JP2011015327A - Communication management apparatus and communication management program - Google Patents
Communication management apparatus and communication management program Download PDFInfo
- Publication number
- JP2011015327A JP2011015327A JP2009159596A JP2009159596A JP2011015327A JP 2011015327 A JP2011015327 A JP 2011015327A JP 2009159596 A JP2009159596 A JP 2009159596A JP 2009159596 A JP2009159596 A JP 2009159596A JP 2011015327 A JP2011015327 A JP 2011015327A
- Authority
- JP
- Japan
- Prior art keywords
- mobile
- address
- vpn
- station
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は通信管理装置および通信管理プログラムに関する。 The present invention relates to a communication management apparatus and a communication management program.
IPSec(IP Security Protocol)等のVPN(Virtual Private Network)を用いて、例えば、車載移動局が、移動しながらサーバ等と無線通信を行う技術が知られている。 For example, a technique in which an in-vehicle mobile station performs wireless communication with a server or the like while moving using a VPN (Virtual Private Network) such as IPSec (IP Security Protocol) is known.
IPSec等のVPNを用いた場合、VPNサーバ等の暗号化(復号)を行う装置は、移動局に割り当てられた実IPアドレスと、当該実IPアドレスが付与されたパケットの暗号化(復号)を行う際に用いる暗号鍵の対応関係を保持する。この対応関係は例えば、VPNを用いた通信を開始する前に設定される。 When VPN such as IPSec is used, a device that performs encryption (decryption) such as a VPN server encrypts (decrypts) a real IP address assigned to the mobile station and a packet to which the real IP address is assigned. Holds the correspondence of encryption keys used when performing. This correspondence relationship is set before starting communication using VPN, for example.
確立されたVPNを用いて通信を行っている移動局が移動し、接続先の移動網を変える場合、移動先網のDHCP(Dynamic Host Configuration Protocol)サーバ等から新規に実IPアドレスが割り当てられる。 When a mobile station that performs communication using the established VPN moves and changes the connection destination mobile network, a real IP address is newly assigned from a DHCP (Dynamic Host Configuration Protocol) server or the like of the destination network.
この際、移動局の移動前にVPNサーバで管理されていた実IPアドレスと暗号鍵等のセキュリティ情報の対応関係は一致しなくなる。
このため、移動先網から割り当てられた新たな実IPアドレスに基づいてVPN通信を行うために、暗号鍵の再設定が必要となる。
At this time, the correspondence between the real IP address managed by the VPN server before the mobile station moves and the security information such as the encryption key does not match.
For this reason, it is necessary to reset the encryption key in order to perform VPN communication based on the new real IP address assigned from the destination network.
このセキュリティ情報の再設定を行うにあたっては、移動局とVPNサーバとの間で数回の通信が必要となる。このとき、セキュリティ情報の再設定が完了するまで通信が中断してしまうという問題がある。 In order to reset the security information, several communication is required between the mobile station and the VPN server. At this time, there is a problem that communication is interrupted until the resetting of the security information is completed.
本発明はこのような点に鑑みてなされたものであり、網間移動時の手順を短時間で行うことができる通信管理装置および通信管理プログラムを提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a communication management apparatus and a communication management program capable of performing a procedure when moving between networks in a short time.
上記目的を達成するために、開示の通信管理装置が提供される。この通信管理装置は、格納部と、暗号処理部と、送信部とを有している。
格納部は、複数の網間を移動する移動装置の、網毎に設定された第1のアドレスと複数の網間で共通する第2のアドレスとこの第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報を格納する。
In order to achieve the above object, a disclosed communication management apparatus is provided. This communication management apparatus includes a storage unit, an encryption processing unit, and a transmission unit.
The storage unit stores a first address set for each network, a second address common to the plurality of networks, and security information corresponding to the second address of the mobile device moving between the plurality of networks. Stores the associated management information.
暗号処理部は、第2のアドレス宛のパケットを受信した場合、受信した第2のアドレスに対応する管理情報のセキュリティ情報に基づいてパケットを暗号化する。
送信部は、暗号化が施されたパケットを、受信した第2のアドレスに対応する第1のアドレス宛に送信する。
When receiving the packet addressed to the second address, the encryption processing unit encrypts the packet based on the security information of the management information corresponding to the received second address.
The transmission unit transmits the encrypted packet to the first address corresponding to the received second address.
開示の通信管理装置によれば、移動装置の通信の遮断を防止することができる。 According to the disclosed communication management device, it is possible to prevent the communication of the mobile device from being interrupted.
以下、実施の形態を、図面を参照して詳細に説明する。
まず、実施の形態の通信管理装置の概要について説明し、その後、実施の形態をより具体的に説明する。
Hereinafter, embodiments will be described in detail with reference to the drawings.
First, an outline of the communication management apparatus according to the embodiment will be described, and then the embodiment will be described more specifically.
<第1の実施の形態>
図1は、第1の実施の形態の通信管理装置の概要を示す図である。
実施の形態の通信管理装置1は、例えば、VPN等の仮想私設網を用いて通信装置間の通信を実現する装置である。
<First Embodiment>
FIG. 1 is a diagram illustrating an overview of a communication management apparatus according to the first embodiment.
The communication management apparatus 1 according to the embodiment is an apparatus that realizes communication between communication apparatuses using a virtual private network such as VPN.
図1では通信装置として移動装置6と通信装置7を示している。
移動装置6は、例えば、交通機関(バス、電車)等に設置されており、交通機関の移動に伴って移動することにより、通信装置7との通信用の網(ネットワーク)5aまたは網5bに接続する。
In FIG. 1, a
The
通信装置7は、例えば、移動装置6と同様に交通機関等に設置されている装置、または、所定の固定箇所に設置された装置である。
通信管理装置1は、格納部2と、暗号処理部3と、送信部4とを有している。
The
The communication management device 1 includes a
格納部2は、網5a、5b間を移動する移動装置6が備える、網5a、5b毎に設定された第1のアドレスと網5a、5b間で共通する第2のアドレス(MRv1)と第2のアドレス(MRv1)に対応するセキュリティ情報(Sec1)とを対応づけた管理情報2aを格納する。
The
ここで、格納部2に格納される第1のアドレスは、例えば、移動装置6の電源がONされる度に、図示しないサーバ等から供給されるアドレスである。
また、このアドレスは、網5a、5b間を移動すると、変化する。具体的には、移動装置6が、網5aに接続されている状態では、第1のアドレスは、「MRr11」である。そして、移動装置6が、網5aから網5bに移動したとき、第1のアドレスは、「MRr12」となる。
Here, the first address stored in the
Further, this address changes when moving between the networks 5a and 5b. Specifically, when the
第2のアドレスは、移動装置6の通信用に仮想的に付与されたアドレスである。この第2のアドレスは、移動装置6の網5aから網5bへの移動時に、移動装置6が通信管理装置1に通知するものである。
The second address is an address virtually given for communication of the
この情報は、移動装置6が、網5aから網5bに移動したときも、また、網5bから網5aに移動したときも、変わらず「MRv1」である。
セキュリティ情報は、仮想私設網通信におけるデータの暗号化に必要な情報である。このセキュリティ情報は、例えば、暗号化方法の情報と暗号鍵の情報とを有している。
This information is “MRv1” regardless of whether the
The security information is information necessary for data encryption in virtual private network communication. This security information includes, for example, encryption method information and encryption key information.
暗号処理部3は、通信装置7から第2のアドレス宛のパケット8を受信した場合、受信した第2のアドレスに対応する管理情報2aのセキュリティ情報に基づいてパケット8を暗号化する。
When the
ここで、図1では、移動装置6が網5aから網5bに移動した場合でも、管理情報2aのセキュリティ情報(Sec1)を変更せずに、そのセキュリティ情報(Sec1)を用いてパケット8を暗号化している。
Here, in FIG. 1, even when the
換言すると、移動装置の第1のアドレスが、移動により、「MRr11」から「MRr12」に変わっても、第2のアドレス(MRv1)は変わらないため、セキュリティ情報(Sec1)を変更せずに、そのセキュリティ情報(Sec1)を用いてパケット8を暗号化している。
In other words, even if the first address of the mobile device changes from “MRr11” to “MRr12” due to movement, the second address (MRv1) does not change, so the security information (Sec1) is not changed. The
送信部4は、暗号化が施されたパケット8aを、受信した第2のアドレスMRv1に対応する第1のアドレス宛に送信する。
このように、第2のアドレスを設定することで、移動装置6の網5a、網5b間の移動によるセキュリティ情報の変更処理を省略することができる。これにより、網5a、網5b間の移動に伴う通信確立のための設定に必要な時間の短縮を図ることができる。従って、通信品質が向上する。
The transmission unit 4 transmits the encrypted packet 8a to the first address corresponding to the received second address MRv1.
Thus, by setting the second address, it is possible to omit the security information changing process due to the movement of the
なお、セキュリティの質を保つために、例えば、通信管理装置1が、移動装置6との通信時間を計測しておき、この通信時間が一定時間を経過した場合には、セキュリティ情報(Sec1)を更新するようにするのが好ましい。
In order to maintain the quality of security, for example, the communication management device 1 measures the communication time with the
すなわち、通信装置7から第2のアドレス宛のパケット8を受信した場合にこの一定時間を経過していた場合は、更新したセキュリティ情報を用いて、暗号化の再設定(移動装置6と暗号化方式の交渉および暗号鍵の交換等)を行うようにするのが好ましい。
That is, when this fixed time has elapsed when the
なお、この時間は、移動装置6が接続している網の種別(無線LAN、セルラー等)によって、異なる時間に設定するようにしてもよい。
これにより、セキュリティの質を保つことができる。
This time may be set to a different time depending on the type of network (wireless LAN, cellular, etc.) to which the
Thereby, the quality of security can be maintained.
但し、一定時間を経過していても、移動装置6の移動速度や、移動装置6の特定の通信プロトコル種別等によっては、暗号化の再設定を行わないようにしてもよい。
前者の場合、例えば、移動装置6の移動速度と網5a、5bの通信エリアから移動装置の通過時間を算出し、この通過時間が予め定められた時間よりも短い場合は、暗号化の再設定を行わないようにしてもよい。
However, even if the predetermined time has elapsed, the encryption resetting may not be performed depending on the moving speed of the
In the former case, for example, the passing time of the mobile device is calculated from the moving speed of the
後者の場合、例えば、通信プロトコルが、音声や、静止画像、動画像を通信するプロトコルである場合には、暗号化の再設定を行わないようにしてもよい。
これにより、通信が途絶えることを防止し、通信品質を保つことができる。
In the latter case, for example, when the communication protocol is a protocol for communicating voice, still images, or moving images, the encryption may not be reset.
Thereby, it can prevent that communication is interrupted and can maintain communication quality.
<第2の実施の形態>
以下、実施の形態をより具体的に説明する。
図2は、第2の実施の形態のシステムを示す図である。
<Second Embodiment>
Hereinafter, the embodiment will be described more specifically.
FIG. 2 is a diagram illustrating a system according to the second embodiment.
システム100は、IPsecを使用したシステムであり、VPNサーバ10と、固定局20と、固定網30と、中継網40と、移動網(移動通信網)51、52と、移動親局60aと、移動子局70aとを有している。
The system 100 is a system using IPsec, and includes a
VPNサーバ10と固定局20は、共通の固定網(ネットワーク)30に接続されている。
VPNサーバ10は、固定網30外部の中継網40から転送されるパケットを受信すると、受信したパケットの暗号を復号し、固定局20にデータを転送する。また、固定局20から転送されるパケットを受信すると、受信したパケットを暗号化し、中継網40に転送する。
The
Upon receiving a packet transferred from the
固定局20は、例えば、会社内に設置されており、VPNサーバ10を介して移動子局70aと通信を行う。
中継網40は、固定網30と移動網51、52に接続されている。この中継網40は、VPNサーバ10と移動網51、52間でやりとりされるデータを中継する機能を有している。
The fixed
The
移動網51、52は、中継網40に接続されている。この移動網51、52は、図示しない無線基地局を有しており、移動親局60aとの無線通信機能を実現する。
移動親局60aは、移動網51、52の通信範囲に入ることで、通信範囲に入った移動網51、または、移動網52に無線で接続する機能を有している。
The
The
この移動親局60aは、移動親局60aの通信範囲である移動局網80内に存在する移動子局70aと、固定局20との通信を中継する機能を有している。
移動親局60aは、特に限定されないが、例えば、自動車や電車等、図示しない交通機関にそれぞれ1つまたは複数設けられており、これらの交通機関の移動に伴って移動する。
The
Although the
移動子局70aは、例えば、通信機能を備えたユーザが携帯する装置である。移動子局70aとしては、例えば、通信機能を備えたPC(Personal Computer)等が挙げられる。
The
なお、移動親局60aと移動子局70aとの通信は、有線通信であってもよいし、無線通信であってもよい。
このシステム100では、VPNサーバ10と移動親局60aとの間でVPNが設定されて暗号化された情報が送受信される。
Note that communication between the
In this system 100, the VPN is set and encrypted information is transmitted and received between the
例えば、移動親局60aが設置された交通機関に移動子局70aを携帯した利用者が乗車(搭乗)し、ユーザが移動子局70aの通信機能を起動することにより、移動親局60aが移動子局70aのVPN確立要求を受信する。これにより、VPN確立のための処理が行われ、VPNサーバ10と移動親局60aとのVPNが確立する。
For example, when the user carrying the
この処理においては、移動親局60aは、移動網51、52毎に設定された移動親局60aのIPアドレス(以下、「実アドレス」と言う)に加え、移動網51、52間で共通する移動親局60aのIPアドレス(以下、「仮想VPNアドレス」と言う)を通知する。また、VPNサーバ10は、通信に必要なセキュリティ情報を移動親局60aと交換する。
In this processing, the
VPN確立後、移動子局70aが固定局20にアクセスした場合、移動親局60aは、移動親局60aが接続している移動網51、または、移動網52を介してVPNサーバ10との間でVPNを用いたデータ通信を行う。
After the VPN is established, when the
交通機関の移動に伴い、移動親局60a、および、移動親局60aに接続された移動子局70aが、移動網51、52間を移動する。
この移動時に、VPNサーバ10は、移動親局60aとのセキュリティ情報の再設定を行うか否かを決定する。この際、移動網51、52間で共通する移動親局60aの仮想VPNアドレスが通知されているため、この仮想VPNアドレスを用いることで、セキュリティ情報の再設定を行わず、移動前の移動網との間で設定されていたセキュリティ情報を用いて、移動後の移動網との間で通信を行うことができる。これにより、VPNの確立に必要な時間を短縮することができる。
As the transportation system moves, the
During this movement, the
なお、図2では、説明上1つのVPNサーバ10を図示しているが、VPNサーバは、複数設けられていてもよい。
また、図2では、移動親局60aに1つの移動子局70aが接続されている例を示しているが、移動親局60aに複数の移動子局が接続されていてもよい。
In FIG. 2, one
Further, FIG. 2 shows an example in which one
次に、VPNサーバ10のハードウェア構成を説明する。
図3は、VPNサーバのハードウェア構成例を示す図である。
VPNサーバ10は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス108を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、外部補助記憶装置106および通信インタフェース107が接続されている。
Next, the hardware configuration of the
FIG. 3 is a diagram illustrating a hardware configuration example of the VPN server.
The
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。また、HDD103内には、プログラムファイルが格納される。
The
グラフィック処理装置104には、モニタ104aが接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ104aの画面に表示させる。入力インタフェース105には、キーボード105aとマウス105bとが接続されている。入力インタフェース105は、キーボード105aやマウス105bから送られてくる信号を、バス108を介してCPU101に送信する。
A
外部補助記憶装置106は、記録媒体に書き込まれた情報を読み取ったり、記録媒体に情報を書き込んだりする。外部補助記憶装置106で読み書きが可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記録装置としては、例えば、HDD、フレキシブルディスク(FD)、磁気テープ等が挙げられる。光ディスクとしては、例えば、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等が挙げられる。光磁気記録媒体としては、例えば、MO(Magneto-Optical disk)等が挙げられる。
The external
通信インタフェース107は、固定網30に接続されている。通信インタフェース107は、固定網30を介して、固定局20や移動親局60aとの間でデータの送受信を行う。
The
次に、移動親局60aのハードウェア構成を説明する。
図4は、移動親局のハードウェア構成例を示す図である。
移動親局60aは、CPU161によって装置全体が制御されている。CPU161には、バス166を介してRAM162、メモリ163、通信インタフェース164、および、通信インタフェース165が接続されている。
Next, the hardware configuration of the
FIG. 4 is a diagram illustrating a hardware configuration example of the mobile master station.
The entire
RAM162には、CPU161に実行させるファームウェアやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM162には、CPU161による処理に必要な各種データが格納される。メモリ163には、アプリケーションプログラムが格納される。また、メモリ163内には、ファームウェアやプログラムファイルが格納される。これらファームウェアの設定は、外部から変更可能になっていてもよい。
The
通信インタフェース164は、移動局網80に接続されている。通信インタフェース164は、移動局網80を介して、移動子局70aとの間でデータの送受信を行う。
通信インタフェース165は、移動網51、または、移動網52に接続される。通信インタフェース165は、接続された移動網51、または、移動網52を介して、固定局20との間でデータの送受信を行う。
The
The
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。このようなハードウェア構成のVPNサーバ10内には、以下のような機能が設けられる。
With the hardware configuration as described above, the processing functions of the present embodiment can be realized. The following functions are provided in the
次に、VPNサーバの機能を説明する。
図5は、VPNサーバの機能を示すブロック図である。
VPNサーバ10は、受信部11と、送信部12と、VPN管理部13と、暗号処理部14と、カプセル化処理部15と、データ格納部16とを有している。
Next, the function of the VPN server will be described.
FIG. 5 is a block diagram showing functions of the VPN server.
The
受信部11は、固定局20、ないし、移動親局60a、および、移動子局70aから送信されたパケットを受信する。また、受信部11は、移動親局60aから受信した制御メッセージを分析する。
The receiving
送信部12は、固定局20、ないし、移動親局60aおよび移動子局70aにカプセル化(後述)されたパケットを送信する。また、移動親局60aに送信すべき制御メッセージを生成し、送信する。
The
VPN管理部13は、現在、VPN接続が確立している移動子局70aを管理する。
具体的には、VPN管理部13は、移動親局60aから通知される移動子局70aを管理するためのVPNに関する各種アドレス、セキュリティ情報の対応関係を管理するテーブル(サーバ側VPN管理テーブル)を有している。この管理テーブルの内容については後に詳述する。
The
Specifically, the
VPN管理部13は、パケットを受信すると、受信したパケットに含まれている移動親局60aの仮想VPNアドレスが、サーバ側VPN管理テーブルに登録されているか否かを判定する。登録されていない場合、受信したパケットに含まれている移動親局60aの実アドレス、仮想VPNアドレス等をサーバ側VPN管理テーブルに登録する。
When receiving the packet, the
また、VPN管理部13は、VPNの確立に際し、移動親局60aとの間で、暗号化方式の交渉、および暗号鍵の交換処理を実行する。そして、この処理により決定された暗号化方式、暗号鍵をセキュリティ情報としてサーバ側VPN管理テーブルに登録する。また、同時に受信した移動速度や移動網種別も登録する。
Further, the
一方、受信したパケットに含まれている移動親局の仮想VPNアドレスが、サーバ側VPN管理テーブルに登録されている場合、VPN管理部13は、受信したパケットに含まれている仮想VPNアドレスに対応するサーバ側VPN管理テーブル内のエントリを検索する。そして、一致するエントリを更新する。
On the other hand, when the virtual VPN address of the mobile master station included in the received packet is registered in the server-side VPN management table, the
暗号処理部14は、移動親局60aに送信されるパケットに対する暗号化処理を行う。また、暗号処理部14は、固定局20に送信されるパケットに対する復号処理を行う。
カプセル化処理部15は、移動親局60aに送信されるパケットに対するカプセル化(encapsulation)処理を行う。具体的には、送信されるパケットにIPヘッダを付加する。
The
The
また、カプセル化処理部15は、固定局20に送信されるパケットに対するデ・カプセル化処理を行う。
データ格納部16は、通信網種別に応じた典型的なセルサイズを示すデータ(通信エリアデータ)を保持する。また、暗号鍵の交換処理に要する時間(例えば、平均処理時間)も保持する。さらに、移動網51、52の在圏時間内において鍵交換の実行中に通信不可となることが許容される時間の百分率T(%)を閾値として保持する。
In addition, the
The
図6は、通信エリアデータを示す図である。
通信エリアデータは、テーブル化されている。
通信エリア管理テーブル16aには、移動網種別、および、セルサイズの欄が設けられている。横方向に並べられた情報同士が互いに関連づけられている。
FIG. 6 is a diagram showing communication area data.
The communication area data is tabulated.
The communication area management table 16a has columns for mobile network type and cell size. Information arranged in the horizontal direction is associated with each other.
移動網種別の欄には、移動網の種別を識別する情報が設定されている。
セルサイズの欄には、通信エリアの広さを示す値が設定されている。
次に、VPNサーバ10が管理するサーバ側VPN管理テーブルを説明する。
Information for identifying the type of the mobile network is set in the mobile network type column.
In the cell size column, a value indicating the size of the communication area is set.
Next, a server side VPN management table managed by the
図7は、サーバ側VPN管理テーブルを示す図である。
サーバ側VPN管理テーブル13aは、例えば、VPNサーバ10が固定局20から受信した移動子局70a宛のパケットの転送先となる移動親局60a、移動親局60aの仮想VPNアドレスと実アドレスの対応関係の管理に使用される。
FIG. 7 is a diagram showing a server-side VPN management table.
The server-side VPN management table 13a includes, for example, the correspondence between the virtual VPN address and the real address of the
また、サーバ側VPN管理テーブル13aは、移動親局60aとの間で確立しているVPNで用いられるセキュリティ情報の対応関係の管理に使用される。
サーバ側VPN管理テーブル13aには、移動子局アドレス、移動親局仮想VPNアドレス、移動親局実アドレス、VPNセキュリティ情報、更新時刻、データ種別、移動速度、および、移動網種別の欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。
The server-side VPN management table 13a is used for managing the correspondence relationship of security information used in the VPN established with the
The server-side VPN management table 13a is provided with columns of mobile slave station address, mobile master station virtual VPN address, mobile master station real address, VPN security information, update time, data type, moving speed, and mobile network type. The information arranged in the horizontal direction is associated with each other.
移動子局アドレスの欄には、移動子局が接続されている移動親局と関係付けられる移動子局固有のアドレスが設定されている。
移動親局仮想VPNアドレスの欄には、移動親局60a、および、図示していないその他の移動親局の仮想VPNアドレスが設定されている。このアドレスは、端末の位置にかかわらず、一定のアドレスである。
In the mobile slave station address column, an address unique to the mobile slave station associated with the mobile master station to which the mobile slave station is connected is set.
In the mobile master station virtual VPN address column, virtual VPN addresses of the
移動親局実アドレスの欄には、移動網51、または、移動網52で割り当てられる、移動親局の実アドレスが設定されている。この実アドレスは、移動網51、または、移動網52から実アドレスが割り当てられた際に移動親局からVPNサーバ10に対して通知される。
In the mobile master station real address field, the real address of the mobile master station assigned by the
VPNセキュリティ情報の欄には、VPNサーバ10と移動親局60a、および、図示していないその他の移動親局との間で確立されているVPNで用いられている暗号方式、並びに、暗号鍵等のセキュリティ情報が設定されている。
In the VPN security information column, the encryption method used in the VPN established between the
更新時刻の欄には、暗号鍵が最近更新された時刻情報が設定されている。この時刻情報は、暗号鍵の更新の要否を判定するために使用される。
データ種別の欄には、設定されたVPNを用いて、どのようなデータがやり取りされているかを示す情報が設定されている。
In the update time column, time information when the encryption key was recently updated is set. This time information is used to determine whether or not the encryption key needs to be updated.
In the data type column, information indicating what kind of data is exchanged using the set VPN is set.
例えば、UDP(User Datagram Protocol)であれば、動画像データの送受信を行っている可能性のあることを示している。このデータ種別は、暗号鍵の更新の要否を判定するために使用される。 For example, UDP (User Datagram Protocol) indicates that moving image data may be transmitted / received. This data type is used to determine whether or not the encryption key needs to be updated.
なお、データ種別は、IPヘッダのプロトコル・フィールドの値を参照することで把握することができる。VPNサーバ10の受信部11は、固定局20から移動子局70a宛のパケットを受信した際に、IPヘッダの当該フィールドを参照することができる。また、VPNサーバ10の送信部12は、移動子局70aから固定局20宛の(デ・カプセル化および復号された)パケットを固定網30に転送する際に、IPヘッダの当該フィールドを参照することができる。
The data type can be grasped by referring to the value of the protocol field of the IP header. The receiving
移動速度の欄には、移動親局の移動速度が設定されている。
移動網種別の欄には、移動親局の移動網種別が設定されている。
なお、図7では、移動子局70aから固定局20向け、固定局20から移動子局70a向けに送信されるデータ種別を分けていないが、これらを区別し得るように分けてもよい。
The movement speed of the mobile master station is set in the movement speed column.
The mobile network type of the mobile master station is set in the mobile network type column.
In FIG. 7, the data types transmitted from the
次に、移動親局60aの機能を説明する。
図8は、移動親局の機能を示すブロック図である。
移動親局60aは、受信部61と、送信部62と、VPN管理部63と、移動処理部64と、暗号処理部65と、カプセル化処理部66とを有している。
Next, the function of the
FIG. 8 is a block diagram showing functions of the mobile master station.
The
受信部61は、固定局20、VPNサーバ10、または、移動子局70aから送信されたパケットを受信する。また、VPNサーバ10から受信した制御メッセージを分析する。
The receiving
送信部62は、固定局20、VPNサーバ10、または、移動子局70aにパケットを送信する。また、送信部62は、VPNサーバ10に送信すべき制御メッセージを生成する。そして生成した制御メッセージをVPNサーバ10に送信する。
The transmitting
VPN管理部63は、VPNに関する各種アドレス、セキュリティ情報の対応関係を管理する。
移動処理部64は、移動網51、52における実アドレスを取得する。また、VPNサーバ10への実アドレスの通知などの移動に関する処理を行う。
The
The
暗号処理部65は、固定局20、VPNサーバ10に送信されるパケットに対する暗号化処理、および、移動子局70aに送信されるパケットに対する復号処理を行う。
カプセル化処理部66は、固定局20、VPNサーバ10に送信されるパケットに対するカプセル化処理を行う。
The
The
また、カプセル化処理部66は、移動子局70aに送信されるパケットに対するデ・カプセル化処理を行う。
次に、VPN管理部63が管理するデータ構造を説明する。
Further, the
Next, the data structure managed by the
図9は、移動親局のVPN管理部が管理するデータ構造を示す図である。
この親局側VPN管理テーブル63aは、例えば、移動親局60aが移動子局70aから受信した固定局20宛のパケットの転送先となるVPNサーバ10、および、当該VPNサーバ10との間で設定されているVPNで用いられるセキュリティ情報の対応関係の管理に使用される。
FIG. 9 is a diagram showing a data structure managed by the VPN management unit of the mobile master station.
The parent station side VPN management table 63a is set between, for example, the
親局側VPN管理テーブル63aには、移動子局アドレス、VPNサーバアドレス、VPNセキュリティ情報の欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。 The master station side VPN management table 63a has columns of mobile slave station address, VPN server address, and VPN security information, and the information arranged in the horizontal direction is associated with each other.
移動子局アドレスの欄には、移動親局60a自身が接続する移動子局固有のアドレスが設定されている。
VPNサーバアドレスの欄には、移動子局アドレスの欄に設定されている移動子局とVPNが確立しているVPNサーバ固有のアドレスが設定されている。
In the mobile slave station address column, an address unique to the mobile slave station to which the
In the VPN server address column, an address unique to the VPN server established with the mobile slave station set in the mobile slave station address column is set.
VPNセキュリティ情報の欄には、VPNサーバと移動親局60aとの間で確立されているVPNで用いられている暗号方式、および、暗号鍵等のセキュリティ情報が設定されている。
In the VPN security information column, security information such as an encryption method and an encryption key used in the VPN established between the VPN server and the
次に、移動子局70aの機能を説明する。
図10は、移動子局の機能を示すブロック図である。
移動子局70aは、受信部71と、送信部72と、VPN管理部73とを有している。
Next, the function of the
FIG. 10 is a block diagram showing functions of the mobile slave station.
The
受信部71は、固定局および移動子局から送信されたパケットを受信する。また、移動親局60aから受信した制御メッセージを分析・処理する。
送信部72は、固定局20、または、他の移動子局にパケットを送信する。また、移動親局60aに送信すべき制御メッセージを生成し、送信する。
The receiving
The transmitting
VPN管理部73は、移動親局60aに対してVPNの確立または切断を要求する。
次に、システム100の通信処理を説明する。
<システム全体の通信処理>
図11、図12は、システムの処理を示すシーケンス図である。
The
Next, communication processing of the system 100 will be described.
<Communication processing of the entire system>
11 and 12 are sequence diagrams showing processing of the system.
以下に示す処理は、移動網51に接続する移動親局60a、および、移動子局70aがVPNを確立して通信中状態に遷移した後、確立したVPNを維持したまま移動網52に移動し、確立したVPNを切断する場合の処理である。
In the processing described below, after the
[ステップS1]
移動網51は、移動網51自身の網情報(例えば、ネットワーク・アドレス、IPアドレス割当のためのDHCPサーバ(図示せず)のアドレス等)を周期的に報知する。
[Step S1]
The
[ステップS2]
移動網52も、移動網51と同様、移動網52自身の網情報を周期的に報知する。但し、図11に示すように、移動網52からの報知は、移動親局60aには届いていない。
[Step S2]
Similarly to the
[ステップS3]
移動網51に接続する移動親局60aは、移動網51からの網情報を受信すると、移動網51の無線基地局に対して、リンク確立要求を送信する。
[Step S3]
When receiving the network information from the
[ステップS4]
移動網51の無線基地局は、移動親局60aに対してリンク確立応答を送信して、リンクを確立する。
[Step S4]
The radio base station of the
[ステップS5]
移動親局60aは、ステップS1で通知されたDHCPサーバに対して、IPアドレスの割当要求を送信する。
[Step S5]
The
[ステップS6]
移動網51のDHCPサーバは、移動親局60aに対して移動親局60aの実アドレス(MRr11)を割り当てる。
[Step S6]
The DHCP server of the
[ステップS7]
移動子局70aが移動親局60aに対して、VPN確立要求を送信する。このVPN確立要求には、移動子局70aの通信相手である固定局20と接続するVPNサーバ10の実アドレス(VPNS1)、および、移動子局70a自身の実アドレス(MN1)が含まれている。
[Step S7]
The
[ステップS8]
移動親局60aは、移動子局70aからの要求に従い、VPNサーバ10に対して移動親局アドレス通知を送信する。この移動親局アドレスには、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、移動網51の移動網種別、および、移動速度が含まれている。これらの情報は、サーバ側VPN管理テーブル13aに登録される。
[Step S8]
The
[ステップS9、ステップS10]
移動親局60aとVPNサーバ10の間で、暗号化方式の交渉を行う。なお、暗号化方法としては、特に限定されず、例えば、公知のものを用いることができる。
[Step S9, Step S10]
An encryption scheme is negotiated between the
[ステップS11、ステップS12]
暗号鍵の交換が必要な場合、移動親局60aとVPNサーバ10の間で、暗号鍵の交換を行う。
[Step S11, Step S12]
When the encryption key needs to be exchanged, the encryption key is exchanged between the
[ステップS13]
VPNサーバ10は、移動親局60aに対して、移動親局アドレス通知応答を送信する。
[Step S13]
The
[ステップS14]
移動親局60aは、移動親局60aに接続されている移動子局70aのアドレスをVPNサーバに通知するための移動子局アドレス追加要求をVPNサーバ10に送信する。この移動子局アドレス追加要求には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、および、移動子局70a自身の実アドレス(MN1)が含まれている。
[Step S14]
The
[ステップS15]
VPNサーバ10は、移動親局60aのアドレス(仮想VPNアドレスや実アドレス)と関連付けて移動子局70aのアドレスをサーバ側VPN管理テーブル13aに登録し、移動親局60aに対して移動子局アドレス追加応答を送信する。
[Step S15]
The
[ステップS16]
移動親局60aは、移動子局70aに対して、VPN確立応答を送信する。
[ステップS17]
移動子局70aは、固定局20との間で、VPNを介してIPパケットの送受信を行う。このとき、移動親局60aとVPNサーバ10は、移動親局60aとVPNサーバ10との間でやり取りされるIPパケットに対して、ステップS11、S12で決められた暗号鍵を用いて、暗号化処理および復号処理を行う。なお、やり取りされるパケットの構成は後述する。
[Step S16]
The
[Step S17]
The
[ステップS18]
移動親局60aおよび移動子局70aが通信中に移動して、移動網52に接近すると、移動網52から網情報を受信し始める。これによって、移動親局60aが移動網52に移動することを検出する。
[Step S18]
When the
[ステップS19]
移動網52に在圏する移動親局60aは、移動網52からの網情報を受信すると、移動網52の無線基地局に対して、リンク確立要求を送信する。
[Step S19]
When the
[ステップS20]
移動網52の無線基地局は、移動親局60aに対してリンク確立応答を送信して、リンクを確立する。
[Step S20]
The radio base station of the
[ステップS21]
移動親局60aは、ステップS1で通知されたDHCPサーバに対して、IPアドレスの割当要求を送信する。
[Step S21]
The
[ステップS22]
移動網52のDHCPサーバは、移動親局60aに対して移動親局60aの実アドレス(MRr12)を割り当てる。
[Step S22]
The DHCP server of the
[ステップS23]
移動親局60aは、移動親局アドレス通知をVPNサーバ10に送信する。この移動親局アドレス通知は、移動親局60a自身の実アドレス(MRr12)が変わったことを、VPNサーバ10に通知するものである。
[Step S23]
The
この移動親局アドレス通知には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr12)、移動網52の種別、および、移動速度が含まれている。
[ステップS24]
VPNサーバ10は、ステップS15で登録した情報のうち、移動親局60aの実アドレス(MRr11)をステップS23で通知されたアドレス(MRr12)に変更する。この際、ステップS11、S12で交換された暗号鍵を更新するためにステップS11、S12に示した暗号鍵の交換処理を行うか否かを判定する。そして、暗号鍵の交換処理を行わないと判定した場合、すなわち、セキュリティ情報の更新が必要でないと判定した場合、移動親局60aに対して移動親局アドレス通知応答を送信する。
This mobile master station address notification includes the virtual VPN address (MRv1), real address (MRr12), type of
[Step S24]
The
図11、図12に示す全体処理では、判定の結果、ステップS9、S10に示す暗号化方式の交渉、および、ステップS11、S12に示す暗号鍵の交換を行わない例を示している。これにより、VPNの確立に必要な時間を短縮することができる。 The overall processing shown in FIGS. 11 and 12 shows an example in which the encryption method negotiation shown in steps S9 and S10 and the encryption key exchange shown in steps S11 and S12 are not performed as a result of the determination. Thereby, the time required for establishing the VPN can be shortened.
なお、暗号鍵の交換処理が必要と判断した場合には、移動親局アドレス通知応答の前にステップS11〜S12と同様の処理を実行する。
[ステップS25]
移動親局60aおよびVPNサーバ10は、移動親局60aの新たな実アドレス(MRr12)を用いて、移動子局70aおよび固定局20の間でやり取りされるパケットをカプセル化して、移動網52に移動後もVPNを維持する。
If it is determined that encryption key exchange processing is necessary, processing similar to steps S11 to S12 is executed before the mobile master station address notification response.
[Step S25]
The
[ステップS26]
移動子局70aは、移動親局60aに対して、VPN切断要求を送信する。この要求の送信タイミングとしては、特に限定されないが、例えば、ユーザが移動子局70aを操作し、通信終了を選択した場合等が挙げられる。
[Step S26]
The
このVPN切断要求には、VPNサーバ(VPNサーバ10)の実アドレス(VPNS1)、および、移動子局70aの実アドレス(MN1)が含まれている。
[ステップS27]
移動親局60aは、移動子局70aの通信のためにVPNを確立していたVPNサーバ10に対して、通信を終了した移動子局のアドレスの削除を要求する移動子局アドレス削除要求を送信する。この移動子局アドレス削除要求には、移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr12)、および、移動子局70aの実アドレス(MN1)が含まれている。
This VPN disconnection request includes the real address (VPNS1) of the VPN server (VPN server 10) and the real address (MN1) of the
[Step S27]
The
[ステップS28]
VPNサーバ10は、受け取った移動親局60aの仮想VPNアドレス(MRv1)、および、実アドレス(MRr12)に対応して登録されている移動子局のアドレス(MN1)をサーバ側VPN管理テーブル13aから削除する。そして、移動親局60aに対して移動子局アドレス削除を完了した旨の通知である移動子局アドレス削除応答を送信する。この移動子局アドレス削除応答には、移動親局60aの仮想VPNアドレス(MRv1)、および、実アドレス(MRr12)が含まれている。
[Step S28]
The
[ステップS29]
移動親局60aは、ステップS8〜S13において確立されたVPNが、移動子局70a以外の移動子局によって使用されていないことを認識すると、VPNサーバ10に対して移動親局アドレス削除要求を送信する。
[Step S29]
When the
[ステップS30]
VPNサーバ10は、ステップS8〜S13において確立されたVPNに関する情報をサーバ側VPN管理テーブル13aから削除する。そして、移動親局60aに対して移動親局のアドレス削除を完了した旨の移動親局アドレス削除応答を送信する。
[Step S30]
The
[ステップS31]
移動親局60aは、移動子局70aに対して、VPN切断応答を送信する。
なお、VPNサーバ10を使用して図示しない他の移動子局が通信している場合は、ステップS27、S28の処理のみを行い、ステップS29、S30の処理は行わない。
[Step S31]
The
When other mobile slave stations (not shown) are communicating using the
以上で全体処理の説明を終了する。
なお、本実施の形態では、移動子局70aからVPN確立要求が発生した際の暗号化方式の交渉、および暗号鍵の交換処理として簡略化した処理を示しているが、IKE(Internet Key Exchange)等の標準的な処理が用いられてもよい。
This is the end of the description of the entire process.
In the present embodiment, the simplified process is shown as the negotiation of the encryption method and the exchange process of the encryption key when the VPN establishment request is generated from the
なお、本実施の形態では、ステップS8〜S15の信号や、ステップS18〜S24の信号を別個に送信する場合を示したが、これに限定されない。例えば、ステップS8に示す移動親局アドレス通知を送信の際に、ステップS14に示す移動子局アドレス追加要求を同時に送るようにしてもよい。 In the present embodiment, the case where the signals of steps S8 to S15 and the signals of steps S18 to S24 are separately transmitted has been described, but the present invention is not limited to this. For example, when transmitting the mobile master station address notification shown in step S8, the mobile slave station address addition request shown in step S14 may be sent simultaneously.
また、本実施の形態では、移動親局60aの移動速度情報を移動親局アドレス通知に含むようにしている。この移動速度情報は、例えば、移動親局60aが設置された交通機関から取得したり、移動親局60aにGPS(Global Positioning System)受信機を搭載し、その測位情報から速度情報を算出したりすることにより、取得することができる。
In the present embodiment, the moving speed information of the moving
また、本実施の形態では、セキュリティ情報(暗号鍵)の設定は移動網51から移動網52に移動したときに行うようにしている。
しかし、これに限らず、VPNサーバ10のVPN管理情報のうち、最近鍵交換を行った時刻からの経過時間に従い、VPNセキュリティ情報(暗号鍵)の設定処理を起動してもよい。
In this embodiment, the security information (encryption key) is set when moving from the
However, the present invention is not limited to this, and the VPN security information (encryption key) setting process may be started according to the elapsed time from the time of the most recent key exchange in the VPN management information of the
具体的には、その経過時間が一定の閾値時間を超えた場合には、移動網52に移動しない場合でもVPNセキュリティ情報(暗号鍵)の設定処理を起動するようにしてもよい。
次に、ステップS17にてやり取りされる通信用のパケットを説明する。
Specifically, when the elapsed time exceeds a certain threshold time, the VPN security information (encryption key) setting process may be started even when the
Next, the communication packet exchanged in step S17 will be described.
図13は、通信用のパケットを示す図である。
図13(a)は、固定局20から移動親局60aを経由した移動子局70a宛のパケットを示している。
FIG. 13 is a diagram illustrating a communication packet.
FIG. 13A shows a packet addressed to the
パケットP1は、先頭側(図13(a)の左側)から宛先アドレスAD1、送信元アドレスAD2、IPSec ESP(IP Security Encapsulating Security Payload)ヘッダH1、宛先アドレスAD3、送信元アドレスAD4、および、データD1を有している。 The packet P1 has a destination address AD1, a source address AD2, an IPSec ESP (IP Security Encapsulating Security Payload) header H1, a destination address AD3, a source address AD4, and data D1 from the head side (left side of FIG. 13A). have.
宛先アドレスAD1には、移動親局60aの実アドレスが設定される。図13(a)では、実アドレス(MRr11)が設定されている。
送信元アドレスAD2には、VPNサーバ10の実アドレスが設定される。図13(a)では、実アドレス(VPNS1)が設定されている。
The real address of the
The real address of the
IPSec ESPヘッダH1には、セキュリティ情報を識別する情報等が設定される。
宛先アドレスAD3には、移動子局70aの実アドレスが設定される。図13(a)では、移動子局70aの実アドレス(MN1)が設定されている。
Information or the like for identifying security information is set in the IPSec ESP header H1.
The real address of the
送信元アドレスAD4には、固定局20の実アドレス(CN1)が設定される。図13(a)では、固定局20の実アドレス(CN1)が設定されている。
データD1には、移動子局70aに転送するデータが格納されている。
The real address (CN1) of the fixed
Data D1 stores data to be transferred to the
このパケットP1のうち、宛先アドレスAD3、送信元アドレスAD4、および、データD1は、固定局20が送信したパケットである。なお、宛先アドレスAD3、送信元アドレスAD4、および、データD1は、暗号処理部14によって暗号化されている。
Among the packets P1, the destination address AD3, the source address AD4, and the data D1 are packets transmitted by the fixed
また、パケットP1のうち、宛先アドレスAD1、および、送信元アドレスAD2が、カプセル化処理部15により追加されるパケットP1の移動親局60aの実アドレス宛パケットのIPヘッダである。
Further, in the packet P1, the destination address AD1 and the source address AD2 are the IP headers of the packets addressed to the real address of the
図13(b)は、移動子局70aから固定局20宛のパケットを示している。
パケットP2は、先頭側(図13(b)の左側)から宛先アドレスAD5、送信元アドレスAD6、IPSec ESPヘッダH2、宛先アドレスAD7、送信元アドレスAD8、および、データD2を有している。
FIG. 13B shows a packet addressed to the fixed
The packet P2 has a destination address AD5, a source address AD6, an IPSec ESP header H2, a destination address AD7, a source address AD8, and data D2 from the head side (left side of FIG. 13B).
このうち、宛先アドレスAD5、および、送信元アドレスAD6がパケットP2のVPnサーバ10宛パケットのIPヘッダである。
宛先アドレスAD5には、VPNサーバ10の実アドレスが設定される。図13(b)では、実アドレス(VPNS1)が設定されている。
Among these, the destination address AD5 and the source address AD6 are IP headers of the packet addressed to the
The real address of the
送信元アドレスAD6には、移動親局60aの実アドレスが設定される。図13(b)では、実アドレス(MRr11)が設定されている。
IPSec ESPヘッダH2には、セキュリティ情報を識別する情報等が設定される。
In the transmission source address AD6, the real address of the
Information for identifying security information or the like is set in the IPSec ESP header H2.
宛先アドレスAD7には、固定局20の実アドレスが設定される。図13(b)では、実アドレス(CN1)が設定されている。
送信元アドレスAD8には、移動子局70aの実アドレスが設定される。図13(b)では、実アドレス(MN1)が設定されている。
The real address of the fixed
The real address of the
データD2は、固定局20に転送するデータが格納されている。
このパケットP2のうち、宛先アドレスAD7、送信元アドレスAD8、および、データD2は、移動子局70aが送信したパケットである。なお、宛先アドレスAD7、送信元アドレスAD8、および、データD2は、暗号処理部65によって暗号化されている。
Data D2 stores data to be transferred to the fixed
Among the packets P2, the destination address AD7, the source address AD8, and the data D2 are packets transmitted by the
また、宛先アドレスAD5、および、送信元アドレスAD6が、カプセル化処理部66によって付与されたVPNサーバ10宛パケットのIPヘッダである。
次に、VPNサーバ10が、固定局20から移動子局70a宛のパケットP1を受信したときの処理を説明する。
The destination address AD5 and the source address AD6 are the IP headers of the packets addressed to the
Next, processing when the
<VPNサーバのパケット転送処理>
図14は、VPNサーバのパケット転送処理を示すフローチャートである。
[ステップS41]
VPNサーバ10の受信部11が、固定局20から送信された移動子局70a宛のパケットP1を受信する。その後、ステップS42に遷移する。
<VPN server packet transfer processing>
FIG. 14 is a flowchart showing packet transfer processing of the VPN server.
[Step S41]
The receiving
[ステップS42]
パケットP1の宛先である移動子局70aのアドレスを用いて、サーバ側VPN管理テーブル13aから移動子局70aと接続している移動親局60aの仮想VPNアドレス(MRv1)、実アドレス(MRr11)、および、セキュリティ情報を求める。
[Step S42]
Using the address of the
そして、VPN管理部13が、サーバ側VPN管理テーブル13aを参照する。そして、仮想VPNアドレス(MRv1)に対応して保持されるVPNセキュリティ情報(暗号方式1および暗号鍵1)を暗号処理部14に通知する。
Then, the
その後、暗号処理部14が、VPN管理部13から通知されたVPNセキュリティ情報(暗号方式1および暗号鍵1)に従って、固定局20から送信されたパケットを暗号化する。
Thereafter, the
そして、カプセル化処理部15が、暗号化されたパケットをカプセル化する。具体的には、暗号化されたパケットに、送信元アドレスとしてVPNサーバ10自身の実アドレス(VPNS1)を付与する。宛先として移動子局70aに接続されている移動親局60aの実アドレス(MRr11)を付与する。そして、IPSec ESPヘッダを付与する。その後、ステップS43に遷移する。
Then, the
[ステップS43]
VPNサーバ10の送信部12は、ステップS42で暗号化およびカプセル化されたパケットP1を中継網40に送出する。
[Step S43]
The
以上で処理を終了する。
なお、パケットP1を受信した移動親局60aは、ステップS41〜S43の手順の逆の手順(復号、デ・カプセル化)を行う。そして、処理の結果得られたパケットを移動子局70aに転送する。
The process ends here.
The
次に、VPNサーバ10が、移動子局70aから固定局20宛のパケットP2を受信したときの処理(固定局宛パケット受信時処理)を説明する。
<固定局宛パケット受信時処理>
図15は、固定局宛パケット受信時処理を示すフローチャートである。
Next, processing when the
<Processing when receiving packets addressed to fixed stations>
FIG. 15 is a flowchart showing processing at the time of receiving a packet addressed to a fixed station.
[ステップS51]
VPNサーバ10の受信部11が、移動親局60aから送信された、固定局20宛のパケットがカプセル化されたパケットP2を受信する。その後、ステップS52に遷移する。
[Step S51]
The receiving
[ステップS52]
VPN管理部13が、当該パケットP2の送信元である移動親局60aの実アドレスを用いて、サーバ側VPN管理テーブル13aから当該移動親局の仮想VPNアドレス、VPNセキュリティ情報を求める。
[Step S52]
The
そして、カプセル化処理部15が、移動子局70aから送信されたパケットP2をデ・カプセル化する。そして、暗号処理部14が、デ・カプセル化されたパケットを復号する。その後、ステップS53に遷移する。
Then, the
[ステップS53]
VPNサーバ10の送信部12は、ステップS52で復号およびデ・カプセル化されたパケットを固定網30に送出する。その後、処理を終了する。
[Step S53]
The
以上で、固定局宛パケット受信時処理の説明を終了する。
次に、全体処理における各装置の処理を詳しく説明する。
図16および図17は、移動親局の処理を示すフローチャートである。
This is the end of the description of the process at the time of receiving a fixed station-addressed packet.
Next, processing of each device in the overall processing will be described in detail.
16 and 17 are flowcharts showing the processing of the mobile master station.
[ステップS61]
まず、移動親局60aの電源が投入されると、移動処理部64が、当該移動親局60aが在圏する移動網において、無線基地局との間でリンクを確立すると共に、DHCPサーバ等から実アドレスを取得する。その後、ステップS62に遷移する。
[Step S61]
First, when the
[ステップS62]
次に、受信部61が、移動親局60aに接続した移動子局70aから、VPN確立要求を受信したか否かを判定する。
[Step S62]
Next, the receiving
受信した場合はステップS63に遷移する。受信していない場合は、ステップS62に遷移し、受信を待機する。
[ステップS63]
VPN管理部63が、受信したVPN確立要求に含まれている移動子局70aのアドレス、およびVPNを確立するVPNサーバ10のアドレスを親局側VPN管理テーブル63aに登録する。その後、ステップS64に遷移する。
If received, the process proceeds to step S63. If not received, the process proceeds to step S62 and waits for reception.
[Step S63]
The
[ステップS64]
送信部62が、ステップS62で移動子局70aから通知されたVPNサーバ10に対して、移動親局60aの実アドレスおよび仮想VPNアドレスを通知するための移動親局アドレス通知を送信する。その後、ステップS65に遷移する。
[Step S64]
The transmitting
前述したように、当該通知には、移動親局60aの移動速度、および接続する移動網の種別(無線LAN、携帯電話網等)も含まれている。ここでは当該仮想VPNアドレスは予め移動親局60aに設定されている場合について説明する。なお、これに限らず、当該通知を受信したVPNサーバ10が、仮想VPNアドレスを動的に割り当て、そのアドレスが応答通知等によって移動親局60aに通知されるようにしてもよい。
As described above, the notification includes the moving speed of the
[ステップS65]
VPNサーバ10とのやり取りによりVPNの確立に必要なセキュリティ情報(暗号方式、暗号鍵等)を取得し、設定する。その後、ステップS66に遷移する。
[Step S65]
The security information (encryption method, encryption key, etc.) necessary for establishing the VPN is acquired and set by exchanging with the
本実施の形態ではVPN確立時にセキュリティ情報の設定を行う場合について説明するが、これに限らず、後述するように、セキュリティ設定の要否がVPNサーバ10によって判断され、必要な場合にのみセキュリティ設定が行われるようにしてもよい。
In the present embodiment, a case where security information is set when establishing a VPN will be described. However, the present invention is not limited to this, and as described later, whether or not security setting is necessary is determined by the
[ステップS66]
VPN管理部63が、ステップS65で決定されたセキュリティ情報を親局側VPN管理テーブル63aに登録する。その後、ステップS67に遷移する。
[Step S66]
The
[ステップS67]
受信部61が、移動親局アドレス通知応答を受信すると、送信部62が、移動子局アドレス追加要求をVPNサーバ10に送信する。その後、ステップS68に遷移する。
[Step S67]
When the receiving
なお、本実施の形態では移動子局70aのアドレスは、移動子局70aに固定的に設定される場合を説明するが、次のようにして移動子局70aのアドレスをVPNサーバ10が動的に割り当てるようにしてもよい。
In this embodiment, the case where the address of the
移動子局70aは仮のアドレスを用いてステップS62に示すVPN確立要求を移動親局60aに送信する。移動親局60aは、当該移動子局アドレス通知要求に仮アドレスを設定して、VPNサーバ10に正式な移動子局アドレスの割り当てを要求する。VPNサーバ10は、割り当てた移動子局アドレスを移動子局アドレス通知応答によって移動親局60a、さらには移動子局70aに通知する。
The
[ステップS68]
移動親局60aとVPNサーバ10でVPN確立に必要な情報が決定・共有された後、以下の処理が行われる。
[Step S68]
After the
移動親局60aは、受信部61が移動子局70aからのパケットを受信すると、親局側VPN管理テーブル63aに基づいて、当該パケットの転送先となるVPNサーバ(VPNS1)を決定する。
When the receiving
そして、VPN管理部63が、親局側VPN管理テーブル63aを参照する。そして、当該仮想VPNアドレス(MRv1)に対応して保持されるVPNセキュリティ情報(暗号方式1および暗号鍵1)を暗号処理部65に通知する。
Then, the
その後、暗号処理部65が、VPN管理部63から通知されたVPNセキュリティ情報(暗号方式1および暗号鍵1)に従って、移動子局70aから送信されたパケットを暗号化する。
Thereafter, the
その後、カプセル化処理部66が、暗号化したパケットを送信元アドレスとして移動親局60a自身の実アドレス、宛先アドレスとしてVPNサーバのアドレス(VPNS1)、および、IPSec ESPヘッダを付与する。
Thereafter, the
なお、移動親局60aの実アドレスは、移動網51に接続しているときは、「MRr11」であり、移動網52に接続しているときは、「MRr12」である。
送信部62が、得られたパケットP2を、現在接続している移動網51、または、移動網52に送出する。
Note that the real address of the
The
また、受信部61が、固定局20から移動子局70a宛のパケットP1を受信すると、カプセル化処理部66が、受信したパケットP1をデ・カプセル化する。また、暗号処理部65が、デ・カプセル化されたパケットを復号する。送信部62が、復号されたパケットP2を、現在接続している移動子局70aに送出する。
Further, when the receiving
図18は、移動網の移動後に移動親局とVPNサーバ間でやり取りされるパケットを示す図である。
図18(a)に示すパケットP1は、アドレスAD1が、移動網52に接続時の実アドレス(MRr12)である点が、図13に示すパケットP1と異なっている。
FIG. 18 is a diagram showing packets exchanged between the mobile master station and the VPN server after moving on the mobile network.
The packet P1 shown in FIG. 18A is different from the packet P1 shown in FIG. 13 in that the address AD1 is a real address (MRr12) when connected to the
また、図18(b)に示すパケットP2は、アドレスAD6が、移動網52に接続時の実アドレス(MRr12)である点が、図13に示すパケットP2と異なっている。
再び図17に戻って説明する。
The packet P2 shown in FIG. 18B is different from the packet P2 shown in FIG. 13 in that the address AD6 is a real address (MRr12) when connected to the
Returning again to FIG.
[ステップS69]
受信部61が、通信の終了を示すVPN切断要求を移動子局70aから受信したか否かを判定する。VPN切断要求を受信した場合にはステップS70に遷移する。そうでなければステップS75に遷移する。
[Step S69]
The receiving
[ステップS70]
送信部62が、VPNを確立しているVPNサーバ10に対して、通信を終了した移動子局70aのアドレスの削除を要求する移動子局アドレス削除要求を送信する。その後、ステップS71に遷移する。
[Step S70]
The
[ステップS71]
VPN管理部63が、VPNサーバ10から移動子局アドレス削除応答を受けると、親局側VPN管理テーブル63aから、移動子局70aの情報を削除する。その後、ステップS72に遷移する。
[Step S71]
When the
[ステップS72]
VPN管理部63が、通信を終了した移動子局70aが使用していたVPNを使用している他の移動子局が存在するか否かを判定する。移動子局70aが使用していたVPNを使用している他の移動子局が存在する場合は、ステップS75に遷移する。移動子局70aが使用していたVPNを使用している他の移動子局が存在しない場合は、ステップS73に遷移する。
[Step S72]
The
[ステップS73]
VPN管理部63が、VPNを切断するために、当該VPNを確立しているVPNサーバ10に対して移動親局アドレス削除要求の送信を送信部12に指示する。これにより、送信部12が、移動親局アドレス削除要求をVPNサーバ10に送信する。その後、ステップS74に遷移する。
[Step S73]
In order to disconnect the VPN, the
[ステップS74]
受信部61が、VPNサーバ10から移動親局アドレス削除完了応答を受けると、VPN管理部63が、親局側VPN管理テーブル63aから、当該VPNサーバアドレス、および、セキュリティ情報の登録を削除する。その後、ステップS62に遷移する。
[Step S74]
When the receiving
[ステップS75]
移動処理部64が、自身の移動により、別個の移動網に移動したか否かを判定する。この判定処理は、例えば、移動網からこれまでと異なる網情報(例えば、IPアドレスのネットワーク・アドレス)を受信したか否かに基づいて行う。別個の移動網に移動したと判断した場合は、ステップS76に遷移する。そうでなければステップS68に遷移する。
[Step S75]
The
[ステップS76]
ステップS61と同様に、移動処理部64が、別個の移動網において、無線基地局とリンクを確立し、DHCPサーバ等から実アドレスを取得する。その後、ステップS77に遷移する。
[Step S76]
Similar to step S61, the
[ステップS77]
ステップS64と同様に、送信部62が、ステップS76で取得した実アドレスをVPNサーバ10に通知する。その後、ステップS78に遷移する。
[Step S77]
As in step S64, the
[ステップS78]
VPN管理部63が、移動親局60aの移動に際して、暗号鍵を再設定する要求が存在するか否かを判定する。要求があればステップS79に遷移する。そうでなければステップS68に遷移する。
[Step S78]
The
[ステップS79]
ステップS65で行ったセキュリティ情報の設定のうち、暗号鍵の交換処理を実行する。その後、ステップS80に遷移する。
[Step S79]
Among the security information settings performed in step S65, encryption key exchange processing is executed. Then, the process proceeds to step S80.
[ステップS80]
ステップS79で入手した暗号鍵を親局側VPN管理テーブル63aに登録する。その後、ステップS68に遷移する。
[Step S80]
The encryption key obtained in step S79 is registered in the master station side VPN management table 63a. Then, the process proceeds to step S68.
以上で移動親局の処理の説明を終了する。
このように、移動親局60aに複数の移動子局が接続し、それらが同一のVPNサーバ10を介して通信を行う場合には、それらの移動子局の間でVPNを共用することが可能である。
This is the end of the description of the process of the mobile master station.
As described above, when a plurality of mobile slave stations are connected to the
この場合、最初にVPN確立要求が発生した際にVPNを確立する。そして、それ以降のVPN確立要求については、移動子局のアドレスを親局側VPN管理テーブル63aに登録すると共に、VPNサーバ10に当該移動子局アドレスを通知すればよい。
In this case, the VPN is established when a VPN establishment request is first generated. For subsequent VPN establishment requests, the address of the mobile slave station may be registered in the master station side VPN management table 63a and the mobile slave station address may be notified to the
このような場合に対応するために、ステップS72において、VPN切断要求については、最後の1つの移動子局からの切断要求が発生するまでは、移動子局のアドレスを自身の親局側VPN管理テーブル63aから削除すると共に、VPNサーバに当該移動子局アドレスの削除を要求する処理を行う。 In order to cope with such a case, in step S72, for the VPN disconnection request, the address of the mobile slave station is managed by the parent station side VPN management until the disconnection request from the last one mobile slave station is generated. While deleting from the table 63a, the VPN server is requested to delete the mobile slave station address.
最後の1つの移動子局からの切断要求が発生した場合は、前述した処理に加えて、VPNサーバに対して移動親局のアドレスの削除要求を行い、VPNを切断する。
次に、VPNサーバ10の処理を説明する。
When a disconnection request from the last mobile slave station is generated, in addition to the processing described above, a request for deleting the address of the mobile master station is made to the VPN server, and the VPN is disconnected.
Next, the process of the
<VPNサーバの移動親局アドレス通知受信処理>
図19は、VPNサーバのアドレス通知受信処理を示す図である。
[ステップS81]
まず、受信部11が、移動親局60aから移動親局アドレス通知を受信する。その後、ステップS82に遷移する。
<Mobile parent station address notification reception processing of VPN server>
FIG. 19 is a diagram showing address notification reception processing of the VPN server.
[Step S81]
First, the receiving
[ステップS82]
VPN管理部13が、受信した通知に含まれている移動親局の仮想VPNアドレスが、サーバ側VPN管理テーブル13aに登録されているか否かを判定する。登録されていない場合、すなわち、移動親局60aが新規の移動親局である場合、ステップS83へ遷移する。登録されている場合、すなわち、移動親局60aの移動により、新たな移動網に接続した場合は、ステップS86に遷移する。
[Step S82]
The
[ステップS83]
VPN管理部13が、ステップS81で受信した通知に含まれている移動親局アドレス、仮想VPNアドレス等をサーバ側VPN管理テーブル13aに登録する。その後、ステップS84に遷移する。
[Step S83]
The
[ステップS84]
当該移動親局60aとの間で、暗号化方式の交渉、および暗号鍵の交換処理を実行する。その後、ステップS85に遷移する。
[Step S84]
An encryption method negotiation and an encryption key exchange process are executed with the
[ステップS85]
VPN管理部13が、ステップS84で決定された暗号化方式、暗号鍵をサーバ側VPN管理テーブル13aに登録する。その後、ステップS90に遷移する。
[Step S85]
The
[ステップS86]
VPN管理部13が、ステップS81で受信した通知のパケットに含まれている仮想VPNアドレスに対応するサーバ側VPN管理テーブル13a内のエントリを検索する。そして、一致する仮想VPNアドレスを有するエントリを、ステップS81で受信した通知のパケットに含まれている実アドレスで更新する。
[Step S86]
The
例えば、サーバ側VPN管理テーブル13aが図7に示す状態のとき、移動親局60aからのアドレス通知を受信した場合を想定する。
受信した通知のパケットに、移動親局仮想VPNアドレスMRv1、移動親局実アドレスMRr12が含まれていれば、1列目のエントリの移動親局仮想VPNアドレスMRv1が一致する。従って、当該エントリを更新する。これにより、移動親局実アドレスの欄の実アドレスが、「MRr11」から「MRr12」に更新される。
For example, it is assumed that when the server-side VPN management table 13a is in the state shown in FIG. 7, an address notification from the
If the received notification packet includes the mobile master station virtual VPN address MRv1 and the mobile master station real address MRr12, the mobile master station virtual VPN address MRv1 of the entry in the first column matches. Therefore, the entry is updated. As a result, the real address in the mobile master station real address column is updated from “MRr11” to “MRr12”.
また、一致したサーバ側VPN管理テーブル13aのエントリの移動速度、および、移動網種別の欄の値を、同時に受信した移動速度や移動網種別の値に更新する。その後、ステップS87に遷移する。 In addition, the moving speed of the entry in the matched server-side VPN management table 13a and the value in the mobile network type column are updated to the values of the moving speed and mobile network type received at the same time. Thereafter, the process proceeds to operation S87.
[ステップS87]
受信したパケットの送信元である移動親局60aに対し、暗号鍵の再設定を行うか否かを判定する。暗号鍵の再設定を行う場合はステップS88に遷移する。そうでなければステップS90に遷移する。
[Step S87]
It is determined whether or not to reset the encryption key for the
[ステップS88]
移動親局60aとの間で、暗号鍵の交換処理を実行する。その後、ステップS89に遷移する。
[Step S88]
An encryption key exchange process is executed with the
[ステップS89]
ステップS88で決定された新たな暗号鍵をサーバ側VPN管理テーブル13aのVPNセキュリティ情報の欄に登録する。その後、ステップS90に遷移する。
[Step S89]
The new encryption key determined in step S88 is registered in the VPN security information column of the server-side VPN management table 13a. Thereafter, the process proceeds to operation S90.
[ステップS90]
ステップS81で受信したパケットの送信元の移動親局に対して、移動親局アドレス通知応答を送信する。その後、処理を終了する。
[Step S90]
A mobile parent station address notification response is transmitted to the mobile parent station that is the transmission source of the packet received in step S81. Thereafter, the process ends.
以上で、アドレス通知受信処理の説明を終了する。
なお、移動子局アドレス追加要求については記載していないが、移動子局アドレス追加要求に含まれている移動親局アドレスに対応させる形で、サーバ側VPN管理テーブル13aに移動子局アドレスを登録する。
This is the end of the description of the address notification reception process.
Although the mobile slave station address addition request is not described, the mobile slave station address is registered in the server-side VPN management table 13a so as to correspond to the mobile master station address included in the mobile slave station address addition request. To do.
<暗号鍵交換処理要否判定処理>
次に、ステップS87に示すVPNサーバ10の暗号鍵交換処理要否判定処理を説明する。
<Encryption key exchange process necessity determination process>
Next, the encryption key exchange process necessity determination process of the
図20は、暗号鍵交換処理要否判定処理を示すフローチャートである。
[ステップS87a]
VPNサーバ10は、移動親局との間でUDPによる通信を行っているか否かを判定する。
FIG. 20 is a flowchart showing encryption key exchange processing necessity determination processing.
[Step S87a]
The
具体的には、サーバ側VPN管理テーブル13aを検索し、移動親局60aの仮想VPNアドレスに一致するエントリを検出する。そして、当該エントリのデータ種別の欄がUDPであるか否かを判断する。
Specifically, the server-side VPN management table 13a is searched, and an entry that matches the virtual VPN address of the
データ種別の欄がUDPである場合、すなわち、UDPによる通信を行っている場合にはステップS90に遷移する。そうでなければステップS87bに遷移する。
[ステップS87b]
VPNサーバ10は、先に暗号鍵の交換を行った時刻から現在までに一定の時間が経過しているか否かを判定する。
When the data type column is UDP, that is, when communication is performed using UDP, the process proceeds to step S90. Otherwise, the process proceeds to step S87b.
[Step S87b]
The
具体的には、ステップS87aにて一致したエントリの更新時刻の欄に設定されている時間からの経過時間が、予め定められた時間(閾値時間)以上であるか否かを判断する。
経過時間が、閾値時間以上である場合にはステップS87cに遷移する。そうでなければステップS90に遷移する。
Specifically, it is determined whether or not the elapsed time from the time set in the update time column of the matched entry in step S87a is equal to or longer than a predetermined time (threshold time).
If the elapsed time is greater than or equal to the threshold time, the process proceeds to step S87c. Otherwise, the process proceeds to step S90.
[ステップS87c]
VPNサーバ10は、新たな移動網のセルサイズ(通信エリア)と移動親局60aの移動速度に鑑みて、暗号鍵の再設定を行うか否かを判定する。この処理については、後に詳述する。暗号鍵の再設定を行う場合にはステップS88に遷移する。そうでなければステップS90に遷移する。
[Step S87c]
The
以上で、暗号鍵交換処理要否判定処理の説明を終了する。
なお、本実施の形態では、ステップS87a、S87b、S87cの順番で処理を行ったが、処理の順番はこれに限定されない。
This is the end of the description of the encryption key exchange process necessity determination process.
In the present embodiment, processing is performed in the order of steps S87a, S87b, and S87c, but the processing order is not limited to this.
ところで、ステップS87aにおいて、UDPは、音声や動画像等のリアルタイムでデータを転送するために用いられるプロトコルの例として挙げている。このようなリアルタイムのデータ通信では、暗号鍵の交換処理に伴う通信の瞬断が発生する場合がある。この場合、ユーザにとっては音声の途切れや、画像のノイズとして認識されるため、暗号鍵の交換処理を実行しないのが好ましい場合の例として示している。 By the way, in step S87a, UDP is cited as an example of a protocol used for transferring data in real time such as voice and moving images. In such real-time data communication, there may be a momentary communication interruption accompanying encryption key exchange processing. In this case, it is recognized as an example of a case where it is preferable for the user not to execute the encryption key exchange process because it is recognized as a sound interruption or image noise.
このように通信に瞬断が発生する時間が問題となるような通信に用いられるプロトコルであればUDPに限定されず、他のプロトコルでも適用することができる。
なお、同一のVPNにおいてUDPとTCPによる通信が混在するような場合があるが、そのような場合には、通信の瞬断に厳しいUDPを考慮し、暗号鍵の交換を実行しないようにするのが好ましい。
As described above, the protocol is not limited to UDP as long as it is a protocol used for communication in which the time at which instantaneous interruption occurs in communication, and other protocols can be applied.
In some cases, UDP and TCP communication may coexist in the same VPN. In such a case, the exchange of encryption keys should not be performed in consideration of UDP that is severe in communication interruption. Is preferred.
ところで、ステップS87bにおいて、暗号鍵の交換処理を行わないことで、当該設定に伴う瞬断時間をなくすことができる反面、同じVPNセキュリティ情報(暗号鍵)を用いる時間が長くなる。 By the way, by not performing the encryption key exchange process in step S87b, the instantaneous interruption time associated with the setting can be eliminated, but the time for using the same VPN security information (encryption key) becomes longer.
このため、ある一定の時間を閾値時間として予め用意しておき、ある暗号鍵が当該閾値時間を超えて連続的に使用されないようにすることで、セキュリティ情報の信頼性の低下を防止することができる。なお、この閾値時間は、ユーザの望むセキュリティ・レベルやプロトコルの種別に応じて、異なる値が設定されてもよい。 For this reason, it is possible to prevent a decrease in the reliability of security information by preparing a certain time as a threshold time in advance and preventing a certain encryption key from being used continuously beyond the threshold time. it can. The threshold time may be set to a different value depending on the security level desired by the user and the type of protocol.
なお、本実施の形態では、移動親局アドレス通知を受信した後に、ステップS87bの処理を行うようにしたが、これに限らず、例えば、移動親局アドレス通知を受信しなくても、VPNサーバ10は、先に暗号鍵の交換を行った時刻から現在までに閾値時間以上の時間が経過しているか否かを判定し、閾値時間以上の時間が経過している場合には暗号鍵の交換処理を実施するようにしてもよい。 In the present embodiment, the process of step S87b is performed after the mobile parent station address notification is received. However, the present invention is not limited to this. For example, the VPN server can be used without receiving the mobile parent station address notification. 10 determines whether or not a time equal to or longer than the threshold time has elapsed since the time when the encryption key was previously exchanged, and if the time equal to or greater than the threshold time has elapsed, the encryption key is exchanged Processing may be performed.
<移動速度等に基づく鍵交換実施判定処理>
次に、ステップS87cの処理を詳しく説明する。
ステップS87cにおいて、例えば、通信に使用している移動網が携帯電話網等、通信エリアが数kmに及ぶような場合は、当該エリアに在圏する時間に比べて、暗号鍵の交換を行うことによる通信の瞬断時間が短い。このため、当該エリア内で通信可能な時間と比較した場合の影響は小さくなる。
<Key exchange execution determination process based on moving speed, etc.>
Next, the process of step S87c will be described in detail.
In step S87c, for example, when the mobile network used for communication is a mobile phone network or the like and the communication area covers several kilometers, the encryption key is exchanged compared to the time in the area. The communication interruption time due to is short. For this reason, the influence when compared with the communicable time within the area is reduced.
ところが、移動網が無線LANのような通信エリアが数十mであるような場合は、移動親局が当該通信エリアに在圏中に通信可能となる時間が短くなる。このため、暗号鍵の交換設定を行うことによる瞬断時間の影響が大きくなる。 However, when the mobile network has a communication area such as a wireless LAN of several tens of meters, the time during which the mobile master station can communicate while in the communication area is shortened. For this reason, the influence of the instantaneous interruption time due to the encryption key exchange setting is increased.
従って、新たな移動網における瞬断時間の影響の大きい場合には暗号鍵の交換処理を行わないようにするのが好ましい。
このため、ステップS87cでは、以下の処理を行うことにより、鍵交換の要否を判定している。
Therefore, it is preferable not to perform the encryption key exchange process when the influence of the instantaneous interruption time in the new mobile network is large.
Therefore, in step S87c, it is determined whether or not key exchange is necessary by performing the following processing.
図21は、暗号鍵交換処理要否判定処理の詳細を示すフローチャートである。
[ステップS87c1]
VPNサーバ10は、通信エリア管理テーブル16aを参照する。そして、ステップS81にて受信した移動親局アドレス通知に含まれる移動網種別に対するセルサイズを取得する。その後、ステップS87c2に遷移する。
FIG. 21 is a flowchart showing details of the encryption key exchange process necessity determination process.
[Step S87c1]
The
[ステップS87c2]
VPNサーバ10は、移動親局60aが、当該セルを通過する時間(通過時間)を演算する。具体的には、セルサイズを移動親局60aの移動速度で除算することにより、通過時間を演算する。その後、ステップS87c3に遷移する。
[Step S87c2]
The
[ステップS87c3]
ステップS87c2にて求めた通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の百分率を演算する。具体的には、データ格納部16に格納されている暗号鍵の交換処理に必要な時間を取得する。そして、処理時間/通過時間×100を演算する。その後、ステップS87c4に遷移する。
[Step S87c3]
Based on the passage time obtained in step S87c2, the percentage of time during which communication is disabled by calculating encryption key exchange is calculated. Specifically, the time required for the exchange process of the encryption key stored in the
[ステップS87c4]
ステップS87c3にて求めた百分率に基づいて、暗号鍵の交換処理を行うか否かを判断する。具体的には、データ格納部16に格納されている鍵交換の実行中に通信不可となることが許容される時間の百分率T(%)を取得する。そして、ステップS87c3にて求めた百分率が、百分率T以上か否かを判断する。ステップS87c3にて求めた百分率が、百分率T以上である場合、実行しないと判断し、ステップS90に遷移する。ステップS87c3にて求めた百分率が、百分率T未満である場合、実行すると判断し、ステップS88に遷移する。
[Step S87c4]
Based on the percentage obtained in step S87c3, it is determined whether or not to perform the encryption key exchange process. Specifically, the percentage T (%) of the time allowed to be disabled during the key exchange stored in the
以上で暗号鍵交換処理要否判定処理の詳細の説明を終了する。
次に、暗号鍵交換処理要否判定処理の具体例を説明する。
なお、以下の例では、データ格納部16に格納されている暗号鍵の交換処理に要する時間が1秒であり、百分率Tが10%であるものとして説明する。
This is the end of the detailed description of the encryption key exchange process necessity determination process.
Next, a specific example of the encryption key exchange process necessity determination process will be described.
In the following example, it is assumed that the time required for the exchange processing of the encryption key stored in the
また、VPNサーバ10が、ステップS81にて受信した移動親局アドレス通知には、移動親局60aの移動速度V(=11m/秒)、および移動網種別(=無線LAN)が含まれているものとする。
Further, the mobile parent station address notification received by the
VPNサーバ10は、通信エリア管理テーブル16aを参照する。そして、無線LANに対するセルサイズの欄に設定されている値100mを取得する。
ここで、移動親局アドレス通知を送信した移動親局60aが時速40km(11m/秒)で移動していると仮定すると、VPNサーバ10は、当該セルを通過する時間(通過時間)を演算する。すなわち、
通過時間=セルサイズ/移動速度(100[m]/11[m/秒])より、約9秒が得られる。
The
Here, assuming that the
From passing time = cell size / moving speed (100 [m] / 11 [m / sec]), about 9 seconds can be obtained.
次に、この通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の百分率を演算する。すなわち、
百分率=交換処理に要する時間/当該セル在圏時間(1[秒]/9[秒])×100より、約11%が得られる。
Next, based on this passage time, the percentage of time during which communication is disabled by performing encryption key exchange processing is calculated. That is,
Percentage = time required for the replacement process / cell presence time (1 [second] / 9 [second]) × 100, about 11% is obtained.
これにより、暗号鍵の交換処理を実行することにより11%が通信不可となることが分かる。
この値は、VPNサーバ10に設定された百分率T(=10%)以上であるため、暗号鍵の交換処理は行わない。
Thus, it is understood that 11% cannot be communicated by executing the encryption key exchange process.
Since this value is equal to or greater than the percentage T (= 10%) set in the
一方、当該移動親局アドレス通知を送信した移動親局が時速20km(5.6m/秒)で移動していると仮定すると、VPNサーバ10は、当該セルを通過する時間(通過時間)を演算する。すなわち、
通過時間=セルサイズ/移動速度(100[m]/5.6[m/秒])より、約18秒が得られる。
On the other hand, assuming that the mobile master station that transmitted the mobile master station address notification is moving at a speed of 20 km (5.6 m / sec), the
From the passing time = cell size / moving speed (100 [m] /5.6 [m / sec]), about 18 seconds can be obtained.
次に、この通過時間に基づいて、暗号鍵の交換処理を実行することにより通信不可となる時間の割合を演算する。
これにより、暗号鍵の交換処理を実行することにより当該セル在圏時間18秒間のうちの1秒、すなわち6%(=1[秒]/18[秒]×100)が通信不可となることが分かる。
Next, based on this passage time, the ratio of the time during which communication is disabled by executing the encryption key exchange process is calculated.
As a result, by executing the encryption key exchange process, 1 second of the cell presence time of 18 seconds, that is, 6% (= 1 [second] / 18 [second] × 100) may not be communicated. I understand.
この値は、VPNサーバ10に設定された百分率T(=10%)よりも小さいため、暗号鍵の交換処理を実行する。
以上説明したように、実施の形態のシステム100によれば、移動親局60aに対して移動網51、52間で共通する固定的な移動親局仮想VPNアドレスを設定するようにした。そして、暗号鍵の生成(セキュリティの設定)にこの仮想VPNアドレスを利用するようにした。
Since this value is smaller than the percentage T (= 10%) set in the
As described above, according to the system 100 of the embodiment, a fixed mobile parent station virtual VPN address common between the
これにより、移動子局70aが移動網51、52間を移動すると、移動親局60aの実アドレスは変化するが、移動親局60aの仮想VPNアドレスは変化しない。従って、移動親局60aの移動網51、52間の移動時に暗号鍵の再設定の処理を省略することができる。
Thus, when the
これによって、移動網51、52間の移動に伴う通信確立のための設定に必要な時間の短縮を図ることができる。従って、通信品質が向上する。
また、移動親局60aは、当該再設定が完了するまでの間に送信されたデータを蓄えておく必要がないので、移動親局60aが大容量のバッファを備える必要がない。
As a result, it is possible to shorten the time required for the setting for establishing communication associated with the movement between the
Further, since the
なお、移動親局60aが携帯電話、無線LAN等の複数の通信インタフェースをサポートしている場合には、携帯電話の基地局に接続できない場合には、無線LANに接続する等、異なる移動網にまたがって移動してもよい。なお、本実施の形態では、再設定の対象となるセキュリティ情報として暗号鍵を用いた場合について説明したが、暗号化アルゴリズムが変更されてもよい。
If the
<第3の実施の形態>
次に、第3の実施の形態のシステムについて説明する。
以下、第3の実施の形態のシステムについて、前述した第2の実施の形態との相違点を中心に説明し、同様の事項については、その説明を省略する。
<Third Embodiment>
Next, a system according to a third embodiment will be described.
Hereinafter, the system according to the third embodiment will be described with a focus on differences from the second embodiment described above, and description of similar matters will be omitted.
図22は、第3の実施の形態のシステムを示す図である。なお、図22では、システム100と共通部分の図示を一部省略して示している。
第3の実施の形態のシステム100aは、移動局網80に存在する移動子局70a、70b間の通信を行う場合を示している。
FIG. 22 illustrates a system according to the third embodiment. Note that, in FIG. 22, some parts common to the system 100 are not shown.
A system 100a according to the third embodiment shows a case where communication is performed between
以下、本実施の形態における移動親局の処理を示す。
なお、第3の実施の形態では、ステップS68の処理が異なっている。以下、本実施の形態のステップS68に対応する処理を説明する。
Hereinafter, processing of the mobile master station in the present embodiment will be described.
Note that the processing in step S68 is different in the third embodiment. Hereinafter, the process corresponding to step S68 of this Embodiment is demonstrated.
図23は、第3の実施の形態の移動親局の処理を示すフローチャートである。
[ステップS91]
受信部61が、移動子局70aからパケットを受信する。その後、ステップS92に遷移する。
FIG. 23 is a flowchart illustrating processing of the mobile master station according to the third embodiment.
[Step S91]
The receiving
[ステップS92]
受信したパケットの宛先アドレスを参照し、宛先の移動子局70bが移動局網80に存在するか否かを判定する。存在する場合は、ステップS93に遷移する。そうでなければ、ステップS94に遷移する。
[Step S92]
With reference to the destination address of the received packet, it is determined whether or not the destination
[ステップS93]
受信したパケットを移動局網80に転送する。その後、処理を終了する。
[ステップS94]
宛先の移動子局70bが移動局網80に接続されていない場合は、そのパケットに対して暗号化・カプセル化を行う。これにより、パケットP2が生成される。その後、ステップS95に遷移する。
[Step S93]
The received packet is transferred to the
[Step S94]
When the destination
[ステップS95]
ステップS94で処理したパケットP2をVPNサーバ10に転送する。その後、処理を終了する。
[Step S95]
The packet P2 processed in step S94 is transferred to the
以上で、第3の実施の形態の移動親局60aの処理を終了する。
この第3の実施の形態のシステム100aによれば、第2の実施の形態のシステム100と同様の効果が得られる。
Above, the process of the
According to the system 100a of the third embodiment, the same effect as that of the system 100 of the second embodiment can be obtained.
そして、第3の実施の形態のシステム100aによれば、さらに、移動局網80に存在する移動子局70a、70b間の通信においても通信品質の向上を図ることができる。
<第4の実施の形態>
次に、第4の実施の形態のシステムについて説明する。
Further, according to the system 100a of the third embodiment, communication quality can be improved even in communication between the
<Fourth embodiment>
Next, a system according to a fourth embodiment will be described.
以下、第4の実施の形態のシステムについて、前述した第2の実施の形態との相違点を中心に説明し、同様の事項については、その説明を省略する。
図24は、第4の実施の形態のシステムを示す図である。
Hereinafter, the system of the fourth embodiment will be described focusing on the differences from the second embodiment described above, and description of similar matters will be omitted.
FIG. 24 is a diagram illustrating a system according to the fourth embodiment.
第4の実施の形態のシステム100bは、移動親局60aに接続された移動子局70aが、移動親局60bに接続された移動子局70cとの間で通信を行うものである。
システム100bでは、中継網40からパケットP2を受信したときのVPNサーバ10の処理が、システム100と異なっている。以下、本実施の形態の処理を説明する。
In the system 100b of the fourth embodiment, a
In the system 100b, the processing of the
図25は、第4の実施の形態のVPNサーバの処理を示すフローチャートである。
[ステップS101]
受信部11が、中継網40から宛先が移動子局70cであるパケットP2を受信する。その後、ステップS102に遷移する。
FIG. 25 is a flowchart illustrating processing of the VPN server according to the fourth embodiment.
[Step S101]
The receiving
[ステップS102]
カプセル化処理部15が、ステップS101で受信したパケットP2のデ・カプセル化を行う。暗号処理部14が、デ・カプセル化されたパケットを復号する。その後、ステップS103に遷移する。
[Step S102]
The
[ステップS103]
復号されたパケットの宛先アドレスを見て、宛先の移動子局70cが固定網30に接続されているか否かを判定する。接続されていればステップS104に遷移する。そうでなければステップS105に遷移する。
[Step S103]
By looking at the destination address of the decrypted packet, it is determined whether or not the destination
[ステップS104]
宛先の移動子局70cが固定網30に接続されている場合は、そのパケットを固定網30に転送する。その後、処理を終了する。
[Step S104]
When the destination
[ステップS105]
宛先の移動子局70cが固定網30に接続されていない場合は、ステップS102でデ・カプセル化、および、復号されたパケットに対して、固定局20から送信されたパケットに対して行う処理と同様の処理を行う。
[Step S105]
When the destination
まず、VPN管理部13が、サーバ側VPN管理テーブル13aを参照し、パケットの宛先の移動子局70cが接続されている移動親局60bを求める。
そして、暗号処理部14が、パケットを暗号化する。また、カプセル化処理部15が、パケットをカプセル化する。これにより、移動子局70cを宛先とするパケットP1が生成される。その後、ステップS106に遷移する。
First, the
Then, the
[ステップS106]
送信部12が、ステップS105で処理したパケットP1を中継網40に転送する。その後、処理を終了する。
[Step S106]
The
以上で、第4の実施の形態のVPNサーバ10の処理の説明を終了する。
この第4の実施の形態のシステム100bによれば、第2の実施の形態のシステム100と同様の効果が得られる。
Above, description of the process of the
According to the system 100b of the fourth embodiment, the same effect as that of the system 100 of the second embodiment can be obtained.
そして、第4の実施の形態のシステム100bによれば、さらに、移動子局70a、70c間における通信においても通信品質の向上を図ることができる。
以上、本発明の通信管理装置および通信管理プログラムを、図示の実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、各部の構成は、同様の機能を有する任意の構成のものに置換することができる。また、本発明に、他の任意の構成物や工程が付加されていてもよい。
Further, according to the system 100b of the fourth embodiment, communication quality can be further improved in communication between the
As described above, the communication management apparatus and the communication management program of the present invention have been described based on the illustrated embodiment, but the present invention is not limited to this, and the configuration of each unit is an arbitrary one having the same function. It can be replaced with that of the configuration. Moreover, other arbitrary components and processes may be added to the present invention.
なお、前述した各実施の形態では、IPSec−VPNを用いて説明したが、これに限らず、例えば、SSL−VPNや、レイヤ2VPN等の他のインターネットVPNにも適用することができる。
In each of the above-described embodiments, the IPSec-VPN is used for explanation. However, the present invention is not limited to this, and can be applied to other Internet VPNs such as SSL-VPN and
また、本発明は、前述した各実施の形態のうちの、任意の2以上の構成(特徴)を組み合わせたものであってもよい。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、VPNサーバ10が有する機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記録装置としては、例えば、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ等が挙げられる。光ディスクとしては、例えば、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等が挙げられる。光磁気記録媒体としては、例えば、MO(Magneto-Optical disk)等が挙げられる。
Further, the present invention may be a combination of any two or more configurations (features) of the above-described embodiments.
The above processing functions can be realized by a computer. In that case, a program describing the processing contents of the functions of the
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROM等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。 When distributing the program, for example, a portable recording medium such as a DVD or a CD-ROM in which the program is recorded is sold. It is also possible to store the program in a storage device of a server computer and transfer the program from the server computer to another computer via a network.
通信管理プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。 A computer that executes a communication management program stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. Then, the computer reads the program from its own storage device and executes processing according to the program. The computer can also read the program directly from the portable recording medium and execute processing according to the program. In addition, each time the program is transferred from the server computer, the computer can sequentially execute processing according to the received program.
1 通信管理装置
2 格納部
2a 管理情報
3、14、65 暗号処理部
4、12、62、72 送信部
5a、5b 網
6 移動装置
7 通信装置
8、8a、P1、P2 パケット
10 VPNサーバ
11、61、71 受信部
13、63、73 VPN管理部
13a サーバ側VPN管理テーブル
15、66 カプセル化処理部
16 データ格納部
16a 通信エリア管理テーブル
20 固定局
30 固定網
40 中継網
51、52 移動網
60a、60b 移動親局
63a 親局側VPN管理テーブル
64 移動処理部
70a、70b、70c 移動子局
80 移動局網
100、100a、100b システム
DESCRIPTION OF SYMBOLS 1
Claims (6)
前記第2のアドレス宛のパケットを受信した場合、受信した前記第2のアドレスに対応する前記管理情報のセキュリティ情報に基づいて前記パケットを暗号化する暗号処理部と、
前記暗号化が施されたパケットを、受信した前記第2のアドレスに対応する前記第1のアドレス宛に送信する送信部と、
を有することを特徴とする通信管理装置。 Associating a mobile device that moves between a plurality of networks with a first address set for each network, a second address that is common among the plurality of networks, and security information corresponding to the second address. A storage unit for storing management information;
An encryption processor that encrypts the packet based on security information of the management information corresponding to the received second address when a packet addressed to the second address is received;
A transmitter that transmits the encrypted packet to the first address corresponding to the received second address;
A communication management apparatus comprising:
複数の網間を移動する移動装置の、前記網毎に設定された第1のアドレスと前記複数の網間で共通する第2のアドレスと前記第2のアドレスに対応するセキュリティ情報とを対応づけた管理情報を格納する格納手段、
前記第2のアドレス宛のパケットを受信した場合、受信した前記第2のアドレスに対応する前記管理情報のセキュリティ情報に基づいて前記パケットを暗号化する暗号処理手段、
前記暗号化が施されたパケットを、受信した前記第2のアドレスに対応する前記第1のアドレス宛に送信する送信手段、
として機能させることを特徴とする通信管理プログラム。 Computer
Associating a mobile device that moves between a plurality of networks with a first address set for each network, a second address that is common among the plurality of networks, and security information corresponding to the second address. Storage means for storing management information,
An encryption processing means for encrypting the packet based on security information of the management information corresponding to the received second address when a packet addressed to the second address is received;
Transmitting means for transmitting the encrypted packet to the first address corresponding to the received second address;
A communication management program characterized by functioning as
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009159596A JP2011015327A (en) | 2009-07-06 | 2009-07-06 | Communication management apparatus and communication management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009159596A JP2011015327A (en) | 2009-07-06 | 2009-07-06 | Communication management apparatus and communication management program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011015327A true JP2011015327A (en) | 2011-01-20 |
Family
ID=43593725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009159596A Pending JP2011015327A (en) | 2009-07-06 | 2009-07-06 | Communication management apparatus and communication management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011015327A (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016506659A (en) * | 2013-01-17 | 2016-03-03 | インテル アイピー コーポレイション | Apparatus, system, and method for communicating non-cellular access network information in a cellular network |
US10194360B2 (en) | 2012-11-01 | 2019-01-29 | Intel Corporation | Apparatus, system and method of cellular network communications corresponding to a non-cellular network |
US10219281B2 (en) | 2012-12-03 | 2019-02-26 | Intel Corporation | Apparatus, system and method of user-equipment (UE) centric access network selection |
US10271314B2 (en) | 2013-04-04 | 2019-04-23 | Intel IP Corporation | Apparatus, system and method of user-equipment (UE) centric traffic routing |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
JP2021145335A (en) * | 2019-09-24 | 2021-09-24 | プライビット テクノロジー インク | System for controlling network access of terminal based on tunnel and method thereof |
US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005269661A (en) * | 2004-03-19 | 2005-09-29 | Microsoft Corp | Virtual private network structure reuse for mobile computing device |
-
2009
- 2009-07-06 JP JP2009159596A patent/JP2011015327A/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005269661A (en) * | 2004-03-19 | 2005-09-29 | Microsoft Corp | Virtual private network structure reuse for mobile computing device |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10356640B2 (en) | 2012-11-01 | 2019-07-16 | Intel Corporation | Apparatus, system and method of cellular network communications corresponding to a non-cellular network |
US10194360B2 (en) | 2012-11-01 | 2019-01-29 | Intel Corporation | Apparatus, system and method of cellular network communications corresponding to a non-cellular network |
US10194361B2 (en) | 2012-11-01 | 2019-01-29 | Intel Corporation | Apparatus system and method of cellular network communications corresponding to a non-cellular network |
US10219281B2 (en) | 2012-12-03 | 2019-02-26 | Intel Corporation | Apparatus, system and method of user-equipment (UE) centric access network selection |
US10292180B2 (en) | 2013-01-17 | 2019-05-14 | Intel IP Corporation | Apparatus, system and method of communicating non-cellular access network information over a cellular network |
JP2016506659A (en) * | 2013-01-17 | 2016-03-03 | インテル アイピー コーポレイション | Apparatus, system, and method for communicating non-cellular access network information in a cellular network |
US9525538B2 (en) | 2013-01-17 | 2016-12-20 | Intel IP Corporation | Apparatus, system and method of communicating non-cellular access network information over a cellular network |
US10271314B2 (en) | 2013-04-04 | 2019-04-23 | Intel IP Corporation | Apparatus, system and method of user-equipment (UE) centric traffic routing |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
JP2021145335A (en) * | 2019-09-24 | 2021-09-24 | プライビット テクノロジー インク | System for controlling network access of terminal based on tunnel and method thereof |
US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
JP7148173B2 (en) | 2019-09-24 | 2022-10-05 | プライビット テクノロジー インク | System and method for controlling network connection of terminal based on tunnel |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2011015327A (en) | Communication management apparatus and communication management program | |
EP2806704B1 (en) | Proxy based communication scheme in docking structure | |
US7729366B2 (en) | Method, apparatus and system for network mobility of a mobile communication device | |
TWI500305B (en) | Enabling ipv6 mobility with nat64 | |
US20090168788A1 (en) | Network address translation for tunnel mobility | |
EP2924956B1 (en) | Method and apparatus for handover between content servers for transmission path optimization | |
US8144678B1 (en) | Mobile device handoff while maintaining connectivity with multiple access points | |
US20080162924A1 (en) | Handoff of a secure connection among gateways | |
JP5348340B2 (en) | Mobile communication system and communication control method | |
JP2008546272A (en) | Terminal apparatus having handover function based on SCTP and handover method | |
CN105284096B (en) | The device and method of control transparent tunnel mode operation in the communication system for supporting wireless docking agreement | |
JP2010528567A (en) | Protocol architecture for access mobility in wireless communications | |
CN101510889A (en) | Method and equipment for obtaining dynamic route | |
WO2016042764A1 (en) | Connection method, connection system, portable terminal, and program | |
EP1643715A1 (en) | Communications system, method and router for speeding up communication path changeover between communication terminals | |
WO2016029854A1 (en) | Wireless network connection method, device and system | |
JP4748157B2 (en) | Mobile communication control method, mobile communication system, routing device, management device, and program | |
US8897441B2 (en) | Packet transmitting and receiving apparatus and packet transmitting and receiving method | |
JP4909864B2 (en) | Handoff method, radio base station apparatus and gateway apparatus in mobile communication system | |
WO2021111703A1 (en) | Communication control apparatus, communication control method, and program | |
CN115801675A (en) | Message processing method and related device | |
JP6255468B2 (en) | Mobile terminal, communication system, and mobile terminal program | |
MX2007016507A (en) | Apparatus and method for performing fast handover. | |
JP2010522480A (en) | Selection of IP mobility mechanism for multi-mode terminals with tunnel IP connectivity | |
JP2018107495A (en) | Connection switching system, connection switching method, and connection destination device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120405 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130110 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130403 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130514 |