JP4334425B2 - ホームエージェント - Google Patents

ホームエージェント Download PDF

Info

Publication number
JP4334425B2
JP4334425B2 JP2004203677A JP2004203677A JP4334425B2 JP 4334425 B2 JP4334425 B2 JP 4334425B2 JP 2004203677 A JP2004203677 A JP 2004203677A JP 2004203677 A JP2004203677 A JP 2004203677A JP 4334425 B2 JP4334425 B2 JP 4334425B2
Authority
JP
Japan
Prior art keywords
packet
home agent
mobile terminal
unit
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004203677A
Other languages
English (en)
Other versions
JP2006025356A (ja
Inventor
直聡 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004203677A priority Critical patent/JP4334425B2/ja
Priority to US11/024,294 priority patent/US20060007879A1/en
Publication of JP2006025356A publication Critical patent/JP2006025356A/ja
Application granted granted Critical
Publication of JP4334425B2 publication Critical patent/JP4334425B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4588Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ホームエージェントに関し、移動端末の気付アドレスと前記移動端末のホームリンクにおけるホームアドレスの対応を保持し、移動端末のホームアドレス宛てに転送されてきたパケットを気付アドレス宛てに転送するホームエージェントに関する。
IP(Internet Protocol)ネットワークにおいて、端末がネットワーク上の接続位置を変えても通信を行うことを可能とするプロトコルとして、米国の標準化団体IETF(Internet Engineering Task Force)においてモバイルIPv4(Internet Protocol version 4)が標準化されている。また、近年のIPネットワーク上に存在する端末数の急増により、IPアドレス枯渇の問題が深刻化しており、より多くのIPアドレスを使用することが可能なIPv6(Internet Protocol version 6)を使用したネットワークへの移行が本格化している。このため、通常のIPv4ネットワークにおけるモバイルIPだけでなく、IPv6ネットワーク上での端末の移動をサポートするプロトコルとしてモバイルIPv6の標準化が進められており、IETFにおいてRFC化のための審議が行われている。
モバイルIPv6では、移動端末(MN:Mobile Node)は、自分が通常接続するホームネットワークにおいて端末の移動を管理するホームエージェント(HA)に、移動先で使用するアドレスである気付アドレス(CoA)を登録する。また、登録後に移動端末が更に移動した場合には、ホームエージェントに対して新たな気付アドレスを通知し、ホームエージェントに登録された気付アドレスを更新する。ホームエージェントは、気付アドレスを用い、移動先の移動端末宛てへのパケットを中継する。
モバイルIPv6では、通信のセキュリティ保証のために、IPsec(IP Security Protocol)暗号処理のサポートが必須とされている。IPsec暗号処理は、パケット転送やカプセル/デカプセル化処理よりも処理負荷が重く、一般的に、セキュリティの強度を上げればあげるほど、処理負荷が増大する。
図1は、従来のモバイルIPシステムの一例のブロック構成図を示す。同図中、移動端末10は、所定のホームアドレス(HoA)を有し、通常、社内LAN等のホームリンク11に接続されている。ホームリンク11にはルータを兼ねるホームエージェント(HA)12が接続されている。また、ホームエージェント12はインターネット等のネットワーク13に接続されている。
ホームエージェント12は、移動端末10が外部リンク14に移動した際に、移動端末10の移動先アドレス(気付アドレス:CoA)とホームアドレス(HoA)の対応を保持するバインディングキャッシュ(BC)と、移動端末のホームアドレス宛てに転送されてきたIPパケットを気付アドレス宛てにカプセル化して転送するIPインIPカプセル化機能を有しており、通信をしてきた相手端末(相手端末:Corresponding Node)15から移動端末10に転送する。
ところで、例えば特許文献1には、ホームリンクと外部リンクそれぞれには位置されている暗号化ゲートウエイからセキュリティポリシ情報を取得して比較し、外部リンクの暗号化ゲートウエイを暗号化トンネルの終端点に使用できるかどうかを判断し、使用できない場合は外部リンクの暗号化ゲートウエイに暗号化トンネルフローをスルーする設定を行い、移動計算機自体がトンネルを終端することが記載されている。
特開平10−126405号公報
今後、移動体通信の普及に伴い、移動先や通信を求めてきた相手に応じて、異なるレベルのセキュリティ保証が必要になる。例えば、グループ会社に出張中に出張先のネットワーク経由で、自分の関連部署からVoIP(Voice over IP)通信を受信して通信する場合、グループ会社の関係外者に漏れないよう暗号化することが想定される。
また、上記のパケット・バイ・パケットの暗号化処理以外にも、やはり、移動先や通信を求めてきた相手に応じて、セキュリティ上の加工を施すことが考えられる。例えば、顧客会社内でFTP(File Transfer Protocol)により受信した電子文書はプリントアウト(またはコピー)できないようにする等の閲覧制限をかける等の閲覧権処理である。
セキュリティに限らずとも、やはり、移動先や通信を求めてきた相手に応じて、異なるサービスを享受することが要望される可能性がある。従来のホームエージェントは、暗号化処理機能を持っているが、これまで、移動端末毎に移動先と相手端末との組合せで、暗号化レベルを変更する機能はなかった。
また、暗号化処理の負荷の重さは、ホームエージェントの大容量化等のスケーラビリティを確保する上のボトルネックとなっており、上記の移動端末毎に移動先と相手端末との組合せで、暗号化レベルを変更し、つまり、必要なセキュリティ保証レベルに応じた強度の暗号化アルゴリズムの適用し、そして、暗号化処理を行う際の問題となる。
ここで、ホームエージェントの暗号化処理に頼らないパケット・バイ・パケット暗号化並びに付加価値サービス提供を行うため、これらの処理に特化した特定のサーバを経由させて、通信をさせることが考えられる。すなわち、通信内容の秘匿や発信された電子文書等の漏洩防止措置を行うため、暗号化ゲートウエイや閲覧権処理サーバを利用する対応である。モバイルIPによる移動通信の場合も、ホームエージェントから外部リンクの間に、図1に破線16で示す位置に暗号化ゲートウエイや閲覧権処理サーバを配置して中継させることにより、目的とするセキュリティ処理や付加サービス提供が機能的には可能である。
しかし、移動端末とホームエージェントと間に配した暗号化ゲートウエイや閲覧権処理サーバに、以下に述べる特別な処理オーバヘッドを必要とし、また、そもそも、移動端末への全通信を全部、これらの機器を通すことから転送速度が劣化するという問題があった。
モバイルIPによる移動通信の場合、通信をしてきた相手端末15から移動端末10への通信をインターセプトするホームエージェント12は、相手端末15が移動端末10の移動を意識せずに済むように、相手端末15からのパケットをカプセル化し、移動端末10の移動先のアドレス(気付アドレス)宛てに転送する。ここで、ホームエージェント12から移動先の移動端末10へのパケットの送信元アドレスは、ホームエージェント12のアドレスになっている。従って、ホームエージェント12から移動端末10の間に破線16で示す暗号化ゲートウエイや閲覧権処理サーバを配置し、移動先ならび相手端末に応じた処理を行うためには、カプセル化された内部のパケットの宛先並びに送信元アドレスを読み取らなければならない。なお、気付アドレスは、移動先で動的に取得されるアドレスなので、適用セキュリティポリシの判断キーに使えない。
この処理は、暗号化ゲートウエイや閲覧権処理サーバにとって追加的な処理であり、処理オーバヘッドとなり、転送性能の劣化に結びつく。また、移動先や相手端末によっては、これらのサーバでの処理が不要の場合もあり、それらの通信も全て暗号化ゲートウエイや閲覧権処理サーバを通すことにより、これらの機器が通信のボトルネックになるという問題点があった。
本発明は、上記の点に鑑みなされたものであり、移動端末毎に移動先と相手端末の組合せに応じてサービスを切替えることができ、転送速度の劣化を防止できるホームエージェントを提供することを目的とする。
請求項1に記載の発明は、移動端末の気付アドレスと前記移動端末のホームリンクにおけるホームアドレスの対応を保持し、移動端末のホームアドレス宛てに転送されてきたIPパケットを気付アドレス宛てに転送するホームエージェントにおいて、
移動端末毎に、前記移動端末の移動先と相手端末の組合せに基づいて提供するサービスを切替えるサービス切替え手段を有することにより、
移動端末毎に移動先と相手端末の組合せに応じてサービスを切替えることができる。
請求項2に記載の発明では、請求項1記載のホームエージェントにおいて、
前記サービス切替え手段は、特定サービスの対象パケットを外部装置に転送する転送手段と、
前記外部装置で前記特定サービスの処理を実行された対象パケットを受信する受信手段を有することにより、
特定サービスの対象パケットを外部装置に転送して特定サービスの処理を実行でき、転送速度の劣化を防止できる。
請求項3に記載の発明では、請求項2記載のホームエージェントにおいて、
前記特定サービスとして、暗号化レベルを切替える。
請求項4に記載の発明では、請求項3記載のホームエージェントにおいて、
前記外部装置は、暗号化レベルに応じて複数設けられ、
前記転送手段は、暗号化レベルに応じた外部装置に対象パケットを転送することにより、複数の暗号化レベルに応じた暗号化処理を行うことができる。
請求項5に記載の発明では、請求項2記載のホームエージェントにおいて、
前記特定サービスとして、閲覧制限レベルを切替える。
本発明によれば、移動端末毎に移動先と相手端末の組合せに応じてサービスを切替えることができ、転送速度の劣化を防止できる。
以下、図面に基づいて本発明の実施形態について説明する。
図2は、本発明が適用されるモバイルIPシステムの一実施形態のブロック構成図を示す。同図中、図1と同一部分には同一符号を付す。図2において、移動端末10は、所定のホームアドレス(HoA)を有し、通常、本社のLAN等のホームリンク11に接続されている。ホームリンク11にはルータを兼ねるホームエージェント22が接続されている。また、ホームエージェント22はインターネット等のネットワーク13に接続されている。
ホームエージェント22は、移動端末(MN)10が支社のLAN等の外部リンク14に移動した際に、移動端末10の気付アドレス(CoA)とホームアドレス(HoA)の対応を保持するバインディングキャッシュ(BC)と、移動端末のホームアドレス宛てに転送されてきたIPパケットを気付アドレス宛てにカプセル化して転送するIPインIPカプセル化機能を有しており、通信をしてきた相手端末(CN)15から移動端末10に転送する。
本発明では、移動端末10、移動先の外部リンク14、相手端末15に応じたセキュリティポリシまたはサービスを実施する。このため、暗号化ゲートウエイや閲覧権処理サーバに機能追加するよりも、ホームエージェント22の例えばセキュリティポリシデータベースを拡張し、このセキュリティポリシデータベースの適用ポリシの判断に基づき、対処が必要な通信のみ暗号化ゲートウエイや閲覧権処理サーバ等の専用の外部装置24,25,26に転送して処理させる。外部装置24,25,26はホームリンク11に接続される。なお、外部装置24,25,26はホームリンク11を介さずホームエージェント22に直接接続される構成であっても良く、外部装置の数は1台、2台、4台以上のいずれであっても良い。
外部装置24,25,26で処理されたパケットは再びホームエージェント22に戻し、ホームエージェント22から通常のモバイルIP転送処理させることにより、外部装置24,25,26ではカプセル化されたなかのパケットの情報を読み取る等の追加機能が不要となり、処理対象外の余計なトラヒックが通過しないので処理のボトルネック化を回避できる。また、外部装置24,25,26として汎用機が使用できるので、安価なシステム構築が可能となり、柔軟なサービス展開が可能となる。
図3は本発明のホームエージェントの第1実施形態のブロック図、図4はその変形例のブロック図を示す。図3、図4において、実線の矢印はパケットデータの流れを表わし、破線の矢印は制御データの流れを表わす。
まず、特別なセキュリティ処理や付加サービス処理を必要としないパケットの処理について説明する。
図3において、外部リンク14から受信したパケットは、まず、パケット識別部31に供給され、パケットのヘッダ情報に基づき、以降の処理が決定される。
(1)パケットが移動端末10からホームエージェント22宛の位置登録メッセージ(Binding Updateメッセージ)のパケット受信の場合、
パケット識別部31において、宛先IPアドレスがホームエージェント22のアドレスで、位置登録メッセージの情報を運ぶオプションヘッダを含んでいることから、位置登録メッセージのパケットであることを認識する。これを認識後、位置登録メッセージのパケットは、認証データを含み暗号化されているため、SAD部32aにて、パケット内に埋め込まれた論理的な暗号コネクションであるSA(Security Association)の識別子であるSPI(Security Parameter Index)を抽出し、それをキーにSAD部32aに内蔵されるSAD(Security Association Database)を検索し、復号化のために必要な情報を取得する。
本情報をパケットとともに、復号化部33aに渡して復号化を行う。復号化されたパケットは、位置情報管理部34に供給され、位置管理に必要な情報の抽出、管理情報の生成、更新が実施される。例えば、移動端末10が、新たな場所に移動し、そこで取得した気付アドレスの登録である場合、移動端末10のホームアドレスHoAと気付アドレスの対応関係(Binding)を生成して保持し、更に、相手端末から移動端末10への中継処理を行うため、上記対応関係をB.C.処理部38が内蔵のB.C.(Binding Cache)テーブルに記録する。
位置情報管理部34は、位置登録メッセージを受信、上記の必要な処理を行った後、メッセージ発信元の移動端末10に対して、登録確認メッセージ(Binding Acknowledge:BAメッセージ)を発信する。位置情報管理部34で生成された登録確認メッセージのパケットは、位置情報管理部34が指示する暗号化実行情報とともに暗号化部35aに渡され暗号化される。暗号化後、ルーティング処理部37に渡され、ルーティング処理部37の内蔵フォワーディングテーブルの内容が示すネットワークインタフェースから送信される。
(2)相手端末から移動端末10(HoA)宛パケットの受信の場合、
パケット識別部31において、上記位置登録メッセージのパケットでもなく、IPインIPカプセル化パケットでないことから判断し、B.C.処理部38に渡す。B.C.処理部38では、パケットの宛先アドレスを抽出し、これをキーに、B.C.テーブルを検索する。
B.C.処理部38はB.C.テーブルにエントリが無ければ、ルーティング処理部37に渡し、ルーティング処理部37の内蔵するフォワーディングテーブルの内容が示すネットワークインタフェースから送信する。宛先アドレスがHoAであって、B.C.テーブルにエントリがないということは、通常、移動端末10が移動せず、ホームリンク11にいることを示し、ルーティングの結果は、ホームリンク11への接続ネットワークインタフェースとなる。
B.C.テーブルにエントリが存在する場合、移動端末10は、気付アドレスのアドレスを持ち、外部リンク14に存在するので、B.C.処理部38はB.C.テーブルから得た気付アドレスと共にパケットをカプセル化部39へ渡す。カプセル化部39では、気付アドレスを宛先アドレスとし、ホームエージェント22のアドレスを送信元アドレスとして、IPインIPカプセル化し、SPD部40にカプセル化後のパケットを渡す。
SPD部40は、パケットからヘッダ情報を抽出し、本情報をキーにSPD(Security Policy Database)を検索する。SPDにエントリがなければ、ルーティング処理部37に渡し、ルーティング処理部37の内蔵するフォワーディングテーブルの内容が示すネットワークインタフェースから送信する。
SPDにエントリがあれば、該当エントリ情報をパケットとともに、SAD部32cへ渡す。SAD部32cでは、SPDのエントリ情報をもとに、論理的な暗号コネクションであるSAを選択し、該当エントリ情報をパケットとともに、暗号化部35cに渡し、暗号化部35cで暗号化を実施した後で、ルーティング処理部37に渡し、ルーティング処理部37の内蔵フォワーディングテーブルの内容が示すネットワークインタフェースから送信する。暗号化パケットの宛先アドレスは、気付アドレスとなっており、ルーティングの結果として、移動端末10宛て転送される。
なお、図4においては、B.C.処理部38はB.C.テーブルにエントリが存在する場合、B.C.テーブルから得た気付アドレスと共にパケットをSPD部40に渡す。SPD部40はパケットからヘッダ情報を抽出してSPDを検索し、SPDにエントリがなければ、カプセル化部39でIPインIPカプセル化してルーティング処理部37に渡す。 SPDにエントリがあれば、該当エントリ情報をパケットと共にカプセル化部39に渡してカプセル化部39でIPインIPカプセル化したのち該当エントリ情報と共にSAD部32cに渡す。
(3)外部リンク14にいる移動端末10(気付アドレス)から相手端末宛パケットを受信した場合、
パケット識別部31において、宛先IPアドレスがホームエージェント22のアドレスであって、IPインIPカプセル化パケット、あるいは、位置登録メッセージの情報を運ぶオプションヘッダが無く暗号化パケットであることから、相手端末宛パケットであることを認識する。
相手端末宛パケットがIPインIPカプセル化パケットの場合は、デカプセル化部36に渡してデカプセル化を行い、ルーティング処理部37に渡してルーティング処理部37の内蔵フォワーディングテーブルの内容が示すネットワークインタフェースから送信する。
パケット識別部31で相手端末宛パケットが暗号化パケットと認識した場合、このパケットをSAD部32bに渡してパケット内のSPIを抽出し、それをキーに、SAD(Security Association Database)を検索し、復号化のために必要な情報を取得する。本情報をパケットとともに復号化部33bに渡して復号化を行う。続いて、復号化したパケットは、デカプセル化部36に渡してデカプセル化を行い、ルーティング処理部37に渡してルーティング処理部37の内蔵するフォワーディングテーブルの内容が示すネットワークインタフェースから送信する。
(4)ホームリンク11からの受信パケットの場合、
受信パケットは、ルーティング処理部37に渡し、ルーティング処理部37の内蔵するフォワーディングテーブルの内容が示すネットワークインタフェースから送信する。
以上の特別なセキュリティ処理や付加サービス処理を必要としないパケットに対する動作は従来のホームエージェント12でも行っていることである。
本発明においては、移動端末毎に移動先と相手端末との組合せにより提供サービスを切替えるために、ホームリンク11からルーティング処理部37に至る間に新たにFLT(フィルタ)部41を追加し、FLT部41からデカプセル化部36へのルートと、SAD部32bとSPD部40からホームリンク11のインタフェースに分岐したルートを設ける。また、図4の構成では、FLT部41からB.C.処理部38へのルートと、カプセル化部39からホームリンク11のインタフェースに分岐したルートを追加して設ける。
更に、それらルートへの振り分け論理を持って、ホームエージェント22が端末毎に移動先と相手端末との組合せから提供すべきサービスを判断し、サービスに応じて、必要な処理を外部装置に委託する。この振り分け論理の管理、振り分け内容の生成を行うため、サービス管理部42を設け、FLT部41、SAD部32b、SPD部40に対し必要な指示や設定を行う。
ここで、図5(A)にSPD部40が内蔵するSPDのデータベース構成を示す。従来からのキー項目である送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート、宛先ポートに、気付アドレスプレフィクス値(IPv6のアドレスで移動端末が接続されたネットワークを表わしている)が追加され、従来からの項目であるIPsec適用有無、SADポインタに、カプセル化指示、外部転送指示フラグ、外部転送先INFが追加されている。
図5(B)にSAD部32bが内蔵するSADのデータベース構成を示す。キー項目であるSPIに対し、従来からの項目であるIPsec適用プロトコル、IPsecカプセル化モード、暗号アルゴリズム、認証アルゴリズムに、外部転送指示フラグ、外部転送先インタフェースが追加されている。なお、図5(C)にSAD部32a,32cが内蔵するSADのデータベース構成を示す。ここでは、キー項目がSPDエントリ情報であるSADポインタとされ、従来からの項目であるIPsec適用プロトコル、IPsecカプセル化モード、暗号アルゴリズム、認証アルゴリズムだけで、外部転送指示フラグ、外部転送先INFは追加されていない。
図5(D)にFLT部41が内蔵するFLTテーブル構成を示す。キー項目である受信NW(ネットワーク)インタフェース、プロトコルに対し、転送ブロックが指定されている。
図6にサービス管理部42のテーブル構成を示す。図6(A)に示すように、移動端末のホームアドレスに対し適用ポリシのインデックスが設定されている。また、図6(B)に示すように、適用ポリシのインデックスに対し、相手端末のリストが設定され、相手端末毎にプロトコル、CN適用レベル、適用サービスが設定されている。
図6(C)に示すように、気付アドレスまたは気付アドレスのプレフィクス値に対し、CoA適用レベルが設定されている。また、図6(D)に示すように、CN適用レベルとCoA適用レベルに対し、組合適用レベルが設定されている。図6(D)に示すように、組合適用レベルに対し、外部装置IDと外部転送先インタフェースが設定されている。更に、図6(E)に示すように、適用サービスに対し、外部装置IDと外部転送先インタフェースが設定されている。
なお、図6(B)に示すように、適用ポリシのインデックスに対し相手端末毎に適用サービスを設定する代りに、図6(D)に示すCN適用レベルとCoA適用レベルに対し組合適用レベルと共に適用サービスを設定する構成をとっても良い。この場合には、移動端末と相手端末とに応じて適用サービスを切替えることが可能となる。
移動端末毎に移動先と相手端末との組合せにより暗号化レベルを切替える場合について説明する。暗号化レベルの選択と暗号化実施をホームエージェント22で行う。暗号化レベルの選択を行うため、SAD部32b、SPD部40に、端末毎に移動先と相手端末との組合せに対応する暗号化情報(セキュリティポリシ)のエントリを持つ。
図7に、暗号化情報のエントリ作成処理のシーケンスを示す。エントリ作成の契機は外部リンク14にある移動端末10からホームエージェント22に位置情報の新規登録、登録更新時である。移動端末10は、外部リンク14で気付アドレスを取得し、それをホームエージェント22に位置登録メッセージで通知する。
ホームエージェント22のサービス管理部42は、図6(A),(B)に示すように、各移動端末10について予め相手端末に関するセキュリティ保証レベルとしてのCN適用レベルと、図6(C)に示すように、気付アドレスのプレフィクス値から判断する外部リンク14のセキュリティ保証レベルとしてのCoA適用レベルの情報データベースを有している。
ステップS10でホームエージェント22が位置登録メッセージを受信した場合、従来どおりの装置内処理に従って上記位置登録メッセージは位置情報登録管理部34に送られる。ここで、位置情報登録管理部34は、従来処理に加えて、抽出した気付アドレスが、その移動端末10にとって新規であった場合、移動端末10と気付アドレスの情報をサービス管理部42へ通知する。
サービス管理部42は、それを受けて前記セキュリティ保証レベルの情報データベースを用いて、相手端末(レベルが明らかな特定の相手端末と、それ以外のデフォルトレベルを適用する相手端末がある)と気付アドレスの組合せについて適用すべきセキュリティポリシとしての組合適用レベルを決定し、決定した組合適用レベルをSAD部32a並びにSPD部40へ設定する。
相手端末15から移動端末10または移動端末10から相手端末15へのパケットを受信した場合、この設定エントリが参照されることにより暗号化レベルつまり組合適用レベルを選択され、暗号化部35bまたは復号化33bに指示がなされる。
選択した組合適用レベルが特定のレベルの場合に、外部の暗号化処理装置としての例えば外部装置24に処理対象パケットを転送し、暗号化処理を外部装置24に実行させる。これは、処理負荷の大きい特定の暗号処理を、外部装置24に実施させるための仕組みである。
サービス管理部42は、図6(E)に示すように、特定の暗号処理を行う装置に関する情報として外部装置IDと外部転送先インタフェースを保持しており、その情報を用いて、相手端末15と気付アドレスの組合せに対する適用セキュリティポリシを決定する際に、その決定内容を実施する装置(自ホームエージェント22または外部装置24)を求め、SAD部32aならびにSPD部40に対して設定する。
SAD部32aならびにSPD部40では、パケット受信時に設定情報を参照し、外部装置24への転送指示があった場合、指示された外部転送先インタフェースに対してパケットを転送する。
また、外部装置24から処理されたパケットを受けて、相手端末15乃至移動端末10宛てに応じた中継処理を行うため、FLT部41にて図5(D)に示すFLTテーブルを用いて、受信インタフェースを認識して相手端末15宛か移動端末10宛かを識別し、適切な処理ブロックにパケットを振り分ける。
例えば、外部装置24が接続していない受信ネットワークインタフェースで受信したパケットは、ルーティング処理部37に渡して従来どおりのフォワーディングを行う。また、外部装置24が接続している受信ネットワークインタフェースで受信した場合、そのパケットがIPインIPカプセル化パケットであれば、移動端末10から相手端末15へのパケットと判断してデカプセル化部36に渡し、カプセル化されていない暗号化パケットであれば、相手端末15から移動端末10へのパケットと判断してルーティング処理部37へ渡し、該パケットヘッダの情報に基づいてフォワーディングを実施する。
ここで、外部装置24にて行うIPsec暗号化モードは、パケットヘッダより以降を暗号化するトランスペアレントモードで運用する。図3に示すとおり、相手端末15から移動端末10へのパケットは、カプセル化部39にてカプセル化後に、外部装置24に転送しており、外部装置24がトランスペアレントモードで暗号化後のパケットヘッダの宛先アドレスは、移動端末10の気付アドレス宛で保持され参照できるのでルーティング処理部37にてフォワーディングが実施できる。
暗号化レベルに応じて、パケット転送先の外部装置を切替える実施形態について説明する。この実施形態では、各々別の暗号アルゴリズムを処理する複数台の外部装置(例えば外部装置24,25)を用いて、必要な暗号処理に応じて適切な外部装置へ振り分けを行う。これは、サービス管理部42が保持する外部装置と接続インタフェース情報の対応関係テーブルのエントリ数を増やすことで実現できる。これにより、さらに、暗号処理に関するスケーラビリティ確保を実現できる。
図8に外部装置を切替える処理のシーケンスを示す。同図中、ステップS20でホームエージェント22が相手端末15からのパケットを受信すると、B.C.処理部38でB.C.テーブルの指示によるカプセル化後、SPD部40のSPDに外部装置24,25への転送指示があると、この外部装置24,25が接続している外部転送先インタフェースにパケットを転送する。外部装置24,25ではステップS21で、自装置で持っているSPD内容に従って暗号化後、ホームエージェント22の接続ネットワークインタフェースに転送する。ホームエージェント22は、ステップS22で、このパケットを受信ネットワークインタフェースで受信して暗号化パケットであることを認識し、ルーティング処理部37へ渡し、パケットヘッダの情報に基づいて移動端末10へのフォワーディングを実施する。
また、ステップS23でホームエージェント22が移動端末10からのパケットを受信すると、SPD部32bのSPDに外部装置24,25への転送指示があると、この外部装置24,25が接続している外部転送先インタフェースにパケットを転送する。外部装置24,25ではステップS24で、自装置で持っているSPD内容に従って復号化後、ホームエージェント22の接続ネットワークインタフェースに転送する。ホームエージェント22は、ステップS22で、このパケットを受信ネットワークインタフェースで受信して暗号化パケットでないことを認識し、デカプセル化部36にてデカプセル化後に、ルーティング処理部37へ渡し、パケットヘッダの情報に基づいて相手端末15へのフォワーディングを実施する。
ここで、接続ネットワークインタフェースとして、物理インタフェースを対応させる場合と、VLAN等を用いて、一つの物理インタフェース上に多重した論理インタフェースを対応させる場合がある。後者は、ホームエージェント22の物理インタフェース数が少なく、複数の外部暗号処理装置を接続したい場合に有効である。
次に、暗号化以外の付加的なサービスの適用を判断し、サービスを実行する例えば外部装置26に処理対象パケットを転送する実施形態について説明する。付加サービスとしては、例えば顧客会社内でFTPにより受信した電子文書はプリントアウトできないようにする等の閲覧制限をかけるサービスである。
この場合、ホームエージェント22は図4の構成をとる。図4のSPD部40並びにカプセル化部39から外部装置26への転送ルートと、外部装置26から受信したパケットに対して、FLT部41からB.C.処理部38への転送ルートを設ける。サービスに応じて、カプセル化前のパケットを外部装置26に転送し、処理され返送されてきたパケットに対して、カプセル化処理を行うために、これらの転送ルートを用いる。
図9に付加サービス処理のシーケンスを示す。同図中、ステップS30でホームエージェント22が相手端末15からのパケットを受信し、SPD部40のSPDに外部装置26への転送指示があると、カプセル化部39でのカプセル化を行わずに、外部装置26が接続している外部転送先インタフェースにパケットを転送する。外部装置26ではステップS31で、自装置の持っている所定の処理を実施後、ホームエージェント22の接続ネットワークインタフェースに転送する。
ホームエージェント22は、ステップS32で、このパケットを外部装置26が接続している受信ネットワークインタフェースで受信し、この受信ネットワークインタフェース情報と共に受信パケットをB.C.処理部38に渡す。B.C.処理部38では通常の処理を行って受信ネットワークインタフェース情報と共にSPD部40に渡す。SPD部40ではSPDが転送を指示するネットワークインタフェースと上記受信ネットワークインタフェースが同一であるとき、SPDの転送指示を無視し、他の通常処理に従う。つまり、カプセル化部39でのカプセル化を行い、SAD部32c,暗号化部35bを経由し、ルーティング処理部37でパケットヘッダの情報に基づいて移動端末10にフォワーディングされる。なお、パケットによってはSAD部32c,暗号化部35bを経由しない場合もある。
これにより、付加的なサービスを提供する外部装置26をホームエージェント22が基点となり、多段接続することが可能であり、提供サービスの柔軟な組合せ及び構成が可能となる。
次に、暗号化や付加サービスを提供するに当たって、外部装置24〜26が移動端末10と通信を行い、動的にサービスの実施情報を交換する実施形態について説明する。この場合、ホームエージェント22は外部装置と移動端末10間の交換情報をインターセプトし、必要な情報を取得して外部装置24〜26と共有する。
図10は本発明のホームエージェントの第2実施形態のブロック図を示す。同図中、図4と同一部分には同一符号を付す。図10で図4と異なる部分は、サービス制御プロトコル処理部43を設けた点である。
図10は、移動端末10との外部装置24,25間で暗号論理コネクションを動的に確立する場合に対応しており、ネゴシエーションのためのプロトコルをホームエージェント22が外部装置24,25に中継する。パケット認識部31は、この中継の際に、SAD部32a,32b,32c等に必要な暗号論理コネクションの情報(IPsec適用プロトコル、IPsecカプセル化モード、暗号アルゴリズム、認証アルゴリズムを含む)をインターセプトしてサービス制御プロトコル処理部43に供給し、サービス制御プロトコル処理部43は暗号論理コネクションの情報を保持し、図5(B),(C)に示すSAD部32a,32b,32cのデータベースにおけるIPsec適用プロトコル、IPsecカプセル化モード、暗号アルゴリズム、認証アルゴリズムそれぞれを更新する。
なお、サービス管理部42が請求項または付記に記載のサービス切替え手段に対応し、SPD部40が転送手段に対応し、FLT部41が受信手段に対応し、サービス制御プロトコル処理部43が実施情報取得手段に対応する。
(付記1)
移動端末の気付アドレスと前記移動端末のホームリンクにおけるホームアドレスの対応を保持し、移動端末のホームアドレス宛てに転送されてきたIPパケットを気付アドレス宛てに転送するホームエージェントにおいて、
移動端末毎に、前記移動端末の移動先と相手端末の組合せに基づいて提供するサービスを切替えるサービス切替え手段を
有することを特徴とするホームエージェント。
(付記2)
付記1記載のホームエージェントにおいて、
前記サービス切替え手段は、特定サービスの対象パケットを外部装置に転送する転送手段と、
前記外部装置で前記特定サービスの処理を実行された対象パケットを受信する受信手段を
有することを特徴とするホームエージェント。
(付記3)
付記2記載のホームエージェントにおいて、
前記特定サービスとして、暗号化レベルを切替えることを特徴とするホームエージェント。
(付記4)
付記3記載のホームエージェントにおいて、
前記外部装置は、暗号化レベルに応じて複数設けられ、
前記転送手段は、暗号化レベルに応じた外部装置に対象パケットを転送することを特徴とするホームエージェント。
(付記5)
付記2記載のホームエージェントにおいて、
前記特定サービスとして、閲覧制限レベルを切替えることを特徴とするホームエージェント。
(付記6)
付記2乃至5のいずれか記載のホームエージェントにおいて、
前記外部装置は、前記ホームリンクに接続されることを特徴とするホームエージェント。
(付記7)
付記2乃至5のいずれか記載のホームエージェントにおいて、
前記外部装置は、ネットワークを介さず自装置に直接接続されることを特徴とするホームエージェント。
(付記8)
付記1乃至7のいずれか記載のホームエージェントにおいて、
前記移動端末と前記外部装置の間で動的に前記特定サービスの実施情報を交換する際に、前記特定サービスの実施情報を取得し、そのうち必要な情報を前記サービス切替え手段に設定する実施情報取得手段を
有することを特徴とするホームエージェント。
従来のモバイルIPシステムの一例のブロック構成図である。 本発明が適用されるモバイルIPシステムの一実施形態のブロック構成図である。 本発明のホームエージェントの第1実施形態のブロック図である。 本発明のホームエージェントの第1実施形態の変形例のブロック図である。 ホームエージェント各部のデータベース及びテーブルの構成を示す図である。 サービス管理部のテーブル構成を示す図である。 暗号化情報のエントリ作成処理のシーケンスである。 外部装置を切替える処理のシーケンスである。 付加サービス処理のシーケンスである。 本発明のホームエージェントの第2実施形態のブロック図である。
符号の説明
10 移動端末
11 ホームリンク
13 ネットワーク
14 外部リンク
15 相手端末
22 ホームエージェント
24,25,26 外部装置
31 パケット識別部
32a,32b,32c SAD部
33a,33b 復号化部
34 位置情報管理部
35a,35b 暗号化部
36 デカプセル化部
37 ルーティング処理部
38 B.C.処理部
39 カプセル化部
40 SPD部
41 FLT部
42 サービス管理部
43 サービス制御プロトコル処理部

Claims (5)

  1. 移動端末の気付アドレスと前記移動端末のホームリンクにおけるホームアドレスの対応を保持し、移動端末のホームアドレス宛てに転送されてきたパケットを気付アドレス宛てに転送するホームエージェントにおいて、
    移動端末毎に、前記移動端末の移動先と相手端末の組合せに基づいて提供するサービスを切替えるサービス切替え手段を
    有することを特徴とするホームエージェント。
  2. 請求項1記載のホームエージェントにおいて、
    前記サービス切替え手段は、特定サービスの対象パケットを外部装置に転送する転送手段と、
    前記外部装置で前記特定サービスの処理を実行された対象パケットを受信する受信手段を
    有することを特徴とするホームエージェント。
  3. 請求項2記載のホームエージェントにおいて、
    前記特定サービスとして、暗号化レベルを切替えることを特徴とするホームエージェント。
  4. 請求項3記載のホームエージェントにおいて、
    前記外部装置は、暗号化レベルに応じて複数設けられ、
    前記転送手段は、暗号化レベルに応じた外部装置に対象パケットを転送することを特徴とするホームエージェント。
  5. 請求項2記載のホームエージェントにおいて、
    前記特定サービスとして、閲覧制限レベルを切替えることを特徴とするホームエージェント。
JP2004203677A 2004-07-09 2004-07-09 ホームエージェント Expired - Fee Related JP4334425B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004203677A JP4334425B2 (ja) 2004-07-09 2004-07-09 ホームエージェント
US11/024,294 US20060007879A1 (en) 2004-07-09 2004-12-28 Home agent

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004203677A JP4334425B2 (ja) 2004-07-09 2004-07-09 ホームエージェント

Publications (2)

Publication Number Publication Date
JP2006025356A JP2006025356A (ja) 2006-01-26
JP4334425B2 true JP4334425B2 (ja) 2009-09-30

Family

ID=35541266

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004203677A Expired - Fee Related JP4334425B2 (ja) 2004-07-09 2004-07-09 ホームエージェント

Country Status (2)

Country Link
US (1) US20060007879A1 (ja)
JP (1) JP4334425B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566583B2 (en) 2006-11-30 2013-10-22 Telefonaktiebolaget L M Ericsson (Publ) Packet handling in a mobile IP architecture
KR101659463B1 (ko) * 2011-06-03 2016-09-23 에어 프로덕츠 앤드 케미칼스, 인코오포레이티드 탄소-도핑된 규소-함유 막을 증착시키기 위한 조성물 및 방법
US9923874B2 (en) * 2015-02-27 2018-03-20 Huawei Technologies Co., Ltd. Packet obfuscation and packet forwarding

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
US6973057B1 (en) * 1999-01-29 2005-12-06 Telefonaktiebolaget L M Ericsson (Publ) Public mobile data communications network
US7174018B1 (en) * 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
SG108302A1 (en) * 2001-08-13 2005-01-28 Ntt Docomo Inc Packet transmission system, and apparatus and method for controlling packet transmission route
EP1505779A1 (en) * 2002-05-15 2005-02-09 Mitsubishi Denki Kabushiki Kaisha Packet scheduling system and packet scheduling method
AU2003247428A1 (en) * 2002-05-28 2003-12-12 Zte San Diego, Inc. Interworking mechanism between cdma2000 and wlan
JP4028793B2 (ja) * 2002-12-03 2007-12-26 株式会社日立製作所 移動端末装置および端末間パケット通信方法
US7403516B2 (en) * 2003-06-02 2008-07-22 Lucent Technologies Inc. Enabling packet switched calls to a wireless telephone user

Also Published As

Publication number Publication date
US20060007879A1 (en) 2006-01-12
JP2006025356A (ja) 2006-01-26

Similar Documents

Publication Publication Date Title
US8437345B2 (en) Terminal and communication system
US9300634B2 (en) Mobile IP over VPN communication protocol
US6167513A (en) Mobile computing scheme using encryption and authentication processing based on mobile computer location and network operating policy
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7861080B2 (en) Packet communication system
US6904466B1 (en) Mobile communication scheme without home agents for supporting communications of mobile nodes
US20040037260A1 (en) Virtual private network system
JPH10178421A (ja) パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
JP2010500782A (ja) モバイルipシステムにおけるパケットのルーティングを行うための方法と装置
US20070025309A1 (en) Home agent apparatus and communication system
CN113852552B (zh) 一种网络通讯方法、系统与存储介质
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US8566583B2 (en) Packet handling in a mobile IP architecture
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
JP4334425B2 (ja) ホームエージェント
JP2009540637A (ja) デュアルスタック移動体ノードがIPv4ネットワーク中でローミングするための方法と装置
JP5298540B2 (ja) ネットワークシステム、データ送受信方法、及びデータ送受信プログラム
Korhonen Mobile IPv6 in Linux Kernel and User Space

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090616

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees