专利名称:本地代理装置和通信系统的制作方法
技术领域:
本发明涉及一种移动数据通信系统,尤其是涉及一种终端在网络间移动进行通信的情况下利用数据包加密来确保安全的技术。
背景技术:
随着笔记本型电脑或PDA(Personal Digital Assistant个人数字电脑)等小型轻量的终端的普及和因特网的爆发性普及,实现了即便在自家或办公室以外的外出目的地也可使用终端的环境。另外,实现了利用第三代便携电话、PHS、无线LAN的热点服务等利用高速的公众无线来对IP网络进行访问的环境。
通常,IP网络通过彼此连接网络地址不同的多个网络(称为副网(sub-network))来构成,从分配给每个副网的IP地址群中,将IP地址提供给连接于副网上的终端。由于一般在副网间传输的数据包根据网络序号来运输数据包,所以每当终端移动到其它副网时,必需从分配给移动目的地的副网之IP地址群中分配不同的IP地址。
代替被广泛用作因特网通信协议的具有32比特地址空间的IPv4,将地址空间扩展到128比特的IPv6正作为下一代因特网通信协议而普及。在IPv6中,为了解决上述问题,提出了在终端移动到其它副网的情况下也可继续保持连接的称为Mobile IPv6(RFC3775)之技术,由因特网标准化委员会IETF(InternetEngineering Task Force)标准化。
在Mobile IPv6中,移动终端在上述副网中,确定移动终端平时所属的副网(称为本地网络)。向移动终端分配本地地址,作为本地网络中使用的IP地址,在本地网络中设置本地代理装置,该本地代理装置具有管理将该副网设为本地网络的移动终端位置信息的功能。
向各副网分配IPv6的前缀地址。在移动目的地的副网中,各移动终端从移动目的地的广告路由器广告的RA(Router Advertisement路由器通告)信息中,取得移动目的地副网的前缀地址,通过利用IPv6的Auto Configuration(自动设定)功能、或DHCP(Dynamic Host Configuration Protocol动态主机配置协议)分配地址,取得在移动目的地的副网中暂时使用的转交地址(Care-ofAddress)。移动终端将取得的转交地址通知给本地代理装置,之后,本地代理装置捕捉到达终端的本地地址的IPv6数据并封装后,发送给转交地址,移动终端除去到达转交地址的被封装的数据包之封装,接收到达本地地址的IPv6数据包。
在上述情况下,移动终端与通信对方的数据包由于隔着本地代理装置,而暂时不构成最佳路径的通信。因此,在移动终端经本地代理装置经由信道接收来自通信对方的数据包的情况下,执行RR(Return Routability迂回路由)步骤,该RR步骤尝试是否能保持不经本地代理装置而直接与通信对方通信的功能。在RR步骤成功的情况下,移动终端与向本地代理装置进行位置登录一样,执行向通信对方通知在移动目的地的副网中暂时使用的转交地址的位置登录,之后,通信对方通过利用转交地址,向移动终端直接发送数据包来将路径最佳化(参照非专利文献1)。
下面,描述Mobile IPv6中的安全问题。在Mobile IPv6中,为了保护移动终端与本地代理装置之间的位置登录之数据包,必须使用进行IP数据包的认证、加密的IPsec(RFC3776)。这是因为,若接受来自未认证对方的位置登录数据包,则会向未认证的其它目的地、而非原来发送的对方传输数据包,产生冒充或通信内容被窃取等安全上的问题(参照非专利文献2)。认为同样的事情对移动终端与通信对方之间用于路径最佳化的位置登录也一样。
另外,在移动目的地的网络中例如使用无线LAN的情况、或未进行加密的基站或在即便利用基站的加密功能的情况下但基站的使用者之间利用相同加密的密钥信息来运营的情况下,可容易地窃取通信内容。这样,移动目的地的网络与通常利用的本地网络相比,发现存在安全问题的情况。
为了解决该问题,不仅考虑对进行位置登录的数据包、还考虑对用户数据包适用上述IPsec。IPsec由RFC2401来规定,为了在发送者与接收者之间进行安全的通信,利用共同密钥来认证、加密(参照非专利文献3)。因此,在发送接收者之间根据IPsec来进行通信之前,必需事先确定共同密钥、认证、加密算法、算法所需的参数等。将该缔结称为安全关联(SA)。另外,在进行IPsec通信的节点中,存储表示对哪个数据包适用的方针之安全方针数据库(SPD),在与适合于该方针的通信对方进行通信的情况下,根据上述SA信息来认证、加密。
IPsec也可适用于Mobile IPv6环境中,不仅移动终端与本地代理装置之间的位置登录数据包,而且在经由本地代理装置通信移动终端与通信对方间的数据包的情况下,通过由IPsec保护用于移动终端与本地代理装置之间的数据包传输之信道,可保证安全。
非专利文献1C.Perkins,J.Arkko“Mobility Support in IPv6”RFC3775,2004年6月非专利文献2J.Arkko,V.Devarapalli,F.Dupont“Using IPsec toProtect Mobile IPv6 Signaling Between Mobile Nodes and Home Agents”RFC3776,2004年6月非专利文献3S.Kent,R.Atkinson,‘Security Architecture for theInternet Protocol’RFC2401,1998年11月如上所述,即便在Mobile IPv6的环境下也可进行利用IPsec的通信。但是,在移动终端位于安全的本地网络中的情况下,考虑通信对方也位于安全的网络中的情况等、通常不使用IPsec的移动终端从本地网络移动、在移动目的地进行通信的情况。此时,由于移动终端、通信对方均未登录在安全方针数据库中,所以为了在移动目的地的网络进行安全的通信,只要仅在移动时未彼此进行安全方针数据库、安全关联的设定,则不能根据IPsec来安全通信。因此,在仅在移动时进行路径最佳化的情况下,会增加对移动终端与通信对方进行IPsec的安全方针数据库或安全关联的设定等利用者、服务器的管理者、移动终端、服务器的负担。
另外,在移动终端等与通信对方之间不能进行安全方针数据库、安全关联的设定的情况下,若终端在移动目的地利用未确保安全的设定之无线LAN等,则会构成通信窃取等的威协。在这种情况下,不利用路径的最佳化,移动终端与通信对方之间的数据包使用未利用路径最佳化地确保本地代理装置与移动终端间的安全之信道,经由本地代理装置进行通信即可。因此,在移动终端与通信对方之间不能确保IPsec的安全关联的情况下,必须变更设定,以不利用路径最佳化地经由本地代理装置进行通信,要求利用者、终端复杂的步骤。
发明内容
本发明的目的在于,就用于安全地进行移动通信网络内的终端间通信的安全设定而言,在自动化的同时,确保安全。作为本发明的一方式,本发明中利用的移动终端与通信对方具有进行Mobile IPv6下的路径最佳化的单元。另外,移动终端具有根据移动终端中设定的安全方针数据库与安全关联、与通信对方进行基于Ipsec的加密通信之功能。
移动终端在从通常所属的本地网络移动的情况下,根据移动目的地路由器中包含的路由器广告,生成移动目的地的网络中暂时利用的转交地址,并将该转交地址与本地地址一起位置登录于本地代理装置中。在本地代理装置接收到有效的位置登录的情况下,在本地代理装置内部具有将较早的本地地址与转交地址对应保持在表格中、并捕捉移动终端的本地地址目的地的数据包之功能,和将捕捉到的数据包封装后传送到移动终端的转交地址目的地的功能。另外,在移动终端与本地代理装置之间,为了保护位置登录的数据包和用户数据的数据包,彼此具有事先静态设定、或动态制作及设定用于保护位置登录中使用的数据包与用户数据数据包的安全方针数据库和安全关联的功能。
移动终端具有如下功能,即在移动目的地网络中以封装成发送给转交地址的数据包的形式、经本地代理装置在接收到来自通信对方的数据包的情况下,检测通信对方是否具有不经本地代理装置而直接通信的路径最佳化功能。移动终端具有如下功能,即在该检测成功的情况下,进行设定,以利用IPsec来保护与通信对方交换的数据包。
发明效果根据本发明,移动终端在通信对方具有进行路径最佳化的通信的功能的情况下,并且移动终端与通信对方之间可利用IPsec来保护通信的情况下,自动设定以便能进行路径最佳化通信,并且在移动终端与通信对方之间不能进行基于由IPsec保护的通信的情况下,通过设定成利用在移动终端与本地代理装置之间封装后传送的功能来进行通信,可提供移动终端在移动目的地也被保护的通信。
图1是适用本发明的网络构成图。
图2是可在MN-CN之间并用路径最佳化与IPsec通信时的序列图。
图3是在MN-CN之间RR步骤成功后、IKE失败时的序列图。
图4是表示MN的动作的流程图。
图5是在MN-CN之间位置登录后的IKE成功时的序列图。
图6是在MN-CN之间位置登录后的IKE失败时的序列图。
图7是在MN-CN之间实施位置登录后的IKE时的MN流程图。
图8是MN-CN间的通信路径图。
图9是HA进行滤波时的序列图。
图10是MN、HA、CN的构成例。
具体实施例方式
移动终端可提供即便在移动目的地也不增加利用者的麻烦、利用IPsec进行保护的通信。
图1是本发明实施例的移动通信系统之系统构成图。图1中,101是本地代理装置(下面简称为HA),具有如下功能,即接收来自移动终端(下面简称为MN)105的位置登录(BUBinding Update)后,进行MN的位置管理,在移动终端移动到本地网络102以外的其它副网107的情况下,捕捉发送到MN105的本地地址的数据包并封装,传送到在位置登录时登录的转交地址。103是路由器,进行IP数据包的传送,另外,向存在于该副网内的终端广告终端所在副网107的信息,104是无线LAN等基站,容纳移动终端等。105是MN,MN具有如下功能,即具有属于本地网络的地址作为固定地址,在移动时,在移动目的地的副网107中,根据移动目的地的路由器103广告的副网的信息,使用IPv6的IPv6无国籍地址自动设定功能、或DHCPv6(Dynamic Host Configuration Protocol v6)等,取得转交地址,对HA101进行位置登录。106是成为MN105的通信对方(下面简称为CN)的终端或服务器,在与MN进行通信时,可经由HA101进行,或也可通过进行路径最佳化而与移动终端直接进行通信。
下面,用图2来描述MN105与CN106最佳化路径后、利用IPsec来进行安全通信前的动作。MN105在从本地网络102开始移动并移动到移动目的地副网107的情况下,最初MN105在基站104进行服务的服务范围内,接收路由器103广告的路由器通告201,通过其中包含的Prefix信息,取得移动目的地的副网之Prefix信息,生成转交地址。或者,也可使用DHCPv6(Dynamic HostConfiguration Protocol v6)等,从移动目的地的网络取得转交地址。MN105在对HA101进行位置登录时,排除来自不正当移动终端的位置登录,为了防止篡改位置登录数据包,使用进行基于MN-HA之间的数据包共同密钥之加密或消息认证的IPsec。202表示为了利用IPsec而在MN-HA之间动态交换加密或消息认证中使用的算法或密钥并制作SA(Secruity Association安全关联)的IKE(Internet Key Exchange因特网密钥交换协议)的动作。在SA的制作中,可如202那样动态制作,也可在MN-HA之间事先彼此设定。203是MN对HA进行位置登录,将所述MN取得的转交地址与MN的本地地址通知给所述HA101。204是HA对所述位置登录203的响应,表示HA接受到来自MN的位置登录。205是在MN经由HA同CN106进行通信的情况下,对于在MN与HA之间封装数据包后发送接收在MN与CN通信的数据包时使用的IPsec信道207,动态交换加密或消息认证中使用的算法或密钥、并制作SA用的IKE。在该SA的制作中,也可与所述MN-HA之间的数据包用SA一样,在MN-HA之间事先彼此设定。MN在通过上述MN-HA之间的IPsec信道接收来自成为通信对方的CN106的数据包的情况下(206),开始用于计算MN-CN间的位置登录(224)中包含的混列值的密钥交换的RR步骤(207至211)。MN不向不能对应于该步骤的CN发送位置登录,就进行使用HA-MN之间的IPsec信道的通信。因此,RR步骤也可用于确认CN是否对应于路径最佳化。208是HoTI(Home Test Init本地测试初始化),经由HA向CN发送位置登录(224)中使用的混列值计算用的本地开始cookie值等。210是CoTI(Care-of Test Init转交测试初始化),将位置登录(224)中使用的混列值计算用的转交开始cookie值等直接发送给CN。HoTI208经由MN-HA之间的IPsec信道207发送给CN106,CoTI不经由HA地直接发送给CN。经由MN-HA间的Ipsec信道来接收作为对来自CN的HoTI的响应之HoT(Home Test本地测试)(209),MN接收作为对来自CN的CoTI的响应之CoT(Care-of Test转交测试)(211),在双方没有错误的情况下,表示CN106具有对应了路径最佳化的功能。此时,MN105尝试是否可与CN106进行基于IPsec的加密通信,仅在可利用IPsec进行通信的情况下,进行路径最佳化。当MN105判断不能与CN106进行基于IPsec的加密通信时,MN105不对CN106进行位置登录。由此,由于CN与MN间的数据包经由HA并通过由HA与MN之间的IPsec保护的信道,所以即便在MN的移动目的地,MN与CN间的数据包也受IPsec保护。因此,MN在RR步骤成功的情况下,向SPD(Security Policy Database安全策略数据库)动态追加与CN进行加密通信的信息(212)。若向MN的SPD追加CN,则接着MN105会向CN106发送位置登录(226),但为了向SPD追加CN106,在发送位置登录前可进行加密通信,或启动与CN106动态交换加密或消息认证所使用的算法或密钥的IKE,制作SA(Security Association)(213至223)。该IKE通过MN-HA间的IPsec信道207并经由HA101进行。213至218是称为IKE的第一阶段(219)的步骤,在主模式或积极模式下进行。在主模式下,使用6个消息来结束第一阶段,保护ID信息,相反,在积极模式下,有时虽然利用3个消息来结束第一阶段,也保护不了ID信息。在使用IP地址作为ID信息、并利用事先共通秘密密钥认证方式时,使用积极模式。在IKE的第一阶段(219)中,制作ISAKMP SA,但在移动前已在MN-CN间制作了ISAKMP SA的情况下,也可以省略。MN与CN利用制作的ISAKMP SA,彼此交涉及设定为了利用220至222的IKE的第二阶段(223)来保护MN-CN间的数据包所使用的加密算法、认证算法、密钥、IPsec SA的有效时间等。在MN与CN的IKE成功的情况下,MN设定与CN的通信用SA(224),CN设定MN用的SA(225)。之后,MN向CN发送由IPsec保护的位置登录(226)。CN也可在接收到位置登录的情况下,返回对位置登录的响应(227)。之后,MN105与CN106可不经HA101就直接通信。由此,MN(105)即便对在容纳于本地网络的时刻未利用IPsec进行通信的CN,也可在移动到有窃取等安全上悬念网络的情况下,动态变更IPsec的设定,可进行安全通信。
图3的动作表示与图2一样地MN移动的情况下MN-CN间的IKE失败时的动作。MN与图2一样地接收RA之后(201),与HA之间进行IKE(202),制作SA,实施位置登录(203、204)。并且,利用IKE来制作MN-HA间的IPsec信道用SA(205)。之后,MN在从CN经由MN-HA间的IPsec信道(207)接收数据包的情况下(206),执行RR步骤(208至211)。MN在RR步骤成功的情况下,向SPD动态追加与CN进行加密通信的信息(212)。若向MN的SPD追加CN,则MN为了在位置登录发送前进行加密通信,启动与CN动态交换加密或消息认证所用的算法或密钥的IKE,制作SA(213至216、301、302)。该IKE通过MN-HA间的IPsec信道(207)并经由HA进行。在IKE时因某种原因在MN-CN间SA的设定失败的情况下(301、302),设定成MN删除与在先追加的CN有关的SPD,即便在经由IPsec信道接收来自CN的数据包的情况下,也不开始RR步骤(304)。在图3的实例中,虽然IKE的第一阶段303中IKE失败,但IKE在第二阶段223中失败的情况也一样。另外,MN中止对CN的位置登录发送,之后也通过经由HA的IPsec信道(206)与CN进行通信。此时,因为MN-HA之间由IPsec的信道保护,所以MN-CN间的通信也利用经由HA的IPsec信道,这样在移动到有窃取等安全悬念的网络的情况下也可进行安全通信。
图4是表示图2、图3中的MN动作的流程图。MN在接收RA(401)之后,在通过生成转交地址(CoA)(402)检测到移动的情况下(403),首先开始对HA的位置登录。404是用于制作保护与HA的位置登录时所使用数据包的SA的IKE。在SA制作失败的情况下,MN重新从最初开始处理。406是从MN对HA的位置登录处理。407是MN与HA的IPsec信道用的IKE,由此来制作IPsec信道用SA。MN在经由上述IPsec信道接收来自CN的数据包的情况下,尝试与CN的路径最佳化。MN与CN之间开始RR步骤(409),在RR步骤成功的情况下(410),可进行路径的最佳化,所以在CN进行位置登录之前,通过与HA的IPsec信道,在MN与CN之间实施IKE(411)。若IKE成功后在MN-CN之间制作SA(412),则MN对CN进行位置登录(413),之后,利用附加IPsec来在MN-CN之间进行最佳化路径的通信(416)。在410中RR步骤失败的情况下、以及MN与CN之间SA的制作失败的情况下,通过经由HA的IPsec信道与CN通信。此时,设定成在与CN之间存在不必要的SPD的情况下,删除该SPD,另外,即便在经由IPsec信道接收到来自CN的数据包的情况下,也不开始RR步骤(414)。
下面,作为其它实施例,图5中示出在位置登录之后、于MN-CN之间进行IKE时的动作。图5中,201至211表示与图2一样的动作。501是对CN的位置登录,CN也可返回对位置登录的响应(502)。MN以RR步骤的成功、或位置登录的发送(501)为契机,向SPD追加CN,以利用IPsec来保护MN-CN间的通信(503)。之后,若向MN的SPD追加CN,则MN在发送给CN数据包的情况下没有SA时,启动动态交换MN-CN间的通信中利用的加密或消息认证中使用的算法或密钥的IKE,制作SA(504至515)。最佳化路径后进行该IKE。504至509是IKE的称为第一阶段(510)的步骤,在主模式或积极模式下进行。虽然在IKE的第一阶段(510)中制作ISAKMP SA,但在MN-CN之间已制作了ISAKMP SA的情况下,也可省略。MN与CN利用制作的ISAKMP SA,彼此交涉用于利用(511至513)的IKE的第二阶段(514)来保护MC-CN间的数据包之加密算法、认证算法、密钥、Ipsec SA的有效时间等,MN与CN分别设定该结果(516、517)。之后,在MN与CN之间进行带IPsec的路径最佳化通信(518、519)。
图6示出在位置登录之后、于MN-CN之间进行IKE时IKE失败时的动作。201至211、501至503表示与图5一样的动作。在IKE中因某种原因在MN-CN间SA设定失败的情况下(508、509),设定成MN删除与在先追加的CN有关的SPD,即便在经由IPsec信道接收来自CN的数据包的情况下,也不开始RR步骤(601)。在图6的实例中,虽然IKE的第一阶段(510)中IKE失败,但IKE在第二阶段(514)中失败的情况也一样。再者,如果依旧如此,来自CN的数据包会最佳化路径后发送来,需要对CN解除位置登录。因此,MN再次对CN执行RR步骤(602至605)。而且,通过对CN发送将位置登录数据包的使用期限值设定为0的数据包等,解除CN对MN的位置登录(606、607)。之后,MN-CN间的通信利用由IPsec保护的MN-HA之间的信道,由此在移动到有窃取等安全悬念之网络的情况下也可进行安全通信。
图7是表示图5、图6中的MN动作的流程图。MN在接收RA(701)之后,在通过生成转交地址(CoA)(702)检测到移动的情况下(703),首先开始对HA的位置登录。704是用于制作保护与HA的位置登录时所用数据包用的SA之IKE。在SA制作失败的情况下,MN重新从最初开始处理。706是由MN对HA的位置登录处理。707是MN与HA的IPsec信道用的IKE,由此来制作MM-HA之间的IPsec信道用SA。在MN经由上述IPsec信道接收来自CN的数据包的情况下,MN尝试与CN的通信路径最佳化。MN与CN之间开始RR步骤(709),在RR步骤成功的情况下(710),可进行路径的最佳化,所以在CN进行位置登录(711)。并且,MN向SPD追加CN,在产生发给CN的数据包时,在与CN之间实施IKE(712)。若IKE成功,在MN-SA之间制作了SA(713),则之后利用附加IPsec来在MN-CN之间进行最佳化路径的通信(718)。在710中RR步骤失败的情况下,与CN通过经由HA的IPsec信道进行通信(717)。另外,在MN与CN之间的IKE失败且SA的制作失败的情况下(713),设定成在MN与CN之间存在不必要的SPD的情况下,删除该SPD,另外,即便在经由IPsec信道接收到来自CN的数据包的情况下,也不开始RR步骤(714)。并且,MN执行为了解除对CN的位置登录而使用的位置登录数据包发送用RR步骤(715),之后,通过对CN发送将位置登录数据包的使用期限值设定为0的数据包,解除CN的位置登录(716),之后,MN-CN间的通信通过经由HA的MN-HA之间的IPsec信道来进行(717)。
图8表示进行了附加Ipsec的路径最佳化时的通信路径(805)、和未进行路径最佳化时的通信路径(806)。801表示MN的SPD,在与CN进行路径最佳化之前,存储与HA的位置登录用SPD和IPsec信道用SPD,在进行路径最佳化的情况下,在与CN的RR步骤、或向CN的位置登录成功之后,动态追加与CN的SPD。802是SA,除用于与HA的位置登录外,在进行IPsec信道用路径最佳化的情况下,在IKE之后追加与CN的SA。803是CN的SPD,804是CN的SA,在进行路径最佳化时,在MN与CN的IKE成功之后,追加与MN的SA,在失败的情况下,不追加。
图9的动作表示Ha中判断在MN移动的情况下、MN移动目的地的网络、构成MN的通信对方的CN或CN所属的网络可否由哪个网络在MN-CN间进行最佳化路径的通信时之动作。HA具有对MN移动的网络(由地址与Prefix长度指定)最佳化路径的通信事先设定可能/不可能、并存储在HA的存储器中的功能。同样,成为MN的通信对方的CN或CN所属的网络(由地址与Prefix长度指定)具有对由哪个网络最佳化路径的通信设定可能/不可能、并存储在HA的存储器中的功能。MN与图2一样,在接收RA之后(201),与HA之间进行IKE(202),制作SA并实施位置登录(203、204)。并且,利用IKE来制作MN-HA之间的IPsec信道用的SA(205)。之后,MN在从CN经由MN-HA之间的Ipsec信道(207)接收数据包的情况下(206),开始RR步骤。在从MN直接送到CN的CoTI(210)到达CN,CN具有与MN进行最佳化路径的通信之功能的情况下,作为对CoTI的响应,从CN向MN直接发送CoT(Care-of Test)(211)。HoTI(208)经由MN-HA之间的IPsec信道(207)发送到CN(106),但HA与存储在存储器内的、将对应于MN的移动目的地网络来最佳化路径之通信设为可能/不可能的条件、或将由CN所属的网络最佳化路径的通信设为可能/不可能的条件相对照,在不可能的情况下,由HA滤波HoTI,不传送给CN(901)。此时,HoTI不到达CN,所以HoT也不返回MN。因此,MN不向CN发送位置登录地、通过MN-HA之间的IPsec信道并经由HA来进行通信(902)(903)。
图10是MN、CN或HA的硬件构成例。1001是CPU,1002是存储器,1004是网络界面。网络界面也可存在多个。1003表示系统总线/转换器。CPU1001、存储器1002、网络界面1004通过系统总线/转换器1003彼此连接。CPU1001通过存储在存储器1002中的程序动作。MN在存储器1002中具有为了保护数据包而在与HA或CN进行IPsec通信的情况下使用的SA或SPD数据、表示在路径最佳化下通信的CN之Binding Update List等数据。CN、HA也一样,在存储器1002中保持在与MN进行IPsec通信的情况下使用的SA或SPD数据、在与MN进行路径最佳化通信的情况下、MN的本地地址与转交地址的对应(BindingCache)或将MN最佳化路径的通信设为可能/不可能的移动目的地之网络或CN网络的信息。
产业上的可利用性可适用于即便在移动终端移动的目的地也不增加利用者的麻烦就提供安全通信的便携电话或便携终端、具有无线通信功能的传感器等。
权利要求
1.一种本地代理装置,连接于移动终端与该移动终端的通信对方终端,并连接于该移动终端的本地网上,将该移动终端的本地地址与转交地址相对应起来管理,其特征在于在上述移动终端与上述通信对方终端之间不能直接进行经加密或认证的通信的情况下,中继上述移动终端与上述通信对方终端之间的通信;在上述移动终端与上述通信对方终端之间能够直接进行经加密或认证的通信的情况下,不中继上述移动终端与上述通信对方终端之间的通信。
2.一种本地代理装置,连接于移动终端与该移动终端的通信对方终端,并连接于该移动终端的本地网上,将该移动终端的本地地址与转交地址相对应起来管理,其特征在于在容纳上述移动终端的网络、上述通信对方终端、或容纳上述通信对方终端的网络的至少一个中,具有存储设定位置登录的许可或不许可的信息的存储器;具有控制部,在接收从上述移动终端至上述通信对方终端的、或从上述通信对方终端至上述移动终端的位置登录的情况下,根据上述存储器内的上述信息,在许可的情况下中继上述位置登录,在不许可的情况下废弃上述位置登录。
3.一种通信系统,具备移动终端、该移动终端的通信对方终端、和本地代理装置,该本地代理装置连接于该移动终端的本地网上,将该移动终端的本地地址与转交地址相对应起来管理,其特征在于在上述移动终端与上述通信对方终端能够直接进行经加密或认证的通信的情况下,不经过上述本地代理装置就在上述移动终端与上述通信对方终端之间进行通信;在上述移动终端与上述通信对方终端不能直接进行经加密或认证的通信的情况下,上述移动终端与上述通信对方终端经上述本地代理装置进行通信。
4.根据权利要求3所述的通信系统,其特征在于上述移动终端在能够与上述通信对方终端进行经加密或认证的通信的情况下,向将进行加密通信作为方针的安全策略数据库追加上述通信对方终端。
5.根据权利要求3所述的通信系统,其特征在于上述移动终端在不能与上述通信对方终端进行经加密或认证的通信的情况下,从将进行加密通信作为方针的安全策略数据库中删除上述通信对方终端。
6.根据权利要求3所述的通信系统,其特征在于上述移动终端在不能与上述通信对方终端进行经加密或认证的通信的情况下,向上述通信对方终端发送删除上述移动终端的位置登录的请求。
7.根据权利要求3所述的通信系统,其特征在于上述移动终端在能够与上述通信对方终端进行经加密或认证的通信的情况下,在执行对上述通信对方终端的位置登录之后,开始密钥交换步骤。
8.根据权利要求3所述的通信系统,其特征在于上述通信对方终端是移动终端。
9.根据权利要求3所述的通信系统,其特征在于上述通信对方终端在能够与上述通信对方终端进行经加密或认证的通信的情况下,向将与上述移动终端进行加密通信作为方针的安全策略数据库追加上述移动终端。
10.根据权利要求3所述的通信系统,其特征在于上述移动终端具有路由功能。
全文摘要
本发明提供一种本地代理装置。以前,在利用MobileIPv6的通信中,在移动终端与通信对方之间不能确保安全的情况下,若进行路径最佳化的通信,则在移动目的地会受到通信被窃取等威胁。本发明的本地代理装置,在移动终端进行利用MobileIPv6的通信的情况下,具有如下功能,即在与通信对方进行路径最佳化的通信的情况下,进行自动设定,以便利用IPsec,在与通信对方的IPsec设定失败的情况下,利用由MN-HA与IPsec保护的信道。
文档编号H04L9/00GK1905519SQ20061000510
公开日2007年1月31日 申请日期2006年1月12日 优先权日2005年7月27日
发明者矢野正, 森重健洋, 小西胜己 申请人:日立通讯技术株式会社