JP2004260243A - Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus - Google Patents
Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus Download PDFInfo
- Publication number
- JP2004260243A JP2004260243A JP2003045427A JP2003045427A JP2004260243A JP 2004260243 A JP2004260243 A JP 2004260243A JP 2003045427 A JP2003045427 A JP 2003045427A JP 2003045427 A JP2003045427 A JP 2003045427A JP 2004260243 A JP2004260243 A JP 2004260243A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- mobile terminal
- home agent
- management device
- home
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、Mobile IPv6での移動端末の認証方法、並びにこの認証方法に用いる移動位置管理装置(ホームエージェント)及び認証情報管理装置に関するものである。
より詳細には、ホーム網に属し、そのホーム網から払い出されたホームアドレスを持つ移動端末が、特に公衆網において、移動端末の位置(気付けアドレス)をホームエージェントに登録する際に、移動端末のなりすましや位置登録情報の改ざんを防止するために移動端末の認証を行う技術に関する。
【0002】
【従来の技術】
従来、Mobile IPv4では、IETF(Internet Engineering Task Force:インターネット技術標準化委員会)で規定されている認証方式が知られている。これは、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージの受信を契機に、移動位置管理装置(ホームエージェント)が、全移動端末の認証情報の管理機能と照合機能を具備する認証装置(認証サーバ)に対して認証要求を送信し、該認証装置において、位置登録メッセージに一緒に付けれた認証情報と該認証装置で保持された認証情報とを照合するというものである(例えば、非特許文献1参照)。また、一般に認証情報の保持と認証情報の照合処理を外部の認証装置で行う認証方式としては、IEEE802.1xが知られている。
【0003】
しかし、Mobile IPv6においては、IETFでもMobile IP機能自体の検討が進められている段階で、移動端末に対しMobile IPサービスを許可するかどうかの認証方式に関しては規定がなく、また、移動端末からの位置登録メッセージに対するIpsec(IP Security Protocol)を用いた送信元の認証方式についてはIETFで現在検討されているが、認証機能の配備等の実現方式に関しては規定がない。
【0004】
【非特許文献1】
Mobile IP Working Group Internet Draft 23 October 2002
<URL:http://www.ietf.org/internet−drafts/draft−ietf−mobileip−aaa− key−10.txt>
【0005】
【発明が解決しようとする課題】
従来の技術では、全移動端末の認証情報を保持し、位置登録メッセージに一緒に付けられた認証情報と内部で保持された認証情報とを照合する認証装置を用いて、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージの受信を契機に認証処理が行われていた。その場合、移動端末がホームエージェントに位置登録する毎に認証装置で認証処理を行っていたために、位置登録する移動端末数が多くなるほど認証装置に負荷が集中し、またホームエージェントから認証装置にアクセスする時間分、位置登録処理が遅延していた。特にMobile IPv6においては、ホーム網をIETFで検討されているDynamic Home Agent Address Discovery機能を用いた複数ホームエージェントとする場合には、外部装置での認証情報の一元管理が必要となり、上記の課題が一層顕著になる。
【0006】
本発明は、Mobile IPv6網において、例えば公衆網サービスのようなセキュアかつ大規模なMobile IPサービスを提供するために、移動端末の認証情報を保持する認証情報管理機能と、位置登録メッセージに一緒に付けられた認証情報との照合処理機能を移動位置管理装置(ホームエージェント)と認証情報管理装置とに分散配備し、且つ位置登録メッセージ受信毎の認証情報管理機能へのアクセス数を削減することで、負荷集中や認証処理遅延を軽減する移動端末の認証方法並びにこの認証方法に用いた移動位置管理装置及び認証情報管理装置を提供することを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するため、本発明では、Mobile IPv6ネットワーク環境において、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージを、該移動端末の位置を管理する移動位置管理装置(ホームエージェント)が受信した時を契機に、該ホームエージェントが、該移動端末の認証情報を保持した認証情報管理装置から認証情報を取得し、該取得した該認証情報と前記位置登録メッセージに一緒に付けられた認証情報とを照合することにより位置登録メッセージの送信元移動端末を認証する。そして、認証が正常と判断された場合には、ホームエージェントは、前記認証情報管理装置から取得した認証情報を、ホームアドレスと気付けアドレスの対応関係を保持した該当Binding Cacheエントリに格納する。その後、該移動端末が前記ホームエージェントに対し位置登録する際、該ホームエージェントは、前記Binding Cacheエントリの有無を判断し、該移動端末のBinding Cacheエントリがない場合には、前記認証情報管理装置から認証情報を取得するが、該移動端末のBinding Cacheエントリがある場合には、該Binding Cacheエントリにある認証情報で移動端末を認証する。
【0008】
本発明によれば、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージに対し、ホームエージェントにて送信元の認証が可能となり、安全性の高いMobile IPサービスが提供可能となる。さらに従来の外部の認証装置で発生した認証処理の負荷集中を分散させることが可能となる。
【0009】
【発明の実施の形態】
以下、本発明の実施の形態を図面に示す好適実施例に基づいて詳細に説明する。
図1に本発明の適用対象であるネットワーク構成例を示す。Mobile IPv6網1は、移動端末5が帰属するホーム網2(図1ではホーム網B)と移動端末5の移動先である在圏網3(図1では在圏網C、D)のネットワークから構成される。ホーム網2には複数の移動位置管理装置(以下、ホームエージェント)4が存在するが、図1ではホームエージェントAとホームエージェントBのみを示している。後述するように、ホームエージェント4は、移動端末のホームアドレスと気付けアドレスの対応を保持したバインディングキャッシュ(Binding Cache)を具備している。また、本Mobile IPv6網1には、移動端末5と通信する相手端末6、各移動端末の認証情報を保持する認証情報管理装置7が存在する。
【0010】
移動端末5は、ホーム網Bから在圏網Dに移動した際、在圏網Dから在圏網Cに移動際、及び、周期的に位置登録メッセージS1をホームエージェント4(図1ではホームエージェントA)に送信する。この位置登録メッセージS1には認証情報が一緒に付けられている。1回目の位置登録では、ホームエージェントAは、認証情報管理装置7に対して移動端末5の認証情報の取得要求メッセージS2を送信し、認証情報管理装置7から取得応答要求メッセージS3として認証情報を取得し、該取得した認証情報と取得要求メッセージS1に付けられた認証情報とを照合することにより、移動端末5を認証する。認証がとれると、ホームエージェントAは、移動端末5に対して位置登録応答メッセージS4を送信する。また、この時、認証情報管理装置7から取得した認証情報をBinding Cacheの該当エントリに格納する。一方、2回目以降の位置登録では、ホームエージェントAは、該当Binding Cacheエントリに格納されている認証情報と位置登録メッセージS1に付けられた認証情報とを照合することにより、移動端末5を認証する。認証が正常と判断された場合、移動端末5はホームエージェントAを介し、相手端末6と通信してパケットD1、D2等の送受信が可能になる。
【0011】
図2は本発明によるホームエージェント4の構成例を示す機能ブロック図である。本ホームエージェント4はIPv6パケット送受信処理部410、MobileIP処理部420、認証処理部430に大別される。IPv6パケット送受信処理部410は、移動端末5や相手端末6からのIPv6パケットの送受信、移動端末5からのIPv6パケット化された位置登録メッセージS1の受信や移動端末5への位置登録応答メッセージS4の送信、認証情報管理装置7と認証情報の取得要求メッセージS2や認証情報の取得応答メッセージS3を送受信する。認証情報管理装置7への認証情報の取得要求メッセージS2には、移動端末5のホームアドレスを含める。Mobile IP処理部420は、位置登録メッセージS1等のMobile IPメッセージを解釈するとともに、移動端末5の移動位置を示したBinding Cache4210を管理するBinding Cache管理部421を持ち、そのBinding Cache4210に基づき相手端末6からのホームアドレス宛のパケットを気付けアドレスでカプセル化して移動端末5に転送する。認証処理部430は、位置登録メッセージS1受信時に移動端末5のBinding Cacheエントリの有無を判定する認証判定処理部431、移動端末5のBinding Cacheエントリがない場合に、認証情報管理装置7から認証情報を取得する認証情報送受信処理部432、認証情報管理装置7から取得した認証情報、またはBinding Cache4210に格納された認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合する照合処理部433から構成される。
【0012】
図3に、上記ホームエージェント4のBinding Cache管理部421で管理するBinding Cache4210の構成例を示す。Binding Cache4210は、当該ホームエージェント4の管理対象である各移動端末毎に、ホームアドレスと気付けアドレスの対応、有効期間(Life time)、その他必要な情報に加えて、認証情報管理装置7から取得した認証情報を格納している。該Binding Cache4210の一つのエントリが一つの移動端末をに対応する。ここで、該Binding Cacheエントリ中の認証情報が本発明で付加されたもので、それ以外のホームアドレス、気付けアドレス、Life time等は従来と同様である。
【0013】
ホームエージェント4は、Binding Cache管理部421にて一定期間毎にBinding Cache4210を監視して、Life timeが満了したエントリを削除する。この削除契機にあわせて該当エントリの認証情報も削除される。
【0014】
図4は移動端末5の構成例を示す機能ブロック図である。本移動端末5は、ホームエージェント4との位置登録メッセージS1や位置登録応答メッセージS4の送受信、相手端末6と通信する際のパケットD1を送受信するIPv6パケット送受信処理部510と、位置登録メッセージS1等のMobile IPメッセージを解釈するMobile IP処理部520と、ホームエージェント4で認証を受けるためにあらかじめ設定しておいた認証情報5300を保持し、位置登録メッセージS1に一緒に付けて送信する認証情報管理部530を具備する。この移動端末5の構成は基本的に従来と同様である。
【0015】
相手端末6は、図は省略するが、移動端末5と通信する際のパケットを送受信するIPv6パケット送受信処理部を具備する。また、相手端末6が移動端末の場合には、図4と同様の構成を具備する。
【0016】
図5は、本発明による認証情報管理装置7の構成例を示す機能ブロック図である。本認証情報管理装置7はIPv6パケット送受信処理部710、認証情報送受信処理部720、認証情報管理部730を具備する。認証情報管理部730は、本Mobile IPv6網1を運営する組織等が管理対象とする全移動端末の認証情報7300を、当該移動端末のホームアドレスを対として保持する。該認証情報管理部730では、認証情報の取得メッセージS2に含まれるホームアドレスを検索キーとして認証情報7300を検索する。IPv6パケット送受信処理部710は、ホームエージェント4からIPv6パケット化された認証情報の取得メッセージS2を受信して認証情報送受信処理部720に渡し、また、認証情報送受信処理部720から認証情報の取得応答メッセージS3を受け取ってIPv6パケット化し、ホームエージェント4へ送信する。認証情報送受信処理部720は、IPv6パケット送受信処理部710から渡された認証情報の取得要求メッセージS2を解釈し、ホームアドレスを抽出して認証情報管理部730へ渡し、該認証情報管理部730から検索された認証情報を取得し、該認証情報の取得応答メッセージS3を生成してIPv6パケット送受信処理部710へ渡す。
【0017】
図6は、本発明による認証情報管理装置7の別の構成例を示す機能ブロック図である。図6において、IPv6パケット送受信処理部710と認証情報送受信処理部720と認証情報管理部730は先の図5と同様である。ホームエージェント管理部740は、ホーム網2に収容される全ホームエージェント4の負荷または収容数を監視し、移動端末5がICMP(Internet Control Message Protocol:インターネット制御メッセージ・プロトコル)によりHome Agent Address Discovery Requestメッセージで、収容ホームエージェントを要求してきた際に、最も負荷が低いまたは収容数が少ないホームエージェント(以下、最適ホームエージェント)を割り当てるとともに、認証情報の取得元が最適ホームエージェントかどうか判定する。
【0018】
次に、上記の各装置を用いた本発明の認証シーケンス例について説明する。
〔実施例1〕
本実施例1は、図1のMobileIPv6網において、図2の構成のホームエージェント4と図5の構成の認証情報管理装置7を用いて移動端末5の認証を行う例である。図7に本実施例1の認証シーケンスを示す。また、図8にホームエージェント4の処理フロー、図9に認証情報管理装置7(ここでは図5)の処理フローを示す。
【0019】
移動端末5が、ホーム網2から在圏網3に移動した際、在圏網Cから在圏網Dなどに移動した際、及び周期的に送信するMobile IPv6の位置登録メッセージS1を、移動端末5の位置を管理するホームエージェント4が受信したことを契機に(図8の1001)、該ホームエージェント4は、認証処理部430で移動端末5のBinding Cacheエントリの有無を判定する(図8の1002、1003)。Binding Cacheエントリがない場合(図8の1003がNo)、つまり1回目の位置登録であった場合、ホームエージェント4は、全移動端末の認証情報を保持する認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する(図8の1004)。
【0020】
認証情報管理装置7は、ホームエージェント4から認証情報の取得要求メッセージS2を受信すると(図9の2001)、該取得要求メッセージS2に含まれる移動端末5のホームアドレスを検索キーとして、認証情報管理部730で移動端末5の認証情報を検索し(図9の2002)、該移動端末5の認証情報の取得応答メッセージS3を生成して(図9の2003)、要求元のホームエージェント4に送信する(図9の2004)。
【0021】
ホームエージェントA4は認証情報管理装置7から移動端末5の認証情報の取得応答メッセージS3を受信すると(図8の1005)、照合処理部430で、認証情報管理装置7から取得した認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合する(図8の1006)。そして、照合がOKであれば、移動端末5に対し位置登録応答メッセージS4を送信する(図8の1007)。また、1回目の位置登録であるので、Binding Cache管理部421では、図3に示すように生成された移動端末5のBinding Cacheエントリに認証情報管理装置7から取得した認証情報を格納する(図8の1008、1009)。先に述べたように、Binding Cache管理部421では、一定期間毎にBinding Cacheエントリを監視しており、Life timeが満了したエントリを削除する。この時、該当エントリの認証情報も削除される。
【0022】
次に、移動端末5が、再び位置登録メッセージS1をホームエージェント4に送信してきた場合、ホームエージェント4は、上記と同じ手順(図8の1002、1003)で、移動端末5のBinding Cacheエントリの有無を判定する。2回目以降の位置登録で、該当Binding CacheエントリのLifetimeが満了しない間は、移動端末5のBinding Cacheエントリは存在する。Binding Cacheエントリがある場合(図8の1003がYes)、照合処理部430では、該当Binding Cacheエントリに格納された認証情報と位置登録メッセージS1に一緒に付けられた認証情報21とを照合する(図8の1006)。そして、照合がOKであれば、移動端末5に対し位置登録応答メッセージS4を送信する(図8の1007)。
【0023】
なお、上記照合処理の結果、照合がNGだった場合には、ホームエージェント4は、移動端末5へエラーメッセージを送信し、その時点で移動端末5のBinding Cacheエントリを削除するなどの処理を実施することになる。
【0024】
[実施例2]
本実施例2は、図1のMobile IPv6網において、図2の構成のホームエージェント4と図6の構成の認証情報管理装置7を用いて移動端末の認証を行う例である。図10及び図11に本実施例2の認証シーケンスを示す。後述するように、図10は認証情報管理装置7が割当てた最適ホームエージェントと認証情報の取得要求メッセージS2を送信したホームエージェントとが一致した場合のシーケンス、図11は不一致の場合のシーケンスである。
【0025】
図12は認証情報管理装置7(ここでは図6)の処理フローである。ホームエージェント4の処理は、先の図8の処理フローの先頭に、移動端末5がICMP Home Agent Address Discovery RequestメッセージS5で収容ホームエージェントを要求してきた際の処理が追加される以外、基本的に図8の処理フローと同様である。
【0026】
利用者の所望操作を契機に、移動端末5がICMP Home Agent Address Discovery RequestメッセージS5で、収容ホームエージェントを要求してきた際、該ICMP Home Agent Address Discovery RequestメッセージS5を受信したホームエージェント4(ホームエージェントAとする)は、認証情報管理装置7に対し最適ホームエージェント要求メッセージS6で問い合わせる。
【0027】
認証情報管理装置7は、ホームエージェントAから最適ホームエージェント要求メッセージS6を受信すると(図12の3001)、ホームエージェント管理部740でホーム網2内の全ホームエージェントから負荷または収容数の最も低いホームエージェントを最適ホームエージェント(ここではホームエージェントBとする)として割当て(図12の3002)、要求元のホームエージェントAに最適ホームエージェント応答メッセージS7で通知する(図12の3003)。また、ホームエージェント管理部540は、割当てたホームエージェントBを保持する(図12の3004)。
【0028】
ホームエージェントAは、ICMP Home Agent Address Discovery ReplyメッセージS8で移動端末5に最適ホームエージェントBを通知する。
【0029】
その後、図10に示すように、上記で割り当てられたホームエージェントBが移動端末5から位置登録メッセージS1を受信すると、それを契機に、ホームエージェントBは、実施例1での処理と同様に、認証処理部430で移動端末5のBinding Cacheエントリの有無を判定する(図8の1001〜1003)。該当Binding Cacheエントリがない場合、つまり1回目の位置登録であった場合、ホームエージェントBは全移動端末の認証情報を保持した認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する(図8の1004)。
【0030】
認証情報管理装置7は、ホームエージェントBから認証情報の取得要求メッセージS2を受信すると(図12の3005)、ホームエージェント管理部740で認証情報の取得要求メッセージS2を送信したホームエージェントBと保持してある最適ホームエージェントBを照合する(図12の3006)。図10の場合は一致するので、引き続き認証情報管理部730で移動端末5の認証情報を検索し、その認証情報を、認証情報の取得応答メッセージS3に格納して送信する(図12の3007、3008、3009)。
【0031】
認証情報の取得応答メッセージS3を受信したホームエージェントBは、該認証情報管理装置7から取得した認証情報と位置登録メッセージS1に一緒に付けられた認証情報とを照合し、照合がOKであれば、移動端末5に対して位置登録応答メッセージS4を送信する。また、生成された移動端末5のBinding Cacheエントリに認証情報管理装置7から取得した認証情報を格納する。これは先の実施例1と同様である。また、2回目以降の位置登録の場合も実施例1と同様である。
【0032】
一方、図11に示すように、上記割り当てられた適当ホームエージェントB以外のホームエージェント(ここではホームエージェントA)が移動端末5からの位置登録メッセージS1を受信したとする。ホームエージェントAは、移動端末5のBinding Cacheエントリの有無を判定し、該当Binding Cacheエントリがない場合、つまり、1回目の位置登録であった場合、認証情報管理装置7に対し、移動端末5の認証情報の取得要求メッセージS2を送信する。
【0033】
ホームエージェントAから認証情報の取得要求メッセージS2を受信した認証情報管理装置7は、ホームエージェント管理部740で認証情報の取得要求メッセージS2を送信したホームエージェントAと保持してある最適ホームエージェントBと照合する(図12の3006)。図11の場合は不一致なので、認証情報の検索処理は行わずに、認証情報の取得応答メッセージS3としてエラーメッセージをホームエージェントAに返す(図12の3010)。
【0034】
ホームエージェントAは、移動端末5に対し、位置登録応答メッセージS4としてエラーメッセージを送信する。エラーメッセージを受信した移動端末5は、例えば、あらためてホームエージェントBに対して位置登録メッセージS1を送信することになる。
【0035】
【発明の効果】
本発明にれば、移動端末の認証機能と管理機能を移動位置管理装置(ホームエージェント)と認証情報管理装置に分散させ、かつ認証情報管理装置へのアクセス数も削減することで負荷を分散させることができ、移動端末がホーム網から在圏網に移動した際、在圏網から在圏網に移動した際、及び周期的に送信する位置登録メッセージに対し、迅速に送信元の認証が可能となり、安全性の高いMobile
IPサービスが提供可能となる。
【図面の簡単な説明】
【図1】本発明の適用対象であるネットワーク構成例である。
【図2】本発明によるホームエージェントの一実施例の機能ブロック図である。
【図3】本発明によるホームエージェントが持つBinding Cacheの構成例である。
【図4】移動端末の一実施例の機能ブロック図である。
【図5】本発明による認証情報管理装置の一実施例の機能ブロック図である。
【図6】本発明による認証情報管理装置の別の実施例の機能ブロック図である。
【図7】本発明の実施例1における認証シーケンス図である。
【図8】本発明によるホームエージェントの一実施例の処理フロー図である。
【図9】本発明による認証情報管理装置の一実施例の処理フロー図である。
【図10】本発明の実施例2における認証シーケンス図(その1)である。
【図11】本発明の実施例2における認証シーケンス図(その2)である。
【図12】本発明による認証情報管理装置の別の実施例の処理フロー図である。
【符号の説明】
1 Mobile IPv6網
2 ホーム網
3 在圏網
4 ホームエージェント
5 移動端末
6 相手端末
7 認証情報管理装置
410,510,710 IPv6パケット送受信部
420,520 Mobile IP処理部
421 Binding Cache管理部
4210 Binding Cache
420 認証処理部
431 認証判定処理部
433 照合処理部
432,720 認証情報送受信処理部
530,730 認証情報管理部
740 ホームエージェント管理部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a mobile terminal authentication method using Mobile IPv6, and a mobile location management device (home agent) and an authentication information management device used for the authentication method.
More specifically, when a mobile terminal belonging to a home network and having a home address assigned from the home network registers a position (care-of address) of the mobile terminal with a home agent, particularly in a public network, the mobile terminal The present invention relates to a technology for performing authentication of a mobile terminal in order to prevent impersonation and falsification of location registration information.
[0002]
[Prior art]
Conventionally, in Mobile IPv4, an authentication method specified by an IETF (Internet Engineering Task Force) has been known. This is because when the mobile terminal moves from the home network to the visited network, when the mobile terminal moves from the visited network to the visited network, and when a periodically transmitted location registration message is received, the mobile location management device (home Agent) sends an authentication request to an authentication device (authentication server) having a management function and a collation function of authentication information of all mobile terminals, and the authentication device transmits the authentication information together with the authentication information attached to the location registration message. The authentication information is collated with the authentication information held by the authentication device (for example, see Non-Patent Document 1). In general, IEEE 802.1x is known as an authentication method in which an external authentication device performs holding of authentication information and collation processing of authentication information with an external authentication device.
[0003]
However, in Mobile IPv6, at the stage where the IETF is studying the Mobile IP function itself, there is no regulation on the authentication method for permitting the Mobile IP service to the mobile terminal. The IETF is currently examining the authentication method of the transmission source using Ipsec (IP Security Protocol) for the location registration message, but there is no specification on the method of realizing the deployment of the authentication function.
[0004]
[Non-patent document 1]
Mobile IP Working Group Internet Draft 23 October 2002
<URL: http: // www. ief. org / internet-drafts / draft-ietf-mobileip-aaa-key-10. txt>
[0005]
[Problems to be solved by the invention]
In the prior art, the mobile terminal is connected to the home network by using an authentication device that holds the authentication information of all mobile terminals and compares the authentication information attached to the location registration message with the authentication information held therein. Authentication processing has been performed when moving to a visited network, when moving from a visited network to a visited network, and upon receiving a location registration message transmitted periodically. In this case, the authentication device performs the authentication process each time the mobile terminal registers with the home agent, so the load is concentrated on the authentication device as the number of mobile terminals to be registered increases, and the home agent accesses the authentication device. Registration processing was delayed by the time required. In particular, in Mobile IPv6, when the home network is a plurality of home agents using the Dynamic Home Agent Address Discovery function that is being studied by the IETF, centralized management of authentication information in an external device is required, and the above-described problem is solved. It becomes even more noticeable.
[0006]
The present invention provides an authentication information management function for holding authentication information of a mobile terminal and a location registration message together with a location registration message in order to provide a secure and large-scale Mobile IP service such as a public network service in a Mobile IPv6 network. The collation processing function for the attached authentication information is distributed to the mobile location management device (home agent) and the authentication information management device, and the number of accesses to the authentication information management function every time a location registration message is received is reduced. It is another object of the present invention to provide a mobile terminal authentication method for reducing load concentration and authentication processing delay, and a mobile position management device and an authentication information management device used in the authentication method.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, in a Mobile IPv6 network environment, when a mobile terminal moves from a home network to a visited network, when a mobile terminal moves from a visited network to a visited network, and when a mobile terminal transmits periodically. When the registration message is received by the mobile location management device (home agent) that manages the location of the mobile terminal, the home agent sends the authentication information from the authentication information management device holding the authentication information of the mobile terminal. The mobile terminal that has transmitted the location registration message is authenticated by comparing the obtained authentication information with the authentication information attached to the location registration message. If it is determined that the authentication is normal, the home agent stores the authentication information acquired from the authentication information management device in the corresponding Binding Cache entry holding the correspondence between the home address and the care-of address. Thereafter, when the mobile terminal registers with the home agent, the home agent determines whether the binding cache entry is present or not, and if there is no binding cache entry for the mobile terminal, the authentication information management device transmits the binding cache entry. The authentication information is acquired, and if there is a Binding Cache entry for the mobile terminal, the mobile terminal is authenticated with the authentication information in the Binding Cache entry.
[0008]
According to the present invention, when the mobile terminal moves from the home network to the visited network, when the mobile terminal moves from the visited network to the visited network, and in response to the periodically transmitted location registration message, Authentication becomes possible, and a highly secure Mobile IP service can be provided. Further, it is possible to disperse the load concentration of the authentication processing generated in the conventional external authentication device.
[0009]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail based on preferred embodiments shown in the drawings.
FIG. 1 shows an example of a network configuration to which the present invention is applied. The
[0010]
The
[0011]
FIG. 2 is a functional block diagram showing a configuration example of the
[0012]
FIG. 3 shows a configuration example of the
[0013]
The
[0014]
FIG. 4 is a functional block diagram illustrating a configuration example of the
[0015]
Although not shown, the
[0016]
FIG. 5 is a functional block diagram showing a configuration example of the authentication
[0017]
FIG. 6 is a functional block diagram showing another configuration example of the authentication
[0018]
Next, an example of an authentication sequence of the present invention using the above-described devices will be described.
[Example 1]
The first embodiment is an example in which the
[0019]
When the
[0020]
Upon receiving the authentication information acquisition request message S2 from the home agent 4 (2001 in FIG. 9), the authentication
[0021]
When the home agent A4 receives the authentication information acquisition response message S3 of the
[0022]
Next, when the
[0023]
As a result of the collation processing, if the collation is unacceptable, the
[0024]
[Example 2]
The second embodiment is an example in which a mobile terminal is authenticated in the Mobile IPv6 network of FIG. 1 using the
[0025]
FIG. 12 is a processing flow of the authentication information management device 7 (here, FIG. 6). The processing of the
[0026]
When the
[0027]
Upon receiving the optimum home agent request message S6 from the home agent A (3001 in FIG. 12), the authentication
[0028]
The home agent A notifies the
[0029]
Thereafter, as shown in FIG. 10, when the home agent B assigned above receives the location registration message S1 from the
[0030]
Upon receiving the authentication information acquisition request message S2 from the home agent B (3005 in FIG. 12), the authentication
[0031]
The home agent B, which has received the authentication information acquisition response message S3, compares the authentication information acquired from the authentication
[0032]
On the other hand, as shown in FIG. 11, it is assumed that a home agent (here, home agent A) other than the assigned appropriate home agent B receives the location registration message S1 from the
[0033]
Upon receiving the authentication information acquisition request message S2 from the home agent A, the authentication
[0034]
Home agent A transmits an error message to
[0035]
【The invention's effect】
According to the present invention, the authentication function and the management function of the mobile terminal are distributed to the mobile location management device (home agent) and the authentication information management device, and the number of accesses to the authentication information management device is reduced to distribute the load. The sender can be quickly authenticated when the mobile terminal moves from the home network to the visited network, when it moves from the visited network to the visited network, and for periodically transmitted location registration messages. And highly secure Mobile
IP service can be provided.
[Brief description of the drawings]
FIG. 1 is an example of a network configuration to which the present invention is applied.
FIG. 2 is a functional block diagram of an embodiment of a home agent according to the present invention.
FIG. 3 is a configuration example of a binding cache of a home agent according to the present invention.
FIG. 4 is a functional block diagram of one embodiment of a mobile terminal.
FIG. 5 is a functional block diagram of an embodiment of an authentication information management device according to the present invention.
FIG. 6 is a functional block diagram of another embodiment of the authentication information management device according to the present invention.
FIG. 7 is an authentication sequence diagram according to the first embodiment of the present invention.
FIG. 8 is a processing flow diagram of an embodiment of a home agent according to the present invention.
FIG. 9 is a processing flowchart of an embodiment of an authentication information management device according to the present invention.
FIG. 10 is an authentication sequence diagram (part 1) according to the second embodiment of the present invention.
FIG. 11 is an authentication sequence diagram (part 2) according to the second embodiment of the present invention.
FIG. 12 is a processing flowchart of another embodiment of the authentication information management device according to the present invention.
[Explanation of symbols]
1
420
Claims (10)
前記認証情報管理装置がホーム網内の全ホームエージェントの負荷状態を監視し、前記ホームエージェントが前記移動端末からICMP Home Agent Address Discovery Requestメッセージを受信して、最も負荷が低いまたは収容数が少ないホームエージェント(以下、最適ホームエージェント)を該認証情報管理装置に問い合わせた時に、該認証情報管理装置は前記移動端末に対し最適ホームエージェントを割り当て、
ホームエージェントが前記認証情報管理装置に認証情報の取得を要求した際に、該認証情報管理装置は取得要求元のホームエージェントが最適ホームエージェントかどうかを判断し、最適ホームエージェントでない場合には認証情報を送信しないことを特徴とする移動端末の認証方法。The authentication method for a mobile terminal according to any one of claims 1 to 3,
The authentication information management device monitors the load status of all home agents in the home network, and the home agent receives an ICMP Home Agent Address Discovery Request message from the mobile terminal, and the home agent with the lowest load or the smallest number of homes is received. When inquiring an agent (hereinafter referred to as an optimum home agent) to the authentication information management device, the authentication information management device assigns an optimum home agent to the mobile terminal,
When the home agent requests the authentication information management device to acquire the authentication information, the authentication information management device determines whether the home agent of the acquisition requester is the optimal home agent. A method for authenticating a mobile terminal, wherein the mobile terminal does not transmit a password.
移動端末のホームアドレスと気付けアドレスの対応関係を保持したBinding Cacheを備え、
認証が正常と判断された場合に、前記認証情報管理装置から取得した認証情報を、前記Binding Cacheの該当エントリに格納し、該Binding Cacheエントリの削除契機にあわせて、該認証情報を削除することを特徴とする移動位置管理装置。The moving position management device according to claim 6,
A binding cache that holds the correspondence between the home address of the mobile terminal and the care-of address,
When the authentication is determined to be normal, the authentication information acquired from the authentication information management device is stored in a corresponding entry of the binding cache, and the authentication information is deleted in response to the deletion of the binding cache entry. A movement position management device characterized by the above-mentioned.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003045427A JP2004260243A (en) | 2003-02-24 | 2003-02-24 | Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003045427A JP2004260243A (en) | 2003-02-24 | 2003-02-24 | Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004260243A true JP2004260243A (en) | 2004-09-16 |
Family
ID=33112228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003045427A Pending JP2004260243A (en) | 2003-02-24 | 2003-02-24 | Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004260243A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100667284B1 (en) | 2005-02-24 | 2007-01-12 | 삼성전자주식회사 | Authentication Method in Network System and System Thereof |
JPWO2006035871A1 (en) * | 2004-09-30 | 2008-05-15 | 松下電器産業株式会社 | Communication system, mobile terminal and authentication server |
CN1988552B (en) * | 2005-12-20 | 2010-11-10 | 中国电信股份有限公司 | Method for automatic identifying and configuring terminal |
-
2003
- 2003-02-24 JP JP2003045427A patent/JP2004260243A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006035871A1 (en) * | 2004-09-30 | 2008-05-15 | 松下電器産業株式会社 | Communication system, mobile terminal and authentication server |
JP4672670B2 (en) * | 2004-09-30 | 2011-04-20 | パナソニック株式会社 | Communication system, mobile terminal and authentication server |
KR100667284B1 (en) | 2005-02-24 | 2007-01-12 | 삼성전자주식회사 | Authentication Method in Network System and System Thereof |
CN1988552B (en) * | 2005-12-20 | 2010-11-10 | 中国电信股份有限公司 | Method for automatic identifying and configuring terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3557056B2 (en) | Packet inspection device, mobile computer device, and packet transfer method | |
JP4727126B2 (en) | Providing secure network access for short-range wireless computing devices | |
Zhu et al. | Service discovery in pervasive computing environments | |
US7475241B2 (en) | Methods and apparatus for dynamic session key generation and rekeying in mobile IP | |
US7805605B2 (en) | Server, terminal control device and terminal authentication method | |
US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
US20070113269A1 (en) | Controlling access to a network using redirection | |
US7228131B2 (en) | IPv6/IPv4 tunneling method | |
JPH1051449A (en) | Mobile computer support system, its management server, its terminal equipment and address conversion method | |
US7173933B1 (en) | System and method for providing source awareness in a network environment | |
US7424538B2 (en) | Service control network system | |
KR100667284B1 (en) | Authentication Method in Network System and System Thereof | |
KR100522600B1 (en) | Router for providing linkage with mobile node, and the method thereof | |
JP7135206B2 (en) | access authentication | |
JP4750750B2 (en) | Packet transfer system and packet transfer method | |
JP4881672B2 (en) | Communication device and communication control program | |
JP2004260243A (en) | Method of authenticating mobile terminal, mobile position management apparatus, and authentication information management apparatus | |
JP2008244765A (en) | Dynamic host configuration protocol server, and ip address assignment method | |
Vettorello et al. | Some notes on security in the service location protocol version 2 (slpv2) | |
JP2003244746A (en) | Gateway, position registration method thereof, authentication method, position management method, program, and recording medium | |
Biagioni | Mobility and address freedom in AllNet | |
JP2003324457A (en) | Access control apparatus, method, program and recording medium | |
Zugenmaier | FLASCHE–a mechanism providing anonymity for mobile users | |
JP4351101B2 (en) | Home agent device and mobile node location information registration method | |
KR20070122053A (en) | System and method for authenticating roaming mobile node based on mipv6 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050221 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060921 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060927 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070207 |