移動無線通信系統、移動無線終端裝置、虛擬專用網中繼裝置以及連接認證伺服器的製作方法

2023-05-13 12:24:51 1

專利名稱：移動無線通信系統、移動無線終端裝置、虛擬專用網中繼裝置以及連接認證伺服器的製作方法
技術領域：
本發明涉及用於在從公共無線區域網(無線LAN)系統等公共網向專用網進行連接的移動虛擬專用網(VPNVirtual Private Network)連接環境下，建立安全性較高的通信路徑的移動無線通信系統、移動無線終端裝置、虛擬專用網中繼裝置以及連接認證伺服器。
背景技術：
為了從公共網向專用網進行連接時，建立安全的通信路徑，網際網路工程任務組(IETFInternet Engineering Task Force)對網際網絡安全協定(IPsecInternetProtocol Security)技術進行了標準化。在網際網路協議第6版(IPv6)中，支持該網際網絡安全協定技術是必須的。假設在移動無線終端裝置能夠自由地移動於公共網和專用網的移動環境中應用網際網絡安全協定，並且移動無線終端裝置從公共網向專用網進行連接。這種情況下，每逢移動無線終端裝置移動時，根據動態主機配置協議(DHCPDynamic Host Configuration Protocol)等來分配其在移動目的地的公共網中可以使用的IP位址。即，IP位址根據移動無線終端裝置的移動目的地而發生變化。
因此，因為在設置於專用網的網際網絡安全協定隧道的建立目的地的安全網關中，必須已知在各移動目的地中的IP位址，所以難以實施使用移動無線終端裝置的IP位址的網際網絡安全協定密鑰交換，從而實際上已不可能建立根據主模式(Main Mode)的網際網絡安全協定隧道。因此，因為必須建立根據攻擊性模式(Aggressive Mode)的網際網絡安全協定隧道，所以會在沒有進行加密的情況下，在網絡中傳播網際網絡安全協定用戶識別碼(ID)(ISAKMPID pay load，網際網路安全聯盟和密鑰管理協議用戶識別碼有效載荷)，從而導致安全性的降低。
另外，在網際網絡安全協定中，必須支持用於在建立網際網絡安全協定隧道的雙方之間進行互相認證的預共享密鑰方式。但是，擔心始終使用一個預共享密鑰導致安全性的降低。因此，可以考慮定期改變預共享密鑰以確保安全性，但又會增大用戶以及管理人雙方的負擔。
以往，作為為了動態分配用於網際網絡安全協定的認證的預共享密鑰的協議，網際網路工程任務組(IETFInternet Engineering Task Force)提出了PIC(Pre-IKE Credential Provisioning Protocol)(非專利文獻1)。
PIC使用也被利用於網際網絡安全協定的網際網路安全聯盟和密鑰管理協議(ISAKMPInternet Security Association and Key Management Protocol)，在移動無線終端裝置和認證伺服器之間建立安全的通信路徑，交換在PIC的認證中所需的認證信息來進行認證。如果該認證成功，認證伺服器將所謂憑證(Credential)的、利用於之後的網際網絡安全協定的認證中的認證信息(例如，預共享密鑰以及公開密鑰證明書)發給移動無線終端裝置。
「PIC，A Pre-IKE Credential Provisioning Protocol」，draft-ietf-ipsra-pic-06.txt，http://www.ietf.org/internet-drafts/draft-ietf-ipsra-pic-06.txt。

發明內容
可以得知，移動無線終端裝置於公共無線區域網系統等公共網連接公司內部網絡等專用網時，移動無線終端裝置使用網際網絡安全協定建立與專用網的安全的通信路徑，即，網際網絡安全協定隧道。
但是，此時，如果在移動無線終端裝置能夠自由地移動於公共網和專用網的移動環境中應用網際網絡安全協定，因為每逢移動無線終端裝置移動時，其IP位址發生變化，所以根據網際網絡安全協定主模式的網際網絡安全協定密鑰交換較難。因此，只能建立根據攻擊性模式(Aggressive Mode)的網際網絡安全協定密鑰交換的隧道，存在會在網絡中傳播沒有加密的網際網絡安全協定用戶識別碼，從而導致安全性降低的問題。
另外，為了建立根據網際網絡安全協定主模式的密鑰交換的隧道，必須已知移動無線終端裝置的在各移動目的地中的IP位址。但是，在公共無線區域網系統等公共網中，根據動態主機配置協議(DHCP)來分配其IP位址的情況較多，所以預先得知移動無線終端裝置的IP位址較難。假設即使已知移動無線終端裝置的公共無線區域網系統的IP位址，也必須在公共無線區域網系統的IP位址中描述安全策略，所以存在安全網關的性能惡化，並且成為管理人的管理負擔的問題。
另外，作為建立網際網絡安全協定隧道時的互相認證方式，在應用預共享密鑰方式時，存在始終使用一個預共享密鑰的話，安全性隨時間降低的問題。再者，可以考慮定期改變預共享密鑰，但此時存在增大用戶以及管理人雙方的負擔的問題。
為了解決上述問題，作為動態分配用於網際網絡安全協定的認證的預共享密鑰的協議，提出了PIC。但是，為了使用PIC，存在必須在既存的裝置中重新追加PIC協議功能的問題。再者，在網際網絡安全協定隧道建立過程中應用PIC時，建立2次根據網際網路安全聯盟和密鑰管理協議的通信路徑，即，建立根據PIC的移動無線終端裝置和連接認證伺服器之間的網際網路安全聯盟和密鑰管理協議通信路徑，以及建立移動無線終端裝置和安全網關之間的網際網路安全聯盟和密鑰管理協議通信路徑，所以過程繁瑣，從而存在建立網際網絡安全協定隧道的所需時間變長的問題。
本發明的目的在於提供能夠防止安全性的降低、不需用戶以及管理人的另行操作、並且能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間的移動無線通信系統、移動無線終端裝置、虛擬專用網中繼裝置以及連接認證伺服器。
根據本發明的移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼。
根據本發明，能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且，能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。


圖1是表示根據本發明的一個實施方式的移動無線通信系統的結構圖；
圖2是表示根據本發明的一個實施方式的移動無線終端裝置的結構方框圖；圖3是表示根據本發明的一個實施方式的虛擬專用網中繼裝置的結構方框圖；圖4是表示根據本發明的一個實施方式的連接認證伺服器的結構方框圖；圖5是表示根據本發明的一個實施方式的無線區域網接入點的結構方框圖；圖6是表示根據本發明的一個實施方式的本地代理的結構方框圖；圖7是說明根據本發明的一個實施方式的移動無線通信系統的順序圖；圖8是說明根據本發明的一個實施方式的用於移動無線通信系統的EAPOL(可擴展認證協議over LAN)消息格式的圖；以及圖9是說明根據本發明的一個實施方式的用於移動無線通信系統的地址消息格式的圖。
具體實施例方式
以下，參照附圖詳細說明本發明的實施方式。
(實施方式)如圖1所示，根據本發明的一個實施方式的移動無線通信系統100包括，公共網101、專用網102、公共無線區域網系統103、網中繼裝置104、虛擬專用網中繼裝置105以及本地代理(Home Agent)106。公共無線區域網系統103包括公共無線區域網107、連接認證伺服器108、無線區域網接入點109以及多個移動無線終端裝置110(圖中只示出一個)。
虛擬專用網中繼裝置105通過公共網101和設置於專用網102的網中繼裝置104靜態建立網際網絡安全協定隧道，從而實現虛擬專用網中繼裝置105和專用網102之間的安全通信。再者，虛擬專用網中繼裝置105在和存在於公共無線區域網系統103的移動無線終端裝置110之間建立網際網絡安全協定隧道，並且對移動無線終端裝置110的從公共無線區域網系統103向專用網102的連接進行中繼。另外，每逢移動無線終端裝置110向公共無線區域網系統103進行連接時，以及，每逢來自移動無線終端裝置110的、向專用網102的連接請求時，動態建立虛擬專用網中繼裝置105和移動無線終端裝置110的網際網絡安全協定隧道。
連接認證伺服器108進行移動無線終端裝置110的向公共無線區域網107的連接認證。此時，無線區域網接入點109起到中繼在移動無線終端裝置110和連接認證伺服器108之間進行的連接認證過程的作用。
圖2是表示根據本發明的一個實施方式的移動無線終端裝置110的結構方框圖。圖3是表示根據本發明的一個實施方式的虛擬專用網中繼裝置105的結構方框圖。圖4是表示根據本發明的一個實施方式的連接認證伺服器108的結構方框圖。圖5是表示根據本發明的一個實施方式的無線區域網接入點109的結構方框圖。圖6是表示根據本發明的一個實施方式的本地代理106的結構方框圖。
如圖2所示，移動無線終端裝置110包括，認證處理單元201、地址通知單元202、地址取得單元203、網際網絡安全協定共享密鑰取得單元204、網際網絡安全協定密鑰交換單元205、移動IP(MIP)共享密鑰取得單元206以及移動IP登記單元207。另外，移動無線終端裝置110還包括進行移動無線通信的裝置(未圖示)。
如圖3所示，虛擬專用網中繼裝置105包括，地址取得單元301、網際網絡安全協定共享密鑰取得單元302以及網際網絡安全協定密鑰交換單元303。如圖4所示，連接認證伺服器108包括，認證處理單元401、地址通知單元402、地址取得單元403、網際網絡安全協定共享密鑰分配單元404以及移動IP共享密鑰分配單元405。如圖5所示，無線區域網接入點109包括認證中繼單元501。如圖6所示，本地代理106包括，移動IP共享密鑰取得單元601以及移動IP處理單元602。
接下來，以存在於公共無線區域網系統103的移動無線終端裝置110連接專用網102時的過程為例進行說明。
移動無線終端裝置110位於公共無線區域網系統103的通信範圍內時，移動無線終端裝置110的認證處理單元201為了連接於公共無線區域網系統103，通過無線區域網接入點109的認證中繼單元501，將連接請求發送給連接認證伺服器108的認證處理單元401。作為用於連接公共無線區域網系統103的協議，可以列舉諸如由電機電子工程師協會(IEEEthe Institute of Electrical andElectronics Engineers)制定的802.1x。
以下，為了簡化說明，就使用802.1x時的過程進行說明。802.1x的框架，在移動無線終端裝置110和無線區域網接入點109之間應用可擴展認證協議(EAPExtensible Authentication Protocol)。另外，在無線區域網接入點109和連接認證伺服器108之間應用諸如遠程認證撥號用戶服務(RADIUSRemoteAuthentication Dial In User Service)協議。無線區域網接入點109具有中繼上述兩個協議的橋接功能。
連接認證伺服器108的認證處理單元401首先對由移動無線終端裝置110的認證處理單元201發送來的連接請求進行認證。該認證以所謂EAP-MD5、EAP-TLS、EAP-LEAP或者PEAP的各種各樣的認證方式來進行。在此，為了簡化說明，就應用了EAP-TLS時的過程進行說明。EAP-TLS通過在移動無線終端裝置110和連接認證伺服器108之間交換電子證明書來進行相互認證。
同時，移動無線終端裝置110和連接認證伺服器108交換隨機數來進行根據偽隨機數函數等的運算處理，從而相互保持共享的主密鑰(master secret)。移動無線終端裝置110和連接認證伺服器108由所述主密鑰生成成對主控密鑰(PMKPairwise Master Key)。然後，當在連接認證伺服器108中，移動無線終端裝置110的認證成功時，移動無線終端裝置110和連接認證伺服器108使用所述主密鑰對連接認證伺服器108和移動無線終端裝置110之間的通信路徑進行加密。
此時，因為無線區域網接入點109的認證中繼單元501起到中繼所述通信路徑的作用，所以能夠實現移動無線終端裝置110和連接認證伺服器108的隱匿通信，即，在移動無線終端裝置110的認證處理單元201和無線區域網接入點109的認證中繼單元501以及連接認證伺服器108的認證處理單元401之間建立了安全的通信路徑。之後，在沒有特別的預告的情況下，移動無線終端裝置110和無線區域網接入點109以及連接認證伺服器108會使用該安全的通信路徑來進行通信。
然後，連接認證伺服器108使用該加密的安全的通信路徑將成對主控密鑰發送給無線區域網接入點109。由此，移動無線終端裝置110和無線區域網接入點109從共享的成對主控密鑰生成有線等效加密協議(WEPWiredEquivalent Privacy)密鑰，並且由有線等效加密協議密鑰對公共無線區域網系統103中的無線通信區域(communication domain)通信路徑進行加密(圖7的步驟ST1)。
接下來，使用由在移動無線終端裝置110和連接認證伺服器108之間共享的主密鑰加密的通信路徑，來交換移動無線終端裝置110和虛擬專用網中繼裝置105的IP位址。連接認證伺服器108的地址通知單元402通過無線區域網接入點109的認證中繼單元501，以將虛擬專用網中繼裝置105的IP位址發送給移動無線終端裝置110的地址取得單元203(圖7的步驟ST2)。
另外，可以考慮連接認證伺服器108預先存有虛擬專用網中繼裝置105的IP位址等。接收到虛擬專用網中繼裝置105的IP位址的移動無線終端裝置110的地址取得單元203，將信號發送給地址通知單元202。然後，接收到該信號的地址通知單元202，將分配到自己的IP位址，通過無線區域網接入點109的認證中繼單元501，發送給連接認證伺服器108的地址取得單元403(圖7的步驟ST3)。
再者，為了使連接認證伺服器108和移動無線終端裝置110發送/接收IP位址，擴張EAP協議以及EAPOL協議。為了使連接認證伺服器108的認證處理單元401和無線區域網接入點109的認證中繼單元501發送/接收IP位址，在EAP協議的消息類型中，重新定義EAP-IPADDR。然後，連接認證伺服器108的認證處理單元401，將IP位址作為RADIUS協議的vendor specific欄位(field)的屬性值，發送給無線區域網接入點109的認證中繼單元501。
另一方面，為了使移動無線終端裝置110的認證處理單元201和無線區域網接入點109的認證中繼單元501發送/接收IP位址，在圖8所示的EAPOL協議的分組類型中，重新定義了EAPOL-IPADDR，並且作為屬性值追加用於通知IP位址的地址(addr)格式(圖9)。該EAPOL-IPADDR消息的接收，對於移動無線終端裝置110，表示接收虛擬專用網中繼裝置105的IP位址；而對於無線區域網接入點109，表示接收移動無線終端裝置110的IP位址。
然後，連接認證伺服器108的地址通知單元402，將移動無線終端裝置110的IP位址發送給虛擬專用網中繼裝置105的地址取得單元301(圖7的步驟ST4)。
通過上述過程，移動無線終端裝置110和虛擬專用網中繼裝置105能夠互相取得對方的IP位址。而且，移動無線終端裝置110的網際網絡安全協定密鑰交換單元205和虛擬專用網中繼裝置105的網際網絡安全協定密鑰交換單元303，使用取得的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換。
再者，連接認證伺服器108，使用由在移動無線終端裝置110和連接認證伺服器108之間共享的主密鑰加密的通信路徑，將用於在移動無線終端裝置110和虛擬專用網中繼裝置105之間進行網際網絡安全協定隧道建立時的網際網絡安全協定預共享密鑰，分配給移動無線終端裝置110和虛擬專用網中繼裝置105。連接認證伺服器108的認證處理單元401，將網際網絡安全協定預共享密鑰發送給無線區域網接入點109的認證中繼單元501。接收到此網際網絡安全協定預共享密鑰的無線區域網接入點109的認證中繼單元501，將該網際網絡安全協定預共享密鑰原封不動地發送給移動無線終端裝置110的認證處理單元201(圖7的步驟ST4)。
另外，為了從連接認證伺服器108的認證處理單元401向移動無線終端裝置110的認證處理單元201發送網際網絡安全協定預共享密鑰，擴張EAP協議以及EAPOL協議。連接認證伺服器108的認證處理單元401為了向無線區域網接入點109的認證中繼單元501發送網際網絡安全協定預共享密鑰，在EAP協議的消息類型中，重新定義EAP-IPSECKEY。然後，作為RADIUS協議的vendor specific欄位(field)的屬性值發送網際網絡安全協定預共享密鑰。另一方面，為了從無線區域網接入點109的認證中繼單元501向移動無線終端裝置110的認證處理單元201發送網際網絡安全協定預共享密鑰，使用EAPOL協議的密鑰分配消息。此時，將密鑰描述格式(key description format)的描述類型(descriptor type)作為網際網絡安全協定，使用密鑰欄位(key field)通知網際網絡安全協定預共享密鑰。
然後，連接認證伺服器108的網際網絡安全協定共享密鑰分配單元404，將與發送給移動無線終端裝置110的網際網絡安全協定預共享密鑰相同的網際網絡安全協定預共享密鑰，發送給虛擬專用網中繼裝置105的網際網絡安全協定共享密鑰取得單元302。
另外，從連接認證伺服器108向虛擬專用網中繼裝置105的通信路徑，靜態建立網際網絡安全協定隧道，實現網際網絡安全協定預共享密鑰不被竊聽的安全的通信路徑。再者，在連接認證伺服器108中存儲的網際網絡安全協定(IPsec)預共享密鑰，可以由連接認證伺服器108動態生成，也可以從其他密鑰生成伺服器等接收。
通過上述過程，移動無線終端裝置110和虛擬專用網中繼裝置105共享相同的網際網絡安全協定預共享密鑰。移動無線終端裝置110的網際網絡安全協定密鑰交換單元205和虛擬專用網中繼裝置105的網際網絡安全協定密鑰交換單元303，使用共享的網際網絡安全協定預共享密鑰開始進行根據網際網絡安全協定主模式的密鑰交換。虛擬專用網中繼裝置105的網際網絡安全協定密鑰交換單元303，在記載在來自移動無線終端裝置110的網際網絡安全協定密鑰交換單元205的認證請求的網際網絡安全協定預共享密鑰和IP位址以及用戶識別碼(ID)，與虛擬專用網中繼裝置105存儲的網際網絡安全協定預共享密鑰和IP位址以及用戶識別碼(ID)相同時，準許移動無線終端裝置110的認證，以建立網際網絡安全協定隧道。
再者，連接認證伺服器108，使用由在移動無線終端裝置110和連接認證伺服器108之間共享的主密鑰加密的通信路徑，將移動無線終端裝置110用於向本地代理106登記的移動IP預共享密鑰，發送給移動無線終端裝置110。連接認證伺服器108的認證處理單元401，將移動IP預共享密鑰發送給無線區域網接入點109的認證中繼單元501。接收到此移動IP預共享密鑰的無線區域網接入點109的認證中繼單元501，將該移動IP預共享密鑰發送給移動無線終端裝置110的認證處理單元201。
另外，為了使連接認證伺服器108的認證處理單元401向移動無線終端裝置110的認證處理單元201發送移動IP預共享密鑰，擴張EAP協議以及EAPOL協議。為了使連接認證伺服器108的認證處理單元401向無線區域網接入點109的認證中繼單元501發送移動IP(MIP)預共享密鑰，在EAP協議的消息類型中，重新定義EAP-MIPKEY。然後，連接認證伺服器108的認證處理單元401，將移動IP(MIP)預共享密鑰作為RADIUS協議的vendor specific欄位(field)的屬性值，發送給無線區域網接入點109的認證中繼單元501。
另一方面，為了使無線區域網接入點109的認證中繼單元501向移動無線終端裝置110的認證處理單元201發送移動IP(MIP)預共享密鑰，使用EAPOL協議的密鑰分配消息。此時，將密鑰描述格式的描述類型作為移動IP，使用密鑰欄位通知移動IP預共享密鑰。
然後，連接認證伺服器108的移動IP共享密鑰分配單元405，將與發送給移動無線終端裝置110的移動IP預共享密鑰相同的移動IP預共享密鑰和移動無線終端裝置110的IP位址，發送給本地代理106的移動IP共享密鑰取得單元601(圖7的步驟ST5)。
另外，從連接認證伺服器108向本地代理106的通信路徑，靜態建立網際網絡安全協定(IPsec)隧道，實現移動IP預共享密鑰不被竊聽的安全的通信路徑。再者，在連接認證伺服器108中存儲的移動IP預共享密鑰，可以由連接認證伺服器108動態生成，也可以從其他密鑰生成伺服器等來接收。
根據上述過程，移動無線終端裝置110和本地代理106共享相同的移動IP預共享密鑰。移動無線終端裝置110的移動IP登記單元207，使用移動IP預共享密鑰，對本地代理106的移動IP處理單元602進行移動IP登記(綁定更新(Binding Update))。本地代理106的移動IP處理單元602，在記載在來自移動無線終端裝置110的移動IP密鑰登記單元207的移動IP登記消息的認證欄位(field)的移動IP預共享密鑰和SPI，與本地代理106存儲的移動IP預共享密鑰和SPI相同時，準許移動無線終端裝置110的移動IP登記的認證。另外、因為在移動無線終端裝置110和虛擬專用網中繼裝置105之間已建立網際網絡安全協定隧道，所以移動無線終端裝置110和本地代理106之間的通信路徑是安全的。
如上所述，根據本發明的一個實施方式，移動無線終端裝置110在從公共無線區域網系統103等公共網向專用網進行連接的移動虛擬專用網連接環境下，能夠建立根據網際網絡安全協定主模式的網際網絡安全協定隧道。並且，根據本發明的一個實施方式，每逢移動無線終端裝置110向公共無線區域網系統103進行連接時，能夠動態更新網際網絡安全協定預共享密鑰和移動IP預共享密鑰。因此，根據本發明的一個實施方式，能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且，能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第一方面的移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換，從而能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址，從而不需要重新建立用於分配IP位址的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第二方面的移動無線終端裝置是一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置之間建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接認證處理；地址取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得所述虛擬專用網中繼裝置的IP位址；地址通知單元，將所述移動無線終端裝置的IP位址通知給所述連接認證伺服器；以及網際網絡安全協定(IPsec)密鑰交換單元，使用所述虛擬專用網中繼裝置的IP位址，與所述虛擬專用網中繼裝置進行網際網絡安全協定(IPsec)密鑰交換。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換，從而能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址，從而不需要重新建立用於分配IP位址的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第三方面的移動無線終端裝置是一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接認證處理；網際網絡安全協定共享密鑰取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得用於在與所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的網際網絡安全協定預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述網際網絡安全協定預共享密鑰，與所述虛擬專用網中繼裝置進行網際網絡安全協定密鑰交換。
根據該結構，因為移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰，所以，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送網際網絡安全協定預共享密鑰，從而不需要重新建立用於分配網際網絡安全協定預共享密鑰的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第4個形態的移動無線終端裝置是一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接認證處理；移動IP共享密鑰取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得用於在與所述本地代理之間進行移動IP登記的預共享密鑰；以及移動IP登記單元，使用所述預共享密鑰，對所述本地代理進行移動IP登記。
根據該結構，因為移動無線終端裝置和本地代理能夠取得相同的移動IP預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新移動IP預共享密鑰，所以，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送移動IP預共享密鑰，從而不需要重新建立用於分配移動IP預共享密鑰的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第五方面的移動無線終端裝置是一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接認證處理；地址取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得所述虛擬專用網中繼裝置的IP位址；地址通知單元，將所述移動無線終端裝置的IP位址通知給所述連接認證伺服器；網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器取得用於在與所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的網際網絡安全協定預共享密鑰；移動IP共享密鑰取得單元，從所述連接認證伺服器取得用於在與所述本地代理之間進行移動IP登記的移動IP預共享密鑰；網際網絡安全協定密鑰交換單元，使用所述虛擬專用網中繼裝置的IP位址和所述網際網絡安全協定預共享密鑰，與所述虛擬專用網中繼裝置進行網際網絡安全協定密鑰交換；以及移動IP登記單元，使用所述移動IP預共享密鑰，對所述本地代理進行移動IP登記。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換。並且，因為移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，所以每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰。另外，根據該結構，移動無線終端裝置和本地代理能夠取得相同的移動IP預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新移動IP預共享密鑰。從而，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。
再者，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址和網際網絡安全協定預共享密鑰以及移動IP預共享密鑰，從而不需要重新建立用於分配這些的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第六方面的虛擬專用網中繼裝置是一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括；公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括地址取得單元，從所述連接認證伺服器接收所述移動無線終端裝置的IP位址；以及網際網絡安全協定密鑰交換單元，使用所述移動無線終端裝置的IP位址，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
根據該結構，虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以使用該IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換，從而能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第七方面的虛擬專用網中繼裝置是一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器接收用於在與所述移動無線終端裝置之間進行網際網絡安全協定密鑰交換的預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述預共享密鑰，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
根據該結構，因為移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰，從而能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第八方面的虛擬專用網中繼裝置是一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括地址取得單元，從所述連接認證伺服器接收所述移動無線終端裝置的IP位址；網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器接收用於在與所述移動無線終端裝置之間進行網際網絡安全協定密鑰交換的預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述移動無線終端裝置的IP位址和所述預共享密鑰，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
根據該結構，虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以使用該IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換。再者，根據該結構，移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰。從而，能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第九方面的連接認證伺服器是一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；地址取得單元，在準許所述移動無線終端裝置的向所述公共無線區域網系統的連接時，從所述移動無線終端裝置接收所述移動無線終端裝置的IP位址；以及地址通知單元，將所述虛擬專用網中繼裝置的IP位址通知給所述移動無線終端裝置，並且將所述移動無線終端裝置的IP位址通知給所述虛擬專用網中繼裝置。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換，從而能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。再者，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址，從而不需要重新建立用於分配IP位址的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第十方面的連接認證伺服器是一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定(IPsec)隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；以及網際網絡安全協定共享密鑰分配單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，將用於在所述移動無線終端裝置和所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換時的預共享密鑰，分別分配給所述移動無線終端裝置和所述虛擬專用網中繼裝置。
根據該結構，因為移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰，所以，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送網際網絡安全協定預共享密鑰，從而不需要重新建立用於分配網際網絡安全協定預共享密鑰的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第十一方面的連接認證伺服器是一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；以及移動IP共享密鑰分配單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，將用於在所述移動無線終端裝置和所述本地代理之間進行移動IP登記時的預共享密鑰，分別分配給所述移動無線終端裝置和所述本地代理。
根據該結構，因為移動無線終端裝置和本地代理能夠取得相同的移動IP預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新移動IP預共享密鑰，所以，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。另外，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送移動IP預共享密鑰，從而不需要重新建立用於分配移動IP預共享密鑰的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第十二方面的連接認證伺服器是一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；地址取得單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，從所述移動無線終端裝置接收所述移動無線終端裝置的IP位址；地址通知單元，將所述虛擬專用網中繼裝置的IP位址通知給所述移動無線終端裝置，並且將所述移動無線終端裝置的IP位址通知給所述虛擬專用網中繼裝置；網際網絡安全協定共享密鑰分配單元，將用於在所述移動無線終端裝置和所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換時的網際網絡安全協定預共享密鑰，分別分配給所述移動無線終端裝置和所述虛擬專用網中繼裝置；以及移動IP共享密鑰分配單元，將用於在所述移動無線終端裝置和所述本地代理之間進行移動IP登記時的移動IP預共享密鑰，分別分配給所述移動無線終端裝置和所述本地代理。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的隧道建立。並且，根據該結構，移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰。再者，根據該結構，移動無線終端裝置和本地代理能夠取得相同的移動IP預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新移動IP預共享密鑰。從而，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。
再者，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址和網際網絡安全協定預共享密鑰以及移動IP預共享密鑰，從而不需要重新建立用於分配這些的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第十三方面的無線區域網接入點是一種移動無線通信系統中的無線區域網接入點，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述無線區域網接入點包括認證中繼單元，使用在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程中建立的安全的通信路徑，將從所述連接認證伺服器發送的IP位址和網際網絡安全協定預共享密鑰以及移動IP預共享密鑰發送給所述移動無線終端裝置，並且將從所述移動無線終端裝置發送的IP位址發送給所述連接認證伺服器。
根據該結構，因為移動無線終端裝置能夠取得虛擬專用網中繼裝置的IP位址，並且虛擬專用網中繼裝置能夠取得移動無線終端裝置的IP位址，所以移動無線終端裝置和虛擬專用網中繼裝置使用各自的IP位址能夠開始進行根據網際網絡安全協定主模式的密鑰交換。並且，根據該結構，移動無線終端裝置和虛擬專用網中繼裝置能夠取得相同的網際網絡安全協定預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新網際網絡安全協定預共享密鑰。從而，能夠防止安全性的降低，並且不需用戶以及管理人的另行操作。
再者，根據該結構，使用在移動無線終端裝置和連接認證伺服器中根據連接認證過程建立的安全的通信路徑發送IP位址和網際網絡安全協定預共享密鑰以及移動IP預共享密鑰，從而不需要重新建立用於分配這些的安全的通信路徑，所以能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
根據本發明的第十四方面的本地代理是一種移動無線通信系統中的本地代理，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述本地代理包括移動IP共享密鑰取得單元，從所述連接認證伺服器接收用於所述移動無線終端裝置的移動IP登記的預共享密鑰；以及移動IP處理單元，使用所述預共享密鑰處理來自所述移動無線終端裝置的移動IP登記。
根據該結構，因為本地代理能夠取得移動IP預共享密鑰，並且每逢移動無線終端裝置向公共無線區域網系統進行連接時，能夠更新移動IP預共享密鑰，所以，能夠防止安全性的降低，不需用戶以及管理人的另行操作，並且能夠縮短在移動虛擬專用網連接環境中建立網際網絡安全協定隧道的所需時間。
本說明書是根據2004年1月15日申請的第2004-008507號日本專利。其全部內容通過引用併入本文。
工業實用性本發明適用於提供移動無線終端裝置從公共無線區域網系統通過公共網向專用網進行連接的移動虛擬專用網環境的移動無線通信系統。
權利要求
1.一種移動無線通信系統，包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼。
2.一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接認證處理；地址取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得所述虛擬專用網中繼裝置的IP位址；地址通知單元，將所述移動無線終端裝置的IP位址通知給所述連接認證伺服器；以及網際網絡安全協定密鑰交換單元，使用所述虛擬專用網中繼裝置的IP位址，與所述虛擬專用網中繼裝置進行網際網絡安全協定密鑰交換。
3.一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接的認證處理；網際網絡安全協定共享密鑰取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得用於在與所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的網際網絡安全協定預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述網際網絡安全協定預共享密鑰，與所述虛擬專用網中繼裝置進行網際網絡安全協定密鑰交換。
4.一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接的認證處理；移動IP共享密鑰取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得用於在與所述本地代理之間進行移動IP登記的預共享密鑰；以及移動IP登記單元，使用所述預共享密鑰，對所述本地代理進行移動IP登記。
5.一種移動無線通信系統中的移動無線終端裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述移動無線終端裝置包括認證處理單元，對所述連接認證伺服器進行向所述公共無線區域網系統的連接的認證處理；地址取得單元，在向所述公共無線區域網系統的連接被準許時，從所述連接認證伺服器取得所述虛擬專用網中繼裝置的IP位址；地址通知單元，將所述移動無線終端裝置的IP位址通知給所述連接認證伺服器；網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器取得用於在與所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的網際網絡安全協定預共享密鑰；移動IP共享密鑰取得單元，從所述連接認證伺服器取得用於在與所述本地代理之間進行移動IP登記的移動IP預共享密鑰；網際網絡安全協定密鑰交換單元，使用所述虛擬專用網中繼裝置的IP位址和所述網際網絡安全協定預共享密鑰，與所述虛擬專用網中繼裝置進行網際網絡安全協定密鑰交換；以及移動IP登記單元，使用所述移動IP預共享密鑰，對所述本地代理進行移動IP登記。
6.一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括地址取得單元，從所述連接認證伺服器接收所述移動無線終端裝置的IP位址；以及網際網絡安全協定密鑰交換單元，使用所述移動無線終端裝置的IP位址，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
7.一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器接收用於在與所述移動無線終端裝置之間進行網際網絡安全協定密鑰交換的預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述預共享密鑰，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
8.一種移動無線通信系統中的虛擬專用網中繼裝置，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述虛擬專用網中繼裝置包括地址取得單元，從所述連接認證伺服器接收所述移動無線終端裝置的IP位址；網際網絡安全協定共享密鑰取得單元，從所述連接認證伺服器接收用於在與所述移動無線終端裝置之間進行網際網絡安全協定密鑰交換的預共享密鑰；以及網際網絡安全協定密鑰交換單元，使用所述移動無線終端裝置的IP位址和所述預共享密鑰，與所述移動無線終端裝置進行網際網絡安全協定密鑰交換。
9.一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；地址取得單元，在準許所述移動無線終端裝置的向所述公共無線區域網系統的連接時，從所述移動無線終端裝置接收所述移動無線終端裝置的IP位址；以及地址通知單元，將所述虛擬專用網中繼裝置的IP位址通知給所述移動無線終端裝置，並且將所述移動無線終端裝置的IP位址通知給所述虛擬專用網中繼裝置。
10.一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；以及網際網絡安全協定共享密鑰分配單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，將用於在所述移動無線終端裝置和所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的預共享密鑰，分別分配給所述移動無線終端裝置和所述虛擬專用網中繼裝置。
11.一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；以及移動IP共享密鑰分配單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，將用於在所述移動無線終端裝置和所述本地代理之間進行移動IP登記的預共享密鑰，分別分配給所述移動無線終端裝置和所述本地代理。
12.一種移動無線通信系統中的連接認證伺服器，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述連接認證伺服器包括認證處理單元，進行所述移動無線終端裝置的向所述公共無線區域網系統的連接的認證；地址取得單元，在準許所述移動無線終端裝置的向公共無線區域網系統的連接時，從所述移動無線終端裝置接收所述移動無線終端裝置的IP位址；地址通知單元，將所述虛擬專用網中繼裝置的IP位址通知給所述移動無線終端裝置，並且將所述移動無線終端裝置的IP位址通知給所述虛擬專用網中繼裝置；網際網絡安全協定共享密鑰分配單元，將用於在所述移動無線終端裝置和所述虛擬專用網中繼裝置之間進行網際網絡安全協定密鑰交換的網際網絡安全協定預共享密鑰，分別分配給所述移動無線終端裝置和所述虛擬專用網中繼裝置；以及移動IP共享密鑰分配單元，將用於在所述移動無線終端裝置和所述本地代理之間進行移動IP登記時的移動IP預共享密鑰，分別分配給所述移動無線終端裝置和所述本地代理。
13.一種移動無線通信系統中的無線區域網接入點，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述無線區域網接入點包括認證中繼單元，使用在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程中建立的安全的通信路徑，將從所述連接認證伺服器發送的IP位址和網際網絡安全協定預共享密鑰以及移動IP預共享密鑰發送給所述移動無線終端裝置，並且將從所述移動無線終端裝置發送的IP位址發送給所述連接認證伺服器。
14.一種移動無線通信系統中的本地代理，所述移動無線通信系統包括公共網和專用網以及公共無線區域網系統；並且包括虛擬專用網中繼裝置，通過所述公共網，和設置於所述專用網的網中繼裝置建立網際網絡安全協定隧道，並且還和移動無線終端裝置建立網際網絡安全協定隧道，以對所述移動無線終端裝置的從所述公共無線區域網系統向所述專用網的連接進行中繼；本地代理，進行所述移動無線終端裝置的移動控制；連接認證伺服器，設置於所述公共無線區域網系統，並且認證所述移動無線終端裝置的向所述公共無線區域網系統的連接；以及無線區域網接入點，對在所述移動無線終端裝置和所述連接認證伺服器之間進行的公共無線區域網的連接認證過程進行中繼；其特徵在於，所述本地代理包括移動IP共享密鑰取得單元，從所述連接認證伺服器接收用於所述移動無線終端裝置的移動IP登記的預共享密鑰；以及移動IP處理單元，使用所述預共享密鑰處理來自所述移動無線終端裝置的移動IP登記。
全文摘要
提供一種移動無線通信系統(100)。該系統包括虛擬專用網中繼裝置(105)，通過公共網(101)，和設置於專用網(102)的網中繼裝置(104)建立網際網絡安全協定隧道，並且還和移動無線終端裝置(110)建立網際網絡安全協定隧道，以對移動無線終端裝置(110)的從公共無線區域網系統(103)向專用網(102)的連接進行中繼；連接認證伺服器(108)，認證移動無線終端裝置(110)的向公共無線區域網系統(103)的連接；以及無線區域網接入點(109)，對在移動無線終端裝置(110)和連接認證伺服器(108)之間進行的公共無線區域網(107)的連接認證過程進行中繼。
文檔編號H04Q7/24GK1910877SQ20058000200
公開日2007年2月7日 申請日期2005年1月11日 優先權日2004年1月15日
發明者巖間智大, 金子友晴, 石井義一 申請人:松下電器產業株式會社