データ通信装置およびデータ通信方法
【課題】IPv6匿名アドレス機能を備えた移動端末に適用できるフィルタを実現する。
【解決手段】通信端末からインタフェース識別子の更新通知を受信すると、インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに更新後のインタフェース識別子を登録し、そのフィルタリングテーブルに基づいて、公衆網から受信したIPv6データパケットのフィルタリングを行なう。
【解決手段】通信端末からインタフェース識別子の更新通知を受信すると、インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに更新後のインタフェース識別子を登録し、そのフィルタリングテーブルに基づいて、公衆網から受信したIPv6データパケットのフィルタリングを行なう。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ通信装置、データ通信方法、および移動体通信システムに用いる通信端末装置及びアクセスサーバ、ならびにコンピュータ・プログラムに関する。
【背景技術】
【0002】
近年、移動体通信において、移動端末を使ったメールの送受信、インターネットへのアクセス、Web閲覧といったデータ通信が盛んに行われている。このようなデータ通信を実現するため、移動無線端末とデータ通信装置(Packet Data Serving Node:以下PDSNと称す)間のデータ通信用として、非特許文献1に開示のとおりRFC1661で標準化されているPoint to Point Protocol(以下PPPと称す)が使用されていることが知られている。PPPでは、データ通信に必要なリンク設定の交渉、アクセスするユーザの認証、IPアドレスやDNSサーバアドレスを通知する機能から成り立っている。
【0003】
また、PPPで転送するネットワーク層としてInternet Protocol(以下IPと称す)が用いられ、現在多く使用されているIPはIPv4であり、発信元/宛先として32ビットからなるアドレス(IPアドレス)が用いられている。
【0004】
インターネット通信においては、32ビットIPアドレスを各発信元/宛先にユニークに割り当てるグローバルIPアドレスを採用し、IPアドレスに応じて、個々の発信元/宛先を判別している。しかし、インターネットの世界は急速に広がりを見せており、IPv4の限られたアドレス空間、すなわちグローバルアドレスの枯渇が問題となってきている。
【0005】
これを解決するためにInternet Engineering Task Force(以下IETFと称す)では、次世代IPアドレスとしてIPアドレス空間を32ビットから128ビットに拡張する新しいInternet Protocol version 6(以下IPv6と称す)を提案している。
【0006】
図8は、IPv6アドレスのフォーマットを示す図である。IPv6アドレスの上位64ビットは経路情報(ネットワークプレフィックス:Network Prefix:以下Prefixと称す)2301であり、下位64ビットはノードが有するネットワークインタフェースを、ノードが接続しているサブネットワーク内で識別するためのインタフェース識別子2302(以下Interface IDと称す)である。Interface ID2302はサブネットワーク内で一意であり、Interface IDとしてMACアドレス等が利用される。
【0007】
PPPを用いたIPv6通信は、非特許文献2に開示のとおりRFC2472で規定されているIPv6CP手順を用いて行われる。このIPv6CP手順では、IPv6アドレスのInterface ID2302を通信相手に通知する手順が含まれている。
【0008】
3rd Generation Partnership Project 2(以下3GPP2と称す)のX.S0011-Cのリファレンスモデルでは、移動端末、移動端末と無線接続するRadio Network、移動端末とPPP接続するPDSN、PDSNが認証時にアクセスするRADIUS、インターネットプロバイダ、インターネットと接続されているIP Networkから構成される。移動端末とPDSN間でPPP接続が完了すると、移動端末は、プロバイダネットワーク140、PDSNを介してIP Networkと接続し、インターネット通信、コンテンツ閲覧を行えるようになる。
【0009】
IPv6接続を行う場合、PDSNは、移動端末に付与するPrefixをPPPリンク毎にユニークにしなければならないことが知られており、Prefixは、ルータ広告(以下Router Advertisementと称す)で移動端末に通知することも知られている。
【0010】
また、移動端末とIP Network間で送受信されるIPv6パケットは、PrefixがPPPリンク毎にユニークであるため、PDSNが、図8で示しているIPv6アドレスの上位64bitのPrefix2301から経路選択を行い、移動端末およびIP Networkへの転送を行っている。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】3GPP2 X.S0011−C cdma2000 Wireless IP network Standard
【非特許文献2】RFC1661 Point to Point Protocol
【非特許文献3】RFC2472 IP Version 6 over PPP
【非特許文献4】RFC2865 Remote Authentication Dial In User Service (RADIUS)
【非特許文献5】RFC3041 Privacy Extensions for Stateless Address Autoconfiguration in IPv6
【発明の概要】
【発明が解決しようとする課題】
【0012】
上述した非特許文献1に示される従来のネットワーク接続方式では、PrefixはPPPリンク毎にユニークに割り当てることが規定されており、IP Networkから移動端末への下りパケットは、PDSNがPrefixから経路を選択し、移動端末へ転送する。
【0013】
また、Interface IDは重複しなければ、RADIUSまたはPDSNから任意に割当可能であり、さらに移動端末からInterface IDを指定することも可能である。
【0014】
図6にIPv6接続シーケンスを説明する。移動端末100は、ユーザによる接続要求があると始めに基地局120、および無線管理装置130と無線セッション131を確立する。無線管理装置130は、無線セッション131を確立するとPDSN200との間でR−Pセッション132の接続が開始される。無線セッション131、R−Pセッション132とは、移動体通信に必要な専用のシグナリングである。
【0015】
PPPはLCP交渉101、認証102、IPv6CP交渉104からなり、認証の際には、PDSN200はAccess−Request501をRADIUS500へと送信し、許可した場合、Access-Accept502という認証許可パケットをPDSN200宛てに返送する。
【0016】
このAccess-Acceptパケットには、このユーザに割り当てるIPv6アドレスのPrefixがFramed-IPv6-Prefix属性として含められることが知られている。PDSN200は、Framed-IPv6-PrefixからPrefixを取り出し、Router Advertisementメッセージに含めることで移動端末100に通知する。
【0017】
Interface IDはIPv6CP交渉により、移動端末100に通知される。PrefixとInterface IDの通知を受けた移動端末100は、IPv6グローバルアドレスを生成し、IP Network700へのIPv6通信が可能となる。
【0018】
IP Network700から移動端末100へ送信される下りのIPv6データパケットは、PDSN200がPrefixにより移動端末100への経路の選択を行う。そのため、図6に示すように、移動端末100に割り当てられたInterface IDと異なるパケット701がIP Network700からPDSN200に送られた場合、PDSN200はPrefixが一致するので、移動端末100にパケットを転送する。移動端末100は割り当てられたInterface IDと異なるため、PDSN200から受信したパケット702を破棄する。
【0019】
しかし、PDSN200は、この転送したパケットに対する課金誤りを起こす。また、IP Network700からの不正なデータ配信により、無線リンク内で、宛先不明パケットのトラフィック増加となる問題が発生する。
【0020】
そのため、PDSNは、IPv6アドレスのPrefixとInterface IDを検知して、不正パケットをフィルタする機能を実装するニーズがある。
【0021】
しかしながら、IPv6のInterface IDは、一般的にMACアドレスを用いて、生成することから、MACアドレスを悪用される可能性があり、これを防ぐ為に、周期的にInterface IDを変化させる機構がRFC3041(以下IPv6匿名アドレスと称す)で規定されている。
【0022】
前記IPv6匿名アドレス機能を備えた移動端末100が存在する場合、移動端末100はPPP接続後、周期的にInterface IDを更新する。しかし、PDSNは、PPP接続時に決定したInterface IDをもってフィルタ設定をしているため、移動端末が周期的にInterface IDを更新した場合、本来正しいInterface IDをもったIPv6アドレスであってもPDSNはフィルタによって破棄してしまう問題が発生する。
【0023】
本発明の目的は、上記従来の技術の欠点を解消し、IPv6匿名アドレス機能を備えた移動端末に対しても、適用できるフィルタを備えたデータ通信装置を提供するものである。
【課題を解決するための手段】
【0024】
上記目的を達成するため、本発明の第1の発明は、プロバイダネットワーク介し、PPP(Point to Point Protocol)を用いて通信端末装置をIP Networkに接続させるデータ通信装置であって、前記PPP接続完了後、IPv6匿名アドレス機能を備えた通信端末装置において、移動端末から受信したIPv6アドレスのInterface IDの重複を判別する重複アドレス検知(RFC3041のDAD:duplicate address detection)部と、動的に更新するInterface ID検知部に対応するIPv6アドレスフィルタ機能を備えたことを特徴とする。
【発明の効果】
【0025】
以上に説明したように、課題を解決する手段を用いることで、移動端末がIPv6匿名アドレス機能を備えている場合でも、PDSN装置で不正パケットをフィルタすることができる。
【0026】
これにより、PDSN装置で不正なパケットに対する課金を防ぐことが可能となり、さらに移動体通信システム内の宛先不明パケット流入によるトラフィックの増加を防ぐことで、無線リンクのリソースを有効に利用することができる。
【図面の簡単な説明】
【0027】
【図1】本発明における3GPP2(3rd Generation Partnership Project 2)のX.S0011-Cのネットワークモデルを適用した移動体通信システムを示した図である。
【図2】本発明におけるデータ通信装置の機能構成を示した図である。
【図3】本発明におけるデータ通信装置のソフトウェア構成を示した図である。
【図4】本発明におけるPPPセッション確立処理フローを示した図である。
【図5】従来のIPv6パケットフォーマットを表した図である。
【図6】従来のPPPセッション確立シーケンスおよびパケットデータの流れを示した図である。
【図7】従来のNeighbor Solicitationメッセージフォーマットを表した図である。
【図8】従来のIPv6アドレス構成を表した図である。
【図9】本発明におけるデータ通信装置のIP処理部の構成を示した図である。
【図10】本発明におけるデータ通信装置のアドレスフィルタリングテーブルを示した図である。
【図11】本発明におけるIPv6アドレス重複検知処理フローを表した図である。
【図12】本発明におけるデータ通信装置のIPv6アドレスフィルタリング処理フローを表した図である。
【図13】本発明におけるPPPセッション確立シーケンスおよびデータパケットの流れを示した図である。
【発明を実施するための形態】
【0028】
以下に本発明の実施の形態を説明する。
【実施例1】
【0029】
以下では、非特許文献1に示されるネットワークモデルを適用した通信システムにおいて、IPv6パケット通信を用いた発明の実施の形態を説明する。
【0030】
図1は、本発明を適用した移動体通信システムを示した図である。移動端末100と移動端末100と無線リンクで接続する基地局120、無線管理を行う無線装置130、移動端末100とPPP接続するPDSN200、PDSN200がユーザ認証時にProxy-RADIUS500経由でアクセスするHome-RADIUS600、IP Network700から構成される。
【0031】
IP Network700は、IPv6通信が行なわれるため、IPv6ルータが必要であることは説明するまでもない。移動端末100は、PPP接続106が完了すると、無線管理装置120、PDSN200、IP Network700(たとえばインターネット)と接続し、インターネット通信、コンテンツ閲覧を行えるようになる。
【0032】
プロバイダネットワーク140とは、一般的なサービスプロバイダが管理するネットワークであり、PDSN200、Proxy-RADIUS500もサービスプロバイダで管理している場合が多い。移動端末100は、接続開始操作を行うことでPDSN200に対してPPP接続確立106を開始、PPP接続が完了した後のデータ送受信が可能となる。
【0033】
上記実施例では、端末として移動端末の場合を例に説明したが、有線端末であっても本発明を適用できる。この場合、PDSN200は、一般にアクセスサーバと呼ばれ、上記同様の処理により、有線端末とアクセスサーバ間でPPP通信を行う。
【0034】
図2は、PDSN200の機能構成図である。PDSN200は、プロバイダネットワーク140との外部インタフェースを持つネットワーク部210、220、PPPといったプロトコル処理を行う制御部240、統計情報や課金情報といった必要情報を蓄えるデータ蓄積部230から構成される。
【0035】
ネットワーク部210は、伝送路インタフェース211とバスコントローラ212から成り、外部から受信したデータを装置バス234経由で制御部240へと転送する機能を持つ。また制御部240から送信されたデータを外部インタフェースに送信する場合もこのネットワーク部210を介して転送される。
【0036】
このネットワーク部210は単数、または複数220あり、プロバイダネットワーク140向けとIP Network700の外部インタフェースを分けること、または共通にすることを選択することができる。
【0037】
制御部240は、装置バス234とプロセッサバス235のアクセス調停を行うバスコントローラ242、ソフトウェアを動作させるプロセッサ243、ソフトウェア動作に必要なワークエリア、テーブル格納、プログラム格納、および外部から受信したパケットを格納するメモリ241、プロセッサ能力を向上させるためのキャッシュメモリ244、これらを接続するプロセッサバス235から成る。
【0038】
データ蓄積部230は、装置バス234とのアクセス調停を行うバスコントローラ231、プログラムを格納するハードディスク又はフラッシュクメモリ232、ハードディスクまたはフラッシュメモリ232を制御するディスク制御233から成る。
【0039】
図3は、プロセッサで動作するソフトウェア構成2000であり、オペレーションシステム(以下OSと称す)2800上にPPP交渉を行うPPP処理2100、無線管理装置130とR−Pセッション132を確立するR−Pセッション処理2400、認証処理を行う認証処理2200、課金の情報を収集する課金処理2300、Router Advertisement処理等を行うIP処理2500、FA(Foreign Agent)処理を行うMobile IP処理2600が動作している。
【0040】
IP処理2500は、更に図9のように移動端末100からのパケットを処理するIngress処理部2501と、IP Network700からのパケットを処理するEgress処理部2502から構成される。
【0041】
Ingress処理部2501は、移動端末からのパケットを受信するデータ受信部2503、パケットのIPヘッダを解析するヘッダ解析部2504、IP Network700へパケットを転送するIPパケット処理部2505とデータ送信部2507、IPv6アドレスのInterface IDの更新通知を受信した際のアドレスの重複有無を検知する重複アドレス検知部2506から構成される。
【0042】
重複アドレス検知部2506では、図7に示すNeighbor Solicitationパケットを使用し、非特許文献5で開示の通りRFC3041に規定されている重複アドレス検知(DAD:duplicate address detection)により、Target Addressフィールド1100からPDSN200のInterface IDとの重複検知を行い、移動端末100とPDSN200間でInterface IDの重複を防ぐことが可能となる。また、重複しない場合は、IPv6アドレスフィルタリング部2511へ、Interface IDの受け渡し更新を行う。
【0043】
Egress処理部2502は、IP Network700からのパケットを受信するデータ受信部2508、パケットのヘッダを解析するIPv6ヘッダ解析部2509、移動端末へ転送すべきPrefixかを検知する登録Prefix検索部2510、不正アドレスを検知し、パケットをフィルタするIPv6アドレスフィルタリング処理部2511、および移動端末100にパケットを転送するIPパケット処理部2512およびデータ送信部2513から構成される。
【0044】
IPv6アドレスフィルタリング処理部2511では、図5に示すIPv6パケットのDestination Addressフィールド1000のアドレスと、Interface IDとを比較し、不正アドレスによるパケットをフィルタすることが可能となる。
【0045】
図10は、重複アドレス検出部2506とEgressフィルタリング部2511の構成を示したものである。Egressフィルタリング部2511には、アドレス登録テーブル2700があり、移動端末のPrefixとInterface IDが登録される。
【0046】
図3のソフトウェアは、移動端末100との接続に図4フロー手順で処理を行う。先ず、無線管理装置130からのR−Pセッション132要求があることで2001から開始され、ステップ2401に進む。
【0047】
ステップ2401では、PDSN200に新規接続である移動端末100の接続を受け入れる空き容量があるかを、R−Pセッション処理2400がチェックする。R−Pセッション処理2400は、この空き容量がある場合、ステップ2402へ、空き容量がない場合は、受け入れ拒否としてステップ2403へ進む。
【0048】
ステップ2403では、無線管理装置130に対して、PDSN200に空き容量がないことを伝える処理(Re-Direct)を行い、ステップ2002に進み終了となる。
【0049】
一方、ステップ2402に進んだ場合は、接続処理を開始して、ステップ2404でR−Pセッションが確立するまでR−Pセッション処理2402を繰り返し、確立が完了するとステップ2101に進む。ステップ2101では、PPP処理2100が始まり、先ずLCP交渉が開始される。
【0050】
LCP交渉が完了した場合、ステップ2201の認証処理2200に進む。認証処理2200では、Proxy-RADIUS経由でHome-RADIUSに認証要求を行い、ステップ2202に進む。認証結果が成功であった場合、ステップ2102に進む。ステップ2202で認証失敗であった場合には、ステップ2203に進み切断、もしくは再接続となりステップ2002に進む。
【0051】
切断か再接続かは装置管理によって選択される。ステップ2102では、PPP処理2100にもどり、IPv6CP交渉が始まる。IPv6CP交渉が完了するとステップ2501に進む。
【0052】
ステップ2501では、IP処理2500がステップ2102で決定したInterface-IDをEgressフィルタリング部2511のアドレス登録テーブル2700に設定した後、移動端末に対してRouter Advertisementの送信処理を行い、ステップ2002に進み接続が完了する。Router Advertisement105は、移動端末100にPrefixを通知する役割がある。
【0053】
次に図13の接続シーケンスについて説明する。移動端末100は、接続開始操作を行うと基地局120および無線管理装置130との間に無線チャネルを確立して、LCP交渉101へと処理が進む。
【0054】
その後、移動端末100とPDSN200との間にPPP接続が完了するまでは図4の接続フォローに従ってPPP接続が行われる。PPP接続中、IPv6CP交渉104にて決定したInterface-IDは、PDSN200のIP処理2500によってEgressフィルタリング部2511のアドレス登録テーブル2700へと設定される。
【0055】
PPP接続後、IP Network700からIPv6データが到着するとIP処理部2500は、図12のフローに従ってIPv6を移動端末へと通過させるか判断する。
【0056】
ステップ701では、受信パケットを判別し、IPv6パケットの場合、ステップ702へ進み、受信したIPv6のPrefixがPDSN200のアドレス登録テーブル2700に存在しているか検索する。ステップ703で、一致するPrefixを検出した場合、ステップ704に進む。
【0057】
ステップ704では、フィルタ効果のON、OFFをチェックする処理であり、予めシステムによって選択されている。フィルタ効果がONの場合は、ステップ705へ、OFFの場合はステップ706へと進む。ステップ705に進んだ場合は、ステップ703でPrefixが一致した端末NoのInterface-IDと受信したIPv6パケットのInterface-IDが一致するか判断する。
【0058】
判断した結果、Interface-IDが一致した場合は、ステップ706へ進み、IPv6パケット752を移動端末100へと送信する。ステップ705の結果、Interface-IDが一致しなかった場合は、ステップ707へと進み、受信パケットを破棄して終了となる。
【0059】
次に移動端末100の匿名アドレス機能が働き、移動端末100のInterface IDが更新された場合、移動端末100は、図7のNeighbor Solicitationメッセージ754(重複アドレス探索パケット)内のTarget Addressフィールド1100に設定される更新するInterface IDを格納して、PDSN200へ通知する。PDSN200は、このNeighbor Solicitationメッセージ754を受信すると図11のフローでフィルタの値を更新2502する。
【0060】
ステップ751で、受信したパケットがIPv6パケットであれば、ステップ753へ進む。ステップ753で受信したパケットがNeighbor Solicitationであり、Target Addressを含んでいた場合、ステップ754へ進み、ICMPv6のTarget Addressフィールド1100のInterface ID抽出を行う。
【0061】
Target Addressがない場合、処理を終了する。次にステップ755では、PDSN200のInterface IDと、Target Addressフィールド1100のInterface-IDが重複しないかチェックを行う。
【0062】
チェックの結果、重複しない場合は、ステップ757へ、重複する場合はステップ756へ進む。ステップ757では、アドレス管理テーブル2700のInterface IDをステップ754で抽出したInterface ID2600に書き換えて終了となる。一方、ステップ756に進んだ場合、移動端末へInterface IDが重複していることをNeighbor Advertisementを送信することで通知する。
【0063】
その後、IP Network700から移動端末100宛てに送信されたIPv6パケットは、上述の更新後のInterface ID760であれば通過させ、異なるInterface ID762であれば破棄する。
【0064】
このように匿名アドレス機能を持った移動端末であっても、アドレスを変える際に移動端末から送信されるNeighbor Solicitationを用いて、PDSNのフィルタを追従して更新することで、移動端末のアドレスとPDSNのフィルタを同期させたフィルタが実現できる。更にPDSNにIPv6フィルタを設けることによって、外部からのなりすまし(IPv6アドレス悪用)を防ぎ、セキュリティの高い通信が可能となり、PDSNで不正なパケットを破棄することで誤課金を防止することができる。
【0065】
更にはプロバイダネットワークに対して宛先不明パケットの送信を防ぐことで、無線リソースを有効利用を向上させる効果もある。
【符号の説明】
【0066】
100 移動端末(IPv6)
200 データ通信装置
400 ルータ
500 Proxy Radius
600 Home Radius
700 IP Network
2000 データ通信装置ソフトウェア
2500 IP処理
【技術分野】
【0001】
本発明は、データ通信装置、データ通信方法、および移動体通信システムに用いる通信端末装置及びアクセスサーバ、ならびにコンピュータ・プログラムに関する。
【背景技術】
【0002】
近年、移動体通信において、移動端末を使ったメールの送受信、インターネットへのアクセス、Web閲覧といったデータ通信が盛んに行われている。このようなデータ通信を実現するため、移動無線端末とデータ通信装置(Packet Data Serving Node:以下PDSNと称す)間のデータ通信用として、非特許文献1に開示のとおりRFC1661で標準化されているPoint to Point Protocol(以下PPPと称す)が使用されていることが知られている。PPPでは、データ通信に必要なリンク設定の交渉、アクセスするユーザの認証、IPアドレスやDNSサーバアドレスを通知する機能から成り立っている。
【0003】
また、PPPで転送するネットワーク層としてInternet Protocol(以下IPと称す)が用いられ、現在多く使用されているIPはIPv4であり、発信元/宛先として32ビットからなるアドレス(IPアドレス)が用いられている。
【0004】
インターネット通信においては、32ビットIPアドレスを各発信元/宛先にユニークに割り当てるグローバルIPアドレスを採用し、IPアドレスに応じて、個々の発信元/宛先を判別している。しかし、インターネットの世界は急速に広がりを見せており、IPv4の限られたアドレス空間、すなわちグローバルアドレスの枯渇が問題となってきている。
【0005】
これを解決するためにInternet Engineering Task Force(以下IETFと称す)では、次世代IPアドレスとしてIPアドレス空間を32ビットから128ビットに拡張する新しいInternet Protocol version 6(以下IPv6と称す)を提案している。
【0006】
図8は、IPv6アドレスのフォーマットを示す図である。IPv6アドレスの上位64ビットは経路情報(ネットワークプレフィックス:Network Prefix:以下Prefixと称す)2301であり、下位64ビットはノードが有するネットワークインタフェースを、ノードが接続しているサブネットワーク内で識別するためのインタフェース識別子2302(以下Interface IDと称す)である。Interface ID2302はサブネットワーク内で一意であり、Interface IDとしてMACアドレス等が利用される。
【0007】
PPPを用いたIPv6通信は、非特許文献2に開示のとおりRFC2472で規定されているIPv6CP手順を用いて行われる。このIPv6CP手順では、IPv6アドレスのInterface ID2302を通信相手に通知する手順が含まれている。
【0008】
3rd Generation Partnership Project 2(以下3GPP2と称す)のX.S0011-Cのリファレンスモデルでは、移動端末、移動端末と無線接続するRadio Network、移動端末とPPP接続するPDSN、PDSNが認証時にアクセスするRADIUS、インターネットプロバイダ、インターネットと接続されているIP Networkから構成される。移動端末とPDSN間でPPP接続が完了すると、移動端末は、プロバイダネットワーク140、PDSNを介してIP Networkと接続し、インターネット通信、コンテンツ閲覧を行えるようになる。
【0009】
IPv6接続を行う場合、PDSNは、移動端末に付与するPrefixをPPPリンク毎にユニークにしなければならないことが知られており、Prefixは、ルータ広告(以下Router Advertisementと称す)で移動端末に通知することも知られている。
【0010】
また、移動端末とIP Network間で送受信されるIPv6パケットは、PrefixがPPPリンク毎にユニークであるため、PDSNが、図8で示しているIPv6アドレスの上位64bitのPrefix2301から経路選択を行い、移動端末およびIP Networkへの転送を行っている。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】3GPP2 X.S0011−C cdma2000 Wireless IP network Standard
【非特許文献2】RFC1661 Point to Point Protocol
【非特許文献3】RFC2472 IP Version 6 over PPP
【非特許文献4】RFC2865 Remote Authentication Dial In User Service (RADIUS)
【非特許文献5】RFC3041 Privacy Extensions for Stateless Address Autoconfiguration in IPv6
【発明の概要】
【発明が解決しようとする課題】
【0012】
上述した非特許文献1に示される従来のネットワーク接続方式では、PrefixはPPPリンク毎にユニークに割り当てることが規定されており、IP Networkから移動端末への下りパケットは、PDSNがPrefixから経路を選択し、移動端末へ転送する。
【0013】
また、Interface IDは重複しなければ、RADIUSまたはPDSNから任意に割当可能であり、さらに移動端末からInterface IDを指定することも可能である。
【0014】
図6にIPv6接続シーケンスを説明する。移動端末100は、ユーザによる接続要求があると始めに基地局120、および無線管理装置130と無線セッション131を確立する。無線管理装置130は、無線セッション131を確立するとPDSN200との間でR−Pセッション132の接続が開始される。無線セッション131、R−Pセッション132とは、移動体通信に必要な専用のシグナリングである。
【0015】
PPPはLCP交渉101、認証102、IPv6CP交渉104からなり、認証の際には、PDSN200はAccess−Request501をRADIUS500へと送信し、許可した場合、Access-Accept502という認証許可パケットをPDSN200宛てに返送する。
【0016】
このAccess-Acceptパケットには、このユーザに割り当てるIPv6アドレスのPrefixがFramed-IPv6-Prefix属性として含められることが知られている。PDSN200は、Framed-IPv6-PrefixからPrefixを取り出し、Router Advertisementメッセージに含めることで移動端末100に通知する。
【0017】
Interface IDはIPv6CP交渉により、移動端末100に通知される。PrefixとInterface IDの通知を受けた移動端末100は、IPv6グローバルアドレスを生成し、IP Network700へのIPv6通信が可能となる。
【0018】
IP Network700から移動端末100へ送信される下りのIPv6データパケットは、PDSN200がPrefixにより移動端末100への経路の選択を行う。そのため、図6に示すように、移動端末100に割り当てられたInterface IDと異なるパケット701がIP Network700からPDSN200に送られた場合、PDSN200はPrefixが一致するので、移動端末100にパケットを転送する。移動端末100は割り当てられたInterface IDと異なるため、PDSN200から受信したパケット702を破棄する。
【0019】
しかし、PDSN200は、この転送したパケットに対する課金誤りを起こす。また、IP Network700からの不正なデータ配信により、無線リンク内で、宛先不明パケットのトラフィック増加となる問題が発生する。
【0020】
そのため、PDSNは、IPv6アドレスのPrefixとInterface IDを検知して、不正パケットをフィルタする機能を実装するニーズがある。
【0021】
しかしながら、IPv6のInterface IDは、一般的にMACアドレスを用いて、生成することから、MACアドレスを悪用される可能性があり、これを防ぐ為に、周期的にInterface IDを変化させる機構がRFC3041(以下IPv6匿名アドレスと称す)で規定されている。
【0022】
前記IPv6匿名アドレス機能を備えた移動端末100が存在する場合、移動端末100はPPP接続後、周期的にInterface IDを更新する。しかし、PDSNは、PPP接続時に決定したInterface IDをもってフィルタ設定をしているため、移動端末が周期的にInterface IDを更新した場合、本来正しいInterface IDをもったIPv6アドレスであってもPDSNはフィルタによって破棄してしまう問題が発生する。
【0023】
本発明の目的は、上記従来の技術の欠点を解消し、IPv6匿名アドレス機能を備えた移動端末に対しても、適用できるフィルタを備えたデータ通信装置を提供するものである。
【課題を解決するための手段】
【0024】
上記目的を達成するため、本発明の第1の発明は、プロバイダネットワーク介し、PPP(Point to Point Protocol)を用いて通信端末装置をIP Networkに接続させるデータ通信装置であって、前記PPP接続完了後、IPv6匿名アドレス機能を備えた通信端末装置において、移動端末から受信したIPv6アドレスのInterface IDの重複を判別する重複アドレス検知(RFC3041のDAD:duplicate address detection)部と、動的に更新するInterface ID検知部に対応するIPv6アドレスフィルタ機能を備えたことを特徴とする。
【発明の効果】
【0025】
以上に説明したように、課題を解決する手段を用いることで、移動端末がIPv6匿名アドレス機能を備えている場合でも、PDSN装置で不正パケットをフィルタすることができる。
【0026】
これにより、PDSN装置で不正なパケットに対する課金を防ぐことが可能となり、さらに移動体通信システム内の宛先不明パケット流入によるトラフィックの増加を防ぐことで、無線リンクのリソースを有効に利用することができる。
【図面の簡単な説明】
【0027】
【図1】本発明における3GPP2(3rd Generation Partnership Project 2)のX.S0011-Cのネットワークモデルを適用した移動体通信システムを示した図である。
【図2】本発明におけるデータ通信装置の機能構成を示した図である。
【図3】本発明におけるデータ通信装置のソフトウェア構成を示した図である。
【図4】本発明におけるPPPセッション確立処理フローを示した図である。
【図5】従来のIPv6パケットフォーマットを表した図である。
【図6】従来のPPPセッション確立シーケンスおよびパケットデータの流れを示した図である。
【図7】従来のNeighbor Solicitationメッセージフォーマットを表した図である。
【図8】従来のIPv6アドレス構成を表した図である。
【図9】本発明におけるデータ通信装置のIP処理部の構成を示した図である。
【図10】本発明におけるデータ通信装置のアドレスフィルタリングテーブルを示した図である。
【図11】本発明におけるIPv6アドレス重複検知処理フローを表した図である。
【図12】本発明におけるデータ通信装置のIPv6アドレスフィルタリング処理フローを表した図である。
【図13】本発明におけるPPPセッション確立シーケンスおよびデータパケットの流れを示した図である。
【発明を実施するための形態】
【0028】
以下に本発明の実施の形態を説明する。
【実施例1】
【0029】
以下では、非特許文献1に示されるネットワークモデルを適用した通信システムにおいて、IPv6パケット通信を用いた発明の実施の形態を説明する。
【0030】
図1は、本発明を適用した移動体通信システムを示した図である。移動端末100と移動端末100と無線リンクで接続する基地局120、無線管理を行う無線装置130、移動端末100とPPP接続するPDSN200、PDSN200がユーザ認証時にProxy-RADIUS500経由でアクセスするHome-RADIUS600、IP Network700から構成される。
【0031】
IP Network700は、IPv6通信が行なわれるため、IPv6ルータが必要であることは説明するまでもない。移動端末100は、PPP接続106が完了すると、無線管理装置120、PDSN200、IP Network700(たとえばインターネット)と接続し、インターネット通信、コンテンツ閲覧を行えるようになる。
【0032】
プロバイダネットワーク140とは、一般的なサービスプロバイダが管理するネットワークであり、PDSN200、Proxy-RADIUS500もサービスプロバイダで管理している場合が多い。移動端末100は、接続開始操作を行うことでPDSN200に対してPPP接続確立106を開始、PPP接続が完了した後のデータ送受信が可能となる。
【0033】
上記実施例では、端末として移動端末の場合を例に説明したが、有線端末であっても本発明を適用できる。この場合、PDSN200は、一般にアクセスサーバと呼ばれ、上記同様の処理により、有線端末とアクセスサーバ間でPPP通信を行う。
【0034】
図2は、PDSN200の機能構成図である。PDSN200は、プロバイダネットワーク140との外部インタフェースを持つネットワーク部210、220、PPPといったプロトコル処理を行う制御部240、統計情報や課金情報といった必要情報を蓄えるデータ蓄積部230から構成される。
【0035】
ネットワーク部210は、伝送路インタフェース211とバスコントローラ212から成り、外部から受信したデータを装置バス234経由で制御部240へと転送する機能を持つ。また制御部240から送信されたデータを外部インタフェースに送信する場合もこのネットワーク部210を介して転送される。
【0036】
このネットワーク部210は単数、または複数220あり、プロバイダネットワーク140向けとIP Network700の外部インタフェースを分けること、または共通にすることを選択することができる。
【0037】
制御部240は、装置バス234とプロセッサバス235のアクセス調停を行うバスコントローラ242、ソフトウェアを動作させるプロセッサ243、ソフトウェア動作に必要なワークエリア、テーブル格納、プログラム格納、および外部から受信したパケットを格納するメモリ241、プロセッサ能力を向上させるためのキャッシュメモリ244、これらを接続するプロセッサバス235から成る。
【0038】
データ蓄積部230は、装置バス234とのアクセス調停を行うバスコントローラ231、プログラムを格納するハードディスク又はフラッシュクメモリ232、ハードディスクまたはフラッシュメモリ232を制御するディスク制御233から成る。
【0039】
図3は、プロセッサで動作するソフトウェア構成2000であり、オペレーションシステム(以下OSと称す)2800上にPPP交渉を行うPPP処理2100、無線管理装置130とR−Pセッション132を確立するR−Pセッション処理2400、認証処理を行う認証処理2200、課金の情報を収集する課金処理2300、Router Advertisement処理等を行うIP処理2500、FA(Foreign Agent)処理を行うMobile IP処理2600が動作している。
【0040】
IP処理2500は、更に図9のように移動端末100からのパケットを処理するIngress処理部2501と、IP Network700からのパケットを処理するEgress処理部2502から構成される。
【0041】
Ingress処理部2501は、移動端末からのパケットを受信するデータ受信部2503、パケットのIPヘッダを解析するヘッダ解析部2504、IP Network700へパケットを転送するIPパケット処理部2505とデータ送信部2507、IPv6アドレスのInterface IDの更新通知を受信した際のアドレスの重複有無を検知する重複アドレス検知部2506から構成される。
【0042】
重複アドレス検知部2506では、図7に示すNeighbor Solicitationパケットを使用し、非特許文献5で開示の通りRFC3041に規定されている重複アドレス検知(DAD:duplicate address detection)により、Target Addressフィールド1100からPDSN200のInterface IDとの重複検知を行い、移動端末100とPDSN200間でInterface IDの重複を防ぐことが可能となる。また、重複しない場合は、IPv6アドレスフィルタリング部2511へ、Interface IDの受け渡し更新を行う。
【0043】
Egress処理部2502は、IP Network700からのパケットを受信するデータ受信部2508、パケットのヘッダを解析するIPv6ヘッダ解析部2509、移動端末へ転送すべきPrefixかを検知する登録Prefix検索部2510、不正アドレスを検知し、パケットをフィルタするIPv6アドレスフィルタリング処理部2511、および移動端末100にパケットを転送するIPパケット処理部2512およびデータ送信部2513から構成される。
【0044】
IPv6アドレスフィルタリング処理部2511では、図5に示すIPv6パケットのDestination Addressフィールド1000のアドレスと、Interface IDとを比較し、不正アドレスによるパケットをフィルタすることが可能となる。
【0045】
図10は、重複アドレス検出部2506とEgressフィルタリング部2511の構成を示したものである。Egressフィルタリング部2511には、アドレス登録テーブル2700があり、移動端末のPrefixとInterface IDが登録される。
【0046】
図3のソフトウェアは、移動端末100との接続に図4フロー手順で処理を行う。先ず、無線管理装置130からのR−Pセッション132要求があることで2001から開始され、ステップ2401に進む。
【0047】
ステップ2401では、PDSN200に新規接続である移動端末100の接続を受け入れる空き容量があるかを、R−Pセッション処理2400がチェックする。R−Pセッション処理2400は、この空き容量がある場合、ステップ2402へ、空き容量がない場合は、受け入れ拒否としてステップ2403へ進む。
【0048】
ステップ2403では、無線管理装置130に対して、PDSN200に空き容量がないことを伝える処理(Re-Direct)を行い、ステップ2002に進み終了となる。
【0049】
一方、ステップ2402に進んだ場合は、接続処理を開始して、ステップ2404でR−Pセッションが確立するまでR−Pセッション処理2402を繰り返し、確立が完了するとステップ2101に進む。ステップ2101では、PPP処理2100が始まり、先ずLCP交渉が開始される。
【0050】
LCP交渉が完了した場合、ステップ2201の認証処理2200に進む。認証処理2200では、Proxy-RADIUS経由でHome-RADIUSに認証要求を行い、ステップ2202に進む。認証結果が成功であった場合、ステップ2102に進む。ステップ2202で認証失敗であった場合には、ステップ2203に進み切断、もしくは再接続となりステップ2002に進む。
【0051】
切断か再接続かは装置管理によって選択される。ステップ2102では、PPP処理2100にもどり、IPv6CP交渉が始まる。IPv6CP交渉が完了するとステップ2501に進む。
【0052】
ステップ2501では、IP処理2500がステップ2102で決定したInterface-IDをEgressフィルタリング部2511のアドレス登録テーブル2700に設定した後、移動端末に対してRouter Advertisementの送信処理を行い、ステップ2002に進み接続が完了する。Router Advertisement105は、移動端末100にPrefixを通知する役割がある。
【0053】
次に図13の接続シーケンスについて説明する。移動端末100は、接続開始操作を行うと基地局120および無線管理装置130との間に無線チャネルを確立して、LCP交渉101へと処理が進む。
【0054】
その後、移動端末100とPDSN200との間にPPP接続が完了するまでは図4の接続フォローに従ってPPP接続が行われる。PPP接続中、IPv6CP交渉104にて決定したInterface-IDは、PDSN200のIP処理2500によってEgressフィルタリング部2511のアドレス登録テーブル2700へと設定される。
【0055】
PPP接続後、IP Network700からIPv6データが到着するとIP処理部2500は、図12のフローに従ってIPv6を移動端末へと通過させるか判断する。
【0056】
ステップ701では、受信パケットを判別し、IPv6パケットの場合、ステップ702へ進み、受信したIPv6のPrefixがPDSN200のアドレス登録テーブル2700に存在しているか検索する。ステップ703で、一致するPrefixを検出した場合、ステップ704に進む。
【0057】
ステップ704では、フィルタ効果のON、OFFをチェックする処理であり、予めシステムによって選択されている。フィルタ効果がONの場合は、ステップ705へ、OFFの場合はステップ706へと進む。ステップ705に進んだ場合は、ステップ703でPrefixが一致した端末NoのInterface-IDと受信したIPv6パケットのInterface-IDが一致するか判断する。
【0058】
判断した結果、Interface-IDが一致した場合は、ステップ706へ進み、IPv6パケット752を移動端末100へと送信する。ステップ705の結果、Interface-IDが一致しなかった場合は、ステップ707へと進み、受信パケットを破棄して終了となる。
【0059】
次に移動端末100の匿名アドレス機能が働き、移動端末100のInterface IDが更新された場合、移動端末100は、図7のNeighbor Solicitationメッセージ754(重複アドレス探索パケット)内のTarget Addressフィールド1100に設定される更新するInterface IDを格納して、PDSN200へ通知する。PDSN200は、このNeighbor Solicitationメッセージ754を受信すると図11のフローでフィルタの値を更新2502する。
【0060】
ステップ751で、受信したパケットがIPv6パケットであれば、ステップ753へ進む。ステップ753で受信したパケットがNeighbor Solicitationであり、Target Addressを含んでいた場合、ステップ754へ進み、ICMPv6のTarget Addressフィールド1100のInterface ID抽出を行う。
【0061】
Target Addressがない場合、処理を終了する。次にステップ755では、PDSN200のInterface IDと、Target Addressフィールド1100のInterface-IDが重複しないかチェックを行う。
【0062】
チェックの結果、重複しない場合は、ステップ757へ、重複する場合はステップ756へ進む。ステップ757では、アドレス管理テーブル2700のInterface IDをステップ754で抽出したInterface ID2600に書き換えて終了となる。一方、ステップ756に進んだ場合、移動端末へInterface IDが重複していることをNeighbor Advertisementを送信することで通知する。
【0063】
その後、IP Network700から移動端末100宛てに送信されたIPv6パケットは、上述の更新後のInterface ID760であれば通過させ、異なるInterface ID762であれば破棄する。
【0064】
このように匿名アドレス機能を持った移動端末であっても、アドレスを変える際に移動端末から送信されるNeighbor Solicitationを用いて、PDSNのフィルタを追従して更新することで、移動端末のアドレスとPDSNのフィルタを同期させたフィルタが実現できる。更にPDSNにIPv6フィルタを設けることによって、外部からのなりすまし(IPv6アドレス悪用)を防ぎ、セキュリティの高い通信が可能となり、PDSNで不正なパケットを破棄することで誤課金を防止することができる。
【0065】
更にはプロバイダネットワークに対して宛先不明パケットの送信を防ぐことで、無線リソースを有効利用を向上させる効果もある。
【符号の説明】
【0066】
100 移動端末(IPv6)
200 データ通信装置
400 ルータ
500 Proxy Radius
600 Home Radius
700 IP Network
2000 データ通信装置ソフトウェア
2500 IP処理
【特許請求の範囲】
【請求項1】
プロバイダネットワークを介し、PPP(Point to Point Protocol)を用いて通信端末装置と公衆網との間でIPv6パケット通信を行なうデータ通信装置であって、
通信端末装置から該通信端末装置のインタフェース識別子の更新通知を受信すると、該インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には前記通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに該更新後のインタフェース識別子を登録し、
公衆網から受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうデータ通信装置。
【請求項2】
RFC3041(Privacy Extensions for Stateless Address Autoconfiguration in IPv6)で規定されるIPv6匿名アドレス機能を備えた通信端末装置と公衆網とを接続し、IPv6データパケットの送受信を行うデータ通信装置であって、
IPv6匿名アドレス機能により通信端末装置において動的に行なわれるインタフェース識別子の変更に追従させてフィルタリングテーブルを更新し、受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうことを特徴とするパケット通信装置。
【請求項3】
プロバイダネットワークを介し、PPP(Point to Point Protocol)を用いて通信端末装置と公衆網との間でIPv6パケット通信を行なうデータ通信装置におけるデータ通信方法であって、
通信端末装置から該通信端末装置のインタフェース識別子の更新通知を受信すると、該インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には前記通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに該更新後のインタフェース識別子を登録し、
公衆網から受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうデータ通信方法。
【請求項4】
RFC3041(Privacy Extensions for Stateless Address Autoconfiguration in IPv6)で規定されるIPv6匿名アドレス機能を備えた通信端末装置と公衆網とを接続し、IPv6データパケットの送受信を行うデータ通信装置におけるデータ通信方法であって、
IPv6匿名アドレス機能により通信端末装置において動的に行なわれるインタフェース識別子の変更に追従させてフィルタリングテーブルを更新し、受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうことを特徴とするパケット通信方法。
【請求項1】
プロバイダネットワークを介し、PPP(Point to Point Protocol)を用いて通信端末装置と公衆網との間でIPv6パケット通信を行なうデータ通信装置であって、
通信端末装置から該通信端末装置のインタフェース識別子の更新通知を受信すると、該インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には前記通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに該更新後のインタフェース識別子を登録し、
公衆網から受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうデータ通信装置。
【請求項2】
RFC3041(Privacy Extensions for Stateless Address Autoconfiguration in IPv6)で規定されるIPv6匿名アドレス機能を備えた通信端末装置と公衆網とを接続し、IPv6データパケットの送受信を行うデータ通信装置であって、
IPv6匿名アドレス機能により通信端末装置において動的に行なわれるインタフェース識別子の変更に追従させてフィルタリングテーブルを更新し、受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうことを特徴とするパケット通信装置。
【請求項3】
プロバイダネットワークを介し、PPP(Point to Point Protocol)を用いて通信端末装置と公衆網との間でIPv6パケット通信を行なうデータ通信装置におけるデータ通信方法であって、
通信端末装置から該通信端末装置のインタフェース識別子の更新通知を受信すると、該インタフェース識別子とサブネットワーク内の他の通信端末装置のインタフェース識別子との重複有無を検知し、重複しない場合には前記通信端末装置のインタフェース識別子を更新するとともにフィルタリングテーブルに該更新後のインタフェース識別子を登録し、
公衆網から受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうデータ通信方法。
【請求項4】
RFC3041(Privacy Extensions for Stateless Address Autoconfiguration in IPv6)で規定されるIPv6匿名アドレス機能を備えた通信端末装置と公衆網とを接続し、IPv6データパケットの送受信を行うデータ通信装置におけるデータ通信方法であって、
IPv6匿名アドレス機能により通信端末装置において動的に行なわれるインタフェース識別子の変更に追従させてフィルタリングテーブルを更新し、受信したIPv6データパケットのIPv6アドレスと、前記フィルタリングテーブルに基づいて、該公衆網から受信したIPv6データパケットのフィルタリングを行なうことを特徴とするパケット通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2009−268128(P2009−268128A)
【公開日】平成21年11月12日(2009.11.12)
【国際特許分類】
【出願番号】特願2009−151736(P2009−151736)
【出願日】平成21年6月26日(2009.6.26)
【分割の表示】特願2004−274335(P2004−274335)の分割
【原出願日】平成16年9月22日(2004.9.22)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【Fターム(参考)】
【公開日】平成21年11月12日(2009.11.12)
【国際特許分類】
【出願日】平成21年6月26日(2009.6.26)
【分割の表示】特願2004−274335(P2004−274335)の分割
【原出願日】平成16年9月22日(2004.9.22)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【Fターム(参考)】
[ Back to top ]