初期情報設定方法、初期情報設定装置、通信装置および初期情報設定プログラム
【課題】 Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することを目的とする。
【解決手段】 暗号鍵の交換に使われる鍵交換手法を、Mobile IPプロトコルの初期設定情報の配布にも使用できるようにし、利用者による設定作業を自動化する。すなわち、各Mobile IP通信装置は初期情報設定装置を備え、Mobile IP通信にかかる情報を管理する通信管理装置から初期設定情報を取得し、Mobile IP通信するための情報を初期情報設定装置が設定する。
【解決手段】 暗号鍵の交換に使われる鍵交換手法を、Mobile IPプロトコルの初期設定情報の配布にも使用できるようにし、利用者による設定作業を自動化する。すなわち、各Mobile IP通信装置は初期情報設定装置を備え、Mobile IP通信にかかる情報を管理する通信管理装置から初期設定情報を取得し、Mobile IP通信するための情報を初期情報設定装置が設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信を始めるにあたり初期情報の設定を必要とする通信装置の、この初期情報の設定方法、設定装置および設定プログラムに関し、特にISAKMPによる鍵交換方法を用いる通信装置に関する。
【背景技術】
【0002】
Mobile IPと呼ばれるプロトコルを用いることにより、移動端末(Mobile Node:MN)がインターネット内を自由に移動しても、他の通信端末(Correspondent Node:CN)との通信を継続することができる。しかしながら、Mobile IPプロトコルを用いるためには、移動端末(MN)には通信のための初期情報として例えば以下の設定情報が必要となる。
【0003】
・移動端末(MN)のホームアドレス
・ホームエージェントのアドレス
・ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵
移動端末を使用するような一般的な利用者にとって、これらの情報を設定するのは難しく、また設定を誤る場合も多い。
【0004】
Mobile IPについては、IETF(Internet Engineering Task Force)が発行するRFC(Request For Comment)の、RFC3344(IP Mobility Support for IPv4)やRFC3775(Mobility Support in IPv6)に詳しい。
【0005】
またMobile IPを実用化する上で重要な技術としてVPN(Virtual Private Network)がある。VPNとは通信上のセキュリティを確立するための技術であり一般的に使用されるようになっている。これを実現するためのプロトコルの一つとしてISAKMP(Internet Security Association Key Management Protocol、非特許文献1参照)が規定されている。これはセキュリティ確保のために必要な鍵情報を、セキュアに通信相手(対向機器という)の端末と交換するプロトコルである。現在のところISAKMPで利用できる鍵交換プロトコルはISAKMP/IKEやISAKMP/Oakleyが知られている。
【非特許文献1】D. Maughan、外3名、RFC2408、[ online]、1998年11月、IETF、[ 平成1 6 年8 月3 日検索]、インターネット< URL: http://www.ietf.org/rfc/rfc2408.txt>
【発明の開示】
【発明が解決しようとする課題】
【0006】
Mobile IPプロトコルを利用するためには、利用者にとって分かり難い各種の詳細な情報を設定する必要がある。
【0007】
またISAKAMPを用いた鍵交換手法では、通信端末間のセキュアな暗号化通信を実現するための鍵情報を交換する技術であるため、Mobile IPプロトコルと併せて利用されることが多いにも関わらず、Mobile IPプロトコルを使用する際に必要な設定情報の取得に利用することはできなかった。
【0008】
本発明はISAKMPなどの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用できるようにし、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することを目的とする。
【課題を解決するための手段】
【0009】
本発明の初期情報設定方法によれば、
Mobile IP通信を行う通信装置における、Mobile IP通信用の初期設定情報を設定する方法であって、前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法
が提供される。
【0010】
また本発明の初期情報設定装置によれば、
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する装置であって、他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段を備えることを特徴とする初期情報設定装置
が提供される。
【0011】
加えて上記初期情報設定装置の機能を備えた通信装置、および当該通信装置を計算機を用いて実現する初期情報設定プログラムが提供される。
【0012】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【発明の効果】
【0013】
本発明はISAKMPの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用することで、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【発明を実施するための最良の形態】
【0014】
図1は、ISAKMPを適用する際の、一般的なモジュール構成を説明したものである。
【0015】
図1には、Socket Layer101、ISAKMP102、Key Exchange Definition103、DOI Definition104、Security Protocol105およびApplication106が示されている。
【0016】
Socket Layer101はこれらのアプリケーションプログラムが稼動するOS(Operating System)が備えている通信モジュールである。このOS上で稼動するアプリケーションはSocket Layer101が提供するSocketを介してデータをやり取りし他の通信端末との通信を行う。
【0017】
ISAKMP102は、IETFが発行するRFC2408に準拠した暗号化通信のための鍵交換を行う機能を備えている。暗号化通信に先立って、自装置から暗号化通信を開始する場合にはネゴシエーションパケットを作成しSocket Layer101を介して対向機器に対して送信する。逆に対向機器からネゴシエーションパケットを受けたときはIKEやOakleyのような暗号化通信用鍵交換プロトコルに従って鍵交換する機能を備える。どのような鍵交換プロトコルに従うかは、Key Exchange Definition103で示すモジュールに依存する。
【0018】
Key Exchange Definition103は、ISAKMP102を介して所定のプロトコルによる対向機器との間の鍵交換を行う機能を備える。所定のプロトコルとは前述したIKE、Oakleyなどを指す。ここで交換した情報はDOI Definition104へ送られる。
【0019】
DOI Definition104は、Key Exchange Definition103が受けたネゴシエーションパケットを所定の暗号化通信用に翻訳する機能を備える。通常は実装する暗号化通信ごとに用意される。翻訳した結果得られた暗号アルゴリズム、暗号鍵等の情報はISAKMP102を介してSecurity Protocol105の制御に使用される。
【0020】
Security Protocol105は、Socket Layer101の下位層に位置するIP層に組み込まれたモジュールであり、ISAKMP102からの暗号化通信用暗号鍵等の情報を受けて、対向機器との間の暗号化通信を実現する。Application106などの汎用アプリケーションが対向機器と通信する際に、Socket Layer101を介して受け取ったデータを暗号化し、また対向機器から暗号化されたパケットを受信した場合には復号化をして最終的に汎用アプリケーションに受け渡す。
【0021】
Application106は、自装置上で稼動する汎用アプリケーションである。Security Protocol105が対向機器との暗号化通信を自動的に暗号化/復号化を行うので、汎用アプリケーションであるApplication106は対向機器との間の通信が暗号化されているか否かについて配慮する必要がない。
【0022】
上記したように、対向機器からSocket Layer101を介してネゴシエーションパケットを受けたISAKMP102はKey Exchange Definition103が定義する鍵交換手法に従って対向機器との鍵交換を実行する。ネゴシエーションパケットはDOI Definition104により暗号化通信用に翻訳され、翻訳の結果得られた暗号鍵に基づいてSecurity Protocol105を制御することにより自装置と対向機器との通信を暗号化する。
【0023】
また、RFC2408に規定されているISAKMPによる暗号化通信用鍵交換は、ネゴシエーションパケットによる鍵の交換方法およびどのような暗号化通信を実装するかについては規定していない。つまり交換方法や暗号化を司る、Key Exchange Definition103、DOI Definition104およびSecurity Protocol105を適切に実装することで種々の暗号化通信に適用可能となっている。
【0024】
図2は、図1に示したISAKMPに規定されているモジュール構成の具体例について説明したものである。図1のKey Exchange Definition103、DOI Definition104およびSecurity Protocol105が、それぞれIKE201、IPSec DOI202およびIPSec203となっている。図2に示す具体例では、IETF発行のRFC2409に規定されているIKE(Internet Key Exchange)を用いて鍵交換をする。そして鍵交換後の暗号化通信には、同じくIETF発行のRFC2407に規定されているIPSec DOIに基づいて翻訳された結果得られた暗号鍵等による暗号化処理が、IPSec203により施される。
【0025】
図3にISAKMP/IKEによる鍵交換フローの一例を示す。図中、Initiator301はネゴシエーションパケットを送信する側であり、Responder302は受信する側である。移動端末(MN)がインターネットからVPNを使用して企業内のネットワークに接続する場合、移動端末(MN)はInitiator301、Responder302は企業網に接続されたVPNゲートウェイの組み合わせが考えられる。この例の場合、移動端末は企業網内に設置されたVPNゲートウェイとの間で暗号化通信を行うことになるため、不特定人が利用できるインターネットを利用したとしてもセキュアに通信することができる。
【0026】
ネゴシエーションパケットの授受等、鍵交換のプロセスは前述のRFC2409に詳しい説明がされているため、ここでは細説しない。
【0027】
図4は、ISAKMP/IKEを利用してIPSec用の鍵交換を行うための、RFC2407に規定されたネゴシエーションパケットの一例を示したものである。それぞれSA、Proposal#、Transform#と呼ばれるフォーマットを備えている。SA中にDomain of Interpretation(DOI)と呼ばれるフィールドが規定されており、ISAKMP102は受け取ったネゴシエーションパケットをDOI Definition104として実装されているモジュールの中から、この値に割り当てられたDOI Definitionモジュールに受け渡す。図4の例ではDOI=1であるから、IPSec用のDOIであるIPSec DOI202に渡される。現在のところ、IETFが発行するRFCではDOI=1(IPSec DOI)が規定されているのみである。
【0028】
図5は、Mobile IPを自装置に実装する際の従来のモジュール構成を示したものである。
【0029】
従来、Mobile IPを実装するときはMobile IPプロトコルに基づくホームエージェントを介した通信をするために必要な設定情報を管理し、またホームエージェントと通信し認証などの情報をやり取りするMIP Controller501が必要である。またMIP Controller501のような制御モジュールから指示を受けて、OSが備えるIP層においてMobile IPを実現するMobile IP502のようなMobile IPドライバが必要である。しかしながらMobile IPを規定する前述のRFC3344、RFC3775ではMobile IP通信に必要なホームアドレスなどの情報を自動設定する手法には言及がなく、例えばMIP Controller501にGUIや設定ファイルなどのインターフェースを持たせるなどして利用者が設定する必要がある。この場合、ホームアドレス、ホームエージェントのアドレスあるいは認証子、認証の方法、認証鍵といった、利用者には雑多な分かりにくい情報の入力を強いることになる。
【0030】
この場合であっても、一旦Mobile IP通信に必要な情報が設定されればMobile IP502がホームエージェントへの転送等の操作を自動的に行うため、Application106は通信相手との通信がMobile IP通信であるか否かは配慮する必要がない。
【0031】
(第1の実施形態)
図6は、本発明の第1の実施形態にかかる初期情報設定用のモジュール構成の一例を示したものである。図6は、図2に示すISAKMP/IKEの一例であるモジュール構成と、図5に示す従来のMobile IPのモジュール構成、および新たにMobile IP DOI601が追加されている。本実施形態における初期情報設定モジュール構成は、図2、図5に示したそれぞれのモジュールの機能と同様であるため、主にそれらと相違する構成、動作について説明する。
【0032】
Mobile IP DOI601は、IPSec DOI202と同様にDOI Definitionの規定に従って構成されるモジュールである。しかしながらIPSec DOI202がRFC2407に規定されたIPSec DOIに従って構成されているのに対し、Mobile IP DOI601は対向機器との間のネゴシエーションパケットをMobile IP用に翻訳する機能を備えている。具体的にはネゴシエーションパケットを翻訳し、Mobile IP通信の設定に必要な情報である移動端末(MN)のホームアドレス、ホームエージェントのアドレス、ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵といった情報を抽出、またはこれらの情報を含めたネゴシエーションパケットを作成する。上記の設定情報はあくまで一例であり、Mobile IP通信を設定するのに際して必要となる様々な情報を含めるようにしても良い。
【0033】
Mobile IP DOI601の実装については、現在のところIETFによるRFCは発行されていないため、明確な実装方法は存在しない。
【0034】
ISAKMP102は、受け取ったネゴシエーションパケットを、暗号化通信用のネゴシエーションパケットの翻訳に使用されるIPSec DOI202に受け渡すか、Mobile IP用のMobile IP DOI601に受け渡すかは、図4で既述したDomain of Interpretation(DOI)の値に従って判断する。
【0035】
MIP Controller501は、既述したように従来ではGUIや設定ファイルなどのインターフェースを持たせる必要があったが、本実施形態においてはMobile IP DOI601が抽出した各種の設定情報を受け取ることで、これらの値の設定を自動化する。このように構成することにより、利用者自身によるMobile IP関連の情報設定をする必要がなく、よってMobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【0036】
図中、IPSec DOI202およびIPSec203が破線で表現されているが、これは本実施形態においては必須のモジュールではないが併せて実装される場合が多いために記載したものである。本実施形態ではIPSecを用いている例を示しているが、これ以外の暗号化通信を適用する場合には当該モジュールの部分が置き換わる可能性がある。また、本実施形態ではIKE以外の鍵交換手法を用いることも可能であり、その場合にはIKE201も適宜入替えて実施することが可能である。
【0037】
図7は、本実施形態における初期情報設定装置のブロック図の一例である。図7には、初期情報設定装置701、ネゴシエーションパケット処理部702、Mobile IP用初期化データネゴシエーション部703、Mobile IP翻訳部704およびMobile IP管理部705が示されている。
【0038】
初期情報設定装置701は、Mobile IP通信をする移動端末(MN)あるいはVPNゲートウェイといったその対向機器に実装するものであり、Mobile IP通信に必要な情報を自動的に取得あるいは提供し、Mobile IP通信に必要な各種設定を自動化する機能を備える。もちろん初期情報設定装置701として別に構成することなく、この機能を備えた移動端末やその対向機器とすることも可能である。
【0039】
ネゴシエーションパケット処理部702は、Socket Layer101から得たネゴシエーションパケットを受け取り、あるいはネゴシエーションパケットを生成する機能を有する。
【0040】
Mobile IP用初期化データネゴシエーション部703は、ISAKMP102に相当する機能を備える。RFC2408に規定された動作に従い、ネゴシエーションパケットの受信、受信したネゴシエーションパケットのDOIフィールド値に基づいたDOI Definitionモジュールへの受け渡し等を行う。
【0041】
Mobile IP翻訳部704は、Mobile IP DOI601に相当する。Mobile IP用初期化データネゴシエーション部703と連携し、受け取ったMobile IP用ネゴシエーションパケットを翻訳して設定情報を抽出する機能を有する。あるいは自装置がVPNゲートウェイといった移動端末の対向機器である場合には、Mobile IP通信に必要な移動端末で設定すべき情報を含む情報を取得して、これを含むネゴシエーションパケットの作成を指示する。移動端末に設定すべき情報は、ネゴシエーションパケットを受け取った時点でどの移動端末からのものであるかが分かるため、その移動端末に予め割り当てるべき各種設定情報を(図示しない)データベース等から検索して取得することが可能である。移動端末に割り当てるべき情報の取得方法については上記方法に限られず、ネゴシエーションパケットを送信した移動端末のそれぞれがMobile IP通信時において識別可能に設定されるものであればいずれの方法で求めても構わない。
【0042】
Mobile IP管理部705はMIP Controller501に相当し、Mobile IP通信に必要な設定情報を管理し、またMobile IP502と連携してRFC3344またはRFC3775に規定されたMobile IPプロトコルに基づく通信を実現する機能を有する。具体的にはMobile IP用初期化データネゴシエーション部703を介して得た各種設定情報に基づき、自装置におけるMobile IP通信に必要な設定を行う。あるいは対向するホームエージェント等とSocket Layer101を介して直接通信し、認証等の必要な処理を行う場合もある。
【0043】
図8に、本実施形態における初期情報設定装置が取り扱うMobile IP用ネゴシエーションパケットの一例を示す。基本的には図4で示したISAKMP/IKEのネゴシエーションパケットと同様であるが、図8ではSA内のDOIフィールド値を1以外の値としている。またこれに伴いProposal#、Transform#の扱いについてもMobile IP用に適宜解釈を変えて用いることが可能である。このようにMobile IP用に解釈を変えることにより、Mobile IP通信に必要な各種設定情報を含めることが可能となり、よって従来の鍵交換手法を用いるのと同様にこれらの値の受け渡しを可能としている。この図8に示すネゴシエーションパケットは、DOI=2であることからISAKMP102に相当するMobile IP用初期化データネゴシエーション部703によりMobile IP DOI601に相当するMobile IP翻訳部704に渡され、Mobile IP用のネゴシエーションパケットとして解釈され翻訳される。
【0044】
また本実施形態ではMobile IP用という意味でDOI=2を採用しているが、Mobile IP用のこの値については現在のところ標準的な値が定まっていないため、割り当てのされていない値を適宜使用するようにしても良い。
【0045】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。
【0046】
また上記設定手法に基づくISAKMPに関連するモジュールや初期情報設定装置の動作を計算機で実行するためのプログラムとして構成することが可能であり、この場合であっても本実施形態と同様の効果を得ることができる。
【0047】
(第2の実施形態)
図9に本実施形態における初期情報設定方法のシステム構成図の一例を示す。
【0048】
図9にはMobile IP通信を行う移動端末に相当するClient901、暗号化通信のための認証および暗号化通信のための暗号鍵を配布するKerberos Authentication Server902、
およびMobile IP通信時の対向機器となるApplication Server903が示されている。
【0049】
Client901とKerberos Authentication Server902との間は、Kerberos認証が用いられる。ここでいうKerberos認証は、マサチューセッツ工科大(MIT)のAthenaプロジェクトで開発されたネットワーク上での利用を前提としたユーザ認証方法である。本実施形態は鍵交換のための認証および暗号化通信用の暗号鍵をKerberos認証に置き換えたものである。
【0050】
Client901は、まずKerberos Authentication Server902に対しKerberos認証を要求する。要求が認められた場合には、Kerberos Athentication Server902から、Client901のMobile IP通信に必要な設定情報が提供される。ここでいう設定情報とは、Mobile IP用の認証アルゴリズムや認証鍵、Client901に付与すべきホームアドレスやホームエージェントのアドレスといったMobile IP通信を始める際に必要な初期化データである。
【0051】
あるいは、Kerberos認証を用いる場合、鍵配布サーバを分離して配置することができるためApplication Server903に暗号鍵を要求し、鍵の提供を受けるときにApplication Server903からMobile IP通信に必要な設定情報を受け取るようにすることもできる。
【0052】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。
【0053】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0054】
【図1】ISAKMPを適用する際の一般的なモジュール構成を示す図である。
【図2】ISAKMP/IKEの一般的なモジュール構成を示す図である。
【図3】ISAKMP/IKEの一般的な鍵交換フローの一例を示す図である。
【図4】IPSec用ネゴシエーションパケットの一例を示す図である。
【図5】Mobile IPを適用する際の一般的なモジュール構成を示す図である。
【図6】第1の実施形態にかかる初期情報設定用のモジュール構成の一例を示す図である。
【図7】第1の実施形態にかかる初期情報設定装置のブロック図の一例を示す図である。
【図8】第1の実施形態にかかるMobile IP用ネゴシエーションパケットの一例を示す図である。
【図9】第2の実施形態にかかる初期情報設定システムの一例を示す図である。
【符号の説明】
【0055】
101:Socket Layer
102:ISAKMPモジュール
103;Key Exchange Definitionモジュール
104:DOI Definitionモジュール
105:Security Protocolモジュール
106:Application
201:IKEモジュール
202:IPSec DOIモジュール
203:IPSecドライバ
501:MIP Controllerモジュール
502:Mobile IPドライバ
601:Mobile IP DOIモジュール
701:初期情報設定装置
702:ネゴシエーションパケット処理部
703:Mobile IP用初期化データネゴシエーション部
704:Mobile IP翻訳部
705:Mobile IP管理部
901:Client
902:Kerberos Authentication Server
903:Application Server
【技術分野】
【0001】
本発明は、通信を始めるにあたり初期情報の設定を必要とする通信装置の、この初期情報の設定方法、設定装置および設定プログラムに関し、特にISAKMPによる鍵交換方法を用いる通信装置に関する。
【背景技術】
【0002】
Mobile IPと呼ばれるプロトコルを用いることにより、移動端末(Mobile Node:MN)がインターネット内を自由に移動しても、他の通信端末(Correspondent Node:CN)との通信を継続することができる。しかしながら、Mobile IPプロトコルを用いるためには、移動端末(MN)には通信のための初期情報として例えば以下の設定情報が必要となる。
【0003】
・移動端末(MN)のホームアドレス
・ホームエージェントのアドレス
・ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵
移動端末を使用するような一般的な利用者にとって、これらの情報を設定するのは難しく、また設定を誤る場合も多い。
【0004】
Mobile IPについては、IETF(Internet Engineering Task Force)が発行するRFC(Request For Comment)の、RFC3344(IP Mobility Support for IPv4)やRFC3775(Mobility Support in IPv6)に詳しい。
【0005】
またMobile IPを実用化する上で重要な技術としてVPN(Virtual Private Network)がある。VPNとは通信上のセキュリティを確立するための技術であり一般的に使用されるようになっている。これを実現するためのプロトコルの一つとしてISAKMP(Internet Security Association Key Management Protocol、非特許文献1参照)が規定されている。これはセキュリティ確保のために必要な鍵情報を、セキュアに通信相手(対向機器という)の端末と交換するプロトコルである。現在のところISAKMPで利用できる鍵交換プロトコルはISAKMP/IKEやISAKMP/Oakleyが知られている。
【非特許文献1】D. Maughan、外3名、RFC2408、[ online]、1998年11月、IETF、[ 平成1 6 年8 月3 日検索]、インターネット< URL: http://www.ietf.org/rfc/rfc2408.txt>
【発明の開示】
【発明が解決しようとする課題】
【0006】
Mobile IPプロトコルを利用するためには、利用者にとって分かり難い各種の詳細な情報を設定する必要がある。
【0007】
またISAKAMPを用いた鍵交換手法では、通信端末間のセキュアな暗号化通信を実現するための鍵情報を交換する技術であるため、Mobile IPプロトコルと併せて利用されることが多いにも関わらず、Mobile IPプロトコルを使用する際に必要な設定情報の取得に利用することはできなかった。
【0008】
本発明はISAKMPなどの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用できるようにし、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することを目的とする。
【課題を解決するための手段】
【0009】
本発明の初期情報設定方法によれば、
Mobile IP通信を行う通信装置における、Mobile IP通信用の初期設定情報を設定する方法であって、前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法
が提供される。
【0010】
また本発明の初期情報設定装置によれば、
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する装置であって、他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段を備えることを特徴とする初期情報設定装置
が提供される。
【0011】
加えて上記初期情報設定装置の機能を備えた通信装置、および当該通信装置を計算機を用いて実現する初期情報設定プログラムが提供される。
【0012】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【発明の効果】
【0013】
本発明はISAKMPの鍵交換手法をMobile IPプロトコルの設定情報の配布にも使用することで、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【発明を実施するための最良の形態】
【0014】
図1は、ISAKMPを適用する際の、一般的なモジュール構成を説明したものである。
【0015】
図1には、Socket Layer101、ISAKMP102、Key Exchange Definition103、DOI Definition104、Security Protocol105およびApplication106が示されている。
【0016】
Socket Layer101はこれらのアプリケーションプログラムが稼動するOS(Operating System)が備えている通信モジュールである。このOS上で稼動するアプリケーションはSocket Layer101が提供するSocketを介してデータをやり取りし他の通信端末との通信を行う。
【0017】
ISAKMP102は、IETFが発行するRFC2408に準拠した暗号化通信のための鍵交換を行う機能を備えている。暗号化通信に先立って、自装置から暗号化通信を開始する場合にはネゴシエーションパケットを作成しSocket Layer101を介して対向機器に対して送信する。逆に対向機器からネゴシエーションパケットを受けたときはIKEやOakleyのような暗号化通信用鍵交換プロトコルに従って鍵交換する機能を備える。どのような鍵交換プロトコルに従うかは、Key Exchange Definition103で示すモジュールに依存する。
【0018】
Key Exchange Definition103は、ISAKMP102を介して所定のプロトコルによる対向機器との間の鍵交換を行う機能を備える。所定のプロトコルとは前述したIKE、Oakleyなどを指す。ここで交換した情報はDOI Definition104へ送られる。
【0019】
DOI Definition104は、Key Exchange Definition103が受けたネゴシエーションパケットを所定の暗号化通信用に翻訳する機能を備える。通常は実装する暗号化通信ごとに用意される。翻訳した結果得られた暗号アルゴリズム、暗号鍵等の情報はISAKMP102を介してSecurity Protocol105の制御に使用される。
【0020】
Security Protocol105は、Socket Layer101の下位層に位置するIP層に組み込まれたモジュールであり、ISAKMP102からの暗号化通信用暗号鍵等の情報を受けて、対向機器との間の暗号化通信を実現する。Application106などの汎用アプリケーションが対向機器と通信する際に、Socket Layer101を介して受け取ったデータを暗号化し、また対向機器から暗号化されたパケットを受信した場合には復号化をして最終的に汎用アプリケーションに受け渡す。
【0021】
Application106は、自装置上で稼動する汎用アプリケーションである。Security Protocol105が対向機器との暗号化通信を自動的に暗号化/復号化を行うので、汎用アプリケーションであるApplication106は対向機器との間の通信が暗号化されているか否かについて配慮する必要がない。
【0022】
上記したように、対向機器からSocket Layer101を介してネゴシエーションパケットを受けたISAKMP102はKey Exchange Definition103が定義する鍵交換手法に従って対向機器との鍵交換を実行する。ネゴシエーションパケットはDOI Definition104により暗号化通信用に翻訳され、翻訳の結果得られた暗号鍵に基づいてSecurity Protocol105を制御することにより自装置と対向機器との通信を暗号化する。
【0023】
また、RFC2408に規定されているISAKMPによる暗号化通信用鍵交換は、ネゴシエーションパケットによる鍵の交換方法およびどのような暗号化通信を実装するかについては規定していない。つまり交換方法や暗号化を司る、Key Exchange Definition103、DOI Definition104およびSecurity Protocol105を適切に実装することで種々の暗号化通信に適用可能となっている。
【0024】
図2は、図1に示したISAKMPに規定されているモジュール構成の具体例について説明したものである。図1のKey Exchange Definition103、DOI Definition104およびSecurity Protocol105が、それぞれIKE201、IPSec DOI202およびIPSec203となっている。図2に示す具体例では、IETF発行のRFC2409に規定されているIKE(Internet Key Exchange)を用いて鍵交換をする。そして鍵交換後の暗号化通信には、同じくIETF発行のRFC2407に規定されているIPSec DOIに基づいて翻訳された結果得られた暗号鍵等による暗号化処理が、IPSec203により施される。
【0025】
図3にISAKMP/IKEによる鍵交換フローの一例を示す。図中、Initiator301はネゴシエーションパケットを送信する側であり、Responder302は受信する側である。移動端末(MN)がインターネットからVPNを使用して企業内のネットワークに接続する場合、移動端末(MN)はInitiator301、Responder302は企業網に接続されたVPNゲートウェイの組み合わせが考えられる。この例の場合、移動端末は企業網内に設置されたVPNゲートウェイとの間で暗号化通信を行うことになるため、不特定人が利用できるインターネットを利用したとしてもセキュアに通信することができる。
【0026】
ネゴシエーションパケットの授受等、鍵交換のプロセスは前述のRFC2409に詳しい説明がされているため、ここでは細説しない。
【0027】
図4は、ISAKMP/IKEを利用してIPSec用の鍵交換を行うための、RFC2407に規定されたネゴシエーションパケットの一例を示したものである。それぞれSA、Proposal#、Transform#と呼ばれるフォーマットを備えている。SA中にDomain of Interpretation(DOI)と呼ばれるフィールドが規定されており、ISAKMP102は受け取ったネゴシエーションパケットをDOI Definition104として実装されているモジュールの中から、この値に割り当てられたDOI Definitionモジュールに受け渡す。図4の例ではDOI=1であるから、IPSec用のDOIであるIPSec DOI202に渡される。現在のところ、IETFが発行するRFCではDOI=1(IPSec DOI)が規定されているのみである。
【0028】
図5は、Mobile IPを自装置に実装する際の従来のモジュール構成を示したものである。
【0029】
従来、Mobile IPを実装するときはMobile IPプロトコルに基づくホームエージェントを介した通信をするために必要な設定情報を管理し、またホームエージェントと通信し認証などの情報をやり取りするMIP Controller501が必要である。またMIP Controller501のような制御モジュールから指示を受けて、OSが備えるIP層においてMobile IPを実現するMobile IP502のようなMobile IPドライバが必要である。しかしながらMobile IPを規定する前述のRFC3344、RFC3775ではMobile IP通信に必要なホームアドレスなどの情報を自動設定する手法には言及がなく、例えばMIP Controller501にGUIや設定ファイルなどのインターフェースを持たせるなどして利用者が設定する必要がある。この場合、ホームアドレス、ホームエージェントのアドレスあるいは認証子、認証の方法、認証鍵といった、利用者には雑多な分かりにくい情報の入力を強いることになる。
【0030】
この場合であっても、一旦Mobile IP通信に必要な情報が設定されればMobile IP502がホームエージェントへの転送等の操作を自動的に行うため、Application106は通信相手との通信がMobile IP通信であるか否かは配慮する必要がない。
【0031】
(第1の実施形態)
図6は、本発明の第1の実施形態にかかる初期情報設定用のモジュール構成の一例を示したものである。図6は、図2に示すISAKMP/IKEの一例であるモジュール構成と、図5に示す従来のMobile IPのモジュール構成、および新たにMobile IP DOI601が追加されている。本実施形態における初期情報設定モジュール構成は、図2、図5に示したそれぞれのモジュールの機能と同様であるため、主にそれらと相違する構成、動作について説明する。
【0032】
Mobile IP DOI601は、IPSec DOI202と同様にDOI Definitionの規定に従って構成されるモジュールである。しかしながらIPSec DOI202がRFC2407に規定されたIPSec DOIに従って構成されているのに対し、Mobile IP DOI601は対向機器との間のネゴシエーションパケットをMobile IP用に翻訳する機能を備えている。具体的にはネゴシエーションパケットを翻訳し、Mobile IP通信の設定に必要な情報である移動端末(MN)のホームアドレス、ホームエージェントのアドレス、ホームエージェントとの間の認証子(SPI)、認証の方法、認証鍵といった情報を抽出、またはこれらの情報を含めたネゴシエーションパケットを作成する。上記の設定情報はあくまで一例であり、Mobile IP通信を設定するのに際して必要となる様々な情報を含めるようにしても良い。
【0033】
Mobile IP DOI601の実装については、現在のところIETFによるRFCは発行されていないため、明確な実装方法は存在しない。
【0034】
ISAKMP102は、受け取ったネゴシエーションパケットを、暗号化通信用のネゴシエーションパケットの翻訳に使用されるIPSec DOI202に受け渡すか、Mobile IP用のMobile IP DOI601に受け渡すかは、図4で既述したDomain of Interpretation(DOI)の値に従って判断する。
【0035】
MIP Controller501は、既述したように従来ではGUIや設定ファイルなどのインターフェースを持たせる必要があったが、本実施形態においてはMobile IP DOI601が抽出した各種の設定情報を受け取ることで、これらの値の設定を自動化する。このように構成することにより、利用者自身によるMobile IP関連の情報設定をする必要がなく、よってMobile IP使用時に必要な利用者による煩雑な設定作業を自動化できる。
【0036】
図中、IPSec DOI202およびIPSec203が破線で表現されているが、これは本実施形態においては必須のモジュールではないが併せて実装される場合が多いために記載したものである。本実施形態ではIPSecを用いている例を示しているが、これ以外の暗号化通信を適用する場合には当該モジュールの部分が置き換わる可能性がある。また、本実施形態ではIKE以外の鍵交換手法を用いることも可能であり、その場合にはIKE201も適宜入替えて実施することが可能である。
【0037】
図7は、本実施形態における初期情報設定装置のブロック図の一例である。図7には、初期情報設定装置701、ネゴシエーションパケット処理部702、Mobile IP用初期化データネゴシエーション部703、Mobile IP翻訳部704およびMobile IP管理部705が示されている。
【0038】
初期情報設定装置701は、Mobile IP通信をする移動端末(MN)あるいはVPNゲートウェイといったその対向機器に実装するものであり、Mobile IP通信に必要な情報を自動的に取得あるいは提供し、Mobile IP通信に必要な各種設定を自動化する機能を備える。もちろん初期情報設定装置701として別に構成することなく、この機能を備えた移動端末やその対向機器とすることも可能である。
【0039】
ネゴシエーションパケット処理部702は、Socket Layer101から得たネゴシエーションパケットを受け取り、あるいはネゴシエーションパケットを生成する機能を有する。
【0040】
Mobile IP用初期化データネゴシエーション部703は、ISAKMP102に相当する機能を備える。RFC2408に規定された動作に従い、ネゴシエーションパケットの受信、受信したネゴシエーションパケットのDOIフィールド値に基づいたDOI Definitionモジュールへの受け渡し等を行う。
【0041】
Mobile IP翻訳部704は、Mobile IP DOI601に相当する。Mobile IP用初期化データネゴシエーション部703と連携し、受け取ったMobile IP用ネゴシエーションパケットを翻訳して設定情報を抽出する機能を有する。あるいは自装置がVPNゲートウェイといった移動端末の対向機器である場合には、Mobile IP通信に必要な移動端末で設定すべき情報を含む情報を取得して、これを含むネゴシエーションパケットの作成を指示する。移動端末に設定すべき情報は、ネゴシエーションパケットを受け取った時点でどの移動端末からのものであるかが分かるため、その移動端末に予め割り当てるべき各種設定情報を(図示しない)データベース等から検索して取得することが可能である。移動端末に割り当てるべき情報の取得方法については上記方法に限られず、ネゴシエーションパケットを送信した移動端末のそれぞれがMobile IP通信時において識別可能に設定されるものであればいずれの方法で求めても構わない。
【0042】
Mobile IP管理部705はMIP Controller501に相当し、Mobile IP通信に必要な設定情報を管理し、またMobile IP502と連携してRFC3344またはRFC3775に規定されたMobile IPプロトコルに基づく通信を実現する機能を有する。具体的にはMobile IP用初期化データネゴシエーション部703を介して得た各種設定情報に基づき、自装置におけるMobile IP通信に必要な設定を行う。あるいは対向するホームエージェント等とSocket Layer101を介して直接通信し、認証等の必要な処理を行う場合もある。
【0043】
図8に、本実施形態における初期情報設定装置が取り扱うMobile IP用ネゴシエーションパケットの一例を示す。基本的には図4で示したISAKMP/IKEのネゴシエーションパケットと同様であるが、図8ではSA内のDOIフィールド値を1以外の値としている。またこれに伴いProposal#、Transform#の扱いについてもMobile IP用に適宜解釈を変えて用いることが可能である。このようにMobile IP用に解釈を変えることにより、Mobile IP通信に必要な各種設定情報を含めることが可能となり、よって従来の鍵交換手法を用いるのと同様にこれらの値の受け渡しを可能としている。この図8に示すネゴシエーションパケットは、DOI=2であることからISAKMP102に相当するMobile IP用初期化データネゴシエーション部703によりMobile IP DOI601に相当するMobile IP翻訳部704に渡され、Mobile IP用のネゴシエーションパケットとして解釈され翻訳される。
【0044】
また本実施形態ではMobile IP用という意味でDOI=2を採用しているが、Mobile IP用のこの値については現在のところ標準的な値が定まっていないため、割り当てのされていない値を適宜使用するようにしても良い。
【0045】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。
【0046】
また上記設定手法に基づくISAKMPに関連するモジュールや初期情報設定装置の動作を計算機で実行するためのプログラムとして構成することが可能であり、この場合であっても本実施形態と同様の効果を得ることができる。
【0047】
(第2の実施形態)
図9に本実施形態における初期情報設定方法のシステム構成図の一例を示す。
【0048】
図9にはMobile IP通信を行う移動端末に相当するClient901、暗号化通信のための認証および暗号化通信のための暗号鍵を配布するKerberos Authentication Server902、
およびMobile IP通信時の対向機器となるApplication Server903が示されている。
【0049】
Client901とKerberos Authentication Server902との間は、Kerberos認証が用いられる。ここでいうKerberos認証は、マサチューセッツ工科大(MIT)のAthenaプロジェクトで開発されたネットワーク上での利用を前提としたユーザ認証方法である。本実施形態は鍵交換のための認証および暗号化通信用の暗号鍵をKerberos認証に置き換えたものである。
【0050】
Client901は、まずKerberos Authentication Server902に対しKerberos認証を要求する。要求が認められた場合には、Kerberos Athentication Server902から、Client901のMobile IP通信に必要な設定情報が提供される。ここでいう設定情報とは、Mobile IP用の認証アルゴリズムや認証鍵、Client901に付与すべきホームアドレスやホームエージェントのアドレスといったMobile IP通信を始める際に必要な初期化データである。
【0051】
あるいは、Kerberos認証を用いる場合、鍵配布サーバを分離して配置することができるためApplication Server903に暗号鍵を要求し、鍵の提供を受けるときにApplication Server903からMobile IP通信に必要な設定情報を受け取るようにすることもできる。
【0052】
このように構成することにより、Mobile IP使用時に必要な利用者による煩雑な設定作業を自動化することができる。
【0053】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0054】
【図1】ISAKMPを適用する際の一般的なモジュール構成を示す図である。
【図2】ISAKMP/IKEの一般的なモジュール構成を示す図である。
【図3】ISAKMP/IKEの一般的な鍵交換フローの一例を示す図である。
【図4】IPSec用ネゴシエーションパケットの一例を示す図である。
【図5】Mobile IPを適用する際の一般的なモジュール構成を示す図である。
【図6】第1の実施形態にかかる初期情報設定用のモジュール構成の一例を示す図である。
【図7】第1の実施形態にかかる初期情報設定装置のブロック図の一例を示す図である。
【図8】第1の実施形態にかかるMobile IP用ネゴシエーションパケットの一例を示す図である。
【図9】第2の実施形態にかかる初期情報設定システムの一例を示す図である。
【符号の説明】
【0055】
101:Socket Layer
102:ISAKMPモジュール
103;Key Exchange Definitionモジュール
104:DOI Definitionモジュール
105:Security Protocolモジュール
106:Application
201:IKEモジュール
202:IPSec DOIモジュール
203:IPSecドライバ
501:MIP Controllerモジュール
502:Mobile IPドライバ
601:Mobile IP DOIモジュール
701:初期情報設定装置
702:ネゴシエーションパケット処理部
703:Mobile IP用初期化データネゴシエーション部
704:Mobile IP翻訳部
705:Mobile IP管理部
901:Client
902:Kerberos Authentication Server
903:Application Server
【特許請求の範囲】
【請求項1】
Mobile IP通信を行う通信装置における、Mobile IP通信用の初期設定情報を設定する方法であって、
前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、
他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、
前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法。
【請求項2】
前記鍵交換手順は、ISAKMPとして規定された手順に基づくことを特徴とする、請求項1に記載の初期情報設定方法。
【請求項3】
前記鍵交換手順において、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定することを特徴とする請求項2に記載の初期情報設定方法。
【請求項4】
前記Mobile IP通信するための設定をする際に、前記判断において前記初期設定情報を含むネゴシエーションパケットであると判定した場合に、該パケットに含まれる初期設定情報をMobile IP設定用に翻訳することを特徴とする、請求項3に記載の初期情報設定方法。
【請求項5】
前記鍵交換手順は、Kerberosとして規定された手順に基づくことを特徴とする、請求項1に記載の初期情報設定方法。
【請求項6】
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する装置であって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段と
を備えることを特徴とする初期情報設定装置。
【請求項7】
前記初期設定情報取得手段は、前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項6に記載の初期情報設定装置。
【請求項8】
前記初期設定情報取得手段は、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定する判定手段をさらに備えることを特徴とする請求項7に記載の初期情報設定装置。
【請求項9】
前記初期設定情報取得手段は、前記判定手段により初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳する翻訳手段をさらに備えることを特徴とする請求項8に記載の初期情報設定装置。
【請求項10】
前記初期設定情報取得手段は、前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項6に記載の初期情報設定装置。
【請求項11】
Mobile IP通信を行う通信装置であって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、Mobile IP通信を行うために設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて前記通信装置を設定する初期設定手段と
を備えることを特徴とする通信装置。
【請求項12】
前記初期設定情報取得手段は、前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項11に記載の通信装置。
【請求項13】
前記初期設定情報取得手段は、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定する判定手段をさらに備えることを特徴とする請求項12に記載の通信装置。
【請求項14】
前記初期設定情報取得手段は、前記判定手段により初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳する翻訳手段をさらに備えることを特徴とする請求項13に記載の通信装置。
【請求項15】
前記初期設定情報取得手段は、前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項11に記載の通信装置。
【請求項16】
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する、計算機で実行可能なプログラムであって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得するステップと、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定するステップと
を有することを特徴とする初期情報設定プログラム。
【請求項17】
前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項16に記載の初期情報設定プログラム。
【請求項18】
ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定するステップをさらに備えることを特徴とする請求項17に記載の初期情報設定プログラム。
【請求項19】
初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳するステップをさらに備えることを特徴とする請求項18に記載の初期情報設定プログラム。
【請求項20】
前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項16に記載の初期情報設定プログラム。
【請求項1】
Mobile IP通信を行う通信装置における、Mobile IP通信用の初期設定情報を設定する方法であって、
前記通信装置のMobile IP通信にかかる情報を管理する通信管理装置において、前記通信装置に配布すべき前記初期設定情報を記憶し、
他の通信装置との通信を暗号化する暗号鍵を所定の鍵交換手順に基づいて交換する場合に、該鍵交換手順を用いて前記通信管理装置が記憶する前記通信装置に対応する初期設定情報を配布し、
前記通信装置は、配布された初期設定情報に基づいてMobile IP通信するための設定を行うことを特徴とする初期情報設定方法。
【請求項2】
前記鍵交換手順は、ISAKMPとして規定された手順に基づくことを特徴とする、請求項1に記載の初期情報設定方法。
【請求項3】
前記鍵交換手順において、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定することを特徴とする請求項2に記載の初期情報設定方法。
【請求項4】
前記Mobile IP通信するための設定をする際に、前記判断において前記初期設定情報を含むネゴシエーションパケットであると判定した場合に、該パケットに含まれる初期設定情報をMobile IP設定用に翻訳することを特徴とする、請求項3に記載の初期情報設定方法。
【請求項5】
前記鍵交換手順は、Kerberosとして規定された手順に基づくことを特徴とする、請求項1に記載の初期情報設定方法。
【請求項6】
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する装置であって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定する初期設定手段と
を備えることを特徴とする初期情報設定装置。
【請求項7】
前記初期設定情報取得手段は、前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項6に記載の初期情報設定装置。
【請求項8】
前記初期設定情報取得手段は、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定する判定手段をさらに備えることを特徴とする請求項7に記載の初期情報設定装置。
【請求項9】
前記初期設定情報取得手段は、前記判定手段により初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳する翻訳手段をさらに備えることを特徴とする請求項8に記載の初期情報設定装置。
【請求項10】
前記初期設定情報取得手段は、前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項6に記載の初期情報設定装置。
【請求項11】
Mobile IP通信を行う通信装置であって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、Mobile IP通信を行うために設定すべき前記初期設定情報を取得する初期設定情報取得手段と、
取得した前記初期設定情報に基づいて前記通信装置を設定する初期設定手段と
を備えることを特徴とする通信装置。
【請求項12】
前記初期設定情報取得手段は、前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項11に記載の通信装置。
【請求項13】
前記初期設定情報取得手段は、ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定する判定手段をさらに備えることを特徴とする請求項12に記載の通信装置。
【請求項14】
前記初期設定情報取得手段は、前記判定手段により初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳する翻訳手段をさらに備えることを特徴とする請求項13に記載の通信装置。
【請求項15】
前記初期設定情報取得手段は、前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項11に記載の通信装置。
【請求項16】
Mobile IP通信を行う通信装置に対し、Mobile IP通信用の初期設定情報を設定する、計算機で実行可能なプログラムであって、
他の通信装置との通信を暗号化する暗号鍵を交換ための鍵交換手順を用いて、前記通信装置に設定すべき前記初期設定情報を取得するステップと、
取得した前記初期設定情報に基づいて、前記通信装置がMobile IP通信するための情報を該通信装置に設定するステップと
を有することを特徴とする初期情報設定プログラム。
【請求項17】
前記鍵交換手順としてISAKMPに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項16に記載の初期情報設定プログラム。
【請求項18】
ISAKMPに規定されたネゴシエーションパケットを受信した場合に、該ネゴシエーションパケットが前記初期設定情報を含むパケットであることを該パケットのDOIフィールドの値に基づいて判定するステップをさらに備えることを特徴とする請求項17に記載の初期情報設定プログラム。
【請求項19】
初期設定情報を含むと判定されたパケットに含まれる初期設定情報をMobile IP設定用に翻訳するステップをさらに備えることを特徴とする請求項18に記載の初期情報設定プログラム。
【請求項20】
前記鍵交換手順としてKerberosに規定された手順に基づいて初期設定情報を取得することを特徴とする請求項16に記載の初期情報設定プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−50487(P2006−50487A)
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【出願番号】特願2004−232216(P2004−232216)
【出願日】平成16年8月9日(2004.8.9)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【出願日】平成16年8月9日(2004.8.9)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]