JP5502905B2 - モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法 - Google Patents

モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法 Download PDF

Info

Publication number
JP5502905B2
JP5502905B2 JP2011550146A JP2011550146A JP5502905B2 JP 5502905 B2 JP5502905 B2 JP 5502905B2 JP 2011550146 A JP2011550146 A JP 2011550146A JP 2011550146 A JP2011550146 A JP 2011550146A JP 5502905 B2 JP5502905 B2 JP 5502905B2
Authority
JP
Japan
Prior art keywords
mobile device
forwarding entity
mobility
mobility forwarding
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011550146A
Other languages
English (en)
Other versions
JP2012517766A (ja
Inventor
カクレヴ,ヴィオレータ
サンダラン,ガナパシィー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2012517766A publication Critical patent/JP2012517766A/ja
Application granted granted Critical
Publication of JP5502905B2 publication Critical patent/JP5502905B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6272Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/148Migration or transfer of sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、一般に通信システムに関し、より詳細には、ワイヤレス通信システムに関する。
従来のワイヤレス通信システムは、無線アクセス・ネットワーク、またはアクセス・ポイント、基地局、基地局ルータなど、他のワイヤレス・エンティティを使用してワイヤレス接続性を与える。たとえば、モバイル・ユニットは、ネットワークに通信可能に結合された無線アクセス・ネットワークと、エア・インターフェースを介してワイヤレス通信リンクを確立し得る。モバイル・ユニットは、ワイヤレス通信リンクを使用して、別のモバイル・ユニットと通信セッションを確立することなど、ネットワークによって提供されるサービスにアクセスし得る。2つのモバイル・ユニット間の通信セッションを使用して送信される情報はアナログ情報またはデジタル情報であり得、モバイル・ユニット間の通信経路は回線交換アーキテクチャまたはパケット交換アーキテクチャを使用して形成され得る。回線交換アーキテクチャでは、専用通信経路が、たとえば、2つのモバイル・ユニット間に形成され、その2つのモバイル・ユニットによってのみ使用され得る。対照的に、パケット交換アーキテクチャは情報をパケットに分割し、パケットは、2つのモバイル・ユニットとそれらのネットワーク・ピアとの間でパケットを転送するための共通のパケット・ネットワーク・インフラストラクチャを使用して、2つのモバイル・ユニット間の多数の経路に沿って送信され得る。したがって、パケット交換ネットワーク・インフラストラクチャを介した経路の一部または全部は、ネットワーク・サーバまたは固定加入者など、パケット交換ネットワークに結合された他のモバイル・ユニットまたは他のエンティティによって共有され得る。その上、ほとんどすべてのパケット交換ワイヤレス・システムは、ルーティングおよび転送についてインターネット・プロトコル(IP)に依拠する。パケット交換ネットワークは、よりオープンであり、したがって攻撃に対して弱い。したがって、パケット交換ネットワークでは、セキュリティが何よりも重要である。
ワイヤレス通信システムは、多重レイヤ・モデルに概念的に構造化され得る。たとえば、開放型システム間相互接続(OSI)参照モデルは、7つのレイヤ、すなわち、アプリケーション・レイヤと、プレゼンテーション・レイヤと、セッション・レイヤと、トランスポート・レイヤと、ネットワーク・レイヤと、データ・リンク・レイヤと、物理レイヤとを含む。アプリケーション・レイヤは「最上位」レイヤであり、したがってエンド・ユーザに最も近い。アプリケーション・レイヤは、様々なアプリケーションを提供するためのソフトウェアを含む。プレゼンテーション・レイヤは、コンテキストを設定し、異なるアプリケーション・レイヤ・エンティティ間の翻訳をする。セッション・レイヤは、異なるコンピュータ間で確立されたセッションを制御し、ローカル・アプリケーションとリモート・アプリケーションとの間の接続を管理する。トランスポート・レイヤは、エンド・ユーザ間の透過的なデータ転送を提供し、上位レイヤへの確実なデータ転送サービスをサポートする。ネットワーク・レイヤは、1つまたは複数のネットワークを介してソースから宛先に可変長データシーケンスを転送するための機能的および手続き的サポートを提供する。データ・リンク・レイヤは、ネットワーク・エンティティ間でデータを転送するための、ならびに誤り訂正を行うための機能的および手続き的サポートを提供する。物理レイヤは、電気的および物理的仕様、ならびにデバイス間のエラーのない送信のために必要とされる符号化および変調方式を定義する「最下位」レイヤである。
パケット・データ・アプリケーションをサポートするために物理レイヤおよびリンク・レイヤにおいて多数のワイヤレス・アクセス技術が実装され得る。いくつかの例示的なワイヤレス・アクセス技術は、HRPD、1X−EVDO、UMTS/HSPA、WIMAX/IEEE−802.16、3GPP2−UMB、および3GPP−LTEなど、第2世代(2G)、第3世代(3G)、および第4世代(4G)技術を含む。これらのワイヤレス・アクセス技術は、第3世代パートナーシップ・プロジェクト(3GPP、3GPP2)およびWiMAXフォーラムのネットワーク・ワーキング・グループ(NWG)によって確立された規格および/またはプロトコルなど、規格および/またはプロトコルに従って動作する。すでに展開されている技術の異なる信号強度および既存のカバレージ・エリアを利用するために、機器ベンダは、複数のワイヤレス・アクセス技術を使用して通信することが可能であるデュアル・モード(またはマルチモード)モバイル・ユニットを開発し、展開している。たとえば、デュアルモード・モバイル・ユニットは、2つの異なるワイヤレス・アクセス技術に従って動作するIP接続性の2つの独立した手段を実装し得る。同時に、サービス・プロバイダは、ワイヤレス接続性を与えるために2つ以上のワイヤレス・アクセス技術をますます使用しつつある。たとえば、いくつかのサービス・プロバイダは、オーバーレイ・メッシュ(overlaid mesh)および/または異なるアクセス技術との重複カバレージ・エリアを含む異種ネットワークを展開している。オーバーレイ・メッシュおよび重複カバレージ・エリアは、レガシー技術からより新しい技術への進化の一部として、または展開および/または運営コストの低減、全体的な通信スペクトル特性の改善など、他の理由で使用され得る。
アプリケーション・レイヤ技術も急速に発展している。たとえば、新しいブラウザ技術がより古いWAPベースの方法に急速に取って代わりつつあり、モバイル加入者の要求に応えるために、ほとんどすべてのインターネット・アプリケーションが「モバイル化」を遂げようとしている。また、既存のセルラー・モバイル・ツー・モバイル・サービスを補完し、アップグレードするために、より多くのインターネット・プロトコル(IP)ベースのモバイル・ツー・モバイル・サービスが導入されつつある。これらのモバイル・ツー・モバイル・サービスの例には、既存のセルラー・ボイス・サービスを補完するモバイルVoIP、および従来のセルラーSMSのより豊富なバージョンを探求する、テキスト、オーディオ、およびビデオシェアリングを用いたモバイルIMがある。Voice over Internet Protocol(VoIP)は、オーディオ信号(ボイス信号など)を、ネットワーク・レイヤにおいてインターネット・プロトコル(IP)を使用するパケット交換ネットワーク上での送信のためにパケットを形成するために使用できるデジタル・フォーマットに符号化するための技法である。送信機から受信機への送信中、または宛先VoIPセッション・ピア(たとえば、モバイル・ユニット)における連続するパケット間の大きい遅延により、ソース・ピアによって生成されたオーディオ信号の品質が劣化し得るので、VoIPパケットは、一般に、遅延耐性のない、ジッタ敏感情報と呼ばれる。したがって、VoIPアプリケーションは、一般に、選択されたサービス品質(QoS)レベルでVoIPパケットを与えるように制約される。たとえば、モバイル・ユニット中に実装されるVoIPアプリケーションは、ネットワーク上で送信されるパケットについて最小レベルの遅延、遅延ジッタなどを維持することが必要とされ得る。場合によっては、顧客は、いくつかのアプリケーションについて全体的により高いQoSレベルを得るために、より高い料金を払うことがある。
典型的なワイヤレス・アクセス・ネットワークは、従来、2つの構成要素、すなわち、無線ネットワークとコア・ネットワークとに分けられる。図1に示す通信ネットワーク100によって示されるように、従来のコア・ネットワークは、モバイル・ユニットがインターネットにアクセスすることを可能にする2つのレベルのIPゲートウェイを含む。訪問先ゲートウェイ(VGW)は、基地局、基地局コントローラ、基地局ルータ、アクセス・ポイントなどのエンティティを含む、コア・ネットワークと無線ネットワークとの間のインターフェースを提供する。ホーム・ゲートウェイ(HGW)は、訪問先ゲートウェイと通信し、コア・ネットワークとインターネットとの間のインターフェースを提供する。ホーム・ゲートウェイは、一般に、インターネットへのゲートウェイとして働くことに加えて、IPアドレス割当ておよび管理を担当する。図2に示す通信ネットワーク200によって示されるように、特にホーム・ゲートウェイと訪問先ゲートウェイとが異なるサービス・プロバイダによって運用されるとき、および/または2つのゲートウェイが互いから地理的にまたはトポロジー的に離れているとき、ホーム・ゲートウェイと訪問先ゲートウェイとは1つまたは複数のピアリング・ネットワークによって分離され得る。
ホーム・ゲートウェイ、訪問先ゲートウェイ、およびこれらのゲートウェイ間のピアリング・ネットワークは、インターネットとの間を行き来するパケットのためのチョーク・ポイント(choke point)になり得る。たとえば、2つのモバイル・ユニットが確立された呼セッションを有する場合、2つのモバイル・ユニットのためのコア・ネットワーク・ゲートウェイが2つの異なる都市にあることがある。また、エア・インターフェースを提供する基地局は、コア・ネットワーク・ゲートウェイのいずれかとはまったく異なる都市にあることがある。場合によっては、基地局とホーム・ゲートウェイとの間のルートが、バックボーン事業者にわたるピアリング関係により、異なる都市にある複数のピアリング・ネットワークを通ることがある。ネットワークのトポロジーに応じて、同じ訪問先ゲートウェイによってサービスされる呼でさえ、多数のゲートウェイおよび/またはピアリング・ネットワークを通ってルーティングされ得る。たとえば、シカゴで会議に参加している2人のユーザ(1人はニューヨーク市から、1人はロサンゼルスから)間の呼が、その呼が発せられたときにユーザが同じ建造物中にいたとしても、シカゴからニューヨーク市に、さらにロサンゼルスに行き、次いでシカゴに戻るようにルーティングされなければならないことがある。パケットが、インターネット・ホストからモバイル・ノードへの直接経路(すなわち、三角形の斜辺)があるにもかかわらず、インターネット・ホストからホーム・エージェントを通ってモバイル・ノードに(すなわち、三角形の斜辺以外の2つの辺に沿って)ルーティングされるので、このシナリオは「三角ルーティング問題」と呼ばれることがある。
現実の通信ネットワークの多様性は三角ルーティング問題を著しく複雑にする。ユーザのロケーション、無線ネットワーク、コア・ネットワークの訪問先ゲートウェイ、およびコア・ネットワーク内のトランスポートの地理的多様性により、事業者は、インターネットにトラフィックをルーティングするために様々なピアリング・ポイントを使用することを強いられる。事実上、様々な規格およびピアリング・ポリシーによって規定されるルーティングおよび転送経路とともにネットワークの複数のクラスタが作成され、これは非効率をもたらし得る。たとえば、複数のピアリング・ポイントを通るモバイル・ユニット呼の強制的ルーティングは、エンド・ユーザの不満につながるエンド・ツー・エンド・レイテンシの劇的な増加、ならびに運営費(OPEX)の追加に通じ得るトランスポートコストの増加を生じることがある。また、チョーク・ポイントは、固有のフォールト・トレランス欠如による非効率および大規模アウテージ(outage)を生じる潜在性を有する。これらの欠点は、物理レイヤおよびアプリケーション・レイヤ技術の進化によって与えられたネットワークへのアクセスの効率を損ない得る。これらの影響はまた、かなりの割合のモバイル・ツー・モバイル発呼が同じ訪問先ゲートウェイによって潜在的にサービスされる地理的領域内に限定され得ることによって悪化し得る。
様々なインターネット/ワイヤレス規格ドラフトおよび研究出版物が、三角ルーティング問題を改善するための手法を提案している。1つの技法は、モバイルIPv6の一部として採用されたクライアント・ベースのルート最適化技法である。ただし、この技法は、クライアント(たとえば、インターネット・ホストおよび/またはモバイル・ノード)の関与を必要とし、対応するノードごとに1回行われる。さらに、モバイル・ノードと対応するノードの両方がIPv6に準拠し、IPv6ホームおよびケアオブ・アドレスを使用してアドレス指定され得るときのみに、プロトコルは適用される。クライアント・ベースのルート最適化技法は、複雑で、煩雑であり、セキュリティ喪失を起こしやすいので、広範には実装されていない。
三角ルーティング問題に対処する別の手法は、クライアント用に複数のIPアドレスを使用し、ポリシーに基づいて固有のフローをルーティングする、ポリシーベースのローカル・ブレークアウト(local breakout)技法である。ポリシーベースのローカル・ブレークアウト技法は、あるネットワークから別のネットワークに、および/または複数のサービス・プロバイダ間でローミングする加入者に対処することを主に目的とする。一例として、米国ネットワークを訪問しているアジアの加入者について考える。この場合、ポリシーベースのローカル・ブレークアウト技法は、1つはアジアにあり、もう1つは米国にある、2つの「ホーム」ゲートウェイに加入者を割り当てるであろう。その場合、呼がどのようにルーティングされるかを判断するために1つまたは複数のポリシーが使用され得る。たとえば、ポリシーは、米国ホーム・ゲートウェイによって割り当てられたIPアドレスを使用してレイテンシ敏感呼がローカルにルーティングされることを規定することができる。さらに、ポリシーは、他のアプリケーションがアジアにあるホーム・ゲートウェイを通ってのみルーティングされることを規定することができる(たとえば、加入者の言語での音楽サービス)。アジアのホーム・ゲートウェイを通ってルーティングされるアプリケーションは、アジアのホーム・ゲートウェイによって割り当てられたIPアドレスを使用して、ユーザのモバイルをアドレス指定することになる。
別の代替案は、様々なタイプのデバイス(ワイヤードとワイヤレスの両方)と通信する異種ネットワークにおいて使用できるメディア・アウェアなルーティング概念を利用することである。たとえば、メディア・アウェアなルーティングを実装するシステムは、送信されているメディアのタイプに基づいて最適なルートを与えることを試みることができる。たとえば、VoIP呼を1つのポリシーに従ってルーティングし、ストリーミング・ビデオを別のポリシーに従ってルーティングし、テキスト・メッセージをさらに別のポリシーに従ってルーティングすることができる。
開示する主題は、上記のうちの1つまたは複数の問題の影響に対処することを対象とする。以下で、開示する主題のいくつかの態様の基本的理解を与えるために、開示する主題の簡略化された概要を提示する。この概要は、開示する主題の網羅的な概観ではない。この概要は、開示する主題の主要または重要な要素を特定するものでも、開示する主題の範囲を定めるものでもない。その唯一の目的は、後述するより詳細な説明の前置きとして、いくつかの概念を簡略化された形で提示することである。
一実施形態では、第1のホーム・ゲートウェイに関連付けられた第1のモバイル・デバイスに関与するルート最適化のための方法が提供される。本方法の一実施形態は、第1のモビリティ転送エンティティ中に実装され、第1のモバイル・デバイスを第1のモビリティ転送エンティティに登録するステップを含む。第1のモバイル・デバイスは、第1のモバイル・デバイスによって送信された登録メッセージ中に含まれるセッション鍵を使用して登録される。本実施形態はまた、セッション鍵を使用して第1のモビリティ転送エンティティと終端ノードとの間にセキュア・ルートを確立するステップを含む。セキュア・ルートは第1のホーム・ゲートウェイをバイパスする。
開示する主題は、同様の参照番号が同様の要素を識別する、添付の図面とともに行う以下の説明を参照することによって理解できる。
例示的なワイヤレス通信システムを概念的に示す図である。 モバイル交換センターの従来のネットワークと様々なピアリング・ネットワークを通る相互接続とを概念的に示す図である。 セキュア・プロキシベースのルート最適化をサポートするワイヤレス通信システムの第1の例示的な実施形態を概念的に示す図である。 セキュア・プロキシベースのルート最適化をサポートするワイヤレス通信システムの第2の例示的な実施形態を概念的に示す図である。 セキュア・プロキシベースのルート最適化の方法の例示的な一実施形態を概念的に示す図である。
開示する主題は様々な変更形態および代替の形態が可能であるが、本発明の具体的な実施形態は図面中に例として示されており、本明細書で詳細に説明される。しかしながら、具体的な実施形態の本明細書での説明は開示する主題を開示された特定の形態に限定するものではなく、むしろ、その意図は、添付の特許請求の範囲の範囲内に入るすべての変更形態、均等物、および代替形態を包含することであることを理解されたい。
例示的な実施形態について以下で説明する。見やすくするために、本明細書では、実際の実装形態のすべての特徴を説明するわけではない。そのようないかなる実際の実施形態の開発においても、実装形態ごとに変わることになる、システム関連および業務関連の制約への準拠など、開発者の固有の目的を達成するために、多くの実装形態固有の決定が行われるべきであることは当然理解されよう。さらに、そのような開発努力は、複雑で時間がかかることがあるが、とはいえ、この開示の恩恵を受ける当業者にとって日常的な仕事とすることができることを理解されたい。
次に、添付の図を参照しながら開示する主題を説明する。様々な構造、システムおよびデバイスは、単に説明のために、また、当業者によく知られている詳細により本発明を不明瞭にしないように、図面中では概略的に示される。とはいえ、添付の図面は、開示する主題の例示的な例を記述し、説明するために含まれる。本明細書で使用される語句は、当業者によるそれらの語句の理解と矛盾しない意味を有するように理解され、解釈されるべきである。本明細書の語または句の矛盾しない用法によって暗示されるものとされる、語または句の特別な定義、すなわち、当業者によって理解される通常の、および慣習的な意味とは異なる定義はない。語または句が特別な意味、すなわち、当業者によって理解される意味以外の意味を有するとされる限りにおいて、このような特別な定義は、語または句に特別な定義を直接かつ明解に提供する定義法で、明細書にはっきり記載されることになる。
概して、本出願の主題は、レイテンシを低減することによって高いエンド・ユーザ・エクスペリエンス品質(QoE)を与えるセキュア・プロキシベースの(またはネットワークベースの)ルート最適化である。本明細書で説明する技法はまた、モバイル・インターネットと呼ばれることもある、本格的なパブリック・ランド・モバイル・データ・ネットワーク(PLMN)をもたらすネットワーク効率を改善することができる。本明細書で説明するセキュア・プロキシベースのルート最適化技法の実施形態は、以下の設計原理のうちの1つまたは複数を実装する。
・最適化ルートは、よく知られているサービス拒否(DoS)攻撃を排除するセキュア・ルーティングを与える。さらに、セキュア・ルーティングは、最適な形で複数のモバイル事業者間で動作しなければならない。
・ネットワーク(またはプロキシ)ベースのルート最適化技法を採用して、クライアント入力、ならびに費用のかかるエア・インターフェースを介したトラフィックを最小限に抑えることができる。またネットワークベースの方法を使用することにより、クライアントに暗黙的保護を与え、クライアント・デバイスの役割を低減することができ、それによって、クライアント・デバイスの動作/設計を簡略化し、バッテリー電力を温存する。
・セキュア・ルート最適化技法は、既存の規格とのインターワーキング(inter-working)および/または後方互換性と、モバイル・ネットワークと、インターネットとをサポートする進化的手法を反映する。したがって、本明細書で説明するセキュア・ルート最適化技法の実施形態は、IPv4などのレガシー・モバイルおよびインターネット・プロトコル、ならびにIPv6に対して働き、アクセス・ネットワークに実装されるマクロ・モビリティ管理プロトコルとは無関係に複数のアクセス・ネットワークにわたってシームレスに働くことができる。したがって、本明細書で説明するセキュア・ルート最適化技法のいくつかの実施形態は、既存の規格およびネットワークの強化として扱われ、それによってセキュア・ルート最適化技法の漸進的ロールアウトを可能にする。
一実施形態では、本明細書で説明するセキュア・ルート最適化技法は、本明細書ではモビリティ・ルーティング・エンティティ(MRE)およびモビリティ転送エンティティ(MFE)と呼ぶ、2つの新しい機能エンティティを導入することによって実装され得る。ただし、当業者は、これらの機能エンティティの異なる実施形態が異なる用語を使用して呼ばれ得ることを諒解されたい。新しい機能エンティティを使用することにより、既存のモバイル・データ・ネットワーキング規格、製品、ならびにインターネットとの容易な統合および相互運用が可能になる。本明細書で使用する「ルーティング」という用語は、ワイヤレス指示システムを通してデータをルーティングするために使用されるポリシー、テーブルおよび制御プレーン経路の生成を意味することを理解されよう。本明細書で使用する「転送」という用語は、ワイヤレス通信システムを通して(通常パケットの形態の)情報を移動するためのルーティング機能によって生成されるポリシーに基づいて働くプロセスを意味することを理解されよう。
セキュア・ルート最適化については、本明細書では主に、(場合によっては異種)ワイヤレス通信システムを通して通信する2つのモバイル・デバイスの文脈で論じる。モバイル・デバイスの両方とも、異なるエア・インターフェースを介してワイヤレス通信システムにアクセスすることができる。ただし、本開示の恩恵を受ける当業者は、本明細書で説明する技法を、ローミング・モバイル・デバイスと、ワイヤレス通信システム中のまたは外部のインターネット中の他のエンドポイントまたは終端ノードとの間にセキュア・ルートを確立するために使用することができることを諒解されよう。たとえば、本明細書で説明する技法を、ローミング・モバイル・デバイスに関連付けられたモビリティ転送エンティティと、ローミング・モバイル・デバイスによってアクセスされているウェブ・サービスを提供するサーバとの間にセキュア・ルートを確立するために使用することができる。このシナリオでは、セキュア・ルート最適化は、サーバのIPアドレスまたは他の識別子を使用してモビリティ転送エンティティとサーバとの間にセキュア・ルートを確立することができる。
本明細書で説明するセキュア・ルート最適化技法の実施形態は、既存の技法に勝るいくつかの利点を有する。セキュリティは、主に回路ネットワークの閉じられた性質によってボイス・ネットワークに与えられる。同様に、第2世代セルラー・ネットワークに実装されたローカル・ブレークアウト技法は、表面上は回路概念であるローカル・トランキング(local trunking)に基づく。したがって、これらの技法は、現在および将来のIPベースの(すなわち、オープンな)モバイル・データ・ネットワークに対して十分なセキュリティを与えない。本明細書で説明するセキュア・ルート最適化技法は、第3世代(3G)および後続のセルラー・ネットワークに実装される異種オープン・ネットワークを通るセキュア経路を与える。その上、第1世代セルラーの展開は当時ほとんどなかったので、第2世代セルラーは、既存のネットワークを顧慮せずにイノベーションを導入するというぜいたくをしていた。ただし、新生のセルラー・データ・ネットワークの状況は非常に異なっており、10億人近くのモバイル・データ加入者の大きな中核をサポートする既存の規格およびネットワークを尊重しなければならない。本明細書で説明するセキュア・ルート最適化技法の後方互換性は、既存および新生のセルラー・データ・ネットワークとの統合を可能にするのに役立ち得る。
次に図3を参照すると、ワイヤレス通信システム300の第1の例示的な実施形態が示されている。図示の実施形態では、ワイヤレス通信システム300は、多数の相互接続されたプロバイダ・ネットワーク305(1〜11)を含む。識別用指標(1〜11)は、個々のプロバイダ・ネットワークまたはプロバイダ・ネットワークのサブセットを指すために使用され得る。ただし、プロバイダ・ネットワーク305を集合的に指す場合は、これらの指標を省くことがある。この慣例は、図面中に示され、数字および1つまたは複数の識別用指標によって識別される他の要素に適用され得る。本開示の恩恵を受ける当業者は、バックボーン・プロバイダ・ネットワーク305と呼ばれることもあるプロバイダ・ネットワーク305が様々な規格および/またはプロトコルに従って動作することができることを諒解されたい。たとえば、ワイヤレス通信システム300は、2Gおよび3G規格および/またはプロトコルの混合に従って動作するプロバイダ・ネットワーク305を含む異種システムでもよい。さらに、プロバイダ・ネットワーク305の実装および運用のための技法は当技術分野で知られおり、明快のために、本出願で説明する主題に関係するプロバイダ・ネットワーク305の実装および運用のそれらの態様についてのみ本明細書でさらに説明する。
ワイヤレス通信システム305はまた、ワイヤレス接続性を与えるために使用されるワイヤレス・アクセス・ポイント310を含む。2つのワイヤレス・アクセス・ポイント310のみが図3に示されているが、本開示の恩恵を受ける当業者は、ワイヤレス通信システム305がより多くのアクセス・ポイント310を含むことができることを諒解されたい。さらに、アクセス・ポイント310は、基地局、基地局ルータ、Bluetoothアクセス・ポイント、IEEE802プロトコルに従って動作するアクセス・ポイントなどを含むことができる。したがって、モバイル・ユニット315は、モバイル・ユニット315とアクセス・ポイント310との間のエア・インターフェース320を介してワイヤレス通信305にアクセスすることができる。モバイル・ユニット315はまた、モバイル・ノード、対応ノード、移動局、ユーザ機器、加入者機器、加入者局などの用語を使用して言及されることがある。
図示の実施形態では、モバイル・ユニット315(1)は基地局310(1)にアタッチ(attach)され、基地局310(1)は、プロバイダ・ネットワーク305(1)に実装された訪問先ゲートウェイ325(1)に接続される。モバイル・ユニット315(2)は、プロバイダ・ネットワーク305(3)に実装された訪問先ゲートウェイ325(2)に接続された基地局310(2)にアタッチされる。図示の実施形態では、モバイル・ユニット315(1〜2)の両方が、同じホーム・ゲートウェイ330にアンカー(anchor)される。訪問先ゲートウェイ325の数はホーム・ゲートウェイ330の数よりも一般にはるかに大きいので、訪問先ゲートウェイ325がホーム・ゲートウェイ330から地理的および/またはトポロジー的に分離されているこのシナリオは、ごく一般的である。その上、ホーム・ゲートウェイ330は、ホーム・ゲートウェイ330がIPアドレスおよびポリシーを割り当て、管理することをより容易にするために集中型とすることができる。ただし、本開示の恩恵を受ける当業者は、代替実施形態では、モバイル・ユニット315が異なるホーム・ゲートウェイ330にアンカーされ得ることを諒解されたい。
図3に示すように、ホーム・ゲートウェイ330を通る従来の経路340は、複数のバックボーン・ネットワーク310とピアリング・ポイントを通るトランスポートに関与する。従来の経路340中の複数のバックボーン・ネットワーク310および/またはピアリング・ポイントは、遅延、パケット損失、レイテンシ増加、およびユーザ・エクスペリエンス品質を劣化させ得る他の欠点をもたらし得る。動作中、セキュア・ルート最適化を使用して、訪問先ゲートウェイ325間のセキュア最適化経路345を生成することができる。図示の実施形態では、セキュア最適化経路345は、ホーム・ゲートウェイ330をバイパスし、したがって、従来の経路340と比較して、介在するプロバイダ・ネットワーク305の数を低減する。セキュア・ルート最適化は、モバイル・ユニット315(1)の登録、モバイル・ユニット315(2)に関連付けられた訪問先ゲートウェイ325(2)の発見、訪問先ゲートウェイ325間のセキュア・ルート345の確立、次いで、セキュア・ルート345を介したパケットの転送を含む。図示の実施形態では、モバイル・ユニット315(1)は、訪問先ゲートウェイ325(1)がセキュア・ルート最適化を行うことを許可し、次いで、モバイル・ユニット315(1)は、この機能に対する責任を訪問先ゲートウェイ325(1)に委任する。この場合、モバイル・ユニット315(1)のみが所与のフローに対する「権利」を有し、ルートの変更はモバイル・ユニット315(1)が許可することができ、次いで、モバイル・ユニット315(1)は、そのような行為を行うために訪問先ゲートウェイ325(1)に責任を委任する。
一実施形態では、訪問先ゲートウェイ325はそれぞれ、セキュア・ルート最適化機能を実装するために使用される論理エンティティであるモビリティ転送エンティティ(MFE、図3に図示せず)をサポートすることができる。MFEはまた、モバイル・ユニット315間のパケットをトランスポートするために定義され、使用されるセキュア・ルートのためのエンドポイントとして使用できる他のMFEを識別するために、モビリティ・ルーティング・エンティティ(MRE)と対話する。一実施形態では、MREは、モバイル・ユニット315の訪問先ロケーションに関する情報、ならびに訪問先ネットワーク325の識別情報を与える大きい分散データベースである。図3は2つのモバイル・ユニット315間の通信を示すが、本明細書で説明する技法は、1つのモバイル・ユニット315に関連付けられたモビリティ転送エンティティと、IPアドレスによって識別されるウェブサイト用のサーバなど、他のネットワーク・エンドポイントまたは終端ノードとの間のセキュア・ルート最適化を与えるためにも使用され得ることを、当業者は諒解されたい。
図4に、ワイヤレス通信システム400の第2の例示的な実施形態を概念的に示す。図示の実施形態では、ワイヤレス通信システム400は、エア・インターフェース415を介してモバイル・ユニット410にワイヤレス接続性を提供するために使用される基地局405を含む。また、ワイヤレス通信システム400の第2の例示的な実施形態は、基地局405に通信可能に結合された複数のモビリティ転送エンティティ420を含む。また、1つまたは複数のモビリティ・ルーティング・エンティティ425がワイヤレス通信システム400中に含まれる。様々な代替実施形態では、モビリティ・ルーティング・エンティティ425は、独立していても、分散モビリティ・ルーティング・エンティティ425の一部でもよい。図3に示すエンティティの特定の数およびこれらのエンティティ間の相互接続は例示的なものであり、代替実施形態は、異なる様式で相互接続されるこれらのエンティティの異なる数を含み得ることを、本開示の恩恵を受ける当業者は諒解されたい。
図4に示す第2の例示的な実施形態に示す様々なエンティティは、場合によっては、図3に示すエンティティと重複するおよび/またはそれらのエンティティに実装され得る。たとえば、モビリティ転送エンティティ420および/またはモビリティ・ルーティング・エンティティ425のうちの1つまたは複数は、図3に示す訪問先ゲートウェイ325またはホーム・ゲートウェイ330のうちの1つまたは複数に実装され得る。ただし、これは、本明細書で説明する技法の実施のために必要なわけではないことを、本開示の恩恵を受ける当業者は諒解されたい。いくつかの実施形態では、モビリティ転送エンティティ420および/またはモビリティ・ルーティング・エンティティ425は、訪問先ゲートウェイ325およびホーム・ゲートウェイ330とは無関係に実装される独立型エンティティであり得、たとえば、モビリティ・エンティティは、異なる物理的ロケーションに展開され得る異なる「ボックス」に実装され得る。
図示の実施形態では、モバイル・ユニット410(1)は基地局405(1)にアタッチされ、基地局405(1)はモビリティ転送エンティティ420(1)と通信することができる。モバイル・ユニット410(1)はモバイル・ユニット410(2)との呼セッションを確立することを試み、モバイル・ユニット410(2)は基地局405(2)とモビリティ転送エンティティ420(2)とにアタッチされる。次いで、パケットがセキュア・ルート430にわたってモビリティ転送エンティティ420(1〜2)間を直接トンネリングされることを可能にするために、セキュア・ルート最適化を行う。
セキュア・ルート最適化技法は、モバイル・ユニット410(1)がモビリティ転送エンティティ420(1)に登録して開始する。一実施形態では、ポリシーベースのルート最適化を実施し、モバイル・ユニット410(1)がモビリティ転送エンティティ(または訪問先ゲートウェイ)420(1)にセキュア・ルート最適化を行う権限を委任することを可能にするためにマルチステップ登録プロセスが使用される。登録はまた、モバイル・ユニット410(1)がネットワークにおいてセキュア・ルート最適化サービスを呼び出すことを許可されるかどうかを、ワイヤレス通信システム400が検証することを可能にする。たとえば、モバイル・ユニット420(1)は、モビリティ転送エンティティ420(2)が、セキュア・プロキシベースの(またはネットワークベースの)ルート最適化および/またはモビリティ転送エンティティ420(1)によって提供され得る他のサービスについての広告を送信することを要求する広告を要請することができる。次いで、モビリティ転送エンティティ420(1)は、提供されるルート最適化サービスを広告し、場合によっては、登録および委任のためにモバイル・ユニット410(1)とナンス(nonce)を交換する。さらに、モビリティ転送エンティティ420(1)は、他のサービスと、ヘッダ圧縮、ファイアウォール・サービス、暗号化などを含み得るパフォーマンス向上とを広告し得る。
次いで、モバイル・ユニット410(1)は、署名入り結合登録をモビリティ転送エンティティ420(1)に送信し、モビリティ転送エンティティ420(1)は結合確認応答を戻す。ただし、本技法は結合登録および/または結合確認応答の送信に限定されず、代替実施形態は他のメッセージの交換をサポートし得ることを、当業者は諒解されたい。モバイル・ユニット410(1)からの結合登録は、セキュア・ルート最適化サービスに関連付けられたサービスIDを含み得る。モバイル・ユニット410(1)は、同様に追加のサービスを選ぶことを選択し、結合登録中に追加のサービスを示し得る。モビリティ転送エンティティ420(1)からの結合確認応答は、モバイル・ユニット410(1)が後続の通信のために使用することができるナンスを含み得る。結合は有限の有効期間を有し、したがって、モバイル・ユニット410(1)は、結合を使用し続けることを希望する場合、登録の満了の前に再登録する必要があり得る。正常な結合登録および確認応答は、セキュア・ルート最適化(および、他のサービス)を行うためにモバイル・ユニット410(1)がネットワークに権限を委任し、ネットワークが、モバイル・ユニット410(1)がそのようなサービスについて許可されていることを確認応答することを示す。一実施形態では、モバイル・ユニット410(1)とモビリティ転送エンティティ420(1)とは、結合登録と確認応答の両方のために指定され、結合登録に署名するために使用することができるセッション鍵を共有する。一実施形態では、セッション鍵は、前のアクセス認証プロシージャから導出され得る。
モバイル・ユニット410(1)がモビリティ転送エンティティ420(1)に登録されると、モバイル・ユニット410(2)に最も近いモビリティ転送エンティティ420(2)の位置を特定するために発見が行われる。発見は、呼設定と同時に、またはトラフィック・フローが開始した後に行われ得る。一実施形態では、モバイル・ユニット410(1)は、結合確認応答中で送信されたナンスのリストからナンスを選び、宛先モバイル・ユニット410(2)のIPアドレスとセキュア・プロキシベースのルート最適化サービスIDとともに要求メッセージを送信する。要求メッセージは、セッション鍵を使用して署名され得る。モバイル・ユニット410(1)がすでに、同じ宛先モバイル・ユニット410(2)との進行中のフローを有する場合、ソース・モバイル・ユニット410(1)は、署名入りメッセージ中に(宛先IPアドレスに加えて)新しいフローのためのソースおよび宛先ポート番号を含める。
プロトコル中のこの時点で、モビリティ転送エンティティ420(1)は、潜在的に、宛先モバイル・ユニット410(2)をアンカーする訪問先ネットワークに気づいていない。したがって、ソース・モビリティ転送エンティティ420(1)は、宛先モバイル・ユニット410(2)のIPアドレスとともに、セキュア要求をローカル・モビリティ・ルーティング・エンティティ425(1)に送信する。図示の実施形態では、モビリティ・ルーティング・エンティティ425(1)は、モバイルの訪問先ロケーションに関する情報ならびに訪問先ネットワークの識別情報を提供する分散データベースを維持する。したがって、モビリティ・ルーティング・エンティティ425(1)は、モビリティ転送エンティティ420(2)の宛先IPアドレスの位置を特定するために宛先モバイル・ユニット410(2)のIPアドレスを使用して分散データベースを探索し得る。モビリティ・ルーティング・エンティティ425(1)はまた、モバイル・ユニット410(2)の訪問先座標(たとえば、宛先モビリティ転送エンティティ420(2)のIPアドレス)を得るために別のモビリティ・ルーティング・エンティティ(たとえば、425(2))と交信する必要があり得る。次いで、モビリティ・ルーティング・エンティティ425(1)は、宛先モビリティ転送エンティティ420(2)のIPアドレス、ならびに宛先モビリティ転送エンティティ420(2)のドメイン名または識別情報を戻す。
モバイル・ユニット410(1)がサーバ(図4に図示せず)によって提供されるウェブ・サービスにアクセスしているシナリオでは、セキュア・ルートの1つのエンドポイントがサーバであり、関連するモビリティ転送エンティティ420を有しないことがある。したがって、モバイル・ユニット410(1)とサーバとの間の通信経路は、第2のモビリティ転送エンティティ420を含まないことがある。代わりに、モビリティ転送エンティティ420(1)は、ルート最適化プロシージャのための適切なエンドポイントとしてサーバを識別するためにサーバの知られているIPアドレスまたは他の識別子を使用することができる。したがって、モビリティ転送エンティティ420(1)は、モビリティ・ルーティング・エンティティ425(1)と必ずしも通信することなしにサーバを識別することが可能である。
宛先モビリティ転送エンティティ420(2)を識別する情報は、将来の転送決定のためにソース・モビリティ転送エンティティ420(1)によってキャッシュされることがある。言い換えれば、ソース・モビリティ転送エンティティ420(1)がすでに宛先モビリティ転送エンティティ420(2)の識別情報およびIPアドレスに気づいている場合、このステップは実行される必要はない。識別する情報(たとえば、宛先モビリティ転送エンティティ420のIPアドレスおよび/またはドメイン名または識別情報)がソース・モビリティ転送エンティティ420にすでに提供されている場合、この情報をキャッシュすることにより、この情報に比較的迅速にアクセスすることが可能になる。したがって、識別する情報をキャッシュすることで、レイテンシを低減することによって、システムのパフォーマンスを著しく改善し得る。モビリティ・ルーティング・エンティティ425(1)は、そのデータベース中の宛先モビリティ転送エンティティ420(2)のIPアドレスの位置を特定することができない場合、他のモビリティ・ルーティング・エンティティ425(1)など、ワイヤレス通信システム400内の他のエンティティに、この情報の要求を転送し、この情報を使用してデータベースをポピュレートし、要求された情報を戻し得る。
次いで、ソース・モビリティ転送エンティティ420(1)と宛先モビリティ転送エンティティ420(2)との間にセキュア・ルート430を確立することができる。一実施形態では、セキュア・ルート430をセットアップするために、ソース・モビリティ転送エンティティ420(1)と宛先モビリティ転送エンティティ420(2)との間で相互認証鍵合意が交渉される。宛先およびソース・モビリティに応じて、異なるプロシージャが続く
宛先モビリティ転送エンティティ420(2)とソース・モビリティ転送エンティティ420(1)とがそれ自体の間のアクティブ・セッションを確立していないシナリオでは、ソース・モビリティ転送エンティティ420(1)は、ソース・モビリティ転送エンティティ420(1)と宛先モビリティ転送エンティティ420(2)との識別情報に基づいて宛先モビリティ転送エンティティ420(2)とともに認証鍵交換プロシージャを実行する。転送エンティティは事前共有鍵を有しないことがあり、その場合、認証鍵交換は証明書または識別情報ベースの暗号化(IBE)プロトコルを使用して行われることがある。IBEベースの相互認証鍵合意の利点は、(PKIにない)固有の簡単さであるが、キー・エスクローなしの完全転送秘密を維持することである。このステップが実行されると、ソース・モビリティ転送エンティティ420(1)は、ソースおよび宛先モバイル410(1〜2)のIPアドレスを含む署名入り結合登録を宛先モビリティ転送エンティティ420(2)に送信する。この登録は、フローのためのルートを最適化する意図を、宛先モビリティ転送エンティティ420(2)に効果的に通知する。それに応答して、宛先モバイル・ユニット410(2)が宛先モビリティ転送エンティティ420(2)にアンカーされる場合、宛先モビリティ転送エンティティ420(2)は結合を確認応答する。宛先モビリティ転送エンティティ420(2)はまた、宛先モバイル・ユニット410(1)が、セキュア・プロキシベースのルート最適化のために宛先モビリティ転送エンティティ420(2)に登録されていることを確認応答する。結合確認応答を送信する前に、宛先モビリティ転送エンティティ420(2)は、ローカル・モビリティ転送エンティティ420(1)と交信することによってソース・モバイル・ユニット410(1)のロケーションを検証することを随意に選択し得る。検証ステップにより、不正なMFEが偽のフローをセットアップすることを防ぎ得る。
たとえば、潜在的に異なるモバイル間の何らかの他の呼のためのソース・モビリティ転送エンティティ420(1)と宛先モビリティ転送エンティティ420(2)との間の前のセキュア・プロキシベースのルート最適化要求により、同じモビリティ転送エンティティ420(1〜2)が互いを認証しており、セッション鍵を有するので、ソース・モビリティ転送エンティティ420(1)と宛先モビリティ転送エンティティ420(2)とがすでにアクティブ・セッションを共有するシナリオでは、結合登録と結合確認応答とは実行されるが、認証鍵合意ステップはスキップできる。ソースおよび宛先モバイル・ユニット410(1〜2)がすでにアクティブ・セッションを共有している場合、ソース・モビリティ転送エンティティ420(1)は、登録メッセージ中に(モバイルのIPアドレスに加えて)ソース・ポートおよび宛先ポートを含めることができる。
次いで、セキュア・ルート430にわたってパケットが転送される。ソース・モバイル・ユニット410(1)から受信されたパケットは宛先IPアドレスとして宛先モバイル・ユニット410(2)のIPアドレスを含んでおり、したがって、経路の変更があると、中間ルータがパケットを拒否しないことを保証するためにパケットの修正を必要とすることになる。これは、トンネリング、ネットワーク・アドレス変換、およびルーティング・ヘッダの修正を含む複数の方法で達成できる。
トンネリングは、モビリティ転送エンティティ420(1〜2)間にIP−in−IP(またはGRE)トンネルを確立することによって達成できる。類似するトンネリング技法の例は、モバイルIP、GTP、ならびにプロキシ・モバイルIPにおいて使用されるトンネリング技法である。一実施形態では、パケットのカプセル化より前にパケット・オーバーヘッドを最小限に抑えるためにヘッダ圧縮を使用し得る。
ネットワーク・アドレス変換機構も実装され得る。たとえば、モビリティ転送エンティティ420(1〜2)が結合登録と確認応答とを交換するとき、訪問先領域に固有であるモバイル固有の訪問先アドレスを交換することができる。言い換えれば、両方のモビリティ転送エンティティ420(1〜2)は、それらのそれぞれのモバイルのためのモバイル固有の共設ケアオブ・アドレス(co-located care-of address)を作成し、それらを交換することができる。これが行われると、パケットがモバイルによってMFE(アップストリームまたはダウンストリームのいずれか)に送信されたとき、モバイルのIPアドレスがそれらの対応する共設ケアオブ・アドレスと置き換えられる適切なネットワーク・アドレス変換が行われる。同様に、MFEがモバイルにパケットを送信する準備ができると、共設ケアオブ・アドレスから(ホーム・ネットワークによって割り当てられる)モバイルのIPアドレスへの逆変換が行われる。そのようなプロシージャはIPv4モバイルとIPv6モバイルの両方に適用可能であり、所与のモバイルのための共設ケアオブ・アドレスはモバイルに知られている必要はない。
たとえば、ソースおよび宛先モバイル・ユニット410(1)の両方がIPv6対応である場合、ルータ・ヘッダが使用され得る。たとえば、MFEがモバイルからパケットを受信したとき、他のMFEのIPアドレスは宛先に着く前の中間ホップとしてルート・ヘッダに追加される。
いくつかの実施形態では、モビリティ転送エンティティ420はまた、転送プロセス中のヘッダ圧縮およびトラフィック・フローの暗号化などのサービスのためのサポートを行うことができる。たとえば、ソースおよび宛先モビリティ転送エンティティ420は、トラフィック・フローを暗号化し、署名するために、認証鍵合意フェーズ中に、暗号化およびトラフィック認証鍵を導出することができる。同様の趣旨で、登録プロシージャは、モバイル・ユニット410が、そのようなパフォーマンス向上を与えることをネットワークに委任することを可能にし、ネットワークは、そのようなサービスがモバイルに対して許可されるかどうかを検証することができる。
モビリティ・ルーティング・エンティティ(MRE)425の各々は、モバイル410の訪問先座標を記憶するデータベースを維持する。データベース座標は、各モバイル・ユニット410を登録したモビリティ転送エンティティ420のIPアドレスと、登録されたモビリティ転送エンティティ420のドメイン名または識別情報とを含む。したがって、各モバイル・ユニット410は、ホームIPアドレスを使用してアドレス指定可能であり、モビリティ・ルーティング・エンティティ425は、セキュア・プロキシベースのルート最適化動作に関係する訪問先ネットワークの座標を提供し得る。一実施形態では、モビリティ・ルーティング・エンティティ425は、異なるロケーションにおいて作成され、維持されるローカル・データベースからなる分散データベースとして実装され得る。とはいえ、分散モビリティ・ルーティング・エンティティ425は、問い合わせられたとき、1つの単一の統合データベースとして機能し得る。一般に、モビリティ・ルーティング・エンティティ425は、MFE420からの問合せに応答し、別のMRE425からの問合せに応答し、モビリティ・イベントが生じたときにデータベースを更新する。
モビリティ・ルーティング・エンティティ425は、データベースを使用して、モバイル・ユニット410に関連付けられたモビリティ転送エンティティ420の位置を特定する。たとえば、モビリティ・ルーティング・エンティティ(MRE)425(1)は、モバイル・ユニット410(2)に関連付けられた別のモビリティ転送エンティティ420(2)の識別情報および/またはロケーションについてモビリティ転送エンティティ420(1)から要求を受信することがある。情報がローカルに利用可能な場合、MRE425(1)は、モバイル・ユニット410(2)の訪問先座標および/またはモビリティ転送エンティティ420(2)を示すアドレス指定情報とともに応答し得る。情報がローカルに利用不可能である場合、たとえば、モバイル・ユニット410(1)がモバイル・ユニット410(3)と交信することを試みている場合、MRE425(1)はモバイル・ユニット410(3)および/またはモビリティ転送エンティティ420(3)の訪問先座標を得るためにモバイル・ユニット410(3)のホーム・ネットワーク中の別のMRE425(2)と交信し得る。次いで、この情報は、MFE420(1)と共有され、また、将来のためにキャッシュされ得る。MRE425(1)は、「妥当な」時間で問合せを解決することができない場合、MFE420(1)に「座標不明」メッセージを戻し得る。モバイルのホーム・ゲートウェイを通る「デフォルト」ルートは排除されないので、この結果は破局的でないことがある。
一実施形態では、MRE425(1)がモバイル・ユニットのホーム・ネットワーク中の別のMRE425(2)と交信するとき、MRE425(2)のIPアドレス(またはドメイン名)はMRE425(1)によって知られていないことがある。たとえば、モバイル・ホストの事業者が交信するMREの事業者とは異なるとき、MRE425は互いのIPアドレスまたはドメイン名を知らないことがある。この問題は、2つのステップ・プロセスによって解決できる。第1に、ローカルMRE425(1)は、ローカルMRE425(1)と同じ事業者によって維持されるそれ自体のホームMREに接触し、MFE420(1)から受信した要求を転送する。情報は、ローカルに利用可能な場合、ローカルMRE425(1)に伝えられる。そうでない場合、「ホームMRE」は、(関係する事業者の領域中の)モバイルの「ホームMRE」に接触し、モバイルの訪問先座標を得る。上記の実施形態には、2つの基礎をなす仮定がある。第1に、ホーム・ネットワーク中のMREは、そのローカル・データベースを維持するためにホーム・ゲートウェイとともに動作すると仮定できる。第2に、各事業者は、1つまたは複数のMREを「ホームMRE」に指定することができ、さらに、これらの要素は、他の事業者ネットワーク中の様々な「ホームMRE」の座標を維持する。言い換えれば、MREは、事業者境界上で動作する階層分散データベースに編成できる。これは、訪問先ネットワークごとに1つのローカルMREと、ホーム・ゲートウェイごとに1つの「ホームMRE」とを有することによって容易に達成できる。追加のMREが、ローカルに追加されるか、他の場合は冗長性目的で追加され得る。その上、訪問先ネットワークは、次いで、それらのネットワークにアタッチされたモバイルの座標を用いてローカルMREと情報を共有することができる。前述のように、この問合せプロセスを使用して得られる情報は、関与するMREの1つ1つが後で使用するためにキャッシュできる。一実施形態では、キャッシュされた情報に関連付けられた満了時間があり得る。
モバイル・ユニット410は、ワイヤレス通信システム400全体にわたってローミングし続け得、したがって、ワイヤレス通信システム400は、マクロ・モビリティ機能をサポートし得る。一実施形態では、モバイル・ユニット410が1つの訪問先ゲートウェイから別の訪問先ゲートウェイに切り替えるとき、モバイル・ユニット410のホーム・ゲートウェイは通知される。たとえば、新生のネットワークでは、ターゲット訪問先ゲートウェイとホーム・ゲートウェイとの間のプロキシ・モバイルIP結合更新および確認応答を使用して、マクロ・モビリティをサポートすることができる。更新/確認応答の場合には、関与する訪問先ゲートウェイは対応するローカルMREデータベースを更新することができ、ホーム・ゲートウェイはホームMREを更新することができる。データベース更新の性質(すなわち、イベント・ベースのプッシュまたは周期的プル)は設計選択できる。
MFE420がMRE425に情報を要求するとき、MRE425中にキャッシュされた情報は潜在的に古いことがあり、MRE425はキャッシュされた情報が古くなったことに気づかないことがある。MFE420が古い情報を使用し、モバイル・ユニット410の訪問先ネットワークと交信するときに、情報が古いことが明らかになり得る。そのような状況の下で、ソースMFE420は、前の問合せで受信した情報が古いという追加の指示を用いて再びMRE425に問い合わせ得る。MRE425は、キャッシュされた入力を削除し、モバイル・ユニット410のホーム・ネットワーク中のMRE425に戻って、モバイル・ユニット410の訪問先座標を得るために(前に説明したように)モバイル・ユニット410の座標を得ることができる。このイベントが生じたとき、デフォルト・ルートを通るモバイル・ユニット410間の「呼」は継続する。その後、最適なルートが確認され、セットアップされると、最適な経路に沿ったパケットの転送を行うことができる。
ワイヤレス通信システム400は、セキュア・プロキシベースのルート最適化をサポートするために、様々なセキュリティ原理を実装し得る。一実施形態では、ネットワークベースのルート最適化は、許可されたフローに対してのみサポートされる。これは、ネットワークによってレンダリングされるサービスは、事業者ポリシーを実施し、(無許可の)敵対者が利用可能でないことを保証することを目的とする。その上、所与のモバイル・ユニット410のためのフローが、セキュア・プロキシベースのルート最適化によって与えられるパフォーマンス向上を受けることを許可されているとき、モバイル・ユニット410は必要に応じてパケットを変更(たとえば、カプセル化、またはネットワーク・アドレス変換など)するための責任をネットワークに委任することを必要とされ得、その後、ネットワークは、モバイル・ユニット410に関連付けられたフローについてセキュア・プロキシベースのルート最適化を行うことができる。ネットワークおよびモバイル・ユニット410は、特権を確立し、責任を委任するために、可能な場合、既存のリンク・レイヤ認証機構にピギーバックし得る。また、ルート最適化に関与するネットワーク要素は、シグナリング・イベントおよび情報の交換より前に、セキュリティ・アソシエーションを共有または確立し得る。これは、セッションが無許可の敵対者によって乗っ取られ得る可能性を低減することを目的とする。セッション・セットアップ、ならびに情報を取得し、更新を行うためのデータベースとの通信について、様々なセキュリティ要件を施行することができる。
ワイヤレス通信システム400に実装できるセキュリティ・アーキテクチャの例示的な一実施形態では、モバイル・ユニット410は、自体を、規格の既存のプロトコルを使用してアクセス・ネットワークで認証し得る。したがって、認証および鍵合意のための方法は規格固有であり得る。正常な認証に続いて、モバイル・ユニット410と、認証センター(図4に示せず)とは、セキュア・プロキシベースのルート最適化のために使用される追加の鍵を導出することができる。追加の鍵は、既存の鍵導出プロセスを変更することによって、モバイル・ユニット410によって導出できる。ネットワーク中の認証センターは、同じ鍵を同時に導出し、それを訪問先ネットワークに配信することができる。たとえば、WiMAXおよびUMBベースのネットワークでは、アクセス認証は様々なEAP方法に基づく。より最近では、同様に、進化型HRPDシステムのためのアクセス認証プロトコルとしてEAP−AKAが採用されている。EAP認証プロトコルは、2つの鍵、すなわち、MSKとEMSKとの生成を可能にする。MSKはアクセス・ネットワークに配信されるが、EMSKは将来の使用のためにAAAにおいて保持される。一実施形態では、セキュア・プロキシベースのルート最適化鍵をEMSKから導出することができる。次いで、セキュア・プロキシベースのルート最適化鍵は、訪問先ネットワーク中のMFEに転送され、プロトコルの登録フェーズにおいて使用できる。別の例では、3GPPベースのHSPAネットワークおよびLTEネットワークでは、アクセス認証はAKAに基づき、それに従ってモバイル・ユニット410中のSIMカードがセッション鍵のセットを導出した。HSPAシステムの場合、そのネットワークにおいて、AKAは、サービングGPRSサポート・ノード(SGSN)と呼ばれる訪問先ゲートウェイに転送されるセッション鍵を含むベクトルを使用する。LTEシステムの場合、そのネットワークにおいて、AKAは、モビリティ管理エンティティ(MME)に転送されるセッション鍵を含むベクトルを使用する。セキュア・プロキシベースのルート最適化鍵は、導出され、ワイヤレス通信システム400内の適切なエンティティに転送される追加の鍵とすることができる。たとえば、次いで、MMEがセキュア・プロキシベースのルート最適化鍵をMFE420に転送する。
鍵(セキュア・プロキシベースのルート最適化鍵など)の転送に関与するトランザクションは、事前構成されたセキュリティ・アソシエーションに基づいてセキュア・トンネルを介して行われなければならない。MRE425との通信、特にモビリティ・イベントによるデータベース更新も、セキュア・トンネルを介さなければならない。破局的であり得る「ルート・ポイズニング」と呼ばれるサービス拒否攻撃(DoS)をもたらし得る、敵対者による誤った情報でデータベースが破損されることがないことを確実にするために、これは重要である。ソースMFEと宛先MFEとの間のセキュリティ・アソシエーションは、認証された鍵合意プロトコルに基づき得る。一実施形態は、証明書、およびIKEと同様の後続の鍵交換の使用を実装する。1つの代替実施形態は、識別情報ベースの暗号化(IBE)プロトコルの使用である。IBEベースの相互認証鍵交換の利点は、(PKIにない)固有の簡単さであるが、キー・エスクローなしの完全転送秘密を維持することである。
ワイヤレス通信システム400に実装されるセキュア・プロキシベースのルート最適化技法はまた、既存のネットワークに実装され、および/またはそれと一体化され得る。本明細書で説明するセキュア・プロキシベースのルート最適化技法の実施形態は、IPv4フローとIPv6フローの両方に適用可能であり、アクセス・ネットワーク・アーキテクチャおよびプロトコルとは無関係に任意のモバイル・ネットワークに適用可能であり得る。たとえば、ローカルMRE425とMFE420との間に1対1の対応があり、いくつかの実施形態では、図3に示す訪問先ゲートウェイ325など、訪問先ゲートウェイごとに1つのMFE420があり得る。一実施形態では、図3に示すホーム・ゲートウェイ330など、ホーム・ゲートウェイごとに1つのホームMRE425があり得る。HRPDネットワークの場合、MFE420はPDSNに一体化され、ローカルMRE425はローカルAAA上の別々のデータベースとして保持され得る。ホームMRE425は既存のホームAAAサーバに追加できる。HSPAネットワークの場合、ローカルMREとMFEとはSGSNに一体化でき、ホームMREはHSS複合体に一体化され得る。WiMAXネットワークの場合、MFEはASNゲートウェイに一体化でき、MREはローカルAAA上の別々のデータベースとして保持できる。ホームMREは既存のホームAAAサーバに追加できる。UMB/CANネットワークの場合、MFEはAGWに追加でき、MREはローカルAAAに追加できる。HRPD、HSPA、WiMAX、およびUMB/CANネットワークの場合、MRE425とMFE420とは、ダイアメータ・インターフェース(diameter interface)として実装でき、インターMREインターフェースもダイアメータ・インターフェースとして実装され得る。LTE/SAEベースのEPSネットワークの場合、ローカルMREはMMEに追加でき、MFEはサービングSAEゲートウェイに追加できる。ホームMREサーバは、3GPP−AAAサーバまたはHSSに一体化できる。
上記のインターフェースに加えて、証明書が採用される場合、MFE420は証明書のプロビジョニング、失効、および更新について認証局とインターフェースする。IBEベースの認証鍵合意が使用される場合、鍵生成機能(KGF)へのインターフェースが提供され得る。プロトコルの説明は典型的にモバイル・ツー・モバイル・アプリケーションを中心としたが、セキュア・プロキシベースのルート最適化はモバイル・ツー・インターネット・アプリケーションにも実装できる。その上、モバイル・ツー・インターネット・アプリケーションは、ネットワーク・アドレス変換後、ローカル・インターネットPOPにトラフィックをオフロードする訪問先MFEで最適化するのがより容易であり得る。訪問先MFEによって割り当てられたIPアドレスが訪問先ゲートウェイによって管理されるルーティング領域に対応するので、インターネットからのパケットは訪問先MREを通してルーティングされ得る。
図5に、セキュア・プロキシベースのルート最適化(SPRO)の方法500の一実施形態を示す。図示の実施形態では、モバイル・ノード(MN)は、ソース・モビリティ転送エンティティ(S−MFE)に、SPRO(同様に潜在的に他のサービス)の広告を要求する(505)。S−MFEは提供されるSPROサービスを広告し(510)、図示の実施形態では、S−MFEはまた、登録および委任のためのナンスを広告する(510)。さらに、S−MFEは、MNに提供される他のサービスおよび/またはパフォーマンス向上を広告する(510)。MNは結合登録をS−MFEに送信する(515)。MNからの結合登録はSPROサービス識別子(ID)を含み得る。MNは、同様に追加のサービスを選ぶことを選択し得る。S−MFEは、モバイルが後続の通信のために使用することができるナンスを含み得る結合確認応答を送信する(520)。矢印520の下に破線によって示される方法500中のこの時点で、MNはS−MFEに登録し得る。
方法500の次の段階は、ターゲット・モビリティ転送エンティティ(T−MFE)の発見を含む。MNは、受信されたナンスを選び(520)、宛先対応モバイル(CN)のIPアドレスと、SPROサービスのためのネットワークと交渉されたセッション鍵を使用して署名されたSPROサービスIDとともに要求メッセージをS−MFEに送信する(525)。S−MFEは、宛先モバイルが現在アンカーされている訪問先ネットワークに気づいていないので、S−MFEは宛先モバイル(CN)のIPアドレスとともにセキュア要求をローカルMREに送信する(530)。MREは、適切なデータベースを使用してT−MFEの発見を行い(533)、T−MFEのIPアドレスならびにT−MFEのドメイン名または識別情報を戻す(535)。矢印535の下に破線によって示される方法500中のこの時点で、T−MFEはS−MFEおよびMREによって発見される。本明細書で説明するように、MNがサーバ(図5に図示せず)によって提供されるサービスにアクセスしている実施形態では、セキュア・ルートの他のエンドポイントはサーバであり得、モビリティ転送エンティティではない。したがって、方法500のいくつかの実施形態は、サーバを識別または「発見」するためにIPアドレスまたは他の識別子を使用するように変更され得る。
S−MFEは、T−MFEと、それらの識別情報に基づいて認証鍵交換プロシージャを実行する(540)。たとえば、認証は、IBE認証方式を使用して行われ得る(540)。認証時に、S−MFEは、ソース・モバイルおよび宛先モバイルのIPアドレスを含む署名入り結合登録をT−MFEに送信する(545)。結合確認応答を送信する前に、T−MFEは、ローカルMREと交信することによって(550)、ソース・モバイルのロケーションを検証することを随意に選択し得る。検証時に、(宛先モバイルが事実上ターゲットMFEにアンカーされている場合)T−MFEは結合と、宛先モバイルがSPROのためにターゲットMFEに登録されていることとを確認応答する(555)。矢印555の下に破線によって示される方法500中のこの時点で、T−MFEとS−MFEとは、MN/CNまたは他の通信ノード間の現在のセッションまたは他の将来のセッションに関連するパケットを転送するために使用できるセキュア・ルートまたはトンネルを共有する。
ソース・モバイルと宛先モバイルとの間でパケットが転送される(560)。たとえば、パケットは、T−MFEとS−MFEとの間のセキュアIP−in−IPトンネルを使用して転送され得る(555)。ただし、本開示の恩恵を受ける当業者は、代替セキュア・ルーティングおよび/またはトンネリング技法が使用され得ることを諒解されたい。
開示する主題および対応する詳細な説明の部分は、ソフトウェア、またはコンピュータ・メモリ内のデータ・ビット上の演算のアルゴリズムおよび記号表現で表される。これらの説明および表現は、当業者が自身の仕事の本質を他の当業者に効果的に伝えるためのものである。アルゴリズムは、本明細書で使用されるように、また一般に使用されるように、所望の結果に至る首尾一貫した一連のステップであると考えられる。ステップは、物理量の物理操作を必要とするステップである。必ずしもそうとは限らないが、通常、これらの量は、記憶、転送、組合せ、比較、あるいは操作が可能な、光信号、電気信号、または磁気信号の形態をとる。主に一般的な用法という理由で、これらの信号をビット、値、要素、記号、文字、項、数字などと呼ぶことは時々便利であることがわかっている。
しかし、これらおよび同様の用語はすべて、適切な物理量に関連付けられるべきであり、これら物理量に付けられる便利なラベルにすぎないことに留意されたい。特に別段の規定がない限り、または、考察から明らかなように、「処理」または「計算」または「算出」または「決定」または「表示」などの用語は、コンピュータ・システムのレジスタおよびメモリ内の物理的、電気的量として表現されるデータを操作し、コンピュータ・システムのメモリまたはレジスタ、あるいは他のそのような情報記憶デバイス、伝送デバイス、または表示デバイス内の物理的量として同様に表現される他のデータへ変換する、コンピュータ・システムまたは同様の電子計算デバイスの動作およびプロセスを指す。
開示する主題のソフトウェア実装態様はまた、一般に、何らかの形式のプログラム記憶媒体上で符号化されるか、またはあるタイプの伝送媒体を介して実装されることに留意されたい。プログラム記憶媒体は、磁気媒体(たとえば、フロッピ・ディスクまたはハード・ドライブ)でも、光学式媒体(たとえば、コンパクト・ディスク読取り専用メモリ、すなわち「CD ROM」)でもよく、読取り専用でもランダムアクセスでもよい。同様に、伝送媒体は、当技術分野に知られているツイスト・ワイヤ・ペア、同軸ケーブル、光ファイバ、または何らかの他の適切な伝送媒体でもよい。開示する主題は、所与の実装のこれらの態様によって限定されない。
上記に開示された具体的な実施形態は例示的なものにすぎず、開示する主題は、本明細書の教示の恩恵を受ける当業者にとって明らかな、異なるが均等な様態で変更および実施できる。さらに、本明細書に示された構成または設計の詳細には、下記の特許請求の範囲に記載されている場合を除いて、限定する意図はない。したがって、上記に開示された具体的な実施形態は改変または変更でき、すべてのそのような変形例は開示する主題の範囲内であると考えられることは明白である。したがって、本明細書で求められる保護は、以下の特許請求の範囲に記載するとおりである。

Claims (10)

  1. 第1のホーム・ゲートウェイに関連付けられた第1のモバイル・デバイスに関与するルート最適化の方法であって、前記方法が、第1のモビリティ転送エンティティに実装され、
    前記第1のモバイル・デバイスによって送信された登録メッセージ中に含まれるセッション鍵を使用して前記第1のモバイル・デバイスを前記第1のモビリティ転送エンティティに登録するステップであって、前記セッション鍵は、前記第1のモビリティ転送エンティティが前記第1のモバイル・デバイスのためのプロキシとして働くことを許可するために使用される、登録するステップと、
    前記セッション鍵を使用して前記第1のモビリティ転送エンティティと終端ノードとの間に、前記第1のホーム・ゲートウェイをバイパスするセキュア・ルートを確立するステップと
    を含む方法。
  2. 前記第1のモバイル・デバイスを前記第1のモビリティ転送エンティティに登録するステップが、
    前記セッション鍵を使用して前記第1のモバイル・デバイスによって署名された結合登録を、前記第1のモバイル・デバイスから受信するステップと、
    前記第1のモバイル・デバイスが前記第1のモビリティ転送エンティティに登録されており、したがって前記第1のモビリティ転送エンティティが、前記第1のモバイル・デバイスのためのプロキシとして働き、前記第1のモバイル・デバイスに対してルート最適化を行うことを許可されていることを示す結合確認応答を、前記第1のモバイル・デバイスに送信するステップと
    を含む、請求項1に記載の方法。
  3. 前記終端ノードが、前記第1のモバイル・デバイスにウェブ・サービスを提供するように構成されたサーバであり、前記セキュア・ルートを確立するステップが、前記サーバまたは前記ウェブ・サービスに割り当てられたインターネット・プロトコル(IP)アドレスまたはドメイン名のうちの少なくとも1つを使用して前記セキュア・ルートを確立するステップを含む、請求項1に記載の方法。
  4. 前記終端ノードが、第2のモバイル・デバイスに関連付けられた第2のモビリティ転送エンティティであり、前記セキュア・ルートを確立するステップが、
    前記第2のモビリティ転送エンティティに登録された前記第2のモバイル・デバイスへのルートを最適化したいという、前記第1のモバイル・デバイスからの要求に応答して、前記第2のモビリティ転送エンティティを発見するステップ
    を含む、請求項1に記載の方法。
  5. 前記セキュア・ルートを確立するステップが、前記第1のモビリティ転送エンティティと前記終端ノードとを相互に認証するステップと、前記セキュア・ルートを使用して前記第1のモバイル・デバイスから前記終端ノードに少なくとも1つのパケットを転送するステップとを含む、請求項1に記載の方法。
  6. 第2の呼セッションに関連する少なくとも1つのパケットを転送するために前記セキュア・ルートを使用することができるように、前記第1のモバイル・デバイスと前記終端ノードとの間に第1の呼セッションを確立した後に、前記第1のモビリティ転送エンティティと前記終端ノードとの間の前記セキュア・ルートを保持するステップを含む、請求項1に記載の方法。
  7. それぞれ、第1のホーム・ゲートウェイおよび第2のホーム・ゲートウェイに関連付けられた第1のモバイル・デバイスと第2のモバイル・デバイスとの間のルート最適化の方法であって、前記方法が、第1のモビリティ・ルーティング・エンティティに実装され、
    前記第1のモビリティ・ルーティング・エンティティにおいて、前記第1のモビリティ転送エンティティが前記第1のモバイル・デバイスのためのプロキシとして働くことを許可するために前記第1のモバイル・デバイスから送信されたセッション鍵を使用して前記第1のモバイル・デバイスを登録した第1のモビリティ転送エンティティから、前記第2のモバイル・デバイスを登録した第2のモビリティ転送エンティティを発見したいという要求を受信するステップであって、前記要求が前記第2のモバイル・デバイスのアドレスを含む、受信するステップと、
    前記第2のモバイル・デバイスの前記アドレスと、前記第1のモビリティ・ルーティング・エンティティによって維持されるデータベースとを使用して前記第2のモビリティ転送エンティティのアドレスまたは識別情報のうちの少なくとも1つを発見するステップと、
    前記第1のホーム・ゲートウェイおよび前記第2のホーム・ゲートウェイをバイパスするセキュア・ルートを前記第1のモビリティ転送エンティティと前記第2のモビリティ転送エンティティとの間に確立することができるように、前記第1のモビリティ転送エンティティに前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報を与えるステップと
    を含む方法。
  8. 前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報を発見するステップが、
    前記データベースが、前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報と前記第2のモバイル・デバイスの前記アドレスとの間のあらかじめ決定された関連付けを含んでいるとき、前記第2のモバイル・デバイスの前記少なくとも1つのアドレスまたは識別情報を使用して前記データベースから前記第2のモビリティ転送エンティティの前記アドレスにアクセスするステップと、
    前記データベースが、前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報と前記第2のモバイル・デバイスの前記アドレスとの間のあらかじめ決定された関連付けを含んでいないとき、前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報と前記第2のモバイル・デバイスの前記アドレスとを関連付ける情報を得るために、少なくとも1つの他のモビリティ・ルーティング・エンティティまたは少なくとも1つの他のエンティティに問い合わせるステップと、
    前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報と前記第2のモバイル・デバイスの前記アドレスとの間の前記関連付けを、前記データベースに追加するステップと、
    前記第2のモビリティ転送エンティティの前記少なくとも1つのアドレスまたは識別情報を前記第1のモビリティ転送エンティティに与えるステップと
    を含む、請求項7に記載の方法。
  9. 第1のホーム・ゲートウェイに関連付けられた第1のモバイル・デバイスに関与するルート最適化の方法であって、前記方法が、前記第1のモバイル・デバイスに実装され、
    前記第1のモバイル・デバイスによって送信された登録メッセージ中に含まれるセッション鍵を使用して前記第1のモバイル・デバイスを第1のモビリティ転送エンティティに登録するステップであって、前記セッション鍵は、前記第1のモビリティ転送エンティティが前記第1のモバイル・デバイスのためのプロキシとして働くことを許可するために使用される、登録するステップと、
    前記セッション鍵を使用して前記第1のモビリティ転送エンティティと終端ノードとの間に、前記第1のホーム・ゲートウェイをバイパスするセキュア・ルートを確立することによって、前記終端ノードへのルートを最適化したいという要求を前記第1のモビリティ転送エンティティに送信するステップと
    を含む方法。
  10. 前記第1のモバイル・デバイスを登録するステップが、前記セッション鍵を使用して前記第1のモバイル・デバイスによって署名された結合登録を、前記第1のモビリティ転送エンティティに与えるステップを含む、請求項9に記載の方法。
JP2011550146A 2009-02-11 2010-01-22 モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法 Expired - Fee Related JP5502905B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/369,374 US9258696B2 (en) 2009-02-11 2009-02-11 Method for secure network based route optimization in mobile networks
US12/369,374 2009-02-11
PCT/US2010/021761 WO2010093506A1 (en) 2009-02-11 2010-01-22 Method for secure network based route optimization in mobile networks

Publications (2)

Publication Number Publication Date
JP2012517766A JP2012517766A (ja) 2012-08-02
JP5502905B2 true JP5502905B2 (ja) 2014-05-28

Family

ID=42124492

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011550146A Expired - Fee Related JP5502905B2 (ja) 2009-02-11 2010-01-22 モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法

Country Status (6)

Country Link
US (2) US9258696B2 (ja)
EP (1) EP2396982A1 (ja)
JP (1) JP5502905B2 (ja)
KR (2) KR101499048B1 (ja)
CN (1) CN102318381B (ja)
WO (1) WO2010093506A1 (ja)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110225319A1 (en) * 2008-12-08 2011-09-15 Panasonic Corporation Route optimization method, route optimization system, mobile communication device, movement management device, partner communication device and home base station
TWI396419B (zh) * 2009-08-24 2013-05-11 Ind Tech Res Inst 用於行動虛擬私人網路的通話建立方法及其接取點裝置
JP5244082B2 (ja) * 2009-12-10 2013-07-24 株式会社日立製作所 リアルタイム分散制御システム、リアルタイム分散制御方法、およびロボット
US8498301B2 (en) * 2010-03-31 2013-07-30 Brocade Communications Systems, Inc. Switch with packet services processing
US8615651B1 (en) * 2010-05-17 2013-12-24 Google Inc. Offline shared security key calculation
CN102884839B (zh) * 2010-11-05 2015-09-09 华为技术有限公司 在面向分组数据的移动通信网络中提供本地业务快捷方式的方法
WO2012058817A1 (en) * 2010-11-05 2012-05-10 Huawei Technologies Co., Ltd. A method for providing a local traffic shortcut in a packet-oriented mobile communication network
WO2014031597A1 (en) 2012-08-24 2014-02-27 Oceus Networks Inc. Mobile cellular networks
WO2014031689A1 (en) 2012-08-24 2014-02-27 Oceus Networks Inc. Mobile cellular networks
US10397101B1 (en) * 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products for mapping identifiers
US10397100B1 (en) * 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products using a region scoped outside-scope identifier
US10411997B1 (en) 2012-12-27 2019-09-10 Sitting Man, Llc Routing methods, systems, and computer program products for using a region scoped node identifier
US10404582B1 (en) * 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using an outside-scope indentifier
US10419335B1 (en) * 2012-12-27 2019-09-17 Sitting Man, Llc Region scope-specific outside-scope indentifier-equipped routing methods, systems, and computer program products
US10904144B2 (en) 2012-12-27 2021-01-26 Sitting Man, Llc Methods, systems, and computer program products for associating a name with a network path
US10212076B1 (en) 2012-12-27 2019-02-19 Sitting Man, Llc Routing methods, systems, and computer program products for mapping a node-scope specific identifier
US10447575B1 (en) 2012-12-27 2019-10-15 Sitting Man, Llc Routing methods, systems, and computer program products
US10419334B1 (en) * 2012-12-27 2019-09-17 Sitting Man, Llc Internet protocol routing methods, systems, and computer program products
US10404583B1 (en) * 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using multiple outside-scope identifiers
US10587505B1 (en) 2012-12-27 2020-03-10 Sitting Man, Llc Routing methods, systems, and computer program products
US10411998B1 (en) * 2012-12-27 2019-09-10 Sitting Man, Llc Node scope-specific outside-scope identifier-equipped routing methods, systems, and computer program products
US9743334B2 (en) * 2013-02-11 2017-08-22 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for enabling data path selection in a virtual home gateway
WO2014179235A1 (en) 2013-04-29 2014-11-06 Oceus Networks Inc. Mobile cellular network backhaul
CN104219726B (zh) * 2013-06-04 2018-12-14 中兴通讯股份有限公司 一种路由优化方法及装置
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
CN105635234B (zh) * 2014-11-29 2020-02-21 华为技术有限公司 一种管理人体设备的方法及装置
CN104539550A (zh) * 2014-12-05 2015-04-22 英业达科技有限公司 利用网关装置使用异质网络传送信息的系统及其方法
KR102033465B1 (ko) 2015-02-27 2019-10-17 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비
US10440760B2 (en) 2016-05-16 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for session management in a wireless network
US10873891B2 (en) 2016-07-06 2020-12-22 Oceus Networks, Llc Secure network rollover
US9924427B2 (en) 2016-07-07 2018-03-20 Oceus Networks Inc. Network backhaul access
US9686238B1 (en) 2016-07-07 2017-06-20 Oceus Networks Inc. Secure network enrollment
US10172078B2 (en) 2017-03-31 2019-01-01 Oceus Networks Inc. Targeted user equipment-base station communication link
EP3588900B1 (en) * 2018-06-29 2022-10-05 AO Kaspersky Lab System and method of analyzing the content of encrypted network traffic
US11246031B2 (en) 2018-08-15 2022-02-08 Oceus Networks, Llc Disguising UE communications in a cellular network
US10547980B1 (en) * 2018-10-26 2020-01-28 Hewlett Packard Enterprise Development Lp Device movement correlations
US20220256039A1 (en) * 2021-02-11 2022-08-11 Ari Kahn Network exception systems and methods for packet-switched telephony
CN112953937B (zh) * 2021-02-20 2023-06-06 云南电网有限责任公司电力科学研究院 一种电力可信计算平台通信端到端安全通信系统
CN116938596A (zh) * 2023-09-12 2023-10-24 四川科瑞软件有限责任公司 一种异构网络的数据安全传输方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6522880B1 (en) * 2000-02-28 2003-02-18 3Com Corporation Method and apparatus for handoff of a connection between network devices
US7200750B1 (en) * 2000-09-15 2007-04-03 Lucent Technologies Inc. Method for distributing encryption keys for an overlay data network
DE10056096A1 (de) 2000-11-13 2002-06-13 Bayer Ag Vorrichtung zur Bestrahlung von Flüssigkeiten
US7333482B2 (en) * 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US20030177385A1 (en) * 2002-03-15 2003-09-18 Price James H. Reverse authentication key exchange
US7552234B2 (en) * 2003-02-11 2009-06-23 Cisco Technology, Inc. Arrangement for establishing a bidirectional tunnel between a mobile router and a correspondent node
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
GB0324364D0 (en) * 2003-10-17 2003-11-19 Nokia Corp Authentication of messages in a communication system
EP1766915B1 (en) * 2004-06-24 2008-11-19 Telecom Italia S.p.A. Method and system for controlling access to communication networks, related network and computer program therefor
US20080137591A1 (en) * 2004-12-14 2008-06-12 Matsushita Electric Industrial Co., Ltd. Communication Route Optimization Method, Corresponding Apparatus and System
JP4583384B2 (ja) * 2005-01-18 2010-11-17 パナソニック株式会社 通信管理方法及び通信管理装置
EP1971085A4 (en) * 2005-12-28 2009-03-04 Huawei Tech Co Ltd METHOD FOR MOBILE IP MANAGEMENT AND CORRESPONDING NETWORK SYSTEM
US8189544B2 (en) * 2006-06-26 2012-05-29 Alcatel Lucent Method of creating security associations in mobile IP networks
CA2662686C (en) * 2006-09-07 2013-11-12 Research In Motion Limited Method and system for establishing a secure over-the-air (ota) device connection
CN101150572B (zh) * 2006-09-22 2011-08-10 华为技术有限公司 移动节点和通信对端绑定更新的方法及装置
US8144593B2 (en) * 2006-11-17 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient routing in communication networks
US9516495B2 (en) 2007-03-01 2016-12-06 Futurewei Technologies, Inc. Apparatus and methods of PMIPv6 route optimization protocol
JP4697895B2 (ja) * 2007-03-03 2011-06-08 Kddi株式会社 Ims/mmdネットワークへの代理接続方法、アダプタ及びプログラム
US20080240020A1 (en) * 2007-03-29 2008-10-02 Nokia Corporation Routing support in heterogeneous communications networks
US20090106831A1 (en) * 2007-10-18 2009-04-23 Yingzhe Wu IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO

Also Published As

Publication number Publication date
KR101499048B1 (ko) 2015-03-05
US20100202455A1 (en) 2010-08-12
KR20130119507A (ko) 2013-10-31
US20160119297A1 (en) 2016-04-28
KR101479922B1 (ko) 2015-01-12
CN102318381A (zh) 2012-01-11
US9258696B2 (en) 2016-02-09
KR20110125238A (ko) 2011-11-18
WO2010093506A1 (en) 2010-08-19
CN102318381B (zh) 2015-03-11
JP2012517766A (ja) 2012-08-02
US10069803B2 (en) 2018-09-04
EP2396982A1 (en) 2011-12-21

Similar Documents

Publication Publication Date Title
JP5502905B2 (ja) モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法
US20220225263A1 (en) Interworking function using untrusted network
JP3778129B2 (ja) 無線ネットワークおよび無線ネットワークにおける認証方法
KR100999761B1 (ko) Wlan 상호접속에서의 서비스 및 어드레스 관리 시스템및 방법
JP5204219B2 (ja) 無線通信ネットワークにおけるプロキシモバイルキー階層構造を提供するための方法および装置
US20060251257A1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
JP4909357B2 (ja) イーサネット伝送プロトコルを基礎とするデータパケットを少なくとも1つのモバイル通信ユニットと通信システムとの間において伝送する方法
EP2272270B1 (en) A method for network access, related network and computer program product therefor
KR20090093928A (ko) 무선 네트워크에서 컨텍스트 전송으로 외부 에이전트를 재할당하는 시스템
US20100118774A1 (en) Method for changing radio channels, composed network and access router
Shah et al. A route optimized distributed IP-based mobility management protocol for seamless handoff across wireless mesh networks
JP4802238B2 (ja) ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法
Sargento et al. Ubiquitous Access through the Integration of Mobile Ad-hoc Networks
Main et al. Project Number: CELTIC/CP7-011 Project Title: Mobile Networks Evolution for Individual Communications Experience–MEVICO Document Type: PU (Public)
WG et al. Internet-Draft Kudelski Security Intended status: Informational S. Gundavelli, Ed. Expires: September 14, 2016 Cisco March 13, 2016
Adeniji Optimization of IPV6 over 802.16 e WiMAX Network Using Policy Based Routing Protocol
Georgiades Context transfer support for mobility management in all-IP networks

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120713

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130214

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130514

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140313

R150 Certificate of patent or registration of utility model

Ref document number: 5502905

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees