JP2004312517A - 経路最適化システムと方法およびプログラム - Google Patents
経路最適化システムと方法およびプログラム Download PDFInfo
- Publication number
- JP2004312517A JP2004312517A JP2003105193A JP2003105193A JP2004312517A JP 2004312517 A JP2004312517 A JP 2004312517A JP 2003105193 A JP2003105193 A JP 2003105193A JP 2003105193 A JP2003105193 A JP 2003105193A JP 2004312517 A JP2004312517 A JP 2004312517A
- Authority
- JP
- Japan
- Prior art keywords
- mobile terminal
- terminal
- session control
- packet
- route optimization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】移動端末1と相手端末2間でセッション制御サーバ5を介してセッション制御を行う際に、移動制御サーバ4による経路最適化時のバインディング情報(BU/BA)交換を端末間でエンドツーエンド(End−to−End)にセキュアに行うために用いる鍵(共有秘密鍵A)を配布し、セッション制御完了直後に、移動端末1と相手端末2でのバインディング情報の交換を可能とし、共有秘密鍵Aの生成で生じる遅延時間を抑制する。
【選択図】 図1
Description
【発明の属する技術分野】
本発明は、携帯電話やPDA(Personal Digital Assistance)等、無線通信を行う移動端末のIP(Internet Protocol)網における接続制御を行う技術に係わり、特に、移動端末の移動に伴う経路最適化処理を効率的に行うのに好適な通信制御技術に関するものである。
【0002】
【従来の技術】
近年、無線LAN(Local Area Network)を利用したホットスポット(登録商標)からのSIP(Session Initiation Protocol)を用いたVoIP(Voice over IP)サービスが注目を集めている。このVoIPサービスを提供するネットワークに対して、モバイルIP技術を適用することにより、サービスのエリアや質の拡大を図ることができる。
【0003】
例えば、携帯端末がホットスポット間を移動してインターネット内を移動するとIPアドレスが変化してしまうため、継続的な通信ができないという問題があるが、モバイルIPでは、このような問題に対処できる。
【0004】
すなわち、モバイルIPでは、本来の端末のIPアドレスであるホームアドレス、移動先のネットワークに接続するための一時的な気付アドレス、移動する端末の位置管理を行うホームエージェント、および、実際のデータの転送を行うトンネリング機能を有し、移動端末が本来所属するホームネットワークから移動先のネットワークに移動したときに気付アドレスを付与して、移動端末のデータ転送は一旦全てホームネットワークのホームエージェントに送り、そこから気付アドレス宛に再送(トンネリング)する。
【0005】
しかし、この技術では、ホームエージェントを経由するため、ネットワークの負荷増加や、ホームエージェントと移動端末間の距離が遠くなるなどの問題があり、このような問題に対処するために、最適化経路制御技術が検討されている。
【0006】
尚、移動端末の高速移動で気付アドレスが頻繁に変わることに伴う位置登録トラヒックの増大、および、移動端末の気付アドレス登録に起因するパケット損失に対処する技術として、例えば、非特許文献1に記載の技術がある。
【0007】
この技術では、複数の移動先ネットワーク(外部エージェント)を一つの外部エージェント群として登録し、その群を一つの位置登録エリアとすることで、移動端末が位置登録エリアが変わるまでは位置登録制御を行わないようにして、位置登録トラヒックの大幅な削減を図っている。また、位置登録エリア内の複数の外部エージェントからパケットを同時に送信することにより、高速移動中の移動端末への着信パケット損失の低減を図っている。
【0008】
しかし、この技術では、経路最適化を実施する際に行うセキュリティ制御に伴う負荷増大に関しての考慮がなされていない。すなわち、VoIP等のセッション制御を利用したサービスを提供するにあたっては、なりすましや盗聴、改竄等のセキュリティ脅威への対応が必要であるが、経路最適化においてもセキュリティ制御が必要である。。
【0009】
現在、セッション制御完了後にセキュアに経路最適化を実施するためには、移動端末(Mobile Node:MN)と相手端末(Correspondent Node:CN)間でバインディング情報登録(BU:Binding Update)パケットおよび応答(BA;Binding Acknowledgement)パケットを交換するが、このBU/BAパケットをセキュアに交換するために、例えば非特許文献2に記載のように、その交換前に、相手端末が移動端末の正当性を確認することが要求される。そのため、移動端末と相手端末間でバインディング情報を交換するための共有秘密鍵を生成する必要が生じる。
【0010】
非特許文献2に記載の技術は、IETF(Internet Engineering Task Force)で規定されているプロトコルであり、この技術では、バインディング情報を交換する前に、RR(Return Routability)処理を行い共有秘密鍵を生成する。
【0011】
このRR処理は、相手端末(CN)に対して正しい移動端末(MN)であることを証明するために、移動端末(MN)のホームアドレスと気付アドレスを基に移動端末(MN)と相手端末(CN)間の共有秘密鍵を生成する。
【0012】
この共有秘密鍵を生成する際、RR処理では、CoTI(Care−of Test Init)、CoT(Care−of Test)を移動端末(MN)と相手端末(CN)間で交換する。尚、生成した共有秘密鍵は、メディアパケットを交換するための共有秘密鍵とは別のものである。
【0013】
このように、この従来技術では、移動端末(MN)の移動に伴い経路最適化を行う際、移動端末(MN)と相手端末(CN)間でBU/BAパケットを交換する前に、CoTIやCoTを移動端末(MN)と相手端末(CN)間で交換して共有秘密鍵(メディアパケットを交換するための共有秘密鍵とは別の共有秘密鍵)を生成する。そのため、経路最適化を行って音声通信を開始するまでに、多くの遅延が生じる。この遅延は、音声通信や映像通信にとって、パケットロス増加につながる。また、経路最適化を実施しなければ、場合によっては遅延増加につながる。
【0014】
また、非特許文献3には、呼処理中に相手端末(CN)のIPアドレスを取得し、その直後に経路最適化を行う技術が記載されている。すなわち、移動端末(MN)発の場合は、相手端末(CN)からの発呼応答メッセージである「200OKメッセージ(パケット)」受信後、また、相手端末(CN)発の場合は、相手端末(CN)からの発呼要求メッセージである「INVITEメッセージ(パケット)」受信後に、移動端末(MN)がRR処理のCoTIを送出し、経路最適化を実行し、相手端末(CN)からのBAの受信を契機に、移動端末(MN)は発呼応答メッセージ(「200OKメッセージ(パケット)」)もしくは応答確認メッセージである「ACKメッセージ(パケット)」を送出する。
【0015】
しかし、この技術では、呼処理中に経路最適化が実行されるため、端末側における呼処理の状態管理が複雑となる。
【0016】
以上の非特許文献1〜3に記載の従来技術では、経路最適化処理時にIPsec SA(Security Association)が確立されていないので、BU/BAを交換するための鍵をRRで生成する必要が生じる。また、経路最適化がSIPシーケンスに組み込まれているので、通信開始時とハンドオーバ時で各々別パターンを定義する必要があり、状態管理が複雑となる。
【0017】
尚、非特許文献3に記載の従来技術では、通常のSIP呼処理を通して相手端末(CN)のIPアドレスを取得することができるが、非特許文献2に記載の従来技術では、相手端末(CN)のIPアドレスを何らかの手段を利用して取得する必要が生じる。
【0018】
【非特許文献1】
木村徹,小野夏子,藤井輝也,”位置登録エリアを考慮したモバイルIPの検討”,信学技報,RCS2002−29,CQ2002−29(2002−04)
【非特許文献2】
D.Johnson, C.Perkins and J.Arkko, 「“Mobility Support in Ipv6”,draft−ietf−mobileip−ipv6−19, 2002−11−4」、[平成15年3月28日検索]、インターネット<URL:http://www1.ietf.org/mail−archive/ietf−announce/Current/msg21276.html>
【非特許文献3】
D.Johnson, C.Perkins, J.Arkko,「Mobility Support in IPv6 draft−ietf−mobileip−ipv6−21.txt」、[online]、February 26, 2003、[平成15年3月28日検索]、インターネット<URL : http:www.ietf.org/internet−drafts/draft−ietf−mobileip−ipv6−21.txt>、p.20−30(「5.2 Binding Updates to Correspondent Nodes」)
【0019】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、経路最適化時にIPsecが確立されていないため、BU/BAを交換するために用いる鍵をRRで生成する必要が生じてしまい、経路最適化を行ってから音声通信を開始するまでに多くの遅延が生じてしまう点である。
【0020】
本発明の目的は、これら従来技術の課題を解決し、経路最適化の効率の向上を図ることである。
【0021】
【課題を解決するための手段】
上記目的を達成するため、本発明では、移動端末(1)と相手端末(2)間でセッション制御サーバ(5)を介してセッション制御を行う際に、移動制御サーバ(4)による経路最適化時のバインディング情報(BU/BA)交換を端末間でエンドツーエンド(End−to−End)にセキュアに行うために用いる鍵(共有秘密鍵A)を配布し、セッション制御完了直後に、移動端末(1)と相手端末(2)間で、経路最適化のためのバインディング情報の交換を可能とし、共有秘密鍵Aの生成で生じる遅延時間を抑制する。
【0022】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
【0023】
図1は、本発明に係わる経路最適化システムを設けたネットワークの構成例を示すブロック図であり、図2は、図1における経路最適化システムの処理動作例を示すシーケンス図である。
【0024】
図1において、1は携帯電話やPDA等の移動端末、2は同じく携帯電話やPDAあるいはパーソナルコンピュータ等の相手端末、3はルータ、4は移動制御サーバ、5はセッション制御サーバ、6は無線LAN、7はインターネット等のIPパケット転送網(図中「IP通信網」と記載)であり、ルータ3は移動端末1の在圏先に存在するIP網の境界に設置され、移動制御サーバ4とセッション制御サーバ5はIPパケット転送網7内に存在するネットワーク構成となっている。
【0025】
ルータ3、移動制御サーバ4、およびセッション制御サーバ5のそれぞれは、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理機能を実行する。
【0026】
移動端末1と相手端末2に関しても、同様のコンピュータ処理機能を有しており、本図1に示すように、移動端末1においては、移動制御部10とセッション制御部11および鍵生成処理部12がコンピュータ処理により実現される機能として実装されている。特に鍵生成処理部12を設けることにより、本発明に係わる経路最適化システムとしての処理動作が実行される。
【0027】
図1のネットワークシステムにおいて、移動端末1および相手端末2は、SIP(Session Initiation Protocol)やH.323のようなIP網を介して音声、動画、データのようなマルチメディアセッションの確立や維持、終了を行うためのセッション制御プロトコルをサポートすると共に、モバイルIPのように、バインディング情報を管理して移動制御サーバへこのバインディング情報を登録する移動制御プロトコルをサポートする。
【0028】
また、移動制御サーバ4は、モバイルIPにおけるホームエージェント(HA:HomeAgent)の機能を有し、バインディング情報を管理して、固定IPアドレスを宛先とした移動端末1宛のパケットを移動端末1の在圏先の気付アドレスを宛先としてパケットを転送する。
【0029】
そして、セッション制御サーバ5は、IPパケット転送網7内で端末(1,2)がサポートするセッション制御プロトコルを用いて位置管理、パケットの中継および転送を行う機能を具備する。
【0030】
より詳細には、移動制御サーバ4は、IPパケット転送機能を有する複数のルータ(ルータ3)で構成されるインタネット(IPパケット転送網7)上において、あるサブネットと契約している全移動端末(移動端末1)に対し、この端末(移動端末1)の固有アドレス(ホームアドレス)と在圏先のアドレス(気付アドレス)のマッピング情報(以下、バインディング情報)テーブルを管理し、第三者から当該端末(移動端末1)のホームアドレスを宛先としたパケットを受信した際に、気付アドレスを宛先としてパケットを送出する機能を有する。
【0031】
また、セッション制御サーバ5は、端末が送出するセッション制御もしくは呼制御プロトコル(以後、「セッション制御」とする)パケットを処理し、端末間(移動端末1、相手端末2)でやりとりする「発呼要求メッセージ(パケット)」、「発呼応答メッセージ(パケット)」、「応答確認メッセージ(パケット)」の3way(ウェイ)ハンドシェイクのプロキシ(中継)を行う。
【0032】
移動端末1は、バインディング情報の登録が可能な移動制御用クライアントソフトウェア(プログラム)と、セッション制御パケットを処理可能なセッション制御用クライアントソフトウェア(プログラム)の双方が内部記憶装置にインストールされ、それぞれのプログラムをCPUで実行することで移動制御部10とセッション制御部11としての機能が実現され、セッション制御部11でのセッション制御によりセッション管理した上で、音声や映像のメディアパケットを相手端末2等と送受信する。
【0033】
相手端末2は、移動端末1と同一のクライアントソフトウェア(プログラム)がインストールされ、セッション制御によるセッション管理を行うと共に、移動端末1の気付アドレスを宛先として通信を行う経路最適化を可能とする機能、および、音声や映像のメディアパケットを移動端末1と最適な経路で送受信する機能を有する。
【0034】
これらの移動端末1−セッション制御サーバ5間、相手端末2−セッション制御サーバ5間、必要に応じてセッション制御サーバ5−他のセッション制御サーバ間において各々セキュアパスが確立され、その上をセッション制御パケットが流れ、さらにセッション制御パケットを通じてセキュアに移動端末1と相手端末2間の共有秘密鍵を生成可能な通信環境下となる。
【0035】
このような通信環境下において、移動端末1を発側端末とし、移動端末1から発呼要求パケットが送出され、その応答として相手端末2から発呼応答パケットが送出され、その確認として移動端末1から相手端末2に対して応答確認パケットが送出される。
【0036】
本例では、移動端末1は、このセッション制御フェーズにおける応答確認パケットに、鍵生成処理部12において生成した共有秘密鍵を含めて、相手端末2に送出する。
【0037】
そして、移動端末1と相手端末2は、この共有秘密鍵を用いてバインディング情報を暗号化し、暗号化したバインデイング情報を交換することで経路最適化を実現する。
【0038】
さらに、音声等のメディアパケットの暗号化にも同一の共有秘密鍵を利用することで、1種類の鍵により経路最適化とメディアパケットの暗号化を行うことができる。
【0039】
以下、図2を用いて、図1に示すネットワーク構成における本例の経路最適化システムの動作を説明する。
【0040】
図2においては、移動端末1を発側端末とした場合の、セッション制御を利用したセキュアかつ高品質(ロス、遅延を抑制することをここでは高品質と呼ぶ)な経路最適化手順について示している。
【0041】
ここでは、セッション制御プロトコルとしてSIP、移動制御プロトコルとしてモバイルIPを用いる。
【0042】
移動端末1とセッション制御サーバ(図中「SIPサーバ」と記載)5および相手端末2は、SIPに基づき、セッション制御の開始を示すINVITEからACKまでのセッション制御メッセージ(パケット)の送受信(ステップS101〜S106)をセキュアに処理する。
【0043】
この処理は、移動端末1とセッション制御サーバ5および相手端末2間でホップバイホップにセキュリティパスを確立していることとする。これはIETF等で議論されているTLS(Transport Layer Security)等を用いることにより実現可能である。
【0044】
本例では、ステップS101〜S106でのセッション制御処理で送受信する各メッセージ(パケット)を介して、モバイルIPのバインディング情報、および、移動端末1と相手端末2間で送受信するメディア情報を暗号化/認証するための共有秘密鍵を、移動端末1および相手端末2に提供する。以降、セッション制御メッセージを介して提供される共有秘密鍵を「共有秘密鍵A」と記述する。
【0045】
図2の例では、以下に説明するように、共有秘密鍵Aを移動端末1側で生成し、相手端末2へ配布する。
【0046】
まず、ステップS101,S102の処理において、移動端末1からセッション制御サーバ5を経由して相手端末2に送信される発呼要求パケットである「INVITEメッセージ(パケット)」で、移動端末1(発端末)のセキュリティ情報群(セキュリティパラメータやアルゴリズム等)を相手端末2に通知する。
【0047】
次に、ステップS103,S104の処理において、相手端末2からセッション制御サーバ5および移動制御サーバ(図中「HA」と記載)4を経由して移動端末1に送信される発行応答パケットである「200 OKメッセージ(パケット)」で、相手端末2(着端末)のセキュリティ情報群を移動端末1に通知することで、相互のセキュリティ情報を交換する。
【0048】
相手端末2からの「200 OKメッセージ(パケット)」の受信後、移動端末1において、使用パラメータおよび使用アルゴリズムを決定し、それに基づき共有秘密鍵Aを生成する(ステップS105)。ここで生成した共有秘密鍵Aは、そのセッションの切断時、もしくはライフタイマ満了時まで有効である。
【0049】
移動端末1は、生成した共有秘密鍵Aを応答確認パケットである「ACKメッセージ(パケット)」に含めて、セッション制御サーバ5を経由して相手端末2へ送付する(ステップS106,S107)。
【0050】
そして、移動端末1は、「ACKメッセージ(パケット)」の送信を契機として、バインディングアップデートメッセージ(BU)(図中「Binding Update」と記載)を共有秘密鍵Aを用いて暗号化し、相手端末2に対して通知する(ステップS108)。
【0051】
相手端末2は、移動端末1から暗号化されて送られてきたバインディングアップデートメッセージ(BU)を受信し、ステップS106,S107で送信されてきた、移動端末1が保持するものと同一の共有秘密鍵Aにより復号化し、当該バインディングアップデートメッセージ(BU)を認識する。
【0052】
そして、相手端末2は、移動端末1からのバインディングアップデートメッセージ(BU)の応答として、バインディングアクノウリッジメッセージ(BA)(図中「Binding Acknowledgement」と記載)を、共有秘密鍵Aで暗号化し、移動端末1に対して通知する(ステップS109)。
【0053】
移動端末1は、相手端末2から受信したバインディングアクノウリッジメッセージ(BA)を、共有秘密鍵Aにより復号化した上で、認識する。
【0054】
その後、移動端末1および相手端末2は、経路最適化に用いるバインディング情報を交換するのに用いた共有秘密鍵Aを、メディア(例えば音声)用の暗号化鍵として用いる。
【0055】
このようにして、本例では、セッション時に生成/配布した鍵(共有秘密鍵A)を用いて、モバイルIPの経路最適化時のバインディング情報の交換およびメディア交換をセキュアに行うことが可能である。
【0056】
図3は、本発明に係わる他の経路最適化システムを設けたネットワークの構成例を示すブロック図であり、図4は、図3における経路最適化システムの処理動作例を示すシーケンス図である。
【0057】
図3におけるネットワークを構成する移動端末1a、相手端末2a、ルータ3a、移動制御サーバ4a、セッション制御サーバ5a、無線LAN6a、IPパケット転送網(図中「IP通信網」と記載)7aのそれぞれは、図1におけるネットワークを構成する移動端末1、相手端末2、ルータ3、移動制御サーバ4、セッション制御サーバ5、無線LAN6、IPパケット転送網7のそれぞれに相当し、図3の例では、図1において移動端末1に設けられていた鍵生成処理部が、セッション制御サーバ5aに鍵生成処理部50として設けられており、この鍵生成処理部50により、本発明に係わる経路最適化システムとしての処理動作が実行される。
【0058】
本図3のネットワークシステムにおいても、図1のネットワークシステムと同様に、移動端末1aや相手端末2aは、SIPやH.323等の、IP網を介して音声、動画、データのようなマルチメディアセッションの確立や維持、終了を行うためのセッション制御プロトコルをサポートすると共に、モバイルIPのように、バインディング情報を管理して移動制御サーバ4aへこのバインディング情報を登録する移動制御プロトコルをサポートし、また、移動制御サーバ4aは、バインディング情報を管理して、固定IPアドレスを宛先とした移動端末1a宛のパケットを移動端末1aの在圏先の気付アドレスを宛先としてパケットを転送するホームエージェントの機能を有し、そして、セッション制御サーバ5aは、IPパケット転送網7a内で端末(1a,2a)がサポートするセッション制御プロトコルを用いて位置管理、パケットの中継および転送を行う機能を具備する。
【0059】
図1における例と同様、移動端末1a−セッション制御サーバ5a間、相手端末2a−セッション制御サーバ5a間、必要に応じてセッション制御サーバ5a−他のセッション制御サーバ間において各々セキュアパスが確立され、その上をセッション制御パケットが流れ、さらにセッション制御パケットを通じてセキュアに移動端末1aと相手端末2a間の共有秘密鍵を生成可能な通信環境下において、移動端末1aを発側端末とし、移動端末1aから発呼要求パケットが送出される。
【0060】
その応答として相手端末2aから発呼応答パケットが送出され、その間に介在するセッション制御サーバ5aが、両端末(移動端末1a,相手端末2a)の情報を把握した上で、共有秘密鍵を生成し、セッション制御サーバ5aから両端末へ、この共有秘密鍵を含めた応答確認パケットを送付する。
【0061】
移動端末1aは、セッション制御サーバ5aから送付された共有秘密鍵を用いて、バインディング情報を暗号化し、このバインディング情報を相手端末2aと交換することで経路最適化を実現する。
【0062】
また、移動端末1aは、音声等のメディアパケットの暗号化にも同一の共有秘密鍵を利用する。これにより、1種類の鍵で経路最適化とメディアパケットの暗号化を行うことができる。
【0063】
このような構成のネットワークにおける本例の経路最適化システムの動作を、図4を用いて説明する。
【0064】
図4においては、移動端末1aを発側端末とした場合の、セッション制御を利用したセキュアかつ高品質(ロス、遅延を抑制することをここでは高品質と呼ぶ)な経路最適化手順について示している。
【0065】
ここでは、セッション制御プロトコルとしてSIP、移動制御プロトコルとしてモバイルIPを用いる。
【0066】
移動端末1aとセッション制御サーバ(図中「SIPサーバ」と記載)5aおよび相手端末2aは、SIPに基づき、セッション制御の開始を示すINVITEからACKまでのセッション制御メッセージ(パケット)の送受信(ステップS401〜S404,S406〜S407)をセキュアに処理する。
【0067】
この処理は、移動端末1aとセッション制御サーバ5aおよび相手端末2a間でホップバイホップにセキュリティパスを確立していることとする。これはIETF等で議論されているTLS等を用いることにより実現可能である。
【0068】
本例では、ステップS401〜S404,S406〜S407でのセッション制御処理で送受信する各メッセージ(パケット)を介して、モバイルIPのバインディング情報、および、移動端末1aと相手端末2a間で送受信するメディア情報を暗号化/認証するための共有秘密鍵を、移動端末1aおよび相手端末2aに提供する。以降、本例でセッション制御メッセージ(パケット)を介して提供される共有秘密鍵を「共有秘密鍵B」と記述する。
【0069】
図3,4の例では、図1,2の例において端末側で生成していた共有秘密鍵をセッション制御サーバ5a側で生成する。すなわち、図3,4の例においては、共有秘密鍵Bをセッション制御サーバ5a側で生成し、移動端末1aと相手端末2へ配布する。
【0070】
図4のステップS401,S402の処理において移動端末1aからセッション制御サーバ5aを経由して相手端末2aに送信される発呼要求パケットである「INVITEメッセージ(パケット)」により、移動端末1a(発端末)のセキュリティ情報群(セキュリティパラメータやアルゴリズム等)を相手端末2aに通知すると共に、セッション制御サーバ5aにおいて、当該セキュリティ情報群を記憶する。
【0071】
「INVITEメッセージ(パケット)」に対応して相手端末2aからセッション制御サーバ5aを経由して移動端末1aに送信する発行応答パケットである「200 OKメッセージ(パケット)」により(ステップS403,S404)、相手端末2a(着端末)のセキュリティ情報群を移動端末1aに通知すると共に、セッション制御サーバ5aにおいて、当該セキュリティ情報群を記憶する。
【0072】
そして、セッション制御サーバ5aは、それぞれ記憶した発側端末である移動端末1aのセキュリティ情報群および着側端末である相手端末2aのセキュリティ情報群に基づき、最適なセキュリティアルゴリズムやパラメータを決定して共有秘密鍵Bを生成する(ステップS405)。
【0073】
このように、セッション制御サーバ5aは、「200 OKメッセージ(パケット)」の受信後、セキュリティ情報群を考慮した上で共有秘密鍵Bを生成すると、生成した共有秘密鍵Bを応答確認パケットである「ACKメッセージ(パケット)」に加えて、移動端末1aおよび相手端末2aに通知する(ステップS406,S407)。これにより、移動端末1aおよび相手端末2aの両端末はセキュウアに共有秘密鍵Bを共有することができる。
【0074】
そして、移動端末1aは、セッション制御サーバ5aからの「ACKメッセージ(パケット)」の受信を契機として、バインディングアップデートメッセージ(図中「Binding Update」と記載)を共有秘密鍵Bを用いて暗号化し、相手端末2aに対して通知する(ステップS408)。
【0075】
相手端末2aは、暗号化されたバインディングアップデートメッセージを受信し、ステップS407でセッション制御サーバ5aから受信した、移動端末1aが保持するものと同一の共有秘密鍵Bにより復号化し、当該バインディングアップデートメッセージを認識する。
【0076】
そして、相手端末2aは、移動端末1aからのバインディングアップデートメッセージの応答として、バインディングアクノウリッジ(図中「BindingAcknowledgement」と記載)メッセージを、共有秘密鍵Bで暗号化し、移動端末1aに対して通知する(ステップS409)。
【0077】
移動端末1aは、相手端末2aから受信したバインディングアクノウリッジメッセージを、共有秘密鍵Bにより復号化した上で、認識する。
【0078】
その後、移動端末1aおよび相手端末2aは、経路最適化に用いるバインディング情報を交換するのに用いた共有秘密鍵Bを、メディア(例えば音声)用の暗号化鍵として用いる。
【0079】
このようにして、本例では、セッション制御サーバ5aがセッション制御時に生成/配布した鍵(共有秘密鍵B)を用いて、モバイルIPの経路最適化時のバイディング情報の交換およびメディア交換をセキュアに行うことが可能である。
【0080】
以上、図1〜図4を用いて説明したように、本例では、IPパケット転送網7,7a内でセッション制御時に提供する移動端末1,1aと相手端末2,2a間の共有秘密鍵A,Bを交換する環境下において、このセッション制御処理を、経路最適化処理と連携させ、セッション制御時に生成され提供される共有秘密鍵A,Bを、経路最適化処理におけるバインディング情報交換に利用する。このことにより、セキュアで、かつ鍵交換遅延時間を抑制した経路最適化を行うことができる。
【0081】
このように、本例では、移動端末1,1aと相手端末2,2a間でセッション制御サーバ5,5aを介してセッション制御を行う際に、経路最適化時のバインディング情報(BU/BA)交換を端末間でエンドツーエンド(End−to−End)にセキュアに行うために用いる鍵(共有秘密鍵A,B)を配布する。
【0082】
このことにより、セッション制御完了直後に、移動端末1,1aと相手端末2,2aはバインディング情報を交換することが可能となり、共有秘密鍵の生成による遅延時間を抑制でき、メディアパケットのロスや遅延を抑制した経路最適化が可能となる。
【0083】
尚、本発明は、図1〜図4を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、モバイルIPにおける経路最適化に関して説明したが、モバイルIPに限らず、IPレベルで移動端末の移動管理制御を行うモバイルプロトコルを用いた経路最適化処理に適用することができる。
【0084】
また、図1,図2で示した例では、移動端末1を発側端末として、移動端末1に設けた鍵生成処理部12により共有秘密鍵Aを生成して「ACKメッセージ(パケット)」に含ませて相手端末2に通知することで、本発明に係わる経路最適化システムの動作を行っているが、発側端末が相手端末2であれば、この相手端末2側で、共有秘密鍵Aを生成して「ACKメッセージ(パケット)」に含ませて移動端末1に通知する構成、動作となる。
【0085】
また、本例では、移動端末1,1aと相手端末2,2a間に1つのセッション制御サーバ5,5aが設けられた構成としているが、複数のセッション制御サーバを介して移動端末1,1aと相手端末2,2a間のセッション制御を行う構成としても良い。
【0086】
また、コンピュータの構成例としても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0087】
【発明の効果】
本発明によれば、IP通信網内でセッション制御時に提供する移動端末と相手端末間の共有秘密鍵を交換する環境下において、セッション制御処理と経路最適化処理を連携させ、セッション制御時に生成され提供される共有秘密鍵を、経路最適化処理におけるバインディング情報交換に利用することにより、経路最適化のための共有秘密鍵の生成で生じる遅延時間を抑制することができ、経路最適化の効率を向上させることが可能となる。
【図面の簡単な説明】
【図1】本発明に係わる経路最適化システムを設けたネットワークの構成例を示すブロック図である。
【図2】図1における経路最適化システムの処理動作例を示すシーケンス図である。
【図3】本発明に係わる他の経路最適化システムを設けたネットワークの構成例を示すブロック図である。
【図4】図3における経路最適化システムの処理動作例を示すシーケンス図である。
【符号の説明】
1,1a:移動端末、2,2a:相手端末、3,3a:ルータ、4,4a:移動制御サーバ、5,5a:セッション制御サーバ、6,6a:無線LAN、7,7a:IPパケット転送網、10,10a:移動制御部、11,11a:セッション制御部、12,50:鍵生成処理部。
Claims (11)
- 移動端末に対するモバイルIP制御を行う移動制御サーバと、上記移動端末と相手端末間のセキュアパスの確立およびセッション制御を行うセッション制御サーバとを具備するIP通信網における上記移動端末の移動に伴う経路最適化を行うシステムであって、
上記経路最適化のために上記移動端末と上記相手端末間で交換するバインディング情報の暗号化と認証に用いる共有秘密鍵を、上記セッション制御サーバを介しての上記移動端末と相手端末のセッション制御中に生成する鍵生成処理手段を有することを特徴とする経路最適化システム。 - 移動端末の移動元のIPアドレスと移動先のIPアドレスを対応付けて記憶し、記憶した対応付け情報に基づき、移動した上記移動端末の移動元のIPアドレスでの通信を継続させる移動制御サーバと、上記移動端末と相手端末間のセキュアパスの確立およびセッション制御を行うセッション制御サーバとを具備するIP通信網における上記移動端末の移動に伴う経路最適化を行うシステムであって、
上記経路最適化のために上記移動端末と上記相手端末間で交換する情報の暗号化と認証に用いる共有秘密鍵を、上記セッション制御サーバを介しての上記移動端末と相手端末のセッション制御中に生成する鍵生成処理手段を有することを特徴とする経路最適化システム。 - 請求項1もしくは請求項2のいずれかに記載の経路最適化システムであって、
上記セッション制御サーバは、上記移動端末と上記相手端末間でやりとりする発呼要求パケットと発呼応答パケットおよび応答確認パケットのスリーウェイハンドシェークの中継を行う手段を有し、
上記鍵生成手段で生成した上記共有秘密鍵を、上記応答確認パケットに含めて送信することを特徴とする経路最適化システム。 - 請求項3に記載の経路最適化システムであって、
上記鍵生成手段を発側端末に設け、該発側端末に設けた上記鍵生成手段で生成した上記共有秘密鍵を、該発側端末からの上記応答確認パケットに含めて送信することを特徴とする経路最適化システム。 - 請求項1もしくは請求項2のいずれかに記載の経路最適化システムであって、
上記セッション制御サーバは、
上記移動端末と上記相手端末間でやりとりする発呼要求パケットと発呼応答パケットの中継を行う手段と、
上記発呼要求パケットおよび上記発呼応答パケットに対応して上記移動端末と上記相手端末に応答確認パケットを送出する手段、
および上記鍵生成手段を有し、
上記鍵生成手段で上記発呼要求パケットと上記発呼応答パケットに基づき上記共有秘密鍵を生成し、生成した共有秘密鍵を上記応答確認パケットに含めて送信することを特徴とする経路最適化システム。 - 移動端末に対するモバイルIP制御を行う移動制御サーバと、上記移動端末と相手端末間のセキュアパスの確立およびセッション制御を行うセッション制御サーバとを具備するIP通信網における上記移動端末の移動に伴う経路最適化方法であって、
上記経路最適化のために上記移動端末と上記相手端末間で交換するバインディング情報の暗号化と認証に用いる共有秘密鍵を、上記セッション制御サーバを介しての上記移動端末と相手端末のセッション制御中に生成する手順を有することを特徴とする経路最適化方法。 - 移動端末の移動元のIPアドレスと移動先のIPアドレスを対応付けて記憶し、記憶した対応付け情報に基づき、移動した上記移動端末の移動元のIPアドレスでの通信を継続させる移動制御サーバと、上記移動端末と相手端末間のセキュアパスの確立およびセッション制御を行うセッション制御サーバとを具備するIP通信網における上記移動端末の移動に伴う経路最適化方法であって、
上記経路最適化のために上記移動端末と上記相手端末間で交換する情報の暗号化と認証に用いる共有秘密鍵を、上記セッション制御サーバを介しての上記移動端末と相手端末のセッション制御中に生成する手順を有することを特徴とする経路最適化方法。 - 請求項6もしくは請求項7のいずれかに記載の経路最適化方法であって、
上記セッション制御サーバにおいて、上記移動端末と上記相手端末間でやりとりする発呼要求パケットと発呼応答パケットおよび応答確認パケットのスリーウェイハンドシェークの中継を行う手順を有し、
生成した上記共有秘密鍵を、上記応答確認パケットに含めて送信することを特徴とする経路最適化方法。 - 請求項8に記載の経路最適化方法であって、
発側端末において、上記共有秘密鍵を生成し、生成した共有秘密鍵を、該発側端末からの上記応答確認パケットに含めて送信することを特徴とする経路最適化方法。 - 請求項6もしくは請求項7のいずれかに記載の経路最適化方法であって、
上記セッション制御サーバにおいて、上記移動端末と上記相手端末間でやりとりする発呼要求パケットと発呼応答パケットの中継と、上記発呼要求パケットおよび上記発呼応答パケットに対応する応答確認パケットの上記移動端末と上記相手端末への送出を行い、かつ、上記発呼要求パケットと上記発呼応答パケットに基づき上記共有秘密鍵を生成し、生成した共有秘密鍵を上記応答確認パケットに含めて上記移動端末と上記相手端末に送信することを特徴とする経路最適化方法。 - コンピュータに、請求項6から請求項10のいずれかに記載の経路最適化方法における各手順を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003105193A JP4000419B2 (ja) | 2003-04-09 | 2003-04-09 | 経路最適化システムと方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003105193A JP4000419B2 (ja) | 2003-04-09 | 2003-04-09 | 経路最適化システムと方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004312517A true JP2004312517A (ja) | 2004-11-04 |
JP4000419B2 JP4000419B2 (ja) | 2007-10-31 |
Family
ID=33467781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003105193A Expired - Fee Related JP4000419B2 (ja) | 2003-04-09 | 2003-04-09 | 経路最適化システムと方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4000419B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007043598A (ja) * | 2005-08-05 | 2007-02-15 | Nec Corp | 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム |
JP2007208758A (ja) * | 2006-02-03 | 2007-08-16 | Hitachi Ltd | 暗号通信方法およびシステム |
JP2008211329A (ja) * | 2007-02-23 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置 |
WO2009064145A3 (en) * | 2007-11-16 | 2009-07-16 | Samsung Electronics Co Ltd | System and method for acquiring terminal binding key |
JP2009539289A (ja) * | 2006-06-01 | 2009-11-12 | シーメンス アクチエンゲゼルシヤフト | モバイルipキーを提供する方法とシステム |
US8615659B2 (en) | 2007-11-16 | 2013-12-24 | Samsung Electronics Co., Ltd | System and method for acquiring terminal binding key |
US9191406B2 (en) | 2007-03-19 | 2015-11-17 | Kabushiki Kaisha Toshiba | Message relaying apparatus, communication establishing method, and computer program product |
KR20190125413A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
-
2003
- 2003-04-09 JP JP2003105193A patent/JP4000419B2/ja not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007018277A1 (ja) * | 2005-08-05 | 2007-02-15 | Nec Corporation | 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム |
JP2007043598A (ja) * | 2005-08-05 | 2007-02-15 | Nec Corp | 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム |
JP2007208758A (ja) * | 2006-02-03 | 2007-08-16 | Hitachi Ltd | 暗号通信方法およびシステム |
JP2009539289A (ja) * | 2006-06-01 | 2009-11-12 | シーメンス アクチエンゲゼルシヤフト | モバイルipキーを提供する方法とシステム |
US8611543B2 (en) | 2006-06-01 | 2013-12-17 | Siemens Aktiengesellschaft | Method and system for providing a mobile IP key |
JP2008211329A (ja) * | 2007-02-23 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置 |
US9191406B2 (en) | 2007-03-19 | 2015-11-17 | Kabushiki Kaisha Toshiba | Message relaying apparatus, communication establishing method, and computer program product |
WO2009064145A3 (en) * | 2007-11-16 | 2009-07-16 | Samsung Electronics Co Ltd | System and method for acquiring terminal binding key |
US8615659B2 (en) | 2007-11-16 | 2013-12-24 | Samsung Electronics Co., Ltd | System and method for acquiring terminal binding key |
KR101485597B1 (ko) | 2007-11-16 | 2015-01-22 | 삼성전자주식회사 | 단말 바인딩 키를 획득하기 위한 시스템 및 방법 |
KR20190125413A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
JP2020510337A (ja) * | 2017-03-08 | 2020-04-02 | アーベーベー・シュバイツ・アーゲー | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
US11134066B2 (en) | 2017-03-08 | 2021-09-28 | Abb Power Grids Switzerland Ag | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
JP7032420B2 (ja) | 2017-03-08 | 2022-03-08 | ヒタチ・エナジー・スウィツァーランド・アクチェンゲゼルシャフト | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
KR102643187B1 (ko) | 2017-03-08 | 2024-03-05 | 히타치 에너지 리미티드 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
Also Published As
Publication number | Publication date |
---|---|
JP4000419B2 (ja) | 2007-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4431112B2 (ja) | 端末及び通信システム | |
US8380167B2 (en) | LAN-based UMA network controller with proxy connection | |
US20020147820A1 (en) | Method for implementing IP security in mobile IP networks | |
JP4438510B2 (ja) | 通信システム及び通信制御装置 | |
US20020157024A1 (en) | Intelligent security association management server for mobile IP networks | |
US7319689B2 (en) | Method for handling the simultaneous mobility of mobile hosts in infrastructure-based networks | |
JP4909357B2 (ja) | イーサネット伝送プロトコルを基礎とするデータパケットを少なくとも1つのモバイル通信ユニットと通信システムとの間において伝送する方法 | |
WO2006137982A1 (en) | Method and apparatus to facilitate handover key derivation | |
JP2004153392A (ja) | 通信システム | |
WO2008040178A1 (fr) | Procédé et dispositif de mise à jour d'association entre un noeud mobile et un noeud correspondant | |
JP2007036641A (ja) | ホームエージェント装置、及び通信システム | |
Georgiades et al. | AAA context transfer for seamless and secure multimedia services over all-IP infrastructures | |
JP4000419B2 (ja) | 経路最適化システムと方法およびプログラム | |
WO2006102565A2 (en) | Optimized derivation of handover keys in mobile ipv6 | |
JP2004248169A (ja) | 通信制御システムと通信制御方法およびプログラムと通信端末装置 | |
JP4748157B2 (ja) | 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム | |
JP2005064686A (ja) | ユーザ端末切り替え方法およびユーザ認証方法 | |
JP5276106B2 (ja) | モバイルノードの位置更新 | |
US20070168520A1 (en) | Network layer end-point transfer | |
JP4440057B2 (ja) | 通信管理システムおよび通信管理装置 | |
JP2009135920A (ja) | 通信システム、セキュリティアソシエーション継続方法、移動通信端末、サーバ装置及びプログラム | |
Kim et al. | Secure and low latency handoff scheme for proxy mobile ipv6 | |
KR20200044593A (ko) | 비프록시 기반 다중 경로 전송 시스템, 그리고 이의 세션 연결을 위한 인증 방법 | |
Manner et al. | Unified local mobility management | |
Bor | UNIFIED LOCAL, MOEILITY MIAN AGEN/IENT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050830 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070424 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070717 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070730 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100824 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100824 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110824 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120824 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130824 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |