Nothing Special   »   [go: up one dir, main page]

JP2011015327A - 通信管理装置および通信管理プログラム - Google Patents

通信管理装置および通信管理プログラム Download PDF

Info

Publication number
JP2011015327A
JP2011015327A JP2009159596A JP2009159596A JP2011015327A JP 2011015327 A JP2011015327 A JP 2011015327A JP 2009159596 A JP2009159596 A JP 2009159596A JP 2009159596 A JP2009159596 A JP 2009159596A JP 2011015327 A JP2011015327 A JP 2011015327A
Authority
JP
Japan
Prior art keywords
mobile
address
vpn
station
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009159596A
Other languages
English (en)
Inventor
Kazumasa Ushiki
一雅 宇式
Shinji Fujino
信次 藤野
Kazuhiro Muraoka
和裕 村岡
Tomohide Yamamoto
智秀 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009159596A priority Critical patent/JP2011015327A/ja
Publication of JP2011015327A publication Critical patent/JP2011015327A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】網間移動時の手順を短時間で行うこと。
【解決手段】通信管理装置1は、格納部2と、暗号処理部3と、送信部4とを有している。格納部2は、複数の網5a、5b間を移動する移動装置6の、網5a、5b毎に設定された第1のアドレスと網5a、5b間で共通する第2のアドレスとこの第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報2aを格納する。暗号処理部3は、第2のアドレス宛のパケット8を受信した場合、受信した第2のアドレスに対応する管理情報2aのセキュリティ情報に基づいてパケット8を暗号化する。送信部4は、暗号化が施されたパケット8aを、受信した第2のアドレスに対応する第1のアドレス宛に送信する。
【選択図】図1

Description

本発明は通信管理装置および通信管理プログラムに関する。
IPSec(IP Security Protocol)等のVPN(Virtual Private Network)を用いて、例えば、車載移動局が、移動しながらサーバ等と無線通信を行う技術が知られている。
IPSec等のVPNを用いた場合、VPNサーバ等の暗号化(復号)を行う装置は、移動局に割り当てられた実IPアドレスと、当該実IPアドレスが付与されたパケットの暗号化(復号)を行う際に用いる暗号鍵の対応関係を保持する。この対応関係は例えば、VPNを用いた通信を開始する前に設定される。
確立されたVPNを用いて通信を行っている移動局が移動し、接続先の移動網を変える場合、移動先網のDHCP(Dynamic Host Configuration Protocol)サーバ等から新規に実IPアドレスが割り当てられる。
この際、移動局の移動前にVPNサーバで管理されていた実IPアドレスと暗号鍵等のセキュリティ情報の対応関係は一致しなくなる。
このため、移動先網から割り当てられた新たな実IPアドレスに基づいてVPN通信を行うために、暗号鍵の再設定が必要となる。
特開2004−135248号公報
このセキュリティ情報の再設定を行うにあたっては、移動局とVPNサーバとの間で数回の通信が必要となる。このとき、セキュリティ情報の再設定が完了するまで通信が中断してしまうという問題がある。
本発明はこのような点に鑑みてなされたものであり、網間移動時の手順を短時間で行うことができる通信管理装置および通信管理プログラムを提供することを目的とする。
上記目的を達成するために、開示の通信管理装置が提供される。この通信管理装置は、格納部と、暗号処理部と、送信部とを有している。
格納部は、複数の網間を移動する移動装置の、網毎に設定された第1のアドレスと複数の網間で共通する第2のアドレスとこの第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報を格納する。
暗号処理部は、第2のアドレス宛のパケットを受信した場合、受信した第2のアドレスに対応する管理情報のセキュリティ情報に基づいてパケットを暗号化する。
送信部は、暗号化が施されたパケットを、受信した第2のアドレスに対応する第1のアドレス宛に送信する。
開示の通信管理装置によれば、移動装置の通信の遮断を防止することができる。
第1の実施の形態の通信管理装置の概要を示す図である。 第2の実施の形態のシステムを示す図である。 VPNサーバのハードウェア構成例を示す図である。 移動親局のハードウェア構成例を示す図である。 VPNサーバの機能を示すブロック図である。 通信エリアデータを示す図である。 サーバ側VPN管理テーブルを示す図である。 移動親局の機能を示すブロック図である。 移動親局のVPN管理部が管理するデータ構造を示す図である。 移動子局の機能を示すブロック図である。 システムの処理を示すシーケンス図である。 システムの処理を示すシーケンス図である。 通信用のパケットを示す図である。 VPNサーバのパケット転送処理を示すフローチャートである。 固定局宛パケット受信時処理を示すフローチャートである。 移動親局の処理を示すフローチャートである。 移動親局の処理を示すフローチャートである。 移動網の移動後に移動親局とVPNサーバ間でやり取りされるパケットを示す図である。 VPNサーバのアドレス通知受信処理を示す図である。 暗号鍵交換処理要否判定処理を示すフローチャートである。 暗号鍵交換処理要否判定処理の詳細を示すフローチャートである。 第3の実施の形態のシステムを示す図である。 第3の実施の形態の移動親局の処理を示すフローチャートである。 第4の実施の形態のシステムを示す図である。 第4の実施の形態のVPNサーバの処理を示すフローチャートである。
以下、実施の形態を、図面を参照して詳細に説明する。
まず、実施の形態の通信管理装置の概要について説明し、その後、実施の形態をより具体的に説明する。
<第1の実施の形態>
図1は、第1の実施の形態の通信管理装置の概要を示す図である。
実施の形態の通信管理装置1は、例えば、VPN等の仮想私設網を用いて通信装置間の通信を実現する装置である。
図1では通信装置として移動装置6と通信装置7を示している。
移動装置6は、例えば、交通機関(バス、電車)等に設置されており、交通機関の移動に伴って移動することにより、通信装置7との通信用の網(ネットワーク)5aまたは網5bに接続する。
通信装置7は、例えば、移動装置6と同様に交通機関等に設置されている装置、または、所定の固定箇所に設置された装置である。
通信管理装置1は、格納部2と、暗号処理部3と、送信部4とを有している。
格納部2は、網5a、5b間を移動する移動装置6が備える、網5a、5b毎に設定された第1のアドレスと網5a、5b間で共通する第2のアドレス(MRv1)と第2のアドレス(MRv1)に対応するセキュリティ情報(Sec1)とを対応づけた管理情報2aを格納する。
ここで、格納部2に格納される第1のアドレスは、例えば、移動装置6の電源がONされる度に、図示しないサーバ等から供給されるアドレスである。
また、このアドレスは、網5a、5b間を移動すると、変化する。具体的には、移動装置6が、網5aに接続されている状態では、第1のアドレスは、「MRr11」である。そして、移動装置6が、網5aから網5bに移動したとき、第1のアドレスは、「MRr12」となる。
第2のアドレスは、移動装置6の通信用に仮想的に付与されたアドレスである。この第2のアドレスは、移動装置6の網5aから網5bへの移動時に、移動装置6が通信管理装置1に通知するものである。
この情報は、移動装置6が、網5aから網5bに移動したときも、また、網5bから網5aに移動したときも、変わらず「MRv1」である。
セキュリティ情報は、仮想私設網通信におけるデータの暗号化に必要な情報である。このセキュリティ情報は、例えば、暗号化方法の情報と暗号鍵の情報とを有している。
暗号処理部3は、通信装置7から第2のアドレス宛のパケット8を受信した場合、受信した第2のアドレスに対応する管理情報2aのセキュリティ情報に基づいてパケット8を暗号化する。
ここで、図1では、移動装置6が網5aから網5bに移動した場合でも、管理情報2aのセキュリティ情報(Sec1)を変更せずに、そのセキュリティ情報(Sec1)を用いてパケット8を暗号化している。
換言すると、移動装置の第1のアドレスが、移動により、「MRr11」から「MRr12」に変わっても、第2のアドレス(MRv1)は変わらないため、セキュリティ情報(Sec1)を変更せずに、そのセキュリティ情報(Sec1)を用いてパケット8を暗号化している。
送信部4は、暗号化が施されたパケット8aを、受信した第2のアドレスMRv1に対応する第1のアドレス宛に送信する。
このように、第2のアドレスを設定することで、移動装置6の網5a、網5b間の移動によるセキュリティ情報の変更処理を省略することができる。これにより、網5a、網5b間の移動に伴う通信確立のための設定に必要な時間の短縮を図ることができる。従って、通信品質が向上する。
なお、セキュリティの質を保つために、例えば、通信管理装置1が、移動装置6との通信時間を計測しておき、この通信時間が一定時間を経過した場合には、セキュリティ情報(Sec1)を更新するようにするのが好ましい。
すなわち、通信装置7から第2のアドレス宛のパケット8を受信した場合にこの一定時間を経過していた場合は、更新したセキュリティ情報を用いて、暗号化の再設定(移動装置6と暗号化方式の交渉および暗号鍵の交換等)を行うようにするのが好ましい。
なお、この時間は、移動装置6が接続している網の種別(無線LAN、セルラー等)によって、異なる時間に設定するようにしてもよい。
これにより、セキュリティの質を保つことができる。
但し、一定時間を経過していても、移動装置6の移動速度や、移動装置6の特定の通信プロトコル種別等によっては、暗号化の再設定を行わないようにしてもよい。
前者の場合、例えば、移動装置6の移動速度と網5a、5bの通信エリアから移動装置の通過時間を算出し、この通過時間が予め定められた時間よりも短い場合は、暗号化の再設定を行わないようにしてもよい。
後者の場合、例えば、通信プロトコルが、音声や、静止画像、動画像を通信するプロトコルである場合には、暗号化の再設定を行わないようにしてもよい。
これにより、通信が途絶えることを防止し、通信品質を保つことができる。
<第2の実施の形態>
以下、実施の形態をより具体的に説明する。
図2は、第2の実施の形態のシステムを示す図である。
システム100は、IPsecを使用したシステムであり、VPNサーバ10と、固定局20と、固定網30と、中継網40と、移動網(移動通信網)51、52と、移動親局60aと、移動子局70aとを有している。
VPNサーバ10と固定局20は、共通の固定網(ネットワーク)30に接続されている。
VPNサーバ10は、固定網30外部の中継網40から転送されるパケットを受信すると、受信したパケットの暗号を復号し、固定局20にデータを転送する。また、固定局20から転送されるパケットを受信すると、受信したパケットを暗号化し、中継網40に転送する。
固定局20は、例えば、会社内に設置されており、VPNサーバ10を介して移動子局70aと通信を行う。
中継網40は、固定網30と移動網51、52に接続されている。この中継網40は、VPNサーバ10と移動網51、52間でやりとりされるデータを中継する機能を有している。
移動網51、52は、中継網40に接続されている。この移動網51、52は、図示しない無線基地局を有しており、移動親局60aとの無線通信機能を実現する。
移動親局60aは、移動網51、52の通信範囲に入ることで、通信範囲に入った移動網51、または、移動網52に無線で接続する機能を有している。
この移動親局60aは、移動親局60aの通信範囲である移動局網80内に存在する移動子局70aと、固定局20との通信を中継する機能を有している。
移動親局60aは、特に限定されないが、例えば、自動車や電車等、図示しない交通機関にそれぞれ1つまたは複数設けられており、これらの交通機関の移動に伴って移動する。
移動子局70aは、例えば、通信機能を備えたユーザが携帯する装置である。移動子局70aとしては、例えば、通信機能を備えたPC(Personal Computer)等が挙げられる。
なお、移動親局60aと移動子局70aとの通信は、有線通信であってもよいし、無線通信であってもよい。
このシステム100では、VPNサーバ10と移動親局60aとの間でVPNが設定されて暗号化された情報が送受信される。
例えば、移動親局60aが設置された交通機関に移動子局70aを携帯した利用者が乗車(搭乗)し、ユーザが移動子局70aの通信機能を起動することにより、移動親局60aが移動子局70aのVPN確立要求を受信する。これにより、VPN確立のための処理が行われ、VPNサーバ10と移動親局60aとのVPNが確立する。
この処理においては、移動親局60aは、移動網51、52毎に設定された移動親局60aのIPアドレス(以下、「実アドレス」と言う)に加え、移動網51、52間で共通する移動親局60aのIPアドレス(以下、「仮想VPNアドレス」と言う)を通知する。また、VPNサーバ10は、通信に必要なセキュリティ情報を移動親局60aと交換する。
VPN確立後、移動子局70aが固定局20にアクセスした場合、移動親局60aは、移動親局60aが接続している移動網51、または、移動網52を介してVPNサーバ10との間でVPNを用いたデータ通信を行う。
交通機関の移動に伴い、移動親局60a、および、移動親局60aに接続された移動子局70aが、移動網51、52間を移動する。
この移動時に、VPNサーバ10は、移動親局60aとのセキュリティ情報の再設定を行うか否かを決定する。この際、移動網51、52間で共通する移動親局60aの仮想VPNアドレスが通知されているため、この仮想VPNアドレスを用いることで、セキュリティ情報の再設定を行わず、移動前の移動網との間で設定されていたセキュリティ情報を用いて、移動後の移動網との間で通信を行うことができる。これにより、VPNの確立に必要な時間を短縮することができる。
なお、図2では、説明上1つのVPNサーバ10を図示しているが、VPNサーバは、複数設けられていてもよい。
また、図2では、移動親局60aに1つの移動子局70aが接続されている例を示しているが、移動親局60aに複数の移動子局が接続されていてもよい。
次に、VPNサーバ10のハードウェア構成を説明する。
図3は、VPNサーバのハードウェア構成例を示す図である。
VPNサーバ10は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス108を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、外部補助記憶装置106および通信インタフェース107が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。また、HDD103内には、プログラムファイルが格納される。
グラフィック処理装置104には、モニタ104aが接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ104aの画面に表示させる。入力インタフェース105には、キーボード105aとマウス105bとが接続されている。入力インタフェース105は、キーボード105aやマウス105bから送られてくる信号を、バス108を介してCPU101に送信する。
外部補助記憶装置106は、記録媒体に書き込まれた情報を読み取ったり、記録媒体に情報を書き込んだりする。外部補助記憶装置106で読み書きが可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記録装置としては、例えば、HDD、フレキシブルディスク(FD)、磁気テープ等が挙げられる。光ディスクとしては、例えば、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等が挙げられる。光磁気記録媒体としては、例えば、MO(Magneto-Optical disk)等が挙げられる。
通信インタフェース107は、固定網30に接続されている。通信インタフェース107は、固定網30を介して、固定局20や移動親局60aとの間でデータの送受信を行う。
次に、移動親局60aのハードウェア構成を説明する。
図4は、移動親局のハードウェア構成例を示す図である。
移動親局60aは、CPU161によって装置全体が制御されている。CPU161には、バス166を介してRAM162、メモリ163、通信インタフェース164、および、通信インタフェース165が接続されている。
RAM162には、CPU161に実行させるファームウェアやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM162には、CPU161による処理に必要な各種データが格納される。メモリ163には、アプリケーションプログラムが格納される。また、メモリ163内には、ファームウェアやプログラムファイルが格納される。これらファームウェアの設定は、外部から変更可能になっていてもよい。
通信インタフェース164は、移動局網80に接続されている。通信インタフェース164は、移動局網80を介して、移動子局70aとの間でデータの送受信を行う。
通信インタフェース165は、移動網51、または、移動網52に接続される。通信インタフェース165は、接続された移動網51、または、移動網52を介して、固定局20との間でデータの送受信を行う。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。このようなハードウェア構成のVPNサーバ10内には、以下のような機能が設けられる。
次に、VPNサーバの機能を説明する。
図5は、VPNサーバの機能を示すブロック図である。
VPNサーバ10は、受信部11と、送信部12と、VPN管理部13と、暗号処理部14と、カプセル化処理部15と、データ格納部16とを有している。
受信部11は、固定局20、ないし、移動親局60a、および、移動子局70aから送信されたパケットを受信する。また、受信部11は、移動親局60aから受信した制御メッセージを分析する。
送信部12は、固定局20、ないし、移動親局60aおよび移動子局70aにカプセル化(後述)されたパケットを送信する。また、移動親局60aに送信すべき制御メッセージを生成し、送信する。
VPN管理部13は、現在、VPN接続が確立している移動子局70aを管理する。
具体的には、VPN管理部13は、移動親局60aから通知される移動子局70aを管理するためのVPNに関する各種アドレス、セキュリティ情報の対応関係を管理するテーブル(サーバ側VPN管理テーブル)を有している。この管理テーブルの内容については後に詳述する。
VPN管理部13は、パケットを受信すると、受信したパケットに含まれている移動親局60aの仮想VPNアドレスが、サーバ側VPN管理テーブルに登録されているか否かを判定する。登録されていない場合、受信したパケットに含まれている移動親局60aの実アドレス、仮想VPNアドレス等をサーバ側VPN管理テーブルに登録する。
また、VPN管理部13は、VPNの確立に際し、移動親局60aとの間で、暗号化方式の交渉、および暗号鍵の交換処理を実行する。そして、この処理により決定された暗号化方式、暗号鍵をセキュリティ情報としてサーバ側VPN管理テーブルに登録する。また、同時に受信した移動速度や移動網種別も登録する。
一方、受信したパケットに含まれている移動親局の仮想VPNアドレスが、サーバ側VPN管理テーブルに登録されている場合、VPN管理部13は、受信したパケットに含まれている仮想VPNアドレスに対応するサーバ側VPN管理テーブル内のエントリを検索する。そして、一致するエントリを更新する。
暗号処理部14は、移動親局60aに送信されるパケットに対する暗号化処理を行う。また、暗号処理部14は、固定局20に送信されるパケットに対する復号処理を行う。
カプセル化処理部15は、移動親局60aに送信されるパケットに対するカプセル化(encapsulation)処理を行う。具体的には、送信されるパケットにIPヘッダを付加する。
また、カプセル化処理部15は、固定局20に送信されるパケットに対するデ・カプセル化処理を行う。
データ格納部16は、通信網種別に応じた典型的なセルサイズを示すデータ(通信エリアデータ)を保持する。また、暗号鍵の交換処理に要する時間(例えば、平均処理時間)も保持する。さらに、移動網51、52の在圏時間内において鍵交換の実行中に通信不可となることが許容される時間の百分率T(%)を閾値として保持する。
図6は、通信エリアデータを示す図である。
通信エリアデータは、テーブル化されている。
通信エリア管理テーブル16aには、移動網種別、および、セルサイズの欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。
移動網種別の欄には、移動網の種別を識別する情報が設定されている。
セルサイズの欄には、通信エリアの広さを示す値が設定されている。
次に、VPNサーバ10が管理するサーバ側VPN管理テーブルを説明する。
図7は、サーバ側VPN管理テーブルを示す図である。
サーバ側VPN管理テーブル13aは、例えば、VPNサーバ10が固定局20から受信した移動子局70a宛のパケットの転送先となる移動親局60a、移動親局60aの仮想VPNアドレスと実アドレスの対応関係の管理に使用される。
また、サーバ側VPN管理テーブル13aは、移動親局60aとの間で確立しているVPNで用いられるセキュリティ情報の対応関係の管理に使用される。
サーバ側VPN管理テーブル13aには、移動子局アドレス、移動親局仮想VPNアドレス、移動親局実アドレス、VPNセキュリティ情報、更新時刻、データ種別、移動速度、および、移動網種別の欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。
移動子局アドレスの欄には、移動子局が接続されている移動親局と関係付けられる移動子局固有のアドレスが設定されている。
移動親局仮想VPNアドレスの欄には、移動親局60a、および、図示していないその他の移動親局の仮想VPNアドレスが設定されている。このアドレスは、端末の位置にかかわらず、一定のアドレスである。
移動親局実アドレスの欄には、移動網51、または、移動網52で割り当てられる、移動親局の実アドレスが設定されている。この実アドレスは、移動網51、または、移動網52から実アドレスが割り当てられた際に移動親局からVPNサーバ10に対して通知される。
VPNセキュリティ情報の欄には、VPNサーバ10と移動親局60a、および、図示していないその他の移動親局との間で確立されているVPNで用いられている暗号方式、並びに、暗号鍵等のセキュリティ情報が設定されている。
更新時刻の欄には、暗号鍵が最近更新された時刻情報が設定されている。この時刻情報は、暗号鍵の更新の要否を判定するために使用される。
データ種別の欄には、設定されたVPNを用いて、どのようなデータがやり取りされているかを示す情報が設定されている。
例えば、UDP(User Datagram Protocol)であれば、動画像データの送受信を行っている可能性のあることを示している。このデータ種別は、暗号鍵の更新の要否を判定するために使用される。
なお、データ種別は、IPヘッダのプロトコル・フィールドの値を参照することで把握することができる。VPNサーバ10の受信部11は、固定局20から移動子局70a宛のパケットを受信した際に、IPヘッダの当該フィールドを参照することができる。また、VPNサーバ10の送信部12は、移動子局70aから固定局20宛の(デ・カプセル化および復号された)パケットを固定網30に転送する際に、IPヘッダの当該フィールドを参照することができる。
移動速度の欄には、移動親局の移動速度が設定されている。
移動網種別の欄には、移動親局の移動網種別が設定されている。
なお、図7では、移動子局70aから固定局20向け、固定局20から移動子局70a向けに送信されるデータ種別を分けていないが、これらを区別し得るように分けてもよい。
次に、移動親局60aの機能を説明する。
図8は、移動親局の機能を示すブロック図である。
移動親局60aは、受信部61と、送信部62と、VPN管理部63と、移動処理部64と、暗号処理部65と、カプセル化処理部66とを有している。
受信部61は、固定局20、VPNサーバ10、または、移動子局70aから送信されたパケットを受信する。また、VPNサーバ10から受信した制御メッセージを分析する。
送信部62は、固定局20、VPNサーバ10、または、移動子局70aにパケットを送信する。また、送信部62は、VPNサーバ10に送信すべき制御メッセージを生成する。そして生成した制御メッセージをVPNサーバ10に送信する。
VPN管理部63は、VPNに関する各種アドレス、セキュリティ情報の対応関係を管理する。
移動処理部64は、移動網51、52における実アドレスを取得する。また、VPNサーバ10への実アドレスの通知などの移動に関する処理を行う。
暗号処理部65は、固定局20、VPNサーバ10に送信されるパケットに対する暗号化処理、および、移動子局70aに送信されるパケットに対する復号処理を行う。
カプセル化処理部66は、固定局20、VPNサーバ10に送信されるパケットに対するカプセル化処理を行う。
また、カプセル化処理部66は、移動子局70aに送信されるパケットに対するデ・カプセル化処理を行う。
次に、VPN管理部63が管理するデータ構造を説明する。
図9は、移動親局のVPN管理部が管理するデータ構造を示す図である。
この親局側VPN管理テーブル63aは、例えば、移動親局60aが移動子局70aから受信した固定局20宛のパケットの転送先となるVPNサーバ10、および、当該VPNサーバ10との間で設定されているVPNで用いられるセキュリティ情報の対応関係の管理に使用される。
親局側VPN管理テーブル63aには、移動子局アドレス、VPNサーバアドレス、VPNセキュリティ情報の欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。
移動子局アドレスの欄には、移動親局60a自身が接続する移動子局固有のアドレスが設定されている。
VPNサーバアドレスの欄には、移動子局アドレスの欄に設定されている移動子局とVPNが確立しているVPNサーバ固有のアドレスが設定されている。
VPNセキュリティ情報の欄には、VPNサーバと移動親局60aとの間で確立されているVPNで用いられている暗号方式、および、暗号鍵等のセキュリティ情報が設定されている。
次に、移動子局70aの機能を説明する。
図10は、移動子局の機能を示すブロック図である。
移動子局70aは、受信部71と、送信部72と、VPN管理部73とを有している。
受信部71は、固定局および移動子局から送信されたパケットを受信する。また、移動親局60aから受信した制御メッセージを分析・処理する。
送信部72は、固定局20、または、他の移動子局にパケットを送信する。また、移動親局60aに送信すべき制御メッセージを生成し、送信する。
VPN管理部73は、移動親局60aに対してVPNの確立または切断を要求する。
次に、システム100の通信処理を説明する。
<システム全体の通信処理>
図11、図12は、システムの処理を示すシーケンス図である。
以下に示す処理は、移動網51に接続する移動親局60a、および、移動子局70aがVPNを確立して通信中状態に遷移した後、確立したVPNを維持したまま移動網52に移動し、確立したVPNを切断する場合の処理である。
[ステップS1]
移動網51は、移動網51自身の網情報(例えば、ネットワーク・アドレス、IPアドレス割当のためのDHCPサーバ(図示せず)のアドレス等)を周期的に報知する。
[ステップS2]
移動網52も、移動網51と同様、移動網52自身の網情報を周期的に報知する。但し、図11に示すように、移動網52からの報知は、移動親局60aには届いていない。
[ステップS3]
移動網51に接続する移動親局60aは、移動網51からの網情報を受信すると、移動網51の無線基地局に対して、リンク確立要求を送信する。
[ステップS4]
移動網51の無線基地局は、移動親局60aに対してリンク確立応答を送信して、リンクを確立する。
[ステップS5]
移動親局60aは、ステップS1で通知されたDHCPサーバに対して、IPアドレスの割当要求を送信する。
[ステップS6]
移動網51のDHCPサーバは、移動親局60aに対して移動親局60aの実アドレス(MRr11)を割り当てる。
[ステップS7]
移動子局70aが移動親局60aに対して、VPN確立要求を送信する。このVPN確立要求には、移動子局70aの通信相手である固定局20と接続するVPNサーバ10の実アドレス(VPNS1)、および、移動子局70a自身の実アドレス(MN1)が含まれている。
[ステップS8]
移動親局60aは、移動子局70aからの要求に従い、VPNサーバ10に対して移動親局アドレス通知を送信する。この移動親局アドレスには、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、移動網51の移動網種別、および、移動速度が含まれている。これらの情報は、サーバ側VPN管理テーブル13aに登録される。
[ステップS9、ステップS10]
移動親局60aとVPNサーバ10の間で、暗号化方式の交渉を行う。なお、暗号化方法としては、特に限定されず、例えば、公知のものを用いることができる。
[ステップS11、ステップS12]
暗号鍵の交換が必要な場合、移動親局60aとVPNサーバ10の間で、暗号鍵の交換を行う。
[ステップS13]
VPNサーバ10は、移動親局60aに対して、移動親局アドレス通知応答を送信する。
[ステップS14]
移動親局60aは、移動親局60aに接続されている移動子局70aのアドレスをVPNサーバに通知するための移動子局アドレス追加要求をVPNサーバ10に送信する。この移動子局アドレス追加要求には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、および、移動子局70a自身の実アドレス(MN1)が含まれている。
[ステップS15]
VPNサーバ10は、移動親局60aのアドレス(仮想VPNアドレスや実アドレス)と関連付けて移動子局70aのアドレスをサーバ側VPN管理テーブル13aに登録し、移動親局60aに対して移動子局アドレス追加応答を送信する。
[ステップS16]
移動親局60aは、移動子局70aに対して、VPN確立応答を送信する。
[ステップS17]
移動子局70aは、固定局20との間で、VPNを介してIPパケットの送受信を行う。このとき、移動親局60aとVPNサーバ10は、移動親局60aとVPNサーバ10との間でやり取りされるIPパケットに対して、ステップS11、S12で決められた暗号鍵を用いて、暗号化処理および復号処理を行う。なお、やり取りされるパケットの構成は後述する。
[ステップS18]
移動親局60aおよび移動子局70aが通信中に移動して、移動網52に接近すると、移動網52から網情報を受信し始める。これによって、移動親局60aが移動網52に移動することを検出する。
[ステップS19]
移動網52に在圏する移動親局60aは、移動網52からの網情報を受信すると、移動網52の無線基地局に対して、リンク確立要求を送信する。
[ステップS20]
移動網52の無線基地局は、移動親局60aに対してリンク確立応答を送信して、リンクを確立する。
[ステップS21]
移動親局60aは、ステップS1で通知されたDHCPサーバに対して、IPアドレスの割当要求を送信する。
[ステップS22]
移動網52のDHCPサーバは、移動親局60aに対して移動親局60aの実アドレス(MRr12)を割り当てる。
[ステップS23]
移動親局60aは、移動親局アドレス通知をVPNサーバ10に送信する。この移動親局アドレス通知は、移動親局60a自身の実アドレス(MRr12)が変わったことを、VPNサーバ10に通知するものである。
この移動親局アドレス通知には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr12)、移動網52の種別、および、移動速度が含まれている。
[ステップS24]
VPNサーバ10は、ステップS15で登録した情報のうち、移動親局60aの実アドレス(MRr11)をステップS23で通知されたアドレス(MRr12)に変更する。この際、ステップS11、S12で交換された暗号鍵を更新するためにステップS11、S12に示した暗号鍵の交換処理を行うか否かを判定する。そして、暗号鍵の交換処理を行わないと判定した場合、すなわち、セキュリティ情報の更新が必要でないと判定した場合、移動親局60aに対して移動親局アドレス通知応答を送信する。
図11、図12に示す全体処理では、判定の結果、ステップS9、S10に示す暗号化方式の交渉、および、ステップS11、S12に示す暗号鍵の交換を行わない例を示している。これにより、VPNの確立に必要な時間を短縮することができる。
なお、暗号鍵の交換処理が必要と判断した場合には、移動親局アドレス通知応答の前にステップS11〜S12と同様の処理を実行する。
[ステップS25]
移動親局60aおよびVPNサーバ10は、移動親局60aの新たな実アドレス(MRr12)を用いて、移動子局70aおよび固定局20の間でやり取りされるパケットをカプセル化して、移動網52に移動後もVPNを維持する。
[ステップS26]
移動子局70aは、移動親局60aに対して、VPN切断要求を送信する。この要求の送信タイミングとしては、特に限定されないが、例えば、ユーザが移動子局70aを操作し、通信終了を選択した場合等が挙げられる。
このVPN切断要求には、VPNサーバ(VPNサーバ10)の実アドレス(VPNS1)、および、移動子局70aの実アドレス(MN1)が含まれている。
[ステップS27]
移動親局60aは、移動子局70aの通信のためにVPNを確立していたVPNサーバ10に対して、通信を終了した移動子局のアドレスの削除を要求する移動子局アドレス削除要求を送信する。この移動子局アドレス削除要求には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr12)、および、移動子局70aの実アドレス(MN1)が含まれている。
[ステップS28]
VPNサーバ10は、受け取った移動親局60aの仮想VPNアドレス(MRv1)、および、実アドレス(MRr12)に対応して登録されている移動子局のアドレス(MN1)をサーバ側VPN管理テーブル13aから削除する。そして、移動親局60aに対して移動子局アドレス削除を完了した旨の通知である移動子局アドレス削除応答を送信する。この移動子局アドレス削除応答には、移動親局60aの仮想VPNアドレス(MRv1)、および、実アドレス(MRr12)が含まれている。
[ステップS29]
移動親局60aは、ステップS8〜S13において確立されたVPNが、移動子局70a以外の移動子局によって使用されていないことを認識すると、VPNサーバ10に対して移動親局アドレス削除要求を送信する。
[ステップS30]
VPNサーバ10は、ステップS8〜S13において確立されたVPNに関する情報をサーバ側VPN管理テーブル13aから削除する。そして、移動親局60aに対して移動親局のアドレス削除を完了した旨の移動親局アドレス削除応答を送信する。
[ステップS31]
移動親局60aは、移動子局70aに対して、VPN切断応答を送信する。
なお、VPNサーバ10を使用して図示しない他の移動子局が通信している場合は、ステップS27、S28の処理のみを行い、ステップS29、S30の処理は行わない。
以上で全体処理の説明を終了する。
なお、本実施の形態では、移動子局70aからVPN確立要求が発生した際の暗号化方式の交渉、および暗号鍵の交換処理として簡略化した処理を示しているが、IKE(Internet Key Exchange)等の標準的な処理が用いられてもよい。
なお、本実施の形態では、ステップS8〜S15の信号や、ステップS18〜S24の信号を別個に送信する場合を示したが、これに限定されない。例えば、ステップS8に示す移動親局アドレス通知を送信の際に、ステップS14に示す移動子局アドレス追加要求を同時に送るようにしてもよい。
また、本実施の形態では、移動親局60aの移動速度情報を移動親局アドレス通知に含むようにしている。この移動速度情報は、例えば、移動親局60aが設置された交通機関から取得したり、移動親局60aにGPS(Global Positioning System)受信機を搭載し、その測位情報から速度情報を算出したりすることにより、取得することができる。
また、本実施の形態では、セキュリティ情報(暗号鍵)の設定は移動網51から移動網52に移動したときに行うようにしている。
しかし、これに限らず、VPNサーバ10のVPN管理情報のうち、最近鍵交換を行った時刻からの経過時間に従い、VPNセキュリティ情報(暗号鍵)の設定処理を起動してもよい。
具体的には、その経過時間が一定の閾値時間を超えた場合には、移動網52に移動しない場合でもVPNセキュリティ情報(暗号鍵)の設定処理を起動するようにしてもよい。
次に、ステップS17にてやり取りされる通信用のパケットを説明する。
図13は、通信用のパケットを示す図である。
図13(a)は、固定局20から移動親局60aを経由した移動子局70a宛のパケットを示している。
パケットP1は、先頭側(図13(a)の左側)から宛先アドレスAD1、送信元アドレスAD2、IPSec ESP(IP Security Encapsulating Security Payload)ヘッダH1、宛先アドレスAD3、送信元アドレスAD4、および、データD1を有している。
宛先アドレスAD1には、移動親局60aの実アドレスが設定される。図13(a)では、実アドレス(MRr11)が設定されている。
送信元アドレスAD2には、VPNサーバ10の実アドレスが設定される。図13(a)では、実アドレス(VPNS1)が設定されている。
IPSec ESPヘッダH1には、セキュリティ情報を識別する情報等が設定される。
宛先アドレスAD3には、移動子局70aの実アドレスが設定される。図13(a)では、移動子局70aの実アドレス(MN1)が設定されている。
送信元アドレスAD4には、固定局20の実アドレス(CN1)が設定される。図13(a)では、固定局20の実アドレス(CN1)が設定されている。
データD1には、移動子局70aに転送するデータが格納されている。
このパケットP1のうち、宛先アドレスAD3、送信元アドレスAD4、および、データD1は、固定局20が送信したパケットである。なお、宛先アドレスAD3、送信元アドレスAD4、および、データD1は、暗号処理部14によって暗号化されている。
また、パケットP1のうち、宛先アドレスAD1、および、送信元アドレスAD2が、カプセル化処理部15により追加されるパケットP1の移動親局60aの実アドレス宛パケットのIPヘッダである。
図13(b)は、移動子局70aから固定局20宛のパケットを示している。
パケットP2は、先頭側(図13(b)の左側)から宛先アドレスAD5、送信元アドレスAD6、IPSec ESPヘッダH2、宛先アドレスAD7、送信元アドレスAD8、および、データD2を有している。
このうち、宛先アドレスAD5、および、送信元アドレスAD6がパケットP2のVPnサーバ10宛パケットのIPヘッダである。
宛先アドレスAD5には、VPNサーバ10の実アドレスが設定される。図13(b)では、実アドレス(VPNS1)が設定されている。
送信元アドレスAD6には、移動親局60aの実アドレスが設定される。図13(b)では、実アドレス(MRr11)が設定されている。
IPSec ESPヘッダH2には、セキュリティ情報を識別する情報等が設定される。
宛先アドレスAD7には、固定局20の実アドレスが設定される。図13(b)では、実アドレス(CN1)が設定されている。
送信元アドレスAD8には、移動子局70aの実アドレスが設定される。図13(b)では、実アドレス(MN1)が設定されている。
データD2は、固定局20に転送するデータが格納されている。
このパケットP2のうち、宛先アドレスAD7、送信元アドレスAD8、および、データD2は、移動子局70aが送信したパケットである。なお、宛先アドレスAD7、送信元アドレスAD8、および、データD2は、暗号処理部65によって暗号化されている。
また、宛先アドレスAD5、および、送信元アドレスAD6が、カプセル化処理部66によって付与されたVPNサーバ10宛パケットのIPヘッダである。
次に、VPNサーバ10が、固定局20から移動子局70a宛のパケットP1を受信したときの処理を説明する。
<VPNサーバのパケット転送処理>
図14は、VPNサーバのパケット転送処理を示すフローチャートである。
[ステップS41]
VPNサーバ10の受信部11が、固定局20から送信された移動子局70a宛のパケットP1を受信する。その後、ステップS42に遷移する。
[ステップS42]
パケットP1の宛先である移動子局70aのアドレスを用いて、サーバ側VPN管理テーブル13aから移動子局70aと接続している移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、および、セキュリティ情報を求める。
そして、VPN管理部13が、サーバ側VPN管理テーブル13aを参照する。そして、仮想VPNアドレス(MRv1)に対応して保持されるVPNセキュリティ情報(暗号方式1および暗号鍵1)を暗号処理部14に通知する。
その後、暗号処理部14が、VPN管理部13から通知されたVPNセキュリティ情報(暗号方式1および暗号鍵1)に従って、固定局20から送信されたパケットを暗号化する。
そして、カプセル化処理部15が、暗号化されたパケットをカプセル化する。具体的には、暗号化されたパケットに、送信元アドレスとしてVPNサーバ10自身の実アドレス(VPNS1)を付与する。宛先として移動子局70aに接続されている移動親局60aの実アドレス(MRr11)を付与する。そして、IPSec ESPヘッダを付与する。その後、ステップS43に遷移する。
[ステップS43]
VPNサーバ10の送信部12は、ステップS42で暗号化およびカプセル化されたパケットP1を中継網40に送出する。
以上で処理を終了する。
なお、パケットP1を受信した移動親局60aは、ステップS41〜S43の手順の逆の手順(復号、デ・カプセル化)を行う。そして、処理の結果得られたパケットを移動子局70aに転送する。
次に、VPNサーバ10が、移動子局70aから固定局20宛のパケットP2を受信したときの処理(固定局宛パケット受信時処理)を説明する。
<固定局宛パケット受信時処理>
図15は、固定局宛パケット受信時処理を示すフローチャートである。
[ステップS51]
VPNサーバ10の受信部11が、移動親局60aから送信された、固定局20宛のパケットがカプセル化されたパケットP2を受信する。その後、ステップS52に遷移する。
[ステップS52]
VPN管理部13が、当該パケットP2の送信元である移動親局60aの実アドレスを用いて、サーバ側VPN管理テーブル13aから当該移動親局の仮想VPNアドレス、VPNセキュリティ情報を求める。
そして、カプセル化処理部15が、移動子局70aから送信されたパケットP2をデ・カプセル化する。そして、暗号処理部14が、デ・カプセル化されたパケットを復号する。その後、ステップS53に遷移する。
[ステップS53]
VPNサーバ10の送信部12は、ステップS52で復号およびデ・カプセル化されたパケットを固定網30に送出する。その後、処理を終了する。
以上で、固定局宛パケット受信時処理の説明を終了する。
次に、全体処理における各装置の処理を詳しく説明する。
図16および図17は、移動親局の処理を示すフローチャートである。
[ステップS61]
まず、移動親局60aの電源が投入されると、移動処理部64が、当該移動親局60aが在圏する移動網において、無線基地局との間でリンクを確立すると共に、DHCPサーバ等から実アドレスを取得する。その後、ステップS62に遷移する。
[ステップS62]
次に、受信部61が、移動親局60aに接続した移動子局70aから、VPN確立要求を受信したか否かを判定する。
受信した場合はステップS63に遷移する。受信していない場合は、ステップS62に遷移し、受信を待機する。
[ステップS63]
VPN管理部63が、受信したVPN確立要求に含まれている移動子局70aのアドレス、およびVPNを確立するVPNサーバ10のアドレスを親局側VPN管理テーブル63aに登録する。その後、ステップS64に遷移する。
[ステップS64]
送信部62が、ステップS62で移動子局70aから通知されたVPNサーバ10に対して、移動親局60aの実アドレスおよび仮想VPNアドレスを通知するための移動親局アドレス通知を送信する。その後、ステップS65に遷移する。
前述したように、当該通知には、移動親局60aの移動速度、および接続する移動網の種別(無線LAN、携帯電話網等)も含まれている。ここでは当該仮想VPNアドレスは予め移動親局60aに設定されている場合について説明する。なお、これに限らず、当該通知を受信したVPNサーバ10が、仮想VPNアドレスを動的に割り当て、そのアドレスが応答通知等によって移動親局60aに通知されるようにしてもよい。
[ステップS65]
VPNサーバ10とのやり取りによりVPNの確立に必要なセキュリティ情報(暗号方式、暗号鍵等)を取得し、設定する。その後、ステップS66に遷移する。
本実施の形態ではVPN確立時にセキュリティ情報の設定を行う場合について説明するが、これに限らず、後述するように、セキュリティ設定の要否がVPNサーバ10によって判断され、必要な場合にのみセキュリティ設定が行われるようにしてもよい。
[ステップS66]
VPN管理部63が、ステップS65で決定されたセキュリティ情報を親局側VPN管理テーブル63aに登録する。その後、ステップS67に遷移する。
[ステップS67]
受信部61が、移動親局アドレス通知応答を受信すると、送信部62が、移動子局アドレス追加要求をVPNサーバ10に送信する。その後、ステップS68に遷移する。
なお、本実施の形態では移動子局70aのアドレスは、移動子局70aに固定的に設定される場合を説明するが、次のようにして移動子局70aのアドレスをVPNサーバ10が動的に割り当てるようにしてもよい。
移動子局70aは仮のアドレスを用いてステップS62に示すVPN確立要求を移動親局60aに送信する。移動親局60aは、当該移動子局アドレス通知要求に仮アドレスを設定して、VPNサーバ10に正式な移動子局アドレスの割り当てを要求する。VPNサーバ10は、割り当てた移動子局アドレスを移動子局アドレス通知応答によって移動親局60a、さらには移動子局70aに通知する。
[ステップS68]
移動親局60aとVPNサーバ10でVPN確立に必要な情報が決定・共有された後、以下の処理が行われる。
移動親局60aは、受信部61が移動子局70aからのパケットを受信すると、親局側VPN管理テーブル63aに基づいて、当該パケットの転送先となるVPNサーバ(VPNS1)を決定する。
そして、VPN管理部63が、親局側VPN管理テーブル63aを参照する。そして、当該仮想VPNアドレス(MRv1)に対応して保持されるVPNセキュリティ情報(暗号方式1および暗号鍵1)を暗号処理部65に通知する。
その後、暗号処理部65が、VPN管理部63から通知されたVPNセキュリティ情報(暗号方式1および暗号鍵1)に従って、移動子局70aから送信されたパケットを暗号化する。
その後、カプセル化処理部66が、暗号化したパケットを送信元アドレスとして移動親局60a自身の実アドレス、宛先アドレスとしてVPNサーバのアドレス(VPNS1)、および、IPSec ESPヘッダを付与する。
なお、移動親局60aの実アドレスは、移動網51に接続しているときは、「MRr11」であり、移動網52に接続しているときは、「MRr12」である。
送信部62が、得られたパケットP2を、現在接続している移動網51、または、移動網52に送出する。
また、受信部61が、固定局20から移動子局70a宛のパケットP1を受信すると、カプセル化処理部66が、受信したパケットP1をデ・カプセル化する。また、暗号処理部65が、デ・カプセル化されたパケットを復号する。送信部62が、復号されたパケットP2を、現在接続している移動子局70aに送出する。
図18は、移動網の移動後に移動親局とVPNサーバ間でやり取りされるパケットを示す図である。
図18(a)に示すパケットP1は、アドレスAD1が、移動網52に接続時の実アドレス(MRr12)である点が、図13に示すパケットP1と異なっている。
また、図18(b)に示すパケットP2は、アドレスAD6が、移動網52に接続時の実アドレス(MRr12)である点が、図13に示すパケットP2と異なっている。
再び図17に戻って説明する。
[ステップS69]
受信部61が、通信の終了を示すVPN切断要求を移動子局70aから受信したか否かを判定する。VPN切断要求を受信した場合にはステップS70に遷移する。そうでなければステップS75に遷移する。
[ステップS70]
送信部62が、VPNを確立しているVPNサーバ10に対して、通信を終了した移動子局70aのアドレスの削除を要求する移動子局アドレス削除要求を送信する。その後、ステップS71に遷移する。
[ステップS71]
VPN管理部63が、VPNサーバ10から移動子局アドレス削除応答を受けると、親局側VPN管理テーブル63aから、移動子局70aの情報を削除する。その後、ステップS72に遷移する。
[ステップS72]
VPN管理部63が、通信を終了した移動子局70aが使用していたVPNを使用している他の移動子局が存在するか否かを判定する。移動子局70aが使用していたVPNを使用している他の移動子局が存在する場合は、ステップS75に遷移する。移動子局70aが使用していたVPNを使用している他の移動子局が存在しない場合は、ステップS73に遷移する。
[ステップS73]
VPN管理部63が、VPNを切断するために、当該VPNを確立しているVPNサーバ10に対して移動親局アドレス削除要求の送信を送信部12に指示する。これにより、送信部12が、移動親局アドレス削除要求をVPNサーバ10に送信する。その後、ステップS74に遷移する。
[ステップS74]
受信部61が、VPNサーバ10から移動親局アドレス削除完了応答を受けると、VPN管理部63が、親局側VPN管理テーブル63aから、当該VPNサーバアドレス、および、セキュリティ情報の登録を削除する。その後、ステップS62に遷移する。
[ステップS75]
移動処理部64が、自身の移動により、別個の移動網に移動したか否かを判定する。この判定処理は、例えば、移動網からこれまでと異なる網情報(例えば、IPアドレスのネットワーク・アドレス)を受信したか否かに基づいて行う。別個の移動網に移動したと判断した場合は、ステップS76に遷移する。そうでなければステップS68に遷移する。
[ステップS76]
ステップS61と同様に、移動処理部64が、別個の移動網において、無線基地局とリンクを確立し、DHCPサーバ等から実アドレスを取得する。その後、ステップS77に遷移する。
[ステップS77]
ステップS64と同様に、送信部62が、ステップS76で取得した実アドレスをVPNサーバ10に通知する。その後、ステップS78に遷移する。
[ステップS78]
VPN管理部63が、移動親局60aの移動に際して、暗号鍵を再設定する要求が存在するか否かを判定する。要求があればステップS79に遷移する。そうでなければステップS68に遷移する。
[ステップS79]
ステップS65で行ったセキュリティ情報の設定のうち、暗号鍵の交換処理を実行する。その後、ステップS80に遷移する。
[ステップS80]
ステップS79で入手した暗号鍵を親局側VPN管理テーブル63aに登録する。その後、ステップS68に遷移する。
以上で移動親局の処理の説明を終了する。
このように、移動親局60aに複数の移動子局が接続し、それらが同一のVPNサーバ10を介して通信を行う場合には、それらの移動子局の間でVPNを共用することが可能である。
この場合、最初にVPN確立要求が発生した際にVPNを確立する。そして、それ以降のVPN確立要求については、移動子局のアドレスを親局側VPN管理テーブル63aに登録すると共に、VPNサーバ10に当該移動子局アドレスを通知すればよい。
このような場合に対応するために、ステップS72において、VPN切断要求については、最後の1つの移動子局からの切断要求が発生するまでは、移動子局のアドレスを自身の親局側VPN管理テーブル63aから削除すると共に、VPNサーバに当該移動子局アドレスの削除を要求する処理を行う。
最後の1つの移動子局からの切断要求が発生した場合は、前述した処理に加えて、VPNサーバに対して移動親局のアドレスの削除要求を行い、VPNを切断する。
次に、VPNサーバ10の処理を説明する。
<VPNサーバの移動親局アドレス通知受信処理>
図19は、VPNサーバのアドレス通知受信処理を示す図である。
[ステップS81]
まず、受信部11が、移動親局60aから移動親局アドレス通知を受信する。その後、ステップS82に遷移する。
[ステップS82]
VPN管理部13が、受信した通知に含まれている移動親局の仮想VPNアドレスが、サーバ側VPN管理テーブル13aに登録されているか否かを判定する。登録されていない場合、すなわち、移動親局60aが新規の移動親局である場合、ステップS83へ遷移する。登録されている場合、すなわち、移動親局60aの移動により、新たな移動網に接続した場合は、ステップS86に遷移する。
[ステップS83]
VPN管理部13が、ステップS81で受信した通知に含まれている移動親局アドレス、仮想VPNアドレス等をサーバ側VPN管理テーブル13aに登録する。その後、ステップS84に遷移する。
[ステップS84]
当該移動親局60aとの間で、暗号化方式の交渉、および暗号鍵の交換処理を実行する。その後、ステップS85に遷移する。
[ステップS85]
VPN管理部13が、ステップS84で決定された暗号化方式、暗号鍵をサーバ側VPN管理テーブル13aに登録する。その後、ステップS90に遷移する。
[ステップS86]
VPN管理部13が、ステップS81で受信した通知のパケットに含まれている仮想VPNアドレスに対応するサーバ側VPN管理テーブル13a内のエントリを検索する。そして、一致する仮想VPNアドレスを有するエントリを、ステップS81で受信した通知のパケットに含まれている実アドレスで更新する。
例えば、サーバ側VPN管理テーブル13aが図7に示す状態のとき、移動親局60aからのアドレス通知を受信した場合を想定する。
受信した通知のパケットに、移動親局仮想VPNアドレスMRv1、移動親局実アドレスMRr12が含まれていれば、1列目のエントリの移動親局仮想VPNアドレスMRv1が一致する。従って、当該エントリを更新する。これにより、移動親局実アドレスの欄の実アドレスが、「MRr11」から「MRr12」に更新される。
また、一致したサーバ側VPN管理テーブル13aのエントリの移動速度、および、移動網種別の欄の値を、同時に受信した移動速度や移動網種別の値に更新する。その後、ステップS87に遷移する。
[ステップS87]
受信したパケットの送信元である移動親局60aに対し、暗号鍵の再設定を行うか否かを判定する。暗号鍵の再設定を行う場合はステップS88に遷移する。そうでなければステップS90に遷移する。
[ステップS88]
移動親局60aとの間で、暗号鍵の交換処理を実行する。その後、ステップS89に遷移する。
[ステップS89]
ステップS88で決定された新たな暗号鍵をサーバ側VPN管理テーブル13aのVPNセキュリティ情報の欄に登録する。その後、ステップS90に遷移する。
[ステップS90]
ステップS81で受信したパケットの送信元の移動親局に対して、移動親局アドレス通知応答を送信する。その後、処理を終了する。
以上で、アドレス通知受信処理の説明を終了する。
なお、移動子局アドレス追加要求については記載していないが、移動子局アドレス追加要求に含まれている移動親局アドレスに対応させる形で、サーバ側VPN管理テーブル13aに移動子局アドレスを登録する。
<暗号鍵交換処理要否判定処理>
次に、ステップS87に示すVPNサーバ10の暗号鍵交換処理要否判定処理を説明する。
図20は、暗号鍵交換処理要否判定処理を示すフローチャートである。
[ステップS87a]
VPNサーバ10は、移動親局との間でUDPによる通信を行っているか否かを判定する。
具体的には、サーバ側VPN管理テーブル13aを検索し、移動親局60aの仮想VPNアドレスに一致するエントリを検出する。そして、当該エントリのデータ種別の欄がUDPであるか否かを判断する。
データ種別の欄がUDPである場合、すなわち、UDPによる通信を行っている場合にはステップS90に遷移する。そうでなければステップS87bに遷移する。
[ステップS87b]
VPNサーバ10は、先に暗号鍵の交換を行った時刻から現在までに一定の時間が経過しているか否かを判定する。
具体的には、ステップS87aにて一致したエントリの更新時刻の欄に設定されている時間からの経過時間が、予め定められた時間(閾値時間)以上であるか否かを判断する。
経過時間が、閾値時間以上である場合にはステップS87cに遷移する。そうでなければステップS90に遷移する。
[ステップS87c]
VPNサーバ10は、新たな移動網のセルサイズ(通信エリア)と移動親局60aの移動速度に鑑みて、暗号鍵の再設定を行うか否かを判定する。この処理については、後に詳述する。暗号鍵の再設定を行う場合にはステップS88に遷移する。そうでなければステップS90に遷移する。
以上で、暗号鍵交換処理要否判定処理の説明を終了する。
なお、本実施の形態では、ステップS87a、S87b、S87cの順番で処理を行ったが、処理の順番はこれに限定されない。
ところで、ステップS87aにおいて、UDPは、音声や動画像等のリアルタイムでデータを転送するために用いられるプロトコルの例として挙げている。このようなリアルタイムのデータ通信では、暗号鍵の交換処理に伴う通信の瞬断が発生する場合がある。この場合、ユーザにとっては音声の途切れや、画像のノイズとして認識されるため、暗号鍵の交換処理を実行しないのが好ましい場合の例として示している。
このように通信に瞬断が発生する時間が問題となるような通信に用いられるプロトコルであればUDPに限定されず、他のプロトコルでも適用することができる。
なお、同一のVPNにおいてUDPとTCPによる通信が混在するような場合があるが、そのような場合には、通信の瞬断に厳しいUDPを考慮し、暗号鍵の交換を実行しないようにするのが好ましい。
ところで、ステップS87bにおいて、暗号鍵の交換処理を行わないことで、当該設定に伴う瞬断時間をなくすことができる反面、同じVPNセキュリティ情報(暗号鍵)を用いる時間が長くなる。
このため、ある一定の時間を閾値時間として予め用意しておき、ある暗号鍵が当該閾値時間を超えて連続的に使用されないようにすることで、セキュリティ情報の信頼性の低下を防止することができる。なお、この閾値時間は、ユーザの望むセキュリティ・レベルやプロトコルの種別に応じて、異なる値が設定されてもよい。
なお、本実施の形態では、移動親局アドレス通知を受信した後に、ステップS87bの処理を行うようにしたが、これに限らず、例えば、移動親局アドレス通知を受信しなくても、VPNサーバ10は、先に暗号鍵の交換を行った時刻から現在までに閾値時間以上の時間が経過しているか否かを判定し、閾値時間以上の時間が経過している場合には暗号鍵の交換処理を実施するようにしてもよい。
<移動速度等に基づく鍵交換実施判定処理>
次に、ステップS87cの処理を詳しく説明する。
ステップS87cにおいて、例えば、通信に使用している移動網が携帯電話網等、通信エリアが数kmに及ぶような場合は、当該エリアに在圏する時間に比べて、暗号鍵の交換を行うことによる通信の瞬断時間が短い。このため、当該エリア内で通信可能な時間と比較した場合の影響は小さくなる。
ところが、移動網が無線LANのような通信エリアが数十mであるような場合は、移動親局が当該通信エリアに在圏中に通信可能となる時間が短くなる。このため、暗号鍵の交換設定を行うことによる瞬断時間の影響が大きくなる。
従って、新たな移動網における瞬断時間の影響の大きい場合には暗号鍵の交換処理を行わないようにするのが好ましい。
このため、ステップS87cでは、以下の処理を行うことにより、鍵交換の要否を判定している。
図21は、暗号鍵交換処理要否判定処理の詳細を示すフローチャートである。
[ステップS87c1]
VPNサーバ10は、通信エリア管理テーブル16aを参照する。そして、ステップS81にて受信した移動親局アドレス通知に含まれる移動網種別に対するセルサイズを取得する。その後、ステップS87c2に遷移する。
[ステップS87c2]
VPNサーバ10は、移動親局60aが、当該セルを通過する時間(通過時間)を演算する。具体的には、セルサイズを移動親局60aの移動速度で除算することにより、通過時間を演算する。その後、ステップS87c3に遷移する。
[ステップS87c3]
ステップS87c2にて求めた通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の百分率を演算する。具体的には、データ格納部16に格納されている暗号鍵の交換処理に必要な時間を取得する。そして、処理時間/通過時間×100を演算する。その後、ステップS87c4に遷移する。
[ステップS87c4]
ステップS87c3にて求めた百分率に基づいて、暗号鍵の交換処理を行うか否かを判断する。具体的には、データ格納部16に格納されている鍵交換の実行中に通信不可となることが許容される時間の百分率T(%)を取得する。そして、ステップS87c3にて求めた百分率が、百分率T以上か否かを判断する。ステップS87c3にて求めた百分率が、百分率T以上である場合、実行しないと判断し、ステップS90に遷移する。ステップS87c3にて求めた百分率が、百分率T未満である場合、実行すると判断し、ステップS88に遷移する。
以上で暗号鍵交換処理要否判定処理の詳細の説明を終了する。
次に、暗号鍵交換処理要否判定処理の具体例を説明する。
なお、以下の例では、データ格納部16に格納されている暗号鍵の交換処理に要する時間が1秒であり、百分率Tが10%であるものとして説明する。
また、VPNサーバ10が、ステップS81にて受信した移動親局アドレス通知には、移動親局60aの移動速度V(=11m/秒)、および移動網種別(=無線LAN)が含まれているものとする。
VPNサーバ10は、通信エリア管理テーブル16aを参照する。そして、無線LANに対するセルサイズの欄に設定されている値100mを取得する。
ここで、移動親局アドレス通知を送信した移動親局60aが時速40km(11m/秒)で移動していると仮定すると、VPNサーバ10は、当該セルを通過する時間(通過時間)を演算する。すなわち、
通過時間=セルサイズ/移動速度(100[m]/11[m/秒])より、約9秒が得られる。
次に、この通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の百分率を演算する。すなわち、
百分率=交換処理に要する時間/当該セル在圏時間(1[秒]/9[秒])×100より、約11%が得られる。
これにより、暗号鍵の交換処理を実行することにより11%が通信不可となることが分かる。
この値は、VPNサーバ10に設定された百分率T(=10%)以上であるため、暗号鍵の交換処理は行わない。
一方、当該移動親局アドレス通知を送信した移動親局が時速20km(5.6m/秒)で移動していると仮定すると、VPNサーバ10は、当該セルを通過する時間(通過時間)を演算する。すなわち、
通過時間=セルサイズ/移動速度(100[m]/5.6[m/秒])より、約18秒が得られる。
次に、この通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の割合を演算する。
これにより、暗号鍵の交換処理を実行することにより当該セル在圏時間18秒間のうちの1秒、すなわち6%(=1[秒]/18[秒]×100)が通信不可となることが分かる。
この値は、VPNサーバ10に設定された百分率T(=10%)よりも小さいため、暗号鍵の交換処理を実行する。
以上説明したように、実施の形態のシステム100によれば、移動親局60aに対して移動網51、52間で共通する固定的な移動親局仮想VPNアドレスを設定するようにした。そして、暗号鍵の生成(セキュリティの設定)にこの仮想VPNアドレスを利用するようにした。
これにより、移動子局70aが移動網51、52間を移動すると、移動親局60aの実アドレスは変化するが、移動親局60aの仮想VPNアドレスは変化しない。従って、移動親局60aの移動網51、52間の移動時に暗号鍵の再設定の処理を省略することができる。
これによって、移動網51、52間の移動に伴う通信確立のための設定に必要な時間の短縮を図ることができる。従って、通信品質が向上する。
また、移動親局60aは、当該再設定が完了するまでの間に送信されたデータを蓄えておく必要がないので、移動親局60aが大容量のバッファを備える必要がない。
なお、移動親局60aが携帯電話、無線LAN等の複数の通信インタフェースをサポートしている場合には、携帯電話の基地局に接続できない場合には、無線LANに接続する等、異なる移動網にまたがって移動してもよい。なお、本実施の形態では、再設定の対象となるセキュリティ情報として暗号鍵を用いた場合について説明したが、暗号化アルゴリズムが変更されてもよい。
<第3の実施の形態>
次に、第3の実施の形態のシステムについて説明する。
以下、第3の実施の形態のシステムについて、前述した第2の実施の形態との相違点を中心に説明し、同様の事項については、その説明を省略する。
図22は、第3の実施の形態のシステムを示す図である。なお、図22では、システム100と共通部分の図示を一部省略して示している。
第3の実施の形態のシステム100aは、移動局網80に存在する移動子局70a、70b間の通信を行う場合を示している。
以下、本実施の形態における移動親局の処理を示す。
なお、第3の実施の形態では、ステップS68の処理が異なっている。以下、本実施の形態のステップS68に対応する処理を説明する。
図23は、第3の実施の形態の移動親局の処理を示すフローチャートである。
[ステップS91]
受信部61が、移動子局70aからパケットを受信する。その後、ステップS92に遷移する。
[ステップS92]
受信したパケットの宛先アドレスを参照し、宛先の移動子局70bが移動局網80に存在するか否かを判定する。存在する場合は、ステップS93に遷移する。そうでなければ、ステップS94に遷移する。
[ステップS93]
受信したパケットを移動局網80に転送する。その後、処理を終了する。
[ステップS94]
宛先の移動子局70bが移動局網80に接続されていない場合は、そのパケットに対して暗号化・カプセル化を行う。これにより、パケットP2が生成される。その後、ステップS95に遷移する。
[ステップS95]
ステップS94で処理したパケットP2をVPNサーバ10に転送する。その後、処理を終了する。
以上で、第3の実施の形態の移動親局60aの処理を終了する。
この第3の実施の形態のシステム100aによれば、第2の実施の形態のシステム100と同様の効果が得られる。
そして、第3の実施の形態のシステム100aによれば、さらに、移動局網80に存在する移動子局70a、70b間の通信においても通信品質の向上を図ることができる。
<第4の実施の形態>
次に、第4の実施の形態のシステムについて説明する。
以下、第4の実施の形態のシステムについて、前述した第2の実施の形態との相違点を中心に説明し、同様の事項については、その説明を省略する。
図24は、第4の実施の形態のシステムを示す図である。
第4の実施の形態のシステム100bは、移動親局60aに接続された移動子局70aが、移動親局60bに接続された移動子局70cとの間で通信を行うものである。
システム100bでは、中継網40からパケットP2を受信したときのVPNサーバ10の処理が、システム100と異なっている。以下、本実施の形態の処理を説明する。
図25は、第4の実施の形態のVPNサーバの処理を示すフローチャートである。
[ステップS101]
受信部11が、中継網40から宛先が移動子局70cであるパケットP2を受信する。その後、ステップS102に遷移する。
[ステップS102]
カプセル化処理部15が、ステップS101で受信したパケットP2のデ・カプセル化を行う。暗号処理部14が、デ・カプセル化されたパケットを復号する。その後、ステップS103に遷移する。
[ステップS103]
復号されたパケットの宛先アドレスを見て、宛先の移動子局70cが固定網30に接続されているか否かを判定する。接続されていればステップS104に遷移する。そうでなければステップS105に遷移する。
[ステップS104]
宛先の移動子局70cが固定網30に接続されている場合は、そのパケットを固定網30に転送する。その後、処理を終了する。
[ステップS105]
宛先の移動子局70cが固定網30に接続されていない場合は、ステップS102でデ・カプセル化、および、復号されたパケットに対して、固定局20から送信されたパケットに対して行う処理と同様の処理を行う。
まず、VPN管理部13が、サーバ側VPN管理テーブル13aを参照し、パケットの宛先の移動子局70cが接続されている移動親局60bを求める。
そして、暗号処理部14が、パケットを暗号化する。また、カプセル化処理部15が、パケットをカプセル化する。これにより、移動子局70cを宛先とするパケットP1が生成される。その後、ステップS106に遷移する。
[ステップS106]
送信部12が、ステップS105で処理したパケットP1を中継網40に転送する。その後、処理を終了する。
以上で、第4の実施の形態のVPNサーバ10の処理の説明を終了する。
この第4の実施の形態のシステム100bによれば、第2の実施の形態のシステム100と同様の効果が得られる。
そして、第4の実施の形態のシステム100bによれば、さらに、移動子局70a、70c間における通信においても通信品質の向上を図ることができる。
以上、本発明の通信管理装置および通信管理プログラムを、図示の実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、各部の構成は、同様の機能を有する任意の構成のものに置換することができる。また、本発明に、他の任意の構成物や工程が付加されていてもよい。
なお、前述した各実施の形態では、IPSec−VPNを用いて説明したが、これに限らず、例えば、SSL−VPNや、レイヤ2VPN等の他のインターネットVPNにも適用することができる。
また、本発明は、前述した各実施の形態のうちの、任意の2以上の構成(特徴)を組み合わせたものであってもよい。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、VPNサーバ10が有する機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記録装置としては、例えば、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ等が挙げられる。光ディスクとしては、例えば、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等が挙げられる。光磁気記録媒体としては、例えば、MO(Magneto-Optical disk)等が挙げられる。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROM等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
通信管理プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
1 通信管理装置
2 格納部
2a 管理情報
3、14、65 暗号処理部
4、12、62、72 送信部
5a、5b 網
6 移動装置
7 通信装置
8、8a、P1、P2 パケット
10 VPNサーバ
11、61、71 受信部
13、63、73 VPN管理部
13a サーバ側VPN管理テーブル
15、66 カプセル化処理部
16 データ格納部
16a 通信エリア管理テーブル
20 固定局
30 固定網
40 中継網
51、52 移動網
60a、60b 移動親局
63a 親局側VPN管理テーブル
64 移動処理部
70a、70b、70c 移動子局
80 移動局網
100、100a、100b システム

Claims (6)

  1. 複数の網間を移動する移動装置の、前記網毎に設定された第1のアドレスと前記複数の網間で共通する第2のアドレスと前記第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報を格納する格納部と、
    前記第2のアドレス宛のパケットを受信した場合、受信した前記第2のアドレスに対応する前記管理情報のセキュリティ情報に基づいて前記パケットを暗号化する暗号処理部と、
    前記暗号化が施されたパケットを、受信した前記第2のアドレスに対応する前記第1のアドレス宛に送信する送信部と、
    を有することを特徴とする通信管理装置。
  2. 前記移動装置からの通信確立要求に応じて前記セキュリティ情報を更新するか否かを判断する判断部をさらに有することを特徴とする請求項1記載の通信管理装置。
  3. 前記判断部は、前記移動装置の移動速度に基づいて、前記セキュリティ情報を更新するか否かを判断することを特徴とする請求項2記載の通信管理装置。
  4. 前記判断部は、前記移動装置と通信するプロトコル情報に基づいて、前記セキュリティ情報を更新するか否かを判断することを特徴とする請求項2または3記載の通信管理装置。
  5. 前記判断部は、前記移動装置と通信する時間を測定した測定時間情報に基づいて、前記セキュリティ情報を更新するか否かを判断することを特徴とする請求項2ないし4のいずれかに記載の通信管理装置。
  6. コンピュータを、
    複数の網間を移動する移動装置の、前記網毎に設定された第1のアドレスと前記複数の網間で共通する第2のアドレスと前記第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報を格納する格納手段、
    前記第2のアドレス宛のパケットを受信した場合、受信した前記第2のアドレスに対応する前記管理情報のセキュリティ情報に基づいて前記パケットを暗号化する暗号処理手段、
    前記暗号化が施されたパケットを、受信した前記第2のアドレスに対応する前記第1のアドレス宛に送信する送信手段、
    として機能させることを特徴とする通信管理プログラム。
JP2009159596A 2009-07-06 2009-07-06 通信管理装置および通信管理プログラム Pending JP2011015327A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009159596A JP2011015327A (ja) 2009-07-06 2009-07-06 通信管理装置および通信管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009159596A JP2011015327A (ja) 2009-07-06 2009-07-06 通信管理装置および通信管理プログラム

Publications (1)

Publication Number Publication Date
JP2011015327A true JP2011015327A (ja) 2011-01-20

Family

ID=43593725

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009159596A Pending JP2011015327A (ja) 2009-07-06 2009-07-06 通信管理装置および通信管理プログラム

Country Status (1)

Country Link
JP (1) JP2011015327A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016506659A (ja) * 2013-01-17 2016-03-03 インテル アイピー コーポレイション セルラネットワークで非セルラアクセスネットワーク情報を通信する装置、システム及び方法
US10194361B2 (en) 2012-11-01 2019-01-29 Intel Corporation Apparatus system and method of cellular network communications corresponding to a non-cellular network
US10219281B2 (en) 2012-12-03 2019-02-26 Intel Corporation Apparatus, system and method of user-equipment (UE) centric access network selection
US10271314B2 (en) 2013-04-04 2019-04-23 Intel IP Corporation Apparatus, system and method of user-equipment (UE) centric traffic routing
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
JP2021145335A (ja) * 2019-09-24 2021-09-24 プライビット テクノロジー インク トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269661A (ja) * 2004-03-19 2005-09-29 Microsoft Corp モバイルコンピューティングデバイスのための仮想私設網構造の再使用

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269661A (ja) * 2004-03-19 2005-09-29 Microsoft Corp モバイルコンピューティングデバイスのための仮想私設網構造の再使用

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10356640B2 (en) 2012-11-01 2019-07-16 Intel Corporation Apparatus, system and method of cellular network communications corresponding to a non-cellular network
US10194361B2 (en) 2012-11-01 2019-01-29 Intel Corporation Apparatus system and method of cellular network communications corresponding to a non-cellular network
US10194360B2 (en) 2012-11-01 2019-01-29 Intel Corporation Apparatus, system and method of cellular network communications corresponding to a non-cellular network
US10219281B2 (en) 2012-12-03 2019-02-26 Intel Corporation Apparatus, system and method of user-equipment (UE) centric access network selection
US10292180B2 (en) 2013-01-17 2019-05-14 Intel IP Corporation Apparatus, system and method of communicating non-cellular access network information over a cellular network
JP2016506659A (ja) * 2013-01-17 2016-03-03 インテル アイピー コーポレイション セルラネットワークで非セルラアクセスネットワーク情報を通信する装置、システム及び方法
US9525538B2 (en) 2013-01-17 2016-12-20 Intel IP Corporation Apparatus, system and method of communicating non-cellular access network information over a cellular network
US10271314B2 (en) 2013-04-04 2019-04-23 Intel IP Corporation Apparatus, system and method of user-equipment (UE) centric traffic routing
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
JP2021145335A (ja) * 2019-09-24 2021-09-24 プライビット テクノロジー インク トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
JP7148173B2 (ja) 2019-09-24 2022-10-05 プライビット テクノロジー インク トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Similar Documents

Publication Publication Date Title
JP2011015327A (ja) 通信管理装置および通信管理プログラム
US7729366B2 (en) Method, apparatus and system for network mobility of a mobile communication device
EP2806704B1 (en) Proxy based communication scheme in docking structure
US8345694B2 (en) Network address translation for tunnel mobility
JP4857342B2 (ja) モバイルネットワーク管理装置及び移動情報管理装置
EP2924956B1 (en) Method and apparatus for handover between content servers for transmission path optimization
US8144678B1 (en) Mobile device handoff while maintaining connectivity with multiple access points
US20080162924A1 (en) Handoff of a secure connection among gateways
JP4788931B2 (ja) 移動通信システムおよび通信制御方法
JP2008546272A (ja) Sctp基盤のハンドオーバ機能を具備した端末装置及びハンドオーバ方法
JP2010528567A (ja) 無線通信におけるアクセスモビリティのためのプロトコルアーキテクチャ
CN101510889A (zh) 一种获取动态路由的方法和设备
WO2016029854A1 (zh) 一种无线网络连接方法、设备及系统
CN111386749A (zh) 用于在基础设施链路上建立点对点服务会话的方法
WO2016042764A1 (ja) 接続方法、接続システム、携帯端末、およびプログラム
JP4748157B2 (ja) 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
JP4909864B2 (ja) 移動体通信システムにおけるハンドオフ方法、無線基地局装置及びゲートウェイ装置
US20100303233A1 (en) Packet transmitting and receiving apparatus and packet transmitting and receiving method
JP4411171B2 (ja) 通信システム、情報処理方法、およびルータ
WO2021111703A1 (ja) 通信制御装置、通信制御方法、プログラム
CN115801675A (zh) 一种报文处理方法及相关装置
JP6255468B2 (ja) 携帯端末、通信システムおよび携帯端末プログラム
JP2010522480A (ja) トンネルipコネクティビティによるマルチモード端末のためのipモビリティメカニズムの選択
CN118804067A (zh) 一种无源业务处理方法、装置、设备、介质和程序产品
JP2018107495A (ja) 接続切り替えシステム、接続切り替え方法、および、接続先装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130403

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130514