JPWO2010092764A1 - ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末 - Google Patents

ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末 Download PDF

Info

Publication number
JPWO2010092764A1
JPWO2010092764A1 JP2010550437A JP2010550437A JPWO2010092764A1 JP WO2010092764 A1 JPWO2010092764 A1 JP WO2010092764A1 JP 2010550437 A JP2010550437 A JP 2010550437A JP 2010550437 A JP2010550437 A JP 2010550437A JP WO2010092764 A1 JPWO2010092764 A1 JP WO2010092764A1
Authority
JP
Japan
Prior art keywords
gateway
pgw
mobile terminal
connection
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010550437A
Other languages
English (en)
Inventor
隆二 杉崎
隆二 杉崎
池田 新吉
新吉 池田
啓吾 阿相
啓吾 阿相
ゲナディ ベレブ
ゲナディ ベレブ
イェンス バッハマン
イェンス バッハマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JPWO2010092764A1 publication Critical patent/JPWO2010092764A1/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/17Selecting a data network PoA [Point of Attachment]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/005Multiple registrations, e.g. multihoming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

複数の通信インタフェースを有する移動端末がアクセスネットワークに接続する際、所望のPGWとは異なるPGWが割り当てられた場合であっても、移動端末が、早期かつ短時間のうちに所望のPGWと接続できるようにする技術が開示され、その技術によれば移動端末(UE)1がアクセスネットワーク(N3Gアクセス3)でブートストラッピング(BS)処理を行う際に、所望のPGW(T−PGW5b)に既に接続されている別の通信インタフェースのアドレス(ホームプレフィクス)を接続先のPGW(I−PGW5a)に通知する。I−PGWは、そのアドレスを管理していない場合には、そのアドレスを管理しているT−PGWから移動端末へBS処理が開始されるように処理を行う。また、移動端末は、N3Gアクセスで所望しないI−PGWに接続した場合、I−PGWから所望のT−PGWに接続を切り替える際に、I−PGWとの間で交換した鍵の再利用を要求する。

Description

本発明は、IP(Internet Protocol:インターネットプロトコル)を用いた通信を行う通信ノードがPGW(PDN Gateway)に接続する際に、その接続先を制御するゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末に関し、特にモバイルIPv6(Mobility support for IPv6:以降、MIPv6と呼ぶ)における移動端末(User Equipment:以降、UEと呼ぶ)が複数の通信インタフェース(Interface:以降、IFと呼ぶ)を保持する環境で、UEの情報を管理するPGWに接続する際に適用されるゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末に関する。
従来、MIPv6はIPネットワークにおけるUEの移動透過性を確保する技術として知られている(例えば、下記の非特許文献3又は非特許文献4を参照)。図1には、MIPv6を用いた通信ネットワークの構成の一例が図示されている。図1において、UE1(MIPv6ではモバイルノード:Mobile Node(MN)とも呼ばれる)と、UE1の位置情報(気付けアドレス;Care-of Address(CoA)とも呼ばれる)を管理するPGW5(MIPv6用語ではホームエージェント:Home Agent(HA)とも呼ばれ、後述するI−PGW5a若しくはT−PGW5bに相当)と、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAA(Authentication, authorization and Accounting)サーバ8aとユーザ情報データサーバであるHSS(Home Subscriber Server)8b、PGW5のURI(Universal Resource Identifier)とIPアドレスとの組を保持するDNS(Domain Name System:ドメインネームシステム)サーバ9で構成される。
なお、AAAサーバ8aとHSS8bは、物理的又は論理的に同一の装置に実装されるものであってもよく、以降、AAAサーバ8aとHSS8bを説明の都合上まとめてAAA/HSS8と呼ぶこともある。また、図1には、DNSサーバ9の接続形態は明示されていないが、DNSサーバ9は、コアネットワーク4や各アクセスネットワーク(後述する3GPPアクセスネットワーク2又はNon−3GPPアクセスネットワーク3)からアクセス可能である。
図1において、UE1は、ホームリンク上で有効なホームアドレス(Home Address:以降、HoAと呼ぶ)と、外部リンクである移動先ネットワークで取得したCoAを、バインディングアップデート(Binding Update:以降、BUと呼ぶ)メッセージを用いてPGW5に通知する。PGW5は、通知された両アドレス(HoA,CoA)の対応関係をバインディングキャッシュ(Binding Cash:以降、BCと呼ぶ)に登録して保持することで、UE1のHoA宛てに送られてきたパケットをインターセプトし、対応するUE1のCoA宛てに転送することが可能になる。UE1は、定期的あるいはCoAが変更されたときに、BUメッセージを用いてCoAをPGW5に通知する。これにより、UE1はホームリンク内外に関係なく、UE1のHoA宛てのパケットを常時受信するができるようになる。
ここで、下記の非特許文献1には、移動体通信システムの標準化プロジェクト(3rd Generation Partnership Project:以降、3GPPと呼ぶ)におけるPGW5の割り当て方法が開示されている。非特許文献1に開示されている技術によれば、例えば図1において、UE1は、新たなアクセスネットワークに接続する際、自身を収容するPGW5を示すURIを基に、新たなアクセスネットワークにおけるUE1の位置情報を管理するPGW5のIPアドレスをDNSサーバ9から取得する。
このとき、同一あるいは異なる通信インタフェースを介して既にUE1が接続済みのPGW5(UE1のバインディングキャッシュエントリを保持しているPGW5)が存在する状態も起こり得るが、このような状態にもかかわらず、既にUE1が接続済みのPGW5とは異なるPGW5がDNSサーバ9によって提示されることがある。こうした場合、例えば、異なる通信インタフェースで受信するデータの同期を取ることが困難になるなど、様々な点において、UE1が複数のCoAを用いる際に期待される利点が実現されなくなってしまうかもしれないという問題が生じる。
このような問題を解決する方法として、非特許文献1には、PGW5の切り替え方法(PDN GW reallocation procedure)が開示されている。非特許文献1に開示されているPDN GW reallocation procedureでは、UE1は、DNSサーバ9によって提示された異なるPGW5への接続をいったん開始するが、その接続処理中にAAA/HSS8が提供する情報に基づいて、既に接続済みのPGW5のアドレスをネットワーク側からUE1に通知することで、UE1は、通知されたPGW5(既に接続済みのPGW5)に再接続できるようになる。
なお、本明細書では、UE1が新たなアクセスネットワークに接続する際に、その接続先アクセスネットワークで提示されたPGW5をI−PGW(Initial PGW)5aと呼び、一方、UE1が新たなアクセスネットワークに接続する前に既に別のアクセスネットワークを通じて接続しているPGW5をT−PGW(target PGW)5bと呼んで区別を行うことにする。T−PGW5bは、UE1が新たなアクセスネットワークに接続した際に本来UE1が接続したいPGW5である。UE1は、新たなアクセスネットワークに接続した場合においても、その接続先をT−PGW5bとすることで、通信に複数のCoAを利用する場合の利益を享受できるようになる。
非特許文献1に開示されているPDN GW reallocation procedureを使用することで、接続先アクセスネットワークで提示されたPGW5が異なる場合においても、AAA/HSS8がT−PGW5aを割り当てることで、UE1は接続先のアクセスネットワークによらずPGW5を統一することが可能になる。
非特許文献1に開示されているPDN GW reallocation procedureは、UE1とPGW5との間のパケット通信を保護するためのセキュリティアソシエーション(Security Association:以降、SAと呼ぶ)を確立するためのブートストラッピング(Bootstrapping:以降、BSと呼ぶ)手順を利用する。なお、BS手順に関しては、例えば下記の非特許文献2に記述されている。以下、図12用いて、その詳細な動作について説明する。
図12は、従来の技術におけるBS手順を説明するためのシーケンス図である。なお、図12には、図1に図示されているシステム構成における図示されているBS手順の一例が示されている。図12では、UE1がDNSサーバ9から提示されたPGW5とBSを実施する。その際に、コアネットワーク4への接続許可を下すAAAサーバ8aと、存在する場合にはUE1が収容されるPGW5の識別情報(以降、PGW Identityと呼ぶ)やアクセスポイント名(Access Point Name:以降、APNと呼ぶ)などを管理するHSS8bとの間でインタラクションが発生する。
まずUE1は、PGW discovery procedure を実行し、PGW5(図1のI−PGW5aに相当)のアドレスを取得する(ステップS9001)。この際、もしUE1が既に接続済みのPGW5(図1のT−PGW5bに相当、図12には不図示)を介して接続確立されたPDN(Packet Domain Network、図12には不図示)のAPNを保持していた場合は、DNSサーバ9にそのPGW5(T−PGW5b)のアドレスを問い合わせる。具体的には、UE1は、保持しているT−PGW5bのAPNを問い合わせメッセージに格納し、その問い合わせメッセージをDNSサーバ9に送信する。DNSサーバ9は、UE1から送られてきたAPNに基づいてPGW5を検索してUE1に通知するが、ネットワークの状態(負荷状態、オペレータによる設定、またDNSデータベースが現在のUE1の状態に基づいたダイナミック情報を保有していない、などの様々な理由)によって、UE1が所望するT−PGW5bのアドレスではなく、異なるPGW5(I−PGW5a)のアドレスをUE1に返すことがある。
UE1は、DNSサーバ9から受信したPGW5(ここではI−PGW5aに相当)のアドレスに対してSA確立を開始する(IKE_SA_INITシーケンスの起動、ステップS9002)。IKE_SA_INITシーケンスにより、UE1とPGW5との間で以降のBS処理に使用する共有鍵を含むIKE SA(IKE Security Association)を生成する。次に、UE1は、生成したIKE SAを使用して保護したIKE_AUTH RequestメッセージをPGW5に送信する(ステップS9003)。IKE_AUTH Requestメッセージには、UE1の識別子(例えば、NAI:Network Access Identifier)などが含まれている。PGW5は、取得したIKE_AUTH Requestメッセージに記載されたパラメータを基に、UE1に対する認証要求メッセージ(Authentication-Request/Identity)を生成し、AAAサーバ8aに送信する(ステップS9004)。
AAAサーバ8aはHSS8bから取得したユーザプロファイル(User Profile)や認証ベクタ(Authentication Vector:AV)などを基にUE1の認証を行い(ステップS9005)、PGW5を介してコアネットワーク4への接続を許可してもよいUE1であるかどうかを判断し、その結果をEAP-Request/AKA-Challengeメッセージを用いてPGW5に通知する(ステップS9006)。ネットワーク接続可能なUE1であると判断された場合、ステップS9006で送信されるEAP-Request/AKA-Challengeメッセージには、以降PGW5とUE1との間で使用するSA確立に必要なチャレンジ情報が含まれている。PGW5は、AAAサーバ8aから取得したEAP-Request/AKA-Challengeメッセージを含むIKE_AUTH ResponseメッセージをUE1に送信する(ステップS9007)。続けて、UE1からAAAサーバ8aに対して、チャレンジ情報に対応するレスポンス情報が送信され(ステップS9008、S9009)、SA確立に必要なマスターキー(MSK、鍵又は鍵情報と呼ぶこともある)あるいはその鍵素材(keying material)がPGW5に配布される(ステップS9010、S9011)。このMSKを使用して、UE1とPGW5との間のSAが確立される(ステップS9012〜14)。そして、確立されたSAを使用して、以降UE1とPGW5との間で交換されるBU/BA(Binding Acknowledgement)が保護される(ステップS9015〜17)。
図12に図示されている動作では、ステップS9006において、UE1がBSを開始したPGW5(I−PGW5aに相当)に対して、HSS8bが異なるPGW5(T−PGW5bに相当)をAAAサーバ8a経由でPGW5(I−PGW5a)に通知することができる。このときPGW5(T−PGW5b)は、以降のUE1とのBS処理を完了させ(〜ステップS9014)、続けてUE1との間で実施するバインディング処理の中で(具体的には、ステップS9016で送信するBAメッセージによって)、HSS8bから通知を受けたPGW5(T−PGW5bに相当)のアドレスをUE1に通知する(ステップS9016)。このようにして本来接続したいPGW5(T−PGW5b)のアドレスを受けたUE1は、PGW5(I−PGW5a)とのバインディングを解消するためにライフタイムを0にセットしたBUを送信し(ステップS9017)、通知されたPGW5(T−PGW5b)に接続するためのBS処理並びにバインディング処理(BU/BA交換)を改めて開始する。具体的には、UE1は、T−PGW5bに対して、図12のステップS9002からの処理を再度実施する。
3GPP TS 23.402 V8.4.0,December 2008 3GPP TS 33.402 V8.2.1,December 2008 Mobility Support in IPv6, RFC3775,June 2004 Mobile IPv6 support for dual stack Hosts and Routers (DSMIPv6),draft-ietf-mext-nemo-v4traversal-06,November 2008 Proxy Mobile IPv6,RFC5213,August 2008 Mobile IPv6 Bootstrapping in Split Scenario,RFC5026,October 2007 Internet Key Exchange (IKEv2) Protocol,RFC4306,December 2005 The Extensible Authentication Protocol-Internet Key Exchange Protocol version 2 (EAP-IKEv2) Method, RFC5106, January 2008
しかしながら、上記従来の技術においては、UE1が既に接続済みのPGW5(T−PGW5bに相当)と最終的に接続を完了するまでに、多大な時間を要する。これは、暗号認証鍵の生成処理に多大な時間を要するBS処理を、本来接続を意図しないPGW5(I−PGW5aに相当)との間で実施しなければならないことに起因するものである。
また、従来の技術においては、多大な時間を要するほかに、UE1が既に接続済みのPGW5(T−PGW5bに相当)と最終的に接続を完了するまでに、多大なメッセージ数を要する。これは、本来接続を意図しないPGW5(I−PGW5aに相当)が、UE1に本来接続を所望するPGW5(T−PGW5b)のアドレスを取得してから、UE1に送信するまでに多大な数のメッセージのやりとりをしていることに起因するものである。これにより、本来接続を意図しないPGW5(I−PGW5a)とやりとりしたメッセージが無駄になってしまい、無駄になったメッセージ分だけネットワークに負荷をかけてしまうことになる。
上記問題に鑑み、本発明では、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)が割り当てられた場合であっても、UEが、システム内のリソース消費を抑えながら、かつ短時間で所望のPGW5への接続切り替えを行えるようにするゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末を提供することを目的とする。
上記の目的を達成するため、本発明のゲートウェイ接続方法は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせるステップと、
前記第2のゲートウェイが、前記移動端末の収容状況を確認するステップと、
前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信するステップと、
前記第2のゲートウェイが、前記移動端末に待機指示を送信するステップと、
前記第1のゲートウェイが、前記移動端末に接続処理を開始するステップとを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGW5と短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明のゲートウェイ接続制御システムは、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせ、
前記第2のゲートウェイが、前記移動端末の収容状況を確認し、
前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信し、
前記第2のゲートウェイが、前記移動端末に待機指示を送信し、
前記第1のゲートウェイが、前記移動端末に接続処理を開始することによって、
前記移動端末を所望のゲートウェイに接続させるよう構成されている。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGW5が移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明の移動端末は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
検出された前記第2のゲートウェイに前記移動端末の収容状況を問い合わせる手段と、
前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、待機指示を前記第2のゲートウェイから受信する手段と、
前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、前記第2のゲートウェイから前記第1のゲートウェイに接続指示が送信され、前記第1のゲートウェイが前記接続指示に基づいて開始した前記移動端末との間の接続処理を行う手段とを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGW5が移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明のゲートウェイ接続方法は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換するステップと、
前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知するステップと、
前記移動端末が、前記第1のゲートウェイへの接続処理を開始するステップと、
前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得するステップと、
前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するステップとを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
また、上記の目的を達成するため、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換し、
前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知し、
前記移動端末が、前記第1のゲートウェイへの接続処理を開始し、
前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得し、
前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するよう構成されている。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
また、上記の目的を達成するため、本発明の移動端末は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換する手段と、
前記鍵情報の交換完了後、前記第2のゲートウェイから前記第1のゲートウェイのアドレスを受信し、前記第1のゲートウェイへの接続処理を開始する手段と、
前記相互認証によって作成された前記鍵情報を再利用して、前記鍵情報を前記認証サーバから取得した前記第1のゲートウェイへ接続する手段とを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
本発明によれば、複数のCoAを使用している移動端末のCoAを管理するPGWを確実かつ迅速に統一できるようになり、その結果、移動端末は、複数のCoAを使用した通信における利益を確実かつ迅速に享受できるようになる。また、本発明によれば、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。また、本発明によれば、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
本発明の第1〜第4の実施の形態並びに従来の技術に共通する通信システムの構成の一例を示す図 本発明の第1の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するためのシーケンスチャート 本発明の第1〜第4の実施の形態における移動端末(UE)の構成の一例を示す図 本発明の第1の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第1の実施の形態において、移動端末(UE)がPGW(I−PGW)に送信するIKE_AUTH Requestメッセージのフォーマット例を示す図 本発明の第1の実施の形態において、PGW(I−PGW)が移動端末(UE)に送信する応答メッセージであるIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第1の実施の形態において、PGW(I−PGW)がAAAサーバに送信するHome Prefix確認要求メッセージの一例を示す図 本発明の第1の実施の形態において、AAAサーバがPGW(T−PGW)に送信するHome Prefix確認要求返信メッセージの一例を示す図 本発明の第1の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信する第1のIKE_SA_INITメッセージの一例を示す図 本発明の第1の実施の形態において、移動端末(UE)がPGW(T−PGW)に送信する第2のIKE_SA_INITメッセージの一例を示す図 本発明の第1〜第4の実施の形態におけるPGWの構成の一例を示す図 本発明の第1の実施の形態におけるPGWの処理フローの一例を示すフローチャート 本発明の第1〜第4の実施の形態におけるAAAサーバの構成の一例を示す図 本発明の第1の実施の形態におけるAAAサーバの処理フローの一例を示すフローチャート 従来の技術における動作の一例を説明するためのシーケンスチャート 本発明の第2の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するためのシーケンスチャート 本発明の第3の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第1のシーケンスチャート 本発明の第3の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第2のシーケンスチャート 本発明の第3の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第3の実施の形態において、移動端末(UE)がPGW(T−PGW)に送信するIKE_AUTH Requestメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信するIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第4の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信するIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、PGW(T−PGW)がAAAサーバに送信するAuthentication-Requestメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、AAAサーバがPGW(I−PGW/T−PGW)に送信するAuthentication-Answerメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、AAAサーバがPGW(T−PGW)に送信するBS_Identity通知メッセージのフォーマット例を示す図 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第1のシーケンスチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第2のシーケンスチャート 本発明の第4の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのI−PGWとしての処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのT−PGWとしての処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第3のシーケンスチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第4のシーケンスチャート 本発明の第4の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのT−PGWとしての処理フローの一例を示すフローチャート
以下、図面を参照しながら、本発明の第1〜第4の実施の形態について説明する。まず、図1を参照しながら、本発明の第1〜第4の実施の形態に共通するシステム構成について説明する。図1は、本発明の第1〜第4の実施の形態に共通するシステム構成の一例を示す図である。図1に図示されている通信システムは、少なくとも、UE1、UE1が接続するコアネットワーク4、UE1を収容しUE1のホームプレフィクスやホームアドレス、位置情報(CoA)などを管理しているT−PGW5b、UE1のコアネットワーク4に対するアクセス認証を行うAAAサーバ8a、UE1が接続しているT−PGW5aの識別子(identity)やAPNを管理保存しているHSS8b、UE1からの要求に応じてPGW5のアドレスを提供するDNSサーバ9、3GPPアクセスネットワーク2(以下、3Gアクセス2とも呼ぶ)、Non−3GPP(非3GPP)アクセスネットワーク3(以下、N3Gアクセス3とも呼ぶ)を有している。
UE1は、少なくとも2つ以上の通信インタフェースを持ち、一方は3Gアクセス2、もう一方はN3Gアクセス3に接続することが可能である。なお、複数の通信インタフェーは、同時に3Gアクセス2に接続したり、あるいは、N3Gアクセス3に接続したりするものであってもよい。UE1は、各アクセスネットワーク(3Gアクセス2、N3Gアクセス3)を介してコアネットワーク4に接続し、I−PGW5a、T−PGW5bのいずれにもアタッチすることができる。また、UE1は、少なくともN3Gアクセス3を介してDNSサーバ9に接続可能である。UE1は、3Gアクセス2からDNSサーバ9に接続することも可能であるが、N3Gアクセス3経由で接続可能なDNSサーバ9とは異なるDNSサーバ9が3Gアクセス2に配備される場合もあり、3Gアクセス2経由のDNS問い合わせとN3Gアクセス3経由のDNS問い合わせとでは、必ずしも同一の結果が得られるとは限らない。
また、3Gアクセス2には、例えば、サービングGW(Serving GW)やMME、SGSN、GGSNなどの3GPPシステムに固有の装置が配備されており、UE1がPGW5に接続するための機能をサポートしているが、図1では図示省略する。また、N3Gアクセス3においても、UE1がPGW5に接続するために必要となる機能をサポートする通信ノード(UE1にCoAを配布するアクセスルータやMAGなど)が配備されているが、これらの通信ノードも図1では図示省略する。
上記の構成を有する通信システムにおいて、UE1は、3Gアクセス2とコアネットワーク4を介してT−PGW5bとの接続を確立しているものとする。ここで、3Gアクセス2経由の接続においては、例えばPMIP(上記の非特許文献5を参照)が使用されるため、UE1はT−PGW5bのアドレスを知り得ない(非特許文献1を参照)。一方で、HSS8bにおいては、適正なUE1の接続管理とネットワークの状態管理を目的として、UE1の識別子と共にT−PGW5bのアドレスをデータベース管理している。
<第1の実施の形態>
以下、本発明の第1の実施の形態におけるシステム動作の一例について、図2を用いて詳しく説明する。図2は、本発明の第1の実施の形態におけるシステム動作の一例を説明するためのシーケンス図である。図2には、少なくともUE1、UE1がN3Gアクセス3にアタッチした際にDNSサーバ9によって提示されるI−PGW5a、UE1が3Gアクセス2経由で接続済みのT−PGW5b、UE1のコアネットワーク4に対するアクセス認証処理を実施するAAAサーバ8a、UE1のサブスクリプション情報などを保持管理するHSS8bによる処理シーケンスの一例が図示されている。
UE1は、新規接続あるいはハンドオーバのためにN3Gアクセス3にアタッチし、コアネットワーク4を介してPGW5とMIPv6(又は、DSMIP)により接続することを決定する。まずUE1は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNや、PGW5を識別するためのHA−APNなどから、標準的な方法(例えば、上記の非特許文献6などに記載されている方法)により、ホームエージェント名(FQDN:Fully Qualified Domain Name)を構築し、DNSサーバ9に問い合わせる。DNSサーバ9は、適切なPGWアドレスをUE1に返信する(ステップS3001:PDN GW探索)。UE1は取得したPGWアドレス宛に、BS処理を開始する。具体的には、ステップS3001で取得したPGWアドレスに対してIKE_SA_INIT手順を実施する(ステップS3002:IKE_SA_INIT)。
なお、ここでは、UE1がステップS3001において、既に接続済みのT−PGW5bとは異なるI−PGW5aのアドレスを取得し、BS処理もUE1とI−PGW5a間で開始されるものとする。
ここでUE1は、既に接続済みのT−PGW5bとの接続を望んでいるが、DNSサーバ9によって提示されたPGWアドレスがT−PGW5bのものであるかどうかの確認を取ることができない。なぜなら、3Gアクセス経由の接続は例えばPMIPを用いるものであり、UE1はT−PGW5bのアドレスを知り得ないためである。またUE1は、DNSによるPGWアドレス取得においては、時折所望のPGWアドレスが得られない場合があることを知っている。さらには、N3Gアクセス3においては、それ以外にPGWアドレス(T−PGW5bのアドレス)を取得する手段がないことが明らかであることから、ステップS3002におけるIKE_SA_INITに続けて実施するIKE認証処理の開始時に、BS処理を開始しているPGW5(ここではI−PGW5a)が所望のPGW5(すなわちT−PGW5b)であるかどうかの確認を依頼する。
具体的には、UE1は、ステップS3002のIKE_SA_INIT手順完了後に送信するIKE_AUTH Requestメッセージに、UE1が保持する(3Gアクセス2経由の接続時に割り当てられた)ホームプレフィクス(Home Prefix)を付加して送信する(ステップS3003:IKE_AUTH Request)。I−PGW5aは、IKE_AUTH Requestメッセージを受信すると、そのメッセージからホームプレフィクスを抽出し、自ノード内のバインディングキャッシュに既に登録されているホームプレフィクスであるかどうか(収容状況)を確認する(ステップS3004:収容状況確認)。
図5Aは、図2のステップS3003においてUE1がI−PGW5aに送信するIKE_AUTH Requestメッセージのフォーマット例を示す図である。UE1は、従来の標準的なIKE_AUTH Requestメッセージ501に加えて、Home Prefixフィールド502を設け、その中にUE1が保持するホームプレフィクスを挿入することでホームプレフィクスを通知することができる。また、標準的なIKE_AUTH Requestメッセージにおいて、MIP6_HOME_PREFIX属性をセットしたConfiguration Payloadにホームプレフィクスを記載することで、I−PGW5aにホームプレフィクスを通知してもよい。
また、IKE_AUTH Requestメッセージにホームプレフィクスを付加することが、収容状況の確認依頼を暗示しているが、さらに、IKE_AUTH Requestメッセージにホームプレフィクスを付加するとともに収容状況確認フラグ(図5Aには不図示)も付加して、I−PGW5aに対して、明示的に収容状況の確認を依頼してもよい。これにより、I−PGW5aは確実に自ノードで管理するバインディングキャッシュにおけるUE1の収容状況を確認する処理を行い、より確実な結果をUE1に通知することができる。また、収容状況確認フラグを付加することにより、UE1を収容するPGW5は個別のものだが(T−PGW5aとI−PGW5b)、各PGW5でUE1に配布管理するホームプレフィクスは同一のもの、というオペレーション下においても、同一のPGW5(T−PGW5b)に接続を統合することができる。
なお、ここでは、ステップS3001において、UE1が既に接続済みのT−PGW5bとは異なるI−PGW5aのアドレスを取得することを前提としているが、UE1が既に接続済みのT−PGW5のアドレスを取得する場合も考えられる。この場合には、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されており、UE1が接続しているPGW5がI−PGW5aであることになるので(すなわちI−PGW5aとT−PGW5bが同一)、引き続き所定のBS処理を実施する。すなわち、図12のステップS9003のIKE_AUTH Requestメッセージ受信以降の処理を実施する。
UE1が送付したホームプレフィクスがバインディングキャッシュに登録されていない場合、I−PGW5aはUE1が接続を所望しているT−PGW5bではないため、I−PGW5aは、IKE_AUTH Requestメッセージに対する応答メッセージ(例えばIKE_AUTH Responseメッセージなど)に、収容状況結果(判定結果)、本BSの実施を識別するための識別子UE_BS_Identity、動作指示を含めてUE1に送信する(ステップS3005:IKE_AUTH_Response)。判定結果には、UE1のホームプレフィクスが自ノードのバインディングキャッシュに存在したか否かの収容状況を記載する。UE_BS_Identityは、後述するT−PGW5bからのBS処理を正しく受信するための情報であり、例えばI−PGW5aが指定した数値などであるが、その応用については後述する。なお、UE_BS_IdentityとT-PGW_BS_Identityの両BS_Identityを使用せずに、T−PGW5bからUE1にIKE_SA_INIT_1メッセージを送信することも可能であり、これによって、I−PGW5a、T−PGW5b、UE1間でUE_BS_IdentityやT-PGW_BS_Identityの転送が不要となり、通信リソースの有効活用を図る方法もある。動作指示には、後述するT−PGW5bからのBS処理が実施されるので本BSが失敗終了しても、再接続や処理完了を行わないよう促す指示子を格納する。
ここでI−PGW5aが、3GPP規格標準に基づくGTP(GPRS Tunneling Protocol)にも対応している場合、上記バインディングキャッシュに対する収容状況確認に加えて(あるいはバインディングキャッシュに対する確認は行わずに)、GTPに基づく管理テーブルを確認してもよい。これにより、UE1の収容状況をもれなく検出して、誤検出を防ぐことができる。
また、さらには、UE1とT−PGW5bの3Gアクセス経由の接続には、PMIPあるいはGTPが用いられていると考えることができる。一方、今回のN3Gアクセス経由の接続では、MIPあるいはDSMIPが用いられるため、I−PGW5aに向けてブートストラッピング処理が開始されている。コアネットワーク4の運用形態によっては、PMIPあるいはGTPで用いられるUE1の位置管理を行うためのデータベース(例えばPMIPバインディングキャッシュ)と、DSMIP/MIPで用いられる同UE1の位置管理を行うためのデータベース(例えばMIPバインディングキャッシュ)はそれぞれ個別に管理運用されることも想定される。さらには、それぞれ(GTP、PMIP、DSMIP/MIP)の位置管理機能が論理的あるいは物理的に異なる装置で実施されることも想定される。そのような場合、I−PGW5aは、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されているかどうかをチェックする際に、DSMIP/MIPで用いられる管理データベース(MIPバインディングキャッシュ)の確認だけではなく、I−PGW5aが管理する(あるいは、I−PGW5aの管轄対象である他ノードが管理する、さらにはI−PGW5aと同じドメインに配置された他ノードが管理する)PMIPバインディングキャッシュや、GTP用の位置管理データベースの確認も行うことが望ましい。
図5Bは、図2のステップS3005においてI−PGW5aがUE1に送信する応答メッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。I−PGW5aは、従来の標準的なIKE_AUTH Responseメッセージ601に加えて、判定結果フィールド602、動作指示フィールド603、UE_BS_Identityフィールド604を設け、それぞれ所定の値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加して判定結果を記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
なお、I−PGW5aは、標準的なホームプレフィクス割り当て機構に従って、UE1が要求したものと異なるホームプレフィクスを割り当てることが判明したことを条件に、上記のUE1が送付したホームプレフィクスがバインディングキャッシュに登録されていない場合と同等の動作を行ってもよい。
本応答メッセージを受信したUE1は、判定結果フィールドを参照してI−PGW5aがUE1の所望するPGW5ではない可能性が高いことを確認するとともに、動作指示フィールドを参照して引き続き所望のT−PGW5bからBS処理が開始されることを確認し、UE_BS_Identityフィールドに記載された値(UE_BS_Identity)を保存する。ここで、本BSが失敗終了と判定された場合でも、後続して所望T−PGW5bからのBS処理が開始することが明らかとなったので、他のPGW5の探索や再接続を行ったり、BS処理を完了してスリープモードに入ったりしないよう制御する。なお、後にT−PGW5bからのBS処理要求を受信できることが明らかであれば、消費電力削減のためスリープモードに遷移してもよい。また、UE1は、判定結果からUE1が所望するPGW5に接続していないことが確認できた時点で、引き続き所望のT−PGW5bからのBS処理が開始されると判断してもよく、これにより動作指示フィールドを省略して、通信帯域の有効活用を図ることができる。
さらにI−PGW5aは、Home Prefix確認要求メッセージをAAAサーバ8aに送信する(ステップS3006:Home Prefix確認要求)。Home Prefix確認要求メッセージには、UE1のUser ID(NAIなど)、ホームプレフィクス(Home Prefix)、UE1に通知したものと同一のUE_BS_Identity、UEアドレス(CoA)、転送指示などの情報が少なくとも含まれる。転送指示は、本メッセージを受けてUE1のホームプレフィクスを管理保持するPGW5(T−PGW5b)が判明した際に、T−PGW5bにUE1宛のBS処理を実施させることをAAAサーバ8aに対して指示するものであり、特にHome Prefix確認要求メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いる場合などに有効である。
なお、I−PGW5aは、Home Prefix確認要求メッセージをAAAサーバ8aへ送信することでT−PGW5bにBS指示を送信する以外に、I−PGW5aがT−PGW5bを含む装置全てにHome Prefix確認要求メッセージをブロードキャストしてもよい。同様に、I−PGW5aがT−PGW5bのアドレスを知っていた場合や、いくつかT−PGW5bのアドレスに対して見当がついている場合には、Home Prefix確認要求メッセージをユニキャストやマルチキャスト送信してもよい。
なお、I−PGW5aは、本発明によるIKE_AUTH Responseメッセージ(図2のステップS3005で送信)とHome Prefix確認要求メッセージ(図2のステップS3006で送信)を任意の順番で送信してもよい。すなわち、上記の説明では、IKE_AUTH Responseを先に、Home Prefix確認要求メッセージを後に送信しているが、その逆であってもよく、例えば、ネットワーク遅延に鑑みて送信順序を決定してもよい。例えば、ネットワーク側装置による処理負荷が高いことに鑑みてHome Prefix確認要求を先に送信してもよく、あるいは、T−PGW5bからのBS処理がIKE_AUTH Responseより先行してUE1に伝送されてしまわないように、IKE_AUTH Responseを先に送信して、UE1の状態遷移が正常に動作するように配慮してもよい。
図6Aは、図2のステップS3006においてI−PGW5aがAAAサーバ8aに送信するHome Prefix確認要求メッセージの一例を示す図である。I−PGW5aは、宛先アドレスフィールド1001にAAAサーバ8aのアドレス、ソースアドレスフィールド1002に自アドレス、転送指示フィールド1003に転送を指示する値(例えば“1”やTRUEなど)、Home Prefixフィールド1004にUE1のホームプレフィクス値、UE_BS_Identityフィールド1005にUE1に通知したものと同一の UE_BS_Identity値、UEアドレスフィールド1006にUE1のアドレス(CoA)を記載してAAAサーバ8aに送信する。なお、Home Prefix確認要求メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、Home Prefix確認要求メッセージに、UE1のUser IDを含めてもよく、これによりUE1が接続しているT−PGW5bの探索をより確実に行うことができるとともに、UE1に対して本発明による切り替え処理を実施することの可否をUE1の認証とからめて制御することが可能となり、オペレータにおいては新たな課金対象サービスと捉えることができる。
Home Prefix確認要求メッセージを受信したAAAサーバ8aは、User ID、Home Prefixなどの識別子を基に、UE1を収容しているT−PGW5bを検出し、検出したT−PGW5bに対してHome Prefix確認要求返信メッセージを送信する(ステップS3007:Home Prefix確認要求返信)。
Home Prefix確認要求返信メッセージには、少なくともUser ID、UEアドレス、UE_BS_Identity、BS指示子を記載する。UEアドレスには、Home Prefix確認要求メッセージに記載されていたものと同一のUE1のアドレスを記載する。またBS指示子には、UEアドレスに記載したUE1のアドレスに対してBS処理を開始することをT−PGW5bに指示する値を記載する(例えば“1”やTRUEなど)。
また、図6Bは、図2のステップS3007においてAAAサーバ8aがT−PGW5bに送信するHome Prefix確認要求返信メッセージの一例を示す図である。AAAサーバ8aは、宛先アドレスフィールド1101にT−PGW5bのアドレス、ソースアドレスフィールド1102に自アドレス、BS指示フィールド1103にBS処理開始を指示する値(例えば“1”やTRUEなど)、UEアドレスフィールド1104にUE1のアドレス(Home Prefix確認要求メッセージで取得した値をコピー)、UE_BS_Identityフィールド1105にHome Prefix確認要求メッセージで取得した値を記載してT−PGW5bに送信する。また、Home Prefix確認要求メッセージに、UE1のUser IDを含めてもよく、これによりT−PGW5bにおいてUE1の識別をより確実に行うことができる。
なお、UEアドレスには、UE1が3Gアクセス2で取得したアドレス、すなわちホームアドレスあるいはホームプレフィクスを記載してもよい。これは、UE1が記載するものであってもよいし、Home Prefix確認要求メッセージを受けたとき、あるいはHome Prefix確認要求返信メッセージを送信するときに、AAAサーバ8aやHSS8bが記載するものであってもよい。これにより、UE1が既に接続済みの3Gアクセス2経由でより確実に後述するBS処理を開始することができる(例えば、後述するNAT(Network Address Translation)がN3Gアクセス3に配備されているような場合に有効)。ここで、UEアドレスとしてホームプレフィクスが記載されていた場合、T−PGW5bは、そのホームプレフィクスの所定のアドレスに対してユニキャストやマルチキャスト、あるいはエニキャストでBS処理を開始してもよく、ホームプレフィクス全体にブロードキャストを行ってBS処理を開始してもよい。
なお、I−PGW5aは、Home Prefix確認要求メッセージをHSS8bに送信してもよい。この場合、AAAサーバ8aがUE1の状態をHSS8bから取得する必要がなくなり、処理時間の削減を図ることができる。Home Prefix確認要求メッセージをHSSサーバ8bに送信する場合、上記の説明においてAAAサーバ8aが実施する動作はHSS8bにおいて実施され、Home Prefix確認要求返信メッセージもHSS8bからT−PGW5bに直接あるいは間接ノードを介して転送される。
また、I−PGW5aは、Home Prefix確認要求メッセージを、I−PGW5aが送信可能な範囲に送信してもよく、あるいは、所定範囲のPGW5に対してブロードキャスト送信、マルチキャスト送信、ユニキャスト送信、エニキャスト送信(特にはUE1のホームプレフィクスを基に構築したホームエージェント・エニキャストアドレス宛に送信)のいずれを行ってもよい。これにより、AAAサーバ8aやHSS8b経由のメッセージ転送を削減でき、AAAサーバ8a、HSS8bの負荷を低減させることができるとともに、特にユニキャスト通信を行う場合は、システム全体としての処理メッセージ数を削減することができる。
I−PGW5aがT−PGW5bに直接指示を送信する際は、I−PGW5aが事前にAAAサーバ8aからT−PGW5bのアドレスを取得する。このとき、UE1のためのT−PGW5bのアドレス取得であることを理由に、AAAサーバ8aにおいてUE1に対する認証処理が実施されるかもしれない。また、直接指示のためのメッセージは、Home Prefix確認要求メッセージであっても、Home Prefix確認要求返信メッセージであってもよい。
このように、I−PGW5aがAAAサーバ8aやHSS8b、あるいは直接T−PGW5bにHome Prefix確認要求メッセージ(場合によってはHome Prefix確認要求返信メッセージ)を送信することにより、それ以降、I−PGW5aはUE1に関する処理を行う必要がなくなる。すなわち、UE1に関する状態やリソースを開放することが可能となり、直ちに他の端末に対する処理を開始できるようになる。このように、本発明では早期に所望のPGW5への切り替えを検出、実施可能とできるので、PGWリソースの有効活用を図ることができる。ちなみに、従来技術においては、図12のステップS9017を完了しないと、I−PGW5aは、I−PGW5aのリソース並びにUE1に対する状態を解放することができなかった(正確には、ステップS9017の後で、UE1とI−PGW5aとの間で確立したSAを終了させ、解放する必要がある)。
Home Prefix確認要求返信メッセージを受信したT−PGW5bは、User IDなどから自身が収容しているUE1であることを確認し、さらにBS指示子がUE1宛のBS処理を開始する指示であることを確認し、第1のIKE_SA_INITメッセージをUEアドレス宛に送信してBS処理を開始する(ステップS3008:IKE_SA_INIT_1)。第1のIKE_SA_INITメッセージには、T−PGW5bが生成した本BSの実施を識別するための識別子T-PGW_BS_Identityが少なくとも含まれる。
図7Aは、図2のステップS3008においてT−PGW5bがUE1に送信する第1のIKE_SA_INITメッセージの一例を示す図である。T−PGW5bは、従来の標準的なIKE_SA_INITメッセージ2001(InitiatorがResponderに最初に送信するIKE_SA_INITメッセージ)に続けて、T−PGW用BS識別子フィールド(T-PGW_BS_Identityフィールド)2002を設け、その中にT−PGW5bが取得した本BSの実施を識別するためのT−PGW用BS識別子T-PGW_BS_Identityを少なくとも記載して送信する。
T−PGW5bからの第1のIKE_SA_INITメッセージを受信したUE1は、そのメッセージのT-PGW_BS_Identityフィールドの値を確認し、先にI−PGW5aから取得したUE_BS_Identity値(ステップS3005で受信したIKE_AUTH_Responseに含まれているUE_BS_Identity)を用いて後述する所定の検証を行い、検証結果が成功であった場合に要求するT−PGW5bからのBS処理要求であることを認識し、応答するIKE_SA_INITメッセージを送信する(ステップS3009:IKE_SA_INIT_2)。このとき、UE1は、送信するIKE_SA_INITメッセージに、先に取得したUE_BS_Identityを記載して送信する。これにより、本BS処理のトリガを要求したUE1からの応答であることをT−PGW5bに提示して、正しいノード間でBS処理が実施されていることを確認することができる。
図7Bは、図2のステップS3009において、UE1がT−PGW5bに送信する第2のIKE_SA_INITメッセージの一例を示す図である。UE1は、従来の標準的なIKE_SA_INIT(ResponderがInitiatorに最初に送信するIKE_SA_INITメッセージ)に続けて、先にI−PGW5aから取得した本BSの実施を識別するためのUE用BS識別子UE_BS_Identityを少なくとも記載して送信する。なお、ステップS3008及びS3009でUE1とT−PGW5bとが交換するIKE_SA_INITメッセージは、各々が送信するBS_Identity(T-PGW_BS_Identity及びUE_BS_Identity)を正しく交換できれば、いずれのIKE_SA_INITメッセージを用いてもよい。
上記BS_Identityを用いて、正しく相互認証あるいは相互確認が取れたことにより、以降のBS処理(IKE_SA_INITの残りとステップS3010以降の処理)は、従来の標準的な処理を実施することで、UE1とT−PGW5bとの間のSA確立を達成することができる。
なお、ステップS3008に示すT−PGW5bからのIKE_SA_INIT_1メッセージが受信できない場合のリカバリを容易にすることを目的として、UE1はT−PGW5bからのIKE_SA_INIT受信待ちタイマをセットしてもよい。タイマは、例えばUE1が本発明によるIKE_AUTH ResponseメッセージをステップS3005において受信したときに所定の値にセットして起動する。タイマ値はUE1が任意に設定してもよく、IKE_AUTH Responseメッセージなどを介してI−PGW5aなどのネットワーク装置から指定されてもよい。
次に、UE_BS_IdentityとT-PGW_BS_Identityの使用方法について、詳しく説明する。UE_BS_Identity、T-PGW_BS_Identityとして使用される情報は、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレスなど、UE1及びPGW5によって認識可能な値(符号)であればこれらに限定されない。
図2に図示されているシーケンスでは、UE_BS_IdentityがI−PDW5aによって生成され、UE1へ送信される(図2のステップS3005)とともに、AAAサーバ8bを経由するか、あるいは直接T−PGW5bへ送信される(図2のステップS3006)。T−PGW5bは、受信したUE_BS_Identityに対応するT-PGW_BS_Identityを生成し、生成されたT-PGW_BS_Identityを含むIKE_SA_INIT_1メッセージをUE1へ送信する(図2のステップS3008)。IKE_SA_INITメッセージを受信したUE1は、あらかじめI−PGW5aから取得したUE_BS_Identity(図2のステップS3005で受信したIKE_AUTH Responseに含まれるUE_BS_Identity)に対応するT-PGW_BS_Identityを導出し、T−PGW5bから受信したT-PGW_BS_Identity(図2のステップS3008で受信したIKE_SA_INIT_1に含まれるT-PGW_BS_Identity)と比較する。両者を比較した結果が同一であった場合には、UE1は、Home Prefixを含むIKE_SA_INITメッセージをI−PGW5aへ送信した結果行われたT−PGW5bからのBS処理要求であることを認識することが可能となる。なお、UE_BS_Identityに対応するT-PGW_BS_IdentityをUE1が導出する方法としては、UE_BS_Identityから求めたハッシュ値をT-PGW_BS_Identityとして用いてもよいし、UE_BS_IdentityとT-PGW_BS_Identityとの対応関係を示すテーブル情報を用いてもよい。この場合、テーブル情報は、3Gネットワーク内の情報サーバなどから取得することもできるし、オペレータによってUE1にあらかじめ設定されていてもよい。また、UE1は情報サーバに問い合わせることで、UE_BS_Identityに対応するT-PGW_BS_Identityを取得してもよい。ハッシュ関数を用いた場合は、UE_BS_Identity、T-PGW_BS_Identity共に高度な暗号化アルゴリズムを用いているため、セキュリティを高めることができる。
なお、上述の説明では、UE_BS_IdentityがI−PGW5aによって生成され、T-PGW_BS_IdentityがT−PGW5bによって生成されているが、例えば、UE_BS_Identity及びT-PGW_BS_Identityが両方共、I−PGW5aによって生成されてもよい。この場合、I−PGW5aは、UE_BS_IdentityをUE1へ送信するとともに、そのUE_BS_Identityに対応したT-PGW_BS_IdentityをAAAサーバ8b経由又はあるいは直接T−PGW5bへ送信する。T−PGW5bは、受信したT-PGW_BS_Identityを含むIKE_SA_INIT_1メッセージをUE1へ送信することで、UE1が、T−PGW5bからのBS処理要求かどうかを確認できるようになる。
また、UE_BS_Identity及び/又はT-PGW_BS_IdentityをI−PGW5a以外の装置、例えばUE1やT−PGW5b、AAA/HSS8が生成してもよく、各BS_Identityが異なる装置によって生成されてよい。
また、UE_BS_IdentityとT-PGW_BS_Identityを同じ値にして、BS処理を実施することも可能である。その場合、UE1は、あらかじめI−PGW5aから取得したBS_Identity(図2のステップS3005で受信したIKE_AUTH Responseに含まれるBS_Identity)を、IKE_SA_INITメッセージから取得したBS_Identity(図2のステップS3008で受信したIKE_SA_INIT_1に含まれるBS_Identity)と比較し、同一であれば、T−PGW5bからのBS処理要求であることを認識する。T−PGW5bも同様に、AAA/HSS8から通知されたBS_Identityと、UE1から通知されたBS_Identityを比較し、同一であれば、所望のUE1からのレスポンスであることを認識する。また、UE_BS_IdentityとT-PGW_BS_Identityの両BS_IdentityをUE1とT−PGW5bに送ることで、UE1がUE_BS_Identity に対応するT-PGW_BS_Identityを知ることができるが、上述したようにUE1とPGW5が任意のBS_Identityから共通のBS_Identityを取得できるテーブルを保持しているならば、両BS_Identityを送る必要はない。同様に、UE1やPGW5以外の装置が、上記テーブルを保持しており、UE1とPGW5がアクセス可能であれば、両BS_Identityを送る必要はない。なお、上記テーブルではなく、オペレータの命令やユーザによる操作によって変更不可能な固定の値を、UE1やPGW5とは関係なくBSの識別子として設定してもよい。
また、UE_BS_Identity及び/又はT-PGW_BS_Identityの生成方法としては、高度な暗号化アルゴリズム以外に、IKE_SA_INITメッセージで生成した共有鍵の利用や、任意の関数(例えば、ランダム関数など)を用いる方法、既存の値を利用するためにインデックスとして指定する方法が挙げられる。以下に、各使用方法について詳しく説明する。
IKE_SA_INITメッセージで生成した共有鍵の利用する方法を用いた場合、UE1とI−PGW5aとの間で既知な値を共有するため、新たにBS_Identityを生成する必要がない。また、共有鍵をUE_BS_Identityとし、T-PGW_BS_Identityは新たに生成してもよい。このように、生成済みの共有鍵を利用した場合には、新たにBS_Identityを生成する時間が短縮される。
また、任意の関数(例えば、ランダム関数など)を用いて、UE_BS_Identity及び/又はT-PGW_BS_Identityを生成する方法が採用されてもよい。ハッシュ関数などの高度な暗号化アルゴリズムを用いることにより、BS_Identity生成に要する時間が短縮される。
また、既存の値を利用するためにインデックスとして指定する方法を採用する場合には、一例として、UE_BS_Identityに‘H’を指定して送信すると、UE1やT−PGW5bなどが、UE_BS_Identityは“HPLMN ID”であると判断できるように仕様を定義しておく。本手法は、BS_Identityを生成しているわけでないので、セキュリティ面は上記案と比べると低いが、実装の容易性、処理時間の面では優れている。
なお、上記した全使用方法はUE_BS_IdentityとT-PGW_BS_Identityの両方に適用する以外に、各BS_Identityで異なる使用方法を用いてもよい。各使用方法で共通して守らなければならないことは、UE1とT−PGW5bが、両BS_Identityを確認できることである。
なお、UE1が接続するN3Gアクセス3において、NAT(Network Address Translator)が配備されている場合、T−PGW5bから開始されるBS処理の第1のIKE_SA_INITメッセージ(図2のステップS3008におけるIKE_SA_INIT_1メッセージ)がUE1に到達せず、結果的にT−PGW5bとの接続に失敗するという問題が起こり得る。しかしながら、従来のBS処理方法において、UE1はBS処理の初期段階でNATの有無を検出することができる(例えば、非特許文献7を参照)。また同様に、I−PGW5aにおいても同段階においてNATの有無を検出することができる。したがって、本問題は次の2通りの方法によって解決することができる。
1つ目の方法では、N3Gアクセス3にNATが配備されていることを検出したI−PGW5aは、Home Prefix確認要求メッセージに(例えば転送指示フィールドを利用するなどして)、T−PGW5bからのBS処理が3Gアクセス2経由で実施されるよう指示を含める。この指示は、Home Prefix確認要求返信メッセージに引き継がれ(例えばBS指示フィールドを利用するなどして)、T−PGW5bに転送される。このとき、I−PGW5a、AAAサーバ8a、HSS8bのいずれか(あるいは全てのノード)において、UEアドレスにUE1のホームプレフィクスを記載することにより、上記明示的な指示を不要とすることができ、処理並びにメッセージリソースの有効活用を図ることができる。また、上記明示的な指示を記載しておくことにより、UEアドレスにホームプレフィクスを記載する必要がなくなり、同様にリソースの有効活用を図ることができる。
T−PGW5bは、上記指示を受けてあるいはUEアドレスに記載されたホームプレフィクス宛にBS処理を開始する。なお、上記明示的な指示を受けたときは、UEアドレスに記載されたアドレスを参照することなく、自身が保持管理しているUE1のホームプレフィクス宛にBS処理を開始する。また、UE1のホームアドレスが明らかである場合は、ホームアドレスにBS処理を開始してもよい。なお、I−PGW5aは、NATを検出した際に、UE1に送信するIKE_AUTH Response(図2のステップS3005で送信されるIKE_AUTH Response)の中で、T−PGW5bからのBS処理が3Gアクセス2経由で来るので待機するよう通知しておいてもよい。これにより、UE1は、3Gアクセス2に接続する通信インタフェースがアイドルモードに遷移している場合は自発的にアクティブモードに遷移させるなどの処理を行って、T−PGW5bからのBS処理開始(具体的にはIKE_SA_INITメッセージ)を即座に受信できるよう準備しておくことができ、接続のさらなる高速化を図ることができる。
2つ目の方法では、NATが配備されていることを検出したUE1は、IKE_AUTH Request(図2のステップS3003)の中で、I−PGW5aに3Gアクセス2経由のBS処理開始を要求する。これを受けてI−PGW5aは、上述の1つ目の方法を実施する。
次に、本発明を実施するための移動端末(UE1)の構成について説明する。以下、図3を参照しながら、本発明の第1の実施の形態におけるUE1の構成について説明する。図3は、本発明の第1の実施の形態におけるUE1の構成の一例を示す図である。
図3において、UE1は、アクセスネットワーク(3Gアクセス2又はN3Gアクセス3)とそれぞれ接続して下位レイヤにおける通信処理を行う第1無線通信部101及び第2無線通信部102、第1及び第2無線通信部101、102の上位でIPなどのパケット通信処理を実施するパケット処理部103、UE1とPGW5との間のBS(ブートストラップ)処理を実施するBS処理部104、DNSサーバ9への問い合わせメッセージを送信し、その応答として受信した結果から所定のアドレス情報を取得するDNSクライアント処理部105、本発明における特徴的な処理を実施する接続制御部106、DSMIPやMIPv6に基づいてBU/BA交換などの移動管理処理をPGW5に対して実施するMIP処理部107を少なくとも有する。なお、第1及び第2無線通信部101、102は、3Gアクセス2、N3Gアクセス3のいずれに接続するものであってもよく、さらには一方の無線通信部(例えば、第1無線通信部101)が同時に3Gアクセス2とN3Gアクセス3に接続するものであってもよい。本発明の第1の実施の形態においては、一例として、UE1が2つの無線通信部を有し、一方の無線通信部(第1無線通信部101)が3Gアクセス2に、他方の無線通信部(第2無線通信部102)がN3Gアクセス3に接続するものとして説明する。
次に、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図4を用いて詳しく説明する。なお、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
図4は、本発明の第1の実施の形態におけるUE1の処理フローの一例を示すフロー図である。本発明による接続制御部106は、まずN3Gアクセス3へのアタッチ(接続)処理を開始するため、第2無線通信部102に接続開始を指示する(ステップS5002)。第2無線通信部102では、N3Gアクセス3における接続手順に従って、接続処理を実施する。N3Gアクセス3への接続が完了すると、N3Gアクセス3経由で接続するPGW5のアドレスを探索するため、DNSクライアント処理部105に探索開始を指示する(ステップS5003)。このとき、接続制御部106は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNやPGW5を識別するためのHA−APNなどから、標準的な方法により(例えば、非特許文献6に開示されている方法など)、ホームエージェント名(FQDN)を構築し、DNSクライアント処理部105に通知する。DNSクライアント処理部105では、通知されたホームエージェント名を記載したDNSクエリをパケット処理部103、第2無線通信部102経由でDNSサーバ9宛に送信する。また、その応答としてDNS応答を第2無線通信部102、パケット処理部103経由でDNSサーバ9から受信し、DNS応答から取得したPGWアドレスを接続制御部106に転送する。
ここで、接続制御部106は、既に第1無線通信部101経由(3Gアクセス2経由)でホームリンクに接続済みであること、DSMIPあるいはMIPv6に基づいて異なる接続リンクを確立してPGW5に接続しようとしていること、さらに接続先のPGWアドレスをDNSにより取得したこと、の3つの条件を満足する状況であるかを判定する(ステップS5004)。いずれか1つの条件でも満たさない場合には、接続制御部106は、取得したPGWアドレスに対して標準的なBS処理を開始するようBS処理部104に指示する。BS処理部104では、例えば図12のステップS9002からS9014に示すような標準的なBS処理を実施し(ステップS5040)、続けてPGW5(I−PGW5a)とDSMIPあるいはMIPv6に基づくBU/BA交換を実施する(ステップS5041)。
一方、すべての条件を満足する場合、接続制御部106は、取得したPGWアドレスに対して本発明に係るBS処理を開始するようBS処理部104に指示する。BS処理部104では、IKE SAを構築するための手順であるIKE_SA_INIT処理を、接続制御部106から通知されたPGWアドレス(I−PGW5aのアドレス)に対して開始する(ステップS5005)。IKE_SA_INIT処理が完了し、IKE SAが確立されると、BS処理部104は、ホームリンクに接続時に取得したホームプレフィクス(Home Prefix)をIKE_AUTH Requestメッセージに記載して送信する(ステップS5006)。これにより、IKE_AUTH Requestメッセージ送信先のPGW5に対して、自ノードの収容状況を確認させることができ、これから接続しようとしているPGW5が自身を既に収容しているものであるか、すなわちホームリンク経由で接続済みのPGW5であるかの確認を取ることができる。
なお、既に従来の標準的なIKE_AUTH Requestメッセージは、ホームプレフィクスを記載するためのフィールドを有しており、本発明においてもそのフィールドを活用することができる。ただし、その場合は、PGW5における処理の混乱(従来の標準的なBS処理と本発明によるBS処理を適切に区別して実施できなくなることによる混乱)を避けるため、収容状況の確認を指示するフラグや指示子を明示的に設けてもよい。なお、このようなフラグや指示子は、ホームプレフィクスを記載するフィールドを共有しない場合であっても明示的に設けることができる。
IKE_AUTH RequestメッセージはBS処理部104からパケット処理部103、第2無線通信部102を介してPGW5宛に送信される。PGW5は収容状況を確認した後、その応答としてIKE_AUTH ResponseメッセージをUE1に送信し、IKE_AUTH Responseメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送される(ステップS5007)。BS処理部104はIKE_AUTH Responseに記載されたパラメータ(少なくとも、判定結果、UE_BS_Identity、動作指示)を接続制御部106に通知し、接続制御部106において判定結果、動作指示について評価を行う(ステップS5008)。
判定結果が少なくとも失敗を示す値(例えば “0”、FALSEなどの符号)でない場合、接続制御部106は、BS処理部104に対して残りのBS処理を従来の標準的なBS手順に基づいて継続実行するよう指示する。BS処理部104は残りのBS処理、すなわち図12に示すステップS9008からS9014を実行し(ステップ5030)、続けてPGW5とDSMIPあるいはMIPv6に基づくBU/BA交換を実施する(ステップS5031)。
一方、判定結果が失敗を示す値であり、動作指示が“待機”を示す値(例えば“Wait”などの状態を示す符号)である場合、接続制御部106はIKE_AUTH Responseで通知されたUE_BS_Identityに対応するT-PGW_BS_Identityを独自に生成(例えばUE_BS_Identityを元データとしてハッシュ計算を行う、など)するか、あるいはUE_BS_Identityに対応するT-PGW_BS_Identityをデータベースから取得する(ステップS5010)。
なお、UE_BS_Identity並びにT-PGW_BS_Identityの詳細については、本発明に係る通信システムの説明した際に記載したので、ここでは説明を割愛する。なお、ここではUE_BS_IdentityとT-PGW_BS_Identityの双方が存在し、通信システム並びに移動端末がそれらの存在を前提として動作するものとして説明するが、先述したBS_Identityの使用方法に合わせて、その一方が定義されない場合であっても、UE1は適宜その動作を選択ないし修正できるものとする。
ここで、接続制御部106は、動作指示が“待機”であったことを受けて、自分が接続を所望するPGW5(T−PGW5b)からのBS処理が開始されることを察知し、外部からのIKE_SA_INITを受信できる状態にBS処理部104をセットする(ステップS5011)。このとき、接続制御部106は、BS処理部104が既に開始したPGW5(I−PGW5a)とのBS処理に関する状態、データをクリアあるいはリセットしてもよい。これにより、今後必要とされないI−PGW5aとの接続に関する状態やデータを保持しておく必要がなくなり、リソースの有効活用を図ることができる。また、T−PGW5bからのBS処理が結果的に失敗(オペレータによる判断、ネットワーク側リソース欠落などを原因とする)することに備えて、I−PGW5aとの接続に関する状態データをあえて保持しておいてもよく、これにより結果的にI−PGW5aと接続しなければならなくなった場合に、BS処理の途中から再開することができる(少なくともIKE SAは保持されており、IKE_AUTH Requestから実施することで十分である)。
やがてT−PGW5bにおいてUE1に対するBS処理が開始され、IKE_SA_INITの最初のメッセージ(図2ではステップS3008:IKE_SA_INIT_1として表記)がUE1に配送される。T−PGW5bからの最初のIKE_SA_INITメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送され、BS処理部104ではT−PGW5bからのIKE_SA_INITメッセージであることを確認すると、メッセージに含まれるT-PGW_BS_Identityを接続制御部106に転送する。接続制御部106では、取得したT-PGW_BS_Identityが、先にステップS5007で受信したIKE_AUTH Responseに記載されたUE_BS_Identityに基づいて生成あるいは取得したものと同じ(同じ値、同じ属性、所定の閾値内、所定の関数を経て同一性を検証、など)であるかを評価する(ステップS5012)。なお、図4に示すフローでは、IKE_SA_INITメッセージにT-PGW_BS_Identityが含まれており、IKE_AUTH Responseメッセージに記載されたUE_BS_Identityとの相関を判断することで評価を行う場合の処理について記載されているが、先述したBS_Identityの使用方法に応じた様々な方法によって、受信したIKE_SA_INITメッセージがT−PGW5bからのBS処理要求かどうかを判断することが可能である。
ステップS5012による処理で同じものである(相関を有する)と評価されなかった場合は、意図しないPGW5あるいは他ノードからのBS処理であると判断し、接続制御部106は、受信したIKE_SA_INITメッセージを破棄あるいはリジェクトするようBS処理部104に指示し、BS処理部104は指示に従ってメッセージを破棄あるいはリジェクトする(ステップS5020)。
一方、ステップS5012による処理で同じものである(相関を有する)と評価された場合は、応答として送信する第2のIKE_SA_INITメッセージ(図2のステップS3009で送信されるIKE_SA_INIT_2)にUE_BS_Identityを格納して送信するようBS処理部104に指示する(ステップS5013)。BS処理部104は、指示に従って、UE_BS_Identityを格納した第2のIKE_SA_INITメッセージをT−PGW5b宛に送信する。本IKE_SA_INITメッセージを受信したT−PGW5bは、メッセージに格納されたUE_BS_Identityを用いて、意図したUE1からの応答であるかを検証し、正しく検証が完了した場合には、以降のBS処理がT−PGW5bとの間で継続実行される(ステップS5014)。すべてのBS処理が完了すると、接続制御部106は、DSMIPあるいはMIPv6に基づくBU/BA交換をT−PGW5bと実施するようMIP処理部107に指示し、MIP処理部107がT−PGW5bとBU/BA交換を実施する(ステップS5015)。
次に、本発明を実施するためのPGW5の構成について説明する。以下、図8を参照しながら、本発明の第1の実施の形態におけるPGW5の構成について説明する。図8は、本発明の第1の実施の形態におけるPGW5の構成の一例を示す図である。
図8において、PGW5は、コアネットワーク4と接続して下位レイヤにおける通信処理を行う通信部201、通信部の上位でIPなどのパケット通信処理を実施するパケット処理部202、UE1とPGW5との間のブートストラップ処理を実施するBS処理部203、AAAサーバ8aへの問い合わせメッセージと、UE1へのBS指示を取得するAAAクラインアント処理部204、本発明における特徴的な処理を実施する接続制御部205、DSMIPやMIPv6に基づいてBU/BA交換などの移動管理処理をPGW5に対して実施するMIP処理部206を少なくとも有する。
次に、図8に図示されている構成を有するPGW5の処理フローについて、本発明における特徴的な処理を実施する接続制御部205に係る処理を中心に、図9を用いて詳しく説明する。なお、PGW5は、既に通信部201を介し、3Gアクセス2(ホームリンク)に接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5は、I−PGW5aとする。
図9は、本発明の第1の実施の形態におけるPGW5の処理フローの一例を示すフロー図である。本発明によるPGW5は、UE1とSAを確立するためにUE1からのBSを待つ。UE1がI−PGW5aとアタッチ(接続)処理を接続手順に従って開始すると、UE1からIKE_SA_INITメッセージが送られてくる(ステップS6002)。その後、次ステップであるIKE_AUTH Requestメッセージ(UE1のHome Prefixが含まれている)をI−PGW5aが受信すると、I−PGW5aは、そのメッセージに格納されているHome PrefixがI−PGW5aの持つバインディングキャッシュに登録されているか確認する(ステップS6003)。
なお、UE1とT−PGW5bの3Gアクセス経由の接続には、PMIPあるいはGTPプロトコルが用いられるのに対し、今回のN3Gアクセス経由の接続では、MIPあるいはDSMIPが用いられるため、I−PGW5aに向けてブートストラッピング処理が開始されている。コアネットワーク4の運用形態によっては、PMIPあるいはGTPで用いられるUE1の位置管理を行うためのデータベース(例えばPMIPバインディングキャッシュ)と、DSMIP/MIPで用いられる同UE1の位置管理を行うためのデータベース(例えばMIPバインディングキャッシュ)はそれぞれ個別に管理運用されることも想定される。さらには、それぞれ(GTP、PMIP、DSMIP/MIP)の位置管理機能が論理的あるいは物理的に異なる装置で実施されることも想定される。そのような場合、I−PGW5aは、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されているかどうかをチェックする際に、DSMIP/MIPで用いられる管理データベース(MIPバインディングキャッシュ)の確認だけではなく、I−PGW5aが管理する(あるいは、I−PGW5aの管轄対象である他ノードが管理する、さらにはI−PGW5aと同じドメインに配置された他ノードが管理する)PMIPバインディングキャッシュや、GTP用の位置管理データベースの確認も行うことが望ましい。
このとき、I−PGW5aのバインディングキャッシュに登録されていないHome Prefixであった場合、I−PGW5aは、UE_BS_Identityを生成(取得)する(ステップS6010)。なお、UE_BS_Identityを生成する方法は、上述のようにいくつか存在する。そして、I−PGW5aは、IKE_SA_INITメッセージに格納されていたHome Prefixを管理しているT−PGW5bがUE1に対してBSをするように指示するための動作指示を生成する(ステップS6011)。そして、IKE_SA_INITメッセージで受信したHome Prefixと、生成したUE_BS_Identityと、動作指示をAAAサーバ8aに送信する(ステップS6012)。なお、T−PGW5bは、AAAサーバ8aやHSS8bで検索及び特定されてもよく、あるいは、I−PGW5aによって検索及び特定されてもよい。
また、I−PGW5aは、AAAサーバ8a方向とは別に、UE1へ送信するためのUE1への動作指示を生成する(ステップS6013)。そして、Home Prefixが異なっていたことを示すPrefix判定結果(例えば、Falseや‘1’など)と、生成したUE_BS_Identityと、UE1への動作指示をUE1へ送信する(ステップS6014)。なお、ここでは、ステップS6011及びS6012における動作指示の送信処理(AAAサーバ8bへの送信)の後で、ステップS6013及びS6014における動作指示の送信処理(UE1への送信)が行われるように説明しているが、これらの送信処理の順序は特に限定されず、任意の順序又は並列して行われてもよい。
一方、IKE_AUTH Requestメッセージに格納されているHome PrefixがI−PGW5aの持つバインディングキャッシュに登録されている場合(ステップS6003)は、標準的なBS処理を実行し(ステップS6030)、SA確立後にUE1から送られてくるBUに対し、BAを交換する(ステップS6031)。
また、PGW5がI−PGW5aではなくT−PGW5bとして働く場合には、IKA_SA_INITメッセージではなく、Home Prefix確認要求返信メッセージを受信する(ステップS6004)。この場合、T−PGW5bは、受信したUE_BS_IdentityからT-PGW_BS_Identityを生成(取得)する(ステップS6020)。そして、T−PGW5bは、生成したT-PGW_BS_Identityを格納したIKE_SA_INIT_1メッセージをUE1に送信する(ステップS6021)。T−PGW5bは、IKE_SA_INIT_1メッセージの返信と予想されるIKE_SA_INIT_2メッセージを受信すると、AAAサーバ8aから転送されてきたUE_BS_Identity(ステップS6004で受信したHome Prefix確認要求返信メッセージに含まれているUE_BS_Identity)を使用して、IKE_SA_INIT_2メッセージに格納されているBS_Identityと照合する(ステップS6022)。一致していた場合、引き続き標準的なBS処理を実施し、UE1とT−PGW5bとの間でSAを確立する(ステップS6040)。そして、SA確立後、UE1から送られてくるBUに対し、BAを交換する(ステップS6041)。
なお、BS_Identityの使用方法によっては、ステップS6004で受信したHome Prefix確認要求返信メッセージにT-PGW_BS_Identityやその他の種類の値が含まれている場合があるが、このような場合も同様にこれらの値を用いて、IKE_SA_INIT_2メッセージに含まれているBS_Identityの照合を行うことが可能である。
次に、本発明を実施するためのAAAサーバ8aの構成について説明する。以下、図10を参照しながら、本発明の第1の実施の形態におけるAAAサーバ8aの構成について説明する。図10は、本発明の第1の実施の形態におけるAAAサーバ8aの構成の一例を示す図である。なお、上述のように、AAAサーバ8aとHSS8bは物理的又は論理的に同一の装置に実装されるものであってもよく、例えば、図10に示す構成がHSS8bに実装されてもよい。
図10において、AAAサーバ8aは、コアネットワーク4と接続して下位レイヤにおける通信処理を行う通信部301、通信部の上位でIPなどのパケット通信処理を実施するパケット処理部302、本発明における特徴的な処理を実施する接続制御部303、DSMIPやMIPv6などのプロトコルに対応するUE1の認証/承認処理を実施する認証/承認処理部304を少なくとも有する。
次に、図10に図示されている構成を有するAAAサーバ8aの処理フローについて、本発明における特徴的な処理を実施する接続制御部303に係る処理を中心に、図11を用いて詳しく説明する。なお、AAAサーバ8aは、既に通信部301を介して、コアネットワーク4と接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5はI−PGW5aとする。
図11は、本発明の第1の実施の形態におけるAAAサーバ8aの処理フローの一例を示すフロー図である。本発明によるAAAサーバ8aは、PGW5から送られてくるHome Prefix確認要求メッセージを待つ。UE1がI−PGW5aとアタッチ(接続)処理を接続手順に従って開始すると、I−PGW5aからHome Prefix確認要求メッセージが送られてくる(ステップS7002)。このメッセージを受信したAAAサーバ8aは、Home Prefix確認要求メッセージに動作指示が格納されているかどうか確認し、さらにその動作指示が転送指示であるかどうかを確認する(ステップS7010)。動作指示が転送指示であった場合には、AAAサーバ8aは、Home Prefix確認要求メッセージに格納されていたHome PrefixがHSS8bの持つサブスクリプションデータ(Subscription data)に登録されているかどうかをHSS8bへ問い合わせる。HSS8bは、問い合わせメッセージを受け、Subscription dataを参照して対象のHome Prefixが登録されているか確認し、登録されていた場合には対象のHome Prefixを管理しているT−PGW5bのアドレスをAAAサーバ8aに返信する(ステップS7011)。AAAサーバ8aは、HSS8bから返信されたメッセージにT−PGW5bのアドレスが格納されているか確認する(ステップS7012)。T−PGW5bのアドレスが格納されていた場合は、UE1にBSするようにBS指示を生成する(ステップS7013)。そして、UE1のアドレスと、I−PGW5aから送られてきたUE_BS_Identityと、ステップS7013で生成したBS指示とをT−PGW5bに送信する(ステップS7014)。
また、HSS8bから返信されたメッセージにT−PGW5bのアドレスが格納されていなかった場合(ステップS7012)や、Home Prefix確認要求メッセージに転送指示が格納されていなかった場合(ステップS7010)は、I−PGW5aにその結果(例えば、Falseや‘1’など)を返信する(ステップS7030)。
また、PGW5からHome Prefix確認要求メッセージではなく、Authentication-Request/Identityメッセージを受信した場合(ステップS7020)は、Authentication-Request/Identityメッセージに応じて、HSS8bにUser Profile(ユーザプロファイル)とAVs(Authentication Vectors:認証ベクタ)を要求し、取得する(ステップS7021)。User ProfileとAVs取得後、AAAサーバ8aは、EAP-Request/AKA-ChallengeメッセージをPGW5に返信する(ステップS7022)。そして、AAAサーバ8aはEAP-Request/AKA-Challengeメッセージの返信であるEAP-Response/AKA-Challengeメッセージを受信し(ステップS7023)、その返信であるAuthentication-Answer/EAP-Success + keying material(鍵素材)メッセージをPGW5に返信する(ステップS7024)。
<第2の実施の形態>
次に、本発明の第2の実施の形態におけるシステム動作の一例について、図13を用いて詳しく説明する。図13は、本発明の第2の実施の形態におけるシステム動作の一例を説明するためのシーケンス図である。図13は、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによって構成され、処理シーケンスの一例が図示されている。
以下、従来の技術と比較しながら、図13に図示されている本発明の第2の実施の形態におけるシステム動作の一例について説明する。本発明の第2の実施の形態の処理フローのステップS9101〜S9105は、従来技術のPDN GW reallocation procedureのステップS9001〜S9005(図12に図示)と同一である。
従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)では、I−PGW5aはEAP-Request/AKA-Challengeメッセージを受信することで、T−PGW5bのアドレスを取得するが(図12のステップS9006)、実際にUE1へT−PGW5bの存在(アドレス)を通知するのは、UE1とI−PGW5aとの間のSA確立後に実施されるBU/BA交換時である(図12のステップ9016)。
一方、本発明の第2の実施の形態においては、I−PGW5aは、図13に示したポイントA(ステップS9106でI−PGW5aがAAAサーバ8aからのEAP-Request/AKA-Challengeメッセージを受信したとき)においてT−PGW5bのアドレスを取得した時点で、例えば、ステップS9107でUE1へ送信するIKE_AUTH Responseメッセージ(あるいは、その他のメッセージを利用してもよい)にT−PGW5bのアドレスを挿入することで、ステップS9106で取得したT−PGW5bのアドレスをUE1に通知する。
ここで、本発明の第2の実施の形態においては、UE1がI−PGW5aとの間で接続認証を行っている途中で、T−PGW5bのアドレスがUE1へ通知される。これは、UE1がN3Gアクセス3にアタッチ(接続)する際に、コアネットワーク4によるアクセス認証(図13のステップS9100)が既に実施されており、その認証結果を担保にUE1へのT−PGW5bのアドレスの通知許可が決定されるためである。
このように、本発明の第2の実施の形態によれば、UE1は、従来技術と比較してより早期の段階(例えば、IKE_AUTH ResponseメッセージからT−PGW5bのアドレスを抽出した段階)で、T−PGW5bのアドレスを把握することが可能となり、所望のPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)に接続を行おうとしていることを認識できるようになる。その結果、UE1は、従来技術と比較してより早期の段階で、I−PGW5aではなくT−PGW5bとBSをやり直す処理(ステップS9202〜S9214:標準的なBS)を開始することが可能となり、UE1とT−PGW5bとの間でSAを確立した後、UE1及びT−PGW5bはBU/BAの交換を実施することが可能となる(ステップS9215、S9216))。
ただし、ステップS9107でIKE_AUTH ResponseメッセージをUE1へ送信した時点では、AAAサーバ8aは、UE1に対するチャレンジ情報を送信した後にレスポンス情報の受信を待っている状態であり、少なからずUE1に関する状態を保持した状態にある。したがって、UE1は、図13に図示されているように、ステップS9108においてIKE_AUTH Request相当のメッセージを送信するなどして、AAAサーバ8aの状態待ちを解消し、ステップS9112においてIKE_AUTH Response相当のメッセージを受信するなどして、実施中のBS処理が終了したことを確認する必要があるかもしれない(ステップS9108〜S9112)。
UE1は、AAAサーバ8aの状態待ちを解消する処理によってT−PGW5bとの接続が遅延してしまわないようにするため、ステップS9108〜S9112におけるAAAサーバ8aの状態待ちの解消処理と並列して、ステップS9202〜S9216におけるT−PGW5bとの接続処理を行ってもよい。これにより、UE1とT−PGW5bとの間のSA確立に要する時間が、AAAサーバ8aの状態待ちの解消の返信であるIKE_AUTH Response相当のメッセージを受信するまでの時間分だけ短縮可能となる。
<第3の実施の形態>
次に、本発明の第3の実施の形態におけるシステム動作の一例について、図14から16を用いて詳しく説明する。図14は、本発明の第3の実施の形態におけるシステム動作の一例を説明するための第1のシーケンス図である。図14には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
本発明の第3の実施の形態では、T−PGW5bのアドレスが、IKE_AUTHメッセージ交換の完了後、すなわちUE1とAAAサーバ8bが相互認証に成功して作成されたMSKがUE1とI−PGW5aとの間で交換された後に通知される場合のPGW切り替え方法について説明する。以下、従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)と比較しながら、図14に図示されている本発明の第3の実施の形態におけるシステム動作の一例について説明する。
図14において、本発明の第3の実施の形態の処理フローのステップS10001〜S10009は、従来技術のPDN GW reallocation procedureのステップS9001〜S9009(図12に図示)と同一であるので説明を省略する。
続いて、従来技術のPDN GW reallocation procedure(図12に図示)における次ステップS9010では、AAAサーバ8aがI−PGW5a経由でUE1から送られてきたEAP-Responseメッセージを処理し、UE1とI−PGW5aとの間のSA確立に必要である鍵(Master Session key:以降、MSKと呼ぶ)と、UE1にとっての切り替え先となるT−PGW5bのアドレスとをI−PGW5aに送信する(図12、ステップS9010)。一方、本発明の第3の実施の形態では、従来ではAAAサーバ8aからI−PGW5aに送信されるMSKとT−PGW5bのアドレスに、更にUE_BS_Identityを加えたAuthentication-AnswerメッセージをI−PGW5aに送信する(図14、ステップS10010)。
図18Bは、図14のステップS10010においてAAAサーバ8aがI−PGW5aに送信する応答メッセージの一例として、Authentication-Answerメッセージのフォーマット例を示す図である。AAAサーバ8aは、従来の標準的なAuthentication-Answerメッセージ4101に加えて、MSK(鍵)フィールド4102、BS識別子フィールド(UE_BS_Identity/T-PGW_BS_Identity)4103を設ける。MSK(鍵)フィールド4102は、UE1とI−PGW5aとの間で使用する鍵をI−PGW5aへ送信するためのフィールドである。なお、AAAサーバ8aは、MSK(鍵)フィールド4102にMSKを格納してもよく、あるいは、MSK(鍵)フィールド4102を使用せずにAuthentication-Answerメッセージ4101内にMSKを格納してもよい。Authentication-Answerメッセージ4101内にMSKを格納する場合には、応答メッセージにMSK(鍵)フィールド4102を設けなくてもよい。
また、BS識別子フィールド4103は、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なAuthentication-Answerメッセージの既存のペイロードにBS_Identityを記載し、PGW5に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続く本発明の第3の実施の形態の処理フローのステップS10011〜S10013は、従来技術のPDN GW reallocation procedureのステップS9011〜S9013(図12に図示)と同一であるので説明を割愛する。
続いて、従来技術のPDN GW reallocation procedureにおける次ステップでは、I−PGW5aからUE1にT−PGW5bのアドレスなどが送信される(図12、ステップS9014)。一方、本発明の第3の実施の形態では、AAAサーバ8aからI−PGW5aに従来送信されていたMSKに加えて、T−PGW5bのアドレスと、AAAサーバ8aから通知されたUE_BS_IdentityとをIKE_AUTH Responseメッセージに乗せてUE1に通知する(図14、ステップS10014)。
図17Bは、図14のステップS10014においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。BS識別子(BS_Identity)フィールド3102では、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してT-PGW_BS_Identityを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよいが、IKE_AUTH Responseメッセージの送信と同時、あるいはIKE_AUTH Responseメッセージよりも後に送信されることが望ましい。
なお、ここでは、IKE_AUTHメッセージ交換(図14、ステップS10012、S10013)によってUE1とI−PGW5aとの間でMSKが交換された後に、I−PGW5aからUE1に対してT−PGW5bのアドレス通知(例えば、ステップS10014のIKE_AUTH Responseメッセージによる通知)が行われているが、AAAサーバ8aによるUE1の認証が成功した時点(すなわち、ステップS10009で受信したチャレンジ情報に基づいてAAAサーバ8aがUE1の認証を完了した時点)で、ネットワーク側からUE1に対してT−PGW5bのアドレスを通知することも可能である。この場合には、ステップS10009で受信したチャレンジ情報の処理が完了した後に、任意のメッセージ(例えば、ステップS10010、S10012におけるメッセージ)にT−PGW5bのアドレスを格納してUE1へ通知してもよい。
続いて、UE1は、UE1とT−PGW5bとの間でSAを確立するために、BS処理を開始する。UE1とT−PGW5bは、UE1認証を行うIKE_AUTHメッセージを保護するために、UE1とT−PGW5bとの間でIKE_SA_INITメッセージ交換を実施し、UE1とT−PGW5b間の共有鍵を生成する(図14、ステップS10101)。
次に、UE1はIKE_AUTH Requestメッセージを作成し、先にIKE_SA_INITメッセージ交換を通じて生成したUE1とT−PGW5bとの間の共有鍵を使用して暗号化し、T−PGW5bに送信する。ここで、先にUE1とI−PGW5aとの間で実施したSA確立の際に生成されたMSK(鍵)を再利用するよう要求することにより、従来技術ではこの後に必要であったUE1とAAAサーバ8aとの間の相互認証を省略することができる。そのため、UE1は、先に生成したMSKの再利用を示すReuse IndicatorをIKE_AUTH Requestメッセージに格納してT−PGW5bに送信する(図14、ステップS10102)。
なお、Reuse indicatorは、UE1とI−PGW5aとの間のブートストラップ処理の過程でI−PGW5a又はAAAサーバ8aなどが生成し、UE1に通知するものであってもよい。特にAAAサーバ8aが生成してUE1に通知することにより、AAAサーバ8aあるいはAAAサーバ8aを含むネットワークシステムが、鍵の再利用をサポートあるいは許可することの表明をUE1に対して行うことができ、UE1にとっては、確信を持って鍵の再利用を要求することができ、ひいては所望のT−PGW5bとの切り替え接続をより確実に短時間で終えることができるようになる。
さらには、AAAサーバ8aがReuse Indicatorを生成及び通知したが、そのドメインあるいはコアネットワーク4のPGW5がサポートあるいは許可しない場合(例えばローミングUE1に対しては許可しないなどの理由から)は、PGW5がReuse Indicatorを除去してUE1に通知しないようにしてもよい。これにより、例えばUE1のホームネットワーク(HPLMN:Home Public Land Mobile Network)では鍵の再利用がサポートあるいは許可されても、UE1の在圏ネットワーク(VPLMN:Visited Public Land Mobile Network)ではサポートあるいは許可されない場合に対応することができるようになる。
また、I−PGW5aを通じてAAAサーバ8aと既に相互認証を完了しているUE1からのBS処理であることを、後のT−PGW5b経由の相互認証処理時にAAAサーバ8aが識別可能にするために、UE1はUE_BS_IdentityをIKE_AUTH Requestメッセージに格納する(図14、ステップS10102)。
図17Aは、図14のステップS10102においてUE1がT−PGW5bに送信するメッセージの一例として、IKE_AUTH Requestメッセージのフォーマット例を示す図である。UE1は、従来の標準的なIKE_AUTH Requestメッセージ3001に加えて、Reuse Indicatorフィールド3002、UE用BS識別子(UE_BS_Identity)フィールド3003を設け、それぞれの値をT−PGW5bに通知することができる。また、標準的なIKE_AUTH Requestメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してReuse Indicatorを記載し、UE1に通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればIKE_AUTH Requestメッセージ以外のメッセージであってもよい。
T−PGW5bは、UE1から送られてきたIKE_AUTH Requestメッセージに含まれるReuse indicatorとUE_BS_IdentityとをAAAサーバ8aに転送する(図14、ステップS10103)。なお、Reuse IndicatorとUE BS Identityは、UE1がIKE_SA_INITメッセージを通じてT−PGW5bに通知し、T−PGW5bはIKE SA INITメッセージの交換と並行して同パラメータをAAAサーバ8aに通知するものであってもよい。
図18Aは、図14のステップS10103においてT−PGW5bがAAAサーバ8aに送信するメッセージの一例として、Authentication-Requestメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なAuthentication-Requestメッセージ4001に加えて、Reuse Indicatorフィールド4002、UE用BS識別子(UE_BS_Identity)フィールド4003を設け、それぞれの値をAAAサーバ8aに通知することができる。また、標準的なAuthentication-Requestメッセージの既存のペイロードにReuse IndicatorとUE_BS_Identityとを記載し、AAAサーバ8aに通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればAuthentication-Requestメッセージ以外のメッセージであってもよい。
AAAサーバ8aは、T−PGW5bから転送されてきたReuse indicatorを受けて、先にUE1とI−PGW5aとの間でSA確立した際のMSKの再利用が要求されていると判断し、AAAサーバ8aが保持するUE_BS_Identityに対応しているMSKをT−PGW5bに通知する。なお、UE_BS_Identityは、一度フル認証を完了しているUE1であることを確認できるパラメータ(例えば、User IDなど)に代替してもよい。MSKを通知すると同時に、UE_BS_Identityに対応するT-PGW_BS_Identityも通知する(図14、ステップS10104)。なお、T-PGW_BS_Identityは、AAAサーバ8a自身が生成してもよいし、BS_Identityリストを保持しているネットワーク上のデータベースサーバ(不図示)が設置されている場合は、データベースサーバに問い合わせてUE BS Identityに対応するT-PGW BS_Identityを取得して利用してもよい。
ここで、MSKの再利用が先に指示された異なるPGW5への切り替え接続に限って許可される場合(任意のPGW5からの接続に対してMSKの再利用を許可しない場合)に対応するため、T−PGW5bが自身の情報(例えば、IPアドレスやPGW5の識別子など)を、ステップS10103を通じてAAAサーバ8aに通知することが考えられる。これにより、AAAサーバ8aにおいて、本接続要求が先にUE1に対して指示したT−PGW5bへの切り替え接続要求であることを確認することができ、MSKの再利用を正しく許可することができる。
図18Bは、図14のステップS10104においてAAAサーバ8aがT−PGW5bに送信するメッセージの一例として、Authentication-Answerメッセージのフォーマット例を示す図である。AAAサーバ8aは、従来の標準的なAuthentication-Answerメッセージ4101に加えて、MSK(鍵)フィールド4102、BS識別子フィールド(UE_BS_Identity/T-PGW_BS_Identity)4103を設ける。ステップS10104では、MSK(鍵)フィールド4102にUE1とI−PGW5aとの間で生成されたMSKを格納する。なお、このMSKは、標準的なAuthentication-Answerメッセージ4101内にあるMSKを格納するフィールドに格納されてもよい。その際、MSK(鍵)フィールド4102を新たに設ける必要はない。また、BS識別子フィールド4103は、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なAuthentication-Answerメッセージの既存のペイロードにBS_Identityを記載し、T−PGW5bに通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続いて、T−PGW5bは、AAAサーバ8aから通知されたMSK(実際にはUE1とI−PGW5aとの間のSA確立時に生成されたもの)を用いて生成したAUTHパラメータ値と、再利用を許諾したAAAサーバ8aが先にI−PGW5aとの接続時にUE1をサーブしたのと同じノードであることをUE1が正しく識別するためのT-PGW_BS_IdentityとをIKE AUTH Responseメッセージに格納して、UE1へ送信する(図14、ステップS10105)。ここで、ステップS10012〜S10014を通じて、既にUE1はMSKを生成できているので、ステップS10105においては認証の成功のみを伝えるだけで十分である(認証の成功と同時にMSKの再利用が承認されたことの通知でもあるため)。
図17Bは、図14のステップS10105においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してT-PGW_BS_Identityを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
IKE AUTH Responseメッセージを受信したUE1は、UE_BS_IdentityとT-PGW_BS_Identityとの相関を検証し、正しく対応するものであることを確認できたら、T−PGW5bとBU/BA交換を実施する(図14、ステップS10201)。
なお、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証のために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合は、これらのBS_Identityを省略することもできる。
また、T−PGW5bへの切り替え指示後もAAAサーバ8aがUE1に対する状態を保持できる場合には、UE1が通知するReuse Indicatorも省略することができる。この場合、AAAサーバ8aは、User IDなどを基にUE1の識別を行い、保持しておいたUE1に対する状態に基づいて鍵データを抽出し、T−PGW5bに通知することができる。ただし、一部のAAAサーバ8aにおいては、切り替え指示後はUE1に対する状態を解消することも想定されるため、汎用性を確保する目的でReuse IndicatorをUE1から通知することは有用である。
以上の動作によって、従来技術のPDN GW reallocation procedureでは、UE1とAAAサーバとの8a間においてI−PGW5aとT−PGW5bで計2回のUE認証(Full Authentication)を実施する必要があったが、上述したように鍵の再利用を行うことにより、UE1がT−PGW5bに切り替え接続する際のブートストラップ処理のメッセージ数削減と切り替え時間の短縮を図ることができるようになる。
なお、過去にUE1が他のPGW5とSA確立を実施した実績がある場合、UE1に対するPGW5の切り替え要求(すなわち切り替え先PGW5(T−PGW5b)のアドレスの通知)は、上記説明したステップS10014より前に実施することも可能である(例えば、図14のステップS10007など)。例えば、UE1は、ステップS10102で送信されるReuse IndicatorをステップS10003のIKE AUTH Requestメッセージに含めて送信する。このReuse Indicatorを参照したI−PGW5aは、ステップS10004〜S10006の処理において、ステップS10103及びS10104と同様の手順で、UE1に対して確立済みの鍵をAAAサーバ8aから取得する(このとき同時に切り替え先PGW5のアドレスも取得することになる)。そして、I−PGW5aは、ステップS10007で切り替え先PGW5のアドレスを含むIKE_AUTH responseメッセージ(すなわち、上記のステップS10105で送信されるIKE_AUTH responseメッセージと同等のメッセージ)をUE1へ送信することによって、切り替え先PGW5のアドレスをUE1に通知することが可能となる。これにより、UE1は過去に確立した鍵を再利用して高速に切り替え先PGW5のアドレスを取得することができ、ひいては本来接続を希望しないPGW5が割り当てられた場合でも、所望のPGW5への切り替え接続を高速に実施することができる。
また、AAAサーバ8aはT−PGW5bへの切り替えを指示するタイミング(図14、ステップS10010)で、生成したMSKをT−PGW5bに通知してもよい。具体的には、図15を用いて説明する。
図15は、本発明の第3の実施の形態におけるシステム動作の一例を説明するための第2のシーケンス図である。図15には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図15の処理フローのステップS11001〜S11010は、図14の処理フローのステップS10001〜S10010と同一であるので説明を省略する。このステップS11010を送信する段階で、AAAサーバ8aはT−PGW5bにMSKを通知することが可能である。AAAサーバ8aがT−PGW5bにMSKを通知する手法としては、例えば、I−PGW5aにUE_BS_Identityを格納したAuthentication-Answerメッセージを送信する処理と同時に、UE1とI−PGW5aとの間のSA確立処理の過程で生成したMSKと、UE_BS_Identityに対応するT-PGW_BS_IdentityをT−PGW5bに送信する(図15、ステップS11011)。
図19は、図15のステップS11011においてAAAサーバ8aがT−PGW5bに送信するメッセージの一例として、BS_Identity通知メッセージのフォーマット例を示す図である。AAAサーバ8aは、宛先アドレスフィールド5001にT−PGW5bのアドレス、ソースアドレスフィールド5002に自アドレス、MSK(鍵)フィールド5003にUE1とI−PGW5aとの間で生成されたMSK、UEアドレスフィールド5004にMSKに対応するUE1のアドレス(例えば、UE1のCoA)、T-PGW_BS_Identityフィールド5005にUE_BS_Identityに対応しているT-PGW_BS_Identityを記載して、T−PGW5bに送信する。なお、BS_Identity通知メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、BS_Identity通知メッセージに、UE1のUser IDを含めてもよく、これによりT−PGW5bがUE1からIKE_AUTH Requestメッセージを受信したとき、そのUE1に関してフル認証が完了しているUE1なのかを判別しやすくなり、より確実にUE1を照合することが可能となる。
続く図15の処理フローのステップS11012〜S11102は、図14の処理フローのステップS10011〜S10102と同一であるので説明を割愛する。
Reuse indicatorとUE_BS_Identityが格納されたIKE_AUTH Requestメッセージ(図15、ステップS10102に対応)を受信したT−PGW5bは、ステップS11011でAAAサーバ8aから受信したT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に返信する(図15、ステップS11103)。なお、T−PGW5bは、ステップS11102で受信したUE_BS_IdentityとステップS11011で受信したT-PGW_BS_Identityとが正しく対応するものであるか確認してもよい(例えば、ハッシュ値の検算や、ネットワーク上のBS_Identityリストを管理しているデータベースへの問合せなど)。また、UE1は既にステップS11013のIKE_AUTH ResponseメッセージによってMSKを取得しているので、T−PGW5bは、ステップS11103で送信するIKE_AUTH ResponseメッセージにMSKを格納して通知する必要はない。ただし、例えば、UE1が何らかの理由でMSKを保持していない(例えば、既に廃棄しているなど)可能性も考えられるので、T−PGW5bが、ステップS11103で送信するIKE_AUTH ResponseメッセージにMSKを格納してUE1へ通知して、UE1がMSKを確実に把握できるようにしてもよい。
図15のステップS11103におけるT−PGW5bからUE1に送信する応答メッセージの一例であるIKE_AUTH Responseメッセージのフォーマット例は、図17Bに図示されているものであり、図14のステップS10105におけるIKE_AUTH Responseメッセージのフォーマット例と同一であるため、説明を割愛する。
IKE AUTH Responseメッセージを受信したUE1は、UE_BS_IdentityとT-PGW_BS_Identityとの相関を検証し、正しく対応するものであることを確認できたら、T−PGW5bとBU/BA交換を実施する(図15、ステップS11201)。このように、AAAサーバ8aがT−PGW5bにMSKを事前に通知しておくことにより、UE1がT−PGW5bに切り替え接続した時に、T−PGW5bがAAAサーバ8aからMSKを取得する場合に比べて、高速な切り替え接続が可能となる。
なお、AAAサーバ8aがT−PGW5bにMSKを通知するより先に、UE1からのIKE_AUTH RequestメッセージをT−PGW5bが受信/処理してしまうと、T−PGW5bは再度UE1に対するフル認証処理をAAAサーバ8aに要求してしまい、接続までに要する時間が増大することになる。これを回避するため、UE1は図14で説明したReuse indicatorを含めたIKE_AUTH RequestメッセージをT−PGW5bに送信し(図15、ステップS11102)、T−PGW5bがAAAサーバ8aからMSKを取得していなければ、AAAサーバ8aに問い合わせるようにしてもよい。これにより、より確実にMSKの再利用を行うことができるようとともに、切り替え接続の高速化を図ることができる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証を行うためや、AAAサーバ8aにおいて、今回UE1からの接続要求が、先に指示されたT−PGW5bへの切り替え接続によるものであるか、あるいは新規PGW5への接続のためのものであるかを判別して確実にMSKの再利用を実施するために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合、またAAA8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えによりものであることの確認がとれる場合などにおいては、これらのBS_Identityを省略することもできる。
またさらには、理想状態において、T−PGW5bはUE1からIKE_AUTH Requestメッセージを受信する前にAAAサーバ8aからUE1向けの鍵を取得することができ、この時点で鍵の再利用を認識することができるため、UE1が通知するReuse Indicatorも省略することができる。ただし、先に説明したようにAAAサーバ8aからの通知がUE1からのIKE_AUTH Requestメッセージ到着より遅れることも想定し、T−PGW5bに対して従来のシーケンスに基づく処理ではなく鍵を再利用するためのシーケンスに基づく処理を促す目的でReuse Indicatorを付加することは有用である。
なお、上述の第2の実施の形態で説明したように、UE1は、I−PGW5aとの接続途中で切り替え先PGW5であるT−PGW5bのアドレスを通知されるかもしれない(図13のステップS9107)。しかしながら、第2の実施の形態では、UE1がAAAサーバ8aの状態を解消するためにステップS9108〜S9112を実施するものであったが、実質このステップ区間においてAAAサーバ8aによる認証処理(MSK生成)を完了させて、T−PGW5bとの切り替え接続時に認証データ(MSKなど)を再利用したほうが、総じて処理時間の短縮効果が大きいと考えられる。よって、本第3の実施の形態に対応するUE1が、I−PGW5aとの接続途中で切り替え先PGW5のアドレスを通知された場合は、図13のステップS9108でAAAサーバ8aの状態解消を要求せず、引き続き認証処理を継続してもよい。すなわち、図13のステップS9108以降の処理は、図14のステップS10008以降に置き換えられるが、既にT−PGW5bのアドレスはステップS9107でUE1に通知されているので、図14のステップS10014で再度通知する必要はない。
次に、本発明の第3の実施の形態における移動端末(UE1)の構成と処理フローについて説明する。本発明の第3の実施の形態における移動端末(UE1)の構成は、本発明の第1と第2の実施の形態における移動端末(UE1)の構成(図3を参照)と同様であるので説明を省略する。
以下、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図16を用いて詳しく説明する。図16は、本発明の第3の実施の形態におけるUE1の構成の一例を示す図であり、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
本発明による接続制御部106は、まずN3Gアクセス3へのアタッチ(接続)処理を開始するため、第2無線通信部102に接続開始を指示する(ステップS12001)。第2無線通信部102では、N3Gアクセス3における接続手順に従って、接続処理を実施する。N3Gアクセス3への接続が完了すると、N3Gアクセス3経由で接続するPGW5のアドレスを探索するため、DNSクライアント処理部105に探索開始を指示する(ステップS12002)。このとき、接続制御部106は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNやPGW5を識別するためのHA−APNなどから、標準的な方法により(例えば、非特許文献6に開示されている方法など)、ホームエージェント名(FQDN)を構築し、DNSクライアント処理部105に通知する。DNSクライアント処理部105では、通知されたホームエージェント名を記載したDNSクエリをパケット処理部103、第2無線通信部102経由でDNSサーバ9宛に送信する。また、その応答としてDNS応答を第2無線通信部102、パケット処理部103経由でDNSサーバ9から受信し、DNS応答から取得したPGWアドレスを接続制御部106に転送する(ステップS12003)。
接続制御部106は、取得したPGWアドレスに対して一般的なBS処理を開始するようBS処理部104に指示する。BS処理部104では、IKE SAを構築するための手順であるIKE_SA_INIT処理を、接続制御部106から通知されたPGWアドレス(I−PGW5aのアドレス)に対して開始する(ステップS12004)。IKE_SA_INIT処理が完了し、IKE SAが確立されると、BS処理部104は、IKE_AUTH Requestメッセージを送信する(ステップS12005)。
IKE_AUTH Requestメッセージは、BS処理部104からパケット処理部103、第2無線通信部102を介してI−PGW5a宛に送信される。I−PGW5aはIKE_AUTH Requestメッセージの応答としてIKE_AUTH ResponseメッセージをUE1に送信し、UE1で受信したIKE_AUTH Responseメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送される(ステップS12006)。
UE1とI−PGW5aとの間のSAが確立すると、I−PGW5aからT−PGW5bへの切り替えが必要であることがUE1に伝えられる。具体的には、切り替え先PGW5となるT−PGW5bのアドレスと、I−PGW5aを介して完了したAAAサーバ8aによるUE1に対する認証データをT−PGW5bへの切り替え接続時に再利用可能とするための符合UE_BS_Identityとを受信したかを確認する(ステップS12007)。
UE1がT−PGW5bのアドレスとUE_BS_Identityとを受信しなかった場合は、PGW5の切り替えを要求されなかったことであることから、確立したSAを用いてI−PGW5aとBU/BA交換を実施する(ステップS12030)。
一方、UE1がT−PGW5bのアドレスとUE_BS_Identityとを受信した場合、UE1はT−PGW5bへの切り替え接続を開始する。すなわち、T−PGW5bとのSA確立を開始する。最初に、IKE_AUTHメッセージを保護するために必要な共有鍵をUE1とT−PGW5bとの間で生成するために、UE1はIKE_SA_INITメッセージ交換をT−PGW5bとの間で実施する(ステップS12010)。
続いて、UE1はT−PGW5bとのSA確立において、従来実施されていたフル認証を省略して接続時間を短縮する目的で、I−PGW5aとのSA確立で生成されたMSKを再利用することを示すReuse Indicatorを生成する(ステップ12011)。なお、ステップS12010とステップS12011の処理の順番は逆になってもよい。UE1は、生成したReuse Indicatorと先に取得したUE_BS_IdentityとをIKE_AUTH Requestメッセージに格納して、T−PGW5bに送信する(ステップS12012)。
T−PGW5bは、Reuse IndicatorとUE_BS_Identityとが格納されたIKE_AUTH Requestメッセージを受信するとAAAサーバ8aに転送する。AAAサーバ8aは、T−PGW5bから転送されたIKE_AUTH Requestメッセージを受信すると、Reuse IndicatorとUE_BS_Identityとが格納されていることを確認し、UE1がI−PGW5aを介して接続した際に生成されたMSKと、UE_BS_Identityに対応するT-PGW_BS_Identityとを、例えば、Authentication-AnswerメッセージによってT−PGW5bに通知する。なお、AAAサーバ8aは、IKE_AUTH Requestメッセージに対する応答としてMSK及びT-PGW_BS_IdentityをT−PGW5bに通知してもよく(図14に図示されている第1のシーケンスに対応)、IKE_AUTH Requestメッセージに対する応答よりも先にMSK及びT-PGW_BS_IdentityをT−PGW5bに通知してもよい(図15に図示されている第2のシーケンスに対応)。MSK及びT-PGW_BS_Identityの通知を受けたT−PGW5bは、T-PGW_BS_IdentityをIKE_AUTH Responseメッセージに格納してUE1に送信し、UE1がそれを受信する(ステップS12013)。
UE1は、IKE_AUTH Responseメッセージに格納されたBS_IdentityがUE_BS_Identityに対応するものであるかを確認する(ステップS12014)。なお、UE1はステップS12007でUE_BS_Identityを受信した後に、UE_BS_Identityに対応するT-PGW_BS_Identityを任意のタイミングで生成して保持しておいてもよいし、ステップS12014のタイミングで生成してもよい(例えば、ハッシュ関数や、BS_Identityリストを保持しているデータベースサーバの利用など)。
ここで、T−PGW5bから送られてきたT-PGW_BS_Identityと、UE1が生成したT-PGW_BS_Identityが一致した場合、T−PGW5bとBU/BA交換を実施し、終了する(ステップS12020)。一方、一致しなかった場合には、UE1は、受信したIKE_AUTH Responseメッセージを破棄する(ステップS12021)。
なお、図15に示したように、AAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知するような場合においても、UE1は、Reuse IndicatorとUE_BS_Identityとを格納したIKE_AUTH_RequestメッセージをT−PGW5bに送信することが望ましい。これにより、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図15、ステップS11011)が遅延したりロスしたりして、T−PGW5bが鍵データ(MSK)の再利用(フル認証の省略)を認識していない場合であっても、T−PGW5b越しにMSKの再利用を実施することができ、切り替え接続のための時間短縮をより確実なものとすることができる。
また、図15に図示されている第2のシーケンスでAAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知する場合において、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図15、ステップS11011)が遅延したりロスしたりしないことがシステムとして保証されているような場合には、Reuse Indicatorの代わりとしてUser IdentityやUE1のアドレスを使用することで、UE1はReuse Indicatorを図16のステップS12011で生成したり、ステップS12012でIKE_AUTH_Requestメッセージに格納したりしなくてもよい。
またさらには、AAAサーバ8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えを意図していることが確認できる場合、UE_BS_Identityは最早不要であり、図16のステップS12007でUE1への通知は行われない。このときUE1は、T−PGW5bに対して標準的なBS処理を実行すればよく(図16には不図示)、これにより、MSKの再利用がネットワーク側の判断によって実施され、T−PGW5bへの切り替え接続を短時間に完了させることができる。
なお、本発明の第3の実施の形態で用いられているUE_BS_Identity並びにT-PGW_BS_Identityに関しても、上述の第1の実施の形態と同様に、様々な組み合わせが可能である。すなわち、本発明の第3の実施の形態において、例えば、UE_BS_Identityと、このUE_BS_Identityに対応するT-PGW_BS_Identityを用いて、UE_BS_IdentityとT-PGW_BS_Identityとの照合が行われてもよく、どちらか一方のBS_Identityが用いられてもよく、あるいは、BS_Identityが用いられなくてもよい。また、本発明の第3の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityに使用される情報として、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレス(これらに限定されない)など、UE1及びPGW5によって認識可能な値(符号)を用いることが可能である。また、本発明の第3の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityは、PGW5、AAAサーバ8a、あるいは、その他の通信装置によって生成されてもよい。
なお、本発明の第3の実施の形態で用いたMSKは、インターネットで利用される技術を標準化する組織であるIETF(Internet Engineering Tast Force)が、RFCで定義しているMSKと同じであってもよいし、別途規定されてもよい。
<第4の実施の形態>
次に、本発明の第4の実施の形態におけるシステム動作の一例について、図17C、図20から図25を用いて詳しく説明する。図20は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第1のシーケンス図である。図20には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
本発明の第4の実施の形態では、T−PGW5bのアドレスが、IKE_AUTHメッセージ交換の完了後、すなわちUE1とAAAサーバ8bが相互認証(AAAサーバ8bによるUE1の認証)の成功によってMSKを生成して、そのMSKを用いて作成したAUTHパラメータがUE1とI−PGW5aとの間で交換されて、お互いに認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後に通知される場合のPGW切り替え方法について説明する。
以下、従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)と比較しながら、図20に図示されている本発明の第4の実施の形態におけるシステム動作の一例について説明する。
図20において、本発明の第4の実施の形態の処理フローのステップS13001〜S13009、従来技術のPDN GW reallocation procedureのステップS9001〜S9009(図12に図示)と同一であるので説明を省略する。
続いて、従来技術のPDN GW reallocation procedure(図12に図示)における次ステップS9010では、AAAサーバ8aがI−PGW5a(図12上ではPGW5に相当)経由でUE1から送られてきたEAP-Responseメッセージを処理し、UE1とI−PGW5a(図12上ではPGW5に相当)との間のSA確立に必要である鍵(Master Session key:以降、MSKと呼ぶ)と、UE1にとっての切り替え先となるT−PGW5bのアドレスとをI−PGW5a(図12上ではPGW5に相当)に送信する(図12、ステップS9010)。一方、本発明の第4の実施の形態では、従来ではAAAサーバ8aからI−PGW5aに送信されるMSKとT−PGW5bのアドレスに、更にUE_BS_Identityを加えたAuthentication-AnswerメッセージをI−PGW5aに送信する(図20、ステップS13010)。なお、このUE_BS_Identityは、UE1がI−PGW5aとフル認証を実施したことを証明(例えば、AAAサーバ8aが持つT-PGW_BS_Identityとの関連性の有無や、UE_BS_Identityが暗号化される場合には、復号可能であるか確認)するためなどに用いるが、UE1の固有情報(例えば、IMSI(International Mobile Subscriber Identity)など)を用いることで識別できる場合には、省略してもよい。
図20のステップS13010においてAAAサーバ8aがI−PGW5aに送信する応答メッセージは、本発明の第3の実施の形態における図14のステップS10010で用いるメッセージ(図18Bに図示)と同様であるので説明を省略する。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続く本発明の第4の実施の形態の処理フローのステップS13011〜S13013は、従来技術のPDN GW reallocation procedureのステップS9011〜S9013(図12に図示)と同一であるので説明を割愛する。
続いて、従来技術のPDN GW reallocation procedureにおける次ステップでは、I−PGW5aからUE1にT−PGW5bのアドレスなどが送信される(図12、ステップS9014)。一方、本発明の第4の実施の形態では、AAAサーバ8aからI−PGW5aに従来送信されていたT−PGW5bのアドレスに加えて、AAAサーバ8aから通知されたUE_BS_IdentityをIKE_AUTH Responseメッセージに乗せてUE1に通知する(図20、ステップS13014)。なお、I−PGW5aがステップS13010でUE_BS_IdentityをAAAサーバ8aから受信しなかった場合は、このIKE_AUTH Responseメッセージに格納しなくてもよい。
次に、図20のステップS13014においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例について図17Bを用いて説明する。
T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してUE_BS_Identityなどを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよいが、IKE_AUTH Responseメッセージの送信と同時、あるいはIKE_AUTH Responseメッセージよりも後に送信されることが望ましい。
なお、ここでは、IKE_AUTHメッセージ交換(図20、ステップS13013、S13014)によってUE1とI−PGW5aとの間でお互いに認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後に、I−PGW5aからUE1に対してT−PGW5bのアドレス通知(例えば、ステップS13014のIKE_AUTH Responseメッセージによる通知)が行われているが、AAAサーバ8aによるUE1の認証が成功した時点(すなわち、ステップS13009で受信したチャレンジ情報に基づいてAAAサーバ8aがUE1の認証を完了した時点)で、ネットワーク側からUE1に対してT−PGW5bのアドレスを通知することも可能である。この場合には、ステップS13009で受信したチャレンジ情報の処理が完了した後に、任意のメッセージ(例えば、ステップS13012におけるメッセージ)にT−PGW5bのアドレスを格納してUE1へ通知してもよい。
続いて、UE1は、UE1とT−PGW5bとの間でSAを確立するために、BS処理を開始する。UE1とT−PGW5bは、UE1とT−PGW5b間のIKE_AUTHメッセージを保護するために、UE1とT−PGW5bとの間でIKE_SA_INITメッセージ交換を実施し、UE1とT−PGW5b間の共有鍵(例えば、SKEYSEED)などを生成・取得する(図20、ステップS13101)(上記した非特許文献7を参照)。UE1とT−PGW5b間で共有鍵の生成後、UE1とT−PGW5bは、その共有鍵などを用いてパケットの暗号化に用いる鍵(例えば、SK_ei、SK_er)などを生成する(上記した非特許文献7、非特許文献8を参照)。なお、パケットの暗号化に用いる鍵などを生成する方法として、IKE_SA_INITメッセージ交換以外の方法を用いてパケットの暗号化に用いる鍵などを生成できる場合には、他の方法を用いてもよい。
次に、UE1はIKE_AUTH Requestメッセージを作成し、先にIKE_SA_INITメッセージ交換を通じて生成したUE1とT−PGW5bとの間の鍵を使用して暗号化し、T−PGW5bに送信する。ここで、先にUE1とI−PGW5aとの間で実施したSA確立の際に生成されたMSK(鍵)を再利用するよう要求することにより、従来技術ではこの後に必要であったUE1とAAAサーバ8a間の相互認証(図20のステップS13005〜S13009)やMSKの生成(図20のステップS13010)などを省略することができる。そのため、UE1は、先に生成したMSKの再利用を示すReuse Indicatorと、I−PGW5aから受信したUE_BS_IdentityをIKE_AUTH Requestメッセージに格納してT−PGW5bに送信する(図20、ステップS13102)。
なお、Reuse indicatorは、UE1とI−PGW5aとの間のブートストラップ処理の過程でI−PGW5a又はAAAサーバ8aなどが生成し、UE1に通知するものであってもよい。特にAAAサーバ8aが生成してUE1に通知することにより、AAAサーバ8aあるいはAAAサーバ8aを含むネットワークシステムが、鍵の再利用をサポートあるいは許可することの表明をUE1に対して行うことができ、UE1にとっては、確信を持って鍵の再利用を要求することができ、ひいては所望のT−PGW5bとの切り替え接続をより確実に短時間で終えることができるようになる。
さらには、AAAサーバ8aがReuse Indicatorを生成及び通知したが、そのドメインあるいはコアネットワーク4のPGW5がサポートしていない、あるいは許可しない場合(例えばローミングUE1に対しては許可しないなどの理由から)は、PGW5がReuse Indicatorを除去してUE1に通知しないようにしてもよい。これにより、例えばUE1のホームネットワーク(HPLMN:Home Public Land Mobile Network)では鍵の再利用がサポートされている、あるいは許可されても、UE1の在圏ネットワーク(VPLMN:Visited Public Land Mobile Network)ではサポートしていない、あるいは許可されない場合に対応することができるようになる。
また、UE_BS_Identityは、I−PGW5aを通じてAAAサーバ8aと既に相互認証を完了しているUE1からのBS処理であることを、後のT−PGW5b経由のBS処理時にAAAサーバ8aが識別可能にするためにIKE_AUTH Requestメッセージへ格納される。UE_BS_Identityを使用することで、Reuse Indicatorの目的を達成できるのであれば、Reuse Indicatorを省略してもよい。また、その逆でReuse Indicatorを用いることで、UE_BS_Identityの目的を達成できるのであれば、UE_BS_Identityを省略してもよい。
図20のステップS13102においてUE1がT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図14のステップ10102で用いるメッセージ(図17Aに図示されているIKE_AUTH Requestメッセージのフォーマット例)と同様であるので説明を省略する。また、標準的なIKE_AUTH Requestメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadなどを付加してReuse IndicatorやUE_BS_Identityを記載し、UE1に通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればIKE_AUTH Requestメッセージ以外のメッセージであってもよい。
T−PGW5bは、UE1から送られてきたIKE_AUTH Requestメッセージに含まれるReuse indicatorとUE_BS_IdentityとをAAAサーバ8aに転送する(図20、ステップS13103)。なお、Reuse IndicatorとUE_BS_Identityは、UE1がIKE_SA_INITメッセージを通じてT−PGW5bに通知し、T−PGW5bはIKE_SA_INITメッセージの交換と並行して同パラメータをAAAサーバ8aに通知するものであってもよい。
図20のステップS13103においてT−PGW5bがAAAサーバ8aに送信するメッセージは、本発明の第3の実施の形態における図14のステップS10103で用いるメッセージ(図18Aに図示されているAuthentication-Requestメッセージのフォーマット例)と同様であるので説明を省略する。また、標準的なAuthentication-Requestメッセージの既存のペイロードにReuse IndicatorとUE_BS_Identityとを記載し、AAAサーバ8aに通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればAuthentication-Requestメッセージ以外のメッセージであってもよい。
AAAサーバ8aは、T−PGW5bから転送されてきたReuse indicatorを受けて、先にUE1とI−PGW5aとの間でSA確立した際のMSKの再利用が要求されていると判断し、AAAサーバ8aが保持するUE_BS_Identityに対応しているMSKをT−PGW5bに通知する。なお、先述したように、UE_BS_Identityは、一度フル認証を完了しているUE1であることを確認できるパラメータ(例えば、IMSIなど)に代替してもよい。MSKを通知すると同時に、UE_BS_Identityに対応するT-PGW_BS_Identityも通知する(図20、ステップS13104)。なお、T-PGW_BS_Identityは、AAAサーバ8a自身が生成してもよいし、BS_Identityリストを保持しているネットワーク上のデータベースサーバ(不図示)が設置されている場合は、データベースサーバに問い合わせてUE BS Identityに対応するT-PGW BS_Identityを取得して利用してもよい。
ここで、MSKの再利用が先に指示された異なるPGW5への切り替え接続に限って許可される場合(任意のPGW5からの接続に対してMSKの再利用を許可しない場合)に対応するため、T−PGW5bが自身の情報(例えば、IPアドレスやPGW5の識別子など)を、ステップS13103を通じてAAAサーバ8aに通知することが考えられる。これにより、AAAサーバ8aにおいて、本接続要求が先にUE1に対して指示したT−PGW5bへの切り替え接続要求であることを確認することができ、MSKの再利用を正しく許可することができる。
図20のステップS13104においてAAAサーバ8aがT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図14のステップS10104で用いるメッセージ(図18Bに図示されているAuthentication-Answerメッセージのフォーマット例)と同様であるので説明を省略する。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続いて、T−PGW5bは、AAAサーバ8aから受信したT-PGW_BS_Identityと、認証の成功(AAAサーバ8aによるUE1の認証)と、MSKの再利用が承認されたことをUE1に通知する(図20、ステップS13105)。
次に、図20のステップS13105においてT−PGW5bがUE1に送信するメッセージの一例としてIKE_AUTH Responseメッセージのフォーマット例について図17Cを用いて説明する。図17Cは、図20のステップS13105で送信するIKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3201に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3202、Success Reuse Indicatorフィールド3203を設け、それぞれの値をUE1に通知することができる。また、T−PGW5bは、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してMSKの再利用やT-PGW_BS_Identityを示してUE1に通知してもよい。または、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコルのEAP Successを用いることで、MSKの再利用をUE1に通知してもよい。なお、本応答メッセージは、UE1がMSKの再利用を確認できるメッセージであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
このT-PGW_BS_Identityは、MSKの再利用を許諾したAAAサーバ8aが先にI−PGW5aとの接続時にUE1を認証処理したのと同じノードであることをUE1が正しく識別するために用いる。また、例えば、AAAサーバ8aにアクセスせず、UE1へ不正アクセスを試みるT−PGW5bになりすました偽T−PGW5bと区別できる効果もある。
UE1は、T−PGW5bから送られてきたIKE_AUTH ResponseメッセージからMSKの再利用が承認されたことを確認する(例えば、Success Reuse Indicatorフィールド3203に格納されている値から判断)。UE1は、図20のステップS13013で生成したMSKを用いてAUTHパラメータを生成する。UE1は、生成したAUTHパラメータをIKE_AUTH Requestメッセージに格納して、T−PGW5bへ送信する(図20、ステップS13106)。また、UE1が、I−PGW5aとSAを確立した際に生成したMSKを保持していない、若しくは、使用できない場合は、例えばAAAサーバ8aなどに問い合わせて、MSKを取得してもよいし、UE1自身で再度同じMSKを生成してもよい。
T−PGW5bは、IKE_AUTH Requestメッセージを送信したUE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)する。UE1(IKE_SA_INITメッセージの送信元)の認証に成功した場合、T−PGW5bは、AAAサーバ8aから受信したMSKを用いて作成したAUTHパラメータを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図20、ステップS13107)。
なお、T−PGW5bは、AAAサーバ8aから送られてきたMSKを用いてAUTHパラメータを本ステップS13107で作成したが、保持できるのであれば、例えばステップS13104以降(MSK受信以降)、任意のタイミングで作成してもよい。
UE1は、IKE_AUTH Responseメッセージを送信したT−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、このT−PGW5b(IKE_SA_INITメッセージの送信元)の認証をするために、ステップS13106でUE1が作成したAUTHパラメータや、ステップS13101で取得した鍵情報(例えば、共有鍵や通信相手の公開鍵など)を用いてもよい。
UE1が、T−PGW5bの認証ができた場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)、UE1とT−PGW5bの間でSAが確立される。なお、このIKE_AUTH Responseメッセージには、UE1とT−PGW5bの間に確立されるSAに必要な情報が送られる。
また、T−PGW5bが、ステップS13105でMSKを用いたAUTHパラメータを作成して、UE1に通知することによって、先にUE1がT−PGW5bを認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)して、続いて、UE1がAUTHパラメータをT−PGW5bに通知してもよい。
また、UE1とT−PGW5bのお互いの認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)は、UE1若しくはT−PGW5bのどちらか一方が認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)することで、SAが確立できる場合、又は、UE1若しくはT−PGW5bの処理負荷軽減などのために、どちらか一方だけが認証するだけでもよい。また、AUTHパラメータ以外を用いて、UE1とT−PGW5bの認証をすることができるのであれば、AUTHパラメータ以外を用いてもよい。
続いて、IKE_AUTH_Responseメッセージを受信したUE1は、T−PGW5bとBU/BA交換を実施する(図20、ステップS13201)。
なお、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証のために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合は、これらのBS_Identityを省略することもできる。
また、T−PGW5bへの切り替え指示後もAAAサーバ8aがUE1に対する状態を保持できる場合には、UE1が通知するReuse Indicatorも省略することができる。この場合、AAAサーバ8aは、UE1の固定情報(例えば、IMSIなど)などを基にUE1の識別を行い、保持しておいたUE1に対する状態に基づいて鍵データ(例えば、MSKなど)を抽出し、T−PGW5bに通知することができる。ただし、一部のAAAサーバ8aにおいては、切り替え指示後はUE1に対する状態を解消することも想定されるため、汎用性を確保する目的でReuse IndicatorをUE1から通知することは有用である。
以上の動作によって、従来技術のPDN GW reallocation procedureでは、UE1とAAAサーバとの8a間においてI−PGW5aとT−PGW5bで計2回のUE認証(Full Authentication)を実施する必要があったが、上述したように鍵の再利用を行うことにより、UE1がT−PGW5bに切り替え接続する際のブートストラップ処理のメッセージ数削減と切り替え時間の短縮を図ることができるようになる。
なお、過去にUE1が他のPGW5とSA確立を実施した実績がある場合、UE1に対するPGW5の切り替え要求(すなわち切り替え先PGW5(T−PGW5b)のアドレスの通知)は、上記説明したステップS13014より前に実施することも可能である(例えば、図20のステップS13007など)。例えば、UE1は、ステップS13102で送信されるReuse IndicatorをステップS13003のIKE AUTH Requestメッセージに含めて送信する。このReuse Indicatorを参照したI−PGW5aは、ステップS13004〜S13006の処理において、ステップS13103及びS13104と同様の手順で、UE1に対して確立済みの鍵をAAAサーバ8aから取得する(このとき同時に切り替え先PGW5のアドレスも取得することになる)。そして、I−PGW5aは、ステップS13007で切り替え先PGW5のアドレスを含むIKE_AUTH responseメッセージ(すなわち、上記のステップS13105で送信されるIKE_AUTH responseメッセージと同等のメッセージ)をUE1へ送信することによって、切り替え先PGW5のアドレスをUE1に通知することが可能となる。これにより、UE1は過去に確立した鍵を再利用して高速に切り替え先PGW5のアドレスを取得することができ、ひいては本来接続を希望しないPGW5が割り当てられた場合でも、所望のPGW5への切り替え接続を高速に実施することができる。
また、AAAサーバ8aはT−PGW5bへの切り替えを指示するタイミング(図20、ステップS13010)で、生成したMSKをT−PGW5bに通知してもよい。具体的には、図21を用いて説明する。
図21は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第2のシーケンス図である。図21には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図21の処理フローのステップS14001〜S14010は、図20の処理フローのステップS13001〜S13010と同一であるので説明を省略する。このステップS14010を送信する段階で、AAAサーバ8aはT−PGW5bにMSKを通知することが可能である。AAAサーバ8aがT−PGW5bにMSKを通知する手法としては、例えば、I−PGW5aにUE_BS_Identityを格納したAuthentication-Answerメッセージを送信する処理と同時に、UE1とI−PGW5aとの間のSA確立処理の過程で生成したMSKと、UE_BS_Identityに対応するT-PGW_BS_IdentityをT−PGW5bに送信する(図21、ステップS14011)。
図21のステップS14011においてAAAサーバ8aがT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図15のステップS11011で用いるメッセージ(図19に図示されているBS_Identity通知メッセージのフォーマット例)と同様であるので説明を省略する。なお、BS_Identity通知メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、BS_Identity通知メッセージに、UE1の固定情報(例えば、IMSIなど)を含めてもよく、これによりT−PGW5bがUE1からIKE_AUTH Requestメッセージを受信したとき、そのUE1に関してフル認証が完了しているUE1なのかを判別しやすくなり、より確実にUE1を照合することが可能となる。このUE1の固定情報のみで、フル認証済みであることが判別でき、UE1を照合することができる場合、このIKE_AUTH Responseメッセージで用いるUEアドレスフィールド5004は省略してもよい。
続く図21の処理フローのステップS14012〜S14102は、図20の処理フローのステップS13011〜S13102と同一であるので説明を割愛する。
Reuse indicatorとUE_BS_Identityが格納されたIKE_AUTH Requestメッセージ(図21、ステップS14102)を受信したT−PGW5bは、ステップS14011でAAAサーバ8aから受信したT-PGW_BS_Identityと、UE1とT−PGW5b間でMSKの再利用の許可を示したパラメータ(例えば、Success Reuse Indicatorフィールド3203の値)を格納したIKE_AUTH ResponseメッセージをUE1に返信する(図21、ステップS14103)。なお、T−PGW5bは、ステップS14102で受信したUE_BS_IdentityとステップS14011で受信したT-PGW_BS_Identityとが正しく対応するものであるか確認してもよい(例えば、ハッシュ値の検算や、ネットワーク上のBS_Identityリストを管理しているデータベースへの問合せなど)。また、UE1はI−PGW5aとSAを確立した際に生成したMSKを保持しているので、T−PGW5bは、ステップS14103で送信するIKE_AUTH ResponseメッセージにMSKを格納して通知する必要はない。ただし、例えば、UE1が何らかの理由でMSKを保持していない(例えば、既に廃棄しているなど)可能性も考えられるので、T−PGW5bが、ステップS14103で送信するIKE_AUTH ResponseメッセージにMSKを格納してUE1へ通知して、UE1がMSKを確実に把握できるようにしてもよい。また、MSKではなく、MSKを生成するための材料を通知してもよい。
図21のステップS14103で送信するIKE_AUTH Responseメッセージのフォーマットとしては、図17Cに図示されているフォーマット例を用いることが可能である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3201に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3202、Success Reuse Indicatorフィールド3203を設け、それぞれの値をUE1に通知することができる。また、T−PGW5bは、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してMSKの再利用やT-PGW_BS_Identityを示してUE1に通知してもよい。または、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコルのEAP Successを用いることで、MSKの再利用をUE1に通知してもよい。なお、本応答メッセージは、UE1がMSKの再利用を確認できるメッセージであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。また、T−PGW5bからUE1にMSKを送信する場合は、このメッセージにMSKフィールドを設けてもよい(不図示)。
IKE_AUTH Responseメッセージを受信したUE1は、例えばIKE_AUTH ResponseメッセージのSuccess Reuse Indicatorフィールド3203に格納されている値から、I−PGW5aとSAを確立した際に生成したMSKの再利用をできるか判断する。ここで、UE1がMSKの再利用をできると判断したとき、I−PGW5aとSAを確立した際に生成したMSKを用いてAUTHパラメータを作成する。UE1は、この作成したAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図21、ステップS14104)。なお、UE1は、I−PGW5aにAUTHパラメータを以前に(ステップS14014において)通知しているため、そのときに作成したAUTHパラメータを再利用してもよい。
IKE_AUTH Requestメッセージを受信したT−PGW5bは、ステップS14011でAAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する。続いて、T−PGW5bは、IKE_AUTH Requestメッセージを送信したUE1を認証する(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)。
T−PGW5bが、UE1を認証した場合(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などができた場合)、T−PGW5bは、IKE_AUTH ResponseメッセージをUE1に送信する(図21、ステップS14105)。
また、T−PGW5bは、UE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後、先にT−PGW5bが作成したAUTHパラメータをIKE_AUTH Responseメッセージに格納する。
なお、T−PGW5bは、AAAサーバ8aから送られてくるMSKを用いずに、UE1を認証できる場合(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などできる場合)には、MSKを用いない認証の方法を用いてもよい。T−PGW5bは、このIKE_AUTH Responseメッセージに格納するAUTHパラメータをステップS14105で作成しているが、ステップS14011でAAAサーバ8aからMSKを受信後、どのタイミングで作成してもよい。また、T−PGW5bが、UE1を認証する際(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などをする際)に、T−PGW5bが先に生成したAUTHパラメータを用いているが、このAUTHパラメータを用いずに確認できるのであれば、他の方法を用いて正確性を確認してもよい。
続いて、IKE_AUTH Responseメッセージを受信したUE1は、IKE_AUTH Responseメッセージを送信したT−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、UE1は、T−PGW5bを認証する際にステップS14104で使用したAUTHパラメータや、ステップS14101で取得した鍵情報(例えば、共有鍵や通信相手の公開鍵など)を用いてもよい。
なお、UE1によるT−PGW5bの認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)は、T−PGW5bによるUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認)のみで、SAが確立できる場合、又は、UE1の処理負荷軽減などのために省略してもよい。なお、UE1は、UE1が持つMSKを用いずに、T−PGW5bを認証できる場合(例えば、UE1が持つUE_BS_Identityと、T−PGW5bが持つT-PGW_BS_Identityの関連性の有無などを使用して認証できる場合)には、MSKを用いない認証の方法を用いてもよい。
T−PGW5b(IKE_SA_INITメッセージの送信元)の認証に成功した場合、UE1はT−PGW5bとBU/BA交換を実施する(図21、ステップS14201)。
このように、AAAサーバ8aがT−PGW5bにMSKを事前に通知しておくことにより、UE1がT−PGW5bに切り替え接続した時に、T−PGW5bがAAAサーバ8aからMSKを取得する場合に比べて、高速な切り替え接続が可能となる。
なお、AAAサーバ8aがT−PGW5bにMSKを通知するより先に、UE1からのIKE_AUTH RequestメッセージをT−PGW5bが受信/処理してしまうと、T−PGW5bは再度UE1に対するフル認証処理をAAAサーバ8aに要求してしまい、接続までに要する時間が増大することになる。これを回避するため、UE1は図14で説明したReuse indicatorを含めたIKE_AUTH RequestメッセージをT−PGW5bに送信し(図21、ステップS14102)、T−PGW5bがAAAサーバ8aからMSKを取得していなければ、AAAサーバ8aに問い合わせるようにしてもよい。これにより、より確実にMSKの再利用を行うことができるとともに、切り替え接続の高速化を図ることができる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証を行うため(例えば、UE1になりすました偽UE1が、T−PGW5bに不正アクセスして、UE1とT−PGW5b間のSAに関する情報の取得を回避するため)や、AAAサーバ8aにおいて、今回UE1からの接続要求が、先に指示されたT−PGW5bへの切り替え接続によるものであるか、あるいは新規PGW5への接続のためのものであるかを判別して確実にMSKの再利用を実施するために有用である。一方、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合、またAAA8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えによるものであることの確認がとれる場合などにおいては、これらのBS_Identityを省略することもできる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、PDN GW reallocationが複数発生したときにも有用である。例えば、UE1が最初に発見したPGW(I−PGW5a)とアタッチ処理をしている際にPDN GW reallocationが起こり、UE1はI−PGW5aからPGW5(I’−PGW)のアドレスを受信する。しかし、改めてUE1がSAを確立しようとしたI’−PGWが、UE1が3Gアクセス2で接続しているT−PGW5bとは異なる別のPGW5の場合である。この場合、UE1は、I’−PGWとMSKを再利用してSAを確立しようとするが、AAAサーバ8aから再度PGW5(T−PGW5b)のアドレスが通知される可能性がある。このUE1がT−PGW5bとアタッチ処理を実施するとき、UE1は、I−PGW5aとSAを確立した際に生成したMSK、若しくは、UE1とI’−PGWの間でSAを確立した際に生成したMSKを再利用してもよい。このとき、UE1は、どちらのMSKを再利用するか示すためにUE_BS_Identity並びにT-PGW_BS_Identityを用いてもよい。
またさらには、理想状態において、T−PGW5bはUE1からIKE_AUTH Requestメッセージを受信する前にAAAサーバ8aからUE1向けの鍵(例えば、MSK)を取得することができ、この時点で鍵の再利用を認識することができるため、UE1が通知するReuse Indicatorも省略することができる。ただし、先に説明したようにAAAサーバ8aからの通知がUE1からのIKE_AUTH Requestメッセージ到着より遅れることも想定し、T−PGW5bに対して従来のシーケンスに基づく処理ではなく鍵を再利用するためのシーケンスに基づく処理を促す目的でReuse Indicatorを付加することは有用である。
なお、上述の第2の実施の形態で説明したように、UE1は、I−PGW5aとの接続途中で切り替え先PGW5であるT−PGW5bのアドレスを通知されるかもしれない(図13のステップS9107)。しかしながら、第2の実施の形態では、UE1がAAAサーバ8aの状態を解消するためにステップS9108〜S9112を実施するものであったが、実質このステップ区間においてAAAサーバ8aによる認証処理(MSK生成)を完了させて、T−PGW5bとの切り替え接続時に認証データ(MSKなど)を再利用したほうが、総じて処理時間の短縮効果が大きいと考えられる。よって、本第4の実施の形態に対応するUE1が、I−PGW5aとの接続途中で切り替え先PGW5のアドレスを通知された場合は、図20のステップS13008(若しくは、図21のステップS14008)でAAAサーバ8aの状態解消を要求せず、引き続き認証処理を継続してもよい。すなわち、図13のステップS9108以降の処理は、図20のステップS13008(若しくは、図21のステップS14008)以降に置き換えられるが、既にT−PGW5bのアドレスはステップS13007(若しくは、ステップS14007)でUE1に通知されているので、図20のステップS13014(若しくは、図21のステップS14015)で再度通知する必要はない。
本発明の第4の実施の形態では、UE1とI−PGW5a間のSAを確立した際に生成したMSKを再利用することで、UE1とT−PGW5b間のSAを確立する際に必要であったメッセージを削減することができた。また、そのメッセージのやりとり、処理をすることに要する時間を短縮することができた。
UE1は、MSKを再利用する以外に、UE1とPGW5間で生成する共有鍵(例えば、SKEYSEEDなど)(上記した非特許文献7を参照)を再利用することで、PDN GW reallocationが起こった際、共有鍵などを生成・取得するステップ(例えば、図20のステップS13101に相当)などを省略することができる。例えば、PDN GW reallocationが起こり、UE1がI−PGW5aとSAを確立して(図20のステップS13001〜ステップS13014)、UE1はI−PGW5aから受信したT−PGW5bとSAを確立しようとする。このとき、UE1が、I−PGW5aとSAを確立した際に生成した共有鍵(例えば、SKEYSEEDなど)を再利用することで、UE1とT−PGW5b間の共有鍵を生成するステップなどを省略することができる。また、理想状態(T−PGW5bが共有鍵の再利用を許可する状態)であれば、UE1がT−PGW5bに共有鍵の再利用を示すメッセージを通知するだけで他のメッセージを省略することができる。
また、同様にUE1とPGW5の間の共有鍵(例えば、SKEYSEEDなど)やMSKは、PGW5毎に生成するが、パケットの暗号化に用いる鍵(SK_ei、SK_erなど)を再利用することで、任意の鍵生成のステップを省略してもよい。この場合、新しく鍵を生成するか、再利用するかを切り替えることで、セキュリティレベルが上がり、UE1とPGW5間の鍵情報を傍受しようとしているノードによる情報漏洩の可能性を低減することができる。
また、UE1はMSKの再利用を示したIKE_AUTH Requestメッセージ(図20、ステップS13102)に、I−PGW5aとのSAを確立した際に生成したMSKを用いて作成するAUTHパラメータを格納して、T−PGW5bに通知してもよい。具体的には、図24を用いて説明する。
図24は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第3のシーケンス図である。図24には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図24の処理フローのステップS17001〜S17101は、図20の処理フローのステップS13001〜S13101と同一であるので説明を省略する。
続いて、UE1は、MSKの再利用が示されたReuse Indicatorなどを含むIKE_AUTH RequestメッセージをT−PGW5bに送信する。このとき、UE1は、I−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータも一緒に格納して、T−PGW5bに通知する(図24、ステップS17102)。
T−PGW5bは、IKE_AUTH RequestメッセージにAUTHパラメータが格納されていることを確認したとき、UE1がEAP(Extended Authentication Protocol)を用いず、一般的なIKEv2プロトコルを用いたSA確立方法を示していることを判断する(上記した非特許文献7を参照)。また、UE1が、I−PGW5aとSAを確立した際に生成したMSKの再利用を示した値(IKE_AUTH Requestメッセージに格納されているReuse Indicatorフィールド3002で、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を示した値、若しくはReuse Indicatorフィールド3002以外でMSKの再利用を示した値に相当するパラメータ)が格納されていると判断した場合は、T−PGW5bはAAAサーバ8aにステップS17102で受信したReuse IndicatorとUE_BS_Identityを格納したAuthentication-Requestメッセージを送信する(図24、ステップS17103)。なお、Reuse Indicatorを用いず、例えば、AUTHパラメータをIKE_AUTH Requestメッセージに格納してT−PGW5bに通知することで、T−PGW5bは、UE1がMSKの再利用を示しているということが確認できる場合、Reuse Indicatorは省略することができる。また、AAAサーバ8aが、UE1の固有情報(例えば、IMSIなど)を用いることで、UE1がI−PGW5aとSAを確立した際に生成したMSKを取得できる場合は、UE_BS_Identityも省略することができる。
図24の処理フローのステップS17104は、図20の処理フローのステップS13104と同一であるので説明を省略する。
ステップS17104でAAAサーバ8aからMSKを受信したT−PGW5bは、AUTHパラメータが格納されたIKE_AUTH Requestメッセージを送信してきたUE1の認証を行う(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、T−PGW5bが、AAAサーバ8aから受信したMSKを用いずにUE1を認証できる場合、MSKを用いる必要はない。また、この場合、UE1の認証処理をステップS17102後に行ってもよい。なお、T−PGW5bはUE1を認証する際に、AAAサーバ8aから受信したMSKを用いてもよく、また、受信したMSKを用いて計算するAUTHパラメータを用いてもよい。
T−PGW5bは、UE1の認証を完了した後、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを計算し、IKE_AUTH Responseメッセージに格納して、UE1に送信する(図24、ステップS17105)。なお、UE1を認証する際に、AAAサーバ8aから受信したMSKを用いて生成するAUTHパラメータを用いる場合は、UE1を認証する前にAUTHパラメータを計算してもよい。また、T−PGW5bはステップS17104でMSKと一緒に受信したT-PGW_BS_IdentityもIKE_AUTH Responseメッセージに格納してUE1に送信する。
AUTHパラメータとT-PGW_BS_Identityが格納されたIKE_AUTH Responseメッセージを受信したUE1は、T−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。UE1が、T−PGW5bを認証した場合、UE1はT−PGW5bとBU/BA交換を実施する(図24、ステップS17201)。
また、本発明の第4の実施の形態における第2のシーケンス(図21)のようにAAAサーバ8aがI−PGW5aにT−PGW5bのIPアドレスを通知する(図21、ステップS14010)と同時に、T−PGW5bへUE1とI−PGW5a間でSAを確立した際に生成したMSKとT-PGW_BS_Identityを通知する(図21、ステップS14011)場合も同様である。詳しくは、図25を用いて説明する。
図25は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第4のシーケンス図である。図25には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図25の処理フローのステップS18001〜S18101は、図21の処理フローのステップS14001〜S14101と同一であるので説明を省略する。
続いて、UE1は、MSKの再利用が示されたReuse Indicatorなどを含むIKE_AUTH RequestメッセージをT−PGW5bに送信する。このとき、UE1がI−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータを格納して、T−PGW5bに通知する(図25、ステップS18102)。なお、Reuse Indicatorを用いず、例えば、AUTHパラメータをIKE_AUTH Requestメッセージに格納してT−PGW5bに通知することで、T−PGW5bは、UE1がMSKの再利用を示しているということが確認できる場合、Reuse Indicatorは省略することができる。また、T−PGW5bが、UE1の固有情報(例えば、IMSIなど)を用いることで、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を示していることが確認できる場合は、UE_BS_Identityも省略することができる。
AUTHパラメータなどを含むIKE_AUTH Requestメッセージを受信したT−PGW5bは、UE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)を行う。なお、T−PGW5bはUE1を認証する際に、AAAサーバ8aから受信したMSKを用いてもよく、また、受信したMSKを用いて計算するAUTHパラメータを用いてもよい。また、UE1を認証する際、AAAサーバ8aから受信したMSK以外を用いてUE1を認証できる場合は、T−PGW5bはMSK以外を用いてUE1を認証してもよい。
UE1の認証ができた場合、T−PGW5bはAAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する。なお、UE1を認証する際に、AAAサーバ8aから受信したMSKを用いて生成するAUTHパラメータを用いる場合は、UE1を認証する前にAUTHパラメータを計算してもよい。そして、UE1は、作成したAUTHパラメータや、UE1とT−PGW5bの間のSA確立に必要なパラメータなどを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図25、ステップS18103)。なお、UE1が、T-PGW_BS_IdentityパラメータなしでT−PGW5bを認識することができる場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを復号可能な場合)、T−PGW5bは、T-PGW_BS_Identityを省略することができる。
AUTHパラメータなどが格納されたIKE_AUTH Responseメッセージを受信したUE1は、T−PGW5bの認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)を行う。T−PGW5bの認証ができた場合、UE1はT−PGW5bとBU/BA交換を実施する(図25、ステップS18201)。
図24や図25の処理フローに示されているように、UE1が、ステップS17102やステップS18102で、I−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータをT−PGW5bに送ることによって、T−PGW5bは、UE1がEAPを用いたBS処理ではなく、一般的なIKEv2プロトコルを用いてT−PGW5bとの間のSA確立を希望していると判断できる。また、Reuse Indicator若しくはReuse Indicator相当のパラメータを受信することによって、T−PGW5bは、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を希望していることを確認でき、AAAサーバ8aから受信したMSKを用いて作成したAUTHパラメータをUE1に送信することが可能となる。その結果、UE1とT−PGW5bは、図20や図21の処理フローにおいて必要であったメッセージ(例えば、図20のステップS13106〜S13107や、図21のステップS14104〜S14105)を省略してSAを確立することができる。
次に、本発明の第4の実施の形態における移動端末(UE1)の構成と処理フローについて説明する。本発明の第4の実施の形態における移動端末(UE1)の構成は、本発明の第1〜第3の実施の形態における移動端末(UE1)の構成(図3を参照)と同様であるので説明を省略する。
以下、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図22と図26を用いて詳しく説明する。図22と図26は、本発明の第4の実施の形態におけるUE1の構成の一例を示す図であり、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
図22のUE1の処理フローのステップS15001〜S15013は、図16のUE1の処理フローのステップS12001〜S12013と同一であるので説明を省略する。
UE1は、T−PGW5bから送られてきたT-PGW_BS_Identityと、UE1が生成・取得したT-PGW_BS_Identityが一致しているか、若しくは関連性があるか確認する(ステップS15014)。そして、MSKの再利用の許可(例えば、IKE_AUTH Responseメッセージ(図20のステップS13105など)にEAP Successが格納されているかなど)が示されているか確認する(ステップS15105)。T-PGW_BS_Identityが一致しているか、若しくは関連性があるうえで、MSKの再利用の許可が示されていた場合、UE1は、T−PGW5bに送信するためのAUTHパラメータを、I−PGW5aとSAを確立する際に生成したMSKを用いて作成する(ステップS15120)。一方、一致しなかった場合には、UE1は、受信したIKE_AUTH Responseメッセージを破棄する(図22、ステップS15040)。
続いて、UE1は、ステップS15120で作成したAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図22、ステップS15121)。そして、UE1は、T−PGW5bから送られてくるIKE_AUTH Responseメッセージを受信する(図22、ステップS15122)。
UE1は、ステップS15122でIKE_AUTH Responseメッセージを送信したT−PGW5bを認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)する(図22、ステップS15123)。UE1が、T−PGW5bを認証できた場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)には、T−PGW5bとBU/BA交換を実施する(図22、ステップS15130)。また、UE1が認証できなかった場合には、T−PGW5bから受信したIKE_AUTH Responseメッセージを破棄する(図22、ステップS15040)。
なお、UE1が、T−PGW5bを信頼することができる場合(例えば、T-PGW_BS_Identityが格納されている場合など)、あるいは、T−PGW5bを認証する必要がない場合(例えば、例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認などが既知、もしくは省略できる場合)には、ステップS15123は省略することができ、T−PGW5bとBU/BA交換を実施する。また、T−PGW5bによるUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)のみで相互の確認ができる場合は、ステップS15123を省略してもよい。
なお、UE1が、ステップS15006で受信したIKE_AUTH Responseメッセージの中にT−PGW5bのアドレスとUE_BS_Identityが格納されていなかった場合は、PGW5の切り替えを要求されなかったことであることから、確立したSAを用いてI−PGW5aとBU/BA交換を実施する(図22、ステップS15030)。
なお、本発明の第4の実施の形態における第3と第4のシーケンスにおいて、UE1がT−PGW5bにAUTHパラメータを通知する場合(例えば、図24のステップS17102や図25のステップS18102)は、図26に示すようにUE1がT−PGW5bとIKE_SA_INITメッセージを交換後(図26、ステップS19010)、Reuse Indicatorを生成するとともに、I−PGW5aとSAを確立した際に生成したMSKを用いてAUTHパラメータを生成する。なお、ステップS19011とステップS19012を処理する順番は逆でも構わない。
続いて、UE1は、生成したReuse IndicatorとAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図26、ステップS19013)。
IKE_AUTH Responseメッセージを受信した後(図26、ステップS19014)、UE1はT−PGW5bを認証する(図26、ステップS19015)。
その後、UE1はT−PGW5bとBU/BA交換を実施する(図26、ステップS19020)。
次に、本発明の第4の実施の形態におけるPGW5の構成と処理フローについて説明する。本発明の第4の実施の形態におけるPGW5の構成は、本発明の第1〜第3の実施の形態におけるPGW5の構成(図8を参照)と同様であるので説明を省略する。
以下、図8に図示されている構成を有するPGW5の処理フローについて、本発明における特徴的な処理を実施する接続制御部205に係る処理を中心に、図23Aと図23Bと図27を用いて詳しく説明する。なお、PGW5は、既に通信部201を介し、3Gアクセス2(ホームリンク)に接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5は、I−PGW5aとする。
図23Aは、本発明の第4の実施の形態におけるPGW5のI−PGW5aとしての処理フローの一例を示すフロー図である。本発明によるPGW5は、UE1とSAを確立するためにUE1からのBS処理(例えば、図20のステップS13002や、ステップS13003など)を待つ。UE1はI−PGW5aとアタッチ(接続)処理を接続手順に従って開始する。
UE1が、例えばN3Gアクセス3に接続して、UE1が接続を所望するPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)がDNSなどから割り当てられる際、UE1がI−PGW5aとアタッチ(接続)処理をしているときにネットワーク側(例えば、AAAサーバ8aやPGW5など)の判断によってPDN GW reallocationが起こる(PGW5を切り替える指示(例えば、T−PGW5bのアドレスなど)がUE1に通知される)(図23A、ステップS16001)。
従来技術のPDN GW reallocationでは、AAAサーバ8aが図14のステップS9010(若しくは、それ以前のステップ)でPDN GW reallocationの決定をして、T−PGW5bのアドレスをPGWに通知している(上記の非特許文献2を参照)。そこで、本発明の第4の実施の形態でも、説明の都合上、AAAサーバ8aがPDN GW reallocationの決定をすることとする。
I−PGW5aは、AAAサーバ8aがPDN GW reallocationの決定をした際、PGW5の切り替え先であるT−PGW5bのアドレスと、UE1とI−PGW5aの間で用いるMSKと、AAAサーバ8aがUE1を一度フル認証したことを証明する証明書(例えば、UE_BS_Identityなど)をAAAサーバ8aから受信する(図23A、ステップS16002)。なお、ここでは、説明の都合上、AAAサーバ8aがUE1を一度フル認証したことを証明する証明書をUE_BS_Identityとする。
続いて、I−PGW5aは、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)(図20のステップS13013)するためや、UE1がI−PGW5aを認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)するために、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する(図23A、ステップS16003)。
I−PGW5bは、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)できた場合、T−PGW5bのアドレスと、UE_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図23A、ステップS16004)。
一方、図23Bは、本発明の第4の実施の形態におけるPGW5のT−PGW5bとしての処理フローの一例を示すフロー図である。T−PGW5bのアドレスを受信したUE1は、PDN GW reallocationが起こったことを検出する。続いて、UE1は、T−PGW5bとアタッチ(接続)処理を開始するために、IKE_SA_INITメッセージを送信する。
T−PGW5bは、UE1から送られてきたIKE_SA_INITメッセージを受信する(図23B、ステップS16010)。続いて、T−PGW5bは、IKE_SA_INITメッセージに格納されていたNoncesや、IKE_SA_INITメッセージ交換時に実施されるDiffie-Hellman鍵交換で生成・取得した共有鍵(例えば、SKEYSEED)を用いて、UE1とT−PGW5bの間で用いるパケットの暗号化をするための鍵(例えば、SK_eiやSK_er)などを生成する(図23B、ステップS16011)。また、この時、IKE_AUTHメッセージに格納されるAUTHパラメータを認証するためのパラメータ(例えば、お互いの公開鍵など)を交換してもよい。なお、UE1とT−PGW5bの間で用いる鍵生成は、NoncesやDiffie-Hellman鍵交換で共有される鍵以外を用いてもよく、これらに限定されていない。
IKE_SA_INITメッセージ交換が終了した後、T−PGW5bは、UE1から送られてくるIKE_AUTH Requestメッセージを受信する(図23B、ステップS16012)。T−PGW5bは、UE1から受信したIKE_AUTH RequestメッセージのReuse Indicatorフィールド3002に格納されているMSKの再利用を示した値(例えば、Reuse keyなど)、若しくはMSKの再利用を示す値に相当するものが格納されているか確認する(図23B、ステップS16013)。
このとき、Reuse keyなどのMSKの再利用を示す値(若しくは、これに相当するもの)が格納されていなかった場合は、一般的なBS処理を開始する。なお、T−PGW5bが、フル認証をしたことを証明するUE_BS_Identityのみで、UE1がMSKの再利用を希望していることを確認できる場合には、このReuse Indicatorフィールドは使用されない。
一方、Reuse keyなどのMSKの再利用を示す値(若しくは、これに相当するもの)が格納されている場合は、ステップS16012で受信したReuse keyとUE_BS_Identityを格納したAuthentication-Request/IdentityメッセージをAAAサーバ8aに送信する(図23B、ステップS16100)。AAAサーバ8aは、T−PGW5bから送られてきたUE_BS_Identityと対応するMSKとT-PGW_BS_IdentityをT−PGW5bに送信する。なお、I−PGW5aからデータの暗号化などに用いる鍵(例えば、SK_eやSK_iなど)がAAAサーバ8aに転送され、かつ、ネットワーク側でデータの暗号化などに用いる鍵もUE1とT−PGW5b間で再利用してよいという判断が下された場合に限り、その鍵情報(例えば、SK_eやSK_iなど)も同時にT−PGW5bに送信してもよい。
T−PGW5bは、MSKとT-PGW_BS_Identityなどが格納されたAuthentication_AnswerメッセージをAAAサーバ8aから受信する(図23B、ステップS16101)。続いて、T−PGW5bは、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する(図23B、ステップS16102)。T−PGW5bは、MSKの再利用が可能であることを示すと同時にT−PGW5bのなりすまし防止などを目的とするT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図23B、ステップS16103)。
UE1は、MSKの再利用が可能であることを確認した後、UE1が持つMSKを用いてAUTHパラメータを作成する。続いて、UE1は、そのAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する。T−PGW5bは、UE1からIKE_AUTH Responseメッセージを受信する(図23B、ステップS16104)。
続いて、T−PGW5bは、IKE_AUTH Responseメッセージを送信したUE1を認証する(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)(図23B、ステップS16105)。このとき、T−PGW5bは、ステップS16102で作成したAUTHパラメータを比較対象として用いてもよい。なお、T−PGW5bによるAUTHパラメータの作成は、ステップS16102で行われたが、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)する直前に生成してもよい。また、このUE1の認証をする際に、T−PGW5bが生成するAUTHパラメータを用いない場合、このAUTHパラメータの生成は、T−PGW5bがAUTHパラメータをUE1に送信するステップS16200の直前でもよい。
T−PGW5bがUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)をできた場合、T−PGW5bはステップS16102で作成したAUTHパラメータなどを含むIKE_AUTH ResponseメッセージをUE1に送信する(図23B、ステップS16200)。続いて、T−PGW5bは、UE1とBU/BA交換を実施する(図23B、ステップS16201)。なお、T−PGW5bが、UE1の認証をできなかった場合は、BS処理を終了する。
なお、本発明の第4の実施の形態における第3と第4のシーケンスにおいて、T−PGW5bが、IKE_SA_INITメッセージ交換直後にUE1からIKE_AUTH RequestメッセージでAUTHパラメータを通知される場合(例えば、図24のステップS17102や図25のステップS18102)は、T−PGW5bはUE1から送られてきたIKE_AUTH RequestメッセージにAUTHパラメータが格納されているか確認する(図27、ステップS20013)。
IKE_AUTH RequestメッセージにAUTHパラメータが格納されている場合、T−PGW5bは、AAAサーバ8aにUE1から受信したReuse keyとUE_BS_Identityが格納されているAuthentication-Requestメッセージを送信する(図27、ステップS20100)。
続いて、T−PGW5bは、AAAサーバ8aからMSKとT-PGW_BS_Identityが格納されたAuthentication-Responseメッセージを受信する(図27、ステップS20101)。
T−PGW5bは、受信したMSKを用いてAUTHパラメータを作成する(図27、ステップS20102)。
続いて、T−PGW5bは、UE1を認証する(図27、ステップS20103)。なお、UE1を認証する際に、ステップS20101で受信したMSKや、ステップS20102で生成したAUTHパラメータを用いてUE1を認証してもよい(例えば、UE1から送られてきたAUTHパラメータとT−PGW5bが生成したAUTHパラメータの比較など)。なお、T−PGW5bが、UE1を認証する際、T−PGW5bが生成するAUTHパラメータを用いない場合は、ステップS20102とステップS20103の処理する順番を入れ替えてもよい。
T−PGW5bがUE1を認証した場合、T−PGW5bが生成したAUTHパラメータやT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図27、ステップS20110)。
続いて、T−PGW5bはUE1とBU/BA交換を実施する(図27、ステップS20111)。
本発明の第4の実施の形態に基づいて処理することで、UE1が既に確立済みのPGW5(T−PGW5bに相当)とは異なるPGW5(I−PGW5aに相当)が割り当てられた場合であっても、従来技術のPDN GW reallocation procedureと比べて、T−PGW5bへの切り替え接続を短時間に完了させることができる。つまり、UE1とT−PGW5bが、UE1とI−PGW5aのSA確立時に作成したMSKを再利用して、UE1とT−PGW5bの間のSAを確立することで、UE1が所望のPGW5(T−PGW5bに相当)との間の接続を短い時間で確立できるようになる。
なお、本発明の第4の実施の形態で用いたMSKは、インターネットで利用される技術を標準化する組織であるIETF(Internet Engineering Tast Force)が、RFCで定義しているMSKと同じであってもよいし、別途規定されてもよい。
また、図21に示したように、AAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知するような場合においても、UE1は、Reuse IndicatorとUE_BS_Identityとを格納したIKE_AUTH_RequestメッセージをT−PGW5bに送信することが望ましい。これにより、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図21、ステップS14011)が遅延したりロスしたりして、T−PGW5bが鍵データ(MSK)の再利用(フル認証の省略)を認識していない場合であっても、T−PGW5b越しにMSKの再利用を実施することができ、切り替え接続のための時間短縮をより確実なものとすることができる。
また、図21に図示されている第2のシーケンスでAAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知する場合において、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図21、ステップS14011)が遅延したりロスしたりしないことがシステムとして保証されているような場合には、Reuse Indicatorの代わりとしてUser IdentityやUE1のアドレスを使用することで、UE1はReuse Indicatorを図22のステップS15011で生成したり、ステップS15012でIKE_AUTH_Requestメッセージに格納したりしなくてもよい。
またさらには、AAAサーバ8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えを意図していることが確認できる場合、UE_BS_Identityは最早不要であり、図22のステップS15007でUE1への通知は行われない。このときUE1は、T−PGW5bに対して標準的なBS処理を実行すればよく(図22には不図示)、これにより、MSKの再利用がネットワーク側の判断によって実施され、T−PGW5bへの切り替え接続を短時間に完了させることができる。
なお、本発明の第4の実施の形態で用いられているUE_BS_Identity並びにT-PGW_BS_Identityに関しても、上述の第1の実施の形態と同様に、様々な組み合わせが可能である。すなわち、本発明の第4の実施の形態において、例えば、UE_BS_Identityと、このUE_BS_Identityに対応するT-PGW_BS_Identityを用いて、UE_BS_IdentityとT-PGW_BS_Identityとの照合が行われてもよく、どちらか一方のBS_Identityが用いられてもよく、あるいは、BS_Identityが用いられなくてもよい。また、本発明の第4の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityに使用される情報として、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレス(これらに限定されない)など、UE1及びPGW5によって認識可能な値(符号)を用いることが可能である。また、本発明の第4の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityは、PGW5、AAAサーバ8a、あるいは、その他の通信装置によって生成されてもよい。
なお、上記の本発明の実施の形態の説明で用いた各機能ブロックは、典型的には集積回路であるLSI(Large Scale Integration)として実現される。これらは個別に1チップ化されてもよいし、一部又はすべてを含むように1チップ化されてもよい。なお、ここでは、LSIとしたが、集積度の違いにより、IC(Integrated Circuit)、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。例えば、バイオ技術の適応などが可能性としてあり得る。
本発明のゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末は、複数のCoAを使用している移動端末のCoAを管理するPGW5を確実かつ迅速に統一できるようになり、その結果、移動端末は、複数のCoAを使用した通信における利益を確実かつ迅速に享受できるようになるという効果を有しており、複数の通信インタフェースを有する移動端末が、これら複数の通信インタフェースを用いて異なるアクセスネットワークを介して所定のゲートウェイにアクセスするため技術に適用可能である。
本発明は、IP(Internet Protocol:インターネットプロトコル)を用いた通信を行う通信ノードがPGW(PDN Gateway)に接続する際に、その接続先を制御するゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末に関し、特にモバイルIPv6(Mobility support for IPv6:以降、MIPv6と呼ぶ)における移動端末(User Equipment:以降、UEと呼ぶ)が複数の通信インタフェース(Interface:以降、IFと呼ぶ)を保持する環境で、UEの情報を管理するPGWに接続する際に適用されるゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末に関する。
従来、MIPv6はIPネットワークにおけるUEの移動透過性を確保する技術として知られている(例えば、下記の非特許文献3又は非特許文献4を参照)。図1には、MIPv6を用いた通信ネットワークの構成の一例が図示されている。図1において、UE1(MIPv6ではモバイルノード:Mobile Node(MN)とも呼ばれる)と、UE1の位置情報(気付けアドレス;Care-of Address(CoA)とも呼ばれる)を管理するPGW5(MIPv6用語ではホームエージェント:Home Agent(HA)とも呼ばれ、後述するI−PGW5a若しくはT−PGW5bに相当)と、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAA(Authentication, authorization and Accounting)サーバ8aとユーザ情報データサーバであるHSS(Home Subscriber Server)8b、PGW5のURI(Universal Resource Identifier)とIPアドレスとの組を保持するDNS(Domain Name System:ドメインネームシステム)サーバ9で構成される。
なお、AAAサーバ8aとHSS8bは、物理的又は論理的に同一の装置に実装されるものであってもよく、以降、AAAサーバ8aとHSS8bを説明の都合上まとめてAAA/HSS8と呼ぶこともある。また、図1には、DNSサーバ9の接続形態は明示されていないが、DNSサーバ9は、コアネットワーク4や各アクセスネットワーク(後述する3GPPアクセスネットワーク2又はNon−3GPPアクセスネットワーク3)からアクセス可能である。
図1において、UE1は、ホームリンク上で有効なホームアドレス(Home Address:以降、HoAと呼ぶ)と、外部リンクである移動先ネットワークで取得したCoAを、バインディングアップデート(Binding Update:以降、BUと呼ぶ)メッセージを用いてPGW5に通知する。PGW5は、通知された両アドレス(HoA,CoA)の対応関係をバインディングキャッシュ(Binding Cash:以降、BCと呼ぶ)に登録して保持することで、UE1のHoA宛てに送られてきたパケットをインターセプトし、対応するUE1のCoA宛てに転送することが可能になる。UE1は、定期的あるいはCoAが変更されたときに、BUメッセージを用いてCoAをPGW5に通知する。これにより、UE1はホームリンク内外に関係なく、UE1のHoA宛てのパケットを常時受信するができるようになる。
ここで、下記の非特許文献1には、移動体通信システムの標準化プロジェクト(3rd Generation Partnership Project:以降、3GPPと呼ぶ)におけるPGW5の割り当て方法が開示されている。非特許文献1に開示されている技術によれば、例えば図1において、UE1は、新たなアクセスネットワークに接続する際、自身を収容するPGW5を示すURIを基に、新たなアクセスネットワークにおけるUE1の位置情報を管理するPGW5のIPアドレスをDNSサーバ9から取得する。
このとき、同一あるいは異なる通信インタフェースを介して既にUE1が接続済みのPGW5(UE1のバインディングキャッシュエントリを保持しているPGW5)が存在する状態も起こり得るが、このような状態にもかかわらず、既にUE1が接続済みのPGW5とは異なるPGW5がDNSサーバ9によって提示されることがある。こうした場合、例えば、異なる通信インタフェースで受信するデータの同期を取ることが困難になるなど、様々な点において、UE1が複数のCoAを用いる際に期待される利点が実現されなくなってしまうかもしれないという問題が生じる。
このような問題を解決する方法として、非特許文献1には、PGW5の切り替え方法(PDN GW reallocation procedure)が開示されている。非特許文献1に開示されているPDN GW reallocation procedureでは、UE1は、DNSサーバ9によって提示された異なるPGW5への接続をいったん開始するが、その接続処理中にAAA/HSS8が提供する情報に基づいて、既に接続済みのPGW5のアドレスをネットワーク側からUE1に通知することで、UE1は、通知されたPGW5(既に接続済みのPGW5)に再接続できるようになる。
なお、本明細書では、UE1が新たなアクセスネットワークに接続する際に、その接続先アクセスネットワークで提示されたPGW5をI−PGW(Initial PGW)5aと呼び、一方、UE1が新たなアクセスネットワークに接続する前に既に別のアクセスネットワークを通じて接続しているPGW5をT−PGW(target PGW)5bと呼んで区別を行うことにする。T−PGW5bは、UE1が新たなアクセスネットワークに接続した際に本来UE1が接続したいPGW5である。UE1は、新たなアクセスネットワークに接続した場合においても、その接続先をT−PGW5bとすることで、通信に複数のCoAを利用する場合の利益を享受できるようになる。
非特許文献1に開示されているPDN GW reallocation procedureを使用することで、接続先アクセスネットワークで提示されたPGW5が異なる場合においても、AAA/HSS8がT−PGW5aを割り当てることで、UE1は接続先のアクセスネットワークによらずPGW5を統一することが可能になる。
非特許文献1に開示されているPDN GW reallocation procedureは、UE1とPGW5との間のパケット通信を保護するためのセキュリティアソシエーション(Security Association:以降、SAと呼ぶ)を確立するためのブートストラッピング(Bootstrapping:以降、BSと呼ぶ)手順を利用する。なお、BS手順に関しては、例えば下記の非特許文献2に記述されている。以下、図12用いて、その詳細な動作について説明する。
図12は、従来の技術におけるBS手順を説明するためのシーケンス図である。なお、図12には、図1に図示されているシステム構成における図示されているBS手順の一例が示されている。図12では、UE1がDNSサーバ9から提示されたPGW5とBSを実施する。その際に、コアネットワーク4への接続許可を下すAAAサーバ8aと、存在する場合にはUE1が収容されるPGW5の識別情報(以降、PGW Identityと呼ぶ)やアクセスポイント名(Access Point Name:以降、APNと呼ぶ)などを管理するHSS8bとの間でインタラクションが発生する。
まずUE1は、PGW discovery procedure を実行し、PGW5(図1のI−PGW5aに相当)のアドレスを取得する(ステップS9001)。この際、もしUE1が既に接続済みのPGW5(図1のT−PGW5bに相当、図12には不図示)を介して接続確立されたPDN(Packet Domain Network、図12には不図示)のAPNを保持していた場合は、DNSサーバ9にそのPGW5(T−PGW5b)のアドレスを問い合わせる。具体的には、UE1は、保持しているT−PGW5bのAPNを問い合わせメッセージに格納し、その問い合わせメッセージをDNSサーバ9に送信する。DNSサーバ9は、UE1から送られてきたAPNに基づいてPGW5を検索してUE1に通知するが、ネットワークの状態(負荷状態、オペレータによる設定、またDNSデータベースが現在のUE1の状態に基づいたダイナミック情報を保有していない、などの様々な理由)によって、UE1が所望するT−PGW5bのアドレスではなく、異なるPGW5(I−PGW5a)のアドレスをUE1に返すことがある。
UE1は、DNSサーバ9から受信したPGW5(ここではI−PGW5aに相当)のアドレスに対してSA確立を開始する(IKE_SA_INITシーケンスの起動、ステップS9002)。IKE_SA_INITシーケンスにより、UE1とPGW5との間で以降のBS処理に使用する共有鍵を含むIKE SA(IKE Security Association)を生成する。次に、UE1は、生成したIKE SAを使用して保護したIKE_AUTH RequestメッセージをPGW5に送信する(ステップS9003)。IKE_AUTH Requestメッセージには、UE1の識別子(例えば、NAI:Network Access Identifier)などが含まれている。PGW5は、取得したIKE_AUTH Requestメッセージに記載されたパラメータを基に、UE1に対する認証要求メッセージ(Authentication-Request/Identity)を生成し、AAAサーバ8aに送信する(ステップS9004)。
AAAサーバ8aはHSS8bから取得したユーザプロファイル(User Profile)や認証ベクタ(Authentication Vector:AV)などを基にUE1の認証を行い(ステップS9005)、PGW5を介してコアネットワーク4への接続を許可してもよいUE1であるかどうかを判断し、その結果をEAP-Request/AKA-Challengeメッセージを用いてPGW5に通知する(ステップS9006)。ネットワーク接続可能なUE1であると判断された場合、ステップS9006で送信されるEAP-Request/AKA-Challengeメッセージには、以降PGW5とUE1との間で使用するSA確立に必要なチャレンジ情報が含まれている。PGW5は、AAAサーバ8aから取得したEAP-Request/AKA-Challengeメッセージを含むIKE_AUTH ResponseメッセージをUE1に送信する(ステップS9007)。続けて、UE1からAAAサーバ8aに対して、チャレンジ情報に対応するレスポンス情報が送信され(ステップS9008、S9009)、SA確立に必要なマスターキー(MSK、鍵又は鍵情報と呼ぶこともある)あるいはその鍵素材(keying material)がPGW5に配布される(ステップS9010、S9011)。このMSKを使用して、UE1とPGW5との間のSAが確立される(ステップS9012〜14)。そして、確立されたSAを使用して、以降UE1とPGW5との間で交換されるBU/BA(Binding Acknowledgement)が保護される(ステップS9015〜17)。
図12に図示されている動作では、ステップS9006において、UE1がBSを開始したPGW5(I−PGW5aに相当)に対して、HSS8bが異なるPGW5(T−PGW5bに相当)をAAAサーバ8a経由でPGW5(I−PGW5a)に通知することができる。このときPGW5(T−PGW5b)は、以降のUE1とのBS処理を完了させ(〜ステップS9014)、続けてUE1との間で実施するバインディング処理の中で(具体的には、ステップS9016で送信するBAメッセージによって)、HSS8bから通知を受けたPGW5(T−PGW5bに相当)のアドレスをUE1に通知する(ステップS9016)。このようにして本来接続したいPGW5(T−PGW5b)のアドレスを受けたUE1は、PGW5(I−PGW5a)とのバインディングを解消するためにライフタイムを0にセットしたBUを送信し(ステップS9017)、通知されたPGW5(T−PGW5b)に接続するためのBS処理並びにバインディング処理(BU/BA交換)を改めて開始する。具体的には、UE1は、T−PGW5bに対して、図12のステップS9002からの処理を再度実施する。
3GPP TS 23.402 V8.4.0,December 2008 3GPP TS 33.402 V8.2.1,December 2008 Mobility Support in IPv6, RFC3775,June 2004 Mobile IPv6 support for dual stack Hosts and Routers (DSMIPv6),draft-ietf-mext-nemo-v4traversal-06,November 2008 Proxy Mobile IPv6,RFC5213,August 2008 Mobile IPv6 Bootstrapping in Split Scenario,RFC5026,October 2007 Internet Key Exchange (IKEv2) Protocol,RFC4306,December 2005 The Extensible Authentication Protocol-Internet Key Exchange Protocol version 2 (EAP-IKEv2) Method, RFC5106, January 2008
しかしながら、上記従来の技術においては、UE1が既に接続済みのPGW5(T−PGW5bに相当)と最終的に接続を完了するまでに、多大な時間を要する。これは、暗号認証鍵の生成処理に多大な時間を要するBS処理を、本来接続を意図しないPGW5(I−PGW5aに相当)との間で実施しなければならないことに起因するものである。
また、従来の技術においては、多大な時間を要するほかに、UE1が既に接続済みのPGW5(T−PGW5bに相当)と最終的に接続を完了するまでに、多大なメッセージ数を要する。これは、本来接続を意図しないPGW5(I−PGW5aに相当)が、UE1に本来接続を所望するPGW5(T−PGW5b)のアドレスを取得してから、UE1に送信するまでに多大な数のメッセージのやりとりをしていることに起因するものである。これにより、本来接続を意図しないPGW5(I−PGW5a)とやりとりしたメッセージが無駄になってしまい、無駄になったメッセージ分だけネットワークに負荷をかけてしまうことになる。
上記問題に鑑み、本発明では、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)が割り当てられた場合であっても、UEが、システム内のリソース消費を抑えながら、かつ短時間で所望のPGW5への接続切り替えを行えるようにするゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末を提供することを目的とする。
上記の目的を達成するため、本発明のゲートウェイ接続方法は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせるステップと、
前記第2のゲートウェイが、前記移動端末の収容状況を確認するステップと、
前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信するステップと、
前記第2のゲートウェイが、前記移動端末に待機指示を送信するステップと、
前記第1のゲートウェイが、前記移動端末に接続処理を開始するステップとを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGW5と短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明のゲートウェイ接続制御システムは、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせ、
前記第2のゲートウェイが、前記移動端末の収容状況を確認し、
前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信し、
前記第2のゲートウェイが、前記移動端末に待機指示を送信し、
前記第1のゲートウェイが、前記移動端末に接続処理を開始することによって、
前記移動端末を所望のゲートウェイに接続させるよう構成されている。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGW5が移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明の移動端末は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
検出された前記第2のゲートウェイに前記移動端末の収容状況を問い合わせる手段と、
前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、待機指示を前記第2のゲートウェイから受信する手段と、
前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、前記第2のゲートウェイから前記第1のゲートウェイに接続指示が送信され、前記第1のゲートウェイが前記接続指示に基づいて開始した前記移動端末との間の接続処理を行う手段とを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGW5が移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。
また、上記の目的を達成するため、本発明のゲートウェイ接続方法は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換するステップと、
前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知するステップと、
前記移動端末が、前記第1のゲートウェイへの接続処理を開始するステップと、
前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得するステップと、
前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するステップとを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
また、上記の目的を達成するため、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換し、
前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知し、
前記移動端末が、前記第1のゲートウェイへの接続処理を開始し、
前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得し、
前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するよう構成されている。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
また、上記の目的を達成するため、本発明の移動端末は、複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換する手段と、
前記鍵情報の交換完了後、前記第2のゲートウェイから前記第1のゲートウェイのアドレスを受信し、前記第1のゲートウェイへの接続処理を開始する手段と、
前記相互認証によって作成された前記鍵情報を再利用して、前記鍵情報を前記認証サーバから取得した前記第1のゲートウェイへ接続する手段とを、
有している。
これにより、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
本発明によれば、複数のCoAを使用している移動端末のCoAを管理するPGWを確実かつ迅速に統一できるようになり、その結果、移動端末は、複数のCoAを使用した通信における利益を確実かつ迅速に享受できるようになる。また、本発明によれば、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、接続初期にPGWにおける移動端末の収容状況を確認させることによって、移動端末が真に接続を所望するPGWであるかどうかを早期に判別できるようにし、またAAAサーバの状態解消を不要とし、所望のPGWと短い時間で接続を確立させることができるようになる。また、本発明によれば、新規接続あるいはハンドオーバ先のアクセスネットワークにおいて、既に接続済みであり本来接続を所望するPGWとは異なるPGWが移動端末に割り当てられた場合であっても、所望するPGWとは異なるPGWとの間の接続の際に作成された鍵情報を所望のPGWへの接続の際に再利用することによって、移動端末が所望のPGWとの間の接続を短い時間で確立できるようになる。
本発明の第1〜第4の実施の形態並びに従来の技術に共通する通信システムの構成の一例を示す図 本発明の第1の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するためのシーケンスチャート 本発明の第1〜第4の実施の形態における移動端末(UE)の構成の一例を示す図 本発明の第1の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第1の実施の形態において、移動端末(UE)がPGW(I−PGW)に送信するIKE_AUTH Requestメッセージのフォーマット例を示す図 本発明の第1の実施の形態において、PGW(I−PGW)が移動端末(UE)に送信する応答メッセージであるIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第1の実施の形態において、PGW(I−PGW)がAAAサーバに送信するHome Prefix確認要求メッセージの一例を示す図 本発明の第1の実施の形態において、AAAサーバがPGW(T−PGW)に送信するHome Prefix確認要求返信メッセージの一例を示す図 本発明の第1の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信する第1のIKE_SA_INITメッセージの一例を示す図 本発明の第1の実施の形態において、移動端末(UE)がPGW(T−PGW)に送信する第2のIKE_SA_INITメッセージの一例を示す図 本発明の第1〜第4の実施の形態におけるPGWの構成の一例を示す図 本発明の第1の実施の形態におけるPGWの処理フローの一例を示すフローチャート 本発明の第1〜第4の実施の形態におけるAAAサーバの構成の一例を示す図 本発明の第1の実施の形態におけるAAAサーバの処理フローの一例を示すフローチャート 従来の技術における動作の一例を説明するためのシーケンスチャート 本発明の第2の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するためのシーケンスチャート 本発明の第3の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第1のシーケンスチャート 本発明の第3の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第2のシーケンスチャート 本発明の第3の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第3の実施の形態において、移動端末(UE)がPGW(T−PGW)に送信するIKE_AUTH Requestメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信するIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第4の実施の形態において、PGW(T−PGW)が移動端末(UE)に送信するIKE_AUTH Responseメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、PGW(T−PGW)がAAAサーバに送信するAuthentication-Requestメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、AAAサーバがPGW(I−PGW/T−PGW)に送信するAuthentication-Answerメッセージのフォーマット例を示す図 本発明の第3の実施の形態において、AAAサーバがPGW(T−PGW)に送信するBS_Identity通知メッセージのフォーマット例を示す図 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第1のシーケンスチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第2のシーケンスチャート 本発明の第4の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのI−PGWとしての処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのT−PGWとしての処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第3のシーケンスチャート 本発明の第4の実施の形態におけるゲートウェイ接続方法の動作の一例を説明するための第4のシーケンスチャート 本発明の第4の実施の形態における移動端末(UE)の処理フローの一例を示すフローチャート 本発明の第4の実施の形態におけるPGWのT−PGWとしての処理フローの一例を示すフローチャート
以下、図面を参照しながら、本発明の第1〜第4の実施の形態について説明する。まず、図1を参照しながら、本発明の第1〜第4の実施の形態に共通するシステム構成について説明する。図1は、本発明の第1〜第4の実施の形態に共通するシステム構成の一例を示す図である。図1に図示されている通信システムは、少なくとも、UE1、UE1が接続するコアネットワーク4、UE1を収容しUE1のホームプレフィクスやホームアドレス、位置情報(CoA)などを管理しているT−PGW5b、UE1のコアネットワーク4に対するアクセス認証を行うAAAサーバ8a、UE1が接続しているT−PGW5aの識別子(identity)やAPNを管理保存しているHSS8b、UE1からの要求に応じてPGW5のアドレスを提供するDNSサーバ9、3GPPアクセスネットワーク2(以下、3Gアクセス2とも呼ぶ)、Non−3GPP(非3GPP)アクセスネットワーク3(以下、N3Gアクセス3とも呼ぶ)を有している。
UE1は、少なくとも2つ以上の通信インタフェースを持ち、一方は3Gアクセス2、もう一方はN3Gアクセス3に接続することが可能である。なお、複数の通信インタフェーは、同時に3Gアクセス2に接続したり、あるいは、N3Gアクセス3に接続したりするものであってもよい。UE1は、各アクセスネットワーク(3Gアクセス2、N3Gアクセス3)を介してコアネットワーク4に接続し、I−PGW5a、T−PGW5bのいずれにもアタッチすることができる。また、UE1は、少なくともN3Gアクセス3を介してDNSサーバ9に接続可能である。UE1は、3Gアクセス2からDNSサーバ9に接続することも可能であるが、N3Gアクセス3経由で接続可能なDNSサーバ9とは異なるDNSサーバ9が3Gアクセス2に配備される場合もあり、3Gアクセス2経由のDNS問い合わせとN3Gアクセス3経由のDNS問い合わせとでは、必ずしも同一の結果が得られるとは限らない。
また、3Gアクセス2には、例えば、サービングGW(Serving GW)やMME、SGSN、GGSNなどの3GPPシステムに固有の装置が配備されており、UE1がPGW5に接続するための機能をサポートしているが、図1では図示省略する。また、N3Gアクセス3においても、UE1がPGW5に接続するために必要となる機能をサポートする通信ノード(UE1にCoAを配布するアクセスルータやMAGなど)が配備されているが、これらの通信ノードも図1では図示省略する。
上記の構成を有する通信システムにおいて、UE1は、3Gアクセス2とコアネットワーク4を介してT−PGW5bとの接続を確立しているものとする。ここで、3Gアクセス2経由の接続においては、例えばPMIP(上記の非特許文献5を参照)が使用されるため、UE1はT−PGW5bのアドレスを知り得ない(非特許文献1を参照)。一方で、HSS8bにおいては、適正なUE1の接続管理とネットワークの状態管理を目的として、UE1の識別子と共にT−PGW5bのアドレスをデータベース管理している。
<第1の実施の形態>
以下、本発明の第1の実施の形態におけるシステム動作の一例について、図2を用いて詳しく説明する。図2は、本発明の第1の実施の形態におけるシステム動作の一例を説明するためのシーケンス図である。図2には、少なくともUE1、UE1がN3Gアクセス3にアタッチした際にDNSサーバ9によって提示されるI−PGW5a、UE1が3Gアクセス2経由で接続済みのT−PGW5b、UE1のコアネットワーク4に対するアクセス認証処理を実施するAAAサーバ8a、UE1のサブスクリプション情報などを保持管理するHSS8bによる処理シーケンスの一例が図示されている。
UE1は、新規接続あるいはハンドオーバのためにN3Gアクセス3にアタッチし、コアネットワーク4を介してPGW5とMIPv6(又は、DSMIP)により接続することを決定する。まずUE1は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNや、PGW5を識別するためのHA−APNなどから、標準的な方法(例えば、上記の非特許文献6などに記載されている方法)により、ホームエージェント名(FQDN:Fully Qualified Domain Name)を構築し、DNSサーバ9に問い合わせる。DNSサーバ9は、適切なPGWアドレスをUE1に返信する(ステップS3001:PDN GW探索)。UE1は取得したPGWアドレス宛に、BS処理を開始する。具体的には、ステップS3001で取得したPGWアドレスに対してIKE_SA_INIT手順を実施する(ステップS3002:IKE_SA_INIT)。
なお、ここでは、UE1がステップS3001において、既に接続済みのT−PGW5bとは異なるI−PGW5aのアドレスを取得し、BS処理もUE1とI−PGW5a間で開始されるものとする。
ここでUE1は、既に接続済みのT−PGW5bとの接続を望んでいるが、DNSサーバ9によって提示されたPGWアドレスがT−PGW5bのものであるかどうかの確認を取ることができない。なぜなら、3Gアクセス経由の接続は例えばPMIPを用いるものであり、UE1はT−PGW5bのアドレスを知り得ないためである。またUE1は、DNSによるPGWアドレス取得においては、時折所望のPGWアドレスが得られない場合があることを知っている。さらには、N3Gアクセス3においては、それ以外にPGWアドレス(T−PGW5bのアドレス)を取得する手段がないことが明らかであることから、ステップS3002におけるIKE_SA_INITに続けて実施するIKE認証処理の開始時に、BS処理を開始しているPGW5(ここではI−PGW5a)が所望のPGW5(すなわちT−PGW5b)であるかどうかの確認を依頼する。
具体的には、UE1は、ステップS3002のIKE_SA_INIT手順完了後に送信するIKE_AUTH Requestメッセージに、UE1が保持する(3Gアクセス2経由の接続時に割り当てられた)ホームプレフィクス(Home Prefix)を付加して送信する(ステップS3003:IKE_AUTH Request)。I−PGW5aは、IKE_AUTH Requestメッセージを受信すると、そのメッセージからホームプレフィクスを抽出し、自ノード内のバインディングキャッシュに既に登録されているホームプレフィクスであるかどうか(収容状況)を確認する(ステップS3004:収容状況確認)。
図5Aは、図2のステップS3003においてUE1がI−PGW5aに送信するIKE_AUTH Requestメッセージのフォーマット例を示す図である。UE1は、従来の標準的なIKE_AUTH Requestメッセージ501に加えて、Home Prefixフィールド502を設け、その中にUE1が保持するホームプレフィクスを挿入することでホームプレフィクスを通知することができる。また、標準的なIKE_AUTH Requestメッセージにおいて、MIP6_HOME_PREFIX属性をセットしたConfiguration Payloadにホームプレフィクスを記載することで、I−PGW5aにホームプレフィクスを通知してもよい。
また、IKE_AUTH Requestメッセージにホームプレフィクスを付加することが、収容状況の確認依頼を暗示しているが、さらに、IKE_AUTH Requestメッセージにホームプレフィクスを付加するとともに収容状況確認フラグ(図5Aには不図示)も付加して、I−PGW5aに対して、明示的に収容状況の確認を依頼してもよい。これにより、I−PGW5aは確実に自ノードで管理するバインディングキャッシュにおけるUE1の収容状況を確認する処理を行い、より確実な結果をUE1に通知することができる。また、収容状況確認フラグを付加することにより、UE1を収容するPGW5は個別のものだが(T−PGW5aとI−PGW5b)、各PGW5でUE1に配布管理するホームプレフィクスは同一のもの、というオペレーション下においても、同一のPGW5(T−PGW5b)に接続を統合することができる。
なお、ここでは、ステップS3001において、UE1が既に接続済みのT−PGW5bとは異なるI−PGW5aのアドレスを取得することを前提としているが、UE1が既に接続済みのT−PGW5のアドレスを取得する場合も考えられる。この場合には、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されており、UE1が接続しているPGW5がI−PGW5aであることになるので(すなわちI−PGW5aとT−PGW5bが同一)、引き続き所定のBS処理を実施する。すなわち、図12のステップS9003のIKE_AUTH Requestメッセージ受信以降の処理を実施する。
UE1が送付したホームプレフィクスがバインディングキャッシュに登録されていない場合、I−PGW5aはUE1が接続を所望しているT−PGW5bではないため、I−PGW5aは、IKE_AUTH Requestメッセージに対する応答メッセージ(例えばIKE_AUTH Responseメッセージなど)に、収容状況結果(判定結果)、本BSの実施を識別するための識別子UE_BS_Identity、動作指示を含めてUE1に送信する(ステップS3005:IKE_AUTH_Response)。判定結果には、UE1のホームプレフィクスが自ノードのバインディングキャッシュに存在したか否かの収容状況を記載する。UE_BS_Identityは、後述するT−PGW5bからのBS処理を正しく受信するための情報であり、例えばI−PGW5aが指定した数値などであるが、その応用については後述する。なお、UE_BS_IdentityとT-PGW_BS_Identityの両BS_Identityを使用せずに、T−PGW5bからUE1にIKE_SA_INIT_1メッセージを送信することも可能であり、これによって、I−PGW5a、T−PGW5b、UE1間でUE_BS_IdentityやT-PGW_BS_Identityの転送が不要となり、通信リソースの有効活用を図る方法もある。動作指示には、後述するT−PGW5bからのBS処理が実施されるので本BSが失敗終了しても、再接続や処理完了を行わないよう促す指示子を格納する。
ここでI−PGW5aが、3GPP規格標準に基づくGTP(GPRS Tunneling Protocol)にも対応している場合、上記バインディングキャッシュに対する収容状況確認に加えて(あるいはバインディングキャッシュに対する確認は行わずに)、GTPに基づく管理テーブルを確認してもよい。これにより、UE1の収容状況をもれなく検出して、誤検出を防ぐことができる。
また、さらには、UE1とT−PGW5bの3Gアクセス経由の接続には、PMIPあるいはGTPが用いられていると考えることができる。一方、今回のN3Gアクセス経由の接続では、MIPあるいはDSMIPが用いられるため、I−PGW5aに向けてブートストラッピング処理が開始されている。コアネットワーク4の運用形態によっては、PMIPあるいはGTPで用いられるUE1の位置管理を行うためのデータベース(例えばPMIPバインディングキャッシュ)と、DSMIP/MIPで用いられる同UE1の位置管理を行うためのデータベース(例えばMIPバインディングキャッシュ)はそれぞれ個別に管理運用されることも想定される。さらには、それぞれ(GTP、PMIP、DSMIP/MIP)の位置管理機能が論理的あるいは物理的に異なる装置で実施されることも想定される。そのような場合、I−PGW5aは、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されているかどうかをチェックする際に、DSMIP/MIPで用いられる管理データベース(MIPバインディングキャッシュ)の確認だけではなく、I−PGW5aが管理する(あるいは、I−PGW5aの管轄対象である他ノードが管理する、さらにはI−PGW5aと同じドメインに配置された他ノードが管理する)PMIPバインディングキャッシュや、GTP用の位置管理データベースの確認も行うことが望ましい。
図5Bは、図2のステップS3005においてI−PGW5aがUE1に送信する応答メッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。I−PGW5aは、従来の標準的なIKE_AUTH Responseメッセージ601に加えて、判定結果フィールド602、動作指示フィールド603、UE_BS_Identityフィールド604を設け、それぞれ所定の値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加して判定結果を記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
なお、I−PGW5aは、標準的なホームプレフィクス割り当て機構に従って、UE1が要求したものと異なるホームプレフィクスを割り当てることが判明したことを条件に、上記のUE1が送付したホームプレフィクスがバインディングキャッシュに登録されていない場合と同等の動作を行ってもよい。
本応答メッセージを受信したUE1は、判定結果フィールドを参照してI−PGW5aがUE1の所望するPGW5ではない可能性が高いことを確認するとともに、動作指示フィールドを参照して引き続き所望のT−PGW5bからBS処理が開始されることを確認し、UE_BS_Identityフィールドに記載された値(UE_BS_Identity)を保存する。ここで、本BSが失敗終了と判定された場合でも、後続して所望T−PGW5bからのBS処理が開始することが明らかとなったので、他のPGW5の探索や再接続を行ったり、BS処理を完了してスリープモードに入ったりしないよう制御する。なお、後にT−PGW5bからのBS処理要求を受信できることが明らかであれば、消費電力削減のためスリープモードに遷移してもよい。また、UE1は、判定結果からUE1が所望するPGW5に接続していないことが確認できた時点で、引き続き所望のT−PGW5bからのBS処理が開始されると判断してもよく、これにより動作指示フィールドを省略して、通信帯域の有効活用を図ることができる。
さらにI−PGW5aは、Home Prefix確認要求メッセージをAAAサーバ8aに送信する(ステップS3006:Home Prefix確認要求)。Home Prefix確認要求メッセージには、UE1のUser ID(NAIなど)、ホームプレフィクス(Home Prefix)、UE1に通知したものと同一のUE_BS_Identity、UEアドレス(CoA)、転送指示などの情報が少なくとも含まれる。転送指示は、本メッセージを受けてUE1のホームプレフィクスを管理保持するPGW5(T−PGW5b)が判明した際に、T−PGW5bにUE1宛のBS処理を実施させることをAAAサーバ8aに対して指示するものであり、特にHome Prefix確認要求メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いる場合などに有効である。
なお、I−PGW5aは、Home Prefix確認要求メッセージをAAAサーバ8aへ送信することでT−PGW5bにBS指示を送信する以外に、I−PGW5aがT−PGW5bを含む装置全てにHome Prefix確認要求メッセージをブロードキャストしてもよい。同様に、I−PGW5aがT−PGW5bのアドレスを知っていた場合や、いくつかT−PGW5bのアドレスに対して見当がついている場合には、Home Prefix確認要求メッセージをユニキャストやマルチキャスト送信してもよい。
なお、I−PGW5aは、本発明によるIKE_AUTH Responseメッセージ(図2のステップS3005で送信)とHome Prefix確認要求メッセージ(図2のステップS3006で送信)を任意の順番で送信してもよい。すなわち、上記の説明では、IKE_AUTH Responseを先に、Home Prefix確認要求メッセージを後に送信しているが、その逆であってもよく、例えば、ネットワーク遅延に鑑みて送信順序を決定してもよい。例えば、ネットワーク側装置による処理負荷が高いことに鑑みてHome Prefix確認要求を先に送信してもよく、あるいは、T−PGW5bからのBS処理がIKE_AUTH Responseより先行してUE1に伝送されてしまわないように、IKE_AUTH Responseを先に送信して、UE1の状態遷移が正常に動作するように配慮してもよい。
図6Aは、図2のステップS3006においてI−PGW5aがAAAサーバ8aに送信するHome Prefix確認要求メッセージの一例を示す図である。I−PGW5aは、宛先アドレスフィールド1001にAAAサーバ8aのアドレス、ソースアドレスフィールド1002に自アドレス、転送指示フィールド1003に転送を指示する値(例えば“1”やTRUEなど)、Home Prefixフィールド1004にUE1のホームプレフィクス値、UE_BS_Identityフィールド1005にUE1に通知したものと同一の UE_BS_Identity値、UEアドレスフィールド1006にUE1のアドレス(CoA)を記載してAAAサーバ8aに送信する。なお、Home Prefix確認要求メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、Home Prefix確認要求メッセージに、UE1のUser IDを含めてもよく、これによりUE1が接続しているT−PGW5bの探索をより確実に行うことができるとともに、UE1に対して本発明による切り替え処理を実施することの可否をUE1の認証とからめて制御することが可能となり、オペレータにおいては新たな課金対象サービスと捉えることができる。
Home Prefix確認要求メッセージを受信したAAAサーバ8aは、User ID、Home Prefixなどの識別子を基に、UE1を収容しているT−PGW5bを検出し、検出したT−PGW5bに対してHome Prefix確認要求返信メッセージを送信する(ステップS3007:Home Prefix確認要求返信)。
Home Prefix確認要求返信メッセージには、少なくともUser ID、UEアドレス、UE_BS_Identity、BS指示子を記載する。UEアドレスには、Home Prefix確認要求メッセージに記載されていたものと同一のUE1のアドレスを記載する。またBS指示子には、UEアドレスに記載したUE1のアドレスに対してBS処理を開始することをT−PGW5bに指示する値を記載する(例えば“1”やTRUEなど)。
また、図6Bは、図2のステップS3007においてAAAサーバ8aがT−PGW5bに送信するHome Prefix確認要求返信メッセージの一例を示す図である。AAAサーバ8aは、宛先アドレスフィールド1101にT−PGW5bのアドレス、ソースアドレスフィールド1102に自アドレス、BS指示フィールド1103にBS処理開始を指示する値(例えば“1”やTRUEなど)、UEアドレスフィールド1104にUE1のアドレス(Home Prefix確認要求メッセージで取得した値をコピー)、UE_BS_Identityフィールド1105にHome Prefix確認要求メッセージで取得した値を記載してT−PGW5bに送信する。また、Home Prefix確認要求メッセージに、UE1のUser IDを含めてもよく、これによりT−PGW5bにおいてUE1の識別をより確実に行うことができる。
なお、UEアドレスには、UE1が3Gアクセス2で取得したアドレス、すなわちホームアドレスあるいはホームプレフィクスを記載してもよい。これは、UE1が記載するものであってもよいし、Home Prefix確認要求メッセージを受けたとき、あるいはHome Prefix確認要求返信メッセージを送信するときに、AAAサーバ8aやHSS8bが記載するものであってもよい。これにより、UE1が既に接続済みの3Gアクセス2経由でより確実に後述するBS処理を開始することができる(例えば、後述するNAT(Network Address Translation)がN3Gアクセス3に配備されているような場合に有効)。ここで、UEアドレスとしてホームプレフィクスが記載されていた場合、T−PGW5bは、そのホームプレフィクスの所定のアドレスに対してユニキャストやマルチキャスト、あるいはエニキャストでBS処理を開始してもよく、ホームプレフィクス全体にブロードキャストを行ってBS処理を開始してもよい。
なお、I−PGW5aは、Home Prefix確認要求メッセージをHSS8bに送信してもよい。この場合、AAAサーバ8aがUE1の状態をHSS8bから取得する必要がなくなり、処理時間の削減を図ることができる。Home Prefix確認要求メッセージをHSSサーバ8bに送信する場合、上記の説明においてAAAサーバ8aが実施する動作はHSS8bにおいて実施され、Home Prefix確認要求返信メッセージもHSS8bからT−PGW5bに直接あるいは間接ノードを介して転送される。
また、I−PGW5aは、Home Prefix確認要求メッセージを、I−PGW5aが送信可能な範囲に送信してもよく、あるいは、所定範囲のPGW5に対してブロードキャスト送信、マルチキャスト送信、ユニキャスト送信、エニキャスト送信(特にはUE1のホームプレフィクスを基に構築したホームエージェント・エニキャストアドレス宛に送信)のいずれを行ってもよい。これにより、AAAサーバ8aやHSS8b経由のメッセージ転送を削減でき、AAAサーバ8a、HSS8bの負荷を低減させることができるとともに、特にユニキャスト通信を行う場合は、システム全体としての処理メッセージ数を削減することができる。
I−PGW5aがT−PGW5bに直接指示を送信する際は、I−PGW5aが事前にAAAサーバ8aからT−PGW5bのアドレスを取得する。このとき、UE1のためのT−PGW5bのアドレス取得であることを理由に、AAAサーバ8aにおいてUE1に対する認証処理が実施されるかもしれない。また、直接指示のためのメッセージは、Home Prefix確認要求メッセージであっても、Home Prefix確認要求返信メッセージであってもよい。
このように、I−PGW5aがAAAサーバ8aやHSS8b、あるいは直接T−PGW5bにHome Prefix確認要求メッセージ(場合によってはHome Prefix確認要求返信メッセージ)を送信することにより、それ以降、I−PGW5aはUE1に関する処理を行う必要がなくなる。すなわち、UE1に関する状態やリソースを開放することが可能となり、直ちに他の端末に対する処理を開始できるようになる。このように、本発明では早期に所望のPGW5への切り替えを検出、実施可能とできるので、PGWリソースの有効活用を図ることができる。ちなみに、従来技術においては、図12のステップS9017を完了しないと、I−PGW5aは、I−PGW5aのリソース並びにUE1に対する状態を解放することができなかった(正確には、ステップS9017の後で、UE1とI−PGW5aとの間で確立したSAを終了させ、解放する必要がある)。
Home Prefix確認要求返信メッセージを受信したT−PGW5bは、User IDなどから自身が収容しているUE1であることを確認し、さらにBS指示子がUE1宛のBS処理を開始する指示であることを確認し、第1のIKE_SA_INITメッセージをUEアドレス宛に送信してBS処理を開始する(ステップS3008:IKE_SA_INIT_1)。第1のIKE_SA_INITメッセージには、T−PGW5bが生成した本BSの実施を識別するための識別子T-PGW_BS_Identityが少なくとも含まれる。
図7Aは、図2のステップS3008においてT−PGW5bがUE1に送信する第1のIKE_SA_INITメッセージの一例を示す図である。T−PGW5bは、従来の標準的なIKE_SA_INITメッセージ2001(InitiatorがResponderに最初に送信するIKE_SA_INITメッセージ)に続けて、T−PGW用BS識別子フィールド(T-PGW_BS_Identityフィールド)2002を設け、その中にT−PGW5bが取得した本BSの実施を識別するためのT−PGW用BS識別子T-PGW_BS_Identityを少なくとも記載して送信する。
T−PGW5bからの第1のIKE_SA_INITメッセージを受信したUE1は、そのメッセージのT-PGW_BS_Identityフィールドの値を確認し、先にI−PGW5aから取得したUE_BS_Identity値(ステップS3005で受信したIKE_AUTH_Responseに含まれているUE_BS_Identity)を用いて後述する所定の検証を行い、検証結果が成功であった場合に要求するT−PGW5bからのBS処理要求であることを認識し、応答するIKE_SA_INITメッセージを送信する(ステップS3009:IKE_SA_INIT_2)。このとき、UE1は、送信するIKE_SA_INITメッセージに、先に取得したUE_BS_Identityを記載して送信する。これにより、本BS処理のトリガを要求したUE1からの応答であることをT−PGW5bに提示して、正しいノード間でBS処理が実施されていることを確認することができる。
図7Bは、図2のステップS3009において、UE1がT−PGW5bに送信する第2のIKE_SA_INITメッセージの一例を示す図である。UE1は、従来の標準的なIKE_SA_INIT(ResponderがInitiatorに最初に送信するIKE_SA_INITメッセージ)に続けて、先にI−PGW5aから取得した本BSの実施を識別するためのUE用BS識別子UE_BS_Identityを少なくとも記載して送信する。なお、ステップS3008及びS3009でUE1とT−PGW5bとが交換するIKE_SA_INITメッセージは、各々が送信するBS_Identity(T-PGW_BS_Identity及びUE_BS_Identity)を正しく交換できれば、いずれのIKE_SA_INITメッセージを用いてもよい。
上記BS_Identityを用いて、正しく相互認証あるいは相互確認が取れたことにより、以降のBS処理(IKE_SA_INITの残りとステップS3010以降の処理)は、従来の標準的な処理を実施することで、UE1とT−PGW5bとの間のSA確立を達成することができる。
なお、ステップS3008に示すT−PGW5bからのIKE_SA_INIT_1メッセージが受信できない場合のリカバリを容易にすることを目的として、UE1はT−PGW5bからのIKE_SA_INIT受信待ちタイマをセットしてもよい。タイマは、例えばUE1が本発明によるIKE_AUTH ResponseメッセージをステップS3005において受信したときに所定の値にセットして起動する。タイマ値はUE1が任意に設定してもよく、IKE_AUTH Responseメッセージなどを介してI−PGW5aなどのネットワーク装置から指定されてもよい。
次に、UE_BS_IdentityとT-PGW_BS_Identityの使用方法について、詳しく説明する。UE_BS_Identity、T-PGW_BS_Identityとして使用される情報は、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレスなど、UE1及びPGW5によって認識可能な値(符号)であればこれらに限定されない。
図2に図示されているシーケンスでは、UE_BS_IdentityがI−PW5aによって生成され、UE1へ送信される(図2のステップS3005)とともに、AAAサーバ8を経由するか、あるいは直接T−PGW5bへ送信される(図2のステップS3006)。T−PGW5bは、受信したUE_BS_Identityに対応するT-PGW_BS_Identityを生成し、生成されたT-PGW_BS_Identityを含むIKE_SA_INIT_1メッセージをUE1へ送信する(図2のステップS3008)。IKE_SA_INITメッセージを受信したUE1は、あらかじめI−PGW5aから取得したUE_BS_Identity(図2のステップS3005で受信したIKE_AUTH Responseに含まれるUE_BS_Identity)に対応するT-PGW_BS_Identityを導出し、T−PGW5bから受信したT-PGW_BS_Identity(図2のステップS3008で受信したIKE_SA_INIT_1に含まれるT-PGW_BS_Identity)と比較する。両者を比較した結果が同一であった場合には、UE1は、Home Prefixを含むIKE_SA_INITメッセージをI−PGW5aへ送信した結果行われたT−PGW5bからのBS処理要求であることを認識することが可能となる。なお、UE_BS_Identityに対応するT-PGW_BS_IdentityをUE1が導出する方法としては、UE_BS_Identityから求めたハッシュ値をT-PGW_BS_Identityとして用いてもよいし、UE_BS_IdentityとT-PGW_BS_Identityとの対応関係を示すテーブル情報を用いてもよい。この場合、テーブル情報は、3Gネットワーク内の情報サーバなどから取得することもできるし、オペレータによってUE1にあらかじめ設定されていてもよい。また、UE1は情報サーバに問い合わせることで、UE_BS_Identityに対応するT-PGW_BS_Identityを取得してもよい。ハッシュ関数を用いた場合は、UE_BS_Identity、T-PGW_BS_Identity共に高度な暗号化アルゴリズムを用いているため、セキュリティを高めることができる。
なお、上述の説明では、UE_BS_IdentityがI−PGW5aによって生成され、T-PGW_BS_IdentityがT−PGW5bによって生成されているが、例えば、UE_BS_Identity及びT-PGW_BS_Identityが両方共、I−PGW5aによって生成されてもよい。この場合、I−PGW5aは、UE_BS_IdentityをUE1へ送信するとともに、そのUE_BS_Identityに対応したT-PGW_BS_IdentityをAAAサーバ8経由又はあるいは直接T−PGW5bへ送信する。T−PGW5bは、受信したT-PGW_BS_Identityを含むIKE_SA_INIT_1メッセージをUE1へ送信することで、UE1が、T−PGW5bからのBS処理要求かどうかを確認できるようになる。
また、UE_BS_Identity及び/又はT-PGW_BS_IdentityをI−PGW5a以外の装置、例えばUE1やT−PGW5b、AAA/HSS8が生成してもよく、各BS_Identityが異なる装置によって生成されてよい。
また、UE_BS_IdentityとT-PGW_BS_Identityを同じ値にして、BS処理を実施することも可能である。その場合、UE1は、あらかじめI−PGW5aから取得したBS_Identity(図2のステップS3005で受信したIKE_AUTH Responseに含まれるBS_Identity)を、IKE_SA_INITメッセージから取得したBS_Identity(図2のステップS3008で受信したIKE_SA_INIT_1に含まれるBS_Identity)と比較し、同一であれば、T−PGW5bからのBS処理要求であることを認識する。T−PGW5bも同様に、AAA/HSS8から通知されたBS_Identityと、UE1から通知されたBS_Identityを比較し、同一であれば、所望のUE1からのレスポンスであることを認識する。また、UE_BS_IdentityとT-PGW_BS_Identityの両BS_IdentityをUE1とT−PGW5bに送ることで、UE1がUE_BS_Identity に対応するT-PGW_BS_Identityを知ることができるが、上述したようにUE1とPGW5が任意のBS_Identityから共通のBS_Identityを取得できるテーブルを保持しているならば、両BS_Identityを送る必要はない。同様に、UE1やPGW5以外の装置が、上記テーブルを保持しており、UE1とPGW5がアクセス可能であれば、両BS_Identityを送る必要はない。なお、上記テーブルではなく、オペレータの命令やユーザによる操作によって変更不可能な固定の値を、UE1やPGW5とは関係なくBSの識別子として設定してもよい。
また、UE_BS_Identity及び/又はT-PGW_BS_Identityの生成方法としては、高度な暗号化アルゴリズム以外に、IKE_SA_INITメッセージで生成した共有鍵の利用や、任意の関数(例えば、ランダム関数など)を用いる方法、既存の値を利用するためにインデックスとして指定する方法が挙げられる。以下に、各使用方法について詳しく説明する。
IKE_SA_INITメッセージで生成した共有鍵の利用する方法を用いた場合、UE1とI−PGW5aとの間で既知な値を共有するため、新たにBS_Identityを生成する必要がない。また、共有鍵をUE_BS_Identityとし、T-PGW_BS_Identityは新たに生成してもよい。このように、生成済みの共有鍵を利用した場合には、新たにBS_Identityを生成する時間が短縮される。
また、任意の関数(例えば、ランダム関数など)を用いて、UE_BS_Identity及び/又はT-PGW_BS_Identityを生成する方法が採用されてもよい。ハッシュ関数などの高度な暗号化アルゴリズムを用いることにより、BS_Identity生成に要する時間が短縮される。
また、既存の値を利用するためにインデックスとして指定する方法を採用する場合には、一例として、UE_BS_Identityに‘H’を指定して送信すると、UE1やT−PGW5bなどが、UE_BS_Identityは“HPLMN ID”であると判断できるように仕様を定義しておく。本手法は、BS_Identityを生成しているわけでないので、セキュリティ面は上記案と比べると低いが、実装の容易性、処理時間の面では優れている。
なお、上記した全使用方法はUE_BS_IdentityとT-PGW_BS_Identityの両方に適用する以外に、各BS_Identityで異なる使用方法を用いてもよい。各使用方法で共通して守らなければならないことは、UE1とT−PGW5bが、両BS_Identityを確認できることである。
なお、UE1が接続するN3Gアクセス3において、NAT(Network Address Translator)が配備されている場合、T−PGW5bから開始されるBS処理の第1のIKE_SA_INITメッセージ(図2のステップS3008におけるIKE_SA_INIT_1メッセージ)がUE1に到達せず、結果的にT−PGW5bとの接続に失敗するという問題が起こり得る。しかしながら、従来のBS処理方法において、UE1はBS処理の初期段階でNATの有無を検出することができる(例えば、非特許文献7を参照)。また同様に、I−PGW5aにおいても同段階においてNATの有無を検出することができる。したがって、本問題は次の2通りの方法によって解決することができる。
1つ目の方法では、N3Gアクセス3にNATが配備されていることを検出したI−PGW5aは、Home Prefix確認要求メッセージに(例えば転送指示フィールドを利用するなどして)、T−PGW5bからのBS処理が3Gアクセス2経由で実施されるよう指示を含める。この指示は、Home Prefix確認要求返信メッセージに引き継がれ(例えばBS指示フィールドを利用するなどして)、T−PGW5bに転送される。このとき、I−PGW5a、AAAサーバ8a、HSS8bのいずれか(あるいは全てのノード)において、UEアドレスにUE1のホームプレフィクスを記載することにより、上記明示的な指示を不要とすることができ、処理並びにメッセージリソースの有効活用を図ることができる。また、上記明示的な指示を記載しておくことにより、UEアドレスにホームプレフィクスを記載する必要がなくなり、同様にリソースの有効活用を図ることができる。
T−PGW5bは、上記指示を受けてあるいはUEアドレスに記載されたホームプレフィクス宛にBS処理を開始する。なお、上記明示的な指示を受けたときは、UEアドレスに記載されたアドレスを参照することなく、自身が保持管理しているUE1のホームプレフィクス宛にBS処理を開始する。また、UE1のホームアドレスが明らかである場合は、ホームアドレスにBS処理を開始してもよい。なお、I−PGW5aは、NATを検出した際に、UE1に送信するIKE_AUTH Response(図2のステップS3005で送信されるIKE_AUTH Response)の中で、T−PGW5bからのBS処理が3Gアクセス2経由で来るので待機するよう通知しておいてもよい。これにより、UE1は、3Gアクセス2に接続する通信インタフェースがアイドルモードに遷移している場合は自発的にアクティブモードに遷移させるなどの処理を行って、T−PGW5bからのBS処理開始(具体的にはIKE_SA_INITメッセージ)を即座に受信できるよう準備しておくことができ、接続のさらなる高速化を図ることができる。
2つ目の方法では、NATが配備されていることを検出したUE1は、IKE_AUTH Request(図2のステップS3003)の中で、I−PGW5aに3Gアクセス2経由のBS処理開始を要求する。これを受けてI−PGW5aは、上述の1つ目の方法を実施する。
次に、本発明を実施するための移動端末(UE1)の構成について説明する。以下、図3を参照しながら、本発明の第1の実施の形態におけるUE1の構成について説明する。図3は、本発明の第1の実施の形態におけるUE1の構成の一例を示す図である。
図3において、UE1は、アクセスネットワーク(3Gアクセス2又はN3Gアクセス3)とそれぞれ接続して下位レイヤにおける通信処理を行う第1無線通信部101及び第2無線通信部102、第1及び第2無線通信部101、102の上位でIPなどのパケット通信処理を実施するパケット処理部103、UE1とPGW5との間のBS(ブートストラップ)処理を実施するBS処理部104、DNSサーバ9への問い合わせメッセージを送信し、その応答として受信した結果から所定のアドレス情報を取得するDNSクライアント処理部105、本発明における特徴的な処理を実施する接続制御部106、DSMIPやMIPv6に基づいてBU/BA交換などの移動管理処理をPGW5に対して実施するMIP処理部107を少なくとも有する。なお、第1及び第2無線通信部101、102は、3Gアクセス2、N3Gアクセス3のいずれに接続するものであってもよく、さらには一方の無線通信部(例えば、第1無線通信部101)が同時に3Gアクセス2とN3Gアクセス3に接続するものであってもよい。本発明の第1の実施の形態においては、一例として、UE1が2つの無線通信部を有し、一方の無線通信部(第1無線通信部101)が3Gアクセス2に、他方の無線通信部(第2無線通信部102)がN3Gアクセス3に接続するものとして説明する。
次に、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図4を用いて詳しく説明する。なお、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
図4は、本発明の第1の実施の形態におけるUE1の処理フローの一例を示すフロー図である。本発明による接続制御部106は、まずN3Gアクセス3へのアタッチ(接続)処理を開始するため、第2無線通信部102に接続開始を指示する(ステップS5002)。第2無線通信部102では、N3Gアクセス3における接続手順に従って、接続処理を実施する。N3Gアクセス3への接続が完了すると、N3Gアクセス3経由で接続するPGW5のアドレスを探索するため、DNSクライアント処理部105に探索開始を指示する(ステップS5003)。このとき、接続制御部106は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNやPGW5を識別するためのHA−APNなどから、標準的な方法により(例えば、非特許文献6に開示されている方法など)、ホームエージェント名(FQDN)を構築し、DNSクライアント処理部105に通知する。DNSクライアント処理部105では、通知されたホームエージェント名を記載したDNSクエリをパケット処理部103、第2無線通信部102経由でDNSサーバ9宛に送信する。また、その応答としてDNS応答を第2無線通信部102、パケット処理部103経由でDNSサーバ9から受信し、DNS応答から取得したPGWアドレスを接続制御部106に転送する。
ここで、接続制御部106は、既に第1無線通信部101経由(3Gアクセス2経由)でホームリンクに接続済みであること、DSMIPあるいはMIPv6に基づいて異なる接続リンクを確立してPGW5に接続しようとしていること、さらに接続先のPGWアドレスをDNSにより取得したこと、の3つの条件を満足する状況であるかを判定する(ステップS5004)。いずれか1つの条件でも満たさない場合には、接続制御部106は、取得したPGWアドレスに対して標準的なBS処理を開始するようBS処理部104に指示する。BS処理部104では、例えば図12のステップS9002からS9014に示すような標準的なBS処理を実施し(ステップS5040)、続けてPGW5(I−PGW5a)とDSMIPあるいはMIPv6に基づくBU/BA交換を実施する(ステップS5041)。
一方、すべての条件を満足する場合、接続制御部106は、取得したPGWアドレスに対して本発明に係るBS処理を開始するようBS処理部104に指示する。BS処理部104では、IKE SAを構築するための手順であるIKE_SA_INIT処理を、接続制御部106から通知されたPGWアドレス(I−PGW5aのアドレス)に対して開始する(ステップS5005)。IKE_SA_INIT処理が完了し、IKE SAが確立されると、BS処理部104は、ホームリンクに接続時に取得したホームプレフィクス(Home Prefix)をIKE_AUTH Requestメッセージに記載して送信する(ステップS5006)。これにより、IKE_AUTH Requestメッセージ送信先のPGW5に対して、自ノードの収容状況を確認させることができ、これから接続しようとしているPGW5が自身を既に収容しているものであるか、すなわちホームリンク経由で接続済みのPGW5であるかの確認を取ることができる。
なお、既に従来の標準的なIKE_AUTH Requestメッセージは、ホームプレフィクスを記載するためのフィールドを有しており、本発明においてもそのフィールドを活用することができる。ただし、その場合は、PGW5における処理の混乱(従来の標準的なBS処理と本発明によるBS処理を適切に区別して実施できなくなることによる混乱)を避けるため、収容状況の確認を指示するフラグや指示子を明示的に設けてもよい。なお、このようなフラグや指示子は、ホームプレフィクスを記載するフィールドを共有しない場合であっても明示的に設けることができる。
IKE_AUTH RequestメッセージはBS処理部104からパケット処理部103、第2無線通信部102を介してPGW5宛に送信される。PGW5は収容状況を確認した後、その応答としてIKE_AUTH ResponseメッセージをUE1に送信し、IKE_AUTH Responseメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送される(ステップS5007)。BS処理部104はIKE_AUTH Responseに記載されたパラメータ(少なくとも、判定結果、UE_BS_Identity、動作指示)を接続制御部106に通知し、接続制御部106において判定結果、動作指示について評価を行う(ステップS5008)。
判定結果が少なくとも失敗を示す値(例えば“0”、FALSEなどの符号)でない場合、接続制御部106は、BS処理部104に対して残りのBS処理を従来の標準的なBS手順に基づいて継続実行するよう指示する。BS処理部104は残りのBS処理、すなわち図12に示すステップS9008からS9014を実行し(ステップ5030)、続けてPGW5とDSMIPあるいはMIPv6に基づくBU/BA交換を実施する(ステップS5031)。
一方、判定結果が失敗を示す値であり、動作指示が“待機”を示す値(例えば“Wait”などの状態を示す符号)である場合、接続制御部106はIKE_AUTH Responseで通知されたUE_BS_Identityに対応するT-PGW_BS_Identityを独自に生成(例えばUE_BS_Identityを元データとしてハッシュ計算を行う、など)するか、あるいはUE_BS_Identityに対応するT-PGW_BS_Identityをデータベースから取得する(ステップS5010)。
なお、UE_BS_Identity並びにT-PGW_BS_Identityの詳細については、本発明に係る通信システムの説明した際に記載したので、ここでは説明を割愛する。なお、ここではUE_BS_IdentityとT-PGW_BS_Identityの双方が存在し、通信システム並びに移動端末がそれらの存在を前提として動作するものとして説明するが、先述したBS_Identityの使用方法に合わせて、その一方が定義されない場合であっても、UE1は適宜その動作を選択ないし修正できるものとする。
ここで、接続制御部106は、動作指示が“待機”であったことを受けて、自分が接続を所望するPGW5(T−PGW5b)からのBS処理が開始されることを察知し、外部からのIKE_SA_INITを受信できる状態にBS処理部104をセットする(ステップS5011)。このとき、接続制御部106は、BS処理部104が既に開始したPGW5(I−PGW5a)とのBS処理に関する状態、データをクリアあるいはリセットしてもよい。これにより、今後必要とされないI−PGW5aとの接続に関する状態やデータを保持しておく必要がなくなり、リソースの有効活用を図ることができる。また、T−PGW5bからのBS処理が結果的に失敗(オペレータによる判断、ネットワーク側リソース欠落などを原因とする)することに備えて、I−PGW5aとの接続に関する状態データをあえて保持しておいてもよく、これにより結果的にI−PGW5aと接続しなければならなくなった場合に、BS処理の途中から再開することができる(少なくともIKE SAは保持されており、IKE_AUTH Requestから実施することで十分である)。
やがてT−PGW5bにおいてUE1に対するBS処理が開始され、IKE_SA_INITの最初のメッセージ(図2ではステップS3008:IKE_SA_INIT_1として表記)がUE1に配送される。T−PGW5bからの最初のIKE_SA_INITメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送され、BS処理部104ではT−PGW5bからのIKE_SA_INITメッセージであることを確認すると、メッセージに含まれるT-PGW_BS_Identityを接続制御部106に転送する。接続制御部106では、取得したT-PGW_BS_Identityが、先にステップS5007で受信したIKE_AUTH Responseに記載されたUE_BS_Identityに基づいて生成あるいは取得したものと同じ(同じ値、同じ属性、所定の閾値内、所定の関数を経て同一性を検証、など)であるかを評価する(ステップS5012)。なお、図4に示すフローでは、IKE_SA_INITメッセージにT-PGW_BS_Identityが含まれており、IKE_AUTH Responseメッセージに記載されたUE_BS_Identityとの相関を判断することで評価を行う場合の処理について記載されているが、先述したBS_Identityの使用方法に応じた様々な方法によって、受信したIKE_SA_INITメッセージがT−PGW5bからのBS処理要求かどうかを判断することが可能である。
ステップS5012による処理で同じものである(相関を有する)と評価されなかった場合は、意図しないPGW5あるいは他ノードからのBS処理であると判断し、接続制御部106は、受信したIKE_SA_INITメッセージを破棄あるいはリジェクトするようBS処理部104に指示し、BS処理部104は指示に従ってメッセージを破棄あるいはリジェクトする(ステップS5020)。
一方、ステップS5012による処理で同じものである(相関を有する)と評価された場合は、応答として送信する第2のIKE_SA_INITメッセージ(図2のステップS3009で送信されるIKE_SA_INIT_2)にUE_BS_Identityを格納して送信するようBS処理部104に指示する(ステップS5013)。BS処理部104は、指示に従って、UE_BS_Identityを格納した第2のIKE_SA_INITメッセージをT−PGW5b宛に送信する。本IKE_SA_INITメッセージを受信したT−PGW5bは、メッセージに格納されたUE_BS_Identityを用いて、意図したUE1からの応答であるかを検証し、正しく検証が完了した場合には、以降のBS処理がT−PGW5bとの間で継続実行される(ステップS5014)。すべてのBS処理が完了すると、接続制御部106は、DSMIPあるいはMIPv6に基づくBU/BA交換をT−PGW5bと実施するようMIP処理部107に指示し、MIP処理部107がT−PGW5bとBU/BA交換を実施する(ステップS5015)。
次に、本発明を実施するためのPGW5の構成について説明する。以下、図8を参照しながら、本発明の第1の実施の形態におけるPGW5の構成について説明する。図8は、本発明の第1の実施の形態におけるPGW5の構成の一例を示す図である。
図8において、PGW5は、コアネットワーク4と接続して下位レイヤにおける通信処理を行う通信部201、通信部の上位でIPなどのパケット通信処理を実施するパケット処理部202、UE1とPGW5との間のブートストラップ処理を実施するBS処理部203、AAAサーバ8aへの問い合わせメッセージと、UE1へのBS指示を取得するAAAクラインアント処理部204、本発明における特徴的な処理を実施する接続制御部205、DSMIPやMIPv6に基づいてBU/BA交換などの移動管理処理をPGW5に対して実施するMIP処理部206を少なくとも有する。
次に、図8に図示されている構成を有するPGW5の処理フローについて、本発明における特徴的な処理を実施する接続制御部205に係る処理を中心に、図9を用いて詳しく説明する。なお、PGW5は、既に通信部201を介し、3Gアクセス2(ホームリンク)に接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5は、I−PGW5aとする。
図9は、本発明の第1の実施の形態におけるPGW5の処理フローの一例を示すフロー図である。本発明によるPGW5は、UE1とSAを確立するためにUE1からのBSを待つ。UE1がI−PGW5aとアタッチ(接続)処理を接続手順に従って開始すると、UE1からIKE_SA_INITメッセージが送られてくる(ステップS6002)。その後、次ステップであるIKE_AUTH Requestメッセージ(UE1のHome Prefixが含まれている)をI−PGW5aが受信すると、I−PGW5aは、そのメッセージに格納されているHome PrefixがI−PGW5aの持つバインディングキャッシュに登録されているか確認する(ステップS6003)。
なお、UE1とT−PGW5bの3Gアクセス経由の接続には、PMIPあるいはGTPプロトコルが用いられるのに対し、今回のN3Gアクセス経由の接続では、MIPあるいはDSMIPが用いられるため、I−PGW5aに向けてブートストラッピング処理が開始されている。コアネットワーク4の運用形態によっては、PMIPあるいはGTPで用いられるUE1の位置管理を行うためのデータベース(例えばPMIPバインディングキャッシュ)と、DSMIP/MIPで用いられる同UE1の位置管理を行うためのデータベース(例えばMIPバインディングキャッシュ)はそれぞれ個別に管理運用されることも想定される。さらには、それぞれ(GTP、PMIP、DSMIP/MIP)の位置管理機能が論理的あるいは物理的に異なる装置で実施されることも想定される。そのような場合、I−PGW5aは、UE1が送付したホームプレフィクスがバインディングキャッシュに登録されているかどうかをチェックする際に、DSMIP/MIPで用いられる管理データベース(MIPバインディングキャッシュ)の確認だけではなく、I−PGW5aが管理する(あるいは、I−PGW5aの管轄対象である他ノードが管理する、さらにはI−PGW5aと同じドメインに配置された他ノードが管理する)PMIPバインディングキャッシュや、GTP用の位置管理データベースの確認も行うことが望ましい。
このとき、I−PGW5aのバインディングキャッシュに登録されていないHome Prefixであった場合、I−PGW5aは、UE_BS_Identityを生成(取得)する(ステップS6010)。なお、UE_BS_Identityを生成する方法は、上述のようにいくつか存在する。そして、I−PGW5aは、IKE_SA_INITメッセージに格納されていたHome Prefixを管理しているT−PGW5bがUE1に対してBSをするように指示するための動作指示を生成する(ステップS6011)。そして、IKE_SA_INITメッセージで受信したHome Prefixと、生成したUE_BS_Identityと、動作指示をAAAサーバ8aに送信する(ステップS6012)。なお、T−PGW5bは、AAAサーバ8aやHSS8bで検索及び特定されてもよく、あるいは、I−PGW5aによって検索及び特定されてもよい。
また、I−PGW5aは、AAAサーバ8a方向とは別に、UE1へ送信するためのUE1への動作指示を生成する(ステップS6013)。そして、Home Prefixが異なっていたことを示すPrefix判定結果(例えば、Falseや‘1’など)と、生成したUE_BS_Identityと、UE1への動作指示をUE1へ送信する(ステップS6014)。なお、ここでは、ステップS6011及びS6012における動作指示の送信処理(AAAサーバ8への送信)の後で、ステップS6013及びS6014における動作指示の送信処理(UE1への送信)が行われるように説明しているが、これらの送信処理の順序は特に限定されず、任意の順序又は並列して行われてもよい。
一方、IKE_AUTH Requestメッセージに格納されているHome PrefixがI−PGW5aの持つバインディングキャッシュに登録されている場合(ステップS6003)は、標準的なBS処理を実行し(ステップS6030)、SA確立後にUE1から送られてくるBUに対し、BAを交換する(ステップS6031)。
また、PGW5がI−PGW5aではなくT−PGW5bとして働く場合には、IKA_SA_INITメッセージではなく、Home Prefix確認要求返信メッセージを受信する(ステップS6004)。この場合、T−PGW5bは、受信したUE_BS_IdentityからT-PGW_BS_Identityを生成(取得)する(ステップS6020)。そして、T−PGW5bは、生成したT-PGW_BS_Identityを格納したIKE_SA_INIT_1メッセージをUE1に送信する(ステップS6021)。T−PGW5bは、IKE_SA_INIT_1メッセージの返信と予想されるIKE_SA_INIT_2メッセージを受信すると、AAAサーバ8aから転送されてきたUE_BS_Identity(ステップS6004で受信したHome Prefix確認要求返信メッセージに含まれているUE_BS_Identity)を使用して、IKE_SA_INIT_2メッセージに格納されているBS_Identityと照合する(ステップS6022)。一致していた場合、引き続き標準的なBS処理を実施し、UE1とT−PGW5bとの間でSAを確立する(ステップS6040)。そして、SA確立後、UE1から送られてくるBUに対し、BAを交換する(ステップS6041)。
なお、BS_Identityの使用方法によっては、ステップS6004で受信したHome Prefix確認要求返信メッセージにT-PGW_BS_Identityやその他の種類の値が含まれている場合があるが、このような場合も同様にこれらの値を用いて、IKE_SA_INIT_2メッセージに含まれているBS_Identityの照合を行うことが可能である。
次に、本発明を実施するためのAAAサーバ8aの構成について説明する。以下、図10を参照しながら、本発明の第1の実施の形態におけるAAAサーバ8aの構成について説明する。図10は、本発明の第1の実施の形態におけるAAAサーバ8aの構成の一例を示す図である。なお、上述のように、AAAサーバ8aとHSS8bは物理的又は論理的に同一の装置に実装されるものであってもよく、例えば、図10に示す構成がHSS8bに実装されてもよい。
図10において、AAAサーバ8aは、コアネットワーク4と接続して下位レイヤにおける通信処理を行う通信部301、通信部の上位でIPなどのパケット通信処理を実施するパケット処理部302、本発明における特徴的な処理を実施する接続制御部303、DSMIPやMIPv6などのプロトコルに対応するUE1の認証/承認処理を実施する認証/承認処理部304を少なくとも有する。
次に、図10に図示されている構成を有するAAAサーバ8aの処理フローについて、本発明における特徴的な処理を実施する接続制御部303に係る処理を中心に、図11を用いて詳しく説明する。なお、AAAサーバ8aは、既に通信部301を介して、コアネットワーク4と接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5はI−PGW5aとする。
図11は、本発明の第1の実施の形態におけるAAAサーバ8aの処理フローの一例を示すフロー図である。本発明によるAAAサーバ8aは、PGW5から送られてくるHome Prefix確認要求メッセージを待つ。UE1がI−PGW5aとアタッチ(接続)処理を接続手順に従って開始すると、I−PGW5aからHome Prefix確認要求メッセージが送られてくる(ステップS7002)。このメッセージを受信したAAAサーバ8aは、Home Prefix確認要求メッセージに動作指示が格納されているかどうか確認し、さらにその動作指示が転送指示であるかどうかを確認する(ステップS7010)。動作指示が転送指示であった場合には、AAAサーバ8aは、Home Prefix確認要求メッセージに格納されていたHome PrefixがHSS8bの持つサブスクリプションデータ(Subscription data)に登録されているかどうかをHSS8bへ問い合わせる。HSS8bは、問い合わせメッセージを受け、Subscription dataを参照して対象のHome Prefixが登録されているか確認し、登録されていた場合には対象のHome Prefixを管理しているT−PGW5bのアドレスをAAAサーバ8aに返信する(ステップS7011)。AAAサーバ8aは、HSS8bから返信されたメッセージにT−PGW5bのアドレスが格納されているか確認する(ステップS7012)。T−PGW5bのアドレスが格納されていた場合は、UE1にBSするようにBS指示を生成する(ステップS7013)。そして、UE1のアドレスと、I−PGW5aから送られてきたUE_BS_Identityと、ステップS7013で生成したBS指示とをT−PGW5bに送信する(ステップS7014)。
また、HSS8bから返信されたメッセージにT−PGW5bのアドレスが格納されていなかった場合(ステップS7012)や、Home Prefix確認要求メッセージに転送指示が格納されていなかった場合(ステップS7010)は、I−PGW5aにその結果(例えば、Falseや‘1’など)を返信する(ステップS7030)。
また、PGW5からHome Prefix確認要求メッセージではなく、Authentication-Request/Identityメッセージを受信した場合(ステップS7020)は、Authentication-Request/Identityメッセージに応じて、HSS8bにUser Profile(ユーザプロファイル)とAVs(Authentication Vectors:認証ベクタ)を要求し、取得する(ステップS7021)。User ProfileとAVs取得後、AAAサーバ8aは、EAP-Request/AKA-ChallengeメッセージをPGW5に返信する(ステップS7022)。そして、AAAサーバ8aはEAP-Request/AKA-Challengeメッセージの返信であるEAP-Response/AKA-Challengeメッセージを受信し(ステップS7023)、その返信であるAuthentication-Answer/EAP-Success + keying material(鍵素材)メッセージをPGW5に返信する(ステップS7024)。
<第2の実施の形態>
次に、本発明の第2の実施の形態におけるシステム動作の一例について、図13を用いて詳しく説明する。図13は、本発明の第2の実施の形態におけるシステム動作の一例を説明するためのシーケンス図である。図13は、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによって構成され、処理シーケンスの一例が図示されている。
以下、従来の技術と比較しながら、図13に図示されている本発明の第2の実施の形態におけるシステム動作の一例について説明する。本発明の第2の実施の形態の処理フローのステップS9101〜S9105は、従来技術のPDN GW reallocation procedureのステップS9001〜S9005(図12に図示)と同一である。
従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)では、I−PGW5aはEAP-Request/AKA-Challengeメッセージを受信することで、T−PGW5bのアドレスを取得するが(図12のステップS9006)、実際にUE1へT−PGW5bの存在(アドレス)を通知するのは、UE1とI−PGW5aとの間のSA確立後に実施されるBU/BA交換時である(図12のステップ9016)。
一方、本発明の第2の実施の形態においては、I−PGW5aは、図13に示したポイントA(ステップS9106でI−PGW5aがAAAサーバ8aからのEAP-Request/AKA-Challengeメッセージを受信したとき)においてT−PGW5bのアドレスを取得した時点で、例えば、ステップS9107でUE1へ送信するIKE_AUTH Responseメッセージ(あるいは、その他のメッセージを利用してもよい)にT−PGW5bのアドレスを挿入することで、ステップS9106で取得したT−PGW5bのアドレスをUE1に通知する。
ここで、本発明の第2の実施の形態においては、UE1がI−PGW5aとの間で接続認証を行っている途中で、T−PGW5bのアドレスがUE1へ通知される。これは、UE1がN3Gアクセス3にアタッチ(接続)する際に、コアネットワーク4によるアクセス認証(図13のステップS9100)が既に実施されており、その認証結果を担保にUE1へのT−PGW5bのアドレスの通知許可が決定されるためである。
このように、本発明の第2の実施の形態によれば、UE1は、従来技術と比較してより早期の段階(例えば、IKE_AUTH ResponseメッセージからT−PGW5bのアドレスを抽出した段階)で、T−PGW5bのアドレスを把握することが可能となり、所望のPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)に接続を行おうとしていることを認識できるようになる。その結果、UE1は、従来技術と比較してより早期の段階で、I−PGW5aではなくT−PGW5bとBSをやり直す処理(ステップS9202〜S9214:標準的なBS)を開始することが可能となり、UE1とT−PGW5bとの間でSAを確立した後、UE1及びT−PGW5bはBU/BAの交換を実施することが可能となる(ステップS9215、S9216))。
ただし、ステップS9107でIKE_AUTH ResponseメッセージをUE1へ送信した時点では、AAAサーバ8aは、UE1に対するチャレンジ情報を送信した後にレスポンス情報の受信を待っている状態であり、少なからずUE1に関する状態を保持した状態にある。したがって、UE1は、図13に図示されているように、ステップS9108においてIKE_AUTH Request相当のメッセージを送信するなどして、AAAサーバ8aの状態待ちを解消し、ステップS9112においてIKE_AUTH Response相当のメッセージを受信するなどして、実施中のBS処理が終了したことを確認する必要があるかもしれない(ステップS9108〜S9112)。
UE1は、AAAサーバ8aの状態待ちを解消する処理によってT−PGW5bとの接続が遅延してしまわないようにするため、ステップS9108〜S9112におけるAAAサーバ8aの状態待ちの解消処理と並列して、ステップS9202〜S9216におけるT−PGW5bとの接続処理を行ってもよい。これにより、UE1とT−PGW5bとの間のSA確立に要する時間が、AAAサーバ8aの状態待ちの解消の返信であるIKE_AUTH Response相当のメッセージを受信するまでの時間分だけ短縮可能となる。
<第3の実施の形態>
次に、本発明の第3の実施の形態におけるシステム動作の一例について、図14から16を用いて詳しく説明する。図14は、本発明の第3の実施の形態におけるシステム動作の一例を説明するための第1のシーケンス図である。図14には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
本発明の第3の実施の形態では、T−PGW5bのアドレスが、IKE_AUTHメッセージ交換の完了後、すなわちUE1とAAAサーバ8が相互認証に成功して作成されたMSKがUE1とI−PGW5aとの間で交換された後に通知される場合のPGW切り替え方法について説明する。以下、従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)と比較しながら、図14に図示されている本発明の第3の実施の形態におけるシステム動作の一例について説明する。
図14において、本発明の第3の実施の形態の処理フローのステップS10001〜S10009は、従来技術のPDN GW reallocation procedureのステップS9001〜S9009(図12に図示)と同一であるので説明を省略する。
続いて、従来技術のPDN GW reallocation procedure(図12に図示)における次ステップS9010では、AAAサーバ8aがI−PGW5a経由でUE1から送られてきたEAP-Responseメッセージを処理し、UE1とI−PGW5aとの間のSA確立に必要である鍵(Master Session key:以降、MSKと呼ぶ)と、UE1にとっての切り替え先となるT−PGW5bのアドレスとをI−PGW5aに送信する(図12、ステップS9010)。一方、本発明の第3の実施の形態では、従来ではAAAサーバ8aからI−PGW5aに送信されるMSKとT−PGW5bのアドレスに、更にUE_BS_Identityを加えたAuthentication-AnswerメッセージをI−PGW5aに送信する(図14、ステップS10010)。
図18Bは、図14のステップS10010においてAAAサーバ8aがI−PGW5aに送信する応答メッセージの一例として、Authentication-Answerメッセージのフォーマット例を示す図である。AAAサーバ8aは、従来の標準的なAuthentication-Answerメッセージ4101に加えて、MSK(鍵)フィールド4102、BS識別子フィールド(UE_BS_Identity/T-PGW_BS_Identity)4103を設ける。MSK(鍵)フィールド4102は、UE1とI−PGW5aとの間で使用する鍵をI−PGW5aへ送信するためのフィールドである。なお、AAAサーバ8aは、MSK(鍵)フィールド4102にMSKを格納してもよく、あるいは、MSK(鍵)フィールド4102を使用せずにAuthentication-Answerメッセージ4101内にMSKを格納してもよい。Authentication-Answerメッセージ4101内にMSKを格納する場合には、応答メッセージにMSK(鍵)フィールド4102を設けなくてもよい。
また、BS識別子フィールド4103は、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なAuthentication-Answerメッセージの既存のペイロードにBS_Identityを記載し、PGW5に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続く本発明の第3の実施の形態の処理フローのステップS10011〜S10013は、従来技術のPDN GW reallocation procedureのステップS9011〜S9013(図12に図示)と同一であるので説明を割愛する。
続いて、従来技術のPDN GW reallocation procedureにおける次ステップでは、I−PGW5aからUE1にT−PGW5bのアドレスなどが送信される(図12、ステップS9014)。一方、本発明の第3の実施の形態では、AAAサーバ8aからI−PGW5aに従来送信されていたMSKに加えて、T−PGW5bのアドレスと、AAAサーバ8aから通知されたUE_BS_IdentityとをIKE_AUTH Responseメッセージに乗せてUE1に通知する(図14、ステップS10014)。
図17Bは、図14のステップS10014においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。BS識別子(BS_Identity)フィールド3102では、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してT-PGW_BS_Identityを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよいが、IKE_AUTH Responseメッセージの送信と同時、あるいはIKE_AUTH Responseメッセージよりも後に送信されることが望ましい。
なお、ここでは、IKE_AUTHメッセージ交換(図14、ステップS10012、S10013)によってUE1とI−PGW5aとの間でMSKが交換された後に、I−PGW5aからUE1に対してT−PGW5bのアドレス通知(例えば、ステップS10014のIKE_AUTH Responseメッセージによる通知)が行われているが、AAAサーバ8aによるUE1の認証が成功した時点(すなわち、ステップS10009で受信したチャレンジ情報に基づいてAAAサーバ8aがUE1の認証を完了した時点)で、ネットワーク側からUE1に対してT−PGW5bのアドレスを通知することも可能である。この場合には、ステップS10009で受信したチャレンジ情報の処理が完了した後に、任意のメッセージ(例えば、ステップS10010、S10012におけるメッセージ)にT−PGW5bのアドレスを格納してUE1へ通知してもよい。
続いて、UE1は、UE1とT−PGW5bとの間でSAを確立するために、BS処理を開始する。UE1とT−PGW5bは、UE1認証を行うIKE_AUTHメッセージを保護するために、UE1とT−PGW5bとの間でIKE_SA_INITメッセージ交換を実施し、UE1とT−PGW5b間の共有鍵を生成する(図14、ステップS10101)。
次に、UE1はIKE_AUTH Requestメッセージを作成し、先にIKE_SA_INITメッセージ交換を通じて生成したUE1とT−PGW5bとの間の共有鍵を使用して暗号化し、T−PGW5bに送信する。ここで、先にUE1とI−PGW5aとの間で実施したSA確立の際に生成されたMSK(鍵)を再利用するよう要求することにより、従来技術ではこの後に必要であったUE1とAAAサーバ8aとの間の相互認証を省略することができる。そのため、UE1は、先に生成したMSKの再利用を示すReuse IndicatorをIKE_AUTH Requestメッセージに格納してT−PGW5bに送信する(図14、ステップS10102)。
なお、Reuse indicatorは、UE1とI−PGW5aとの間のブートストラップ処理の過程でI−PGW5a又はAAAサーバ8aなどが生成し、UE1に通知するものであってもよい。特にAAAサーバ8aが生成してUE1に通知することにより、AAAサーバ8aあるいはAAAサーバ8aを含むネットワークシステムが、鍵の再利用をサポートあるいは許可することの表明をUE1に対して行うことができ、UE1にとっては、確信を持って鍵の再利用を要求することができ、ひいては所望のT−PGW5bとの切り替え接続をより確実に短時間で終えることができるようになる。
さらには、AAAサーバ8aがReuse Indicatorを生成及び通知したが、そのドメインあるいはコアネットワーク4のPGW5がサポートあるいは許可しない場合(例えばローミングUE1に対しては許可しないなどの理由から)は、PGW5がReuse Indicatorを除去してUE1に通知しないようにしてもよい。これにより、例えばUE1のホームネットワーク(HPLMN:Home Public Land Mobile Network)では鍵の再利用がサポートあるいは許可されても、UE1の在圏ネットワーク(VPLMN:Visited Public Land Mobile Network)ではサポートあるいは許可されない場合に対応することができるようになる。
また、I−PGW5aを通じてAAAサーバ8aと既に相互認証を完了しているUE1からのBS処理であることを、後のT−PGW5b経由の相互認証処理時にAAAサーバ8aが識別可能にするために、UE1はUE_BS_IdentityをIKE_AUTH Requestメッセージに格納する(図14、ステップS10102)。
図17Aは、図14のステップS10102においてUE1がT−PGW5bに送信するメッセージの一例として、IKE_AUTH Requestメッセージのフォーマット例を示す図である。UE1は、従来の標準的なIKE_AUTH Requestメッセージ3001に加えて、Reuse Indicatorフィールド3002、UE用BS識別子(UE_BS_Identity)フィールド3003を設け、それぞれの値をT−PGW5bに通知することができる。また、標準的なIKE_AUTH Requestメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してReuse Indicatorを記載し、UE1に通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればIKE_AUTH Requestメッセージ以外のメッセージであってもよい。
T−PGW5bは、UE1から送られてきたIKE_AUTH Requestメッセージに含まれるReuse indicatorとUE_BS_IdentityとをAAAサーバ8aに転送する(図14、ステップS10103)。なお、Reuse IndicatorとUE BS Identityは、UE1がIKE_SA_INITメッセージを通じてT−PGW5bに通知し、T−PGW5bはIKE SA INITメッセージの交換と並行して同パラメータをAAAサーバ8aに通知するものであってもよい。
図18Aは、図14のステップS10103においてT−PGW5bがAAAサーバ8aに送信するメッセージの一例として、Authentication-Requestメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なAuthentication-Requestメッセージ4001に加えて、Reuse Indicatorフィールド4002、UE用BS識別子(UE_BS_Identity)フィールド4003を設け、それぞれの値をAAAサーバ8aに通知することができる。また、標準的なAuthentication-Requestメッセージの既存のペイロードにReuse IndicatorとUE_BS_Identityとを記載し、AAAサーバ8aに通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればAuthentication-Requestメッセージ以外のメッセージであってもよい。
AAAサーバ8aは、T−PGW5bから転送されてきたReuse indicatorを受けて、先にUE1とI−PGW5aとの間でSA確立した際のMSKの再利用が要求されていると判断し、AAAサーバ8aが保持するUE_BS_Identityに対応しているMSKをT−PGW5bに通知する。なお、UE_BS_Identityは、一度フル認証を完了しているUE1であることを確認できるパラメータ(例えば、User IDなど)に代替してもよい。MSKを通知すると同時に、UE_BS_Identityに対応するT-PGW_BS_Identityも通知する(図14、ステップS10104)。なお、T-PGW_BS_Identityは、AAAサーバ8a自身が生成してもよいし、BS_Identityリストを保持しているネットワーク上のデータベースサーバ(不図示)が設置されている場合は、データベースサーバに問い合わせてUE BS Identityに対応するT-PGW BS_Identityを取得して利用してもよい。
ここで、MSKの再利用が先に指示された異なるPGW5への切り替え接続に限って許可される場合(任意のPGW5からの接続に対してMSKの再利用を許可しない場合)に対応するため、T−PGW5bが自身の情報(例えば、IPアドレスやPGW5の識別子など)を、ステップS10103を通じてAAAサーバ8aに通知することが考えられる。これにより、AAAサーバ8aにおいて、本接続要求が先にUE1に対して指示したT−PGW5bへの切り替え接続要求であることを確認することができ、MSKの再利用を正しく許可することができる。
図18Bは、図14のステップS10104においてAAAサーバ8aがT−PGW5bに送信するメッセージの一例として、Authentication-Answerメッセージのフォーマット例を示す図である。AAAサーバ8aは、従来の標準的なAuthentication-Answerメッセージ4101に加えて、MSK(鍵)フィールド4102、BS識別子フィールド(UE_BS_Identity/T-PGW_BS_Identity)4103を設ける。ステップS10104では、MSK(鍵)フィールド4102にUE1とI−PGW5aとの間で生成されたMSKを格納する。なお、このMSKは、標準的なAuthentication-Answerメッセージ4101内にあるMSKを格納するフィールドに格納されてもよい。その際、MSK(鍵)フィールド4102を新たに設ける必要はない。また、BS識別子フィールド4103は、使用用途によってUE_BS_IdentityやT-PGW_BS_IdentityをPGW5に通知することが可能である。また、標準的なAuthentication-Answerメッセージの既存のペイロードにBS_Identityを記載し、T−PGW5bに通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続いて、T−PGW5bは、AAAサーバ8aから通知されたMSK(実際にはUE1とI−PGW5aとの間のSA確立時に生成されたもの)を用いて生成したAUTHパラメータ値と、再利用を許諾したAAAサーバ8aが先にI−PGW5aとの接続時にUE1をサーブしたのと同じノードであることをUE1が正しく識別するためのT-PGW_BS_IdentityとをIKE AUTH Responseメッセージに格納して、UE1へ送信する(図14、ステップS10105)。ここで、ステップS10012〜S10014を通じて、既にUE1はMSKを生成できているので、ステップS10105においては認証の成功のみを伝えるだけで十分である(認証の成功と同時にMSKの再利用が承認されたことの通知でもあるため)。
図17Bは、図14のステップS10105においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してT-PGW_BS_Identityを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
IKE AUTH Responseメッセージを受信したUE1は、UE_BS_IdentityとT-PGW_BS_Identityとの相関を検証し、正しく対応するものであることを確認できたら、T−PGW5bとBU/BA交換を実施する(図14、ステップS10201)。
なお、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証のために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合は、これらのBS_Identityを省略することもできる。
また、T−PGW5bへの切り替え指示後もAAAサーバ8aがUE1に対する状態を保持できる場合には、UE1が通知するReuse Indicatorも省略することができる。この場合、AAAサーバ8aは、User IDなどを基にUE1の識別を行い、保持しておいたUE1に対する状態に基づいて鍵データを抽出し、T−PGW5bに通知することができる。ただし、一部のAAAサーバ8aにおいては、切り替え指示後はUE1に対する状態を解消することも想定されるため、汎用性を確保する目的でReuse IndicatorをUE1から通知することは有用である。
以上の動作によって、従来技術のPDN GW reallocation procedureでは、UE1とAAAサーバとの8a間においてI−PGW5aとT−PGW5bで計2回のUE認証(Full Authentication)を実施する必要があったが、上述したように鍵の再利用を行うことにより、UE1がT−PGW5bに切り替え接続する際のブートストラップ処理のメッセージ数削減と切り替え時間の短縮を図ることができるようになる。
なお、過去にUE1が他のPGW5とSA確立を実施した実績がある場合、UE1に対するPGW5の切り替え要求(すなわち切り替え先PGW5(T−PGW5b)のアドレスの通知)は、上記説明したステップS10014より前に実施することも可能である(例えば、図14のステップS10007など)。例えば、UE1は、ステップS10102で送信されるReuse IndicatorをステップS10003のIKE AUTH Requestメッセージに含めて送信する。このReuse Indicatorを参照したI−PGW5aは、ステップS10004〜S10006の処理において、ステップS10103及びS10104と同様の手順で、UE1に対して確立済みの鍵をAAAサーバ8aから取得する(このとき同時に切り替え先PGW5のアドレスも取得することになる)。そして、I−PGW5aは、ステップS10007で切り替え先PGW5のアドレスを含むIKE_AUTH responseメッセージ(すなわち、上記のステップS10105で送信されるIKE_AUTH responseメッセージと同等のメッセージ)をUE1へ送信することによって、切り替え先PGW5のアドレスをUE1に通知することが可能となる。これにより、UE1は過去に確立した鍵を再利用して高速に切り替え先PGW5のアドレスを取得することができ、ひいては本来接続を希望しないPGW5が割り当てられた場合でも、所望のPGW5への切り替え接続を高速に実施することができる。
また、AAAサーバ8aはT−PGW5bへの切り替えを指示するタイミング(図14、ステップS10010)で、生成したMSKをT−PGW5bに通知してもよい。具体的には、図15を用いて説明する。
図15は、本発明の第3の実施の形態におけるシステム動作の一例を説明するための第2のシーケンス図である。図15には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図15の処理フローのステップS11001〜S11010は、図14の処理フローのステップS10001〜S10010と同一であるので説明を省略する。ステップS11010段階で、AAAサーバ8aはT−PGW5bにMSKを通知することが可能である。AAAサーバ8aがT−PGW5bにMSKを通知する手法としては、例えば、I−PGW5aにUE_BS_Identityを格納したAuthentication-Answerメッセージを送信する処理と同時に、UE1とI−PGW5aとの間のSA確立処理の過程で生成したMSKと、UE_BS_Identityに対応するT-PGW_BS_IdentityをT−PGW5bに送信する(図15、ステップS11011)。
図19は、図15のステップS11011においてAAAサーバ8aがT−PGW5bに送信するメッセージの一例として、BS_Identity通知メッセージのフォーマット例を示す図である。AAAサーバ8aは、宛先アドレスフィールド5001にT−PGW5bのアドレス、ソースアドレスフィールド5002に自アドレス、MSK(鍵)フィールド5003にUE1とI−PGW5aとの間で生成されたMSK、UEアドレスフィールド5004にMSKに対応するUE1のアドレス(例えば、UE1のCoA)、T-PGW_BS_Identityフィールド5005にUE_BS_Identityに対応しているT-PGW_BS_Identityを記載して、T−PGW5bに送信する。なお、BS_Identity通知メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、BS_Identity通知メッセージに、UE1のUser IDを含めてもよく、これによりT−PGW5bがUE1からIKE_AUTH Requestメッセージを受信したとき、そのUE1に関してフル認証が完了しているUE1なのかを判別しやすくなり、より確実にUE1を照合することが可能となる。
続く図15の処理フローのステップS11012〜S11102は、図14の処理フローのステップS10011〜S10102と同一であるので説明を割愛する。
Reuse indicatorとUE_BS_Identityが格納されたIKE_AUTH Requestメッセージ(図15、ステップS10102に対応)を受信したT−PGW5bは、ステップS11011でAAAサーバ8aから受信したT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に返信する(図15、ステップS11103)。なお、T−PGW5bは、ステップS11102で受信したUE_BS_IdentityとステップS11011で受信したT-PGW_BS_Identityとが正しく対応するものであるか確認してもよい(例えば、ハッシュ値の検算や、ネットワーク上のBS_Identityリストを管理しているデータベースへの問合せなど)。また、UE1は既にステップS11013のIKE_AUTH ResponseメッセージによってMSKを取得しているので、T−PGW5bは、ステップS11103で送信するIKE_AUTH ResponseメッセージにMSKを格納して通知する必要はない。ただし、例えば、UE1が何らかの理由でMSKを保持していない(例えば、既に廃棄しているなど)可能性も考えられるので、T−PGW5bが、ステップS11103で送信するIKE_AUTH ResponseメッセージにMSKを格納してUE1へ通知して、UE1がMSKを確実に把握できるようにしてもよい。
図15のステップS11103におけるT−PGW5bからUE1に送信する応答メッセージの一例であるIKE_AUTH Responseメッセージのフォーマット例は、図17Bに図示されているものであり、図14のステップS10105におけるIKE_AUTH Responseメッセージのフォーマット例と同一であるため、説明を割愛する。
IKE AUTH Responseメッセージを受信したUE1は、UE_BS_IdentityとT-PGW_BS_Identityとの相関を検証し、正しく対応するものであることを確認できたら、T−PGW5bとBU/BA交換を実施する(図15、ステップS11201)。このように、AAAサーバ8aがT−PGW5bにMSKを事前に通知しておくことにより、UE1がT−PGW5bに切り替え接続した時に、T−PGW5bがAAAサーバ8aからMSKを取得する場合に比べて、高速な切り替え接続が可能となる。
なお、AAAサーバ8aがT−PGW5bにMSKを通知するより先に、UE1からのIKE_AUTH RequestメッセージをT−PGW5bが受信/処理してしまうと、T−PGW5bは再度UE1に対するフル認証処理をAAAサーバ8aに要求してしまい、接続までに要する時間が増大することになる。これを回避するため、UE1は図14で説明したReuse indicatorを含めたIKE_AUTH RequestメッセージをT−PGW5bに送信し(図15、ステップS11102)、T−PGW5bがAAAサーバ8aからMSKを取得していなければ、AAAサーバ8aに問い合わせるようにしてもよい。これにより、より確実にMSKの再利用を行うことができるようとともに、切り替え接続の高速化を図ることができる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証を行うためや、AAAサーバ8aにおいて、今回UE1からの接続要求が、先に指示されたT−PGW5bへの切り替え接続によるものであるか、あるいは新規PGW5への接続のためのものであるかを判別して確実にMSKの再利用を実施するために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合、またAAA8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えによりものであることの確認がとれる場合などにおいては、これらのBS_Identityを省略することもできる。
またさらには、理想状態において、T−PGW5bはUE1からIKE_AUTH Requestメッセージを受信する前にAAAサーバ8aからUE1向けの鍵を取得することができ、この時点で鍵の再利用を認識することができるため、UE1が通知するReuse Indicatorも省略することができる。ただし、先に説明したようにAAAサーバ8aからの通知がUE1からのIKE_AUTH Requestメッセージ到着より遅れることも想定し、T−PGW5bに対して従来のシーケンスに基づく処理ではなく鍵を再利用するためのシーケンスに基づく処理を促す目的でReuse Indicatorを付加することは有用である。
なお、上述の第2の実施の形態で説明したように、UE1は、I−PGW5aとの接続途中で切り替え先PGW5であるT−PGW5bのアドレスを通知されるかもしれない(図13のステップS9107)。しかしながら、第2の実施の形態では、UE1がAAAサーバ8aの状態を解消するためにステップS9108〜S9112を実施するものであったが、実質このステップ区間においてAAAサーバ8aによる認証処理(MSK生成)を完了させて、T−PGW5bとの切り替え接続時に認証データ(MSKなど)を再利用したほうが、総じて処理時間の短縮効果が大きいと考えられる。よって、本第3の実施の形態に対応するUE1が、I−PGW5aとの接続途中で切り替え先PGW5のアドレスを通知された場合は、図13のステップS9108でAAAサーバ8aの状態解消を要求せず、引き続き認証処理を継続してもよい。すなわち、図13のステップS9108以降の処理は、図14のステップS10008以降に置き換えられるが、既にT−PGW5bのアドレスはステップS9107でUE1に通知されているので、図14のステップS10014で再度通知する必要はない。
次に、本発明の第3の実施の形態における移動端末(UE1)の構成と処理フローについて説明する。本発明の第3の実施の形態における移動端末(UE1)の構成は、本発明の第1と第2の実施の形態における移動端末(UE1)の構成(図3を参照)と同様であるので説明を省略する。
以下、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図16を用いて詳しく説明する。図16は、本発明の第3の実施の形態におけるUE1の処理フローの一例を示すフローチャートであり、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
本発明による接続制御部106は、まずN3Gアクセス3へのアタッチ(接続)処理を開始するため、第2無線通信部102に接続開始を指示する(ステップS12001)。第2無線通信部102では、N3Gアクセス3における接続手順に従って、接続処理を実施する。N3Gアクセス3への接続が完了すると、N3Gアクセス3経由で接続するPGW5のアドレスを探索するため、DNSクライアント処理部105に探索開始を指示する(ステップS12002)。このとき、接続制御部106は、接続先となるPGW5のアドレスを取得するため、接続先ネットワークPDNの識別子であるAPNやPGW5を識別するためのHA−APNなどから、標準的な方法により(例えば、非特許文献6に開示されている方法など)、ホームエージェント名(FQDN)を構築し、DNSクライアント処理部105に通知する。DNSクライアント処理部105では、通知されたホームエージェント名を記載したDNSクエリをパケット処理部103、第2無線通信部102経由でDNSサーバ9宛に送信する。また、その応答としてDNS応答を第2無線通信部102、パケット処理部103経由でDNSサーバ9から受信し、DNS応答から取得したPGWアドレスを接続制御部106に転送する(ステップS12003)。
接続制御部106は、取得したPGWアドレスに対して一般的なBS処理を開始するようBS処理部104に指示する。BS処理部104では、IKE SAを構築するための手順であるIKE_SA_INIT処理を、接続制御部106から通知されたPGWアドレス(I−PGW5aのアドレス)に対して開始する(ステップS12004)。IKE_SA_INIT処理が完了し、IKE SAが確立されると、BS処理部104は、IKE_AUTH Requestメッセージを送信する(ステップS12005)。
IKE_AUTH Requestメッセージは、BS処理部104からパケット処理部103、第2無線通信部102を介してI−PGW5a宛に送信される。I−PGW5aはIKE_AUTH Requestメッセージの応答としてIKE_AUTH ResponseメッセージをUE1に送信し、UE1で受信したIKE_AUTH Responseメッセージは、第2無線通信部102、パケット処理部103を介してBS処理部104に転送される(ステップS12006)。
UE1とI−PGW5aとの間のSAが確立すると、I−PGW5aからT−PGW5bへの切り替えが必要であることがUE1に伝えられる。具体的には、切り替え先PGW5となるT−PGW5bのアドレスと、I−PGW5aを介して完了したAAAサーバ8aによるUE1に対する認証データをT−PGW5bへの切り替え接続時に再利用可能とするための符合UE_BS_Identityとを受信したかを確認する(ステップS12007)。
UE1がT−PGW5bのアドレスとUE_BS_Identityとを受信しなかった場合は、PGW5の切り替えを要求されなかったことであることから、確立したSAを用いてI−PGW5aとBU/BA交換を実施する(ステップS12030)。
一方、UE1がT−PGW5bのアドレスとUE_BS_Identityとを受信した場合、UE1はT−PGW5bへの切り替え接続を開始する。すなわち、T−PGW5bとのSA確立を開始する。最初に、IKE_AUTHメッセージを保護するために必要な共有鍵をUE1とT−PGW5bとの間で生成するために、UE1はIKE_SA_INITメッセージ交換をT−PGW5bとの間で実施する(ステップS12010)。
続いて、UE1はT−PGW5bとのSA確立において、従来実施されていたフル認証を省略して接続時間を短縮する目的で、I−PGW5aとのSA確立で生成されたMSKを再利用することを示すReuse Indicatorを生成する(ステップ12011)。なお、ステップS12010とステップS12011の処理の順番は逆になってもよい。UE1は、生成したReuse Indicatorと先に取得したUE_BS_IdentityとをIKE_AUTH Requestメッセージに格納して、T−PGW5bに送信する(ステップS12012)。
T−PGW5bは、Reuse IndicatorとUE_BS_Identityとが格納されたIKE_AUTH Requestメッセージを受信するとAAAサーバ8aに転送する。AAAサーバ8aは、T−PGW5bから転送されたIKE_AUTH Requestメッセージを受信すると、Reuse IndicatorとUE_BS_Identityとが格納されていることを確認し、UE1がI−PGW5aを介して接続した際に生成されたMSKと、UE_BS_Identityに対応するT-PGW_BS_Identityとを、例えば、Authentication-AnswerメッセージによってT−PGW5bに通知する。なお、AAAサーバ8aは、IKE_AUTH Requestメッセージに対する応答としてMSK及びT-PGW_BS_IdentityをT−PGW5bに通知してもよく(図14に図示されている第1のシーケンスに対応)、IKE_AUTH Requestメッセージに対する応答よりも先にMSK及びT-PGW_BS_IdentityをT−PGW5bに通知してもよい(図15に図示されている第2のシーケンスに対応)。MSK及びT-PGW_BS_Identityの通知を受けたT−PGW5bは、T-PGW_BS_IdentityをIKE_AUTH Responseメッセージに格納してUE1に送信し、UE1がそれを受信する(ステップS12013)。
UE1は、IKE_AUTH Responseメッセージに格納されたBS_IdentityがUE_BS_Identityに対応するものであるかを確認する(ステップS12014)。なお、UE1はステップS12007でUE_BS_Identityを受信した後に、UE_BS_Identityに対応するT-PGW_BS_Identityを任意のタイミングで生成して保持しておいてもよいし、ステップS12014のタイミングで生成してもよい(例えば、ハッシュ関数や、BS_Identityリストを保持しているデータベースサーバの利用など)。
ここで、T−PGW5bから送られてきたT-PGW_BS_Identityと、UE1が生成したT-PGW_BS_Identityが一致した場合、T−PGW5bとBU/BA交換を実施し、終了する(ステップS12020)。一方、一致しなかった場合には、UE1は、受信したIKE_AUTH Responseメッセージを破棄する(ステップS12021)。
なお、図15に示したように、AAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知するような場合においても、UE1は、Reuse IndicatorとUE_BS_Identityとを格納したIKE_AUTH_RequestメッセージをT−PGW5bに送信することが望ましい。これにより、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図15、ステップS11011)が遅延したりロスしたりして、T−PGW5bが鍵データ(MSK)の再利用(フル認証の省略)を認識していない場合であっても、T−PGW5b越しにMSKの再利用を実施することができ、切り替え接続のための時間短縮をより確実なものとすることができる。
また、図15に図示されている第2のシーケンスでAAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知する場合において、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図15、ステップS11011)が遅延したりロスしたりしないことがシステムとして保証されているような場合には、Reuse Indicatorの代わりとしてUser IdentityやUE1のアドレスを使用することで、UE1はReuse Indicatorを図16のステップS12011で生成したり、ステップS12012でIKE_AUTH_Requestメッセージに格納したりしなくてもよい。
またさらには、AAAサーバ8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えを意図していることが確認できる場合、UE_BS_Identityは最早不要であり、図16のステップS12007でUE1への通知は行われない。このときUE1は、T−PGW5bに対して標準的なBS処理を実行すればよく(図16には不図示)、これにより、MSKの再利用がネットワーク側の判断によって実施され、T−PGW5bへの切り替え接続を短時間に完了させることができる。
なお、本発明の第3の実施の形態で用いられているUE_BS_Identity並びにT-PGW_BS_Identityに関しても、上述の第1の実施の形態と同様に、様々な組み合わせが可能である。すなわち、本発明の第3の実施の形態において、例えば、UE_BS_Identityと、このUE_BS_Identityに対応するT-PGW_BS_Identityを用いて、UE_BS_IdentityとT-PGW_BS_Identityとの照合が行われてもよく、どちらか一方のBS_Identityが用いられてもよく、あるいは、BS_Identityが用いられなくてもよい。また、本発明の第3の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityに使用される情報として、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレス(これらに限定されない)など、UE1及びPGW5によって認識可能な値(符号)を用いることが可能である。また、本発明の第3の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityは、PGW5、AAAサーバ8a、あるいは、その他の通信装置によって生成されてもよい。
なお、本発明の第3の実施の形態で用いたMSKは、インターネットで利用される技術を標準化する組織であるIETF(Internet Engineering Tas Force)が、RFCで定義しているMSKと同じであってもよいし、別途規定されてもよい。
<第4の実施の形態>
次に、本発明の第4の実施の形態におけるシステム動作の一例について、図17C、図20から図25を用いて詳しく説明する。図20は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第1のシーケンス図である。図20には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
本発明の第4の実施の形態では、T−PGW5bのアドレスが、IKE_AUTHメッセージ交換の完了後、すなわちUE1とAAAサーバ8が相互認証(AAAサーバ8によるUE1の認証)の成功によってMSKを生成して、そのMSKを用いて作成したAUTHパラメータがUE1とI−PGW5aとの間で交換されて、お互いに認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後に通知される場合のPGW切り替え方法について説明する。
以下、従来技術のPDN GW reallocation procedure(図12に図示されている処理フロー)と比較しながら、図20に図示されている本発明の第4の実施の形態におけるシステム動作の一例について説明する。
図20において、本発明の第4の実施の形態の処理フローのステップS13001〜S13009、従来技術のPDN GW reallocation procedureのステップS9001〜S9009(図12に図示)と同一であるので説明を省略する。
続いて、従来技術のPDN GW reallocation procedure(図12に図示)における次ステップS9010では、AAAサーバ8aがI−PGW5a(図12上ではPGW5に相当)経由でUE1から送られてきたEAP-Responseメッセージを処理し、UE1とI−PGW5a(図12上ではPGW5に相当)との間のSA確立に必要である鍵(Master Session key:以降、MSKと呼ぶ)と、UE1にとっての切り替え先となるT−PGW5bのアドレスとをI−PGW5a(図12上ではPGW5に相当)に送信する(図12、ステップS9010)。一方、本発明の第4の実施の形態では、従来ではAAAサーバ8aからI−PGW5aに送信されるMSKとT−PGW5bのアドレスに、更にUE_BS_Identityを加えたAuthentication-AnswerメッセージをI−PGW5aに送信する(図20、ステップS13010)。なお、このUE_BS_Identityは、UE1がI−PGW5aとフル認証を実施したことを証明(例えば、AAAサーバ8aが持つT-PGW_BS_Identityとの関連性の有無や、UE_BS_Identityが暗号化される場合には、復号可能であるか確認)するためなどに用いるが、UE1の固有情報(例えば、IMSI(International Mobile Subscriber Identity)など)を用いることで識別できる場合には、省略してもよい。
図20のステップS13010においてAAAサーバ8aがI−PGW5aに送信する応答メッセージは、本発明の第3の実施の形態における図14のステップS10010で用いるメッセージ(図18Bに図示)と同様であるので説明を省略する。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続く本発明の第4の実施の形態の処理フローのステップS13011〜S13013は、従来技術のPDN GW reallocation procedureのステップS9011〜S9013(図12に図示)と同一であるので説明を割愛する。
続いて、従来技術のPDN GW reallocation procedureにおける次ステップでは、I−PGW5aからUE1にT−PGW5bのアドレスなどが送信される(図12、ステップS9014)。一方、本発明の第4の実施の形態では、AAAサーバ8aからI−PGW5aに従来送信されていたT−PGW5bのアドレスに加えて、AAAサーバ8aから通知されたUE_BS_IdentityをIKE_AUTH Responseメッセージに乗せてUE1に通知する(図20、ステップS13014)。なお、I−PGW5aがステップS13010でUE_BS_IdentityをAAAサーバ8aから受信しなかった場合は、このIKE_AUTH Responseメッセージに格納しなくてもよい。
次に、図20のステップS13014においてT−PGW5bがUE1に送信するメッセージの一例として、IKE_AUTH Responseメッセージのフォーマット例について図17Bを用いて説明する。
T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3101に加えて、BS識別子(BS_Identity)フィールド3102を設け、それぞれの値をUE1に通知することができる。また、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してUE_BS_Identityなどを記載し、UE1に通知してもよい。なお、本応答メッセージは、所定の情報を転送できるものであればIKE_AUTH Responseメッセージ以外のメッセージであってもよいが、IKE_AUTH Responseメッセージの送信と同時、あるいはIKE_AUTH Responseメッセージよりも後に送信されることが望ましい。
なお、ここでは、IKE_AUTHメッセージ交換(図20、ステップS13013、S13014)によってUE1とI−PGW5aとの間でお互いに認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後に、I−PGW5aからUE1に対してT−PGW5bのアドレス通知(例えば、ステップS13014のIKE_AUTH Responseメッセージによる通知)が行われているが、AAAサーバ8aによるUE1の認証が成功した時点(すなわち、ステップS13009で受信したチャレンジ情報に基づいてAAAサーバ8aがUE1の認証を完了した時点)で、ネットワーク側からUE1に対してT−PGW5bのアドレスを通知することも可能である。この場合には、ステップS13009で受信したチャレンジ情報の処理が完了した後に、任意のメッセージ(例えば、ステップS13012におけるメッセージ)にT−PGW5bのアドレスを格納してUE1へ通知してもよい。
続いて、UE1は、UE1とT−PGW5bとの間でSAを確立するために、BS処理を開始する。UE1とT−PGW5bは、UE1とT−PGW5b間のIKE_AUTHメッセージを保護するために、UE1とT−PGW5bとの間でIKE_SA_INITメッセージ交換を実施し、UE1とT−PGW5b間の共有鍵(例えば、SKEYSEED)などを生成・取得する(図20、ステップS13101)(上記した非特許文献7を参照)。UE1とT−PGW5b間で共有鍵の生成後、UE1とT−PGW5bは、その共有鍵などを用いてパケットの暗号化に用いる鍵(例えば、SK_ei、SK_er)などを生成する(上記した非特許文献7、非特許文献8を参照)。なお、パケットの暗号化に用いる鍵などを生成する方法として、IKE_SA_INITメッセージ交換以外の方法を用いてパケットの暗号化に用いる鍵などを生成できる場合には、他の方法を用いてもよい。
次に、UE1はIKE_AUTH Requestメッセージを作成し、先にIKE_SA_INITメッセージ交換を通じて生成したUE1とT−PGW5bとの間の鍵を使用して暗号化し、T−PGW5bに送信する。ここで、先にUE1とI−PGW5aとの間で実施したSA確立の際に生成されたMSK(鍵)を再利用するよう要求することにより、従来技術ではこの後に必要であったUE1とAAAサーバ8a間の相互認証(図20のステップS13005〜S13009)やMSKの生成(図20のステップS13010)などを省略することができる。そのため、UE1は、先に生成したMSKの再利用を示すReuse Indicatorと、I−PGW5aから受信したUE_BS_IdentityをIKE_AUTH Requestメッセージに格納してT−PGW5bに送信する(図20、ステップS13102)。
なお、Reuse indicatorは、UE1とI−PGW5aとの間のブートストラップ処理の過程でI−PGW5a又はAAAサーバ8aなどが生成し、UE1に通知するものであってもよい。特にAAAサーバ8aが生成してUE1に通知することにより、AAAサーバ8aあるいはAAAサーバ8aを含むネットワークシステムが、鍵の再利用をサポートあるいは許可することの表明をUE1に対して行うことができ、UE1にとっては、確信を持って鍵の再利用を要求することができ、ひいては所望のT−PGW5bとの切り替え接続をより確実に短時間で終えることができるようになる。
さらには、AAAサーバ8aがReuse Indicatorを生成及び通知したが、そのドメインあるいはコアネットワーク4のPGW5がサポートしていない、あるいは許可しない場合(例えばローミングUE1に対しては許可しないなどの理由から)は、PGW5がReuse Indicatorを除去してUE1に通知しないようにしてもよい。これにより、例えばUE1のホームネットワーク(HPLMN:Home Public Land Mobile Network)では鍵の再利用がサポートされている、あるいは許可されても、UE1の在圏ネットワーク(VPLMN:Visited Public Land Mobile Network)ではサポートしていない、あるいは許可されない場合に対応することができるようになる。
また、UE_BS_Identityは、I−PGW5aを通じてAAAサーバ8aと既に相互認証を完了しているUE1からのBS処理であることを、後のT−PGW5b経由のBS処理時にAAAサーバ8aが識別可能にするためにIKE_AUTH Requestメッセージへ格納される。UE_BS_Identityを使用することで、Reuse Indicatorの目的を達成できるのであれば、Reuse Indicatorを省略してもよい。また、その逆でReuse Indicatorを用いることで、UE_BS_Identityの目的を達成できるのであれば、UE_BS_Identityを省略してもよい。
図20のステップS13102においてUE1がT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図14のステップ10102で用いるメッセージ(図17Aに図示されているIKE_AUTH Requestメッセージのフォーマット例)と同様であるので説明を省略する。また、標準的なIKE_AUTH Requestメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadなどを付加してReuse IndicatorやUE_BS_Identityを記載し、UE1に通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればIKE_AUTH Requestメッセージ以外のメッセージであってもよい。
T−PGW5bは、UE1から送られてきたIKE_AUTH Requestメッセージに含まれるReuse indicatorとUE_BS_IdentityとをAAAサーバ8aに転送する(図20、ステップS13103)。なお、Reuse IndicatorとUE_BS_Identityは、UE1がIKE_SA_INITメッセージを通じてT−PGW5bに通知し、T−PGW5bはIKE_SA_INITメッセージの交換と並行して同パラメータをAAAサーバ8aに通知するものであってもよい。
図20のステップS13103においてT−PGW5bがAAAサーバ8aに送信するメッセージは、本発明の第3の実施の形態における図14のステップS10103で用いるメッセージ(図18Aに図示されているAuthentication-Requestメッセージのフォーマット例)と同様であるので説明を省略する。また、標準的なAuthentication-Requestメッセージの既存のペイロードにReuse IndicatorとUE_BS_Identityとを記載し、AAAサーバ8aに通知してもよい。なお、本メッセージは、所定の情報を転送できるものであればAuthentication-Requestメッセージ以外のメッセージであってもよい。
AAAサーバ8aは、T−PGW5bから転送されてきたReuse indicatorを受けて、先にUE1とI−PGW5aとの間でSA確立した際のMSKの再利用が要求されていると判断し、AAAサーバ8aが保持するUE_BS_Identityに対応しているMSKをT−PGW5bに通知する。なお、先述したように、UE_BS_Identityは、一度フル認証を完了しているUE1であることを確認できるパラメータ(例えば、IMSIなど)に代替してもよい。MSKを通知すると同時に、UE_BS_Identityに対応するT-PGW_BS_Identityも通知する(図20、ステップS13104)。なお、T-PGW_BS_Identityは、AAAサーバ8a自身が生成してもよいし、BS_Identityリストを保持しているネットワーク上のデータベースサーバ(不図示)が設置されている場合は、データベースサーバに問い合わせてUE BS Identityに対応するT-PGW BS_Identityを取得して利用してもよい。
ここで、MSKの再利用が先に指示された異なるPGW5への切り替え接続に限って許可される場合(任意のPGW5からの接続に対してMSKの再利用を許可しない場合)に対応するため、T−PGW5bが自身の情報(例えば、IPアドレスやPGW5の識別子など)を、ステップS13103を通じてAAAサーバ8aに通知することが考えられる。これにより、AAAサーバ8aにおいて、本接続要求が先にUE1に対して指示したT−PGW5bへの切り替え接続要求であることを確認することができ、MSKの再利用を正しく許可することができる。
図20のステップS13104においてAAAサーバ8aがT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図14のステップS10104で用いるメッセージ(図18Bに図示されているAuthentication-Answerメッセージのフォーマット例)と同様であるので説明を省略する。なお、本応答メッセージは、所定の情報を転送できるものであればAuthentication-Answerメッセージ以外のメッセージであってもよい。
続いて、T−PGW5bは、AAAサーバ8aから受信したT-PGW_BS_Identityと、認証の成功(AAAサーバ8aによるUE1の認証)と、MSKの再利用が承認されたことをUE1に通知する(図20、ステップS13105)。
次に、図20のステップS13105においてT−PGW5bがUE1に送信するメッセージの一例としてIKE_AUTH Responseメッセージのフォーマット例について図17Cを用いて説明する。図17Cは、図20のステップS13105で送信するIKE_AUTH Responseメッセージのフォーマット例を示す図である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3201に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3202、Success Reuse Indicatorフィールド3203を設け、それぞれの値をUE1に通知することができる。また、T−PGW5bは、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してMSKの再利用やT-PGW_BS_Identityを示してUE1に通知してもよい。または、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコルのEAP Successを用いることで、MSKの再利用をUE1に通知してもよい。なお、本応答メッセージは、UE1がMSKの再利用を確認できるメッセージであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。
このT-PGW_BS_Identityは、MSKの再利用を許諾したAAAサーバ8aが先にI−PGW5aとの接続時にUE1を認証処理したのと同じノードであることをUE1が正しく識別するために用いる。また、例えば、AAAサーバ8aにアクセスせず、UE1へ不正アクセスを試みるT−PGW5bになりすました偽T−PGW5bと区別できる効果もある。
UE1は、T−PGW5bから送られてきたIKE_AUTH ResponseメッセージからMSKの再利用が承認されたことを確認する(例えば、Success Reuse Indicatorフィールド3203に格納されている値から判断)。UE1は、図20のステップS13013で生成したMSKを用いてAUTHパラメータを生成する。UE1は、生成したAUTHパラメータをIKE_AUTH Requestメッセージに格納して、T−PGW5bへ送信する(図20、ステップS13106)。また、UE1が、I−PGW5aとSAを確立した際に生成したMSKを保持していない、若しくは、使用できない場合は、例えばAAAサーバ8aなどに問い合わせて、MSKを取得してもよいし、UE1自身で再度同じMSKを生成してもよい。
T−PGW5bは、IKE_AUTH Requestメッセージを送信したUE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)する。UE1(IKE_SA_INITメッセージの送信元)の認証に成功した場合、T−PGW5bは、AAAサーバ8aから受信したMSKを用いて作成したAUTHパラメータを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図20、ステップS13107)。
なお、T−PGW5bは、AAAサーバ8aから送られてきたMSKを用いてAUTHパラメータを本ステップS13107で作成したが、保持できるのであれば、例えばステップS13104以降(MSK受信以降)、任意のタイミングで作成してもよい。
UE1は、IKE_AUTH Responseメッセージを送信したT−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、このT−PGW5b(IKE_SA_INITメッセージの送信元)の認証をするために、ステップS13106でUE1が作成したAUTHパラメータや、ステップS13101で取得した鍵情報(例えば、共有鍵や通信相手の公開鍵など)を用いてもよい。
UE1が、T−PGW5bの認証ができた場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)、UE1とT−PGW5bの間でSAが確立される。なお、このIKE_AUTH Responseメッセージには、UE1とT−PGW5bの間に確立されるSAに必要な情報が送られる。
また、T−PGW5bが、ステップS13105でMSKを用いたAUTHパラメータを作成して、UE1に通知することによって、先にUE1がT−PGW5bを認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)して、続いて、UE1がAUTHパラメータをT−PGW5bに通知してもよい。
また、UE1とT−PGW5bのお互いの認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)は、UE1若しくはT−PGW5bのどちらか一方が認証(例えば、IKE_AUTHメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1やPGW5)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1やPGW5)の正確性を確認することによる認証方法の確認や、鍵の確認など)することで、SAが確立できる場合、又は、UE1若しくはT−PGW5bの処理負荷軽減などのために、どちらか一方だけが認証するだけでもよい。また、AUTHパラメータ以外を用いて、UE1とT−PGW5bの認証をすることができるのであれば、AUTHパラメータ以外を用いてもよい。
続いて、IKE_AUTH_Responseメッセージを受信したUE1は、T−PGW5bとBU/BA交換を実施する(図20、ステップS13201)。
なお、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証のために有用であるが、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合は、これらのBS_Identityを省略することもできる。
また、T−PGW5bへの切り替え指示後もAAAサーバ8aがUE1に対する状態を保持できる場合には、UE1が通知するReuse Indicatorも省略することができる。この場合、AAAサーバ8aは、UE1の固定情報(例えば、IMSIなど)などを基にUE1の識別を行い、保持しておいたUE1に対する状態に基づいて鍵データ(例えば、MSKなど)を抽出し、T−PGW5bに通知することができる。ただし、一部のAAAサーバ8aにおいては、切り替え指示後はUE1に対する状態を解消することも想定されるため、汎用性を確保する目的でReuse IndicatorをUE1から通知することは有用である。
以上の動作によって、従来技術のPDN GW reallocation procedureでは、UE1とAAAサーバとの8a間においてI−PGW5aとT−PGW5bで計2回のUE認証(Full Authentication)を実施する必要があったが、上述したように鍵の再利用を行うことにより、UE1がT−PGW5bに切り替え接続する際のブートストラップ処理のメッセージ数削減と切り替え時間の短縮を図ることができるようになる。
なお、過去にUE1が他のPGW5とSA確立を実施した実績がある場合、UE1に対するPGW5の切り替え要求(すなわち切り替え先PGW5(T−PGW5b)のアドレスの通知)は、上記説明したステップS13014より前に実施することも可能である(例えば、図20のステップS13007など)。例えば、UE1は、ステップS13102で送信されるReuse IndicatorをステップS13003のIKE AUTH Requestメッセージに含めて送信する。このReuse Indicatorを参照したI−PGW5aは、ステップS13004〜S13006の処理において、ステップS13103及びS13104と同様の手順で、UE1に対して確立済みの鍵をAAAサーバ8aから取得する(このとき同時に切り替え先PGW5のアドレスも取得することになる)。そして、I−PGW5aは、ステップS13007で切り替え先PGW5のアドレスを含むIKE_AUTH responseメッセージ(すなわち、上記のステップS13105で送信されるIKE_AUTH responseメッセージと同等のメッセージ)をUE1へ送信することによって、切り替え先PGW5のアドレスをUE1に通知することが可能となる。これにより、UE1は過去に確立した鍵を再利用して高速に切り替え先PGW5のアドレスを取得することができ、ひいては本来接続を希望しないPGW5が割り当てられた場合でも、所望のPGW5への切り替え接続を高速に実施することができる。
また、AAAサーバ8aはT−PGW5bへの切り替えを指示するタイミング(図20、ステップS13010)で、生成したMSKをT−PGW5bに通知してもよい。具体的には、図21を用いて説明する。
図21は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第2のシーケンス図である。図21には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図21の処理フローのステップS14001〜S14010は、図20の処理フローのステップS13001〜S13010と同一であるので説明を省略する。このステップS14010を送信する段階で、AAAサーバ8aはT−PGW5bにMSKを通知することが可能である。AAAサーバ8aがT−PGW5bにMSKを通知する手法としては、例えば、I−PGW5aにUE_BS_Identityを格納したAuthentication-Answerメッセージを送信する処理と同時に、UE1とI−PGW5aとの間のSA確立処理の過程で生成したMSKと、UE_BS_Identityに対応するT-PGW_BS_IdentityをT−PGW5bに送信する(図21、ステップS14011)。
図21のステップS14011においてAAAサーバ8aがT−PGW5bに送信するメッセージは、本発明の第3の実施の形態における図15のステップS11011で用いるメッセージ(図19に図示されているBS_Identity通知メッセージのフォーマット例)と同様であるので説明を省略する。なお、BS_Identity通知メッセージとして、従来のAuthentication-Request/Identityメッセージなどを拡張して用いてもよい。また、BS_Identity通知メッセージに、UE1の固定情報(例えば、IMSIなど)を含めてもよく、これによりT−PGW5bがUE1からIKE_AUTH Requestメッセージを受信したとき、そのUE1に関してフル認証が完了しているUE1なのかを判別しやすくなり、より確実にUE1を照合することが可能となる。このUE1の固定情報のみで、フル認証済みであることが判別でき、UE1を照合することができる場合、このIKE_AUTH Responseメッセージで用いるUEアドレスフィールド5004は省略してもよい。
続く図21の処理フローのステップS14012〜S14102は、図20の処理フローのステップS13011〜S13102と同一であるので説明を割愛する。
Reuse indicatorとUE_BS_Identityが格納されたIKE_AUTH Requestメッセージ(図21、ステップS14102)を受信したT−PGW5bは、ステップS14011でAAAサーバ8aから受信したT-PGW_BS_Identityと、UE1とT−PGW5b間でMSKの再利用の許可を示したパラメータ(例えば、Success Reuse Indicatorフィールド3203の値)を格納したIKE_AUTH ResponseメッセージをUE1に返信する(図21、ステップS14103)。なお、T−PGW5bは、ステップS14102で受信したUE_BS_IdentityとステップS14011で受信したT-PGW_BS_Identityとが正しく対応するものであるか確認してもよい(例えば、ハッシュ値の検算や、ネットワーク上のBS_Identityリストを管理しているデータベースへの問合せなど)。また、UE1はI−PGW5aとSAを確立した際に生成したMSKを保持しているので、T−PGW5bは、ステップS14103で送信するIKE_AUTH ResponseメッセージにMSKを格納して通知する必要はない。ただし、例えば、UE1が何らかの理由でMSKを保持していない(例えば、既に廃棄しているなど)可能性も考えられるので、T−PGW5bが、ステップS14103で送信するIKE_AUTH ResponseメッセージにMSKを格納してUE1へ通知して、UE1がMSKを確実に把握できるようにしてもよい。また、MSKではなく、MSKを生成するための材料を通知してもよい。
図21のステップS14103で送信するIKE_AUTH Responseメッセージのフォーマットとしては、図17Cに図示されているフォーマット例を用いることが可能である。T−PGW5bは、従来の標準的なIKE_AUTH Responseメッセージ3201に加えて、BS識別子(UE_BS_Identity/T-PGW_BS_Identity)フィールド3202、Success Reuse Indicatorフィールド3203を設け、それぞれの値をUE1に通知することができる。また、T−PGW5bは、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコル(上記の非特許文献7を参照)で規定されるNotify Payloadを付加してMSKの再利用やT-PGW_BS_Identityを示してUE1に通知してもよい。または、標準的なIKE_AUTH Responseメッセージに標準的なIKEv2プロトコルのEAP Successを用いることで、MSKの再利用をUE1に通知してもよい。なお、本応答メッセージは、UE1がMSKの再利用を確認できるメッセージであればIKE_AUTH Responseメッセージ以外のメッセージであってもよい。また、T−PGW5bからUE1にMSKを送信する場合は、このメッセージにMSKフィールドを設けてもよい(不図示)。
IKE_AUTH Responseメッセージを受信したUE1は、例えばIKE_AUTH ResponseメッセージのSuccess Reuse Indicatorフィールド3203に格納されている値から、I−PGW5aとSAを確立した際に生成したMSKの再利用をできるか判断する。ここで、UE1がMSKの再利用をできると判断したとき、I−PGW5aとSAを確立した際に生成したMSKを用いてAUTHパラメータを作成する。UE1は、この作成したAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図21、ステップS14104)。なお、UE1は、I−PGW5aにAUTHパラメータを以前に(ステップS14014において)通知しているため、そのときに作成したAUTHパラメータを再利用してもよい。
IKE_AUTH Requestメッセージを受信したT−PGW5bは、ステップS14011でAAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する。続いて、T−PGW5bは、IKE_AUTH Requestメッセージを送信したUE1を認証する(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)。
T−PGW5bが、UE1を認証した場合(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などができた場合)、T−PGW5bは、IKE_AUTH ResponseメッセージをUE1に送信する(図21、ステップS14105)。
また、T−PGW5bは、UE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)をした後、先にT−PGW5bが作成したAUTHパラメータをIKE_AUTH Responseメッセージに格納する。
なお、T−PGW5bは、AAAサーバ8aから送られてくるMSKを用いずに、UE1を認証できる場合(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などできる場合)には、MSKを用いない認証の方法を用いてもよい。T−PGW5bは、このIKE_AUTH Responseメッセージに格納するAUTHパラメータをステップS14105で作成しているが、ステップS14011でAAAサーバ8aからMSKを受信後、どのタイミングで作成してもよい。また、T−PGW5bが、UE1を認証する際(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認などをする際)に、T−PGW5bが先に生成したAUTHパラメータを用いているが、このAUTHパラメータを用いずに確認できるのであれば、他の方法を用いて正確性を確認してもよい。
続いて、IKE_AUTH Responseメッセージを受信したUE1は、IKE_AUTH Responseメッセージを送信したT−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、UE1は、T−PGW5bを認証する際にステップS14104で使用したAUTHパラメータや、ステップS14101で取得した鍵情報(例えば、共有鍵や通信相手の公開鍵など)を用いてもよい。
なお、UE1によるT−PGW5bの認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)は、T−PGW5bによるUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認)のみで、SAが確立できる場合、又は、UE1の処理負荷軽減などのために省略してもよい。なお、UE1は、UE1が持つMSKを用いずに、T−PGW5bを認証できる場合(例えば、UE1が持つUE_BS_Identityと、T−PGW5bが持つT-PGW_BS_Identityの関連性の有無などを使用して認証できる場合)には、MSKを用いない認証の方法を用いてもよい。
T−PGW5b(IKE_SA_INITメッセージの送信元)の認証に成功した場合、UE1はT−PGW5bとBU/BA交換を実施する(図21、ステップS14201)。
このように、AAAサーバ8aがT−PGW5bにMSKを事前に通知しておくことにより、UE1がT−PGW5bに切り替え接続した時に、T−PGW5bがAAAサーバ8aからMSKを取得する場合に比べて、高速な切り替え接続が可能となる。
なお、AAAサーバ8aがT−PGW5bにMSKを通知するより先に、UE1からのIKE_AUTH RequestメッセージをT−PGW5bが受信/処理してしまうと、T−PGW5bは再度UE1に対するフル認証処理をAAAサーバ8aに要求してしまい、接続までに要する時間が増大することになる。これを回避するため、UE1は図14で説明したReuse indicatorを含めたIKE_AUTH RequestメッセージをT−PGW5bに送信し(図21、ステップS14102)、T−PGW5bがAAAサーバ8aからMSKを取得していなければ、AAAサーバ8aに問い合わせるようにしてもよい。これにより、より確実にMSKの再利用を行うことができるとともに、切り替え接続の高速化を図ることができる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、UE1とAAAサーバ8aとの間の簡易相互認証を行うため(例えば、UE1になりすました偽UE1が、T−PGW5bに不正アクセスして、UE1とT−PGW5b間のSAに関する情報の取得を回避するため)や、AAAサーバ8aにおいて、今回UE1からの接続要求が、先に指示されたT−PGW5bへの切り替え接続によるものであるか、あるいは新規PGW5への接続のためのものであるかを判別して確実にMSKの再利用を実施するために有用である。一方、こうした相互認証が不要な場合、あるいは別途相互認証を実施可能である場合、またAAA8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えによるものであることの確認がとれる場合などにおいては、これらのBS_Identityを省略することもできる。
また、上記説明したUE_BS_Identity並びにT-PGW_BS_Identityは、PDN GW reallocationが複数発生したときにも有用である。例えば、UE1が最初に発見したPGW(I−PGW5a)とアタッチ処理をしている際にPDN GW reallocationが起こり、UE1はI−PGW5aからPGW5(I’−PGW)のアドレスを受信する。しかし、改めてUE1がSAを確立しようとしたI’−PGWが、UE1が3Gアクセス2で接続しているT−PGW5bとは異なる別のPGW5の場合である。この場合、UE1は、I’−PGWとMSKを再利用してSAを確立しようとするが、AAAサーバ8aから再度PGW5(T−PGW5b)のアドレスが通知される可能性がある。このUE1がT−PGW5bとアタッチ処理を実施するとき、UE1は、I−PGW5aとSAを確立した際に生成したMSK、若しくは、UE1とI’−PGWの間でSAを確立した際に生成したMSKを再利用してもよい。このとき、UE1は、どちらのMSKを再利用するか示すためにUE_BS_Identity並びにT-PGW_BS_Identityを用いてもよい。
またさらには、理想状態において、T−PGW5bはUE1からIKE_AUTH Requestメッセージを受信する前にAAAサーバ8aからUE1向けの鍵(例えば、MSK)を取得することができ、この時点で鍵の再利用を認識することができるため、UE1が通知するReuse Indicatorも省略することができる。ただし、先に説明したようにAAAサーバ8aからの通知がUE1からのIKE_AUTH Requestメッセージ到着より遅れることも想定し、T−PGW5bに対して従来のシーケンスに基づく処理ではなく鍵を再利用するためのシーケンスに基づく処理を促す目的でReuse Indicatorを付加することは有用である。
なお、上述の第2の実施の形態で説明したように、UE1は、I−PGW5aとの接続途中で切り替え先PGW5であるT−PGW5bのアドレスを通知されるかもしれない(図13のステップS9107)。しかしながら、第2の実施の形態では、UE1がAAAサーバ8aの状態を解消するためにステップS9108〜S9112を実施するものであったが、実質このステップ区間においてAAAサーバ8aによる認証処理(MSK生成)を完了させて、T−PGW5bとの切り替え接続時に認証データ(MSKなど)を再利用したほうが、総じて処理時間の短縮効果が大きいと考えられる。よって、本第4の実施の形態に対応するUE1が、I−PGW5aとの接続途中で切り替え先PGW5のアドレスを通知された場合は、図20のステップS13008(若しくは、図21のステップS14008)でAAAサーバ8aの状態解消を要求せず、引き続き認証処理を継続してもよい。すなわち、図13のステップS9108以降の処理は、図20のステップS13008(若しくは、図21のステップS14008)以降に置き換えられるが、既にT−PGW5bのアドレスはステップS13007(若しくは、ステップS14007)でUE1に通知されているので、図20のステップS13014(若しくは、図21のステップS14015)で再度通知する必要はない。
本発明の第4の実施の形態では、UE1とI−PGW5a間のSAを確立した際に生成したMSKを再利用することで、UE1とT−PGW5b間のSAを確立する際に必要であったメッセージを削減することができた。また、そのメッセージのやりとり、処理をすることに要する時間を短縮することができた。
UE1は、MSKを再利用する以外に、UE1とPGW5間で生成する共有鍵(例えば、SKEYSEEDなど)(上記した非特許文献7を参照)を再利用することで、PDN GW reallocationが起こった際、共有鍵などを生成・取得するステップ(例えば、図20のステップS13101に相当)などを省略することができる。例えば、PDN GW reallocationが起こり、UE1がI−PGW5aとSAを確立して(図20のステップS13001〜ステップS13014)、UE1はI−PGW5aから受信したT−PGW5bとSAを確立しようとする。このとき、UE1が、I−PGW5aとSAを確立した際に生成した共有鍵(例えば、SKEYSEEDなど)を再利用することで、UE1とT−PGW5b間の共有鍵を生成するステップなどを省略することができる。また、理想状態(T−PGW5bが共有鍵の再利用を許可する状態)であれば、UE1がT−PGW5bに共有鍵の再利用を示すメッセージを通知するだけで他のメッセージを省略することができる。
また、同様にUE1とPGW5の間の共有鍵(例えば、SKEYSEEDなど)やMSKは、PGW5毎に生成するが、パケットの暗号化に用いる鍵(SK_ei、SK_erなど)を再利用することで、任意の鍵生成のステップを省略してもよい。この場合、新しく鍵を生成するか、再利用するかを切り替えることで、セキュリティレベルが上がり、UE1とPGW5間の鍵情報を傍受しようとしているノードによる情報漏洩の可能性を低減することができる。
また、UE1はMSKの再利用を示したIKE_AUTH Requestメッセージ(図20、ステップS13102)に、I−PGW5aとのSAを確立した際に生成したMSKを用いて作成するAUTHパラメータを格納して、T−PGW5bに通知してもよい。具体的には、図24を用いて説明する。
図24は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第3のシーケンス図である。図24には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図24の処理フローのステップS17001〜S17101は、図20の処理フローのステップS13001〜S13101と同一であるので説明を省略する。
続いて、UE1は、MSKの再利用が示されたReuse Indicatorなどを含むIKE_AUTH RequestメッセージをT−PGW5bに送信する。このとき、UE1は、I−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータも一緒に格納して、T−PGW5bに通知する(図24、ステップS17102)。
T−PGW5bは、IKE_AUTH RequestメッセージにAUTHパラメータが格納されていることを確認したとき、UE1がEAP(Extended Authentication Protocol)を用いず、一般的なIKEv2プロトコルを用いたSA確立方法を示していることを判断する(上記した非特許文献7を参照)。また、UE1が、I−PGW5aとSAを確立した際に生成したMSKの再利用を示した値(IKE_AUTH Requestメッセージに格納されているReuse Indicatorフィールド3002で、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を示した値、若しくはReuse Indicatorフィールド3002以外でMSKの再利用を示した値に相当するパラメータ)が格納されていると判断した場合は、T−PGW5bはAAAサーバ8aにステップS17102で受信したReuse IndicatorとUE_BS_Identityを格納したAuthentication-Requestメッセージを送信する(図24、ステップS17103)。なお、Reuse Indicatorを用いず、例えば、AUTHパラメータをIKE_AUTH Requestメッセージに格納してT−PGW5bに通知することで、T−PGW5bは、UE1がMSKの再利用を示しているということが確認できる場合、Reuse Indicatorは省略することができる。また、AAAサーバ8aが、UE1の固有情報(例えば、IMSIなど)を用いることで、UE1がI−PGW5aとSAを確立した際に生成したMSKを取得できる場合は、UE_BS_Identityも省略することができる。
図24の処理フローのステップS17104は、図20の処理フローのステップS13104と同一であるので説明を省略する。
ステップS17104でAAAサーバ8aからMSKを受信したT−PGW5bは、AUTHパラメータが格納されたIKE_AUTH Requestメッセージを送信してきたUE1の認証を行う(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)。なお、T−PGW5bが、AAAサーバ8aから受信したMSKを用いずにUE1を認証できる場合、MSKを用いる必要はない。また、この場合、UE1の認証処理をステップS17102後に行ってもよい。なお、T−PGW5bはUE1を認証する際に、AAAサーバ8aから受信したMSKを用いてもよく、また、受信したMSKを用いて計算するAUTHパラメータを用いてもよい。
T−PGW5bは、UE1の認証を完了した後、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを計算し、IKE_AUTH Responseメッセージに格納して、UE1に送信する(図24、ステップS17105)。なお、UE1を認証する際に、AAAサーバ8aから受信したMSKを用いて生成するAUTHパラメータを用いる場合は、UE1を認証する前にAUTHパラメータを計算してもよい。また、T−PGW5bはステップS17104でMSKと一緒に受信したT-PGW_BS_IdentityもIKE_AUTH Responseメッセージに格納してUE1に送信する。
AUTHパラメータとT-PGW_BS_Identityが格納されたIKE_AUTH Responseメッセージを受信したUE1は、T−PGW5bを認証する(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)。UE1が、T−PGW5bを認証した場合、UE1はT−PGW5bとBU/BA交換を実施する(図24、ステップS17201)。
また、本発明の第4の実施の形態における第2のシーケンス(図21)のようにAAAサーバ8aがI−PGW5aにT−PGW5bのIPアドレスを通知する(図21、ステップS14010)と同時に、T−PGW5bへUE1とI−PGW5a間でSAを確立した際に生成したMSKとT-PGW_BS_Identityを通知する(図21、ステップS14011)場合も同様である。詳しくは、図25を用いて説明する。
図25は、本発明の第4の実施の形態におけるシステム動作の一例を説明するための第4のシーケンス図である。図25には、少なくともUE1、UE1が本来接続を意図しないI−PGW5a、UE1が本来接続を所望するT−PGW5b、UE1による各アクセスネットワーク使用を許可してもよいかを判断するUE認証サーバであるAAAサーバ8aとユーザ情報データサーバであるHSS8bによる処理シーケンスの一例が図示されている。
図25の処理フローのステップS18001〜S18101は、図21の処理フローのステップS14001〜S14101と同一であるので説明を省略する。
続いて、UE1は、MSKの再利用が示されたReuse Indicatorなどを含むIKE_AUTH RequestメッセージをT−PGW5bに送信する。このとき、UE1がI−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータを格納して、T−PGW5bに通知する(図25、ステップS18102)。なお、Reuse Indicatorを用いず、例えば、AUTHパラメータをIKE_AUTH Requestメッセージに格納してT−PGW5bに通知することで、T−PGW5bは、UE1がMSKの再利用を示しているということが確認できる場合、Reuse Indicatorは省略することができる。また、T−PGW5bが、UE1の固有情報(例えば、IMSIなど)を用いることで、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を示していることが確認できる場合は、UE_BS_Identityも省略することができる。
AUTHパラメータなどを含むIKE_AUTH Requestメッセージを受信したT−PGW5bは、UE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)を行う。なお、T−PGW5bはUE1を認証する際に、AAAサーバ8aから受信したMSKを用いてもよく、また、受信したMSKを用いて計算するAUTHパラメータを用いてもよい。また、UE1を認証する際、AAAサーバ8aから受信したMSK以外を用いてUE1を認証できる場合は、T−PGW5bはMSK以外を用いてUE1を認証してもよい。
UE1の認証ができた場合、T−PGW5bはAAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する。なお、UE1を認証する際に、AAAサーバ8aから受信したMSKを用いて生成するAUTHパラメータを用いる場合は、UE1を認証する前にAUTHパラメータを計算してもよい。そして、UE1は、作成したAUTHパラメータや、UE1とT−PGW5bの間のSA確立に必要なパラメータなどを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図25、ステップS18103)。なお、UE1が、T-PGW_BS_IdentityパラメータなしでT−PGW5bを認識することができる場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを復号可能な場合)、T−PGW5bは、T-PGW_BS_Identityを省略することができる。
AUTHパラメータなどが格納されたIKE_AUTH Responseメッセージを受信したUE1は、T−PGW5bの認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)を行う。T−PGW5bの認証ができた場合、UE1はT−PGW5bとBU/BA交換を実施する(図25、ステップS18201)。
図24や図25の処理フローに示されているように、UE1が、ステップS17102やステップS18102で、I−PGW5aとSAを確立した際に生成したMSKを用いて作成したAUTHパラメータをT−PGW5bに送ることによって、T−PGW5bは、UE1がEAPを用いたBS処理ではなく、一般的なIKEv2プロトコルを用いてT−PGW5bとの間のSA確立を希望していると判断できる。また、Reuse Indicator若しくはReuse Indicator相当のパラメータを受信することによって、T−PGW5bは、UE1がI−PGW5aとSAを確立した際に生成したMSKの再利用を希望していることを確認でき、AAAサーバ8aから受信したMSKを用いて作成したAUTHパラメータをUE1に送信することが可能となる。その結果、UE1とT−PGW5bは、図20や図21の処理フローにおいて必要であったメッセージ(例えば、図20のステップS13106〜S13107や、図21のステップS14104〜S14105)を省略してSAを確立することができる。
次に、本発明の第4の実施の形態における移動端末(UE1)の構成と処理フローについて説明する。本発明の第4の実施の形態における移動端末(UE1)の構成は、本発明の第1〜第3の実施の形態における移動端末(UE1)の構成(図3を参照)と同様であるので説明を省略する。
以下、図3に図示されている構成を有するUE1の処理フローについて、本発明における特徴的な処理を実施する接続制御部106に係る処理を中心に、図22と図26を用いて詳しく説明する。図22と図26は、本発明の第4の実施の形態におけるUE1の処理フローの一例を示すフローチャートであり、UE1は、既に第1無線通信部101を介して3Gアクセス2(ホームリンク)に接続済みであり、T−PGW5bに接続しているものとする。
図22のUE1の処理フローのステップS15001〜S15013は、図16のUE1の処理フローのステップS12001〜S12013と同一であるので説明を省略する。
UE1は、T−PGW5bから送られてきたT-PGW_BS_Identityと、UE1が生成・取得したT-PGW_BS_Identityが一致しているか、若しくは関連性があるか確認する(ステップS15014)。そして、MSKの再利用の許可(例えば、IKE_AUTH Responseメッセージ(図20のステップS13105など)にEAP Successが格納されているかなど)が示されているか確認する(ステップS15105)。T-PGW_BS_Identityが一致しているか、若しくは関連性があるうえで、MSKの再利用の許可が示されていた場合、UE1は、T−PGW5bに送信するためのAUTHパラメータを、I−PGW5aとSAを確立する際に生成したMSKを用いて作成する(ステップS15120)。一方、一致しなかった場合には、UE1は、受信したIKE_AUTH Responseメッセージを破棄する(図22、ステップS15040)。
続いて、UE1は、ステップS15120で作成したAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図22、ステップS15121)。そして、UE1は、T−PGW5bから送られてくるIKE_AUTH Responseメッセージを受信する(図22、ステップS15122)。
UE1は、ステップS15122でIKE_AUTH Responseメッセージを送信したT−PGW5bを認証(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)する(図22、ステップS15123)。UE1が、T−PGW5bを認証できた場合(例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認など)には、T−PGW5bとBU/BA交換を実施する(図22、ステップS15130)。また、UE1が認証できなかった場合には、T−PGW5bから受信したIKE_AUTH Responseメッセージを破棄する(図22、ステップS15040)。
なお、UE1が、T−PGW5bを信頼することができる場合(例えば、T-PGW_BS_Identityが格納されている場合など)、あるいは、T−PGW5bを認証する必要がない場合(例えば、例えば、IKE_AUTH Responseメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるT−PGW5b)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるT−PGW5b)の正確性を確認することによる認証方法の確認や、鍵の確認などが既知、もしくは省略できる場合)には、ステップS15123は省略することができ、T−PGW5bとBU/BA交換を実施する。また、T−PGW5bによるUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)のみで相互の確認ができる場合は、ステップS15123を省略してもよい。
なお、UE1が、ステップS15006で受信したIKE_AUTH Responseメッセージの中にT−PGW5bのアドレスとUE_BS_Identityが格納されていなかった場合は、PGW5の切り替えを要求されなかったことであることから、確立したSAを用いてI−PGW5aとBU/BA交換を実施する(図22、ステップS15030)。
なお、本発明の第4の実施の形態における第3と第4のシーケンスにおいて、UE1がT−PGW5bにAUTHパラメータを通知する場合(例えば、図24のステップS17102や図25のステップS18102)は、図26に示すようにUE1がT−PGW5bとIKE_SA_INITメッセージを交換後(図26、ステップS19010)、Reuse Indicatorを生成するとともに、I−PGW5aとSAを確立した際に生成したMSKを用いてAUTHパラメータを生成する。なお、ステップS19011とステップS19012を処理する順番は逆でも構わない。
続いて、UE1は、生成したReuse IndicatorとAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する(図26、ステップS19013)。
IKE_AUTH Responseメッセージを受信した後(図26、ステップS19014)、UE1はT−PGW5bを認証する(図26、ステップS19015)。
その後、UE1はT−PGW5bとBU/BA交換を実施する(図26、ステップS19020)。
次に、本発明の第4の実施の形態におけるPGW5の構成と処理フローについて説明する。本発明の第4の実施の形態におけるPGW5の構成は、本発明の第1〜第3の実施の形態におけるPGW5の構成(図8を参照)と同様であるので説明を省略する。
以下、図8に図示されている構成を有するPGW5の処理フローについて、本発明における特徴的な処理を実施する接続制御部205に係る処理を中心に、図23Aと図23Bと図27を用いて詳しく説明する。なお、PGW5は、既に通信部201を介し、3Gアクセス2(ホームリンク)に接続済みであるものとする。また、UE1が最初にアタッチ(接続)処理を試みるPGW5は、I−PGW5aとする。
図23Aは、本発明の第4の実施の形態におけるPGW5のI−PGW5aとしての処理フローの一例を示すフロー図である。本発明によるPGW5は、UE1とSAを確立するためにUE1からのBS処理(例えば、図20のステップS13002や、ステップS13003など)を待つ。UE1はI−PGW5aとアタッチ(接続)処理を接続手順に従って開始する。
UE1が、例えばN3Gアクセス3に接続して、UE1が接続を所望するPGW5(T−PGW5b)とは異なるPGW5(I−PGW5a)がDNSなどから割り当てられる際、UE1がI−PGW5aとアタッチ(接続)処理をしているときにネットワーク側(例えば、AAAサーバ8aやPGW5など)の判断によってPDN GW reallocationが起こる(PGW5を切り替える指示(例えば、T−PGW5bのアドレスなど)がUE1に通知される)(図23A、ステップS16001)。
従来技術のPDN GW reallocationでは、AAAサーバ8aが図14のステップS9010(若しくは、それ以前のステップ)でPDN GW reallocationの決定をして、T−PGW5bのアドレスをPGWに通知している(上記の非特許文献2を参照)。そこで、本発明の第4の実施の形態でも、説明の都合上、AAAサーバ8aがPDN GW reallocationの決定をすることとする。
I−PGW5aは、AAAサーバ8aがPDN GW reallocationの決定をした際、PGW5の切り替え先であるT−PGW5bのアドレスと、UE1とI−PGW5aの間で用いるMSKと、AAAサーバ8aがUE1を一度フル認証したことを証明する証明書(例えば、UE_BS_Identityなど)をAAAサーバ8aから受信する(図23A、ステップS16002)。なお、ここでは、説明の都合上、AAAサーバ8aがUE1を一度フル認証したことを証明する証明書をUE_BS_Identityとする。
続いて、I−PGW5aは、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)(図20のステップS13013)するためや、UE1がI−PGW5aを認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)するために、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する(図23A、ステップS16003)。
I−PGW5bは、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)できた場合、T−PGW5bのアドレスと、UE_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図23A、ステップS16004)。
一方、図23Bは、本発明の第4の実施の形態におけるPGW5のT−PGW5bとしての処理フローの一例を示すフロー図である。T−PGW5bのアドレスを受信したUE1は、PDN GW reallocationが起こったことを検出する。続いて、UE1は、T−PGW5bとアタッチ(接続)処理を開始するために、IKE_SA_INITメッセージを送信する。
T−PGW5bは、UE1から送られてきたIKE_SA_INITメッセージを受信する(図23B、ステップS16010)。続いて、T−PGW5bは、IKE_SA_INITメッセージに格納されていたNoncesや、IKE_SA_INITメッセージ交換時に実施されるDiffie-Hellman鍵交換で生成・取得した共有鍵(例えば、SKEYSEED)を用いて、UE1とT−PGW5bの間で用いるパケットの暗号化をするための鍵(例えば、SK_eiやSK_er)などを生成する(図23B、ステップS16011)。また、この時、IKE_AUTHメッセージに格納されるAUTHパラメータを認証するためのパラメータ(例えば、お互いの公開鍵など)を交換してもよい。なお、UE1とT−PGW5bの間で用いる鍵生成は、NoncesやDiffie-Hellman鍵交換で共有される鍵以外を用いてもよく、これらに限定されていない。
IKE_SA_INITメッセージ交換が終了した後、T−PGW5bは、UE1から送られてくるIKE_AUTH Requestメッセージを受信する(図23B、ステップS16012)。T−PGW5bは、UE1から受信したIKE_AUTH RequestメッセージのReuse Indicatorフィールド3002に格納されているMSKの再利用を示した値(例えば、Reuse keyなど)、若しくはMSKの再利用を示す値に相当するものが格納されているか確認する(図23B、ステップS16013)。
このとき、Reuse keyなどのMSKの再利用を示す値(若しくは、これに相当するもの)が格納されていなかった場合は、一般的なBS処理を開始する。なお、T−PGW5bが、フル認証をしたことを証明するUE_BS_Identityのみで、UE1がMSKの再利用を希望していることを確認できる場合には、このReuse Indicatorフィールドは使用されない。
一方、Reuse keyなどのMSKの再利用を示す値(若しくは、これに相当するもの)が格納されている場合は、ステップS16012で受信したReuse keyとUE_BS_Identityを格納したAuthentication-Request/IdentityメッセージをAAAサーバ8aに送信する(図23B、ステップS16100)。AAAサーバ8aは、T−PGW5bから送られてきたUE_BS_Identityと対応するMSKとT-PGW_BS_IdentityをT−PGW5bに送信する。なお、I−PGW5aからデータの暗号化などに用いる鍵(例えば、SK_eやSK_iなど)がAAAサーバ8aに転送され、かつ、ネットワーク側でデータの暗号化などに用いる鍵もUE1とT−PGW5b間で再利用してよいという判断が下された場合に限り、その鍵情報(例えば、SK_eやSK_iなど)も同時にT−PGW5bに送信してもよい。
T−PGW5bは、MSKとT-PGW_BS_Identityなどが格納されたAuthentication_AnswerメッセージをAAAサーバ8aから受信する(図23B、ステップS16101)。続いて、T−PGW5bは、AAAサーバ8aから受信したMSKを用いてAUTHパラメータを作成する(図23B、ステップS16102)。T−PGW5bは、MSKの再利用が可能であることを示すと同時にT−PGW5bのなりすまし防止などを目的とするT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図23B、ステップS16103)。
UE1は、MSKの再利用が可能であることを確認した後、UE1が持つMSKを用いてAUTHパラメータを作成する。続いて、UE1は、そのAUTHパラメータを格納したIKE_AUTH RequestメッセージをT−PGW5bに送信する。T−PGW5bは、UE1からIKE_AUTH Requestメッセージを受信する(図23B、ステップS16104)。
続いて、T−PGW5bは、IKE_AUTH Requestメッセージを送信したUE1を認証する(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)(図23B、ステップS16105)。このとき、T−PGW5bは、ステップS16102で作成したAUTHパラメータを比較対象として用いてもよい。なお、T−PGW5bによるAUTHパラメータの作成は、ステップS16102で行われたが、UE1を認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)する直前に生成してもよい。また、このUE1の認証をする際に、T−PGW5bが生成するAUTHパラメータを用いない場合、このAUTHパラメータの生成は、T−PGW5bがAUTHパラメータをUE1に送信するステップS16200の直前でもよい。
T−PGW5bがUE1の認証(例えば、IKE_AUTH Requestメッセージに格納されているAUTHパラメータを用いてIKE_SA_INITメッセージ(送信元であるUE1)を認証、若しくは、IKE_SA_INITメッセージ(送信元であるUE1)の正確性を確認することによる認証方法の確認や、鍵の確認など)をできた場合、T−PGW5bはステップS16102で作成したAUTHパラメータなどを含むIKE_AUTH ResponseメッセージをUE1に送信する(図23B、ステップS16200)。続いて、T−PGW5bは、UE1とBU/BA交換を実施する(図23B、ステップS16201)。なお、T−PGW5bが、UE1の認証をできなかった場合は、BS処理を終了する。
なお、本発明の第4の実施の形態における第3と第4のシーケンスにおいて、T−PGW5bが、IKE_SA_INITメッセージ交換直後にUE1からIKE_AUTH RequestメッセージでAUTHパラメータを通知される場合(例えば、図24のステップS17102や図25のステップS18102)は、T−PGW5bはUE1から送られてきたIKE_AUTH RequestメッセージにAUTHパラメータが格納されているか確認する(図27、ステップS20013)。
IKE_AUTH RequestメッセージにAUTHパラメータが格納されている場合、T−PGW5bは、AAAサーバ8aにUE1から受信したReuse keyとUE_BS_Identityが格納されているAuthentication-Requestメッセージを送信する(図27、ステップS20100)。
続いて、T−PGW5bは、AAAサーバ8aからMSKとT-PGW_BS_Identityが格納されたAuthentication-Responseメッセージを受信する(図27、ステップS20101)。
T−PGW5bは、受信したMSKを用いてAUTHパラメータを作成する(図27、ステップS20102)。
続いて、T−PGW5bは、UE1を認証する(図27、ステップS20103)。なお、UE1を認証する際に、ステップS20101で受信したMSKや、ステップS20102で生成したAUTHパラメータを用いてUE1を認証してもよい(例えば、UE1から送られてきたAUTHパラメータとT−PGW5bが生成したAUTHパラメータの比較など)。なお、T−PGW5bが、UE1を認証する際、T−PGW5bが生成するAUTHパラメータを用いない場合は、ステップS20102とステップS20103の処理する順番を入れ替えてもよい。
T−PGW5bがUE1を認証した場合、T−PGW5bが生成したAUTHパラメータやT-PGW_BS_Identityを格納したIKE_AUTH ResponseメッセージをUE1に送信する(図27、ステップS20110)。
続いて、T−PGW5bはUE1とBU/BA交換を実施する(図27、ステップS20111)。
本発明の第4の実施の形態に基づいて処理することで、UE1が既に確立済みのPGW5(T−PGW5bに相当)とは異なるPGW5(I−PGW5aに相当)が割り当てられた場合であっても、従来技術のPDN GW reallocation procedureと比べて、T−PGW5bへの切り替え接続を短時間に完了させることができる。つまり、UE1とT−PGW5bが、UE1とI−PGW5aのSA確立時に作成したMSKを再利用して、UE1とT−PGW5bの間のSAを確立することで、UE1が所望のPGW5(T−PGW5bに相当)との間の接続を短い時間で確立できるようになる。
なお、本発明の第4の実施の形態で用いたMSKは、インターネットで利用される技術を標準化する組織であるIETF(Internet Engineering Tas Force)が、RFCで定義しているMSKと同じであってもよいし、別途規定されてもよい。
また、図21に示したように、AAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知するような場合においても、UE1は、Reuse IndicatorとUE_BS_Identityとを格納したIKE_AUTH_RequestメッセージをT−PGW5bに送信することが望ましい。これにより、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図21、ステップS14011)が遅延したりロスしたりして、T−PGW5bが鍵データ(MSK)の再利用(フル認証の省略)を認識していない場合であっても、T−PGW5b越しにMSKの再利用を実施することができ、切り替え接続のための時間短縮をより確実なものとすることができる。
また、図21に図示されている第2のシーケンスでAAAサーバ8aが事前にT−PGW5bに対してMSKなどの情報を通知する場合において、AAAサーバ8aからT−PGW5bへのBS_Identity通知(図21、ステップS14011)が遅延したりロスしたりしないことがシステムとして保証されているような場合には、Reuse Indicatorの代わりとしてUser IdentityやUE1のアドレスを使用することで、UE1はReuse Indicatorを図22のステップS15011で生成したり、ステップS15012でIKE_AUTH_Requestメッセージに格納したりしなくてもよい。
またさらには、AAAサーバ8aにおいてUE1からの接続要求に含まれるAPN(Access Point Name)などを前回の接続要求(I−PGW5a経由)で通知されたものと比較するなどの方法により、本接続要求がT−PGW5bへの切り替えを意図していることが確認できる場合、UE_BS_Identityは最早不要であり、図22のステップS15007でUE1への通知は行われない。このときUE1は、T−PGW5bに対して標準的なBS処理を実行すればよく(図22には不図示)、これにより、MSKの再利用がネットワーク側の判断によって実施され、T−PGW5bへの切り替え接続を短時間に完了させることができる。
なお、本発明の第4の実施の形態で用いられているUE_BS_Identity並びにT-PGW_BS_Identityに関しても、上述の第1の実施の形態と同様に、様々な組み合わせが可能である。すなわち、本発明の第4の実施の形態において、例えば、UE_BS_Identityと、このUE_BS_Identityに対応するT-PGW_BS_Identityを用いて、UE_BS_IdentityとT-PGW_BS_Identityとの照合が行われてもよく、どちらか一方のBS_Identityが用いられてもよく、あるいは、BS_Identityが用いられなくてもよい。また、本発明の第4の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityに使用される情報として、例えば、UE1及びPGW5によって共有されている値を基に生成されたハッシュ値や、ランダムに生成された値やI−PGW5aのアドレス(これらに限定されない)など、UE1及びPGW5によって認識可能な値(符号)を用いることが可能である。また、本発明の第4の実施の形態においても、UE_BS_IdentityやT-PGW_BS_Identityは、PGW5、AAAサーバ8a、あるいは、その他の通信装置によって生成されてもよい。
なお、上記の本発明の実施の形態の説明で用いた各機能ブロックは、典型的には集積回路であるLSI(Large Scale Integration)として実現される。これらは個別に1チップ化されてもよいし、一部又はすべてを含むように1チップ化されてもよい。なお、ここでは、LSIとしたが、集積度の違いにより、IC(Integrated Circuit)、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。例えば、バイオ技術の適応などが可能性としてあり得る。
本発明のゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末は、複数のCoAを使用している移動端末のCoAを管理するPGW5を確実かつ迅速に統一できるようになり、その結果、移動端末は、複数のCoAを使用した通信における利益を確実かつ迅速に享受できるようになるという効果を有しており、複数の通信インタフェースを有する移動端末が、これら複数の通信インタフェースを用いて異なるアクセスネットワークを介して所定のゲートウェイにアクセスするため技術に適用可能である。

Claims (55)

  1. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
    前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
    前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせるステップと、
    前記第2のゲートウェイが、前記移動端末の収容状況を確認するステップと、
    前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信するステップと、
    前記第2のゲートウェイが、前記移動端末に待機指示を送信するステップと、
    前記第1のゲートウェイが、前記移動端末に接続処理を開始するステップとを、
    有するゲートウェイ接続方法。
  2. 前記移動端末が前記収容状況を問い合わせるステップにおいて、前記移動端末が、前記第1のゲートウェイへの接続時に払い出されたホームプレフィクスを通知することを特徴とする請求項1に記載のゲートウェイ接続方法。
  3. 前記移動端末が前記収容状況を問い合わせるステップにおいて、前記移動端末が、収容状況の確認を要求する明示的な指示を送信することを特徴とする請求項1に記載のゲートウェイ接続方法。
  4. 前記第2のゲートウェイが前記収容状況を確認するステップにおいて、前記第2のゲートウェイが、取得した前記移動端末のホームプレフィクスに基づいて自身が管理する移動管理テーブルを探索することを特徴とする請求項1に記載のゲートウェイ接続方法。
  5. 前記第2のゲートウェイが前記接続指示を送信するステップにおいて、前記接続指示は認証サーバを介して前記第1のゲートウェイに転送されることを特徴とする請求項1に記載のゲートウェイ接続方法。
  6. 前記第1のゲートウェイの識別子は、前記認証サーバによって導出されることを特徴とする請求項5に記載のゲートウェイ接続方法。
  7. 前記第2のゲートウェイが、前記待機指示と前記接続指示に第1の符号を含めて送信し、
    前記第1のゲートウェイが、前記移動端末に接続処理を開始する際に取得した第2の符号を通知し、
    前記移動端末は、前記待機指示から取得した前記第1の符号と、前記第1のゲートウェイとの接続開始時に取得した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項1に記載のゲートウェイ接続方法。
  8. 前記第1のゲートウェイが前記移動端末に接続処理を開始する際に所定の符号を通知し、
    前記移動端末は取得した前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項1に記載のゲートウェイ接続方法。
  9. 前記第2のゲートウェイが前記待機指示に第1の符号を含めて前記移動端末に送信し、
    同時に前記第2のゲートウェイが前記接続指示に前記第1の符号を含めて送信し、
    前記第1のゲートウェイが前記第1の符号に基づく第2の符号を取得して、接続処理開始時に前記移動端末に通知し、
    前記移動端末は前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項1に記載のゲートウェイ接続方法。
  10. 前記第2のゲートウェイが前記待機指示に第1の符号を含めて前記移動端末に送信し、
    同時に前記第2のゲートウェイが前記第1の符号に基づく第2の符号を取得して前記接続指示に前記第2の符号を含めて送信し、
    前記第2のゲートウェイが、接続処理開始時に前記移動端末に前記第2の符号を通知し、
    前記移動端末は前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項1に記載のゲートウェイ接続方法。
  11. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
    前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
    前記移動端末が、前記検出ステップの結果をうけて、前記第2のゲートウェイに前記移動端末の収容状況を問い合わせ、
    前記第2のゲートウェイが、前記移動端末の収容状況を確認し、
    前記第2のゲートウェイが、前記移動端末を収容していないと判断した場合に、前記第1のゲートウェイに接続指示を送信し、
    前記第2のゲートウェイが、前記移動端末に待機指示を送信し、
    前記第1のゲートウェイが、前記移動端末に接続処理を開始することによって、
    前記移動端末を所望のゲートウェイに接続させるよう構成されているゲートウェイ接続制御システム。
  12. 前記移動端末が前記収容状況を問い合わせる際に、前記移動端末が、前記第1のゲートウェイへの接続時に払い出されたホームプレフィクスを通知することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  13. 前記移動端末が前記収容状況を問い合わせる際に、前記移動端末が、収容状況の確認を要求する明示的な指示を送信することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  14. 前記第2のゲートウェイが前記収容状況を確認する際に、前記第2のゲートウェイが、取得した前記移動端末のホームプレフィクスに基づいて自身が管理する移動管理テーブルを探索することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  15. 前記第2のゲートウェイによって送信される前記接続指示は、認証サーバを介して前記第1のゲートウェイに転送されることを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  16. 前記第1のゲートウェイの識別子は、前記認証サーバによって導出されることを特徴とする請求項15に記載のゲートウェイ接続制御システム。
  17. 前記第2のゲートウェイが、前記待機指示と前記接続指示に第1の符号を含めて送信し、
    前記第1のゲートウェイが、前記移動端末に接続処理を開始する際に取得した第2の符号を通知し、
    前記移動端末は、前記待機指示から取得した前記第1の符号と、前記第1のゲートウェイとの接続開始時に取得した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  18. 前記第1のゲートウェイが前記移動端末に接続処理を開始する際に所定の符号を通知し、
    前記移動端末は取得した前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  19. 前記第2のゲートウェイが前記待機指示に第1の符号を含めて前記移動端末に送信し、
    同時に前記第2のゲートウェイが前記接続指示に前記第1の符号を含めて送信し、
    前記第1のゲートウェイが前記第1の符号に基づく第2の符号を取得して、接続処理開始時に前記移動端末に通知し、
    前記移動端末は前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  20. 前記第2のゲートウェイが前記待機指示に第1の符号を含めて前記移動端末に送信し、
    同時に前記第2のゲートウェイが前記第1の符号に基づく第2の符号を取得して前記接続指示に前記第2の符号を含めて送信し、
    前記第2のゲートウェイが、接続処理開始時に前記移動端末に前記第2の符号を通知し、
    前記移動端末は前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項11に記載のゲートウェイ接続制御システム。
  21. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
    ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
    検出された前記第2のゲートウェイに前記移動端末の収容状況を問い合わせる手段と、
    前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、待機指示を前記第2のゲートウェイから受信する手段と、
    前記第2のゲートウェイによって前記移動端末の収容状況が確認され、前記第2のゲートウェイが前記移動端末を収容していないと判断された場合に、前記第2のゲートウェイから前記第1のゲートウェイに接続指示が送信され、前記第1のゲートウェイが前記接続指示に基づいて開始した前記移動端末との間の接続処理を行う手段とを、
    有する移動端末。
  22. 前記移動端末が前記収容状況を問い合わせる際に、前記第1のゲートウェイへの接続時に払い出されたホームプレフィクスを通知することを特徴とする請求項21に記載の移動端末。
  23. 前記移動端末が前記収容状況を問い合わせる際に、収容状況の確認を要求する明示的な指示を送信することを特徴とする請求項21に記載の移動端末。
  24. 前記待機指示と前記接続指示に第1の符号を含めて前記第2のゲートウェイから送信されるとともに、前記第1のゲートウェイが前記移動端末に接続処理を開始する際に取得した第2の符号が前記第1のゲートウェイから通知され、
    前記待機指示から取得した前記第1の符号と、前記第1ゲートウェイとの接続開始時に取得した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項21に記載の移動端末。
  25. 前記第1のゲートウェイが前記移動端末に接続処理を開始する際に所定の符号が前記第1のゲートウェイから通知され、
    通知された前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項21に記載の移動端末。
  26. 前記待機指示に第1の符号を含めて前記第2のゲートウェイから前記移動端末に送信され、同時に前記接続指示に前記第1の符号を含めて前記第2のゲートウェイから送信され、前記第1のゲートウェイによって前記第1の符号に基づく第2の符号が取得されて前記第1のゲートウェイが前記移動端末に接続処理を開始する際に前記第2の符号が前記第1のゲートウェイから通知され、
    前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項21に記載の移動端末。
  27. 前記待機指示に第1の符号を含めて前記第2のゲートウェイから前記移動端末に送信され、同時に前記接続指示に前記第1の符号を含めて前記第2のゲートウェイから送信され、前記第2のゲートウェイによって前記第1の符号に基づく第2の符号を取得されて前記第1のゲートウェイが前記移動端末に接続処理を開始する際に前記第2の符号が前記第1のゲートウェイから通知され、
    前記第1の符号と前記第2の符号の相関を確認できた場合に、前記第1のゲートウェイからの接続処理を受理することを特徴とする請求項21に記載の移動端末。
  28. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムにおいて、前記移動端末を所望のゲートウェイに接続させるためのゲートウェイ接続方法であって、
    前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出するステップと、
    前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換するステップと、
    前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知するステップと、
    前記移動端末が、前記第1のゲートウェイへの接続処理を開始するステップと、
    前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得するステップと、
    前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するステップとを、
    有するゲートウェイ接続方法。
  29. 前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するステップにおいて、前記移動端末が、前記相互認証によって作成された前記鍵情報を用いて、前記第1のゲートウェイへの接続処理を行うことを特徴とする請求項28に記載のゲートウェイ接続方法。
  30. 前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するステップにおいて、前記移動端末と前記第1のゲートウェイの間で、前記鍵情報を用いた接続確認を行うことを特徴とする請求項28に記載のゲートウェイ接続方法。
  31. 前記第2のゲートウェイが前記第1のゲートウェイのアドレスを前記移動端末へ通知するステップにおいて、前記移動端末が、前記第2のゲートウェイからのメッセージによって、前記第1のゲートウェイへの接続に際して前記相互認証によって作成された前記鍵情報の再利用が可能であると判断できることを特徴とする請求項28に記載のゲートウェイ接続方法。
  32. 前記移動端末が、前記第1のゲートウェイへの接続処理を開始するステップにおいて、前記第1のゲートウェイとメッセージ交換をすることで、前記鍵情報の再利用が可能であると判断できることを特徴とする請求項28に記載のゲートウェイ接続方法。
  33. 前記移動端末が前記第1のゲートウェイへの接続処理を開始するステップにおいて、前記鍵情報の再利用を要求することを特徴とする請求項28に記載のゲートウェイ接続方法。
  34. 前記第1のゲートウェイが前記鍵情報を前記認証サーバから取得するステップにおいて、前記第1のゲートウェイからの要求に応じて、前記認証サーバが前記鍵情報を前記第1のゲートウェイへ通知することを特徴とする請求項28に記載のゲートウェイ接続方法。
  35. 前記第1のゲートウェイが前記鍵情報を前記認証サーバから取得するステップにおいて、前記認証サーバが前記相互認証によって前記移動端末の認証に成功した後に、前記鍵情報を前記第1のゲートウェイへ通知することを特徴とする請求項28に記載のゲートウェイ接続方法。
  36. 前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知する際に第1の符号を通知し、
    前記第1のゲートウェイが、前記移動端末が前記第1のゲートウェイへの接続処理を行う際に第2の符号を通知し、
    前記移動端末は、前記第2のゲートウェイから受信した前記第1の符号と、前記第1のゲートウェイから受信した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項28に記載のゲートウェイ接続方法。
  37. 前記第1のゲートウェイが、前記移動端末が前記第1のゲートウェイへの接続処理を行う際に所定の符号を通知し、
    前記移動端末は、受信した前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項28に記載のゲートウェイ接続方法。
  38. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末と、前記移動端末を収容して移動管理を行う複数のゲートウェイからなるゲートウェイ接続制御システムであって、
    前記移動端末が、ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイのアドレスを取得したことを検出し、
    前記移動端末が、前記検出ステップの結果をうけて前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換し、
    前記鍵情報の交換完了後、前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知し、
    前記移動端末が、前記第1のゲートウェイへの接続処理を開始し、
    前記第1のゲートウェイが、前記相互認証によって作成された前記鍵情報を前記認証サーバから取得し、
    前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続するよう構成されているゲートウェイ接続制御システム。
  39. 前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続する際に、前記移動端末が、前記相互認証によって作成された前記鍵情報を用いて、前記第1のゲートウェイへの接続処理を行うことを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  40. 前記移動端末が、前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続する際に、前記移動端末と前記第1のゲートウェイの間で、前記鍵情報を用いた接続確認を行うことを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  41. 前記第2のゲートウェイが前記第1のゲートウェイのアドレスを前記移動端末へ通知する際に、前記移動端末が、前記第2のゲートウェイからのメッセージによって、前記第1のゲートウェイへの接続に際して前記相互認証によって作成された前記鍵情報の再利用が可能であると判断できることを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  42. 前記移動端末が、前記第1のゲートウェイへの接続処理を開始する際に、前記第1のゲートウェイとメッセージ交換をすることで、前記鍵情報の再利用が可能であると判断できることを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  43. 前記移動端末が前記第1のゲートウェイへの接続処理を開始する際に、前記鍵情報の再利用を要求することを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  44. 前記第1のゲートウェイが前記鍵情報を前記認証サーバから取得する際に、前記第1のゲートウェイからの要求に応じて、前記認証サーバが前記鍵情報を前記第1のゲートウェイへ通知することを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  45. 前記第1のゲートウェイが前記鍵情報を前記認証サーバから取得する際に、前記認証サーバが前記相互認証によって前記移動端末の認証に成功した後に、前記鍵情報を前記第1のゲートウェイへ通知することを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  46. 前記第2のゲートウェイが、前記第1のゲートウェイのアドレスを前記移動端末へ通知する際に第1の符号を通知し、
    前記第1のゲートウェイが、前記移動端末が前記第1のゲートウェイへの接続処理を行う際に第2の符号を通知し、
    前記移動端末は、前記第2のゲートウェイから受信した前記第1の符号と、前記第1のゲートウェイから受信した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  47. 前記第1のゲートウェイが、前記移動端末が前記第1のゲートウェイへの接続処理を行う際に所定の符号を通知し、
    前記移動端末は、受信した前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項38に記載のゲートウェイ接続制御システム。
  48. 複数の通信インタフェースを介して複数のアクセスネットワークに接続可能な移動端末であり、前記移動端末を収容して移動管理を行う複数のゲートウェイからなる通信システムに接続する際に、前記複数のゲートウェイのうちの所望のゲートウェイに接続することが可能な移動端末であって、
    ホームリンク経由で第1のゲートウェイと接続済みであり、異なるアクセスネットワークに接続した際にDNSサーバから第2のゲートウェイアドレスを取得したことを検出する手段と、
    前記第2のゲートウェイへの接続処理を開始し、認証サーバとの間で相互認証を行って作成された鍵情報を前記第2のゲートウェイとの間で交換する手段と、
    前記鍵情報の交換完了後、前記第2のゲートウェイから前記第1のゲートウェイのアドレスを受信し、前記第1のゲートウェイへの接続処理を開始する手段と、
    前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続する手段とを、
    有する移動端末。
  49. 前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続する際に、前記相互認証によって作成された前記鍵情報を用いて、前記第1のゲートウェイへの接続処理を行うことを特徴とする請求項48に記載の移動端末。
  50. 前記相互認証によって作成された前記鍵情報を再利用して、前記第1のゲートウェイへ接続する際に、前記移動端末と前記第1のゲートウェイの間で、前記鍵情報を用いた接続確認を行うことを特徴とする請求項48に記載の移動端末。
  51. 前記第2のゲートウェイが前記第1のゲートウェイのアドレスを前記移動端末へ通知する際に、前記第2のゲートウェイからのメッセージによって、前記第1のゲートウェイへの接続に際して前記相互認証によって作成された前記鍵情報の再利用が可能であると判断できることを特徴とする請求項48に記載の移動端末。
  52. 前記第1のゲートウェイへの接続処理を開始する際に、前記第1のゲートウェイとメッセージ交換をすることで、前記鍵情報の再利用が可能であると判断できることを特徴とする請求項48に記載の移動端末。
  53. 前記第1のゲートウェイへの接続処理を開始する際に、前記鍵情報の再利用を要求することを特徴とする請求項48に記載の移動端末。
  54. 前記第2のゲートウェイから前記第1のゲートウェイのアドレスが通知される際に第1の符号が前記移動端末へ通知され、前記第1のゲートウェイへの接続処理を行う際に前記第1のゲートウェイから第2の符号が前記移動端末へ通知され、
    前記第2のゲートウェイから受信した前記第1の符号と、前記第1のゲートウェイから受信した前記第2の符号を比較して、一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項48に記載の移動端末。
  55. 前記第1のゲートウェイへの接続処理を行う際に前記第1のゲートウェイから所定の符号が前記移動端末へ通知され、
    受信した前記所定の符号が所定の値と一致する場合に、前記第1のゲートウェイへのアドレス登録処理を行うことを特徴とする請求項48に記載の移動端末。
JP2010550437A 2009-02-13 2010-01-29 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末 Withdrawn JPWO2010092764A1 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
JP2009031883 2009-02-13
JP2009031883 2009-02-13
JP2009061990 2009-03-13
JP2009061990 2009-03-13
JP2009193595 2009-08-24
JP2009193595 2009-08-24
PCT/JP2010/000551 WO2010092764A1 (ja) 2009-02-13 2010-01-29 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末

Publications (1)

Publication Number Publication Date
JPWO2010092764A1 true JPWO2010092764A1 (ja) 2012-08-16

Family

ID=42561613

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010550437A Withdrawn JPWO2010092764A1 (ja) 2009-02-13 2010-01-29 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末

Country Status (3)

Country Link
US (1) US20120020343A1 (ja)
JP (1) JPWO2010092764A1 (ja)
WO (1) WO2010092764A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101718096B1 (ko) * 2009-12-01 2017-03-20 삼성전자주식회사 무선통신 시스템에서 인증방법 및 시스템
CN102196407B (zh) * 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及系统
US9154487B2 (en) 2010-11-05 2015-10-06 Telefonaktiebolaget L M Ericsson (Publ) Registration server, gateway apparatus and method for providing a secret value to devices
KR101338486B1 (ko) 2010-12-21 2013-12-10 주식회사 케이티 I-wlan의 게이트웨이 및 그의 호 추적 방법
WO2013004905A1 (en) * 2011-07-07 2013-01-10 Nokia Corporation Trusted wireless local area network access
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
EP3086599A4 (en) * 2013-12-20 2017-06-07 Kyocera Corporation Communication control method, gateway device, and user terminal
JP2015194947A (ja) * 2014-03-31 2015-11-05 ソニー株式会社 情報処理装置及びコンピュータプログラム
CN105338511B (zh) * 2014-06-25 2019-08-16 华为技术有限公司 网络拓扑隐藏方法和设备
JP6577052B2 (ja) * 2015-04-22 2019-09-18 華為技術有限公司Huawei Technologies Co.,Ltd. アクセスポイント名許可方法、アクセスポイント名許可装置、およびアクセスポイント名許可システム
EP3709601B1 (en) * 2017-03-17 2022-02-16 Telefonaktiebolaget LM Ericsson (publ) Network node for use in a communication network, a communication device and methods of operating the same
US11223507B2 (en) * 2017-04-18 2022-01-11 Qualcomm Incorporated Payload with synchronization information
EP3831111A1 (en) * 2018-08-02 2021-06-09 Telefonaktiebolaget LM Ericsson (publ) Secured authenticated communication between an initiator and a responder
WO2020145064A1 (en) * 2019-01-11 2020-07-16 Nec Corporation A method and a device for enabling key re-usage in a communication network
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
WO2023226956A1 (zh) * 2022-05-25 2023-11-30 华为技术有限公司 一种网络设备和通信系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH10178421A (ja) * 1996-10-18 1998-06-30 Toshiba Corp パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US20070208864A1 (en) * 2002-10-21 2007-09-06 Flynn Lori A Mobility access gateway
US7499401B2 (en) * 2002-10-21 2009-03-03 Alcatel-Lucent Usa Inc. Integrated web cache
CN1265607C (zh) * 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
TWI305462B (en) * 2005-12-29 2009-01-11 Ind Tech Res Inst Method and system for secure authentication in a wireless network
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
US8346268B2 (en) * 2006-11-20 2013-01-01 Alcatel Lucent Network controlled mobility route optimization for an IP base station transceiver architecture

Also Published As

Publication number Publication date
WO2010092764A1 (ja) 2010-08-19
US20120020343A1 (en) 2012-01-26

Similar Documents

Publication Publication Date Title
WO2010092764A1 (ja) ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末
JP5166525B2 (ja) モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
US8964695B2 (en) Optimization of handovers to untrusted non-3GPP networks
US9686669B2 (en) Method of configuring a mobile node
US9973925B2 (en) Method and apparatus for direct communication key establishment
JP5554342B2 (ja) アクセスネットワークへの接続又はハンドオーバの後のセキュアトンネルの確立
EP1875707B1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
EP2774402B1 (en) Securing data communications in a communications network
US7636569B2 (en) Method of registering home address of a mobile node with a home agent
JP4768720B2 (ja) ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法及びシステム
US9986431B2 (en) Method and apparatus for direct communication key establishment
US7984486B2 (en) Using GAA to derive and distribute proxy mobile node home agent keys
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
WO2009056938A2 (en) System and method for authenticating a context transfer
TWI627870B (zh) 通訊系統中閘道器節點之選擇
RU2727160C1 (ru) Аутентификация для систем следующего поколения
CN113498060B (zh) 一种控制网络切片认证的方法、装置、设备及存储介质
KR100879986B1 (ko) 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법
US9137661B2 (en) Authentication method and apparatus for user equipment and LIPA network entities
WO2007143950A1 (fr) Appareil et procédé de mise en œuvre de l'amorce du nœud en double pile d'un réseau hétérogène
US20110107403A1 (en) Communication system, server apparatus, information communication method, and program
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program
KR20080099991A (ko) 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을이용한 이동 단말의 이동성 관리 방법 및 시스템
US20110093604A1 (en) Communication system, server apparatus, information communication method, and program

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20130402