JP2002534930A - ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用 - Google Patents

ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用

Info

Publication number
JP2002534930A
JP2002534930A JP2000593053A JP2000593053A JP2002534930A JP 2002534930 A JP2002534930 A JP 2002534930A JP 2000593053 A JP2000593053 A JP 2000593053A JP 2000593053 A JP2000593053 A JP 2000593053A JP 2002534930 A JP2002534930 A JP 2002534930A
Authority
JP
Japan
Prior art keywords
fixed device
security association
fixed
attributes
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000593053A
Other languages
English (en)
Other versions
JP2002534930A5 (ja
Inventor
マーティン リンマン,
ダン イェレスタム,
イー チェン,
ラース ビョラップ,
Original Assignee
テレフォンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフォンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフォンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2002534930A publication Critical patent/JP2002534930A/ja
Publication of JP2002534930A5 publication Critical patent/JP2002534930A5/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Transceivers (AREA)

Abstract

(57)【要約】 無線電気通信システムで、移動装置の性能は、移動装置に対応する既存のセキュリティアソシエーションを再利用することによるハンドオーバー処理の間、著しい改善が可能となる。既存のセキュリティアソシエーションを再利用することによって、移動装置はハンドオーバー後、すぐに安全な通信を開始できる。さもなければ、従来の技術によって、安全な通信を送信したり受信し始める前に、移動装置は要求されたセキュリティアソシエーションを再取り決めする時間のかかる作業を実行しなければらない。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は、ローカル無線ネットワーク(LAN)とモバイルインターネットプ
ロトコル(IP)システムのような、無線通信システムおよび/またはネットワ
ークに関する。本発明は、特に、移動装置か移動端末が、ネットワークのある固
定装置から別の固定装置へのハンドオーバーを受けるときのセキュリティーアソ
シエーションの再利用に関する。
【0002】
【技術背景】
無線移動通信技術の急速な発展に伴い、ユーザーオーセンティケーション、通
話プライバシー、メッセージの復元性のような、通信セキュリティの問題が、重
大な関心事になっている。このために、インターネットキーエクスチェンジ(I
KE)プロトコル、インターネットセキュリティーアソシエーションとキーマネ
ージメントプロトコル(ISAKMP)インターネットプロトコルセキュリティ
(IPSEC )、のような複数のインターネットエンジニアリングタスクフォース
(IETF)セキュリティプロトコル標準が、現在、様々な無線LANとモバイ
ルIP環境において必要とされている。
【0003】 IKEプロトコルは、移動装置(MU)とネットワーク固定装置(SU)のよ
うな様々なセキュリティサービスとセキュリティアソシエーションを取り決める
ための2つ以上の通信グループにメカニズムを提供するように設計されている。
セキュリティアソシエーション(SA)は、通信グループが同意したセキュリテ
ィーサービスを実行する方法を規定する2つ以上の通信グループの間の関係であ
るのに対して、セキュリティサービスは、2つ以上のグループ間の通信に保護を
提供する方法または手段である。セキュリティアソシエーションは、実際にはオ
ーセンティケーションアルゴリズム、オーセンティケーションキー、暗号化アル
ゴリズム、暗号化キー、対応するSAが有効である間の時間的周期を表すSA存
続期間のような、1セットの属性によって規定される。当事者は理解しているよ
うに、SAは、2つ以上のグループが安全な通信を開始する前に取り決められな
ければならず、IKEプロトコルに基づくセキュリティサービスとSAの取り決
めは、2段階で実行される。最初の段階(つまり第1段階)において、通信して
いるグループがISAKMP SAを取り決める。ISAKMP SAは、次の
ISAKMP交換に保護を提供する1セットのベーシックセキュリティの属性に
よって規定される。2番目の段階(つまり第2段階)において、ISAKMPの
保護のもとで、通信しているグループはIPSECオーセンティケーションヘッ
ダ(AH)プロトコルおよび/またはIPSECエンキャプスレイティングセキ
ュリティペイロード(ESP)プロトコルと関連したIPSECSAを取り決め
る。IPSECプロトコルはIPレイヤで通信用セキュリティサービスを提供す
る。当事者には知られているように、特定のIPSECSAは、セキュリティパ
ラメータインデックス(SPI)、行き先IPアドレス、IPSECプロトコル
(つまりAHまたはESP)によって独自に規定されている。
【0004】 SA(つまり、ISAKMP SAとIPSECSA)は取り決めているグル
ープに対して拘束されているので、SAは移動装置が無線LAN環境において、
1つのアクセスポイントから別のポイントに、または、モバイルIP状況におい
て、1つの未知のエージェントから別の道のエージェントに移動するときは常に
再取り決めが行われる。しかし、IKEの取り決めの過程は、特に第1段階で、
コンピューターの負担が大きい。これは、特に移動装置が頻繁に1つのSUから
別のSUにハンドオーバーを受け、MUの演算能力に限界がある無線LANと移
動IPアプリケーションにおいては問題になる。このような状態の下では、ほと
んどの時間は通信よりむしろ再取り決めに費やされる必要があるので、全般的な
システム性能は、非常に低い。
【0005】
【発明の要旨】
特にハンドオーバー中の無線LAN又は移動IP環境における移動装置(MU
)の性能を改善する技術を提供することが本発明の目的である。本発明は、MU
が1度ハンドオーバーされると、MUに対応したセキュリティアソシエーション
(SA)を再取り決めするのではなく、むしろ再利用することにより目的を達成
する。SAを再利用することによりSAを再取り決めするための時間を省く。し
たがって、MUは1つのSUから別のSUにハンドオーバーすると、ほぼ同時に
安全な通信を開始することができる。
【0006】 したがって、ハンドオーバーの間、SAをさらに能率的に利用するための方法
を提供することが本発明の目的である。
【0007】 MUが固定装置にハンドオーバーする時間とMUがその固定装置と安全な通信
を開始できる時間の間の、待ち時間を減少させ/あるいは最小化することが本発
明の別の目的である。
【0008】 途切れのないハンドオーバーを通して全般的にMUの性能を改善することが本
発明の別の目的である。
【0009】 通信セキュリティを犠牲にすることなく要求される性能レベルを保持すること
が本発明の別の目的である。
【0010】 本発明の1つの実施例によると、上記で確認された目的とその他の目的は1番
目の固定装置から2番目の固定装置まで移動装置のハンドオーバーを実行する方
法および/または装置を通じて達成される。その方法は、1番目の固定装置から
移動装置を切断し、その後、移動装置を2番目の固定装置に接続することを伴う
。その方法は、セキュリティアソシエーションが移動装置と2番目の固定装置の
間で接続をサポートするために既存のセキュリティアソシエーションを再利用す
ることも伴う。ただし、既存のセキュリティアソシエーションはすでに、移動装
置と1番目の固定装置の間の接続をサポートするために利用されていたものであ
る。
【0011】 本発明の別の実施例によると、上記で確認された目的とその他の目的は、1番
目の固定装置から2番目の固定装置に移動装置のハンドオーバーを実行する方法
および/または装置によって達成される。特に、その方法は、1番目の固定装置
から移動装置を切断し、その後、移動装置を2番目の固定装置に接続することを
伴う。次に、その方法は移動装置と2番目の固定装置の間の接続をサポートする
ために、既存のセキュリティアソシエーションを再利用することを伴う。ただし
、既存のセキュリティアソシエーションは、すでに、移動装置と3番目の固定装
置の間の接続に安全な通信を保証するために使用されいたものである。さらに、
3番目の固定装置と2番目の固定装置は、共通のセキュリティーポリシーを利用
する1番目の管理用ドメインと関連している。
【0012】 本発明のほかの実施例によると、上記で確認された目的と他の目的は、共通管
理用ドメインと関連している固定装置の間で移動装置のハンドオーバーを容易に
行うために、セキュリティアソシエーションを再利用する方法によって達成され
る。ただし、共通管理用ドメインと関連したすべての固定装置は、同じセキュリ
ティーポリシーに従う。当該方法は、移動端末と共通の管理用ドメインと関連し
た1番目の固定装置の間の接続のために、最初のセキュリティアソシエーション
を取り決めることを伴う。移動装置は、そのとき1番目の固定装置から切断され
、その後共通の管理用ドメインと関連した2番目の固定装置に接続される。最初
のセキュリティアソシエーションに対応したセキュリティアソシエーションの属
性の1番目のセットは、そのとき1番目の固定装置から2番目の固定装置に転送
される。最初のセキュリティアソシエーションはそのとき移動装置と2番目の固
定装置の間での接続に安全な通信を保証するために利用できる。
【0013】 [発明の詳細な説明] 発明をより良く理解するために、次の詳細な説明では、本発明の好ましい典型
的な実施例を説明し詳述した添付の図面を参照する。さらに、図の発明のキーと
なる要素を識別するために使用する参照番号は、説明を通じて一貫して使用する
【0014】 本発明は無線電気通信システムにおいて、特にハンドオーバー中に移動装置ま
たは移動端末(ここでは「MU」として参照する)の性能を改善する技術を伴う
。ただし、MUは1番目の固定装置(ここでは「SU」として参照される)か
ら切断されて、別の固定装置(ここでは「SUk+1」として参照される)に接続
状態される。そしてSUとSUk+1は、共通のセキュリティーポリシーの制
御下にある共通管理用ネットワークドメインに属する。本発明はMUとSUk+ の間で新たに形成された接続をサポートする1つ以上のすでに確立されたセキ
ュリティアソシエーションを再利用することによりこれを達成する。これらのす
でに確立されたセキュリティアソシエーションを再利用することによって、MU
とSUk+1は、MUが管理用ドメイン内でその接続点(例;ハンドオーバーを
うける)を変更するたびに、時間のかかるセキュリティアソシエーション(ここ
では「SA」として参照される)を再取り決めするタスクを実行する必要がない
。本発明は、通信している装置(例;MUとSUk+1)の演算能力が低から中
レベルに制約されており、MUが特に移動可能であって、頻繁にハンドオーバー
を受ける場合に特別に重要である。
【0015】 本発明によると、共通セキュリティーポリシーの制御の下で、同じ管理用ド
メインと関連した多くの固定装置の各装置は、MUと様々なSUとの間の通信を
保護するために利用されるSAに関して同一の方法で管理される。したがって、
もしMUがこれら他のSUのうちの1つに対してハンドオーバーされる時は、そ
の管理用ドメインに属するそれ以外のSUは、当該MUとその利用ドメインに属
する多くのSUの内の1つの間に確立されたSAのセットを再利用することがで
きる。すでに述べたように、すでに確立されたSAの再利用は、通信セキュリテ
ィーを犠牲にすることなくハンドオーバー中にMUの性能を改善する。しかし、
MUの性能改善が望まれる範囲に応じて、本発明の2つの典型的な実施例を以下
に述べる。
【0016】 部分的なSAの再利用の実施例として参照された本発明の1番目の典型的な実
施例によると、すでに確立されたインターネットセキュリティーアソシエーショ
ンとキーマネージメントプロトコル(ISAKMP)SAはMUが管理用ドメイ
ンで別のSU(つまりSUk+1)に対してハンドオーバーされるたびに再利用
される。さらに具体的には、MUが初めて管理用ドメインでSUとの接続を確立す
ると、ISAKMP SAを確立するために使用されるインターネットキーエク
スチェンジ(IKE)第1段階の取り決めと、IPSECSAを確立するために
使用されるIKE第2段階の取り決めは、 インターネットエンジニアリング
タスクフォース(IETF)により様々な標準セットにしたがって実行される。
しかし、移動装置が移動して、同じ管理用ドメインと関連した別のSU(つまり
SUk+1)にハンドオーバーされるとき、すでに確立されたISAKMP S
AはMUとSUk+1により再利用される。それでも、MUとSUk+1はIKE
第2段階の取り決めを管理する必要がある;つまり、MUとSUk+1は、IP
SECSAを再取り決めする必要がある。IKE第1段階SAの取り決めの過程は
IKE第2段階の取り決めの過程と比較してはるかに多くの時間を費やすので、
ISAKMPの再利用は、非常にハンドオーバー中のMUの性能を改善する。
【0017】 完全なSAの再利用の実施例として参照した本発明の2番目の典型的な実施例
によると、すでに確立されたISAKMP SAとすでに確立されたIPSEC SAは、MUが管理用ドメインで1つのSU(つまりSU)から別のSU(つ
まりSUk+1)にハンドオーバーを受けるたびに再利用される。上記の状態で
、MUが初めて管理用ドメインでSUと接続するとき、ISAKMP SAとI
SECSAは、それぞれIKE第1段階とIKE第2段階の取り決めの過程に
従って確立される。しかし、上述の部分的なSAの再利用とは異なって、連続し
たハンドオーバーはすでに確立されたISAKMPとすでに確立されたIPSE SAどちらも再利用することになる。このように、第1段階と第2段階を含ん
だ全体的なIKE SA取り決めの過程は、回避される。したがって、MUとS
k+1は、ISAKMP SAとIPSECSAはSUからSUk+1まで転
送された後、ほぼ同時に相互に通信を開始することができる。ハンドオーバー処
理は、とぎれない、あるいはほとんど途切れない方法で実行される。
【0018】 全般的に完全なSAの再利用の実施例は、部分的なSAの再利用の実施例より
ハンドオーバー中でさらにおおきなMUの性能強化を提供する。それは、MUと
SUk+1がどんなSAも再取り決めする必要がないからである。では、ネット
ワーク管理者はなぜ完全なSA再利用の実施例よりも、部分的なSA再利用の実
施例を選択するのか?1つの理由はネットワーク管理者が管理用のドメインと関
連した様々なSUにIPSECSAによって指定されたような同じセッションキ
ー(つまり符号化キーとオーセンティケーションキー)を共有することを望まな
いからであろう。例えば、もし管理用ドメインと関連したすべてのSUが同じセ
ッションキーを共有し、SUのうちの1つだけについて取り決めが成立している
場合、アタッカーは、おそらくMUと管理用ドメインと関連したどんなSUとの
間でも通信を成立させることができる。
【0019】 前述のように、特定のIPSECSAは、行き先IPアドレスの組み合わせの
セキュリティーパラメータインデックスと特別なセキュリティープロトコル(例
;オーセンティケーションヘッダプロトコルあるいはエンカプスレイティングセ
キュリティーペイロードプロトコル)によって個別に識別される。このように、
共通IPアドレスはIPSECSAを再利用するために管理用ドメインで、すべ
てのSUに対して必要とされる。完全なSA再利用の実施例にしたがって、この
共通IPアドレスはエイリアスIPアドレスとして各SUに割り当てられる。し
かし、ある環境下において、ネットワーク管理者は各SUに対して共通IPアド
レスを割り当てることを望まない。その場合には、ネットワーク管理者は、完全
なSA再利用実施例よりむしろ部分的なSA再利用の実施例を選択する可能性が
高い思われる。
【0020】 MUが1つのSU(例;SU)から別のSU(SUk+1)にハンドオーバ
ーされるとき、部分的なSA再利用実施例または完全なSA再利用実施例が利用
されているかどうかによって、ISAKMP SAに対応したSAの属性とIP SEC SAに対応したSAの属性は、SUからSUk+1に転送される必要が
ある。SUからSUk+1まで、このSAの属性の転送は、多くの典型的な技
術のうちのいずれか1つによって実行される。
【0021】 図1は、直接転送技術と呼ばれる1つの技術を説明するものである。直接転送
技術によれば、MU101は、矢印1で説明されているように、SU105か
らSUk+1110にハンドオーバーされる。次に、SUk+1110は、矢印2
で説明されるように、SA要求メッセージを送信してSU105に接続する。
SA要求メッセージは、とりわけMU101と関連したSAを要求する。したが
って、SA要求メッセージは、MU101の識別者コードを含む必要がある。S
105は矢印3によって説明されるようにSUk+1110に対して適切な
SAの属性を送ることによってSA要求メッセージに応答する。
【0022】 上記で述べられた処理上のステップに加えて、図1で説明された直接転送技術
は、SUがSUk+1と同じ管理用ドメインに属していることを確認する段階
も伴う。これを実行するために、管理用ドメインと関連した各SUは、管理用ド
メインと関連したすべてのIPアドレスを含んだリストを保持する。SUk+1
は、SUと関連したIPアドレスがリストにあるかどうかを単純に調べること
によって、要求された検証を行うことができる。あるいは、もし管理用ドメイン
がIPネットワークまたはサブネットと一致する場合、SUk+1は、SU
IPアドレスのネットワーク識別部をSUk+1のIPアドレスのネットワーク
識別部とを単純に比較することができる。それらが一致する場合、SUk+1
、実際にSUが同じ管理用ドメインに属していることを確認する。もし、SU k+1 が、SUは同じ管理用ドメインに属していないと決定した場合、図2に
示すように、MUとSUk+1が属する管理用ドメインに属するSUの内の1つ
との間の以前の接続中に、ISAKMP SAとIPSECSAの属性が、例え
ばデータベース内に格納されていた場合以外は、MUとSUk+1は、ISAK
MP SAとIPSECSAを再取り決めするように要求される。
【0023】 図2は、適当なSAの属性を転送する別の技術を説明するものである。この代替
技術は中間記憶装置技術と呼ばれている。この中間記憶装置技術は、ネットワー
ク構成がSUの識別が困難な場所、または、SUとSUk+1の間の直接的
な通信が困難または不適当な時に選択する価値がある。図2に示されたこの代替
技術によると、MU201は、矢印1によって説明されているようなSU20
5からSUk+1210までハンドオーバーを受ける。ハンドオーバーが起こる
前、あるいは必要ならば同時に、SUは矢印2に示されたデータベース(DB
S)215に対してMU201と関連した適切なSAを転送する。SUk+1
01は、矢印3によって説明されるようなDBS215に対してSA要求メッセ
ージを送る。直接転送技術にあるように、SA要求メッセージは、とりわけMU
201を識別する識別者コードを含む。このように、DBS215は、矢印4に
よって説明されるようなSUk+1210に対してMU201と関連した適切な
SAを送ることによってSA要求メッセージに応答する。
【0024】 当事者が容易に理解できるように、SAは機密情報(例;セッションキー)を
含む。したがって、直接転送または中間記憶装置技術を使用したSUからSU k+1 に転送されるSA情報は、保護されるべきである。それゆえ、符号化とオ
ーセンティケーションのメカニズムは、この情報に対して信用性と信頼性を保証
するために用いられる。
【0025】 図3は、部分的なSA再利用実施例が利用される場合のSUからSUk+1
に転送されるSAの属性を説明している。SUk+1110からSA要求メッセ
ージを受信する上で矢印2で示されているように、SU105は、SUk+1
110に対して応答メッセージ305を送る。ただし、その応答メッセージ30
5は次のISAKMP SAの属性を規定する必要な情報を含む:ISAMKP
SAの存続期間;オーセンティケーション用ISAKMPセッションキーと符
号化用ISAKMPセッションキーを含むISAKMPセッションキー;IP EC セッションキーを引き出すことを要求されるキーイング構成要素;最初のI
KE第2段階メッセージの符号化に必要とされる初期要素を生み出す最後のIK
E第1段階CBC(つまり暗号ブロックチェーンニング)出力ブロック。図3は
SA属性が上記に記載の直接転送技術に合わせて転送されていることを示してい
るが、中間記憶装置技術が代替で利用されていることは当事者にとっては自明で
ある。
【0026】 完全なSA再利用実施例が利用される場合、図4では、図3で確認されたSA
の属性に加えてSU105からSUk+1110に転送されるSAの属性を説
明している。SUk+1110からSA要求メッセージを受信する上で矢印2で
示されているように、SU105は、応答メッセージ405をSUk+111
0に送る。ただし、応答メッセージ405は図3で上記で確認されたISAKM
P SA属性を規定するために必要な情報と次のIPSECSA属性を規定する
ために必要な情報を含む:IPSECSA存続時間;オーセンティケーションヘ
ッダおよび/またはエンキャプスレイティングセキュリティペイロードプロトコ
ルを使用したIPSECプロトコル;IPSECプロトコルモードつまり転送モ
ードかチュネルモード;セキュリティーパラメータインデックス;セッションキ
ーの各アルゴリズムだけでなく、オーセンティケーションと符号化用セッション
キーを含んだIPSECセッションキー;ハンドオーバーに続く最初のIPパケ
ットの符号化用初期要素として使用されるハンドオーバーに優先する最後のCB
C出力ブロック;無中継照合用ハンドオーバー後に1以上の値がシーケンス番号
の初期値となるような、オーセンティケーションヘッダプロトコルかエンキャプ
スレイティングセキュリティペイロードプロトコルと一致したハンドオーバーに
おいて優先するシーケンス番号の値。図3の場合にあったように、図4のSAの
属性の転送は上記に記載の直接転送技術に従って実行される。しかし、SA属性
が中間記憶装置技術に従って転送されることも上記で述べられており理解されて
いる。
【0027】 上述のように、最初にMUが、所定の管理用ドメインでいずれかのSUと接続
するとき、IKE第1段階の取り決めとIKE第2段階の取り決めを完成して、
それによって、それぞれISAKMP SAとIPSECSAを確立している必
要がある。しかし、本発明の別の局面によれば、ISAKMP SAとIPSE SAと関連したSA属性は、ある時間的な長さ、例えばそれぞれのISAKM
P SAの存続時間とIPSECSA存続時間に同等の時間だけ格納される。S
A属性は、図2で示されたデータベース215のようなデータベースに格納され
る。前記時間的な長さが終了する前に、MUが例えば、管理用ドメインと関連し
ていないSUにハンドオーバーされることによって管理用ドメインと切り離され
た状態になり、それからMUが、例えば管理用ドメインと関連したSUにハンド
オーバーされることによって管理用ドメインと再び関連をした状態になる場合、
SA属性を格納することにより、MUがISAKMP SAとIPSECSAを
再取り決めする必要性を回避する。MUがSUkに接続される時間とMUがSU
k+1に接続される時間の間に、別の管理用ドメインと関連したSUにハンドオ
ーバーされている点を除けば、発明のこの側面によれば、SUk+1に対するS
A属性の転送は図2に示された中間記憶装置技術と同じ方法で成し遂げられる。
【0028】 図5は、本発明の典型的な実施例による、転送中のSAの属性を保護する符号
化及びオーセンティケーション技術を使用したSA属性制御メッセージを転送す
る処理を説明している。図5で説明した処理は、図2に関する上述の中間記憶装
置技術を伴うが、当事者は類似した処理は図1に示した上述の直接転送技術に適
用できることを容易に理解できる。
【0029】 図5で説明した処理は、矢印1で示したように、最初にMUが、固定装置SU から固定装置SUk+1へのハンドオーバー処理を開始する。ただし、SU
とSUk+1は、同じ管理用ドメインに関連している。したがって、SUとSU k+1 は、同じセキュリティポリシーに従う。ハンドオーバー処理中のある点に
おいて、SUは矢印2で示されているように、SA属性制御メッセージをDB
Sに転送する。示されたように、SA属性制御メッセージは、MU識別コード(
IDMU)を含む;符号化キーKSAを使用しながら符号化されるSA属性(E
NSKSA);タイムスタンプ(T);ハッシュ値(HASHKDB)。MU識
別コード(IDMU)の目的は、MUと関連するSA属性(つまりENCKSA )を識別することである。タイムスタンプ(T)の目的は、SUがSA制御メ
ッセージを送ってから経過している時間をDBSに通知することである。かなり
の時間的な長さが経過している場合、DBSは権限のない応答から保護するため
にSA属性制御メッセージを拒絶するよう設計されている。MU識別コード(I
MUとタイムスタンプ(T)が通常、符号化されていない一方で、SA属性は
管理用ドメインと関連した各SUにより共有される符号化キーKSAを使用して
符号化される。ハッシュ値(HASHKDB)は、オーセンティケーションの目
的で使用され、MU認識コード(IDMU)とSA属性(ENCKSA)とタイ
ムスタンプ(T)として、オーセンティケーションキーKDBを使用しながら引
き出される。符号化キーKSAのように、オーセンティケーションキーKDB
管理用ドメインと関連した各SUにより共有される。さらに、DBSによって共
有される。
【0030】 上述のように、SUは、MU識別コード(IDMU)、符号化されたSA属
性(ENCKSA)、タイムスタンプ(T)、ハッシュ値(HASHKDB)を
含んだSA属性制御メッセージをDBSに転送する。SA属性制御メッセージを
受信する上で、DBSはMU識別コード(IDMU)、SA属性(ENCKSA )、タイムスタンプ(T)の受信した値の関数として、オーセンティケーション
キーKDBに準拠してハッシュ値を再計算する。次にDBSは再計算されたハッ
シュ値を受信したハッシュ値と比較する。その2値が等しい場合(つまり2値が
一致した場合)、DBSはSUが真性であると認識し、SA属性制御メッセー
ジを受け入れる。DBSはMU識別コード(IDMU)に従って、符号化された
SA属性(ENCSKA)を格納する。
【0031】 さらに、図5で説明された処理として、矢印3で示されているようにSUk+
は、SA属性制御メッセージをDBSに発する。ただし、SA属性要求メッセ
ージは、MU識別コード(IDMU)を含む。これに応答して、DBSはSA属
性要求メッセージに含まれたMU識別コード(IDMU)に対応する符号化され
たSA属性(ENCKSA)をSUk+1に転送する。符号化されたキーKSA
をSA属性(ENCKSA)に適用することにより、SUk+1は符号化された
SA属性を解読できる。
【0032】 本発明を、好ましい実施例にもとづいて述べた。しかし、当事者にとって発明
の思想から離れることなく上記に記載したように特定分野の発明を具現化するが
可能なことは周知である。好ましい実施例は説明のためのものであって、どのよ
うな意味においても制限的なものとみなすべきではない。発明の範囲は上述の記
載ではなく、添付された請求項により定められ、請求項の範囲に含まれるすべて
の変形と均等物は発明の範囲に含むことが意図されている。
【図面の簡単な説明】 本発明の目的と長所は以下に添付された詳細図を読むこ
とにより理解される。
【図1】 図1は、本発明の1番目の典型的な実施例を説明している。
【図2】 図2は、本発明の2番目の典型的な実施例を説明している。
【図3】 図3は、本発明と一致した転送された1番目の典型的なセキュリ
ティアソシエーション属性の1セットを説明している。
【図4】 図4は、本発明と一致した転送される2番目のセキュリティアソ
シエーション属性を説明している。
【図5】 図5は、本発明と一致した、符号技術とオーセンティケーション
技術を使用したセキュリティアソシエーション属性情報の転送を説明している。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C R,CU,CZ,DE,DK,DM,EE,ES,FI ,GB,GD,GE,GH,GM,HR,HU,ID, IL,IN,IS,JP,KE,KG,KP,KR,K Z,LC,LK,LR,LS,LT,LU,LV,MA ,MD,MG,MK,MN,MW,MX,NO,NZ, PL,PT,RO,RU,SD,SE,SG,SI,S K,SL,TJ,TM,TR,TT,TZ,UA,UG ,UZ,VN,YU,ZA,ZW (72)発明者 チェン, イー スウェーデン王国 エスー171 71 ソル ナ, アーメガタン 32 (72)発明者 ビョラップ, ラース スウェーデン王国 エスー117 67 スト ックホルム, ショービョルンスヴェーゲ ン 32 Fターム(参考) 5K067 AA14 BB02 DD17 DD36 EE02 EE10 EE24 JJ39 JJ70

Claims (35)

    【特許請求の範囲】
  1. 【請求項1】 無線電気通信システムにおいて、1番目の固定装置から2番
    目の固定装置への移動機のハンドオーバーを実行する方法であって、 1番目の固定装置から移動装置を切断する過程と、 2番目の固定装置へ移動装置を接続する過程と、 移動装置と2番目の固定装置の間の接続をサポートするために、移動装置と1
    番目の固定装置の間で接続をサポートするために使用されていた既存のセキュリ
    ティアソシエーションを再利用する過程を有する方法。
  2. 【請求項2】 1番目の固定装置から2番目の固定装置にセキュリティアソ
    シエーションと関連した複数のセキュリティアソシエーションの属性を転送する
    過程を有する請求項1に記載の方法。
  3. 【請求項3】 セキュリティアソシエーションの属性が1番目の固定装置か
    ら直接2番目の固定装置へ転送される請求項2に記載の方法。
  4. 【請求項4】 1番目の固定装置から2番目の固定装置にセキュリティアソ
    シエーションと関連した複数のセキュリティアソシエーション属性を転送する前
    記過程が、 1番目の固定装置からデータ記憶装置まで複数のセキュリティアソシエーショ
    ンの属性を転送する過程と、 データ記憶装置から2番目の固定装置まで複数のセキュリティアソシエーショ
    ンの属性を転送する過程を有する請求項2に記載の方法。
  5. 【請求項5】 データ記憶装置が2番目の固定装置に接続可能なデータベー
    スである請求項4に記載の方法。
  6. 【請求項6】 1番目の固定装置から2番目の固定装置に複数のセキュリテ
    ィアソシエーションの属性を転送する過程より前に、1番目と2番目の固定装置
    によって共有される符号化キーを使用して複数のセキュリティアソシエーション
    の属性を符号化する過程を有する請求項2に記載の方法。
  7. 【請求項7】 既存のセキュリティアソシエーションはIKSAMPセキュ
    リティアソシエーションである請求項1に記載の方法。
  8. 【請求項8】 既存のセキュリティアソシエーションはIPSECセキュリ
    ティアソシエーションである請求項1に記載の方法。
  9. 【請求項9】 1番目の固定装置と2番目の固定装置は、共通のセキュリテ
    ィポリシーに従うように、1番目の固定装置と2番目の固定装置はどちらも共通
    の管理用ドメインと関連している請求項1に記載の方法。
  10. 【請求項10】 1番目の固定装置と2番目の固定装置は共通のIPアドレ
    スを有する請求項9に記載の方法。
  11. 【請求項11】 無線電気通信システムにおいて、1番目の固定装置から2
    番目の固定装置への移動機のハンドオーバーを実行する方法で、 1番目の固定装置から移動装置を切断する過程と、 2番目の移動装置に移動装置を接続する過程と、 移動装置と2番目の固定装置の間で接続をサポートするために、既存のセキュ
    リティアソシエーションを再利用する過程を有し、当該セキュリティアソシエー
    ションは移動装置と3番目の固定装置の間の接続に安全な通信を保証するために
    すでに使用されいたものであり、3番目の固定装置と2番目の固定装置は共通の
    セキュリティポリシーを利用する1番目の管理用ドメインと関連している方法。
  12. 【請求項12】 3番目の固定装置から2番目の固定装置に既存のセキュリ
    ティアソシエーションと関連したセキュリティアソシエーションの属性の1セッ
    トを転送する過程を有する請求項11に記載の方法。
  13. 【請求項13】 3番目の固定装置から2番目の固定装置に既存のセキュリ
    ティアソシエーションと関連したセキュリティアソシエーションの属性のセット
    を転送する前記過程が、 3番目の固定装置から記憶装置の位置にセキュリティアソシエーションの属性
    を転送する過程と、 記憶装置の位置から2番目の固定装置にセキュリティアソシエーション属性を
    転送する過程を有する請求項11に記載の方法。
  14. 【請求項14】 記憶装置の位置が3番目の固定装置と2番目の固定装置が
    属している1番目の管理用ドメインと関連したデータベースにある請求項13に
    記載の方法。
  15. 【請求項15】 1番目の固定装置が2番目の管理用ドメインと関連する請
    求項11に記載の方法。
  16. 【請求項16】 無線電気通信ネットワークにおいて、共通の管理用ドメイ
    ンと関連している固定装置間の移動装置のハンドオーバーを容易化するためにセ
    キュリティアソシエーションを再利用する方法であって、共通の管理用ドメイン
    と関連した固定装置のすべてが同じセキュリティポリシーに従っており、当該方
    法は、 共通管理ドメインと関連した移動装置と1番目の固定装置の間の接続のために
    、1番目のセキュリティアソシエーションを取り決める過程と、 1番目の固定装置から移動装置を切断する過程と、 共通の管理用ドメインと関連した2番目の固定装置に移動装置を接続する過程
    と、 1番目の固定装置から2番目の固定装置に、1番目のセキュリティアソシエー
    ションに対応したセキュリティアソシエーションの属性の1番目のセットを転送
    する過程と、 移動装置と2番目の固定装置の間の接続に安全な通信を保証するために、1番
    目のセキュリティアソシエーションを利用する過程を有する前記方法。
  17. 【請求項17】 1番目のセキュリティアソシエーションを取り決める前記
    過程は、IKE第1段階の取り決め処理にしたがってISAKMPセキュリティ
    アソシエーションを確立する過程を有する請求項16に記載の方法。
  18. 【請求項18】 IKE第2段階の取り決め処理に従って、移動装置と1番
    目の固定装置の間での接続のために2番目のセキュリティアソシエーション取り
    決める過程と、 1番目の固定装置から2番目の固定装置に2番目のセキュリティアソシエーシ
    ョンに対応したセキュリティアソシエーションの属性の2番目のセットを転送す
    る過程と、 移動装置と2番目の固定装置の間の接続に安全な通信を保証するために1番目
    のセキュリティアソシエーションとともに、2番目のセキュリティアソシエーシ
    ョンを利用する過程を有する請求項17に記載の方法。
  19. 【請求項19】 2番目のセキュリティアソシエーションはIPSECオー
    センティケーションヘッダプロトコルセキュリティアソシエーションである請求
    項17に記載の方法。
  20. 【請求項20】 2番目のセキュリティアソシエーションがIPSECエン
    キャプスレイティングセキュリティーペイロードプロトコルセキュリティアソシ
    エーションである請求項18に記載の方法。
  21. 【請求項21】 無線電気通信システムにおいて、1番目の固定装置から2
    番目の固定装置に移動装置のハンドオーバーを実行する装置であって、 1番目の固定装置から移動装置を切断する手段と、 2番目の固定装置に移動装置を接続する手段と、 移動装置と2番目の固定装置の間の接続をサポートするために、すでに移動装
    置と1番目の固定装置の間の接続をサポートするために使用されていた既存のセ
    キュリティアソシエーションを再利用する手段を有する装置。
  22. 【請求項22】 1番目の固定装置から2番目の固定装置にセキュリティア
    ソシエーションと関連した複数のセキュリティアソシエーションの属性を転送す
    る手段を有する請求項20に記載の装置。
  23. 【請求項23】 セキュリティアソシエーションの属性が1番目の固定装置
    から直接2番目の固定装置に転送される請求項22に記載の装置。
  24. 【請求項24】 1番目の固定装置から2番目の固定装置にセキュリティア
    ソシエーションと関連した複数のセキュリティアソシエーションの属性を転送す
    る前記手段が、 1番目の固定装置からデータ記憶装置に複数のセキュリティアソシエーション
    の属性を転送する手段と、 データ記憶装置から2番目の固定装置に複数のセキュリティアソシエーション
    の属性を転送する手段を有する請求項22に記載の装置。
  25. 【請求項25】 データ記憶装置本体は、2番目の固定装置に接続可能なデ
    ータベースである請求項24に記載の装置。
  26. 【請求項26】 1番目の固定装置から2番目の固定装置に複数のセキュリ
    ティアソシエーションの属性を転送する前に、1番目と2番目の固定装置によっ
    て共有される符号化キーを利用して、複数のセキュリティアソシエーションの属
    性を符号化する手段を有する請求項22に記載の装置。
  27. 【請求項27】 既存のセキュリティアソシエーションはISAKMPセキ
    ュリティアソシエーションである請求項21に記載の装置。
  28. 【請求項28】 既存のセキュリティアソシエーションはIPSECセキュ
    リティアソシエーションである請求項21に記載の装置。
  29. 【請求項29】 1番目の固定装置と2番目の固定装置は、共通セキュリテ
    ィポリシーに従う管理用ドメインと関連する請求項21に記載の装置。
  30. 【請求項30】 1番目の固定装置と2番目の固定装置は共通のIPアドレ
    スを有する請求項29に記載の装置。
  31. 【請求項31】 無線電気通信システムにおいて、1番目の固定装置から2
    番目の固定装置に移動装置のハンドオーバーを実行する装置で、 1番目の固定装置から移動装置を切断する手段と、 移動装置を2番目の移動装置に接続する手段と、 移動装置と2番目の固定装置の間の接続をサポートするために既存のセキ
    ュリティアソシエーションを再利用する手段を有し、既存のセキュリティアソシ
    エーションはすでに移動装置と3番目の固定装置の間の接続に安全な通信を保証
    するために使用されたものであり、3番目の固定装置と2番目の固定装置は共通
    のセキュリティポリシーを利用する1番目の管理用ドメインに関連するものであ
    る装置。
  32. 【請求項32】 3番目の固定装置から2番目の固定装置に既存のセキュリ
    ティアソシエーションと関連したセキュリティアソシエーションの1セットの属
    性を転送する手段を有する請求項31に記載の装置。
  33. 【請求項33】 3番目の固定装置から2番目の固定装置に既存のセキュリ
    ティアソシエーションと関連したセキュリティアソシエーションの属性のセット
    を転送する前記手段が、 3番目の固定装置から記憶装置の位置にセキュリティアソシエーションの
    属性を転送する手段と、 記憶装置の位置から2番目の固定装置にセキュリティアソシエーションの
    属性を転送する手段を有する請求項31に記載の装置。
  34. 【請求項34】 記憶装置の位置が3番目の固定装置と2番目の固定装置が
    属している1番目の管理用ドメインと関連したデータベースにある請求項33に
    記載の装置。
  35. 【請求項35】 1番目の固定装置が2番目の管理用ドメインと関連する請
    求項31に記載の装置。
JP2000593053A 1999-01-08 2000-01-07 ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用 Pending JP2002534930A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11534999P 1999-01-08 1999-01-08
US60/115,349 1999-01-08
US09/234,512 US6418130B1 (en) 1999-01-08 1999-01-21 Reuse of security associations for improving hand-over performance
US09/234,512 1999-01-21
PCT/SE2000/000020 WO2000041427A2 (en) 1999-01-08 2000-01-07 Reuse of security associations for improving hand-over performance

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006126361A Division JP4515411B2 (ja) 1999-01-08 2006-04-28 ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用

Publications (2)

Publication Number Publication Date
JP2002534930A true JP2002534930A (ja) 2002-10-15
JP2002534930A5 JP2002534930A5 (ja) 2006-06-22

Family

ID=26813098

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2000593053A Pending JP2002534930A (ja) 1999-01-08 2000-01-07 ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用
JP2006126361A Expired - Lifetime JP4515411B2 (ja) 1999-01-08 2006-04-28 ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2006126361A Expired - Lifetime JP4515411B2 (ja) 1999-01-08 2006-04-28 ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用

Country Status (7)

Country Link
US (1) US6418130B1 (ja)
EP (1) EP1142400B1 (ja)
JP (2) JP2002534930A (ja)
CN (1) CN1337134A (ja)
AU (1) AU2335300A (ja)
DE (1) DE60035953T2 (ja)
WO (1) WO2000041427A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004519117A (ja) * 2000-09-08 2004-06-24 リーフエッジ,インコーポレイテッド 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP2005528851A (ja) * 2002-05-30 2005-09-22 アルカテル 無線通信ローカルエリアネットワークへのアクセスを制御するための方法および装置
JP2009260962A (ja) * 2008-04-11 2009-11-05 Asustek Computer Inc ハンドオーバープロセスを処理する方法及び通信装置
JP2010536241A (ja) * 2007-08-09 2010-11-25 アルカテル−ルーセント ユーエスエー インコーポレーテッド セキュリティアソシエーションをセットアップするためのブートストラッピング方法

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
US7590843B1 (en) * 1999-10-05 2009-09-15 Nortel Networks Limited Key exchange for a network architecture
US6721291B1 (en) * 1999-10-19 2004-04-13 Nokia Ip Anycast binding mobile communication method and system
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
CA2813536C (en) * 2000-03-03 2015-08-25 Qualcomm Incorporated Method and apparatus for participating in group communication services in an existing communication system
US7480939B1 (en) * 2000-04-28 2009-01-20 3Com Corporation Enhancement to authentication protocol that uses a key lease
US6978382B1 (en) * 2000-08-14 2005-12-20 Qualcomm Incorporated Method and an apparatus for granting use of a session of a packet data transmission standard designated by an identifier
GB0020443D0 (en) * 2000-08-18 2000-10-04 Nokia Networks Oy Controlling communication between stations
US6947483B2 (en) * 2000-08-18 2005-09-20 Nortel Networks Limited Method, apparatus, and system for managing data compression in a wireless network
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US7266687B2 (en) 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
US7123719B2 (en) 2001-02-16 2006-10-17 Motorola, Inc. Method and apparatus for providing authentication in a communication system
WO2002096151A1 (en) * 2001-05-22 2002-11-28 Flarion Technologies, Inc. Authentication system for mobile entities
GB2377589B (en) * 2001-07-14 2005-06-01 Motorola Inc Ciphering keys for different cellular communication networks
US20030016819A1 (en) * 2001-07-20 2003-01-23 Lebin Cheng Secure socket layer (SSL) load generation with handshake replay
FI116025B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
FI116027B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
US7028183B2 (en) * 2001-11-13 2006-04-11 Symantec Corporation Enabling secure communication in a clustered or distributed architecture
SE0104325D0 (sv) 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
FI118170B (fi) 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
JP3789374B2 (ja) * 2002-03-22 2006-06-21 Necインフロンティア株式会社 電話システム
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
KR100888471B1 (ko) 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US7130286B2 (en) * 2002-10-02 2006-10-31 Nokia Corporation System and method for resource authorizations during handovers
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040088550A1 (en) * 2002-11-01 2004-05-06 Rolf Maste Network access management
US7489667B2 (en) * 2002-11-08 2009-02-10 Faccin Stefano M Dynamic re-routing of mobile node support in home servers
WO2004077205A2 (en) * 2003-02-26 2004-09-10 Nokia Corporation A method of reducing denial-of-service attacks and a system as well as an access router therefor
WO2004095863A1 (en) 2003-03-27 2004-11-04 Thomson Licensing S.A. Secure roaming between wireless access points
DE602004009596T2 (de) * 2003-09-12 2008-07-24 Ntt Docomo Inc. Sicherer handover innerhalb eines gebietes und gebietsüberschreitend
US7826614B1 (en) * 2003-11-05 2010-11-02 Globalfoundries Inc. Methods and apparatus for passing initialization vector information from software to hardware to perform IPsec encryption operation
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100523058B1 (ko) * 2003-11-18 2005-10-24 한국전자통신연구원 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
EP1578059A1 (en) * 2004-03-19 2005-09-21 Swisscom Mobile AG WLAN handover
US7596226B2 (en) 2004-07-19 2009-09-29 Nokia Corporation Mobile terminal, method and computer program product for storing and retrieving network parameters
JP2006080981A (ja) * 2004-09-10 2006-03-23 Fujitsu Ltd ハンドオーバ方法並びにこれを適用した移動通信システムおよび移動端末
US7643451B2 (en) * 2004-10-15 2010-01-05 Nortel Networks Limited Method and apparatus for extending a mobile unit data path between access points
US7835722B2 (en) * 2004-11-04 2010-11-16 Research In Motion Limited System and method for over the air provisioning of a mobile communications device
US7669230B2 (en) * 2005-03-30 2010-02-23 Symbol Technologies, Inc. Secure switching system for networks and method for securing switching
US20060240802A1 (en) * 2005-04-26 2006-10-26 Motorola, Inc. Method and apparatus for generating session keys
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8559921B2 (en) * 2005-08-17 2013-10-15 Freescale Semiconductor, Inc. Management of security features in a communication network
CN1937840B (zh) * 2005-09-19 2011-04-13 华为技术有限公司 一种移动终端切换过程中获得安全联盟信息的方法及装置
WO2007033548A1 (fr) * 2005-09-19 2007-03-29 Huawei Technologies Co., Ltd. Procede et dispositif pour obtenir les informations d'association de securite pendant la procedure de transfert du terminal mobile
KR101137340B1 (ko) * 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
CN1988716B (zh) * 2005-12-21 2010-05-05 华为技术有限公司 保证移动台和基站之间通讯安全的方法
CN101022647B (zh) * 2006-02-15 2010-09-08 华为技术有限公司 切换处理过程中确定安全协商参数的实现方法及装置
KR101196100B1 (ko) * 2006-05-13 2012-11-02 삼성전자주식회사 통신 시스템에서 인증 방법 및 그 장치
US8086216B2 (en) * 2007-01-31 2011-12-27 Alcatel Lucent Mobility aware policy and charging control in a wireless communication network
CN101022418B (zh) * 2007-03-14 2010-05-26 华为技术有限公司 Hmip认证方法、设备及系统
KR101341720B1 (ko) * 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
JP4964683B2 (ja) 2007-06-18 2012-07-04 株式会社リコー 通信装置およびプログラム
JP4586075B2 (ja) * 2008-02-06 2010-11-24 株式会社エヌ・ティ・ティ・ドコモ 無線端末及び無線通信方法
HUE028290T2 (en) * 2008-03-28 2016-12-28 ERICSSON TELEFON AB L M (publ) Identifying manipulated or faulty base stations during handover
CN101321395B (zh) * 2008-06-24 2012-01-11 中兴通讯股份有限公司 下一代网络中支持移动性安全的方法与系统
WO2010151182A1 (en) * 2009-06-22 2010-12-29 Telefonaktiebolaget L M Ericsson (Publ) A method and an arrangement for handling security in a telecommunications system
BR112012018268B1 (pt) * 2010-03-17 2021-02-02 Telefonaktiebolaget Lm Ericsson (Publ) métodos, nó que serve um terminal móvel e terminal móvel
CN102546154B (zh) * 2011-12-19 2015-09-16 上海顶竹通讯技术有限公司 移动通信网络中终端的切换方法
CN103888941B (zh) * 2012-12-20 2018-03-06 新华三技术有限公司 一种无线网络密钥协商的方法及装置
EP3641367B1 (en) * 2015-10-08 2021-08-04 Telefonaktiebolaget LM Ericsson (publ) Node for use in a communication network and method of operating the same
US10390277B2 (en) * 2016-11-30 2019-08-20 Samsung Electronics Co., Ltd. MOBIKE aware LTE to Wi-Fi handoff optimization
EP3596895B1 (en) * 2017-03-17 2021-07-21 Telefonaktiebolaget LM Ericsson (PUBL) Network node for use in a communication network, communication device and methods of operating the same
US11196726B2 (en) * 2019-03-01 2021-12-07 Cisco Technology, Inc. Scalable IPSec services
US11146959B2 (en) * 2019-10-29 2021-10-12 Arista Networks, Inc. Security association reuse for multiple connections

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5293423A (en) 1989-09-12 1994-03-08 Telefonaktiebolaget L M Ericsson Synchronizing method in a mobile radio system
US5081679A (en) 1990-07-20 1992-01-14 Ericsson Ge Mobile Communications Holding Inc. Resynchronization of encryption systems upon handoff
US5243653A (en) 1992-05-22 1993-09-07 Motorola, Inc. Method and apparatus for maintaining continuous synchronous encryption and decryption in a wireless communication system throughout a hand-off
JPH06351062A (ja) * 1993-06-10 1994-12-22 Fujitsu Ltd ハンドオーバー時の秘話機能継続方式
US5444766A (en) * 1993-10-01 1995-08-22 At&T Corp. Mobile-synchronized handoff in a wireless communications system
US5546464A (en) 1994-09-16 1996-08-13 Ericsson Inc. Method of and apparatus for selective resynchronization in a digital cellular communications system
US5778075A (en) * 1996-08-30 1998-07-07 Telefonaktiebolaget, L.M. Ericsson Methods and systems for mobile terminal assisted handover in an private radio communications network
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004519117A (ja) * 2000-09-08 2004-06-24 リーフエッジ,インコーポレイテッド 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP4727126B2 (ja) * 2000-09-08 2011-07-20 リーフエッジ,インコーポレイテッド 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP2005528851A (ja) * 2002-05-30 2005-09-22 アルカテル 無線通信ローカルエリアネットワークへのアクセスを制御するための方法および装置
JP2010536241A (ja) * 2007-08-09 2010-11-25 アルカテル−ルーセント ユーエスエー インコーポレーテッド セキュリティアソシエーションをセットアップするためのブートストラッピング方法
JP2009260962A (ja) * 2008-04-11 2009-11-05 Asustek Computer Inc ハンドオーバープロセスを処理する方法及び通信装置

Also Published As

Publication number Publication date
JP2006319971A (ja) 2006-11-24
US6418130B1 (en) 2002-07-09
EP1142400B1 (en) 2007-08-15
DE60035953T2 (de) 2008-05-08
EP1142400A2 (en) 2001-10-10
CN1337134A (zh) 2002-02-20
WO2000041427A3 (en) 2000-11-02
WO2000041427A2 (en) 2000-07-13
AU2335300A (en) 2000-07-24
DE60035953D1 (de) 2007-09-27
JP4515411B2 (ja) 2010-07-28

Similar Documents

Publication Publication Date Title
JP2002534930A (ja) ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用
US6542992B1 (en) Control and coordination of encryption and compression between network entities
KR101438243B1 (ko) Sim 기반 인증방법
JP5597676B2 (ja) 鍵マテリアルの交換
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
KR101009686B1 (ko) 다수의 가상 운영자를 지원하는 공용 무선 lan을 위한 세션 키 관리
EP1374533B1 (en) Facilitating legal interception of ip connections
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
EP1916797B1 (en) Authentication authorization accounting protocol message transmitting method
US7130286B2 (en) System and method for resource authorizations during handovers
US20110016309A1 (en) Cryptographic communication system and gateway device
US20070033646A1 (en) Suspension and resumption of secure data connection session
JP2002520708A (ja) テレコミュニケーションネットワークにおける認証
KR100487228B1 (ko) 무선 데이터 통신의 중계 기능을 가진 전자 기기
JP2002505566A (ja) 無線atm通信網のatm移動体端末とatmアクセス・ノードとの間の安全な通信のための認証方法および認証装置
US20090031395A1 (en) Security system for wireless networks
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
US7895648B1 (en) Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US8077682B2 (en) Secure roaming between wireless access points
CN115278660A (zh) 接入认证方法、装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050221

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20050630

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20050802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050906

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060131

A524 Written submission of copy of amendment under section 19 (pct)

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20060428

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060620