[go: up one dir, main page]

JP3557056B2 - パケット検査装置、移動計算機装置及びパケット転送方法 - Google Patents

パケット検査装置、移動計算機装置及びパケット転送方法 Download PDF

Info

Publication number
JP3557056B2
JP3557056B2 JP28399296A JP28399296A JP3557056B2 JP 3557056 B2 JP3557056 B2 JP 3557056B2 JP 28399296 A JP28399296 A JP 28399296A JP 28399296 A JP28399296 A JP 28399296A JP 3557056 B2 JP3557056 B2 JP 3557056B2
Authority
JP
Japan
Prior art keywords
packet
computer
mobile computer
network
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP28399296A
Other languages
English (en)
Other versions
JPH10136014A (ja
Inventor
淳 井上
政浩 石山
淳 福本
悦幸 津田
淳 新保
利夫 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP28399296A priority Critical patent/JP3557056B2/ja
Priority to US08/957,773 priority patent/US6163843A/en
Publication of JPH10136014A publication Critical patent/JPH10136014A/ja
Application granted granted Critical
Publication of JP3557056B2 publication Critical patent/JP3557056B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク内部から外に向けて転送されようとするパケットを検査するパケット検査装置及び相互に接続されたネットワーク間を移動して暗号通信を行うことが可能な移動計算機装置並びにそれらのパケット転送方法に関する。
【0002】
【従来の技術】
計算機システムの小型化、低価格化やネットワーク環境の充実に伴って、計算機システムの利用は急速にかつ種々の分野に広く拡大し、また集中型システムから分散型システムへの移行が進んでいる。特に近年では計算機システム自体の進歩、能力向上に加え、コンピュータ・ネットワーク技術の発達・普及により、オフィス内のファイルやプリンタなどの資源共有のみならず、オフィス外、1組織外とのコミュニケーション(電子メール、電子ニュース、ファイルの転送など)が可能になり、これらが広く利用されはじめた。特に近年では、世界最大のコンピュータネットワーク「インターネット(Internet)」の利用が普及しており、インターネットと接続し、公開された情報、サービスを利用したり、逆にインターネットを通してアクセスしてくる外部ユーザに対し、情報、サービスを提供することで、新たなコンピュータビジネスが開拓されている。また、インターネット利用に関して、新たな技術開発、展開がなされている。
【0003】
また、このようなネットワークの普及に伴い、移動通信(mobile computing)に対する技術開発も行われている。移動通信では、携帯型の端末、計算機を持ったユーザがネットワーク上を移動して通信する。ときには通信を行いながらネットワーク上の位置を変えていく場合もあり、そのような通信において変化する移動計算機のネットワーク上のアドレスを管理し、正しく通信内容を到達させるための方式が必要である。
【0004】
一般に移動通信を行う場合、移動計算機が所属していたネットワークに移動計算機の移動先データを管理するルータ(ホームエージェント)を置き、移動計算機が移動した場合、このホームエージェントに対して現在位置を示す登録メッセージを送る。登録メッセージが受け取られたら、移動計算機宛データの送信はそのホームエージェントを経由して、移動計算機の元のアドレス宛のIPパケットを移動IPの現在位置アドレス宛パケット内にカプセル化することで移動計算機に対するデータの経路制御が行われる。例えば、図15では、元々ホームネットワーク1aに属していた移動計算機2が、他のネットワーク1bに移動し、ネットワーク1c内の他の計算機(CH)3との間で通信を行う場合に、移動計算機2に対しホームエージェント5(HA)が上記の役割を行う。この方式は、インターネットの標準化団体であるIETFのmobile−IPワーキンググループで標準化が進められている移動IPと呼ばれる方式である(文献:IETF internet draft, IP mobility support (C.Perkins))。
【0005】
ところで、移動IP方式では、移動計算機が新規の移動先に移った場合、現在位置の登録メッセージをホームエージェントに送ることが必要である。この場合、移動計算機がどのようなネットワークに移動したかによって、移動計算機の発するメッセージの扱いが変わってくる。
【0006】
例えば、移動計算機のホームネットワークと親しいネットワークに移動して、そのネットワークの出口に置かれたゲートウェイ(ファイアウォ−ル)が登録メッセージを自由に外部に送出させる場合は、移動IPの規定のままで動作が可能である。
【0007】
一方、移動計算機を外部から内部に滞在(または侵入)しているものとして扱う一般のネットワークでは、セキュリティ上の考慮から、移動計算機の発する登録メッセージを自由に外部に送出させることは危険であると判断する。この場合、移動計算機が、自分は現在自分を侵入者として扱うネットワークにいる、ということを認識し、ゲートウェイに対して身分証明に相当する処理を行って外部アクセス許可を得たうえで登録メッセージのホームエージェントへの送出を行うことが必要になる。また、登録メッセージ送出が完了したあとの実際のデータ転送においても、ゲートウェイに対する身分証明を保持しての通信が必要である。
【0008】
しかし従来は、移動IP方式では、各通信ノードは一意なIPアドレスが付与され、自由に制御パケットをやりとりできるという仮定で、経路制御や移動計算機位置の登録などの規定を行っていたため、実際の運用に際しては、移動計算機がどのような組織に属するネットワークに移動したか、というネットワーク運用ポリシーに関する動作規定がなかった。このため、特にセキュリティを考慮し、内部計算機の自由な外部アクセスを許可しないようなネットワークに移動計算機が移動した場合、移動後に行う新規位置の登録メッセージさえも移動計算機のホームネットワーク上のホームエージェントに到達させることができず、移動IP方式の運用に障害を起こすことがあった。
【0009】
【発明が解決しようとする課題】
従来の通信システムでは、各通信ノードには一意なIPアドレスが付与され、自由にパケットを送受信できるという仮定で、経路制御や移動計算機位置の登録などの規定を行っていたため、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機をサポートする場合、実際の運用に際しては、移動計算機がどのような組織に属するネットワークに移動したかというネットワーク運用ポリシーに関する動作規定がなかった。
【0010】
このため特にセキュリティを考慮し内部計算機の自由な外部アクセスを許可しないようなネットワークに移動計算機が移動した場合、移動後に行う新規位置の登録メッセージさえも移動計算機のホームネットワーク上のホームエージェントに到達させることができず、移動計算機に関する運用に障害を起こすことがあった。
【0011】
本発明は、上記事情を考慮してなされたもので、ネットワーク内部に移動してきた管理対象外の移動計算機のうち、正当と認識できる移動計算機からのパケットのみをネットワーク外部へ通過させる制御を行うことのできるパケット検査装置及びパケット転送方法を提供することを目的とする。
【0012】
また、本発明は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機において、自装置を一旦侵入者とみなすネットワークに移動した場合に、パケット検査装置との間で自装置の正当性の確認を行い、該パケット検査装置から外部へパケットを通過させる制御を行うことのできる移動計算機装置及びパケット転送方法を提供することを目的とする。
【0013】
【課題を解決するための手段】
本発明は、自装置の管理するネットワークの内部の計算機がネットワーク外の計算機へ向けて送信するパケットを検査するパケット検査装置(例えば、ゲートウェイ)であって、自装置の管理対象となる計算機以外の移動計算機から送信されたパケットに含まれる移動計算機識別情報に基づき、該移動計算機から送信されたパケットのネットワーク外への転送の可否を判定する判定手段と、この判定手段により転送を拒否すると判定した場合に、前記移動計算機に転送拒否を示すメッセージを返信する手段と、前記移動計算機から移動計算機識別情報(例えば、所定の鍵情報を使って生成する認証データを含む情報)を生成するための鍵情報を要求するメッセージを受信した場合に、該移動計算機のユーザに関する情報が所定の条件を満たすことを確認したならば、要求された鍵情報を返送する手段とを具備したことを特徴とする。
【0014】
なお、パケット検査装置及び移動計算機が使用する移動計算機識別子として、例えば、転送パケット内容と生成鍵から生成される一方向ハッシュ関数値(例えば、Keyed MD5方式)などの認証データが利用できる。
【0015】
好ましくは、自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理する計算機から送信されたものであることが示される場合は、該パケットをそのまま転送することを許可すると判定するようにしても良い。
【0016】
好ましくは、自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、このパケットが移動計算機識別子を含まない場合は、該パケットの転送を拒否すると判定するようにしても良い。
【0017】
好ましくは、自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、該パケットが移動計算機識別子を含む場合、該移動計算機識別子から該計算機の正当性が確認されたときのみ、該パケットを転送すると判定するようにしてもよい。
【0018】
本発明では、パケット検査装置は、自装置の管理対象となる計算機以外の移動計算機から送信されたパケットに含まれる移動計算機識別情報に基づいて、該移動計算機から送信されたパケットのネットワーク外への転送を拒否すると判定した場合(例えば、パケット内に移動計算機識別情報が存在しない場合、あるいは移動計算機識別情報が正当なものでなかった場合)には、前記移動計算機に転送拒否を示すメッセージを返信する。
【0019】
その後、この移動計算機から移動計算機識別情報を生成するための鍵情報を要求するメッセージを受信した場合、該移動計算機のユーザに関する情報(例えば、要求メッセージに含まれる)が所定の条件を満たすこと(例えば、予め登録されたユーザあるいは登録されたグループに属するユーザであること)を確認したならば、要求された鍵情報を返送する。
【0020】
そして、この移動計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、このパケットが移動計算機識別子を含む場合、この移動計算機識別子を検査してその正当性が確認されたならば、該パケットを(必要な処理を施して)転送させる。
【0021】
本発明によれば、ネットワーク内部に移動してきた管理対象外の移動計算機のうち、正当と認識できる移動計算機からのパケットのみをネットワーク外部へ通過させる制御を行うことができる。
【0022】
この結果、移動計算機から当該ネットワーク外へのパケットの転送を当該ネットワークのセキュリティポリシーを守って正しく行え、また外部から訪問している正当な移動計算機を不正にネットワーク内に侵入して外部と通信を行う計算機とは明確に区別して外部への通信を許可することができるなど、セキュリティの高いかつ柔軟な移動計算機制御を可能とする。
【0023】
また、本発明によれば、パケットに移動計算機識別情報を付与して画一的な処理を行うので、個々の移動計算機のテーブル管理などの処理が不要で、高速な認証手続きが可能である。特にパケットの暗号化や通信の末端同士でのパケット内容の認証といったIPセキュリティ処理を併用する場合に有効である。
【0024】
また、本発明は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機であって、自装置が現在位置するネットワーク以外のネットワークに、自装置の移動位置情報(例えば、移動IPプロトコルのホームエージェント)を管理し自装置宛のパケットを自装置の現在位置に転送する手段を有する移動計算機管理装置が存在する場合に、該移動計算機管理装置へ向けて自装置の現在位置情報を含む登録メッセージを送信する第1の送信手段と、自装置が現在位置するネットワーク内部から該ネットワーク外へのパケットを検査するパケット検査装置(例えば、ゲートウェイ)から、この第1の送信手段により送信された登録メッセージのパケット転送拒否を示すメッセージが返信された場合に、該パケット検査装置に移動計算機識別情報(例えば、所定の鍵情報を使って生成する認証データを含む情報)を生成するための鍵情報を要求する要求メッセージを送信する第2の送信手段と、この第2の送信手段により送信された要求メッセージに応答して、前記パケット検査装置から鍵情報が返送された場合に、この鍵情報に基づいて生成した移動計算機識別情報を自装置が現在位置するネットワーク外へ向けて送信すべきパケットに付加して送信する第3の送信手段とを具備したことを特徴とする。
【0025】
好ましくは、前記第3の送信手段は、前記移動計算機管理装置へ向けて、自装置の現在位置情報を含む登録メッセージを、前記移動計算機識別情報を付加して送信し、該移動計算機管理装置からの登録メッセージに対する受諾応答を受信した後、通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加して送信するようにしてもよい。
【0026】
好ましくは、前記第3の送信手段は、前記第1の送信手段により送信された前記登録メッセージのパケット転送拒否を示すメッセージが前記パケット検査装置から返信されなかった場合には、通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加せずに送信するようにしてもよい。
【0027】
本発明では、移動計算機は、自装置が現在位置するネットワーク以外のネットワークに、自装置の移動位置情報を管理し自装置宛のパケットを自装置の現在位置に転送する手段を有する移動計算機管理装置が存在する場合(すなわち、ホームネットワーク外に移動した場合に)、まず、移動計算機管理装置へ向けて自装置の現在位置情報を含む登録メッセージを送信する。
【0028】
これに対して自装置が現在位置するネットワーク内部から該ネットワーク外へのパケットを検査するパケット検査装置から、この登録メッセージのパケット転送拒否を示すメッセージが返信された場合、該パケット検査装置に移動計算機識別情報を生成するための鍵情報を要求する要求メッセージを送信する。
【0029】
この要求メッセージに応答して、前記パケット検査装置から鍵情報が返送された場合、この鍵情報に基づいて生成した移動計算機識別情報を自装置が現在位置するネットワーク外へ向けて送信すべきパケットに付加して送信する。
【0030】
本発明によれば、自装置を一旦侵入者とみなすネットワークに移動した場合に、パケット検査装置との間で自装置の正当性の確認を行い、該パケット検査装置から外部へパケットを通過させる制御を行うことができる。
【0031】
また、本発明は、自装置の管理するネットワークの内部の計算機がネットワーク外の計算機へ向けて送信するパケットを検査するパケット検査装置のパケット転送方法であって、自装置の管理対象となる計算機以外の移動計算機から送信されたパケットに含まれる移動計算機識別情報に基づき、該移動計算機から送信されたパケットのネットワーク外への転送の可否を判定し、転送を拒否すると判定した場合に、前記移動計算機に転送拒否を示すメッセージを返信し、前記移動計算機から移動計算機識別情報を生成するための鍵情報を要求するメッセージを受信した場合に、該移動計算機のユーザに関する情報が所定の条件を満たすことを確認したならば、要求された鍵情報を該移動計算機へ返送することを特徴とする。
好ましくは、前記パケット検査装置は、自装置がどの計算機を管理するかを示す管理対象計算機認識手段を具備するものであり、前記判定にあたっては、前記管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、該パケットが移動計算機識別子を含む場合、該移動計算機識別子から該計算機の正当性が確認されたときのみ、該パケットを転送すると判定するようにしてもよい。
【0032】
また、本発明は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機のパケット転送方法であって、自装置が現在位置するネットワーク以外のネットワークに、自装置の移動位置情報を管理し自装置宛のパケットを自装置の現在位置に転送する手段を有する移動計算機管理装置が存在する場合に、該移動計算機管理装置へ向けて自装置の現在位置情報を含む登録メッセージを送信し、自装置が現在位置するネットワーク内部から該ネットワーク外へのパケットを検査するパケット検査装置から、前記登録メッセージに対するパケット転送拒否を示すメッセージが返信された場合に、該パケット検査装置に移動計算機識別情報を生成するための鍵情報を要求する要求メッセージを送信し、この要求メッセージに応答して、前記パケット検査装置から鍵情報が返送された場合に、この鍵情報に基づいて生成した移動計算機識別情報を自装置が現在位置するネットワーク外へ向けて送信すべきパケットに付加して送信することを特徴とする。
好ましくは、前記移動計算機管理装置へ向けて送信された前記登録メッセージのパケット転送拒否を示すメッセージが前記パケット検査装置から返信されなかった場合には、前記自装置が現在位置するネットワーク外へ向けて送信すべきパケットであって通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加せずに送信するようにしてもよい。
【0033】
なお、以上の各装置に係る発明は、方法に係る説明としても成立する。
また、上記の発明は、相当する手順あるいは手段をコンピュータに実行させるためのプログラムを記録した機械読取り可能な媒体としても成立する。
【0034】
【発明の実施の形態】
以下、図面を参照しながら発明の実施の形態を説明する。
図1に、本実施形態に係る通信システムの基本構成の一例を示す。
図1の通信システムは、前述した図15と同様に移動IPなどにより移動計算機の通信をサポートしているものとする。なお、移動IPプロトコルでは、移動先ネットワークで移動計算機に対するパケット配送を行うフォーリンエージェントというルータの存在を仮定するモードと、フォーリンエージェントを設けない(移動先計算機自身がフォーリンエージェントを兼ねる)ポップアップモードがあるが、本実施形態では、ポップアップモードを採用するものとして説明する。
【0035】
図1では、ホームネットワーク1a、第1の他部署ネットワーク1b、第2の他部署ネットワーク1cがインターネット6を介して相互に接続されており、移動計算機(MN)2、移動計算機の通信相手(CH)3は、これらネットワーク内に接続され、または外部ノードとしてインターネット6に接続される。ネットワーク1a,1bには、自装置の管理するネットワークの内部の計算機がネットワーク外の計算機へ向けて送信するパケットを検査するパケット検査装置(ゲートウェイ)4a,4bがそれぞれ設けられるものとする。なお、ネットワーク1cにも、必要に応じてゲートウェイ4cが設けられる。
【0036】
本実施形態では、ネットワーク1aの内部をホームポジションとする移動計算機2が他部署ネットワーク1bに移動した場合について説明する。
ゲートウェイ4a,4b,4cは、パケット暗号化認証処理機能を持つものとする。また、移動計算機2は、少なくとも移動中には、パケット暗号化認証処理機能を持つものとする(図中、パケット暗号化認証処理機能を持つ移動計算機2をMNで表す)。なお、パケット暗号化認証処理における通信データの暗号化/復号は、例えば、文献(IETF RFC1825,1827)に示される方式で実現できる。また、パケット暗号化認証処理における、認証データ(転送パケット内容と生成鍵から生成されるハッシュ関数値など)の付与/チェックは、例えば、文献(IETF RFC1825,1826)に示される方式で実現できる。
【0037】
ホームネットワーク1aには、移動IPプロトコルをサポートするために、移動計算機の移動先の現在位置の情報を管理するホームエージェント(HA)5が設けられる。管理対象とする移動計算機の台数は任意である。前述したように、移動中の移動計算機2宛に転送されてきたIPパケットは、そのホームエージェント5を経由し、移動計算機2の元のアドレス(ホームネットワーク1aにおけるアドレス)宛のIPパケットを移動IPの現在位置アドレス宛パケット内にカプセル化することで、移動計算機2に対するデータの経路制御を行うことができる。
【0038】
なお、第1の他部署ネットワーク1b、第2の他部署ネットワーク1cにも、必要に応じて、ホームエージェント5b,5cが設けられる。
ゲートウェイ4a,4b,4cは、自装置が管理対象とする送信元計算機を認識する管理対象計算機認識部(図示せず)を持つ。例えば、通信システム内のいずれかの場所(分散していても良い)に、各ゲートウェイがどの計算機を管理対象とするかを示す情報のデータベース(具体例としては各ゲートウェイのネットワークアドレスと、その管理対象となる計算機群のネットワークアドレスの対応情報)を管理するサーバ装置を設置し、移動計算機が該データベースを検索することにより実現できる。あるいは、各ゲートウェイが、自装置の管理対象となる計算機群のネットワークアドレスの情報を保持することで実現できる。
【0039】
ゲートウェイ4a,4b,4cは、ネットワーク内部の計算機から送信されたパケットが自装置の管理する計算機から送信されたものである場合は、該パケットをそのまま転送するが、該パケットが自装置の管理しない計算機から送信されたものである場合は、該パケット内に正当な移動計算機識別情報が含まれれば該パケットに必要な処理を施した上で通過させるが、該パケット内に所定の情報が含まれなければ該パケットの転送を拒否する。
【0040】
また、ゲートウェイ4a,4b,4cは、パケットの転送を拒否された計算機から上記移動計算機識別情報を生成するために必要な鍵の情報を要求された場合には、要求メッセージから求められる該移動計算機のユーザに関する情報が所定の条件を満たすことを確認したならば、要求された鍵情報を返送する。
【0041】
移動計算機2は、自装置を管理するホームエージェント5aの設置されたネットワーク(ホームネットワーク)1a外に位置することを認識する位置認識部(図示せず)を持つ。位置認識部は、例えば、ホームエージェント5が定期的に発信する広告メッセージを受信できるか否かをもとに、自装置がホームネットワーク内にいるかどうかを判定することで実現できる。
【0042】
移動計算機2は、位置認識部により、自装置がホームネットワーク外に移動したと判断された場合には、移動先のネットワーク(ここでは1b)において、例えばDHCPやPPPなどのプロトコルにより移動先ネットワークで使用するアドレスを獲得する。
【0043】
アドレスを獲得したら、移動計算機2は、ホームネットワーク1aのホームエージェント5aに現在位置の情報を含む登録メッセージを送信する。
ここで、移動計算機2がゲートウェイ4bの管理対象である場合には、登録メッセージはそのままゲートウェイ4bを通過するが、移動計算機2がゲートウェイ4bの管理対象でない場合には、登録メッセージは一旦通過拒否されるので、移動計算機2は、ゲートウェイ4bに鍵情報を要求し、鍵情報が入手できれば、これを使って生成した計算機識別情報を付加して再度登録メッセージを送信する。この結果、再度送信された登録メッセージは、ゲートウェイ4bを通過する(なお、ゲートウェイ4bの管理対象でない計算機が、鍵情報を入手できなければ、この計算機は、ゲートウェイ4bから外にパケットを通過させることはできない)。
【0044】
なお、ゲートウェイ及び移動計算機が使用する移動計算機識別子として、例えば、転送パケット内容と生成鍵から生成される一方向ハッシュ関数値(例えば、Keyed MD5方式)などの認証データが利用できる。
【0045】
そして、登録メッセージが移動計算機2のホームネットワーク1aのホームエージェント5aに到着すると、その管理表には、移動計算機2の全ネットワーク中における位置を一意に特定可能な情報が登録される(この時点で、ホームエージェント5aは、移動計算機2がホームネットワーク1a外に移動したことを認識する)。また、ネットワーク1aでは、ゲートウェイ4bの管理表に、インターネット6側からその移動計算機2宛に転送されてきたパケットをホームエージェント5aに転送するように設定がなされる。
【0046】
これによって、インターネット6から移動計算機2のホームネットワーク1aに転送されてきた移動計算機2宛のパケットは、一旦ホームエージェント5aに渡され、ここから、移動計算機2の移動先に宛てて転送される。その際、ホームエージェント5aにて、例えば、前述したように、移動計算機2の元のアドレス(ホームネットワーク1aにおけるアドレス)宛のIPパケットを移動IPの現在位置アドレス宛パケット内にカプセル化する処理が行われる。
【0047】
そして、移動計算機2は、登録メッセージに対して一旦転送拒否を示すメッセージを受信した後に鍵情報と計算機識別情報のやり取りによって応答受諾を受信した場合には、通信相手となる計算機3へのパケットに計算機識別情報を付加して送信する。登録メッセージに対して転送拒否されずに応答受諾を受けた場合には、通信相手となる計算機3へのパケットを通常通り送信する。
【0048】
以下、さらに詳しく本実施形態を説明していく。
図2に、移動計算機2の現在位置を検出する処理手順の一例を示す。
ここで、移動IPの規定にあるように各ホームエージェントはその処理するサブネット内に定期的にエージェント広告メッセージを送出するものとする。また、各ゲートウェイは、各々が検査対象とする計算機のアドレスのリストを公開しており、ある計算機について、その送信パケットのチェックを司るゲートウェイを検索可能であるとする。
【0049】
移動計算機2側では、まず、自装置がホームネットワーク1aの内部に位置するか外に位置するかを判定する。自装置を管理するホームエージェント5aの送出するエージェント広告メッセージを受信し、ホームネットワーク内部に位置するか外に位置するかを検知する。自装置の属するホームネットワーク1aのホームエージェント5aによるエージェント広告メッセージを受信した場合にはホームネットワーク1a内部に位置すると判定する。それ以外のホームエージェントによるエージェント広告メッセージを受信した場合、あるいはエージェント広告メッセージを受信できない場合にはホームネットワークの外に位置すると判定する(ステップS11)。
【0050】
移動計算機2は、自装置がホームネットワークの外に位置すると判定された場合(ステップS12)、移動IPのケア・オブ・アドレス(Care−ofアドレス)をDHCPなどの手段により取得する(ステップS13)。
【0051】
さらに、移動計算機2は、そのCare−ofアドレスを保護するゲートウェイ(GW_MH)を検索する(ステップS14)。
ここで、検索されたゲートウェイ(GW_MH)とホームネットワークのゲートウェイが一致している場合(例えばホームネットワーク1a内で他のサブネットに移動した場合)には、自装置はホームドメイン内に位置すると判定する[MN−home]。そうでない場合には、ホームドメイン外に位置すると判定する[MN−foreign]。ホームドメイン内に位置すると判定された場合には、以下に示す一連の位置登録処理は実行せず、通常のIPパケット形式で登録要求を送る。
【0052】
なお、Care−ofアドレスを保護するゲートウェイが存在しない場合、移動計算機2は外部ノードである。
さて、移動IP方式では、移動計算機が新規の移動先に移った場合、現在位置の情報を含む登録メッセージを、自装置を管理するホームエージェントに送ることが必要である。この場合、移動計算機がホームネットワークと親しいネットワークに移動して、そのゲートウェイが自装置の送信する登録メッセージやデータパケットを自由に外部に送出させる場合には、移動IPの規定のままで動作が可能である。しかし、一般に移動計算機を外部から内部に滞在しているものとして扱うネットワークでは、セキュリティ上の考慮から、移動計算機の発するメッセージを自由に外部に送出させることは危険であることから、ゲートウェイは自装置が管理対象とする計算機以外の移動計算機の送信する登録メッセージやデータパケットを一旦通過拒否する。このような場合、移動計算機は、現在自装置を侵入者として扱うネットワークに位置することを認識し、そのゲートウェイとの間で身分証明に相当する手続きを行って外部アクセス許可を得た後に登録メッセージをホームエージェントへ送信することが必要になる。
【0053】
以下、登録メッセージに関する処理手順の一例を説明する。なお、ここでは、パケット内のデータ部の暗号化はしない例を示す。
まず、移動計算機2がホームドメインにいる[MN−home]の場合は、
・ホームエージェント(HA)のIPアドレス
・移動計算機(MN)のIPアドレス
を調べ、移動計算機を送信元、ホームエージェントを宛先とする通常のIPパケット形式で登録要求を送り、ホームエージェントからのIPパケット形式の応答を受信するだけでよいので、登録メッセージの送出は不要である。
【0054】
なお、ここでは、ホームエージェントと移動計算機のIPアドレスは、ホームネットでのプライベート・アドレス(Privateアドレス)とする。
次に、移動計算機2がホームドメイン外[MN−foreign]に移動している場合について説明する。
【0055】
例えば、図3に示すように移動計算機2が第1の他部署ネットワーク1bに移動している場合、まず、第1の登録メッセージを送る。
図4に第1の登録メッセージの一例を示す。IPヘッダでは、送信元を移動計算機(MN)のPrivateアドレス、宛先をホームエージェント(HA)のPrivateアドレスとする。
【0056】
これに対し、移動計算機2がホームネットワーク1aと親しいネットワークに移動して、そのゲートウェイが登録メッセージを自由に外部に送出させる場合には、問題なく、受諾応答が返るだけであるが、もしゲートウェイ4bが、管理対象でない計算機から自装置宛でないパケットを受信したならば、登録メッセージの通過を拒否するメッセージを返すような場合には、通過拒否メッセージが返送される。
【0057】
図5に、通過拒否メッセージの一例として、TCP/IP通信のICMPメッセージを拡張した形式で実現したものを示す。IPヘッダでは、送信元をゲートウェイ4b(GW1)のグローバル・アドレス(Globalアドレス)、宛先を移動計算機(MN)のCare−ofアドレスとする。
【0058】
この場合、移動計算機2は、通過拒否メッセージ中に含まれるゲートウェイ4bのGlobalアドレスを用いて、ゲートウェイ4bに対し鍵要求メッセージを送信して、公開鍵の問い合わせを行う。
【0059】
図6に、鍵要求メッセージの一例を示す。IPヘッダでは、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4b(GW1)のGlobalアドレスとする。
【0060】
この鍵要求メッセージに対し、ゲートウェイ4bが公開鍵情報を渡すか否かの判断は、ゲートウェイ4bのサイトのシステム管理のポリシーに依存する。
例えば、
・鍵要求情報に所定の書式で付加されたユーザ識別情報を調べ、社内ユーザであれば、鍵情報を返す。
・社外ユーザであれば、所定の組織であれば鍵情報を渡す。
・それ以外の場合、予め登録されたユーザであれば、鍵情報を渡す。
といった規則をゲートウェイ4bに登録しておく。
【0061】
ゲートウェイ4bに対するユーザ登録方法などはシステムの性質に応じ任意に設定すれば良い。
公開鍵要求に対し、ゲートウェイ4bの公開鍵が得られたら、移動計算機2は、以下の2度目の登録要求(registration request)を送る。
【0062】
図7に、第2の登録メッセージの一例を示す。
IPヘッダ1では、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4b(GW1)のGlobalアドレスとし、KEY情報と、AH情報を付加する。
【0063】
KEY情報は、IPヘッダ1の送信元ノードと宛先ノードとの間(ここでは、移動計算機2〜ゲートウェイ4b間)で共有する鍵情報を含むヘッダ情報である。
【0064】
AH情報は、上記鍵を使って生成された認証データを含むヘッダ情報である。また、内部IPヘッダ(登録要求)では、送信元を移動計算機(MN)のPrivateアドレス、宛先をホームエージェント(HA)のPrivateアドレスとする。
【0065】
この登録メッセージは、ゲートウェイ4b宛でかつゲートウェイ4bに対する認証データを含むAH情報(移動計算機識別情報)が付与されているので、ゲートウェイ4bは認証処理を行い、これに成功すれば登録メッセージは通過できる。
【0066】
この結果、ゲートウェイ4bは、次段のゲートウェイ4a宛に登録メッセージを転送する。
そして、登録メッセージは、インターネット6からゲートウェイ4aを介してホームエージェント5aに到着し、必要な登録処理が行われる。また、ホームエージェント5aは、移動計算機2に対して登録応答メッセージを送信する。
【0067】
ホームエージェント5aから送信される登録応答メッセージは、ゲートウェイ4aにて中継され、ゲートウェイ4bに到達する。
ゲートウェイ4bでは、これを図8に示すように変形して移動計算機宛に転送する。図8において、IPヘッダ1では、送信元をゲートウェイ4b(GW1)のGlobalアドレス、宛先を移動計算機(MN)のCare−ofアドレスとし、KEY情報と、AH情報を付加する。また、内部IPヘッダ(登録応答)では、送信元をホームエージェント(HA)のPrivateアドレス、宛先を移動計算機(MN)のPrivateアドレスとする。
【0068】
またその代わりに、ゲートウェイ4bでは、パケットを図8からIPヘッダ1、KEY情報、AH情報を取り除いた形式のパケットで移動計算機宛に転送するようにしても良い。
【0069】
なお、ゲートウェイ4aとゲートウェイ4bの間で経路認証を行う場合には、各ゲートウェイは、パケットに前述の次段に対するKEY情報とAH情報とIPヘッダを付加すれば良い(前段とのKEY情報等がパケットに付加されていた場合には次段に対するものに置換される)。
【0070】
以上の登録処理が完了したら、それ以降、移動計算機2が訪問ネットワーク1b外に位置する通信相手計算機2とデータ通信を行う場合も、上記の移動計算機2〜ゲートウェイ4b間の認証データをパケットに付加して転送する。この認証データ付加があるか否かによって、ゲートウェイ4bにて正しく認識されている訪問ノードであるか否かを正しく判定し、セキュリティに正しい移動計算機のメッセージ制御を行うことが可能である。
【0071】
以下、登録メッセージに関する処理手順の他の例を説明する。なお、ここでは、パケット内のデータ部を暗号化する場合が含まれる例を示す。本例では、各パケット検査装置は、パケット暗号化ゲートウェイとして働く。
【0072】
ここでは、前述したような経路間での認証を、IPセキュリティと呼ばれる仕様を用いたパケット内容の暗号化および末端同士でのパケット認証(参考文献:IETF RFC1825〜1829)と併せて定義した形式を採用する通信システムに本発明を適用した場合について説明する。
【0073】
IETFではIPパケットへの認証コード付与方式をIPセキュリティ標準(文献:IETF RFC1826,1828)として規定しているが、この方法を利用し、移動計算機の身分証明のための処理としてデータパケットに移動計算機と移動先ネットワークのゲートウェイ間での認証データを付加し、ゲートウェイでは受信したパケットの認証コードを確認してから、外部にパケットを通過させるようにする。これによって、たとえ組織外のユーザが入って来てネットワーク外部に対しデータパケットを送信したいと要求しても、予め所定の方法で認証鍵を交換し身分保証を行った移動計算機のみに外部アクセスを許可することが可能となる。
【0074】
図9に各ゲートウェイ(パケット暗号化ゲートウェイ)で処理されるパケット形式を示す。
(a)は、通常のIPパケット形式である。
【0075】
(b)は、暗号化/末端認証形式であり、末端のゲートウェイ間または末端のゲートウェイ〜移動計算機間でパケットの暗号化および認証を行う形式である。(c)は、暗号化/経路間認証形式である。途中経路間でのゲートウェイ間、途中経路のゲートウェイ〜移動計算機間の認証を必要とする場合にはこの形式を使用する。
【0076】
(d)は、移動IP形式であり、ホームエージェントで移動計算機宛に経路制御されるパケット形式である。
まず、移動計算機2がホームドメインにいる[MN−home]の場合は、前述した場合と同様であり、
ホームエージェント(HA)のPrivateアドレス
・移動計算機(MN)のPrivateアドレス
を調べ、通常のIPパケット形式で登録要求を送り、IPパケット形式の応答を受信するだけでよいので、登録メッセージの送出は不要である。
【0077】
移動計算機2がホームドメイン外[MN−foreign]に移動している場合、まず、
・ホームネットワークのゲートウェイ(GW0)のglobalアドレス
・ホームネットワークのゲートウェイ(GW0)の公開鍵
・移動計算機(MN)のCare−ofアドレス、Privateアドレス
・ホームエージェント(HA)のPrivateアドレス
を調べ、第1の登録メッセージを送る。
【0078】
図10に第1の登録メッセージの一例を示す。
IPヘッダでは、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4a(GW0)のGlobalアドレスとし、KEY情報と、AH情報と、ESP情報を付加する。
【0079】
KEY情報は、IPヘッダの送信元ノードと宛先ノードとの間(ここでは、移動計算機2〜ゲートウェイ4a間)で共有する鍵情報を含むヘッダ情報である。AH情報は、上記鍵を使って生成された認証データを含むヘッダ情報である。
【0080】
ESP情報は、暗号化された内部データ(ここでは、内部IPヘッダとそのデータ部)を復号するアルゴリズムを指定する情報を含むヘッダ情報である。
また、内部IPヘッダ(登録要求)では、送信元を移動計算機(MN)のPrivateアドレス、宛先をホームエージェント(HA)のPrivateアドレスとする。
【0081】
これに対し、移動計算機2がホームネットワーク1aと親しいネットワークに移動して、そのゲートウェイが登録メッセージを自由に外部に送出させる場合には、問題なく、受諾応答が返るだけであるが、もしゲートウェイ4bが、管理対象でない計算機から自装置宛でないパケットを受信したならば、登録メッセージの通過を拒否するメッセージを返すような場合には、通過拒否メッセージが返送される。
【0082】
図11に、通過拒否メッセージの一例として、TCP/IP通信のICMPメッセージを拡張した形式で実現したものを示す。IPヘッダでは、送信元をゲートウェイ4b(GW1)のGlobalアドレス、宛先を移動計算機(MN)のCare−ofアドレスとする。
【0083】
この場合は、移動計算機2は、通過拒否メッセージ中に含まれるゲートウェイ4bのglobalアドレスを用いて、ゲートウェイ4bに対し鍵要求メッセージを送信して、公開鍵の問い合わせを行う。
【0084】
図12に、鍵要求メッセージの一例を示す。IPヘッダでは、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4b(GW1)のGlobalアドレスとする。
【0085】
なお、前述したように、この鍵要求メッセージに対し、ゲートウェイ4bが公開鍵情報を渡すか否かの判断は、ゲートウェイ4bのサイトのシステム管理のポリシーに依存する。
【0086】
この鍵要求メッセージに対し、ゲートウェイ4bの公開鍵が得られたら、移動計算機2は、以下の2度目の登録要求を送る。
図13に、第2の登録メッセージの一例を示す。
【0087】
IPヘッダ1では、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4b(GW1)のGlobalアドレスとし、KEY情報と、AH情報を付加する。
【0088】
KEY1情報は、IPヘッダ1の送信元ノードと宛先ノードとの間(ここでは、移動計算機2〜ゲートウェイ4b間)で共有する鍵情報を含むヘッダ情報である。
【0089】
AH情報は、上記鍵を使って生成された認証データを含むヘッダ情報である。IPヘッダ2では、送信元を移動計算機(MN)のCare−ofアドレス、宛先をゲートウェイ4a(GW0)のGlobalアドレスとし、KEY情報と、AH情報と、ESP情報を付加する。
【0090】
KEY2情報は、IPヘッダ2の送信元ノードと宛先ノードとの間(ここでは、移動計算機2〜ゲートウェイ4a間)で共有する鍵情報を含むヘッダ情報である。
【0091】
AH情報は、上記鍵を使って生成された認証データを含むヘッダ情報である。ESP情報は、暗号化された内部データ(ここでは、内部IPヘッダとそのデータ部)を復号するアルゴリズムを指定する情報を含むヘッダ情報である。
【0092】
また、内部IPヘッダ(登録要求)では、送信元を移動計算機(MN)のPrivateアドレス、宛先をホームエージェント(HA)のPrivateアドレスとする。
【0093】
この登録メッセージは、ゲートウェイ4b宛でかつゲートウェイ4bに対する認証データを含むAH情報(移動計算機識別情報)が付与されているので、ゲートウェイ4bは認証処理を行い、これに成功すればメッセージは通過できる。
【0094】
この結果、ゲートウェイ4bは、次段のゲートウェイ4a宛に登録メッセージを転送する。
そして、登録メッセージは、インターネット6からゲートウェイ4aを介してホームエージェント5aに到着し、必要な登録処理が行われる。また、ホームエージェント5aは、移動計算機2に対して登録応答メッセージを送信する。
【0095】
ホームエージェント5aから送信される登録応答メッセージ(KEY2情報とAH情報とIPヘッダ2にカプセル化されたもの)、ゲートウェイ4aにて中継され、ゲートウェイ4bに到達する。
【0096】
ゲートウェイ4bでは、これを図14に示すように変形して移動計算機宛に転送する。
図14において、IPヘッダ1では、送信元をゲートウェイ4b(GW1)のGlobalアドレス、宛先を移動計算機(MN)のCare−ofアドレスとし、KEY1情報と、AH情報を付加する。IPヘッダ2では、送信元をゲートウェイ4a(GW0)のGlobalアドレス、宛先を移動計算機(MN)のCare−ofアドレスとし、KEY2情報と、AH情報と、ESP情報を付加する。また、内部IPヘッダ(登録要求)では、送信元をホームエージェント(HA)のPrivateアドレス、宛先を移動計算機(MN)のPrivateアドレスとする。
【0097】
またその代わりに、ゲートウェイ4bでは、パケットを図14からIPヘッダ1、KEY1情報、AH情報を取り除いた形式のパケットで移動計算機宛に転送するようにしても良い。
【0098】
なお、ゲートウェイ4aとゲートウェイ4bの間で経路認証を行う場合には、各ゲートウェイ4aは、パケットに前述の次段に対するKEY1情報とAH情報とIPヘッダ1を付加すれば良い(前段とのKEY情報等がパケットに付加されていた場合には次段に対するものに置換される)。
【0099】
以上の登録処理が完了したら、それ以降、移動計算機2が訪問ネットワーク外に位置する通信相手計算機2とデータ通信を行う場合も、上記の移動計算機2〜ゲートウェイ4b間の認証データをパケットに付加して転送する(これもIPSECの拡張で実装できる)。この認証データ付加があるか否かによって、ゲートウェイ4bにて正しく認識されている訪問ノードであるか否かを正しく判定し、セキュリティに正しい移動計算機のメッセージ制御を行うことが可能である。
【0100】
なお、上記した各例では、移動先ネットワークにおいてそのゲートウェイから一旦パケットの通過を拒否された場合、所定の手順の後、認証データをパケットに付加して送信するものであったが、その代わりに、ゲートウェイにて認証に成功した移動計算機を管理対象として管理テーブルに登録し、以降はその移動計算機については認証を省くようにしても良い(この場合、登録後は、移動計算機は認証データをパケットに付加せずに送信することができる)。
【0101】
さて、従来、移動IP方式では、各ネットワークノードは一意なIPアドレスが付与され、自由に制御パケットをやりとりできるという仮定でのみ、経路制御や移動計算機位置の登録などの規定を行っていたが、本実施形態によれば、実際の運用に際して、移動計算機がどのような組織に属するネットワークに移動したか、というネットワーク運用ポリシーに関する動作規定を考慮することができる。
【0102】
特に、セキュリティを考慮し、内部計算機の自由な外部アクセスを許可しないようなネットワークに移動計算機が移動した場合にも、移動後に行う新規位置の登録メッセージの送信や通常の通信データの送信に際し、移動計算機が自身が外部組織のネットワークにいるということを認識して、移動先ネットのゲートウェイに対して自分の身分証明を行う処理を行ってから外部アクセスを行う手段を提供できるので、正規の処理を経た移動計算機発のパケットのみを選択的に通過させ、セキュリティの高い、かつ柔軟な移動計算機制御を行うことができる。
【0103】
また、本実施形態では、パケット自体に対し認証コードを付与して画一的な処理を移動計算機およびゲートウェイで行うことができるので、移動計算機個々をテーブル管理したりといった処理が不要で、高速な認証が可能である。特に、パケットの暗号化や通信の末端同士でのパケット内容の認証といったIPセキュリティ処理を併用する場合に有効である。
【0104】
以上の各機能、例えば移動計算機に搭載するパケット暗号化認証部などは、ハードウェアとしてもソフトウェアとして実現可能である。また、上記した各手順あるいは手段をコンピュータに実行させるためのプログラムを記録した機械読取り可能な媒体として実施することもできる。
【0105】
なお、本実施形態では、ポップアップモードによる通信システムについて説明したが、本発明は、フォーリンエージェントの存在を仮定した通信システムにも適用可能である。
【0106】
また、本発明は、現在種々提案されている移動通信プロトコル、暗号化通信プロトコル、暗号鍵交換プロトコルに対しても適用可能である。
本発明は、上述した実施の形態に限定されるものではなく、その技術的範囲において種々変形して実施することができる。
【0107】
【発明の効果】
本発明に係るパケット検査装置によれば、ネットワーク内部に移動してきた管理対象外の移動計算機のうち、正当と認識できる移動計算機からのパケットのみをネットワーク外部へ通過させる制御を行うことができる。
【0108】
本発明に係る移動計算機装置によれば、自装置を一旦侵入者とみなすネットワークに移動した場合に、パケット検査装置との間で自装置の正当性の確認を行い、該パケット検査装置から外部へパケットを通過させる制御を行うことができる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るシステムの基本構成の一例を示す図
【図2】同実施形態に係る移動計算機の位置判定処理の流れを示すフローチャート
【図3】同実施形態に係る移動登録メッセージ送信手順を説明するための図
【図4】同実施形態に係る第1の登録メッセージのフォーマットの一例を示す図
【図5】同実施形態に係る通過拒否メッセージのフォーマットの一例を示す図
【図6】同実施形態に係る鍵要求メッセージのフォーマットの一例を示す図
【図7】同実施形態に係る第2の登録メッセージのフォーマットの一例を示す図
【図8】同実施形態に係るデータパケットのフォーマットの一例を示す図
【図9】IPセキュリティに基づくパケット形式の一例を示す図
【図10】同実施形態に係る第1の登録メッセージのフォーマットの他の例を示す図
【図11】同実施形態に係る通過拒否メッセージのフォーマットの他の例を示す図
【図12】同実施形態に係る鍵要求メッセージのフォーマットの他の例を示す図
【図13】同実施形態に係る第2の登録メッセージのフォーマットの他の例を示す図
【図14】同実施形態に係るデータパケットのフォーマットの他の例を示す図
【図15】移動計算機を含む通信システムの基本構成を説明するための他の図
【符号の説明】
1a…ホームネットワーク
1b,1c…他部署ネットワーク
2…移動計算機
3…通信相手計算機
4a,4b,4c…パケット検査装置(ゲートウェイ)
5a,5b,5c…ホームエージェント
6…インターネット

Claims (11)

  1. 自装置の管理するネットワークの内部の計算機がネットワーク外の計算機へ向けて送信するパケットを検査するパケット検査装置であって、
    自装置の管理対象となる計算機以外の移動計算機から送信されたパケットに含まれる移動計算機識別情報に基づき、該移動計算機から送信されたパケットのネットワーク外への転送の可否を判定する判定手段と、
    この判定手段により転送を拒否すると判定した場合に、前記移動計算機に転送拒否を示すメッセージを返信する手段と、
    前記移動計算機から移動計算機識別情報を生成するための鍵情報を要求するメッセージを受信した場合に、該移動計算機のユーザに関する情報が所定の条件を満たすことを確認したならば、要求された鍵情報を返送する手段とを具備したことを特徴とするパケット検査装置。
  2. 自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、
    前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理する計算機から送信されたものであることが示される場合は、該パケットをそのまま転送することを許可すると判定することを特徴とする請求項1に記載のパケット検査装置。
  3. 自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、
    前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、このパケットが移動計算機識別子を含まない場合は、該パケットの転送を拒否すると判定することを特徴とする請求項1に記載のパケット検査装置。
  4. 自装置がどの計算機を管理するかを示す管理対象計算機認識手段をさらに備え、
    前記判定手段は、この管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、該パケットが移動計算機識別子を含む場合、該移動計算機識別子から該計算機の正当性が確認されたときのみ、該パケットを転送すると判定することを特徴とする請求項1に記載のパケット検査装置。
  5. 相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機であって、
    自装置が現在位置するネットワーク以外のネットワークに、自装置の移動位置情報を管理し自装置宛のパケットを自装置の現在位置に転送する手段を有する移動計算機管理装置が存在する場合に、該移動計算機管理装置へ向けて自装置の現在位置情報を含む登録メッセージを送信する第1の送信手段と、
    自装置が現在位置するネットワーク内部から該ネットワーク外へのパケットを検査するパケット検査装置から、この第1の送信手段により送信された登録メッセージのパケット転送拒否を示すメッセージが返信された場合に、該パケット検査装置に移動計算機識別情報を生成するための鍵情報を要求する要求メッセージを送信する第2の送信手段と、
    この第2の送信手段により送信された要求メッセージに応答して、前記パケット検査装置から鍵情報が返送された場合に、この鍵情報に基づいて生成した移動計算機識別情報を自装置が現在位置するネットワーク外へ向けて送信すべきパケットに付加して送信する第3の送信手段とを具備したことを特徴とする移動計算機装置。
  6. 前記第3の送信手段は、前記移動計算機管理装置へ向けて、自装置の現在位置情報を含む登録メッセージを、前記移動計算機識別情報を付加して送信し、該移動計算機管理装置からの登録メッセージに対する受諾応答を受信した後、通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加して送信するものであることを特徴とする請求項5に記載の移動計算機装置。
  7. 前記第3の送信手段は、前記第1の送信手段により送信された前記登録メッセージのパケット転送拒否を示すメッセージが前記パケット検査装置から返信されなかった場合には、通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加せずに送信することを特徴とする請求項5に記載の移動計算機装置。
  8. 自装置の管理するネットワークの内部の計算機がネットワーク外の計算機へ向けて送信するパケットを検査するパケット検査装置のパケット転送方法であって、
    自装置の管理対象となる計算機以外の移動計算機から送信されたパケットに含まれる移動計算機識別情報に基づき、該移動計算機から送信されたパケットのネットワーク外への転送の可否を判定し、
    転送を拒否すると判定した場合に、前記移動計算機に転送拒否を示すメッセージを返信し、
    前記移動計算機から移動計算機識別情報を生成するための鍵情報を要求するメッセージを受信した場合に、該移動計算機のユーザに関する情報が所定の条件を満たすことを確認したならば、要求された鍵情報を該移動計算機へ返送することを特徴とするパケット転送方法。
  9. 前記パケット検査装置は、自装置がどの計算機を管理するかを示す管理対象計算機認識手段を具備するものであり、
    前記判定にあたっては、前記管理対象計算機認識手段により、ネットワーク内部の計算機から送信されたパケットが自装置の管理しない計算機から送信されたものであることが示され、かつ、該パケットが移動計算機識別子を含む場合、該移動計算機識別子から該計算機の正当性が確認されたときのみ、該パケットを転送すると判定することを特徴とする請求項8に記載のパケット転送方法。
  10. 相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機のパケット転送方法であって、
    自装置が現在位置するネットワーク以外のネットワークに、自装置の移動位置情報を管理し自装置宛のパケットを自装置の現在位置に転送する手段を有する移動計算機管理装置が存在する場合に、該移動計算機管理装置へ向けて自装置の現在位置情報を含む登録メッセージを送信し、
    自装置が現在位置するネットワーク内部から該ネットワーク外へのパケットを検査するパケット検査装置から、前記登録メッセージに対するパケット転送拒否を示すメッセージが返信された場合に、該パケット検査装置に移動計算機識別情報を生成するための鍵情報を要求する要求メッセージを送信し、
    この要求メッセージに応答して、前記パケット検査装置から鍵情報が返送された場合に、この鍵情報に基づいて生成した移動計算機識別情報を自装置が現在位置するネットワーク外へ向けて送信すべきパケットに付加して送信することを特徴とするパケット転送方法。
  11. 前記移動計算機管理装置へ向けて送信された前記登録メッセージのパケット転送拒否を示すメッセージが前記パケット検査装置から返信されなかった場合には、前記自装置が現在位置するネットワーク外へ向けて送信すべきパケットであって通信相手となる計算機へのデータパケットを、前記移動計算機識別情報を付加せずに送信することを特徴とする請求項5に記載の移動計算機装置。
JP28399296A 1996-10-25 1996-10-25 パケット検査装置、移動計算機装置及びパケット転送方法 Expired - Fee Related JP3557056B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP28399296A JP3557056B2 (ja) 1996-10-25 1996-10-25 パケット検査装置、移動計算機装置及びパケット転送方法
US08/957,773 US6163843A (en) 1996-10-25 1997-10-24 Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP28399296A JP3557056B2 (ja) 1996-10-25 1996-10-25 パケット検査装置、移動計算機装置及びパケット転送方法

Publications (2)

Publication Number Publication Date
JPH10136014A JPH10136014A (ja) 1998-05-22
JP3557056B2 true JP3557056B2 (ja) 2004-08-25

Family

ID=17672893

Family Applications (1)

Application Number Title Priority Date Filing Date
JP28399296A Expired - Fee Related JP3557056B2 (ja) 1996-10-25 1996-10-25 パケット検査装置、移動計算機装置及びパケット転送方法

Country Status (2)

Country Link
US (1) US6163843A (ja)
JP (1) JP3557056B2 (ja)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3641112B2 (ja) * 1997-09-05 2005-04-20 株式会社東芝 パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JP3472098B2 (ja) * 1997-09-08 2003-12-02 株式会社東芝 移動計算機装置、中継装置及びデータ転送方法
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
JP4273535B2 (ja) * 1998-05-12 2009-06-03 ソニー株式会社 データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置
JP3581251B2 (ja) * 1998-06-16 2004-10-27 株式会社東芝 通信システム、データパケット転送方法、ルータ装置及びパケット中継装置
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
CA2281431A1 (en) * 1998-10-28 2000-04-28 Lucent Technologies Inc. Mobile-tcp and method of establishing and maintaining a mobile-tcp connection
US6542992B1 (en) * 1999-01-26 2003-04-01 3Com Corporation Control and coordination of encryption and compression between network entities
US6466964B1 (en) 1999-06-15 2002-10-15 Cisco Technology, Inc. Methods and apparatus for providing mobility of a node that does not support mobility
US8706630B2 (en) 1999-08-19 2014-04-22 E2Interactive, Inc. System and method for securely authorizing and distributing stored-value card data
US6684256B1 (en) 2000-01-27 2004-01-27 Utstarcom, Inc. Routing method for mobile wireless nodes having overlapping internet protocol home addresses
US6728536B1 (en) * 2000-05-02 2004-04-27 Telefonaktiebolaget Lm Ericsson Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
DE10030522A1 (de) * 2000-06-28 2002-01-17 Harman Becker Automotive Sys Verfahren zur Erzeugung einer zweiten Adresse
FR2812509B1 (fr) * 2000-07-26 2002-12-27 Gemplus Card Int Procede de reconnaissance securisee entre deux appareils d'un reseau radiofrequence
US6728909B1 (en) * 2000-09-26 2004-04-27 Hewlett-Packard Development Company, L.P. Data communication with speculative reception of data in a data processing system
ATE552562T1 (de) * 2000-11-10 2012-04-15 Aol Musicnow Llc Verteilungs und -abonnementsystem für digitalen inhalt
JP3964126B2 (ja) * 2000-11-24 2007-08-22 三菱電機株式会社 無線端末及びホームエージェント
KR100927062B1 (ko) * 2001-03-19 2009-11-13 소니 가부시끼 가이샤 네트워크 시스템
JP2002281061A (ja) * 2001-03-19 2002-09-27 Sony Corp ネットワークシステム、接続装置、接続方法、ネットワーク、プログラムおよび記録媒体
FI110464B (fi) * 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7263063B2 (en) 2001-07-06 2007-08-28 Sri International Per hop behavior for differentiated services in mobile ad hoc wireless networks
US7006437B2 (en) * 2001-07-06 2006-02-28 Sri International Scheduling mechanisms for use in mobile ad hoc wireless networks for achieving a differentiated services per-hop behavior
DE20211995U1 (de) * 2001-08-07 2003-01-16 Innominate Security Technologies AG, 12489 Berlin Computersystem zur Sicherung der Kommunikation in Netzwerken
US8041815B2 (en) * 2001-09-21 2011-10-18 Microsoft Corporation Systems and methods for managing network connectivity for mobile users
US7471661B1 (en) 2002-02-20 2008-12-30 Cisco Technology, Inc. Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network
US7447162B1 (en) 2002-03-05 2008-11-04 Cisco Technology, Inc. Methods and apparatus for anchoring of mobile nodes using DNS
US8090828B2 (en) * 2002-03-05 2012-01-03 Cisco Technology, Inc. Method and apparatus for reusing DHCP addresses in home addresses of mobile IP clients
US7461169B2 (en) * 2002-03-05 2008-12-02 Cisco Technology, Inc. DHCP based home address management of mobile IP clients
US20030224788A1 (en) * 2002-03-05 2003-12-04 Cisco Technology, Inc. Mobile IP roaming between internal and external networks
JP2003330969A (ja) * 2002-05-16 2003-11-21 Sony Corp 情報管理システム、情報処理装置、情報処理方法、情報処理プログラム、及び記憶媒体
DE60221912T2 (de) * 2002-09-21 2008-05-08 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zur anfrage des zugangs eines teilnehmers zu einer anwendung
US20040095913A1 (en) * 2002-11-20 2004-05-20 Nokia, Inc. Routing optimization proxy in IP networks
US7457289B2 (en) 2002-12-16 2008-11-25 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
US7362742B1 (en) 2003-01-28 2008-04-22 Cisco Technology, Inc. Methods and apparatus for synchronizing subnet mapping tables
US7505432B2 (en) 2003-04-28 2009-03-17 Cisco Technology, Inc. Methods and apparatus for securing proxy Mobile IP
US20040264700A1 (en) * 2003-06-26 2004-12-30 International Business Machines Corporation Wireless bridge device for secure, dedicated connection to a network
US7672677B2 (en) * 2004-01-16 2010-03-02 Compasscom Software Corporation Method and system to transfer and to display location information about an object
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
US7447188B1 (en) 2004-06-22 2008-11-04 Cisco Technology, Inc. Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs
US20060059551A1 (en) * 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways
JP4616074B2 (ja) * 2005-05-16 2011-01-19 株式会社エヌ・ティ・ティ・ドコモ アクセスルータ、サービス制御システム、サービス制御方法
US8891506B2 (en) 2006-07-26 2014-11-18 Motorola Mobility Llc Method and apparatus for providing mobile IP service through a network address translation gateway
US7698220B2 (en) 2006-09-14 2010-04-13 E2Interactive, Inc. Virtual terminal for payment processing
US8897139B2 (en) * 2008-12-05 2014-11-25 Hewlett-Packard Development Company, L.P. Packet processing indication
KR101195944B1 (ko) * 2008-12-17 2012-10-29 고려대학교 산학협력단 심층 패킷 검사 장치 및 심층 패킷 검사 방법
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
US11928696B2 (en) * 2009-12-16 2024-03-12 E2Interactive, Inc. Systems and methods for generating a virtual value item for a promotional campaign
JP5126258B2 (ja) * 2010-03-15 2013-01-23 日本電気株式会社 アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP5322325B2 (ja) * 2010-06-09 2013-10-23 パナソニック株式会社 無線基地局装置、ハンドオーバ制御システムおよびハンドオーバ制御方法
US8446834B2 (en) 2011-02-16 2013-05-21 Netauthority, Inc. Traceback packet transport protocol
US8949954B2 (en) 2011-12-08 2015-02-03 Uniloc Luxembourg, S.A. Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account
AU2012100460B4 (en) 2012-01-04 2012-11-08 Uniloc Usa, Inc. Method and system implementing zone-restricted behavior of a computing device
AU2012100462B4 (en) 2012-02-06 2012-11-08 Uniloc Usa, Inc. Near field authentication through communication of enclosed content sound waves
US8948179B2 (en) * 2012-08-21 2015-02-03 Futurewei Technologies, Inc. Method of multiprotocol label switching encapsulation for united router farm forwarding
WO2014029094A1 (zh) * 2012-08-23 2014-02-27 华为技术有限公司 报文处理方法、深度包检测请求网元和深度包检测设备
AU2013100355B4 (en) 2013-02-28 2013-10-31 Netauthority, Inc Device-specific content delivery
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
WO2018169293A1 (ko) * 2017-03-13 2018-09-20 성균관대학교 산학협력단 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1314101C (en) * 1988-02-17 1993-03-02 Henry Shao-Lin Teng Expert system for security inspection of a digital computer system in a network environment
US5451757A (en) * 1990-04-22 1995-09-19 Brink's Incorporated Apparatus and method for controlled access to a secured location
US5159592A (en) * 1990-10-29 1992-10-27 International Business Machines Corporation Network address management for a wired network supporting wireless communication to a plurality of mobile users
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5535276A (en) * 1994-11-09 1996-07-09 Bell Atlantic Network Services, Inc. Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography
US5623605A (en) * 1994-08-29 1997-04-22 Lucent Technologies Inc. Methods and systems for interprocess communication and inter-network data transfer
US5825759A (en) * 1994-10-26 1998-10-20 Telefonaktiebolaget Lm Ericsson Distributing network services and resources in a mobile communications network
FR2727269B1 (fr) * 1994-11-21 1997-01-17 Allegre Francois Systeme de controle d'acces a des machines informatiques connectees en reseau prive
US5887140A (en) * 1995-03-27 1999-03-23 Kabushiki Kaisha Toshiba Computer network system and personal identification system adapted for use in the same
IL113259A (en) * 1995-04-05 2001-03-19 Diversinet Corp A device and method for a secure interface for secure communication and data transfer
JP2728033B2 (ja) * 1995-05-23 1998-03-18 日本電気株式会社 コンピュータネットワークにおけるセキュリティ方式
US5828846A (en) * 1995-11-22 1998-10-27 Raptor Systems, Inc. Controlling passage of packets or messages via a virtual connection or flow
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH09252323A (ja) * 1996-01-11 1997-09-22 Sony Corp 通信システムおよび通信装置
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5734820A (en) * 1996-03-11 1998-03-31 Sterling Commerce, Inc. Security apparatus and method for a data communications system
US5894551A (en) * 1996-06-14 1999-04-13 Huggins; Frank Single computer system having multiple security levels
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
US5892905A (en) * 1996-12-23 1999-04-06 International Business Machines Corporation Computer apparatus and method for providing a common user interface for software applications accessed via the world-wide web
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5894552A (en) * 1997-08-15 1999-04-13 The United States Of America As Represented By The Secretary Of The Navy Method and apparatus for manually switching to a secured network

Also Published As

Publication number Publication date
JPH10136014A (ja) 1998-05-22
US6163843A (en) 2000-12-19

Similar Documents

Publication Publication Date Title
JP3557056B2 (ja) パケット検査装置、移動計算機装置及びパケット転送方法
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
US7031276B2 (en) Communication system using access control for mobile terminals with respect to local network
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
CN1855884B (zh) 负载分散装置和负载分散系统
CN1531245B (zh) 服务器、终端控制设备以及终端鉴权方法
JP3492865B2 (ja) 移動計算機装置及びパケット暗号化認証方法
US20070113269A1 (en) Controlling access to a network using redirection
JP2004505383A (ja) 分散ネットワーク認証およびアクセス制御用システム
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
JP2001217866A (ja) ネットワークシステム
JP2007522744A (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP2002118562A (ja) 認証拒否端末に対し特定条件でアクセスを許容するlan
CN100454860C (zh) 连接控制系统、连接控制装置及连接管理装置
JP2004062417A (ja) 認証サーバ装置、サーバ装置、およびゲートウェイ装置
US20040156374A1 (en) Router and routing method for providing linkage with mobile nodes
US20030226037A1 (en) Authorization negotiation in multi-domain environment
TW200421778A (en) Access-controlling method, repeater, and server
CN101031133B (zh) 一种确定移动节点归属的家乡代理的方法及装置
KR100419578B1 (ko) 다이아미터 기반 이동 인터넷 프로토콜 망에서의 세션제어 방법
JP3472098B2 (ja) 移動計算機装置、中継装置及びデータ転送方法
JP4230683B2 (ja) セキュリティ判定方法、およびセキュリティ判定装置
JP3812455B2 (ja) ゲートウェイ装置およびその位置登録方法、認証方法、位置管理方法、ならびにそのプログラムと記録媒体
JP4872128B2 (ja) 端末装置を使用する接続制御システム、接続制御方法
JP2006121728A (ja) 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040511

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040514

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090521

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090521

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100521

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110521

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110521

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120521

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees