JP2005532012A - ホームエージェントと共に移動ノードのホームアドレスを登録する方法 - Google Patents
ホームエージェントと共に移動ノードのホームアドレスを登録する方法 Download PDFInfo
- Publication number
- JP2005532012A JP2005532012A JP2004548896A JP2004548896A JP2005532012A JP 2005532012 A JP2005532012 A JP 2005532012A JP 2004548896 A JP2004548896 A JP 2004548896A JP 2004548896 A JP2004548896 A JP 2004548896A JP 2005532012 A JP2005532012 A JP 2005532012A
- Authority
- JP
- Japan
- Prior art keywords
- mobile node
- home agent
- home
- address
- home address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 74
- 230000004044 response Effects 0.000 claims abstract description 27
- 230000008569 process Effects 0.000 claims abstract description 12
- 238000010295 mobile communication Methods 0.000 claims description 17
- 230000007246 mechanism Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ホームエージェントと共に移動ノードのホームアドレスをネットワークに登録する方法。
移動ノードを特定する際のキー要素として移動ノードのホームアドレスを利用する代わりに、登録処理を行う際、移動ノードが登録要求時にホームエージェントへ送る移動ノードのネットワークアクセスの識別番号が、ホームエージェントによって使用される。登録要求を受け取るとき、ネットワークアクセスの識別番号に基づいて適当なセキュリティアソシエーションを選択することにより、ホームエージェントは移動ノードの認証を行う。これに応答して、ホームエージェントは、認証とキーマテリアルとを移動ノードへ送って、移動ノードが、呼掛け/応答手順で使用する移動ノード認証をホームエージェントにさらに与えることができるようにする。
移動ノードを特定する際のキー要素として移動ノードのホームアドレスを利用する代わりに、登録処理を行う際、移動ノードが登録要求時にホームエージェントへ送る移動ノードのネットワークアクセスの識別番号が、ホームエージェントによって使用される。登録要求を受け取るとき、ネットワークアクセスの識別番号に基づいて適当なセキュリティアソシエーションを選択することにより、ホームエージェントは移動ノードの認証を行う。これに応答して、ホームエージェントは、認証とキーマテリアルとを移動ノードへ送って、移動ノードが、呼掛け/応答手順で使用する移動ノード認証をホームエージェントにさらに与えることができるようにする。
Description
本発明はモバイルIPv6およびIPのセキュリティに関連する。
モバイルIPv6(MIPv6)は、IPv6ホスト用としてIPv6ネットワークにおけるIPのモビリティを可能にするために開発されたプロトコルである。このようなプロトコルにより、移動ノード(MN)は、1つのサブネットから別のサブネットへ移動しながら、アクティブなTCP(伝送制御プロトコル)接続とUDP(ユーザデータグラムプロトコル)ポートのバインディングとを保持することが可能となる。現在のモバイルIPv6モデルは、加入登録時などにおけるそのHoA(ホームアドレス)としてスタティックなIPアドレスが割り当てられたMNに基づいている。MNは、異種のネットワークを介して接続されると、バインディング更新(BU)をそのホームエージェント(HA)へ送信して、MNの現在の所在位置情報、または、MNの現在のアタッチメントポイントでMNに割り当てられた気付けアドレス(CoA)を示す。この情報によって、HAは、MN用として意図されたパケットを現在の所在位置へ転送することが可能となる。BUは、MNとHA(加入登録時における設定)との間に存在するIPsecセキュリティアソシエーション(SA)によってセキュリティ保護を受ける。このIPsec SAは、通常、MN(ソースアドレス)のスタティックなHoA、ホームエージェントアドレス、セキュリティ・パラメータ・インデックス(SPI)値および次のヘッダの値と関連付けられる。HAは個々の着信パケット用の上記パラメータを利用して、利用すべき正しいSAの特定を行う。MNとHA内のIPsecエンジンは、BUとバインディング肯定応答とのセキュリティ保護を行う際に(すなわちメッセージを送信しているMNの認証と、メッセージの完全性の検証とを行う際に)このSAを利用する。
現在、MNはそのホームIPアドレスをHAに示して、自身の特定を行っている。特に、これは、IPsecエンジンがBUの真正性を検証した後、HAがBUを処理することを意味するものである。MNからHAへ送られたBUがIPsecによりセキュリティ保護を受けるため、BUがIPsecエンジンにより処理された後でしか、HAにおけるBUメッセージのモバイルIP処理は実行されない。モバイルIPモジュールは認証済みのBUを処理するだけである。というのは、真正性を保証する役割がIPsecへ移されるからである。
しかし、実際の利用モデルとプライバシ問題とに起因して、スタティックなHoAを割り当てる代わりに、RFC3041で提案されているような技法をMNにより利用して、動的HoAの作成を行うことも可能である。このような場合、MNは動的HoAを用いているため、HAがHoAを守り、MNへの着信パケットの転送を開始し、CoA用としてバインディングキャッシュを作成できるようになる前に、MNはまずそのHAと共に動的HoAを登録し、次いで、HAへBUメッセージを送る必要がある。これらのメッセージのセキュリティを保護するために(HAの充満(フラッディング)を防止するために)、MNは、MNが提案したHoAをHAが受け付けるように(すなわち、メッセージが首尾よくIPsecエンジンの処理をパスするように)、MNのIPアドレスではないIDを介してHAに対してMNの身元を証明する必要がある。HAがHoAを受け付けた後でのみ、MNが送ったBUはMNにより処理されることになる。
現在、モバイルIPには、MNによって動的に作成されたホームアドレス(HoA)をセキュリティを保護する態様でMNがHAと共に登録する方法は存在しない。しかし、CGA(暗号により作成されたアドレス)ソリューションまたはRFC2977で要求されている動的ホームアドレス割当て手順を可能にするために、この欠落している手順は早々に求められることになるであろう。
CGAおよびその他の提案されているソリューションは、要求されたIPアドレス(ホームアドレスおよび気付けアドレス)をMNが所有していることをMNが証明できるようにする方式を定めるものである。(秘密キーが損なわれたとき公開キーに依拠するソリューションを用いるような)状況では、上記ソリューションは、MNが新たなホームアドレスを計算し、そのホームネットワークを用いてこのホームアドレスの登録を行う。しかし、上記のように、このような手順はまだ存在していない。上記とは別に、(AAAサーバなどのような)いくつかの通信施設(インフラストラクチャ)の存在に依拠することが可能である。また、現在のモバイルIPv6モデルは、スタティックなHoAが割り当てられているMNに依拠しているが、これは、実際の大規模利用のためのものとしては最も効率的のよいモデルとはいえない場合もあり、さらに、RFC3041またはCGAで求められているような動的HoA割当てを可能にするものではない。
IPv6のモビリティ用として有効で、かつ、容易に利用可能であると考えられる解決方法として、いずれのインフラストラクチャ(AAA−認証、アクセス権限、アカウンティング方式など、RFC2977を参照のこと)の存在にも依拠せずに、移動ノード(MN)とホームエージェント(HA)間でのメッセージ交換だけに基づくようにすることが望ましい。
本発明は、モバイルIPv6に対する拡張を提供するものであり、この拡張によって、移動ノードが1または2以上のホームアドレス(HoA)を動的に構成し、セキュリティを保護する態様で(すなわち、MNにセキュリティ保護を行う権限を与えることを保証することにより)移動ノードがホームエージェントと共に前記HoAの登録を行うことを可能にするものである。本発明は、MNのNAI(ネットワークアクセスの識別番号)を利用して、MNの特定を行うものである。特に、本発明はAAAインフラストラクチャが存在しないシナリオに適用するものである。
本発明は、モバイルIPv6に対する2つの新たなメッセージ、すなわちホームアドレス登録要求とホームアドレス登録応答の定義を行うものである。
したがって、本発明の第1の態様によれば、ホームエージェントと共に移動ノードのホームアドレスをネットワークに登録する方法が提供される。本方法は、
前記ホームアドレスの登録を求める要求を移動ノードによってホームエージェントへ送るステップと、
移動ノードを認証するステップと、
前記移動ノードのホームアドレスを前記ホームエージェントに格納するステップと、を具備するものである。
前記ホームアドレスの登録を求める要求を移動ノードによってホームエージェントへ送るステップと、
移動ノードを認証するステップと、
前記移動ノードのホームアドレスを前記ホームエージェントに格納するステップと、を具備するものである。
本方法は、移動ノードによってホームアドレスを取得するステップをさらに具備する。
好ましくは、上記要求が、移動ノードのネットワークアクセスの識別番号と、登録すべきホームアドレスとを含み、ネットワークアクセスの識別番号に基づいて、セキュリティ情報を利用して移動ノードを認証できるようにすることが望ましい。
好適には、移動ノードとホームエージェントとがネットワークアクセスの識別番号により特定されるセキュリティアソシエーションを共有し、移動ノードが上記セキュリティアソシエーションに基づいて認証される。
好適には、上記要求は、前記認証ステップで使用する移動ノード認証子も含み、上記移動ノード認証子は前記認証ステップで使用され、前記セキュリティアソシエーションに基づいて上記移動ノード認証子が計算される。
好適には、上記要求には、移動ノードによるネットワークとの現在のアタッチメントポイントを示す移動ノードの気付けアドレスも含まれる。
好適には、上記方法は、認証とキーマテリアルとを移動ノードへ送信するステップをさらに具備し、前記認証ステップが呼掛け/応答手順を必要とするとき、上記移動ノードが上記認証とキーマテリアルとに基づいて、移動ノード認証によって上記ホームエージェントを出力できるようにする。
必要な場合、上記移動ノードは、上記格納済みホームアドレスに基づいて、前記ホームエージェントへのバインディング更新メッセージを続行できる。
好適には、上記方法は、上記移動ノードが、上記バインディング更新メッセージを続行できるようにする継続期間を制限する耐用期間を上記登録済みホームアドレスと関連付けるステップをさらに具備し、その場合、上記移動ノードがバインディング更新メッセージを続行するとき、上記耐用期間をリフレッシュしたり、あるいは移動ノードによって、上記ホームエージェントへの要求を用いてこの耐用期間を新しくしたりできるようにする。
好適には、上記要求方法はハッシュ関数を用いて上記要求を認証するステップをさらに具備する。
好適には、上記方法は、前記ホームエージェント内のセキュリティエンジンに、上記ホームアドレスとセキュリティ・パラメータ・インデックスとを示す値を格納して、前記格納値と上記セキュリティ・パラメータ・インデックスとに基づいて上記ホームエージェントがバインディング更新メッセージを認証ができるようにするステップをさらに具備する。
好適には、上記方法は、上記移動ノードが、上記ホームアドレスまたは上記気付けアドレスを所有し、上記ホームアドレスまたは上記気付けアドレスを使用する権限が与えられていることを上記移動ノードが証明するステップをさらに具備する。
好適には、上記移動ノードによって、上記ホームエージェントを発見プロセスで発見することが可能であり、前記ホームアドレスの登録は上記発見されたホームエージェントへ伝えられる。
本発明の第2の態様によれば、ネットワークシステムが提供される。上記ネットワークシステムは、
移動ノードと関連するホームアドレスを有する少なくとも移動ノードと、
上記移動ノードが、上記ホームアドレスの登録を要求するホームエージェントへ要求を送るようになっていて、上記ホームエージェントが上記移動ノードを認証して、上記移動ノードのホームアドレスを上記ホームエージェントに格納するようになっているホームエージェントと、を具備する。上記要求は、上記移動ノードのネットワークアクセスの識別番号と、登録対象であるホームアドレスとを具備し、ネットワークアクセスの識別番号に基づいてセキュリティ情報を利用してホームエージェントが移動ノードを認証できるようにする。
移動ノードと関連するホームアドレスを有する少なくとも移動ノードと、
上記移動ノードが、上記ホームアドレスの登録を要求するホームエージェントへ要求を送るようになっていて、上記ホームエージェントが上記移動ノードを認証して、上記移動ノードのホームアドレスを上記ホームエージェントに格納するようになっているホームエージェントと、を具備する。上記要求は、上記移動ノードのネットワークアクセスの識別番号と、登録対象であるホームアドレスとを具備し、ネットワークアクセスの識別番号に基づいてセキュリティ情報を利用してホームエージェントが移動ノードを認証できるようにする。
本発明の第3の態様によれば、ネットワーク内のホームエージェントが提供され、上記ネットワークは、上記ホームエージェントへ要求を送ることにより、上記ホームエージェントと共に登録する対象ホームアドレスを有する少なくとも1つの移動ノードを具備する。上記ホームエージェントは、
上記移動ノードを認証するための前記要求に対する応答手段と、
上記ホームアドレスを格納するための前記認証に対する応答手段と、を具備し、上記要求は、上記移動ノードのネットワークアクセスの識別番号と、登録対象である上記ホームアドレスとを具備し、上記認証手段は、上記ネットワークアクセスの識別番号に基づいて移動ノードの認証を行う。
上記移動ノードを認証するための前記要求に対する応答手段と、
上記ホームアドレスを格納するための前記認証に対する応答手段と、を具備し、上記要求は、上記移動ノードのネットワークアクセスの識別番号と、登録対象である上記ホームアドレスとを具備し、上記認証手段は、上記ネットワークアクセスの識別番号に基づいて移動ノードの認証を行う。
本発明の上記第4の態様によれば、少なくともホームエージェントを具備するネットワーク内の移動通信装置であって、ホームアドレスと、ネットワークアクセスの識別番号とを有する移動通信装置が提供される。上記移動通信装置は、
上記ホームアドレスを登録するために上記ホームエージェントへ要求を送るステップを備え、上記要求が上記ネットワークアクセスの識別番号を含み、上記ホームエージェントが、上記ネットワークアクセスの識別番号に基づいて上記移動通信装置の認証を可能とするように為すことを特徴とする。
上記ホームアドレスを登録するために上記ホームエージェントへ要求を送るステップを備え、上記要求が上記ネットワークアクセスの識別番号を含み、上記ホームエージェントが、上記ネットワークアクセスの識別番号に基づいて上記移動通信装置の認証を可能とするように為すことを特徴とする。
上記ホームエージェントは、発見プロセスにおいて上記移動通信装置により発見することができる。
上記移動通信装置は、上記ホームエージェントと共に上記ホームアドレスを登録する際に、上記移動通信装置が上記ホームアドレスまたは上記気付けアドレスを所有し、上記ホームアドレスを使用する権限が与えられている旨の証明を送るようになっている。
図1〜図4と関連して行われる説明を読むとき、本発明は明らかになる。
セキュリティアソシエーション(SA)が、移動ノード(MN)とそのホームネットワーク(特にホームエージェント(HA))との間で共有されていると仮定する。このようなセキュリティアソシエーションは、モバイルIPv6エンジン内の1つのキーまたは1組のキーから構成され、MNとMNのNAIとにより与えられるMN認証子に基づいてMNの認証を行うようになっている。
上述のように、本発明は、キー要素としてMNのホームアドレスを使用して、MNを特定し、セキュリティパラメータの検索の代わりに、MNとホームエージェントとがMNのNAIを利用するという着想に基づくものである。
図1と図2とに例示されているように、本発明は以下の手順に基づくものである。
新たなホームアドレスまたはHoAの作成後(すなわち、もしMNがこの新たなホームアドレスまたはHoAを作成したり、ネットワークエレメントから受信したりした場合)MNはホームネットワークでホームエージェントをオプションとして発見することができる。新たなHoAの作成または取得は図2のフローチャート100のステップ110に示されている。
次いで、MNは、図1のステップ(1)と図2のステップ120で示すようにホームエージェントへHoA登録要求を送る。メッセージには以下が含まれる:
MNのNAI、
MNのHoA、
MNのCoA、そして、おそらく
MN認証子、この場合、
− MNのNAIを利用してホームネットワークによってユーザの特定を行う。
− MNのHoAは、MNにより取得され、HAへ与えられる新たなアドレスであり、このアドレスによって、HAは、どのIPアドレスを守るべきかを認知し、IPsec SPD(セキュリティポリシーデータベース)内に必要なエントリを作成できるようになる。
− MNのCoAは、MNがその現在のアタッチメントポイントに達することができるアドレスである。
− MN認証子はMNに含まれ、このMN認証子によって、メッセージ認証コード(MAC)を含むことにより、デフォルトによる登録要求の認証が可能となる。このメッセージ認証コード(MAC)はパケット全体に対する(ホームドメイン)−(MN)共有化キーを用いるハッシュ関数を適用することにより取得される。
MNのNAI、
MNのHoA、
MNのCoA、そして、おそらく
MN認証子、この場合、
− MNのNAIを利用してホームネットワークによってユーザの特定を行う。
− MNのHoAは、MNにより取得され、HAへ与えられる新たなアドレスであり、このアドレスによって、HAは、どのIPアドレスを守るべきかを認知し、IPsec SPD(セキュリティポリシーデータベース)内に必要なエントリを作成できるようになる。
− MNのCoAは、MNがその現在のアタッチメントポイントに達することができるアドレスである。
− MN認証子はMNに含まれ、このMN認証子によって、メッセージ認証コード(MAC)を含むことにより、デフォルトによる登録要求の認証が可能となる。このメッセージ認証コード(MAC)はパケット全体に対する(ホームドメイン)−(MN)共有化キーを用いるハッシュ関数を適用することにより取得される。
MN認証子がHoA登録要求の中に含まれている場合、図1のステップ(2)と、フローチャート100のステップ150とで示すように、HoA登録要求の受信時に、MNが与えるNAIに基づいて適当なSAを選択することにより、並びに、MN認証子を検証することにより、HA内のモバイルIPエンジンによるMNの認証が行われる。
フローチャート100のステップ130で判定されるように、MN認証子が含まれていない場合、フローチャート100のステップ140で、HAは、登録手順の終了前にHoA登録応答メッセージの形で認証とキーマテリアルをMNへ送る。呼掛け/応答手順を必要とする認証メカニズムに基づいてMNを認証するために、および/または、将来のバインディング更新の認証に用いる動的キーを導き出すために、上記ステップが実行される。
HAは、フローチャート100のステップ132で、オプションとして、登録手順の終了前にHoA登録応答メッセージの形で認証とキーマテリアルとをMNへ送ってもよい。このステップを用いて、例えば、再生アタックを防止し、次いで、呼掛け/応答手順を要求する認証メカニズムに基づいてMNの追加認証および/または将来のバインディング更新メッセージの認証に用いるMNとHA間での動的キーを作成するキーマテリアルの出力を行うことができる。
フローチャート100のステップ142で、認証とキーマテリアルとを含むHAからHoA登録応答に応答して、MNは追加のHoA登録要求をHAへ送る。この場合、追加のHoA登録要求には、図1のステップ(1)と同じNAIと、ホームアドレスと、気付けアドレスとが含まれるが、モバイルIPレベルのHA、並びに、認証とキーマテリアルと共に共有されるSAを用いて計算されるMN認証子も含まれる。
MNにより与えられるNAIに基づいて適当なSAを選択することにより、また、フローチャート100のステップ160で示すようにMN認証子を検証することにより、HA内のモバイルIPエンジンはMNの認証を行う。
ステップ160で、HA内のモバイルIPエンジンはMNが提供するHoAを格納し、MNが提案するHoAの耐用期間値を用いて耐用期間をHoAと関連づける。
フローチャート100のステップ162で、HAは、MNが与えるソースアドレスフィールド値を動的HoAに対して設定することにより、HAとMNとには既知の所定値か、あるいは、HAが決定し、MNへ返される値かのいずれかの値に対してSPI値を設定することにより、IPsecエンジン内にエントリを作成する。
上記エントリと関連づけられるキーは、HAとMNとにより共有されたり、(呼掛け/応答手順などによる)MN認証中に計算されたりするSAの一部であってもよい。この手順により、MNからの将来のバインディング更新メッセージをIPsecレベルで直接認証できるようになる。
フローチャート100のステップ170で、HAは、登録の成功または失敗を示すHoA登録応答メッセージをMNへ送る。HAは、MNが提案した値が容認できない場合、異なる値のHoAの耐用期間を送ることが可能である。
上記プロセスが首尾よく終った場合、フローチャート100のステップ180に示すように、HoAの耐用期間の期限が切れないうちに、必要に応じて、MNはバインディング更新メッセージを続行する。
HA内のHoAの耐用期間が期限切れになったとき、HAは以下を削除する:
MNと関連づけられたHoA
HoAと関連するモバイルIPバインディングキャッシュ内のすべてのエントリ
HoAに対応するIPsecエントリ
しかし、MNは、2つの方法、すなわち、耐用期間の期限切れ前に新たなHoA登録要求を送るか、あるいは、MNが送って来る個々のバインディングの更新時にHAがリフレッシュ(すなわちタイマの再スタート)できるようにするかのいずれかの方法によって、HoAの耐用期間をリフレッシュすることができる。
MNと関連づけられたHoA
HoAと関連するモバイルIPバインディングキャッシュ内のすべてのエントリ
HoAに対応するIPsecエントリ
しかし、MNは、2つの方法、すなわち、耐用期間の期限切れ前に新たなHoA登録要求を送るか、あるいは、MNが送って来る個々のバインディングの更新時にHAがリフレッシュ(すなわちタイマの再スタート)できるようにするかのいずれかの方法によって、HoAの耐用期間をリフレッシュすることができる。
登録手順中に、MNは、MNが請求されたHoAとCoAとを所有し、これらを使用する権限が与えられている(すなわちIPv6アドレス所有権についての問題を解決する)旨の証明などの付加情報をオプションとして与えることが可能である。この付加情報はMNが当該アドレスを所有する旨を証明するものである。MNがこのような情報を計算する方法は本発明の範囲外に在るものである。
HoA登録メッセージの形で担持される(NAI以外の)付加情報のすべてを暗号化して、いずれかの盗聴者によってトラフィック分析が行われたり、他のいずれかの機密情報が入手されたりすることを防止できるように図ることが可能である。MNのNAIを用いて適当なセキュリティキーを検索し、メッセージの解読を行うことが可能である。
本発明は多数の様々なシナリオで適用可能であり、例示を目的としてそれらのシナリオのうちの2、3を下記に示すことにする:
シナリオ1:
HoA登録要求とHoA登録応答メッセージとは新たなモバイルIPメッセージである。
新たなモビリティヘッダのタイプによって、BU、HOTI(ホーム検査開始)、COT(車輌検査)などのような別のモバイルIPメッセージから上記メッセージの識別を行うことが可能となる。このシナリオでは、HoA登録とバインディング更新手順とは別々のものとなっている(すなわち、独立にかつ逐次実行される)。
HoA登録要求とHoA登録応答メッセージとは新たなモバイルIPメッセージである。
新たなモビリティヘッダのタイプによって、BU、HOTI(ホーム検査開始)、COT(車輌検査)などのような別のモバイルIPメッセージから上記メッセージの識別を行うことが可能となる。このシナリオでは、HoA登録とバインディング更新手順とは別々のものとなっている(すなわち、独立にかつ逐次実行される)。
・HoA登録要求は少なくとも以下のフィールドを含むことが望ましい。
− ソースIPアドレス: CoA
− 宛先IPアドレス:HA(または任意の割当てアドレス − 以下を参照のこと)
− 次のヘッダ: モビリティヘッダ
− 種別: HoA登録要求
− 識別番号: 要求と応答とに一致する
− NAI
− ホームアドレスオプション
− MN認証子このフィールドはオプションであり、HAとMNとにより共有されるSAに準拠する認証方法によって、要求が最初にHAへ送信されるとき、MNによりMN認証子の計算がサポートされている場合にのみ、上記フィールドを含むことが望ましい。MNが、認証とキーマテリアルとを含むHAから、HoA登録応答メッセージに応答してHAへHoA登録要求メッセージを送る場合には常にこのフィールドが含まれる。
− HoAの耐用期間 このフィールドはオプションである。というのは、加入登録時に指定される所定値が存在する場合があるからである。MNは異なる耐用期間値を要求する場合もある。
− SPI: このフィールドはオプションであり、HAとMNとが、バインディング更新の認証に用いることになる、IPsecセキュリティアソシエーション用として申込み時に定められるSPIを含まない場合にのみ、このフィールドが存在することが望ましい。
− ソースIPアドレス: CoA
− 宛先IPアドレス:HA(または任意の割当てアドレス − 以下を参照のこと)
− 次のヘッダ: モビリティヘッダ
− 種別: HoA登録要求
− 識別番号: 要求と応答とに一致する
− NAI
− ホームアドレスオプション
− MN認証子このフィールドはオプションであり、HAとMNとにより共有されるSAに準拠する認証方法によって、要求が最初にHAへ送信されるとき、MNによりMN認証子の計算がサポートされている場合にのみ、上記フィールドを含むことが望ましい。MNが、認証とキーマテリアルとを含むHAから、HoA登録応答メッセージに応答してHAへHoA登録要求メッセージを送る場合には常にこのフィールドが含まれる。
− HoAの耐用期間 このフィールドはオプションである。というのは、加入登録時に指定される所定値が存在する場合があるからである。MNは異なる耐用期間値を要求する場合もある。
− SPI: このフィールドはオプションであり、HAとMNとが、バインディング更新の認証に用いることになる、IPsecセキュリティアソシエーション用として申込み時に定められるSPIを含まない場合にのみ、このフィールドが存在することが望ましい。
さらに、HoA登録応答は以下のフィールドを含むことが望ましい:
− ソースIPアドレス: ホームエージェント
− 宛先IPアドレス: CoA
− 次に 次のヘッダ モビリティヘッダ
− 種別 登録応答
− 識別番号
− 結果コード: 成功/失敗
−認証とキーマテリアル:このフィールドはオプションであり、MNが要求時にMN認証子を与えなかった場合、あるいは、再生アタックを防止するためにおよび/または(呼びかけ/応答などの)ある特定の認証方法を用いることにより、ホームエージェントがMNの別の認証方法を決定する場合のいずれかの場合にのみこのフィールドが存在することが望ましい。HAが上記フィールドを利用して、キーマテリアルを提供し、将来のバインディング更新メッセージの認証用としてMNとHA間で動的キーを作成するようにしてもよい。
− HoAの耐用期間 このフィールドはオプションであり、MNによって提案されたHoAの耐用期間値または申込み時に予め定められた値をHAが受け付けない場合にのみ上記フィールドが存在することが望ましい。
− ソースIPアドレス: ホームエージェント
− 宛先IPアドレス: CoA
− 次に 次のヘッダ モビリティヘッダ
− 種別 登録応答
− 識別番号
− 結果コード: 成功/失敗
−認証とキーマテリアル:このフィールドはオプションであり、MNが要求時にMN認証子を与えなかった場合、あるいは、再生アタックを防止するためにおよび/または(呼びかけ/応答などの)ある特定の認証方法を用いることにより、ホームエージェントがMNの別の認証方法を決定する場合のいずれかの場合にのみこのフィールドが存在することが望ましい。HAが上記フィールドを利用して、キーマテリアルを提供し、将来のバインディング更新メッセージの認証用としてMNとHA間で動的キーを作成するようにしてもよい。
− HoAの耐用期間 このフィールドはオプションであり、MNによって提案されたHoAの耐用期間値または申込み時に予め定められた値をHAが受け付けない場合にのみ上記フィールドが存在することが望ましい。
ホームエージェントのアドレス(例えばMNがそれらのリストですでに予め構成されている場合)か、任意の割当てアドレスかのいずれかのアドレスにHoA登録要求メッセージをアドレス指定することができる:第2のオプションにより、ホームエージェントの発見とHoA登録とを同時に行うことが可能となり、したがって手順の最適化が可能となる。
ホームエージェントにおいて本発明を実現する様々な方法が存在するが、いくつかの可能な方法について以下説明する。しかし、本発明は異なる態様でも実現が可能である。
オプション1 − 変更ホームエージェント(図3)
IPsecエンジンへパケットを転送する前に、一般にMIPスタックがある処理を行う(ホームアドレスオプションが存在するとき、MIPスタックはソースアドレスとホームアドレスオプションフィールドの内容を入れ替える)のと同じ方法で、受信パケットが登録要求であることを認識したとき、モバイルIPスタックは、上記受信パケットをIPsecエンジンへ渡さずに、種別番号によってこの受信パケットを直接処理する。MIPスタックは要求の真正性を検証し、MNが正規の権限が与えられたものであることを確認し、次いで、MNからHAへ後続するMIPメッセージ(バインディング更新など)用IPsecセキュリティポリシーデータベースの中にエントリを作成する。
IPsecエンジンへパケットを転送する前に、一般にMIPスタックがある処理を行う(ホームアドレスオプションが存在するとき、MIPスタックはソースアドレスとホームアドレスオプションフィールドの内容を入れ替える)のと同じ方法で、受信パケットが登録要求であることを認識したとき、モバイルIPスタックは、上記受信パケットをIPsecエンジンへ渡さずに、種別番号によってこの受信パケットを直接処理する。MIPスタックは要求の真正性を検証し、MNが正規の権限が与えられたものであることを確認し、次いで、MNからHAへ後続するMIPメッセージ(バインディング更新など)用IPsecセキュリティポリシーデータベースの中にエントリを作成する。
この例示実装構成は、MIP HAソースコードへのあるアクセスを必要とし、来るべき将来のHAの中にこの構成を実現することが可能となる。これは長期の解決方法である。
オプション2 − “バンプ・イン・ザ・スタック(Bump-in-the-stack)”(図4)
すでに利用されているHAの場合、IPsecが予め配備され、IPv4スタックがすでに存在しているときに生じるような“バンプ・イン・ザ・スタック”(BITS)実装構成は、短期の解決方法とすることができる。本発明は、HAとローカルなネットワークドライバとの間での既存のMIP HA/IPsecプロトコルスタックの実装構成“の下で”実現されるものとなる。MIP HAスタック用のソースコードアクセスはこの状況では要求されず、BITSはIPsecSPDにアクセスできることが望ましい。BITSがHAバインディングキャッシュにもアクセスできる場合、いくつかの最適化が可能となるが、より具体的には、登録要求メッセージに関して、対応するバインディングキャッシュの作成が可能となる。BITSがHAバインディングキャッシュにもアクセスできない場合、MNは登録要求後にバインディング更新を送る必要がある。
すでに利用されているHAの場合、IPsecが予め配備され、IPv4スタックがすでに存在しているときに生じるような“バンプ・イン・ザ・スタック”(BITS)実装構成は、短期の解決方法とすることができる。本発明は、HAとローカルなネットワークドライバとの間での既存のMIP HA/IPsecプロトコルスタックの実装構成“の下で”実現されるものとなる。MIP HAスタック用のソースコードアクセスはこの状況では要求されず、BITSはIPsecSPDにアクセスできることが望ましい。BITSがHAバインディングキャッシュにもアクセスできる場合、いくつかの最適化が可能となるが、より具体的には、登録要求メッセージに関して、対応するバインディングキャッシュの作成が可能となる。BITSがHAバインディングキャッシュにもアクセスできない場合、MNは登録要求後にバインディング更新を送る必要がある。
上記実施構成によるアプローチはレガシーシステムとして利用するのに適している。
オプション3
このオプションは、改善されたIPsecプロトコルの実装構成/バージョンの可能性について考察するものである。現在、IPsecはソースアドレス、宛先アドレス、次のヘッダおよびセキュリティ・パラメータ・インデックスに基づいてパケットの識別を行うことができる。この情報により適切なセキュリティアソシエーションの検索と、パケットの処理とが可能となる。
このオプションは、改善されたIPsecプロトコルの実装構成/バージョンの可能性について考察するものである。現在、IPsecはソースアドレス、宛先アドレス、次のヘッダおよびセキュリティ・パラメータ・インデックスに基づいてパケットの識別を行うことができる。この情報により適切なセキュリティアソシエーションの検索と、パケットの処理とが可能となる。
しかし、モバイルIPなどのような異なるプロトコルの進化と共に、この細分性が十分なものではないことが確認されるようになってきた。すなわち、次のヘッダのみによって、それがTCP、UDP、ホップ・バイ・ホップ、モビリティあるいはルーティングヘッダなどであるかどうかの識別が可能となっているが、バインディング更新、HoT、CoT、HoA登録要求などの種別に基づくことによってもパケットの識別が可能となれば有益であろう。
将来のIPsecバージョンにより上記が可能となるか、ホームエージェントが、このより高い細分性を選択することが可能なIPsecの拡張された実施構成を備えることができるようになるかのいずれかとなるであろう。
このような場合、申込み時に作成されたSPD内に1つのMNについて2つのエントリが生じることになる。バインディング更新用の一方のエントリと、HoA登録要求用のもう一方のエントリである。このことによって、(フラッディングなどのような)潜在的サービス拒否アタックが制限を受けることになる。というのは、どのパケットもまずIPsecエンジンのチェックを受ける必要があるからである。
HoA登録要求は認証ヘッダプロトコルによって保護(認証)され、次いで、NAIに基づいて認証され、双方の検証をパスした場合、バインディング更新に対応するエントリがIPsec SPDの中に作成される。
シナリオ2:
バインディング更新とバインディング肯定応答メッセージとが拡張され、HoA登録も行われる。このシナリオでは、MAとHAとはIPsecレベルとMIPレベルの双方のレベルでSAを共有することになる。IPsecがメッセージの真正性を検証するのに対して、MIPレベルは、そのNAIと共にMNがBUの中に含んでいるMN認証子の検証を行う。
バインディング更新とバインディング肯定応答メッセージとが拡張され、HoA登録も行われる。このシナリオでは、MAとHAとはIPsecレベルとMIPレベルの双方のレベルでSAを共有することになる。IPsecがメッセージの真正性を検証するのに対して、MIPレベルは、そのNAIと共にMNがBUの中に含んでいるMN認証子の検証を行う。
シナリオ3:
これはシナリオ1を拡張したものである。認証パス後のHoA登録要求処理の一部として、対応するバインディングキャッシュが作成される。これによって、HoA登録応答後のいずれのバインディング更新/バインディング確認応答も防止されることになる。
これはシナリオ1を拡張したものである。認証パス後のHoA登録要求処理の一部として、対応するバインディングキャッシュが作成される。これによって、HoA登録応答後のいずれのバインディング更新/バインディング確認応答も防止されることになる。
本発明の利点は以下の通りである:
利用可能なCGA、RFC3041のような解決方法に求められるものに加えて、モバイルIPv6に対するより多くの柔軟性(割り当てられたHAが低下したときなどの状況への対処など)がこの解決方法により許容される。
現在のバインディング更新メッセージを拡張することにより、単にモバイルIPv6に対する2つの新たなメッセージをIETFに定義するだけで上記解決方法は実行可能である。
MNがホームアドレスを変更するとき、本発明に記載の手順を実行する必要があるが、モバイルIP仕様にすでに規定されているその他すべての手順に影響を与えたり、これらの手順を変更したりするものではない。
本発明は、利用可能とするためにIPsecに対する変更を必要としない:これは、標準化の実行可能性、並びに、短/中期間での可用性という観点から見て大きな利点となる。
(AAA、PKI(公開キーインフラストラクチャ)などの)インフラストラクチャを必要としない。
上記解決方法は、MNとHA間での信号制御の最適化を可能にするためにホームエージェントを動的に割り当てる場合、ホームエージェントの発見に組み込むことが可能である。これは、新たな登録メッセージが規定されている場合に適用される。
上記手順は異なる認証メカニズムをサポートするものである。例えば、MNは、メッセージ自身の関数として計算したMN認証子と、MNがHAと共有しているSAに属するキーとを登録要求時に送信することが可能となる。また、さらに複雑な認証メカニズムの利用も可能である。例えば、HAは認証とキーマテリアルとをMNへ送り、次いで、MNはこの認証とキーマテリアルとを利用して、認証対象である応答を出力することができる。これにより、GSMあるいはUMTS AKA(認証とキー取り決め)で採用されているSIMベースの呼びかけ/応答メカニズムなどの認証メカニズムが利用可能となる。これによって、GSMの呼びかけ/応答認証によりHAを介してWLANへのMNアクセスが認証を受けるOWLAN(通信事業者無線ローカルエリアネットワーク)のような製品内における本発明の採用が可能になり、有用となる。
この解決方法はアンチ応答アタックをサポートするものであり、(クッキーなどを用いることにより、採用されている認証方法に応じて)サービス拒否アタックを制限することが可能となる。
要するに、本発明は、モバイルIPv6の拡張方法を提供するものであり、この拡張によって、移動ノードが1または2以上のアドレスを動的に構成し、さらに、セキュリティ保護を行う権限を移動ノードに与えることを保証することにより、セキュリティを保護する態様で移動ノードがホームエージェントと共にアドレスの登録を行うこが可能となる。本発明は移動ノードのネットワークアクセスの識別番号を利用して、移動ノードの特定を行うものである。ネットワークアクセスの識別番号はホームアドレス登録要求時にホームエージェントへ与えられる。好適には、移動ノード認証子がこの登録要求の中に含まれて、ホームエージェントが認証子に基づいて移動ノードを認証できるようにすることが望ましい。認証処理後、ホームエージェントは、そのIPセキュリティエンジンの中に、上記移動ノードの与えられたホームアドレスを格納し、移動ノードから出される将来のバインディング更新メッセージをIPのセキュリティレベルにより直接認証できるようにする。
本発明の好ましい実施形態を参照しながら本発明について説明したが、上述の、本発明の形態および細部における変更、省略並びに逸脱、並びに、本発明のその他の形態および細部における種々の変更、省略並びに逸脱は、本発明の範囲から逸脱することなく行うことが可能であることは当業者の理解するところであろう。
Claims (30)
- ホームエージェントと共に移動ノードのホームアドレスをネットワークに登録する方法であって、
前記ホームアドレスの登録を要求する要求を移動ノードによって前記ホームエージェントへ送るステップと、
前記移動ノードを認証するステップと、
前記ホームエージェントに前記移動ノードのホームアドレスを格納するステップと、を具備する方法。 - 前記移動ノードによって前記ホームアドレスを取得するステップをさらに具備する請求項1に記載の方法。
- 前記要求が、前記移動ノードのネットワークアクセスの識別番号と、前記登録対象のホームアドレスとを含む請求項1に記載の方法。
- 前記ネットワークアクセスの識別番号に基づいてセキュリティ情報を用いて前記移動ノードを認証する請求項3に記載の方法。
- 前記移動ノードと前記ホームエージェントとが、前記ネットワークアクセスの識別番号により特定されるセキュリティアソシエーションを共有し、さらに、前記セキュリティアソシエーションに基づいて前記移動ノードを認証する請求項3に記載の方法。
- 前記要求が、前記認証ステップで使用する移動ノード認証子も含む請求項1に記載の方法。
- 前記要求が前記認証ステップで使用する移動ノード認証子も含み、さらに、前記セキュリティアソシエーションに基づいて前記移動ノード認証子を計算する請求項5に記載の方法。
- 前記要求が、前記移動ノードによる前記ネットワークとの現在のアタッチメントポイントを示す前記移動ノードの気付けアドレス(care-of-address)を含む請求項1に記載の方法。
- 請求項1に記載の方法であって、
前記認証ステップが呼掛け/応答手順を要求するとき、前記移動ノードへ認証とキーマテリアルとを送り、前記移動ノードが、前記認証と前記キーマテリアルとに基づいて、前記ホームエージェントに移動ノード認証を許すように為すステップをさらに具備する方法。 - 必要な場合に、前記ホームエージェント内の前記格納済みホームアドレスに基づいて、前記移動ノードがバインディング更新メッセージを続行できるように為す請求項1に記載の方法。
- 請求項10に記載の方法であって、
耐用期間を前記登録済みホームアドレスと関連づけて、前記移動ノードが前記バインディング更新メッセージを続行できる継続期間に限度を設けるように為すステップをさらに具備する方法。 - 前記移動ノードがバインディング更新メッセージを続行するとき、前記耐用期間をリフレッシュすることができる請求項11に記載の方法。
- 前記ホームエージェントに対する移動ノードによる別の要求によって前記耐用期間をリフレッシュすることができる請求項11に記載の方法。
- 請求項1に記載の方法であって、
ハッシュ関数を用いて前記要求を認証するステップをさらに具備する方法。 - 請求項1に記載の方法であって、
前記ホームアドレスを示す値と、セキュリティエンジン内のセキュリティ・パラメータ・インデックスとを前記ホームエージェントに格納して、前記ホームエージェントが前記格納値と、前記セキュリティ・パラメータ・インデックスとに基づいてバインディング更新メッセージを認証できるように為すステップをさらに具備する方法。 - 請求項1に記載の方法であって、前記移動ノードが前記ホームアドレスを所有し、かつ、前記ホームアドレスを使用する権限が与えられていることを前記移動ノードが証明するステップをさらに具備する方法。
- 前記移動ノードが、前記気付けアドレスを所有し、かつ、前記気付けアドレスを使用する権限が与えられていることを前記移動ノードが証明するステップをさらに具備する請求項8に記載の方法。
- 前記移動ノードが発見プロセスで前記ホームエージェントを発見し、前記発見されたホームエージェントへ前記ホームアドレスの登録を送る請求項1に記載の方法。
- ネットワークシステムであって、
移動ノードと関連するホームアドレスを有する少なくとも移動ノードと、
前記移動ノードが、前記ホームアドレスの登録を要求する要求を送る送り先であって、前記移動ノードを認証し、前記移動ノードのホームアドレスを前記ホームエージェントに格納するようになっているホームエージェントと、を具備するネットワークシステム。 - 前記要求が、前記移動ノードのネットワークアクセスの識別番号と、前記登録対象ホームアドレスとを含む請求項19に記載のネットワークシステム。
- 前記ホームエージェントが、前記ネットワークアクセスの識別番号に基づいてセキュリティ情報を用いて前記移動ノードを認証する請求項20に記載のネットワークシステム。
- 前記移動ノードと、前記ホームエージェントとが、前記ネットワークアクセスの識別番号により特定可能なセキュリティアソシエーションを共有し、さらに、前記セキュリティアソシエーションに基づいて、前記ホームエージェントが前記移動ノードを認証する請求項19に記載のネットワークシステム。
- 前記要求が、前記移動ノードによる前記ネットワークとの現在のアタッチメントポイントを示す前記移動ノードの気付けアドレスを含む請求項19に記載のネットワークシステム。
- ネットワーク内のホームエージェントであって、前記ネットワークが、前記ホームエージェントへ要求を送ることにより、前記ホームエージェントと共に登録対象ホームアドレスを有する少なくとも1つの移動ノードを具備するホームエージェントにおいて、
前記要求に応じて前記移動ノードを認証する手段と、
前記認証に応じて前記ホームアドレスを格納する手段と、を具備するホームエージェント。 - 前記要求が、前記移動ノードのネットワークアクセスの識別番号と、前記登録対象ホームアドレスとを具備する請求項24に記載のホームエージェント。
- 前記認証手段が、前記ネットワークアクセスの識別番号に基づいて前記移動ノードを認証する請求項25に記載のホームエージェント。
- 少なくともホームエージェントを具備するネットワーク内の移動通信装置であって、ホームアドレスとネットワークアクセスの識別番号とを有する移動通信装置において、
前記ホームアドレスの登録要求を前記ホームエージェントへ送るステップを有し、前記要求が前記ネットワークアクセスの識別番号を含み、前記ホームエージェントが、前記ネットワークアクセスの識別番号に基づいて前記移動通信装置を認証することを可能にするように為すことを特徴とする移動通信装置。 - 発見プロセスで前記移動通信装置により前記ホームエージェントを発見する請求項27に記載の移動通信装置。
- 前記ホームエージェントと共に前記ホームアドレスを登録する際に、前記ホームアドレスを所有する移動通信装置であって、前記ホームアドレスを使用する権限が与えられている旨の証明を送るようになっている請求項27に記載の移動通信装置。
- 前記要求が移動通信装置認証子をさらに含み、前記認証子に基づいて、前記ホームエージェントが前記移動通信装置の認証を行うことを可能にするように為す請求項27に記載の移動通信装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US39280702P | 2002-06-28 | 2002-06-28 | |
| US39332302P | 2002-07-01 | 2002-07-01 | |
| PCT/IB2003/002511 WO2004003679A2 (en) | 2002-06-28 | 2003-06-27 | Method of registering home address of a mobile node with a home agent |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005532012A true JP2005532012A (ja) | 2005-10-20 |
| JP4291272B2 JP4291272B2 (ja) | 2009-07-08 |
Family
ID=30003279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004548896A Expired - Fee Related JP4291272B2 (ja) | 2002-06-28 | 2003-06-27 | ホームエージェントと共に移動ノードのホームアドレスを登録する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7636569B2 (ja) |
| EP (1) | EP1518183A2 (ja) |
| JP (1) | JP4291272B2 (ja) |
| CN (1) | CN1666190B (ja) |
| AU (1) | AU2003236967A1 (ja) |
| WO (1) | WO2004003679A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5370353B2 (ja) * | 2008-03-10 | 2013-12-18 | 日本電気株式会社 | 通信システム、転送ノード、移動ノード、サーバ装置、通信制御方法およびプログラム |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7409549B1 (en) * | 2001-12-11 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for dynamic home agent assignment in mobile IP |
| US7587498B2 (en) * | 2002-05-06 | 2009-09-08 | Cisco Technology, Inc. | Methods and apparatus for mobile IP dynamic home agent allocation |
| US7668174B1 (en) * | 2002-10-17 | 2010-02-23 | Cisco Technology, Inc. | Methods and apparatus for home address management at home agent for NAI based mobile nodes |
| US20040137905A1 (en) * | 2003-01-09 | 2004-07-15 | Docomo Communications Laboratories Usa, Inc. | System and method for channel scanning in wireless networks |
| KR20050007830A (ko) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | 기기간 컨텐츠 교환을 위한 도메인 인증 방법 |
| US7548981B1 (en) * | 2004-03-03 | 2009-06-16 | Sprint Spectrum L.P. | Biometric authentication over wireless wide-area networks |
| EP2388976A1 (en) * | 2004-04-14 | 2011-11-23 | Nortel Networks Limited | Securing home agent to mobile node communication with HA-MN key |
| KR101093961B1 (ko) | 2004-09-20 | 2011-12-15 | 주식회사 케이티 | 인구 비밀집지역에서의 휴대 인터넷 제공 방법 및 시스템 |
| KR100636209B1 (ko) * | 2004-11-12 | 2006-10-19 | 삼성전자주식회사 | Mac 주소 보안 방법 및 장치 |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US7843871B2 (en) * | 2004-12-21 | 2010-11-30 | International Business Machines Corporation | Method of reestablishing communication by a mobile node upon recovery from an abrupt shut down |
| US7529207B2 (en) | 2004-12-21 | 2009-05-05 | International Business Machines Corporation | Method of reestablishing communication by a mobile node upon recovery from an abrupt shut down |
| US7886076B2 (en) | 2005-01-12 | 2011-02-08 | International Business Machines Corporation | Bypassing routing stacks using mobile internet protocol |
| KR100848541B1 (ko) * | 2005-05-13 | 2008-07-25 | 삼성전자주식회사 | 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 |
| US7778229B2 (en) * | 2005-07-29 | 2010-08-17 | Cisco Technology, Inc. | Optimized IP address use in a mobile IP environment |
| CN101243672B (zh) * | 2005-08-15 | 2012-01-04 | 艾利森电话股份有限公司 | 在快速路由器发现中路由广告认证的方法及移动节点 |
| DE102006006072B3 (de) * | 2006-02-09 | 2007-08-23 | Siemens Ag | Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden |
| US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| US7937747B2 (en) * | 2007-03-27 | 2011-05-03 | Panasonic Corporation | Privacy protection for mobile internet protocol sessions |
| KR101398908B1 (ko) * | 2007-05-22 | 2014-05-26 | 삼성전자주식회사 | 모바일 아이피를 사용하는 이동 통신 시스템에서 단말의이동성 관리 방법 및 시스템 |
| US8266427B2 (en) * | 2007-06-08 | 2012-09-11 | Cisco Technology, Inc. | Secure mobile IPv6 registration |
| US8634344B2 (en) * | 2007-08-06 | 2014-01-21 | Marvell World Trade Ltd. | Dynamic internet protocol addressing solutions with network-based mobility |
| KR101523090B1 (ko) * | 2007-08-24 | 2015-05-26 | 삼성전자주식회사 | 모바일 아이피를 이용하는 이동통신 시스템에서 단말의 이동성 관리 방법 및 장치 |
| CN101309273B (zh) * | 2008-07-16 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
| US8189567B2 (en) * | 2009-01-29 | 2012-05-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for registering a terminal |
| US8509815B1 (en) * | 2009-05-21 | 2013-08-13 | Sprint Communications Company L.P. | Dynamically updating a home agent with location-based information |
| US8614976B1 (en) * | 2010-03-29 | 2013-12-24 | Sprint Spectrum L.P. | Method and system for registering a nickname associated with a mobile node |
| US8321541B1 (en) * | 2010-07-23 | 2012-11-27 | Sprint Communications Company L.P. | Assigning internet protocol addresses in a network |
| US8953798B2 (en) * | 2010-10-29 | 2015-02-10 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol |
| US9344452B2 (en) | 2012-07-19 | 2016-05-17 | Sprint Communications Company L.P. | User control over WiFi network access |
| US10097525B2 (en) * | 2016-03-08 | 2018-10-09 | Qualcomm Incorporated | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3641128B2 (ja) | 1998-02-20 | 2005-04-20 | 株式会社東芝 | 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法 |
| US6571289B1 (en) | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
| US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| US6445922B1 (en) * | 1999-12-15 | 2002-09-03 | Lucent Technologies Inc. | Method and system for support of overlapping IP addresses between an interworking function and a mobile IP foreign agent |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| FI110227B (fi) | 2000-03-31 | 2002-12-13 | Nokia Oyj | Arkkitehtuuri ja paketinreititys monipalveluverkossa |
| US6992995B2 (en) * | 2000-04-17 | 2006-01-31 | Telcordia Technologies, Inc. | Telecommunication enhanced mobile IP architecture for intra-domain mobility |
| JP4294829B2 (ja) * | 2000-04-26 | 2009-07-15 | ウォーターフロント・テクノロジーズ エルエルシー | モバイルネットワークシステム |
| JP2002033764A (ja) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置 |
| KR100401209B1 (ko) * | 2000-11-21 | 2003-10-10 | 삼성전자주식회사 | 모바일 아이피를 사용하는 이동 통신 시스템에서 지역적터널 관리방법 |
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| WO2002073907A1 (fr) * | 2001-03-13 | 2002-09-19 | Nec Corporation | Systeme de gestion de noeud mobile dans un reseau de mobiles |
| US7577425B2 (en) | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US20030224788A1 (en) * | 2002-03-05 | 2003-12-04 | Cisco Technology, Inc. | Mobile IP roaming between internal and external networks |
| US7447173B2 (en) * | 2005-08-17 | 2008-11-04 | Motorola, Inc. | Methods for transmitting data packets and supporting apparatus |
-
2003
- 2003-06-27 EP EP03735881A patent/EP1518183A2/en not_active Withdrawn
- 2003-06-27 WO PCT/IB2003/002511 patent/WO2004003679A2/en active Application Filing
- 2003-06-27 CN CN03815361.0A patent/CN1666190B/zh not_active Expired - Fee Related
- 2003-06-27 US US10/609,016 patent/US7636569B2/en not_active Expired - Fee Related
- 2003-06-27 AU AU2003236967A patent/AU2003236967A1/en not_active Abandoned
- 2003-06-27 JP JP2004548896A patent/JP4291272B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5370353B2 (ja) * | 2008-03-10 | 2013-12-18 | 日本電気株式会社 | 通信システム、転送ノード、移動ノード、サーバ装置、通信制御方法およびプログラム |
| US8797951B2 (en) | 2008-03-10 | 2014-08-05 | Nec Corporation | Communication system, transfer node, mobile node, server apparatus, communication control method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004003679A3 (en) | 2004-03-25 |
| US7636569B2 (en) | 2009-12-22 |
| CN1666190B (zh) | 2010-04-28 |
| WO2004003679A2 (en) | 2004-01-08 |
| AU2003236967A8 (en) | 2004-01-19 |
| JP4291272B2 (ja) | 2009-07-08 |
| CN1666190A (zh) | 2005-09-07 |
| US20040029584A1 (en) | 2004-02-12 |
| EP1518183A2 (en) | 2005-03-30 |
| AU2003236967A1 (en) | 2004-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4291272B2 (ja) | ホームエージェントと共に移動ノードのホームアドレスを登録する方法 | |
| EP1735990B1 (en) | Mobile ipv6 authentication and authorization | |
| EP2245799B1 (en) | Route optimization in mobile ip networks | |
| EP1875710B1 (en) | System, associated methods and apparatus for securing prefix-scoped binding updates | |
| US7881468B2 (en) | Secret authentication key setup in mobile IPv6 | |
| US20070086382A1 (en) | Methods of network access configuration in an IP network | |
| US8413243B2 (en) | Method and apparatus for use in a communications network | |
| US8611543B2 (en) | Method and system for providing a mobile IP key | |
| US20040205211A1 (en) | Server, terminal control device and terminal authentication method | |
| EP1782574B1 (en) | Fast network attachment | |
| JP2009516435A (ja) | 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化 | |
| US20100017601A1 (en) | Method and Server for Providing a Mobility Key | |
| EP2151114A2 (en) | Method and apparatus for combining internet protocol authentication and mobility signaling | |
| EP1540902B1 (en) | Method for updating a routing entry | |
| US8805329B2 (en) | Method and system for assigning home agent | |
| Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
| CN101383756B (zh) | 路由优化方法、系统和代理移动ip客户端 | |
| Doja et al. | TOKEN BASED SECURITY IN MIPV6, HMIPV6 AND IN DYNAMIC MAP MANAGEMENT HMIPV6 | |
| Arkko | IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Obsoletes: 3775 (if approved) C. Perkins (Ed.) Expires: January 14, 2010 WiChorus Inc. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070626 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070925 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071002 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080521 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080529 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080620 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090130 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090402 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |