JPH09214543A - 通信経路制御方法および通信経路制御装置 - Google Patents
通信経路制御方法および通信経路制御装置Info
- Publication number
- JPH09214543A JPH09214543A JP8018917A JP1891796A JPH09214543A JP H09214543 A JPH09214543 A JP H09214543A JP 8018917 A JP8018917 A JP 8018917A JP 1891796 A JP1891796 A JP 1891796A JP H09214543 A JPH09214543 A JP H09214543A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- computer
- computers
- home
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ホームルータを介して通信が行われる計算機
ネットワークシステムにおいて、通信経路の冗長を回避
可能な通信経路制御方法を提供すること。 【解決手段】 自組織ネットワーク内の所定接続位置を
ホームとする計算機の現在位置を管理し転送パケットを
宛先計算機に中継するホームルータを持つシステムにて
計算機間通信経路を制御する方法であって、計算機に固
有の自組織ネットワーク内で一意の第1の位置識別子と
移動中計算機の移動位置を識別可能なネットワーク全体
で一意の第2の位置識別子の対応を記憶し、ホームルー
タで中継されるパケット内の送信元と宛先のアドレスと
前記対応から該パケットを通信する計算機のうち少なく
とも一方が自組織ネットワーク内のホームの接続位置か
ら移動しているものであると判断された場合、少なくと
も該移動している計算機の通信相手に該移動している計
算機に対する前記第2の位置識別子を送信する。
ネットワークシステムにおいて、通信経路の冗長を回避
可能な通信経路制御方法を提供すること。 【解決手段】 自組織ネットワーク内の所定接続位置を
ホームとする計算機の現在位置を管理し転送パケットを
宛先計算機に中継するホームルータを持つシステムにて
計算機間通信経路を制御する方法であって、計算機に固
有の自組織ネットワーク内で一意の第1の位置識別子と
移動中計算機の移動位置を識別可能なネットワーク全体
で一意の第2の位置識別子の対応を記憶し、ホームルー
タで中継されるパケット内の送信元と宛先のアドレスと
前記対応から該パケットを通信する計算機のうち少なく
とも一方が自組織ネットワーク内のホームの接続位置か
ら移動しているものであると判断された場合、少なくと
も該移動している計算機の通信相手に該移動している計
算機に対する前記第2の位置識別子を送信する。
Description
【0001】
【発明の属する技術分野】本発明は、相互接続している
複数のネットワーク間で相互にデータを交換する複数の
計算機により構成される計算機システムにおいて、それ
らの計算機間の通信経路を制御する通信経路制御方法お
よび通信経路制御装置に関する。
複数のネットワーク間で相互にデータを交換する複数の
計算機により構成される計算機システムにおいて、それ
らの計算機間の通信経路を制御する通信経路制御方法お
よび通信経路制御装置に関する。
【0002】
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外あるいは一組織外とのコミュニケーショ
ン(例えば電子メール、電子ニュース、ファイルの転送
など)が可能になり、これらが広く利用されはじめた。
特に近年では、世界最大のコンピュータネットワーク
「インターネット(Internet)」の利用が普及
しており、インターネットと接続し、公開された情報、
サービスを利用したり、逆にインターネットを通してア
クセスしてくる外部ユーザに対し、情報、サービスを提
供することで、新たなコンピュータビジネスが開拓され
ている。また、インターネット利用に関して、新たな技
術開発、展開がなされている。
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外あるいは一組織外とのコミュニケーショ
ン(例えば電子メール、電子ニュース、ファイルの転送
など)が可能になり、これらが広く利用されはじめた。
特に近年では、世界最大のコンピュータネットワーク
「インターネット(Internet)」の利用が普及
しており、インターネットと接続し、公開された情報、
サービスを利用したり、逆にインターネットを通してア
クセスしてくる外部ユーザに対し、情報、サービスを提
供することで、新たなコンピュータビジネスが開拓され
ている。また、インターネット利用に関して、新たな技
術開発、展開がなされている。
【0003】また、このようなネットワークの普及に伴
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行ないながらネットワー
ク上の位置を変えていくこともある。そのような通信に
おいて変化する移動計算機のネットワーク上のアドレス
を管理し、正しく通信内容を到達させるために、IET
F/Mobile−IP(参考文献:C.Perkin
g(IBM):“IP Mobile Support
(draft−ietf−mobileip−prot
ocol−12.txt)”,Internet Dr
aft,1995/8.)やVIP(参考文献:Tar
aokaF.et al.“VIP:A Protoc
ol Providing Host Mobilit
y,CACM Vol.37,No.8(Agu.19
94)”)などの移動通信プロトコルが提案されてい
る。
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行ないながらネットワー
ク上の位置を変えていくこともある。そのような通信に
おいて変化する移動計算機のネットワーク上のアドレス
を管理し、正しく通信内容を到達させるために、IET
F/Mobile−IP(参考文献:C.Perkin
g(IBM):“IP Mobile Support
(draft−ietf−mobileip−prot
ocol−12.txt)”,Internet Dr
aft,1995/8.)やVIP(参考文献:Tar
aokaF.et al.“VIP:A Protoc
ol Providing Host Mobilit
y,CACM Vol.37,No.8(Agu.19
94)”)などの移動通信プロトコルが提案されてい
る。
【0004】また、ネットワークが普及し、ネットワー
ク間の自由な接続が実現され、膨大なデータ、サービス
のやりとりがなされる場合、セキュリティ上の問題を考
慮する必要が生じてくる。例えば、組織内部の秘密情報
の外部ネットワークへの漏洩をいかに防ぐか、という問
題や、組織外からの不正な侵入から、組織内ネットワー
クに接続された資源、情報をいかに守るか、という問題
である。インターネットは、当初学術研究を目的に構築
されたため、ネットワークの接続による自由なデータサ
ービスのやりとりを重視しており、このようなセキュリ
ティ上の問題は考慮されていなかったが、近年多くの企
業、団体がインターネットに接続するようになり、セキ
ュリティ上の問題から自組織ネットワークを防衛する機
構が必要となってきた。
ク間の自由な接続が実現され、膨大なデータ、サービス
のやりとりがなされる場合、セキュリティ上の問題を考
慮する必要が生じてくる。例えば、組織内部の秘密情報
の外部ネットワークへの漏洩をいかに防ぐか、という問
題や、組織外からの不正な侵入から、組織内ネットワー
クに接続された資源、情報をいかに守るか、という問題
である。インターネットは、当初学術研究を目的に構築
されたため、ネットワークの接続による自由なデータサ
ービスのやりとりを重視しており、このようなセキュリ
ティ上の問題は考慮されていなかったが、近年多くの企
業、団体がインターネットに接続するようになり、セキ
ュリティ上の問題から自組織ネットワークを防衛する機
構が必要となってきた。
【0005】そこで、複数のネットワークを接続する際
に、それらのネットワークを介して相互にやりとりされ
るデータを監視、チェックし、不正なアクセスが外部か
ら侵入したり、内部データが外部に漏洩することを防止
する機構を配置することが一般に行われている。このよ
うな機構をファイアウォールという。ファイアウォール
を設置することにより、外部への秘密情報の漏洩、外部
からの不正なアクセスを防ぎ、かつ内部から安全に外部
のサービスを受けられるようになる。
に、それらのネットワークを介して相互にやりとりされ
るデータを監視、チェックし、不正なアクセスが外部か
ら侵入したり、内部データが外部に漏洩することを防止
する機構を配置することが一般に行われている。このよ
うな機構をファイアウォールという。ファイアウォール
を設置することにより、外部への秘密情報の漏洩、外部
からの不正なアクセスを防ぎ、かつ内部から安全に外部
のサービスを受けられるようになる。
【0006】また、特に機密性の高い重要データを外部
ネットワークを介して通信する場合、外部にデータパケ
ットを送出する前にその内容を暗号化し(必要に応じて
認証コードを付加し)、受信したサイトで(認証コード
を確認し)復号化する、という方法がある。この方法に
よれば、たとえ組織外のユーザが外部ネットワーク上の
データパケットを取り出しても、内容が暗号化されてい
るので、決してその内容を漏洩することがなく、より安
全な通信が確保できる。
ネットワークを介して通信する場合、外部にデータパケ
ットを送出する前にその内容を暗号化し(必要に応じて
認証コードを付加し)、受信したサイトで(認証コード
を確認し)復号化する、という方法がある。この方法に
よれば、たとえ組織外のユーザが外部ネットワーク上の
データパケットを取り出しても、内容が暗号化されてい
るので、決してその内容を漏洩することがなく、より安
全な通信が確保できる。
【0007】このような暗号化通信をサポートするファ
イアウォールで守られた(ガードされた)ネットワーク
同士であれば相互に暗号化通信が可能であるが、前述の
移動計算機へのアクセスを考えると、その計算機が移動
前に属していたネットワークと同じ組織に管理されるネ
ットワーク内に移動し、かつその移動先ネットワークが
ファイアウォールにガードされているなら、あたかも同
じネットワーク内の計算機同士で通信するように暗号化
通信ができる。一方、移動計算機が外部組織のネットワ
ーク、または自組織のネットワークであってもファイア
ウォールされていないネットワークに移動した場合、そ
の移動計算機は、外部の計算機として扱われなければな
らず、暗号化通信はできない。
イアウォールで守られた(ガードされた)ネットワーク
同士であれば相互に暗号化通信が可能であるが、前述の
移動計算機へのアクセスを考えると、その計算機が移動
前に属していたネットワークと同じ組織に管理されるネ
ットワーク内に移動し、かつその移動先ネットワークが
ファイアウォールにガードされているなら、あたかも同
じネットワーク内の計算機同士で通信するように暗号化
通信ができる。一方、移動計算機が外部組織のネットワ
ーク、または自組織のネットワークであってもファイア
ウォールされていないネットワークに移動した場合、そ
の移動計算機は、外部の計算機として扱われなければな
らず、暗号化通信はできない。
【0008】ところで、一般に移動通信を行う場合、移
動計算機の移動先データを管理するホスト(例えばホー
ムルータ)を置き、移動計算機への通信はそのホームル
ータを経由して行うことで移動計算機に対するデータの
通信を行う。一般の通信の場合は、ホームルータ経由で
よいが、もし移動計算機とその通信相手がいずれも同じ
組織に管理されるネットワーク内にあり、かつファイア
ウォールでガードされている場合は、ホームルータを介
することで冗長な通信を行ってしまう可能性がある。こ
れは通信の開始時点では、移動計算機がどこのネットワ
ークに移動しているかが未確定であるためである。
動計算機の移動先データを管理するホスト(例えばホー
ムルータ)を置き、移動計算機への通信はそのホームル
ータを経由して行うことで移動計算機に対するデータの
通信を行う。一般の通信の場合は、ホームルータ経由で
よいが、もし移動計算機とその通信相手がいずれも同じ
組織に管理されるネットワーク内にあり、かつファイア
ウォールでガードされている場合は、ホームルータを介
することで冗長な通信を行ってしまう可能性がある。こ
れは通信の開始時点では、移動計算機がどこのネットワ
ークに移動しているかが未確定であるためである。
【0009】
【発明が解決しようとする課題】従来は、移動通信にお
いては、移動計算機の移動先データを管理するホームル
ータを置き、移動計算機への通信はそのホームルータを
経由して行っていた。この場合、もし移動計算機とその
通信相手がいずれも同じ組織に管理されるネットワーク
内にあり、かつファイアウォールでガードされていて、
相互に暗号化通信を行う場合、通信の開始時点では、移
動計算機がどこのネットワークに移動しているかが未確
定であるため、ホームルータを介した冗長な通信を行っ
てしまうことがある。この場合、両者が相互の外部ネッ
トワークアドレス(すべてのネットワーク上で一意に定
まっているアドレス)を知っていればホームルータを経
由することなく暗号化通信が可能であり、通信効率も高
い。
いては、移動計算機の移動先データを管理するホームル
ータを置き、移動計算機への通信はそのホームルータを
経由して行っていた。この場合、もし移動計算機とその
通信相手がいずれも同じ組織に管理されるネットワーク
内にあり、かつファイアウォールでガードされていて、
相互に暗号化通信を行う場合、通信の開始時点では、移
動計算機がどこのネットワークに移動しているかが未確
定であるため、ホームルータを介した冗長な通信を行っ
てしまうことがある。この場合、両者が相互の外部ネッ
トワークアドレス(すべてのネットワーク上で一意に定
まっているアドレス)を知っていればホームルータを経
由することなく暗号化通信が可能であり、通信効率も高
い。
【0010】また、一般にこのような通信を行うネット
ワークの構成は様々あり、例えば移動計算機とその通信
相手とは直接接続されておらず、どのような通信経路を
辿ってもホームルータを経由してしまう、といった場合
もある。また、移動計算機と、その通信相手が同一のネ
ットワーク内にいて、そのネットワークの外部へのゲー
トウェイで暗号化を行う通信を開始して、それらの2計
算機のアドレスが判った場合、直接接続される経路がそ
れまで暗号化していたゲートウェイを通らなくなること
もある。したがって、これらのような状況に対応可能な
制御が必要になる。
ワークの構成は様々あり、例えば移動計算機とその通信
相手とは直接接続されておらず、どのような通信経路を
辿ってもホームルータを経由してしまう、といった場合
もある。また、移動計算機と、その通信相手が同一のネ
ットワーク内にいて、そのネットワークの外部へのゲー
トウェイで暗号化を行う通信を開始して、それらの2計
算機のアドレスが判った場合、直接接続される経路がそ
れまで暗号化していたゲートウェイを通らなくなること
もある。したがって、これらのような状況に対応可能な
制御が必要になる。
【0011】本発明は、上記事情を考慮してなされたも
のであり、複数の計算機が複数の相互接続された通信ネ
ットワークにより互いに接続されて相互に通信可能に構
成された計算機システムで、移動計算機の位置情報を管
理する装置を介して暗号化通信が行われる際に、冗長な
通信である可能性を検出して移動計算機とその通信相手
双方に通知することで通信の冗長さを回避可能な通信経
路制御方法および通信経路制御装置を提供することを目
的とする。
のであり、複数の計算機が複数の相互接続された通信ネ
ットワークにより互いに接続されて相互に通信可能に構
成された計算機システムで、移動計算機の位置情報を管
理する装置を介して暗号化通信が行われる際に、冗長な
通信である可能性を検出して移動計算機とその通信相手
双方に通知することで通信の冗長さを回避可能な通信経
路制御方法および通信経路制御装置を提供することを目
的とする。
【0012】
【課題を解決するための手段】本発明(請求項1)は、
通信網を介して他の計算機ネットワークに接続され、自
組織ネットワーク内の所定の接続位置をホームとする計
算機の現在位置を管理し転送されてきたパケットを宛先
計算機に中継するホームルータ装置を備えた計算機ネッ
トワークシステムにおいて、計算機間の通信経路を制御
するための通信経路制御方法であって、前記計算機に固
有の前記自組織ネットワーク内で一意に定められた第1
の位置識別子と、該計算機のうちホームの接続位置から
移動した計算機について該計算機が移動した位置を識別
可能なネットワーク全体で一意に定められた第2の位置
識別子とを対応付けたアドレス情報を記憶し、前記ホー
ムルータ装置により中継されるパケット内に含まれる前
記第1の位置識別子からなる送信元情報および宛先情報
と前記アドレス情報とに基づいて、前記パケットを通信
する2つの計算機夫々について、前記自組織ネットワー
ク内のホームの接続位置から移動しているものであるか
否かを判断し、前記パケットを通信する2つの計算機の
うち少なくとも一方が前記自組織ネットワーク内のホー
ムの接続位置から移動しているものであると判断された
場合、少なくとも該移動している計算機の通信相手に該
移動している計算機に対する前記第2の位置識別子を送
信することを特徴とする。
通信網を介して他の計算機ネットワークに接続され、自
組織ネットワーク内の所定の接続位置をホームとする計
算機の現在位置を管理し転送されてきたパケットを宛先
計算機に中継するホームルータ装置を備えた計算機ネッ
トワークシステムにおいて、計算機間の通信経路を制御
するための通信経路制御方法であって、前記計算機に固
有の前記自組織ネットワーク内で一意に定められた第1
の位置識別子と、該計算機のうちホームの接続位置から
移動した計算機について該計算機が移動した位置を識別
可能なネットワーク全体で一意に定められた第2の位置
識別子とを対応付けたアドレス情報を記憶し、前記ホー
ムルータ装置により中継されるパケット内に含まれる前
記第1の位置識別子からなる送信元情報および宛先情報
と前記アドレス情報とに基づいて、前記パケットを通信
する2つの計算機夫々について、前記自組織ネットワー
ク内のホームの接続位置から移動しているものであるか
否かを判断し、前記パケットを通信する2つの計算機の
うち少なくとも一方が前記自組織ネットワーク内のホー
ムの接続位置から移動しているものであると判断された
場合、少なくとも該移動している計算機の通信相手に該
移動している計算機に対する前記第2の位置識別子を送
信することを特徴とする。
【0013】また、上記判断の後、前記パケットを通信
する2つの計算機が、いずれも前記自組織ネットワーク
内のホームの接続位置から移動しているものであると判
断された場合、前記2つの計算機に互いの通信相手の計
算機に対する前記第2の位置識別子を送信するようにし
ても良い。
する2つの計算機が、いずれも前記自組織ネットワーク
内のホームの接続位置から移動しているものであると判
断された場合、前記2つの計算機に互いの通信相手の計
算機に対する前記第2の位置識別子を送信するようにし
ても良い。
【0014】好ましくは、前記第2の位置識別子ととも
に、該第2の位置識別子を用いて直接通信を確立すべき
旨の制御情報を通信する。前記第2の位置識別子を受信
した前記2つの計算機は、受信した前記第2の位置識別
子を用いて前記ホームルータ装置を介さない直接通信の
確立を試みる。
に、該第2の位置識別子を用いて直接通信を確立すべき
旨の制御情報を通信する。前記第2の位置識別子を受信
した前記2つの計算機は、受信した前記第2の位置識別
子を用いて前記ホームルータ装置を介さない直接通信の
確立を試みる。
【0015】本発明によれば、移動計算機とその通信相
手の位置情報を検出し、該通信相手に該移動計算機の第
2の位置識別子を通知し、ホームルータを経由すること
なく直接接続を行って通信する旨の制御情報を返信する
ので、従来ホームルータ装置を経由してのみ可能であっ
た移動計算機とその通信相手とのデータ通信について、
両者が直結可能であればそれ以降の通信効率を高くする
ことが可能である。これは、特に、両者がいずれも同じ
組織に管理されるネットワーク内にあり、かつファイア
ウォールでガードされていて相互に暗号化通信が可能で
ある場合に有効である。
手の位置情報を検出し、該通信相手に該移動計算機の第
2の位置識別子を通知し、ホームルータを経由すること
なく直接接続を行って通信する旨の制御情報を返信する
ので、従来ホームルータ装置を経由してのみ可能であっ
た移動計算機とその通信相手とのデータ通信について、
両者が直結可能であればそれ以降の通信効率を高くする
ことが可能である。これは、特に、両者がいずれも同じ
組織に管理されるネットワーク内にあり、かつファイア
ウォールでガードされていて相互に暗号化通信が可能で
ある場合に有効である。
【0016】本発明(請求項2)は、請求項1におい
て、前記第2の位置識別子を送信した後に、前記自組織
ネットワーク内の前記ホームルータ装置を前記2つの計
算機間にて通信されるパケットが再度通過したことが検
出された場合、前記第2の位置識別子の送信先の計算機
に前記自組織ネットワーク内の前記ホームルータ装置を
経由した通信を行なう旨の制御情報を送信することを特
徴とする。
て、前記第2の位置識別子を送信した後に、前記自組織
ネットワーク内の前記ホームルータ装置を前記2つの計
算機間にて通信されるパケットが再度通過したことが検
出された場合、前記第2の位置識別子の送信先の計算機
に前記自組織ネットワーク内の前記ホームルータ装置を
経由した通信を行なう旨の制御情報を送信することを特
徴とする。
【0017】前記第2の位置識別子を受信した前記計算
機が、受信した前記第2の位置識別子を用いて前記ホー
ムルータ装置を介さない直接通信の確立を試みた結果、
直接通信が確立できなかった場合、該当パケットは前記
ホームルータ装置に送られて来るので、前記計算機に前
記自組織ネットワーク内の前記ホームルータ装置を経由
した通信を行なう旨の制御情報を送信することで、元の
転送形態に戻す。
機が、受信した前記第2の位置識別子を用いて前記ホー
ムルータ装置を介さない直接通信の確立を試みた結果、
直接通信が確立できなかった場合、該当パケットは前記
ホームルータ装置に送られて来るので、前記計算機に前
記自組織ネットワーク内の前記ホームルータ装置を経由
した通信を行なう旨の制御情報を送信することで、元の
転送形態に戻す。
【0018】本発明によれば、移動計算機とその通信相
手とは直接接続されておらず、どのような通信経路を辿
ってもホームルータを経由してしまう、といった場合、
通知後、再度それらに計算機同士の通信データを受け取
った場合は、元の転送形態に戻すようにするので、通信
は何ら影響を受けず元の状態で再開できる。
手とは直接接続されておらず、どのような通信経路を辿
ってもホームルータを経由してしまう、といった場合、
通知後、再度それらに計算機同士の通信データを受け取
った場合は、元の転送形態に戻すようにするので、通信
は何ら影響を受けず元の状態で再開できる。
【0019】本発明(請求項3)は、請求項1におい
て、前記判断にあたって、前記送信元情報に対応する前
記第2の位置識別子と前記宛先情報に対応する前記第2
の位置識別子とを比較して、前記2つの計算機夫々が同
一のネットワーク内に存在するか否かを判定し、前記2
つの計算機夫々が同一のネットワーク内に存在すると判
定された場合、通信データに対するデータ加工処理(例
えば、認証データなどのデータ付加処理や暗号化処理な
ど)を行わず最短の経路で直接通信するよう通信経路を
変更することを指示する制御情報をも送信することを特
徴とする。
て、前記判断にあたって、前記送信元情報に対応する前
記第2の位置識別子と前記宛先情報に対応する前記第2
の位置識別子とを比較して、前記2つの計算機夫々が同
一のネットワーク内に存在するか否かを判定し、前記2
つの計算機夫々が同一のネットワーク内に存在すると判
定された場合、通信データに対するデータ加工処理(例
えば、認証データなどのデータ付加処理や暗号化処理な
ど)を行わず最短の経路で直接通信するよう通信経路を
変更することを指示する制御情報をも送信することを特
徴とする。
【0020】本発明(請求項4)は、請求項3におい
て、前記判定にあたって、前記2つの計算機間で通信さ
れる通信データに対するデータ加工処理の内容が変更さ
れるか否かをも併せて判定し、直接通信を確立させると
変更が生じる場合、前記第2の位置識別子及び前記制御
情報を双方に返信しないことを特徴とする。
て、前記判定にあたって、前記2つの計算機間で通信さ
れる通信データに対するデータ加工処理の内容が変更さ
れるか否かをも併せて判定し、直接通信を確立させると
変更が生じる場合、前記第2の位置識別子及び前記制御
情報を双方に返信しないことを特徴とする。
【0021】本発明(請求項5)は、請求項3におい
て、前記判断にあたって、前記2つの計算機間で通信さ
れる通信データに対するデータ加工処理の内容が変更さ
れるか否かをも併せて判定し、直接通信を確立させると
変更が生じる場合、前記制御情報に通信データのデータ
加工処理の内容を変更させる指示情報を含めることを特
徴とする。
て、前記判断にあたって、前記2つの計算機間で通信さ
れる通信データに対するデータ加工処理の内容が変更さ
れるか否かをも併せて判定し、直接通信を確立させると
変更が生じる場合、前記制御情報に通信データのデータ
加工処理の内容を変更させる指示情報を含めることを特
徴とする。
【0022】本発明によれば、移動計算機と、その通信
相手が同一のネットワーク内にいて、そのネットワーク
の一部で暗号化を行う通信を開始した際、それらの2計
算機を直結する経路がそれまで暗号化していた部分を通
らない場合は、(ポリシー1)既に暗号化のための制御
情報を相互に交換しているので、それをそのまま使用す
るため、経路を変更しない、(ポリシー2)同一組織で
あることが判明したので全く暗号化を行わない通信に切
替える、(ポリシー3)直結経路で別の暗号化部分で暗
号化通信できるなら、その暗号化部分を用いる暗号化通
信を行うように切替える、といった3種類の柔軟な処理
方法を適宜選択して処理を行うことができる。
相手が同一のネットワーク内にいて、そのネットワーク
の一部で暗号化を行う通信を開始した際、それらの2計
算機を直結する経路がそれまで暗号化していた部分を通
らない場合は、(ポリシー1)既に暗号化のための制御
情報を相互に交換しているので、それをそのまま使用す
るため、経路を変更しない、(ポリシー2)同一組織で
あることが判明したので全く暗号化を行わない通信に切
替える、(ポリシー3)直結経路で別の暗号化部分で暗
号化通信できるなら、その暗号化部分を用いる暗号化通
信を行うように切替える、といった3種類の柔軟な処理
方法を適宜選択して処理を行うことができる。
【0023】本発明(請求項6)は、通信網を介して他
の計算機ネットワークに接続され、自組織ネットワーク
内の所定の接続位置をホームとする計算機の現在位置を
管理し転送されてきたパケットを宛先計算機に中継する
ホームルータ装置を備えた計算機ネットワークシステム
において、該自組織ネットワーク内の所定の接続位置を
ホームとする計算機間の通信経路を制御するための通信
経路制御装置であって、前記計算機に固有の前記自組織
ネットワーク内で一意に定められた第1の位置識別子
と、該計算機のうちホームの接続位置から移動した計算
機について該計算機が移動した位置を識別可能なネット
ワーク全体で一意に定められた第2の位置識別子とを対
応付けたアドレス情報を記憶する手段と、前記ホームル
ータ装置により中継されるパケット内に含まれる前記第
1の位置識別子からなる送信元情報および宛先情報と前
記アドレス情報とに基づいて、前記パケットを通信する
2つの計算機夫々について、前記自組織ネットワーク内
のホームの接続位置から移動しているものであるか否か
を判断する手段と、前記パケットを通信する2つの計算
機のうち少なくとも一方が前記自組織ネットワーク内の
ホームの接続位置から移動しているものであると判断さ
れた場合、少なくとも該移動している計算機の通信相手
に該移動している計算機に対する前記第2の位置識別子
を送信する手段とを備えたことを特徴とする。
の計算機ネットワークに接続され、自組織ネットワーク
内の所定の接続位置をホームとする計算機の現在位置を
管理し転送されてきたパケットを宛先計算機に中継する
ホームルータ装置を備えた計算機ネットワークシステム
において、該自組織ネットワーク内の所定の接続位置を
ホームとする計算機間の通信経路を制御するための通信
経路制御装置であって、前記計算機に固有の前記自組織
ネットワーク内で一意に定められた第1の位置識別子
と、該計算機のうちホームの接続位置から移動した計算
機について該計算機が移動した位置を識別可能なネット
ワーク全体で一意に定められた第2の位置識別子とを対
応付けたアドレス情報を記憶する手段と、前記ホームル
ータ装置により中継されるパケット内に含まれる前記第
1の位置識別子からなる送信元情報および宛先情報と前
記アドレス情報とに基づいて、前記パケットを通信する
2つの計算機夫々について、前記自組織ネットワーク内
のホームの接続位置から移動しているものであるか否か
を判断する手段と、前記パケットを通信する2つの計算
機のうち少なくとも一方が前記自組織ネットワーク内の
ホームの接続位置から移動しているものであると判断さ
れた場合、少なくとも該移動している計算機の通信相手
に該移動している計算機に対する前記第2の位置識別子
を送信する手段とを備えたことを特徴とする。
【0024】好ましくは、前記第2の位置識別子ととも
に、該第2の位置識別子を用いて直接通信を確立すべき
旨の制御情報を通信する。前記第2の位置識別子を受信
した前記計算機は、受信した前記第2の位置識別子を用
いて直接通信の確立を試みる。
に、該第2の位置識別子を用いて直接通信を確立すべき
旨の制御情報を通信する。前記第2の位置識別子を受信
した前記計算機は、受信した前記第2の位置識別子を用
いて直接通信の確立を試みる。
【0025】
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。図1に、本発明の一実施形態に
係る計算機ネットワークシステムの基本構成を示す。図
1のように、自組織ネットワーク1a、外部の自組織ネ
ットワーク1bと1cが外部ネットワーク1dにより相
互に接続されており、自組織ネットワーク1aには、接
続位置の固定されたホスト計算機や移動可能なホスト計
算機が接続可能である。
実施の形態を説明する。図1に、本発明の一実施形態に
係る計算機ネットワークシステムの基本構成を示す。図
1のように、自組織ネットワーク1a、外部の自組織ネ
ットワーク1bと1cが外部ネットワーク1dにより相
互に接続されており、自組織ネットワーク1aには、接
続位置の固定されたホスト計算機や移動可能なホスト計
算機が接続可能である。
【0026】自組織ネットワーク1a,1b,1cに
は、それらが管理する計算機間でデータ内容を(暗号化
などにより)秘匿して通信を行うためのデータパケット
処理装置4a,4b,4cがぞれぞれ設置されており、
自組織の管理する計算機間の暗号化通信を達成する。な
お、データパケット処理装置を持たない外部のネットワ
ーク(図示せず)に移動した移動ホスト計算機内にデー
タパケット処理機能が搭載されている場合も同様に暗号
化通信可能である。
は、それらが管理する計算機間でデータ内容を(暗号化
などにより)秘匿して通信を行うためのデータパケット
処理装置4a,4b,4cがぞれぞれ設置されており、
自組織の管理する計算機間の暗号化通信を達成する。な
お、データパケット処理装置を持たない外部のネットワ
ーク(図示せず)に移動した移動ホスト計算機内にデー
タパケット処理機能が搭載されている場合も同様に暗号
化通信可能である。
【0027】自組織ネットワーク1a内には、該自組織
ネットワーク1a内の所定の接続位置をホームとする各
ホスト計算機の位置情報を管理するホームルータHRが
接続されている。
ネットワーク1a内の所定の接続位置をホームとする各
ホスト計算機の位置情報を管理するホームルータHRが
接続されている。
【0028】図2は、ホスト計算機のアドレス管理のた
めにホームルータHR内に設けるアドレス管理テーブル
の一構成例を示す。アドレス管理テーブルは具体的には
2つのアドレスを連結したテーブルとして実現される。
ここで、ホームアドレスは移動ホスト計算機に固有の自
組織のネットワーク内で一意に定められたアドレスを示
し、移動先アドレスは移動ホスト計算機がネットワーク
上で移動した現在位置を示すネットワーク全体で一意に
定められたアドレスを示す。なお、移動先アドレスは、
使用する移動通信プロトコルによっては、当該移動ホス
ト計算機の移動先ネットワーク内にて当該移動ホスト計
算機をホームアドレスで管理する外部管理装置の位置を
示すネットワーク全体で一意に定められたアドレスとな
る。
めにホームルータHR内に設けるアドレス管理テーブル
の一構成例を示す。アドレス管理テーブルは具体的には
2つのアドレスを連結したテーブルとして実現される。
ここで、ホームアドレスは移動ホスト計算機に固有の自
組織のネットワーク内で一意に定められたアドレスを示
し、移動先アドレスは移動ホスト計算機がネットワーク
上で移動した現在位置を示すネットワーク全体で一意に
定められたアドレスを示す。なお、移動先アドレスは、
使用する移動通信プロトコルによっては、当該移動ホス
ト計算機の移動先ネットワーク内にて当該移動ホスト計
算機をホームアドレスで管理する外部管理装置の位置を
示すネットワーク全体で一意に定められたアドレスとな
る。
【0029】図1では自組織ネットワーク1aをホーム
とする移動ホスト計算機H2とH3がそれぞれ外部の自
組織ネットワーク1bと1cに移動中の場合を示してい
るが、これに対応して図2のアドレス管理テーブルに
は、ホスト計算機H2についてはホームアドレスHA2
と移動先アドレスCA2が、ホスト計算機H3について
はホームアドレスHA3と移動先アドレスCA3が、そ
れぞれ対応付けられて登録されている様子が示されてい
る。また、ホスト計算機H1は、移動先アドレスを持た
ず、自組織ネットワーク1a内のホームの位置HA1に
存在することが示されている。
とする移動ホスト計算機H2とH3がそれぞれ外部の自
組織ネットワーク1bと1cに移動中の場合を示してい
るが、これに対応して図2のアドレス管理テーブルに
は、ホスト計算機H2についてはホームアドレスHA2
と移動先アドレスCA2が、ホスト計算機H3について
はホームアドレスHA3と移動先アドレスCA3が、そ
れぞれ対応付けられて登録されている様子が示されてい
る。また、ホスト計算機H1は、移動先アドレスを持た
ず、自組織ネットワーク1a内のホームの位置HA1に
存在することが示されている。
【0030】移動ホスト計算機の第2の識別子の登録
は、例えば、移動ホスト計算機が移動先でネットワーク
に接続したときに、移動ホスト計算機からホームルータ
HRに第2の識別子を登録するための制御パケットを送
信することでなされる。
は、例えば、移動ホスト計算機が移動先でネットワーク
に接続したときに、移動ホスト計算機からホームルータ
HRに第2の識別子を登録するための制御パケットを送
信することでなされる。
【0031】なお、このアドレス管理テーブルは、シス
テム構成に応じて、パケット管理装置4上や他の図示し
ないサーバ計算機上など、ホームルータHRが参照可能
な様々な場所に置くことが可能である。
テム構成に応じて、パケット管理装置4上や他の図示し
ないサーバ計算機上など、ホームルータHRが参照可能
な様々な場所に置くことが可能である。
【0032】本実施形態では、自組織ネットワーク1a
をホームとする移動ホスト計算機間の通信経路を制御す
るための経路制御装置12を備えている。この経路制御
装置12は、ホームルータHR内に設けるものとしてい
る。なお、経路制御装置12は、ホームルータHRを経
由するパケットを監視できればどのような位置に存在し
ても良く、例えば、データパケット処理装置4a内に設
けても良いし、バス20上に独立したノードとして接続
しても良い。
をホームとする移動ホスト計算機間の通信経路を制御す
るための経路制御装置12を備えている。この経路制御
装置12は、ホームルータHR内に設けるものとしてい
る。なお、経路制御装置12は、ホームルータHRを経
由するパケットを監視できればどのような位置に存在し
ても良く、例えば、データパケット処理装置4a内に設
けても良いし、バス20上に独立したノードとして接続
しても良い。
【0033】以下、自組織ネットワーク1aをホームと
する移動ホスト計算機間の通信と、経路制御装置12の
働きについて説明する。図3には経路制御装置12の処
理手順の流れを、図4には通信および制御の様子を示
す。
する移動ホスト計算機間の通信と、経路制御装置12の
働きについて説明する。図3には経路制御装置12の処
理手順の流れを、図4には通信および制御の様子を示
す。
【0034】まず、本実施形態では、移動ホスト計算機
H2とH3が、それぞれ外部の自組織ネットワーク1b
と1cに移動中の場合を考える。ホスト計算機H2とそ
の通信相手のホスト計算機H3とが相互に暗号化通信を
行う場合、両ホスト計算機は、互いの現在位置が未確定
であるので、ホームアドレスHA2やHA3で宛先を指
定したデータパケットを、ホームルータHRに届くよう
に(図4の場合にはホームルータHRについてネットワ
ーク全体で一意に定められたアドレスCA0を使用し
て)暗号化カプセル化し、両者が移動前に接続されてい
た自組織ネットワーク1aのホームルータHRに向けて
送り出す(図4の)。
H2とH3が、それぞれ外部の自組織ネットワーク1b
と1cに移動中の場合を考える。ホスト計算機H2とそ
の通信相手のホスト計算機H3とが相互に暗号化通信を
行う場合、両ホスト計算機は、互いの現在位置が未確定
であるので、ホームアドレスHA2やHA3で宛先を指
定したデータパケットを、ホームルータHRに届くよう
に(図4の場合にはホームルータHRについてネットワ
ーク全体で一意に定められたアドレスCA0を使用し
て)暗号化カプセル化し、両者が移動前に接続されてい
た自組織ネットワーク1aのホームルータHRに向けて
送り出す(図4の)。
【0035】ホスト計算機H2からのデータが到着する
と、ホームルータHRは、暗号化されたデータを復号
し、ヘッダ内に書かれたホームアドレスHA3から、該
パケットが移動中のホスト計算機H3宛てであることを
知る。そして、ホームルータHR内で管理されている図
2のようなアドレス管理テーブルを参照し、移動ホスト
計算機H3の現在位置情報を求める。この場合、移動先
アドレスCA3が現在の位置情報となるので、ホスト計
算機H3の現在位置を示すネットワーク全体で一意なア
ドレスCA3に転送先を変えて、ホスト計算機H3にデ
ータパケットを送る(図4の)。
と、ホームルータHRは、暗号化されたデータを復号
し、ヘッダ内に書かれたホームアドレスHA3から、該
パケットが移動中のホスト計算機H3宛てであることを
知る。そして、ホームルータHR内で管理されている図
2のようなアドレス管理テーブルを参照し、移動ホスト
計算機H3の現在位置情報を求める。この場合、移動先
アドレスCA3が現在の位置情報となるので、ホスト計
算機H3の現在位置を示すネットワーク全体で一意なア
ドレスCA3に転送先を変えて、ホスト計算機H3にデ
ータパケットを送る(図4の)。
【0036】ホスト計算機H3からホスト計算機H2へ
の通信も同様で、ホームルータHR宛てに一度送られた
(図4の)データを復号し、ホスト計算機H2の現在
位置情報に基づいて、ホスト計算機H2の現在位置を示
すネットワーク全体で一意なアドレスCA2に転送先を
変えて、ホスト計算機H2にデータパケットを送る(図
4の)。
の通信も同様で、ホームルータHR宛てに一度送られた
(図4の)データを復号し、ホスト計算機H2の現在
位置情報に基づいて、ホスト計算機H2の現在位置を示
すネットワーク全体で一意なアドレスCA2に転送先を
変えて、ホスト計算機H2にデータパケットを送る(図
4の)。
【0037】ここで、ホームルータHRは、通信する2
つの移動ホスト計算機H2,H3のネットワーク全体で
一意であるアドレス情報を得られるので、そのアドレス
情報を2つの移動ホスト計算機H2,H3に通知すれ
ば、もし2つの移動ホスト計算機H2,H3間に直結す
るルートがある場合、ホームルータHRを通らない最適
化された経路で通信させることが可能となる。
つの移動ホスト計算機H2,H3のネットワーク全体で
一意であるアドレス情報を得られるので、そのアドレス
情報を2つの移動ホスト計算機H2,H3に通知すれ
ば、もし2つの移動ホスト計算機H2,H3間に直結す
るルートがある場合、ホームルータHRを通らない最適
化された経路で通信させることが可能となる。
【0038】そこで、本実施形態の経路制御装置12
は、次のような制御を行う。経路制御装置12は、ホー
ムルータHRを経由するデータパケット内の送信元アド
レスと宛先アドレス(例えば上記したHA2とHA3)
を元に、図2のようなアドレス管理テーブルを参照し
て、両計算機が移動中のものであるか調べる(ステップ
S11)。
は、次のような制御を行う。経路制御装置12は、ホー
ムルータHRを経由するデータパケット内の送信元アド
レスと宛先アドレス(例えば上記したHA2とHA3)
を元に、図2のようなアドレス管理テーブルを参照し
て、両計算機が移動中のものであるか調べる(ステップ
S11)。
【0039】例えば、該当移動計算機についてアドレス
管理テーブルに移動先アドレスが登録されている場合
は、移動中であると判断する。あるいは、アドレス管理
テーブル内に設けた移動中フラグを参照する。
管理テーブルに移動先アドレスが登録されている場合
は、移動中であると判断する。あるいは、アドレス管理
テーブル内に設けた移動中フラグを参照する。
【0040】そして、自身を中継点とする移動中計算機
間の暗号化通信を検出すると(ステップS12)、その
通信を行う2つの移動ホスト計算機H2,H3に通信相
手の現在位置を示すネットワーク全体で一意であるアド
レスを通知し(ステップS13)、両者に直結する最適
化ルートで暗号化通信を再度セットアップする旨の制御
コマンドを送付する。
間の暗号化通信を検出すると(ステップS12)、その
通信を行う2つの移動ホスト計算機H2,H3に通信相
手の現在位置を示すネットワーク全体で一意であるアド
レスを通知し(ステップS13)、両者に直結する最適
化ルートで暗号化通信を再度セットアップする旨の制御
コマンドを送付する。
【0041】この例では、移動ホスト計算機H2に対し
ては通信相手である移動ホスト計算機H3の移動先アド
レスCA3を通知し、移動ホスト計算機H3に対しては
通信相手である移動ホスト計算機H2の移動先アドレス
CA2を通知する(図4の)。
ては通信相手である移動ホスト計算機H3の移動先アド
レスCA3を通知し、移動ホスト計算機H3に対しては
通信相手である移動ホスト計算機H2の移動先アドレス
CA2を通知する(図4の)。
【0042】なお、上記のアドレスの送信のときに、暗
号化通信を継続する旨の制御情報などを併せて送信して
も良い。この制御コマンドを受けた移動ホスト計算機H
2,H3により最適化経路による暗号化通信が達成され
れば、以降その経路に沿って通信を行う(図4の)。
号化通信を継続する旨の制御情報などを併せて送信して
も良い。この制御コマンドを受けた移動ホスト計算機H
2,H3により最適化経路による暗号化通信が達成され
れば、以降その経路に沿って通信を行う(図4の)。
【0043】ところで、ネットワーク構成によっては、
移動ホスト計算機H2と移動ホスト計算機H3の間をホ
ームルータHRを通過せずに結ぶルートが存在しないこ
ともある。そのような場合に対処するため、ホームルー
タHRが制御コマンドを送信した後で、直接通信が成立
したか否かを監視する(ステップS14)ことが望まし
い。直接通信が成立しなかった場合には、再度2台のホ
スト計算機の通信をホームルータHRで受け取ることに
なるので、この監視により直接通信の成否を判断するこ
とができる。
移動ホスト計算機H2と移動ホスト計算機H3の間をホ
ームルータHRを通過せずに結ぶルートが存在しないこ
ともある。そのような場合に対処するため、ホームルー
タHRが制御コマンドを送信した後で、直接通信が成立
したか否かを監視する(ステップS14)ことが望まし
い。直接通信が成立しなかった場合には、再度2台のホ
スト計算機の通信をホームルータHRで受け取ることに
なるので、この監視により直接通信の成否を判断するこ
とができる。
【0044】もし直接通信が成立しなかった場合(ステ
ップS15)、今までのサービスの継続、すなわちホー
ムルータHR経由の通信の提供のために必要な処理を行
う(ステップS16)。
ップS15)、今までのサービスの継続、すなわちホー
ムルータHR経由の通信の提供のために必要な処理を行
う(ステップS16)。
【0045】例えば、 (1)そのままホームルータHR経由で直結通信させる
(いままでの経路を有効として維持する) あるいは、 (2)先に送った制御コマンドを無効とし、再度ホーム
ルータHR宛から双方のホスト計算機宛への2つの転送
で通信させる といった方法で対処できる。この2つの方法のいずれを
選択するかは、要求される通信の速度、品質やネットワ
ーク構成を考慮して決定すれば良い。
(いままでの経路を有効として維持する) あるいは、 (2)先に送った制御コマンドを無効とし、再度ホーム
ルータHR宛から双方のホスト計算機宛への2つの転送
で通信させる といった方法で対処できる。この2つの方法のいずれを
選択するかは、要求される通信の速度、品質やネットワ
ーク構成を考慮して決定すれば良い。
【0046】このように本実施形態によれば、移動計算
機とその通信相手の位置情報を検出し、両者にお互いの
外部ネットワークアドレス(すべてのネットワーク上で
一意に定まっている)を通知し、従来ホームルータを経
由してのみ可能であった移動計算機とその通信相手との
データ通信を、ホームルータを経由することなく直接接
続を行う旨の制御情報を双方に返信するので、両者が直
結可能であればそれ以降の通信効率を高くすることが可
能である。これは、特に、両者がいずれも同じ組織に管
理されるネットワーク内にあり、かつファイアウォール
でガードされていて相互に暗号化通信が可能であると判
断した場合に有効である。
機とその通信相手の位置情報を検出し、両者にお互いの
外部ネットワークアドレス(すべてのネットワーク上で
一意に定まっている)を通知し、従来ホームルータを経
由してのみ可能であった移動計算機とその通信相手との
データ通信を、ホームルータを経由することなく直接接
続を行う旨の制御情報を双方に返信するので、両者が直
結可能であればそれ以降の通信効率を高くすることが可
能である。これは、特に、両者がいずれも同じ組織に管
理されるネットワーク内にあり、かつファイアウォール
でガードされていて相互に暗号化通信が可能であると判
断した場合に有効である。
【0047】また、本発明によれば、移動計算機とその
通信相手とは直接接続されておらず、どのような通信経
路を辿ってもホームルータを経由してしまう、といった
場合、通知後、再度それらに計算機同士の通信データを
受け取った場合は、元の転送形態に戻すようにするの
で、通信は何ら影響を受けず元の状態で再開できる。
通信相手とは直接接続されておらず、どのような通信経
路を辿ってもホームルータを経由してしまう、といった
場合、通知後、再度それらに計算機同士の通信データを
受け取った場合は、元の転送形態に戻すようにするの
で、通信は何ら影響を受けず元の状態で再開できる。
【0048】次に、他の移動形態の通信例について図3
を参照しながら説明する。この例は、移動ホスト計算機
H2が移動した結果、その通信相手のホスト計算機3と
同一のネットワークに入った場合である。この場合、ま
ず、ネットワークの入口に置かれたデータパケット処理
装置4aでデータパケットが暗号化され(図5中の10
1)、その後、ネットワーク内のホームルータHRに転
送され(102)、ホームルータHRが移動ホスト計算
機H2の現在位置を識別し転送する(103)。データ
パケットは移動ホストH2に附属するデータパケット処
理装置4dで復号化される。
を参照しながら説明する。この例は、移動ホスト計算機
H2が移動した結果、その通信相手のホスト計算機3と
同一のネットワークに入った場合である。この場合、ま
ず、ネットワークの入口に置かれたデータパケット処理
装置4aでデータパケットが暗号化され(図5中の10
1)、その後、ネットワーク内のホームルータHRに転
送され(102)、ホームルータHRが移動ホスト計算
機H2の現在位置を識別し転送する(103)。データ
パケットは移動ホストH2に附属するデータパケット処
理装置4dで復号化される。
【0049】ここで、経路制御装置12は、ホームルー
タHR内にて管理されているホスト計算機H3と移動ホ
スト計算機H2の位置情報を参照することにより、両ホ
スト計算機が現在同じネットワーク内にあることを判断
できる。2つの計算機が同一のネットワーク内に位置す
るか否かの判定は、例えば、計算機のネットワークアド
レスの比較により実現できる。
タHR内にて管理されているホスト計算機H3と移動ホ
スト計算機H2の位置情報を参照することにより、両ホ
スト計算機が現在同じネットワーク内にあることを判断
できる。2つの計算機が同一のネットワーク内に位置す
るか否かの判定は、例えば、計算機のネットワークアド
レスの比較により実現できる。
【0050】そこで、前記経路制御装置12は、以下の
ような制御を行うと良い。すなわち、図6に示すよう
に、ホームルータHRを経由するデータパケット内の送
信元アドレスと宛先アドレスを解析し(ステップS2
1)、もし両者が元々同一組織に属している計算機であ
り、外部ネットワークを通らずに通信できることがわか
れば(ステップS22)、暗号化/復号化が不要である
と判断して、双方に互いの現在のアドレスを通知すると
共に暗号化通信が不要である旨を通知する制御コマンド
を発行し(ステップS23)、暗号化せずかつ両者を直
結する経路(図5中の104)でのより高速な通信を行
わせる。
ような制御を行うと良い。すなわち、図6に示すよう
に、ホームルータHRを経由するデータパケット内の送
信元アドレスと宛先アドレスを解析し(ステップS2
1)、もし両者が元々同一組織に属している計算機であ
り、外部ネットワークを通らずに通信できることがわか
れば(ステップS22)、暗号化/復号化が不要である
と判断して、双方に互いの現在のアドレスを通知すると
共に暗号化通信が不要である旨を通知する制御コマンド
を発行し(ステップS23)、暗号化せずかつ両者を直
結する経路(図5中の104)でのより高速な通信を行
わせる。
【0051】ところで、2つのホスト計算機のうち少な
くとも一方が外部から移動してそのネットワークに入っ
たものであり、同一ネットワーク上にあっても暗号化通
信が必要である場合もありうる。このような場合、前述
のように直ちに双方に互いの現在位置を示し、直結ルー
トで通信をセットアップすべき旨の制御コマンドを送
り、別の直結ルートを使用させると、暗号化を行うデー
タパケット処理装置4a(ホームルータHRに附属して
いる)を通過しなくなるための不具合が生じることがあ
る。
くとも一方が外部から移動してそのネットワークに入っ
たものであり、同一ネットワーク上にあっても暗号化通
信が必要である場合もありうる。このような場合、前述
のように直ちに双方に互いの現在位置を示し、直結ルー
トで通信をセットアップすべき旨の制御コマンドを送
り、別の直結ルートを使用させると、暗号化を行うデー
タパケット処理装置4a(ホームルータHRに附属して
いる)を通過しなくなるための不具合が生じることがあ
る。
【0052】この不具合とは、 (1)もし直結ルート(図5中の104)に別のデータ
パケット処理装置(図5中の4e)があれば、暗号化通
信可能であるが、直結ルートに別のデータパケット処理
装置がなければ、暗号化通信は行えない。 あるいは、 (2)直結ルート(図5中の104)に別のデータパケ
ット処理装置(図5中の4e)があっても、データパケ
ット処理装置4aからデータパケット処理装置4eに替
えた場合、暗号化鍵の交換などを再度やり直さなければ
ならない。 などの問題である。
パケット処理装置(図5中の4e)があれば、暗号化通
信可能であるが、直結ルートに別のデータパケット処理
装置がなければ、暗号化通信は行えない。 あるいは、 (2)直結ルート(図5中の104)に別のデータパケ
ット処理装置(図5中の4e)があっても、データパケ
ット処理装置4aからデータパケット処理装置4eに替
えた場合、暗号化鍵の交換などを再度やり直さなければ
ならない。 などの問題である。
【0053】従ってこのような場合を想定して、経路制
御装置12は、以下のような制御を行うと良い。すなわ
ち、図7のように、直接通信させて良いかを判断し(ス
テップS33)、直接通信させると判断した場合にのみ
(ステップS34)、双方に互いの現在のアドレスを通
知すると共に両者に直結する最適化ルートで暗号化通信
を再度セットアップする旨の制御コマンドを発行し(ス
テップS35)、両者を直結する経路でのより高速な通
信を行わせる。
御装置12は、以下のような制御を行うと良い。すなわ
ち、図7のように、直接通信させて良いかを判断し(ス
テップS33)、直接通信させると判断した場合にのみ
(ステップS34)、双方に互いの現在のアドレスを通
知すると共に両者に直結する最適化ルートで暗号化通信
を再度セットアップする旨の制御コマンドを発行し(ス
テップS35)、両者を直結する経路でのより高速な通
信を行わせる。
【0054】上記の判断とは、例えば、 (1)もし直結ルートに別にデータパケット処理装置が
あれば、通信経路の変更を促す制御コマンドを双方に発
行し、なければ経路変更はしない。 あるいは、 (2)経路変更によりデータパケット処理装置が変わる
ことがありうる場合、経路変更はしない。これはネット
ワーク構成をホームルータHRにより検査してもよい
し、双方に仮に直結ルートでの送受信を行わせ、暗号化
を行うデータパケット処理装置の識別子をデータに付記
したものをチェックしてもよい。 といった方法で処理を行う。いずれを選択するかは、要
求される通信の速度、質やネットワーク構成を考慮して
決定すれば良い。
あれば、通信経路の変更を促す制御コマンドを双方に発
行し、なければ経路変更はしない。 あるいは、 (2)経路変更によりデータパケット処理装置が変わる
ことがありうる場合、経路変更はしない。これはネット
ワーク構成をホームルータHRにより検査してもよい
し、双方に仮に直結ルートでの送受信を行わせ、暗号化
を行うデータパケット処理装置の識別子をデータに付記
したものをチェックしてもよい。 といった方法で処理を行う。いずれを選択するかは、要
求される通信の速度、質やネットワーク構成を考慮して
決定すれば良い。
【0055】なお、通信データに対する認証処理などの
内容が変更されるかどうかを判定する機構は、それら2
つの計算機間の直結経路が、認証を行うルーター、ファ
イアウォールを経由するかの判定を行う機構として実現
できる。
内容が変更されるかどうかを判定する機構は、それら2
つの計算機間の直結経路が、認証を行うルーター、ファ
イアウォールを経由するかの判定を行う機構として実現
できる。
【0056】本発明によれば、移動計算機と、その通信
相手が同一のネットワーク内にいて、そのネットワーク
の一部で暗号化を行う通信を開始した際、それらの2つ
の計算機を直結する経路がそれまで暗号化していた部分
を通らない場合は、(ポリシー1)既に暗号化のための
制御情報を相互に交換しているので、それをそのまま使
用するため、経路を変更しない、(ポリシー2)同一組
織であることが判明したので全く暗号化を行わない通信
に切替える、(ポリシー3)直結経路で別の暗号化部分
で暗号化通信できるなら、その暗号化部分を用いる暗号
化通信を行うように切替える、といった3種類の柔軟な
処理方法を適宜選択して処理を行うことができる。
相手が同一のネットワーク内にいて、そのネットワーク
の一部で暗号化を行う通信を開始した際、それらの2つ
の計算機を直結する経路がそれまで暗号化していた部分
を通らない場合は、(ポリシー1)既に暗号化のための
制御情報を相互に交換しているので、それをそのまま使
用するため、経路を変更しない、(ポリシー2)同一組
織であることが判明したので全く暗号化を行わない通信
に切替える、(ポリシー3)直結経路で別の暗号化部分
で暗号化通信できるなら、その暗号化部分を用いる暗号
化通信を行うように切替える、といった3種類の柔軟な
処理方法を適宜選択して処理を行うことができる。
【0057】次に、これまで説明してきた実施形態を変
形した形態について説明する。以上の説明では、ホーム
ルータHR経由で通信する両方の計算機がともにホーム
の位置から移動中のものであった場合に、両者に互いの
通信相手の現在位置を示すネットワーク全体で一意であ
るアドレスを通知することとした。その代わりに、一方
の計算機がホームの位置から移動中のものであった場合
にも、該移動中の計算機の通信相手に該移動中計算機の
現在位置を示すネットワーク全体で一意であるアドレス
を通知するようにしても良い。この場合、該通信相手か
ら送り出される該移動中計算機宛のパケットを、ホーム
ルータHRを経由せずに転送させることが可能になる。
形した形態について説明する。以上の説明では、ホーム
ルータHR経由で通信する両方の計算機がともにホーム
の位置から移動中のものであった場合に、両者に互いの
通信相手の現在位置を示すネットワーク全体で一意であ
るアドレスを通知することとした。その代わりに、一方
の計算機がホームの位置から移動中のものであった場合
にも、該移動中の計算機の通信相手に該移動中計算機の
現在位置を示すネットワーク全体で一意であるアドレス
を通知するようにしても良い。この場合、該通信相手か
ら送り出される該移動中計算機宛のパケットを、ホーム
ルータHRを経由せずに転送させることが可能になる。
【0058】例えば、図1において、図示しない外部組
織のネットワークに接続されている計算機Hxと外部の
自組織ネットワーク1bに移動中の計算機H2の通信に
ついて考えてみる。ここで、計算機Hxの現在位置を示
すネットワーク全体で一意であるアドレスをCAxとす
る。
織のネットワークに接続されている計算機Hxと外部の
自組織ネットワーク1bに移動中の計算機H2の通信に
ついて考えてみる。ここで、計算機Hxの現在位置を示
すネットワーク全体で一意であるアドレスをCAxとす
る。
【0059】通信初期においては、計算機Hxは計算機
H2のネットワーク全体で一意であるアドレス(すなわ
ち移動先アドレスCA2)を知らないので、計算機H2
のホームアドレスHA2で宛先を指定したデータパケッ
トを、計算機H2が移動前に接続されていた自組織ネッ
トワーク1aのホームルータHRに届くように送り出
す。そして、先に説明したのと同様に、ホームルータH
Rは、計算機Hxからのパケットをホスト計算機H2に
転送する。ここで、計算機Hxはパケット内に書き込む
送信元アドレスとして上記のCAxを使用するものとす
る。
H2のネットワーク全体で一意であるアドレス(すなわ
ち移動先アドレスCA2)を知らないので、計算機H2
のホームアドレスHA2で宛先を指定したデータパケッ
トを、計算機H2が移動前に接続されていた自組織ネッ
トワーク1aのホームルータHRに届くように送り出
す。そして、先に説明したのと同様に、ホームルータH
Rは、計算機Hxからのパケットをホスト計算機H2に
転送する。ここで、計算機Hxはパケット内に書き込む
送信元アドレスとして上記のCAxを使用するものとす
る。
【0060】一方、計算機H2は、計算機Hxから転送
されてきたパケットのヘッダ情報から、計算機Hxのネ
ットワーク全体で一意であるアドレス(すなわちCA
x)を知ることができるので、計算機H2から計算機H
xへのパケット転送は、ホームルータHRを介さずに行
うことができる。
されてきたパケットのヘッダ情報から、計算機Hxのネ
ットワーク全体で一意であるアドレス(すなわちCA
x)を知ることができるので、計算機H2から計算機H
xへのパケット転送は、ホームルータHRを介さずに行
うことができる。
【0061】ここで、経路制御装置12は、ホームルー
タHRを経由するデータパケット内の送信元アドレスと
宛先アドレス(例えば上記したHA2とCAx)から、
両計算機のうち一方の計算機H2がホームの位置から移
動中のものであることが分かる。これは、アドレスCA
xに位置する計算機Hxは、計算機H2の現在位置を示
すネットワーク全体で一意であるアドレスを知らないと
いうことを意味する。そこで、計算機Hxに、計算機H
2の現在位置を示すネットワーク全体で一意であるアド
レスCA2を通知する。
タHRを経由するデータパケット内の送信元アドレスと
宛先アドレス(例えば上記したHA2とCAx)から、
両計算機のうち一方の計算機H2がホームの位置から移
動中のものであることが分かる。これは、アドレスCA
xに位置する計算機Hxは、計算機H2の現在位置を示
すネットワーク全体で一意であるアドレスを知らないと
いうことを意味する。そこで、計算機Hxに、計算機H
2の現在位置を示すネットワーク全体で一意であるアド
レスCA2を通知する。
【0062】このようにすれば、計算機Hxは、計算機
H2宛のパケットの宛先アドレスとして、該計算機H2
のネットワーク全体で一意であるアドレスCA2を指定
することができるようになるので、計算機Hxから計算
機H2への通信経路も、ホームルータHRを経由せず、
冗長のないものにすることができる。
H2宛のパケットの宛先アドレスとして、該計算機H2
のネットワーク全体で一意であるアドレスCA2を指定
することができるようになるので、計算機Hxから計算
機H2への通信経路も、ホームルータHRを経由せず、
冗長のないものにすることができる。
【0063】なお、上記のような外部組織のネットワー
クに接続された計算機は、自組織ネットワークに対する
セキュリティー上の観点から、自組織ネットワークをホ
ームとする移動計算機の移動先アドレスを通知すること
が好ましくないものである場合がある。そこで、上記の
ように外部組織のネットワークに接続された計算機に自
組織ネットワークをホームとする移動計算機の移動先ア
ドレスを通知するにあたっては、例えば計算機Hxが予
め登録されたものであることが確認されたことを条件と
するなど、所定のポリシーに従った条件を課すようにし
ても良い。
クに接続された計算機は、自組織ネットワークに対する
セキュリティー上の観点から、自組織ネットワークをホ
ームとする移動計算機の移動先アドレスを通知すること
が好ましくないものである場合がある。そこで、上記の
ように外部組織のネットワークに接続された計算機に自
組織ネットワークをホームとする移動計算機の移動先ア
ドレスを通知するにあたっては、例えば計算機Hxが予
め登録されたものであることが確認されたことを条件と
するなど、所定のポリシーに従った条件を課すようにし
ても良い。
【0064】本発明は、現在様々提案されている移動通
信プロトコルに対して、本発明の構成要素を適宜組み合
わせることで容易に実現が可能である。また、本発明
は、上述した実施の形態に限定されるものではなく、そ
の技術的範囲において種々変形して実施することができ
る。特に、本発明は、様々な移動通信プロトコルに対し
て上述した実施の形態を適宜修正することで容易に実現
が可能である。
信プロトコルに対して、本発明の構成要素を適宜組み合
わせることで容易に実現が可能である。また、本発明
は、上述した実施の形態に限定されるものではなく、そ
の技術的範囲において種々変形して実施することができ
る。特に、本発明は、様々な移動通信プロトコルに対し
て上述した実施の形態を適宜修正することで容易に実現
が可能である。
【0065】
【発明の効果】本発明によれば、移動計算機とその通信
相手の位置情報を検出し、該通信相手に該移動計算機の
位置を識別可能なネットワーク全体で一意に定められた
位置識別子を通知し、従来ホームルータ装置を経由して
のみ可能であった移動計算機とその通信相手とのデータ
通信について、ホームルータ装置を経由することなく直
接接続を行わせるよう制御するので、両者が直結可能で
あればそれ以降の通信効率を高くすることが可能であ
る。
相手の位置情報を検出し、該通信相手に該移動計算機の
位置を識別可能なネットワーク全体で一意に定められた
位置識別子を通知し、従来ホームルータ装置を経由して
のみ可能であった移動計算機とその通信相手とのデータ
通信について、ホームルータ装置を経由することなく直
接接続を行わせるよう制御するので、両者が直結可能で
あればそれ以降の通信効率を高くすることが可能であ
る。
【図1】本発明の実施の形態に係るネットワーク構成を
示す基本構成図
示す基本構成図
【図2】アドレス管理テーブルの一例を示す図
【図3】経路制御装置による制御の一例を示すフローチ
ャート
ャート
【図4】本発明の実施の形態に係る経路最適化の制御コ
マンドの流れを示す図
マンドの流れを示す図
【図5】本発明の実施の形態に係る他のネットワーク構
成を示す基本構成図
成を示す基本構成図
【図6】経路制御装置による制御の一例を示すフローチ
ャート
ャート
【図7】経路制御装置による制御の一例を示すフローチ
ャート
ャート
1a…自組織ネットワーク 1b,1c…外部の自組織ネットワーク 1d…外部ネットワーク 4a〜4e…データパケット処理装置 HR…ホームルータ H1〜H3…ホスト計算機 12…経路制御装置 20…バス
───────────────────────────────────────────────────── フロントページの続き (72)発明者 新保 淳 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内 (72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内
Claims (6)
- 【請求項1】通信網を介して他の計算機ネットワークに
接続され、自組織ネットワーク内の所定の接続位置をホ
ームとする計算機の現在位置を管理し転送されてきたパ
ケットを宛先計算機に中継するホームルータ装置を備え
た計算機ネットワークシステムにおいて、計算機間の通
信経路を制御するための通信経路制御方法であって、 前記計算機に固有の前記自組織ネットワーク内で一意に
定められた第1の位置識別子と、該計算機のうちホーム
の接続位置から移動した計算機について該計算機が移動
した位置を識別可能なネットワーク全体で一意に定めら
れた第2の位置識別子とを対応付けたアドレス情報を記
憶し、 前記ホームルータ装置により中継されるパケット内に含
まれる前記第1の位置識別子からなる送信元情報および
宛先情報と前記アドレス情報とに基づいて、前記パケッ
トを通信する2つの計算機夫々について、前記自組織ネ
ットワーク内のホームの接続位置から移動しているもの
であるか否かを判断し、 前記パケットを通信する2つの計算機のうち少なくとも
一方が前記自組織ネットワーク内のホームの接続位置か
ら移動しているものであると判断された場合、少なくと
も該移動している計算機の通信相手に該移動している計
算機に対する前記第2の位置識別子を送信することを特
徴とする通信経路制御方法。 - 【請求項2】前記第2の位置識別子を送信した後に、前
記自組織ネットワーク内の前記ホームルータ装置を前記
2つの計算機間にて通信されるパケットが再度通過した
ことが検出された場合、前記第2の位置識別子の送信先
の計算機に前記自組織ネットワーク内の前記ホームルー
タ装置を経由した通信を行なう旨の制御情報を送信する
ことを特徴とする請求項1に記載の通信経路制御方法。 - 【請求項3】前記判断にあたって、前記送信元情報に対
応する前記第2の位置識別子と前記宛先情報に対応する
前記第2の位置識別子とを比較して、前記2つの計算機
夫々が同一のネットワーク内に存在するか否かを判定
し、 前記2つの計算機夫々が同一のネットワーク内に存在す
ると判定された場合、通信データに対するデータ加工処
理を行わず最短の経路で直接通信するよう通信経路を変
更することを指示する制御情報をも送信することを特徴
とする請求項1に記載の通信経路制御方法。 - 【請求項4】前記判定にあたって、前記2つの計算機間
で通信される通信データに対するデータ加工処理の内容
が変更されるか否かをも併せて判定し、直接通信を確立
させると変更が生じる場合、前記第2の位置識別子及び
前記制御情報を双方に返信しないことを特徴とする請求
項3に記載の通信経路制御方法。 - 【請求項5】前記判断にあたって、前記2つの計算機間
で通信される通信データに対するデータ加工処理の内容
が変更されるか否かをも併せて判定し、直接通信を確立
させると変更が生じる場合、前記制御情報に通信データ
のデータ加工処理の内容を変更させる指示情報を含める
ことを特徴とする請求項3に記載の通信経路制御方法。 - 【請求項6】通信網を介して他の計算機ネットワークに
接続され、自組織ネットワーク内の所定の接続位置をホ
ームとする計算機の現在位置を管理し転送されてきたパ
ケットを宛先計算機に中継するホームルータ装置を備え
た計算機ネットワークシステムにおいて、該自組織ネッ
トワーク内の所定の接続位置をホームとする計算機間の
通信経路を制御するための通信経路制御装置であって、 前記計算機に固有の前記自組織ネットワーク内で一意に
定められた第1の位置識別子と、該計算機のうちホーム
の接続位置から移動した計算機について該計算機が移動
した位置を識別可能なネットワーク全体で一意に定めら
れた第2の位置識別子とを対応付けたアドレス情報を記
憶する手段と、 前記ホームルータ装置により中継されるパケット内に含
まれる前記第1の位置識別子からなる送信元情報および
宛先情報と前記アドレス情報とに基づいて、前記パケッ
トを通信する2つの計算機夫々について、前記自組織ネ
ットワーク内のホームの接続位置から移動しているもの
であるか否かを判断する手段と、 前記パケットを通信する2つの計算機のうち少なくとも
一方が前記自組織ネットワーク内のホームの接続位置か
ら移動しているものであると判断された場合、少なくと
も該移動している計算機の通信相手に該移動している計
算機に対する前記第2の位置識別子を送信する手段とを
備えたことを特徴とする通信経路制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8018917A JPH09214543A (ja) | 1996-02-05 | 1996-02-05 | 通信経路制御方法および通信経路制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8018917A JPH09214543A (ja) | 1996-02-05 | 1996-02-05 | 通信経路制御方法および通信経路制御装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09214543A true JPH09214543A (ja) | 1997-08-15 |
Family
ID=11984972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8018917A Pending JPH09214543A (ja) | 1996-02-05 | 1996-02-05 | 通信経路制御方法および通信経路制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09214543A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318739A (ja) * | 2001-02-14 | 2002-10-31 | Mitsubishi Electric Corp | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム |
| US7360250B2 (en) | 2001-02-14 | 2008-04-15 | Mitsubishi Denki Kabushiki Kaisha | Illegal access data handling apparatus and method for handling illegal access data |
| KR20140037201A (ko) * | 2011-07-08 | 2014-03-26 | 마이크로소프트 코포레이션 | 실시간 통신 세션을 설정하기 위한 통신 시스템 |
-
1996
- 1996-02-05 JP JP8018917A patent/JPH09214543A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318739A (ja) * | 2001-02-14 | 2002-10-31 | Mitsubishi Electric Corp | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム |
| US7360250B2 (en) | 2001-02-14 | 2008-04-15 | Mitsubishi Denki Kabushiki Kaisha | Illegal access data handling apparatus and method for handling illegal access data |
| KR20140037201A (ko) * | 2011-07-08 | 2014-03-26 | 마이크로소프트 코포레이션 | 실시간 통신 세션을 설정하기 위한 통신 시스템 |
| JP2014528183A (ja) * | 2011-07-08 | 2014-10-23 | マイクロソフト コーポレーション | リアルタイム通信セッションを確立する通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3492865B2 (ja) | 移動計算機装置及びパケット暗号化認証方法 | |
| JP3651721B2 (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
| US8006296B2 (en) | Method and system for transmitting information across a firewall | |
| JP3662080B2 (ja) | ファイアウォール動的制御方法 | |
| JP5497901B2 (ja) | 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム | |
| JP3557056B2 (ja) | パケット検査装置、移動計算機装置及びパケット転送方法 | |
| US20060233144A1 (en) | Mobility support apparatus for mobile terminal | |
| US8909743B2 (en) | Dynamic session maintenance for mobile computing devices | |
| JPH1188431A (ja) | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 | |
| JP2004072766A (ja) | プライベートネットワークにアクセス制御プラットフォームサービスを提供するためのシステム | |
| JPH1155322A (ja) | 暗号通信システム | |
| JPWO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| EP1244271A2 (en) | Key distribution system for protection of route-update notifications in micromobility networks | |
| WO1998031124A9 (en) | Reverse proxy server | |
| WO1998031124A1 (en) | Reverse proxy server | |
| JP4253569B2 (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
| WO2004047402A1 (en) | Management of network security domains | |
| JP3587633B2 (ja) | ネットワーク通信方法および装置 | |
| JP3464358B2 (ja) | 通信制御方法、中継装置およびデータパケット処理装置 | |
| JPH09214543A (ja) | 通信経路制御方法および通信経路制御装置 | |
| JP2005051458A (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| JP3999353B2 (ja) | コンピュータネットワークにおける通信経路の決定方法ならびにシステム及び同方法がプログラムされ記録される記録媒体 | |
| JPH1065702A (ja) | Macアドレス管理方式 | |
| JP3472098B2 (ja) | 移動計算機装置、中継装置及びデータ転送方法 | |
| JP2005130511A (ja) | コンピュータネットワークを管理する方法及びシステム |