JPH1188403A - 移動計算機装置、中継装置及びデータ転送方法 - Google Patents

移動計算機装置、中継装置及びデータ転送方法

Info

Publication number
JPH1188403A
JPH1188403A JP9243104A JP24310497A JPH1188403A JP H1188403 A JPH1188403 A JP H1188403A JP 9243104 A JP9243104 A JP 9243104A JP 24310497 A JP24310497 A JP 24310497A JP H1188403 A JPH1188403 A JP H1188403A
Authority
JP
Japan
Prior art keywords
information
data
relay device
address
negotiation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP9243104A
Other languages
English (en)
Other versions
JP3472098B2 (ja
Inventor
Atsushi Inoue
淳 井上
Masahiro Ishiyama
政浩 石山
Atsushi Fukumoto
淳 福本
Yoshiyuki Tsuda
悦幸 津田
Toshio Okamoto
利夫 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP24310497A priority Critical patent/JP3472098B2/ja
Publication of JPH1188403A publication Critical patent/JPH1188403A/ja
Application granted granted Critical
Publication of JP3472098B2 publication Critical patent/JP3472098B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク上のどこに移動しても安全な通
信を行うことの可能な移動計算機装置を提供すること。 【解決手段】 自装置の現在位置からホームネット内の
宛先計算機にホームネットの入口に設置された第1の中
継装置に対する折衝情報を付加したデータを送信し、宛
先計算機に至る経路途中の第2の中継装置から該データ
に対する通信拒否が返された場合、第2の中継装置アド
レスとホームネットからセキュリティ保持関係を保って
通信できる通信相手のアドレス範囲とを照合し、この結
果、該アドレス情報が該アドレス範囲にない場合は該送
信データの該折衝情報の前に第2の中継装置に対する折
衝情報を付加し、該アドレスが該アドレス範囲にある場
合は該データの該折衝情報の後に該第2の中継装置に対
する折衝情報を付加して、データを再度送信する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク間を
移動して通信を行うことが可能な移動計算機、ネットワ
ーク上を転送されるパケットを受信して通過の可否を判
定して転送または返送する中継装置及びデータ転送方法
に関する。
【0002】
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外、一組織外とのコミュニケーション(電
子メール、電子ニュース、ファイルの転送など)が可能
になり、これらが広く利用されはじめた。特に近年で
は、世界最大のコンピュータネットワーク「インターネ
ット(internet)」の利用が普及しており、イ
ンターネットと接続し、公開された情報、サービスを利
用したり、逆にインターネットを通してアクセスしてく
る外部ユーザに対し、情報、サービスを提供すること
で、新たなコンピュータビジネスが開拓されている。ま
た、インターネット利用に関して、新たな技術開発、展
開がなされている。
【0003】また、このようなネットワークの普及に伴
い、移動通信(mobile computing)に
対する技術開発も行われている。移動通信では、携帯型
の端末、計算機を持ったユーザがネットワーク上を移動
して通信する。ときには通信を行いながらネットワーク
上の位置を変えていく場合もあり、そのような通信にお
いて変化する移動計算機のネットワーク上を管理し、正
しく通信内容を到達させるための方式が必要である。
【0004】一般に移動通信を行う場合、移動計算機が
所属していたネットワークに移動計算機の移動先データ
を管理するルータ(ホームエージェント)を置き、移動
計算機が移動した場合、このホームエージェントに対し
て現在位置を示す登録メッセージを送る。登録メッセー
ジが受け取られたら、移動計算機宛データの送信はその
ホームエージェントを経由して、移動計算機の元のアド
レス宛のIPパケットを移動計算機の現在位置アドレス
宛パケット内にカプセル化することで移動計算機に対す
るデータの経路制御が行われる。例えば、図1では、元
々ホームネットワーク1aに属していた移動計算機2
が、他のネットワーク1bに移動し、ネットワーク1c
内の他の計算機(CH)3との間で通信を行うような場
合に、移動計算機2に対しホームエージェント(HA)
5が上記の役割を行う。この方式は、インターネットの
標準化団体であるIETFのmobile−IPワーキ
ンググループで標準化が進められている移動IPと呼ば
れる方式である(文献:RFC2002, IP mo
bility support (C.Perkin
s))。
【0005】ところで、移動IP方式では、移動計算機
が新規の移動先に移った場合、移動計算機がどのような
ネットワークに移動したかによって、移動計算機の発す
るメッセージの扱いが変わってくる。
【0006】例えば、移動計算機のホームネットワーク
と親しいネットワークに移動して、そのネットワークの
出口に置かれたゲートウェイ(ファイアウォール)がデ
ータパケットを自由に外部に送出させる場合は、移動I
Pの規定のままで動作が可能である。
【0007】一方、移動計算機を外部から内部に滞在
(または侵入)しているものとして扱う一般のネットワ
ークでは、セキュリティ上の考慮から、移動計算機の発
する登録メッセージを自由に外部に送出させることは危
険であると判断する。この場合、移動計算機が、自分は
現在自分を侵入者として扱うネットワークにいる、とい
うことを認識し、ゲートウェイに対して身分証明に相当
する折衝メッセージの交換処理を行って通過許可を得た
上でデータパケットの送出を行うことが必要になる。ま
た、それ以降のデータ送信においても、ゲートウェイに
対する折衝メッセージを付加しての通信が必要である。
【0008】一般に、移動計算機が、自分の元属してい
たホームネットワークとセキュリティ情報を交換してい
る外部ネットワークに移動する場合、その外部ネットワ
ークの出口でのパケット中継を行うパケット中継装置に
対する折衝メッセージをつけておけば、それ以降は予め
交換されたセキュリティ情報に従ってデータが安全にホ
ームネットワークまで転送されることが可能になる。
【0009】一方、移動計算機が、自分の元属していた
ホームネットワークとセキュリティ情報を交換していな
い外部ネットワークに移動した場合、移動計算機は、ま
ず自身に登録されているパケット中継装置宛に、折衝メ
ッセージを付けたパケットを送出する(その中継装置ま
で、パケットが到着すれば、後は予め設定されたセキュ
リティ情報に従って安全にパケットが転送される)。し
かし、この場合も、経路途中で、その移動計算機の発す
るパケットの中継を拒絶するパケット中継装置が存在す
ることがある。もし、そのようなパケット中継装置があ
った場合、その中継装置はパケット中継拒絶メッセージ
を移動計算機に返送するが、移動計算機の側では、パケ
ットの中継を拒絶したパケット中継装置がネットワーク
上のどの位置に存在するかを判別しないと、その中継装
置に対し正しく折衝メッセージを付加することができな
い。
【0010】しかし、従来の移動IP方式だけでは、こ
のような動的な折衝に基づく移動計算機発パケットのル
ーティングは定義されておらず、またパケット中継装置
の側でも移動計算機側が正しく折衝メッセージを付ける
ために十分な情報を含んだ拒否メッセージを送信したい
なかった。
【0011】
【発明が解決しようとする課題】従来、移動計算機がセ
キュリティを保って通信を行う場合、ホームネットワー
クとセキュリティ情報を交換しているネットワークに移
動して通信を行う場合は、予め定められた方式に従え
ば、正しく通信できた。しかし、移動計算機がホームネ
ットワークとセキュリティ情報を交換していないネット
ワークに移動した場合、移動計算機は自分に登録されて
いるホームネットワークと正しくセキュリティ情報を交
換しているパケット中継装置宛にデータを送信し、その
中継装置に到着した後は、登録されたセキュリティ情報
に基づく方式で処理を行う、という場合がある。この場
合も、もし経路途中に存在するパケット中継装置がデー
タパケットの中継を拒絶することがあるが、その場合、
移動計算機はデータ拒絶したパケット中継装置からの拒
絶メッセージを元に、そのパケット中継装置が自身のホ
ームネットとセキュリティ情報を交換しているか否かを
判別し、それに基づいてパケット中継のための折衝メッ
セージを付与することが必要になる。しかしながら、従
来の移動IP方式では、移動計算機はパケットの中継を
拒絶したパケット中継装置と折衝を行うことができず、
パケットをホームネットワークに到達させることができ
なかった。
【0012】本発明は、上記事情を考慮してなされたも
ので、ネットワーク上のどこに移動しても、安全な通信
を行うことの可能な移動計算機装置、中継装置及びデー
タ転送方法を提供することを目的とする。
【0013】
【課題を解決するための手段】本発明(請求項1)は、
相互に接続されたネットワーク間を移動して通信を行う
ことが可能な移動計算機装置であって、自装置が移動前
に属していたネットワーク(ホームネットワーク)か
ら、セキュリティ保持関係を保って通信できる通信相手
のアドレスの範囲を示すアドレス範囲情報を保持する記
憶手段と、自装置が現在位置する移動先ネットワークか
ら、自装置の属していたネットワーク内の宛先計算機
に、自装置の属していたネットワークの入口に設置され
た第1の中継装置(パケット中継装置;パケット暗号化
ゲートウェイ)に対する折衝情報を付加したデータを送
信する手段と、宛先計算機に至る経路途中の第2の中継
装置(パケット中継装置;パケット暗号化ゲートウェ
イ)から、前記送信データに対する通過拒否メッセージ
(エラーメッセージ)が返信された場合、該第2の中継
装置のアドレス情報と、前記記憶手段に保持される前記
アドレス範囲情報とを照合する手段と、この照合の結
果、前記第2の中継装置のアドレス情報が前記アドレス
範囲情報に含まれるものではない場合は、通過拒否され
た前記送信データに付加した前記折衝情報の前に、該第
2の中継装置に対する折衝情報を付加し、該第2の中継
装置のアドレス情報が前記アドレス範囲情報に含まれる
ものである場合は、通過拒否された前記送信データに付
加した前記折衝情報の後に、該第2の中継装置に対する
折衝情報を付加して、データを再度送信する手段とを備
えたことを特徴とする。
【0014】好ましくは、自装置の送信した前記データ
に対して経路途中の前記第2の中継装置から前記通過拒
否メッセージが返信された場合、該中継装置に移動計算
機識別子を生成するための鍵情報を要求するメッセージ
を送信する手段と、前記中継装置から前記鍵情報が返送
された場合、この鍵情報をもとにして、前記折衝情報を
生成する手段とをさらに備えるようにしてもよい。
【0015】好ましくは、前記第2の中継装置に対する
前記折衝情報を付加して再度送信しデータが該第2の中
継装置により通過されたと認識された場合、それ以降の
データ通信の際にも転送データに該折衝情報を付加して
送信するようにしてもよい。
【0016】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。
【0017】好ましくは、前記通過拒否メッセージは通
過拒否を示す情報および前記第2の中継装置のアドレス
情報を含むものであるようにしてもよい。好ましくは、
前記記憶手段に保持する前記アドレス範囲情報として、
前記第1の中継装置から得たものを用いるようにしても
よい。
【0018】本発明(請求項7)は、相互に接続された
ネットワーク上の任意の地点に設置される中継装置(パ
ケット中継装置;パケット暗号化ゲートウェイ)であっ
て、転送データの通過を許可する送信元計算機のアドレ
スの範囲を示す情報を含む通過許可リストを保持する記
憶手段と、受信したデータが、前記通過許可リストに含
まれるものに該当する送信元アドレスおよび自装置との
間で交換する正当な折衝情報を含むものである場合は、
この折衝情報を除去して、ネットワーク上の次段の中継
装置または宛先アドレスにデータを転送する手段と、受
信したデータが、前記通過許可リストに含まれるものに
該当する送信元アドレスまたは自装置との間で交換する
正当な折衝情報の少なくとも一方を含まないものである
場合は、自装置のアドレス情報および通過拒否を示す情
報を含む通過拒否メッセージ(エラーメッセージ)を、
該データの送信元計算機に返信する手段とを備えたこと
を特徴とする。
【0019】好ましくは、前記折衝情報を生成するため
の鍵情報を求めるメッセージを受信した場合に、該メッ
セージを受諾して該鍵情報を返送するために該メッセー
ジの送信元計算機が満たすべき条件を示す情報を保持す
る記憶手段と、前記通過拒否メッセージを返信した後に
同一の計算機から鍵情報を求めるメッセージを受信した
場合、この計算機が前記条件を満たすと判断されたと
き、要求された前記鍵情報を返送する手段とをさらに備
えるようにしてもよい。
【0020】好ましくは、前記折衝情報は転送データの
所定部分の内容および前記鍵情報をもとに予め定められ
た関数(例えばハッシュ関数)を用いて求めた移動計算
機識別子であるようにしてもよい。
【0021】本発明(請求項10)は、相互に接続され
たネットワーク間を移動して通信を行うことが可能な移
動計算機装置におけるデータ転送方法であって、自装置
が現在位置する移動先ネットワークから、自装置の属し
ていたネットワーク内の宛先計算機に、自装置の属して
いたネットワークの入口に設置された第1の中継装置に
対する折衝情報を付加したデータを送信し、宛先計算機
に至る経路途中の第2の中継装置から、前記送信データ
に対する通過拒否メッセージが返信された場合、該第2
の中継装置のアドレス情報と、自装置が移動前に属して
いたネットワークから、セキュリティ保持関係を保って
通信できる通信相手のアドレスの範囲を示すアドレス範
囲情報とを照合し、この照合の結果、前記第2の中継装
置のアドレス情報が前記アドレス範囲情報に含まれるも
のではない場合は、通過拒否された前記送信データに付
加した前記折衝情報の前に、該第2の中継装置に対する
折衝情報を付加し、該第2の中継装置のアドレス情報が
前記アドレス範囲情報に含まれるものである場合は、通
過拒否された前記送信データに付加した前記折衝情報の
後に、該第2の中継装置に対する折衝情報を付加して、
データを再度送信することを特徴とする。
【0022】本発明(請求項11)は、相互に接続され
たネットワーク上の任意の地点に設置される中継装置に
おけるデータ転送方法であって、転送すべきデータを受
信した場合、データの送信元アドレスが、転送データの
通過を許可する送信元計算機のアドレスの範囲を示す情
報を含む通過許可リストに含まれるものであるか否か、
およびデータの送信元計算機と自装置との間で交換する
正当な折衝情報を含むものであるか否かを検査し、受信
したデータが、前記通過許可リストに含まれるものに該
当する送信元アドレスおよび自装置との間で交換する正
当な折衝情報を含むものである場合は、この折衝情報を
除去して、ネットワーク上の次段の中継装置または宛先
アドレスにデータを転送し、受信したデータが、前記通
過許可リストに含まれるものに該当する送信元アドレス
または自装置との間で交換する正当な折衝情報の少なく
とも一方を含まないものである場合は、自装置のアドレ
ス情報および通過拒否を示す情報を含む通過拒否メッセ
ージを、該データの送信元計算機に返信することを特徴
とする。
【0023】なお、装置に係る本発明は方法に係る発明
としても成立し、方法に係る本発明は装置に係る発明と
しても成立する。また、上記の発明は、相当する手順あ
るいは手段をコンピュータに実行させるためのプログラ
ムを記録した機械読取り可能な媒体としても成立する。
【0024】本発明によれば、移動計算機が移動先から
送出したデータパケットが経路途中の中継装置により通
過許可された旨のメッセージが返信された場合に、その
返信メッセージから、通過拒否を行った中継装置のネッ
トワーク上の位置を求め、それに従って適切な折衝メッ
セージコードを付加することにより、移動計算機がネッ
トワーク上のどこに移動しても、安全な通信を行うこと
が可能となる。
【0025】
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。図1に、本実施形態に係る通信
システムの基本構成の一例を示す。図1の通信システム
は、移動IPにより移動計算機の通信をサポートしてい
るものとする(文献:IETF RFC2002)。な
お、移動IPプロトコルは、移動先ネットワークでのパ
ケット配送を行うフォーリンエージェントというルータ
の存在を仮定する場合と、移動計算機自身がフォーリン
エージェントを兼ねるCo−Located Care
−of addressモードと呼ばれる場合がある
が、本実施形態では後者の仮定してフォーリンエージェ
ントはないものとして説明する。
【0026】図1では、ホームネットワーク1a、第1
の他部署ネットワーク1b、第2の他部署ネットワーク
1cがインターネット6を介して相互に接続されてお
り、移動計算機(MN)2、移動計算機の通信相手ホス
ト(CH)3は、これらネットワーク内に、または外部
ノードとしてインターネット6に接続される。
【0027】なお、本実施形態では、図1のネットワー
ク1aの内部にホームポジションを持つ移動計算機(M
N)2とその通信相手計算機(CH)3に関するパケッ
ト通信を中心にして説明を行うので、図1では、ネット
ワーク1aをホームネットワーク、ネットワーク1b,
1cを他部署ホームネットワークとして示してある。
【0028】ホームネットワーク1a、第1の他部署ネ
ットワーク1b、第2の他部署ネットワーク1cには、
移動IPプロトコルをサポートするためのホームエージ
ェント(HA)5a,5b,5cがそれぞれ設置されて
いる(ただし、本実施形態では移動計算機2は元々ホー
ムネットワークにあったものと仮定するので、他部署ネ
ットワーク1b,1cのホームエージェント5b,5c
は説明上の通信には介在しない)。
【0029】また、ネットワーク1a,1b,1cに
は、入力パケットに所定のパケット処理を施して転送す
るパケット中継装置4a,4b,4cがそれぞれ設けら
れるものとする。本実施形態では、パケット中継装置4
a,4b,4cは、パケット暗号化認証処理機能を持つ
ものとする。また、移動計算機2は、少なくとも移動中
には、パケット暗号化認証処理機能を持つものとする
(図中、自装置でパケット暗号化認証処理を行う移動計
算機2をMN+で表す)。なお、GWやGWi(iは数
字あるいは記号)はパケット中継装置(パケット暗号化
ゲートウェイ;以下、ゲートウェイと略す)を示すもの
とする。
【0030】なお、パケット暗号化認証処理における通
信データの暗号化/復号は、例えば、文献(IETF
RFC1825,1827)に示される方式で実現でき
る。また、パケット暗号化認証処理における、終端との
折衝コードや次段との折衝コード(転送パケット内容と
生成鍵から生成されるハッシュ関数値など)の付与/チ
ェックは、例えば、IPセキュリティと呼ばれる仕様を
用いた認証子およびパケット暗号化で定義することが可
能である(文献:IETF RFC1825〜182
9)。
【0031】また、本実施形態におけるゲートウェイ
は、パケットの通過を許可する送信元アドレスを含む通
過許可リストを保持するものとする。ゲートウェイは、
この通過許可リストに含まれない送信元からのパケット
については、通過拒否することになる。
【0032】また、本実施形態におけるゲートウェイ
は、移動計算機2から鍵情報を求めるメッセージを受信
した場合に、該メッセージを受諾して該鍵情報を返送す
るために該メッセージの送信元計算機が満たすべき条件
を示す情報を保持するものとする。
【0033】この鍵要求メッセージに対し、ゲートウェ
イ4bが公開鍵情報を渡すか否かの条件は、そのゲート
ウェイに管するセキュリティ・ポリシーに依存する。例
えば、・鍵要求メッセージに所定の書式で付加されたユ
ーザ識別情報(ユーザ所属情報)を調べ、社内ユーザで
あれば、鍵情報を返す。・社外ユーザであれば、所定の
組織内のユーザであれば鍵情報を渡す。・それ以外の場
合、予め登録されたユーザであれば、鍵情報を渡す。と
いった規則をゲートウェイに登録しておく。
【0034】図2に、各ゲートウェイで処理されるパケ
ット形式を示す。(a)は通常のIPパケット形式であ
る。(b)は、暗号化/末端認証形式であり、末端の
(終端の)ゲートウェイ間または末端のゲートウェイと
移動計算機との間でパケットの暗号化および認証を行う
形式である。
【0035】(c)は、暗号化/経路間認証形式であ
り、途中経路間でのゲートウェイ間、途中経路のゲート
ウェイ〜移動計算機間の認証を必要とする場合にはこの
形式を使用する。
【0036】(d)は、移動IP形式であり、ホームエ
ージェントで移動計算機宛に経路制御されるパケット形
式である。上記の(b)、(c)において、鍵情報ヘッ
ダは、受信側が認証処理に使用する鍵と復号処理に使用
する鍵を得るための情報を含むヘッダ情報である。例え
ば、上記鍵をパケット処理鍵から生成する場合、認証を
行うノード間で共有されるマスター鍵で暗号化されたパ
ケット処理鍵が書込まれる。その他、必要に応じて、認
証アルゴリズム、データの暗号化アルゴリズム、鍵暗号
アルゴリズムを指定するための情報が書込まれる。
【0037】認証ヘッダは、所定の鍵(例えば、上記パ
ケット生成鍵から生成した認証鍵)を使って生成された
認証データを含むヘッダ情報である。暗号化ヘッダは、
所定の鍵(例えば、上記パケット生成鍵から生成した暗
号鍵)を使って暗号化された内部データ(ここでは、内
部IPヘッダとそのデータ部)を復号するアルゴリズム
を指定する情報を含むヘッダ情報である。
【0038】内部IPプロトコルは、カプセル化された
パケットであり、通信を行う計算機の送信元アドレスと
宛先アドレスを含む内部IPヘッダやそのデータ部から
なる。例えば、TCPやUDP形式またはIP形式のも
のである。
【0039】なお、ゲートウェイ、移動計算機が使用す
る認証データとして、例えば、転送パケット内容と生成
鍵から生成される一方向ハッシュ関数値(例えば、Ke
yed MD5方式)などが利用できる。
【0040】また、2つのゲートウェイ間あるいはゲー
トウェイと移動計算機の間で共有されるマスター鍵は、
例えば、秘密鍵の交換や、公開鍵と秘密鍵による導出
(例えば、Diffie−Hellman法)により生
成することができる。
【0041】パケット転送の幾つかの例について説明す
る。なお、前述のようにゲートウェイは通過許可リスト
を参照してパケットの通過を許諾するか拒否するかを決
定するとともに、認証コードを検査してパケットの通過
を許諾するか拒否するかを決定するが(上記の両方を満
たすことが通過条件となる)、以下では、通過許可リス
トに関する条件は満たすものとし、通過許可リストに関
する記載は省略する。
【0042】まず、移動計算機2がゲートウェイGWに
保護されるネットワークに移動した場合において、ホー
ムネットワーク1a内の通信相手3にパケットを送信す
る際の処理の流れを図3を参照しながら説明する。ここ
では、図3(a)においてGW(N)はホームネットワ
ーク1aのゲートウェイ4a、GW1は図示しない移動
先ネットワークのゲートウェイ、GW2〜GW(N−
1)は図示しない経路途中のゲートウェイを示すものと
する。ここで、経路上の各ゲートウェイGWは互いに折
衝のための認証鍵情報を交換しているとする。また、各
ゲートウェイGWは自身がセキュリティを保って通信で
きる相手ノードのアドレス範囲を知っているものと仮定
する。
【0043】移動計算機2は、移動先ネットに再接続さ
れた時点では、全く周囲のネットワーク環境に関して認
識しておらず、まず、図3(b)のように通信相手に向
けて平文のパケット(図2(a)の形式)を送信する。
これを受けたゲートウェイGW1は、パケットにゲート
ウェイGW1を通過するために必要な折衝コードが付加
されていないので、エラーメッセージを移動計算機2に
返す。
【0044】次に、移動計算機2とゲートウェイGW1
の間で必要な鍵情報の交換が行われ、経路間の折衝コー
ドが計算される。経路間の折衝コードをN(M,1)で
示す。なお、折衝コードにおいてMは移動計算機を示
し、1〜Nまでの値はGWの次の値を示す)。
【0045】次に、図3(c)のように、移動計算機2
から内部パケットを暗号化し折衝コードN(M,1)を
付加したパケット(図2(b)の形式)がゲートウェイ
GW1に送信されると、今度はゲートウェイGW1を通
過できる。これ以降、ゲートウェイGW2〜ゲートウェ
イGW(N−1)までは予め設定された情報を元にパケ
ットが転送される。すなわち、ゲートウェイGW1は、
パケットの暗号化認証における終端であるゲートウェイ
GW(N)との間の終端同士の折衝コードE(M,N)
をパケットに付加し、さらに次段ゲートウェイGW2と
の間の経路間の折衝コードN(1,2)を付加して、こ
のパケット(図2(c)の形式)を転送する。ゲートウ
ェイGW2は、前段ゲートウェイGW1との間の折衝コ
ードN(1,2)を検査した上で取り除き、代わりに次
段ゲートウェイGW3との間の経路間の折衝コードN
(2,3)を付加し、また終端同士の折衝コードは既に
付加されているので終端同士の折衝コードに関する処理
は何もせずに、次段ゲートウェイGW3にパケットを転
送する。以降、同様にしてパケットは次々とゲートウェ
イ間を転送され、最後にゲートウェイGW(N)に、経
路間の折衝コードN(N−1,N)と終端同士の折衝コ
ードE(M,N)の付加されたパケットが到達する。
【0046】パケットがゲートウェイGW(N)に到達
すると、ゲートウェイGW(N)は前段のゲートウェイ
GW(N−1)との折衝メッセージを検査した上で、中
のパケットを取り出す。次に、終端同士の折衝コードを
検査すると、移動計算機2とゲートウェイGW(N)と
の終端同士の折衝コードが付加されていないので、ここ
で再度エラーとなる。そして、ゲートウェイGW(N)
は、図3(c)のように、終端同士の折衝コードに必要
な情報を含んだエラーメッセージを返送する。
【0047】エラーメッセージを受信した移動計算機2
では、今度は、終端同士の折衝コードに必要な情報から
ゲートウェイGW(N)との間の終端同士の折衝コード
E(M,N)を計算することができる。
【0048】しかして、移動計算機2は、図3(d)の
ように、ゲートウェイGW(N)との間の終端同士の折
衝コードE(M,N)と次段ゲートウェイGW2との間
の経路間の折衝コードN(1,2)を付加してパケット
(図2(c)の形式)を再送信すれば、ゲートウェイG
W2〜GW(N−1)にて経路間の折衝コードが付け替
えられ、次々とパケット転送が行われて、今度は正しく
パケットをゲートウェイGW(N)に到達させることが
できる。
【0049】そして、ゲートウェイGW(N)では、終
端同士の折衝コードE(M,N)と前段ゲートウェイG
W(N−1)との間の経路間の折衝コードN(N−1,
N)を検査した上でこれらを取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。
【0050】次に、図4を参照しながら、移動計算機2
が特定のゲートウェイGWに保護される組織に属さない
位置に移動した場合において、通信相手3(図4ではネ
ットワーク1e内)にパケットを送信する際の処理の流
れにつて説明する。
【0051】この場合、移動計算機2は移動先から自身
が安全に通信できるゲートウェイGWのうちの少なくと
も1つに対し、セキュリティを保った通信ができるよう
に予め設定されていなくてはならない。すなわち、図4
では、ネットワーク1aが移動計算機のホームネットワ
ークで、ネットワーク1d,1eがホームとセキュリテ
ィを保って通信できるネットワークであるとする。この
場合、移動計算機2に対して、ゲートウェイ4a、ゲー
トウェイ4d、ゲートウェイ4eのうち少なくとも1つ
との間でセキュリティを保った通信ができるために必要
な情報を搭載しておく。
【0052】移動計算機2は、このゲートウェイGW
(例えばゲートウェイ4dと仮定する)に図2(b)に
示す暗号化/末端認証形式でパケットを送信する。ゲー
トウェイ4dはこれを解釈し、最終的な宛先まで、図3
の手順と同様に経路間認証を含めパケットを転送してい
く(ゲートウェイ4dが図3(a)のGW1に相当し、
ゲートウェイ4eが図3(a)のGW(N)に相当す
る)。
【0053】さて、これまでは、全てのゲートウェイG
Wが互いに必要なセキュリティ情報を交換しているとい
う仮定で説明してきた。しかし、一般的には、セキュリ
ティ情報を交換しないゲートウェイGWが存在すること
がある。
【0054】そのようなセキュリティ的に隔絶されたネ
ットワークに移動計算機2が移動した場合の例を図5に
示す。図5(a)において、他部署ネットを図1のネッ
トワーク1b、宛先ネットをホームネットワーク1aと
し、GW(N)はホームネットワーク1aのゲートウェ
イ4a、GW1はネットワーク1bのゲートウェイ4b
を示すものとする。ここで、移動計算機2が移動したネ
ットワーク1bのゲートウェイGW1は、移動計算機が
本来属していたホームネットワーク1aとセキュリティ
情報の交換をしていないと仮定する。また、移動計算機
2は、自装置がセキュリティを保持して通信可能なアド
レス範囲の情報を持つものとする。
【0055】まず、移動計算機2は、図4の場合と同
様、ホームネットワーク1aの入口にあるゲートウェイ
GW(N)に対して、図5(b)のように内部パケット
を暗号化し折衝コードE(M,N)を付加したパケット
(図2(b)の形式)を送信する。このパケットが移動
先のゲートウェイGW1に達すると、ゲートウェイGW
1では、パケットにゲートウェイGW1を通過するため
に必要な折衝コードが付加されていないので、エラーメ
ッセージを返信する。
【0056】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。
【0057】しかして、移動計算機2はゲートウェイG
W1との間で必要な鍵情報の交換を行って経路間の折衝
コードを計算し、図5(c)(図7(a))のように、
ゲートウェイGW(N)に対するパケットの外側に該折
衝コードN(M,1)をさらに付加してパケット(図2
(c)の形式)を送信する。
【0058】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケット(図2(b)
の形式)を転送する。
【0059】なお、ここでは、ゲートウェイGWは、セ
キュリティ情報を交換しない移動計算機については、そ
の移動計算機が一定の条件を満たす場合には、鍵情報の
交換に応じてパケットの外部への転送をサポートする
が、その後の経路間の折衝コードによる暗号化/認証は
サポートしないものとする。
【0060】このパケットを受けたゲートウェイGW
(N)は、終端同士の折衝コードE(M,N)を検査し
た上で取り除き、内部のパケット(図2(a)の形式)
を復号して宛先計算機(CH)3に転送する。
【0061】次に、図5において、移動計算機2〜ゲー
トウェイGW1間および/またはゲートウェイGW1〜
ゲートウェイGW(N)間および/またはゲートウェイ
GW(N)〜通信相手3間に別のゲートウェイGWが存
在する場合について説明する。ここでは、図6(a)に
示すように、移動計算機2〜ゲートウェイGW1間にゲ
ートウェイGW(P)が、ゲートウェイGW1の後段に
ゲートウェイGW(Q)が、ゲートウェイGW(N)の
後段にゲートウェイGW(S)がそれぞれ存在する場合
について説明する。
【0062】(i)まず、移動計算機2は、図5の場合
と同様、ホームネットワーク1aの入口にあるゲートウ
ェイGW(N)に対して、内部パケットを暗号化し折衝
コードE(M,N)を付加したパケット(図2(b)の
形式)を送信する。
【0063】このパケットがゲートウェイGW(P)に
達すると、ゲートウェイGW(P)では、パケットにゲ
ートウェイGW(P)を通過するために必要な折衝コー
ドが付加されていないので、エラーメッセージを返信す
る(図6(b))。
【0064】ここでエラーメッセージには、ゲートウェ
イGW(P)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(P)に対する折衝コード
を付加して送信することが必要になる。
【0065】(ii)移動計算機2はゲートウェイGW
(P)との間で必要な鍵情報の交換を行って経路間の折
衝コードを計算し、ゲートウェイGW(N)に対するパ
ケットの外側に該折衝コードN(M,P)をさらに付加
してパケット(図2(c)の形式)を送信する。
【0066】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケット(図2
(b)の形式)を転送する。
【0067】このパケットがゲートウェイGW1に達す
ると、ゲートウェイGW1では、パケットにゲートウェ
イGW1を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。
【0068】ここでエラーメッセージには、ゲートウェ
イGW1のアドレス情報が含まれており、移動計算機2
は、このアドレスと、自身が保持するセキュリティを保
持して通信可能なアドレス範囲情報から、このエラーメ
ッセージがセキュリティ情報を予め交換していないゲー
トウェイから来たものであることが判る。従って、パケ
ットにゲートウェイGW1に対する折衝コードを付加し
て送信することが必要になる。
【0069】(iii )移動計算機2はゲートウェイGW
1との間で必要な鍵情報の交換を行って経路間の折衝コ
ードN(M,1)を計算し、ゲートウェイGW(N)に
対するパケットの外側に、折衝コードN(M,P)と折
衝コードN(M,1)を付加してパケットを送信する。
【0070】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)の付加されたゲートウェ
イGW(N)宛パケットを転送する。
【0071】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
内部のゲートウェイGW(N)宛パケットを転送する。
このパケットがゲートウェイGW(Q)に達すると、ゲ
ートウェイGW(Q)では、パケットにゲートウェイG
W(Q)を通過するために必要な折衝コードが付加され
ていないので、エラーメッセージを返信する(図6
(b))。
【0072】ここでエラーメッセージには、ゲートウェ
イGW(Q)のアドレス情報が含まれており、移動計算
機2は、このアドレスと、自身が保持するセキュリティ
を保持して通信可能なアドレス範囲情報から、このエラ
ーメッセージがセキュリティ情報を予め交換していない
ゲートウェイから来たものであることが判る。従って、
パケットにゲートウェイGW(Q)に対する折衝コード
を付加して送信することが必要になる。
【0073】(iv)移動計算機2はゲートウェイGW
(Q)との間で必要な鍵情報の交換を行って経路間の折
衝コードN(M,Q)を計算し、図7(b)に示すよう
に、ゲートウェイGW(N)に対するパケットの外側に
折衝コードN(M,P)と折衝コードN(M,1)と折
衝コードN(M,Q)を付加してパケットを送信する
(図6(c))。
【0074】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)の付加されたゲートウェイGW(N)宛パケットを
転送する(図6(c))。
【0075】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)の付加されたゲートウェイGW
(N)宛パケットを転送する。
【0076】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する(図6(c))。
【0077】このように、ゲートウェイGW(P)、ゲ
ートウェイGW1、ゲートウェイGW(Q)について
は、図5の場合と同様の経路認証に基づく折衝メッセー
ジを、移動計算機2にエラーメッセージを返した、 GW(P)→GW1→GW(Q) の順に、外側から順に付与していき(これらGWのエラ
ーメッセージに付与されるGWのアドレス情報が、移動
計算機2の持つセキュリティ保持アドレス情報に合致し
ていないため)、図6(c)に示すようなデータパケッ
トを送信することにより、ゲートウェイGW(N)宛パ
ケットをゲートウェイGW(Q)を通過させることがで
きる。
【0078】さて、ゲートウェイGW(Q)を通過した
該パケットがゲートウェイGW(N)に到達すると、ゲ
ートウェイGW(N)では、終端同士の折衝コードE
(M,N)を検査した上で取り除き、内部のパケット
(図2(a)の形式)を復号して宛先計算機(CH)3
に転送する。
【0079】パケットがゲートウェイGW(S)に到達
すると、ゲートウェイGW(S)では、移動計算機2と
ゲートウェイGW(S)との終端同士の折衝コードが付
加されていないので、ここで再度エラーとなる。そし
て、ゲートウェイGW(S)は、図6(c)のように、
エラーメッセージを返送する。
【0080】移動計算機2は、自身が保持するセキュリ
ティを保持して通信可能なアドレス範囲情報から、ゲー
トウェイGW(S)がホームネットとセキュリティを保
持するアドレス領域にいることが判別できる。
【0081】そのようなゲートウェイGWからのエラー
メッセージを受け取った場合は、移動計算機2は、エラ
ーメッセージを返したゲートウェイGW(この場合、G
W(S))との間で終端同士の認証を行うようにし、そ
れまで終端認証を行っていたゲートウェイGW(この場
合、GW(N))とは経路間認証を行うようにパケット
形式を変更する。この変更したパケット形式を図7
(c)に示す。
【0082】(v)移動計算機2は、図7(c)に示す
ように、内部パケットを暗号化し認証コードE(M,
S)を付加したゲートウェイGW(S)に対するパケッ
トの外側に、折衝コードN(M,P)と折衝コードN
(M,1)と折衝コードN(M,Q)と折衝コードN
(M,N)を付加してパケットを送信する(図6
(d))。
【0083】このパケットを受けたゲートウェイGW
(P)は、折衝コードN(M,P)を検査した上で取り
除き、折衝コードN(M,1)と折衝コードN(M,
Q)と折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。
【0084】このパケットを受けたゲートウェイGW1
は、折衝コードN(M,1)を検査した上で取り除き、
折衝コードN(M,Q)と折衝コードN(M,N)の付
加されたゲートウェイGW(N)宛パケットを転送す
る。
【0085】このパケットを受けたゲートウェイGW
(Q)は、折衝コードN(M,Q)を検査した上で取り
除き、折衝コードN(M,N)の付加されたゲートウェ
イGW(N)宛パケットを転送する。
【0086】このパケットを受けたゲートウェイGW
(N)は、折衝コードN(M,N)を検査した上で取り
除き、内部のゲートウェイGW(N)宛パケットを転送
する。そして、ゲートウェイGW(S)では、終端同士
の折衝コードE(M,S)を検査した上で取り除き、内
部のパケット(図2(a)の形式)を復号して宛先計算
機(CH)3に転送する。
【0087】ところで、各ゲートウェイGWとの折衝コ
ードには、移動計算機2とゲートウェイGW間で共有さ
れた鍵情報よび内部パケットの所定部分(全部または一
部)の内容から計算された一方向ハッシュ関数などの認
証コード(移動計算機識別子)を使用することができ、
また一度経路途中のゲートウェイGWから通過拒否メッ
セージ(エラーメッセージ)が返信された場合には、そ
のゲートウェイGWに移動計算機識別子に対する鍵情報
を求めるメッセージを送信し、返送された鍵情報を使
い、再度、移動計算機の認証コードを計算して折衝メッ
セージとして第2のメッセージに付加して送信すること
ができる。
【0088】例えば、第1のメッセージとして図8の登
録メッセージ(registration reque
st)を送信したとする。このメッセージを途中のゲー
トウェイGWが拒絶し、図9の通過拒否メッセージ(f
ailure message)を返したとする。この
場合は、通過拒否メッセージに入っているゲートウェイ
GWのアドレスを用いて、鍵の問い合わせメッセージ
(Key request)を図10のように生成す
る。
【0089】この要求に対し、ゲートウェイから返送さ
れる図11の鍵応答メッセージ(Key reply)
によりゲートウェイGWと移動計算機で共有する鍵が得
られたら、第2のメッセージとして図12の登録メッセ
ージを送信する。
【0090】このメッセージは上記の通過拒否メッセー
ジを返送したゲートウェイ宛てでかつこのメッセージに
はそのゲートウェイに対する認証コードAHが付与され
ているので、そのゲートウェイは認証処理を行い、これ
に成功すればメッセージは通過できる。なお、KEYは
両者で共有する鍵情報を含むヘッダである。
【0091】以上のように、本実施形態では、移動計算
機が本来属するホームネットワークとセキュリティ的な
関連を持たない移動先ネットワークに移動し、折衝コー
ドによる経路確定を行う場合、エラーメッセージに含ま
れるゲートウェイのアドレス情報を基に、適切な折衝コ
ード付与方式でのパケットの整形が可能で、移動計算機
がどこに移動しても、また経路上にどのようにゲートウ
ェイが配置されていても、正しい移動計算機発のパケッ
ト処理が可能となる。
【0092】なお、本発明は、RFC2002に示され
る移動IPだけでなく、他の様々な移動通信プロトコル
に対しても適用可能である。また、本実施形態で示した
暗号化処理や認証処理以外の方法も使用可能である。
【0093】なお、以上の各機能は、ソフトウェアとし
ても実現可能である。また、上記した各手順あるいは手
段をコンピュータに実行させるためのプログラムを記録
した機械読取り可能な媒体として実施することもでき
る。本発明は、上述した実施の形態に限定されるもので
はなく、その技術的範囲において種々変形して実施する
ことができる。
【0094】
【発明の効果】本発明によれば、移動計算機が移動先か
ら送出したデータパケットが経路途中のパケット中継装
置により通過拒否された旨のメッセージが返信された場
合に、その返信メッセージから、通過拒否を行ったパケ
ット中継装置のネットワーク上の位置を求め、それに従
って適切な折衝メッセージコードを付加することによ
り、移動計算機がネットワーク上のどこに移動しても、
安全な通信を行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る通信システムの基本
構成の一例を示す図
【図2】パケット形式の例を示す図
【図3】通信手順を説明するための図
【図4】通信手順を説明するための図
【図5】通信手順を説明するための図
【図6】通信手順を説明するための図
【図7】パケット形式の例を示す図
【図8】登録メッセージの形式の例を示す図
【図9】通過拒否メッセージの形式の例を示す図
【図10】鍵の問い合わせメッセージの形式の例を示す
【図11】鍵応答メッセージの形式の例を示す図
【図12】登録メッセージの形式の例を示す図
【符号の説明】 1a、1b,1c,1d,1e…ネットワーク 2…移動計算機 3…通信相手ホスト 4a,4b,4c,4d,4e…パケット中継装置 5a,5b,5c…ホームエージェント 6…インターネット
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 9/32 H04L 9/00 673B 12/66 11/20 B // G09C 1/00 660 (72)発明者 津田 悦幸 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内 (72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株 式会社東芝研究開発センター内

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】相互に接続されたネットワーク間を移動し
    て通信を行うことが可能な移動計算機装置であって、 自装置が移動前に属していたネットワークから、セキュ
    リティ保持関係を保って通信できる通信相手のアドレス
    の範囲を示すアドレス範囲情報を保持する記憶手段と、 自装置が現在位置する移動先ネットワークから、自装置
    の属していたネットワーク内の宛先計算機に、自装置の
    属していたネットワークの入口に設置された第1の中継
    装置に対する折衝情報を付加したデータを送信する手段
    と、 宛先計算機に至る経路途中の第2の中継装置から、前記
    送信データに対する通過拒否メッセージが返信された場
    合、該第2の中継装置のアドレス情報と、前記記憶手段
    に保持される前記アドレス範囲情報とを照合する手段
    と、 この照合の結果、前記第2の中継装置のアドレス情報が
    前記アドレス範囲情報に含まれるものではない場合は、
    通過拒否された前記送信データに付加した前記折衝情報
    の前に、該第2の中継装置に対する折衝情報を付加し、
    該第2の中継装置のアドレス情報が前記アドレス範囲情
    報に含まれるものである場合は、通過拒否された前記送
    信データに付加した前記折衝情報の後に、該第2の中継
    装置に対する折衝情報を付加して、データを再度送信す
    る手段とを備えたことを特徴とする移動計算機装置。
  2. 【請求項2】自装置の送信した前記データに対して経路
    途中の前記第2の中継装置から前記通過拒否メッセージ
    が返信された場合、該中継装置に移動計算機識別子を生
    成するための鍵情報を要求するメッセージを送信する手
    段と、 前記中継装置から前記鍵情報が返送された場合、この鍵
    情報をもとにして、前記折衝情報を生成する手段とをさ
    らに備えたことを特徴とする請求項1に記載の移動計算
    機装置。
  3. 【請求項3】前記第2の中継装置に対する前記折衝情報
    を付加して再度送信しデータが該第2の中継装置により
    通過されたと認識された場合、それ以降のデータ通信の
    際にも転送データに該折衝情報を付加して送信すること
    を特徴とする請求項1または2に記載の移動計算機装
    置。
  4. 【請求項4】前記折衝情報は転送データの所定部分の内
    容および前記鍵情報をもとに予め定められた関数を用い
    て求めた移動計算機識別子であることを特徴とする請求
    項1ないし3のいずれか1項に記載の移動計算機装置。
  5. 【請求項5】前記通過拒否メッセージは通過拒否を示す
    情報および前記第2の中継装置のアドレス情報を含むも
    のであることを特徴とする請求項1ないし4のいずれか
    1項に記載の移動計算機装置。
  6. 【請求項6】前記記憶手段に保持する前記アドレス範囲
    情報として、前記第1の中継装置から得たものを用いる
    ことを特徴とする請求項1ないし5のいずれか1項に記
    載の移動計算機装置。
  7. 【請求項7】相互に接続されたネットワーク上の任意の
    地点に設置される中継装置であって、 転送データの通過を許可する送信元計算機のアドレスの
    範囲を示す情報を含む通過許可リストを保持する記憶手
    段と、 受信したデータが、前記通過許可リストに含まれるもの
    に該当する送信元アドレスおよび自装置との間で交換す
    る正当な折衝情報を含むものである場合は、この折衝情
    報を除去して、ネットワーク上の次段の中継装置または
    宛先アドレスにデータを転送する手段と、 受信したデータが、前記通過許可リストに含まれるもの
    に該当する送信元アドレスまたは自装置との間で交換す
    る正当な折衝情報の少なくとも一方を含まないものであ
    る場合は、自装置のアドレス情報および通過拒否を示す
    情報を含む通過拒否メッセージを、該データの送信元計
    算機に返信する手段とを備えたことを特徴とする中継装
    置。
  8. 【請求項8】前記折衝情報を生成するための鍵情報を求
    めるメッセージを受信した場合に、該メッセージを受諾
    して該鍵情報を返送するために該メッセージの送信元計
    算機が満たすべき条件を示す情報を保持する記憶手段
    と、 前記通過拒否メッセージを返信した後に同一の計算機か
    ら鍵情報を求めるメッセージを受信した場合、この計算
    機が前記条件を満たすと判断されたとき、要求された前
    記鍵情報を返送する手段とをさらに備えたことを特徴と
    する請求項7に記載の中継装置。
  9. 【請求項9】前記折衝情報は転送データの所定部分の内
    容および前記鍵情報をもとに予め定められた関数を用い
    て求めた移動計算機識別子であることを特徴とする請求
    項8に記載の中継装置。
  10. 【請求項10】相互に接続されたネットワーク間を移動
    して通信を行うことが可能な移動計算機装置におけるデ
    ータ転送方法であって、 自装置が現在位置する移動先ネットワークから、自装置
    の属していたネットワーク内の宛先計算機に、自装置の
    属していたネットワークの入口に設置された第1の中継
    装置に対する折衝情報を付加したデータを送信し、 宛先計算機に至る経路途中の第2の中継装置から、前記
    送信データに対する通過拒否メッセージが返信された場
    合、該第2の中継装置のアドレス情報と、自装置が移動
    前に属していたネットワークから、セキュリティ保持関
    係を保って通信できる通信相手のアドレスの範囲を示す
    アドレス範囲情報とを照合し、 この照合の結果、前記第2の中継装置のアドレス情報が
    前記アドレス範囲情報に含まれるものではない場合は、
    通過拒否された前記送信データに付加した前記折衝情報
    の前に、該第2の中継装置に対する折衝情報を付加し、
    該第2の中継装置のアドレス情報が前記アドレス範囲情
    報に含まれるものである場合は、通過拒否された前記送
    信データに付加した前記折衝情報の後に、該第2の中継
    装置に対する折衝情報を付加して、データを再度送信す
    ることを特徴とするデータ転送方法。
  11. 【請求項11】相互に接続されたネットワーク上の任意
    の地点に設置される中継装置におけるデータ転送方法で
    あって、 転送すべきデータを受信した場合、データの送信元アド
    レスが、転送データの通過を許可する送信元計算機のア
    ドレスの範囲を示す情報を含む通過許可リストに含まれ
    るものであるか否か、およびデータの送信元計算機と自
    装置との間で交換する正当な折衝情報を含むものである
    か否かを検査し、 受信したデータが、前記通過許可リストに含まれるもの
    に該当する送信元アドレスおよび自装置との間で交換す
    る正当な折衝情報を含むものである場合は、この折衝情
    報を除去して、ネットワーク上の次段の中継装置または
    宛先アドレスにデータを転送し、 受信したデータが、前記通過許可リストに含まれるもの
    に該当する送信元アドレスまたは自装置との間で交換す
    る正当な折衝情報の少なくとも一方を含まないものであ
    る場合は、自装置のアドレス情報および通過拒否を示す
    情報を含む通過拒否メッセージを、該データの送信元計
    算機に返信することを特徴とするデータ転送方法。
JP24310497A 1997-09-08 1997-09-08 移動計算機装置、中継装置及びデータ転送方法 Expired - Fee Related JP3472098B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP24310497A JP3472098B2 (ja) 1997-09-08 1997-09-08 移動計算機装置、中継装置及びデータ転送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP24310497A JP3472098B2 (ja) 1997-09-08 1997-09-08 移動計算機装置、中継装置及びデータ転送方法

Publications (2)

Publication Number Publication Date
JPH1188403A true JPH1188403A (ja) 1999-03-30
JP3472098B2 JP3472098B2 (ja) 2003-12-02

Family

ID=17098867

Family Applications (1)

Application Number Title Priority Date Filing Date
JP24310497A Expired - Fee Related JP3472098B2 (ja) 1997-09-08 1997-09-08 移動計算機装置、中継装置及びデータ転送方法

Country Status (1)

Country Link
JP (1) JP3472098B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527543A (ja) * 2005-01-07 2008-07-24 シスコ テクノロジー インコーポレイテッド データ及び装置をローカライズするシステム及び方法
JP2010157265A (ja) * 2010-03-15 2010-07-15 Nec Corp アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP2021048623A (ja) * 2014-09-03 2021-03-25 フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー 少なくとも1つの安全なプロデューサーと少なくとも1つの安全なコンシューマーとの間のデータ伝送

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5962245A (ja) * 1982-10-01 1984-04-09 Canon Inc ロ−カルエリアネツトワ−ク
JPH04138740A (ja) * 1990-09-28 1992-05-13 Fuji Xerox Co Ltd 通信制御方式
JPH06209313A (ja) * 1993-01-12 1994-07-26 Fujikura Ltd 機密保持装置およびその方法
JPH09261265A (ja) * 1996-01-17 1997-10-03 Toshiba Corp 通信制御方法、中継装置およびデータパケット処理装置
JPH09293052A (ja) * 1996-04-26 1997-11-11 Nec Corp 複数ネットワーク間の権限管理方法およびシステム
JPH10136014A (ja) * 1996-10-25 1998-05-22 Toshiba Corp パケット検査装置、移動計算機装置及びパケット転送方法
JPH10243012A (ja) * 1997-02-28 1998-09-11 Yazaki Corp データ通信方法、及びこの方法を用いたデータ通信システム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5962245A (ja) * 1982-10-01 1984-04-09 Canon Inc ロ−カルエリアネツトワ−ク
JPH04138740A (ja) * 1990-09-28 1992-05-13 Fuji Xerox Co Ltd 通信制御方式
JPH06209313A (ja) * 1993-01-12 1994-07-26 Fujikura Ltd 機密保持装置およびその方法
JPH09261265A (ja) * 1996-01-17 1997-10-03 Toshiba Corp 通信制御方法、中継装置およびデータパケット処理装置
JPH09293052A (ja) * 1996-04-26 1997-11-11 Nec Corp 複数ネットワーク間の権限管理方法およびシステム
JPH10136014A (ja) * 1996-10-25 1998-05-22 Toshiba Corp パケット検査装置、移動計算機装置及びパケット転送方法
JPH10243012A (ja) * 1997-02-28 1998-09-11 Yazaki Corp データ通信方法、及びこの方法を用いたデータ通信システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527543A (ja) * 2005-01-07 2008-07-24 シスコ テクノロジー インコーポレイテッド データ及び装置をローカライズするシステム及び方法
JP4866862B2 (ja) * 2005-01-07 2012-02-01 シスコ テクノロジー,インコーポレイテッド データ及び装置をローカライズするシステム及び方法
JP2010157265A (ja) * 2010-03-15 2010-07-15 Nec Corp アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP2021048623A (ja) * 2014-09-03 2021-03-25 フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー 少なくとも1つの安全なプロデューサーと少なくとも1つの安全なコンシューマーとの間のデータ伝送

Also Published As

Publication number Publication date
JP3472098B2 (ja) 2003-12-02

Similar Documents

Publication Publication Date Title
JP3557056B2 (ja) パケット検査装置、移動計算機装置及びパケット転送方法
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
JP3641112B2 (ja) パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JP4163215B2 (ja) 私設ネットワークとローミング移動端末との間の通信
JPH10178421A (ja) パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US20010047474A1 (en) Communication control scheme using proxy device and security protocol in combination
CN101553796B (zh) 用于重定向请求的系统和方法
US20020013848A1 (en) Secure network communications
JPH10126405A (ja) 移動計算機装置及びパケット暗号化認証方法
JP2003533094A (ja) 訪問先ネットワークとホームネットワーク間の公衆ipネットワークを介した特定アクセス、独立アクセスおよび特定アプリケーション情報の結合伝送方法およびシステム
JPH09252323A (ja) 通信システムおよび通信装置
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
Shi et al. IEEE 802.11 roaming and authentication in wireless LAN/cellular mobile networks
JP2018514956A (ja) データをルーティングするために証明書データを使用する装置と方法
CN102055733A (zh) 协商业务承载隧道的方法、设备及系统
JP2001292174A (ja) インターネットのメールドメイン間の保安されたeメール交信を構成するための方法及び通信装置
WO2008078149A2 (en) Digital object title authentication
US7895648B1 (en) Reliably continuing a secure connection when the address of a machine at one end of the connection changes
RU2272363C2 (ru) Устройство, способ и система для усовершенствованной маршрутизации в сети мобильного ip
JP3472098B2 (ja) 移動計算機装置、中継装置及びデータ転送方法
TW200421778A (en) Access-controlling method, repeater, and server
Ventura Diameter: Next generations AAA protocol
CN100514936C (zh) 移动路由器装置以及本地代理装置
Inoue et al. Secure mobile IP using IP security primitives
FI123250B (fi) Menetelmä viestin ja vastausviestin sisällön luottamuksellisuuden suojaamiseksi

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070912

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080912

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080912

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090912

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090912

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100912

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110912

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110912

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120912

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees