[go: up one dir, main page]

JP2005051458A - 通信ネットワークシステム及びそのセキュリティ自動設定方法 - Google Patents

通信ネットワークシステム及びそのセキュリティ自動設定方法 Download PDF

Info

Publication number
JP2005051458A
JP2005051458A JP2003280589A JP2003280589A JP2005051458A JP 2005051458 A JP2005051458 A JP 2005051458A JP 2003280589 A JP2003280589 A JP 2003280589A JP 2003280589 A JP2003280589 A JP 2003280589A JP 2005051458 A JP2005051458 A JP 2005051458A
Authority
JP
Japan
Prior art keywords
security
mobile node
network
node
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003280589A
Other languages
English (en)
Other versions
JP4305087B2 (ja
Inventor
Shinichiro Motoyoshi
慎一郎 本吉
Hiroshi Kitamura
浩 北村
Masatake Nagura
正剛 名倉
Kazuhiko Harasaki
和彦 原崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003280589A priority Critical patent/JP4305087B2/ja
Priority to US10/890,301 priority patent/US7623666B2/en
Priority to CNB2004100546182A priority patent/CN100365990C/zh
Priority to CA 2475628 priority patent/CA2475628A1/en
Publication of JP2005051458A publication Critical patent/JP2005051458A/ja
Application granted granted Critical
Publication of JP4305087B2 publication Critical patent/JP4305087B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 モバイルノードが接続されるサブネットワークに応じてそのセキュリティ方法を自動設定する。
【解決手段】 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノード20を取り扱う通信ネットワークシステムにおいて、サブネットワークとセキュリティ方法との対応関係を保持するセキュリティ適用管理テーブル24、11を備え、モバイルノード20の接続するサブネットワークが変わった時、モバイルノード20とそのホームエージェント10との間でやりとりされるユーザデータのセキュリティを確保する方法を、セキュリティ適用管理テーブル24、11に基づいて自動設定する。
【選択図】 図1

Description

本発明は、不正行為を防止するセキュリティ対策が施された通信ネットワークシステム及びセキュリティ自動設定方法に関する。
不正行為を防止するセキュリティ対策が施された通信ネットワークシステムの一例が特許文献1に記載されている。この従来技術では、伝送路に接続されるネットワーク回線制御装置と計算機の間に、暗号化指定テーブルを参照し送信先別に暗号化の要否を判定する送信先識別部と、暗号化方法を外部記憶装置から読み込み送信データの暗号化を行うデータ暗号化部と、外部記憶装置から解読方法を読み込み暗号化されたデータを解読する暗号化データ解読部と、受信データの送信元を識別し暗号化指定テーブルを参照して暗号解読の要否を判定する送信元識別部と、暗号化方法の登録および変更を行うための暗号化方法制御部とを備え、指定した任意の計算機間で転送データの暗号化が行え、かつ、その暗号化方法の変更も容易に行えるようにしている。
不正行為を防止するセキュリティ対策が施された通信ネットワークシステムの他の例が特許文献2に記載されている。この従来技術では、ネットワーク上で送信側サーバおよび受信側サーバを経由してノード対間で電子メールの送受信を行う際、送信側サーバは送信側ノードから送信された電子メールデータを所定の暗号化方式に従って暗号化して転送する暗号化手段を有し、受信側サーバは受信した暗号化データを復号して受信側ノードに転送する復号化手段を有し、前記所定の暗号化方式をノード対のそれぞれについて個別に設定でき且つ任意に変更できるようにしている。
不正行為を防止するセキュリティ対策が施された通信ネットワークシステムの別の例に、IPv6プロトコルに準拠したネットワークシステムがある。IPv6では、暗号化、認証などのセキュリティ機能がプロトコル自体に組み込まれており、IPv4の弱点であったセキュリティ面が強化されている。IPv6で用いられるセキュリティ機能は、IP Security(Internet Security)と呼ばれ、ESP(Encapsulated Security Payload)による暗号化、AH(Authentication Header)による認証などの機能が含まれる。これらESP、AHによる暗号化と認証は、実装によって用意されたものの中から利用者が選択できるようになっている。ESPで利用可能な暗号化アルゴリズムはDES、3DES、AES、RC5、IDEAなどがある。ESPで暗号化を利用しない場合は、NULL暗号化アルゴリズムを選択する。AHもESPも認証アルゴリズムには、MD5とSHA1があり、利用者が選択して利用する。利用する暗号化アルゴリズムや認証アルゴリズムを変更するためには、手動による設定変更が必要である。
特開平4−274636号公報 特開2000−31957号公報
暗号化や認証といったセキュリティ機能は、第三者による盗聴や改ざんなどの不正行為を防止する技術であるため、そもそもそのような不正行為の心配がない信頼できるネットワーク(例えば同一企業内ネットワークなど)だけを利用する通信には必要でなく、利用すると通信効率が低下するなど悪影響がでる。他方、インターネットなど誰でも自由にアクセスできる公開されたネットワークを経由する通信の場合、セキュリティ機能は必須である。従来の通信ネットワークシステムでは、送信先別に暗号化や認証の要否を制御することは可能であったが、同じ通信相手であってもそれが接続されるサブネットワークに応じて暗号化や認証の要否を制御することはできなかった。このため、携帯情報端末など頻繁に動き回って接続サブネットワークが変わるモバイルノード(移動端末)を扱うIPv6プロトコルの通信ネットワークシステムにおいて、モバイルノードが接続されるサブネットワークに応じてそのセキュリティ方法を自動設定する技術が望まれている。
本発明の目的は、モバイルノードが接続されるサブネットワークに応じてそのセキュリティ方法を自動設定することができる通信ネットワークシステム及びそのセキュリティ自動設定方法を提供することにある。
本発明の第1の通信ネットワークシステムは、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、サブネットワークとセキュリティ方法との対応関係を保持するセキュリティ適用管理テーブルを備え、前記モバイルノードの接続するサブネットワークが変わった時、前記モバイルノードとそのホームエージェントとの間でやりとりされるユーザデータのセキュリティを確保する方法を前記セキュリティ適用管理テーブルに基づいて自動設定する。
本発明の第2の通信ネットワークシステムは、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、前記モバイルノードは、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルと、前記ノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するノード側セキュリティ制御手段と、自ノードが接続するサブネットワークを検出して前記ノード側セキュリティ制御手段に通知するとともにモバイルノードネットワーク信号にて前記ホームエージェントに通知するネットワーク検出手段とを備え、前記ホームエージェントは、自エージェントが管理する前記モバイルノードが接続されるサブネットワークとセキュリティ方法との対応関係を保持するエージェント側セキュリティ適用管理テーブルと、前記エージェント側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するエージェント側セキュリティ制御手段と、前記モバイルノードの前記ネットワーク検出手段から通知された前記モバイルノードネットワーク信号を受信して前記エージェント側セキュリティ制御手段に通知するモバイルノードネットワーク信号受信手段とを備えている。
本発明の第3の通信ネットワークシステムは、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、前記モバイルノードは、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルと、前記ノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するノード側セキュリティ制御手段と、自ノードが接続するサブネットワークを検出して前記ノード側セキュリティ制御手段に通知するとともに、前記ノード側セキュリティ制御手段で決定されたセキュリティ方法をモバイルノードネットワーク信号にて前記ホームエージェントに通知するネットワーク検出手段とを備え、前記ホームエージェントは、前記モバイルノードの前記ネットワーク検出手段から通知された前記モバイルノードネットワーク信号を受信するモバイルノードネットワーク信号受信手段と、前記モバイルノードネットワーク信号受信手段で受信された前記モバイルノードネットワーク信号に基づいて自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティ方法を決定するエージェント側セキュリティ制御手段とを備えている。
本発明の第1の通信ネットワークシステムにおけるセキュリティ自動設定方法は、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、前記モバイルノードの接続するサブネットワークが変わった時、前記モバイルノードとそのホームエージェントとの間でやりとりされるユーザデータのセキュリティを確保する方法を、サブネットワークとセキュリティ方法との対応関係を保持するセキュリティ適用管理テーブルに基づいて自動設定する。
本発明の第2の通信ネットワークシステムにおけるセキュリティ自動設定方法は、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、前記モバイルノードが、自ノードの接続するサブネットワークを検出し、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するとともに、自ノードが接続するサブネットワークをモバイルノードネットワーク信号にて前記ホームエージェントに通知する段階、前記ホームエージェントが、前記モバイルノードから通知された前記モバイルノードネットワーク信号に基づいて、自エージェントが管理する前記モバイルノードが接続されるサブネットワークとセキュリティ方法との対応関係を保持するエージェント側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定する段階、を含んでいる。
本発明の第3の通信ネットワークシステムにおけるセキュリティ自動設定方法は、複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、前記モバイルノードが、自ノードの接続するサブネットワークを検出し、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するとともに、前記決定したセキュリティ方法をモバイルノードネットワーク信号にて前記ホームエージェントに通知する段階、前記ホームエージェントが、前記モバイルノードから受信した前記モバイルノードネットワーク信号に基づいて自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティ方法を決定する段階、を含んでいる。
このように本発明にあっては、モバイルノードの接続するサブネットワークに応じて、モバイルノードとそのホームエージェントとの間でやりとりされるユーザデータのセキュリティを確保する方法を自動的に切り替えることができる。
図1を参照すると、本発明の第1の実施の形態にかかる通信ネットワークシステムは、モバイルノード20とそのホームエージェント10とがIPネットワーク30を通じて相互に接続されている。
モバイルノード20とそのホームエージェント10とを接続するIPネットワーク30は、モバイルノード20の移動に応じて変化する。例えば、モバイルノード20がホームリンクに接続されている場合、IPネットワーク30はホームリンクに対応する。また、モバイルノード20が或るフォリンリンクに移動した場合、IPネットワーク30は、ホームリンクとそのフォリンリンクとの間に介在するインターネット等の1つあるいは複数のネットワークに対応する。
モバイルノード20は、IPネットワーク30と物理的に接続するインタフェース21を有している。ネットワーク検出部22は、インタフェース21によって接続された自モバイルノードが接続されているネットワークを検出し、その情報をセキュリティ制御部23に通知するとともに、インタフェース21を通じてホームエージェント10のモバイルノードネットワーク信号受信部12へモバイルノードネットワーク通知信号として送出する。モバイルノードネットワーク通知信号は、それ専用の信号を新たに定義してもよいし、モバイルノードが新たなネットワークに移動したことをホームエージェントに通知するためのメッセージ信号である、モバイルIPv6標準のBinding Update信号を用いてもよい。セキュリティ制御部23は、受け取ったネットワーク情報と予め作成されているセキュリティ適用管理テーブル24を照らし合わせることにより、ホームエージェント10とのセキュリティ方法を決定する。
ホームエージェント10はモバイルノード20のホームエージェントであり、IPネットワーク30と物理的に接続するインタフェース11を有している。モバイルノード20から送出された前記モバイルノードネットワーク通知信号は、モバイルノードネットワーク信号受信部12にて受信され、セキュリティ制御部13へ送出される。セキュリティ制御部13は、受け取ったその情報と予め作成されているセキュリティ適用管理テーブル14を照らし合わせることにより、モバイルノード20とのセキュリティ方法を決定する。
次に、図1のモバイルノード20の動作を説明する。
図2を参照すると、モバイルノード20は、新たなネットワークに移動すると、ネットワーク検出部22において自モバイルノードが接続されているネットワークのネットワークアドレスを識別し(ステップ(1))、その情報を自ノード20のセキュリティ制御部23へ送出するとともに(ステップ(2))、モバイルノードネットワーク通知信号によってホームエージェント10のモバイルノードネットワーク信号受信部12へ送出する(ステップ(3))。セキュリティ制御部23は、そのネットワークアドレスでセキュリティ適用管理テーブル24を検索し(ステップ(4))、ホームエージェント10とのユーザデータの通信に使用するセキュリティ方法を決定する(ステップ(5))。つまり、暗号化を行うか否か、認証を行うか否か、暗号化を行う場合にどのような方法を用いるのか、認証を行う場合にどのような方法を用いるのかを決定する。
図3はセキュリティ適用管理テーブル24の一例である。このセキュリティ適用管理テーブル24の場合、モバイルノード20がネットワークアドレスAのネットワークに属していた場合、ESP(Encapsulating Security Payload、RFC2406参照)と呼ばれるIPパケットの暗号化を行う暗号化方式を用いて通信を行う。同様にネットワークアドレスBのネットワークに属していた場合には、AH(Authentication Header、RFC2402参照)と呼ばれるパケット内のデータの改ざんを防止するための認証方式を用いて通信を行う。ネットワークアドレスCのネットワークであった場合には、暗号化および認証を行わずに平文で通信を行う。なお、ESPで利用する暗号化アルゴリズムや、AHで使用する認証アルゴリズムは予め定まっているものとする。
次に、ホームエージェント10の動作を説明する。
図2を参照すると、ホームエージェント10は、モバイルノード20からのモバイルノードネットワーク通知信号をモバイルノードネットワーク信号受信部12で受信すると(ステップ(3))、そのモバイルノードネットワーク通知信号で通知されたモバイルノード20が属するネットワークのネットワークアドレスをセキュリティ制御部13へ送出する(ステップ(6))。セキュリティ制御部13は、モバイルノード20のネットワークアドレスでセキュリティ適用管理テーブル14を検索し(ステップ(7))、モバイルノード20とのユーザデータの通信に使用するセキュリティ方法を決定する(ステップ(8))。つまり、暗号化を行うか否か、認証を行うか否か、暗号化を行う場合にどのような方法を用いるのか、認証を行う場合にどのような方法を用いるのかを決定する。ここで、ホームエージェント10のセキュリティ適用管理テーブル14とモバイルノード20のセキュリティ適用管理テーブル24とは同じ内容に設定されているため、セキュリティ制御部13が決定するセキュリティ方法は、モバイルノード20のセキュリティ制御部23が決定したセキュリティ方法と同じになる。
以上説明したように、本実施の形態においては、以下に記載するような効果を奏する。
第1の効果は、モバイルノードの接続するネットワークに応じてセキュリティ設定、解除が自動的に行われ、必要のない暗号化通信等がなくなるため、ネットワークリソースの有効活用を図ることができるということである。
第2の効果は、手動でのセキュリティ設定が必要ないので、手間が省けるということである。
第3の効果は、手動でのセキュリティ設定が必要ないので、一回設定すれば設定ミスが発生しないということである。
第4の効果は、自動化によりすばやくセキュリティ設定の変更が行えるので、セキュリティ方式の変更を伴うようなネットワーク間の移動時も動作中のアプリケーションソフトが途切れることがないということである。
「発明の第2の実施の形態」
本発明の第2の実施の形態は、その基本的構成は第1の実施の形態とほぼ同じであるが、ホームエージェント10でのセキュリティ設定についてさらに工夫している。その構成を図4に示す。図4を参照すると、本実施の形態におけるホームエージェント10は、図1におけるホームエージェント10と異なり、セキュリティ適用管理テーブル14は有していない。この構成のときのシーケンスを図5に示す。この場合、モバイルノード20が新たなネットワークに移動すると、ネットワーク検出部22において自モバイルノードが接続されているネットワークアドレスを識別し(ステップ(11))、その情報をセキュリティ制御部23へ送出する(ステップ(12))。セキュリティ制御部23は、そのネットワークアドレスでセキュリティ適用管理テーブル24を検索し(ステップ(13))、ホームエージェント10とのユーザデータの通信に使用するセキュリティ方法を決定する(ステップ(14))。つまり、暗号化を行うか否か、認証を行うか否か、暗号化を行う場合にどのような方法を用いるのか、認証を行う場合にどのような方法を用いるのかを決定する。
次にセキュリティ制御部23は、決定したセキュリティ方法に関する情報をネットワーク検出部22へ通知する(ステップ(15))。ネットワーク検出部22は、通知されたセキュリティ方法に関する情報をモバイルノードネットワーク通知信号としてホームエージェント10のモバイルノードネットワーク信号受信部12へ送出する(ステップ(16)。モバイルノードネットワーク通知信号はどのようなセキュリティ方法を用いるかという情報も一緒に付加することが先の実施の形態と相違する。モバイルノードネットワーク信号受信部12で受信されたモバイルノードネットワーク通知信号は、セキュリティ制御部13へ送出される(ステップ(17))。前述のとおりモバイルノードネットワーク信号にはセキュリティ方法の情報が入っているので、セキュリティ制御部13は、このモバイルノードネットワーク信号に基づき、モバイルノード20とのユーザデータの通信に使用するセキュリティ方法を決定する(ステップ(18))。
このように、本実施の形態では、セキュリティ適用管理テーブルを一元化しているので、ホームエージェント10にセキュリティ適用管理テーブルの設定が必要なく、またホームエージェント10とモバイルノード20にそれぞれ保持されているセキュリティ適用管理テーブルの設定ミスによる通信不能を防ぐという効果が得られる。
図6を参照すると、本発明の一実施例にかかる通信ネットワークシステムは、モバイルIPv6プロトコルのネットワークをベースに改良を加えたものであり、インターネット等のIPコアネットワーク100を通じて企業内ネットワーク101と他のネットワーク102が相互に接続されており、企業内ネットワーク101はルータ107を通じて他の企業内ネットワーク106にも接続されている。企業内ネットワーク101には、モバイルノード103とそのホームエージェント104およびモバイルノード103の通信相手105が接続されている。つまり、モバイルノード103にとって、企業内ネットワーク101はホームリンク、ネットワーク102、106はフォリンリンクであり、図6の状態はモバイルノード103がホームリンクに接続されている状態を示す。ここで、企業内ネットワーク101および企業内ネットワーク106は安全なネットワーク、つまり盗聴や改ざんの危険性のないネットワーク、IPネットワーク100およびネットワーク102は安全でないネットワークとする。
モバイルノード103が、図6の破線103−1に示すようにホームリンクである企業内ネットワーク101からフォリンリンクであるネットワーク102へ移動したとき、ネットワーク検出部22はルータ広告からフォリンリンクに移動したことを認識し、新たな気付アドレスを獲得する。今、モバイルノード103が新たに獲得した気付アドレスをX:aとする。ここで、X:aは128ビット長のIPv6のアドレスを示し、Xはネットワーク102のネットワークプリフェックス、aはモバイルノード103のインタフェースIDを示す。セキュリティ適用管理テーブル24に、Xに対応して、例えば「暗号化あり(ESP)」なるセキュリティ方法が設定されているものとすると、セキュリティ制御部23は、ホームエージェント104との間のセキュリティ方法をESPを使って暗号化する方法に決定する。
他方、モバイルノード103からホームエージェント104に対し、第1の実施の形態の場合は、Binding Update信号によって、モバイルノード103が新たに接続したネットワーク102で得た気付アドレスX:aが通知され、第2の実施の形態の場合は、Binding Update信号によって、モバイルノード103が新たに接続したネットワーク102で得た気付アドレスX:aと前記決定したセキュリティ方法とが通知される。ホームエージェント104は、受信した気付アドレスX:aをモバイルノード103のホームアドレスに対応付けて内部のバインディングキャッシュに登録し、更に第1の実施の形態の場合にはセキュリティ適用管理テーブル14を参照してモバイルノード103側と同じセキュリティ方法(ESPを使って暗号化する方法)をモバイルノード103との間のセキュリティ方法として決定し、第2の実施の形態の場合には、モバイルノード103から通知されたセキュリティ方法(ESP)をモバイルノード103との間のセキュリティ方法として決定する。
モバイルノード103がネットワーク102に接続されているときに、通信相手105がモバイルノード103へパケットを送信したとする。通信相手105の上位プロトコルやアプリケーションはモバイルノード103のアドレスとしてホームアドレスを利用する。通信相手105のIP層は、モバイルノード103のホームアドレスが受信先として指定されたパケットを上位層から受け取ると、通信相手105内のバインディングキャッシュにそのホームアドレスに対応する気付アドレスが存在しない場合、ホームアドレスを受信先に指定したままにしてパケットを送信する。このパケットはホームエージェント104により捕獲され、ホームエージェント104内のバインディングキャッシュに登録されているモバイルノード103の気付アドレスX:aに基づいて、発信元アドレスがホームエージェント104のアドレス、受信先がモバイルノード103の気付アドレスX:aであるようなIPv6ヘッダ(トンネル用ヘッダ)を、捕獲したパケットの先頭に付加して送出する。このとき、前記決定されたセキュリティ方法に従い、EPSによってパケット全体を暗号化して送出する。トンネリングされてきたパケットはトンネル用ヘッダを除去した後、通常のIPv6パケットとして処理される。このとき、モバイルノード103は前記決定したセキュリティ方法に従い、暗号化されたパケットを復号化する。
このようにモバイルノード103が安全でないネットワーク102に移動している状態において、通信相手105から出力されたモバイルノード103宛のパケットは、企業内ネットワーク101を通じてホームエージェント104で捕獲され、ここで予め定められたセキュリティ方法に従って暗号化されて、IPネットワーク100およびネットワーク102経由でモバイルノード103に届けられるため、パケットデータのセキュリティを確保することが可能となる。
なお、IPv6プロトコルでは、モバイルノード103は、通信相手105にバインディング更新オプションを送信して、通信相手105のバインディングキャッシュにモバイルノード103のホームアドレスと気付アドレスX:aのペアを登録させることができ、通信相手105は、以降、その気付アドレスを使ってモバイルノード103に直接パケットを送信することができるようになっている。このとき、モバイルノード103が、バインディング更新オプションで前記決定したセキュリティ方法をあわせて通知し、通信相手105が通知されたセキュリティ方法を使って暗号化を行うようにすることにより、ホームエージェント104が介在しない以降の通信時にもセキュリティの確保が可能となる。
次に、モバイルノード103が、図6の破線103−2に示すようにホームリンクである企業内ネットワーク101に接続された別の企業内ネットワーク106へ移動したものとする。このとき、ネットワーク検出部22はルータ広告からネットワーク106に移動したことを認識し、新たな気付アドレスを獲得する。今、モバイルノード103が新たに獲得した気付アドレスをY:aとする。ここで、Y:aは128ビット長のIPv6のアドレスを示し、Yはネットワーク106のネットワークプリフェックス、aはモバイルノード103のインタフェースIDを示す。セキュリティ適用管理テーブル24に、Yに対応して、例えば「暗号化および認証なし」なるセキュリティ方法が設定されているものとすると、セキュリティ制御部23は、ホームエージェント104との間のセキュリティ方法を暗号化および認証を行わない方法に決定する。
他方、モバイルノード103からホームエージェント104に対し、第1の実施の形態の場合は、Binding Update信号によって、モバイルノード103が新たに接続したネットワーク106で得た気付アドレスY:aが通知され、第2の実施の形態の場合は、Binding Update信号によって、モバイルノード103が新たに接続したネットワーク106で得た気付アドレスY:aと前記決定したセキュリティ方法とが通知される。ホームエージェント104は、受信した気付アドレスY:aをモバイルノード103のホームアドレスに対応付けて内部のバインディングキャッシュに登録し、更に第1の実施の形態の場合にはセキュリティ適用管理テーブル14を参照してモバイルノード103側と同じセキュリティ方法(暗号化および認証を行わない方法)をモバイルノード103との間のセキュリティ方法として決定し、第2の実施の形態の場合には、モバイルノード103から通知されたセキュリティ方法(暗号化および認証を行わない方法)をモバイルノード103との間のセキュリティ方法として決定する。
モバイルノード103がネットワーク106に接続されているときに、モバイルノード103のホームアドレスを受信先に指定したパケットを通信相手105が送信すると、そのパケットはホームエージェント104により捕獲され、ホームエージェント104内のバインディングキャッシュに登録されているモバイルノード103の気付アドレスY:aに基づいて、発信元アドレスがホームエージェント104のアドレス、受信先がモバイルノード103の気付アドレスY:aであるようなIPv6ヘッダ(トンネル用ヘッダ)を、捕獲したパケットの先頭に付加して送出する。このとき、前記決定されたセキュリティ方法に従い、パケットの暗号化および認証は行われない。トンネリングされてきたパケットはトンネル用ヘッダを除去した後、通常のIPv6パケットとして処理される。このとき、モバイルノード103は前記決定したセキュリティ方法に従い、復号化および認証は行わない。
このようにモバイルノード103が安全なネットワーク106に移動している状態において、通信相手105から出力されたモバイルノード103宛のパケットは、企業内ネットワーク101を通じてホームエージェント104で捕獲され、ここで予め定められたセキュリティ方法に従って暗号化および認証が実施されず、IPネットワーク100およびネットワーク106経由でモバイルノード103に届けられる。
次に、モバイルノード103がホームリンクである企業内ネットワーク101に戻ってくると、ネットワーク検出部22はルータ広告からホームリンクに戻ったことを認識する。モバイルノード103がホームリンクに戻ってきた場合、Binding Update信号でその旨をホームエージェント104に通知し、さらに、自身のホームアドレス宛のパケットを自分で受信できるように、非要請近隣広告をホームリンクであるネットワーク101の全ノードにマルチキャストする。Binding Update信号を受信したホームエージェント104は、自身が保有するバインディングキャッシュを更新してモバイルノード103がホームリンクに居ることを登録し、モバイルノード103のパケットの捕獲および転送サービスを中止する。従って、通信相手105からモバイルノード103宛に送信されたパケットはモバイルノード102で直接受信される。
このようにモバイルノード103がホームリンクに居る場合、通信相手105から出力されたモバイルノード103宛のパケットは、ホームエージェント104を経由することなくモバイルノード103に届けられる。従って、ホームエージェント104が介在することによる暗号化、認証は行えないが、企業内ネットワーク101だけを経由してモバイルノード103に届けられるためパケットデータのセキュリティは確保されており、問題は生じない。
本発明の第1の実施の形態にかかる通信ネットワークシステムのブロック図である。 本発明の第1の実施の形態の動作例を示すシーケンスチャートである。 セキュリティ適用管理テーブルの一例を示す図である。 本発明の第2の実施の形態にかかる通信ネットワークシステムのブロック図である。 本発明の第2の実施の形態の動作例を示すシーケンスチャートである。 本発明の実施例にかかる通信ネットワークシステムのブロック図である。
符号の説明
10…ホームエージェント
11…インタフェース
12…モバイルノードネットワーク信号受信部
13…セキュリティ制御部
14…セキュリティ適用管理テーブル
20…モバイルノード
21…インタフェース
22…ネットワーク検出部
23…セキュリティ制御部
24…セキュリティ適用管理テーブル
30…IPネットワーク
100…IPネットワーク
101…企業内ネットワーク
102…ネットワーク
103、103−1、103−2…モバイルノード
104…ホームエージェント
105…通信相手
106…企業内ネットワーク
107…ルータ

Claims (6)

  1. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、サブネットワークとセキュリティ方法との対応関係を保持するセキュリティ適用管理テーブルを備え、前記モバイルノードの接続するサブネットワークが変わった時、前記モバイルノードとそのホームエージェントとの間でやりとりされるユーザデータのセキュリティを確保する方法を前記セキュリティ適用管理テーブルに基づいて自動設定する通信ネットワークシステム。
  2. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、
    前記モバイルノードは、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルと、前記ノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するノード側セキュリティ制御手段と、自ノードが接続するサブネットワークを検出して前記ノード側セキュリティ制御手段に通知するとともにモバイルノードネットワーク信号にて前記ホームエージェントに通知するネットワーク検出手段とを備え、
    前記ホームエージェントは、自エージェントが管理する前記モバイルノードが接続されるサブネットワークとセキュリティ方法との対応関係を保持するエージェント側セキュリティ適用管理テーブルと、前記エージェント側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するエージェント側セキュリティ制御手段と、前記モバイルノードの前記ネットワーク検出手段から通知された前記モバイルノードネットワーク信号を受信して前記エージェント側セキュリティ制御手段に通知するモバイルノードネットワーク信号受信手段とを備える、
    ことを特徴とする通信ネットワークシステム。
  3. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおいて、
    前記モバイルノードは、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルと、前記ノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するノード側セキュリティ制御手段と、自ノードが接続するサブネットワークを検出して前記ノード側セキュリティ制御手段に通知するとともに、前記ノード側セキュリティ制御手段で決定されたセキュリティ方法をモバイルノードネットワーク信号にて前記ホームエージェントに通知するネットワーク検出手段とを備え、
    前記ホームエージェントは、前記モバイルノードの前記ネットワーク検出手段から通知された前記モバイルノードネットワーク信号を受信するモバイルノードネットワーク信号受信手段と、前記モバイルノードネットワーク信号受信手段で受信された前記モバイルノードネットワーク信号に基づいて自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティ方法を決定するエージェント側セキュリティ制御手段とを備える、
    ことを特徴とする通信ネットワークシステム。
  4. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、前記モバイルノードの接続するサブネットワークが変わった時、前記モバイルノードとそのホームエージェントとの間でやりとりされるユーザデータのセキュリティを確保する方法を、サブネットワークとセキュリティ方法との対応関係を保持するセキュリティ適用管理テーブルに基づいて自動設定する通信ネットワークシステムにおけるセキュリティ自動設定方法。
  5. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、
    前記モバイルノードが、自ノードの接続するサブネットワークを検出し、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するとともに、自ノードが接続するサブネットワークをモバイルノードネットワーク信号にて前記ホームエージェントに通知する段階、
    前記ホームエージェントが、前記モバイルノードから通知された前記モバイルノードネットワーク信号に基づいて、自エージェントが管理する前記モバイルノードが接続されるサブネットワークとセキュリティ方法との対応関係を保持するエージェント側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定する段階、
    を含むことを特徴とする通信ネットワークシステムにおけるセキュリティ自動設定方法。
  6. 複数の相互に接続されたサブネットワークを備え、現在接続しているサブネットワークに依存する気付アドレスと依存しないホームアドレスとを有するモバイルノードを取り扱う通信ネットワークシステムにおけるセキュリティ自動設定方法であって、
    前記モバイルノードが、自ノードの接続するサブネットワークを検出し、サブネットワークとセキュリティ方法との対応関係を保持するノード側セキュリティ適用管理テーブルに保持されたセキュリティ方法のうちから自ノードのホームエージェントとの間でやりとりするユーザデータのセキュリティを確保するために用いるセキュリティ方法を決定するとともに、前記決定したセキュリティ方法をモバイルノードネットワーク信号にて前記ホームエージェントに通知する段階、
    前記ホームエージェントが、前記モバイルノードから受信した前記モバイルノードネットワーク信号に基づいて自エージェントが管理する前記モバイルノードとの間でやりとりするユーザデータのセキュリティ方法を決定する段階、
    を含むことを特徴とする通信ネットワークシステムにおけるセキュリティ自動設定方法。
JP2003280589A 2003-07-28 2003-07-28 通信ネットワークシステム及びそのセキュリティ自動設定方法 Expired - Fee Related JP4305087B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003280589A JP4305087B2 (ja) 2003-07-28 2003-07-28 通信ネットワークシステム及びそのセキュリティ自動設定方法
US10/890,301 US7623666B2 (en) 2003-07-28 2004-07-14 Automatic setting of security in communication network system
CNB2004100546182A CN100365990C (zh) 2003-07-28 2004-07-22 通信网络系统中安全性的自动设定
CA 2475628 CA2475628A1 (en) 2003-07-28 2004-07-23 Automatic setting of security in communication network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003280589A JP4305087B2 (ja) 2003-07-28 2003-07-28 通信ネットワークシステム及びそのセキュリティ自動設定方法

Publications (2)

Publication Number Publication Date
JP2005051458A true JP2005051458A (ja) 2005-02-24
JP4305087B2 JP4305087B2 (ja) 2009-07-29

Family

ID=34100877

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003280589A Expired - Fee Related JP4305087B2 (ja) 2003-07-28 2003-07-28 通信ネットワークシステム及びそのセキュリティ自動設定方法

Country Status (4)

Country Link
US (1) US7623666B2 (ja)
JP (1) JP4305087B2 (ja)
CN (1) CN100365990C (ja)
CA (1) CA2475628A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009171125A (ja) * 2008-01-15 2009-07-30 Canon Inc 通信装置、制御方法、プログラム、記憶媒体

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007050066A1 (en) * 2005-10-26 2007-05-03 Thomson Licensing A system and method for delivering satellite services at multiple security levels
US7680123B2 (en) * 2006-01-17 2010-03-16 Qualcomm Incorporated Mobile terminated packet data call setup without dormancy
US7937747B2 (en) * 2007-03-27 2011-05-03 Panasonic Corporation Privacy protection for mobile internet protocol sessions
JP4891268B2 (ja) * 2008-01-15 2012-03-07 キヤノン株式会社 通信装置、制御方法、プログラム、記憶媒体
US9408078B2 (en) * 2009-12-18 2016-08-02 Nokia Technologies Oy IP mobility security control
US8949951B2 (en) 2011-03-04 2015-02-03 Red Hat, Inc. Generating modular security delegates for applications
US9112682B2 (en) 2011-03-15 2015-08-18 Red Hat, Inc. Generating modular security delegates for applications
US8635671B2 (en) * 2011-05-31 2014-01-21 Red Hat, Inc. Systems and methods for a security delegate module to select appropriate security services for web applications
US9003560B1 (en) * 2012-06-05 2015-04-07 Rockwell Collins, Inc. Secure enclosure with internal security components

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04274636A (ja) 1991-03-01 1992-09-30 Chugoku Nippon Denki Software Kk ローカルエリアネットワークにおける暗号化方式
US6138121A (en) * 1998-05-29 2000-10-24 Hewlett-Packard Company Network management event storage and manipulation using relational database technology in a data warehouse
JP2000022681A (ja) 1998-07-03 2000-01-21 Toshiba Corp 暗号化通信情報の管理システム及び記録媒体
JP2000031957A (ja) 1998-07-16 2000-01-28 Sumitomo Electric Ind Ltd 通信システム
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
JP2000244547A (ja) 1999-02-17 2000-09-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法
US6889328B1 (en) * 1999-05-28 2005-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure communication
JP2001339382A (ja) 2000-05-29 2001-12-07 Matsushita Electric Works Ltd 暗号処理制御方法及びそのプログラムを記録した記録媒体及び暗号処理制御装置及び暗号処理システム
CN1478232A (zh) * 2000-11-13 2004-02-25 Ecutel公司 用于安全网络移动性的系统和方法
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7325248B2 (en) * 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US7065356B2 (en) * 2001-12-14 2006-06-20 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for preventing unauthorized use of roaming numbers in a wireless telecommunications system
US6745333B1 (en) * 2002-01-31 2004-06-01 3Com Corporation Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US7606242B2 (en) * 2002-08-02 2009-10-20 Wavelink Corporation Managed roaming for WLANS
US7522906B2 (en) * 2002-08-09 2009-04-21 Wavelink Corporation Mobile unit configuration management for WLANs
US7150044B2 (en) * 2003-03-10 2006-12-12 Mci, Llc Secure self-organizing and self-provisioning anomalous event detection systems
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
US8554876B2 (en) * 2004-01-23 2013-10-08 Hewlett-Packard Development Company, L.P. User profile service
US20070006295A1 (en) * 2005-06-24 2007-01-04 Henry Haverinen Adaptive IPsec processing in mobile-enhanced virtual private networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009171125A (ja) * 2008-01-15 2009-07-30 Canon Inc 通信装置、制御方法、プログラム、記憶媒体
US9143925B2 (en) 2008-01-15 2015-09-22 Canon Kabushiki Kaisha Communication parameter setting apparatus and control method therefore

Also Published As

Publication number Publication date
CN100365990C (zh) 2008-01-30
US7623666B2 (en) 2009-11-24
US20050028011A1 (en) 2005-02-03
CN1578229A (zh) 2005-02-09
CA2475628A1 (en) 2005-01-28
JP4305087B2 (ja) 2009-07-29

Similar Documents

Publication Publication Date Title
CN1316796C (zh) 短程无线网络环境中位置独立信息包路由选择和安全访问
USRE46113E1 (en) Technique for maintaining secure network connections
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
US7908475B2 (en) Method and apparatus for transferring a communicaton session
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US10897509B2 (en) Dynamic detection of inactive virtual private network clients
JP2010016834A (ja) フィルタリング方法
CN113852552A (zh) 一种网络通讯方法、系统与存储介质
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
JP2007036641A (ja) ホームエージェント装置、及び通信システム
JP4357401B2 (ja) フィルタリング方法
CN100514936C (zh) 移动路由器装置以及本地代理装置
WO2007052527A1 (ja) 無線通信システム、通信装置、及び中継装置
WO2011064858A1 (ja) 無線認証端末
Li et al. Mobile IPv6: protocols and implementation
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
JP2004266516A (ja) ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム
JP2003338850A (ja) MobileIPネットワークに適合したセキュリティアソシエーション管理サーバ
JP3927185B2 (ja) ネットワークシステム、ゲートウェイ装置、プログラム及び通信制御方法
CN100469073C (zh) 短程无线网络环境中允许安全网络访问的方法
EP1983715B1 (en) Wireless network configuration
Ng Performance analysis of the mobile IP protocol (RFC 3344 and related RFCS)
Korhonen Mobile IPv6 in Linux Kernel and User Space

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090420

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120515

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees