[go: up one dir, main page]

JP2005006147A - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP2005006147A
JP2005006147A JP2003168955A JP2003168955A JP2005006147A JP 2005006147 A JP2005006147 A JP 2005006147A JP 2003168955 A JP2003168955 A JP 2003168955A JP 2003168955 A JP2003168955 A JP 2003168955A JP 2005006147 A JP2005006147 A JP 2005006147A
Authority
JP
Japan
Prior art keywords
mobile terminal
home
management unit
address
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003168955A
Other languages
Japanese (ja)
Inventor
Hiroshi Miyata
宏 宮田
Yukiyo Akisada
征世 秋定
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2003168955A priority Critical patent/JP2005006147A/en
Publication of JP2005006147A publication Critical patent/JP2005006147A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network system for enabling a user to perform communication without being aware of the restriction of a private address even when a terminal device is moved to a different network area. <P>SOLUTION: This network system includes a home link consisting at least of a home managing part and a mobile terminal, and is connected to another network through a firewall. An address based on IPv6 or mobile IPv6 is assigned to the mobile terminal as a home address. The home managing part has a function for setting and deleting a prescribed rule in/from the firewall and stores a correspondence table for the home address of the mobile terminal and a care-of address generated at the moving destination of the mobile terminal. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークシステムに関し、詳しくは、移動端末からインターネットを介してLANにアクセスするように構成されたネットワークシステムの改良に関するものである。
【0002】
【従来の技術】
インターネットに内部LANを接続するのにあたっては、内部LANのセキュリティを保つために、一般的にファイアウォールを介在させている。図5はこのようなネットワークシステムの概念図であり、内部LAN10はファイアウォール20を介してインターネット30に接続されている。内部LAN10には移動端末を含む複数の端末機器11、12が設けられ、インターネット30には端末機器31が設けられている。
【0003】
このような構成において、端末機器11・12相互間での通信は自由に行えるが、端末機器11・12とインターネット30に設けられている端末機器31との通信はファイアウォール20により制限される。端末機器11・12から端末機器31への通信は、端末機器31のアドレスが分らないと行えない。
【0004】
ところで、これら端末機器11・12を特定するアドレスとしては、一般に、特定のLAN内において唯一のアドレス空間となるIPv4プライベートアドレスが用いられている。ここで、端末機器31から内部LAN10へアクセスするのにあたっては、ファイアウォール20が内部LAN10へのアクセスを制御しているので、例えば図6に示すように、端末機器31とファイアウォール20との間でIPsec(IPセキュリティプロトコル)のトンネルモードを利用することが行われている。
【0005】
図6の構成によれば、端末機器31から内部LAN10の端末機器11・12にアクセスすることはできるが、端末機器11・12から端末機器31への通信は端末機器31のアドレスが分らないと行えない。
【0006】
【特許文献1】
特開2002−328869
【0007】
【発明が解決しようとする課題】
しかし、図6の構成によれば、例えば端末機器31を今まで接続されていた本来のネットワークから他のネットワークに移動させたときにはアドレスが変わるため、端末機器11・12からアクセスする場合には端末機器11・12が端末機器31の新しいアドレスを知っている必要がある。
【0008】
また、端末機器31を他のネットワークに移動させたときには、アクセスできる内部LANは限定されるか、内部LANごとにIPsecトンネルモードを利用するかあるいは切り替える必要がある。
【0009】
さらに、他の内部LANで同じアドレス空間を利用している可能性があり、この場合には同じアドレス空間を利用しているこれらの機器は同時に通信することができない。
【0010】
特許文献1には、モバイル機器によりファイアウォールを通してリモートで情報を適用する方法及び装置に関する技術が開示されている。
【0011】
しかし、特許文献1では、本発明のように、プライベートアドレスの制約を解決することは全く意図していない。
【0012】
本発明は、このような問題を解決するものであり、その目的は、端末機器を異なるネットワーク領域に移動させた場合にも、プライベートアドレスの制約を意識することなく通信が行えるネットワークシステムを提供することにある。
【0013】
【課題を解決するための手段】
このような目的を達成する請求項1の発明は、
少なくともホーム管理部と移動端末とで構成されるホームリンクを含み、ファイアウォールを介して他のネットワークと接続されるネットワークシステムであって、
前記移動端末にはホームアドレスとしてIPv6またはMobile IPv6に基づくアドレスが割り当てられ、
前記ホーム管理部は、前記ファイアウォールに対し所定のルールを設定削除する機能を有するとともに、移動端末のホームアドレスと移動端末の移動先で生成される気付けアドレスとの対応テーブルを格納することを特徴とする。
【0014】
請求項2の発明は、請求項1記載のネットワークシステムにおいて、
前記ファイアウォールには、前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットを通過させるルールが設定されていることを特徴とする。
【0015】
請求項3の発明は、請求項2記載のネットワークシステムにおいて、
前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットは、IPsecのESPプロトコルまたはAHプロトコルに基づくものであることを特徴とする。
【0016】
請求項4の発明は、請求項2または請求項3記載のネットワークシステムにおいて、
前記ホーム管理部は、前記ファイアウォールに対し、前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットを通過させるルールを設定することを特徴とする。
【0017】
請求項5の発明は、請求項1から請求項4のいずれかに記載のネットワークシステムにおいて、
前記ホームリンクから移動した移動端末は、通信対象端末との間で、前記ホーム管理部を経由して通信を行うことを特徴とする。
【0018】
請求項6の発明は、請求項1から請求項5のいずれかに記載のネットワークシステムにおいて、
前記ファイアウォールは、前記移動端末と通信対象端末との間で所定のデータ授受が行われたとき、前記移動端末と通信対象端末との間での直接通信を許可することを特徴とする。
【0019】
請求項7の発明は、請求項1から請求項6のいずれかに記載のネットワークシステムにおいて、
前記ホーム管理部が管理する移動端末の位置情報は有効期限を有するものであり、この有効期限が切れたときは前記ホーム管理部は前記ファイアウォールに設定したルールを削除することを特徴とする。
【0020】
これらにより、端末機器を異なるネットワーク領域に移動させた場合にも、プライベートアドレスの制約を受けることなく通信が行える。
【0021】
【発明の実施の形態】
以下、図面を用いて本発明の実施態様を説明する。
図1は本発明の実施態様の一例を示す概念システム図であり、移動端末がホームリンク内に位置している移動前の状態を示している。内部LAN10はファイアウォール20を介して図示しないインターネットに代表される他のネットワークと接続されている。内部LAN10には、通信対象端末13とホームリンク40が設けられている。
【0022】
ホームリンク40は、ホーム管理部41と移動端末42とで構成されている。ホーム管理部41は、ホームリンク40に属する移動端末42を管理する機能を有している。移動端末42は、通信対象端末13との間で直接通信を行う。ここで、移動端末42には、ホームアドレスとして、IPv6またはMobile IPv6に基づく全世界で唯一の固有アドレスが割り当てられている。IPv6を用いることにより、プライベートアドレスを用いた場合には複数内部LANへの同時アクセスができなくなるという問題を解決できる。そして、Mobile IPv6を用いることにより、移動端末42がホームリンク40外に移動した場合でも同一アドレスを用いて通信を行えるようにすることができる。
【0023】
図2は移動端末が図1の状態からホームリンク外に移動した場合を示す概念システム図である。移動端末42は、ホームリンク40外に移動したとき、ホーム管理部41に対して図3に示すようなフォーマットのBinding Update(BU)パケットを送信する。ここで、(a)のパケットはIPsecのプロトコルとしてESP(Encupsulating Security Payload)を用いる場合を示し、網掛け部分は暗号化されている。(b)のパケットはIPsecのプロトコルとしてAH(Authentification Header)を用いる場合を示している。いずれの場合も、IP Headerの送信元アドレス(SRC)と宛先アドレス(DST)はそれぞれ以下のようになる。
SRC=移動端末42の移動先で生成されたアドレス(気付けアドレス)
DST=ホーム管理部41のアドレス
Home Address Optionには、移動端末42のホームリンク40におけるホームアドレスが入る。
【0024】
このようなシステムにおける通信処理手順を説明する。
1)ファイアウォール20には予めHome Address Optionを解読する機能を持たせる。
2)さらに、Home Address Optionに、移動端末42のホームアドレスを持ちDSTにホーム管理部41のアドレスを持つ図3に示すBUパケットおよびその返信パケットは通過させるルールを定義しておく。
【0025】
3)移動端末42は、移動後ホーム管理部41にBUパケットを送信するが、そのパケットはファイアウォール20を通過することができ、ホーム管理部41に届く。ホーム管理部41は移動端末42にBUパケットに対する返信を行う(A)。この返信は(B)の後でもかまわない。
4)ホーム管理部41はこの移動端末42からのBUパケットを認証し、正しければホームアドレスと気付けアドレスとの対応テーブルを更新し、移動端末42の気付けアドレスとホーム管理部41のアドレスの間のトンネルパケットと、必要に応じて移動端末42とホーム管理部41間の通信を提供するためのルールをファイアウォール20に通知する(B)。
【0026】
5)移動端末42はホーム管理部41との間にトンネルを構築し、そのトンネルを用いて通信対象端末13との通信を行う(C)。なおこのようなトンネルとしてはIPsecのトンネルモードまたはIPv6 over IPv6などが利用可能である。
6)移動端末42は再度移動した場合、再度ホーム管理部41にBUパケットを送信するが、このときホーム管理部41は(B)で登録したルールを削除し、新しいルールを追加するようにファイアウォール20に通知する。
【0027】
7)移動端末42がホーム管理部41に位置情報の削除を送信したときに、ホーム管理部41は(B)で登録したルールを削除するようにファイアウォール20に通知する。
8)ホーム管理部41のもつ移動端末42の位置情報は有効期限を持つ、この期限が切れたときにホーム管理部41は(B)で登録したルールを削除するようにファイアウォール20に通知する。
【0028】
図4も移動端末が図1の状態からホームリンク外に移動した場合を示す概念システム図であり、移動端末42のホームアドレスとしてIPv6またはMobile IPv6に基づくアドレスを割り当てた例を示している。
【0029】
Mobile IPv6では移動端末42が通信対象端末13と直接通信を行えるようにも定義してある。このときの動作を以下に定義する。この場合も先に紹介した動作と同様に移動端末42は移動後にホーム管理部41にBUパケットを送信する。このフォーマットも先の例と同様である。
【0030】
このようなシステムにおける通信処理手順を説明する。
1)ファイアウォール20には予めHome Address Optionを解読する機能を持たせる。
2)さらに、Home Address Optionに移動端末42のホームアドレスを持ち、DSTにホーム管理部41のアドレスを持つBUパケットおよびその返信パケットは通過させるルールを定義しておく。
【0031】
3)移動端末42は移動後、ホーム管理部41にBUパケットを送信するが、そのパケットはファイアウォール20を通過することができ、ホーム管理部41に届く。ホーム管理部41は移動端末42にBUパケットに対する返信を行う(A)。この返信は(B)の後でもかまわない。
4)ホーム管理部41はこの移動端末42からのBUパケットを認証し、正しければホームアドレスと気付けアドレスとの対応テーブルを更新し、この移動端末42の気付けアドレスとホーム管理部41のアドレスの間のIPsecのトンネルモードのパケットまたはIPv6 over IPv6トンネルの少なくともいずれかがファイアウォール20を通過できるルールと、移動端末42の気付けアドレスと内部LAN10のホストとの間でCoTI(Care−of Test Init;気付けテストの初期化)/CoT(Care−of Test;気付けテスト)のやり取りができるようにファイアウォール20に通知する。また、必要に応じて移動端末42とホーム管理部41間の通信を提供するためのルールをファイアウォール20に通知する(B)。
【0032】
5)移動端末42はホーム管理部41との間にIPsecトンネルを構築し、そのトンネルを用いて通信対象端末13にHoTI(Home Test Init;ホームテストの初期化)を送り、HoT(Home Test;ホームテスト)を受け取る(C)。
6)同時に移動端末42は通信対象端末13に対してCoTIを送り、CoTを受け取る(C’)。これは、(B)で通知したルールにより実現可能である。
7)ファイアウォール20はCoTの転送時に移動端末42と通信対象端末13との間でBUの授受ができるよう設定を追加する(D)。この設定変更は、CoTIの転送時に行うことも可能である。
【0033】
8)移動端末42はHoTとCoTを受信すると、通信対象端末13に対して直接BUパケットを送信し、通信対象端末13より返信を受け取る(E)。もし、通信対象端末13からの返信が一定時間なければ(D)で設定したルールは削除される。なお(E)で期待している返信パケットは利用ポリシによっては送信されない場合がある。この場合、(D)のルールは、移動端末42から通信対象端末13へ送信した最後のBUから一定時間後に削除される。
9)ファイアウォール20はこの返信を転送する際に、移動端末42、通信対象端末13間の通信を許容する設定を自身に追加する(F)。これにより、移動端末42は通信対象端末13と直接パケットを授受することができる(G)。なお(E)で期待している返信パケットは利用ポリシによっては送信されない場合がある。このため、(F)のルールは(E)の移動端末42から通信対象端末13へBU転送を行ったときや(D)のルール設定時などに設定することも考えられる。
【0034】
10)移動端末42は再度移動した場合、再度ホーム管理部41にBUを送信するが、このときホーム管理部41は(B)(D)および(F)で登録したルールを削除し、新しいルールを追加するようにファイアウォール20に通知する。
11)移動端末42がホーム管理部41に位置情報の削除を送信したときに、ホーム管理部41は(B)(D)および(F)で登録したルールを削除するようにファイアウォール20に通知する。
【0035】
12)ホーム管理部41のもつ移動端末42の位置情報は有効期限を持つ。この期限が切れたときにホーム管理部41は(B)(D)および(F)で登録したルールを削除するようにファイアウォール20に通知する。
13)(D)(F)のルールは移動端末42と通信対象端末13間の最後のBUパケットから一定時間経過後に削除される。
【0036】
このように構成される発明の具体的な適用例について説明する。
移動端末42が無線IP内線電話機であるとする。社員Aはこの電話機を持ち歩きホットスポットに入る。社員Aは、この電話機を使って、社内にいる社員Bと通話することができる。
【0037】
また、社内にいる社員Cは、社員Aに普段どおりの内線番号で通信することが可能となる。
【0038】
また、この電話機が直接外線から呼び出すこともできるものとすると、会社の外にいる社員Dは、公衆電話から社員Aの電話番号を呼び出すと、社員Aが社内にいても社外にいても同様に通信が可能になる。
【0039】
社員Mが社内のPCを持ち出して、ホットスポットから社内の情報にアクセスできる。同様に、社内にいる社員Lは、社外にいる社員AのPCに対して、社内にいるときと同様にアクセスすることができる。
【0040】
移動端末42は、ネットワークに接続されることにより、ホーム管理部41に対して移動通知を行う。この機能により、外出中の社員の所在を把握することができる。すなわち、社内のネットワーク監視ツールとホーム管理部41を連動させることで、誰が何時どこへ行ったかをトレースすることができる。
【0041】
また、連絡を取りたい場合にはその社員を登録することで、その人がネットワークに接続したタイミングで待っている人に通知することができる。電話をかけたときに相手がネットワークにいない場合、例えばネットワーク管理部に相手や自分の番号を自動的に登録しておくことにより、その相手がネットワークに接続したときに、相手や自分の電話に通知がくるようにすることもできる。
【0042】
なお、上記実施例では、ファイアウォール20とホーム管理部41とを個別に設ける例を示したが、両者を一体化してもよい。一体化することによりシステムを構成するための装置数を減らすことができてシステム全体の小型化が図れ、SOHOにおけるネットワークの構築に有効である。
【0043】
【発明の効果】
以上説明したように、本発明のネットワークシステムによれば、端末機器を異なるネットワーク領域に移動させた場合にも、プライベートアドレスの制約を意識することなく通信が行えるネットワークシステムを提供することができる。
具体的には、社員が外出中であっても社内にいるときと同様に使えるネットワークを提供でき、携帯電話などの通信費を削減できる。そして、外出中の社員が社内の環境にアクセスできるのみならず、他の社員が外出中の社員に対しても能動的にアクセスできる。
【図面の簡単な説明】
【図1】本発明の実施態様の一例を示す概念システム図である。
【図2】移動端末が図1の状態からホームリンク外に移動した場合を示す概念システム図である。
【図3】BUパケットのフォーマット例図である。
【図4】移動端末が図1の状態からホームリンク外に移動した場合を示す他の概念システム図である。
【図5】従来のネットワークシステムの概念図である。
【図6】IPsecトンネルモードの動作説明図である。
【符号の説明】
10 内部LAN
13 通信対象端末
20 ファイアウォール
30 インターネット
40 ホームリンク
41 ホーム管理部
42 移動端末[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network system, and more particularly, to an improvement of a network system configured to access a LAN from a mobile terminal via the Internet.
[0002]
[Prior art]
When connecting an internal LAN to the Internet, a firewall is generally interposed in order to maintain the security of the internal LAN. FIG. 5 is a conceptual diagram of such a network system. The internal LAN 10 is connected to the Internet 30 via a firewall 20. The internal LAN 10 is provided with a plurality of terminal devices 11 and 12 including mobile terminals, and the Internet 30 is provided with a terminal device 31.
[0003]
In such a configuration, communication between the terminal devices 11 and 12 can be freely performed, but communication between the terminal devices 11 and 12 and the terminal device 31 provided in the Internet 30 is restricted by the firewall 20. Communication from the terminal devices 11 and 12 to the terminal device 31 cannot be performed unless the address of the terminal device 31 is known.
[0004]
By the way, as an address for specifying these terminal devices 11 and 12, generally, an IPv4 private address that is the only address space in a specific LAN is used. Here, when accessing the internal LAN 10 from the terminal device 31, since the firewall 20 controls access to the internal LAN 10, for example, as shown in FIG. 6, the IPsec between the terminal device 31 and the firewall 20 is performed. (IP security protocol) tunnel mode is used.
[0005]
According to the configuration of FIG. 6, it is possible to access the terminal devices 11 and 12 of the internal LAN 10 from the terminal device 31, but communication from the terminal devices 11 and 12 to the terminal device 31 requires that the address of the terminal device 31 is not known. I can't.
[0006]
[Patent Document 1]
JP 2002-328869 A
[0007]
[Problems to be solved by the invention]
However, according to the configuration of FIG. 6, for example, the address changes when the terminal device 31 is moved from the original network that has been connected to the other network to another network. The devices 11 and 12 need to know the new address of the terminal device 31.
[0008]
Further, when the terminal device 31 is moved to another network, the accessible internal LAN is limited, or it is necessary to use or switch the IPsec tunnel mode for each internal LAN.
[0009]
Furthermore, there is a possibility that the same address space is used in another internal LAN, and in this case, these devices using the same address space cannot communicate simultaneously.
[0010]
Patent Document 1 discloses a technique related to a method and apparatus for applying information remotely through a firewall by a mobile device.
[0011]
However, Patent Document 1 does not intend to solve the restriction of the private address as in the present invention.
[0012]
The present invention solves such a problem, and an object of the present invention is to provide a network system capable of performing communication without being aware of private address restrictions even when a terminal device is moved to a different network area. There is.
[0013]
[Means for Solving the Problems]
The invention of claim 1 which achieves such an object,
A network system including at least a home link composed of a home management unit and a mobile terminal and connected to another network via a firewall;
The mobile terminal is assigned an address based on IPv6 or Mobile IPv6 as a home address,
The home management unit has a function of setting and deleting a predetermined rule for the firewall, and stores a correspondence table between a home address of a mobile terminal and a care-of address generated at a destination of the mobile terminal. To do.
[0014]
The invention of claim 2 is the network system according to claim 1,
The firewall is characterized in that a rule for allowing a packet addressed to a home management unit including a care-of address transmitted from the mobile terminal is set.
[0015]
The invention of claim 3 is the network system according to claim 2,
The packet addressed to the home management unit including the care-of address transmitted from the mobile terminal is based on the IPsec ESP protocol or AH protocol.
[0016]
The invention of claim 4 is the network system according to claim 2 or claim 3,
The home management unit sets a rule that allows the firewall to pass a packet addressed to the home management unit including a care-of address transmitted from the mobile terminal.
[0017]
The invention according to claim 5 is the network system according to any one of claims 1 to 4,
The mobile terminal that has moved from the home link performs communication with the communication target terminal via the home management unit.
[0018]
The invention of claim 6 is the network system according to any one of claims 1 to 5,
The firewall permits direct communication between the mobile terminal and the communication target terminal when predetermined data is exchanged between the mobile terminal and the communication target terminal.
[0019]
The invention of claim 7 is the network system according to any one of claims 1 to 6,
The location information of the mobile terminal managed by the home management unit has an expiration date. When the expiration date expires, the home management unit deletes the rule set in the firewall.
[0020]
Thus, even when the terminal device is moved to a different network area, communication can be performed without being restricted by the private address.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a conceptual system diagram showing an example of an embodiment of the present invention, and shows a state before movement in which a mobile terminal is located in a home link. The internal LAN 10 is connected via a firewall 20 to another network represented by the Internet (not shown). The internal LAN 10 is provided with a communication target terminal 13 and a home link 40.
[0022]
The home link 40 includes a home management unit 41 and a mobile terminal 42. The home management unit 41 has a function of managing the mobile terminals 42 belonging to the home link 40. The mobile terminal 42 performs direct communication with the communication target terminal 13. Here, a unique address in the world based on IPv6 or Mobile IPv6 is assigned to the mobile terminal 42 as a home address. By using IPv6, it is possible to solve the problem that simultaneous access to a plurality of internal LANs becomes impossible when private addresses are used. By using Mobile IPv6, communication can be performed using the same address even when the mobile terminal 42 moves out of the home link 40.
[0023]
FIG. 2 is a conceptual system diagram showing a case where the mobile terminal moves out of the home link from the state of FIG. When the mobile terminal 42 moves out of the home link 40, the mobile terminal 42 transmits a Binding Update (BU) packet having a format as shown in FIG. 3 to the home management unit 41. Here, the packet of (a) shows a case where ESP (Encapsulating Security Payload) is used as the IPsec protocol, and the shaded portion is encrypted. The packet (b) shows the case where AH (Authentication Header) is used as the IPsec protocol. In any case, the source address (SRC) and destination address (DST) of the IP header are as follows.
SRC = address generated at the destination of the mobile terminal 42 (care-of address)
In DST = address Home Address Option of the home management unit 41, the home address in the home link 40 of the mobile terminal 42 is entered.
[0024]
A communication processing procedure in such a system will be described.
1) The firewall 20 is provided with a function for decoding the Home Address Option in advance.
2) Further, a rule for allowing the BU packet shown in FIG. 3 having the home address of the mobile terminal 42 and the address of the home management unit 41 in the DST and its reply packet to pass is defined in the Home Address Option.
[0025]
3) The mobile terminal 42 transmits a BU packet to the home management unit 41 after movement, but the packet can pass through the firewall 20 and reaches the home management unit 41. The home management unit 41 sends a reply to the BU packet to the mobile terminal 42 (A). This reply may be after (B).
4) The home management unit 41 authenticates the BU packet from the mobile terminal 42, and if it is correct, updates the correspondence table between the home address and the care-of address, and determines between the care-of address of the mobile terminal 42 and the address of the home management unit 41. The firewall 20 is notified of the tunnel packet and, if necessary, a rule for providing communication between the mobile terminal 42 and the home management unit 41 (B).
[0026]
5) The mobile terminal 42 establishes a tunnel with the home management unit 41, and communicates with the communication target terminal 13 using the tunnel (C). As such a tunnel, IPsec tunnel mode or IPv6 over IPv6 can be used.
6) When the mobile terminal 42 moves again, it transmits a BU packet to the home management unit 41 again. At this time, the home management unit 41 deletes the rule registered in (B) and adds a new rule to the firewall. 20 is notified.
[0027]
7) When the mobile terminal 42 transmits deletion of location information to the home management unit 41, the home management unit 41 notifies the firewall 20 to delete the rule registered in (B).
8) The location information of the mobile terminal 42 held by the home management unit 41 has an expiration date. When this expiration date expires, the home management unit 41 notifies the firewall 20 to delete the rule registered in (B).
[0028]
FIG. 4 is also a conceptual system diagram showing a case where the mobile terminal moves out of the home link from the state of FIG. 1, and shows an example in which an address based on IPv6 or Mobile IPv6 is assigned as the home address of the mobile terminal 42.
[0029]
In Mobile IPv6, it is defined that the mobile terminal 42 can directly communicate with the communication target terminal 13. The operation at this time is defined below. In this case as well, the mobile terminal 42 transmits a BU packet to the home management unit 41 after moving, as in the operation introduced above. This format is the same as the previous example.
[0030]
A communication processing procedure in such a system will be described.
1) The firewall 20 is provided with a function for decoding the Home Address Option in advance.
2) Further, a rule is defined that allows the BU packet having the home address of the mobile terminal 42 in the Home Address Option and the address of the home management unit 41 in the DST and its reply packet to pass.
[0031]
3) After moving, the mobile terminal 42 transmits a BU packet to the home management unit 41, but the packet can pass through the firewall 20 and reaches the home management unit 41. The home management unit 41 sends a reply to the BU packet to the mobile terminal 42 (A). This reply may be after (B).
4) The home management unit 41 authenticates the BU packet from the mobile terminal 42, and if it is correct, updates the correspondence table between the home address and the care-of address, and between the care-of address of the mobile terminal 42 and the address of the home management unit 41 Between the care-of address of the mobile terminal 42 and the host of the internal LAN 10 between the rule in which at least one of the IPsec tunnel mode packet and the IPv6 over IPv6 tunnel can pass through the firewall 20, and the care-of test init; Initialization) / CoT (care-of test), the firewall 20 is notified. Moreover, the rule for providing communication between the mobile terminal 42 and the home management part 41 is notified to the firewall 20 as needed (B).
[0032]
5) The mobile terminal 42 establishes an IPsec tunnel with the home management unit 41, and sends a HoTI (Home Test Init) to the communication target terminal 13 using the tunnel, and sends a HoT (Home Test; Home test) is received (C).
6) At the same time, the mobile terminal 42 sends CoTI to the communication target terminal 13 and receives CoT (C ′). This can be realized by the rule notified in (B).
7) The firewall 20 adds a setting so that BU can be exchanged between the mobile terminal 42 and the communication target terminal 13 during the transfer of CoT (D). This setting change can also be performed at the time of CoTI transfer.
[0033]
8) Upon receiving HoT and CoT, the mobile terminal 42 directly transmits a BU packet to the communication target terminal 13 and receives a reply from the communication target terminal 13 (E). If there is no reply from the communication target terminal 13 for a predetermined time, the rule set in (D) is deleted. The reply packet expected in (E) may not be transmitted depending on the usage policy. In this case, the rule (D) is deleted after a predetermined time from the last BU transmitted from the mobile terminal 42 to the communication target terminal 13.
9) When transferring the reply, the firewall 20 adds a setting for allowing communication between the mobile terminal 42 and the communication target terminal 13 to itself (F). Thereby, the mobile terminal 42 can directly exchange packets with the communication target terminal 13 (G). The reply packet expected in (E) may not be transmitted depending on the usage policy. For this reason, the rule (F) may be set when BU transfer is performed from the mobile terminal 42 (E) to the communication target terminal 13 or when the rule (D) is set.
[0034]
10) When the mobile terminal 42 moves again, the mobile terminal 42 transmits BU to the home management unit 41 again. At this time, the home management unit 41 deletes the rules registered in (B), (D), and (F), and creates new rules. Is notified to the firewall 20.
11) When the mobile terminal 42 transmits deletion of location information to the home management unit 41, the home management unit 41 notifies the firewall 20 to delete the rules registered in (B), (D), and (F). .
[0035]
12) The location information of the mobile terminal 42 held by the home management unit 41 has an expiration date. When this time limit expires, the home management unit 41 notifies the firewall 20 to delete the rules registered in (B), (D), and (F).
13) The rules (D) and (F) are deleted after a predetermined time has elapsed from the last BU packet between the mobile terminal 42 and the communication target terminal 13.
[0036]
A specific application example of the invention configured as described above will be described.
Assume that the mobile terminal 42 is a wireless IP extension telephone. Employee A carries this phone and enters a hot spot. Employee A can make a call with employee B in the company using this telephone.
[0037]
Further, the employee C in the company can communicate with the employee A using the usual extension number.
[0038]
If this telephone can also be called directly from the outside line, employee D outside the company calls employee A's telephone number from a public telephone, and whether employee A is inside or outside the company, Communication is possible.
[0039]
Employee M can take in-house PCs and access in-house information from hotspots. Similarly, the employee L who is in the company can access the PC of the employee A who is outside the company in the same manner as when he is inside the company.
[0040]
The mobile terminal 42 notifies the home management unit 41 of movement by being connected to the network. With this function, the location of employees on the go can be ascertained. That is, by linking the in-house network monitoring tool and the home management unit 41, it is possible to trace who went to what time and where.
[0041]
Also, if you want to get in touch, you can register the employee and notify the person who is waiting when the person connects to the network. If the other party is not on the network when you make a call, for example, by automatically registering the other party or your number in the network manager, when the other party is connected to the network, You can also get notifications.
[0042]
In the above-described embodiment, an example in which the firewall 20 and the home management unit 41 are provided separately has been described, but both may be integrated. By integrating, the number of devices for configuring the system can be reduced, the entire system can be reduced in size, and it is effective for building a network in SOHO.
[0043]
【The invention's effect】
As described above, according to the network system of the present invention, it is possible to provide a network system capable of performing communication without being aware of restrictions on private addresses even when terminal devices are moved to different network areas.
Specifically, even if employees are out, they can provide a network that can be used in the same way as when they are in the office, and can reduce communication costs such as mobile phones. In addition, not only employees who are out of the office can access the internal environment, but other employees can also actively access employees who are out of the office.
[Brief description of the drawings]
FIG. 1 is a conceptual system diagram showing an example of an embodiment of the present invention.
2 is a conceptual system diagram showing a case where a mobile terminal has moved out of a home link from the state of FIG.
FIG. 3 is a format example diagram of a BU packet;
4 is another conceptual system diagram showing a case where the mobile terminal has moved out of the home link from the state of FIG.
FIG. 5 is a conceptual diagram of a conventional network system.
FIG. 6 is an explanatory diagram of operations in the IPsec tunnel mode.
[Explanation of symbols]
10 Internal LAN
13 Communication target terminal 20 Firewall 30 Internet 40 Home link 41 Home management unit 42 Mobile terminal

Claims (7)

少なくともホーム管理部と移動端末とで構成されるホームリンクを含み、ファイアウォールを介して他のネットワークと接続されるネットワークシステムであって、
前記移動端末にはホームアドレスとしてIPv6またはMobile IPv6に基づくアドレスが割り当てられ、
前記ホーム管理部は、前記ファイアウォールに対し所定のルールを設定削除する機能を有するとともに、移動端末のホームアドレスと移動端末の移動先で生成される気付けアドレスとの対応テーブルを格納することを特徴とするネットワークシステム。A network system including at least a home link composed of a home management unit and a mobile terminal and connected to another network via a firewall;
The mobile terminal is assigned an address based on IPv6 or Mobile IPv6 as a home address,
The home management unit has a function of setting and deleting a predetermined rule for the firewall, and stores a correspondence table between a home address of a mobile terminal and a care-of address generated at a destination of the mobile terminal. Network system. 前記ファイアウォールには、前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットを通過させるルールが設定されていることを特徴とする請求項1記載のネットワークシステム。The network system according to claim 1, wherein a rule for allowing a packet addressed to a home management unit including a care-of address transmitted from the mobile terminal to pass is set in the firewall. 前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットは、IPsecのESPプロトコルまたはAHプロトコルに基づくものであることを特徴とする請求項2記載のネットワークシステム。The network system according to claim 2, wherein the packet addressed to the home management unit including the care-of address transmitted from the mobile terminal is based on an ESP protocol or an AH protocol of IPsec. 前記ホーム管理部は、前記ファイアウォールに対し、前記移動端末から送信される気付けアドレスを含むホーム管理部宛のパケットを通過させるルールを設定することを特徴とする請求項2または請求項3記載のネットワークシステム。4. The network according to claim 2, wherein the home management unit sets a rule that allows the firewall to pass a packet addressed to the home management unit including a care-of address transmitted from the mobile terminal. 5. system. 前記ホームリンクから移動した移動端末は、通信対象端末との間で、前記ホーム管理部を経由して通信を行うことを特徴とする請求項1から請求項4のいずれかに記載のネットワークシステム。The network system according to claim 1, wherein the mobile terminal that has moved from the home link communicates with a communication target terminal via the home management unit. 前記ファイアウォールは、前記移動端末と通信対象端末との間で所定のデータ授受が行われたとき、前記移動端末と通信対象端末との間での直接通信を許可することを特徴とする請求項1から請求項5のいずれかに記載のネットワークシステム。2. The firewall allows direct communication between the mobile terminal and a communication target terminal when predetermined data is exchanged between the mobile terminal and the communication target terminal. The network system according to claim 5. 前記ホーム管理部が管理する移動端末の位置情報は有効期限を有するものであり、この有効期限が切れたときは前記ホーム管理部は前記ファイアウォールに設定したルールを削除することを特徴とする請求項1から請求項6のいずれかに記載のネットワークシステム。The location information of the mobile terminal managed by the home management unit has an expiration date, and when the expiration date expires, the home management unit deletes the rule set in the firewall. The network system according to any one of claims 1 to 6.
JP2003168955A 2003-06-13 2003-06-13 Network system Pending JP2005006147A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003168955A JP2005006147A (en) 2003-06-13 2003-06-13 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003168955A JP2005006147A (en) 2003-06-13 2003-06-13 Network system

Publications (1)

Publication Number Publication Date
JP2005006147A true JP2005006147A (en) 2005-01-06

Family

ID=34094239

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003168955A Pending JP2005006147A (en) 2003-06-13 2003-06-13 Network system

Country Status (1)

Country Link
JP (1) JP2005006147A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006097040A1 (en) * 2005-03-15 2006-09-21 Huawei Technologies Co., Ltd. A method for the mobile ipv6 data traverse the state firewall
US7852878B2 (en) 2006-08-01 2010-12-14 Samsung Electronics Co., Ltd. Apparatus and method for supporting establishment of network address of communication apparatus
JP2013201731A (en) * 2012-03-26 2013-10-03 Fujitsu Ltd Communication system, portable terminal, relay device, and communication control method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006097040A1 (en) * 2005-03-15 2006-09-21 Huawei Technologies Co., Ltd. A method for the mobile ipv6 data traverse the state firewall
US7852878B2 (en) 2006-08-01 2010-12-14 Samsung Electronics Co., Ltd. Apparatus and method for supporting establishment of network address of communication apparatus
JP2013201731A (en) * 2012-03-26 2013-10-03 Fujitsu Ltd Communication system, portable terminal, relay device, and communication control method

Similar Documents

Publication Publication Date Title
KR100786432B1 (en) Mobile communication system using private network, relay node, and radio base control station
JP3641112B2 (en) Packet relay device, mobile computer device, mobile computer management device, packet relay method, packet transmission method, and mobile computer location registration method
US7542455B2 (en) Unlicensed mobile access (UMA) communications using decentralized security gateway
KR100988186B1 (en) Dynamic Home Address Allocation Method and Device by Home Agent in Multi-Network Interworking
JP4431112B2 (en) Terminal and communication system
JP4769669B2 (en) Mobile communication system, home agent, mobile node and method compliant with mobile IP
US20040037260A1 (en) Virtual private network system
EP1450543B1 (en) Communication system, address management method, relay device, and management device
US20060233144A1 (en) Mobility support apparatus for mobile terminal
CN101218814A (en) Methods and apparatus for optimizing mobile VPN communications
KR20110039564A (en) Communication control system, communication system, and communication control method
KR102207135B1 (en) Method for transmitting data of terminal, the terminal and control method of data transmission
JP4613926B2 (en) Handover method and communication system between mobile communication network and public network
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US20050175002A1 (en) Alternative method to the return routability test to send binding updates to correspondent nodes behind firewalls
JP2007036641A (en) Home agent device and communication system
CN1939029A (en) Routing method and system e.g. For ip mobile networks, corresponding network and computer program product
JP2005006147A (en) Network system
CN101455100A (en) Mobile communication management system
JP4357401B2 (en) Filtering method
JP4025784B2 (en) Virtual closed network system
CN100596120C (en) Method for realizing signaling traversal network address translation device in mobile IP network
JP2003298657A (en) Transfer control method, server device and mobile terminal device
JP5272851B2 (en) Communication interception system, communication interception device, communication interception method, and program
JP4180458B2 (en) VPN communication system and VPN tunnel forming method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070810

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071003

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080311