[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4857342B2 - モバイルネットワーク管理装置及び移動情報管理装置 - Google Patents

モバイルネットワーク管理装置及び移動情報管理装置 Download PDF

Info

Publication number
JP4857342B2
JP4857342B2 JP2008530053A JP2008530053A JP4857342B2 JP 4857342 B2 JP4857342 B2 JP 4857342B2 JP 2008530053 A JP2008530053 A JP 2008530053A JP 2008530053 A JP2008530053 A JP 2008530053A JP 4857342 B2 JP4857342 B2 JP 4857342B2
Authority
JP
Japan
Prior art keywords
network
home network
access request
access
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008530053A
Other languages
English (en)
Other versions
JP2009521820A (ja
Inventor
純 平野
啓吾 阿相
チュン キョン ベンジャミン リム
チャン ワー ンー
ティエン ミン ベンジャミン コー
ペク ユー タン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2008530053A priority Critical patent/JP4857342B2/ja
Publication of JP2009521820A publication Critical patent/JP2009521820A/ja
Application granted granted Critical
Publication of JP4857342B2 publication Critical patent/JP4857342B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2818Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、モバイル通信ネットワークを利用して通信を行うモバイルネットワーク管理装置及び移動情報管理装置に関し、特に、個人的なモバイル通信ネットワーク(パーソナルモバイル通信ネットワーク)及びユーザのホームネットワークのセキュリティ向上を図るためにアクセスコントロールを行うモバイルネットワーク管理装置及び移動情報管理装置に関する。
ネットワークモビリティの概念によれば、ユーザが自分の家から離れているとき(外出しているとき)であっても、このユーザとの連絡を取ることができるようになる。
上記の事項を実現する典型的な例としては、例えば“Mobility Support in IPv6”、Internet Engineering Task Force Request For Comments 3775、2004年6月(以下「非特許文献1」)に定義されているモバイルIPを使用するものが挙げられる。
モバイルIPの技術を用いれば、モバイル装置の有線ケーブル接続を外した場合でも、その接続はユーザの自宅のDSL回線(有線接続)からセルラアクセスシステム(無線接続)に移ることになり、有線接続から無線接続への切り換えによって、ユーザは、ファイルのダウンロードやボイスオーバIP(VoIP:Voice over IP)による会話を継続して行うことができるようになる。
これにより、ユーザは、モバイル装置を携帯して移動を行うことができるようになり、さらには、無線接続ポイントを切り換えることで、外出先であってもシームレスなネットワークへの接続性を維持することができるようになる。
また、ユーザは、モバイルパーソナルエリアネットワーク(PAN:Personal Area Network)を形成して、移動を行った場合でもシームレスなネットワークへの接続性を維持することができるようになる。ネットワークモビリティのようなPANを実現する典型的な例としては、“Network Mobility (NEMO) Basic Support Protocol”、 Internet Engineering Task Force Request For Comments 3963、2005年1月(以下「非特許文献2」)に定義されているネットワークモビリティ(NEMO:Network Mobility)が挙げられる。
モバイルPAN内のノードは、所望のデータトラフィックをモバイルPAN内に位置するモバイルルータ(MR:Mobile Router、モバイルネットワーク管理装置)を通じた経路に定めることにより、世界中の他のノードと通信を行うことが可能となる。
MRは、自身の現在位置アドレスをホームエージェント(HA:Home Agent、移動情報管理装置)に登録する。なお、この現在位置アドレスは、気付アドレス(CoA:Care-of Address)として知られている。ホームエージェント(HA)は、ユーザのホームネットワーク内でルータとして機能し、モバイルノードのホームアドレスをあて先とするパケットを受信(intercept)して、パケットのカプセル化(encapsulate)を行い、モバイルノードの登録されているCoAにトンネルする。
また、NEMOでは、MRが外部リンク(foreign link)上に存在する場合、MRとHAとの間に双方向トンネルが確立され、この双方向トンネルを通じて相互の間でパケットが伝送できるようになる。非特許文献2に記載されているように、モバイルPANから発送されるトラフィック、あるいはモバイルPANで終端するトラフィックは、すべて双方向トンネルを経由して送信される。
また、ユーザは、外部ノード(foreign node)がユーザのモバイルPAN内で動作することを認可してもよい。なお、以降、この外部ノードを訪問者ノード(VN:Visitor Node)と呼ぶ場合もある。
VNは、ユーザのホームネットワーク内に存在するデータ(例えば、ユーザのメディアサーバに存在する音楽ファイル)へのアクセス認可を受けることができる。なお、この場合、VNがユーザのホームネットワークにアクセスできるようにする前に、VNが従うべき様々なセキュリティポリシを構成する必要がある。
Benchmarking Terminology for Firewall Performance”、Internet Engineering Task Force Request For Comments 2647、1999年8月(以下「非特許文献3」)に定義されているように、ホームネットワークと外部ネットワークとの中間に存在する非武装地帯(DMZ:De-Militarized Zone、セキュリティ用ネットワーク)内に存在するポリシサーバ(セキュリティ管理装置)が、このようなVN用のセキュリティポリシを実行することが可能である。なお、DMZは、ユーザのホームドメインとグローバルインターネットとの間に位置している。
また、例えば、米国特許公開2004/0120295(以下、「特許文献1」)では、ホームネットワーク内に位置しているコレスポンデントノード(CN:Correspondent Node)が、外部リンクに接続されているモバイルノード(MN:Mobile Node)との間でセキュアな通信チャンネルを確立するための方法が提案されている。
この特許文献1に係る技術では、DMZ内に位置するVPN(Virtual Private Network:仮想専用ネットワーク)サーバを利用したモバイルIPプロキシによって、MNとCNとの間には、セキュアなトンネルが確立可能となる。
しかしながら、上述の非特許文献3に開示されている技術によれば、モバイルPAN内のすべてのトラフィックがMRとHAとの間でトンネルされると、VNのパケットは、DMZ内のポリシサーバを経由せず、ポリシサーバにおいてユーザにより設定された様々なセキュリティポリシが適用されなくなってしまうという問題がある。
一方、特許文献1に係る技術では、モバイルIPプロキシはMNに対する代理HAとしての動作を行うとともに、HAに対する代理MNとしての動作を行う。これは、モバイルIPプロキシが、MN及びHAの両方のセキュリティアソシエーション鍵を知っている必要があることを意味している。また、特許文献1に係る技術では、外部ネットワークに位置するMRの配下に接続されているVNのアクセスコントロールに関しては、全く考慮されていない。
上記の問題に鑑み、本発明は、訪問者ノード(VN)から送信されたパケットに関して、ホームユーザによって設定された様々なセキュリティポリシに基づくアクセスコントロールを確実に執行できるようにするためのモバイルネットワーク管理装置及び移動情報管理装置を提供することを目的とする。
上記の目的を達成するため、本発明のモバイルネットワーク管理装置は、モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置であって、
前記モバイルネットワークに接続されている通信端末から、前記モバイルネットワーク管理装置のホームネットワークへのアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段で受信した前記アクセス要求の送信元の通信端末が、前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されている場合には、前記ホームネットワークに存在する移動情報管理装置に前記アクセス要求を転送するホームネットワーク通信手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
有する。
上記の構成により、モバイルネットワークに接続されている訪問者ノード(VN)を識別し、訪問者ノードに対して、セキュリティ管理装置(ポリシサーバ)によって確実にホームネットワークへのアクセス権を管理するためのアクセスコントロールを行うことが可能となる。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記通信端末が前記モバイルネットワークに接続する際に、前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを特定する通信端末特定手段と、
前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す情報を格納する情報格納手段とを有し、
前記判断手段が、前記情報格納手段に格納されている前記情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている。
上記の構成により、訪問者ノードがモバイルネットワークへ接続した時点で、訪問者ノードか否かを示す情報を格納しておき、この情報を利用して、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行うことが可能となる。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記ホームネットワークに直接アクセスすることを許可されている通信端末及び前記ホームネットワークに直接アクセスすることを許可されていない通信端末に対して、それぞれ異なるアドレスのプレフィックスを通知するプレフィックス通知手段を有し、
前記判断手段が、前記アクセス要求の送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている。
上記の構成により、訪問者ノードに割り当てるアドレスのプレフィックスを、ホームユーザのノードと異なるものにして、アクセス要求の送信元アドレスのプレフィックスを参照することにより、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行うことが可能となる。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記移動情報管理装置との間でトンネルを形成し、前記ホームネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化する第1トンネリング手段と、
前記セキュリティ管理装置との間でトンネルを形成し、前記セキュリティ用ネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化する第2トンネリング手段とを、
有する。
上記の構成により、モバイルネットワーク管理装置(モバイルルータ)は、モバイルネットワーク管理装置(モバイルルータ)の配下の通信端末から受信したアクセス要求を改変することなくセキュアな状態で、移動管理情報装置(ホームエージェント)又はセキュリティ管理装置(ポリシサーバ)に転送することが可能となる。
また、上記の目的を達成するため、本発明のモバイルネットワーク管理装置は、モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置であって、
前記モバイルネットワークに接続されている通信端末から、前記モバイルネットワーク管理装置のホームネットワークへのアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求受信手段で受信した前記アクセス要求の送信元の通信端末が、前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す指標情報を前記アクセス要求に付加する情報付加手段と、
前記情報付加手段で前記指標情報が付加された前記アクセス要求を前記ホームネットワークに存在する移動情報管理装置に転送するホームネットワーク通信手段とを、
有する。
上記の構成により、訪問者ノードからホームネットワークへのアクセス要求に対して指標情報を付加することによって、モバイルネットワークに接続されている訪問者ノード(VN)を識別することが可能となる。指標情報の存在は、アクセス要求が訪問者ノードから行われたことを示している。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記通信端末が前記モバイルネットワークに接続する際に、前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを特定する通信端末特定手段と、
前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す情報を格納する情報格納手段とを有し、
前記判断手段が、前記情報格納手段に格納されている前記情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている。
上記の構成により、訪問者ノードがモバイルネットワークへ接続した時点で、訪問者ノードである旨を示す情報を格納することが可能となる。さらに、この情報によって、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行う手段が実現されるようになる。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記ホームネットワークに直接アクセスすることを許可されている通信端末及び前記ホームネットワークに直接アクセスすることを許可されていない通信端末に対して、それぞれ異なるアドレスのプレフィックスを通知するプレフィックス通知手段を有し、
前記判断手段が、前記アクセス要求の送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている。
上記の構成により、訪問者ノード及びホームユーザのノードは、ホームネットワークにおける通信手段として、それぞれ異なるアドレスプレフィックスを使用することが可能となる。その結果、アドレスに使われているプレフィックスを参照することにより、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行うことが可能となる。
さらに、本発明のモバイルネットワーク管理装置は、上記の構成に加えて、前記移動情報管理装置との間でトンネルを形成し、前記ホームネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化するトンネリング手段を有する。
上記の構成により、モバイルネットワーク管理装置(モバイルルータ)は、モバイルネットワーク管理装置(モバイルルータ)配下の通信端末から受信したアクセス要求を改変することなくセキュアな状態で、移動管理情報装置(ホームエージェント)に転送することが可能となる。
また、上記の目的を達成するため、本発明の移動情報管理装置は、ホームネットワークに直接アクセスしようとしている通信端末の移動管理を行う移動情報管理装置であって、
モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置から、カプセル化されたパケットを受信するパケット受信手段と、
前記カプセル化されたパケットをデカプセル化するデカプセル化手段と、
デカプセル化された内部パケットが前記ホームネットワークへのアクセス要求の場合には、前記内部パケットの送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに本来存在しているものである場合には、前記内部パケットのあて先アドレスで指定されているあて先に前記アクセス要求を転送するホームネットワーク通信手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
有する。
上記の構成により、ホームネットワークに直接アクセスすることを許可されている通信端末及びホームネットワークに直接アクセスすることを許可されていない通信端末を区別するようにアドレスのプレフィックスが割り当てられている場合に、移動情報管理装置(ホームエージェント)は、モバイルネットワーク管理装置(モバイルルータ)から受信したアクセス要求の送信元アドレスのプレフィックスを参照することにより、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行うことが可能となる。
また、上記の目的を達成するため、本発明の移動情報管理装置は、ホームネットワークに直接アクセスしようとしている通信端末の移動管理を行う移動情報管理装置であって、
モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置から、カプセル化されたパケットを受信するパケット受信手段と、
前記カプセル化されたパケットをデカプセル化するとともに、カプセル化ヘッダに付加されている指標情報であって、前記デカプセル化された内部パケットの送信元が前記ホームネットワークに直接アクセスすることを許可されている通信端末であるか否かを示す前記指標情報を取得するデカプセル化手段と、
デカプセル化された前記内部パケットが前記ホームネットワークへのアクセス要求の場合には、前記指標情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されている場合には、前記内部パケットのあて先アドレスで指定されているあて先に前記アクセス要求を転送するホームネットワーク通信手段と、
前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
有する。
上記の構成により、通信端末がホームネットワークに直接アクセスすることを許可されているか否かを区別するための指標情報がアクセス要求に付加されている場合に、移動情報管理装置(ホームエージェント)は、この指標情報を参照することにより、アクセス要求を行っている通信端末が訪問者ノードか否かの識別を行うことが可能となる。
さらに、本発明の移動情報管理装置は、上記の構成に加えて、前記セキュリティ管理装置との間でトンネルを形成し、前記セキュリティ用ネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化するトンネリング手段を有する。
上記の構成により、モバイルネットワーク管理装置(モバイルルータ)は、配下の通信端末から受信したアクセス要求を改変することなくセキュアな状態で、セキュリティ管理装置(ポリシサーバ)に転送することが可能となる。
本発明は、上記構成を有しており、訪問者ノード(VN)から送信されたパケットに関して、ホームユーザによって設定された様々なセキュリティポリシに基づくアクセスコントロールの適切な執行が確実に行われるようにするという効果を有している。
以下、図面を参照しながら、本発明の実施の形態について説明する。まず、本発明の実施の形態におけるモバイルルータの構成について説明する。図1は、本発明の実施の形態におけるモバイルルータ(MR)の構成の好適な一例を示す図である。
図1に図示されているMR10は、アクセスインタフェース11を有している。このアクセスインタフェース11によって、MR10は他のノードにパケットを送信するとともに、他のノードからパケットを受信することが可能となる。なお、アクセスインタフェース11の一例としては、Wi−Fi(Wireless Fidelity:ワイアレスフィディリティ)、ブルートゥース(登録商標)、セルラ(携帯電話)などが挙げられるが、これらのインタフェースに限定されるものではない。アクセスインタフェース11は、経路15を通じて処理部(プロセッサ)12とパケットの送受信を行う。
さらに、MR10は、送受信パケットを処理する処理部12を有している。処理部12は、双方向トンネルの形成処理やMR10のバインディングアップデートの生成処理を行う。さらに、処理部12は、自身のホームエージェントから受信したバインディングアクノレッジに関する処理や、データ格納部14に格納されるバインディングアップデートリストの更新処理を行う。
また、セキュリティ鍵が必要な場合には、処理部12は、経路16を通じてMR10内に存在する鍵生成部13に信号を送信する。鍵生成部13は、この信号を受信した場合に、処理部12にとって必要な鍵を生成し、経路16を通じて鍵を処理部12に送信する。
さらに、MR10は、MR10に必要な情報を格納するデータ格納部14を有している。データ格納部14は、経路17を通じて処理部12に接続されており、処理部12は、データ格納部14への情報の格納やデータ格納部14からの情報の読み出しを行う。なお、データ格納部14に格納される情報の一例としては、ホームアドレスのプレフィックス(以下、ホームプレフィックスと呼ぶこともある)、バインディングアップデートリスト、あるいはモバイルネットワークのプレフィックスが挙げられるが、これらの情報に限定されるものではない。
図2は、本発明の実施の形態におけるホームエージェント(HA)の構成の好適な一例を示す図である。
図2に図示されているHA20は、アクセスインタフェース21を有している。このアクセスインタフェース21によって、HA20は他のノードにパケットを送信するとともに、他のノードからパケットを受信することが可能となる。なお、アクセスインタフェース21の一例としては、イーサネット(登録商標)、Wi−Fi、セルラ(携帯電話)などが挙げられるが、これらのインタフェースに限定されるものではない。アクセスインタフェース21は、経路25を通じて処理部(プロセッサ)22とパケットの送受信を行う。
また、HA20内に存在する処理部22は、経路25を通じて送受信されるパケットの処理や双方向トンネルの形成処理などの機能を有している。さらに、処理部22は、MR10から送信されるバインディングアップデートメッセージの処理や、経路27を通じてデータ格納部24に格納されるバインディングアップデートキャッシュの更新処理、MR10へのバインディングアクノレッジメントの送信処理などを行う機能を有している。
さらに、HA20は、鍵生成部23を有している。鍵生成部23は、経路26を通じて処理部22から信号を受信した場合には必要な鍵を生成し、経路26を通じて鍵を処理部22に送信する。
さらに、HA20は、HA20に必要な情報を格納するデータ格納部24を有している。なお、データ格納部24に格納される情報の一例としては、ホームアドレスのプレフィックス、バインディングアップデートキャッシュ、あるいはモバイルネットワークのプレフィックスが挙げられるが、これらの情報に限定されるものではない。
次に、本発明の実施の形態における通信システムの概要について説明する。図3は、本発明の実施の形態における通信システムの一例を示す図である。
図3に図示されている通信システムにおいて、モバイルパーソナルエリアネットワーク(PAN)30には、訪問者ノード(VN)31が含まれている。VN31は、モバイルPAN30内の外部ノードとして機能する。なお、VN31はモバイルノードであってもよく、固定ノードであってもよい。
また、モバイルPAN30には、モバイルルータ(MR)10が含まれている。MR10は、モバイルPAN30内のすべてのトラフィックの発送を行う。なお、MR10は、コレスポンデントノード(CN)(このシステムでは不図示)との間で経路最適化を行っている場合には、この不図示のノードに対して直接パケットの送信を行うことも可能であるが、ここでは、モバイルPAN30内から外部に送出されるすべてのトラフィックを、自身のホームエージェント(HA)20に発送するものとする。
また、VN31は、モバイルルータ(MR)10に接続されており、モバイルPAN30における動作の認可を受けることができる。
また、MR10及びHA20は、MR10とHA20との間でトラフィックが発送されるように、アクセスシステム32を通る双方向トンネル37aを確立する。なお、アクセスシステム32は、インターネットやセルラネットワークなどであってもよいが、これらのネットワークに制限されるものではない。
また、MR10及びポリシサーバ(Policy Server)36は、相互の間におけるトラフィックの経路付けを行うため、アクセスシステム32を通る別の双方向トンネル37cを確立することも可能である。なお、この双方向トンネル37cは、後述のように、例えばMN10がポリシサーバ36に対してパケットを転送する態様が実施される場合に必要となるものであって、MR10がHA20に対してのみパケットを転送する態様においては確立される必要はない。
また、ホームネットワーク33には、HA20が含まれている。HA20は、MR10をあて先とするすべてのパケットをMR10に転送する。これにより、MR10がホームネットワーク33内に存在しない場合であっても、MR10への到達可能性が維持される。
また、HA20は、MR10の現在の気付アドレス(CoA:Care-of Address)の更新を保持するとともに、トラフィックの発送のためにMR10と双方向トンネル37aを確立する。また、HA20は、相互にトラフィックを発送するため、ポリシサーバ36との通信を行う。なお、HA20は、ポリシサーバ36との間に双方向トンネル37bを確立してもよい。
さらに、ホームネットワーク33には、メディアサーバ34が含まれている。このメディアサーバ34は、VN31がアクセスを行おうとするホームユーザのデータ34aを保持している。なお、データ34aは、例えばオーディオファイルやビデオファイルなどであるが、これらのファイル形式に限定されるものではない。
また、ここでは、ホームネットワーク33のセキュリティ強度を向上させるため、ホームネットワーク33に対してDMZ(De-Militarized Zone:非武装地帯)35が設けられている。DMZ35には、ポリシサーバ36が含まれている。このポリシサーバ36は、VN31からのデータパケット受信時に実施するセキュリティポリシ36aを保持している。
なお、ポリシサーバ36は、例えばDMZ35内に存在する1つ又は複数のサーバであるが、この構成に限定されるものではない。また、ポリシサーバ36は、ファイアウォールゲートウェイの機能を有していてもよい。また、セキュリティポリシ36aのフォーマットは、例えばXML(eXtended Markup Language)フォーマットであるが、上記のフォーマットに限定されるものではない。さらに、セキュリティポリシ36aは、例えばユーザが導入したポリシであるが、これに限定されるものではない。
MR10は、ホームネットワーク33内に存在している際に、例えばHA20から1つ又は複数のホームアドレスのプレフィックスを取得するなどの動作を行って、自身のホームアドレスを決定する。この場合、MR10は、ホームアドレスのプレフィックスを取得すると、ステートレスなアドレス自動設定を用いてユニークなホームアドレスを構成し、このユニークなホームアドレスをHA20に登録する。なお、MR10のホームアドレスはあらかじめ手動で設定されるなど、任意の方法によって設定可能である。
MR10は、自身のホームアドレスの構成に成功すると、HA20から取得した1つ又は複数のネットワークプレフィックスをモバイルPAN30内にブロードキャストすることができるようになる。このとき、MR10に接続されているノードは、ブロードキャストされるプレフィックスを用いて各自のホームアドレスを構成することが可能となる。なお、MR10に接続されているノードは、例えば訪問者ノード(VN)31やホームユーザのノードであるが、これらに限定されるものではない。また、後述のように、このときMR10は、ホームユーザのノードやモバイルPAN30内に固定されているローカル固定ノード(LFN:Local Fixed Node)と、アクセスコントロールを行う対象となるVN31とに対して、それぞれ異なるプレフィックスを割り当てるようにすることも可能である。
一方、MR10がホームネットワーク33を離れて外部リンクに接続を行った場合には、MR10は、接続先のAR(Access Router:アクセスルータ)から気付アドレス(CoA)を取得する。
MR10は、CoAの取得に成功すると、HA20との間でセキュリティアソシエーションを実行して、HA20との間で双方向トンネル37aの確立を試みる。なお、MR10とHA20との間でセキュリティアソシエーションを作る方法として、例えばIKE(Internet Key Exchange)が挙げられるが、これに限定されるものではない。
MR10とHA20との間でセキュリティアソシエーションが確立されると、MR10は、HA20に対してバインディングアップデート(BU:Binding Update)メッセージの送信処理を行って、現在の接続ポイントにおけるアドレス(自身のCoA)の更新を行う。
HA20は、BUメッセージが正当なホームユーザによって送信されたものであるか否かのチェックを行った後、自身のBUキャッシュを更新する。そして、HA20は、MR10のユニークなホームアドレスと、MRの現在のCoAとの関連付けを行う。
また、双方向トンネル37aが確立されると、HA20は、DMZ35内のポリシサーバ36に関する情報をMR10に転送することが可能となる。以下、図4A及び図4Bを参照しながら、HA20がDMZ35内のポリシサーバ36に関する情報をモバイルルータに通知する方法について説明する。なお、図4A及び図4Bに係る処理は、MN10がポリシサーバ36との間に双方向トンネル37cを確立するための情報(ポリシサーバ36に関する情報)を取得するためのものである。なお、これらのステップはオプションであり、MR10があらかじめポリシサーバ36に関する情報を保持している場合、又は、双方向トンネル37cの確立が必要ではない場合には、これらの処理は実行される必要はない。
図4Aには、本発明の実施の形態において、HA20がDMZ35内のポリシサーバ36に関する情報をモバイルルータに通知する方法の一例を示すシーケンスチャートが図示されている。
図4Aにおいて、MR10が自身の現在のCoAをHA20に登録した際、HA20は、DMZ35内のポリシサーバ36に関する情報(図4Aでは、PS Infoと記載)をMR10に転送する(ステップS40)。なお、ポリシサーバ36に関する情報は、例えばポリシサーバ36のアドレスやセキュリティアソシエーション鍵などであるが、これらの情報に限定されるものではない。また、アドレスは、例えばIPアドレスであるが、これに限定されるものではない。
MR10は、ポリシサーバ36のアドレスをデータ格納部14に格納し、HA20にアクノレッジメント(図4Aでは、Ackと記載)を返信する(ステップS41)。このとき、MR10は、セキュリティアソシエーション鍵を用いて、ポリシサーバ36と双方向トンネル37cを形成することが可能となる。
また、図4Bには、本発明の実施の形態において、HA20がDMZ35内のポリシサーバ36に関する情報をモバイルルータに通知する方法の別の一例を示すシーケンスチャートが図示されている。
図4Bでは、HA20は、DMZ35内の利用可能なポリシサーバ36のリストを保持し、定期的に更新する。上記のポリシサーバ36のリストは、HA20のデータ格納部24内に格納される。これにより、HA20は、複数のポリシサーバ36が存在する場合に、複数のポリシサーバ36間の負荷バランシングを実行することが可能となる。
MR10は、HA20に対して、ポリシサーバ36に関する情報(図4Bでは、PS Infoと記載)の提供のリクエストを送信する(ステップS42)。HA20は、このリクエストの処理を行い(ステップS43)、ポリシサーバ36のリストを参照して、どのポリシサーバ36が利用可能であるかをチェックする。
HA20は、MR10のパケットの処理を行うポリシサーバ36を決定すると、MR10に応答を行う。なお、これ以降の処理は、図4Aに示されているステップS40及びステップS41と同一であり、ここでは説明を省略する。
一方、VN(訪問者ノード)31はモバイルPAN30に対して外部のノードである。VN31は、モバイルPAN30内に入った場合には、MR10と通信を行うことによって、モバイルPAN30への接続を試みる。
VN31は、モバイルPAN30で利用可能なホームプレフィックスを含むRA(Router Advertisement)をMR10から受信する。なお、MR10は、VN31に対して、ホームユーザのノードに対して割り当てるホームプレフィックスとは異なるホームプレフィックス(VN31用のプレフィックス)を割り当てるようにしてもよい。また、VN31は、ホームプレフィックスを取得するために、RS(Router Solicitation:ルータ要請)リクエストをMR10に送信してもよい。VN31は、ホームプレフィックスの取得後、モバイルPAN30内で動作するための有効なアドレスを構成する。
そして、VN31が、まず、MR10によるルーティングサービスの提供を要求すると、MR10はVN31の認証処理を行う。VN31の認証は、例えばIEEE802.1x共有鍵認証であるが、これに限定されるものではない。なお、モバイルPAN30内のホームユーザのノードは、MR10との間で事前共有秘密(pre-shared secret)を共有していることが望ましい。
VN31がモバイルPAN30における外部ノードであることが特定されると、MR10は、VN31に関する情報を自身のデータ格納部14内に格納する。以上の動作によって、VN31はモバイルPAN30に接続される。
なお、ホームネットワーク33のメディアサーバ34内に存在するデータ34aは、モバイルPAN30内部に存在するノードであればアクセスすることが可能なデータであり、VN31も、データ34aにアクセスすることが可能であるものとする。
次に、本発明の実施の形態において、VN31がメディアサーバ34内に存在するデータ34aにアクセスする際の動作について説明する。なお、以下では、MR10が、HA20との間で双方向トンネル37aを確立するとともに、ポリシサーバ36との間で双方向トンネル37cを確立する場合と、HA20との間で双方向トンネル37aのみを確立する場合とに大別して説明する。
まず、図5を参照しながら、MR10とHA20との間において確立されている双方向トンネル37a、及びMR10とポリシサーバ36との間で確立されている双方向トンネル37cの両方を用いる場合について説明する。なお、図5には、HA20とポリシサーバ36との間に双方向トンネル37bが確立されている状態が図示されているが、必ずしもHA20とポリシサーバ36との間の通信に双方向トンネル37bが確立される必要はない。図5には、本発明の実施の形態におけるVN31へのファイル転送処理の一例を示すシーケンスチャートが図示されている。
図5において、VN31は、メディアサーバ34からデータ34aを取得しようとしており、MR10にファイルリクエストを送信する(ステップS50)。MR10は、ファイルリクエストの処理を行って(ステップS51)、ファイルリクエストの送信者がホームユーザのノード又はモバイルPAN30内のVN31のどちらであるかを判断する。なお、ファイルリクエストの送信者がデータ34aへのアクセス権限を持たないノードである場合には、MR10は、この時点でファイルリクエストを拒否することが可能である。
このファイルリクエストの送信者がホームユーザのノード又はモバイルPAN30内のVN31のどちらであるかを判断する方法としては、いくつかの方法が考えられる。例えば、MR10は、VN31の認証処理時にMR10がデータ格納部14に格納したVN31に関する情報を参照することによって、このファイルリクエストの送信者が、ホームユーザのノードであるか、あるいは外部ノード(すなわち、VN31)であるかを特定することが可能である。
一方、MR10がVN31に対して、ホームユーザのノードとは異なるプレフィックスを割り当てるように構成されている場合には、ファイルリクエストの送信者のアドレスのプレフィックスを参照することによって、このファイルリクエストの送信者が、ホームユーザのノードであるか、あるいは外部ノード(すなわち、VN31)であるかを特定することも可能である。なお、ファイルリクエストの送信者がホームユーザのノード又はモバイルPAN30内のVN31のどちらであるかを判断する方法は、上述の方法に限定されるものではない。
例えば、ファイルリクエストの送信者がVN31であることが特定された場合には、MR10は、このファイルリクエストメッセージをカプセル化し、双方向トンネル37cを通じて、DMZ35内のポリシサーバ36にファイルリクエストメッセージをトンネルする(ステップS52)。
ポリシサーバ36では、MR10からのパケットはデカプセル化(decapsulate)され、ファイルリクエストメッセージは、セキュリティポリシ36aを考慮して処理される(ステップS53)。ファイルリクエストメッセージが、セキュリティポリシ36aの条件に合う場合(すなわち、セキュリティポリシ36aに鑑みて、VN31によるデータ34aのアクセスが認められる場合)には、ポリシサーバ36は、ファイルリクエストメッセージをメディアサーバ34に転送する(ステップS54)。なお、ポリシサーバ36はファイルリクエストメッセージをカプセル化してメディアサーバ34に転送してもよい。一方、ファイルリクエストメッセージが、セキュリティポリシ36aの条件に合わない場合には、例えば、ポリシサーバ36は、MR10に対してファイルリクエストを拒否するメッセージによる応答を行う。
なお、ポリシサーバ36は、VN31のホームエージェントとして機能することも可能である。また、ポリシサーバ36は、HA20を経由してメディアサーバ34にファイルリクエストメッセージの転送を行うことも可能である。
メディアサーバ34は、ファイルリクエストメッセージの処理を行って(ステップS55)、認可されているエンティティからのファイルリクエストか否かを判断する。
そして、認可されているエンティティからのファイルリクエストであることを認識したメディアサーバ34は、リクエストされたファイルをHA20に転送し(ステップS56)、HA20は、双方向トンネル37aを通じてMR10にファイルをトンネルする(ステップS57)。MR10は、ファイルを受信すると、このファイルをVN31に転送する(ステップS58)。
なお、MR10は、経路最適化技術を用いてメディアサーバ34との間に双方向トンネルを形成し、これによって、MR10とメディアサーバ34との間でデータ34aがセキュアに転送されるようにしてもよい。
また、図5では、VN31からファイルリクエストが行われた場合の処理が図示されているが、ホームユーザのノードがファイルリクエストを行う場合もある。この場合には、MR10が、ファイルリクエストの送信者がホームユーザのノードであることを特定し、ファイルリクエストメッセージをカプセル化して、双方向トンネル37aを通じてHA20にファイルリクエストメッセージを送信する。また、VN31が外部ネットワーク(すなわち、ホームネットワーク33以外のネットワーク)あてのパケットを送信した場合には、ポリシサーバ36においてホームネットワーク33あてではないことが確認された後、パケットはHA20に渡されて、HA20から外部ネットワークに転送されるようになる。
次に、図6及び図7を参照しながら、MR10とHA20との間において確立されている双方向トンネル37aのみを用いる場合について説明する。この場合には、MR10は、HA20との間で双方向トンネル37aを確立するだけでよい。すなわち、この場合には、MR10は、ポリシサーバ36との間の双方向トンネル37cを確立する必要がない。
この場合、例えば、MR10は、どのパケットがホームユーザのノードから送信されたものであり、どのパケットがVN31から送信されたものであるかを区別してから、HA20にパケットの転送を行うようにする。なお、パケットの送信者がホームユーザのノード又はVN31のどちらであるかを判断する方法としては、先に説明した方法を利用することが可能である。そして、MR10からHA20に転送されるパケットには、例えば図6に図示されているようなタグ付けが行われる。
図6には、本発明の実施の形態において、ホームユーザのノードからのパケットとVNからのパケットとを区別するタグ付けを行うためのパケットの構造の一例が図示されている。
モバイルPAN30内の任意のノードからパケットを受信したMR10は、パケットのカプセル化を行うとともに、モバイルIP(MIP:Mobile IP)のヘッダ部61内にマーク60を付加することによって、パケットのタグ付けを行う。なお、モバイルPAN30内の任意のノードから受信したパケットはペイロード部62にカプセル化される。
MR10は、パケットのカプセル化より前にあるいは同時に、パケットの送信者がホームユーザのノード又はVN31のどちらであるかの判断を行い、この判断結果に基づいて、ホームユーザのノード又はVN31を識別するための情報をマーク60としてモバイルIPのヘッダ部61内に付加する。なお、マーク60は、例えばアドレスのプレフィックス、トークン、あるいはフラグのビットであるが、これらに限定されるものではない。また、ここでは、カプセル化後のヘッダ部61にマーク60が付加されているが、MR10から転送されるパケットを受信するHA20が識別可能な任意の位置にマーク60の付加が行われてもよい。
また、図7には、本発明の実施の形態において、VN31からのファイルリクエストを転送する処理の一例を示すシーケンスチャートが図示されている。なお、図7では、図5に図示されているシーケンスチャートとは異なり、MR10とポリシサーバ36との間の双方向トンネル37cは利用されない。また、図7に示す動作において、HA20とポリシサーバ36との間の通信は、双方向トンネル37bを通じて行われるものとするが、HA20とポリシサーバ36との間の通信に必ずしもトンネルが利用される必要はない。
MR10は、メディアサーバ34内に存在するデータ34aへのアクセスを行うためのファイルリクエストメッセージをVN31から受信する(ステップS70)。
MR10は、ファイルリクエストメッセージの処理を行い(ステップS71)、ファイルリクエストメッセージの送信者がホームユーザのノード又はモバイルPAN30内のVN31のどちらであるかを判断する。
例えば、ファイルリクエストメッセージの送信者がVN31であることが特定された場合には、カプセル化を行うとともに、このパケットがモバイルPAN30内のVN31からのものであることを示すマーク60を付加することによって、パケットのタグ付けを行う。そして、MR10は、双方向トンネル37aを通じて、タグ付けが行われているファイルリクエストメッセージをHA20にトンネルする(ステップS72)。なお、ファイルリクエストメッセージの送信者がVN31であることが特定された場合には、ホームユーザのノードからのものではないことを示すマーク60がパケットに付加される。
HA20は、タグ付けが行われているファイルリクエストメッセージの受信及び処理を行って(ステップS73)、VN31からのパケットである旨を示すタグ付けが行われていることを特定する。そして、HA20は、ポリシサーバ36にファイルリクエストメッセージを送信する(ステップS74)。ここでは、HA20は双方向トンネル37bを利用しているので、ポリシサーバ36に対してファイルリクエストメッセージをトンネルする。なお、図7には不図示だが、HA20は、ホームユーザのノードからのパケットに関しては、すぐにメディアサーバ34に転送してもよい。
ポリシサーバ36は、ファイルリクエストメッセージを受信(さらにデカプセル化)して、セキュリティポリシを考慮した処理を行う(ステップS75)。そして、ファイルリクエストメッセージが、認可されているVN31からのものであることが確認された場合には、ポリシサーバ36は、ファイルリクエストメッセージをメディアサーバ34に転送する(ステップS76)。なお、ファイルリクエストメッセージが、セキュリティポリシ36aの条件に合わない場合には、例えば、ポリシサーバ36は、MR10に対してファイルリクエストを拒否するメッセージによる応答を行う。
なお、ポリシサーバ36は、HA20を経由してメディアサーバ34にファイルリクエストメッセージを転送することも可能である。また、リクエストされたファイルがメディアサーバ34からVN31に送信される際の処理は、図5に示すステップS55〜ステップS58の処理と同一であり、説明を省略する。
また、MR10がVN31に対して、ホームユーザのノードとは異なるプレフィックスを割り当てるように構成されている場合には、MR10は、ファイルリクエストメッセージをそのままHA20に転送し、HA20において、ファイルリクエストメッセージの送信者のアドレスのプレフィックスを参照することによって、このファイルリクエストの送信者が、ホームユーザのノードであるか、あるいは外部ノード(すなわち、VN31)であるかの特定が行われるようにしてもよい。
例えば、MR10は、ホームユーザのノード用のプレフィックスを含むRAメッセージと、外部ノード用のプレフィックスを含むRAメッセージを用意することが可能である。MR10は、ホームユーザのノード用のプレフィックスを含むRAメッセージに関しては、ホームユーザのノードのみが復号可能とするような何らかの暗号化方法を行うことによって、ホームユーザのノード及び外部ノードのそれぞれに対して異なるプレフィックスを通知することが可能である。なお、ホームユーザのノード及び外部ノードのそれぞれに対して異なるプレフィックスを通知する方法は、上記の方法に限定されるものではない。
以上、説明したように、本発明の実施の形態によれば、モバイルPAN30に接続されているVN31がモバイルPAN30のホームネットワーク33にアクセスを行う場合には、必ずDMZ35内のポリシサーバ36を経由してセキュリティポリシ36aの適用を受けるようにすることが可能となる。
なお、上述の本発明の実施の形態では、HA20及びポリシサーバ36をそれぞれ異なるエンティティとしているが、HA20及びポリシサーバ36が同一のエンティティで実現されてもよい。
また、本発明の別の実施の形態において、HA20は、HA20が受信したパケットにフローフィルタリングの実行を示すマークを付加することが可能である。例えば、ユーザは、HA20における処理に関連して、ホームユーザノードからのパケットは訪問者ノードからのパケットより優先されるべきである旨を示すフィルタポリシをHAに設定する。これにより、HA20は、HA20が受信する各パケットに設置されているマーク60を確認し、この確認結果に従ってフィルタルールを実行する。
マーク60によって、パケットがホームユーザノードからのものであることが示されている場合には、HA20は、このパケットをホームユーザノードへのパケットあてのパケットキューに送る。しかしながら、マーク60によって、パケットが訪問者ノードからのものであることが示されている場合には、HA20は、このパケットを訪問者ノードへのパケットあてのパケットキューに送る。HA20は、訪問者ノード用のキューに置かれたパケットの処理を行う前に、まず、ホームユーザノードのキュー内に存在するパケットの処理を行う。このようなフィルタリングを実行することで、ホームユーザは、ホームユーザが所有するすべてのノードに対して迅速なサービスが確実に保証されるようにすることが可能となる。
なお、当業者であれば、移動ネットワークはホームネットワークへの透過接続性を移動ノードに提供するものなので、そもそも移動ネットワークに接続する移動ノードに対してポリシサーバで設定しているセキュリティポリシと同等の接続管理を行うべきであることや、訪問者ノードによる移動ネットワークへの接続を容認することは、訪問者ノードによるホームネットワークへの接続を容認することと同等である旨をユーザが認知しているべきであることなどを考えるかもしれない。さらに、このような考えを持つ当業者は、例えば、移動ネットワークに接続してもよい移動ノードを確実に選別することで本発明の課題としている状況自体がそもそも発生し得ないと考えるかもしれない。しかしながら、このようなケースにおいても、モバイルルータ若しくはモバイルネットワークノードの処理能力や消費電力などの問題から、移動ネットワークにおいて十分な接続管理を提供することが難しい場合や、移動ネットワークにおけるセキュリティの深い知識を持たないユーザでも安心して移動ネットワークを使用できるようにしたい場合などに、本発明の適用が可能であることは明白である。
また、ここでは、特定の具体例を用いて本発明の説明を行っているが、当業者であれば、同様の目的を実現できる他の任意の構成においても、本発明の適用が可能であることは明白である。また、ここでは、本発明の基本的な概念に関して説明を行っているが、本発明の基本的な概念の説明に用いられている特定の具体例は、本発明の範囲を制限するものではない。
なお、上述の本発明の実施の形態の説明で用いた各機能ブロックは、典型的には集積回路であるLSI(Large Scale Integration)として実現される。これらは個別に1チップ化されてもよいし、一部又はすべてを含むように1チップ化されてもよい。なお、ここでは、LSIとしたが、集積度の違いにより、IC(Integrated Circuit)、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。例えば、バイオ技術の適応などが可能性としてあり得る。
本発明は、訪問者ノード(VN)から送信されたパケットに関して、ホームユーザによって設定された様々なセキュリティポリシに基づくアクセスコントロールを正確に執行できるようにするという効果を有しており、モバイル通信ネットワークを利用して通信を行う通信技術や、パーソナルモバイル通信ネットワーク及びユーザのホームネットワークのセキュリティ向上を図るためのアクセスコントロール技術に適用可能である。
本発明の実施の形態におけるモバイルルータ(MR)の構成の好適な一例を示す図 本発明の実施の形態におけるホームエージェント(HA)の構成の好適な一例を示す図 本発明の実施の形態における通信システムの一例を示す図 本発明の実施の形態において、ホームエージェント(HA)が非武装地帯(DMZ)内のポリシサーバに関する情報をモバイルルータ(MR)に通知する方法の一例を示すシーケンスチャート 本発明の実施の形態において、ホームエージェント(HA)が非武装地帯(DMZ)内のポリシサーバに関する情報をモバイルルータ(MR)に通知する方法の別の一例を示すシーケンスチャート 本発明の実施の形態における訪問者ノード(VN)へのファイル転送処理の一例を示すシーケンスチャート 本発明の実施の形態において、ホームユーザのノードからのパケットと訪問者ノード(VN)からのパケットとを区別するタグ付けを行うためのパケットの構造の一例を示す図 本発明の実施の形態において、訪問者ノード(VN)からのファイルリクエストを転送する処理の一例を示すシーケンスチャート
符号の説明
10 モバイルルータ(MR)
11、21 アクセスインタフェース
12、22 処理部
13、23 鍵生成部
14、24 データ格納部
20 ホームエージェント(HA)
30 モバイルパーソナルエリアネットワーク(モバイルPAN)
31 訪問者ノード(VN)
32 アクセスシステム
33 ホームネットワーク
34 メディアサーバ
34a データ
35 非武装地帯(DMZ)
36 ポリシサーバ
36a セキュリティポリシ
37a、37b、37c 双方向トンネル
60 マーク
61 MIPヘッダ部
62 ペイロード部

Claims (12)

  1. モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置であって、
    前記モバイルネットワークに接続されている通信端末から、前記モバイルネットワークのホームネットワークへのアクセス要求を受信するアクセス要求受信手段と、
    前記アクセス要求受信手段で受信した前記アクセス要求の送信元の通信端末が、前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されている場合には、前記ホームネットワークに存在する移動情報管理装置に前記アクセス要求を転送するホームネットワーク通信手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
    有するモバイルネットワーク管理装置。
  2. 前記通信端末が前記モバイルネットワークに接続する際に、前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを特定する通信端末特定手段と、
    前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す情報を格納する情報格納手段とを有し、
    前記判断手段が、前記情報格納手段に格納されている前記情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている請求項1に記載のモバイルネットワーク管理装置。
  3. 前記ホームネットワークに直接アクセスすることを許可されている通信端末及び前記ホームネットワークに直接アクセスすることを許可されていない通信端末に対して、それぞれ異なるアドレスのプレフィックスを通知するプレフィックス通知手段を有し、
    前記判断手段が、前記アクセス要求の送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている請求項1に記載のモバイルネットワーク管理装置。
  4. 前記移動情報管理装置との間でトンネルを形成し、前記ホームネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化する第1トンネリング手段と、
    前記セキュリティ管理装置との間でトンネルを形成し、前記セキュリティ用ネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化する第2トンネリング手段とを、
    有する請求項1から3のいずれか1つに記載のモバイルネットワーク管理装置。
  5. モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置であって、
    前記モバイルネットワークに接続されている通信端末から、前記モバイルネットワーク管理装置のホームネットワークへのアクセス要求を受信するアクセス要求受信手段と、
    前記アクセス要求受信手段で受信した前記アクセス要求の送信元の通信端末が、前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す指標情報を前記アクセス要求に付加する情報付加手段と、
    前記情報付加手段で前記指標情報が付加された前記アクセス要求を前記ホームネットワークに存在する移動情報管理装置に転送するホームネットワーク通信手段とを、
    有するモバイルネットワーク管理装置。
  6. 前記通信端末が前記モバイルネットワークに接続する際に、前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを特定する通信端末特定手段と、
    前記通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを示す情報を格納する情報格納手段とを有し、
    前記判断手段が、前記情報格納手段に格納されている前記情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている請求項5に記載のモバイルネットワーク管理装置。
  7. 前記ホームネットワークに直接アクセスすることを許可されている通信端末及び前記ホームネットワークに直接アクセスすることを許可されていない通信端末に対して、それぞれ異なるアドレスのプレフィックスを通知するプレフィックス通知手段を有し、
    前記判断手段が、前記アクセス要求の送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断するように構成されている請求項5に記載のモバイルネットワーク管理装置。
  8. 前記移動情報管理装置との間でトンネルを形成し、前記ホームネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化するトンネリング手段を有する請求項5から7のいずれか1つに記載のモバイルネットワーク管理装置。
  9. ホームネットワークに直接アクセスしようとしている通信端末の移動管理を行う移動情報管理装置であって、
    モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置から、カプセル化されたパケットを受信するパケット受信手段と、
    前記カプセル化されたパケットをデカプセル化するデカプセル化手段と、
    デカプセル化された内部パケットが前記ホームネットワークへのアクセス要求の場合には、前記内部パケットの送信元アドレスのプレフィックスを参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されている場合には、前記内部パケットのあて先アドレスで指定されているあて先に前記アクセス要求を転送するホームネットワーク通信手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
    有する移動情報管理装置。
  10. 前記セキュリティ管理装置との間でトンネルを形成し、前記セキュリティ用ネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化するトンネリング手段を有する請求項9に記載の移動情報管理装置。
  11. ホームネットワークに直接アクセスすることを許可されている通信端末の移動管理を行う移動情報管理装置であって、
    モバイルネットワークを制御し、前記モバイルネットワークと共に移動するモバイルネットワーク管理装置から、カプセル化されたパケットを受信するパケット受信手段と、
    前記カプセル化されたパケットをデカプセル化するとともに、カプセル化ヘッダに付加されている指標情報であって、前記デカプセル化された内部パケットの送信元が前記ホームネットワークに直接アクセスすることを許可されている通信端末であるか否かを示す前記指標情報を取得するデカプセル化手段と、
    デカプセル化された前記内部パケットが前記ホームネットワークへのアクセス要求の場合には、前記指標情報を参照して、前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されているか否かを判断する判断手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されている場合には、前記内部パケットのあて先アドレスで指定されているあて先に前記アクセス要求を転送するホームネットワーク通信手段と、
    前記アクセス要求の送信元の通信端末が前記ホームネットワークに直接アクセスすることを許可されていない場合には、前記ホームネットワークと外部ネットワークとの中間に存在するセキュリティ用ネットワークに配置されており、前記ホームネットワークへのアクセスコントロールを行うセキュリティ管理装置に前記アクセス要求を転送するセキュリティ用ネットワーク通信手段とを、
    有する移動情報管理装置。
  12. 前記セキュリティ管理装置との間でトンネルを形成し、前記セキュリティ用ネットワーク通信手段で前記アクセス要求を転送する際に前記アクセス要求をカプセル化するトンネリング手段を有する請求項11に記載の移動情報管理装置。
JP2008530053A 2005-12-26 2006-12-26 モバイルネットワーク管理装置及び移動情報管理装置 Active JP4857342B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008530053A JP4857342B2 (ja) 2005-12-26 2006-12-26 モバイルネットワーク管理装置及び移動情報管理装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2005373126 2005-12-26
JP2005373126 2005-12-26
PCT/JP2006/326359 WO2007077958A1 (en) 2005-12-26 2006-12-26 Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
JP2008530053A JP4857342B2 (ja) 2005-12-26 2006-12-26 モバイルネットワーク管理装置及び移動情報管理装置

Publications (2)

Publication Number Publication Date
JP2009521820A JP2009521820A (ja) 2009-06-04
JP4857342B2 true JP4857342B2 (ja) 2012-01-18

Family

ID=37896058

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008530053A Active JP4857342B2 (ja) 2005-12-26 2006-12-26 モバイルネットワーク管理装置及び移動情報管理装置

Country Status (5)

Country Link
US (1) US8539554B2 (ja)
EP (2) EP2144416B1 (ja)
JP (1) JP4857342B2 (ja)
CN (2) CN101346968B (ja)
WO (1) WO2007077958A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2876853A1 (fr) * 2004-10-20 2006-04-21 France Telecom Procede d'adressage d'un reseau ip se connectant a un autre reseau ip
US8635307B2 (en) * 2007-02-08 2014-01-21 Microsoft Corporation Sensor discovery and configuration
EP2124401A4 (en) * 2007-02-13 2012-09-26 Nec Corp SYSTEM FOR MANAGING MOBILE DEVICES, NETWORK DEVICE AND OPERATING CONTROL METHOD THEREFOR FOR MOBILE DEVICES
WO2008145174A1 (en) * 2007-05-25 2008-12-04 Telefonaktiebolaget Lm Ericsson (Publ) Route optimisation for proxy mobile ip
KR100881272B1 (ko) * 2007-07-25 2009-02-05 한국전자통신연구원 Pmip6 도메인에서의 이동 라우터 관리 시스템 및 방법
EP2020794A1 (en) * 2007-08-02 2009-02-04 Siemens Aktiengesellschaft Method for operating a moving network
US8238314B2 (en) * 2007-09-27 2012-08-07 Alcatel Lucent Method and apparatus for providing a distributed forwarding plane for a mobility home agent
CN101926149B (zh) 2008-01-29 2014-04-16 艾利森电话股份有限公司 动态策略服务器分配
EP2096828B1 (en) * 2008-02-26 2012-08-22 Vodafone Holding GmbH Method and management unit for managing access to data on a personal network
CN101272627B (zh) * 2008-04-30 2010-12-22 杭州华三通信技术有限公司 实现漫游的网络接入控制方法及设备
KR101588887B1 (ko) * 2009-02-09 2016-01-27 삼성전자주식회사 멀티-홉 기반의 인터넷 프로토콜을 사용하는 네트워크에서 이동 노드의 이동성 지원 방법 및 그 네트워크 시스템
US20110066712A1 (en) * 2009-04-17 2011-03-17 Prem Jothipragasam Kumar User-defined services in a personal distributed network
JP5982389B2 (ja) * 2010-11-17 2016-08-31 ラッカス ワイヤレス, インコーポレイテッド クロスアクセスログインコントローラ
WO2012073406A1 (en) 2010-12-02 2012-06-07 Nec Corporation Communication system, control device, communication method and program
CN103493442B (zh) * 2011-04-18 2017-02-08 日本电气株式会社 终端、控制设备以及通信方法
KR20140002042A (ko) * 2011-04-18 2014-01-07 닛본 덴끼 가부시끼가이샤 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램, 및 정보 처리 디바이스
US9202070B2 (en) * 2012-10-31 2015-12-01 Broadcom Corporation Input/output gatekeeping
JP2016521029A (ja) 2013-03-28 2016-07-14 トムソン ライセンシングThomson Licensing セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法
CN103731756B (zh) * 2014-01-02 2016-09-07 中国科学院信息工程研究所 一种基于智能云电视网关的智能家居远程安全访问控制实现方法
EP2899940B1 (en) * 2014-01-23 2020-06-03 Vodafone GmbH Connection method for secure connecting of a mobile device system to a network
CN104331029B (zh) * 2014-05-30 2017-11-03 青岛海尔股份有限公司 具有双网络连接方式的除菌除异味控制系统及方法
KR101869347B1 (ko) * 2016-01-26 2018-06-21 한국기초과학지원연구원 네트워크 접속 제어 시스템 및 제어 방법
JP6614081B2 (ja) * 2016-09-16 2019-12-04 京セラドキュメントソリューションズ株式会社 端末装置
US11863348B2 (en) * 2021-07-06 2024-01-02 Cisco Technology, Inc. Message handling between domains

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004059926A1 (ja) * 2002-12-26 2004-07-15 Matsushita Electric Industrial Co., Ltd. モバイルネットワーク制御装置および モバイルネットワーク制御方法
WO2005094037A1 (en) * 2004-03-09 2005-10-06 Telefonaktiebolaget Lm Ericsson (Publ) Network mobility support and access control for movable networks

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2371711B (en) 2000-11-27 2004-07-07 Nokia Mobile Phones Ltd A Server
US6978128B1 (en) * 2001-05-04 2005-12-20 Utstarcom, Inc. System and method to allow simple IP mobile nodes to operate seamlessly in a mobile IP network with true roaming capabilities
JP4186456B2 (ja) * 2001-11-28 2008-11-26 沖電気工業株式会社 分散ファイル共有システムおよびその制御方法
US7616597B2 (en) 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
CN100344199C (zh) * 2003-11-19 2007-10-17 华为技术有限公司 无线局域网网络移动性管理的系统及其方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004059926A1 (ja) * 2002-12-26 2004-07-15 Matsushita Electric Industrial Co., Ltd. モバイルネットワーク制御装置および モバイルネットワーク制御方法
WO2005094037A1 (en) * 2004-03-09 2005-10-06 Telefonaktiebolaget Lm Ericsson (Publ) Network mobility support and access control for movable networks

Also Published As

Publication number Publication date
CN102244868A (zh) 2011-11-16
CN101346968A (zh) 2009-01-14
EP2144416A1 (en) 2010-01-13
WO2007077958A1 (en) 2007-07-12
CN101346968B (zh) 2011-10-12
EP1966970A1 (en) 2008-09-10
US8539554B2 (en) 2013-09-17
EP1966970B1 (en) 2017-06-14
EP2144416B1 (en) 2017-05-24
US20090313680A1 (en) 2009-12-17
JP2009521820A (ja) 2009-06-04

Similar Documents

Publication Publication Date Title
JP4857342B2 (ja) モバイルネットワーク管理装置及び移動情報管理装置
US8824480B2 (en) Method and apparatus for end-host based mobility, multi-homing and multipath protocols
JP4981164B2 (ja) 通信システム及び通信ノード
US8437345B2 (en) Terminal and communication system
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20100208706A1 (en) Network node and mobile terminal
JPWO2009044539A1 (ja) 通信制御方法及びネットワークノード並びに移動端末
US9172722B2 (en) Method for network access, related network and computer program product therefor
JP2010521888A (ja) フロー識別用の鍵を使用した、モバイルipのトンネリング・サポート
JP2012517766A (ja) モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法
JP2010518718A (ja) 経路最適化処理によるデータ・パケットのネットワーク制御オーバーヘッド削減
WO2008151557A1 (fr) Procédé, équipement et système ip mobile de serveur mandataire pour déclencher une optimisation de route
JP4607998B2 (ja) 異なるアドレス空間におけるモバイルIPv6のルート最適化
JPWO2008132780A1 (ja) オーバレイネットワークノード及びモバイルノード並びにモバイルルータ
US20100046558A1 (en) Header reduction of data packets by route optimization procedure
JPWO2008105158A1 (ja) ネットワーク管理装置及びパケット転送装置
JPWO2008078632A1 (ja) 通信方法、通信システム、ホームエージェント及びモバイルノード
Li et al. Mobile IPv6: protocols and implementation
Isah An Improved Locator Identifier Split Architecture (ILISA) to Enhance Mobility
Herbert et al. dmm K. Bogineni Internet-Draft Verizon Intended status: Informational A. Akhavain Expires: January 14, 2019 Huawei Canada Research Centre

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110930

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111031

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141104

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4857342

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250