JPH1188403A - Moving computer device, relay device and data transfer method - Google Patents
Moving computer device, relay device and data transfer methodInfo
- Publication number
- JPH1188403A JPH1188403A JP9243104A JP24310497A JPH1188403A JP H1188403 A JPH1188403 A JP H1188403A JP 9243104 A JP9243104 A JP 9243104A JP 24310497 A JP24310497 A JP 24310497A JP H1188403 A JPH1188403 A JP H1188403A
- Authority
- JP
- Japan
- Prior art keywords
- information
- data
- relay device
- gateway
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワーク間を
移動して通信を行うことが可能な移動計算機、ネットワ
ーク上を転送されるパケットを受信して通過の可否を判
定して転送または返送する中継装置及びデータ転送方法
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a mobile computer capable of performing communication by moving between networks, a relay for receiving a packet transferred on the network, determining whether or not the packet can be passed, and transferring or returning the packet. The present invention relates to an apparatus and a data transfer method.
【0002】[0002]
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外、一組織外とのコミュニケーション(電
子メール、電子ニュース、ファイルの転送など)が可能
になり、これらが広く利用されはじめた。特に近年で
は、世界最大のコンピュータネットワーク「インターネ
ット(internet)」の利用が普及しており、イ
ンターネットと接続し、公開された情報、サービスを利
用したり、逆にインターネットを通してアクセスしてく
る外部ユーザに対し、情報、サービスを提供すること
で、新たなコンピュータビジネスが開拓されている。ま
た、インターネット利用に関して、新たな技術開発、展
開がなされている。2. Description of the Related Art The use of computer systems has expanded rapidly and widely in various fields as computer systems have become smaller, lower in price, and network environments have been enriched, and there has been a shift from centralized systems to distributed systems. Is progressing. In particular, in recent years, in addition to the progress and spread of computer network technology in addition to the advancement and enhancement of computer systems, not only sharing of resources such as files and printers within the office, but also communication outside the office and outside the organization (e-mail , E-news, file transfer, etc.), and these have begun to be widely used. In particular, in recent years, the use of the world's largest computer network "Internet" has become widespread. External users who connect to the Internet and use published information and services, or conversely, access the Internet through the Internet On the other hand, by providing information and services, a new computer business has been developed. New technologies are being developed and deployed for the use of the Internet.
【0003】また、このようなネットワークの普及に伴
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行いながらネットワーク
上の位置を変えていく場合もあり、そのような通信にお
いて変化する移動計算機のネットワーク上を管理し、正
しく通信内容を到達させるための方式が必要である。[0003] In addition, with the spread of such networks, technical development for mobile communication has been performed. In mobile communication, a user having a portable terminal and a computer moves and communicates on a network. In some cases, the position on the network is changed while performing communication, and a system for managing the changing mobile computer on the network in such communication and properly reaching the communication content is required.
【0004】一般に移動通信を行う場合、移動計算機が
所属していたネットワークに移動計算機の移動先データ
を管理するルータ(ホームエージェント)を置き、移動
計算機が移動した場合、このホームエージェントに対し
て現在位置を示す登録メッセージを送る。登録メッセー
ジが受け取られたら、移動計算機宛データの送信はその
ホームエージェントを経由して、移動計算機の元のアド
レス宛のIPパケットを移動計算機の現在位置アドレス
宛パケット内にカプセル化することで移動計算機に対す
るデータの経路制御が行われる。例えば、図1では、元
々ホームネットワーク1aに属していた移動計算機2
が、他のネットワーク1bに移動し、ネットワーク1c
内の他の計算機(CH)3との間で通信を行うような場
合に、移動計算機2に対しホームエージェント(HA)
5が上記の役割を行う。この方式は、インターネットの
標準化団体であるIETFのmobile−IPワーキ
ンググループで標準化が進められている移動IPと呼ば
れる方式である(文献:RFC2002, IP mo
bility support (C.Perkin
s))。In general, when performing mobile communication, a router (home agent) for managing the destination data of the mobile computer is placed in the network to which the mobile computer belongs, and when the mobile computer moves, the home agent is Send a registration message indicating the location. When the registration message is received, transmission of data addressed to the mobile computer is performed by encapsulating an IP packet addressed to the original address of the mobile computer in a packet addressed to the current location address of the mobile computer via the home agent. Of the data is controlled. For example, in FIG. 1, the mobile computer 2 originally belonging to the home network 1a
Moves to another network 1b, and the network 1c
In a case where communication is performed with another computer (CH) 3 in the home computer, a home agent (HA) is provided to the mobile computer 2.
5 performs the above role. This system is a system called Mobile IP, which is being standardized by the IETF mobile-IP working group, which is an Internet standardization organization (Reference: RFC2002, IP mo).
billiy support (C. Perkin
s)).
【0005】ところで、移動IP方式では、移動計算機
が新規の移動先に移った場合、移動計算機がどのような
ネットワークに移動したかによって、移動計算機の発す
るメッセージの扱いが変わってくる。In the mobile IP system, when a mobile computer moves to a new destination, the handling of messages issued by the mobile computer changes depending on the network to which the mobile computer has moved.
【0006】例えば、移動計算機のホームネットワーク
と親しいネットワークに移動して、そのネットワークの
出口に置かれたゲートウェイ(ファイアウォール)がデ
ータパケットを自由に外部に送出させる場合は、移動I
Pの規定のままで動作が可能である。For example, when a user moves to a network close to the home network of the mobile computer and a gateway (firewall) placed at the exit of the network allows data packets to be freely sent outside, the mobile I
Operation can be performed with P specified.
【0007】一方、移動計算機を外部から内部に滞在
(または侵入)しているものとして扱う一般のネットワ
ークでは、セキュリティ上の考慮から、移動計算機の発
する登録メッセージを自由に外部に送出させることは危
険であると判断する。この場合、移動計算機が、自分は
現在自分を侵入者として扱うネットワークにいる、とい
うことを認識し、ゲートウェイに対して身分証明に相当
する折衝メッセージの交換処理を行って通過許可を得た
上でデータパケットの送出を行うことが必要になる。ま
た、それ以降のデータ送信においても、ゲートウェイに
対する折衝メッセージを付加しての通信が必要である。On the other hand, in a general network in which a mobile computer is treated as staying (or intruding) from the outside to the inside, it is dangerous to freely transmit a registration message issued by the mobile computer to the outside due to security considerations. Is determined to be. In this case, the mobile computer recognizes that it is currently in a network that treats itself as an intruder, performs exchange processing of negotiation messages equivalent to identification, and obtains permission to pass through to the gateway. It is necessary to transmit data packets. Further, in the subsequent data transmission, it is necessary to add a negotiation message to the gateway for communication.
【0008】一般に、移動計算機が、自分の元属してい
たホームネットワークとセキュリティ情報を交換してい
る外部ネットワークに移動する場合、その外部ネットワ
ークの出口でのパケット中継を行うパケット中継装置に
対する折衝メッセージをつけておけば、それ以降は予め
交換されたセキュリティ情報に従ってデータが安全にホ
ームネットワークまで転送されることが可能になる。In general, when a mobile computer moves to an external network exchanging security information with a home network to which the mobile computer belongs, a negotiation message for a packet relay device that relays a packet at the exit of the external network is sent. If attached, the data can thereafter be safely transferred to the home network according to the security information exchanged in advance.
【0009】一方、移動計算機が、自分の元属していた
ホームネットワークとセキュリティ情報を交換していな
い外部ネットワークに移動した場合、移動計算機は、ま
ず自身に登録されているパケット中継装置宛に、折衝メ
ッセージを付けたパケットを送出する(その中継装置ま
で、パケットが到着すれば、後は予め設定されたセキュ
リティ情報に従って安全にパケットが転送される)。し
かし、この場合も、経路途中で、その移動計算機の発す
るパケットの中継を拒絶するパケット中継装置が存在す
ることがある。もし、そのようなパケット中継装置があ
った場合、その中継装置はパケット中継拒絶メッセージ
を移動計算機に返送するが、移動計算機の側では、パケ
ットの中継を拒絶したパケット中継装置がネットワーク
上のどの位置に存在するかを判別しないと、その中継装
置に対し正しく折衝メッセージを付加することができな
い。On the other hand, when the mobile computer moves to an external network that has not exchanged security information with the home network to which the mobile computer belongs, the mobile computer first negotiates to the packet relay device registered in itself. The packet with the message is sent out (if the packet arrives at the relay device, the packet is then safely transferred according to the preset security information). However, also in this case, there may be a packet relay device that rejects the relay of the packet generated by the mobile computer in the middle of the route. If there is such a packet relay device, the relay device returns a packet relay rejection message to the mobile computer. On the mobile computer side, the position of the packet relay device that rejected the packet relay on the network is determined. If it is not determined whether the relay device exists, the negotiation message cannot be correctly added to the relay device.
【0010】しかし、従来の移動IP方式だけでは、こ
のような動的な折衝に基づく移動計算機発パケットのル
ーティングは定義されておらず、またパケット中継装置
の側でも移動計算機側が正しく折衝メッセージを付ける
ために十分な情報を含んだ拒否メッセージを送信したい
なかった。However, the conventional mobile IP system alone does not define the routing of the mobile computer originating packet based on such dynamic negotiation, and the mobile computer also correctly attaches the negotiation message on the packet relay device side. I didn't want to send a reject message containing enough information.
【0011】[0011]
【発明が解決しようとする課題】従来、移動計算機がセ
キュリティを保って通信を行う場合、ホームネットワー
クとセキュリティ情報を交換しているネットワークに移
動して通信を行う場合は、予め定められた方式に従え
ば、正しく通信できた。しかし、移動計算機がホームネ
ットワークとセキュリティ情報を交換していないネット
ワークに移動した場合、移動計算機は自分に登録されて
いるホームネットワークと正しくセキュリティ情報を交
換しているパケット中継装置宛にデータを送信し、その
中継装置に到着した後は、登録されたセキュリティ情報
に基づく方式で処理を行う、という場合がある。この場
合も、もし経路途中に存在するパケット中継装置がデー
タパケットの中継を拒絶することがあるが、その場合、
移動計算機はデータ拒絶したパケット中継装置からの拒
絶メッセージを元に、そのパケット中継装置が自身のホ
ームネットとセキュリティ情報を交換しているか否かを
判別し、それに基づいてパケット中継のための折衝メッ
セージを付与することが必要になる。しかしながら、従
来の移動IP方式では、移動計算機はパケットの中継を
拒絶したパケット中継装置と折衝を行うことができず、
パケットをホームネットワークに到達させることができ
なかった。Conventionally, when a mobile computer performs communication while maintaining security, and when performing communication by moving to a network that exchanges security information with a home network, a predetermined method is used. If it followed, it could communicate correctly. However, when the mobile computer moves to a network that has not exchanged security information with the home network, the mobile computer transmits data to a packet relay device that has correctly exchanged security information with its registered home network. After arriving at the relay device, processing may be performed by a method based on registered security information. In this case as well, if a packet relay device existing in the middle of the route may refuse to relay the data packet,
The mobile computer determines whether or not the packet relay device has exchanged security information with its home network based on the rejection message from the packet relay device that rejected the data, and based on the information, negotiated a message for packet relay. Must be provided. However, in the conventional mobile IP system, the mobile computer cannot negotiate with the packet relay device that refused to relay the packet,
The packet could not reach the home network.
【0012】本発明は、上記事情を考慮してなされたも
ので、ネットワーク上のどこに移動しても、安全な通信
を行うことの可能な移動計算機装置、中継装置及びデー
タ転送方法を提供することを目的とする。The present invention has been made in view of the above circumstances, and provides a mobile computer device, a relay device, and a data transfer method capable of performing secure communication regardless of where the user moves on a network. With the goal.
【0013】[0013]
【課題を解決するための手段】本発明(請求項1)は、
相互に接続されたネットワーク間を移動して通信を行う
ことが可能な移動計算機装置であって、自装置が移動前
に属していたネットワーク(ホームネットワーク)か
ら、セキュリティ保持関係を保って通信できる通信相手
のアドレスの範囲を示すアドレス範囲情報を保持する記
憶手段と、自装置が現在位置する移動先ネットワークか
ら、自装置の属していたネットワーク内の宛先計算機
に、自装置の属していたネットワークの入口に設置され
た第1の中継装置(パケット中継装置;パケット暗号化
ゲートウェイ)に対する折衝情報を付加したデータを送
信する手段と、宛先計算機に至る経路途中の第2の中継
装置(パケット中継装置;パケット暗号化ゲートウェ
イ)から、前記送信データに対する通過拒否メッセージ
(エラーメッセージ)が返信された場合、該第2の中継
装置のアドレス情報と、前記記憶手段に保持される前記
アドレス範囲情報とを照合する手段と、この照合の結
果、前記第2の中継装置のアドレス情報が前記アドレス
範囲情報に含まれるものではない場合は、通過拒否され
た前記送信データに付加した前記折衝情報の前に、該第
2の中継装置に対する折衝情報を付加し、該第2の中継
装置のアドレス情報が前記アドレス範囲情報に含まれる
ものである場合は、通過拒否された前記送信データに付
加した前記折衝情報の後に、該第2の中継装置に対する
折衝情報を付加して、データを再度送信する手段とを備
えたことを特徴とする。Means for Solving the Problems The present invention (claim 1) provides:
A mobile computer device capable of performing communication by moving between mutually connected networks, the communication being capable of maintaining a security maintaining relationship from a network (home network) to which the own device belonged before moving. Storage means for storing address range information indicating the address range of the other party; and a destination computer in the network to which the own device belongs from the destination network in which the own device is currently located. Means for transmitting data to which negotiation information has been added to a first relay device (packet relay device; packet encryption gateway) installed in a second relay device (packet relay device; packet) on the route to the destination computer From the encryption gateway), a passage rejection message (error message) Means for comparing the address information of the second relay device with the address range information held in the storage means, and as a result of the comparison, the address information of the second relay device is If it is not included in the address range information, negotiation information for the second relay device is added before the negotiation information added to the transmission data that has been rejected, and the address of the second relay device is added. If the information is included in the address range information, after the negotiation information added to the transmission data rejected to pass, negotiation information for the second relay device is added, and the data is transmitted again. Means.
【0014】好ましくは、自装置の送信した前記データ
に対して経路途中の前記第2の中継装置から前記通過拒
否メッセージが返信された場合、該中継装置に移動計算
機識別子を生成するための鍵情報を要求するメッセージ
を送信する手段と、前記中継装置から前記鍵情報が返送
された場合、この鍵情報をもとにして、前記折衝情報を
生成する手段とをさらに備えるようにしてもよい。Preferably, when the passage rejection message is returned from the second relay device on the way to the data transmitted by the own device, key information for generating a mobile computer identifier in the relay device. And a means for generating the negotiation information based on the key information when the key information is returned from the relay device.
【0015】好ましくは、前記第2の中継装置に対する
前記折衝情報を付加して再度送信しデータが該第2の中
継装置により通過されたと認識された場合、それ以降の
データ通信の際にも転送データに該折衝情報を付加して
送信するようにしてもよい。[0015] Preferably, when the negotiation information for the second relay device is added and transmitted again and it is recognized that the data has been passed by the second relay device, the data is transferred also in the subsequent data communication. The negotiation information may be added to the data and transmitted.
【0016】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。[0016] Preferably, the negotiation information may be a mobile computer identifier obtained by using a predetermined function (for example, a hash function) based on the contents of a predetermined portion of the transfer data and the key information. .
【0017】好ましくは、前記通過拒否メッセージは通
過拒否を示す情報および前記第2の中継装置のアドレス
情報を含むものであるようにしてもよい。好ましくは、
前記記憶手段に保持する前記アドレス範囲情報として、
前記第1の中継装置から得たものを用いるようにしても
よい。Preferably, the passage rejection message may include information indicating passage rejection and address information of the second relay device. Preferably,
As the address range information held in the storage unit,
The one obtained from the first relay device may be used.
【0018】本発明(請求項7)は、相互に接続された
ネットワーク上の任意の地点に設置される中継装置(パ
ケット中継装置;パケット暗号化ゲートウェイ)であっ
て、転送データの通過を許可する送信元計算機のアドレ
スの範囲を示す情報を含む通過許可リストを保持する記
憶手段と、受信したデータが、前記通過許可リストに含
まれるものに該当する送信元アドレスおよび自装置との
間で交換する正当な折衝情報を含むものである場合は、
この折衝情報を除去して、ネットワーク上の次段の中継
装置または宛先アドレスにデータを転送する手段と、受
信したデータが、前記通過許可リストに含まれるものに
該当する送信元アドレスまたは自装置との間で交換する
正当な折衝情報の少なくとも一方を含まないものである
場合は、自装置のアドレス情報および通過拒否を示す情
報を含む通過拒否メッセージ(エラーメッセージ)を、
該データの送信元計算機に返信する手段とを備えたこと
を特徴とする。The present invention (claim 7) is a relay device (packet relay device; packet encryption gateway) installed at an arbitrary point on a mutually connected network, and permits the transmission of transfer data. Storage means for holding a pass permission list including information indicating the address range of the transmission source computer, and exchanging the received data between the transmission source address corresponding to that included in the pass permission list and its own device If it contains legitimate negotiation information,
Means for removing the negotiation information and transferring the data to the next-stage relay device or destination address on the network; and If it does not include at least one of the legitimate negotiation information exchanged between, a pass reject message (error message) including the address information of its own device and information indicating pass reject,
Means for returning the data to the transmission source computer.
【0019】好ましくは、前記折衝情報を生成するため
の鍵情報を求めるメッセージを受信した場合に、該メッ
セージを受諾して該鍵情報を返送するために該メッセー
ジの送信元計算機が満たすべき条件を示す情報を保持す
る記憶手段と、前記通過拒否メッセージを返信した後に
同一の計算機から鍵情報を求めるメッセージを受信した
場合、この計算機が前記条件を満たすと判断されたと
き、要求された前記鍵情報を返送する手段とをさらに備
えるようにしてもよい。Preferably, when a message requesting key information for generating the negotiation information is received, a condition that must be satisfied by a transmission source computer of the message in order to accept the message and return the key information is received. Storage means for storing information indicating the key information, when receiving a message for key information from the same computer after returning the pass rejection message, when the computer is determined to satisfy the condition, the key information requested May be further provided.
【0020】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。Preferably, the negotiation information may be a mobile computer identifier obtained using a predetermined function (for example, a hash function) based on the contents of a predetermined portion of the transfer data and the key information. .
【0021】本発明(請求項10)は、相互に接続され
たネットワーク間を移動して通信を行うことが可能な移
動計算機装置におけるデータ転送方法であって、自装置
が現在位置する移動先ネットワークから、自装置の属し
ていたネットワーク内の宛先計算機に、自装置の属して
いたネットワークの入口に設置された第1の中継装置に
対する折衝情報を付加したデータを送信し、宛先計算機
に至る経路途中の第2の中継装置から、前記送信データ
に対する通過拒否メッセージが返信された場合、該第2
の中継装置のアドレス情報と、自装置が移動前に属して
いたネットワークから、セキュリティ保持関係を保って
通信できる通信相手のアドレスの範囲を示すアドレス範
囲情報とを照合し、この照合の結果、前記第2の中継装
置のアドレス情報が前記アドレス範囲情報に含まれるも
のではない場合は、通過拒否された前記送信データに付
加した前記折衝情報の前に、該第2の中継装置に対する
折衝情報を付加し、該第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものである場合は、通
過拒否された前記送信データに付加した前記折衝情報の
後に、該第2の中継装置に対する折衝情報を付加して、
データを再度送信することを特徴とする。[0021] The present invention (claim 10) is a data transfer method in a mobile computer device capable of performing communication by moving between mutually connected networks. Transmits the data to which the negotiation information for the first relay device installed at the entrance of the network to which the own device belongs is added to the destination computer in the network to which the own device belongs, and transmits the data to the destination computer in the route to the destination computer. When a pass rejection message for the transmission data is returned from the second relay device,
The address information of the relay device is compared with the address range information indicating the range of the address of the communication partner that can communicate while maintaining the security preservation relationship from the network to which the own device belonged before moving, and as a result of the comparison, If the address information of the second relay device is not included in the address range information, the negotiation information for the second relay device is added before the negotiation information added to the transmission data that has been rejected. If the address information of the second relay device is included in the address range information, the negotiation information for the second relay device is added after the negotiation information added to the transmission data whose passage has been rejected. With
The data is transmitted again.
【0022】本発明(請求項11)は、相互に接続され
たネットワーク上の任意の地点に設置される中継装置に
おけるデータ転送方法であって、転送すべきデータを受
信した場合、データの送信元アドレスが、転送データの
通過を許可する送信元計算機のアドレスの範囲を示す情
報を含む通過許可リストに含まれるものであるか否か、
およびデータの送信元計算機と自装置との間で交換する
正当な折衝情報を含むものであるか否かを検査し、受信
したデータが、前記通過許可リストに含まれるものに該
当する送信元アドレスおよび自装置との間で交換する正
当な折衝情報を含むものである場合は、この折衝情報を
除去して、ネットワーク上の次段の中継装置または宛先
アドレスにデータを転送し、受信したデータが、前記通
過許可リストに含まれるものに該当する送信元アドレス
または自装置との間で交換する正当な折衝情報の少なく
とも一方を含まないものである場合は、自装置のアドレ
ス情報および通過拒否を示す情報を含む通過拒否メッセ
ージを、該データの送信元計算機に返信することを特徴
とする。The present invention (claim 11) is a data transfer method in a relay device installed at an arbitrary point on an interconnected network, wherein when data to be transferred is received, a data transmission source Whether or not the address is included in the passage permission list including information indicating the range of the address of the transmission source computer that permits passage of the transfer data,
And whether the received data includes valid negotiation information exchanged between the transmission source computer and the own device. If it contains legitimate negotiation information to be exchanged with the device, the negotiation information is removed and the data is transferred to the next relay device or the destination address on the network, and the received data is transmitted through the pass permission device. If it does not include at least one of the source address corresponding to the one included in the list and the valid negotiation information exchanged with the own device, the pass includes the address information of the own device and the information indicating the refusal of passage. A rejection message is returned to the transmission source computer of the data.
【0023】なお、装置に係る本発明は方法に係る発明
としても成立し、方法に係る本発明は装置に係る発明と
しても成立する。また、上記の発明は、相当する手順あ
るいは手段をコンピュータに実行させるためのプログラ
ムを記録した機械読取り可能な媒体としても成立する。The present invention relating to the apparatus is also realized as an invention relating to a method, and the present invention relating to a method is also realized as an invention relating to an apparatus. Further, the above-described invention is also realized as a machine-readable medium storing a program for causing a computer to execute a corresponding procedure or means.
【0024】本発明によれば、移動計算機が移動先から
送出したデータパケットが経路途中の中継装置により通
過許可された旨のメッセージが返信された場合に、その
返信メッセージから、通過拒否を行った中継装置のネッ
トワーク上の位置を求め、それに従って適切な折衝メッ
セージコードを付加することにより、移動計算機がネッ
トワーク上のどこに移動しても、安全な通信を行うこと
が可能となる。According to the present invention, when a message indicating that a data packet transmitted from a destination by a mobile computer is permitted to pass by a relay device on a route is returned, the passage rejection is performed from the reply message. By determining the position of the relay device on the network and adding an appropriate negotiation message code according to the position, secure communication can be performed regardless of where the mobile computer moves on the network.
【0025】[0025]
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。図1に、本実施形態に係る通信
システムの基本構成の一例を示す。図1の通信システム
は、移動IPにより移動計算機の通信をサポートしてい
るものとする(文献:IETF RFC2002)。な
お、移動IPプロトコルは、移動先ネットワークでのパ
ケット配送を行うフォーリンエージェントというルータ
の存在を仮定する場合と、移動計算機自身がフォーリン
エージェントを兼ねるCo−Located Care
−of addressモードと呼ばれる場合がある
が、本実施形態では後者の仮定してフォーリンエージェ
ントはないものとして説明する。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 shows an example of a basic configuration of a communication system according to the present embodiment. It is assumed that the communication system of FIG. 1 supports communication of a mobile computer by a mobile IP (document: IETF RFC2002). The mobile IP protocol is based on the assumption that there is a router called a foreign agent that performs packet delivery in a destination network, and the mobile computer itself has a Co-Located Care functioning also as a foreign agent.
Although this mode is sometimes called -of address mode, in the present embodiment, it is assumed that there is no foreign agent on the assumption of the latter.
【0026】図1では、ホームネットワーク1a、第1
の他部署ネットワーク1b、第2の他部署ネットワーク
1cがインターネット6を介して相互に接続されてお
り、移動計算機(MN)2、移動計算機の通信相手ホス
ト(CH)3は、これらネットワーク内に、または外部
ノードとしてインターネット6に接続される。In FIG. 1, the home network 1a, the first network
The other department network 1b and the second other department network 1c are connected to each other via the Internet 6, and the mobile computer (MN) 2 and the communication partner host (CH) 3 of the mobile computer include: Alternatively, it is connected to the Internet 6 as an external node.
【0027】なお、本実施形態では、図1のネットワー
ク1aの内部にホームポジションを持つ移動計算機(M
N)2とその通信相手計算機(CH)3に関するパケッ
ト通信を中心にして説明を行うので、図1では、ネット
ワーク1aをホームネットワーク、ネットワーク1b,
1cを他部署ホームネットワークとして示してある。In this embodiment, the mobile computer (M) having a home position inside the network 1a of FIG.
N) 2 and its communication partner computer (CH) 3 will be mainly described for packet communication. Therefore, in FIG. 1, the network 1a is a home network, the network 1b,
1c is shown as another department home network.
【0028】ホームネットワーク1a、第1の他部署ネ
ットワーク1b、第2の他部署ネットワーク1cには、
移動IPプロトコルをサポートするためのホームエージ
ェント(HA)5a,5b,5cがそれぞれ設置されて
いる(ただし、本実施形態では移動計算機2は元々ホー
ムネットワークにあったものと仮定するので、他部署ネ
ットワーク1b,1cのホームエージェント5b,5c
は説明上の通信には介在しない)。The home network 1a, the first other department network 1b, and the second other department network 1c include:
Home agents (HA) 5a, 5b, and 5c for supporting the mobile IP protocol are installed respectively (however, in this embodiment, it is assumed that the mobile computer 2 originally existed in the home network, and therefore, the other department network 1b, 1c home agent 5b, 5c
Does not intervene in the explanation communication).
【0029】また、ネットワーク1a,1b,1cに
は、入力パケットに所定のパケット処理を施して転送す
るパケット中継装置4a,4b,4cがそれぞれ設けら
れるものとする。本実施形態では、パケット中継装置4
a,4b,4cは、パケット暗号化認証処理機能を持つ
ものとする。また、移動計算機2は、少なくとも移動中
には、パケット暗号化認証処理機能を持つものとする
(図中、自装置でパケット暗号化認証処理を行う移動計
算機2をMN+で表す)。なお、GWやGWi(iは数
字あるいは記号)はパケット中継装置(パケット暗号化
ゲートウェイ;以下、ゲートウェイと略す)を示すもの
とする。The networks 1a, 1b, and 1c are provided with packet relay devices 4a, 4b, and 4c that perform predetermined packet processing on input packets and transfer the packets. In the present embodiment, the packet relay device 4
It is assumed that a, 4b, and 4c have a packet encryption authentication processing function. It is assumed that the mobile computer 2 has a packet encryption authentication processing function at least during movement (in the figure, the mobile computer 2 that performs packet encryption authentication processing on its own device is denoted by MN + ). Note that GW and GWi (i is a number or symbol) indicate a packet relay device (packet encryption gateway; hereinafter, abbreviated as gateway).
【0030】なお、パケット暗号化認証処理における通
信データの暗号化/復号は、例えば、文献(IETF
RFC1825,1827)に示される方式で実現でき
る。また、パケット暗号化認証処理における、終端との
折衝コードや次段との折衝コード(転送パケット内容と
生成鍵から生成されるハッシュ関数値など)の付与/チ
ェックは、例えば、IPセキュリティと呼ばれる仕様を
用いた認証子およびパケット暗号化で定義することが可
能である(文献:IETF RFC1825〜182
9)。The encryption / decryption of communication data in the packet encryption / authentication process is described in, for example, a document (IETF).
RFC1825, 1827). In the packet encryption authentication process, the addition / check of the negotiation code with the terminal or the negotiation code with the next stage (such as the hash function value generated from the contents of the transfer packet and the generated key) is performed, for example, according to a specification called IP security It can be defined by an authenticator and a packet encryption using (Ref: IETF RFC1825-182)
9).
【0031】また、本実施形態におけるゲートウェイ
は、パケットの通過を許可する送信元アドレスを含む通
過許可リストを保持するものとする。ゲートウェイは、
この通過許可リストに含まれない送信元からのパケット
については、通過拒否することになる。The gateway according to the present embodiment holds a pass permission list including a source address that permits a packet to pass. The gateway is
Packets from transmission sources not included in this passage permission list are rejected.
【0032】また、本実施形態におけるゲートウェイ
は、移動計算機2から鍵情報を求めるメッセージを受信
した場合に、該メッセージを受諾して該鍵情報を返送す
るために該メッセージの送信元計算機が満たすべき条件
を示す情報を保持するものとする。Further, when the gateway according to the present embodiment receives a message for key information from the mobile computer 2, the gateway computer of the message should satisfy the message in order to accept the message and return the key information. It is assumed that information indicating conditions is held.
【0033】この鍵要求メッセージに対し、ゲートウェ
イ4bが公開鍵情報を渡すか否かの条件は、そのゲート
ウェイに管するセキュリティ・ポリシーに依存する。例
えば、・鍵要求メッセージに所定の書式で付加されたユ
ーザ識別情報(ユーザ所属情報)を調べ、社内ユーザで
あれば、鍵情報を返す。・社外ユーザであれば、所定の
組織内のユーザであれば鍵情報を渡す。・それ以外の場
合、予め登録されたユーザであれば、鍵情報を渡す。と
いった規則をゲートウェイに登録しておく。The condition for the gateway 4b to pass the public key information to the key request message depends on the security policy managed by the gateway. For example: Check the user identification information (user affiliation information) added in a predetermined format to the key request message, and return the key information if the user is an in-house user. -If the user is outside the company, pass the key information if the user is within a predetermined organization. Otherwise, if the user is a registered user, pass the key information. Is registered in the gateway.
【0034】図2に、各ゲートウェイで処理されるパケ
ット形式を示す。(a)は通常のIPパケット形式であ
る。(b)は、暗号化/末端認証形式であり、末端の
(終端の)ゲートウェイ間または末端のゲートウェイと
移動計算機との間でパケットの暗号化および認証を行う
形式である。FIG. 2 shows a packet format processed by each gateway. (A) is a normal IP packet format. (B) is an encryption / terminal authentication format in which packet encryption and authentication are performed between terminal (terminal) gateways or between a terminal gateway and a mobile computer.
【0035】(c)は、暗号化/経路間認証形式であ
り、途中経路間でのゲートウェイ間、途中経路のゲート
ウェイ〜移動計算機間の認証を必要とする場合にはこの
形式を使用する。(C) is an encryption / inter-route authentication format, and this format is used when authentication between gateways on an intermediate route or between a gateway on a halfway route and a mobile computer is required.
【0036】(d)は、移動IP形式であり、ホームエ
ージェントで移動計算機宛に経路制御されるパケット形
式である。上記の(b)、(c)において、鍵情報ヘッ
ダは、受信側が認証処理に使用する鍵と復号処理に使用
する鍵を得るための情報を含むヘッダ情報である。例え
ば、上記鍵をパケット処理鍵から生成する場合、認証を
行うノード間で共有されるマスター鍵で暗号化されたパ
ケット処理鍵が書込まれる。その他、必要に応じて、認
証アルゴリズム、データの暗号化アルゴリズム、鍵暗号
アルゴリズムを指定するための情報が書込まれる。(D) is a mobile IP format, which is a packet format in which a route is controlled by a home agent to a mobile computer. In (b) and (c) above, the key information header is header information including information for obtaining a key used for the authentication process and a key used for the decryption process on the receiving side. For example, when the key is generated from a packet processing key, a packet processing key encrypted with a master key shared between nodes performing authentication is written. In addition, information for designating an authentication algorithm, a data encryption algorithm, and a key encryption algorithm is written as needed.
【0037】認証ヘッダは、所定の鍵(例えば、上記パ
ケット生成鍵から生成した認証鍵)を使って生成された
認証データを含むヘッダ情報である。暗号化ヘッダは、
所定の鍵(例えば、上記パケット生成鍵から生成した暗
号鍵)を使って暗号化された内部データ(ここでは、内
部IPヘッダとそのデータ部)を復号するアルゴリズム
を指定する情報を含むヘッダ情報である。The authentication header is header information including authentication data generated using a predetermined key (for example, an authentication key generated from the packet generation key). The encryption header is
Header information including information designating an algorithm for decrypting internal data (here, an internal IP header and its data portion) encrypted using a predetermined key (for example, an encryption key generated from the packet generation key). is there.
【0038】内部IPプロトコルは、カプセル化された
パケットであり、通信を行う計算機の送信元アドレスと
宛先アドレスを含む内部IPヘッダやそのデータ部から
なる。例えば、TCPやUDP形式またはIP形式のも
のである。The internal IP protocol is an encapsulated packet, and includes an internal IP header including a source address and a destination address of a computer performing communication, and a data portion thereof. For example, it is in TCP, UDP format or IP format.
【0039】なお、ゲートウェイ、移動計算機が使用す
る認証データとして、例えば、転送パケット内容と生成
鍵から生成される一方向ハッシュ関数値(例えば、Ke
yed MD5方式)などが利用できる。As the authentication data used by the gateway and the mobile computer, for example, a one-way hash function value (for example, Ke
Yed MD5 system) can be used.
【0040】また、2つのゲートウェイ間あるいはゲー
トウェイと移動計算機の間で共有されるマスター鍵は、
例えば、秘密鍵の交換や、公開鍵と秘密鍵による導出
(例えば、Diffie−Hellman法)により生
成することができる。A master key shared between two gateways or between a gateway and a mobile computer is:
For example, it can be generated by exchanging a secret key or deriving using a public key and a secret key (for example, Diffie-Hellman method).
【0041】パケット転送の幾つかの例について説明す
る。なお、前述のようにゲートウェイは通過許可リスト
を参照してパケットの通過を許諾するか拒否するかを決
定するとともに、認証コードを検査してパケットの通過
を許諾するか拒否するかを決定するが(上記の両方を満
たすことが通過条件となる)、以下では、通過許可リス
トに関する条件は満たすものとし、通過許可リストに関
する記載は省略する。Some examples of packet transfer will be described. As described above, the gateway determines whether to permit or reject the packet by referring to the pass permission list, and checks the authentication code to determine whether to permit or reject the packet. (It is assumed that both of the above conditions are satisfied.) In the following, it is assumed that the condition regarding the pass permission list is satisfied, and the description regarding the pass permission list is omitted.
【0042】まず、移動計算機2がゲートウェイGWに
保護されるネットワークに移動した場合において、ホー
ムネットワーク1a内の通信相手3にパケットを送信す
る際の処理の流れを図3を参照しながら説明する。ここ
では、図3(a)においてGW(N)はホームネットワ
ーク1aのゲートウェイ4a、GW1は図示しない移動
先ネットワークのゲートウェイ、GW2〜GW(N−
1)は図示しない経路途中のゲートウェイを示すものと
する。ここで、経路上の各ゲートウェイGWは互いに折
衝のための認証鍵情報を交換しているとする。また、各
ゲートウェイGWは自身がセキュリティを保って通信で
きる相手ノードのアドレス範囲を知っているものと仮定
する。First, the flow of processing when transmitting a packet to the communication partner 3 in the home network 1a when the mobile computer 2 moves to a network protected by the gateway GW will be described with reference to FIG. Here, in FIG. 3A, GW (N) is the gateway 4a of the home network 1a, GW1 is the gateway of the destination network (not shown), and GW2 to GW (N−
1) indicates a gateway in the middle of a route (not shown). Here, it is assumed that the gateways GW on the route exchange authentication key information for negotiation with each other. It is also assumed that each gateway GW knows the address range of the partner node with which it can communicate with security.
【0043】移動計算機2は、移動先ネットに再接続さ
れた時点では、全く周囲のネットワーク環境に関して認
識しておらず、まず、図3(b)のように通信相手に向
けて平文のパケット(図2(a)の形式)を送信する。
これを受けたゲートウェイGW1は、パケットにゲート
ウェイGW1を通過するために必要な折衝コードが付加
されていないので、エラーメッセージを移動計算機2に
返す。When the mobile computer 2 is reconnected to the destination network, it does not know anything about the surrounding network environment, and first, as shown in FIG. (FIG. 2A).
The gateway GW1 that has received this message returns an error message to the mobile computer 2 because the negotiation code necessary for passing through the gateway GW1 is not added to the packet.
【0044】次に、移動計算機2とゲートウェイGW1
の間で必要な鍵情報の交換が行われ、経路間の折衝コー
ドが計算される。経路間の折衝コードをN(M,1)で
示す。なお、折衝コードにおいてMは移動計算機を示
し、1〜Nまでの値はGWの次の値を示す)。Next, the mobile computer 2 and the gateway GW1
The necessary key information is exchanged between the two, and a negotiation code between the paths is calculated. The negotiation code between the routes is denoted by N (M, 1). In the negotiation code, M indicates a mobile computer, and values 1 to N indicate the next value of the GW.
【0045】次に、図3(c)のように、移動計算機2
から内部パケットを暗号化し折衝コードN(M,1)を
付加したパケット(図2(b)の形式)がゲートウェイ
GW1に送信されると、今度はゲートウェイGW1を通
過できる。これ以降、ゲートウェイGW2〜ゲートウェ
イGW(N−1)までは予め設定された情報を元にパケ
ットが転送される。すなわち、ゲートウェイGW1は、
パケットの暗号化認証における終端であるゲートウェイ
GW(N)との間の終端同士の折衝コードE(M,N)
をパケットに付加し、さらに次段ゲートウェイGW2と
の間の経路間の折衝コードN(1,2)を付加して、こ
のパケット(図2(c)の形式)を転送する。ゲートウ
ェイGW2は、前段ゲートウェイGW1との間の折衝コ
ードN(1,2)を検査した上で取り除き、代わりに次
段ゲートウェイGW3との間の経路間の折衝コードN
(2,3)を付加し、また終端同士の折衝コードは既に
付加されているので終端同士の折衝コードに関する処理
は何もせずに、次段ゲートウェイGW3にパケットを転
送する。以降、同様にしてパケットは次々とゲートウェ
イ間を転送され、最後にゲートウェイGW(N)に、経
路間の折衝コードN(N−1,N)と終端同士の折衝コ
ードE(M,N)の付加されたパケットが到達する。Next, as shown in FIG.
Is transmitted to the gateway GW1 after encrypting the internal packet and adding the negotiation code N (M, 1) to the gateway GW1, the packet can now pass through the gateway GW1. Thereafter, the packets are transferred from the gateway GW2 to the gateway GW (N-1) based on the preset information. That is, the gateway GW1
Negotiation code E (M, N) between the terminal and gateway GW (N) which is the terminal in the encryption authentication of the packet
Is added to the packet, and a negotiation code N (1,2) between the routes to the next gateway GW2 is added, and the packet (in the form of FIG. 2C) is transferred. The gateway GW2 inspects and removes the negotiation code N (1,2) between the gateway GW1 and the preceding gateway GW1, and replaces it with the negotiation code N between the routes to the next gateway GW3.
(2, 3) is added, and since the negotiation code between the ends has already been added, the packet is transferred to the next gateway GW3 without performing any processing relating to the negotiation code between the ends. Thereafter, packets are similarly transferred between the gateways one after another, and finally, the gateway GW (N) transmits the negotiation code N (N-1, N) between the paths and the negotiation code E (M, N) between the terminals. The added packet arrives.
【0046】パケットがゲートウェイGW(N)に到達
すると、ゲートウェイGW(N)は前段のゲートウェイ
GW(N−1)との折衝メッセージを検査した上で、中
のパケットを取り出す。次に、終端同士の折衝コードを
検査すると、移動計算機2とゲートウェイGW(N)と
の終端同士の折衝コードが付加されていないので、ここ
で再度エラーとなる。そして、ゲートウェイGW(N)
は、図3(c)のように、終端同士の折衝コードに必要
な情報を含んだエラーメッセージを返送する。When the packet arrives at the gateway GW (N), the gateway GW (N) examines a negotiation message with the gateway GW (N-1) at the preceding stage, and extracts the packet inside. Next, when the negotiation code between the terminals is inspected, an error occurs again because the negotiation code between the terminals of the mobile computer 2 and the gateway GW (N) is not added. And the gateway GW (N)
Returns an error message including information necessary for the negotiation code between the terminals as shown in FIG. 3 (c).
【0047】エラーメッセージを受信した移動計算機2
では、今度は、終端同士の折衝コードに必要な情報から
ゲートウェイGW(N)との間の終端同士の折衝コード
E(M,N)を計算することができる。Mobile computer 2 receiving the error message
Then, the negotiation code E (M, N) between the terminals with the gateway GW (N) can be calculated from the information required for the negotiation code between the terminals.
【0048】しかして、移動計算機2は、図3(d)の
ように、ゲートウェイGW(N)との間の終端同士の折
衝コードE(M,N)と次段ゲートウェイGW2との間
の経路間の折衝コードN(1,2)を付加してパケット
(図2(c)の形式)を再送信すれば、ゲートウェイG
W2〜GW(N−1)にて経路間の折衝コードが付け替
えられ、次々とパケット転送が行われて、今度は正しく
パケットをゲートウェイGW(N)に到達させることが
できる。Thus, as shown in FIG. 3D, the mobile computer 2 establishes a route between the negotiation code E (M, N) at the end between the gateway GW (N) and the next-stage gateway GW2. If the packet (in the form of FIG. 2 (c)) is retransmitted with the negotiation code N (1,2) between the gateway G
The negotiation code between the routes is changed in W2 to GW (N-1), and packet transfer is performed one after another, so that the packet can correctly reach the gateway GW (N).
【0049】そして、ゲートウェイGW(N)では、終
端同士の折衝コードE(M,N)と前段ゲートウェイG
W(N−1)との間の経路間の折衝コードN(N−1,
N)を検査した上でこれらを取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。Then, in the gateway GW (N), the negotiation code E (M, N) between the terminals and the preceding gateway G
Negotiation code N (N-1, N-1) between the routes to W (N-1)
N) is inspected, these are removed, the internal packet (the format of FIG. 2A) is decoded, and the destination computer (CH) 3
Transfer to
【0050】次に、図4を参照しながら、移動計算機2
が特定のゲートウェイGWに保護される組織に属さない
位置に移動した場合において、通信相手3(図4ではネ
ットワーク1e内)にパケットを送信する際の処理の流
れにつて説明する。Next, referring to FIG.
A description will be given of the flow of processing when transmitting a packet to the communication partner 3 (in FIG. 4, within the network 1e) when the user moves to a position that does not belong to the organization protected by the specific gateway GW.
【0051】この場合、移動計算機2は移動先から自身
が安全に通信できるゲートウェイGWのうちの少なくと
も1つに対し、セキュリティを保った通信ができるよう
に予め設定されていなくてはならない。すなわち、図4
では、ネットワーク1aが移動計算機のホームネットワ
ークで、ネットワーク1d,1eがホームとセキュリテ
ィを保って通信できるネットワークであるとする。この
場合、移動計算機2に対して、ゲートウェイ4a、ゲー
トウェイ4d、ゲートウェイ4eのうち少なくとも1つ
との間でセキュリティを保った通信ができるために必要
な情報を搭載しておく。In this case, the mobile computer 2 must be set in advance so that secure communication can be performed from the destination to at least one of the gateways GW with which the mobile computer 2 can safely communicate. That is, FIG.
Here, it is assumed that the network 1a is the home network of the mobile computer, and the networks 1d and 1e are networks capable of communicating with the home while maintaining security. In this case, information necessary for secure communication with at least one of the gateway 4a, the gateway 4d, and the gateway 4e is mounted on the mobile computer 2.
【0052】移動計算機2は、このゲートウェイGW
(例えばゲートウェイ4dと仮定する)に図2(b)に
示す暗号化/末端認証形式でパケットを送信する。ゲー
トウェイ4dはこれを解釈し、最終的な宛先まで、図3
の手順と同様に経路間認証を含めパケットを転送してい
く(ゲートウェイ4dが図3(a)のGW1に相当し、
ゲートウェイ4eが図3(a)のGW(N)に相当す
る)。The mobile computer 2 communicates with the gateway GW
(For example, assuming the gateway 4d), the packet is transmitted in the encryption / terminal authentication format shown in FIG. The gateway 4d interprets this and proceeds to FIG.
In the same manner as in the above procedure, the packet is transferred including the authentication between the paths (the gateway 4d corresponds to the GW 1 in FIG. 3A,
The gateway 4e corresponds to the GW (N) in FIG.
【0053】さて、これまでは、全てのゲートウェイG
Wが互いに必要なセキュリティ情報を交換しているとい
う仮定で説明してきた。しかし、一般的には、セキュリ
ティ情報を交換しないゲートウェイGWが存在すること
がある。By now, all the gateways G
The description has been made on the assumption that Ws exchange required security information with each other. However, generally, there may be a gateway GW that does not exchange security information.
【0054】そのようなセキュリティ的に隔絶されたネ
ットワークに移動計算機2が移動した場合の例を図5に
示す。図5(a)において、他部署ネットを図1のネッ
トワーク1b、宛先ネットをホームネットワーク1aと
し、GW(N)はホームネットワーク1aのゲートウェ
イ4a、GW1はネットワーク1bのゲートウェイ4b
を示すものとする。ここで、移動計算機2が移動したネ
ットワーク1bのゲートウェイGW1は、移動計算機が
本来属していたホームネットワーク1aとセキュリティ
情報の交換をしていないと仮定する。また、移動計算機
2は、自装置がセキュリティを保持して通信可能なアド
レス範囲の情報を持つものとする。FIG. 5 shows an example in which the mobile computer 2 moves to such a security-isolated network. 5A, the other department net is the network 1b in FIG. 1, the destination net is the home network 1a, the GW (N) is the gateway 4a of the home network 1a, and the GW 1 is the gateway 4b of the network 1b.
Shall be shown. Here, it is assumed that the gateway GW1 of the network 1b to which the mobile computer 2 has moved has not exchanged security information with the home network 1a to which the mobile computer originally belonged. It is also assumed that the mobile computer 2 has information on an address range in which the mobile device 2 can communicate while maintaining security.
【0055】まず、移動計算機2は、図4の場合と同
様、ホームネットワーク1aの入口にあるゲートウェイ
GW(N)に対して、図5(b)のように内部パケット
を暗号化し折衝コードE(M,N)を付加したパケット
(図2(b)の形式)を送信する。このパケットが移動
先のゲートウェイGW1に達すると、ゲートウェイGW
1では、パケットにゲートウェイGW1を通過するため
に必要な折衝コードが付加されていないので、エラーメ
ッセージを返信する。First, as in the case of FIG. 4, the mobile computer 2 encrypts the internal packet to the gateway GW (N) at the entrance of the home network 1a as shown in FIG. (M, N) is transmitted (in the format of FIG. 2B). When this packet reaches the destination gateway GW1, the gateway GW1
In No. 1, since an negotiation code required for passing through the gateway GW1 is not added to the packet, an error message is returned.
【0056】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。Here, the error message includes the address information of the gateway GW 1 and the mobile computer 2
From this address and the address range information held by itself that can hold and communicate with security, it can be seen that this error message came from a gateway that has not exchanged security information in advance. Therefore, it is necessary to add a negotiation code for the gateway GW1 to the packet and transmit the packet.
【0057】しかして、移動計算機2はゲートウェイG
W1との間で必要な鍵情報の交換を行って経路間の折衝
コードを計算し、図5(c)(図7(a))のように、
ゲートウェイGW(N)に対するパケットの外側に該折
衝コードN(M,1)をさらに付加してパケット(図2
(c)の形式)を送信する。Then, the mobile computer 2 is connected to the gateway G
The necessary key information is exchanged with W1 to calculate the negotiation code between the routes, and as shown in FIG. 5 (c) (FIG. 7 (a))
The negotiation code N (M, 1) is further added to the outside of the packet for the gateway GW (N) (see FIG. 2).
(Format of (c)).
【0058】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケット(図2(b)
の形式)を転送する。The gateway GW1 receiving this packet
Inspects and removes the negotiation code N (M, 1),
Packet addressed to internal gateway GW (N) (FIG. 2 (b)
Format).
【0059】なお、ここでは、ゲートウェイGWは、セ
キュリティ情報を交換しない移動計算機については、そ
の移動計算機が一定の条件を満たす場合には、鍵情報の
交換に応じてパケットの外部への転送をサポートする
が、その後の経路間の折衝コードによる暗号化/認証は
サポートしないものとする。Here, the gateway GW supports the transfer of the packet to the outside according to the exchange of the key information for the mobile computer that does not exchange security information, when the mobile computer satisfies certain conditions. However, subsequent encryption / authentication using a negotiation code between paths is not supported.
【0060】このパケットを受けたゲートウェイGW
(N)は、終端同士の折衝コードE(M,N)を検査し
た上で取り除き、内部のパケット(図2(a)の形式)
を復号して宛先計算機(CH)3に転送する。The gateway GW receiving this packet
(N) indicates that the negotiation code E (M, N) between the terminations is inspected and removed, and the internal packet (the format of FIG. 2A)
Is decrypted and transferred to the destination computer (CH) 3.
【0061】次に、図5において、移動計算機2〜ゲー
トウェイGW1間および/またはゲートウェイGW1〜
ゲートウェイGW(N)間および/またはゲートウェイ
GW(N)〜通信相手3間に別のゲートウェイGWが存
在する場合について説明する。ここでは、図6(a)に
示すように、移動計算機2〜ゲートウェイGW1間にゲ
ートウェイGW(P)が、ゲートウェイGW1の後段に
ゲートウェイGW(Q)が、ゲートウェイGW(N)の
後段にゲートウェイGW(S)がそれぞれ存在する場合
について説明する。Next, in FIG. 5, between the mobile computer 2 and the gateway GW1 and / or the gateway GW1
A case where another gateway GW exists between the gateway GW (N) and / or between the gateway GW (N) and the communication partner 3 will be described. Here, as shown in FIG. 6A, the gateway GW (P) is provided between the mobile computer 2 and the gateway GW1, the gateway GW (Q) is provided downstream of the gateway GW1, and the gateway GW is provided downstream of the gateway GW (N). The case where (S) exists will be described.
【0062】(i)まず、移動計算機2は、図5の場合
と同様、ホームネットワーク1aの入口にあるゲートウ
ェイGW(N)に対して、内部パケットを暗号化し折衝
コードE(M,N)を付加したパケット(図2(b)の
形式)を送信する。(I) First, as in the case of FIG. 5, the mobile computer 2 encrypts the internal packet and transmits the negotiation code E (M, N) to the gateway GW (N) at the entrance of the home network 1a. The added packet (the format of FIG. 2B) is transmitted.
【0063】このパケットがゲートウェイGW(P)に
達すると、ゲートウェイGW(P)では、パケットにゲ
ートウェイGW(P)を通過するために必要な折衝コー
ドが付加されていないので、エラーメッセージを返信す
る(図6(b))。When this packet reaches the gateway GW (P), the gateway GW (P) returns an error message because the negotiation code necessary for passing through the gateway GW (P) is not added to the packet. (FIG. 6 (b)).
【0064】ここでエラーメッセージには、ゲートウェ
イGW(P)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(P)に対する折衝コード
を付加して送信することが必要になる。Here, the error message includes the address information of the gateway GW (P), and the mobile computer 2 calculates the address based on the address and the address range information that the mobile computer 2 can hold while maintaining the security. It can be seen that this error message comes from a gateway that has not exchanged security information in advance. Therefore,
It is necessary to add a negotiation code for the gateway GW (P) to the packet and transmit the packet.
【0065】(ii)移動計算機2はゲートウェイGW
(P)との間で必要な鍵情報の交換を行って経路間の折
衝コードを計算し、ゲートウェイGW(N)に対するパ
ケットの外側に該折衝コードN(M,P)をさらに付加
してパケット(図2(c)の形式)を送信する。(Ii) The mobile computer 2 is a gateway GW
(P) is exchanged with necessary key information to calculate a negotiation code between the routes, and the negotiation code N (M, P) is further added to the outside of the packet for the gateway GW (N), and the packet is added. (FIG. 2C).
【0066】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケット(図2
(b)の形式)を転送する。The gateway GW receiving this packet
(P) inspects and removes the negotiation code N (M, P), and removes the packet to the internal gateway GW (N) (FIG. 2).
(Format of (b)).
【0067】このパケットがゲートウェイGW1に達す
ると、ゲートウェイGW1では、パケットにゲートウェ
イGW1を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。When this packet reaches the gateway GW1, the gateway GW1 returns an error message because a negotiation code required for passing through the gateway GW1 is not added to the packet (FIG. 6).
(B)).
【0068】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。Here, the error message includes the address information of the gateway GW 1 and the mobile computer 2
From this address and the address range information held by itself that can hold and communicate with security, it can be seen that this error message came from a gateway that has not exchanged security information in advance. Therefore, it is necessary to add a negotiation code for the gateway GW1 to the packet and transmit the packet.
【0069】(iii )移動計算機2はゲートウェイGW
1との間で必要な鍵情報の交換を行って経路間の折衝コ
ードN(M,1)を計算し、ゲートウェイGW(N)に
対するパケットの外側に、折衝コードN(M,P)と折
衝コードN(M,1)を付加してパケットを送信する。(Iii) The mobile computer 2 is a gateway GW
1 to exchange necessary key information with each other to calculate a negotiation code N (M, 1) between the routes, and to negotiate with the negotiation code N (M, P) outside the packet for the gateway GW (N). The packet is transmitted with the code N (M, 1) added.
【0070】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)の付加されたゲートウェ
イGW(N)宛パケットを転送する。The gateway GW receiving this packet
(P) inspects and removes the negotiation code N (M, P), and transfers the packet addressed to the gateway GW (N) to which the negotiation code N (M, 1) is added.
【0071】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケットを転送する。
このパケットがゲートウェイGW(Q)に達すると、ゲ
ートウェイGW(Q)では、パケットにゲートウェイG
W(Q)を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。The gateway GW1 receiving this packet
Inspects and removes the negotiation code N (M, 1),
A packet addressed to the internal gateway GW (N) is transferred.
When the packet reaches the gateway GW (Q), the gateway GW (Q) adds the packet to the gateway G (Q).
Since a negotiation code required for passing through W (Q) is not added, an error message is returned (FIG. 6).
(B)).
【0072】ここでエラーメッセージには、ゲートウェ
イGW(Q)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(Q)に対する折衝コード
を付加して送信することが必要になる。Here, the error message includes the address information of the gateway GW (Q), and the mobile computer 2 calculates the address based on the address and the address range information that the mobile computer 2 can hold while maintaining the security. It can be seen that this error message comes from a gateway that has not exchanged security information in advance. Therefore,
It is necessary to add a negotiation code for the gateway GW (Q) to the packet and transmit the packet.
【0073】(iv)移動計算機2はゲートウェイGW
(Q)との間で必要な鍵情報の交換を行って経路間の折
衝コードN(M,Q)を計算し、図7(b)に示すよう
に、ゲートウェイGW(N)に対するパケットの外側に
折衝コードN(M,P)と折衝コードN(M,1)と折
衝コードN(M,Q)を付加してパケットを送信する
(図6(c))。(Iv) The mobile computer 2 is a gateway GW
(Q), necessary key information is exchanged to calculate the negotiation code N (M, Q) between the routes, and as shown in FIG. 7 (b), the outside of the packet to the gateway GW (N) is calculated. A negotiation code N (M, P), a negotiation code N (M, 1) and a negotiation code N (M, Q) are added to the packet and the packet is transmitted (FIG. 6 (c)).
【0074】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)の付加されたゲートウェイGW(N)宛パケットを
転送する(図6(c))。Gateway GW receiving this packet
(P) inspects and removes the negotiation code N (M, P), and negotiates with the negotiation code N (M, 1) and N (M, P).
The packet addressed to the gateway GW (N) to which Q) is added is transferred (FIG. 6C).
【0075】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)の付加されたゲートウェイGW
(N)宛パケットを転送する。The gateway GW1 receiving this packet
Inspects and removes the negotiation code N (M, 1),
Gateway GW with negotiation code N (M, Q)
(N) Transfer the packet addressed to it.
【0076】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する(図6(c))。Gateway GW receiving this packet
(Q) inspects and removes the negotiation code N (M, Q) and transfers the packet addressed to the internal gateway GW (N) (FIG. 6 (c)).
【0077】このように、ゲートウェイGW(P)、ゲ
ートウェイGW1、ゲートウェイGW(Q)について
は、図5の場合と同様の経路認証に基づく折衝メッセー
ジを、移動計算機2にエラーメッセージを返した、 GW(P)→GW1→GW(Q) の順に、外側から順に付与していき(これらGWのエラ
ーメッセージに付与されるGWのアドレス情報が、移動
計算機2の持つセキュリティ保持アドレス情報に合致し
ていないため)、図6(c)に示すようなデータパケッ
トを送信することにより、ゲートウェイGW(N)宛パ
ケットをゲートウェイGW(Q)を通過させることがで
きる。As described above, for the gateway GW (P), the gateway GW1, and the gateway GW (Q), a negotiation message based on the same route authentication as in the case of FIG. (P) → GW1 → GW (Q) in the order from the outside (the address information of the GW added to the error messages of these GWs does not match the security holding address information of the mobile computer 2) Therefore, by transmitting a data packet as shown in FIG. 6C, a packet addressed to the gateway GW (N) can be passed through the gateway GW (Q).
【0078】さて、ゲートウェイGW(Q)を通過した
該パケットがゲートウェイGW(N)に到達すると、ゲ
ートウェイGW(N)では、終端同士の折衝コードE
(M,N)を検査した上で取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。When the packet that has passed through the gateway GW (Q) reaches the gateway GW (N), the gateway GW (N) negotiates the negotiation code E between the terminals.
(M, N) is inspected and removed, the internal packet (the format of FIG. 2A) is decoded, and the destination computer (CH) 3 is decoded.
Transfer to
【0079】パケットがゲートウェイGW(S)に到達
すると、ゲートウェイGW(S)では、移動計算機2と
ゲートウェイGW(S)との終端同士の折衝コードが付
加されていないので、ここで再度エラーとなる。そし
て、ゲートウェイGW(S)は、図6(c)のように、
エラーメッセージを返送する。When the packet arrives at the gateway GW (S), the gateway GW (S) does not add a negotiation code between the terminals of the mobile computer 2 and the gateway GW (S). . Then, the gateway GW (S), as shown in FIG.
Returns an error message.
【0080】移動計算機2は、自身が保持するセキュリ
ティを保持して通信可能なアドレス範囲情報から、ゲー
トウェイGW(S)がホームネットとセキュリティを保
持するアドレス領域にいることが判別できる。The mobile computer 2 can determine that the gateway GW (S) is in the home network and the address area where the security is maintained, based on the address range information that the mobile computer 2 can hold and communicate with.
【0081】そのようなゲートウェイGWからのエラー
メッセージを受け取った場合は、移動計算機2は、エラ
ーメッセージを返したゲートウェイGW(この場合、G
W(S))との間で終端同士の認証を行うようにし、そ
れまで終端認証を行っていたゲートウェイGW(この場
合、GW(N))とは経路間認証を行うようにパケット
形式を変更する。この変更したパケット形式を図7
(c)に示す。When receiving an error message from such a gateway GW, the mobile computer 2 returns the gateway GW (in this case, G
W (S)), and change the packet format to perform inter-path authentication with the gateway GW (GW (N) in this case) that has performed terminal authentication up to that point. I do. This modified packet format is shown in FIG.
It is shown in (c).
【0082】(v)移動計算機2は、図7(c)に示す
ように、内部パケットを暗号化し認証コードE(M,
S)を付加したゲートウェイGW(S)に対するパケッ
トの外側に、折衝コードN(M,P)と折衝コードN
(M,1)と折衝コードN(M,Q)と折衝コードN
(M,N)を付加してパケットを送信する(図6
(d))。(V) As shown in FIG. 7 (c), the mobile computer 2 encrypts the internal packet and encrypts the authentication code E (M,
S), the negotiation code N (M, P) and the negotiation code N are provided outside the packet for the gateway GW (S).
(M, 1) and negotiation code N (M, Q) and negotiation code N
(M, N) is added and the packet is transmitted (FIG. 6
(D)).
【0083】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)と折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。Gateway GW receiving this packet
(P) inspects and removes the negotiation code N (M, P), and negotiates with the negotiation code N (M, 1) and N (M, P).
Q) and a packet addressed to the gateway GW (N) to which the negotiation code N (M, N) is added.
【0084】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)と折衝コードN(M,N)の付
加されたゲートウェイGW(N)宛パケットを転送す
る。Gateway GW1 receiving this packet
Inspects and removes the negotiation code N (M, 1),
A packet addressed to the gateway GW (N) to which the negotiation code N (M, Q) and the negotiation code N (M, N) are added is transferred.
【0085】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。Gateway GW receiving this packet
(Q) inspects the negotiation code N (M, Q) and removes it, and transfers the packet addressed to the gateway GW (N) to which the negotiation code N (M, N) is added.
【0086】このパケットを受けたゲートウェイGW
(N)は、折衝コードN(M,N)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する。そして、ゲートウェイGW(S)では、終端同士
の折衝コードE(M,S)を検査した上で取り除き、内
部のパケット(図2(a)の形式)を復号して宛先計算
機(CH)3に転送する。Gateway GW receiving this packet
(N) inspects and removes the negotiation code N (M, N) and transfers the packet addressed to the internal gateway GW (N). Then, the gateway GW (S) inspects and removes the negotiation code E (M, S) between the terminals, decodes the internal packet (the format of FIG. 2A), and sends it to the destination computer (CH) 3. Forward.
【0087】ところで、各ゲートウェイGWとの折衝コ
ードには、移動計算機2とゲートウェイGW間で共有さ
れた鍵情報よび内部パケットの所定部分(全部または一
部)の内容から計算された一方向ハッシュ関数などの認
証コード(移動計算機識別子)を使用することができ、
また一度経路途中のゲートウェイGWから通過拒否メッ
セージ(エラーメッセージ)が返信された場合には、そ
のゲートウェイGWに移動計算機識別子に対する鍵情報
を求めるメッセージを送信し、返送された鍵情報を使
い、再度、移動計算機の認証コードを計算して折衝メッ
セージとして第2のメッセージに付加して送信すること
ができる。By the way, the negotiation code with each gateway GW includes key information shared between the mobile computer 2 and the gateway GW, and a one-way hash function calculated from the contents of a predetermined part (all or part) of the internal packet. Authentication code (mobile computer identifier) such as
Further, once a pass rejection message (error message) is returned from the gateway GW in the middle of the route, a message for requesting key information for the mobile computer identifier is transmitted to the gateway GW, and the returned key information is used again. The authentication code of the mobile computer can be calculated and added to the second message as a negotiation message and transmitted.
【0088】例えば、第1のメッセージとして図8の登
録メッセージ(registration reque
st)を送信したとする。このメッセージを途中のゲー
トウェイGWが拒絶し、図9の通過拒否メッセージ(f
ailure message)を返したとする。この
場合は、通過拒否メッセージに入っているゲートウェイ
GWのアドレスを用いて、鍵の問い合わせメッセージ
(Key request)を図10のように生成す
る。For example, as the first message, the registration message (registration request) shown in FIG.
It is assumed that (st) has been transmitted. This message is rejected by the gateway GW on the way, and the passage rejection message (f
return message). In this case, a key inquiry message (Key request) is generated as shown in FIG. 10 using the address of the gateway GW included in the passage rejection message.
【0089】この要求に対し、ゲートウェイから返送さ
れる図11の鍵応答メッセージ(Key reply)
によりゲートウェイGWと移動計算機で共有する鍵が得
られたら、第2のメッセージとして図12の登録メッセ
ージを送信する。In response to this request, the key response message (Key reply) of FIG. 11 returned from the gateway.
When the key shared by the gateway GW and the mobile computer is obtained, the registration message shown in FIG. 12 is transmitted as the second message.
【0090】このメッセージは上記の通過拒否メッセー
ジを返送したゲートウェイ宛てでかつこのメッセージに
はそのゲートウェイに対する認証コードAHが付与され
ているので、そのゲートウェイは認証処理を行い、これ
に成功すればメッセージは通過できる。なお、KEYは
両者で共有する鍵情報を含むヘッダである。Since this message is addressed to the gateway that has returned the above-mentioned passage rejection message, and the message is provided with the authentication code AH for the gateway, the gateway performs an authentication process. Can pass. Note that KEY is a header including key information shared by both parties.
【0091】以上のように、本実施形態では、移動計算
機が本来属するホームネットワークとセキュリティ的な
関連を持たない移動先ネットワークに移動し、折衝コー
ドによる経路確定を行う場合、エラーメッセージに含ま
れるゲートウェイのアドレス情報を基に、適切な折衝コ
ード付与方式でのパケットの整形が可能で、移動計算機
がどこに移動しても、また経路上にどのようにゲートウ
ェイが配置されていても、正しい移動計算機発のパケッ
ト処理が可能となる。As described above, according to the present embodiment, when the mobile computer moves to the destination network which has no security relation with the home network to which the mobile computer originally belongs and determines the route using the negotiation code, the gateway included in the error message is used. Based on the address information, the packet can be shaped by an appropriate negotiation code assignment method, no matter where the mobile computer moves or how the gateway is arranged on the route, the correct mobile computer generation Can be processed.
【0092】なお、本発明は、RFC2002に示され
る移動IPだけでなく、他の様々な移動通信プロトコル
に対しても適用可能である。また、本実施形態で示した
暗号化処理や認証処理以外の方法も使用可能である。The present invention is applicable not only to the mobile IP described in RFC2002 but also to various other mobile communication protocols. Further, a method other than the encryption processing and the authentication processing described in the present embodiment can be used.
【0093】なお、以上の各機能は、ソフトウェアとし
ても実現可能である。また、上記した各手順あるいは手
段をコンピュータに実行させるためのプログラムを記録
した機械読取り可能な媒体として実施することもでき
る。本発明は、上述した実施の形態に限定されるもので
はなく、その技術的範囲において種々変形して実施する
ことができる。Note that each of the above functions can also be realized as software. Further, the present invention can be embodied as a machine-readable medium storing a program for causing a computer to execute the above-described procedures or means. The present invention is not limited to the above-described embodiment, and can be implemented with various modifications within the technical scope.
【0094】[0094]
【発明の効果】本発明によれば、移動計算機が移動先か
ら送出したデータパケットが経路途中のパケット中継装
置により通過拒否された旨のメッセージが返信された場
合に、その返信メッセージから、通過拒否を行ったパケ
ット中継装置のネットワーク上の位置を求め、それに従
って適切な折衝メッセージコードを付加することによ
り、移動計算機がネットワーク上のどこに移動しても、
安全な通信を行うことが可能となる。According to the present invention, when a message indicating that a data packet transmitted from a destination by a mobile computer has been rejected by a packet relay device on the route is returned, the message is rejected from the reply message. No matter where the mobile computer moves on the network, by calculating the location of the packet relay device on the network, and adding an appropriate negotiation message code accordingly,
Secure communication can be performed.
【図1】本発明の一実施形態に係る通信システムの基本
構成の一例を示す図FIG. 1 is a diagram showing an example of a basic configuration of a communication system according to an embodiment of the present invention.
【図2】パケット形式の例を示す図FIG. 2 is a diagram showing an example of a packet format.
【図3】通信手順を説明するための図FIG. 3 is a diagram for explaining a communication procedure;
【図4】通信手順を説明するための図FIG. 4 is a diagram for explaining a communication procedure.
【図5】通信手順を説明するための図FIG. 5 is a diagram for explaining a communication procedure.
【図6】通信手順を説明するための図FIG. 6 is a diagram for explaining a communication procedure.
【図7】パケット形式の例を示す図FIG. 7 is a diagram showing an example of a packet format.
【図8】登録メッセージの形式の例を示す図FIG. 8 is a diagram showing an example of a format of a registration message.
【図9】通過拒否メッセージの形式の例を示す図FIG. 9 is a diagram showing an example of the format of a passage rejection message.
【図10】鍵の問い合わせメッセージの形式の例を示す
図FIG. 10 is a diagram showing an example of a format of a key inquiry message.
【図11】鍵応答メッセージの形式の例を示す図FIG. 11 is a diagram showing an example of a format of a key response message.
【図12】登録メッセージの形式の例を示す図FIG. 12 is a diagram showing an example of a format of a registration message.
【符号の説明】 1a、1b,1c,1d,1e…ネットワーク 2…移動計算機 3…通信相手ホスト 4a,4b,4c,4d,4e…パケット中継装置 5a,5b,5c…ホームエージェント 6…インターネット[Description of Signs] 1a, 1b, 1c, 1d, 1e Network 2 Mobile computer 3 Communication partner host 4a, 4b, 4c, 4d, 4e Packet relay device 5a, 5b, 5c Home agent 6 Internet
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 9/32 H04L 9/00 673B 12/66 11/20 B // G09C 1/00 660 (72)発明者 津田 悦幸 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内 (72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内────────────────────────────────────────────────── ─── Continued on the front page (51) Int.Cl. 6 Identification symbol FI H04L 9/32 H04L 9/00 673B 12/66 11/20 B // G09C 1/00 660 (72) Inventor Etsuyuki Tsuda Kanagawa 1 Toshiba R & D Center, Komukai Toshiba-cho, Kawasaki-shi, Kanagawa Prefecture (72) Inventor Toshio Okamoto 1 Toshiba R & D Center, Komukai Toshiba-cho, Kawasaki-shi, Kawasaki
Claims (11)
て通信を行うことが可能な移動計算機装置であって、 自装置が移動前に属していたネットワークから、セキュ
リティ保持関係を保って通信できる通信相手のアドレス
の範囲を示すアドレス範囲情報を保持する記憶手段と、 自装置が現在位置する移動先ネットワークから、自装置
の属していたネットワーク内の宛先計算機に、自装置の
属していたネットワークの入口に設置された第1の中継
装置に対する折衝情報を付加したデータを送信する手段
と、 宛先計算機に至る経路途中の第2の中継装置から、前記
送信データに対する通過拒否メッセージが返信された場
合、該第2の中継装置のアドレス情報と、前記記憶手段
に保持される前記アドレス範囲情報とを照合する手段
と、 この照合の結果、前記第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものではない場合は、
通過拒否された前記送信データに付加した前記折衝情報
の前に、該第2の中継装置に対する折衝情報を付加し、
該第2の中継装置のアドレス情報が前記アドレス範囲情
報に含まれるものである場合は、通過拒否された前記送
信データに付加した前記折衝情報の後に、該第2の中継
装置に対する折衝情報を付加して、データを再度送信す
る手段とを備えたことを特徴とする移動計算機装置。1. A mobile computer device capable of performing communication by moving between mutually connected networks, wherein the mobile computer device can communicate with a security maintaining relationship from a network to which the own device belonged before moving. A storage unit for storing address range information indicating a range of addresses of a communication partner; and a destination computer in the network to which the own device belongs from a destination network in which the own device is currently located. Means for transmitting data to which the negotiation information for the first relay device installed at the entrance is added; and when a second rejection device on the route to the destination computer returns a passage rejection message for the transmission data, Means for comparing the address information of the second relay device with the address range information held in the storage means; As a result, when the address information of the second relay device is not included in the address range information,
Before the negotiation information added to the transmission data rejected to pass, negotiation information for the second relay device is added,
When the address information of the second relay device is included in the address range information, negotiation information for the second relay device is added after the negotiation information added to the transmission data that has been rejected. And a means for transmitting data again.
途中の前記第2の中継装置から前記通過拒否メッセージ
が返信された場合、該中継装置に移動計算機識別子を生
成するための鍵情報を要求するメッセージを送信する手
段と、 前記中継装置から前記鍵情報が返送された場合、この鍵
情報をもとにして、前記折衝情報を生成する手段とをさ
らに備えたことを特徴とする請求項1に記載の移動計算
機装置。2. When the passage rejection message is returned from the second relay device on the way to the data transmitted by the own device, key information for generating a mobile computer identifier is transmitted to the relay device. Means for transmitting a request message; and means for, when the key information is returned from the relay device, generating the negotiation information based on the key information, further comprising: 2. The mobile computer device according to 1.
を付加して再度送信しデータが該第2の中継装置により
通過されたと認識された場合、それ以降のデータ通信の
際にも転送データに該折衝情報を付加して送信すること
を特徴とする請求項1または2に記載の移動計算機装
置。3. When the negotiation information for the second relay device is added and transmitted again, and it is recognized that the data has been passed by the second relay device, the transfer data is transmitted even in the subsequent data communication. The mobile computer device according to claim 1, wherein the negotiation information is transmitted after adding the negotiation information.
容および前記鍵情報をもとに予め定められた関数を用い
て求めた移動計算機識別子であることを特徴とする請求
項1ないし3のいずれか1項に記載の移動計算機装置。4. The mobile communication system according to claim 1, wherein said negotiation information is a mobile computer identifier obtained by using a predetermined function based on the contents of a predetermined portion of the transfer data and said key information. A mobile computer device according to any one of the preceding claims.
情報および前記第2の中継装置のアドレス情報を含むも
のであることを特徴とする請求項1ないし4のいずれか
1項に記載の移動計算機装置。5. The mobile computer device according to claim 1, wherein said passage rejection message includes information indicating passage rejection and address information of said second relay device.
情報として、前記第1の中継装置から得たものを用いる
ことを特徴とする請求項1ないし5のいずれか1項に記
載の移動計算機装置。6. The mobile computer device according to claim 1, wherein the address range information stored in the storage unit is obtained from the first relay device. .
地点に設置される中継装置であって、 転送データの通過を許可する送信元計算機のアドレスの
範囲を示す情報を含む通過許可リストを保持する記憶手
段と、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスおよび自装置との間で交換す
る正当な折衝情報を含むものである場合は、この折衝情
報を除去して、ネットワーク上の次段の中継装置または
宛先アドレスにデータを転送する手段と、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスまたは自装置との間で交換す
る正当な折衝情報の少なくとも一方を含まないものであ
る場合は、自装置のアドレス情報および通過拒否を示す
情報を含む通過拒否メッセージを、該データの送信元計
算機に返信する手段とを備えたことを特徴とする中継装
置。7. A relay device installed at an arbitrary point on a mutually connected network, wherein the relay device holds a passage permission list including information indicating an address range of a transmission source computer permitted to pass transfer data. If the received data includes the source address corresponding to the one included in the pass permission list and valid negotiation information exchanged with the own device, the negotiation information is removed. Means for transferring data to the next-stage relay device or destination address on the network, and legitimate exchange of the received data between the source address corresponding to the one included in the passing permission list or the own device. If the message does not include at least one of the negotiation information, a passing rejection message including the address information of the own device and the information indicating the passing rejection is transmitted to the data. Relay apparatus characterized by comprising a means for returning to the source computer for data.
めるメッセージを受信した場合に、該メッセージを受諾
して該鍵情報を返送するために該メッセージの送信元計
算機が満たすべき条件を示す情報を保持する記憶手段
と、 前記通過拒否メッセージを返信した後に同一の計算機か
ら鍵情報を求めるメッセージを受信した場合、この計算
機が前記条件を満たすと判断されたとき、要求された前
記鍵情報を返送する手段とをさらに備えたことを特徴と
する請求項7に記載の中継装置。8. When a message requesting key information for generating the negotiation information is received, a condition to be satisfied by a sender computer of the message to accept the message and return the key information is indicated. Storage means for holding information, when a message for key information is received from the same computer after returning the pass rejection message, when the computer is determined to satisfy the condition, the requested key information is The relay device according to claim 7, further comprising a returning unit.
容および前記鍵情報をもとに予め定められた関数を用い
て求めた移動計算機識別子であることを特徴とする請求
項8に記載の中継装置。9. The mobile communication system according to claim 8, wherein the negotiation information is a mobile computer identifier obtained by using a predetermined function based on the contents of a predetermined portion of the transfer data and the key information. Relay device.
して通信を行うことが可能な移動計算機装置におけるデ
ータ転送方法であって、 自装置が現在位置する移動先ネットワークから、自装置
の属していたネットワーク内の宛先計算機に、自装置の
属していたネットワークの入口に設置された第1の中継
装置に対する折衝情報を付加したデータを送信し、 宛先計算機に至る経路途中の第2の中継装置から、前記
送信データに対する通過拒否メッセージが返信された場
合、該第2の中継装置のアドレス情報と、自装置が移動
前に属していたネットワークから、セキュリティ保持関
係を保って通信できる通信相手のアドレスの範囲を示す
アドレス範囲情報とを照合し、 この照合の結果、前記第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものではない場合は、
通過拒否された前記送信データに付加した前記折衝情報
の前に、該第2の中継装置に対する折衝情報を付加し、
該第2の中継装置のアドレス情報が前記アドレス範囲情
報に含まれるものである場合は、通過拒否された前記送
信データに付加した前記折衝情報の後に、該第2の中継
装置に対する折衝情報を付加して、データを再度送信す
ることを特徴とするデータ転送方法。10. A data transfer method in a mobile computer device capable of performing communication by moving between mutually connected networks, wherein the own device belongs to a destination network where the own device is currently located. To the destination computer in the network, to which the negotiation information for the first relay device installed at the entrance of the network to which the own device belongs is added, and from the second relay device on the route to the destination computer. When a pass rejection message for the transmission data is returned, the address information of the second relay device and the address of a communication partner with which communication can be performed while maintaining security from the network to which the own device belonged before moving. The address information of the second relay device is compared with the address range information indicating the range. If this is not intended to be included,
Before the negotiation information added to the transmission data rejected to pass, negotiation information for the second relay device is added,
When the address information of the second relay device is included in the address range information, negotiation information for the second relay device is added after the negotiation information added to the transmission data that has been rejected. And transmitting the data again.
の地点に設置される中継装置におけるデータ転送方法で
あって、 転送すべきデータを受信した場合、データの送信元アド
レスが、転送データの通過を許可する送信元計算機のア
ドレスの範囲を示す情報を含む通過許可リストに含まれ
るものであるか否か、およびデータの送信元計算機と自
装置との間で交換する正当な折衝情報を含むものである
か否かを検査し、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスおよび自装置との間で交換す
る正当な折衝情報を含むものである場合は、この折衝情
報を除去して、ネットワーク上の次段の中継装置または
宛先アドレスにデータを転送し、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスまたは自装置との間で交換す
る正当な折衝情報の少なくとも一方を含まないものであ
る場合は、自装置のアドレス情報および通過拒否を示す
情報を含む通過拒否メッセージを、該データの送信元計
算機に返信することを特徴とするデータ転送方法。11. A data transfer method in a relay device installed at an arbitrary point on an interconnected network, wherein, when data to be transferred is received, a source address of the data is passed through the transfer data. Is included in the passage permission list including information indicating the range of the address of the transmission source computer that permits the transmission, and includes valid negotiation information exchanged between the transmission source computer and the own device of the data. If the received data includes the source address corresponding to the one included in the pass permission list and valid negotiation information exchanged with the own device, the negotiation information is removed. Then, the data is transferred to the next-stage relay device or destination address on the network, and the received data corresponds to the data included in the passage permission list. If it does not include at least one of the source address or valid negotiation information exchanged with the own device, a transmission rejection message including the address information of the own device and information indicating rejection of transmission is sent to the transmission of the data. A data transfer method characterized by sending a reply to the original computer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24310497A JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24310497A JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1188403A true JPH1188403A (en) | 1999-03-30 |
| JP3472098B2 JP3472098B2 (en) | 2003-12-02 |
Family
ID=17098867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24310497A Expired - Fee Related JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3472098B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008527543A (en) * | 2005-01-07 | 2008-07-24 | シスコ テクノロジー インコーポレイテッド | System and method for localizing data and devices |
| JP2010157265A (en) * | 2010-03-15 | 2010-07-15 | Nec Corp | System, device, method and program for controlling access |
| JP2021048623A (en) * | 2014-09-03 | 2021-03-25 | フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー | Data transmission between at least one safe producer and at least one safe consumer |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5962245A (en) * | 1982-10-01 | 1984-04-09 | Canon Inc | Local area network |
| JPH04138740A (en) * | 1990-09-28 | 1992-05-13 | Fuji Xerox Co Ltd | Communication control system |
| JPH06209313A (en) * | 1993-01-12 | 1994-07-26 | Fujikura Ltd | Method and device for security protection |
| JPH09261265A (en) * | 1996-01-17 | 1997-10-03 | Toshiba Corp | Communication control method, repeater and data packet processor |
| JPH09293052A (en) * | 1996-04-26 | 1997-11-11 | Nec Corp | Method and system for authorization management between plural networks |
| JPH10136014A (en) * | 1996-10-25 | 1998-05-22 | Toshiba Corp | Packet inspection device, movable computer device and packet transfer method |
| JPH10243012A (en) * | 1997-02-28 | 1998-09-11 | Yazaki Corp | Data communication method and data communication system using the method |
-
1997
- 1997-09-08 JP JP24310497A patent/JP3472098B2/en not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5962245A (en) * | 1982-10-01 | 1984-04-09 | Canon Inc | Local area network |
| JPH04138740A (en) * | 1990-09-28 | 1992-05-13 | Fuji Xerox Co Ltd | Communication control system |
| JPH06209313A (en) * | 1993-01-12 | 1994-07-26 | Fujikura Ltd | Method and device for security protection |
| JPH09261265A (en) * | 1996-01-17 | 1997-10-03 | Toshiba Corp | Communication control method, repeater and data packet processor |
| JPH09293052A (en) * | 1996-04-26 | 1997-11-11 | Nec Corp | Method and system for authorization management between plural networks |
| JPH10136014A (en) * | 1996-10-25 | 1998-05-22 | Toshiba Corp | Packet inspection device, movable computer device and packet transfer method |
| JPH10243012A (en) * | 1997-02-28 | 1998-09-11 | Yazaki Corp | Data communication method and data communication system using the method |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008527543A (en) * | 2005-01-07 | 2008-07-24 | シスコ テクノロジー インコーポレイテッド | System and method for localizing data and devices |
| JP4866862B2 (en) * | 2005-01-07 | 2012-02-01 | シスコ テクノロジー,インコーポレイテッド | System and method for localizing data and devices |
| JP2010157265A (en) * | 2010-03-15 | 2010-07-15 | Nec Corp | System, device, method and program for controlling access |
| JP2021048623A (en) * | 2014-09-03 | 2021-03-25 | フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー | Data transmission between at least one safe producer and at least one safe consumer |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3472098B2 (en) | 2003-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3557056B2 (en) | Packet inspection device, mobile computer device, and packet transfer method | |
| JP3651721B2 (en) | Mobile computer device, packet processing device, and communication control method | |
| CN1316796C (en) | Providing position independent information bag routing select and secure network access for short-range wireless network environment | |
| JP3641112B2 (en) | Packet relay device, mobile computer device, mobile computer management device, packet relay method, packet transmission method, and mobile computer location registration method | |
| JP4163215B2 (en) | Communication between private network and roaming mobile terminal | |
| JPH10178421A (en) | Packet processor, mobile computer, packet transferring method and packet processing method | |
| US20020013848A1 (en) | Secure network communications | |
| US20100192202A1 (en) | System and Method for Implementing a Secured and Centrally Managed Virtual IP Network Over an IP Network Infrastructure | |
| JPH10126405A (en) | Mobile computer device and packet cipher recognizing method | |
| US7610332B2 (en) | Overlay networks | |
| JP2003533094A (en) | Method and system for joint transmission of specific access, independent access and specific application information between a visited network and a home network via a public IP network | |
| Shi et al. | IEEE 802.11 roaming and authentication in wireless LAN/cellular mobile networks | |
| Farrell et al. | AAA authorization requirements | |
| JP2018514956A (en) | Apparatus and method for using certificate data to route data | |
| JP2004241976A (en) | Mobile communication network system and method for authenticating mobile terminal | |
| JP2001292174A (en) | Method and communication device for constituting secured e-mail communication between mail domain of internet | |
| US20040156374A1 (en) | Router and routing method for providing linkage with mobile nodes | |
| US7895648B1 (en) | Reliably continuing a secure connection when the address of a machine at one end of the connection changes | |
| JP3472098B2 (en) | Mobile computer device, relay device, and data transfer method | |
| Melia | Mobility services transport: Problem statement | |
| TW200421778A (en) | Access-controlling method, repeater, and server | |
| Inoue et al. | Secure mobile IP using IP security primitives | |
| Ventura | Diameter: Next generations AAA protocol | |
| FI123250B (en) | Procedure for protecting the confidentiality of the content of a message and a reply | |
| JP2006352710A (en) | Packet repeating apparatus and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070912 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080912 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080912 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090912 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090912 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100912 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110912 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110912 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120912 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |