計算機装置の小型化や価格の低下に伴い、インターネットに接続する端末は、従来のデスクトップ型のパーソナルコンピュータに加え、PDA(Personal Digital Assistant)や携帯電話端末等といった小型で移動性を備えたものが現れるようになった。それに伴い、インターネットにおける移動通信技術の研究が盛んに行われている。インターネット技術を標準化しているIETF(Internet Engeneering Task Fource)においても、Mobile IPv6(Internet Protocol version 6)と呼ばれるインターネット接続の標準化方式の取り纏めが、そのmip6(Mobility for IPv6)ワーキンググループで進められている。
Mobile IPv6は、IETFによって発行されている “Mobility Support in IPv6”(RFC3775.txt)及び“Using IPsec to Protect Mobile IPv6 Signaling between Moblie Nodes and Home Agents”(RFC3776.txt)に規程されている。
そこで、このMobile IPv6の基本動作についてまず説明する。
Mobile IPv6では、移動する端末、すなわち移動通信装置は一意なIPアドレスを有し、物理的に接続するネットワークが変化しても一意なIPアドレスで通信を継続可能な移動透過性が提供されている。
図2は、Mobile IPv6方式を構築する最もシンプルなネットワーク構成の一例を示した図である。
図3〜図5は、Mobile IPv6のパケットフォーマットを示した図である。
移動ノード(Mobile Node:MN)2-1は、移動ノード(MN)2-1の移動管理を行う位置管理装置としてのホームエージェント(Home Agent:HA)2-2が接続するネットワーク2-aをホームネットワークとし、ホームネットワーク2-a上にルーティングされるIPアドレスをホームアドレス(Home Address:HoA)として一意に有する。
移動ノード(MN)2-1がホームネットワーク2-aからルータ(Router:R)が接続する別のネットワークである他の外部リンク2-bへ移動する場合、移動ノード(MN)2-1は、外部リンク2-b上で当該リンク2-bにおけるIPアドレスを立ち寄り先アドレス(Care of Address:CoA)として取得する。そして、移動ノード(MN)2-1は、自身の位置情報として、自身のホームアドレス(HoA)と現在の立ち寄り先アドレス(CoA)との対応付け情報を位置管理装置としてのホームエージェント(HA)2-2へ通知するために、図3に示した位置登録メッセージ(Binding Update:BU)3-1を送信する。
この位置登録メッセージ(BU)3-1は、IPヘッダ(Internet Protocol Header:IP Header)と、宛先オプションヘッダ(Destination Option Header:Dest Opt Header)と、ESPヘッダ(Encapsulating Security Payload Header:Esp Header)と、モビリティヘッダ(Mobility Header:MH)とを有して構成され、ESPヘッダにつづくモビリティヘッダ部分は暗号化されて送信される。
この場合、IPヘッダは、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されている。また、宛先オプションヘッダは、ホームアドレス(HoA)に、ESPヘッダは、セキュリティパラメータインデックス(Security Parameters Index:SPI)が後述するSPI=aに設定されている。また、モビリティヘッダは、位置登録メッセージであることを表わすBU(Binding Update)に設定されている。
位置管理装置としてのホームエージェント(HA)2-2は、移動ノード(MN)2-1からの上述した位置登録メッセージ(BU)3-1の受信に対して、図3に示した位置登録確認メッセージ(Binding Acknowledgement:BA)3-2をこの移動ノード(MN)2-1に送信することによって、移動ノード(MN)2-1の位置登録完了を通知する。
この位置登録確認メッセージ(BA)3-2は、IPヘッダと、RT2ヘッダ(Routing Header Type2:RT2 Header)と、ESPヘッダと、モビリティヘッダとを有して構成され、ESPヘッダにつづくモビリティヘッダ部分は暗号化されて送信される。
この場合、IPヘッダは、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が立ち寄り先アドレス(CoA)に設定されている。また、RT2ヘッダは、ホームアドレス(HoA)に、ESPヘッダは、セキュリティパラメータインデックス(SPI)が後述するSPI=bに設定されている。また、モビリティヘッダは、位置登録確認メッセージであることを表わすBA(Binding Acknowledgement)に設定されている。
このようにして、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、このホーム移動ノード(MN)2-1と他の外部リンク2-cに接続されている通信相手ノード(Correspondent Node:CN)2-3との間で通信を当初行う場合について、次に説明する。
当初、ホーム移動ノード(MN)2-1と通信相手方の通信装置となるネットワーク2-cに接続されている通信相手ノード(CN)2-3との間の通信は、ホームエージェント(HA)2-2を介した図2に示したような“く”の字型の経路で送受信が行われる。
すなわち、移動ノード(MN)2-1から通信相手ノード(CN)2-3へ情報を送信する場合は、移動ノード(MN)2-1から図5に示したMN送信パケット3-11をホームエージェント(HA)2-2に送信する。
このMN送信パケット3-11は、ホームエージェント(HA)2-2宛に伝送路1を介して送信される、移動ノード(MN)2-1から通信相手ノード(CN)2-3へのホームエージェント(HA)2-2経由の送信パケットである。
MN送信パケット3-11は、送信元アドレス(SRC)がホームアドレス(HoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ペイロード(Payload)とを有した構成のパケット本体に、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=eに設定されているESPヘッダを付加して、前述のパケット本体をカプセル化した構成になっている。ESPヘッダにつづくカプセル化された前述のパケット本体は暗号化されて送信される。
そして、移動ノード(MN)2-1から上述したMN送信パケット3-11を受信したホームエージェント(HA)2-2は、図5に示したMN送信パケット3-12を、伝送路2を介して通信相手ノード(CN)2-3に送信する。
このMN送信パケット3-12は、上述したMN送信パケット3-11に対して、そのカプセル化のために付加されたIPヘッダ及びESPヘッダが削除された前述のパケット本体である。
このように、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、移動ノード(MN)2-1から通信相手ノード(CN)2-3へ情報を送信する場合は、移動ノード(MN)2-1は、当初、送信元を自分のホームアドレス(HoA)、宛先を通信相手ノード(CN)2-3のアドレスとしたMN送信パケット3-12を、ホームエージェント(HA)2-2宛のMN送信パケット3-11の中に含めてホームエージェント(HA)2-2経由で送信する構成になっている。
これに対して、同じ状態で、通信相手ノード(CN)2-3から移動ノード(MN)2-1へ情報を送信する場合は、通信相手ノード(CN)2-3から図5に示したCN送信パケット3-13を移動ノード(MN)2-1のホームアドレス(HoA)に宛てて送信する。送信されたパケットはホームネットワークへルーティングされ、移動ノード(MN)が外部へ移動している状態においては、ホームエージェント(HA)が代わりにパケットを受信する。
このCN送信パケット3-13は、ホームエージェント(HA)2-2に伝送路2を介して送信される、通信相手ノード(CN)2-3から移動ノード(MN)2-1宛のホームエージェント(HA)2-2経由の送信パケットである。
CN送信パケット3-13は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1のホームアドレス(HoA)に設定されたIPヘッダと、ペイロード(Payload)とを有した構成になっている。
そして、通信相手ノード(CN)2-3から上述したCN送信パケット3-13を受信したホームエージェント(HA)2-2は、図5に示したCN送信パケット3-14を、伝送路1を介して移動ノード(MN)2-1に送信する。
このCN送信パケット3-14は、上述したCN送信パケット3-13に、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=fに設定されているESPヘッダを付加して、上述したCN送信パケット3-13をカプセル化した構成となり、ESPヘッダにつづくカプセル化されたCNへの通信パケット3−13は暗号化されて送信される。
このように、ホームネットワーク2-aから他の外部リンク2-bへ移動した移動ノード(MN)2-1がホームエージェント(HA)2-2によって位置管理されている状態で、通信相手ノード(CN)2-3から移動ノード(MN)2-1へ情報を送信する場合は、移動ノード(MN)2-1宛のCN送信パケット3-13を受信したホームエージェント(HA)2-2は、当初、このCN送信パケット3-13を、送信元をホームエージェント(HA)2-2のアドレス、宛先を立ち寄り先アドレス(CoA)としたCN送信パケット3-14の中に含めて送信する構成になっている。
その上で、ホーム移動ノード(MN)2-1と通信相手ノード(CN)2-3とは、上記説明したホームエージェント(HA)2-2を経由した当初の“く”の字型の経路を用いて、この“く”の字型の経路を解消し経路を最適化するために、経路最適化処理すなわちRR処理(Return Routability)と呼ばれる手続きを行う。
このRR処理は、ホーム移動ノード(MN)2-1と通信相手ノード(CN)2-3との間における、ホームエージェント(HA)2-2を経由したホーム試験開始メッセージ(Home Test Init:HoTI)及びホーム試験メッセージ(Home Test:HoT)の送受信と、ホームエージェント2-2を経由しない最適な経路による立ち寄り試験開始メッセージ(Care of Test Int:CoTI)及び立ち寄り試験メッセージ(Care of Test:CoT)の送受信と、これらメッセージ中に含まれる認証値に基づく認証処理とによって行われる。
図4の3-3は、このRR処理で伝送路1を介してホーム移動ノード(MN)2-1からホームエージェント(HA)2-2へ送信される、ホーム試験開始メッセージ(HoTI)である。
ホーム試験開始メッセージ(HoTI)3-3は、送信元アドレス(SRC)がホームアドレス(HoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホーム試験開始メッセージ(HoTI)に設定されたモビリティヘッダ(MH)とを有した構成のパケット本体に、送信元アドレス(SRC)が立ち寄り先アドレス(CoA)に、宛先アドレス(DST)がホームエージェント(HA)2-2のアドレスに設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=cに設定されているESPヘッダを付加して、前述のパケット本体をカプセル化した構成になっており、ESPヘッダ以下のカプセル化されたパケット部分は暗号かされて送信される。
図4の3-4は、このRR処理で伝送路2を介してホームエージェント(HA)2-2から通信相手ノード(CN)2-3へ送信される、ホーム試験開始メッセージ(HoTI)である。
ホーム試験開始メッセージ(HoTI)3-4は、上述したホーム試験開始メッセージ(HoTI)3-3に対して、そのカプセル化のために付加されたIPヘッダ及びESPヘッダが削除された前述のパケット本体である。
また、図4の3-6は、このRR処理で通信相手ノード(CN)2-3からホームエージェント(HA)2-2へ伝送路2を介して送信されるホーム試験メッセージ(HoT)である。
ホーム試験メッセージ(HoT)3-6は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)がホーム移動ノード(MN)2-1のホームアドレス(HoA)に設定されたIPヘッダと、ホーム試験メッセージ(HoT)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
図4の3-7は、伝送路1を介してホームエージェント(HA)2-2から通信相手ノード(CN)2-3へ送信されるホーム試験メッセージ(HoT)である。
このホーム試験メッセージ(HoT)3-7は、上述したホーム試験メッセージ(HoT)3-6に、送信元アドレス(SRC)がホームエージェント(HA)2-2のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されているIPヘッダ、及びセキュリティパラメータインデックス(SPI)が後述するSPI=cに設定されているESPヘッダを付加して、上述したホーム試験メッセージ(HoT)3-6をカプセル化した構成になっており、ESPヘッダにつづくカプセル化されたパケット部分は暗号化されて送信される。
一方、図4の3-5は、このRR処理でホーム移動ノード(MN)2-1から通信相手ノード(CN)2-3へホームエージェント2-2を経由しない伝送路3を介して送信される立ち寄り試験開始メッセージ(CoTI)である。
立ち寄り試験開始メッセージ(CoTI)3-5は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、立ち寄り試験開始メッセージ(CoTI)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
図4の3-8は、通信相手ノード(CN)2-3からホーム移動ノード(MN)2-1へホームエージェント2-2を経由しない伝送路3を介して送信される立ち寄り試験メッセージ(CoT)である。
立ち寄り試験メッセージ(CoT)3-8は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、立ち寄り試験メッセージ(CoT)に設定されたモビリティヘッダ(MH)とを有した構成になっている。
移動ノード(MN)2-1は、上述した通信相手ノード(CN)2-3との間のホーム試験開始メッセージ(HoTI)及びホーム試験メッセージ(HoT)の送受信、立ち寄り試験開始メッセージ(CoTI)及び立ち寄り試験メッセージ(CoT)の送受信の後、
ホームエージェント2-2を経由しない伝送路3を介して通信相手ノード(CN)2-3に図4に示した位置登録メッセージ(BU)3-9を送信し、通信相手ノード(CN)2-3からの位置登録確認メッセージ(BA)3-10を受信することでその認証結果を確認する。
この位置登録メッセージ(BU)3-9は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホームアドレス(HoA)に設定された宛先オプションヘッダ(Dest Opt Header)と、位置登録メッセージであることを表わすBU(Binding Update)とを有した構成になっている。
また、位置登録確認メッセージ(BA)3-10は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、ホームアドレス(HoA)に設定されたRT2ヘッダと、位置登録確認メッセージであることを表わすBA(Binding Acknowledgement)とを有した構成になっている。
このようにして、移動ノード(MN)2-1とその通信相手ノード(CN)2-3との間で認証が行われ、互いの相手先の位置登録が行われてRR手続きが正常終了すると、移動ノード(MN)2-1は通信相手ノード(CN)2-3に対してバインディング・アップデート・リストを保持し、通信相手ノード(CN)2-3は移動ノード(MN)2-1に対してバインディング・キャッシュ・エントリを保持することになる。
移動ノード(MN)2-1のバインディング・アップデート・リストには、位置登録メッセージ(BU)及び位置登録確認メッセージ(BA)等の情報のうち、ライフタイム(有効時間)や通信相手ノード(CN)2-3のアドレス情報が保存される。
また、通信相手ノード(CN)2-3のバインディング・キャッシュ・エントリには、位置登録(BU)及び位置登録確認メッセージ(BA)等の情報のうち、ライフタイムや移動ノード(MN)2-1のアドレス情報が保存される。
そして、このRR処理後は、移動ノード(MN)2-1と通信相手ノード(CN)2-3は、おのおのバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリの情報に基づき、ホームエージェント(HA)2-2を介することなく、最適な経路、例えば図2中の伝送路3を介して通信を行う。
図5の3-15は、ホーム移動ノード(MN)2-1から通信相手ノード(CN)2-3へホームエージェント2-2を経由しない伝送路3を介して送信されるMN送信パケット(経路最適化後)であり、3-16は、通信相手ノード(CN)2-3からホーム移動ノード(MN)2-1へホームエージェント2-2を経由しない伝送路3を介して送信されるCN送信パケット(経路最適化処理後)である。
MN送信パケット(経路最適化処理後)3-15は、送信元アドレス(SRC)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に、宛先アドレス(DST)が通信相手ノード(CN)2-3のアドレスに設定されたIPヘッダと、ホームアドレス(HoA)に設定された宛先オプションヘッダ(Dest Opt Header)と、ペイロード(Payload)とを有した構成になっている。
CN送信パケット(経路最適化処理後)3-16は、送信元アドレス(SRC)が通信相手ノード(CN)2-3のアドレスに、宛先アドレス(DST)が移動ノード(MN)2-1の立ち寄り先アドレス(CoA)に設定されたIPヘッダと、ホームアドレス(HoA)に設定されたRT2ヘッダ(RT2 Header)と、ペイロード(Payload)とを有した構成になっている。
その後、移動ノード(MN)2-1及び通信相手ノード(CN)2-3は、おのおのバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリのライフタイム値をカウントし、ライフタイム値が無効(=0)となった場合には、それぞれ相手方についてバインディング・アップデート・リスト又はバインディング・キャッシュ・エントリを削除したり、RR処理を再度行う等してその維持をはかる等の処理を行う。
図6は、上述したMobile IPv6における通信確立までの一連のシーケンス図である。
Mobile IPv6では、図6に示すように、ステップS10のホーム登録処理(Home Registration)、ステップS20のホームエージェント(HA)5-2を経由してのユーザ・データ・パケット処理(user data packet)、ステップS30のRR処理を経て、ステップS40の最適化された伝送路3を用いてのユーザ・データ・パケット処理(user data packet)が実行可能になり、通信確立がはかられる。
また、Mobile IPv6では、上記の通信確立手順において、セキュリティを考慮した仕組みが取り入れられている。
移動ノード(MN)2-1とホームエージェント(HA)2-2はMobile IPv6方式の制御メッセージと、移動ノード(MN)2-1と通信相手(CN)2-3が送受信するパケットのうちホームエージェントを介して通信するパケットを、IPsec(Security Architecture for Internet Protocol)によって暗号化して送受信する。これらのパケットは移動ノード(MN)2-1とホームエージェント(HA)2-2の間の伝送路(図2のIPsecトンネル1)において暗号化されて送受信される。
暗号化されるパケットは、移動ノード(MN)2-1とホームエージェント(HA)2-2と送信元アドレス、宛先アドレス、ホームエージェントを介するか否かさらにはIPヘッダにつづくデータのタイプ等のパラメータを基にセキュリティアソシエーション(Security Association:SA)を生成し、セキュリティパラメータインデックス(SPI)で区別する。そのためにセキュリティパラメータインデックス(SPI)によって、送信元アドレス、宛先アドレス、ホームエージェントを介するか否かさらには暗号化されたデータのタイプが識別できることに加え、暗号化/復号化のアルゴリズムや、暗号鍵の確定を行う。
このセキュリティパラメータインデックス(SPI)の値は、
SPI=aは、移動ノード(MN)2-1からホームエージェント(HA)2-2へ送信する位置登録メッセージを識別する値、
SPI=bは、ホームエージェント(HA)2-2から移動ノード(MN)2-1へ送信する位置登録確認メッセージを識別する値、
SPI=cは、移動ノード(MN)2-1からホームエージェント(HA)2-2を経由して通信相手ノード(CN)2-3へパケットを送信するホーム試験開始メッセージを識別する値、
SPI=dは、通信相手ノード(CN)2-3からホームエージェント(HA)2-2を経由して移動ノード(MN)2-1へ送信する、ホーム試験メッセージを識別する値、
SPI=eは、移動ノード(MN)2-1からホームエージェント(HA)2-2を経由して通信相手ノード(CN)2-3へ送信する、移動ノード(MN)2-2から通信相手ノード(CN)2-3へのデータパケットを識別する値、
SPI=fは、通信相手ノード(CN)2-3からホームエージェント(HA)2-2を経由して移動ノード(MN)2-1へ送信する、通信相手ノード(CN)2-3から移動ノード(MN)2-1へのデータパケットを識別する値、
になっている。
Mobile IPv6では、位置登録メッセージ(BU)3-1や位置登録確認メッセージ(BA)3-2のような、移動ノード(MN)2-1とホームエージェント(HA)2-2との間のメッセージの暗号化は、SPI=a,bにそれぞれ対応した暗号化/復号化のアルゴリズムに基づいてトランスポートモードのIPsecで暗号化を行う。トランスポートモードのIPsecでは、IPヘッダを除くメッセージのデータ部分のみを認証や暗号化の対象としており、すなわち位置登録メッセージ(BU)や位置登録確認メッセージ(BA)をあらわすモビリティヘッダ部分のみを暗号化する。
また、ホーム試験開始メッセージ(HoTI)3-3、ホーム試験メッセージ(HoT)3-4、MN送信パケット3-11、CN送信パケット3-14のような、ホームエージェント(HA)2-2を経由した移動ノード(MN)2-1と通信相手ノード(CN)2-3との間のメッセージについて、その移動ノード(MN)2-1又は通信相手ノード(CN)2-3とホームエージェント(HA)2-2との間におけるメッセージの暗号化は、SPI=c,d,e,fにそれぞれ対応した暗号化/復号化のアルゴリズムに基づいて、トンネルモードのIPsecで暗号化を行う。トンネルモードのIPsecでは、移動ノード(MN)2-1と通信相手ノード(CN)2-3が送受信する元の本来のパケット全体を暗号化する。すなわち、ホーム試験開始メッセージ(HoTI)やホーム試験メッセージ(HoT)をあらわすモビリティヘッダ、移動ノード(MN)2-1と通信相手ノード(CN)2-3の送受信データペイロードに加え、移動ノード(MN)2-1と通信相手ノード(CN)で構成されるIPヘッダ部分を含めて暗号化を行う。
このようにして、前記説明したような手順で、移動ノード(MN)2-1は、ネットワークを移動した際にも、通信相手ノード(CN)2-3と通信を継続することができるようになっている。
一方、上述したMobile IPv6により規定されたセキュリティの機能とは別に、ネットワーク間を安全に通信する方式として、仮想専用線すなわちVPN(Virtual Private Network)という技術が広く使われるようになっている。
VPNは、拠点間を仮想的なパスで接続し、通信コストの低減を目的とした技術である。これを実現する技術として、IETFによりVPNの標準プロトコルとしてIPsecが規定されている。
図7は、Mobile IPv6とVPNとを適用したネットワークモデルの一例の構成図である。
ここで、このVPNに係り、Mobile IPv6を適用したサービスモデルを考えた場合、位置管理を行うホームエージェント(HA)5-2を運用するプロバイダ(Internet Service Provider:ISP)が、企業や家庭のネットワーク5-aにおける移動ノード(MN)5-1の移動管理を行うことが想定できる。また、このような場合、移動ノード(MN)5-1は、そのホームエージェント(HA)5-2が接続されるネットワーク5-aと同様な、別の企業や家庭のネットワーク5-c内部の端末すなわち通信相手ノード(CN)5-3を通信相手とする場合が多いと考えられる。
Mobile IPv6の制御メッセージや、ホームエージェント(HA)5-2を介した移動ノード(MN)5-1と通信相手の通信相手ノード(CN)5-3との通信路において、Mobile IPv6の規程では、図2に示したように、移動ノード(MN)2-1とホームエージェント(HA)2-2との間の伝送路1のみがトランスポートモードのIPsecでセキュリティが保持される。
一方、ホームエージェント(HA)5-2を運用するキャリア(プロバイダを含む通信事業者)は、家庭や企業との契約により、ホームエージェント(HA)5-2と家庭や企業のネットワーク5-cの境界のゲートウェイ(GW)5-4との間の伝送路2について、図5に示したようなVPN用のIPsecトンネル3を構築することが想定できる。
ここで、伝送路2に構築されたVPN用のIPsecトンネル3におけるIPsecのセキュリティパラメータインデックス(SPI)の値を、
SPI=iは、ホームエージェント(HA)5-2が通信相手ノード(CN)5-3が属する企業又は家庭のネットワーク5-cの境界に設けられたゲートウェイ(GW)5-4へ転送する全てのメッセージについて、その暗号化/復号化のアルゴリズムや暗号鍵の確定を行うための値、
SPI=jは、通信相手ノード(CN)5-3が属する企業又は家庭のネットワーク5-cの境界に設けられたゲートウェイ(GW)5-4がホームエージェント(HA)5-2へ転送する全てのメッセージについて、その暗号化/復号化のアルゴリズムや暗号鍵の確定を行うための値、
とする。
したがって、移動ノード(MN)5-1とホームエージェント(HA)5-2との間の伝送路1についてのIPsecトンネル1と、ホームエージェント(HA)5-2と家庭や企業のネットワーク5-cの境界のゲートウェイ(GW)5-4との間の伝送路2についてのIPsecトンネル3のVPNとを利用することにより、移動ノード(MN)5-1と通信相手ノード(CN)5-3のホームエージェント(HA)5-2を経由して送受信するメッセージを安全に送受信することができる。
上記のようにMobile IPv6及びVPNを組み合わせただけでは、図6のS30に示す経路最適化処理後のS40に示す移動ノード(MN)5-1と通信相手ノード(CN)5-3の送受信メッセージは暗号化されない。すなわち、経路最適化処理後の図7の伝送路3に流れる送受信メッセージの暗号化は行われない。
本発明の一実施形態としての移動通信装置(移動ノード(MN))、相手先通信装置(通信相手ノード(CN))、及びゲートウェイ装置(ゲートウェイ(GW))について、図面に基づき説明する。その説明にあたっては、図1に示すようなMobile IPv6にVPNを適用したネットワークモデルを基に説明する。
図1は、本発明の一実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの一例の構成図である。
図1に示したネットワークモデルは、複数のネットワーク1-a,1-b,1-cが上位ネットワークとしてのインターネットを介して相互接続された構成になっており、移動ノード(MN)1-1のネットワーク間の移動をサポートするプロバイダ(ISP)のネットワーク1-a内にホームエージェント(HA)1-2が設置され、移動ノード(MN)1-1が頻繁に通信を行うネットワーク1-cのゲートウェイ(GW)1-4とホームエージェント(HA)1-2との間はVPN接続されている構成の、Mobile IPv6にVPNを適用したモデルを想定している。
そして、移動ノード(MN)1-1は、複数のネットワーク1-a,1-b間を移動自在に構成されている。また、ネットワーク1-aには、この移動ノード(MN)1-1のホームネットワーク1-aとして、移動ノード(MN)1-1の移動管理を行うホームエージェント(HA)1-2が接続されている。
本実施の形態では、この移動ノード(MN)1-1が外部ネットワーク1-bに移動した際、ネットワーク1-cに接続された通信相手ノード(CN)1-3と通信する場合を例に、説明する。
図16は、図1に示したネットワークモデルにおける移動ノード(MN)の一実施の形態の構成図である。
本実施の形態では、移動ノード(MN)1-1は、TCP/IPモジュール12、Mobile IPv6モジュール13、IPsecモジュール14、通信インターフェース15を備えた可搬の計算機装置11によって構成されている。
各部について説明すると、TCP/IPモジュール12は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール13は、移動に関わる処理を行い、位置やRR処理の状態を管理し、ホームエージェント(HA)1-2や通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持する構成になっている。
図19は、バインディング・アップデート・リストの構成説明図である。
バインディング・アップデート・リスト16には、ホームエージェント(HA)1-2や通信相手ノード(CN)1-3といった通信相手のアドレスやライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール14は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIの値に対応する暗号化モード、暗号化方式、鍵を、図20に示すような暗号化データベース17として保持し、暗号化及び復号化処理を行う構成になっている。
図20は、暗号化データベースの構成説明図である。
暗号化データベース17には、セキュリティパラメータインデックス(SPI)それぞれに対して、送信元(SRC)のアドレス、送信先(DST)のアドレス、IPsecのモード、暗号化/復号化のためのプロトコル、暗号鍵が保持されている。
通信インターフェース15は、接続するネットワークとのデータの送受信部で、図1に示した状態では外部ネットワーク1-bに備えられたルータ(R)と接続されている状態になっている。
図17は、図1に示したネットワークモデルにおけるホームエージェント(HA)の一実施の形態の構成図である。
本実施の形態では、ホームエージェント(HA)1-2は、TCP/IPモジュール22、Mobile IPv6モジュール23、IPsecモジュール24、通信インターフェース25を備えた固定の計算機装置21によって構成されている。
TCP/IPモジュール22は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール23は、移動ノード(MN)1-1の位置管理を行い、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ26を保持する。
図21は、バインディング・キャッシュ・エントリの構成説明図である。
バインディング・キャッシュ・エントリ26には、移動ノード(MN)1-1のホームアドレス(HoA)に対して、移動先アドレス(立ち寄り先アドレス(CoA))やライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール24は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIに対する暗号化モード、暗号化方式、鍵を、図20に示した暗号化データベース17と同様な構成の暗号化データベース27として保持し、暗号化及び復号化処理を行う。
通信インターフェース25は、接続するネットワークとのデータの送受信部である。
図18は、図1に示したネットワークモデルにおける通信相手ノード(CN)の一実施の形態の構成図である。
通信相手ノード(CN)1-3は、TCP/IPモジュール32、Mobile IPv6モジュール33、IPsecモジュール34、通信インターフェース35を持つ固定の計算機装置31によって構成されている。
TCP/IPモジュール32は、IPv6プロトコルのパケットの送受信を行う。
Mobile IPv6モジュール33は、通信相手の移動に係わる処理を行い、図21に示したバインディング・キャッシュ・エントリ26と同様な移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ36を保持することで移動ノード(MN)1-1の位置を把握する。
バインディング・キャッシュ・エントリ36には、移動ノード(MN)1-1のホームアドレス(HoA)に対して、移動先アドレス(立ち寄り先アドレス(CoA))やライフタイムが保持され、ライフタイムをカウントして有効であるか否かの情報も保持される。
IPsecモジュール34は、送信元(SRC)のアドレスと送信先(DST)のアドレスに対するセキュリティパラメータインデックス(SPI)の管理と、SPIに対する暗号化モード、暗号化方式、鍵を、図20に示した暗号化データベース17と同様な暗号化データベース37として保持し、暗号化及び復号化処理を行う。
通信インターフェース35は、接続するネットワークとのデータの送受信部である。
次に、上述した構成からなる移動ノード(MN)1-1、通信相手ノード(CN)1-3のそれぞれ機能について説明する。
移動ノード(MN)1-1は、Mobile IPv6の仕組みが提供するホームエージェント(HA)1-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
移動ノード(MN)1-1は、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間での通信データの暗号化/復号化を行うか否かを、パケット送受信時に以下の手順で判断する。
手順01)
移動ノード(MN)1-1は、外部ネットワーク1-bに移動した状態で通信相手になる通信相手ノード(CN)1-3のアドレスリストを有し、送信するパケットの宛先(DST)のアドレス又は受信したパケット送信元(SRC)のアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信したパケットの宛先(DST)又は受信した受信送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)1-1と通信相手ノード(CN)1-3が最適な経路でパケットを送受信する状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=g)、又は受信して復号化したりする(SPI=h)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=g,SPI=hで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 移動ノード(MN)1-1は、通信相手ノード(CN)のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス、又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 移動ノード(MN)1-1は、通信相手ノード(CN)のIPv6アドレスプレフィックスのリストを持ち、送信パケットの宛先(DST)のIPv6アドレス、又は受信パケットの送信元(SRC)のIPv6アドレスのプレフィックス部分と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、移動ノード(MN)1-1は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 通信相手ノード(CN)1-3とのRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を送信している場合(後述の図12の位置登録メッセージ(BU)7-9が対応)。
・ パケット処理部が経路最適化している場合のパケット、具体的には、IPヘッダの送信元(SRC)のアドレスを移動先(外部ネットワーク1-b)で取得した立ち寄りアドレス(CoA)とし、送信先(DST)のアドレスを通信相手ノード(CN)1-3のアドレスとした上で、そのIPヘッダの後にデスティネーション・オプション・ヘッダ(Dest Opt Header)が付与されているパケットを生成している場合(後述の図12の位置登録メッセージ(BU)7-9、図13のMN送信パケット7-15が対応)。
・ 通信相手ノード(CN)1-3に対するバインディング・アップデート・リストのライフタイム値が有効値(0以上)である場合。
これに対し、移動ノード(MN)1-1は、最適経路通信可能な状態できないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 図6のステップS10に示したホームエージェント(HA)1-2に対しての位置登録処理後、通信相手ノード(CN)1-3とのステップS30に示したRR手順が未処理である場合。
・ パケット処理部がホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 通信相手ノード(CN)1-3に対するバインディング・アップデート・リストがない場合。
・ 通信相手ノード(CN)に対するバインディング・アップデート・リストのライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダとしては、次のようなパケットヘッダが該当する。
・・ IPヘッダの送信元(SRC)のアドレスが移動ノード(MN)1-1のホームアドレス(HoA)で、送信先(DST)のアドレスが通信相手ノード(CN)1-3のアドレスであるパケット(例えば、後述の図12のホーム試験開始メッセージ7-3,7-4や図13のMN送信パケット7-11中にカプセルリングされるパケットが対応)。
・・ IPヘッダの送信元(SRC)のアドレスが移動ノード(MN)1-1の移動先アドレス(CoA)で、送信先(DST)のアドレスがホームエージェント(HA)1-2のアドレスのIPヘッダでカプセリングしている場合(例えば、図9のホーム試験開始メッセージ6-3や図10のMN送信パケット6-11、後述の図12のホーム試験開始メッセージ7-3や図13のMN送信パケット7-11)。
そして、上記した手順1に適合しない場合は、移動ノード(MN)1-1は、通信相手ノード(CN)1-3は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
同様に、通信相手ノード(CN)1-3も、Mobile IPv6の仕組みが提供するホームエージェント(HA)1-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間での通信データの暗号化を行うか否かを、パケット送受信で以下の手順で判断する。
手順01)
通信相手ノード(CN)1-3は、本機能を使用する移動ノード(MN)1-1のアドレスリストを持ち、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元SRCのアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信パケットの宛先(DST)又は受信パケットの送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)1-1と通信相手ノード(CN)1-3が最適な経路でパケットを送受信できる状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=h)、又は受信して復号化したりする(SPI=g)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=h,SPI=gで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 通信相手ノード(CN)1-3は、移動ノード(MN)1-1のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス、又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 通信相手ノード(CN)1-3は、移動ノード(MN)1-1のIPv6アドレスプレフィックスのリストを持ち、送信パケットの宛先(DST)のIPv6アドレス、又は受信パケットの送信元(SRC)のIPv6アドレスのプレフィックス部分(前半64ビット部分のネットワークID部分)と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、通信相手ノード(CN)1-3は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 移動ノード(MN)1-1とのRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を受信している場合(後述の図12の位置登録確認メッセージ(BU)7-9が対応)。
・ 移動ノード(MN)1-1とのRR手順の最終段階の位置登録確認メッセージ(BA)を送信している場合(後述の図12の位置登録確認メッセージ(BA)7-10が対応)。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合、具体的には、IPヘッダの送信元(SRC)のアドレスが通信相手ノード(CN)1-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)1-1の移動先アドレスCoAのIPヘッダで、IPヘッダのあとにルーティング・オプション・タイプ2ヘッダRT2が付与されている場合(後述の図12の位置登録確認メッセージ(BU)7-10、図13のCN送信パケット7-16が対応)。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリのライフタイム値が有効値(0以上)である場合。
これに対し、通信相手ノード(CN)1-3は、最適経路通信可能な状態できないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ パケット処理部がホームエージェント(HA)1-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリがない場合。
・ 移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリのライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ 送信元(SRC)のアドレスが通信相手ノード(CN)1-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)1-1のホームアドレス(HoA)のIPヘッダのパケット(図13の7-13?)
・・ IPヘッダの後にルーティング・オプション・タイプ2ヘッダが付与されていない場合のパケット(図13の7-13?)
そして、上記した手順1に適合しない場合は、通信相手ノード(CN)1-3は、移動ノード(MN)1-1は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
次に、上述した機能をそれぞれ有する移動ノード(MN)1-1と通信相手ノード(CN)1-3との間の通信確立について説明する。
ここでは、外部ネットワーク1-bに移動した移動ノード(MN)1-1が、ネットワーク1-cに接続された通信相手ノード(CN)1-3との間で、通信確立するまでの一連のシーケンスについて、図1、図6、図11〜図13、図16〜図21を参考に、図面に基づき説明する。
図11〜図13は、本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。
説明にあたって、移動ノード(MN)1-1は、ホームリンク1-aへルーティングされる一意のホームアドレス(HoA)を有し、前述したように外部ネットワーク1-bに移動した状態になっているものとする。
移動ノード(MN)1-1は、この移動先のネットワーク1-b内で、ネットワーク1-b内のアドレス(立ち寄り先アドレス(CoA))を位置情報として取得し、ホームエージェント(HA)1-2に対して、図6のステップS10に示したホーム登録処理の実行に基づく位置登録を行う。
この位置登録の手続きは、MobileI IPv6で規定される位置登録メッセージ(BU),位置登録確認メッセージ(BA)を、伝送路1のIPsecトンネル1を介して、ホームエージェント(HA)1-2との間で交換することによって行われる。
移動ノード(MN)1-1とホームエージェント(HA)1-2との間にはトランスポートモードのIPsecによるセキュリティアソシエーション(SA)が生成され、位置登録メッセージ(BU),位置登録確認メッセージ(BA)は、セキュリティパラメータインデックス(SPI)のSPI=a,SPI=bに基づき暗号化され、識別される。
この位置登録メッセージ(BU),位置登録確認メッセージ(BA)それぞれのパケットフォーマットは、図11の7-1,7-2に示した構成になっている。
移動ノード(MN)1-1は、ホームエージェント(HA)1-2との間でステップS10に示したホーム登録処理の実行に基づく位置登録を終了すると、ホームエージェント(HA)5-2を経由して通信相手ノード(CN)1-3との間で、図6のステップS20に示したユーザ・データ・パケット処理を実行する。
ここで、図1に示したネットワークモデルにおいては、ホームエージェント(HA)1-2と、通信相手ノード(CN)1-3が接続されているネットワーク1-cの境界のゲートウェイ(GW)1-4との間の伝送路2は、IPsecトンネル3のVPNで接続されている。これにより、ホームエージェント(HA)1-2とゲートウェイ(GW)1-4との間には、トンネルモードのIPsecによるセキュリティアソシエーション(SA)が生成され、ゲートウェイ(GW)1-4及びホームエージェント(HA)1-2を経由して、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で送受信するパケットは、伝送路2において、セキュリティパラメータインデックス(SPI)のSPI=i又はSPI=jに基づき暗号化される。
図6のステップS20に示したユーザ・データ・パケット処理において、移動ノード(MN)1-1は、通信相手ノード(CN)1-3へ送信するパケットを、ホームエージェント(HA)1-2経由で送信する。
本実施の形態では、このユーザ・データ・パケット処理の際に、移動ノード(MN)1-1がホームエージェント(HA)1-2を経由して通信相手ノード(CN)1-3に送信するパケット、及び通信相手ノード(CN)1-3がホームエージェント(HA)1-2を経由して移動ノード(MN)1-1に送信するパケットは、図13の7-11,7-12、7-13,7-14に示すようなパケットフォーマットになっている。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3に送信するパケットを、ホームエージェント(HA)1-2を経由して送信する。移動ノード(MN)1-1からの送信パケットは、移動ノード(MN)1-1とホームエージェント(HA)1-2との間に生成されたトランスポートモードのIPsecによるセキュリティアソシエーション(SA)によりセキュリティパラメータインデックス(SPI)のSPI=eに基づき暗号化され、MN送信パケット7-11に示すパケットフォーマットで、ホームエージェント(HA)1-2に送信される。
ホームエージェント(HA)1-2は、このMN送信パケット7-11の受信を、その受信パケットのセキュリティパラメータインデックス(SPI)がSPI=eになっていることで識別する。そして、ホームエージェント(HA)1-2は、この受信したこのMN送信パケット7-11を、識別したセキュリティパラメータインデックス(SPI)のSPI=eで復号化し、これを通信相手ノード(CN)1-3に送信するために、通信相手ノード(CN)1-3が接続されているネットワーク1-cのゲートウェイ(GW)1-4に送信するためのMN送信パケットを生成する。
その生成にあたっては、ホームエージェント(HA)1-2と通信相手ノード(CN)1-3が接続されているネットワーク1-cとはIPsecトンネル3のVPNによって接続され、ホームエージェント(HA)1-2とネットワーク1-cのゲートウェイ(GW)1-4との間の伝送路2には、トンネルモードのIPsecによるセキュリティアソシエーション(SA)が生成されているため、ホームエージェント(HA)1-2は、復号化した通信相手ノード(CN)1-3へのMN送信パケットを、このセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=iで暗号化して生成する。
そして、ホームエージェント(HA)1-2は、この生成したMN送信パケット7-11をネットワーク1-cのゲートウェイ(GW)1-4に送信する。
ゲートウェイ(GW)1-4は、このホームエージェント(HA)1-2から送信されたMN送信パケット7-12のセキュリティパラメータインデックス(SPI)のSPI=iを識別し、その暗号化を解いて、移動ノード(MN)1-1からの送信パケットを通信相手ノード(CN)5-3に届ける。
これに対し、通信相手ノード(CN)5-3は、移動ノード(MN)1-1へ送信するパケットを、通常のIPパケットでゲートウェイ(GW)1-4に送信する。
ゲートウェイ(GW)1-4は、この通信相手ノード(CN)1-3から移動ノード(MN)1-1への送信パケットを、伝送路2のIPsecトンネル3のVPNに基づくセキュリティパラメータインデックス(SPI)のSPI=jで暗号化して、ホームエージェント(HA)1-2宛のCN送信パケット7-13を生成する。
そして、ゲートウェイ(GW)1-4は、この生成したCN送信パケット7-13をホームエージェント(HA)1-2に送信する。
ホームエージェント(HA)1-2は、このゲートウェイ(GW)1-4から受信したパケットのセキュリティパラメータインデックス(SPI)のSPI=jを識別し、通信相手ノード(CN)5-3からの移動ノード(MN)1-1へのCN送信パケット7-13をセキュリティパラメータインデックス(SPI)のSPI=jで復号化し、これを移動ノード(MN)1-1に送信するためのCN送信パケットに生成する。
その生成にあたっては、ホームエージェント(HA)1-2と移動ノード(MN)1-1との間の伝送路1には、トランスポートモードのIPsecによるセキュリティアソシエーション(SA)が生成されているため、ホームエージェント(HA)1-2は、復号化した通信相手ノード(CN)1-3へのCN送信パケットを、このセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=fで暗号化して生成する。そして、ホームエージェント(HA)1-2は、この生成したCN送信パケット7-14を移動ノード(MN)1-1に送信する。
移動ノード(MN)1-1は、このホームエージェント(HA)1-2から送信されたCN送信パケット7-14のセキュリティパラメータインデックス(SPI)のSPI=fを識別し、その暗号化を解いて、通信相手ノード(CN)1-3からのCN送信パケットを受信する。
そして、この一連のシーケンスにおいて、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3との図6のステップS30に示した経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによるセキュリティパラメータインデックス(SPI)のSPI=での暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3のと間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3のと間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したMN送信パケット7-11をホームエージェント(HA)1-2に送信し、又はホームエージェント(HA)1-2から図13に示したMN送信パケット7-14を受信する。
そして、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持していないこと、又はRR手順の最終ステップで送信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9が未送信であることから判断している。
これに対して、この一連のシーケンスにおいて、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレスと、移動ノード(MN)1-1との図6のステップS30に示した経路最適化手順(RR手順)が終了していないことにより、移動ノード(CN)1-3と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のネットワークプリフィックスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレス、移動ノード(MN)1-1へのパケットをルーティング・オプション・ヘッダを付加しない通常のIPパケットフォーマットで送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1が、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをルーティング・オプション・ヘッダを付加しない通常のIPパケットフォーマットで送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecによる暗号化を行わずに、図13に示したCN送信パケット7-12をホームエージェント(HA)1-2から受信し、又はホームエージェント(HA)1-2に図13に示したMN送信パケット7-13を送信する。
そして、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリを保持していないこと、又はRR手順の最終ステップで受信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9が未受信であることから判断している。
上述したようにして、移動ノード(MN)1-1と通信相手ノード(CN)1-3とが、ホームエージェント(HA)1-2経由で通信を行えた際、移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、図6のステップS30に示した経路最適化手順(RR手順)を行う。
この経路最適化手順(RR手順)は、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で、次のようにして行われる。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3へホーム試験開始メッセージ(HoTI)7-3をホームエージェント(HA)1-2を介して送信する。その際、移動ノード(MN)1-1は、通信相手ノード(CN)1-3へ、移動ノード(MN)1-1とホームエージェント(HA)1-2との間のトンネルモードのIPsecにより生成されるセキュリティパラメータインデックスSPI=cで暗号化されたホーム試験開始メッセージ(HoTI)7-3を送信する。
ホームエージェント(HA)1-2は、受信パケットをセキュリティパラメータインデックスSPI=cで識別し復号化した後、仮想専用線VPNを経由して、ゲートウェイ(GW)1-4へ送信する。その際、送信パケットは、セキュリティパラメータインデックスSPI=iで暗号化され、ホーム試験開始メッセージ(HoTI)7-3の如くのパケットフォーマットで、ゲートウェイ(GW)1-4送信される。
パケットを受信したゲートウェイ(GW)1-4は、受信パケットがホーム試験開始メッセージ(HoTI)7-3であることをそのセキュリティパラメータインデックスSPI=iで識別し、復号化して通信相手ノード(CN)1-3へ送信することで、通信相手ノード(CN)1-3は移動ノード(MN)1-1の送信するホーム試験開始メッセージ(HoTI)を受信する。
また、移動ノード(MN)1-1は、ホームエージェント(HA)1-2を介することなく、立ち寄り試験開始メッセージ(CoTI)7-5を、通信相手ノード(CN)1-3へ送信する。この立ち寄り試験開始メッセージ(CoTI)7-5は、そのまま通信相手ノード(CN)1-3まで到達する。
通信相手ノード(CN)1-3は、ホーム試験開始メッセージ(HoTI)の受信後、移動ノード(MN)1-1へホームエージェント(HA)1-2を介してホーム試験メッセージ(HoT)を送信する。
通信相手ノード(CN)1-3が送信したホーム試験メッセージ(HoT)の送信パケットを、ゲートウェイ(GW)1-4は仮想専用線VPNを介してホームエージェント(HA)1-2へ送信する。その際、送信メッセージは、セキュリティパラメータインデックスSPI=jで暗号化され、その送信パケットは、ホーム試験メッセージ(HoT)7-6で示した如くのパケットフォーマットで、ホームエージェント(HA)1-2に送信される。
ホームエージェント(HA)1-2は、受信パケットがホーム試験メッセージ(HoT)7-6であることをセキュリティパラメータインデックスSPI=jで識別し、復号化後、移動ノード(MN)1-1とホームエージェント(HA)1-2と間のトンネルモードのIPsecにより生成されるセキュリティパラメータインデックスSPI=dで暗号化して、移動ノード(MN)1-1に、ホーム試験メッセージ(HoT)7-7で示した如くのパケットフォーマットで送信する。
移動ノード(MN)1-1は、受信パケットがホーム試験メッセージ(HoT)7-7であることをそのセキュリティパラメータインデックスSPI=dで識別し、復号化することで、通信相手ノード(CN)1-3からのホーム試験メッセージ(HoT)を受信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1へホームエージェント(HA)1-2を介すことなく立ち寄り試験メッセージ(CoT)7-8を送信する。この立ち寄り試験メッセージ(CoT)7-8は、そのまま移動ノード(MN)1-1まで到達する。
移動ノード(MN)1-1は、ホーム試験メッセージ(HoT)7-7、立ち寄り試験メッセージ(CoT)7-8の受信後、通信相手ノード(CN)1-3にRR処理(経路最適化処理)完了を示す位置登録メッセージ(BU)7-9を送信する。この位置登録メッセージ(BU)7-9は、そのまま通信相手ノード(CN)1-3まで到達する。
移動ノード(MN)1-1は、位置登録メッセージ(BU)7-9の送信後、通信相手ノード(CN)1-3のアドレスで識別されるバインディング・アップデート・リスト16を保持する。さらに、移動ノード(MN)1-1は、位置登録メッセージ(BU)7-9内に含まれるライフタイムをカウントしながら維持する。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1からの位置登録メッセージ(BU)7-9の受信後、この位置登録メッセージ(BU)内に含まれる情報により確認を求められる場合には、移動ノード(MN)1-1へ位置登録確認メッセージ(BA)7-10を送信する。この位置登録確認メッセージ(BA)7-10は、そのまま移動ノード(MN)1-1まで到達する。
通信相手ノード(CN)1-3は、この位置登録メッセージ(BA)7-10の受信後、移動ノード(MN)1-1のアドレスで識別されるバインディング・キャッシュ・エントリ36を保持する。さらに、通信相手ノード(CN)1-3は、位置登録メッセージ(BU)内に含まれるライフタイムをカウントしながら維持する。
移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、バインディング・アップデート・リスト16及びバインディング・キャッシュ・エントリ36のライフタイムを維持することで、最適経路(伝送路3)で通信をし続ける。
移動ノード(MN)1-1又は通信相手ノード(CN)1-3は、保持されている双方相手方のライフタイムが期限切れした場合、又はライフタイム更新を望む場合には、上記説明したRR処理を再度行う。
以上で、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間で行われる経路最適化手順(RR手順)は終了する。
このRR手順終了後、移動ノード(MN)1-1は、通信相手ノード(CN)1-3への送信パケットを最適な経路(伝送路3)で送信する。移動ノード(MN)1-1からの送信パケットは、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecで暗号化されて送信される。移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecは、セキュリティパラメータインデックスSPI=gで識別される。移動ノード(MN)1-1からの送信パケットは、トランスポートモードのIPsecトンネル2を、MN送信パケット7-15に示したパケットフォーマットで送信される。このMN送信パケット7-15は、そのまま通信相手ノード(CN)1-3まで到達する。
通信相手ノード(CN)1-3は、受信パケットが最適な経路(伝送路3)を介してのMN送信パケット7-15であることを、そのセキュリティパラメータインデックスSPI=gで識別し、復号化して受信する。
同様にして、RR手順終了後、通信相手ノード(CN)1-3は、移動ノード(MN)1-1への送信パケットを最適な経路(伝送路3)で送信する。
通信相手ノード(CN)1-3からのの送信パケットは、移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecで暗号化されて送信される。移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のトランスポートモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。通信相手ノード(CN)1-3からの送信パケットは、トランスポートモードのIPsecトンネル2を、MN送信パケット7-16に示したパケットフォーマットで送信される。このMN送信パケット7-16は、そのまま移動ノード(MN)1-1まで到達する。
移動ノード(MN)1-1は、受信パケットが最適な経路(伝送路3)を介してのMN送信パケット7-16であることを、そのセキュリティパラメータインデックスSPI=hで識別し、復号化して受信する。
そして、この一連のシーケンスにおいて、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していること確認することにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していていることを確認することにより、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のアドレスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信しない場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
また、移動ノード(MN)1-1は、通信相手ノード(CN)1-3のネットワークプリフィックスと、通信相手ノード(CN)1-3へのパケットをホームエージェント(HA)1-2経由で送信しない場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を通信相手ノード(CN)1-3に送信し、又は通信相手ノード(CN)1-3から図13に示したCN送信パケット7-16を受信する。
そして、移動ノード(MN)1-1は、通信相手ノード(CN)1-3との経路最適化手順(RR手順)が終了していることを判断するにあたっては、通信相手ノード(CN)1-3に対するバインディング・アップデート・リスト16を保持すること、RR手順の最終ステップで送信する通信相手ノード(CN)1-3への位置登録メッセージ(BU)7-9をすでに送信していることから判断している。
これに対して、この一連のシーケンスにおいて、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していることを確認し、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のネットワークプリフィックスと、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していることを確認し、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1のアドレス、移動ノード(MN)1-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダを付加する送信を行う場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、通信相手ノード(CN)1-3は、移動ノード(MN)1-1が、通信相手ノード(CN)1-3のネットワークプリフィックスと、移動ノード(MN)1-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダRT2を付加して送信する場合には、移動ノード(MN)1-1と通信相手ノード(CN)1-3の間のトランスポートモードのIPsecによる暗号化を行い、図13に示したCN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
そして、通信相手ノード(CN)1-3は、移動ノード(MN)1-1との経路最適化手順(RR手順)が終了していないことを判断するにあたっては、移動ノード(MN)1-1に対するバインディング・キャッシュ・エントリ36を保持すること、RR手順の最終ステップで受信する移動ノード(MN)1-1からの位置登録メッセージ(BU)を受信しているであることから判断している。
上述したようにして、移動ノード(MN)1-1と通信相手ノード(CN)1-3とは、安全な通信を確立することができる。
次に、本発明の別の実施形態について、図面に基づき説明する。その説明にあたっては、図14に示すようなMobile IPv6にVPNを適用したネットワークモデルを基に説明する。
図14は、本発明の別の実施の形態としての移動通信装置、相手先通信装置、及びゲートウェイ装置を備えたネットワークモデルの一例の構成図である。
本実施の形態では、Mobile IPv6にVPNを適用したネットワークモデルにおいて、移動ノード(MN)8-1のネットワーク間の移動をサポートするプロバイダ(ISP)のネットワーク8-a内にホームエージェント(HA)8-2が設置され、移動ノード(MN)8-1が頻繁に通信を行うネットワーク8-cのゲートウェイ(GW)8-4とホームエージェント(HA)8-2との間はVPN接続がされている構成を想定する。
本実施の形態では、前述した実施の形態が、移動ノード(MN)1−1と通信相手ノード(CN)1-3がトランスポートモードのIPSecにより通信データを暗号化したのに対し、移動ノード(MN)8−1は、移動ノード(MN)8−1と通信相手ノード(CN)の間の通信を、移動ノード(MN)とゲートウェイ(GW)8−4との間のトンネルモードのIPSecにより暗号化する。
なお、このゲートウェイ(GW)8-4は、TCP/IPモジュール、Mobile IPv6モジュール、IPsecモジュール、通信インターフェースを備えた計算機装置機能を有する点では、移動ノード(MN)1-1,8-1を構成する計算機装置、又はホームエージェント(HA)1-2,8-2と同様なので、その構成についての詳細な説明は省略する。
次に、本実施の形態の移動ノード(MN)1-1、ゲートウェイ(GW)8-4のそれぞれ機能について説明する。
移動ノード(MN)8-1は、Mobile IPv6の仕組みが提供するホームエージェント(HA)8-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)8-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
移動ノード(MN)8-1は、移動ノード(MN)8-1と通信相手ノード(CN)8-3との間での通信データの暗号化/復号化を行うか否かを、パケット送受信時に以下の手順で判断する。
手順01)
移動ノード(MN)8-1は、本機能を使用する通信ゲートウェイ(GW)8-4のアドレスリストを持ち、パケットの宛先(DST)のアドレスで識別される通信相手ノード(CN)8-3が接続するネットワーク8-cのゲートウェイ(GW)8-4と適合するかを判断する。
手順02)
手順01において、送信したパケットの宛先(DST)又は受信した受信送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)8-1と通信相手ノード(CN)8-3が最適な経路(伝送路3)でパケットを送受信する状態か否かを判断する。
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4との間で生成したセキュリティアソシエーション(SA)のセキュリティパラメータインデックス(SPI)で、パケットを暗号化して送信したり(SPI=g)、又は受信して復号化したりする(SPI=h)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=g,SPI=hで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3のIPv6アドレスのリストと、通信相手ノード(CN)8-3のアドレスに対するゲートウェイ(GW)8-4のアドレスのリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスと、通信相手ノード(CN)8-3のアドレスのリストとを比較し、適合した場合には、通信相手ノード(CN)8-3に対するゲートウェイ(GW)8-4のアドレスをリストから取得する。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3のIPv6アドレスプリフィックスのリストと通信相手ノード(CN)8-3のアドレスプリフィックスに対するゲートウェイ(GW)8-4のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのプリフィックス部分と比較して、適合した場合にはアドレスプリフィックスに対するゲートウェイ(GW)8-4のアドレスを取得する。
・ 移動ノード(MN)8-1はゲートウェイ(GW)8-4のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのプリフィックス部分と、ゲートウェイ(GW)8-4のアドレスのプリフィックス部分とを比較して、適合した場合には適合したゲートウェイ(GW)8-4のアドレスを取得する
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
まず、移動ノード(MN)8-1は、最適経路通信可能な状態を、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 通信相手ノード(CN)8-3へRR手順(図6,ステップS30)の最終段階の位置登録メッセージ(BU)を送信している場合(図12の位置登録メッセージ(BU)7-9が対応)。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合のパケット、具体的には、IPヘッダの送信元(SRC)のアドレスを移動ノード(MN)8-1が移動先で取得したアドレス(CoA)とし、送信先(DST)のアドレスが通信相手ノード(CN)8-3のアドレスで、IPヘッダの後にデスティネーション・オプション・ヘッダ(Dest Opt Header)が付与されているパケットを生成している場合(図12の位置登録メッセージ(BU)7-9が対応)。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リストのライフタイム値が有効値(0以上)である場合。
これに対し、移動ノード(MN)8-1は、最適経路通信可能な状態でないことを、次のいずれかの状態の検出、又はその組み合わせで判断する。
・ 図6のステップS10に示したホームエージェント(HA)1-2に対しての位置登録処理後、通信相手ノード(CN)8-3とのステップS30に示したRR手順が未処理である場合。
・ パケット処理部がホームエージェント(HA)8-2に対してトンネル経由で送信するパケットヘッダを生成している場合。
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16がない場合、最適経路通信ができない状態と判断する
・ 移動ノード(MN)8-1は、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16のライフタイム値が無効値(0)である場合。
ここで、上述した、ホームエージェント(HA)8-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ IPヘッダの送信元(SRC)のアドレスがホームアドレス(HoA)で、送信先DSTのアドレスが通信相手ノード(CN)8-3のアドレスである場合(例えば、図12のホーム試験開始メッセージ7-3,7-4や図13のMN送信パケット7-11中にカプセルリングされるパケットが対応)。
・・ 上記ヘッダを送信元(SRC)のアドレスが移動先アドレス(CoA)で、送信先DSTのアドレスがホームエージェント(HA)8-2のアドレス(HA)のIPヘッダでカプセリングしている場合(例えば、図13のMN送信パケット7-11が対応)
そして、上記した手順1に適合しない場合は、移動ノード(MN)8-1は、ゲートウェイ(GW)8-4は本機能を持たないゲートウェイ(GW)であると判断し、通信相手ノード(CN)8-3への2つの何れの経路においても同様の暗号化の有無で通信を行う。
同様に、ゲートウェイ(GW)8-3も、Mobile IPv6の仕組みが提供するホームエージェント(HA)8-2を経由する経路(伝送路1、伝送路2)と、最適化された経路(伝送路3)を判別して、移動ノード(MN)8-1と通信相手ノード(CN)1-3との間の暗号化の有無を決定する。
ゲートウェイ(GW)8-4は、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間での通信データの暗号化を行うか否かを、パケット送受信で以下の手順で判断する。
手順01)
本機能を使用する移動ノード(MN)8-1のアドレスリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスがこのアドレスリストに記録されているアドレスに適合するか否かを判断する。
手順02)
手順01において、送信パケットの宛先(DST)又は受信パケットの送信元(SRC)のアドレスがアドレスリストに適合した場合、移動ノード(MN)8-1と通信相手ノード(CN)8-3が最適な経路でパケットを送受信できる状態か否かを判断する
手順03)
手順02において、最適経路(伝送路3)でパケットの送受信できる状態の場合、ゲートウェイ(GW)8-4は、移動ノード(MN)8-1との間で生成したセキュリティアソシエーション(SA)でパケットを暗号化して送信したり(SPI=h)、又は受信して復号化したりする(SPI=g)。なお、手順02において、最適経路(伝送路3)でパケットを送受信できない状態の場合、ゲートウェイ(GW)8-4は、移動ノード(MN)1-1との間で生成したセキュリティアソシエーション(SA)によるセキュリティパラメータインデックス(SPI)のSPI=h,SPI=gで暗号化/復号化せずに、パケットを送受信する。
ここで、上記した手順01におけるアドレスの適合は、以下のいずれかの比較又はその組み合わせで行う。
・ ゲートウェイ(GW)8-4は、移動ノード(MN)8-1のIPv6アドレスのリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスと比較する。
・ 移動ノード(MN)8-1のIPv6のアドレスプリフィックス部分のリストを有し、送信パケットの宛先(DST)のアドレス又は受信パケットの送信元(SRC)のアドレスのアドレスプリフェックス部分と比較する。
また、上記した手順02における、最適な経路(伝送路3)でパケットを送受信する状態か否かについての判断方法は、次のように行う。
・ パケット処理部が経路最適化した場合のパケットヘッダを生成している場合、具体的には、送信元(SRC)のアドレスが通信相手ノード(CN)8-3のアドレスで、送信先(DST)のアドレスが移動ノード(MN)8-1の移動先アドレス(CoA)のIPヘッダで、IPヘッダのあとにルーティング・オプション・タイプ2ヘッダすなわちRT2ヘッダが付与されている場合(図12の位置登録確認メッセージ(BU)7-10が対応)。
これに対し、ゲートウェイ(GW)8-4は、最適経路通信可能な状態できないことを、 ・ パケット処理部がホームエージェント(HA)8-2に対してトンネル経由で送信するパケットヘッダを生成している場合、
で判断する。
具体的に、ホームエージェント(HA)1-2に対してトンネル経由で送信するパケットとしては、次のようなパケットが該当する。
・・ 送信元(SRC)のアドレスが通信相手ノード(CN)8-3のアドレス(CN)で、送信先DSTのアドレスが移動ノード(MN)8-1のホームアドレス(HoA)のIPヘッダのパケット(図7の7-13?)。
・・ IPヘッダの後にルーティング・オプション・タイプ2ヘッダが付与されていない場合のパケット(図7の7-13?)
そして、上記した手順1に適合しない場合は、通信相手ノード(CN)1-3は、移動ノード(MN)1-1は本機能を持たないノードであると判断し、2つの何れの経路においても同様の暗号化の有無で通信を行う。
次に、上述した機能をそれぞれ有する移動ノード(MN)1-1と通信相手ノード(CN)1-3との間のゲートウェイ(GW)8-4を介しての通信確立について説明する。
本実施の形態では、複数のネットワーク8-a,8-b,8-cが相互接続され、移動ノード(MN)8-1が、ホームネットワーク8-bから外部ネットワーク8-bに移動する。
ネットワーク8-aには、移動ノード(MN)8-1の移動管理を行うホームエージェント(HA)8-2が接続されている。移動ノード(MN)8-1が外部ネットワーク8-bに移動した際、通信相手ノード(CN)8-3と通信する場合を例にとって説明する。
移動ノード(CN)8-1がホームネットワーク8-aから外部ネットワーク8-bに移動し、ホームエージェント(HA)8-2に対して行う位置登録手順、及びホームエージェント(HA)8-2を経由して通信する通信相手ノード(CN)1-3と通信する手段及びRR手順は、第一の実施の形態の場合と同様の処理となる。そのためここでは詳細の記述を省略する。
RR手順終了後、通信相手ノード(CN)8-3は、移動ノード(MN)8-1への送信パケットを最適な経路で送信する。
送信パケットは、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecで暗号化して送信する。
移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。
図15は、本実施の形態の移動ノード(MN)、ホームエージェント(HA)、通信相手ノード(CN)によるMobile IPv6のパケットフォーマットを示した図である。
移動ノード(MN)8-1は、図15に示したMN送信パケット9-15を、ゲートウェイ(GW)8-4に送信する。
ゲートウェイ(GW)8-4は、受信したパケットがMN送信パケット9-15であることをセキュリティパラメータインデックスSPI=gで識別し、復号化して通信相手ノード(CN)8-3へ送信することで、通信相手ノード(CN)8-3まで到達する。
通信相手ノード(CN)8-3が移動ノード(MN)8-1へ送信したパケットは、ゲートウェイ(GW)8-4により、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecで暗号化して送信する。
移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecは、セキュリティパラメータインデックスSPI=hで識別される。
ゲートウェイ(GW)8-4は、図15に示したCN送信パケット9-16を、移動ノード(MN)8-1に送信する。
移動ノード(MN)8-1は、受信したパケットをセキュリティパラメータインデックスSPI=hで識別し、復号化することで受信する。
この一連の動作において、移動ノード(MN)8-1が通信相手ノード(CN)8-3とパケットを送受信する際、以下の何れかの判断を行うことでパケットを送受信する。
移動ノード(MN)8-1は、通信相手ノード(CN)8-3のアドレスと、通信相手ノード(CN)8-3との図6のステップS30に示した経路最適化手順(RR手順)が終了していること確認することにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4との間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のネットワークプリフィックスと、通信相手ノード(CN)8-3との経路最適化手順(RR手順)が終了していていることを確認することにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のアドレスと、通信相手ノード(CN)8-3へのパケットをホームエージェント(HA)8-2経由で送信しない場合には、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
また、移動ノード(MN)8-1は、通信相手ノード(CN)8-3のネットワークプリフィックスと、通信相手ノード(CN)8-3へのパケットをホームエージェント(HA)8-2経由で送信しない場合には、移動ノード(MN)8-1とゲートウェイ(GW)8-4の間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット9-15をゲートウェイ(GW)8-4に送信し、又はゲートウェイ(GW)8-4から図15に示したCN送信パケット9-16を受信する。
そして、移動ノード(MN)8-1は、通信相手ノード(CN)8-3との経路最適化手順(RR手順)が終了していることを判断するにあたっては、通信相手ノード(CN)8-3に対するバインディング・アップデート・リスト16を保持すること、RR手順の最終ステップで送信する通信相手ノード(CN)8-3への位置登録メッセージ(BU)7-9をすでに送信していることから判断している。
これに対して、この一連のシーケンスにおいて、ゲートウェイ(GW)8-4は、移動ノード(MN)8-1との間で上述したようにパケットを送受信する際、以下の何れかの判断を行うことによってパケットを送受信している。
ゲートウェイ(GW)8-4は、通信相手ノード(CN)8-3が、移動ノード(MN)8-1へのパケットを通常のIPパケットフォーマットではなく、ルーティング・オプション・タイプ2ヘッダを付加して送信する場合には、移動ノード(MN)8-1のアドレスにより、移動ノード(MN)8-1とゲートウェイ(GW)8-4間のトンネルモードのIPsecによる暗号化を行い、図15に示したMN送信パケット7-15を移動ノード(MN)1-1から受信し、又は移動ノード(MN)1-1に図13に示したCN送信パケット7-16を送信する。
また、移動ノード(MN)8−1がゲートウェイ(GW)8-4とトンネルモードのIPsecのセキュリティアソシエーション(SA)を生成するためには、互いのIPアドレスを知る手段が必要となる。
移動ノード(MN)8-1がゲートウェイ(GW)8-4のアドレスを知るための手法としては、移動ノード(MN)8-1は予め通信相手ノード(CN)8-3に対するゲートウェイ(GW)8-4のアドレス情報を保持することで実現する。
もしくは、通信相手ノード(CN)8−3から移動ノード(MN)8−1へ通知することで、ゲートウェイ(GW)8−4のIPアドレスを得る。通知の手段にはMobile IPv6のRR手順のBAにその情報を付加する等の方法が一例となる。
もしくは、ゲートウェイ(GW)8−4から移動ノード(MN)8−1へ通知することで、ゲートウェイ(GW)8−4のIPアドレスを得る。ゲートウェイ(GW)8−4が移動ノード(MN)8−1と通信相手ノード(CN)とのRR手順によるMobile IPv6制御メッセージが送受信されるのを検知して、移動ノード(MN)8−1へ通知する等の方法が一例となる。
ゲートウェイ(GW)8−4が移動ノード(MN)8−1のIPアドレスを得る手法としては、ゲートウェイ(GW)8−4は予め移動ノード(MN)8−1のアドレス情報を保持することで実現する。
もしくは、移動ノード(MN)8−1と通信相手ノード(CN)8−3とのMobile IPv6のRR手順における制御メッセージが送受信されていることを検知して、制御メッセージから移動ノード(MN)8−1のアドレス情報を得ることで実現する。
以上により、移動ノード(MN)8-1と通信相手ノード(CN)8-3は安全な通信を確立する。