JP2004260243A - Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus - Google Patents

Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus Download PDF

Info

Publication number
JP2004260243A
JP2004260243A JP2003045427A JP2003045427A JP2004260243A JP 2004260243 A JP2004260243 A JP 2004260243A JP 2003045427 A JP2003045427 A JP 2003045427A JP 2003045427 A JP2003045427 A JP 2003045427A JP 2004260243 A JP2004260243 A JP 2004260243A
Authority
JP
Japan
Prior art keywords
authentication information
mobile terminal
home agent
management device
home
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003045427A
Other languages
Japanese (ja)
Inventor
Masanori Morita
正範 森田
Hirosuke Sakitani
啓輔 崎谷
Hiroyuki Onishi
浩行 大西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003045427A priority Critical patent/JP2004260243A/en
Publication of JP2004260243A publication Critical patent/JP2004260243A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve the problem of a load concentration and the delay of authentication processing due to access to an authenticating apparatus from conventional mobile terminals for every time of position registration. <P>SOLUTION: When a mobile terminal 5 moves from a home network to an in-zone network and moves from the in-zone network to another in-zone network, and a home agent 4 receives a position registration message S1 transmitted periodically, the home agent 4 obtains (S2, S3)authentication information from an authentication information management apparatus 7 storing the authentication information of all the mobile terminals, and compares the obtained authentication information with the authentication information added to the position registration message to authenticate the mobile terminal 5. If the authentication is OK, the home agent 4 stores the obtained authentication information in a cache storing a correlation between the home address and a care of address. Upon receiving the position registration message S1 from the mobile terminal 5, the home agent 4 authenticates the mobile terminal 5 by using the authentication information stored in the cache. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、Mobile IPv6での移動端末の認証方法、並びにこの認証方法に用いる移動位置管理装置(ホームエージェント)及び認証情報管理装置に関するものである。
より詳細には、ホーム網に属し、そのホーム網から払い出されたホームアドレスを持つ移動端末が、特に公衆網において、移動端末の位置(気付けアドレス)をホームエージェントに登録する際に、移動端末のなりすましや位置登録情報の改ざんを防止するために移動端末の認証を行う技術に関する。
【0002】
【従来の技術】
従来、Mobile IPv4では、IETF(Internet Engineering Task Force:インターネット技術標準化委員会)で規定されている認証方式が知られている。これは、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージの受信を契機に、移動位置管理装置(ホームエージェント)が、全移動端末の認証情報の管理機能と照合機能を具備する認証装置(認証サーバ)に対して認証要求を送信し、該認証装置において、位置登録メッセージに一緒に付けれた認証情報と該認証装置で保持された認証情報とを照合するというものである(例えば、非特許文献1参照)。また、一般に認証情報の保持と認証情報の照合処理を外部の認証装置で行う認証方式としては、IEEE802.1xが知られている。
【0003】
しかし、Mobile IPv6においては、IETFでもMobile IP機能自体の検討が進められている段階で、移動端末に対しMobile IPサービスを許可するかどうかの認証方式に関しては規定がなく、また、移動端末からの位置登録メッセージに対するIpsec(IP Security Protocol)を用いた送信元の認証方式についてはIETFで現在検討されているが、認証機能の配備等の実現方式に関しては規定がない。
【0004】
【非特許文献1】
Mobile IP Working Group Internet Draft 23 October 2002
<URL:http://www.ietf.org/internet−drafts/draft−ietf−mobileip−aaa− key−10.txt>
【0005】
【発明が解決しようとする課題】
従来の技術では、全移動端末の認証情報を保持し、位置登録メッセージに一緒に付けられた認証情報と内部で保持された認証情報とを照合する認証装置を用いて、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージの受信を契機に認証処理が行われていた。その場合、移動端末がホームエージェントに位置登録する毎に認証装置で認証処理を行っていたために、位置登録する移動端末数が多くなるほど認証装置に負荷が集中し、またホームエージェントから認証装置にアクセスする時間分、位置登録処理が遅延していた。特にMobile IPv6においては、ホーム網をIETFで検討されているDynamic Home Agent Address Discovery機能を用いた複数ホームエージェントとする場合には、外部装置での認証情報の一元管理が必要となり、上記の課題が一層顕著になる。
【0006】
本発明は、Mobile IPv6網において、例えば公衆網サービスのようなセキュアかつ大規模なMobile IPサービスを提供するために、移動端末の認証情報を保持する認証情報管理機能と、位置登録メッセージに一緒に付けられた認証情報との照合処理機能を移動位置管理装置(ホームエージェント)と認証情報管理装置とに分散配備し、且つ位置登録メッセージ受信毎の認証情報管理機能へのアクセス数を削減することで、負荷集中や認証処理遅延を軽減する移動端末の認証方法並びにこの認証方法に用いた移動位置管理装置及び認証情報管理装置を提供することを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するため、本発明では、Mobile IPv6ネットワーク環境において、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージを、該移動端末の位置を管理する移動位置管理装置(ホームエージェント)が受信した時を契機に、該ホームエージェントが、該移動端末の認証情報を保持した認証情報管理装置から認証情報を取得し、該取得した該認証情報と前記位置登録メッセージに一緒に付けられた認証情報とを照合することにより位置登録メッセージの送信元移動端末を認証する。そして、認証が正常と判断された場合には、ホームエージェントは、前記認証情報管理装置から取得した認証情報を、ホームアドレスと気付けアドレスの対応関係を保持した該当Binding Cacheエントリに格納する。その後、該移動端末が前記ホームエージェントに対し位置登録する際、該ホームエージェントは、前記Binding Cacheエントリの有無を判断し、該移動端末のBinding Cacheエントリがない場合には、前記認証情報管理装置から認証情報を取得するが、該移動端末のBinding Cacheエントリがある場合には、該Binding Cacheエントリにある認証情報で移動端末を認証する。
【0008】
本発明によれば、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージに対し、ホームエージェントにて送信元の認証が可能となり、安全性の高いMobile IPサービスが提供可能となる。さらに従来の外部の認証装置で発生した認証処理の負荷集中を分散させることが可能となる。
【0009】
【発明の実施の形態】
以下、本発明の実施の形態を図面に示す好適実施例に基づいて詳細に説明する。
図1に本発明の適用対象であるネットワーク構成例を示す。Mobile IPv6網1は、移動端末5が帰属するホーム網2(図1ではホーム網B)と移動端末5の移動先である在圏網3(図1では在圏網C、D)のネットワークから構成される。ホーム網2には複数の移動位置管理装置(以下、ホームエージェント)4が存在するが、図1ではホームエージェントAとホームエージェントBのみを示している。後述するように、ホームエージェント4は、移動端末のホームアドレスと気付けアドレスの対応を保持したバインディングキャッシュ(Binding Cache)を具備している。また、本Mobile IPv6網1には、移動端末5と通信する相手端末6、各移動端末の認証情報を保持する認証情報管理装置7が存在する。
【0010】
移動端末5は、ホーム網Bから在圏網Dに移動した際、在圏網Dから在圏網Cに移動際、及び、周期的に位置登録メッセージS1をホームエージェント4(図1ではホームエージェントA)に送信する。この位置登録メッセージS1には認証情報が一緒に付けられている。1回目の位置登録では、ホームエージェントAは、認証情報管理装置7に対して移動端末5の認証情報の取得要求メッセージS2を送信し、認証情報管理装置7から取得応答要求メッセージS3として認証情報を取得し、該取得した認証情報と取得要求メッセージS1に付けられた認証情報とを照合することにより、移動端末5を認証する。認証がとれると、ホームエージェントAは、移動端末5に対して位置登録応答メッセージS4を送信する。また、この時、認証情報管理装置7から取得した認証情報をBinding Cacheの該当エントリに格納する。一方、2回目以降の位置登録では、ホームエージェントAは、該当Binding Cacheエントリに格納されている認証情報と位置登録メッセージS1に付けられた認証情報とを照合することにより、移動端末5を認証する。認証が正常と判断された場合、移動端末5はホームエージェントAを介し、相手端末6と通信してパケットD1、D2等の送受信が可能になる。
【0011】
図2は本発明によるホームエージェント4の構成例を示す機能ブロック図である。本ホームエージェント4はIPv6パケット送受信処理部410、MobileIP処理部420、認証処理部430に大別される。IPv6パケット送受信処理部410は、移動端末5や相手端末6からのIPv6パケットの送受信、移動端末5からのIPv6パケット化された位置登録メッセージS1の受信や移動端末5への位置登録応答メッセージS4の送信、認証情報管理装置7と認証情報の取得要求メッセージS2や認証情報の取得応答メッセージS3を送受信する。認証情報管理装置7への認証情報の取得要求メッセージS2には、移動端末5のホームアドレスを含める。Mobile IP処理部420は、位置登録メッセージS1等のMobile IPメッセージを解釈するとともに、移動端末5の移動位置を示したBinding Cache4210を管理するBinding Cache管理部421を持ち、そのBinding Cache4210に基づき相手端末6からのホームアドレス宛のパケットを気付けアドレスでカプセル化して移動端末5に転送する。認証処理部430は、位置登録メッセージS1受信時に移動端末5のBinding Cacheエントリの有無を判定する認証判定処理部431、移動端末5のBinding Cacheエントリがない場合に、認証情報管理装置7から認証情報を取得する認証情報送受信処理部432、認証情報管理装置7から取得した認証情報、またはBinding Cache4210に格納された認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合する照合処理部433から構成される。
【0012】
図3に、上記ホームエージェント4のBinding Cache管理部421で管理するBinding Cache4210の構成例を示す。Binding Cache4210は、当該ホームエージェント4の管理対象である各移動端末毎に、ホームアドレスと気付けアドレスの対応、有効期間(Life time)、その他必要な情報に加えて、認証情報管理装置7から取得した認証情報を格納している。該Binding Cache4210の一つのエントリが一つの移動端末をに対応する。ここで、該Binding Cacheエントリ中の認証情報が本発明で付加されたもので、それ以外のホームアドレス、気付けアドレス、Life time等は従来と同様である。
【0013】
ホームエージェント4は、Binding Cache管理部421にて一定期間毎にBinding Cache4210を監視して、Life timeが満了したエントリを削除する。この削除契機にあわせて該当エントリの認証情報も削除される。
【0014】
図4は移動端末5の構成例を示す機能ブロック図である。本移動端末5は、ホームエージェント4との位置登録メッセージS1や位置登録応答メッセージS4の送受信、相手端末6と通信する際のパケットD1を送受信するIPv6パケット送受信処理部510と、位置登録メッセージS1等のMobile IPメッセージを解釈するMobile IP処理部520と、ホームエージェント4で認証を受けるためにあらかじめ設定しておいた認証情報5300を保持し、位置登録メッセージS1に一緒に付けて送信する認証情報管理部530を具備する。この移動端末5の構成は基本的に従来と同様である。
【0015】
相手端末6は、図は省略するが、移動端末5と通信する際のパケットを送受信するIPv6パケット送受信処理部を具備する。また、相手端末6が移動端末の場合には、図4と同様の構成を具備する。
【0016】
図5は、本発明による認証情報管理装置7の構成例を示す機能ブロック図である。本認証情報管理装置7はIPv6パケット送受信処理部710、認証情報送受信処理部720、認証情報管理部730を具備する。認証情報管理部730は、本Mobile IPv6網1を運営する組織等が管理対象とする全移動端末の認証情報7300を、当該移動端末のホームアドレスを対として保持する。該認証情報管理部730では、認証情報の取得メッセージS2に含まれるホームアドレスを検索キーとして認証情報7300を検索する。IPv6パケット送受信処理部710は、ホームエージェント4からIPv6パケット化された認証情報の取得メッセージS2を受信して認証情報送受信処理部720に渡し、また、認証情報送受信処理部720から認証情報の取得応答メッセージS3を受け取ってIPv6パケット化し、ホームエージェント4へ送信する。認証情報送受信処理部720は、IPv6パケット送受信処理部710から渡された認証情報の取得要求メッセージS2を解釈し、ホームアドレスを抽出して認証情報管理部730へ渡し、該認証情報管理部730から検索された認証情報を取得し、該認証情報の取得応答メッセージS3を生成してIPv6パケット送受信処理部710へ渡す。
【0017】
図6は、本発明による認証情報管理装置7の別の構成例を示す機能ブロック図である。図6において、IPv6パケット送受信処理部710と認証情報送受信処理部720と認証情報管理部730は先の図5と同様である。ホームエージェント管理部740は、ホーム網2に収容される全ホームエージェント4の負荷または収容数を監視し、移動端末5がICMP(Internet Control Message Protocol:インターネット制御メッセージ・プロトコル)によりHome Agent Address Discovery Requestメッセージで、収容ホームエージェントを要求してきた際に、最も負荷が低いまたは収容数が少ないホームエージェント(以下、最適ホームエージェント)を割り当てるとともに、認証情報の取得元が最適ホームエージェントかどうか判定する。
【0018】
次に、上記の各装置を用いた本発明の認証シーケンス例について説明する。
〔実施例1〕
本実施例1は、図1のMobileIPv6網において、図2の構成のホームエージェント4と図5の構成の認証情報管理装置7を用いて移動端末5の認証を行う例である。図7に本実施例1の認証シーケンスを示す。また、図8にホームエージェント4の処理フロー、図9に認証情報管理装置7(ここでは図5)の処理フローを示す。
【0019】
移動端末5が、ホーム網2から在圏網3に移動した際、在圏網Cから在圏網Dなどに移動した際、及び周期的に送信するMobile IPv6の位置登録メッセージS1を、移動端末5の位置を管理するホームエージェント4が受信したことを契機に(図8の1001)、該ホームエージェント4は、認証処理部430で移動端末5のBinding Cacheエントリの有無を判定する(図8の1002、1003)。Binding Cacheエントリがない場合(図8の1003がNo)、つまり1回目の位置登録であった場合、ホームエージェント4は、全移動端末の認証情報を保持する認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する(図8の1004)。
【0020】
認証情報管理装置7は、ホームエージェント4から認証情報の取得要求メッセージS2を受信すると(図9の2001)、該取得要求メッセージS2に含まれる移動端末5のホームアドレスを検索キーとして、認証情報管理部730で移動端末5の認証情報を検索し(図9の2002)、該移動端末5の認証情報の取得応答メッセージS3を生成して(図9の2003)、要求元のホームエージェント4に送信する(図9の2004)。
【0021】
ホームエージェントA4は認証情報管理装置7から移動端末5の認証情報の取得応答メッセージS3を受信すると(図8の1005)、照合処理部430で、認証情報管理装置7から取得した認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合する(図8の1006)。そして、照合がOKであれば、移動端末5に対し位置登録応答メッセージS4を送信する(図8の1007)。また、1回目の位置登録であるので、Binding Cache管理部421では、図3に示すように生成された移動端末5のBinding Cacheエントリに認証情報管理装置7から取得した認証情報を格納する(図8の1008、1009)。先に述べたように、Binding Cache管理部421では、一定期間毎にBinding Cacheエントリを監視しており、Life timeが満了したエントリを削除する。この時、該当エントリの認証情報も削除される。
【0022】
次に、移動端末5が、再び位置登録メッセージS1をホームエージェント4に送信してきた場合、ホームエージェント4は、上記と同じ手順(図8の1002、1003)で、移動端末5のBinding Cacheエントリの有無を判定する。2回目以降の位置登録で、該当Binding CacheエントリのLifetimeが満了しない間は、移動端末5のBinding Cacheエントリは存在する。Binding Cacheエントリがある場合(図8の1003がYes)、照合処理部430では、該当Binding Cacheエントリに格納された認証情報と位置登録メッセージS1に一緒に付けられた認証情報21とを照合する(図8の1006)。そして、照合がOKであれば、移動端末5に対し位置登録応答メッセージS4を送信する(図8の1007)。
【0023】
なお、上記照合処理の結果、照合がNGだった場合には、ホームエージェント4は、移動端末5へエラーメッセージを送信し、その時点で移動端末5のBinding Cacheエントリを削除するなどの処理を実施することになる。
【0024】
[実施例2]
本実施例2は、図1のMobile IPv6網において、図2の構成のホームエージェント4と図6の構成の認証情報管理装置7を用いて移動端末の認証を行う例である。図10及び図11に本実施例2の認証シーケンスを示す。後述するように、図10は認証情報管理装置7が割当てた最適ホームエージェントと認証情報の取得要求メッセージS2を送信したホームエージェントとが一致した場合のシーケンス、図11は不一致の場合のシーケンスである。
【0025】
図12は認証情報管理装置7(ここでは図6)の処理フローである。ホームエージェント4の処理は、先の図8の処理フローの先頭に、移動端末5がICMP Home Agent Address Discovery RequestメッセージS5で収容ホームエージェントを要求してきた際の処理が追加される以外、基本的に図8の処理フローと同様である。
【0026】
利用者の所望操作を契機に、移動端末5がICMP Home Agent Address Discovery RequestメッセージS5で、収容ホームエージェントを要求してきた際、該ICMP Home Agent Address Discovery RequestメッセージS5を受信したホームエージェント4(ホームエージェントAとする)は、認証情報管理装置7に対し最適ホームエージェント要求メッセージS6で問い合わせる。
【0027】
認証情報管理装置7は、ホームエージェントAから最適ホームエージェント要求メッセージS6を受信すると(図12の3001)、ホームエージェント管理部740でホーム網2内の全ホームエージェントから負荷または収容数の最も低いホームエージェントを最適ホームエージェント(ここではホームエージェントBとする)として割当て(図12の3002)、要求元のホームエージェントAに最適ホームエージェント応答メッセージS7で通知する(図12の3003)。また、ホームエージェント管理部540は、割当てたホームエージェントBを保持する(図12の3004)。
【0028】
ホームエージェントAは、ICMP Home Agent Address Discovery ReplyメッセージS8で移動端末5に最適ホームエージェントBを通知する。
【0029】
その後、図10に示すように、上記で割り当てられたホームエージェントBが移動端末5から位置登録メッセージS1を受信すると、それを契機に、ホームエージェントBは、実施例1での処理と同様に、認証処理部430で移動端末5のBinding Cacheエントリの有無を判定する(図8の1001〜1003)。該当Binding Cacheエントリがない場合、つまり1回目の位置登録であった場合、ホームエージェントBは全移動端末の認証情報を保持した認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する(図8の1004)。
【0030】
認証情報管理装置7は、ホームエージェントBから認証情報の取得要求メッセージS2を受信すると(図12の3005)、ホームエージェント管理部740で認証情報の取得要求メッセージS2を送信したホームエージェントBと保持してある最適ホームエージェントBを照合する(図12の3006)。図10の場合は一致するので、引き続き認証情報管理部730で移動端末5の認証情報を検索し、その認証情報を、認証情報の取得応答メッセージS3に格納して送信する(図12の3007、3008、3009)。
【0031】
認証情報の取得応答メッセージS3を受信したホームエージェントBは、該認証情報管理装置7から取得した認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合し、照合がOKであれば、移動端末5に対して位置登録応答メッセージS4を送信する。また、生成された移動端末5のBinding Cacheエントリに認証情報管理装置7から取得した認証情報を格納する。これは先の実施例1と同様である。また、2回目以降の位置登録の場合も実施例1と同様である。
【0032】
一方、図11に示すように、上記割り当てられた適当ホームエージェントB以外のホームエージェント(ここではホームエージェントA)が移動端末5からの位置登録メッセージS1を受信したとする。ホームエージェントAは、移動端末5のBinding Cacheエントリの有無を判定し、該当Binding Cacheエントリがない場合、つまり、1回目の位置登録であった場合、認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する。
【0033】
ホームエージェントAから認証情報の取得要求メッセージS2を受信した認証情報管理装置7は、ホームエージェント管理部740で認証情報の取得要求メッセージS2を送信したホームエージェントAと保持してある最適ホームエージェントBと照合する(図12の3006)。図11の場合は不一致なので、認証情報の検索処理は行わずに、認証情報の取得応答メッセージS3としてエラーメッセージをホームエージェントAに返す(図12の3010)。
【0034】
ホームエージェントAは、移動端末5に対し、位置登録応答メッセージS4としてエラーメッセージを送信する。エラーメッセージを受信した移動端末5は、例えば、あらためてホームエージェントBに対して位置登録メッセージS1を送信することになる。
【0035】
【発明の効果】
本発明にれば、移動端末の認証機能と管理機能を移動位置管理装置(ホームエージェント)と認証情報管理装置に分散させ、かつ認証情報管理装置へのアクセス数も削減することで負荷を分散させることができ、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージに対し、迅速に送信元の認証が可能となり、安全性の高いMobile
IPサービスが提供可能となる。
【図面の簡単な説明】
【図1】本発明の適用対象であるネットワーク構成例である。
【図2】本発明によるホームエージェントの一実施例の機能ブロック図である。
【図3】本発明によるホームエージェントが持つBinding Cacheの構成例である。
【図4】移動端末の一実施例の機能ブロック図である。
【図5】本発明による認証情報管理装置の一実施例の機能ブロック図である。
【図6】本発明による認証情報管理装置の別の実施例の機能ブロック図である。
【図7】本発明の実施例1における認証シーケンス図である。
【図8】本発明によるホームエージェントの一実施例の処理フロー図である。
【図9】本発明による認証情報管理装置の一実施例の処理フロー図である。
【図10】本発明の実施例2における認証シーケンス図(その1)である。
【図11】本発明の実施例2における認証シーケンス図(その2)である。
【図12】本発明による認証情報管理装置の別の実施例の処理フロー図である。
【符号の説明】
1 Mobile IPv6網
2 ホーム網
3 在圏網
4 ホームエージェント
5 移動端末
6 相手端末
7 認証情報管理装置
410,510,710 IPv6パケット送受信部
420,520 Mobile IP処理部
421 Binding Cache管理部
4210 Binding Cache
420 認証処理部
431 認証判定処理部
433 照合処理部
432,720 認証情報送受信処理部
530,730 認証情報管理部
740 ホームエージェント管理部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a mobile terminal authentication method using Mobile IPv6, and a mobile location management device (home agent) and an authentication information management device used for the authentication method.
More specifically, when a mobile terminal belonging to a home network and having a home address assigned from the home network registers a position (care-of address) of the mobile terminal with a home agent, particularly in a public network, the mobile terminal The present invention relates to a technology for performing authentication of a mobile terminal in order to prevent impersonation and falsification of location registration information.
[0002]
[Prior art]
Conventionally, in Mobile IPv4, an authentication method specified by an IETF (Internet Engineering Task Force) has been known. This is because when the mobile terminal moves from the home network to the visited network, when the mobile terminal moves from the visited network to the visited network, and when a periodically transmitted location registration message is received, the mobile location management device (home Agent) sends an authentication request to an authentication device (authentication server) having a management function and a collation function of authentication information of all mobile terminals, and the authentication device transmits the authentication information together with the authentication information attached to the location registration message. The authentication information is collated with the authentication information held by the authentication device (for example, see Non-Patent Document 1). In general, IEEE 802.1x is known as an authentication method in which an external authentication device performs holding of authentication information and collation processing of authentication information with an external authentication device.
[0003]
However, in Mobile IPv6, at the stage where the IETF is studying the Mobile IP function itself, there is no regulation on the authentication method for permitting the Mobile IP service to the mobile terminal. The IETF is currently examining the authentication method of the transmission source using Ipsec (IP Security Protocol) for the location registration message, but there is no specification on the method of realizing the deployment of the authentication function.
[0004]
[Non-patent document 1]
Mobile IP Working Group Internet Draft 23 October 2002
<URL: http: // www. ief. org / internet-drafts / draft-ietf-mobileip-aaa-key-10. txt>
[0005]
[Problems to be solved by the invention]
In the prior art, the mobile terminal is connected to the home network by using an authentication device that holds the authentication information of all mobile terminals and compares the authentication information attached to the location registration message with the authentication information held therein. Authentication processing has been performed when moving to a visited network, when moving from a visited network to a visited network, and upon receiving a location registration message transmitted periodically. In this case, the authentication device performs the authentication process each time the mobile terminal registers with the home agent, so the load is concentrated on the authentication device as the number of mobile terminals to be registered increases, and the home agent accesses the authentication device. Registration processing was delayed by the time required. In particular, in Mobile IPv6, when the home network is a plurality of home agents using the Dynamic Home Agent Address Discovery function that is being studied by the IETF, centralized management of authentication information in an external device is required, and the above-described problem is solved. It becomes even more noticeable.
[0006]
The present invention provides an authentication information management function for holding authentication information of a mobile terminal and a location registration message together with a location registration message in order to provide a secure and large-scale Mobile IP service such as a public network service in a Mobile IPv6 network. The collation processing function for the attached authentication information is distributed to the mobile location management device (home agent) and the authentication information management device, and the number of accesses to the authentication information management function every time a location registration message is received is reduced. It is another object of the present invention to provide a mobile terminal authentication method for reducing load concentration and authentication processing delay, and a mobile position management device and an authentication information management device used in the authentication method.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, in a Mobile IPv6 network environment, when a mobile terminal moves from a home network to a visited network, when a mobile terminal moves from a visited network to a visited network, and when a mobile terminal transmits periodically. When the registration message is received by the mobile location management device (home agent) that manages the location of the mobile terminal, the home agent sends the authentication information from the authentication information management device holding the authentication information of the mobile terminal. The mobile terminal that has transmitted the location registration message is authenticated by comparing the obtained authentication information with the authentication information attached to the location registration message. If it is determined that the authentication is normal, the home agent stores the authentication information acquired from the authentication information management device in the corresponding Binding Cache entry holding the correspondence between the home address and the care-of address. Thereafter, when the mobile terminal registers with the home agent, the home agent determines whether the binding cache entry is present or not, and if there is no binding cache entry for the mobile terminal, the authentication information management device transmits the binding cache entry. The authentication information is acquired, and if there is a Binding Cache entry for the mobile terminal, the mobile terminal is authenticated with the authentication information in the Binding Cache entry.
[0008]
According to the present invention, when the mobile terminal moves from the home network to the visited network, when the mobile terminal moves from the visited network to the visited network, and in response to the periodically transmitted location registration message, Authentication becomes possible, and a highly secure Mobile IP service can be provided. Further, it is possible to disperse the load concentration of the authentication processing generated in the conventional external authentication device.
[0009]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail based on preferred embodiments shown in the drawings.
FIG. 1 shows an example of a network configuration to which the present invention is applied. The Mobile IPv6 network 1 is composed of a home network 2 (home network B in FIG. 1) to which the mobile terminal 5 belongs and a visited network 3 (the visited networks C and D in FIG. 1) to which the mobile terminal 5 moves. Be composed. Although a plurality of mobile location management devices (hereinafter, home agents) 4 exist in the home network 2, only the home agent A and the home agent B are shown in FIG. As will be described later, the home agent 4 has a binding cache (Binding Cache) that holds the correspondence between the home address of the mobile terminal and the care-of address. Also, in the Mobile IPv6 network 1, there are a partner terminal 6 that communicates with the mobile terminal 5, and an authentication information management device 7 that holds authentication information of each mobile terminal.
[0010]
The mobile terminal 5 transmits the location registration message S1 to the home agent 4 (in FIG. 1, the home agent 4) when it moves from the home network B to the visited network D, when it moves from the visited network D to the visited network C, and periodically. A). The location registration message S1 is accompanied by authentication information. In the first location registration, the home agent A transmits an authentication information acquisition request message S2 of the mobile terminal 5 to the authentication information management device 7, and sends the authentication information from the authentication information management device 7 as an acquisition response request message S3. The mobile terminal 5 is authenticated by comparing the acquired authentication information with the authentication information attached to the acquisition request message S1. Upon successful authentication, the home agent A sends a location registration response message S4 to the mobile terminal 5. At this time, the authentication information acquired from the authentication information management device 7 is stored in the corresponding entry of the binding cache. On the other hand, in the second and subsequent location registrations, the home agent A authenticates the mobile terminal 5 by comparing the authentication information stored in the corresponding Binding Cache entry with the authentication information attached to the location registration message S1. . When the authentication is determined to be normal, the mobile terminal 5 communicates with the counterpart terminal 6 via the home agent A, so that transmission / reception of the packets D1, D2, etc. becomes possible.
[0011]
FIG. 2 is a functional block diagram showing a configuration example of the home agent 4 according to the present invention. The home agent 4 is roughly divided into an IPv6 packet transmission / reception processing unit 410, a Mobile IP processing unit 420, and an authentication processing unit 430. The IPv6 packet transmission / reception processing unit 410 transmits and receives an IPv6 packet from the mobile terminal 5 and the partner terminal 6, receives an IPv6 packetized location registration message S1 from the mobile terminal 5, and sends a location registration response message S4 to the mobile terminal 5. Transmission and reception of the authentication information acquisition request message S2 and the authentication information acquisition response message S3 with the authentication information management device 7. The authentication information acquisition request message S2 to the authentication information management device 7 includes the home address of the mobile terminal 5. The Mobile IP processing unit 420 has a Binding Cache management unit 421 that interprets the Mobile IP message such as the location registration message S1 and manages the Binding Cache 4210 indicating the moving position of the mobile terminal 5, and based on the Binding Cache 4210 based on the Binding Cache 4210. 6 is encapsulated with the care-of address and transferred to the mobile terminal 5. The authentication processing unit 430 determines whether or not there is a Binding Cache entry of the mobile terminal 5 when receiving the location registration message S1. If there is no Binding Cache entry of the mobile terminal 5, the authentication processing unit 430 The authentication information transmission / reception processing unit 432 that obtains the authentication information obtained from the authentication information management device 7 or the authentication information stored in the binding cache 4210 and the authentication processing unit that matches the authentication information attached to the location registration message S1. 433.
[0012]
FIG. 3 shows a configuration example of the binding cache 4210 managed by the binding cache management unit 421 of the home agent 4. The Binding Cache 4210 is acquired from the authentication information management device 7 in addition to the correspondence between the home address and the care-of address, the validity period (Life time), and other necessary information for each mobile terminal managed by the home agent 4. Stores authentication information. One entry of the binding cache 4210 corresponds to one mobile terminal. Here, the authentication information in the binding cache entry is added in the present invention, and the remaining home address, care-of address, life time, and the like are the same as in the related art.
[0013]
The home agent 4 monitors the binding cache 4210 at regular intervals by the binding cache management unit 421, and deletes an entry whose life time has expired. At the same time as the deletion trigger, the authentication information of the entry is also deleted.
[0014]
FIG. 4 is a functional block diagram illustrating a configuration example of the mobile terminal 5. The mobile terminal 5 transmits and receives a location registration message S1 and a location registration response message S4 to and from the home agent 4, and transmits and receives a packet D1 when communicating with the partner terminal 6, an IPv6 packet transmission and reception processing unit 510, a location registration message S1 and the like. And a mobile IP processing unit 520 for interpreting the Mobile IP message, and authentication information management for storing authentication information 5300 set in advance to be authenticated by the home agent 4 and transmitting it together with the location registration message S1. A section 530 is provided. The configuration of the mobile terminal 5 is basically the same as the conventional one.
[0015]
Although not shown, the partner terminal 6 includes an IPv6 packet transmission / reception processing unit that transmits and receives a packet when communicating with the mobile terminal 5. When the partner terminal 6 is a mobile terminal, it has the same configuration as that of FIG.
[0016]
FIG. 5 is a functional block diagram showing a configuration example of the authentication information management device 7 according to the present invention. The authentication information management device 7 includes an IPv6 packet transmission / reception processing unit 710, an authentication information transmission / reception processing unit 720, and an authentication information management unit 730. The authentication information management unit 730 holds the authentication information 7300 of all mobile terminals to be managed by the organization or the like operating the Mobile IPv6 network 1 with the home addresses of the mobile terminals as a pair. The authentication information management unit 730 searches the authentication information 7300 using the home address included in the authentication information acquisition message S2 as a search key. The IPv6 packet transmission / reception processing unit 710 receives the authentication information acquisition message S2 in the form of an IPv6 packet from the home agent 4 and passes it to the authentication information transmission / reception processing unit 720. Also, the authentication information acquisition response from the authentication information transmission / reception processing unit 720 The message S3 is received, converted into an IPv6 packet, and transmitted to the home agent 4. The authentication information transmission / reception processing unit 720 interprets the authentication information acquisition request message S2 passed from the IPv6 packet transmission / reception processing unit 710, extracts the home address, passes the home address to the authentication information management unit 730, and sends the home address to the authentication information management unit 730. The acquired authentication information is acquired, an acquisition response message S3 of the authentication information is generated, and passed to the IPv6 packet transmission / reception processing unit 710.
[0017]
FIG. 6 is a functional block diagram showing another configuration example of the authentication information management device 7 according to the present invention. 6, an IPv6 packet transmission / reception processing unit 710, an authentication information transmission / reception processing unit 720, and an authentication information management unit 730 are the same as those in FIG. The home agent management unit 740 monitors the load or the number of accommodated home agents 4 accommodated in the home network 2, and allows the mobile terminal 5 to perform a Home Agent Address Discovery Request by ICMP (Internet Control Message Protocol). When a home agent is requested in the message, a home agent with the lowest load or the smallest number of home agents (hereinafter referred to as an optimum home agent) is allocated, and it is determined whether or not the acquisition source of the authentication information is the optimum home agent.
[0018]
Next, an example of an authentication sequence of the present invention using the above-described devices will be described.
[Example 1]
The first embodiment is an example in which the mobile terminal 5 is authenticated using the home agent 4 having the configuration shown in FIG. 2 and the authentication information management device 7 having the configuration shown in FIG. 5 in the Mobile IPv6 network shown in FIG. FIG. 7 shows an authentication sequence according to the first embodiment. FIG. 8 shows a processing flow of the home agent 4, and FIG. 9 shows a processing flow of the authentication information management device 7 (here, FIG. 5).
[0019]
When the mobile terminal 5 moves from the home network 2 to the visited network 3, when it moves from the visited network C to the visited network D, and the like, and periodically transmits the location registration message S1 of Mobile IPv6, which is transmitted to the mobile terminal 5. When the home agent 4 that manages the position of the mobile terminal 5 receives the data (1001 in FIG. 8), the home agent 4 determines in the authentication processing unit 430 whether or not the binding cache entry of the mobile terminal 5 exists (see FIG. 8). 1002, 1003). If there is no Binding Cache entry (No in 1003 in FIG. 8), that is, if it is the first location registration, the home agent 4 sends the mobile terminal to the authentication information management device 7 that holds the authentication information of all mobile terminals. The authentication information acquisition request message S2 of No. 5 is transmitted (1004 in FIG. 8).
[0020]
Upon receiving the authentication information acquisition request message S2 from the home agent 4 (2001 in FIG. 9), the authentication information management device 7 uses the home address of the mobile terminal 5 included in the acquisition request message S2 as a search key as a search key. The unit 730 searches the authentication information of the mobile terminal 5 (2002 in FIG. 9), generates an authentication information acquisition response message S3 of the mobile terminal 5 (2003 in FIG. 9), and transmits it to the requesting home agent 4. (2004 in FIG. 9).
[0021]
When the home agent A4 receives the authentication information acquisition response message S3 of the mobile terminal 5 from the authentication information management device 7 (1005 in FIG. 8), the collation processing unit 430 uses the authentication information acquired from the authentication information management device 7 and the location registration. The authentication information is collated with the authentication information attached to the message S1 (1006 in FIG. 8). If the collation is OK, a location registration response message S4 is transmitted to the mobile terminal 5 (1007 in FIG. 8). Further, since this is the first location registration, the binding cache management unit 421 stores the authentication information acquired from the authentication information management device 7 in the binding cache entry of the mobile terminal 5 generated as shown in FIG. 8, 1008, 1009). As described above, the binding cache management unit 421 monitors binding cache entries at regular intervals, and deletes entries for which the lifetime has expired. At this time, the authentication information of the corresponding entry is also deleted.
[0022]
Next, when the mobile terminal 5 transmits the location registration message S1 to the home agent 4 again, the home agent 4 performs the same procedure (1002 and 1003 in FIG. 8) of the binding cache entry of the mobile terminal 5 as described above. Determine the presence or absence. In the second and subsequent location registrations, the Binding Cache entry of the mobile terminal 5 exists while the Lifetime of the corresponding Binding Cache entry does not expire. If there is a Binding Cache entry (1003 in FIG. 8 is Yes), the collation processing unit 430 collates the authentication information stored in the Binding Cache entry with the authentication information 21 attached to the location registration message S1 ( 1006 in FIG. 8). If the collation is OK, a location registration response message S4 is transmitted to the mobile terminal 5 (1007 in FIG. 8).
[0023]
As a result of the collation processing, if the collation is unacceptable, the home agent 4 transmits an error message to the mobile terminal 5 and executes processing such as deleting the Binding Cache entry of the mobile terminal 5 at that time. Will do.
[0024]
[Example 2]
The second embodiment is an example in which a mobile terminal is authenticated in the Mobile IPv6 network of FIG. 1 using the home agent 4 having the configuration of FIG. 2 and the authentication information management device 7 having the configuration of FIG. 10 and 11 show an authentication sequence according to the second embodiment. As will be described later, FIG. 10 shows a sequence when the optimum home agent assigned by the authentication information management device 7 matches the home agent that has transmitted the authentication information acquisition request message S2, and FIG. 11 shows a sequence when it does not match. .
[0025]
FIG. 12 is a processing flow of the authentication information management device 7 (here, FIG. 6). The processing of the home agent 4 is basically the same as that of the processing flow of FIG. 8 except that the processing when the mobile terminal 5 requests the accommodated home agent by the ICMP Home Agent Address Discovery Request message S5 is added. This is the same as the processing flow of FIG.
[0026]
When the mobile terminal 5 requests the accommodating home agent with the ICMP Home Agent Address Discovery Request message S5 triggered by the user's desired operation, the home agent 4 (home agent 4) that has received the ICMP Home Agent Address Discovery Request message S5 A) makes an inquiry to the authentication information management device 7 with an optimum home agent request message S6.
[0027]
Upon receiving the optimum home agent request message S6 from the home agent A (3001 in FIG. 12), the authentication information management device 7 causes the home agent management unit 740 to select a home with the lowest load or accommodation number from all home agents in the home network 2. The agent is assigned as an optimal home agent (here, home agent B) (3002 in FIG. 12), and the requesting home agent A is notified with an optimal home agent response message S7 (3003 in FIG. 12). The home agent management unit 540 holds the assigned home agent B (3004 in FIG. 12).
[0028]
The home agent A notifies the mobile terminal 5 of the optimal home agent B by using an ICMP Home Agent Address Discovery Reply message S8.
[0029]
Thereafter, as shown in FIG. 10, when the home agent B assigned above receives the location registration message S1 from the mobile terminal 5, the home agent B receives the location registration message S1 in the same manner as the processing in the first embodiment. The authentication processing unit 430 determines whether or not the binding cache entry of the mobile terminal 5 exists (1001 to 1003 in FIG. 8). If there is no corresponding Binding Cache entry, that is, if it is the first location registration, the home agent B sends an authentication information acquisition request message for the mobile terminal 5 to the authentication information management device 7 that holds the authentication information of all mobile terminals. S2 is transmitted (1004 in FIG. 8).
[0030]
Upon receiving the authentication information acquisition request message S2 from the home agent B (3005 in FIG. 12), the authentication information management device 7 holds the home agent B that transmitted the authentication information acquisition request message S2 in the home agent management unit 740. The optimal home agent B is collated (3006 in FIG. 12). 10, the authentication information management unit 730 continuously searches for authentication information of the mobile terminal 5, stores the authentication information in the authentication information acquisition response message S3, and transmits it (3007 in FIG. 12). 3008, 3009).
[0031]
The home agent B, which has received the authentication information acquisition response message S3, compares the authentication information acquired from the authentication information management device 7 with the authentication information attached to the location registration message S1. Sends a location registration response message S4 to the mobile terminal 5. In addition, the authentication information acquired from the authentication information management device 7 is stored in the generated binding cache entry of the mobile terminal 5. This is the same as in the first embodiment. The case of the second and subsequent location registrations is the same as in the first embodiment.
[0032]
On the other hand, as shown in FIG. 11, it is assumed that a home agent (here, home agent A) other than the assigned appropriate home agent B receives the location registration message S1 from the mobile terminal 5. Home agent A determines the presence or absence of a binding cache entry of mobile terminal 5, and if there is no corresponding binding cache entry, that is, if it is the first location registration, authentication information management device 7 notifies mobile terminal 5 of mobile terminal 5. An authentication information acquisition request message S2 is transmitted.
[0033]
Upon receiving the authentication information acquisition request message S2 from the home agent A, the authentication information management device 7 transmits the authentication information acquisition request message S2 by the home agent management unit 740 to the home agent A and the optimal home agent B stored therein. Collation is performed (3006 in FIG. 12). In the case of FIG. 11, there is no match, so that an authentication information retrieval process is not performed, and an error message is returned to the home agent A as an authentication information acquisition response message S3 (3010 in FIG. 12).
[0034]
Home agent A transmits an error message to mobile terminal 5 as location registration response message S4. The mobile terminal 5 that has received the error message transmits a location registration message S1 to the home agent B again, for example.
[0035]
【The invention's effect】
According to the present invention, the authentication function and the management function of the mobile terminal are distributed to the mobile location management device (home agent) and the authentication information management device, and the number of accesses to the authentication information management device is reduced to distribute the load. The sender can be quickly authenticated when the mobile terminal moves from the home network to the visited network, when it moves from the visited network to the visited network, and for periodically transmitted location registration messages. And highly secure Mobile
IP service can be provided.
[Brief description of the drawings]
FIG. 1 is an example of a network configuration to which the present invention is applied.
FIG. 2 is a functional block diagram of an embodiment of a home agent according to the present invention.
FIG. 3 is a configuration example of a binding cache of a home agent according to the present invention.
FIG. 4 is a functional block diagram of one embodiment of a mobile terminal.
FIG. 5 is a functional block diagram of an embodiment of an authentication information management device according to the present invention.
FIG. 6 is a functional block diagram of another embodiment of the authentication information management device according to the present invention.
FIG. 7 is an authentication sequence diagram according to the first embodiment of the present invention.
FIG. 8 is a processing flow diagram of an embodiment of a home agent according to the present invention.
FIG. 9 is a processing flowchart of an embodiment of an authentication information management device according to the present invention.
FIG. 10 is an authentication sequence diagram (part 1) according to the second embodiment of the present invention.
FIG. 11 is an authentication sequence diagram (part 2) according to the second embodiment of the present invention.
FIG. 12 is a processing flowchart of another embodiment of the authentication information management device according to the present invention.
[Explanation of symbols]
1 Mobile IPv6 network 2 Home network 3 Visited network 4 Home agent 5 Mobile terminal 6 Destination terminal 7 Authentication information management devices 410, 510, 710 IPv6 packet transmission / reception units 420, 520 Mobile IP processing unit 421 Binding Cache management unit 4210 Binding Cache
420 authentication processing unit 431 authentication determination processing unit 433 collation processing units 432, 720 authentication information transmission / reception processing units 530, 730 authentication information management unit 740 home agent management unit

Claims (10)

Mobile IPv6網における移動端末の認証方法であって、移動端末の位置を管理する移動位置管理装置(以下、ホームエージェント)が、移動端末が送信する位置登録メッセージを受信すると、該移動端末の認証情報を保持した認証情報管理装置から認証情報を取得し、該取得した認証情報と前記位置登録メッセージに付けられた認証情報とを照合することにより、前記位置登録メッセージの送信元移動端末を認証することを特徴とする移動端末の認証方法。An authentication method of a mobile terminal in a Mobile IPv6 network, wherein a mobile location management device (hereinafter, a home agent) for managing the location of the mobile terminal receives a location registration message transmitted by the mobile terminal, the authentication information of the mobile terminal. Authenticating the mobile terminal that transmitted the location registration message by acquiring the authentication information from the authentication information management apparatus holding the authentication information, and comparing the acquired authentication information with the authentication information attached to the location registration message. A method for authenticating a mobile terminal, comprising: 請求項1記載の移動端末の認証方法において、前記ホームエージェントは、認証が正常と判断された場合に、前記認証情報管理装置から取得した認証情報を、前記移動端末のホームアドレスと気付けアドレスの対応関係を保持したBinding Cacheエントリに格納することを特徴とする移動端末の認証方法。2. The mobile terminal authentication method according to claim 1, wherein, when the authentication is determined to be normal, the home agent associates the authentication information acquired from the authentication information management device with a home address of the mobile terminal and a care-of address. A method for authenticating a mobile terminal, wherein the authentication method is stored in a binding cache entry holding a relationship. 請求項2記載の移動端末の認証方法において、前記ホームエージェントは、前記移動端末からの位置登録メッセージを受信すると、前記Binding Cacheエントリの有無を判断し、該移動端末のBinding Cacheエントリがない場合に、前記認証情報管理装置から認証情報を取得し、該移動端末のBinding Cacheエントリがある場合には、該Binding Cacheエントリに格納された認証情報と前記位置登録メッセージにつけられた認証情報とを照合することにより、前記位置登録メッセージの送信元移動端末を認証することを特徴とする移動端末の認証方法。3. The mobile terminal authentication method according to claim 2, wherein the home agent receives the location registration message from the mobile terminal, determines whether the binding cache entry exists, and determines whether the binding cache entry does not exist for the mobile terminal. Acquiring the authentication information from the authentication information management device, and if there is a Binding Cache entry of the mobile terminal, collates the authentication information stored in the Binding Cache entry with the authentication information attached to the location registration message. A mobile terminal authentication method, comprising: authenticating a mobile terminal that has transmitted the location registration message. 請求項1乃至3のいずれか1項に記載の移動端末の認証方法において、前記ホームエージェントが前記認証情報管理装置から認証情報を取得する際に、該ホームエージェントからホームアドレスを通知し、前記認証情報管理装置は前記ホームアドレスを検索キーとして認証情報を検索し、検索された認証情報を前記ホームエージェントに送信することを特徴とする移動端末の認証方法。4. The authentication method for a mobile terminal according to claim 1, wherein the home agent notifies a home address from the home agent when the home agent acquires authentication information from the authentication information management device, and A method for authenticating a mobile terminal, wherein the information management device searches for authentication information using the home address as a search key, and transmits the searched authentication information to the home agent. 請求項1乃至3のいずれか1項に記載の移動端末の認証方法において、
前記認証情報管理装置がホーム網内の全ホームエージェントの負荷状態を監視し、前記ホームエージェントが前記移動端末からICMP Home Agent Address Discovery Requestメッセージを受信して、最も負荷が低いまたは収容数が少ないホームエージェント(以下、最適ホームエージェント)を該認証情報管理装置に問い合わせた時に、該認証情報管理装置は前記移動端末に対し最適ホームエージェントを割り当て、
ホームエージェントが前記認証情報管理装置に認証情報の取得を要求した際に、該認証情報管理装置は取得要求元のホームエージェントが最適ホームエージェントかどうかを判断し、最適ホームエージェントでない場合には認証情報を送信しないことを特徴とする移動端末の認証方法。The authentication method for a mobile terminal according to any one of claims 1 to 3,
The authentication information management device monitors the load status of all home agents in the home network, and the home agent receives an ICMP Home Agent Address Discovery Request message from the mobile terminal, and the home agent with the lowest load or the smallest number of homes is received. When inquiring an agent (hereinafter referred to as an optimum home agent) to the authentication information management device, the authentication information management device assigns an optimum home agent to the mobile terminal,
When the home agent requests the authentication information management device to acquire the authentication information, the authentication information management device determines whether the home agent of the acquisition requester is the optimal home agent. A method for authenticating a mobile terminal, wherein the mobile terminal does not transmit a password. Mobile IPv6網において、移動端末の位置を管理する移動位置管理装置であって、移動端末が送信する位置登録メッセージを受信すると、該移動端末の認証情報を保持した認証情報管理装置から認証情報を取得する手段と、前記取得した認証情報と前記位置登録メッセージに付けられた認証情報とを照合して、前記位置登録メッセージの送信元移動端末を認証する手段を具備することを特徴とする移動位置管理装置。A mobile location management device that manages the location of a mobile terminal in a Mobile IPv6 network, and obtains authentication information from an authentication information management device that holds the authentication information of the mobile terminal when receiving a location registration message transmitted by the mobile terminal. And a means for comparing the acquired authentication information with the authentication information attached to the location registration message to authenticate the source mobile terminal of the location registration message. apparatus. 請求項6記載の移動位置管理装置において、
移動端末のホームアドレスと気付けアドレスの対応関係を保持したBinding Cacheを備え、
認証が正常と判断された場合に、前記認証情報管理装置から取得した認証情報を、前記Binding Cacheの該当エントリに格納し、該Binding Cacheエントリの削除契機にあわせて、該認証情報を削除することを特徴とする移動位置管理装置。The moving position management device according to claim 6,
A binding cache that holds the correspondence between the home address of the mobile terminal and the care-of address,
When the authentication is determined to be normal, the authentication information acquired from the authentication information management device is stored in a corresponding entry of the binding cache, and the authentication information is deleted in response to the deletion of the binding cache entry. A movement position management device characterized by the above-mentioned. 請求項7記載の移動位置管理装置において、前記移動端末からの位置登録メッセージを受信すると、前記Binding Cacheエントリの有無を判断し、該移動端末のBinding Cacheエントリがある場合には、該Binding Cacheエントリに格納された認証情報と前記移動端末からの位置登録メッセージに付けられた認証情報とを照合することを特徴とする移動位置管理装置。8. The mobile location management device according to claim 7, wherein upon receiving a location registration message from the mobile terminal, the presence / absence of the Binding Cache entry is determined, and if there is a Binding Cache entry for the mobile terminal, the Binding Cache entry is present. A mobile location management device for comparing the authentication information stored in the mobile terminal with authentication information attached to a location registration message from the mobile terminal. Mobile IPv6網において、移動端末の位置を管理する移動位置管理装置であって、前記移動端末の認証情報をホームアドレスと対に保持する手段と、移動端末の位置を管理する移動位置管理装置(以下、ホームエージェント)から移動端末のホームアドレスが含まれた認証情報の取得要求を受信し、前記ホームアドレスを検索キーとして認証情報を検索し、検索された認証情報を前記ホームエージェントに送信する手段を具備することを特徴とする認証情報管理装置。In a Mobile IPv6 network, a mobile location management device for managing the location of a mobile terminal, means for holding authentication information of the mobile terminal in pair with a home address, and a mobile location management device for managing the location of the mobile terminal Means for receiving authentication information including the home address of the mobile terminal from the home agent), searching for authentication information using the home address as a search key, and transmitting the searched authentication information to the home agent. An authentication information management device, comprising: 請求項9記載の認証情報管理装置において、ホーム網内のホームエージェントの負荷または移動端末の収容数を監視し、ホームエージェントからの移動端末の収容ホームエージェントの問い合わせに対して、負荷が低いまたは収容数が少ない最適ホームエージェントを割り当て、その後のホームエージェントからの認証情報の取得要求に対して、要求元のホームエージェントが最適ホームエージェントかどうかを判断し、最適ホームエージェントでない場合には認証情報を前記ホームエージェントに送信しないようにする手段を備えることを特徴とする認証情報管理装置。10. The authentication information management device according to claim 9, wherein the load of the home agent in the home network or the number of accommodated mobile terminals is monitored, and when the home agent inquires about the accommodated home agent of the mobile terminal, the load is low or accommodated. A small number of optimal home agents are allocated, and in response to a request for acquiring authentication information from the home agent, it is determined whether or not the requesting home agent is the optimal home agent. An authentication information management device comprising means for preventing transmission to a home agent.
JP2003045427A 2003-02-24 2003-02-24 Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus Pending JP2004260243A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003045427A JP2004260243A (en) 2003-02-24 2003-02-24 Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003045427A JP2004260243A (en) 2003-02-24 2003-02-24 Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus

Publications (1)

Publication Number Publication Date
JP2004260243A true JP2004260243A (en) 2004-09-16

Family

ID=33112228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003045427A Pending JP2004260243A (en) 2003-02-24 2003-02-24 Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus

Country Status (1)

Country Link
JP (1) JP2004260243A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100667284B1 (en) 2005-02-24 2007-01-12 삼성전자주식회사 Authentication Method in Network System and System Thereof
JPWO2006035871A1 (en) * 2004-09-30 2008-05-15 松下電器産業株式会社 Communication system, mobile terminal and authentication server
CN1988552B (en) * 2005-12-20 2010-11-10 中国电信股份有限公司 Method for automatic identifying and configuring terminal

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006035871A1 (en) * 2004-09-30 2008-05-15 松下電器産業株式会社 Communication system, mobile terminal and authentication server
JP4672670B2 (en) * 2004-09-30 2011-04-20 パナソニック株式会社 Communication system, mobile terminal and authentication server
KR100667284B1 (en) 2005-02-24 2007-01-12 삼성전자주식회사 Authentication Method in Network System and System Thereof
CN1988552B (en) * 2005-12-20 2010-11-10 中国电信股份有限公司 Method for automatic identifying and configuring terminal

Similar Documents

Publication Publication Date Title
JP3557056B2 (en) Packet inspection device, mobile computer device, and packet transfer method
JP4727126B2 (en) Providing secure network access for short-range wireless computing devices
Zhu et al. Service discovery in pervasive computing environments
US7475241B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7805605B2 (en) Server, terminal control device and terminal authentication method
US8214537B2 (en) Domain name system using dynamic DNS and global address management method for dynamic DNS server
US20070113269A1 (en) Controlling access to a network using redirection
US7228131B2 (en) IPv6/IPv4 tunneling method
JPH1051449A (en) Mobile computer support system, its management server, its terminal equipment and address conversion method
US7173933B1 (en) System and method for providing source awareness in a network environment
US7424538B2 (en) Service control network system
KR100667284B1 (en) Authentication Method in Network System and System Thereof
KR100522600B1 (en) Router for providing linkage with mobile node, and the method thereof
JP7135206B2 (en) access authentication
JP4750750B2 (en) Packet transfer system and packet transfer method
JP4881672B2 (en) Communication device and communication control program
JP2004260243A (en) Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus
JP2008244765A (en) Dynamic host configuration protocol server, and ip address assignment method
Vettorello et al. Some notes on security in the service location protocol version 2 (slpv2)
JP2003244746A (en) Gateway, position registration method thereof, authentication method, position management method, program, and recording medium
Biagioni Mobility and address freedom in AllNet
JP2003324457A (en) Access control apparatus, method, program and recording medium
Zugenmaier FLASCHE–a mechanism providing anonymity for mobile users
JP4351101B2 (en) Home agent device and mobile node location information registration method
KR20070122053A (en) System and method for authenticating roaming mobile node based on mipv6

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060927

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070207