に送信する。
ゲートウェイ(GW)8-4は、受信したパケットがMN送信パケット9-15であることをセキュリティパラメータインデックスSPI=gで識別し、復号化して通信相手ノード(CN)8-3へ送信することで、通信相手ノード(CN)8-3まで到達する。
通信相手ノード(CN)8-3が移動ノード(MN)8-1へ送信したパケットは、ゲートウェイ(GW)8-4により、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecで暗号化して送信する。
移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。
ゲートウェイ(GW)8-4は、図15に示したCN送信パケット9-16を、移動ノード(MN)8-1に送信する。
移動ノード(MN)8-1は、受信したパケットをセキュリティパラメータインデックスSPI=hで識別し、復号化することで受信する。
この一連の動作において、移動ノード(MN)8-1が通信相手ノード(CN)8-3とパケットを送受信する際、以下の何れかの判断を行うことでパケットを送受信する。
移動ノード(MN)8-1は、通信相手ノード(CN)8-3のアドレスと、通信相手ノード(CN)8-3との図6のステップS30に示した経路最適化手順(RR手順)が終了していること確認することにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のネットワークプリフィックスと、通信相手ノード(CN)8-3との経路最適化手順(RR手順)が終了していていることを確認することにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のアドレスと、通信相手ノード(CN)8-3へのパケットをホームエージェント(HA)8-2経由で送信しない場合には、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のネットワークプリフィックスと、通信相手ノード(CN)8-3へのパケットをホームエージェント(HA)8-2経由で送信しない場合には、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
そして、移動ノード(MN)8-1は、通信相手ノード(CN)8-3との経路最適化手順(RR手順)が終了していることを判断するにあたっては、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16を保持すること、RR手順の最終ステップで送信する通信相手ノード(CN)8-3への位置登録メッセージ(BU)7-9をすでに送信していることから判断している。
これに対して、この一連のシーケンスにおいて、ゲートウェイ(GW)8-4は、移動ノード(MN)8-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
ゲートウェイ(GW)8-4は、通信相手ノード(CN)8-3が、移動ノード(MN)8-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダを付加して送信する場合には、移動ノード(MN)8-1のアドレスにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、移動ノード(MN)8−1がゲートウェイ(GW)8-4とトンネルモードのIPsecのセキュリティアソシエーション(SA)を生成するためには、互いのIPアドレスを知る手段が必要となる。
移動ノード(MN)8-1がゲートウェイ(GW)8-4のアドレスを知るための手法としては、移動ノード(MN)8-1は予め通信相手ノード(CN)8-3に対するゲートウェイ(GW)8-4のアドレス情報を保持することで実現する。
もしくは、通信相手ノード(CN)8−3から移動ノード(MN)8−1へ通知することで、ゲートウェイ(GW)8−4のIPアドレスを得る。通知の手段にはMobile IPv6のRR手順のBAにその情報を付加する等の方法が一例となる。
もしくは、ゲートウェイ(GW)8−4から移動ノード(MN)8−1へ通知することで、ゲートウェイ(GW)8−4のIPアドレスを得る。ゲートウェイ(GW)8−4が移動ノード(MN)8−1と通信相手ノード(CN)とのRR手順によるMobile IPv6制御メッセージが送受信されるのを検知して、移動ノード(MN)8−1へ通知する等の方法が一例となる。
ゲートウェイ(GW)8−4が移動ノード(MN)8−1のIPアドレスを得る手法としては、ゲートウェイ(GW)8−4は予め移動ノード(MN)8−1のアドレス情報を保持することで実現する。
もしくは、移動ノード(MN)8−1と通信相手ノード(CN)8−3とのMobile IPv6のRR手順における制御メッセージが送受信されていることを検知して、制御メッセージから移動ノード(MN)8−1のアドレス情報を得ることで実現する。
以上により、移動ノード(MN)8-1と通信相手ノード(CN)8-3は安全な通信を確立する。
本発明の一実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの構成図である。 Mobile IPv6方式を構築する最もシンプルなネットワーク構成の一例を示した図である。 Mobile IPv6のパケットフォーマットを示した図である。 Mobile IPv6のパケットフォーマットを示した図である。 Mobile IPv6のパケットフォーマットを示した図である。 Mobile IPv6における通信確立までの一連のシーケンス図である。 Mobile IPv6とVPNとを適用したネットワークモデルの一例の構成図である。 図7に示したMobile IPv6とVPNとを適用したネットワークモデルの一例のパケットフォーマットを示した図である。 図7に示したMobile IPv6とVPNとを適用したネットワークモデルの一例のパケットフォーマットを示した図である。 図7に示したMobile IPv6とVPNとを適用したネットワークモデルの一例のパケットフォーマットを示した図である。 本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。 本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。 本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。 本発明の別の実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの構成図である。 本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。 図1に示したネットワークモデルにおける移動ノード(MN)の一実施例の構成図である。 図1に示したネットワークモデルにおけるホームエージェント(HA)の一実施の形態の構成図である。 図1に示したネットワークモデルにおける通信相手ノード(CN)の一実施の形態の構成図である。 バインディング・アップデート・リストの構成説明図である。 暗号化データベースの構成説明図である。 バインディング・キャッシュ・エントリの構成説明図である。
符号の説明
2-1,5-1,8-1 移動ノード(MN)
2-2,5-2,8-2 ホームエージェント(HA)
2-3,5-3,8-3 通信相手ノード(CN)
2-a,5-a,8-a ホームネットワーク
2-b,5-b,8-b ネットワーク(外部リンク)
2-c,5-c,8-c ネットワーク(外部リンク)
3-1,位置登録メッセージ(BU)
3-2,位置登録確認メッセージ(BA)
3-3,3-4 ホーム試験開始メッセージ(HotI)
3-5 立ち寄り試験開始メッセージ(CoTI)
3-6,3-7 ホーム試験メッセージ(Hot)
3-8 立ち寄り試験メッセージ(CoT)
3-9,位置登録メッセージ(BU)
3-10,位置登録確認メッセージ(BA)
3-11,3-12 MN送信パケット
3-13,3-14 CN送信パケット
3-15,3-16 CN送信パケット
11,21,31 計算機装置
12,22,32 TCP/IPモジュール
13,23,33 Mobile IPv6モジュール
14,24,34 IPsecモジュール
15,25,35 通信インターフェース
16 バインディング・アップデート・リスト
17,27,37 暗号化データベース
26,36 バインディング・キャッシュ・エントリ
CoA 立ち寄り先アドレス
HoA ホームアドレス

Claims (7)

  1. ネットワーク間を移動可能な移動通信装置を位置管理する位置管理装置が接続されるネットワークを含む複数のネットワークが相互接続された通信環境で、当該移動通信装置と当該移動通信装置の前記位置管理装置が接続されるネットワークとは別のネットワークに接続される相手先通信装置との間の通信が、前記位置管理装置を経由する経路と前記位置管理装置を経由しない最適経路との複数の通信経路を介して行われる通信システムの、移動側又は相手先として適用される通信装置であって、
    前記位置管理装置を経由する経路で通信相手方と通信を行う場合には、送受信データを暗号化処理して通信せず、前記位置管理装置を経由しない経路で通信相手方と通信を行う場合には、送受信データを暗号化処理して通信する通信処理手段
    を備えていることを特徴とする通信装置。
  2. ネットワーク間を移動可能な移動通信装置を位置管理する位置管理装置が接続されるネットワークを含む複数のネットワークが相互接続された通信環境で、当該移動通信装置と当該移動通信装置の前記位置管理装置が接続されるネットワークとは別のネットワークに接続される相手先通信装置との間の通信が、前記位置管理装置を経由する経路と前記位置管理装置を経由しない最適経路との複数の通信経路を介して行われる通信システムの、前記相手先通信装置が接続されるネットワークに設けられるゲートウェイ装置であって、
    前記位置管理装置を経由する経路で通信相手方と通信を行う場合には、前記移動通信装置との間で送受信データを暗号化処理して通信せず、前記位置管理装置を経由しない経路で通信を行う場合には、前記移動通信装置との間で送受信データを暗号化処理して通信する通信処理手段
    を備えていることを特徴とするゲートウェイ装置。
  3. 前記通信処理手段は、
    通信相手方の通信装置のアドレス情報を保持するアドレス情報保持手段と、
    送信データの送信先アドレス情報と、該アドレス情報保持手段が保持している通信相手方通信装置のアドレス情報とが一致するか否かを判定する判定手段と、
    該判定手段の判定結果に基づいて、両者が一致した場合には暗号化処理を行わない暗号化処理手段と
    を備えていることを請求項1記載の通信装置。
  4. 前記通信処理手段は、
    通信相手方の通信装置のアドレス情報を保持するアドレス情報保持手段と、
    送信データの送信先アドレス情報と、該アドレス情報保持手段が保持している通信相手方の通信装置のアドレス情報とが一致するか否かを判定する判定手段と、
    該判定手段の判定結果に基づいて、両者が一致した場合には暗号化処理を行わない暗号化処理手段と
    を備えていることを請求項2記載のゲートウェイ装置。
  5. 前記通信処理手段は、
    前記位置管理装置を経由した経路で通信を行う際の暗号化処理を行うか否かを、送信するパケットフォーマットに基づき判定する判定手段と、
    該判定手段の判定結果に基づいて、暗号化処理を実行する暗号化処理手段と
    を備え、
    前記判定手段は、前記位置管理装置の相手先通信装置へ送信されるパケットが、IPオプションヘッダで規程されるデスティネーション・オプション・ヘッダで送信先のアドレスを指定して送信する場合には暗号化処理を行わない旨判定し、その他の場合には暗号化処理を行う旨判定する
    ことを特徴とする請求項1記載の通信装置。
  6. 前記通信処理手段は、
    前記位置管理装置を経由した経路で通信を行う際の暗号化処理を行うか否かを、送信するパケットフォーマットに基づき判定する判定手段と、
    該判定手段の判定結果に基づいて、暗号化処理を実行する暗号化処理手段と
    を備え、
    前記判定手段は、送信パケットの送信先が位置管理装置で送信元が移動先の一時アドレスのIPヘッダでカプセル化されている場合には暗号化処理を行わない旨判定し、その他の場合には暗号化処理を行う旨判定する
    ことを特徴とする請求項1記載の通信装置。
  7. 前記通信処理手段は、
    前記位置管理装置を経由した経路で通信を行う際の暗号化処理を行うか否かを、送信するパケットフォーマットに基づき判定する判定手段と、
    該判定手段の判定結果に基づいて、暗号化処理を実行する暗号化処理手段と
    を備え、
    前記判定手段は、前記移動計算機装置へ送信されるパケットが、IPオプションヘッダで規程されるルーティング・オプション・ヘッダで送信先のアドレスを指定して送信する場合には暗号化処理を行わない旨判定し、その他の場合には暗号化処理を行う旨判定するする
    ことを特徴とする請求項2記載のゲートウェイ装置。
JP2004344834A 2004-11-29 2004-11-29 通信装置及びゲートウェイ装置 Expired - Fee Related JP4322201B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004344834A JP4322201B2 (ja) 2004-11-29 2004-11-29 通信装置及びゲートウェイ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004344834A JP4322201B2 (ja) 2004-11-29 2004-11-29 通信装置及びゲートウェイ装置

Publications (2)

Publication Number Publication Date
JP2006157454A JP2006157454A (ja) 2006-06-15
JP4322201B2 true JP4322201B2 (ja) 2009-08-26

Family

ID=36635200

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004344834A Expired - Fee Related JP4322201B2 (ja) 2004-11-29 2004-11-29 通信装置及びゲートウェイ装置

Country Status (1)

Country Link
JP (1) JP4322201B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5094724B2 (ja) 2006-08-24 2012-12-12 パナソニック株式会社 通信システム、通信方法、無線端末、無線中継装置及び制御装置
WO2008087999A1 (ja) * 2007-01-19 2008-07-24 Panasonic Corporation 通信方法、通信システム、移動通信装置及び相手先通信装置
EP1956755A1 (en) * 2007-02-08 2008-08-13 Matsushita Electric Industrial Co., Ltd. Network controlled overhead reduction of data packets by route optimization procedure
CN101690080A (zh) * 2007-03-12 2010-03-31 北方电讯网络有限公司 使用流标识密钥的移动ip的隧道支持
JP5316423B2 (ja) * 2007-12-19 2013-10-16 富士通株式会社 暗号化実施制御システム
JP5205075B2 (ja) * 2008-02-13 2013-06-05 パナソニック株式会社 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
WO2009110224A1 (ja) * 2008-03-06 2009-09-11 パナソニック株式会社 移動端末
JP5590803B2 (ja) * 2009-01-13 2014-09-17 キヤノン株式会社 通信装置及び通信方法
JP5408372B2 (ja) * 2013-01-28 2014-02-05 富士通株式会社 暗号化実施制御システム

Also Published As

Publication number Publication date
JP2006157454A (ja) 2006-06-15

Similar Documents

Publication Publication Date Title
Ng et al. Network mobility route optimization problem statement
EP2144416B1 (en) Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
JP4163215B2 (ja) 私設ネットワークとローミング移動端末との間の通信
JP4690465B2 (ja) 移動ネットワークから、その移動ネットワークのホームネットワークへデータパケットをルーティングするための方法、通信システムおよびモバイルルータ
USRE46113E1 (en) Technique for maintaining secure network connections
US20020157024A1 (en) Intelligent security association management server for mobile IP networks
US20060182083A1 (en) Secured virtual private network with mobile nodes
US20100208706A1 (en) Network node and mobile terminal
US7792072B2 (en) Methods and systems for connecting mobile nodes to private networks
EP2398263A2 (en) Secure and seamless WAN-LAN roaming
WO2006072891A1 (en) Method and apparatus for providing route-optimized secure session continuity between mobile nodes
JP2007534195A (ja) パケットデータ通信
CN101690080A (zh) 使用流标识密钥的移动ip的隧道支持
JP2010518718A (ja) 経路最適化処理によるデータ・パケットのネットワーク制御オーバーヘッド削減
EP1513316A2 (en) Communication system and communication control method
JP2007036641A (ja) ホームエージェント装置、及び通信システム
JP4322201B2 (ja) 通信装置及びゲートウェイ装置
CN100514936C (zh) 移动路由器装置以及本地代理装置
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
AU2010267639B2 (en) Methods and systems for mobile IP route optimization
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
JP4000419B2 (ja) 経路最適化システムと方法およびプログラム
CN101091372B (zh) 提供移动节点间低等待时间安全会话连续性的方法和设备
WO2009094939A1 (en) Method for protecting mobile ip route optimization signaling, the system, node, and home agent thereof
JP2004260740A (ja) 移動通信ネットワークシステム及び該システムにおけるアドホックネットワーク端末のipネットワークへの接続方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090526

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090602

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130612

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees