WO2005069567A1 - 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ - Google Patents

Abstract

　本発明の移動無線通信システム１００は、公衆網１０１を介して私設網１０２に設置された網中継装置１０４とＩＰsecトンネルを確立し移動無線端末装置１１０との間でＩＰsecトンネルを確立して移動無線端末装置１１０の公衆無線ＬＡＮシステム１０３から私設網１０２への接続を中継する仮想私設網中継装置１０５と、移動無線端末装置１１０の公衆無線ＬＡＮシステム１０３への接続を認証する接続認証サーバ１０８と、移動無線端末装置１１０と接続認証サーバ１０８との間で行われる公衆無線ＬＡＮ１０７の接続認証手順を中継する無線ＬＡＮアクセスポイント１０９と、を具備する。

Description

明 細 書

移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び 接続認証サーバ

技術分野

[0001] 本発明は、公衆無線 LANシステムなどの公衆網から私設網へアクセスするようなモ パイル VPN接続環境にお 、て、

、通信路を確立するための移動無 線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバに 関する。

背景技術

[0002] 公衆網力 私設網への接続にぉ 、て、セキュアな通信路を確立するために IPsec 技術が IETFにより標準化されている。 IPv6では、この IPsec技術をサポートすること が必須とされている。移動無線端末装置が公衆網と私設網を自由に移動可能なモ パイル環境に IPsecを適用し、移動無線端末装置が公衆網から私設網へ接続するこ とを想定する。この場合、移動無線端末装置は移動先の公衆網で使用可能な IPアド レスが移動の度に DHCP (Dynamic Host Configuration Protocol)などにより割り当て られる。即ち、移動無線端末装置の移動先により IPアドレスが変化することになる。

[0003] このため、私設網に設置された IPsecトンネルの確立先であるセキュリティゲートゥェ ィでは、各移動先での IPアドレスが既知である必要があるため、移動無線端末装置 の IPアドレスを用いた IPsec鍵交換を実施することが困難となるから、メインモードによ る IPsecトンネルの確立が事実上不可能となる。従って、アグレッシブモードによる IP secトンネルの確立が必要となるため、 IPsecユーザ ID (ISAKAMPIDペイロード）が ネットワークを暗号ィ匕されない状態で流れることになるから、セキュリティの低下を招く

[0004] また、 IPsecでは、 IPsecトンネルを確立する双方において相互認証を行うための事 前共有秘密鍵方式をサポートすることが必須となっている。しかし、一つの事前共有 秘密鍵を使用し続けることによるセキュリティの低下が懸念される。そこで、事前共有 秘密鍵を定期に変更しセキュリティを保つことが考えられる力 ユーザ及び管理者の 双方の負担が大きくなる。

[0005] これまで、 IPsecの認証に用いる事前共有秘密鍵を動的に配布するためのプロトコ ノレとして、 IETF (Internet Engineering Task Force)にお ヽて PIC (Pre— IKE

Credential Provisioning Protocol)が提案されている（非特許文献 1参照）。

[0006] PICは、 IPsecでも利用されて 、る ISAKMP (Internet Security Association and

Key Management Protocol)を用いて移動無線端末装置と認証サーバとの間に安全 な通信路を確立し、 PICにおける認証に必要とされる認証情報を交換して認証を行う 。この認証が成功すると、認証サーバはクレデンシャルと呼ばれるその後の IPsecの 認証で利用する認証情報 (例えば、事前共有秘密鍵及び公開鍵証明書)を移動無 線端末装置に発行する。

非特許文献 1： "PIC, A Pre- IKE Credential Provisioning Protocol",

draft— ietf—ipsra— pic— 06.txt、

http://www.ietf.org/internet-drafts/draft-ietf-ipsra-pic-06.txt

発明の開示

発明が解決しょうとする課題

[0007] 移動無線端末装置が公衆無線 LANシステムなどの公衆網おいて、社内ネットヮー クなどの私設網に接続する場合に、移動無線端末装置は IPsecを用いて私設網とセ キュアな通信路、即ち IPsecトンネルを確立することが考えられる。

[0008] しかし、この場合に、移動無線端末装置が公衆網と私設網を自由に移動可能なモ パイル環境に IPsecを適用した場合には、移動無線端末装置の IPアドレスが移動の 度に変化するため、 IPsecメインモードによる IPsec鍵交換が困難である。このため、ァ グレツシブモードの IPsec鍵交換によるトンネルの確立が余儀なくされ、 IPsecユーザ I Dがネットワークを暗号ィ匕されない状態で流れることとなりセキュリティの低下を招くこ とになるという問題がある。

[0009] また、 IPsecメインモードの鍵交換によるトンネルを確立するためには、移動無線端 末装置の移動先での IPアドレスが既知である必要がある。しかし、公衆無線 LANシ ステムなどの公衆網においては DHCPにより IPアドレスが割り当てられることが多い ため、移動無線端末装置の IPアドレスを予め知ることは難しい。仮に移動無線端末 装置の公衆無線 LANシステムにおける IPアドレスが既知である場合でも、公衆無線 LANシステムにおける各 IPアドレスに対してセキュリティポリシーを記述しておく必要 があるため、セキュリティゲートウェイの性能が劣化し、また、管理者の管理の負担と なるという問題がある。

[0010] また、 IPsecトンネルを確立する際の相互認証方式として、事前共有秘密鍵方式を 適用した場合に、一つの事前共有鍵を使用し続けることは、時間と共にセキュリティ が低下していくという問題がある。さらに、定期的に事前共有鍵を変更することが考え られるが、この場合には利用者と管理者の双方の負担となるという問題がある。

[0011] 前記問題を解決するために、 IPsecの認証に用いる事前共有秘密鍵を動的に配布 するプロトコルとして PICが提案されている。し力し、 PICを利用するためには、既存 の装置に PICプロトコル機能を新たに追加する必要があるという問題がある。さらに、 IPsecトンネル確立手順に PICを適用した場合に、 PICによる移動無線端末装置と接 続認証サーバとの間で ISAKMP通信路の確立と、移動無線端末装置とセキュリティ ゲートウェイとの間での ISAKMP通信路の確立という移動無線端末装置にとって 2 度の ISAKMPによる通信路を確立することになるため、手順が冗長であるから、 IP secトンネルの確立に要する時間が長くなるという問題がある。

[0012] 本発明の目的は、セキュリティの低下を防ぐことができ、ユーザ及び管理者の特別 な作業を必要とせず、かつ、モパイル VPN接続環境における IPsecトンネルの確立 に要する時間を短縮することができる移動無線通信システム、移動無線端末装置、 仮想私設網中継装置及び接続認証サーバを提供することである。

課題を解決するための手段

[0013] 本発明に係る移動無線通信システムは、公衆網と私設網と公衆無線 LANシステム とを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IPsecトンネ ルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動無線端末 装置の前記公衆無線 LANシステム力 前記私設網への接続を中継する仮想私設 網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前 記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端 末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を 中継する無線 LANアクセスポイントと、を具備する構成を採る。

発明の効果

[0014] 本発明によれば、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の 特別な作業を必要とせず、かつ、モパイル VPN接続環境における IPsecトンネルの 確立に要する時間を短縮することができる。

図面の簡単な説明

[0015] [図 1]本発明の一実施の形態に係る移動無線通信システムの構成を示す図

[図 2]本発明の一実施の形態に係る移動無線端末装置の構成を示すブロック図

[図 3]本発明の一実施の形態に係る仮想私設網中継装置の構成を示すブロック図 [図 4]本発明の一実施の形態に係る接続認証サーバの構成を示すブロック図

[図 5]本発明の一実施の形態に係る無線アクセスポイントの構成を示すブロック図 [図 6]本発明の一実施の形態に係るホームエージェントの構成を示すブロック図

[図 7]本発明の一実施の形態に係る移動無線通信システムを説明するためのシーケ ンス図

[図 8]本発明の一実施の形態に係る移動無線通信システムに用いられる EAPOLメッ セージフォーマットを説明するための図

[図 9]本発明の一実施の形態に係る移動無線通信システムに用いられる addrメッセ一 ジフォーマットを説明するための図

発明を実施するための最良の形態

[0016] 以下、本発明の実施の形態について図面を参照して詳細に説明する。

(一実施の形態）

図 1に示すように、本発明の一実施の形態に係る移動無線通信システム 100は、公 衆網 101、私設網 102、公衆無線 LANシステム 103、網中継装置 104、仮想私設網 中継装置 105及びホームエージェント 106を具備している。公衆無線 LANシステム 1 03は、公衆無線 LAN107、接続認証サーバ 108、無線 LANアクセスポイント 109及 び複数の移動無線端末装置 110 (1つのみが図示されて ヽる）を具備して!/ヽる。

[0017] 仮想私設網中継装置 105は、私設網 102に設置された網中継装置 104と公衆網 1 01を介して IPsecトンネルを静的に確立しており、仮想私設網中継装置 105と私設網 102との間のセキユアな通信を実現している。また、仮想私設網中継装置 105は、公 衆無線 LANシステム 103に存在する移動無線端末装置 110との間で IPsecトンネル を確立し、移動無線端末装置 110の公衆無線 LANシステム 103から私設網 102へ の接続を中継する。なお、仮想私設網中継装置 105と移動無線端末装置 110との IP secトンネルは、移動無線端末装置 110の公衆無線 LANシステム 103への接続の度 に動的に確立し、また、移動無線端末装置 110からの私設網 102への接続要求の 度に動的に確立する。

[0018] 接続認証サーバ 108は、移動無線端末装置 110の公衆無線 LAN107への接続 認証を行う。この時に、無線 LANアクセスポイント 109は、移動無線端末装置 110と 接続認証サーバ 108との間で行われる接続認証手順を中継する役割を果たす。

[0019] 図 2は、本発明の一実施の形態に係る移動無線端末装置 110の構成を示すブロッ ク図である。図 3は、本発明の一実施の形態に係る仮想私設網中継装置 105の構成 を示すブロック図である。図 4は、本発明の一実施の形態に係る接続認証サーバ 10 8の構成を示すブロック図である。図 5は、本発明の一実施の形態に係る無線 LAN アクセスポイント 109の構成を示すブロック図である。図 6は、本発明の一実施の形態 に係るホームエージェント 106の構成を示すブロック図である。

[0020] 図 2に示すように、移動無線端末装置 110は、認証処理部 201、アドレス通知部 20 2、アドレス取得部 203、 IPsec共有鍵取得部 204、 IPsec鍵交換部 205、 MIP共有鍵 取得部 206及び MIP登録部 207を具備している。なお、移動無線端末装置 110は、 移動無線通信を行う装置（図示せず)を具備して!/ヽる。

[0021] 図 3に示すように、仮想私設網中継装置 105は、アドレス取得部 301、 IPsec共有鍵 取得部 302及び IPsec鍵交換部 303を具備している。図 4に示すように、接続認証サ ーバ 108は、認証処理部 401、アドレス通知部 402、アドレス取得部 403、 IPsec共有 鍵配布部 404及び MIP共有鍵配布部 405を具備している。図 5に示すように、無線 LANアクセスポイント 109は、認証中継部 501を具備している。図 6に示すように、ホ ームエージェント 106は、 MIP共有鍵取得部 601及び MIP処理部 602を具備してい る。

[0022] 次に、公衆無線 LANシステム 103に存在する移動無線端末装置 110が私設網 10 2に接続する場合の手順を例にとって説明する。

[0023] 移動無線端末装置 110が公衆無線 LANシステム 103の通信範囲内に存在する時 に、移動無線端末装置 110の認証処理部 201は、公衆無線 LANシステム 103に接 続するために、無線 LANアクセスポイント 109の認証中継部 501を介して接続認証 サーバ 108の認証処理部 401へ接続要求を送信する。公衆無線 LANシステム 103 へ接続するためのプロトコルとして、 IEEE (the Institute of Electrical and

Electronics Engineers)で規定されて 、る 802. lxなどが挙げられる。

[0024] 以下、説明の簡単のため、 802. lxを用いた場合の手順を説明する。 802.1xの枠 組みでは、移動無線端末装置 110と無線 LANアクセスポイント 109との間では、 EA P (Extensible Authentication Protocol)プロトコルが適用される。また、無線 LANァ クセスポイント 109と接続認証サーバ 108との間では、 RADIUS (Remote

Authentication Dial In User Service)プロトコルなどが適用される。無線 LANアクセス ポイント 109は、前記両者のプロトコルを中継するブリッジ機能を有する。

[0025] 接続認証サーバ 108の認証処理部 401は、最初に、移動無線端末装置 110の認 証処理部 201から送信されてくる接続要求の認証を行う。この認証は、 EAP— MD5 、 EAP— TLS、 EAP— LEAP又は PEAPといった種々の認証方式より行われる。ここ では説明の簡単のため、 EAP— TLSを適用した場合の手順を説明する。 EAP-TL Sでは、移動無線端末装置 110と接続認証サーバ 108との間で電子証明書を交換 することにより、相互の認証を行う。

[0026] また、同時に、移動無線端末装置 110と接続認証サーバ 108は、乱数を交換して 擬似乱数関数などによる演算処理を行うことにより、相互に共通のマスターシークレツ トを保持する。移動無線端末装置 110と接続認証サーバ 108は、前記マスターシー クレットから PMK (PairwiseMaster Key)を生成する。そして、接続認証サーバ 108に ぉ 、て移動無線端末装置 110の認証が成功した場合、移動無線端末装置 110と接 続認証サーバ 108は前記マスターシークレットを用いて、接続認証サーバ 108と移 動無線端末装置 110との間の通信路を暗号化する。

[0027] この時、無線 LANアクセスポイント 109の認証中継部 501は前記通信路を中継す る役割を果たすため、移動無線端末装置 110と接続認証サーバ 108の秘匿通信が 可能となる。即ち、移動無線端末装置 110の認証処理部 201と無線 LANアクセスポ イント 109の認証中継部 501と接続認証サーバ 108の認証処理部 401との間でセキ ユアな通信路が確立されたことになる。以後、特別な断りがない限り、移動無線端末 装置 110と無線 LANアクセスポイント 109と接続認証サーバ 108との通信は、このセ キュアな通信路を用 、て行う。

[0028] そして、接続認証サーバ 108は、この暗号ィ匕されたセキュアな通信路を用いて無線 LANアクセスポイント 109に PMKを送信する。これにより、移動無線端末装置 110と 無線 LANアクセスポイント 109は、共有する PMKから WEPキーを生成し、公衆無線 LANシステム 103における無線通信区間通信路を WEPキーにより暗号ィ匕する。（図 7のステップ ST1)。

[0029] 次に、移動無線端末装置 110と接続認証サーバ 108との間で共有するマスターシ ークレットにより暗号化された通信路を用いて、移動無線端末装置 110と仮想私設網 中継装置 105の IPアドレスを交換する。接続認証サーバ 108のアドレス通知部 402 は、無線 LANアクセスポイント 109の認証中継部 501を中継して移動無線端末装置 110のアドレス取得部 203へ仮想私設網中継装置 105の IPアドレスを送信する（図 7 のステップ ST2)。

[0030] なお、接続認証サーバ 108は仮想私設網中継装置 105の IPアドレスを予め保持し ておくことなどが考えられる。仮想私設網中継装置 105の IPアドレスを受信した移動 無線端末装置 110のアドレス取得部 203は、アドレス通知部 202へ信号を送る。そし て、その信号を受信したアドレス通知部 202は、自身に割り当てられた IPアドレスを 無線 LANアクセスポイント 109の認証中継部 501を介して接続認証サーバ 108のァ ドレス取得部 403へ送信する（図 7のステップ ST3)。

[0031] また、接続認証サーバ 108と移動無線端末装置 110とが IPアドレスを送受信するた めに、 EAPプロトコルと EAPOLプロトコルは拡張される。接続認証サーバ 108の認 証処理部 401と無線 LANアクセスポイント 109の認証中継部 501とが IPアドレスを送 受信するために、 EAPプロトコルのメッセージタイプに EAP— IPADDRが新たに定 義される。そして、接続認証サーバ 108の認証処理部 401は、無線 LANアクセスポ イント 109の認証中継部 501へ RADIUSプロトコルの vendor specificフィールドの属 性値として IPアドレスを送信する。

[0032] 一方、移動無線端末装置 110の認証処理部 201と無線 LANアクセスポイント 109 の認証中継部 501とが IPアドレスを送受信するために、図 8に示す EAPOLプロトコ ルのパケットタイプに EAPOL— IPADDRが新たに定義され、属性値として IPァドレ スを通知するための addrフォーマット（図 9)は追加される。この EAPOL— IPADDR メッセージの受信は、移動無線端末装置 110にとつては仮想私設網中継装置 105の IPアドレスの受信を示し、無線 LANアクセスポイント 109にとつては移動無線端末装 置 110の IPアドレスの受信をそれぞれ示す。

[0033] そして、接続認証サーバ 108のアドレス通知部 402は、移動無線端末装置 110の I Pアドレスを仮想私設網中継装置 105のアドレス取得部 301へ送信する（図 7のステ ップ ST4)。

[0034] 以上の手順により、移動無線端末装置 110と仮想私設網中継装置 105は相互の I Pアドレスを取得することができる。そして、移動無線端末装置 110の IPsec鍵交換部 205と仮想私設網中継装置 105の IPsec鍵交換部 303は、取得した IPアドレスを用 V、て、 IPsecメインモードによる鍵交換を開始することができる。

[0035] さらに、接続認証サーバ 108は、移動無線端末装置 110と接続認証サーバ 108と の間で共有するマスターシークレットにより暗号ィ匕された通信路を用いて、移動無線 端末装置 110と仮想私設網中継装置 105との間で行われる IPsecトンネル確立時に 用いる IPsec事前共有秘密鍵を、移動無線端末装置 110と仮想私設網中継装置 10 5とに配布する。接続認証サーバ 108の認証中継部 401は、無線 LANアクセスボイ ント 109の認証中継部 501に IPsec事前共有秘密鍵を送信する。この IPsec事前共有 秘密鍵を受信した無線 LANアクセスポイント 109の認証中継部 501は、 IPsec事前 共有秘密鍵をそのまま移動無線端末装置 110の認証処理部 201へ送信する（図 7の ステップ ST4)。

[0036] なお、接続認証サーバ 108の認証処理部 401から移動無線端末装置 110の認証 処理部 201へ IPsec事前共有秘密鍵を送信するために、 EAPプロトコルと EAPOL プロトコルは拡張される。接続認証サーバ 108の認証処理部 401が無線 LANァクセ スポイント 109の認証中継部 501へ IPsec事前共有秘密鍵を送信するために、 EAP プロトコルのメッセージタイプに EAP-IPSECKEYを新たに定義する。そして、 RADI USプロトコルの vendor specificフィールドの属性値として IPsec事前共有秘密鍵を送 信する。一方、無線 LANアクセスポイント 109の認証中継部 501から移動無線端末 装置 110の認証処理部 201へ IPsec事前共有秘密鍵を送信するために EAPOLプロ トコノレの鍵配布メッセージを用いる。この時、 key descriptionフォーマットの descriptor typeを IPsecとして、 keyフィールドを用いて IPsec事前共有秘密鍵を通知する。

[0037] そして、接続認証サーバ 108の IPsec共有鍵配布部 404は、移動無線端末装置 11 0に送信した IPsec事前共有秘密鍵と同一の IPsec事前共有秘密鍵を仮想私設網中 継装置 105の IPsec共有鍵取得部 302へ送信する。

[0038] なお、接続認証サーバ 108から仮想私設網中継装置 105への通信路は、 IPsecト ンネルを静的に確立し、 IPsec事前共有秘密鍵が盗聴されな 、セキュアな通信路を 実現する。さらに、接続認証サーバ 108で保持する IPsec事前共有秘密鍵は、接続 認証サーバ 108が動的に生成することも可能であるし、また、別の鍵生成サーバなど 力も受信することなどが可能である。

[0039] 以上の手順により、移動無線端末装置 110と仮想私設網中継装置 105とは同一の IPsec事前共有秘密鍵を共有する。移動無線端末装置 110の IPsec鍵交換部 205と 仮想私設網中継装置 105の IPsec鍵交換部 303は、共有した IPsec事前共有秘密鍵 を用いて、 IPsecメインモードによる鍵交換を開始する。仮想私設網中継装置 105の I Psec鍵交換部 303は、移動無線端末装置 110の IPsec鍵交換部 205からの認証要 求に記載の IPsec事前共有秘密鍵と IPアドレスとユーザ IDが仮想私設網中継装置 1 05で保持する IPsec事前共有秘密鍵と IPアドレスとユーザ IDと一致する場合に、移 動無線端末装置 110の認証を許可して IPsecトンネルを確立する。

[0040] また、接続認証サーバ 108は、移動無線端末装置 110と接続認証サーバ 108との 間で共有するマスターシークレットにより暗号化された通信路を用いて、移動無線端 末装置 110がホームエージェント 106への登録に用いる MIP事前共有秘密鍵を移 動無線端末装置 110へ送信する。接続認証サーバ 108の認証処理部 401は、 MIP 事前共有秘密鍵を無線 LANアクセスポイント 109の認証中継部 501に送信する。こ の MIP事前共有秘密鍵を受信した無線 LANアクセスポイント 109の認証中継部 50 1は、 MIP事前共有秘密鍵を移動無線端末装置 110の認証処理部 201へ送信する

[0041] なお、接続認証サーバ 108の認証処理部 401が移動無線端末装置 110の認証処 理部 201へ MIP事前共有秘密鍵を送信するために、 EAPプロトコルと EAPOLプロ トコルは拡張される。接続認証サーバ 108の認証処理部 401が無線 LANアクセスポ イント 109の認証中継部 501へ MIP事前共有秘密鍵を送信するために、 EAPプロト コルのメッセージタイプに EAP— MIPKEYは新たに定義される。そして、続認証サー ノ 108の認証処理部 401は、無線 LANアクセスポイント 109の認証中継部 501へ R ADIUSプロトコルの vendor specificフィールドの属性値として MIP事前共有秘密鍵 を送信する。

[0042] 一方、無線 LANアクセスポイント 109の認証中継部 501が移動無線端末装置 110 の認証処理部 201へ MIP事前共有秘密鍵を送信するために EAPOLプロトコルの 鍵配布メッセージが用いられる。この時、 key descriptionフォーマットの descriptor typeを MIPとして、 keyフィールドを用いて MIP事前共有秘密鍵が通知される。

[0043] そして、接続認証サーバ 108の MIP共有鍵配布部 405は、移動無線端末装置 11 0に送信した MIP事前共有秘密鍵と同一の MIP事前共有秘密鍵と移動無線端末装 置 110の IPアドレスをホームエージェント 106の MIP共有鍵取得部 601へ送信する（ 図 7のステップ ST5)。

[0044] なお、接続認証サーバ 108からホームエージェント 106への通信路は、 IPsecトンネ ルを静的に確立し、 MIP事前共有秘密鍵が盗聴されな 、セキュアな通信路を実現 する。さらに、接続認証サーバ 108で保持する MIP事前共有秘密鍵は、接続認証サ ーバ 108が動的に生成することも可能であるし、また、別の鍵生成サーバなどカも受 信することなどが可能である。

[0045] 以上の手順により、移動無線端末装置 110とホームエージェント 106は、同一の Ml P事前共有秘密鍵を共有する。移動無線端末装置 110の MIP登録部 207は、 MIP 事前共有鍵を用いてホームエージェント 106の MIP処理部 602に対してモパイル IP 登録（Binding Update)を行う。ホームエージェント 106の MIP処理部 602は、移動無 線端末装置 110の MIP登録部 207からのモパイル IP登録メッセージの認証フィール ドに記載の MIP事前共有秘密鍵と SPIがホームエージェント 106で保持する MIP事 前共有秘密鍵と SPIと一致する場合に、移動無線端末装置 110のモパイル IP登録 の認証を許可する。なお、既に移動無線端末装置 110と仮想私設網中継装置 105と の間には IPsecトンネルが確立されているため、移動無線端末装置 110とホームエー ジェント 106との通信路はセキュアである。

[0046] このように、本発明の一実施の形態によれば、移動無線端末装置 110が公衆無線 LANシステム 103などの公衆網カゝら私設網へ接続するようなモパイル VPN接続環 境において、 IPsecメインモードによる IPsecトンネルを確立することが可能となる。また 、本発明の一実施の形態によれば、移動無線端末装置 110の公衆無線 LANシステ ム 103へのアクセスの度に IPsec事前共有鍵と MIP事前共有鍵を動的に更新するこ とができる。したがって、本発明の一実施の形態によれば、セキュリティの低下を防ぐ ことができ、ユーザ及び管理者の特別な作業を必要とせず、かつ、モパイル VPN接 続環境における IPsecトンネルの確立に要する時間を短縮することができる。

[0047] 本発明の第 1の態様に係る移動無線通信システムは、公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置 と IPsecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移 動無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継す る仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端 末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記 移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続 認証手順を中継する無線 LANアクセスポイントと、を具備する構成を採る。

[0048] この構成によれば、移動無線端末装置は仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれの I Pアドレスを用いて IPsecメインモードによる鍵交換を開始することができるから、セキ ユリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要とし ない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続 認証手順により確立されたセキュアな通信路を用いて IPアドレスを送信することにより 、 IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がないため、 モノ ィル VPN接続環境における IPsecトンネルの確立に要する時間を短縮すること ができる。

[0049] 本発明の第 2の態様に係る移動無線端末装置は、公衆網と私設網と公衆無線 LA Nシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と I Psecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端末 装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移 動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認 証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システムに おける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線 L ANシステムへの接続認証処理を行う認証処理部と、前記公衆無線 LANシステムへ の接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置の IP アドレスを取得するアドレス取得部と、前記移動無線端末装置の IPアドレスを前記接 続認証サーバに通知するアドレス通知部と、前記仮想私設網中継装置の IPアドレス を用いて前記仮想私設網中継装置と IPsec鍵交換を行う IPsec鍵交換部と、を具備す る構成を採る。

[0050] この構成によれば、移動無線端末装置は仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれの I Pアドレスを用いて IPsecメインモードによる鍵交換を開始することができるから、セキ ユリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要とし ない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続 認証手順により確立されたセキュアな通信路を用いて IPアドレスを送信することにより 、 IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がないため、 モノ ィル VPN接続環境における IPsecトンネルの確立に要する時間を短縮すること ができる。 [0051] 本発明の第 3の態様に係る移動無線端末装置は、公衆網と私設網と公衆無線 LA Nシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と I Psecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端末 装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移 動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認 証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システムに おける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線 L ANシステムへの接続認証処理を行う認証処理部と、前記公衆無線 LANシステムへ の接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置との間 で行う IPsec鍵交換に用いる IPsec事前共有秘密鍵を取得する IPsec共有鍵取得部と 、前記 IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置と IPsec鍵交換を行 う IPsec鍵交換部と、を具備する構成を採る。

[0052] この構成によれば、移動無線端末装置と仮想私設網中継装置が同一の IPsec事前 共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LA Nシステムへの接続の度に IPsec事前共有秘密鍵を更新することができるため、セキ ユリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要とし ない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続 認証手順により確立されたセキュアな通信路を用いて IPsec事前共有秘密鍵を送信 することにより、 IPsec事前共有秘密鍵を配布するためのセキュアな通信路を改めて 確立する必要がないため、モパイル VPN接続環境における IPsecトンネルの確立に 要する時間を短縮することができる。

[0053] 本発明の第 4の態様に係る移動無線端末装置は、公衆網と私設網と公衆無線 LA Nシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と I Psecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前記公衆 無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置 と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する 無線 LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線 端末装置であって、前記接続認証サーバに対して前記公衆無線 LANシステムへの 接続認証処理を行う認証処理部と、前記公衆無線 LANシステムへの接続が許可さ れた時に前記接続認証サーノくから前記ホームエージェントとの間で行うモパイル IP 登録に用いる事前共有秘密鍵を取得する MIP共有鍵取得部と、前記事前共有秘密 鍵を用いて前記ホームエージェントへモパイル IP登録を行う MIP登録部と、を具備 する構成を採る。

[0054] この構成によれば、移動無線端末装置とホームエージェントが同一の MIP事前共 有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LANシ ステムへの接続の度に MIP事前共有秘密鍵を更新することができるため、セキユリテ ィの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要とし ない。また、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立 されたセキュアな通信路を用いて MIP事前共有秘密鍵を送信することにより、 MIP 事前共有秘密鍵を配布するためのセキュアな通信路を改めて確立する必要がない ため、モパイル VPN接続環境における IPsecトンネルの確立に要する時間を短縮す ることがでさる。

[0055] 本発明の第 5の態様に係る移動無線端末装置は、公衆網と私設網と公衆無線 LA Nシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と I Psecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前記公衆 無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置 と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する 無線 LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線 端末装置であって、前記接続認証サーバに対して前記公衆無線 LANシステムへの 接続認証処理を行う認証処理部と、前記公衆無線 LANシステムへの接続が許可さ れた時に前記接続認証サーバから前記仮想私設網中継装置の IPアドレスを取得す るアドレス取得部と、前記移動無線端末装置の IPアドレスを前記接続認証サーバに 通知するアドレス通知部と、前記接続認証サーバから前記仮想私設網中継装置との 間で行う IPsec鍵交換に用いる IPsec事前共有秘密鍵を取得する IPsec共有鍵取得 部と、前記接続認証サーバから前記ホームエージェントとの間で行うモパイル IP登録 に用いる MIP事前共有秘密鍵を取得する MIP共有鍵取得部と、前記仮想私設網中 継装置の IPアドレスと前記 IPsec事前共有秘密鍵を用いて前記仮想私設網中継装 置と IPsec鍵交換を行う IPsec鍵交換部と、前記 MIP事前共有秘密鍵を用いて前記ホ ームエージェントへモパイル IP登録を行う MIP登録部と、を具備する構成を採る。

[0056] この構成によれば、移動無線端末装置は仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、それぞれの IPアドレスを用いて IPsecメインモードによる鍵交 換を開始することができ、かつ、移動無線端末装置と仮想私設網中継装置とは同一 の IPsec事前共有秘密鍵を取得することが可能であるため移動無線端末装置の公衆 無線 LANシステムへの接続の度に IPsec事前共有秘密鍵を更新することができる。 さらに、この構成によれば、移動無線端末装置とホームエージェントとは同一の MIP 事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LANシステムへの接続の度に MIP事前共有秘密鍵を更新することができる。これに より、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な 作業を必要としない。

[0057] さらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認 証手順により確立されたセキュアな通信路を用いて IPアドレスと IPsec事前共有秘密 鍵と MIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュアな 通信路を改めて確立する必要がないため、モパイル VPN接続環境における IPsecト ンネルの確立に要する時間を短縮することができる。

[0058] 本発明の第 6の態様に係る仮想私設網中継装置は、公衆網と私設網と公衆無線 L ANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移 動無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継す る仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端 末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記 移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続 認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システ ムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線 端末装置の IPアドレスを受信するアドレス取得部と、前記移動無線端末装置の IPァ ドレスを用いて前記移動無線端末装置と IPsec鍵交換を行う IPsec鍵交換部と、を具 備する構成を採る。

[0059] この構成によれば、仮想私設網中継装置は移動無線端末装置の IPアドレスを取得 することができるため、その IPアドレスを用いて IPsecメインモードによる鍵交換を開始 することができる力ら、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者 の特別な作業を必要とせず、かつ、モパイル VPN接続環境における IPsecトンネル の確立に要する時間を短縮することができる。

[0060] 本発明の第 7の態様に係る仮想私設網中継装置は、公衆網と私設網と公衆無線 L ANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移 動無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継す る仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端 末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記 移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続 認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システ ムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線 端末装置との間で行う IPsec鍵交換に用いる事前共有秘密鍵を受信する IPsec共有 鍵取得部と、前記事前共有秘密鍵を用いて前記移動無線端末装置と IPsec鍵交換 を行う IPsec鍵交換部と、を具備する構成を採る。 [0061] この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一の IPsec事 前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 L ANシステムへの接続の度に IPsec事前共有秘密鍵を更新することができるため、セ キユリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要と せず、かつ、モパイル VPN接続環境における IPsecトンネルの確立に要する時間を 短縮することができる。

[0062] 本発明の第 8の態様に係る仮想私設網中継装置は、公衆網と私設網と公衆無線 L ANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移 動無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継す る仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端 末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記 移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続 認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システ ムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線 端末装置の IPアドレスを受信するアドレス取得部と、前記接続認証サーバから前記 移動無線端末装置との間で行う IPsec鍵交換に用いる事前共有秘密鍵を受信する I Psec共有鍵取得部と、前記移動無線端末装置の IPアドレスと前記事前共有秘密鍵 を用いて前記移動無線端末装置と IPsec鍵交換を行う IPsec鍵交換部と、を具備する 構成を採る。

[0063] この構成によれば、仮想私設網中継装置は移動無線端末装置の IPアドレスを取得 することができるため、その IPアドレスを用いて IPsecメインモードによる鍵交換を開始 することができる。また、この構成によれば、移動無線端末装置と仮想私設網中継装 置とは同一の IPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端 末装置の公衆無線 LANシステムへの接続の度に IPsec事前共有秘密鍵を更新する ことができる。これにより、セキュリティの低下を防ぐことが可能であり、ユーザ及び管 理者の特別な作業を必要とせず、かつ、モパイル VPN接続環境における IPsecトン ネルの確立に要する時間を短縮することができる。 [0064] 本発明の第 9の態様に係る接続認証サーバは、公衆網と私設網と公衆無線 LAN システムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IP secトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端末 装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移 動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認 証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システムに おける接続認証サーバであって、前記移動無線端末装置の前記公衆無線 LANシス テムへの接続認証を行う認証処理部と、前記移動無線端末装置の前記公衆無線 L ANシステムへの接続を許可する時に前記移動無線端末装置の IPアドレスを前記移 動無線端末装置力 受信するアドレス取得部と、前記仮想私設網中継装置の IPアド レスを前記移動無線端末装置に通知し、かつ、前記移動無線端末装置の IPアドレス を前記仮想私設網中継装置に通知するアドレス通知部と、を具備する構成を採る。

[0065] この構成によれば、移動無線端末装置は仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれの I Pアドレスを用いて IPsecメインモードによる鍵交換を開始することができるから、セキ ユリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必 要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて 接続認証手順により確立されたセキュアな通信路を用いて IPアドレスを送信すること により、 IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がない ため、モパイル VPN接続環境における IPsecトンネルの確立に要する時間を短縮す ることがでさる。

[0066] 本発明の第 10の態様に係る接続認証サーバは、公衆網と私設網と公衆無線 LAN システムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IP secトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記公衆無線 LANシステムに設置され前記移動無線端末 装置の前記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移 動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認 証手順を中継する無線 LANアクセスポイントと、を具備する移動無線通信システムに おける接続認証サーバであって、前記移動無線端末装置の前記公衆無線 LANシス テムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線 LANシ ステムへの接続を許可する時に前記移動無線端末装置と前記仮想私設網中継装置 との間で行う IPsec鍵交換に用いる事前共有秘密鍵を前記移動無線端末装置と前記 仮想私設網中継装置にそれぞれ配布する IPsec共有鍵配布部と、を具備する構成を 採る。

[0067] この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一の IPsec事 前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 L ANシステムへの接続の度に IPsec事前共有秘密鍵を更新することができるため、セ キユリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を 必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにお V、て接続認証手順により確立されたセキュアな通信路を用いて IPsec事前共有秘密 鍵を送信することにより、 IPsec事前共有秘密鍵を配布するためのセキュアな通信路 を改めて確立する必要がな 、ため、モパイル VPN接続環境における IPsecトンネル の確立に要する時間を短縮することができる。

[0068] 本発明の第 11の態様に係る接続認証サーバは、公衆網と私設網と公衆無線 LAN システムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IP secトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前記公衆 無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置 と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する 無線 LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サ ーバであって、前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証 を行う認証処理部と、前記移動無線端末装置の公衆無線 LANシステムへの接続を 許可する時に前記移動無線端末装置と前記ホームエージェントとの間で行うモバイ ル IP登録に用いる事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェ ントにそれぞれ配布する MIP共有鍵配布部と、を具備する構成を採る。

[0069] この構成によれば、移動無線端末装置とホームエージェントとは同一の MIP事前共 有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LANシ ステムへの接続の度に MIP事前共有秘密鍵を更新することができるため、セキユリテ ィの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要とし ない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続 認証手順により確立されたセキュアな通信路を用いて MIP事前共有秘密鍵を送信 することにより、 MIP事前共有秘密鍵を配布するためのセキュアな通信路を改めて確 立する必要がないため、モパイル VPN接続環境における IPsecトンネルの確立に要 する時間を短縮することができる。

[0070] 本発明の第 12の態様に係る接続認証サーバは、公衆網と私設網と公衆無線 LAN システムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と IP secトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前記公衆 無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置 と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する 無線 LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サ ーバであって、前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証 を行う認証処理部と、前記移動無線端末装置の公衆無線 LANシステムへの接続を 許可する時に前記移動無線端末装置の IPアドレスを前記移動無線端末装置から受 信するアドレス取得部と、前記仮想私設網中継装置の IPアドレスを前記移動無線端 末装置に通知し、かつ、前記移動無線端末装置の IPアドレスを前記仮想私設網中 継装置に通知するアドレス通知部と、前記移動無線端末装置と前記仮想私設網中 継装置との間で行う IPsec鍵交換に用いる IPsec事前共有秘密鍵を前記移動無線端 末装置と前記仮想私設網中継装置にそれぞれ配布する IPsec共有鍵配布部と、前 記移動無線端末装置と前記ホームエージェントとの間で行うモパイル IP登録に用い る MIP事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれ ぞれ配布する MIP共有鍵配布部と、を具備する構成を採る。

[0071] この構成によれば、移動無線端末装置は仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれの I Pアドレスを用いて IPsecメインモードによるトンネル確立を開始することができる。また 、この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一の IPsec事 前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 L ANシステムへの接続の度に IPsec事前共有秘密鍵を更新することができる。さらに、 この構成によれば、移動無線端末装置とホームエージェントが同一の MIP事前共有 秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LANシス テムへの接続の度に MIP事前共有秘密鍵を更新することができる。これにより、セキ ユリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必 要としない。

[0072] またさらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接 続認証手順により確立されたセキュアな通信路を用いて IPアドレスと IPsec事前共有 秘密鍵と MIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュ ァな通信路を改めて確立する必要がな 、ため、モパイル VPN接続環境における IP secトンネルの確立に要する時間を短縮することができる。

[0073] 本発明の第 13の態様に係る無線 LANアクセスポイントは、公衆網と私設網と公衆 無線 LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継 装置と IPsecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前 記移動無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中 継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームェ ージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前 記公衆無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端 末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を 中継する無線 LANアクセスポイントと、を具備する移動無線通信システムにおける無 線 LANアクセスポイントであって、前記移動無線端末装置と前記接続認証サーバと の間で行われる公衆無線 LANの接続認証手順にお ヽて確立した安全な通信路を 用いて、前記接続認証サーノくから送信される IPアドレスと IPsec事前共有鍵、 Mobile IP事前共有鍵を前記移動無線端末装置に送信し、かつ、前記移動無線端末装置か ら送信される IPアドレスを前記接続認証サーバへ送信する認証中継部と、を具備す る構成を採る。

[0074] この構成によれば、移動無線端末装置が仮想私設網中継装置の IPアドレスを取得 することができ、かつ、仮想私設網中継装置は移動無線端末装置の IPアドレスを取 得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれの I Pアドレスを用いて IPsecメインモードによる鍵交換を開始することができる。また、この 構成によれば、移動無線端末装置と仮想私設網中継装置とは同一の IPsec事前共 有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線 LANシ ステムへの接続の度に IPsec事前共有秘密鍵を更新することができる。これにより、セ キユリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を 必要としない。

[0075] さらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認 証手順により確立されたセキュアな通信路を用いて IPアドレスと IPsec事前共有秘密 鍵と MIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュアな 通信路を改めて確立する必要がないため、モパイル VPN接続環境における IPsecト ンネルの確立に要する時間を短縮することができる。

[0076] 本発明の第 14の態様に係るホームエージェントは、公衆網と私設網と公衆無線 LA Nシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置と I Psecトンネルを確立し移動無線端末装置との間で IPsecトンネルを確立して前記移動 無線端末装置の前記公衆無線 LANシステムから前記私設網への接続を中継する 仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージ ントと、前記公衆無線 LANシステムに設置され前記移動無線端末装置の前記公衆 無線 LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置 と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する 無線 LANアクセスポイントと、を具備する移動無線通信システムにおけるホームエー ジェントであって、前記接続認証サーバから前記移動無線端末装置のモパイル IP登 録に用いる事前共有秘密鍵を受信する MIP共有鍵取得部と、前記事前共有秘密鍵 を用いて前記移動無線端末装置からのモパイル IP登録を処理する MIP処理部と、 を具備する構成を採る。

[0077] この構成によれば、ホームエージェントは MIP事前共有秘密鍵を取得することが可 能であり、かつ、移動無線端末装置の公衆無線 LANシステムへの接続の度に MIP 事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能で あり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モパイル VPN接続環境 における IPsecトンネルの確立に要する時間を短縮することができる。

[0078] 本明細書は、 2004年 1月 15日出願の特願 2004— 008507に基づく。この内容は 、すべてここに含めておく。

産業上の利用可能性

[0079] 本発明は、移動無線端末装置が公衆無線 LANシステムカゝら公衆網を介して私設 網へアクセスするモパイル VPN環境を提供する移動無線通信システムとして好適で ある。

Claims

請求の範囲

[1] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システム。

[2] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける移動無線端末装置であって、

前記接続認証サーバに対して前記公衆無線 LANシステムへの接続認証処理を行 う認証処理部と、前記公衆無線 LANシステムへの接続が許可された時に前記接続 認証サーバから前記仮想私設網中継装置の IPアドレスを取得するアドレス取得部と 、前記移動無線端末装置の IPアドレスを前記接続認証サーバに通知するアドレス通 知部と、前記仮想私設網中継装置の IPアドレスを用いて前記仮想私設網中継装置 と IPsec鍵交換を行う IPsec鍵交換部と、を具備する移動無線端末装置。

[3] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける移動無線端末装置であって、

前記接続認証サーバに対して前記公衆無線 LANシステムへの接続認証処理を行 う認証処理部と、前記公衆無線 LANシステムへの接続が許可された時に前記接続 認証サーバから前記仮想私設網中継装置との間で行う IPsec鍵交換に用いる IPsec 事前共有秘密鍵を取得する IPsec共有鍵取得部と、前記 IPsec事前共有秘密鍵を用 Vヽて前記仮想私設網中継装置と IPsec鍵交換を行う IPsec鍵交換部と、を具備する移 動無線端末装置。

[4] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおける移動無線端末装置であって、

前記接続認証サーバに対して前記公衆無線 LANシステムへの接続認証処理を行 う認証処理部と、前記公衆無線 LANシステムへの接続が許可された時に前記接続 認証サーノから前記ホームエージェントとの間で行うモパイル IP登録に用いる事前 共有秘密鍵を取得する MIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記ホ ームエージェントへモパイル IP登録を行う MIP登録部と、を具備する移動無線端末 装置。

[5] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおける移動無線端末装置であって、

前記接続認証サーバに対して前記公衆無線 LANシステムへの接続認証処理を行 う認証処理部と、前記公衆無線 LANシステムへの接続が許可された時に前記接続 認証サーバから前記仮想私設網中継装置の IPアドレスを取得するアドレス取得部と 、前記移動無線端末装置の IPアドレスを前記接続認証サーバに通知するアドレス通 知部と、前記接続認証サーバから前記仮想私設網中継装置との間で行う IPsec鍵交 換に用いる IPsec事前共有秘密鍵を取得する IPsec共有鍵取得部と、前記接続認証 サーバ力 前記ホームエージェントとの間で行うモパイル IP登録に用いる MIP事前 共有秘密鍵を取得する MIP共有鍵取得部と、前記仮想私設網中継装置の IPァドレ スと前記 IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置と IPsec鍵交換を 行う IPsec鍵交換部と、前記 MIP事前共有秘密鍵を用いて前記ホームエージェント へモパイル IP登録を行う MIP登録部と、を具備する移動無線端末装置。

[6] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける仮想私設網中継装置であって、

前記接続認証サーバから前記移動無線端末装置の IPアドレスを受信するアドレス 取得部と、前記移動無線端末装置の IPアドレスを用いて前記移動無線端末装置と I Psec鍵交換を行う IPsec鍵交換部と、を具備する仮想私設網中継装置。

[7] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける仮想私設網中継装置であって、

前記接続認証サーバから前記移動無線端末装置との間で行う IPsec鍵交換に用い る事前共有秘密鍵を受信する IPsec共有鍵取得部と、前記事前共有秘密鍵を用いて 前記移動無線端末装置と IPsec鍵交換を行う IPsec鍵交換部と、を具備する仮想私 設網中継装置。

[8] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける仮想私設網中継装置であって、

前記接続認証サーバから前記移動無線端末装置の IPアドレスを受信するアドレス 取得部と、前記接続認証サーバから前記移動無線端末装置との間で行う IPsec鍵交 換に用いる事前共有秘密鍵を受信する IPsec共有鍵取得部と、前記移動無線端末 装置の IPアドレスと前記事前共有秘密鍵を用いて前記移動無線端末装置と IPsec鍵 交換を行う IPsec鍵交換部と、を具備する仮想私設網中継装置。

[9] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける接続認証サーバであって、

前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証を行う認証処 理部と、前記移動無線端末装置の前記公衆無線 LANシステムへの接続を許可する 時に前記移動無線端末装置の IPアドレスを前記移動無線端末装置から受信するァ ドレス取得部と、前記仮想私設網中継装置の IPアドレスを前記移動無線端末装置に 通知し、かつ、前記移動無線端末装置の IPアドレスを前記仮想私設網中継装置に 通知するアドレス通知部と、を具備する接続認証サーバ。

[10] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線 LANシステ ムに設置され前記移動無線端末装置の前記公衆無線 LANシステムへの接続を認 証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で 行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を 具備する移動無線通信システムにおける接続認証サーバであって、

前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証を行う認証処 理部と、前記移動無線端末装置の公衆無線 LANシステムへの接続を許可する時に 前記移動無線端末装置と前記仮想私設網中継装置との間で行う IPsec鍵交換に用 いる事前共有秘密鍵を前記移動無線端末装置と前記仮想私設網中継装置にそれ ぞれ配布する IPsec共有鍵配布部と、を具備する接続認証サーバ。

[11] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおける接続認証サーバであって、

前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証を行う認証処 理部と、前記移動無線端末装置の公衆無線 LANシステムへの接続を許可する時に 前記移動無線端末装置と前記ホームエージェントとの間で行うモパイル IP登録に用 いる事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ 配布する MIP共有鍵配布部と、を具備する接続認証サーバ。

公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおける接続認証サーバであって、

前記移動無線端末装置の前記公衆無線 LANシステムへの接続認証を行う認証処 理部と、前記移動無線端末装置の公衆無線 LANシステムへの接続を許可する時に 前記移動無線端末装置の IPアドレスを前記移動無線端末装置力 受信するアドレス 取得部と、前記仮想私設網中継装置の IPアドレスを前記移動無線端末装置に通知 し、かつ、前記移動無線端末装置の IPアドレスを前記仮想私設網中継装置に通知 するアドレス通知部と、前記移動無線端末装置と前記仮想私設網中継装置との間で 行う IPsec鍵交換に用いる IPsec事前共有秘密鍵を前記移動無線端末装置と前記仮 想私設網中継装置にそれぞれ配布する IPsec共有鍵配布部と、前記移動無線端末 装置と前記ホームエージェントとの間で行うモノ ィル IP登録に用いる MIP事前共有 秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ配布する Ml

P共有鍵配布部と、を具備する接続認証サーバ。

[13] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおける無線 LANアクセスポイントであって、

前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの 接続認証手順にお!ヽて確立した安全な通信路を用いて、前記接続認証サーバから 送信される IPアドレスと IPsec事前共有鍵、 Mobile IP事前共有鍵を前記移動無線端 末装置に送信し、かつ、前記移動無線端末装置力 送信される IPアドレスを前記接 続認証サーバへ送信する認証中継部と、を具備する無線 LANアクセスポイント。

[14] 公衆網と私設網と公衆無線 LANシステムとを具備し、前記公衆網を介して前記私 設網に設置された網中継装置と IPsecトンネルを確立し移動無線端末装置との間で I Psecトンネルを確立して前記移動無線端末装置の前記公衆無線 LANシステムから 前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の 移動制御を行うホームエージェントと、前記公衆無線 LANシステムに設置され前記 移動無線端末装置の前記公衆無線 LANシステムへの接続を認証する接続認証サ ーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線 LANの接続認証手順を中継する無線 LANアクセスポイントと、を具備する移動無線 通信システムにおけるホームエージェントであって、

前記接続認証サーバから前記移動無線端末装置のモパイル IP登録に用いる事前 共有秘密鍵を受信する MIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記移 動無線端末装置からのモパイル IP登録を処理する MIP処理部と、を具備するホーム エージェント。