JP4592611B2 - パケット通信システム - Google Patents

パケット通信システム Download PDF

Info

Publication number
JP4592611B2
JP4592611B2 JP2006027726A JP2006027726A JP4592611B2 JP 4592611 B2 JP4592611 B2 JP 4592611B2 JP 2006027726 A JP2006027726 A JP 2006027726A JP 2006027726 A JP2006027726 A JP 2006027726A JP 4592611 B2 JP4592611 B2 JP 4592611B2
Authority
JP
Japan
Prior art keywords
packet
header
security policy
transmission
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006027726A
Other languages
English (en)
Other versions
JP2007208855A (ja
Inventor
宏 若目田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006027726A priority Critical patent/JP4592611B2/ja
Priority to US11/700,782 priority patent/US7861080B2/en
Publication of JP2007208855A publication Critical patent/JP2007208855A/ja
Application granted granted Critical
Publication of JP4592611B2 publication Critical patent/JP4592611B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明はパケット通信システムに関し、特にモバイルVPN(Mobile Virtual Private Network)を用いて、パケット通信を行うパケット通信システムに関する。
IP(Internet Protocol)通信を行う際、端末にはIPアドレスが割り振られるが、端末を異なるネットワークに移動すると、異なるIPアドレスが割り振られ、移動前に行っていた通信を継続することができなくなる。このような異なるネットワークを移動する場合でも、IP通信を可能にする技術としてモバイルIP(Mobile IP)が開発されている。
モバイルIPは、IP層よりも上位の層に対して端末の移動を隠蔽して、端末が移動しても、相手先にはあたかも移動していないように見せることで、相手先と通信をしたままの移動を可能にする技術である。IP層で移動をサポートする具体的なモバイルIPプロトコルには、Mobile IPv4、Mobile IPv6がある。
一方、モバイルIPの進展に伴い、より利便性の高いリモートアクセスへの需要も増大しており、こうした需要を解決するために、VPN(Virtual Private Network)と呼ばれる技術が実現されている。VPNは、インターネットなどの公的ネットワークを介して、拠点間を結んで構築した仮想的な私有(プライベート)通信網のことであり、プライベートIPアドレスによる通信も行うことが可能である。
ここで、インターネット上のパケットのIPアドレスには、全世界でユニークな値のグローバルIPアドレスと、社内や家庭内で共有されるプライベートネットワークで使われるプライベートIPアドレスの2種類がある。
インターネット上で通信するには、お互いがグローバルIPアドレスを持つ必要があるが、企業などでは、ルータやWebサーバなど必要最低限の機器のみにグローバルIPアドレスを割り当て、社内LANなどにはプライベートIPアドレスを割り当てることが一般的である。
このため、通常は異なる場所から社内LANの端末に、インターネットを経由してアクセスすることはできないが、VPNでは、プライベートIPアドレス同士の通信が可能なので、各拠点のイントラネット間で、あたかも同一のプライベートネットワークのように通信を行うことができ、また、自宅や出張先などから社内LANへの通信といったリモートアクセスも実現することができる。
ただし、VPNは、専用線とは違い、セキュリティの脆弱なインターネットを介して通信を行うため(インターネットVPNの場合)、「盗聴(データの中身を盗み見ること)」、「改ざん(データの中身を書き替えること)」、「なりすまし(第3者が正規のユーザのふりをしてネットワーク上で活動すること)」などといった危険が多く、セキュリティは最も重要とされる要件である。このため、VPNでは、IPsec(IP security architecture)と呼ばれる暗号化通信を用いることで、これらの脅威を排除している。
IPsecは、IPパケット自体に秘匿性を持たせ、パケット情報を保証してアクセス制御を行うことで、特定のアプリケーションではなく、IPパケット単位でセキュリティを実現するものである。これにより、例えば、メール通信にはPGP(Pretty Good Privacy)、WWW通信にはSSL(Secure Socket Layer)などというように、各アプリケーションに対して固有のセキュリティ機能を用意する必要がなくなり、多様なアプリケーションを保護することができるという特徴を持っている。
さらに、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)などの上位のプロトコルを利用するアプリケーションは、IPsecを使用していることを意識せず利用できることや、低コストで専用回線と同等のセキュリティが維持できるなどの利点を持っている。
上記のように、モバイルIPでは、1つのIPアドレスをIPネットワーク上のどこからでも使い続けることができる移動性を持ち、またIPsecを用いたVPNでは、セキュリティを確保した相互通信が可能であるといった特徴を有している。
一方、近年になって、これらモバイルIPとVPNを組み合わせることで、移動性とセキュリティとの両方を備えた、モバイルVPNと呼ばれる技術が研究・開発されている。モバイルVPNでは、移動に合わせてモバイルIPの登録とVPNの更新を同時に行うもので、ユビキタス時代におけるリモートアクセスシステムの中核をなす技術として注目されている。
また、モバイルVPNは、当初、NAT(Network Address Translation)との対応や、ハンドオーバ時のセキュリティの整合性とシームレスな通信との両立などが技術的な課題となっていたが、これらもIETF(Internet Engineering Task Force)によるRFC3456、RFC3947、RFC3948、draft-ietf-mip4-vpn-problem-solution-01などの技術仕様によって解決されつつある。
モバイルVPNに関連する従来の技術としては、ヘッダから宛先アドレスを検索するルーティングテーブルを中継装置で保有して、無線端末を収容するネットワーク技術が提案されている(例えば、特許文献1)。
特開2005−86223号公報(段落番号〔0027〕〜〔0048〕,第1図)
しかし、従来のモバイルVPNのシステム(例えば、上記のdraft-ietf-mip4-vpn-problem-solution-01で示されるシステム)では、モバイルIPによるパケットのカプセル化(パケットに他の配送ヘッダを付加して、元のパケットを包み込むこと)転送の他に、VPN構築時のIPsecによるトンネルモードのカプセル化によって、IPパケットが3重にカプセル化されることになり、データサイズが大きくなってネットワーク帯域を逼迫させてしまうといった問題があった。
以降、従来の問題点について詳しく説明する。最初に、モバイルVPNの基盤となるモバイルIPの動作概要を示した後に、従来のモバイルVPNの問題点について具体的に説明する。
図30はモバイルIPのネットワーク構成例を示す図である。図31はモバイルIPのパケットフォーマットを示す図であり、(A)は移動ノードが送信するパケットのフォーマット、(B)はホームエージェントが送信するパケットのフォーマットである。
モバイルIPネットワークは、インターネット53を介して、ホームネットワーク51、在圏ネットワーク52、通信相手端末6が接続する。
移動ノードMN(MNはMobile Nodeの略)は、普段はホームネットワーク51に属しており、Home Address(HoA)と呼ばれる固定的なIPアドレスを持つ。また、ホームネットワーク51には、移動ノードMNの位置管理を行うホームエージェント(Home Agent)5が配置する。
なお、ホームエージェント5のIPアドレスをHA(HAはHome Agentの略)、固定装置である通信相手端末6のIPアドレスをCN(CNはCorrespondent Nodeの略)とする。
〔S51〕移動ノードMNがホームネットワーク51から移動して在圏ネットワーク52へ接続先を変更する。
〔S52〕移動ノードMNは、DHCP(Dynamic Host Configuration Protocol:インターネットに一時的に接続するコンピュータにIPアドレスなど必要な情報を自動的に割り当てるプロトコル)などを利用して移動先ネットワークで使用する一時的なIPアドレスを取得する。この一時的なIPアドレスは、気付けアドレス(CoA:Care of Address)と呼ばれる。
〔S53〕移動ノードMNは、HoAとCoAの関係を対応づける位置登録メッセージをホームエージェント5に送信する。
〔S54〕ホームエージェント5は、位置登録メッセージを受信して、HoAとCoAの対応関係を保持して位置登録を行う。
〔S55〕移動ノードMNから通信相手端末6へパケット転送する場合、移動ノードMNは、宛先がCN、送信元がHoAのヘッダを持つパケットp1を生成する(図31の(A))。また、ホームエージェント5を経由してパケット転送を行うので、移動ノードMNでは、元のパケットp1に対し、宛先をHA、送信元をCoAとしたカプセル化を行ってパケットp1cを生成し(図31の(A))、パケットp1cをホームエージェント5に向けて転送する。
〔S56〕ホームエージェント5は、パケットp1cを受信してデカプセル化を行い、パケットp1を取り出す。そして、パケットp1のヘッダ情報から宛先がCNであるので、通信相手端末6へパケットp1を送信する。
〔S57〕通信相手端末6から移動ノードMNへパケット転送する場合、通信相手端末6は、宛先がHoA、送信元がCNのヘッダを持つパケットp2を生成し(図31の(B))、インターネット53へ送信する。
〔S58〕ホームエージェント5は、移動ノードMN宛(宛先がHoAのパケットp2)をインターセプト(intercept:横取り)した後、HoAから位置登録時に保持したCoAを認識する。そして、宛先をCoA、送信元をHAとしたカプセル化を行ってパケットp2cを生成し(図31の(B))、インターネット53を介し、移動ノードMNへ向けて転送する。
〔S59〕移動ノードMNは、パケットp2cを受信してデカプセル化を行い、パケットp2を取り出す。
このように、ホームエージェント5では、HoAとCoAとの対応関係を保持し、移動ノードMN宛のパケットの代理受信を行うので、通信相手端末6は、移動ノードMNの移動を意識することなく、同じHoA宛のパケット送信が可能であり、移動ノードMNでは、移動先においてもそのパケットの着信が可能になる。
なお、在圏ネットワーク52をForeign Networkとし、Foreign Network内にForeign Agentを配置して、Foreign Agentが、複数の移動ノードMNに対してCoAを割り当てたり、移動ノードMN宛のパケットのデカプセル化を行ったりするシステムが、Mobile IPv4での一般的な仕様となっているが、Foreign Agentの機能を移動ノードMN内に具備することにより、上記のように、Foreign Agentのような特殊なノードを配置する必要のないネットワークを構築可能である(Mobile IPv6ではForeign Agentの設置を不要としている)。また、上記ではDHCPによってCoAを払い出すとしたが、移動ノードMN自身が自動アドレス生成機能を具備すれば、DHCPのような専用プロトコルを有する装置も不要である。
次にモバイルVPNの構成について説明する。図32はモバイルVPNの構成例を示す図であり、図33はモバイルVPNのパケットフォーマットを示す図である。モバイルVPNは、図30で上述したモバイルIPネットワークに対して、あらたにVPNゲートウェイ7を有しており、また、移動ノードMNは、IPsec機能を有する端末とする。
VPNゲートウェイ7は、通信経路を暗号化したい拠点に配置して、仮想的な専用回線、すなわちVPNで接続されている状態を作り出す終端装置である。図では、VPNゲートウェイ7を、ホームエージェント5とインターネット53間に設置することで、移動ノードMNとVPNゲートウェイ7との間に暗号化通信路としてのVPNを構築して、インターネット上であっても安全な通信を実現する。
このようなVPNを構築する場合、保護したいパケットに、あらたなヘッダを付加して、パケットを別のパケットで包み込み、通信対象のパケット全体を保護して、異なるプロトコルやアドレス体系のネットワーク間で通信を可能とする暗号化トンネリングが行われる。
移動ノードMNがパケットを送信する場合、パケットp1cを暗号化して、暗号化されたパケットp1cの全体を、例えば、ESP(Encapsulating Security Payload)ヘッダでカプセル化し、さらに新しいトンネル通信用のIPヘッダを付加して、図33の(A)に示すようなパケットp1sを生成して転送する。なお、新しいトンネル通信用IPヘッダは、宛先がVPNゲートウェイ7のIPアドレス、送信元がPHYアドレス(在圏ネットワーク52における物理アドレス)である。
VPNゲートウェイ7がパケットを送信する場合、パケットp2cを暗号化して、暗号化されたパケットp2cの全体を、例えば、ESPヘッダでカプセル化し、さらに新しいトンネル通信用のIPヘッダを付加して、図33の(B)に示すようなパケットp2sを生成して転送する。なお、新しいトンネル通信用のIPヘッダは、宛先がPHYアドレス、送信元がVPNゲートウェイ7のIPアドレスである。
このように、従来のモバイルVPNのパケットフォーマットは、元のIPパケットに対し、モバイルIPによるIPヘッダを付加してカプセル化し、IPsecのトンネリングによってさらにカプセル化が施されるために、3重にカプセル化されることになる。
このためIPヘッダが冗長に付与されることになるので、ユーザが送受信する元々のデータサイズに対し、実際にネットワークで通信されるデータサイズが大きくなってしまい、ネットワークの帯域を逼迫することになる。
特に、現在一般的に使用されているIEEE802.11bに代表される無線LAN網やW−CDMA(Wide Code Division Multiple Access)などの携帯電話網では、ネットワーク帯域は細いため、IPヘッダが多重化されて、通信されるIPパケットサイズが大きくなると、ネットワークへの負荷は非常に大きなものになり、ネットワーク運用の低下を引き起こすことになる。
本発明はこのような点に鑑みてなされたものであり、セキュリティとシームレスな通信を両立したままで、モバイルVPNの通信時におけるパケットの冗長ヘッダを省略し、ネットワーク資源の有効活用を図ったパケット通信システムを提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような、パケット通信を行うパケット通信システム1において、パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定された送信用セキュリティポリシデータベース11−1と、パケット送信時、カプセル化された送信パケットのセキュリティポリシを、送信用セキュリティポリシデータベース11−1から検索し、ヘッダ情報を省略する対象パケットであると認識した場合は、対象パケットからヘッダ情報を省略するヘッダ情報省略部12−1と、ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信処理を行うパケット送信処理部13−1と、から構成されるパケット送信装置10−1と、受信用セキュリティポリシとして、復元すべきヘッダ情報が設定された受信用セキュリティポリシデータベース11−2と、パケット受信時、受信パケットのセキュリティポリシを、受信用セキュリティポリシデータベース11−2から検索し、ヘッダ情報が省略されている対象パケットであると認識した場合は、ヘッダ情報を復元するヘッダ情報復元部14−2と、から構成されるパケット受信装置10−2と、を有することを特徴とするパケット通信システム1が提供される。
ここで、送信用セキュリティポリシデータベース11−1は、パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定される。ヘッダ情報省略部12−1は、パケット送信時、カプセル化された送信パケットのセキュリティポリシを、送信用セキュリティポリシデータベース11−1から検索し、ヘッダ情報を省略する対象パケットであると認識した場合は、対象パケットからヘッダ情報を省略する。パケット送信処理部13−1は、ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信処理を行う。受信用セキュリティポリシデータベース11−2は、受信用セキュリティポリシとして、復元すべきヘッダ情報が設定される。ヘッダ情報復元部14−2は、パケット受信時、受信パケットのセキュリティポリシを、受信用セキュリティポリシデータベース11−2から検索し、ヘッダ情報が省略されている対象パケットであると認識した場合は、ヘッダ情報を復元する。
本発明のパケット通信システムでは、パケット送信装置は、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することを送信用セキュリティポリシデータベースに設定し、パケット送信時には、ヘッダ情報を省略して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信し、パケット受信装置は、パケット受信時には、受信用セキュリティポリシデータベースにもとづき、省略されているヘッダ情報を復元する構成とした。これにより、セキュリティとシームレスな通信を両立したままで、モバイルVPNの通信時におけるパケットの冗長ヘッダを省略することができ、ネットワーク資源の有効活用及びネットワーク運用性の向上を図ることが可能になる。
以下、本発明の実施の形態を図面を参照して説明する。図1はパケット通信システムの原理図である。パケット通信システム1は、パケット送信装置10−1とパケット受信装置10−2から構成されてパケット通信を行うシステムである。なお、説明がしやすいように、送信側、受信側と装置構成を分けているが、パケット送信装置10−1とパケット受信装置10−2の両方の機能は、実際には1台のパケット通信装置に含まれるものである。
パケット送信装置10−1は、送信用セキュリティポリシデータベース11−1、ヘッダ情報省略部12−1、パケット送信処理部13−1から構成される。送信用セキュリティポリシデータベース11−1は、パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定される。
ヘッダ情報省略部12−1は、パケット送信時、カプセル化された送信パケットのセキュリティポリシを、送信用セキュリティポリシデータベース11−1から検索し、ヘッダ情報を省略する対象パケットであると認識した場合は、対象パケットからヘッダ情報を省略する。
パケット送信処理部13−1は、ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加してパケット送信処理を行う。
パケット受信装置10−2は、受信用セキュリティポリシデータベース11−2、ヘッダ情報復元部14−2、パケット受信処理部15−2から構成される。受信用セキュリティポリシデータベース11−2は、受信用セキュリティポリシとして、ヘッダ情報が省略されていることが設定される。
ヘッダ情報復元部14−2は、パケット受信時、受信パケットのセキュリティポリシを、受信用セキュリティポリシデータベース11−2から検索し、ヘッダ情報が省略されている対象パケットであると認識した場合は、ヘッダ情報を復元する。パケット受信処理部15−2は、ヘッダ情報が復元されたパケットの受信処理を行う。
次にパケット通信システム1をモバイルVPNの通信方式に適用した場合について以降詳しく説明する。図2はモバイルVPNの構成例を示す図である。モバイルVPN2は、ホームネットワーク20、アクセスネットワーク30、インターネット40を有する。
ホームネットワーク20には、移動ノードMNの位置管理を行うホームエージェント21が設置し、アクセスネットワーク30には、基地局やルータなどのアクセスポイントAP1〜AP3が設置する。また、移動ノードMNは、ホームネットワーク20から移動して、在圏ネットワークであるアクセスネットワーク30で通信を行っている。
VPNゲートウェイGWは、インターネット40とホームネットワーク20間に設置して、インターネット40とホームエージェント21と接続する。アクセスポイントAP3と通信相手端末6は、インターネット40に接続する。
なお、移動ノードMNとVPNゲートウェイGWはともに、パケット送信装置10−1とパケット受信装置10−2の両機能を有している。したがって、移動ノードMNからVPNゲートウェイGWへパケット送信する場合は、移動ノードMNはパケット送信装置10−1となり、VPNゲートウェイGWはパケット受信装置10−2となる。また、VPNゲートウェイGWから移動ノードMNへパケット送信する場合は、VPNゲートウェイGWはパケット送信装置10−1となり、移動ノードMNはパケット受信装置10−2となる。
ここで、以降の説明で使用する各種のアドレスについて以下にまとめて示しておく。
・HoA:ホームネットワーク20におけるIPアドレスで、移動ノードMNに付与されるモバイルIP(以下、MIPとも表記する)におけるホームアドレス。
・CoA:移動ノードMNに付与されるMIPにおける気付けアドレス。
・PHY:アクセスネットワーク30におけるIPアドレスで、移動ノードMNに付与されるIPアドレス。
・VPNGW:VPNゲートウェイGWのインタフェースのIPアドレス。
・HA:ホームエージェント21のインタフェースのIPアドレス。
・CN:移動ノードMNから見た通信相手端末6のインタフェースのIPアドレス。
・NAT:アドレス変換器(NAT8:図5で後述)のインタフェースのIPアドレス。
次にモバイルVPN2上での従来と本発明とのパケットフォーマットの違いについて説明する。図3、図4はパケットフォーマットを示す図である。図3は従来のパケットフォーマットを示しており、図3の(1)〜(6)のパケットフォーマットは以下のようになる。
(1)移動ノードMN→VPNゲートウェイGWのパケットフォーマット
元のパケットP1aは、送信元(src)がHoA、宛先(dst)がCNのIPヘッダとデータから構成される。このパケットP1aに、MIPによるカプセル化ヘッダとして、送信元(src)がCoA、宛先(dst)がHAのIPヘッダを付加してパケットP2aとし、さらに、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、送信元(src)がPHY、宛先(dst)がVPNGWのIPヘッダとを付加してパケットP3aを構成する(秘匿範囲はパケットP2aである)。移動ノードMNは、パケットP3aをVPNゲートウェイGWへ送信する。なお、ESP認証を行う場合にはトレイラと呼ばれるデータ部分が付加されるが図では省略している。
(2)VPNゲートウェイGW→ホームエージェント21
VPNゲートウェイGWは、パケットP3aを受信し、デカプセル化してパケットP2aを生成し、ホームエージェント21へ送信する。
(3)ホームエージェント21→通信相手端末6
ホームエージェント21は、パケットP2aを受信し、デカプセル化してパケットP1aを生成し、通信相手端末6へ送信する。
(4)通信相手端末6→ホームエージェント21
通信相手端末6は、送信元(src)がCN、宛先(dst)がHoAのIPヘッダとデータから構成されるパケットP1bを生成し、ホームエージェント21へ送信する。
(5)ホームエージェント21→VPNゲートウェイGW
ホームエージェント21は、パケットP1bを受信し、MIPによるカプセル化ヘッダとして、送信元(src)がHA、宛先(dst)がCoAのIPヘッダを付加してパケットP2bを生成し、VPNゲートウェイGWへ送信する。
(6)VPNゲートウェイGW→移動ノードMN
VPNゲートウェイGWは、パケットP2bを受信し、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、送信元(src)がVPNGW、宛先(dst)がPHYのIPヘッダを付加してパケットP3bを生成し(秘匿範囲はパケットP2bである)、移動ノードMNへ送信する。
図4はモバイルVPN2にパケット通信システム1を適用した際のパケットフォーマットであり、図4の(1)〜(6)のパケットフォーマットは以下のようになる。
(1)移動ノードMN→VPNゲートウェイGWのパケットフォーマット
元のパケットP1aは、送信元(src)がHoA、宛先(dst)がCNのIPヘッダとデータから構成される。このパケットP1aに対し、MIPによるカプセル化ヘッダは省略し、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、送信元(src)がPHY、宛先(dst)がVPNGWのIPヘッダとを付加してパケットP3a−1を構成する(秘匿範囲はパケットP1aである)。移動ノードMNは、パケットP3a−1をVPNゲートウェイGWへ送信する。
(2)VPNゲートウェイGW→ホームエージェント21
VPNゲートウェイGWは、パケットP3a−1を受信してデカプセル化し、また送信元(src)がCoA、宛先(dst)がHAのMIPによるカプセル化ヘッダを復元してパケットP2aを生成し、ホームエージェント21へ送信する。
(3)ホームエージェント21→通信相手端末6
ホームエージェント21は、パケットP2aを受信し、デカプセル化してパケットP1aを生成し、通信相手端末6へ送信する。
(4)通信相手端末6→ホームエージェント21
通信相手端末6は、送信元(src)がCN、宛先(dst)がHoAのIPヘッダとデータから構成されるパケットP1bを生成し、ホームエージェント21へ送信する。
(5)ホームエージェント21→VPNゲートウェイGW
ホームエージェント21は、パケットP1bを受信し、MIPによるカプセル化ヘッダとして、送信元(src)がHA、宛先(dst)がCoAのIPヘッダを付加してパケットP2bを生成し、VPNゲートウェイGWへ送信する。
(6)VPNゲートウェイGW→移動ノードMN
VPNゲートウェイGWは、パケットP2bを受信し、MIPによるカプセル化ヘッダを省略し、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、送信元(src)がVPNGW、宛先(dst)がPHYのIPヘッダとを付加してパケットP3b−1を生成し、移動ノードMNへ送信する。
上記のヘッダ情報の省略及び復元についてまとめると、移動ノードMNから送信されるIPパケットは、移動ノードMNにてMIPによるカプセル化IPヘッダを省略して、VPNゲートウェイGWに送信する。
省略されるIPヘッダ情報は、IPsecの送信時のセキュリティポリシとして、移動ノードMNのSPD(Security Policy Database)に設定されており、CoAを送信元IPアドレス、HAのアドレスを宛先IPアドレスとするIPヘッダである。
省略されたIPパケットを受信したVPNゲートウェイGWは、VPNゲートウェイGWのSPDに設定されている受信時のセキュリティポリシからCoAを送信元IPアドレス、HAを宛先アドレスとするIPヘッダを復元する。
一方、VPNゲートウェイGWから送信されるIPパケットは、MIPによるカプセル化IPヘッダを省略し、移動ノードMNに送信する。省略されるIPヘッダ情報は、IPsecの送信時のセキュリティポリシとして、VPNゲートウェイGWのSPDに設定されており、HAを送信元IPアドレス、CoAを宛先IPアドレスとするIPヘッダである。
省略されたIPパケットを受けた移動ノードMNでは、移動ノードMNのSPDに設定されている受信時のセキュリティポリシからHAを送信元IPアドレス、CoAを宛先IPアドレスとするIPヘッダを復元する。なお、上記では、セキュリティヘッダとして、IPsecのESPヘッダとしたが、AH(IP Authentication Header)ヘッダを用いてもよい。
ここで、ESPとAHについて簡単に説明すると、IPsecが提供する機能には主に(1)通信内容の秘匿(暗号化)、(2)通信相手の認証、(3)通信内容の偽造検出・改ざん検出、(4)再生攻撃の検出があり、IPsecにはESPとAHの2つのプロトコルが定義されている。ESPは(1)、(3)の機能を提供し、AHは(2)、(3)、(4)の機能を提供するプロトコルである。なお、AHの改ざん防止機能は、IPヘッダを含めたパケット全体であるが、ESPの改ざん防止機能はペイロード部分のみが対象となる。
また、ESP、AHは共に、トランスポートモード、トンネルモードの2つのモードを有しており、本発明ではトンネルモードを適用した際の動作について示している。
次にアドレス変換器(NAT:Network Address Translation)を有するモバイルVPNにパケット通信システム1を適用した場合について説明する。図5はアドレス変換器を有するモバイルVPNの構成例を示す図である。モバイルVPN2aは、ホームネットワーク20、アクセスネットワーク30、インターネット40、ローカルネットワーク30aを有する。
ホームネットワーク20には、移動ノードMNの位置管理を行うホームエージェント21が設置し、アクセスネットワーク30には、基地局やルータなどのアクセスポイントAP1〜AP3が設置する。ローカルネットワーク30aには、アドレス変換器(以下、NAT8と呼ぶ)が配置し、移動ノードMNは、在圏ネットワークであるローカルネットワーク30aに存在し、NAT8を介して通信を行っている。なお、NAT8は、プライベートIPアドレスをグローバルIPアドレスに変換して、インターネット40と通信を可能にする装置である。
VPNゲートウェイGWは、インターネット40とホームネットワーク20間に設置して、インターネット40とホームエージェント21と接続する。アクセスポイントAP3と通信相手端末6は、インターネット40に接続する。
次にモバイルVPN2a上での本発明のパケットフォーマットについて説明する。図6はパケットフォーマットの図である。なお、従来のパケットフォーマットの図は省略する(従来の場合では、図6のESPヘッダとパケットP1cとの間、またはESPヘッダとパケットP1dとの間にMIPによるカプセル化ヘッダが挿入することになる)。
(1)移動ノードMN→VPNゲートウェイGWのパケットフォーマット
元のパケットP1cは、送信元(src)がHoA、宛先(dst)がCNのIPヘッダとデータから構成される。このパケットP1cに対し、MIPによるカプセル化ヘッダは省略し、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、UDPヘッダと、送信元(src)がPHY、宛先(dst)がVPNGWのIPヘッダとを付加してパケットP3c−1を構成する(秘匿範囲はパケットP1cである)。移動ノードMNは、パケットP3c−1をNAT8へ送信する。
(2)NAT8→VPNゲートウェイGW
NAT8はパケットP3c−1を受信すると、送信元(src)のPHYをNATに変換して、パケットP3c−2を生成し、VPNゲートウェイGWへ送信する。
(3)VPNゲートウェイGW→ホームエージェント21
VPNゲートウェイGWは、パケットP3c−2を受信してデカプセル化し、また送信元(src)がCoA、宛先(dst)がHAのMIPによるカプセル化ヘッダを復元してパケットP2cを生成し、ホームエージェント21へ送信する。
(4)ホームエージェント21→通信相手端末6
ホームエージェント21は、パケットP2cを受信し、デカプセル化してパケットP1cを生成し、通信相手端末6へ送信する。
(5)通信相手端末6→ホームエージェント21
通信相手端末6は、送信元(src)がCN、宛先(dst)がHoAのIPヘッダとデータから構成されるパケットP1dを生成し、ホームエージェント21へ送信する。
(6)ホームエージェント21→VPNゲートウェイGW
ホームエージェント21は、パケットP1dを受信し、MIPによるカプセル化ヘッダとして、送信元(src)がHA、宛先(dst)がCoAのIPヘッダを付加してパケットP2dを生成し、VPNゲートウェイGWへ送信する。
(7)VPNゲートウェイGW→NAT8
VPNゲートウェイGWは、パケットP2dを受信し、MIPによるカプセル化ヘッダを省略し、セキュリティヘッダとしてIPsecのESPトンネリングによるESPヘッダと、トンネル通信時のヘッダとして、UDPヘッダと、送信元(src)がVPNGW、宛先(dst)がNATのIPヘッダとを付加してパケットP3d−1を生成し、NAT8へ送信する。
(8)NAT8→移動ノードMN
NAT8は、パケットP3d−1を受信すると、宛先(dst)のNATをPHYに変換して、パケットP3d−2を生成し、移動ノードMNへ送信する。
次に移動ノードMNとVPNゲートウェイGWの内部構成について説明する。図7は移動ノードMNの内部構成を示す図である。移動ノードMNは、RFC3344やRFC3775で定義されるモバイルホスト、またはモバイルルータとなるモバイルノードであって、IPsecによるVPN機能、セキュリティポリシによるIPヘッダ省略機能を具備する。
移動ノードMNは、パケット送信装置10−1及びパケット受信装置10−2の機能を有し、受信部I/F1a、送信部I/F2a、SPD11a(図1の送信用セキュリティポリシデータベース11−1と受信用セキュリティポリシデータベース11−2に該当)、ヘッダ省略処理部12a(図1のヘッダ情報省略部12−1に該当)、IPsecプロトコル処理部13a、ヘッダ復元処理部14a(図1のヘッダ情報復元部14−2に該当)、プロトコル連携部15a、経路表15a−1、トンネル処理部16a、MIPプロトコル処理部17a、IP上位プロトコル処理部18a、SAD(Security Association Database)19aから構成される。
なお、図1のパケット送信処理部13−1、パケット受信処理部15−2の機能は、受信部I/F1a、送信部I/F2a、IPsecプロトコル処理部13a、プロトコル連携部15a、経路表15a−1、トンネル処理部16a、MIPプロトコル処理部17a、IP上位プロトコル処理部18a、SAD19aによって実現される。
受信部I/F1aは、外部からのIPパケットを受信する。送信部I/F2aは、外部へIPパケットを送信する。プロトコル連携部15aは、経路表15a−1を用いて、パケットの受信処理及び送信処理を行う。
受信処理を行う場合は、宛先IPアドレスが他ノードであれば経路表15a−1にしたがいIPパケットを送信する。宛先IPアドレスが他ノードであれば受信したIPパケットの次ヘッダを参照し、該当するプロトコル処理部に処理を依頼する。そして、プロトコル処理を順次行った後に、最終的にアプリケーションへデータを通知する。
送信処理を行う場合は、アプリケーションから送信されて、IP上位プロトコル処理部18aで処理されたIPパケットや、他のノードからの受信IPパケットに対し、トンネル処理部16aやIPsecプロトコル処理部13aと連携することでトンネリングやIPsecなどの処理を施し、他ノードへ送信する。
トンネル処理部16aは、MIPのトンネリングを行い、ユーザデータのカプセル化及びデカプセル化を行う。MIPプロトコル処理部17aは、ホームエージェントに対し、HoAとCoAの登録とその解除を行う。これにより、位置に依存しない不変なIPアドレスであるHoAによるシームレスな通信をアプリケーションに提供する。また、トンネリングのための経路設定を経路表15a−1に設定することで、MIPによる通信を可能にする。
SPD11aは、セキュリティを適用する条件(セキュリティポリシ)が設定され、例えば、送信元IPアドレス、宛先IPアドレス、IPの上位プロトコル等を指定しておき、そのセキュリティポリシに一致したIPパケットに対し、SAD19aに設定されたセキュリティアソシエーションを適用する。
なお、セキュリティアソシエーションとは、IPsecを用いて通信するエンティティ間におけるセキュリティ上のパラメータのことである。このパラメータには主に、トンネルモードまたはトランスモードのいずれのモードを適用するのか、UDPカプセリングを適用するのか、ESPによる暗号化を適用するのか、AHによる認証を適用するのかといった指定と、それらのアルゴリズム、鍵、SPI(Security Parameter Index)などが含まれる。
IP上位プロトコル処理部18aは、アプリケーションからのデータに対して、アプリケーションが指定したトランスポートプロトコルのIPヘッダを適用する処理を行う。移動ノードMNがNATサーバとして動作した場合の他ノードから転送するパケットフォーマットにも同様の処理を行う。したがって、移動ノードMNは、モバイルルータ、モバイルホスト、またはNATサーバ兼モバイルルータに対応が可能である。
IPsecプロトコル処理部13aは、SAD19aとSPD11aの2つのデータベースを有する。SPD11aにはIPヘッダを省略するか否かを指定するための情報が追加設定されている。IPsecプロトコル処理部13aでは、IPパケットとSPD11aを比較する。比較の結果、セキュリティポリシが一致した場合、セキュリティポリシを適用する。このとき適用するセキュリティポリシが、IPヘッダ復元、IPヘッダ省略、暗号化/復号化、認証などであり、適用するセキュリティポリシによっては、ヘッダ復元処理部14aやヘッダ省略処理部12aへ処理を依頼し、その後、暗号化/復号化、認証を施す。
ヘッダ復元処理部14aは、SPD11aにしたがい省略したIPヘッダを復元する。復元するIPヘッダは、MIPで付与されたトンネリング用IPヘッダであり、送信元IPアドレスがHA、宛先IPアドレスがCoAのIPヘッダである。また、NATが適用された場合、MIPで付与されるトンネリング用IPヘッダはUDPカプセリングされ、UDPペイロードとして転送される。そのため、NAT適用時は、UDPカプセリング内にIPヘッダを復元する。
ヘッダ省略処理部12aは、SPD11aにしたがいIPヘッダを省略する。省略するIPヘッダは、MIPで付与されるトンネリング用IPヘッダであり、送信元IPアドレスがCoA、宛先IPがHAのIPヘッダである。また、NATが適用された場合、MIPで付与されるトンネリング用IPヘッダはUDPカプセリングされ、UDPペイロードとして転送する。そのため、NAT適用時は、UDPカプセリング内のIPヘッダを省略する。
図8はVPNゲートウェイGWの内部構成を示す図である。VPNゲートウェイGWは、IPsecによるVPN機能、さらにセキュリティポリシによるIPヘッダ省略機能を具備する。
VPNゲートウェイGWは、パケット送信装置10−1及びパケット受信装置10−2の機能を有し、受信部I/F1b、送信部I/F2b、SPD11b(図1の送信用セキュリティポリシデータベース11−1と受信用セキュリティポリシデータベース11−2に該当)、ヘッダ省略処理部12b(図1のヘッダ情報省略部12−1に該当)、IPsecプロトコル処理部13b、ヘッダ復元処理部14b(図1のヘッダ情報復元部14−2に該当)、プロトコル連携部15b、経路表15b−1、IP上位プロトコル処理部18b、SAD19bから構成される。図1のパケット送信処理部13−1、パケット受信処理部15−2の機能は、受信部I/F1b、送信部I/F2b、IPsecプロトコル処理部13b、プロトコル連携部15b、経路表15b−1、IP上位プロトコル処理部18b、SAD19bによって実現される。
受信部I/F1b、送信部I/F2b、プロトコル連携部15b、IP上位プロトコル処理部18b、IPsecプロトコル処理部13bは、図7で示した同じ名称の構成要素と同様の動作である。
ヘッダ復元処理部14bは、図7のヘッダ復元処理部14aと基本動作は同様である。ただし、ヘッダ復元処理部14bで復元されるIPヘッダは、送信元IPアドレスがCoA、宛先IPアドレスがHAのIPヘッダである。
ヘッダ省略処理部12bは、図7のヘッダ省略処理部12aと基本動作は同様である。ただし、ヘッダ省略処理部12aで省略されるIPヘッダは、送信元IPアドレスがHA、宛先IPアドレスがCoAのIPヘッダである。
ここで、移動ノードMN及びVPNゲートウェイGWの詳細動作を説明する前に、MIPによるカプセル化ヘッダを削除または復元できる理由について説明する。既存技術であるdraft-ietf-mip4-vpn-problem-solution-01では、Home address(HoA)、Care of Address(CoA)、Phy address(PHY)の3つのアドレスを使用し、Mobile IPにおけるカプセル化フォーマットとIPsec VPNにおける鍵の統一性を実現している。
図2のネットワークのようにVPNゲートウェイGWを設ける場合、IPsecではトンネルモードを適用するのが通常である。IPsecトンネルモードを適用する場合、SPD11a、11bには、送信用セキュリティポリシと受信用セキュリティポリシを設定しておく。すなわち、図3の(1)かつ(6)のセキュリティ対象であるパケットP2a、P2bに対して適用するようなセキュリティポリシを設定しておく。
すなわち、パケット通信システム1において、移動ノードMNのSPD11aには、送信用セキュリティポリシとして、src CoA、dst HAを設定し、受信用セキュリティポリシとして、src HA、dst CoAを設定しておく。
また、VPNゲートウェイGWのSPD11bには、送信用セキュリティポリシとして、src HA、dst CoAを設定し、受信用セキュリティポリシとして、src CoA、dst HAを設定しておく。
HAとCoAについて以下に説明する。HAはMobile IPにおけるホームエージェント21のアドレスであり、通常Mobile IPでは固定のアドレスである。動的に(単一でも複数でもよい)ホームエージェント21から選択する手段も準備されているが、一旦選択すれば通常は固定となる。
また、CoAは、VPNゲートウェイGW配下のネットワークのアドレスである。VPNゲートウェイGWは、ホームエージェント21のセグメントを保護するように設置され、ホームエージェント21とVPNゲートウェイGWの組み合わせは固定的になる。すなわち、ホームエージェント21のアドレスが決まると、VPNゲートウェイGWのアドレスが決まり、VPNゲートウェイGW配下のネットワークのアドレスであるCoAも固定となる。CoAの割り当てには、DHCPによる動的払い出しや、手動による割り当てなどの方法があるが一旦割り当てられると固定となる。
したがって、HAとCoAはともに固定的なアドレスであり、また、移動ノードMNとVPNゲートウェイGWとの間の通信には、MIPによるカプセル化ヘッダのHAとCoAのアドレスは使わないので、移動ノードMNとVPNゲートウェイGWのそれぞれのSPD11a、11bにあらかじめ設定しておけば、IPパケットに付与しなくてもすみ、セキュリティポリシの確認時に、移動ノードMNとVPNゲートウェイGWのエンティティにおいて省略/復元することが可能である。これにより、移動ノードMNとVPNゲートウェイGWとの間の通信路のネットワーク帯域の軽減を図ることが可能になる。
次に移動ノードMNの動作について説明する。なお、図9、図10は図2のモバイルVPN2のネットワーク構成における送信処理フロー(送信処理フロー1)であり、図11、図12は、図5のモバイルVPN2aのネットワーク構成(NAT8が存在する場合)における送信処理フロー(送信処理フロー2)である。
(送信処理フロー1)
図9、図10は移動ノードMNの送信処理フローを示す図である。移動ノードMNはモバイルホストとして動作する。
図9に対し、IP上位プロトコル処理部18aは、パケットP11aのデータ送信を行い(s1)、プロトコル連携部15aを起動する(s2)。プロトコル連携部15aは送信処理を開始し(s3)、経路表15a−1の検索を行い(s4)、検索結果を送信部I/F2aへ送信する(s5)。プロトコル連携部15aは、トンネル処理部16aを起動する(s6)。トンネル処理部16aは、パケットP11aにMIPによるカプセル化IPヘッダを付加してパケットP12aを生成し(s7)、処理結果をプロトコル連携部15aへ通知する(s8)。
図10に対し、プロトコル連携部15aはIPsecプロトコル処理部13aを起動する(s9)。IPsecプロトコル処理部13aは、SPD11aに対し、セキュリティポリシを検索し(s10)、セキュリティポリシが一致し(s11)、ヘッダ省略に関するセキュリティポリシが指定されていたら(s12)、ヘッダ省略処理部12aを起動する(s13)。ヘッダ省略処理部12aは、パケットP12aから、指定されたIPヘッダを省略してパケットP12a−1を生成し(s14)、処理結果をIPsecプロトコル処理部13aに通知する(s15)。
IPsecプロトコル処理部13aは、SAD19aに対し、セキュリティアソシエーションを検索し(s16)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるセキュリティヘッダ及びトンネル通信時のヘッダを付加してパケットP13a−1を生成する(s17)。図の場合のセキュリティアソシエーションには、AHヘッダのトンネリングモードが適用されている。また、処理結果をプロトコル連携部15aに通知する(s18)。
プロトコル連携部15aは、経路表15a−1を用いて経路検索を行い(s19)、検索結果を送信部I/F2aへ送信し(s20)、送信部I/F2aを起動する(s21)。送信部I/F2aは、パケットP13a−1を外部へ送信し(s22)、処理結果をプロトコル連携部15aへ通知し(s23)、送信処理完了となる(s24)。
ここで、送信処理フロー1の動作をまとめると、移動ノードMN上で動作しているアプリケーション(モバイルホストとして動作)から送信されたIPパケットは、MIPのトンネリングの仕組みによってカプセル化される。カプセル化されたIPパケットは、IPsecプロトコル処理部13aで、SPD11aを検索し、セキュリティポリシと比較する。送信時のセキュリティポリシには、送信元IPアドレスがCoA、宛先IPアドレスがHA、IPヘッダ省略ありが設定されている。
送信IPパケットとSPD11aの比較の結果、送信時のセキュリティポリシが適用され、ヘッダ省略処理部12aにて、SPD11aに設定されるIPヘッダを省略する。すなわち、送信元IPアドレスがCoA、宛先IPアドレスがHAのIPヘッダを省略する。
その後、セキュリティポリシからSAD19aに設定されたセキュリティアソシエーションを特定して適用する。この例では、セキュリティアソシエーションにトンネルモード、AHを適用している。また、トンネルモードのため送信元IPアドレスをPHYと宛先IPアドレスをVPNGWでカプセル化している。セキュリティアソシエーションが適用されたIPパケットは、経路表15a−1にしたがいインタフェースから送信される。
(送信処理フロー2)
図11、図12は移動ノードMNの送信処理フローを示す図である。移動ノードMNはモバイルルータとして動作する。
図11に対し、受信部I/F1aは、パケットP11aを受信すると、パケットP11aのデータ送信を行い(s31)、プロトコル連携部15aを起動する(s32)。プロトコル連携部15aは送信処理を開始し(s33)、経路表15a−1の検索を行い(s34)、検索結果を送信部I/F2aへ送信する(s35)。プロトコル連携部15aは、トンネル処理部16aを起動する(s36)。トンネル処理部16aは、パケットP11aにMIPによるカプセル化IPヘッダを付加してパケットP12aを生成し(s37)、処理結果をプロトコル連携部15aへ通知する(s38)。
図12に対し、プロトコル連携部15aはIPsecプロトコル処理部13aを起動する(s39)。IPsecプロトコル処理部13aは、SPD11aに対し、セキュリティポリシを検索し(s40)、セキュリティポリシが一致し(s41)、ヘッダ省略に関するセキュリティポリシが指定されていたら(s42)、ヘッダ省略処理部12aを起動する(s43)。ヘッダ省略処理部12aは、パケットP12aから、指定されたIPヘッダを省略してパケットP12a−1を生成し(s44)、処理結果をIPsecプロトコル処理部13aに通知する(s45)。
IPsecプロトコル処理部13aは、SAD19aに対し、セキュリティアソシエーションを検索し(s46)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるセキュリティヘッダ及びトンネル通信時のヘッダを付加してパケットP13a−2を生成する(s47)。図の場合のセキュリティアソシエーションには、ESPヘッダのトンネリングモードが適用されている。また、処理結果をプロトコル連携部15aに通知する(s48)。
プロトコル連携部15aは、経路表15a−1を用いて経路検索を行い(s49)、検索結果を送信部I/F2aへ送信し(s50)、送信部I/F2aを起動する(s51)。送信部I/F2aは、パケットP13a−2を外部へ送信し(s52)、処理結果をプロトコル連携部15aへ通知し(s53)、送信処理完了となる(s54)。
ここで、送信処理フロー2においては、ヘッダ省略処理部12aでIPヘッダ省略後、セキュリティアソシエーションを適用するため、NAT8が存在するネットワークに対しても、送信処理フロー1と同等の処理が可能である。この例では、セキュリティアソシエーションにトンネルモード、セキュリティヘッダにESP、トンネル通信としてUDPトンネリングを適用している。また、IPsecトンネルモードのセキュリティアソシエーションの適用前にIPヘッダを省略することにより、セキュリティアソシエーションの適用後の経路選択などの既存処理に影響を与えない。
次に移動ノードMNの受信処理の動作について説明する。図13、図14は図2のモバイルVPN2のネットワーク構成における受信処理フロー(受信処理フロー1)であり、図15、図16は図5のモバイルVPN2aのネットワーク構成(NAT8が存在する場合)における受信処理フロー(受信処理フロー2)である。
(受信処理フロー1)
図13、図14は移動ノードMNの受信処理フローを示す図である。移動ノードMNはモバイルホストとして動作する。
図13に対し、受信部I/F1aは、パケットP13b−1を受信し(r1)、プロトコル連携部15aを起動する(r2)。プロトコル連携部15aは受信処理を開始し(r3)、宛先を検索して(r4)、宛先が他ノードなら転送処理へ渡し(r5)、宛先が自ノードなら、IPsecプロトコル処理部13aを起動する(r6(図14))。
図14に対し、IPsecプロトコル処理部13aは、SAD19aに対し、セキュリティアソシエーションを検索し(r7)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるヘッダをデカプセル化してパケットP12bを生成する(r8)。IPsecプロトコル処理部13aは、SPD11aに対し、セキュリティポリシを検索し(r9)、受信パケットがヘッダ省略されていることを認識すると(r10)、ヘッダ復元処理部14aを起動する(r11)。ヘッダ復元処理部14aは、MIPによるカプセル化ヘッダを復元してパケットP12b−1を生成し(r12)、処理結果をIPsecプロトコル処理部13aに通知する(r13)。IPsecプロトコル処理部13aは、ヘッダが復元されたパケットP12b−1のセキュリティポリシを確認し(r14)、確認結果をプロトコル連携部15aに通知する(r15)。プロトコル連携部15aは、トンネル処理部16aを起動し(r16)、トンネル処理部16aは、MIPによるカプセル化ヘッダを削除してパケットP11bを生成し(r17)、処理結果をプロトコル連携部15aに通知する(r18)。プロトコル連携部15aは、パケットP11bをIP上位プロトコル処理部18aに送信し(r19)、IP上位プロトコル処理部18aを起動する(r20)。IP上位プロトコル処理部18aはパケットP11bを受信して(r21)、処理結果をプロトコル連携部15aに通知し(r22)、受信処理終了となる(r23)。
ここで、受信処理フロー1の動作についてまとめると、移動ノードMNは、IPパケットを受信すると、宛先IPアドレスから受信処理か転送処理かに振り分ける。自ノード宛のIPパケットであった場合、IPsecプロトコル処理部13aにて、送信元IPアドレス、宛先IPアドレス、AHまたはESPのプロトコル、及びAHまたはESPヘッダ内のSPIからSAD19aに設定されているセキュリティアソシエーションを特定し、IPパケット認証または復号化を行う。
この例では、セキュリティアソシエーションにトンネルモード、AHを適用している。その後、セキュリティアソシエーションから一致するセキュリティポリシを検索する。SPD11a内の受信時のセキュリティポリシには、送信元IPアドレスがHA、宛先IPアドレスがCoA、IPヘッダ省略ありが設定されている。トンネルモードのため、送信元IPアドレスがPHY、宛先IPアドレスがVPNGWのIPヘッダがデカプセル化される。受信時のセキュリティポリシが適用され、SPD11aにはIPヘッダ省略が指定されており、ヘッダ復元処理部14aにて、SPD11aに設定されるIPヘッダを復元する。すなわち、送信元IPアドレスがHA、宛先IPアドレスがCoAのIPヘッダを復元する。その後、セキュリティポリシのチェックを行い、MIPによるトンネリング処理が行われ、MN上で動作しているアプリケーションへ転送される。
(受信処理フロー2)
図15、図16は移動ノードMNの受信処理フローを示す図である。移動ノードMNはモバイルルータとして動作する。
図15に対し、受信部I/F1aは、パケットP13b−2を受信し(r31)、プロトコル連携部15aを起動する(r32)。プロトコル連携部15aは受信処理を開始し(r33)、宛先を検索して(r34)、宛先が他ノードなら転送処理へ渡し(r35)、宛先が自ノードなら、IPsecプロトコル処理部13aを起動する(r36(図16))。
図16に対し、IPsecプロトコル処理部13aは、SAD19aに対し、セキュリティアソシエーションを検索し(r37)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるヘッダをデカプセル化してパケットP12bを生成する(r38)。IPsecプロトコル処理部13aは、SPD11aに対し、セキュリティポリシを検索し(r39)、受信パケットがヘッダ省略されていることを認識すると(r40)、ヘッダ復元処理部14aを起動する(r41)。ヘッダ復元処理部14aは、MIPによるカプセル化ヘッダを復元してパケットP12b−1を生成し(r42)、処理結果をIPsecプロトコル処理部13aに通知する(r43)。IPsecプロトコル処理部13aは、ヘッダが復元されたパケットP12b−1のセキュリティポリシを確認し(r44)、確認結果をプロトコル連携部15aに通知する(r45)。プロトコル連携部15aは、トンネル処理部16aを起動し(r46)、トンネル処理部16aは、MIPによるカプセル化ヘッダを削除してパケットP11bを生成し(r47)、処理結果をプロトコル連携部15aに通知する(r48)。プロトコル連携部15aは、経路表15a−1から経路検索を行い(r49)、ローカルネットワーク30a内の他ノードへ送信することを認識し(r50)、送信部I/F2aを起動する(r51)。送信部I/F2aは、パケットP11bを受信し(r52)、処理結果をプロトコル連携部15aに通知し(r53)、受信処理終了となる(r54)。
受信処理フロー2において、ヘッダ復元処理部14aでIPヘッダ復元前に、セキュリティアソシエーションを適用するため、受信処理フロー1と同等の処理が可能である。この例では、セキュリティアソシエーションにトンネルモード、ESP、UDPトンネリングを適用している。また、IPsecトンネルモードのセキュリティアソシエーションの適用後にIPヘッダを復元することにより、MIPや経路選択などの処理時点においては、IPヘッダは復元されており既存処理に影響を与えない。
次にVPNゲートウェイGWの動作について説明する。VPNゲートウェイGWのIPパケット処理は、ホームネットワーク20(VPNゲートウェイGW内のネットワーク)からインターネット40(VPNゲートウェイGW外のネットワーク)への転送処理と、インターネット40からホームネットワーク20への転送処理で動作は異なる。
最初にホームネットワーク20からインターネット40への転送処理として、図17、図18に図2のモバイルVPN2のネットワーク構成における転送処理フロー(転送処理フロー1)を示し、図19、図20に図5のモバイルVPN2aのネットワーク構成(NAT8が存在する場合)における転送処理フロー(転送処理フロー2)を示す。
(転送処理フロー1)
図17、図18はVPNゲートウェイGWの転送処理フローを示す図である。図17に対し、受信部I/F1bは、パケットP12b−1を受信し(t1)、プロトコル連携部15bを起動する(t2)。プロトコル連携部15bは受信処理を開始し(t3)、宛先を検索して(t4)、宛先が自ノードなら受信処理へ渡し(t5)、宛先が他ノードなら、IPsecプロトコル処理部13bを起動する(t6(図18))。
図18に対し、IPsecプロトコル処理部13bは、SPD11bに対し、セキュリティポリシを検索し(t7)、セキュリティポリシが一致し(t8)、ヘッダ省略に関するセキュリティポリシが指定されていたら(t9)、ヘッダ省略処理部12bを起動する(t10)。ヘッダ省略処理部12bは、パケットP12b−1から、指定されたIPヘッダを省略してパケットP12bを生成し(t11)、処理結果をIPsecプロトコル処理部13bに通知する(t12)。
IPsecプロトコル処理部13bは、SAD19bに対し、セキュリティアソシエーションを検索し(t13)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるセキュリティヘッダ及びトンネル通信時のヘッダを付加してパケットP13b−1を生成する(t14)。図の場合のセキュリティアソシエーションには、AHヘッダのトンネリングモードが適用されている。また、処理結果をプロトコル連携部15aに通知する(t15)。
プロトコル連携部15bは、経路表15b−1を用いて経路検索を行い(t16)、検索結果を送信部I/F2bへ送信し(t17)、送信部I/F2bを起動する(t18)。送信部I/F2bは、パケットP13b−1を外部へ送信し(t19)、処理結果をプロトコル連携部15bへ通知し(t20)、送信処理完了となる(t21)。
ここで、転送処理フロー1の動作についてまとめると、VPNゲートウェイGWでIPパケットを受信すると、宛先IPアドレスから受信処理か転送処理かに振り分ける。他ノード宛のIPパケットであった場合、IPsecプロトコル処理部13bで、SPD11bを検索し、セキュリティポリシと比較する。送信時のセキュリティポリシには、送信元アドレスがHA、宛先アドレスがCoA、IPヘッダ省略ありが設定されている。送信IPパケットとSPDの比較の結果、送信時のセキュリティポリシが適用され、ヘッダ省略処理部12bにて、SPD11bに設定されるIPヘッダを省略する。
すなわち、送信元IPアドレスがHA、宛先IPアドレスがCoAのIPヘッダを省略する。その後、セキュリティポリシからSAD19bに設定されたセキュリティアソシエーションを特定し、適用する。この例では、セキュリティアソシエーションにトンネルモード、AHを適用している。トンネルモードのため送信元IPアドレスVPNGWと宛先IPアドレスPHYでカプセル化している。セキュリティアソシエーションが適用されたIPパケットは、経路表15b−1にしたがいインタフェースから送信される。
(転送処理フロー2)
図19、図20はVPNゲートウェイGWの転送処理フローを示す図である。図19に対し、受信部I/F1bは、パケットP12b−1を受信し(t31)、プロトコル連携部15bを起動する(t32)。プロトコル連携部15bは受信処理を開始し(t33)、宛先を検索して(t34)、宛先が自ノードなら受信処理へ渡し(t35)、宛先が他ノードなら、IPsecプロトコル処理部13bを起動する(t36(図20))。
図20に対し、IPsecプロトコル処理部13bは、SPD11bに対し、セキュリティポリシを検索し(t37)、セキュリティポリシが一致し(t38)、ヘッダ省略に関するセキュリティポリシが指定されていたら(t39)、ヘッダ省略処理部12bを起動する(t40)。ヘッダ省略処理部12bは、パケットP12b−1から、指定されたIPヘッダを省略してパケットP12bを生成し(t41)、処理結果をIPsecプロトコル処理部13bに通知する(t42)。
IPsecプロトコル処理部13bは、SAD19bに対し、セキュリティアソシエーションを検索し(t43)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるセキュリティヘッダ及びトンネル通信時のヘッダを付加してパケットP13b−2を生成する(t44)。図の場合のセキュリティアソシエーションには、ESPヘッダのトンネリングモードが適用されている。また、処理結果をプロトコル連携部15aに通知する(t45)。
プロトコル連携部15bは、経路表15b−1を用いて経路検索を行い(t46)、検索結果を送信部I/F2bへ送信し(t47)、送信部I/F2bを起動する(t48)。送信部I/F2bは、パケットP13b−2を外部へ送信し(t49)、処理結果をプロトコル連携部15bへ通知し(t50)、送信処理完了となる(t51)。
ここで、転送処理フロー2において、ヘッダ省略処理部12bでIPヘッダ省略後、セキュリティアソシエーションを適用するため、転送処理フロー1と同等の処理が可能である。この例では、セキュリティアソシエーションにトンネルモード、ESP、UDPトンネリングを適用している。また、IPsecトンネルモードのセキュリティアソシエーションの適用前にIPヘッダを省略することにより、セキュリティアソシエーションの適用後の経路選択などの既存処理に影響を与えない。
次にインターネット40からホームネットワーク20への転送処理として、図21、図22に図2のモバイルVPN2のネットワーク構成における転送処理フロー(転送処理フロー3)を示し、図23、図24に図5のモバイルVPN2aのネットワーク構成(NAT8が存在する場合)における転送処理フロー(転送処理フロー4)を示す。
(転送処理フロー3)
図21、図22はVPNゲートウェイGWの転送処理フローを示す図である。図21に対し、受信部I/F1bは、パケットP13a−1を受信し(t61)、プロトコル連携部15bを起動する(t62)。プロトコル連携部15bは受信処理を開始し(t63)、宛先を検索して(t64)、宛先が他ノードなら転送処理へ渡し(t65)、宛先が自ノードなら、IPsecプロトコル処理部13bを起動する(t66(図22))。
図22に対し、IPsecプロトコル処理部13bは、SAD19bに対し、セキュリティアソシエーションを検索し(t67)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるヘッダをデカプセル化してパケットP12a−1を生成する(t68)。IPsecプロトコル処理部13bは、SPD11bに対し、セキュリティポリシを検索し(t69)、受信パケットがヘッダ省略されていることを認識すると(t70)、ヘッダ復元処理部14bを起動する(t71)。ヘッダ復元処理部14bは、MIPによるカプセル化ヘッダを復元してパケットP12aを生成し(t72)、処理結果をIPsecプロトコル処理部13bに通知する(t73)。IPsecプロトコル処理部13bは、ヘッダが復元されたパケットP12aのセキュリティポリシを確認し(t74)、確認結果をプロトコル連携部15bに通知する(t75)。プロトコル連携部15bは、経路表15b−1から経路検索を行い(t76)、移動ノードMNへ送信することを認識し(t77)、送信部I/F2bを起動する(t78)。送信部I/F2bは、パケットP12aを受信し(t79)、処理結果をプロトコル連携部15bに通知し(t80)、受信処理終了となる(t81)。
ここで、転送処理フロー3の動作についてまとめると、VPNゲートウェイGWでIPパケットを受信すると、宛先IPアドレスから受信処理か転送処理かに振り分ける。自ノード宛のIPパケットであった場合、IPsecプロトコル処理部13bにて、送信元IPアドレス、宛先IPアドレス、AHまたはESPのプロトコル、及びAHまたはESPヘッダ内のSPIからSAD19bに設定されているセキュリティアソシエーションを特定し、IPパケット認証または復号化を行う。
この例では、セキュリティアソシエーションにトンネルモード、AHを適用している。その後、セキュリティアソシエーションから一致するセキュリティポリシを検索する。SPD11b内の受信時のセキュリティポリシには、送信元IPアドレスがCoA、宛先IPアドレスがHA、IPヘッダ省略ありが設定されている。トンネルモードのため、送信元IPアドレスがPHY、宛先IPアドレスがVPNGWのIPヘッダがデカプセル化される。受信時のセキュリティポリシが適用され、ヘッダ復元処理部14bにて、SPD11bに設定されるIPヘッダを復元する。すなわち、送信元IPアドレスがCoA、宛先IPアドレスがHAのIPヘッダを復元する。その後、セキュリティポリシのチェックを行い、経路表15b−1にしたがいインタフェースから送信される。
(転送処理フロー4)
図23、図24はVPNゲートウェイGWの転送処理フローを示す図である。図23に対し、受信部I/F1bは、パケットP13a−2を受信し(t91)、プロトコル連携部15bを起動する(t92)。プロトコル連携部15bは受信処理を開始し(t93)、宛先を検索して(t94)、宛先が他ノードなら転送処理へ渡し(t95)、宛先が自ノードなら、IPsecプロトコル処理部13bを起動する(t96(図24))。
図24に対し、IPsecプロトコル処理部13bは、SAD19bに対し、セキュリティアソシエーションを検索し(t97)、該当のセキュリティアソシエーションを適用して、IPsecトンネルによるヘッダをデカプセル化してパケットP12a−1を生成する(t98)。IPsecプロトコル処理部13bは、SPD11bに対し、セキュリティポリシを検索し(t99)、受信パケットがヘッダ省略されていることを認識すると(t100)、ヘッダ復元処理部14bを起動する(t101)。ヘッダ復元処理部14bは、MIPによるカプセル化ヘッダを復元してパケットP12aを生成し(t102)、処理結果をIPsecプロトコル処理部13bに通知する(t103)。IPsecプロトコル処理部13bは、ヘッダが復元されたパケットP12aのセキュリティポリシを確認し(t104)、確認結果をプロトコル連携部15bに通知する(t105)。プロトコル連携部15bは、経路表15b−1から経路検索を行い(t106)、移動ノードMNへ送信することを認識し(t107)、送信部I/F2bを起動する(t108)。送信部I/F2bは、パケットP12aを受信し(t109)、処理結果をプロトコル連携部15bに通知し(t110)、受信処理終了となる(t111)。
ここで、転送処理フロー4において、ヘッダ復元処理部14bでIPヘッダ復元前に、セキュリティアソシエーションを適用するため、転送処理フロー3と同等の処理が可能である。この例では、セキュリティアソシエーションにトンネルモード、ESP、UDPトンネリングを適用している。また、IPsecトンネルモードのIPパケットの認証と復号化、またはIPパケットの認証または復号化のタイミングにIPヘッダを復元することにより、経路選択などの処理時点においては、IPヘッダは復元されており既存処理に影響を与えない。
次にSPDの構成について説明する。図25はSPD11aの構成例を示す図である。移動ノードMNのSPD11aの設定情報を示している。SPD11aには、送信元IPアドレス、送信元IPネットマスク、宛先IPアドレス、宛先IPネットマスク、モード、トンネル送信元IPアドレス、トンネル宛先IPアドレス、プロトコル、SPI、ヘッダ省略ON/OFFの各項目が設定されている。
図では、送信用セキュリティポリシに対し、送信元IPアドレス=CoA、送信元IPネットマスク=32、宛先IPアドレス=HA、宛先IPネットマスク=32、モード=Tunnel、トンネル送信元IPアドレス=PHY、トンネル宛先IPアドレス=VPNGW、プロトコル=AH、SPI=1032、ヘッダ省略ONと設定されている。
したがって、送信パケットのMIPによるカプセル化ヘッダが、送信元がCoA、宛先がHAの場合には、移動ノードMNのヘッダ省略処理部12aは、送信用セキュリティポリシの設定にしたがい、送信元がCoA、宛先がHAのこのカプセル化ヘッダを削除することになる。
また、受信用セキュリティポリシに対し、送信元IPアドレス=HA、送信元IPネットマスク=32、宛先IPアドレス=CoA、宛先IPネットマスク=32、モード=Tunnel、トンネル送信元IPアドレス=VPNGW、トンネル宛先IPアドレス=PHY、プロトコル=AH、SPI=5312、ヘッダ省略ONと設定されている。
したがって、受信パケットのトンネル送信元がVPNGW、トンネル宛先がPHYの場合には、送信元がHA、宛先がCoAのMIPによるカプセル化ヘッダが省略されていることがわかり、移動ノードMNのヘッダ復元処理部14aは、このようなパケットを受信すると、受信用セキュリティポリシにしたがい、送信元がHA、宛先がCoAのカプセル化ヘッダを復元することになる。
次にdraft-ietf-mip4-vpn-problem-solution-01を適用したネットワーク構成である図2の構成に、Mobile IPv6(RFC3775)を適用した第1の実施の形態の動作について説明する。移動ノードMNはモバイルホストである。
移動ノードMNは、Mobile IPv6(RFC3775)で定義されるBinding Update/Binding Acknowledgementメッセージを使用し、ホームエージェント21にCoAとHoAのバインディング登録を行う(Binding Updateメッセージは位置登録メッセージのことである)。
図26はBinding Updateメッセージのフォーマットを示す図である。以下に各フィールドについて説明する。
Sequence:受信ノードがBinding Updateを順序づけ、送信ノードがこのBinding UpdateとBinding Acknowledgementを一致させるための通し番号。
Acknowledgement (A):確認(A)ビットは、結合更新を受信したら、Binding Acknowledgementの送信を移動ノードが求める場合に設定する。
Home Registration (H):ホーム登録(H)ビットは、受信ノードがホームエージェントであることを要求するために移動ノードが設定する。
Link-Local Address Compatibility (L):リンクローカルアドレス互換性(L)ビットは、移動ノードの報告したホームアドレスが移動ノードのリンクローカルアドレスとして同じインタフェース識別子を持つときに設定する。
Key Management Mobility Capability (K):移動に合わせて移動ノードとホームエージェント間でIPsecセキュリティアソシエーションを確立するためのプロトコルを使用する場合に設定する。手動IPsec設定が使用されるならビットはクリアにしておく。
Reserved:未使用
Lifetime:結合が期限切れになるまでの単位時間数。ゼロ値が移動ノードの結合キャッシュ項目が削除されたことを示す。
Mobility Options:完全な移動性ヘッダ長が8オクテットの整数倍である長さの可変長フィールド。このフィールドは0以上のTVLでコード化された移動オプションを含む。なお、Binding Updateで有効なオプションは、Binding Authorization Data option(このオプションは取引先ノードに送られたBinding Updateで必須である)、Nonce Indices Option、Alternate Care of Address optionである。
図27はBinding Acknowledgementメッセージのフォーマットを示す図である。以下に各フィールドについて説明する。
Key Management Mobility Capability (K):移動に合わせて移動ノードとホームエージェント間でIPsecセキュリティアソシエーションを確立するためのプロトコルを使用する場合に設定する。手動IPsec設定が使用されるならビットはクリアにしておく。
Reserved:未使用
Status:結合更新の傾向を示す。状態フィールド128未満の値が、結合更新が受信ノードに受け入れられたことを示す。128以上の値が結合更新を受信ノードが拒絶したことを示す。
Sequence #:Binding Acknowledgementのシーケンス番号はBinding Updateのシーケンス番号フィールドからコピーされる。これはこの結合確認を未処理の結合更新と対応付けるため移動ノードによって使われる。
Lifetime:結合が期限切れになるまでの単位時間数。
Mobility Option:完全な移動性ヘッダ長が8オクテットの整数倍である長さの可変長フィールド。このフィールドは0以上のTVLでコード化された移動オプションを含む。なお、Binding Updateで有効なオプションは、Binding Authorization Data option(このオプションは取引先ノードに送られたBinding Updateで必須である)、Binding Refresh Advice optionである。
これにより、ホームエージェント21では、移動ノードMNからのIPパケットを通信相手端末6へ転送したり、移動ノードMN宛のIPパケットを転送したりできるようになる。移動ノードMNは、ホームエージェント21への位置登録が完了すると、MIPのトンネリングの設定並びにIPsecのセキュリティポリシ及びセキュリティアソシエーションの設定を行う。MIPのトンネリングの設定は、送信元IPアドレスをCoA、宛先IPアドレスをHAになるよう設定する。
IPsecの送信時のセキュリティポリシの設定は、送信元IPアドレスをCoA、宛先IPアドレスをHA、IPヘッダ省略を有効で設定する。IPsecの受信時のセキュリティポリシの設定は、送信元IPアドレスをHA、宛先IPアドレスをCoA、IPヘッダ省略を有効で設定する。
つまり、draft-ietf-mip4-vpn-problem-solution-01にしたがうと、ホームエージェント21へのバインディング登録は、CoAとHoAの組み合わせで行っている。移動ノードMNの移動共に変わるPHYに対し、CoAとHoAの両IPアドレスは移動ノードMNの移動に対して不変であるため、MIPのハンドオーバは発生しない。
また、IPsecのセキュリティポリシもCoAとHoAの組み合わせで設定しており、移動ノードMNの移動に対してセキュリティポリシを組み直す必要がない。よって、移動ノードMNが移動した場合、PHYとVPNGWの組み合わせで設定しているIPsecのセキュリティアソシエーションを更新するだけでよい。
IPsecの送信時のセキュリティポリシはIPヘッダの省略時で使用し、IPsecの受信時のセキュリティポリシはIPヘッダの復元時に使用する。IPsecのセキュリティアソシエーションは、IKE(Algorithms for Internet Key Exchange version1(IKEv1):RFC4109)等で自動的に設定されるのが一般的である。これらの手順により、SAD、SPDが設定される。
一方、VPNゲートウェイGWではIPsecのセキュリティポリシ及びセキュリティアソシエーションの設定を行う。IPsecの送信時のセキュリティポリシの設定は、送信元IPアドレスをHA、宛先IPアドレスをCoA、IPヘッダ省略を有効で設定する。
IPsecの受信時のセキュリティポリシの設定は、送信元IPアドレスをCoA、宛先IPアドレスをHA、IPヘッダ省略を有効で設定する。IPsecの送信時のセキュリティポリシはIPヘッダの省略時で使用し、IPsecの受信時のセキュリティポリシはIPヘッダの復元時に使用する。IPsecのセキュリティポリシは予め管理者によって設定されているかもしれないし、IPsec−DHCPなどと連携し動的に設定されるかもしれない。また、IPsecのセキュリティアソシエーションは、IKE等で設定されるかもしれない。これらの手順により、SAD、SPDが設定される。
MIPの位置登録、セキュリティポリシの設定しセキュリティアソシエーションが確立すると、IPパケットは本発明によって、IPヘッダを省略したVPNで通信されるようになる。
次に移動ノードMNから通信相手端末6への通信について述べる。移動ノードMNにおける処理は送信処理フロー1、VPNゲートウェイGWにおける処理は転送処理フロー3にあたる。移動ノードMNから送信されるIPパケットは、MIPに仕組みによって、図4の(2)のパケットフォーマットへと加工される。このIPパケットは、SPDに設定された、送信元IPアドレスがCoA、宛先IPアドレスがHAの送信時のセキュリティポリシと一致する。この送信時のセキュリティポリシは、IPヘッダ省略が有効に設定されており、そのためヘッダ省略処理部12aにて、セキュリティポリシと一致するIPアドレスを含むIPヘッダを省略する。
IPsecプロトコル処理部13aは、IPヘッダを省略したIPパケットに対し、SAD19aに設定されたセキュリティアソシエーションを適用する。すなわち、IPパケットの認証(AH)または暗号化(ESP)し、送信元IPアドレスをPHYと宛先IPアドレスをVPNGWとするIPヘッダでカプセル化(トンネルモード)し、図4の(1)のようなIPパケットに加工し、VPNゲートウェイGWへ送信する。暗号化または認証はIPヘッダを省略された状態で適用することで、通常のIPsecの処理と同様に、送信するIPパケット全てを暗号化または認証の対象とでき、IPsecで元々サポートしている暗号化または認証アルゴリズムを適用できる。
図4の(1)のようなIPパケットを受信したVPNゲートウェイGWは、自ノード宛のIPパケットかを判断し、自ノード宛のIPパケットの場合IPパケット解析処理を行う。IPパケット内にAHヘッダまたはESPヘッダを検出すると、IPヘッダの送信元IPアドレス、宛先IPアドレス、AHまたはESPのプロトコル、AHヘッダまたはESPヘッダのSPIからセキュリティアソシエーションを特定し適用する。
すなわち、IPパケットの認証(AH)または暗号化(ESP)し、送信元IPアドレスをPHYと宛先IPアドレスをVPNGWとするIPヘッダでデカプセル化(トンネルモード)する。セキュリティアソシエーションから該当するセキュリティポリシを特定し、IPヘッダ省略が有効に設定されていた場合、セキュリティポリシに設定された送信元IPアドレス、宛先IPアドレスでIPヘッダ(図4の(2))を復元し、セキュリティポリシのチェックを行う。図4の(2)のIPパケットは、経路表15b−1にしたがい、ホームエージェント21へ送信する。復号化または認証はIPヘッダを省略された状態で適用することで、通常のIPsecの処理と同様に、受信するIPパケット全てを暗号化または認証の対象とでき、IPsecで元々サポートしている復号化または認証アルゴリズムを適用できる。
図4の(2)のIPパケットを受信したホームエージェント21は、MIPの仕組みによって、MIPのトンネリングヘッダをデカプセル化し、図4の(3)のIPパケットを通信相手端末6へ送信する。
次に通信相手端末6から移動ノードMNへの通信について述べる。移動ノードMNにおける処理は受信処理フロー1、VPNゲートウェイGWにおける処理は転送処理フロー1にあたる。
通信相手端末6は、図4の(4)のIPパケットを送信する。MIPの仕組みにより、宛先であるHoAはホームネットワーク20のアドレスであるため、様々なネットワークを経由してホームエージェント21へと転送されてくる。ホームエージェント21は、転送されてきたIPパケットの宛先IPからバインディング登録を検索し、カプセル化し、図4の(5)のIPパケットに加工し、経路表15b−1にしたがい、VPNゲートウェイGWへ送信する。
図4の(5)のIPパケットを受信したVPNゲートウェイGWは、自ノード宛かを判断する。他ノードの場合、転送処理へ移行する。転送処理の中で、このIPパケットを、セキュリティポリシと比較する。SPD11bに設定された、送信元IPアドレスがHA、宛先IPアドレスがCoAの送信時のセキュリティポリシと一致する。この送信時のセキュリティポリシは、IPヘッダ省略が有効に設定されており、そのためヘッダ省略処理部12bにて、セキュリティポリシと一致するIPアドレスを含むIPヘッダを省略する。IPsecプロトコル処理部13bは、IPヘッダを省略したIPパケットに対し、SAD19bに設定されたセキュリティアソシエーションを適用する。
すなわち、IPパケットの認証(AH)または暗号化(ESP)し、送信元IPアドレスをVPNGWと宛先IPアドレスをPHYとするIPヘッダでカプセル化(トンネルモード)し、図4の(6)のようなIPパケットに加工し、移動ノードMNへ送信する。暗号化または認証はIPヘッダを省略された状態で適用することで、通常のIPsecの処理と同様に、送信するIPパケット全てを暗号化または認証の対象とでき、IPsecで元々サポートしている暗号化または認証アルゴリズムを適用できる。
図4の(6)のようなIPパケットを受信した移動ノードMNは、自ノード宛のIPパケットかを判断し、自ノード宛のIPパケットの場合IPパケット解析処理を行う。IPパケット内にAHヘッダまたはESPヘッダを検出すると、IPヘッダの送信元IPアドレス、宛先IPアドレス、AHまたはESPのプロトコル、AHヘッダまたはESPヘッダのSPIからセキュリティアソシエーションを特定し、適用する。
すなわち、IPパケットの認証(AH)または暗号化(ESP)し、送信元IPアドレスをVPNGWと宛先IPアドレスをPHYとするIPヘッダでデカプセル化(トンネルモード)する。セキュリティアソシエーションから該当するセキュリティポリシを特定し、IPヘッダ省略が有効に設定されていた場合、セキュリティポリシに設定された送信元IPアドレス、宛先IPアドレスでIPヘッダ(図4の(5))を復元し、セキュリティポリシのチェックを行う。復号化または認証はIPヘッダを省略された状態で適用することで、通常のIPsecの処理と同様に、受信するIPパケット全てを暗号化または認証の対象とでき、IPsecで元々サポートしている復号化または認証アルゴリズムを適用できる。MIPの仕組みによって、MIPのトンネリングヘッダをデカプセル化し、アプリケーションへ通知する。
上述したとおり、移動ノードMNとVPNゲートウェイGW間において、IPヘッダの3重カプセル化を2重カプセル化にIPヘッダを省略することで、通信するIPパケットサイズをIPのヘッダサイズである40バイトの圧縮することができる。
このように、通信相手端末6は、HoAで移動ノードMNを認識するため、移動ノードMNが移動してもシームレスな通信が可能である。また、移動ノードMNとVPNゲートウェイGWはIPsecを使ったVPNによりセキュアな通信が可能である。さらに、IPsecを使ったVPNではIPヘッダが省略されており、ネットワークリソースを有効に活用でき、また、IPヘッダが省略されることにより、暗号化または認証はIPヘッダを省略された状態で適用されたおり、悪意あるホームエージェントの設置などによるホームエージェントの成りすましや盗聴を防止できIPパケットの盗聴や改ざんに対し有効である。ヘッダ圧縮した状態で暗号化と復号化を行うことで、ヘッダ圧縮を考慮する必要がなく、IPsecで元々サポートしている暗号化/復号化アルゴリズムをそのまま適用できる。
次にdraft-ietf-mip4-vpn-problem-solution-01を適用したネットワーク構成である図5の構成に、Mobile IPv4(RFC3344)を適用した第2の実施の形態の動作について説明する。移動ノードMNはモバイルルータである。
移動ノードMNは、Mobile IPv4(RFC3344)で定義されるRegistration Request/Registration Replyメッセージを使用し、ホームエージェント21にCoAとHoAのバインディング登録を行う。
図28はRegistration Requestメッセージのフォーマットを示す図である。以下に各フィールドについて説明する。
Type:1(Registration Request)
S:同時の結合。
B:ブロードキャストデータグラムを送信する場合、Bビットを設定する。
D:移動ノードによってデカプセル化する。Dビットがセットされる場合、気付けアドレス宛に送信してきたデータグラムを移動ノードでデカプセル化する。すなわち、共有気付けアドレスが使われる。
M:最小のカプセル化。Mビットがセットされる場合、移動ノードはホームエージェントに片方向トンネルを掘ることを要求する。
G:GREカプセル化。Gビットがセットされる場合、移動ノードは、そのホームエージェントがトンネルとして移動ノードに掘られたデータグラムのためにGREカプセル化を使用することを要求する。
r:0で送信する。無視される。
T:リバーストンネルを要求する。
x:0で送信する。無視される。
Lifetime:登録の有効時間。0の値は登録削除の要請を示す。0xffff値は無限を示す。
Home address:移動ノードのIPアドレス。
Care-of address:トンネルの端のIPアドレス。
Identification:Registration RequestとRegistration Replyを対向させて登録メッセージのやり直し攻撃に対して保護するために使用される識別子。
Extensions:拡張はRegistration Requestの固定部分に続く。認可を許可する拡張は、すべてのRegistration Requestに含まれる。
図29はRegistration Replyメッセージのフォーマットを示す図である。以下に各フィールドについて説明する。
Type:3(Registration Reply)
Code:Registration Requestの結果を示す値。
Lifetime:登録が受理されたことをコードフィールドが示す場合、ライフタイムフィールドには登録削除までの有効時間を設定する。0の値は移動ノードの登録が取り消されたことを示し、0xffffの値は無限を示す。登録が否定されたことをコードフィールドが示す場合、ライフタイムフィールドの内容は無指定である。
Home address:移動ノードのIPアドレス。
Home agent:移動ノードのホームエージェントのIPアドレス。
Identification:Registration RequestとRegistration Replyを対向させて登録メッセージのやり直し攻撃に対して保護するために使用される識別子。値は移動ノードからのRegistration Requestメッセージからの識別競フィールド、及び移動ノードとそのホームエージェントの間のセキュリティ状況の中で使用されるやり直し保護のスタイルにもとづく。
Extensions:拡張は、Registration Replyの固定部分に続く。認可を許可する拡張は、すべてのRegistration Replyに含まれている。
これにより、ホームエージェント21では、移動ノードMNからのIPパケットを通信相手端末6へ転送したり、移動ノードMN宛のIPパケットを転送したりできるようになる。移動ノードMNは、ホームエージェント21への位置登録が完了すると、MIPのトンネリングの設定並びにIPsecのセキュリティポリシ及びセキュリティアソシエーションの設定を行う。MIPのトンネリングの設定は、送信元IPアドレスをCoA、宛先IPアドレスをHAになるよう設定する。IPsecの送信時のセキュリティポリシの設定は、送信元IPアドレスをCoA、宛先IPアドレスをHA、IPヘッダ省略を有効で設定する。
IPsecの受信時のセキュリティポリシの設定は、送信元IPアドレスをHA、宛先IPアドレスをCoA、IPヘッダ省略を有効で設定する。つまり、draft-ietf-mip4-vpn-problem-solution-01にしたがうと、ホームエージェント21へのバインディング登録は、CoAとHoAの組み合わせで行っている。移動ノードMNの移動共に変わるPHYに対し、CoAとHoAの両IPアドレスは移動ノードMNの移動に対して不変であるため、MIPのハンドオーバは発生しない。また、IPsecのセキュリティポリシもCoAとHoAの組み合わせで設定しており、移動ノードMNの移動に対してセキュリティポリシを組み直す必要がない。よって、移動ノードMNが移動した場合、NATとVPNGWの組み合わせで設定しているIPsecのセキュリティアソシエーションを更新するだけでよい。
IPsecの送信時のセキュリティポリシはIPヘッダの省略時で使用し、IPsecの受信時のセキュリティポリシはIPヘッダの復元時に使用する。IPsecのセキュリティアソシエーションは、IKE等で自動的に設定されるのが一般的である。これらの手順により、SAD、SPDが設定される。
第1の実施の形態と同様、MIPの位置登録、セキュリティポリシの設定しセキュリティアソシエーションが確立すると、IPパケットは本発明によって、IPヘッダを省略したVPNで通信されるようになる。NATが介在した際のIKEを使ったセキュリティアソシエーションの確立手段として、RFC3947がある。
次に移動ノードMN配下のローカルネットワーク30a内の端末から通信相手端末6への通信について述べる。移動ノードMNにおける処理は送信処理フロー2、VPNゲートウェイGWにおける処理は転送処理フロー4にあたる。NAT8が介在した場合においても、セキュリティアソシエーションの適用時に、UDPカプセリングが行われる点が異なるのみで、本発明のセキュリティポリシからのIPヘッダの省略及び復元処理は第1の実施の形態と同様である。
次に通信相手端末6から移動ノードMN配下のローカルネットワーク30a内の端末への通信について述べる。移動ノードMNにおける処理は受信処理フロー2、VPNゲートウェイGWにおける処理は転送処理フロー2にあたる。NAT8が介在した場合においても、セキュリティアソシエーションの適用時に、UDPカプセリングが行われる点が異なるのみで、本発明のセキュリティポリシからのIPヘッダの省略及び復元処理は第1の実施の形態と同様である。
上述したとおり、移動ノードMNとVPNゲートウェイGW間において、IPヘッダの3重カプセル化を2重カプセル化にIPヘッダを省略することで、通信するIPパケットサイズをIPのヘッダサイズである20バイトの圧縮することができる。
このように、IPアドレスの枯渇によりグローバルアドレスを割り当てられないネットワークにおいても、通信相手端末6は、HoAで移動ノードMNを認識するため、移動ノードMNが移動してもシームレスな通信が可能である。また、移動ノードMNとVPNゲートウェイGWはIPsecを使ったVPNによりセキュアな通信が可能である。
さらに、IPsecを使ったVPNではIPヘッダが省略されており、ネットワークリソースを有効に活用でき、また、IPヘッダが省略されることにより、暗号化または認証はIPヘッダを省略された状態で適用されたおり、悪意あるホームエージェントの設置などによるホームエージェントの成りすましや盗聴を防止できIPパケットの盗聴や改ざんに対し有効である。ヘッダ圧縮した状態で暗号化と復号化を行うことで、ヘッダ圧縮を考慮する必要がなく、IPsecで元々サポートしている暗号化/復号化アルゴリズムをそのまま適用できる。
以上説明したように、本発明によれば、移動ノードMNとVPNゲートウェイ間において、モバイルIPのカプセル化ヘッダを省略することで、IPsecによるセキュリティとモバイルIPによるシームレスな通信を両立したまま、ネットワークにおけるデータサイズを縮小することができ、ネットワーク資源(主に無線資源)の有効利用を図り、かつ移動ノードMNのネットワーク・スループットを向上させることが可能になる。
さらに、IPヘッダを省略することで、IPパケットの盗聴や改ざんに対してセキュリティを向上させることができ、また、ヘッダ情報を省略することによる暗号化、復号化の処理順序などには何ら変更はないので、IPsecで元々サポートしている暗号化/復号化アルゴリズムをそのまま適用することができる。
(付記1) パケット通信を行うパケット通信システムにおいて、
パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定された送信用セキュリティポリシデータベースと、パケット送信時、カプセル化された送信パケットのセキュリティポリシを、前記送信用セキュリティポリシデータベースから検索し、前記ヘッダ情報を省略する対象パケットであると認識した場合は、前記対象パケットから前記ヘッダ情報を省略するヘッダ情報省略部と、前記ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信処理を行うパケット送信処理部と、から構成されるパケット送信装置と、
受信用セキュリティポリシとして、復元すべき前記ヘッダ情報が設定された受信用セキュリティポリシデータベースと、パケット受信時、受信パケットのセキュリティポリシを、前記受信用セキュリティポリシデータベースから検索し、前記ヘッダ情報が省略されている対象パケットであると認識した場合は、前記ヘッダ情報を復元するヘッダ情報復元部と、から構成されるパケット受信装置と、
を有することを特徴とするパケット通信システム。
(付記2) 前記ヘッダ情報省略部は、前記暗号化プロトコルのセキュリティアソシエーションを適用する前に前記ヘッダ情報を省略し、前記ヘッダ情報復元部は、前記セキュリティアソシエーションを解いた後に前記ヘッダ情報を復元することを特徴とする付記1記載のパケット通信システム。
(付記3) 前記送信用セキュリティポリシデータベースは、モバイルIP通信時に元のパケットをカプセル化する際に付加される前記ヘッダ情報を省略することを設定し、前記受信用セキュリティポリシデータベースは、モバイルIP通信時にカプセル化によって送信側で省略された前記ヘッダ情報を復元することを設定し、前記パケット送信処理部は、前記ヘッダ情報が省略されたパケットに、IPsecのトンネリングによるヘッダを付加することを特徴とする付記1記載のパケット通信システム。
(付記4) 前記パケット送信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット受信装置は、前記パケット送信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースには、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット送信装置の前記在圏ネットワーク内での気付けアドレスと、宛先アドレスが前記パケット送信装置の位置管理を行うホームエージェントのアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする付記3記載のパケット通信システム。
(付記5) 前記パケット受信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット送信装置は、前記パケット受信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースは、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット受信装置の位置管理を行うホームエージェントのアドレスと、宛先アドレスが前記パケット受信装置の前記在圏ネットワーク内での気付けアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする付記3記載のパケット通信システム。
(付記6) パケット通信を行うパケット通信装置において、
パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定され、受信用セキュリティポリシとして、復元すべき前記ヘッダ情報が設定されたセキュリティポリシデータベースと、
パケット送信時、カプセル化された送信パケットのセキュリティポリシを、前記セキュリティポリシデータベースから検索し、前記ヘッダ情報を省略する対象パケットであると認識した場合は、前記対象パケットから前記ヘッダ情報を省略するヘッダ情報省略部と、
前記ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信処理を行うパケット送信処理部と、
パケット受信時、受信パケットのセキュリティポリシを、前記セキュリティポリシデータベースから検索し、前記ヘッダ情報が省略されている対象パケットであると認識した場合は、前記ヘッダ情報を復元するヘッダ情報復元部と、
を有することを特徴とするパケット通信装置。
(付記7) パケット通信を行うパケット通信方法において、
パケット送信装置は、パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定された送信用セキュリティポリシデータベースを有し、
前記パケット送信装置は、
カプセル化された送信パケットのセキュリティポリシを、前記送信用セキュリティポリシデータベースから検索し、前記ヘッダ情報を省略する対象パケットであると認識した場合は、前記対象パケットから前記ヘッダ情報を省略し、
前記ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信し、
パケット受信装置は、受信用セキュリティポリシとして、復元すべき前記ヘッダ情報が設定された受信用セキュリティポリシデータベースを有し、
前記パケット受信装置は、
受信パケットのセキュリティポリシを、前記受信用セキュリティポリシデータベースから検索して、前記ヘッダ情報が省略されている対象パケットであると認識した場合は、前記ヘッダ情報を復元することを特徴とするパケット通信方法。
(付記8) 前記ヘッダ情報省略部は、前記暗号化プロトコルのセキュリティアソシエーションを適用する前に前記ヘッダ情報を省略し、前記ヘッダ情報復元部は、前記セキュリティアソシエーションを解いた後に前記ヘッダ情報を復元することを特徴とする付記7記載のパケット通信方法。
(付記9) 前記送信用セキュリティポリシデータベースは、モバイルIP通信時に元のパケットをカプセル化する際に付加される前記ヘッダ情報を省略することを設定し、前記受信用セキュリティポリシデータベースは、モバイルIP通信時にカプセル化によって送信側で付加された前記ヘッダ情報を復元することを設定し、前記パケット送信装置は、前記ヘッダ情報が省略されたパケットに、IPsecのトンネリングによるヘッダを付加することを特徴とする付記7記載のパケット通信方法。
(付記10) 前記パケット送信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット受信装置は、前記パケット送信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースには、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット送信装置の前記在圏ネットワーク内での気付けアドレスと、宛先アドレスが前記パケット送信装置の位置管理を行うホームエージェントのアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする付記9記載のパケット通信方法。
(付記11) 前記パケット受信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット送信装置は、前記パケット受信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースは、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット受信装置の位置管理を行うホームエージェントのアドレスと、宛先アドレスが前記パケット受信装置の前記在圏ネットワーク内での気付けアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする付記9記載のパケット通信方法。
パケット通信システムの原理図である。 モバイルVPNの構成例を示す図である。 パケットフォーマットを示す図である。 パケットフォーマットを示す図である。 アドレス変換器を有するモバイルVPNの構成例を示す図である。 パケットフォーマットの図である。 移動ノードの内部構成を示す図である。 VPNゲートウェイの内部構成を示す図である。 移動ノードの送信処理フローを示す図である。 移動ノードの送信処理フローを示す図である。 移動ノードの送信処理フローを示す図である。 移動ノードの送信処理フローを示す図である。 移動ノードの受信処理フローを示す図である。 移動ノードの受信処理フローを示す図である。 移動ノードの受信処理フローを示す図である。 移動ノードの受信処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 VPNゲートウェイの転送処理フローを示す図である。 SPDの構成例を示す図である。 Binding Updateメッセージのフォーマットを示す図である。 Binding Acknowledgementメッセージのフォーマットを示す図である。 Registration Requestメッセージのフォーマットを示す図である。 Registration Replyメッセージのフォーマットを示す図である。 モバイルIPのネットワーク構成例を示す図である。 モバイルIPのパケットフォーマットを示す図である。(A)は移動ノードが送信するパケットのフォーマット、(B)はホームエージェントが送信するパケットのフォーマットである。 モバイルVPNの構成例を示す図である。 モバイルVPNのパケットフォーマットを示す図である。(A)は移動ノードが送信するパケットのフォーマット、(B)はVPNゲートウェイが送信するパケットのフォーマットである。
符号の説明
1 パケット通信システム
10−1 パケット送信装置
11−1 送信用セキュリティポリシデータベース
12−1 ヘッダ情報省略部
13−1 パケット送信処理部
10−2 パケット受信装置
11−2 受信用セキュリティポリシデータベース
14−2 ヘッダ情報復元部
15−2 パケット受信処理部

Claims (5)

  1. パケット通信を行うパケット通信システムにおいて、
    パケットにどのレベルの保護を適用するかのセキュリティポリシが格納されるデータベースであって、冗長な情報を省略する送信用セキュリティポリシとして、送信パケットをカプセル化する際に付加されるヘッダ情報を省略することが設定された送信用セキュリティポリシデータベースと、パケット送信時、カプセル化された送信パケットのセキュリティポリシを、前記送信用セキュリティポリシデータベースから検索し、前記ヘッダ情報を省略する対象パケットであると認識した場合は、前記対象パケットから前記ヘッダ情報を省略するヘッダ情報省略部と、前記ヘッダ情報が省略されたパケットに対して、暗号化プロトコルのトンネリングによるセキュリティヘッダ及びトンネル通信時のヘッダを付加して送信処理を行うパケット送信処理部と、から構成されるパケット送信装置と、
    受信用セキュリティポリシとして、復元すべき前記ヘッダ情報が設定された受信用セキュリティポリシデータベースと、パケット受信時、受信パケットのセキュリティポリシを、前記受信用セキュリティポリシデータベースから検索し、前記ヘッダ情報が省略されている対象パケットであると認識した場合は、前記ヘッダ情報を復元するヘッダ情報復元部と、から構成されるパケット受信装置と、
    を有することを特徴とするパケット通信システム。
  2. 前記ヘッダ情報省略部は、前記暗号化プロトコルのセキュリティアソシエーションを適用する前に前記ヘッダ情報を省略し、前記ヘッダ情報復元部は、前記セキュリティアソシエーションを解いた後に前記ヘッダ情報を復元することを特徴とする請求項1記載のパケット通信システム。
  3. 前記送信用セキュリティポリシデータベースは、モバイルIP通信時に元のパケットをカプセル化する際に付加されるヘッダ情報を省略することを設定し、前記受信用セキュリティポリシデータベースは、モバイルIP通信時にカプセル化によって送信側で省略された前記ヘッダ情報を復元することを設定し、前記パケット送信処理部は、前記ヘッダ情報が省略されたパケットに、IPsecのトンネリングによるヘッダを付加することを特徴とする請求項1記載のパケット通信システム。
  4. 前記パケット送信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット受信装置は、前記パケット送信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースには、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット送信装置の前記在圏ネットワーク内での気付けアドレスと、宛先アドレスが前記パケット送信装置の位置管理を行うホームエージェントのアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする請求項3記載のパケット通信システム。
  5. 前記パケット受信装置は、ホームネットワークから移動して在圏ネットワークに位置し、前記パケット送信装置は、前記パケット受信装置との通信経路を暗号化したい拠点に設置している場合に、前記送信用セキュリティポリシデータベースは、前記送信用セキュリティポリシとして、送信元アドレスが前記パケット受信装置の位置管理を行うホームエージェントのアドレスと、宛先アドレスが前記パケット受信装置の前記在圏ネットワーク内での気付けアドレスとを含む前記ヘッダ情報を省略することが設定され、前記受信用セキュリティポリシデータベースには、前記受信用セキュリティポリシとして、前記ヘッダ情報が省略されていることが設定されることを特徴とする請求項3記載のパケット通信システム。
JP2006027726A 2006-02-03 2006-02-03 パケット通信システム Expired - Fee Related JP4592611B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006027726A JP4592611B2 (ja) 2006-02-03 2006-02-03 パケット通信システム
US11/700,782 US7861080B2 (en) 2006-02-03 2007-02-01 Packet communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006027726A JP4592611B2 (ja) 2006-02-03 2006-02-03 パケット通信システム

Publications (2)

Publication Number Publication Date
JP2007208855A JP2007208855A (ja) 2007-08-16
JP4592611B2 true JP4592611B2 (ja) 2010-12-01

Family

ID=38335368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006027726A Expired - Fee Related JP4592611B2 (ja) 2006-02-03 2006-02-03 パケット通信システム

Country Status (2)

Country Link
US (1) US7861080B2 (ja)
JP (1) JP4592611B2 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008123138A1 (ja) 2007-03-23 2008-10-16 Sharp Kabushiki Kaisha 通信システム、移動通信端末及び位置管理装置
JP5128600B2 (ja) 2007-08-10 2013-01-23 日本曹達株式会社 含窒素複素環化合物および有害生物防除剤
US8315206B2 (en) * 2007-09-05 2012-11-20 Nec Corporation Proxy mobile IP system, access gateway and method for determining the order of registration notification messages used therefor
KR100948604B1 (ko) * 2008-03-25 2010-03-24 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US9043862B2 (en) * 2008-02-06 2015-05-26 Qualcomm Incorporated Policy control for encapsulated data flows
EP2272235B1 (en) * 2008-03-25 2018-05-30 Alcatel Lucent Methods and entities using ipsec esp to support security functionality for udp-based oma enablers
JP5239618B2 (ja) * 2008-08-19 2013-07-17 沖電気工業株式会社 アドレス変換装置、方法及びプログラム、並びにノード
KR101358846B1 (ko) 2008-11-17 2014-02-06 퀄컴 인코포레이티드 로컬 네트워크에 대한 원격 액세스
MX2011009938A (es) * 2009-03-27 2011-10-06 Sharp Kk Sistema de comunicacion movil.
JP5304555B2 (ja) * 2009-09-11 2013-10-02 ブラザー工業株式会社 端末装置、通信方法、及び通信プログラム
JP2012151878A (ja) * 2012-03-12 2012-08-09 Kyocera Corp 無線通信システム、無線基地局、無線端末及び無線通信方法
KR102062688B1 (ko) * 2012-06-13 2020-02-11 삼성전자주식회사 모바일 광대역 네트워크 환경에서 제어 패킷 및 데이터 패킷을 보호하기 위한 방법 및 시스템
GB2508602A (en) * 2012-12-04 2014-06-11 Ibm Determining content suitable for inclusion in portals
JP6036442B2 (ja) * 2013-03-21 2016-11-30 富士通株式会社 暗号通信装置、暗号通信方法、および暗号通信プログラム
RU2598337C2 (ru) * 2014-12-19 2016-09-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выбора средств перехвата данных, передаваемых по сети
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
US20190104105A1 (en) * 2017-10-04 2019-04-04 Harris Solutions NY, Inc. Systems and methods for creating a virtual layer 2 network through tethering
US10938778B2 (en) * 2018-05-02 2021-03-02 Forcepoint Llc Route reply back interface for cloud internal communication
US20220247719A1 (en) * 2019-09-24 2022-08-04 Pribit Technology, Inc. Network Access Control System And Method Therefor
US20210136036A1 (en) * 2019-11-01 2021-05-06 Parallel Wireless, Inc. Multi UE and Multi Message Support in Tunnel Management Messages
CN114640706B (zh) * 2020-11-30 2023-09-12 华为技术有限公司 数据传输方法、电子设备及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077242A (ja) * 2000-09-04 2002-03-15 Ntt Docomo Inc パケット伝送方法および送信装置
JP2005086223A (ja) * 2003-09-04 2005-03-31 Matsushita Electric Ind Co Ltd 中継装置
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6574214B1 (en) * 2000-05-25 2003-06-03 Nortel Networks Limited Reduced overhead tunneling techniques in a communications network having mobile foreign agents

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077242A (ja) * 2000-09-04 2002-03-15 Ntt Docomo Inc パケット伝送方法および送信装置
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers
JP2005086223A (ja) * 2003-09-04 2005-03-31 Matsushita Electric Ind Co Ltd 中継装置

Also Published As

Publication number Publication date
US20070186100A1 (en) 2007-08-09
US7861080B2 (en) 2010-12-28
JP2007208855A (ja) 2007-08-16

Similar Documents

Publication Publication Date Title
JP4592611B2 (ja) パケット通信システム
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7380124B1 (en) Security transmission protocol for a mobility IP network
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
US6965946B2 (en) Method and apparatus for communication control of mobile computers in communication network systems using private IP addresses
US6501767B1 (en) Mobile IP communication scheme for supporting mobile computer move over different address spaces
US20040037260A1 (en) Virtual private network system
US8126148B2 (en) Securing home agent to mobile node communication with HA-MN key
US8179890B2 (en) Mobile IP over VPN communication protocol
US8437345B2 (en) Terminal and communication system
US8185935B2 (en) Method and apparatus for dynamic home address assignment by home agent in multiple network interworking
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
US20070177550A1 (en) Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
US20130333001A1 (en) Mobile IPv6 Authentication and Authorization Baseline
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
JP4334425B2 (ja) ホームエージェント
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
Tsuda et al. Design and implementation of Network CryptoGate-IP-layer security and mobility support
Wang et al. IPSec-based key management in mobile IP networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100914

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100914

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130924

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees