JP3472098B2 - Mobile computer device, relay device, and data transfer method - Google Patents
Mobile computer device, relay device, and data transfer methodInfo
- Publication number
- JP3472098B2 JP3472098B2 JP24310497A JP24310497A JP3472098B2 JP 3472098 B2 JP3472098 B2 JP 3472098B2 JP 24310497 A JP24310497 A JP 24310497A JP 24310497 A JP24310497 A JP 24310497A JP 3472098 B2 JP3472098 B2 JP 3472098B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- data
- relay device
- address
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワーク間を
移動して通信を行うことが可能な移動計算機、ネットワ
ーク上を転送されるパケットを受信して通過の可否を判
定して転送または返送する中継装置及びデータ転送方法
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a mobile computer capable of moving and communicating between networks, and a relay for receiving a packet transferred on the network, judging whether or not the packet can be passed, and transferring or returning the packet. The present invention relates to a device and a data transfer method.
【0002】[0002]
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外、一組織外とのコミュニケーション(電
子メール、電子ニュース、ファイルの転送など)が可能
になり、これらが広く利用されはじめた。特に近年で
は、世界最大のコンピュータネットワーク「インターネ
ット(internet)」の利用が普及しており、イ
ンターネットと接続し、公開された情報、サービスを利
用したり、逆にインターネットを通してアクセスしてく
る外部ユーザに対し、情報、サービスを提供すること
で、新たなコンピュータビジネスが開拓されている。ま
た、インターネット利用に関して、新たな技術開発、展
開がなされている。2. Description of the Related Art The use of computer systems has rapidly and widely spread to various fields as computer systems have become smaller and less expensive, and network environments have been enhanced. Also, the shift from centralized systems to distributed systems Is progressing. Especially in recent years, not only sharing resources such as files and printers in the office but also communication outside the office and outside the organization (email , E-news, file transfer, etc.) have become possible and these have begun to be widely used. In recent years, in particular, the use of the world's largest computer network “Internet” has become widespread, and it has become popular with external users who connect to the Internet and use publicly available information and services, and vice versa. On the other hand, by providing information and services, new computer business is being cultivated. In addition, new technologies are being developed and deployed regarding the use of the Internet.
【0003】また、このようなネットワークの普及に伴
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行いながらネットワーク
上の位置を変えていく場合もあり、そのような通信にお
いて変化する移動計算機のネットワーク上を管理し、正
しく通信内容を到達させるための方式が必要である。With the spread of such networks, technical development for mobile communication is being carried out. In mobile communication, a user having a portable terminal or a computer moves on a network for communication. In some cases, the position on the network may be changed while performing communication, and a method for managing the network of the mobile computer that changes in such communication so that the communication contents can be correctly reached is required.
【0004】一般に移動通信を行う場合、移動計算機が
所属していたネットワークに移動計算機の移動先データ
を管理するルータ(ホームエージェント)を置き、移動
計算機が移動した場合、このホームエージェントに対し
て現在位置を示す登録メッセージを送る。登録メッセー
ジが受け取られたら、移動計算機宛データの送信はその
ホームエージェントを経由して、移動計算機の元のアド
レス宛のIPパケットを移動計算機の現在位置アドレス
宛パケット内にカプセル化することで移動計算機に対す
るデータの経路制御が行われる。例えば、図1では、元
々ホームネットワーク1aに属していた移動計算機2
が、他のネットワーク1bに移動し、ネットワーク1c
内の他の計算機(CH)3との間で通信を行うような場
合に、移動計算機2に対しホームエージェント(HA)
5が上記の役割を行う。この方式は、インターネットの
標準化団体であるIETFのmobile−IPワーキ
ンググループで標準化が進められている移動IPと呼ば
れる方式である(文献:RFC2002, IP mo
bility support (C.Perkin
s))。In general, when mobile communication is performed, a router (home agent) for managing destination data of the mobile computer is placed in the network to which the mobile computer belongs, and when the mobile computer moves, the current home agent for the home computer is set. Send a registration message indicating the location. When the registration message is received, the mobile computer sends data to the mobile computer by encapsulating the IP packet addressed to the original address of the mobile computer into the packet addressed to the current position address of the mobile computer via the home agent. Data is routed to the. For example, in FIG. 1, the mobile computer 2 that originally belonged to the home network 1a
Moves to another network 1b, and the network 1c
Home computer (HA) for the mobile computer 2 when communicating with another computer (CH) 3 in the
5 plays the role described above. This method is called Mobile IP, which is being standardized by the mobile-IP working group of IETF, which is an Internet standardization organization (reference: RFC2002, IP mo).
biliity support (C. Perkin
s)).
【0005】ところで、移動IP方式では、移動計算機
が新規の移動先に移った場合、移動計算機がどのような
ネットワークに移動したかによって、移動計算機の発す
るメッセージの扱いが変わってくる。By the way, in the mobile IP system, when the mobile computer is moved to a new destination, the handling of the message issued by the mobile computer changes depending on the network to which the mobile computer has moved.
【0006】例えば、移動計算機のホームネットワーク
と親しいネットワークに移動して、そのネットワークの
出口に置かれたゲートウェイ(ファイアウォール)がデ
ータパケットを自由に外部に送出させる場合は、移動I
Pの規定のままで動作が可能である。[0006] For example, if the gateway (firewall) located at the exit of the mobile computer moves to a network close to the home network of the mobile computer and the data packet is freely transmitted to the outside, the mobile I
It is possible to operate with the definition of P as it is.
【0007】一方、移動計算機を外部から内部に滞在
(または侵入)しているものとして扱う一般のネットワ
ークでは、セキュリティ上の考慮から、移動計算機の発
する登録メッセージを自由に外部に送出させることは危
険であると判断する。この場合、移動計算機が、自分は
現在自分を侵入者として扱うネットワークにいる、とい
うことを認識し、ゲートウェイに対して身分証明に相当
する折衝メッセージの交換処理を行って通過許可を得た
上でデータパケットの送出を行うことが必要になる。ま
た、それ以降のデータ送信においても、ゲートウェイに
対する折衝メッセージを付加しての通信が必要である。On the other hand, in a general network that treats a mobile computer as staying (or invading) inside from the outside, it is dangerous to freely send the registration message issued by the mobile computer to the outside due to security considerations. It is determined that In this case, the mobile computer recognizes that it is currently in the network that treats itself as an intruder, performs the negotiation message exchange process corresponding to the identification to the gateway, and obtains the passage permission. It is necessary to send data packets. Further, in data transmission thereafter, it is necessary to add a negotiation message to the gateway for communication.
【0008】一般に、移動計算機が、自分の元属してい
たホームネットワークとセキュリティ情報を交換してい
る外部ネットワークに移動する場合、その外部ネットワ
ークの出口でのパケット中継を行うパケット中継装置に
対する折衝メッセージをつけておけば、それ以降は予め
交換されたセキュリティ情報に従ってデータが安全にホ
ームネットワークまで転送されることが可能になる。Generally, when a mobile computer moves to an external network that exchanges security information with a home network to which it belongs, a mobile computer sends a negotiation message to a packet relay device that relays a packet at the exit of the external network. If it is attached, thereafter, data can be safely transferred to the home network according to the security information exchanged in advance.
【0009】一方、移動計算機が、自分の元属していた
ホームネットワークとセキュリティ情報を交換していな
い外部ネットワークに移動した場合、移動計算機は、ま
ず自身に登録されているパケット中継装置宛に、折衝メ
ッセージを付けたパケットを送出する(その中継装置ま
で、パケットが到着すれば、後は予め設定されたセキュ
リティ情報に従って安全にパケットが転送される)。し
かし、この場合も、経路途中で、その移動計算機の発す
るパケットの中継を拒絶するパケット中継装置が存在す
ることがある。もし、そのようなパケット中継装置があ
った場合、その中継装置はパケット中継拒絶メッセージ
を移動計算機に返送するが、移動計算機の側では、パケ
ットの中継を拒絶したパケット中継装置がネットワーク
上のどの位置に存在するかを判別しないと、その中継装
置に対し正しく折衝メッセージを付加することができな
い。On the other hand, when the mobile computer moves to an external network that does not exchange security information with the home network to which it belongs, the mobile computer first negotiates with the packet relay device registered in itself. A packet with a message is transmitted (when the packet arrives at the relay device, the packet is thereafter safely transferred according to preset security information). However, also in this case, there may be a packet relay device that rejects the relay of the packet issued by the mobile computer in the middle of the route. If there is such a packet relay device, the relay device sends back a packet relay rejection message to the mobile computer. On the mobile computer side, the packet relay device that refuses to relay the packet cannot be located at any position on the network. If it is not determined whether it exists in the relay device, the negotiation message cannot be correctly added to the relay device.
【0010】しかし、従来の移動IP方式だけでは、こ
のような動的な折衝に基づく移動計算機発パケットのル
ーティングは定義されておらず、またパケット中継装置
の側でも移動計算機側が正しく折衝メッセージを付ける
ために十分な情報を含んだ拒否メッセージを送信したい
なかった。However, the conventional mobile IP system alone does not define the routing of packets originating from the mobile computer based on such dynamic negotiation, and the mobile computer side also correctly attaches the negotiation message on the side of the packet relay device. I didn't want to send a rejection message with enough information for it.
【0011】[0011]
【発明が解決しようとする課題】従来、移動計算機がセ
キュリティを保って通信を行う場合、ホームネットワー
クとセキュリティ情報を交換しているネットワークに移
動して通信を行う場合は、予め定められた方式に従え
ば、正しく通信できた。しかし、移動計算機がホームネ
ットワークとセキュリティ情報を交換していないネット
ワークに移動した場合、移動計算機は自分に登録されて
いるホームネットワークと正しくセキュリティ情報を交
換しているパケット中継装置宛にデータを送信し、その
中継装置に到着した後は、登録されたセキュリティ情報
に基づく方式で処理を行う、という場合がある。この場
合も、もし経路途中に存在するパケット中継装置がデー
タパケットの中継を拒絶することがあるが、その場合、
移動計算機はデータ拒絶したパケット中継装置からの拒
絶メッセージを元に、そのパケット中継装置が自身のホ
ームネットとセキュリティ情報を交換しているか否かを
判別し、それに基づいてパケット中継のための折衝メッ
セージを付与することが必要になる。しかしながら、従
来の移動IP方式では、移動計算機はパケットの中継を
拒絶したパケット中継装置と折衝を行うことができず、
パケットをホームネットワークに到達させることができ
なかった。Conventionally, when a mobile computer communicates while maintaining security, and when moving to a network where security information is exchanged with a home network and performing communication, a predetermined method is used. According to it, I was able to communicate correctly. However, when the mobile computer moves to a network that does not exchange security information with the home network, the mobile computer sends data to the packet relay device that exchanges security information correctly with the home network registered in itself. After reaching the relay device, the process may be performed based on the registered security information. In this case as well, if the packet relay device existing in the middle of the route may refuse to relay the data packet, in that case,
Based on the rejection message from the packet relay device that rejected the data, the mobile computer determines whether or not the packet relay device exchanges security information with its own homenet, and based on that, a negotiation message for packet relay. Will be required. However, in the conventional mobile IP method, the mobile computer cannot negotiate with the packet relay device that refuses to relay the packet,
The packet could not reach the home network.
【0012】本発明は、上記事情を考慮してなされたも
ので、ネットワーク上のどこに移動しても、安全な通信
を行うことの可能な移動計算機装置、中継装置及びデー
タ転送方法を提供することを目的とする。The present invention has been made in consideration of the above circumstances, and provides a mobile computer device, a relay device, and a data transfer method capable of performing secure communication regardless of where they move on a network. With the goal.
【0013】[0013]
【課題を解決するための手段】本発明(請求項1)は、
相互に接続されたネットワーク間を移動して通信を行う
ことが可能な移動計算機装置であって、自装置が移動前
に属していたネットワーク(ホームネットワーク)か
ら、セキュリティ保持関係を保って通信できる通信相手
のアドレスの範囲を示すアドレス範囲情報を保持する記
憶手段と、自装置が現在位置する移動先ネットワークか
ら、自装置の属していたネットワーク内の宛先計算機
に、自装置の属していたネットワークの入口に設置され
た第1の中継装置(パケット中継装置;パケット暗号化
ゲートウェイ)に対する折衝情報を付加したデータを送
信する手段と、宛先計算機に至る経路途中の第2の中継
装置(パケット中継装置;パケット暗号化ゲートウェ
イ)から、前記送信データに対する通過拒否メッセージ
(エラーメッセージ)が返信された場合、該第2の中継
装置のアドレス情報と、前記記憶手段に保持される前記
アドレス範囲情報とを照合する手段と、この照合の結
果、前記第2の中継装置のアドレス情報が前記アドレス
範囲情報に含まれるものではない場合は、通過拒否され
た前記送信データに付加した前記折衝情報の前に、該第
2の中継装置に対する折衝情報を付加し、該第2の中継
装置のアドレス情報が前記アドレス範囲情報に含まれる
ものである場合は、通過拒否された前記送信データに付
加した前記折衝情報の後に、該第2の中継装置に対する
折衝情報を付加して、データを再度送信する手段とを備
えたことを特徴とする。The present invention (Claim 1) includes:
A mobile computer device capable of moving and communicating between mutually connected networks, and communication capable of maintaining a security maintaining relationship from a network (home network) to which the device itself belongs before moving. From the storage means that holds the address range information indicating the range of the other party's address, and the destination network in the network to which the device belongs from the destination network where the device itself is currently located, the entrance of the network to which the device belongs Means for transmitting data to which the negotiation information is added to the first relay device (packet relay device; packet encryption gateway) installed in the first relay device, and the second relay device (packet relay device; packet) on the way to the destination computer. From the encryption gateway), a passage refusal message (error message) for the transmission data is sent. When received, means for collating the address information of the second relay device with the address range information held in the storage means, and as a result of this collation, the address information of the second relay device is If it is not included in the address range information, the negotiation information for the second relay device is added before the negotiation information added to the transmission data that is denied passage, and the address of the second relay device is added. When the information is included in the address range information, the negotiation information for the second relay device is added after the negotiation information added to the transmission data that is denied passage, and the data is retransmitted. And means.
【0014】好ましくは、自装置の送信した前記データ
に対して経路途中の前記第2の中継装置から前記通過拒
否メッセージが返信された場合、該中継装置に移動計算
機識別子を生成するための鍵情報を要求するメッセージ
を送信する手段と、前記中継装置から前記鍵情報が返送
された場合、この鍵情報をもとにして、前記折衝情報を
生成する手段とをさらに備えるようにしてもよい。[0014] Preferably, when the passage refusal message is returned from the second relay device on the route to the data transmitted by the own device, key information for generating a mobile computer identifier in the relay device. It may further be provided with a unit for transmitting a message requesting the request, and a unit for generating the negotiation information based on the key information when the key information is returned from the relay device.
【0015】好ましくは、前記第2の中継装置に対する
前記折衝情報を付加して再度送信しデータが該第2の中
継装置により通過されたと認識された場合、それ以降の
データ通信の際にも転送データに該折衝情報を付加して
送信するようにしてもよい。Preferably, when the negotiation information is added to the second relay device and retransmitted, and it is recognized that the data has been passed by the second relay device, the data is also transferred in the subsequent data communication. The negotiation information may be added to the data and transmitted.
【0016】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。[0016] Preferably, the negotiation information may be a mobile computer identifier obtained by using a predetermined function (for example, a hash function) based on the content of a predetermined portion of transfer data and the key information. .
【0017】好ましくは、前記通過拒否メッセージは通
過拒否を示す情報および前記第2の中継装置のアドレス
情報を含むものであるようにしてもよい。好ましくは、
前記記憶手段に保持する前記アドレス範囲情報として、
前記第1の中継装置から得たものを用いるようにしても
よい。Preferably, the passage refusal message may include information indicating passage refusal and address information of the second relay device. Preferably,
As the address range information stored in the storage means,
You may make it use what was obtained from the said 1st relay apparatus.
【0018】本発明(請求項7)は、相互に接続された
ネットワーク上の任意の地点に設置される中継装置(パ
ケット中継装置;パケット暗号化ゲートウェイ)であっ
て、転送データの通過を許可する送信元計算機のアドレ
スの範囲を示す情報を含む通過許可リストを保持する記
憶手段と、受信したデータが、前記通過許可リストに含
まれるものに該当する送信元アドレスおよび自装置との
間で交換する正当な折衝情報を含むものである場合は、
この折衝情報を除去して、ネットワーク上の次段の中継
装置または宛先アドレスにデータを転送する手段と、受
信したデータが、前記通過許可リストに含まれるものに
該当する送信元アドレスまたは自装置との間で交換する
正当な折衝情報の少なくとも一方を含まないものである
場合は、自装置のアドレス情報および通過拒否を示す情
報を含む通過拒否メッセージ(エラーメッセージ)を、
該データの送信元計算機に返信する手段とを備えたこと
を特徴とする。The present invention (claim 7) is a relay apparatus (packet relay apparatus; packet encryption gateway) installed at an arbitrary point on a mutually connected network, and permits passage of transfer data. The storage means for holding a passage permission list including information indicating the address range of the transmission source computer and the received data are exchanged between the transmission source address corresponding to the one included in the passage permission list and the own device. If it contains legitimate negotiation information,
A means for removing this negotiation information and transferring the data to the next-stage relay device or destination address on the network, and the received data corresponding to the source address or its own device that is included in the passage permission list. If it does not include at least one of the legitimate negotiation information exchanged between the two, a passage refusal message (error message) including the address information of the own device and the information indicating the passage refusal,
Means for returning the data to the transmission source computer.
【0019】好ましくは、前記折衝情報を生成するため
の鍵情報を求めるメッセージを受信した場合に、該メッ
セージを受諾して該鍵情報を返送するために該メッセー
ジの送信元計算機が満たすべき条件を示す情報を保持す
る記憶手段と、前記通過拒否メッセージを返信した後に
同一の計算機から鍵情報を求めるメッセージを受信した
場合、この計算機が前記条件を満たすと判断されたと
き、要求された前記鍵情報を返送する手段とをさらに備
えるようにしてもよい。[0019] Preferably, when a message for requesting key information for generating the negotiation information is received, a condition that a sender computer of the message must meet in order to accept the message and return the key information. When a message for requesting key information is received from the same computer after returning the passage refusal message and a storage unit that retains the indicated information, the requested key information is determined when the computer determines that the condition is satisfied. May be further provided.
【0020】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。Preferably, the negotiation information may be a mobile computer identifier obtained by using a predetermined function (for example, a hash function) based on the content of a predetermined portion of transfer data and the key information. .
【0021】本発明(請求項10)は、相互に接続され
たネットワーク間を移動して通信を行うことが可能な移
動計算機装置におけるデータ転送方法であって、自装置
が現在位置する移動先ネットワークから、自装置の属し
ていたネットワーク内の宛先計算機に、自装置の属して
いたネットワークの入口に設置された第1の中継装置に
対する折衝情報を付加したデータを送信し、宛先計算機
に至る経路途中の第2の中継装置から、前記送信データ
に対する通過拒否メッセージが返信された場合、該第2
の中継装置のアドレス情報と、自装置が移動前に属して
いたネットワークから、セキュリティ保持関係を保って
通信できる通信相手のアドレスの範囲を示すアドレス範
囲情報とを照合し、この照合の結果、前記第2の中継装
置のアドレス情報が前記アドレス範囲情報に含まれるも
のではない場合は、通過拒否された前記送信データに付
加した前記折衝情報の前に、該第2の中継装置に対する
折衝情報を付加し、該第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものである場合は、通
過拒否された前記送信データに付加した前記折衝情報の
後に、該第2の中継装置に対する折衝情報を付加して、
データを再度送信することを特徴とする。The present invention (Claim 10) is a data transfer method in a mobile computer device capable of moving and communicating between mutually connected networks, wherein a destination network in which the device itself is currently located. Sends data with negotiation information to the first relay device installed at the entrance of the network to which the own device belongs to the destination computer in the network to which the own device belongs, and on the way to the destination computer When a passage refusal message for the transmission data is returned from the second relay device of
The address information of the relay device and the address range information indicating the range of the address of the communication partner with which the device can communicate in a security maintaining relationship from the network to which the device belongs before the movement are collated, and as a result of this collation, If the address information of the second relay device is not included in the address range information, the negotiation information for the second relay device is added before the negotiation information added to the transmission data that has been denied passage. However, when the address information of the second relay device is included in the address range information, the negotiation information for the second relay device is added after the negotiation information added to the transmission data rejected to pass. And add
The feature is that the data is transmitted again.
【0022】本発明(請求項11)は、相互に接続され
たネットワーク上の任意の地点に設置される中継装置に
おけるデータ転送方法であって、転送すべきデータを受
信した場合、データの送信元アドレスが、転送データの
通過を許可する送信元計算機のアドレスの範囲を示す情
報を含む通過許可リストに含まれるものであるか否か、
およびデータの送信元計算機と自装置との間で交換する
正当な折衝情報を含むものであるか否かを検査し、受信
したデータが、前記通過許可リストに含まれるものに該
当する送信元アドレスおよび自装置との間で交換する正
当な折衝情報を含むものである場合は、この折衝情報を
除去して、ネットワーク上の次段の中継装置または宛先
アドレスにデータを転送し、受信したデータが、前記通
過許可リストに含まれるものに該当する送信元アドレス
または自装置との間で交換する正当な折衝情報の少なく
とも一方を含まないものである場合は、自装置のアドレ
ス情報および通過拒否を示す情報を含む通過拒否メッセ
ージを、該データの送信元計算機に返信することを特徴
とする。The present invention (Claim 11) is a data transfer method in a relay device installed at an arbitrary point on a mutually connected network, wherein when data to be transferred is received, the source of the data is transmitted. Whether or not the address is included in the passage permission list including the information indicating the range of the address of the transmission source computer which is permitted to pass the transfer data,
Also, it is checked whether or not the data includes the legitimate negotiation information exchanged between the data transmission source computer and its own device, and the received data corresponds to the source address and the self-addressed data included in the passage permission list. If it contains valid negotiation information to exchange with the device, remove this negotiation information and transfer the data to the next stage relay device or destination address on the network, and the received data is the passage permission. If the address does not include at least one of the source address corresponding to the one included in the list and the legitimate negotiation information exchanged with the own device, the pass including the address information of the own device and the information indicating the passage refusal. It is characterized in that a rejection message is returned to the transmission source computer of the data.
【0023】なお、装置に係る本発明は方法に係る発明
としても成立し、方法に係る本発明は装置に係る発明と
しても成立する。また、上記の発明は、相当する手順あ
るいは手段をコンピュータに実行させるためのプログラ
ムを記録した機械読取り可能な媒体としても成立する。It should be noted that the present invention relating to the apparatus also holds as the invention relating to the method, and the present invention relating to the method also holds as the invention relating to the apparatus. Further, the above invention is also realized as a machine-readable medium in which a program for causing a computer to execute a corresponding procedure or means is recorded.
【0024】本発明によれば、移動計算機が移動先から
送出したデータパケットが経路途中の中継装置により通
過許可された旨のメッセージが返信された場合に、その
返信メッセージから、通過拒否を行った中継装置のネッ
トワーク上の位置を求め、それに従って適切な折衝メッ
セージコードを付加することにより、移動計算機がネッ
トワーク上のどこに移動しても、安全な通信を行うこと
が可能となる。According to the present invention, when a message indicating that the data packet sent from the destination by the mobile computer from the destination is passed by the relay device on the route is returned, the passage is rejected from the reply message. By obtaining the position of the relay device on the network and adding an appropriate negotiation message code accordingly, it is possible to carry out secure communication no matter where the mobile computer moves on the network.
【0025】[0025]
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。図1に、本実施形態に係る通信
システムの基本構成の一例を示す。図1の通信システム
は、移動IPにより移動計算機の通信をサポートしてい
るものとする(文献:IETF RFC2002)。な
お、移動IPプロトコルは、移動先ネットワークでのパ
ケット配送を行うフォーリンエージェントというルータ
の存在を仮定する場合と、移動計算機自身がフォーリン
エージェントを兼ねるCo−Located Care
−of addressモードと呼ばれる場合がある
が、本実施形態では後者の仮定してフォーリンエージェ
ントはないものとして説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 shows an example of the basic configuration of the communication system according to this embodiment. The communication system of FIG. 1 is assumed to support communication of mobile computers by mobile IP (reference: IETF RFC2002). In the mobile IP protocol, it is assumed that there is a router called a foreign agent that carries out packet delivery in the destination network, and when the mobile computer itself also serves as a foreign agent.
Although it may be called -of address mode, in the present embodiment, the latter assumption is assumed and there is no foreign agent.
【0026】図1では、ホームネットワーク1a、第1
の他部署ネットワーク1b、第2の他部署ネットワーク
1cがインターネット6を介して相互に接続されてお
り、移動計算機(MN)2、移動計算機の通信相手ホス
ト(CH)3は、これらネットワーク内に、または外部
ノードとしてインターネット6に接続される。In FIG. 1, the home network 1a, the first
The other department network 1b and the second other department network 1c are connected to each other via the Internet 6, and the mobile computer (MN) 2 and the communication partner host (CH) 3 of the mobile computer are provided in these networks. Alternatively, it is connected to the Internet 6 as an external node.
【0027】なお、本実施形態では、図1のネットワー
ク1aの内部にホームポジションを持つ移動計算機(M
N)2とその通信相手計算機(CH)3に関するパケッ
ト通信を中心にして説明を行うので、図1では、ネット
ワーク1aをホームネットワーク、ネットワーク1b,
1cを他部署ホームネットワークとして示してある。In this embodiment, a mobile computer (M) having a home position inside the network 1a of FIG.
N) 2 and its correspondent computer (CH) 3 will be mainly described in the packet communication. Therefore, in FIG. 1, the network 1a is referred to as a home network, the network 1b,
1c is shown as a home network of another department.
【0028】ホームネットワーク1a、第1の他部署ネ
ットワーク1b、第2の他部署ネットワーク1cには、
移動IPプロトコルをサポートするためのホームエージ
ェント(HA)5a,5b,5cがそれぞれ設置されて
いる(ただし、本実施形態では移動計算機2は元々ホー
ムネットワークにあったものと仮定するので、他部署ネ
ットワーク1b,1cのホームエージェント5b,5c
は説明上の通信には介在しない)。The home network 1a, the first other department network 1b, and the second other department network 1c include
Home agents (HA) 5a, 5b, and 5c for supporting the mobile IP protocol are installed respectively (however, in the present embodiment, it is assumed that the mobile computer 2 originally existed in the home network, and therefore the other department networks). Home agents 5b and 5c of 1b and 1c
Is not involved in the explanatory communication).
【0029】また、ネットワーク1a,1b,1cに
は、入力パケットに所定のパケット処理を施して転送す
るパケット中継装置4a,4b,4cがそれぞれ設けら
れるものとする。本実施形態では、パケット中継装置4
a,4b,4cは、パケット暗号化認証処理機能を持つ
ものとする。また、移動計算機2は、少なくとも移動中
には、パケット暗号化認証処理機能を持つものとする
(図中、自装置でパケット暗号化認証処理を行う移動計
算機2をMN+で表す)。なお、GWやGWi(iは数
字あるいは記号)はパケット中継装置(パケット暗号化
ゲートウェイ;以下、ゲートウェイと略す)を示すもの
とする。Further, it is assumed that the networks 1a, 1b, 1c are respectively provided with packet relay devices 4a, 4b, 4c for subjecting input packets to predetermined packet processing and transferring them. In this embodiment, the packet relay device 4
It is assumed that a, 4b, and 4c have a packet encryption authentication processing function. The mobile computer 2 has a packet encryption authentication processing function at least during movement (in the figure, the mobile computer 2 which performs the packet encryption authentication processing by itself is represented by MN + ). Note that GW and GWi (i is a number or symbol) indicate a packet relay device (packet encryption gateway; hereinafter abbreviated as gateway).
【0030】なお、パケット暗号化認証処理における通
信データの暗号化/復号は、例えば、文献(IETF
RFC1825,1827)に示される方式で実現でき
る。また、パケット暗号化認証処理における、終端との
折衝コードや次段との折衝コード(転送パケット内容と
生成鍵から生成されるハッシュ関数値など)の付与/チ
ェックは、例えば、IPセキュリティと呼ばれる仕様を
用いた認証子およびパケット暗号化で定義することが可
能である(文献:IETF RFC1825〜182
9)。The encryption / decryption of communication data in the packet encryption authentication process is described in, for example, the document (IETF).
It can be realized by the method shown in RFC1825, 1827). In addition, in the packet encryption authentication process, the addition / check of the negotiation code with the end and the negotiation code with the next stage (the hash function value generated from the contents of the transfer packet and the generation key) is performed by, for example, a specification called IP security. It is possible to define it by an authenticator and packet encryption using (Reference: IETF RFC1825-282).
9).
【0031】また、本実施形態におけるゲートウェイ
は、パケットの通過を許可する送信元アドレスを含む通
過許可リストを保持するものとする。ゲートウェイは、
この通過許可リストに含まれない送信元からのパケット
については、通過拒否することになる。Further, the gateway in this embodiment holds a passage permission list including a source address which permits passage of a packet. The gateway is
Packets from sources that are not included in this passage permission list will be denied passage.
【0032】また、本実施形態におけるゲートウェイ
は、移動計算機2から鍵情報を求めるメッセージを受信
した場合に、該メッセージを受諾して該鍵情報を返送す
るために該メッセージの送信元計算機が満たすべき条件
を示す情報を保持するものとする。Further, when the gateway in this embodiment receives a message for requesting the key information from the mobile computer 2, the sender computer of the message should satisfy the message in order to accept the message and return the key information. Information that indicates the conditions shall be retained.
【0033】この鍵要求メッセージに対し、ゲートウェ
イ4bが公開鍵情報を渡すか否かの条件は、そのゲート
ウェイに管するセキュリティ・ポリシーに依存する。例
えば、・鍵要求メッセージに所定の書式で付加されたユ
ーザ識別情報(ユーザ所属情報)を調べ、社内ユーザで
あれば、鍵情報を返す。・社外ユーザであれば、所定の
組織内のユーザであれば鍵情報を渡す。・それ以外の場
合、予め登録されたユーザであれば、鍵情報を渡す。と
いった規則をゲートウェイに登録しておく。The condition of whether or not the gateway 4b passes the public key information to the key request message depends on the security policy managed by the gateway. For example: Check the user identification information (user affiliation information) added to the key request message in a predetermined format, and if it is an in-house user, return the key information. -If the user is an outside user, the key information is passed if the user is within a predetermined organization. -In other cases, if the user is a pre-registered user, the key information is passed. Such a rule is registered in the gateway.
【0034】図2に、各ゲートウェイで処理されるパケ
ット形式を示す。(a)は通常のIPパケット形式であ
る。(b)は、暗号化/末端認証形式であり、末端の
(終端の)ゲートウェイ間または末端のゲートウェイと
移動計算機との間でパケットの暗号化および認証を行う
形式である。FIG. 2 shows a packet format processed by each gateway. (A) is a normal IP packet format. (B) is an encryption / terminal authentication format, which is a format for encrypting and authenticating packets between terminal gateways (terminals) or between an end gateway and a mobile computer.
【0035】(c)は、暗号化/経路間認証形式であ
り、途中経路間でのゲートウェイ間、途中経路のゲート
ウェイ〜移動計算機間の認証を必要とする場合にはこの
形式を使用する。(C) is an encryption / inter-route authentication format, which is used when authentication is required between gateways on the way, and between gateways on the way-mobile computer.
【0036】(d)は、移動IP形式であり、ホームエ
ージェントで移動計算機宛に経路制御されるパケット形
式である。上記の(b)、(c)において、鍵情報ヘッ
ダは、受信側が認証処理に使用する鍵と復号処理に使用
する鍵を得るための情報を含むヘッダ情報である。例え
ば、上記鍵をパケット処理鍵から生成する場合、認証を
行うノード間で共有されるマスター鍵で暗号化されたパ
ケット処理鍵が書込まれる。その他、必要に応じて、認
証アルゴリズム、データの暗号化アルゴリズム、鍵暗号
アルゴリズムを指定するための情報が書込まれる。(D) is a mobile IP format, which is a packet format in which the home agent performs route control to the mobile computer. In (b) and (c) above, the key information header is header information including information used by the receiving side to obtain a key used for authentication processing and a key used for decryption processing. For example, when the above-mentioned key is generated from the packet processing key, the packet processing key encrypted with the master key shared between the nodes performing authentication is written. In addition, if necessary, information for designating an authentication algorithm, a data encryption algorithm, and a key encryption algorithm is written.
【0037】認証ヘッダは、所定の鍵(例えば、上記パ
ケット生成鍵から生成した認証鍵)を使って生成された
認証データを含むヘッダ情報である。暗号化ヘッダは、
所定の鍵(例えば、上記パケット生成鍵から生成した暗
号鍵)を使って暗号化された内部データ(ここでは、内
部IPヘッダとそのデータ部)を復号するアルゴリズム
を指定する情報を含むヘッダ情報である。The authentication header is header information containing authentication data generated using a predetermined key (for example, the authentication key generated from the packet generation key). The encrypted header is
Header information including information that specifies an algorithm for decrypting internal data (in this case, the internal IP header and its data part) encrypted using a predetermined key (for example, the encryption key generated from the packet generation key) is there.
【0038】内部IPプロトコルは、カプセル化された
パケットであり、通信を行う計算機の送信元アドレスと
宛先アドレスを含む内部IPヘッダやそのデータ部から
なる。例えば、TCPやUDP形式またはIP形式のも
のである。The internal IP protocol is an encapsulated packet, and is composed of an internal IP header including a source address and a destination address of a computer for communication and its data portion. For example, TCP or UDP format or IP format.
【0039】なお、ゲートウェイ、移動計算機が使用す
る認証データとして、例えば、転送パケット内容と生成
鍵から生成される一方向ハッシュ関数値(例えば、Ke
yed MD5方式)などが利用できる。As the authentication data used by the gateway and the mobile computer, for example, a one-way hash function value (for example, Ke
yed MD5 method) or the like can be used.
【0040】また、2つのゲートウェイ間あるいはゲー
トウェイと移動計算機の間で共有されるマスター鍵は、
例えば、秘密鍵の交換や、公開鍵と秘密鍵による導出
(例えば、Diffie−Hellman法)により生
成することができる。The master key shared between the two gateways or between the gateway and the mobile computer is
For example, it can be generated by exchanging the secret key or by deriving the public key and the secret key (for example, the Diffie-Hellman method).
【0041】パケット転送の幾つかの例について説明す
る。なお、前述のようにゲートウェイは通過許可リスト
を参照してパケットの通過を許諾するか拒否するかを決
定するとともに、認証コードを検査してパケットの通過
を許諾するか拒否するかを決定するが(上記の両方を満
たすことが通過条件となる)、以下では、通過許可リス
トに関する条件は満たすものとし、通過許可リストに関
する記載は省略する。Several examples of packet transfer will be described. As described above, the gateway refers to the passage permission list to determine whether to permit or deny the passage of the packet, and also inspects the authentication code to determine whether to permit or deny the passage of the packet. (It is a passing condition that both of the above are satisfied). However, in the following, the condition regarding the passing permission list is satisfied, and the description regarding the passing permission list is omitted.
【0042】まず、移動計算機2がゲートウェイGWに
保護されるネットワークに移動した場合において、ホー
ムネットワーク1a内の通信相手3にパケットを送信す
る際の処理の流れを図3を参照しながら説明する。ここ
では、図3(a)においてGW(N)はホームネットワ
ーク1aのゲートウェイ4a、GW1は図示しない移動
先ネットワークのゲートウェイ、GW2〜GW(N−
1)は図示しない経路途中のゲートウェイを示すものと
する。ここで、経路上の各ゲートウェイGWは互いに折
衝のための認証鍵情報を交換しているとする。また、各
ゲートウェイGWは自身がセキュリティを保って通信で
きる相手ノードのアドレス範囲を知っているものと仮定
する。First, when the mobile computer 2 moves to a network protected by the gateway GW, the flow of processing when transmitting a packet to the communication partner 3 in the home network 1a will be described with reference to FIG. Here, in FIG. 3A, GW (N) is a gateway 4a of the home network 1a, GW1 is a gateway of a destination network (not shown), and GW2 to GW (N-.
1) indicates a gateway (not shown) in the middle of the route. Here, it is assumed that the gateways GW on the route are exchanging authentication key information for negotiation with each other. It is also assumed that each gateway GW knows the address range of the partner node with which it can communicate with security.
【0043】移動計算機2は、移動先ネットに再接続さ
れた時点では、全く周囲のネットワーク環境に関して認
識しておらず、まず、図3(b)のように通信相手に向
けて平文のパケット(図2(a)の形式)を送信する。
これを受けたゲートウェイGW1は、パケットにゲート
ウェイGW1を通過するために必要な折衝コードが付加
されていないので、エラーメッセージを移動計算機2に
返す。At the time of reconnection to the destination net, the mobile computer 2 has no knowledge of the surrounding network environment. First, as shown in FIG. 3B, a plaintext packet ( 2 (a) format) is transmitted.
Receiving this, the gateway GW1 returns an error message to the mobile computer 2 because the negotiation code necessary for passing through the gateway GW1 is not added to the packet.
【0044】次に、移動計算機2とゲートウェイGW1
の間で必要な鍵情報の交換が行われ、経路間の折衝コー
ドが計算される。経路間の折衝コードをN(M,1)で
示す。なお、折衝コードにおいてMは移動計算機を示
し、1〜Nまでの値はGWの次の値を示す)。Next, the mobile computer 2 and the gateway GW1
Necessary key information is exchanged between the two, and the negotiation code between the routes is calculated. The negotiation code between the routes is indicated by N (M, 1). In the negotiation code, M represents a mobile computer, and the values 1 to N represent the values next to the GW).
【0045】次に、図3(c)のように、移動計算機2
から内部パケットを暗号化し折衝コードN(M,1)を
付加したパケット(図2(b)の形式)がゲートウェイ
GW1に送信されると、今度はゲートウェイGW1を通
過できる。これ以降、ゲートウェイGW2〜ゲートウェ
イGW(N−1)までは予め設定された情報を元にパケ
ットが転送される。すなわち、ゲートウェイGW1は、
パケットの暗号化認証における終端であるゲートウェイ
GW(N)との間の終端同士の折衝コードE(M,N)
をパケットに付加し、さらに次段ゲートウェイGW2と
の間の経路間の折衝コードN(1,2)を付加して、こ
のパケット(図2(c)の形式)を転送する。ゲートウ
ェイGW2は、前段ゲートウェイGW1との間の折衝コ
ードN(1,2)を検査した上で取り除き、代わりに次
段ゲートウェイGW3との間の経路間の折衝コードN
(2,3)を付加し、また終端同士の折衝コードは既に
付加されているので終端同士の折衝コードに関する処理
は何もせずに、次段ゲートウェイGW3にパケットを転
送する。以降、同様にしてパケットは次々とゲートウェ
イ間を転送され、最後にゲートウェイGW(N)に、経
路間の折衝コードN(N−1,N)と終端同士の折衝コ
ードE(M,N)の付加されたパケットが到達する。Next, as shown in FIG. 3C, the mobile computer 2
When the packet (the format of FIG. 2B) in which the internal packet is encrypted and the negotiation code N (M, 1) is added is transmitted to the gateway GW1, it can pass through the gateway GW1 this time. After that, the packets are transferred from the gateway GW2 to the gateway GW (N-1) based on the preset information. That is, the gateway GW1
End-to-end negotiation code E (M, N) with gateway GW (N), which is the end in packet encryption authentication.
Is added to the packet, the negotiation code N (1, 2) between the routes to the next-stage gateway GW2 is added, and this packet (the format of FIG. 2C) is transferred. The gateway GW2 inspects the negotiation code N (1,2) with the preceding-stage gateway GW1 and removes it, and instead, negotiates the negotiation code N between the paths with the next-stage gateway GW3.
Since (2, 3) is added and the negotiation code between the ends is already added, the packet is transferred to the next-stage gateway GW3 without performing any processing regarding the negotiation code between the ends. Thereafter, in the same manner, packets are transferred between the gateways one after another, and finally, the gateway GW (N) receives the negotiation code N (N-1, N) between the routes and the negotiation code E (M, N) between the ends. The added packet arrives.
【0046】パケットがゲートウェイGW(N)に到達
すると、ゲートウェイGW(N)は前段のゲートウェイ
GW(N−1)との折衝メッセージを検査した上で、中
のパケットを取り出す。次に、終端同士の折衝コードを
検査すると、移動計算機2とゲートウェイGW(N)と
の終端同士の折衝コードが付加されていないので、ここ
で再度エラーとなる。そして、ゲートウェイGW(N)
は、図3(c)のように、終端同士の折衝コードに必要
な情報を含んだエラーメッセージを返送する。When the packet reaches the gateway GW (N), the gateway GW (N) inspects the negotiation message with the gateway GW (N-1) in the preceding stage, and then extracts the packet inside. Next, when the negotiation code between the ends is checked, the negotiation code between the ends of the mobile computer 2 and the gateway GW (N) is not added, so an error occurs again here. And the gateway GW (N)
Returns an error message containing information necessary for the negotiation code between the terminals, as shown in FIG.
【0047】エラーメッセージを受信した移動計算機2
では、今度は、終端同士の折衝コードに必要な情報から
ゲートウェイGW(N)との間の終端同士の折衝コード
E(M,N)を計算することができる。Mobile computer 2 that received the error message
Then, this time, the negotiation code E (M, N) between the terminals with the gateway GW (N) can be calculated from the information necessary for the negotiation code between the terminals.
【0048】しかして、移動計算機2は、図3(d)の
ように、ゲートウェイGW(N)との間の終端同士の折
衝コードE(M,N)と次段ゲートウェイGW2との間
の経路間の折衝コードN(1,2)を付加してパケット
(図2(c)の形式)を再送信すれば、ゲートウェイG
W2〜GW(N−1)にて経路間の折衝コードが付け替
えられ、次々とパケット転送が行われて、今度は正しく
パケットをゲートウェイGW(N)に到達させることが
できる。Thus, the mobile computer 2, as shown in FIG. 3D, is a route between the negotiation code E (M, N) between the end points with the gateway GW (N) and the next-stage gateway GW2. If the packet (the format of FIG. 2 (c)) with the negotiation code N (1,2) added is retransmitted, the gateway G
Negotiation codes between the routes are exchanged at W2 to GW (N-1), packets are transferred one after another, and the packet can now correctly reach the gateway GW (N).
【0049】そして、ゲートウェイGW(N)では、終
端同士の折衝コードE(M,N)と前段ゲートウェイG
W(N−1)との間の経路間の折衝コードN(N−1,
N)を検査した上でこれらを取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。In the gateway GW (N), the negotiation code E (M, N) between the end points and the preceding-stage gateway G
W (N-1) and negotiation code N (N-1,
N) is inspected and then these are removed, and the internal packet (the format of FIG. 2A) is decoded and the destination computer (CH) 3
Transfer to.
【0050】次に、図4を参照しながら、移動計算機2
が特定のゲートウェイGWに保護される組織に属さない
位置に移動した場合において、通信相手3(図4ではネ
ットワーク1e内)にパケットを送信する際の処理の流
れにつて説明する。Next, referring to FIG. 4, the mobile computer 2
A description will be given of the flow of processing when a packet is transmitted to the communication partner 3 (in the network 1e in FIG. 4) when the packet has moved to a position that does not belong to the organization protected by the specific gateway GW.
【0051】この場合、移動計算機2は移動先から自身
が安全に通信できるゲートウェイGWのうちの少なくと
も1つに対し、セキュリティを保った通信ができるよう
に予め設定されていなくてはならない。すなわち、図4
では、ネットワーク1aが移動計算機のホームネットワ
ークで、ネットワーク1d,1eがホームとセキュリテ
ィを保って通信できるネットワークであるとする。この
場合、移動計算機2に対して、ゲートウェイ4a、ゲー
トウェイ4d、ゲートウェイ4eのうち少なくとも1つ
との間でセキュリティを保った通信ができるために必要
な情報を搭載しておく。In this case, the mobile computer 2 must be preset to enable secure communication from the destination to at least one of the gateways GW with which the mobile computer 2 can communicate safely. That is, FIG.
Then, it is assumed that the network 1a is the home network of the mobile computer and the networks 1d and 1e are networks capable of communicating with the home while maintaining security. In this case, the mobile computer 2 is loaded with the information necessary for secure communication with at least one of the gateway 4a, the gateway 4d, and the gateway 4e.
【0052】移動計算機2は、このゲートウェイGW
(例えばゲートウェイ4dと仮定する)に図2(b)に
示す暗号化/末端認証形式でパケットを送信する。ゲー
トウェイ4dはこれを解釈し、最終的な宛先まで、図3
の手順と同様に経路間認証を含めパケットを転送してい
く(ゲートウェイ4dが図3(a)のGW1に相当し、
ゲートウェイ4eが図3(a)のGW(N)に相当す
る)。The mobile computer 2 uses this gateway GW.
A packet is transmitted in the encrypted / end-point authentication format shown in FIG. 2B to (for example, the gateway 4d). The gateway 4d interprets this and, until the final destination, see FIG.
Packets including inter-route authentication are transferred in the same manner as the procedure of (the gateway 4d corresponds to the GW 1 of FIG. 3A,
The gateway 4e corresponds to GW (N) in FIG.
【0053】さて、これまでは、全てのゲートウェイG
Wが互いに必要なセキュリティ情報を交換しているとい
う仮定で説明してきた。しかし、一般的には、セキュリ
ティ情報を交換しないゲートウェイGWが存在すること
がある。Up to now, all gateways G
It has been described on the assumption that W are exchanging the necessary security information with each other. However, in general, there may be a gateway GW that does not exchange security information.
【0054】そのようなセキュリティ的に隔絶されたネ
ットワークに移動計算機2が移動した場合の例を図5に
示す。図5(a)において、他部署ネットを図1のネッ
トワーク1b、宛先ネットをホームネットワーク1aと
し、GW(N)はホームネットワーク1aのゲートウェ
イ4a、GW1はネットワーク1bのゲートウェイ4b
を示すものとする。ここで、移動計算機2が移動したネ
ットワーク1bのゲートウェイGW1は、移動計算機が
本来属していたホームネットワーク1aとセキュリティ
情報の交換をしていないと仮定する。また、移動計算機
2は、自装置がセキュリティを保持して通信可能なアド
レス範囲の情報を持つものとする。FIG. 5 shows an example where the mobile computer 2 moves to such a security isolated network. In FIG. 5A, the other department net is the network 1b of FIG. 1, the destination net is the home network 1a, the GW (N) is the gateway 4a of the home network 1a, and the GW1 is the gateway 4b of the network 1b.
Shall be indicated. Here, it is assumed that the gateway GW1 of the network 1b to which the mobile computer 2 has moved has not exchanged security information with the home network 1a to which the mobile computer originally belonged. In addition, the mobile computer 2 has information on an address range in which the mobile computer 2 can maintain communication with security.
【0055】まず、移動計算機2は、図4の場合と同
様、ホームネットワーク1aの入口にあるゲートウェイ
GW(N)に対して、図5(b)のように内部パケット
を暗号化し折衝コードE(M,N)を付加したパケット
(図2(b)の形式)を送信する。このパケットが移動
先のゲートウェイGW1に達すると、ゲートウェイGW
1では、パケットにゲートウェイGW1を通過するため
に必要な折衝コードが付加されていないので、エラーメ
ッセージを返信する。First, as in the case of FIG. 4, the mobile computer 2 encrypts the internal packet to the gateway GW (N) at the entrance of the home network 1a as shown in FIG. 5 (b) and negotiates the negotiation code E ( A packet (M, N) added (format shown in FIG. 2B) is transmitted. When this packet reaches the destination gateway GW1, the gateway GW1
In No. 1, since the negotiation code necessary for passing through the gateway GW1 is not added to the packet, an error message is returned.
【0056】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。Here, the error message includes the address information of the gateway GW1, and the mobile computer 2
From this address and the address range information that can be communicated while maintaining its own security, it can be seen that this error message is from a gateway that has not exchanged security information in advance. Therefore, it is necessary to add the negotiation code for the gateway GW1 to the packet and transmit the packet.
【0057】しかして、移動計算機2はゲートウェイG
W1との間で必要な鍵情報の交換を行って経路間の折衝
コードを計算し、図5(c)(図7(a))のように、
ゲートウェイGW(N)に対するパケットの外側に該折
衝コードN(M,1)をさらに付加してパケット(図2
(c)の形式)を送信する。Then, the mobile computer 2 uses the gateway G
Necessary key information is exchanged with W1 to calculate a negotiation code between routes, and as shown in FIG. 5 (c) (FIG. 7 (a)),
The negotiation code N (M, 1) is further added to the outside of the packet for the gateway GW (N), and the packet (FIG. 2) is added.
(Format of (c)) is transmitted.
【0058】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケット(図2(b)
の形式)を転送する。Gateway GW1 which received this packet
Examines the negotiation code N (M, 1) and removes it,
Internal gateway GW (N) addressed packet (Fig. 2 (b))
Format).
【0059】なお、ここでは、ゲートウェイGWは、セ
キュリティ情報を交換しない移動計算機については、そ
の移動計算機が一定の条件を満たす場合には、鍵情報の
交換に応じてパケットの外部への転送をサポートする
が、その後の経路間の折衝コードによる暗号化/認証は
サポートしないものとする。It should be noted that here, for the mobile computer which does not exchange security information, the gateway GW supports the transfer of the packet to the outside according to the exchange of the key information when the mobile computer satisfies a certain condition. However, the encryption / authentication by the negotiation code between the routes thereafter is not supported.
【0060】このパケットを受けたゲートウェイGW
(N)は、終端同士の折衝コードE(M,N)を検査し
た上で取り除き、内部のパケット(図2(a)の形式)
を復号して宛先計算機(CH)3に転送する。Gateway GW receiving this packet
(N) inspects the negotiation code E (M, N) between the ends and then removes it, and an internal packet (format of FIG. 2A).
Is decrypted and transferred to the destination computer (CH) 3.
【0061】次に、図5において、移動計算機2〜ゲー
トウェイGW1間および/またはゲートウェイGW1〜
ゲートウェイGW(N)間および/またはゲートウェイ
GW(N)〜通信相手3間に別のゲートウェイGWが存
在する場合について説明する。ここでは、図6(a)に
示すように、移動計算機2〜ゲートウェイGW1間にゲ
ートウェイGW(P)が、ゲートウェイGW1の後段に
ゲートウェイGW(Q)が、ゲートウェイGW(N)の
後段にゲートウェイGW(S)がそれぞれ存在する場合
について説明する。Next, in FIG. 5, between the mobile computer 2 and the gateway GW1 and / or the gateway GW1.
A case where another gateway GW exists between the gateways GW (N) and / or between the gateway GW (N) and the communication partner 3 will be described. Here, as shown in FIG. 6A, the gateway GW (P) is located between the mobile computer 2 and the gateway GW1, the gateway GW (Q) is located downstream of the gateway GW1, and the gateway GW is located downstream of the gateway GW (N). The case where (S) is present will be described.
【0062】(i)まず、移動計算機2は、図5の場合
と同様、ホームネットワーク1aの入口にあるゲートウ
ェイGW(N)に対して、内部パケットを暗号化し折衝
コードE(M,N)を付加したパケット(図2(b)の
形式)を送信する。(I) First, as in the case of FIG. 5, the mobile computer 2 encrypts the internal packet and sets the negotiation code E (M, N) to the gateway GW (N) at the entrance of the home network 1a. The added packet (format of FIG. 2B) is transmitted.
【0063】このパケットがゲートウェイGW(P)に
達すると、ゲートウェイGW(P)では、パケットにゲ
ートウェイGW(P)を通過するために必要な折衝コー
ドが付加されていないので、エラーメッセージを返信す
る(図6(b))。When this packet reaches the gateway GW (P), the gateway GW (P) does not add the negotiation code necessary for passing through the gateway GW (P), and returns an error message. (FIG.6 (b)).
【0064】ここでエラーメッセージには、ゲートウェ
イGW(P)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(P)に対する折衝コード
を付加して送信することが必要になる。Here, the error message includes the address information of the gateway GW (P), and the mobile computer 2 uses this address and the address range information that it can carry out communication while maintaining its own security. It can be seen that this error message comes from a gateway that has not previously exchanged security information. Therefore,
It is necessary to add a negotiation code for the gateway GW (P) to the packet and transmit the packet.
【0065】(ii)移動計算機2はゲートウェイGW
(P)との間で必要な鍵情報の交換を行って経路間の折
衝コードを計算し、ゲートウェイGW(N)に対するパ
ケットの外側に該折衝コードN(M,P)をさらに付加
してパケット(図2(c)の形式)を送信する。(Ii) The mobile computer 2 is the gateway GW
Necessary key information is exchanged with (P) to calculate a negotiation code between routes, and the negotiation code N (M, P) is further added to the outside of the packet for the gateway GW (N). (The format of FIG. 2C) is transmitted.
【0066】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケット(図2
(b)の形式)を転送する。Gateway GW receiving this packet
(P) inspects the negotiation code N (M, P) and then removes it, and the packet addressed to the internal gateway GW (N) (see FIG. 2).
(B) format) is transferred.
【0067】このパケットがゲートウェイGW1に達す
ると、ゲートウェイGW1では、パケットにゲートウェ
イGW1を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。When this packet reaches the gateway GW1, since the negotiation code necessary for passing through the gateway GW1 is not added to the packet in the gateway GW1, an error message is returned (FIG. 6).
(B)).
【0068】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。Here, the error message includes the address information of the gateway GW1, and the mobile computer 2
From this address and the address range information that can be communicated while maintaining its own security, it can be seen that this error message is from a gateway that has not exchanged security information in advance. Therefore, it is necessary to add the negotiation code for the gateway GW1 to the packet and transmit the packet.
【0069】(iii )移動計算機2はゲートウェイGW
1との間で必要な鍵情報の交換を行って経路間の折衝コ
ードN(M,1)を計算し、ゲートウェイGW(N)に
対するパケットの外側に、折衝コードN(M,P)と折
衝コードN(M,1)を付加してパケットを送信する。(Iii) The mobile computer 2 is the gateway GW
Necessary key information is exchanged with 1 to calculate the negotiation code N (M, 1) between the routes, and the negotiation code N (M, P) is negotiated outside the packet to the gateway GW (N). The code N (M, 1) is added and the packet is transmitted.
【0070】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)の付加されたゲートウェ
イGW(N)宛パケットを転送する。Gateway GW receiving this packet
(P) inspects the negotiation code N (M, P), removes it, and transfers the packet addressed to the gateway GW (N) to which the negotiation code N (M, 1) is added.
【0071】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケットを転送する。
このパケットがゲートウェイGW(Q)に達すると、ゲ
ートウェイGW(Q)では、パケットにゲートウェイG
W(Q)を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。Gateway GW1 which received this packet
Examines the negotiation code N (M, 1) and removes it,
The packet addressed to the internal gateway GW (N) is transferred.
When this packet reaches the gateway GW (Q), the gateway GW (Q) adds the packet to the gateway G.
Since the negotiation code necessary for passing through W (Q) is not added, an error message is returned (Fig. 6).
(B)).
【0072】ここでエラーメッセージには、ゲートウェ
イGW(Q)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(Q)に対する折衝コード
を付加して送信することが必要になる。Here, the error message includes the address information of the gateway GW (Q), and the mobile computer 2 uses this address and the address range information that it can carry out communication while holding the security. It can be seen that this error message comes from a gateway that has not previously exchanged security information. Therefore,
It is necessary to add a negotiation code for the gateway GW (Q) to the packet and transmit the packet.
【0073】(iv)移動計算機2はゲートウェイGW
(Q)との間で必要な鍵情報の交換を行って経路間の折
衝コードN(M,Q)を計算し、図7(b)に示すよう
に、ゲートウェイGW(N)に対するパケットの外側に
折衝コードN(M,P)と折衝コードN(M,1)と折
衝コードN(M,Q)を付加してパケットを送信する
(図6(c))。(Iv) The mobile computer 2 is the gateway GW
Necessary key information is exchanged with (Q) to calculate the negotiation code N (M, Q) between routes, and as shown in FIG. 7B, outside the packet for the gateway GW (N). The negotiation code N (M, P), the negotiation code N (M, 1) and the negotiation code N (M, Q) are added to the packet and the packet is transmitted (FIG. 6 (c)).
【0074】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)の付加されたゲートウェイGW(N)宛パケットを
転送する(図6(c))。Gateway GW receiving this packet
For (P), the negotiation code N (M, P) is inspected and then removed, and the negotiation code N (M, 1) and the negotiation code N (M, P).
The packet addressed to the gateway GW (N) to which Q) is added is transferred (FIG. 6 (c)).
【0075】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)の付加されたゲートウェイGW
(N)宛パケットを転送する。Gateway GW1 which received this packet
Examines the negotiation code N (M, 1) and removes it,
Gateway GW with negotiation code N (M, Q) added
(N) Transfer the addressed packet.
【0076】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する(図6(c))。Gateway GW that received this packet
(Q) inspects the negotiation code N (M, Q) and then removes it, and transfers the packet addressed to the internal gateway GW (N) (FIG. 6 (c)).
【0077】このように、ゲートウェイGW(P)、ゲ
ートウェイGW1、ゲートウェイGW(Q)について
は、図5の場合と同様の経路認証に基づく折衝メッセー
ジを、移動計算機2にエラーメッセージを返した、
GW(P)→GW1→GW(Q)
の順に、外側から順に付与していき(これらGWのエラ
ーメッセージに付与されるGWのアドレス情報が、移動
計算機2の持つセキュリティ保持アドレス情報に合致し
ていないため)、図6(c)に示すようなデータパケッ
トを送信することにより、ゲートウェイGW(N)宛パ
ケットをゲートウェイGW(Q)を通過させることがで
きる。As described above, for the gateway GW (P), the gateway GW1, and the gateway GW (Q), the negotiation message based on the route authentication similar to the case of FIG. 5 and the error message to the mobile computer 2 are returned. (P) → GW1 → GW (Q) are sequentially assigned from the outside (the GW address information given to these GW error messages does not match the security retention address information of the mobile computer 2). Therefore, the packet addressed to the gateway GW (N) can be passed through the gateway GW (Q) by transmitting the data packet as shown in FIG. 6 (c).
【0078】さて、ゲートウェイGW(Q)を通過した
該パケットがゲートウェイGW(N)に到達すると、ゲ
ートウェイGW(N)では、終端同士の折衝コードE
(M,N)を検査した上で取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。Now, when the packet having passed through the gateway GW (Q) reaches the gateway GW (N), the gateway GW (N) negotiates the negotiation code E between the terminals.
(M, N) is inspected and then removed, and the internal packet (the format of FIG. 2A) is decoded and the destination computer (CH) 3
Transfer to.
【0079】パケットがゲートウェイGW(S)に到達
すると、ゲートウェイGW(S)では、移動計算機2と
ゲートウェイGW(S)との終端同士の折衝コードが付
加されていないので、ここで再度エラーとなる。そし
て、ゲートウェイGW(S)は、図6(c)のように、
エラーメッセージを返送する。When the packet reaches the gateway GW (S), the gateway GW (S) does not add the negotiation code between the ends of the mobile computer 2 and the gateway GW (S). . Then, the gateway GW (S), as shown in FIG.
Returns an error message.
【0080】移動計算機2は、自身が保持するセキュリ
ティを保持して通信可能なアドレス範囲情報から、ゲー
トウェイGW(S)がホームネットとセキュリティを保
持するアドレス領域にいることが判別できる。The mobile computer 2 can determine that the gateway GW (S) is in the address area where security is held with the home network from the address range information which the mobile computer 2 can hold and communicate with while maintaining security.
【0081】そのようなゲートウェイGWからのエラー
メッセージを受け取った場合は、移動計算機2は、エラ
ーメッセージを返したゲートウェイGW(この場合、G
W(S))との間で終端同士の認証を行うようにし、そ
れまで終端認証を行っていたゲートウェイGW(この場
合、GW(N))とは経路間認証を行うようにパケット
形式を変更する。この変更したパケット形式を図7
(c)に示す。When an error message is received from such a gateway GW, the mobile computer 2 returns the error message to the gateway GW (in this case, G
The end-to-end authentication with W (S) is performed, and the packet format is changed to perform inter-route authentication with the gateway GW (in this case, GW (N)) that has performed end authentication until then. To do. This modified packet format is shown in Figure 7.
It shows in (c).
【0082】(v)移動計算機2は、図7(c)に示す
ように、内部パケットを暗号化し認証コードE(M,
S)を付加したゲートウェイGW(S)に対するパケッ
トの外側に、折衝コードN(M,P)と折衝コードN
(M,1)と折衝コードN(M,Q)と折衝コードN
(M,N)を付加してパケットを送信する(図6
(d))。(V) As shown in FIG. 7C, the mobile computer 2 encrypts the internal packet and authenticates the authentication code E (M,
S) is added to the outside of the packet for the gateway GW (S), the negotiation code N (M, P) and the negotiation code N
(M, 1) and negotiation code N (M, Q) and negotiation code N
A packet is transmitted with (M, N) added (see FIG. 6).
(D)).
【0083】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)と折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。Gateway GW receiving this packet
For (P), the negotiation code N (M, P) is inspected and then removed, and the negotiation code N (M, 1) and the negotiation code N (M, P).
The packet addressed to the gateway GW (N) to which Q) and the negotiation code N (M, N) are added is transferred.
【0084】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)と折衝コードN(M,N)の付
加されたゲートウェイGW(N)宛パケットを転送す
る。Gateway GW1 receiving this packet
Examines the negotiation code N (M, 1) and removes it,
The packet addressed to the gateway GW (N) to which the negotiation code N (M, Q) and the negotiation code N (M, N) are added is transferred.
【0085】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。Gateway GW receiving this packet
(Q) inspects and removes the negotiation code N (M, Q), and transfers the packet addressed to the gateway GW (N) to which the negotiation code N (M, N) is added.
【0086】このパケットを受けたゲートウェイGW
(N)は、折衝コードN(M,N)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する。そして、ゲートウェイGW(S)では、終端同士
の折衝コードE(M,S)を検査した上で取り除き、内
部のパケット(図2(a)の形式)を復号して宛先計算
機(CH)3に転送する。Gateway GW that received this packet
(N) inspects the negotiation code N (M, N) and then removes it, and transfers the packet addressed to the internal gateway GW (N). Then, the gateway GW (S) inspects and negates the negotiation code E (M, S) between the terminals, decodes the internal packet (the format of FIG. 2A), and sends it to the destination computer (CH) 3. Forward.
【0087】ところで、各ゲートウェイGWとの折衝コ
ードには、移動計算機2とゲートウェイGW間で共有さ
れた鍵情報よび内部パケットの所定部分(全部または一
部)の内容から計算された一方向ハッシュ関数などの認
証コード(移動計算機識別子)を使用することができ、
また一度経路途中のゲートウェイGWから通過拒否メッ
セージ(エラーメッセージ)が返信された場合には、そ
のゲートウェイGWに移動計算機識別子に対する鍵情報
を求めるメッセージを送信し、返送された鍵情報を使
い、再度、移動計算機の認証コードを計算して折衝メッ
セージとして第2のメッセージに付加して送信すること
ができる。By the way, the negotiation code with each gateway GW is a one-way hash function calculated from the key information shared between the mobile computer 2 and the gateway GW and the contents of a predetermined part (all or part) of the internal packet. You can use an authentication code (mobile computer identifier) such as
Also, once a passage refusal message (error message) is returned from the gateway GW in the middle of the route, a message requesting key information for the mobile computer identifier is sent to the gateway GW, the returned key information is used, and The authentication code of the mobile computer can be calculated and added as a negotiation message to the second message and transmitted.
【0088】例えば、第1のメッセージとして図8の登
録メッセージ(registration reque
st)を送信したとする。このメッセージを途中のゲー
トウェイGWが拒絶し、図9の通過拒否メッセージ(f
ailure message)を返したとする。この
場合は、通過拒否メッセージに入っているゲートウェイ
GWのアドレスを用いて、鍵の問い合わせメッセージ
(Key request)を図10のように生成す
る。For example, the registration message (registration request) of FIG. 8 is used as the first message.
st) is transmitted. This message is rejected by the gateway GW on the way, and the passage refusal message (f
It is assumed that an email message) has been returned. In this case, a key inquiry message (Key request) is generated as shown in FIG. 10 using the address of the gateway GW included in the passage refusal message.
【0089】この要求に対し、ゲートウェイから返送さ
れる図11の鍵応答メッセージ(Key reply)
によりゲートウェイGWと移動計算機で共有する鍵が得
られたら、第2のメッセージとして図12の登録メッセ
ージを送信する。In response to this request, the key reply message (Key reply) of FIG. 11 returned from the gateway.
When the key shared by the gateway GW and the mobile computer is obtained by, the registration message of FIG. 12 is transmitted as the second message.
【0090】このメッセージは上記の通過拒否メッセー
ジを返送したゲートウェイ宛てでかつこのメッセージに
はそのゲートウェイに対する認証コードAHが付与され
ているので、そのゲートウェイは認証処理を行い、これ
に成功すればメッセージは通過できる。なお、KEYは
両者で共有する鍵情報を含むヘッダである。Since this message is addressed to the gateway that returned the above passage refusal message and the authentication code AH for this gateway is added to this message, that gateway performs the authentication process, and if this succeeds, the message is Can pass KEY is a header containing key information shared by both parties.
【0091】以上のように、本実施形態では、移動計算
機が本来属するホームネットワークとセキュリティ的な
関連を持たない移動先ネットワークに移動し、折衝コー
ドによる経路確定を行う場合、エラーメッセージに含ま
れるゲートウェイのアドレス情報を基に、適切な折衝コ
ード付与方式でのパケットの整形が可能で、移動計算機
がどこに移動しても、また経路上にどのようにゲートウ
ェイが配置されていても、正しい移動計算機発のパケッ
ト処理が可能となる。As described above, in the present embodiment, when the mobile computer moves to the destination network that does not have a security relation with the home network to which the mobile computer originally belongs and the route is determined by the negotiation code, the gateway included in the error message. Packets can be shaped by an appropriate negotiation code attachment method based on the address information of the mobile computer, and no matter where the mobile computer moves or how the gateway is arranged on the route, the correct mobile computer is generated. Packet processing is possible.
【0092】なお、本発明は、RFC2002に示され
る移動IPだけでなく、他の様々な移動通信プロトコル
に対しても適用可能である。また、本実施形態で示した
暗号化処理や認証処理以外の方法も使用可能である。The present invention can be applied not only to the mobile IP shown in RFC2002, but also to various other mobile communication protocols. Further, methods other than the encryption processing and the authentication processing shown in this embodiment can also be used.
【0093】なお、以上の各機能は、ソフトウェアとし
ても実現可能である。また、上記した各手順あるいは手
段をコンピュータに実行させるためのプログラムを記録
した機械読取り可能な媒体として実施することもでき
る。本発明は、上述した実施の形態に限定されるもので
はなく、その技術的範囲において種々変形して実施する
ことができる。Each of the above functions can be realized as software. It is also possible to implement it as a machine-readable medium in which a program for causing a computer to execute the above-mentioned procedures or means is recorded. The present invention is not limited to the above-described embodiments, but can be implemented with various modifications within the technical scope thereof.
【0094】[0094]
【発明の効果】本発明によれば、移動計算機が移動先か
ら送出したデータパケットが経路途中のパケット中継装
置により通過拒否された旨のメッセージが返信された場
合に、その返信メッセージから、通過拒否を行ったパケ
ット中継装置のネットワーク上の位置を求め、それに従
って適切な折衝メッセージコードを付加することによ
り、移動計算機がネットワーク上のどこに移動しても、
安全な通信を行うことが可能となる。According to the present invention, when a message indicating that the data packet sent from the destination by the mobile computer from the destination is rejected by the packet relay device on the route, the message is rejected from the reply message. No matter where the mobile computer moves on the network, by finding the position of the packet relay device on the network and adding an appropriate negotiation message code accordingly.
It becomes possible to perform secure communication.
【図1】本発明の一実施形態に係る通信システムの基本
構成の一例を示す図FIG. 1 is a diagram showing an example of a basic configuration of a communication system according to an embodiment of the present invention.
【図2】パケット形式の例を示す図FIG. 2 is a diagram showing an example of a packet format.
【図3】通信手順を説明するための図FIG. 3 is a diagram for explaining a communication procedure.
【図4】通信手順を説明するための図FIG. 4 is a diagram for explaining a communication procedure.
【図5】通信手順を説明するための図FIG. 5 is a diagram for explaining a communication procedure.
【図6】通信手順を説明するための図FIG. 6 is a diagram for explaining a communication procedure.
【図7】パケット形式の例を示す図FIG. 7 is a diagram showing an example of a packet format.
【図8】登録メッセージの形式の例を示す図FIG. 8 is a diagram showing an example of a format of a registration message.
【図9】通過拒否メッセージの形式の例を示す図FIG. 9 is a diagram showing an example of a format of a passage refusal message.
【図10】鍵の問い合わせメッセージの形式の例を示す
図FIG. 10 is a diagram showing an example of a format of a key inquiry message.
【図11】鍵応答メッセージの形式の例を示す図FIG. 11 is a diagram showing an example of a format of a key response message.
【図12】登録メッセージの形式の例を示す図FIG. 12 is a diagram showing an example of a format of a registration message.
1a、1b,1c,1d,1e…ネットワーク 2…移動計算機 3…通信相手ホスト 4a,4b,4c,4d,4e…パケット中継装置 5a,5b,5c…ホームエージェント 6…インターネット 1a, 1b, 1c, 1d, 1e ... Network 2 ... Mobile calculator 3 ... Communication host 4a, 4b, 4c, 4d, 4e ... Packet relay device 5a, 5b, 5c ... Home agent 6 ... Internet
───────────────────────────────────────────────────── フロントページの続き (72)発明者 津田 悦幸 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝研究開発センター内 (72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝研究開発センター内 (56)参考文献 特開 平4−138740(JP,A) 特開 昭59−62245(JP,A) 特開 平10−243012(JP,A) 特開 平10−136014(JP,A) 特開 平6−209313(JP,A) 特開 平9−261265(JP,A) 特開 平9−293052(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 12/00 - 12/28 H04L 12/44 - 12/66 ─────────────────────────────────────────────────── ─── Continuation of the front page (72) Inventor Etsuyuki Tsuda 1 Komukai Toshiba Town, Komukai-ku, Kawasaki City, Kanagawa Prefecture, Research & Development Center, Toshiba Corp. (72) Toshio Okamoto Toshiba, Komukai-shi, Kawasaki City, Kanagawa Machi No. 1 in Toshiba Research and Development Center Co., Ltd. (56) Reference JP-A-4-138740 (JP, A) JP-A-59-62245 (JP, A) JP-A-10-243012 (JP, A) JP 10-136014 (JP, A) JP-A-6-209313 (JP, A) JP-A-9-261265 (JP, A) JP-A-9-293052 (JP, A) (58) Fields investigated (Int .Cl. 7 , DB name) H04L 12/00-12/28 H04L 12/44-12/66
Claims (11)
て通信を行うことが可能な移動計算機装置であって、 自装置が移動前に属していたネットワークからセキュリ
ティ関係を保って通信できる通信相手のアドレスの範囲
を示すアドレス範囲情報を保持する記憶手段と、 自装置が現在位置するネットワークから、自装置の属し
ていたネットワーク内の宛先計算機に、自装置の属して
いたネットワークの入口に設置された第1の中継装置に
対する第1の折衝情報を付加して送信データを送信する
第1の送信手段と、 前記宛先計算機に至る経路途中に設置された第2の中継
装置から、前記送信データに対する通信拒否メッセージ
が返信された場合、該第2の中継装置のアドレス情報
と、前記記憶手段に保持されるアドレス範囲情報とを照
合する手段と、前記照合により前記アドレス情報が前記アドレス情報範
囲に含まれない場合は前記第1の折衝情報の前に前記第
2の中継装置に対する第2の折衝情報を付加し、前記ア
ドレス情報が前記アドレス情報範囲に含まれる場合は前
記第1の折衝情報の後に前記第2の折衝情報を付加して
前記送信データを再送信する第2の送信手段と を備えた
ことを特徴とする移動計算機装置。1. A mobile computer device capable of moving and communicating between mutually connected networks, the communication partner being capable of communicating in a security relationship from a network to which the own device belongs before moving. Address range information indicating the address range of the device, and from the network where the device is currently located, to the destination computer in the network to which the device belongs, installed at the entrance of the network to which the device belongs. And transmits the transmission data with the first negotiation information added to the first relay device .
When a communication refusal message for the transmission data is returned from the first transmitting means and the second relay device installed on the way to the destination computer, the address information of the second relay device and the Means for collating with the address range information held in the storage means, and the address information by the collation is the address information range.
If it is not included in the range, the first negotiation information is added before the first negotiation information.
The second negotiation information for the second relay device is added, and
Before if the dress information is included in the address information range
The second negotiation information is added after the first negotiation information.
A second transmitting means for retransmitting the transmission data .
セージが返信された場合に、前記第2の中継装置に鍵情
報を要求する要求メッセージを送信する手段と、 前記第2の中継装置から前記鍵情報が返送された場合
に、該返送された鍵情報をもとに前記第2の折衝情報を
生成して前記第2の送信手段に渡す手段とをさらに備え
たことを特徴とする請求項1に記載の移動計算機装置。 2. The communication refusal message from the second relay device.
Means for transmitting a request message requesting key information to the second relay device when a sage is returned , and the returned key when the key information is returned from the second relay device The second negotiation information based on the information
The mobile computer device according to claim 1, further comprising: a unit that generates and passes the number to the second transmitting unit .
置により通過されたと認識された場合、それ以降のデー
タ通信の際にも転送データに前記第2の折衝情報を付加
して送信することを特徴とする請求項1または2に記載
の移動計算機装置。3. When the second transmission data is recognized to have been passed by the second relay device, the second negotiation information is added to the transmission data and the data is transmitted in the subsequent data communication. The mobile computer device according to claim 1 or 2, characterized in that.
分の内容および前記鍵情報をもとに予め定められた関数
を用いて求めた移動計算機識別子であることを特徴とす
る請求項2に記載の移動計算機装置。4. The method of claim 2 wherein the second negotiation information is characterized in that it is a mobile computer identifier was determined using predetermined functions based on the contents and the key information of a predetermined portion of the transfer data The mobile computer device described in.
情報および前記第2の中継装置のアドレス情報を含むも
のであることを特徴とする請求項1ないし4のいずれか
1項に記載の移動計算機装置。5. The mobile computer device according to claim 1, wherein the passage refusal message includes information indicating passage refusal and address information of the second relay device.
情報として、前記第1の中継装置から得たものを用いる
ことを特徴とする請求項1ないし5のいずれか1項に記
載の移動計算機装置。6. The mobile computer device according to claim 1, wherein the address range information stored in the storage means is obtained from the first relay device. .
地点に設置される中継装置であって、 転送データの通過を許可する送信元計算機のアドレスの
範囲を示す情報を含む通過許可リストを保持する記憶手
段と、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスおよび自装置との間で交換す
る正当な折衝情報を含むものである場合は、この折衝情
報を除去して、ネットワーク上の次段の中継装置または
宛先アドレスにデータを転送する手段と、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスまたは自装置との間で交換す
る正当な折衝情報の少なくとも一方を含まないものであ
る場合は、自装置のアドレス情報および通過拒否を示す
情報を含む通過拒否メッセージを、該データの送信元計
算機に返信する手段とを備えたことを特徴とする中継装
置。7. A relay device installed at an arbitrary point on a mutually connected network, which holds a passage permission list including information indicating an address range of a transmission source computer which permits passage of transfer data. And the received data includes the source address corresponding to the one included in the passage permission list and the legitimate negotiation information exchanged with the own device, the negotiation information is removed. , A means for transferring data to the next-stage relay device or destination address on the network, and the source data corresponding to those included in the passage permission list or the legitimate device for exchanging the received data. If it does not include at least one of the negotiation information, a passage refusal message including the address information of the own device and the information indicating the passage refusal is displayed as the deny message. Relay apparatus characterized by comprising a means for returning to the source computer for data.
めるメッセージを受信した場合に、該メッセージを受諾
して該鍵情報を返送するために該メッセージの送信元計
算機が満たすべき条件を示す情報を保持する記憶手段
と、 前記通過拒否メッセージを返信した後に同一の計算機か
ら鍵情報を求めるメッセージを受信した場合、この計算
機が前記条件を満たすと判断されたとき、要求された前
記鍵情報を返送する手段とをさらに備えたことを特徴と
する請求項7に記載の中継装置。8. When the message for requesting the key information for generating the negotiation information is received, it indicates the condition that the sender computer of the message must meet to accept the message and return the key information. When a message for requesting key information is received from the same computer after returning the passage refusal message, a storage unit that retains information, and when the computer determines that the condition is satisfied, the requested key information is returned. The relay device according to claim 7, further comprising a returning unit.
容および前記鍵情報をもとに予め定められた関数を用い
て求めた移動計算機識別子であることを特徴とする請求
項8に記載の中継装置。9. The negotiation information according to claim 8, wherein the negotiation information is a mobile computer identifier obtained by using a predetermined function based on the content of a predetermined portion of transfer data and the key information. Relay device.
して通信を行うことが可能な移動計算機装置におけるデ
ータ転送方法であって、 自装置が現在位置する移動先ネットワークから、自装置
の属していたネットワーク内の宛先計算機に、自装置の
属していたネットワークの入口に設置された第1の中継
装置に対する折衝情報を付加したデータを送信し、 宛先計算機に至る経路途中の第2の中継装置から、前記
送信データに対する通過拒否メッセージが返信された場
合、該第2の中継装置のアドレス情報と、自装置が移動
前に属していたネットワークから、セキュリティ保持関
係を保って通信できる通信相手のアドレスの範囲を示す
アドレス範囲情報とを照合し、 この照合の結果、前記第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものではない場合は、
通過拒否された前記送信データに付加した前記折衝情報
の前に、該第2の中継装置に対する折衝情報を付加し、
該第2の中継装置のアドレス情報が前記アドレス範囲情
報に含まれるものである場合は、通過拒否された前記送
信データに付加した前記折衝情報の後に、該第2の中継
装置に対する折衝情報を付加して、データを再度送信す
ることを特徴とするデータ転送方法。10. A data transfer method in a mobile computer device capable of moving and communicating between mutually connected networks, wherein the device belongs to a network to which the device is currently located. To the destination computer in the network, the data including the negotiation information for the first relay device installed at the entrance of the network to which the device belongs is transmitted, and the second relay device on the way to the destination computer transmits the data. , When the passage refusal message for the transmission data is returned, the address information of the second relay device and the address of the communication partner with which the device to which the device belongs before moving can be maintained in a security maintaining relationship. The address range information indicating the range is collated, and as a result of this collation, the address information of the second relay device is compared with the address range information. If this is not intended to be included,
The negotiation information for the second relay device is added before the negotiation information added to the transmission data whose passage is rejected,
When the address information of the second relay device is included in the address range information, the negotiation information for the second relay device is added after the negotiation information added to the transmission data that has been denied passage. Then, the data transfer method is characterized by transmitting the data again.
の地点に設置される中継装置におけるデータ転送方法で
あって、 転送すべきデータを受信した場合、データの送信元アド
レスが、転送データの通過を許可する送信元計算機のア
ドレスの範囲を示す情報を含む通過許可リストに含まれ
るものであるか否か、およびデータの送信元計算機と自
装置との間で交換する正当な折衝情報を含むものである
か否かを検査し、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスおよび自装置との間で交換す
る正当な折衝情報を含むものである場合は、この折衝情
報を除去して、ネットワーク上の次段の中継装置または
宛先アドレスにデータを転送し、 受信したデータが、前記通過許可リストに含まれるもの
に該当する送信元アドレスまたは自装置との間で交換す
る正当な折衝情報の少なくとも一方を含まないものであ
る場合は、自装置のアドレス情報および通過拒否を示す
情報を含む通過拒否メッセージを、該データの送信元計
算機に返信することを特徴とするデータ転送方法。11. A data transfer method in a relay device installed at an arbitrary point on a mutually connected network, wherein when data to be transferred is received, the source address of the data is the transfer data passage. Whether or not it is included in the passage permission list including the information indicating the range of addresses of the transmission source computer that permits the data, and the legitimate negotiation information exchanged between the data transmission source computer and the own device. If the received data includes the source address corresponding to the one included in the passage permission list and the legitimate negotiation information exchanged with the own device, the negotiation information is removed. Then, the data is transferred to the next-stage relay device or destination address on the network, and the received data corresponds to the one included in the passage permission list. When the data does not include at least one of the sender address and the legitimate negotiation information exchanged with the own device, a passage refusal message including the address information of the own device and the information indicating the passage refusal is transmitted as the data. A data transfer method characterized by sending a reply to the original computer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24310497A JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24310497A JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1188403A JPH1188403A (en) | 1999-03-30 |
| JP3472098B2 true JP3472098B2 (en) | 2003-12-02 |
Family
ID=17098867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24310497A Expired - Fee Related JP3472098B2 (en) | 1997-09-08 | 1997-09-08 | Mobile computer device, relay device, and data transfer method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3472098B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340769B2 (en) * | 2005-01-07 | 2008-03-04 | Cisco Technology, Inc. | System and method for localizing data and devices |
| JP5126258B2 (en) * | 2010-03-15 | 2013-01-23 | 日本電気株式会社 | ACCESS CONTROL SYSTEM, ACCESS CONTROL DEVICE, ACCESS CONTROL METHOD USED FOR THEM, AND PROGRAM THEREOF |
| DE102014112704B3 (en) * | 2014-09-03 | 2015-12-03 | Phoenix Contact Gmbh & Co. Kg | Network system and network subscribers for data transmission via a cloud infrastructure and establishment process |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5962245A (en) * | 1982-10-01 | 1984-04-09 | Canon Inc | Local area network |
| JPH04138740A (en) * | 1990-09-28 | 1992-05-13 | Fuji Xerox Co Ltd | Communication control system |
| JPH06209313A (en) * | 1993-01-12 | 1994-07-26 | Fujikura Ltd | Security protection device and method |
| JP3464358B2 (en) * | 1996-01-17 | 2003-11-10 | 株式会社東芝 | Communication control method, relay device and data packet processing device |
| JPH09293052A (en) * | 1996-04-26 | 1997-11-11 | Nec Corp | Method and system for authorization management between plural networks |
| JP3557056B2 (en) * | 1996-10-25 | 2004-08-25 | 株式会社東芝 | Packet inspection device, mobile computer device, and packet transfer method |
| JP3504818B2 (en) * | 1997-02-28 | 2004-03-08 | 矢崎総業株式会社 | Data communication method and data communication system using this method |
-
1997
- 1997-09-08 JP JP24310497A patent/JP3472098B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH1188403A (en) | 1999-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3557056B2 (en) | Packet inspection device, mobile computer device, and packet transfer method | |
| JP3651721B2 (en) | Mobile computer device, packet processing device, and communication control method | |
| US9712494B2 (en) | Method and system for sending a message through a secure connection | |
| JP3641112B2 (en) | Packet relay device, mobile computer device, mobile computer management device, packet relay method, packet transmission method, and mobile computer location registration method | |
| JP3688830B2 (en) | Packet transfer method and packet processing apparatus | |
| JPH10178421A (en) | Packet processing device, mobile computer device, packet transfer method and packet processing method | |
| US20020013848A1 (en) | Secure network communications | |
| JPH10126405A (en) | Mobile computer device and packet encryption authentication method | |
| US7610332B2 (en) | Overlay networks | |
| GB2357226A (en) | Communication tunnel security protocol with nested security sessions | |
| JP2001292174A (en) | Method and communication apparatus for configuring secure e-mail communication between mail domains of the Internet | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| WO2008078149A2 (en) | Digital object title authentication | |
| US20040156374A1 (en) | Router and routing method for providing linkage with mobile nodes | |
| US7895648B1 (en) | Reliably continuing a secure connection when the address of a machine at one end of the connection changes | |
| JP3472098B2 (en) | Mobile computer device, relay device, and data transfer method | |
| Ventura | Diameter: Next generations AAA protocol | |
| US8055897B2 (en) | Digital object title and transmission information | |
| JP3789098B2 (en) | Network system, network access device, network server, and network access control method | |
| CN100514936C (en) | Mobile router device and home agent device | |
| JP4003634B2 (en) | Information processing device | |
| JPH1132088A (en) | Network system | |
| JP3973357B2 (en) | Port number convergence, deployment method and gateway server thereof | |
| JP3962050B2 (en) | Packet encryption method and packet decryption method | |
| JP2006033443A (en) | System, method and program for internet connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070912 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080912 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080912 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090912 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090912 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100912 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110912 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110912 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120912 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |