JP4688160B2 - ノード装置およびike継続方法 - Google Patents
ノード装置およびike継続方法 Download PDFInfo
- Publication number
- JP4688160B2 JP4688160B2 JP2006048433A JP2006048433A JP4688160B2 JP 4688160 B2 JP4688160 B2 JP 4688160B2 JP 2006048433 A JP2006048433 A JP 2006048433A JP 2006048433 A JP2006048433 A JP 2006048433A JP 4688160 B2 JP4688160 B2 JP 4688160B2
- Authority
- JP
- Japan
- Prior art keywords
- ike
- address
- home
- link
- mobile node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明はMobile IPネットワークシステムにおいてSecurity Architecture for the Internet Protocol(以下IPsecという)を使うノード装置に関するものであり、特にInternet Key Exchange(以下IKEという)が実施されているときにMobile Nodeが移動してもIKE交渉の遅延を防ぐ技術に関する。
Internetに接続されたノード装置のうち、移動して使う場所が変わるようなノード装置(Mobile Nodeのこと、以下MNという)は、通常、所属するHome Linkで割り当てられたIPアドレス(Home Addressのこと、以下HoAという)を固有のアドレスとしており、これを使って通信している。しかしMNが他のLink(Foreign Linkのこと)へ移動すればHoAを使うことができなくなるので、Foreign LinkでCare-of Address(以下CoAという)というIPアドレスを新規に取得して通信しなければならない。
その対策として現在は、MNがForeign Linkに移動してもHoAを固有のアドレスとして使うことができるようにする方策が考えられており、Mobile IPv4ネットワークシステム(例えば非特許文献1参照)やMobile IPv6ネットワークシステム(例えば非特許文献2参照)が提案され一部では実用に供している。
その対策として現在は、MNがForeign Linkに移動してもHoAを固有のアドレスとして使うことができるようにする方策が考えられており、Mobile IPv4ネットワークシステム(例えば非特許文献1参照)やMobile IPv6ネットワークシステム(例えば非特許文献2参照)が提案され一部では実用に供している。
そこで、そのような従来の一般的なMobile IPネットワークシステムについて図を用いて説明する。
図6、7はそれぞれMobile IPv4ネットワークシステムとMobile IPv6ネットワークシステムの接続状況を示しており、それぞれHome LinkとForeign Link 1,2が相互に接続されている。(a)はHome Agent(以下HAという)とMNがHome LinkにあってMNが移動する前のものであり、(b)はMNがHome LinkからForeign Link 1に移動した後のものである。MNの移動後はHome LinkにHAがあり、Foreign Link 1にMNがあって,Foreign Link 2にはCorrespondent Node(以下CNという)がある。このCNはMobile IP固有のパケットを理解する機能を備えている。Mobile IPv4ネットワークシステムの場合はForeign Link 1上にForeign Agent(以下FAという)が存在する。
このような接続状況にあって、MNが移動前のHome Linkにあるときは、MNは通常のノード装置と同様の動作をする。MNが移動してForeign Link 1にあるときは、MNはHome Linkで取得したHoAを固有のアドレスとして直接利用することができる。そして、いずれのネットワークシステムでもMNがHAを介してCNと通信することができるようになっている。
図6、7はそれぞれMobile IPv4ネットワークシステムとMobile IPv6ネットワークシステムの接続状況を示しており、それぞれHome LinkとForeign Link 1,2が相互に接続されている。(a)はHome Agent(以下HAという)とMNがHome LinkにあってMNが移動する前のものであり、(b)はMNがHome LinkからForeign Link 1に移動した後のものである。MNの移動後はHome LinkにHAがあり、Foreign Link 1にMNがあって,Foreign Link 2にはCorrespondent Node(以下CNという)がある。このCNはMobile IP固有のパケットを理解する機能を備えている。Mobile IPv4ネットワークシステムの場合はForeign Link 1上にForeign Agent(以下FAという)が存在する。
このような接続状況にあって、MNが移動前のHome Linkにあるときは、MNは通常のノード装置と同様の動作をする。MNが移動してForeign Link 1にあるときは、MNはHome Linkで取得したHoAを固有のアドレスとして直接利用することができる。そして、いずれのネットワークシステムでもMNがHAを介してCNと通信することができるようになっている。
次にMNがHome Linkから他のLinkに移動するときの動作について説明する。図8、9はそれぞれMobile IPv4ネットワークシステムとMobile IPv6ネットワークシステムについてMNがHome LinkからForeign Linkに移動したときの一般的な処理手順を説明する図である。
これらの図において、MNが移動する前のHome Linkにあるときは、MNは直接CNと通信をしている(S31,S32,S41,S42)。次にMNがHome LinkからForeign Link 1へ移動すると、MNはそのForeign Link 1で使うことができるCoAを新規に取得する。CoAを取得すると、MNはHAに対してHome Registrationを実施し、他の通信Nodeから送信されるHoA宛のパケットをCoA宛に転送するように登録する(S33,S34,S43,S44)。
この時、Mobile IPv4ネットワークシステムの場合はFAとHAの間で双方向トンネルが構築され、またMobile IPv6ネットワークシステムの場合はMNとHAの間で双方向トンネルが構築されるので、FAとHA、またはMNとHAの間で双方向トンネルを使用したIPsec通信ができるようになる。
その後は、Foreign Link 2にあるCNからMNのHoA宛に送信されたパケットはHome LinkでHAがインタセプトし(S35,S45)、CoA宛のIPヘッダでカプセル化してMNに対してトンネリングを行う(S36,S46)。
Foreign LinkにFAがあるようなMobile IPv4 ネットワークシステムでは、FAがトンネリングパケットを受信するとカプセル化を解除してMNに転送する(S36)。またForeign LinkにFAがないようなMobile IPv4 ネットワークシステム、またはMobile IPv6ネットワークシステムでは、MNがトンネリングパケットを受信するとカプセル化を解除してインナーパケットであるHoA宛のパケットとして処理する(S36)。
これらの図において、MNが移動する前のHome Linkにあるときは、MNは直接CNと通信をしている(S31,S32,S41,S42)。次にMNがHome LinkからForeign Link 1へ移動すると、MNはそのForeign Link 1で使うことができるCoAを新規に取得する。CoAを取得すると、MNはHAに対してHome Registrationを実施し、他の通信Nodeから送信されるHoA宛のパケットをCoA宛に転送するように登録する(S33,S34,S43,S44)。
この時、Mobile IPv4ネットワークシステムの場合はFAとHAの間で双方向トンネルが構築され、またMobile IPv6ネットワークシステムの場合はMNとHAの間で双方向トンネルが構築されるので、FAとHA、またはMNとHAの間で双方向トンネルを使用したIPsec通信ができるようになる。
その後は、Foreign Link 2にあるCNからMNのHoA宛に送信されたパケットはHome LinkでHAがインタセプトし(S35,S45)、CoA宛のIPヘッダでカプセル化してMNに対してトンネリングを行う(S36,S46)。
Foreign LinkにFAがあるようなMobile IPv4 ネットワークシステムでは、FAがトンネリングパケットを受信するとカプセル化を解除してMNに転送する(S36)。またForeign LinkにFAがないようなMobile IPv4 ネットワークシステム、またはMobile IPv6ネットワークシステムでは、MNがトンネリングパケットを受信するとカプセル化を解除してインナーパケットであるHoA宛のパケットとして処理する(S36)。
これとは逆に、MNからパケットの送信元にHoAを用いたパケットを送信するときは、Mobile IPv4の場合は、リバーストンネリングが使用できればFAが当該パケットをHA宛のIPヘッダでカプセル化してHAに対してリバーストンネリングを行う(S37)。Mobile IPv6の場合は、MNが当該パケットをHA宛のIPヘッダでカプセル化してHAに対してリバーストンネリングを行う(S47)。HAは、リバーストンネリングされたパケットを受信すると、カプセル化を解除してインナーパケットの送信元にHoAを使ったパケットを送信する(S38,S48)。
MNが更に他のLinkへ移動するときは、移動先のLinkで使えるIPアドレスを取得し、上記の手順を繰り返す。こうすることによって、MNがHome Link以外の複数のForeign Link間を移動しても常にHoAを使って他のCNやMNとの間で通信をすることができるようになる。
MNが更に他のLinkへ移動するときは、移動先のLinkで使えるIPアドレスを取得し、上記の手順を繰り返す。こうすることによって、MNがHome Link以外の複数のForeign Link間を移動しても常にHoAを使って他のCNやMNとの間で通信をすることができるようになる。
MNとHA、またはFAとHAの間で使うIPsecは各ノード間でSecurity Association(以下IPsec SAという)が確立されており、これを使って暗号化と認証処理がされる。IPsec SAには暗号化に使う暗号鍵と認証値の両方または何れか一方の算出に使う認証鍵が含まれており、これらはIKEによって動的に管理することができるようになっている。IKEを用いてIPsec SAを動的に管理すればIPsec SAに有効期限を設定して定期的に更新することができ、よりセキュアなIPsec通信ができるようになる。このようなIKEとしてIKEv1(例えば非特許文献3参照)とIKEv2(例えば非特許文献4参照)が提案されている。
次にMobile IPv6ネットワークシステムにおけるIKEv1とIKEv2の適用について図を用いて説明する。
図10はMobile IPv6ネットワークシステムにIKEv1を適用したときのものであり、MNがHAに対してHome Registrationをするときに使うIPsec SAを確立するためのIKE交渉の処理概要を示すシーケンス図である。MNがHome LinkからForeign Link1へ移動すると、CoAを取得してIKE phase1をAggressive Modeで実施する(S53、S54、S55)。これによってSA for Internet Security Association and Key Management Protocol(以下ISAKMP SAという)が生成され、IPsec SAを生成する際のIKE交渉がセキュアになる。その後、このISAKMP SAを使ったIKE phase2を実施して(S56、S57、S58)IPsec SAを生成するので、MNがHAに対してセキュアなHome Registrationを実施することができるようになる(S59、S5A)。同様に他のIPsec SAについてはISAKMP SAが有効であればIKE phase2のみを実施し、ISAKMP SAの有効期限が切れていればIKE phase1とIKE phase2を実施して必要なIPsec SAを生成することができる。
図11はMobile IPv6ネットワークシステムにIKEv2を適用したときのものであり、MNがHAに対してHome Registrationをするときに使うIPsec SAを確立するためのIKE交渉の処理概要を示すシーケンス図である。MNがHome LinkからForeign Link1へ移動すると、CoAを取得してIKE_SA_INIT exchangeを実施する(S63、S64)。これによってIKE SAが生成され、セキュアなIKE交渉ができて相手先ノードの認証とIPsec SAを確立することができるようになる。その後、このIKE SAを使ってIKE_AUTH exchangeを実施して相手先ノードの認証を行い(S65、S66)、続いてCREATE_CHILD_SA exchangeを実施し(S67、S68)、IPsec SAが確立され、MNがHAに対してセキュアなHome Registrationを実施することができるようになる(S69、S6A)。同様に他のIPsec SAについても、IKE SAが有効であればCREATE_CHILD_SA exchangeのみを実施して必要なIPsec SAを生成することができ、IKE SAの有効期限が切れた後であればIKE_SA_INIT exchangeと、IKE_AUTH exchange、CREATE_CHILD_SA exchangeを実施することによって、必要なIPsec SAを生成することができる。
このようにすることによって、Mobile IPネットワークシステムにおいてIKEを利用することが可能となる。
IP Mobility Support for IPv4(RFC3344)、2002、C. Perkins, Ed.:(URL 1140761303346_0.txt) Mobility Support in IPv6(RFC3775)、2004、D. Johnson、C. Perkins、J. Arkko:(URL http://www.ietf.org/rfc/rfc3775.txt) The Internet Key Exchange(IKE)(RFC2409)、1998、Dan Harkins、Dave Carrel:(URL http://www.ietf.org/rfc/rfc2409.txt) Internet Key Exchange(IKEv2)Protocol(RFC4306)、2005、C.Kaufman、Ed:(URL http://www.ietf.org/rfc/rfc4306.txt)
図10はMobile IPv6ネットワークシステムにIKEv1を適用したときのものであり、MNがHAに対してHome Registrationをするときに使うIPsec SAを確立するためのIKE交渉の処理概要を示すシーケンス図である。MNがHome LinkからForeign Link1へ移動すると、CoAを取得してIKE phase1をAggressive Modeで実施する(S53、S54、S55)。これによってSA for Internet Security Association and Key Management Protocol(以下ISAKMP SAという)が生成され、IPsec SAを生成する際のIKE交渉がセキュアになる。その後、このISAKMP SAを使ったIKE phase2を実施して(S56、S57、S58)IPsec SAを生成するので、MNがHAに対してセキュアなHome Registrationを実施することができるようになる(S59、S5A)。同様に他のIPsec SAについてはISAKMP SAが有効であればIKE phase2のみを実施し、ISAKMP SAの有効期限が切れていればIKE phase1とIKE phase2を実施して必要なIPsec SAを生成することができる。
図11はMobile IPv6ネットワークシステムにIKEv2を適用したときのものであり、MNがHAに対してHome Registrationをするときに使うIPsec SAを確立するためのIKE交渉の処理概要を示すシーケンス図である。MNがHome LinkからForeign Link1へ移動すると、CoAを取得してIKE_SA_INIT exchangeを実施する(S63、S64)。これによってIKE SAが生成され、セキュアなIKE交渉ができて相手先ノードの認証とIPsec SAを確立することができるようになる。その後、このIKE SAを使ってIKE_AUTH exchangeを実施して相手先ノードの認証を行い(S65、S66)、続いてCREATE_CHILD_SA exchangeを実施し(S67、S68)、IPsec SAが確立され、MNがHAに対してセキュアなHome Registrationを実施することができるようになる(S69、S6A)。同様に他のIPsec SAについても、IKE SAが有効であればCREATE_CHILD_SA exchangeのみを実施して必要なIPsec SAを生成することができ、IKE SAの有効期限が切れた後であればIKE_SA_INIT exchangeと、IKE_AUTH exchange、CREATE_CHILD_SA exchangeを実施することによって、必要なIPsec SAを生成することができる。
このようにすることによって、Mobile IPネットワークシステムにおいてIKEを利用することが可能となる。
IP Mobility Support for IPv4(RFC3344)、2002、C. Perkins, Ed.:(URL 1140761303346_0.txt) Mobility Support in IPv6(RFC3775)、2004、D. Johnson、C. Perkins、J. Arkko:(URL http://www.ietf.org/rfc/rfc3775.txt) The Internet Key Exchange(IKE)(RFC2409)、1998、Dan Harkins、Dave Carrel:(URL http://www.ietf.org/rfc/rfc2409.txt) Internet Key Exchange(IKEv2)Protocol(RFC4306)、2005、C.Kaufman、Ed:(URL http://www.ietf.org/rfc/rfc4306.txt)
上記のような従来技術においては、IKE交渉を開始する契機は特に規定されていないものの、IPsec SAを使ったパケットを送信する際に対応するIPsec SAが確立できていない場合にはIKE交渉を開始する必要がある。また、MNのLink間移動が常に発生しうるものであるため、IKE交渉中であっても発生する可能性がある。
このような状況における課題として、payload packetにIPsecを使用する場合のMobile IPv6ネットワークにIKEv1を適用した場合を例にとって説明する。
MNがInitiatorとして動作する場合の例を図12に示す。図12においてMNがForeign Link1へ移動し、CoA1を生成してHAに対するHome Registrationが完了した(S71、S72)後に、CNに対してHoAを使用したパケットを送信するときは、MNとHAの間に必要なIPsec SAが確立されていなければ、MNがHAに対してIKE交渉を開始する(S73)。IKE交渉を開始した直後のIKE交渉中にMNがForeign Link1からForeign Link2へ移動すると、HAからのIKE交渉に対する応答パケットはMNへ到達できなくなってしまう(S74)。このためIKE交渉は失敗してしまい、MNが次にCNに対してHoAを使用したパケットを送信するときにIKE交渉が開始され(S77)、MNからCNに送信するパケットが遅延するという課題があった。
次にHAがInitiatorとして動作する場合の例を図13に示す。図13においてMNがForeign Link1へ移動し、CoA1を生成してHAに対するHome Registrationを完了した(S81、S82)後に、CNからMNのHoAに対して送信されたパケットをHAがインタセプトした(S83)ときに、HAとMNの間に必要なIPsec SAが確立していなければ、HAがMNに対してIKE交渉を開始する必要がある。しかしIKE交渉を開始したときが、MNがForeign Link1からForeign Link2へ移動していた後であれば、HAが開始したIKE交渉の要求パケットはMNへ到達することができない(S84)。このためIKE交渉は失敗してしまい、次にCNからMNのHoAに対して送信されたパケットをHAがインタセプトしたときにIKE交渉が開始され(S87)、CNからMNに送信するパケットが遅延するという課題があった。
このような状況における課題として、payload packetにIPsecを使用する場合のMobile IPv6ネットワークにIKEv1を適用した場合を例にとって説明する。
MNがInitiatorとして動作する場合の例を図12に示す。図12においてMNがForeign Link1へ移動し、CoA1を生成してHAに対するHome Registrationが完了した(S71、S72)後に、CNに対してHoAを使用したパケットを送信するときは、MNとHAの間に必要なIPsec SAが確立されていなければ、MNがHAに対してIKE交渉を開始する(S73)。IKE交渉を開始した直後のIKE交渉中にMNがForeign Link1からForeign Link2へ移動すると、HAからのIKE交渉に対する応答パケットはMNへ到達できなくなってしまう(S74)。このためIKE交渉は失敗してしまい、MNが次にCNに対してHoAを使用したパケットを送信するときにIKE交渉が開始され(S77)、MNからCNに送信するパケットが遅延するという課題があった。
次にHAがInitiatorとして動作する場合の例を図13に示す。図13においてMNがForeign Link1へ移動し、CoA1を生成してHAに対するHome Registrationを完了した(S81、S82)後に、CNからMNのHoAに対して送信されたパケットをHAがインタセプトした(S83)ときに、HAとMNの間に必要なIPsec SAが確立していなければ、HAがMNに対してIKE交渉を開始する必要がある。しかしIKE交渉を開始したときが、MNがForeign Link1からForeign Link2へ移動していた後であれば、HAが開始したIKE交渉の要求パケットはMNへ到達することができない(S84)。このためIKE交渉は失敗してしまい、次にCNからMNのHoAに対して送信されたパケットをHAがインタセプトしたときにIKE交渉が開始され(S87)、CNからMNに送信するパケットが遅延するという課題があった。
本発明の目的は、かかる従来技術の課題を解決し、IKE交渉中にMNがLink間を移動した場合であっても、移動先のLinkで取得したCoAを用いて直ちにIKE交渉を開始できるようにし、IPsec SA生成とパケット送信の遅延を防ぐことにある。
上記問題を解決するために、本発明は次のように構成したのである。
すなわち、本発明第1の構成によるノード装置は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Mobile Nodeとして機能するため、アドレスを管理するアドレス管理部と、IKE交渉をするIKE交渉部を含み、Initiatorとして前記Home AgentとIKE交渉を実施しているときに、第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記アドレス管理部は、第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを前記IKE交渉部へ通知し、第2のForeign Linkで使用する第2のCare-of Addressを取得し、前記IKE交渉部は、IKE交渉中のIKE交渉情報をIKE中断リストに格納してIKE交渉を中断し、前記アドレス管理部から第2のCare-of Addressを取得して、前記IKE中断リストに格納された前記IKE交渉情報を基にしてIKE交渉を再開することを特徴としている。
また、本発明第2の構成によるノード装置は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Home Agentとして機能するため、IKE交渉をするIKE交渉部と、Registrationを実施するRegistration管理部を含み、Initiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記Registration管理部は、前記Mobile Nodeから実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを前記IKE交渉部へ通知し、前記IKE交渉部は、前記Registration管理部からの通知に基づいて、実施中のIKE交渉を中断して第2のCare-of Addressを使ったIKE交渉を再開することを特徴としている。
また、本発明第3の構成によるIKE継続方法は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Mobile NodeがInitiatorとして前記Home AgentとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを確認するアドレス状態確認手順と、IKE交渉中のIKE交渉情報をIKE中断リストとして保有してIKE交渉を中断するIKE中断手順と、第2のForeign Linkで使用する第2のCare-of Addressを取得し、前記IKE中断リストに格納されている前記IKE交渉情報を基にしてIKE交渉を再開するIKE再開手順と、によってIKE交渉を維持することを特徴としている。
また、本発明第4の構成によるIKE継続方法は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Home AgentがInitiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記Mobile Nodeから前記Home Agentに対して実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを確認するアドレス状態確認手順と、実施中であるIKE交渉を中断するIKE中断手順と、第2のCare-of Addressを使用したIKE交渉を再開するIKE再開手順と、によってIKE交渉を維持することを特徴としている。
すなわち、本発明第1の構成によるノード装置は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Mobile Nodeとして機能するため、アドレスを管理するアドレス管理部と、IKE交渉をするIKE交渉部を含み、Initiatorとして前記Home AgentとIKE交渉を実施しているときに、第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記アドレス管理部は、第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを前記IKE交渉部へ通知し、第2のForeign Linkで使用する第2のCare-of Addressを取得し、前記IKE交渉部は、IKE交渉中のIKE交渉情報をIKE中断リストに格納してIKE交渉を中断し、前記アドレス管理部から第2のCare-of Addressを取得して、前記IKE中断リストに格納された前記IKE交渉情報を基にしてIKE交渉を再開することを特徴としている。
また、本発明第2の構成によるノード装置は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Home Agentとして機能するため、IKE交渉をするIKE交渉部と、Registrationを実施するRegistration管理部を含み、Initiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記Registration管理部は、前記Mobile Nodeから実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを前記IKE交渉部へ通知し、前記IKE交渉部は、前記Registration管理部からの通知に基づいて、実施中のIKE交渉を中断して第2のCare-of Addressを使ったIKE交渉を再開することを特徴としている。
また、本発明第3の構成によるIKE継続方法は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Mobile NodeがInitiatorとして前記Home AgentとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを確認するアドレス状態確認手順と、IKE交渉中のIKE交渉情報をIKE中断リストとして保有してIKE交渉を中断するIKE中断手順と、第2のForeign Linkで使用する第2のCare-of Addressを取得し、前記IKE中断リストに格納されている前記IKE交渉情報を基にしてIKE交渉を再開するIKE再開手順と、によってIKE交渉を維持することを特徴としている。
また、本発明第4の構成によるIKE継続方法は、IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、前記Home AgentがInitiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、前記Mobile Nodeから前記Home Agentに対して実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを確認するアドレス状態確認手順と、実施中であるIKE交渉を中断するIKE中断手順と、第2のCare-of Addressを使用したIKE交渉を再開するIKE再開手順と、によってIKE交渉を維持することを特徴としている。
このようになっているので、IKE交渉中にMNがLink間を移動しても、移動先のLinkで取得したCoAを用いて直ちにIKE交渉を開始することができ、IPsec SA生成のための遅延を防ぐことができるのである。
第1及び第3の発明によれば、IKE交渉中にMNが別のLinkへ移動しても、IKE交渉部がアドレス管理部から移動先のLinkで使えるCoAを取得するので、CoAを取得した直後からIKE交渉を開始することができてIPsec SA生成の遅延を防ぐことができるのである。
また、第2及び第4の発明によれば、IKE交渉中にMNが別のLinkへ移動しても、MNのHome RegistrationによってCoAが更新されたことをRegistration管理部がIKE交渉部に通知するので、MNが新たなCoAをHAに登録した直後からIKE交渉を開始することができてIPsec SA生成の遅延を防ぐことができるのである。
また、第2及び第4の発明によれば、IKE交渉中にMNが別のLinkへ移動しても、MNのHome RegistrationによってCoAが更新されたことをRegistration管理部がIKE交渉部に通知するので、MNが新たなCoAをHAに登録した直後からIKE交渉を開始することができてIPsec SA生成の遅延を防ぐことができるのである。
以下、本発明の実施の形態として、Mobile IPv6ネットワークシステムにIPsecとIKEv1を適用した場合について図1〜図5に基づいて説明する。
まず図3を用いてノード装置の構成について説明する。ノード装置1は、ノード装置1が保持するIPアドレスの状態を管理するアドレス管理部2と、Mobile IP機能の一部であってMNから受信したHoA登録情報を管理するRegistration管理部4、IKE機能の一部であってIKE交渉の情報を管理するIKE交渉部3を備えている。IKE交渉部3はアドレス管理部2またはRegistration管理部4の通知を受けてIKE交渉の中断か開始を判定することができるようになっている。
図1はMN機能を持つノード装置の処理概要を説明するシーケンス図である。MNがForeign Link1に移動すると、生成したCoA1についてHAに対してHome Registrationを実施することによりHome Linkにあるときと同様に、HoAを使った通信をすることができる(S11、S12)。その後、CNに対してHoAを使用したパケットを送信するときは、MNとHAの間に必要なIPsec SAが確立されていなければ、MNがHAに対してIKE交渉を開始する(S13)。しかしIKE交渉を開始した直後にMNがForeign Link1からForeign Link2へ移動すると、IKE交渉に対するHAの応答パケットはMNへ到達できなくなってしまうので(S14)、この時、MNはCoA1がOff-link AddressとなったことによってIKE交渉を中断する。
その後、MNがForeign Link2でCoA2を生成してHAに対してHome Registrationを実施する(S15、S16)。さらにMNは、CoA1がOff-link Addressとなったことにより中断していたIKE交渉をCoA2を用いて開始し(S17、S18、S19、S1A、S1B、S1C)、IPsec SAを確立する。その後はIPsec SAがすでに存在しているため、IKE交渉を実施することなくMNがHoAを使ったパケットをCNに送信することができるのである。
その後、MNがForeign Link2でCoA2を生成してHAに対してHome Registrationを実施する(S15、S16)。さらにMNは、CoA1がOff-link Addressとなったことにより中断していたIKE交渉をCoA2を用いて開始し(S17、S18、S19、S1A、S1B、S1C)、IPsec SAを確立する。その後はIPsec SAがすでに存在しているため、IKE交渉を実施することなくMNがHoAを使ったパケットをCNに送信することができるのである。
MN機能を持つ上記のノード装置の処理手順について、図4のフローチャートを用いて詳細に説明する。
MNのIKE交渉部3でIKE交渉が開始されると(F11)、MNのLink間移動によりCoA1がOff-link Addressとなったことをアドレス管理部2が検知し(F19)、そのことをアドレス管理部2がIKE交渉部3に通知する(F1A)。通知を受けたIKE交渉部3は実施中のIKE交渉を中断し(F12)、そのときのIKE交渉情報をIKE中断リストに格納する(F13)。その後、IKE交渉部3からアドレス管理部2に新たなOn-link Addressの取得要求が出され(F14)、この要求を受けたアドレス管理部2が、Foreign Link2で生成したCoA2をIKE交渉部3に通知する(F1B)。ここでアドレス管理部2がOn-Link Addressを管理していなければOn-link Address無しがIKE交渉部3に返され、これ以降、IKE交渉部3から定期的にOn-link Addressの取得要求が出されることになる。
新たなOn-link AddressとなったCoA2を受けるとIKE交渉部3は、IKE中断リストからIKE交渉情報を取得し(F15)、CoA2とIKE交渉情報によってIKE交渉を開始する(F16)。その後、IKE交渉が正常に完了すると(F17)新たなIPsec SAが確立され(F18)、IKE交渉によって遅延することなくMNがパケットを送信することができるのである。
MNのIKE交渉部3でIKE交渉が開始されると(F11)、MNのLink間移動によりCoA1がOff-link Addressとなったことをアドレス管理部2が検知し(F19)、そのことをアドレス管理部2がIKE交渉部3に通知する(F1A)。通知を受けたIKE交渉部3は実施中のIKE交渉を中断し(F12)、そのときのIKE交渉情報をIKE中断リストに格納する(F13)。その後、IKE交渉部3からアドレス管理部2に新たなOn-link Addressの取得要求が出され(F14)、この要求を受けたアドレス管理部2が、Foreign Link2で生成したCoA2をIKE交渉部3に通知する(F1B)。ここでアドレス管理部2がOn-Link Addressを管理していなければOn-link Address無しがIKE交渉部3に返され、これ以降、IKE交渉部3から定期的にOn-link Addressの取得要求が出されることになる。
新たなOn-link AddressとなったCoA2を受けるとIKE交渉部3は、IKE中断リストからIKE交渉情報を取得し(F15)、CoA2とIKE交渉情報によってIKE交渉を開始する(F16)。その後、IKE交渉が正常に完了すると(F17)新たなIPsec SAが確立され(F18)、IKE交渉によって遅延することなくMNがパケットを送信することができるのである。
次にHA機能を持つノード装置がIKE交渉のInitiatorとなる場合について説明する。
図2はHA機能を持つノード装置の処理概要を示すシーケンス図である。MNがForeign Link1に移動すると、生成したCoA1についてHAに対してHome Registrationを実施することによりHome Linkにあるときと同様にHoAを使った通信をすることができるようになる(S21、S22)。その後、CNからMNのHoAに対して送信されたパケットをHAがインタセプトした(S23)ときは、HAとMNの間に必要なIPsec SAが確立されていなければ、HAがMNに対してIKE交渉を開始する(S24)。しかしIKE交渉を開始する直前にMNがForeign Link1からForeign Link2へ移動してしまうと、IKE交渉の要求応答パケットはMNへ到達できなくなってしまう(S24)。
その後、MNがForeign Link2でCoA2を生成し、HAに対してHome Registrationを実施する(S25、S26)。そしてHAは、CoA1がCoA2に更新されたことを認識し、CoA1を用いたIKE交渉を中断してCoA2を用いたIKE交渉を開始し(S27、S28、S29、S2A、S2B、S2C)、IPsec SAを確立する。その後はIPsec SAがすでに存在しているため、IKE交渉を実施することなくCNからMNのHoAにパケットを転送することができるのである。
図2はHA機能を持つノード装置の処理概要を示すシーケンス図である。MNがForeign Link1に移動すると、生成したCoA1についてHAに対してHome Registrationを実施することによりHome Linkにあるときと同様にHoAを使った通信をすることができるようになる(S21、S22)。その後、CNからMNのHoAに対して送信されたパケットをHAがインタセプトした(S23)ときは、HAとMNの間に必要なIPsec SAが確立されていなければ、HAがMNに対してIKE交渉を開始する(S24)。しかしIKE交渉を開始する直前にMNがForeign Link1からForeign Link2へ移動してしまうと、IKE交渉の要求応答パケットはMNへ到達できなくなってしまう(S24)。
その後、MNがForeign Link2でCoA2を生成し、HAに対してHome Registrationを実施する(S25、S26)。そしてHAは、CoA1がCoA2に更新されたことを認識し、CoA1を用いたIKE交渉を中断してCoA2を用いたIKE交渉を開始し(S27、S28、S29、S2A、S2B、S2C)、IPsec SAを確立する。その後はIPsec SAがすでに存在しているため、IKE交渉を実施することなくCNからMNのHoAにパケットを転送することができるのである。
HA機能を持つ上記のノード装置の処理手順について、図5のフローチャートを用いて詳細に説明する。
HAのIKE交渉部3でIKE交渉が開始されると(F21)、MNのLink間移動によりMNのHome Registrationが完了し(F26)、CoA1がCoA2に更新されたことRegistration管理部4が検知してIKE交渉部3に通知する(F27)。この通知を受けたIKE交渉部3は実施中のIKE交渉を中断し(F22)、CoA2とIKE交渉情報によってIKE交渉を開始する(F23)。その後、IKE交渉が正常に完了すると(F24)新たなIPsec SAが確立され(F25)、IKE交渉によって遅延することなくCNがMNのHoAに送信パケットを転送することができるようになるのである。
HAのIKE交渉部3でIKE交渉が開始されると(F21)、MNのLink間移動によりMNのHome Registrationが完了し(F26)、CoA1がCoA2に更新されたことRegistration管理部4が検知してIKE交渉部3に通知する(F27)。この通知を受けたIKE交渉部3は実施中のIKE交渉を中断し(F22)、CoA2とIKE交渉情報によってIKE交渉を開始する(F23)。その後、IKE交渉が正常に完了すると(F24)新たなIPsec SAが確立され(F25)、IKE交渉によって遅延することなくCNがMNのHoAに送信パケットを転送することができるようになるのである。
IPsecとIKEが使われるMobile IPネットワークシステムにおいて、例えばリモートメンテナンスなど、常にリアルタイムな情報を必要とする場合に、ノード間で実施されるIPsecを用いた通信の遅延を削減する手段として有用である。
1 ノード装置
2 アドレス管理部
3 IKE交渉部
4 Registration管理部
HA Home Agent
HoA Home Address
CoA Care-of Address
FA Foreign Agent
MN Mobile Node
CN Correspondent Node
IPsec SA Security Association for IPsec
2 アドレス管理部
3 IKE交渉部
4 Registration管理部
HA Home Agent
HoA Home Address
CoA Care-of Address
FA Foreign Agent
MN Mobile Node
CN Correspondent Node
IPsec SA Security Association for IPsec
Claims (4)
- IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、
前記Mobile Nodeとして機能するため、アドレスを管理するアドレス管理部と、IKE交渉をするIKE交渉部を含み、
Initiatorとして前記Home AgentとIKE交渉を実施しているときに、第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、
前記アドレス管理部は、第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを前記IKE交渉部へ通知し、第2のForeign Linkで使用する第2のCare-of Addressを取得し、
前記IKE交渉部は、IKE交渉中のIKE交渉情報をIKE中断リストに格納してIKE交渉を中断し、前記アドレス管理部から第2のCare-of Addressを取得して、前記IKE中断リストに格納された前記IKE交渉情報を基にしてIKE交渉を再開する
ことを特徴とするノード装置。 - IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、
前記Home Agentとして機能するため、IKE交渉をするIKE交渉部と、Registrationを実施するRegistration管理部を含み、
Initiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、
前記Registration管理部は、前記Mobile Nodeから実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを前記IKE交渉部へ通知し、
前記IKE交渉部は、前記Registration管理部からの通知に基づいて、実施中のIKE交渉を中断して第2のCare-of Addressを使ったIKE交渉を再開する
ことを特徴とするノード装置。 - IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、
前記Mobile NodeがInitiatorとして前記Home AgentとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、
第1のForeign Linkで使用していた第1のCare-of AddressがOff-link Addressとなったことを確認するアドレス状態確認手順と、
IKE交渉中のIKE交渉情報をIKE中断リストとして保有してIKE交渉を中断するIKE中断手順と、
第2のForeign Linkで使用する第2のCare-of Addressを取得し、前記IKE中断リストに格納されている前記IKE交渉情報を基にしてIKE交渉を再開するIKE再開手順と、
によってIKE交渉を維持することを特徴とするIKE継続方法。 - IPsecとIKEが使用されるHome Link上のHome Agentに、IPsecとIKEが使用されるForeign Link上のMobile NodeのHome Addressを登録することにより、前記Mobile NodeがどのForeign Link上にあっても、前記Home Addressを使ったパケット通信をすることができるMobile IPネットワークシステムにおいて使用され、
前記Home AgentがInitiatorとして前記Mobile NodeとIKE交渉を実施しているときに、前記Mobile Nodeが第1のForeign Linkとは別の第2のForeign Linkへ移動した場合には、
前記Mobile Nodeから前記Home Agentに対して実施されるHome Registrationにより、前記Mobile Nodeが登録している第1のCare-of Addressが第2のCare-of Addressに更新されたことを確認するアドレス状態確認手順と、
実施中であるIKE交渉を中断するIKE中断手順と、
第2のCare-of Addressを使用したIKE交渉を再開するIKE再開手順と、によってIKE交渉を維持することを特徴とするIKE継続方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006048433A JP4688160B2 (ja) | 2006-02-24 | 2006-02-24 | ノード装置およびike継続方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006048433A JP4688160B2 (ja) | 2006-02-24 | 2006-02-24 | ノード装置およびike継続方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2007228369A JP2007228369A (ja) | 2007-09-06 |
| JP2007228369A5 JP2007228369A5 (ja) | 2009-04-02 |
| JP4688160B2 true JP4688160B2 (ja) | 2011-05-25 |
Family
ID=38549710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006048433A Expired - Fee Related JP4688160B2 (ja) | 2006-02-24 | 2006-02-24 | ノード装置およびike継続方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4688160B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004254120A (ja) * | 2003-02-20 | 2004-09-09 | Toyota Motor Corp | 暗号化通信方法、移動端末および移動体 |
-
2006
- 2006-02-24 JP JP2006048433A patent/JP4688160B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004254120A (ja) * | 2003-02-20 | 2004-09-09 | Toyota Motor Corp | 暗号化通信方法、移動端末および移動体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007228369A (ja) | 2007-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101707759B (zh) | 在两重和三重隧道之间进行切换的移动节点、系统和方法 | |
| JP4431112B2 (ja) | 端末及び通信システム | |
| JP5211155B2 (ja) | Mih事前認証 | |
| JP4091428B2 (ja) | 異種通信ネットワーク間のハンドオーバ方法 | |
| US7961681B2 (en) | Method, system and apparatus for performing mobile internet protocol deregistering | |
| US20070006295A1 (en) | Adaptive IPsec processing in mobile-enhanced virtual private networks | |
| EP2151142B1 (en) | Methods and apparatus for sending data packets to and from mobile nodes | |
| JP2003051818A (ja) | モバイルipネットワークにおけるipセキュリティ実行方法 | |
| KR101201414B1 (ko) | 네트워크에서의 위치 업데이트를 위한 방법, 시스템 및 장치 | |
| JP2009542159A (ja) | モバイルipネットワークにおいてセキュリティ関連付けを作成する方法 | |
| KR101561108B1 (ko) | 소프트웨어 정의 네트워크에 기반한 프록시 모바일 IPv6환경에서의 데이터 통신 방법 및 핸드오버 방법 | |
| US20110214166A1 (en) | Connection management | |
| JP4215010B2 (ja) | 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 | |
| JP2010521112A (ja) | ネットワークベースのモビリティ管理における2ノード間の経路最適化を実行する方法 | |
| US20090190523A1 (en) | Router unit, server unit and home agent function transfer control method | |
| JP4688160B2 (ja) | ノード装置およびike継続方法 | |
| WO2008014719A1 (fr) | Dispositif et procédé permettant d'exécuter une itinérance de noeud dans un réseau ip version 6 | |
| JP4748157B2 (ja) | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム | |
| JP2004312517A (ja) | 経路最適化システムと方法およびプログラム | |
| CN100574228C (zh) | 在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信 | |
| JP2009135920A (ja) | 通信システム、セキュリティアソシエーション継続方法、移動通信端末、サーバ装置及びプログラム | |
| JP4815303B2 (ja) | 通信装置および通信方法 | |
| Alshalan | MobiVPN: Towards a Reliable and Efficient Mobile VPN | |
| JP2011044988A (ja) | 通信システムにおける位置登録管理方法、プロキシ装置及びプロキシプログラム | |
| Indumathi et al. | An Extension of Proxy Mobile IPv6 for Reducing Handover Latency and Packet Loss using Transient Binding |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090213 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110210 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140225 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |