JP2006024982A - セキュリティ・アソシエーションの確立方法 - Google Patents
セキュリティ・アソシエーションの確立方法 Download PDFInfo
- Publication number
- JP2006024982A JP2006024982A JP2004198868A JP2004198868A JP2006024982A JP 2006024982 A JP2006024982 A JP 2006024982A JP 2004198868 A JP2004198868 A JP 2004198868A JP 2004198868 A JP2004198868 A JP 2004198868A JP 2006024982 A JP2006024982 A JP 2006024982A
- Authority
- JP
- Japan
- Prior art keywords
- par
- nar
- spi value
- added
- spi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 FMIPv6(Fast Handovers for Mobile IPv6)との整合性を確保した、高速かつ簡易なSAの確立方法を提供する。
【解決手段】 FMIPv6にしたがって、モバイルノード(MN)12が、通信中のアクセスルータ(AR)であるPAR14のサブネットから新たなARであるNAR16のサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法において、プレディクティブモードの下で、PAR14は、MN12の新たなケア・オブ・アドレス(NCoA)の使用可否を問い合わせるHI(Handover
Initiate)に、SA生成に関連する情報を付加し、かつ、PAR14は、NAR16に対して、SA生成に関連する情報が付加されたHIを送信する。
【選択図】 図2
Description
Handovers for Mobile IPv6)は、MIPv6を拡張して、移動探知とパケットのフォワーディングを行うことでこの問題を解決している。
Care of Address)を取得し、PARとNARとの間でトンネルを生成することで、以前に使用したCoAであるPCoA(Previous Care of
Address)宛のパケットをNARに転送する。こうして、本来は移動先でNCoAの設定にかかる時間による遅延とBinging Updateが完了するまでにかかる時間による遅延が原因のパケット損失を削減する。FMIPv6では、MNがハンドオーバーするタイミングによってプレディクティブ(predictive)モードと、リアクティブ(reactive)モードとの2つのメッセージシーケンスが存在する。
Router Advertisement)を送信し、当該APに対応した新たなAR(NAR)についての情報を伝達する(ステップ502)。
Binding Update)をPARに送信し、生成したNCoAを伝える(ステップ503)。FBUを受信したPARは、NARにHI(Handover
Initiate)を送信し、FBUに含まれたNCoAが実際に使用可能かを問い合わせる(ステップ504)。HIを受信したNARは、そのNCoAの利用の可否や代替アドレスをHACK(Handover
Acknowledgement)として送信する(ステップ505)。HACKを受信したPARは、FBACK(Fast Binding
Acknowledgement)をMNに送信する(ステップ506)。
Neighbor Advertisement)を送信することで接続を通知し(ステップ507)、PARからNARにトンネリングされバッファリングされていたPCoA宛のパケットを受信する(ステップ510、511参照)。
ラジーヴ・クードゥリ(Rajeev Koodli)著、「モバイルIPv6のための高速ハンドオーバー(Fast Handovers for MobileIPv6)」、2004年1月30日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www.ietf.org/internet-drafts/draft-ietf-mipshop-fast-mipv6-01.txt> オガワ・タケシ(Takeshi Ogawa)他著、「FMIPメッセージのためのセキュリティ・アソシエーション(SecurityAssociation for FMIP Messages)」、2004年2月20日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www1.ietf.org/mail-archive/web/mobopts/current/msg00033.html>
Transfer)が、NARに送信される(ステップ702)。このメッセージCTは、FMIPv6のシーケンスに新たに追加されたものとなる。なお、RtSolPrが、複数のアドレス(リンク)を含む場合には、全てのアドレスに対してCTが送信される。また、PARは、MNに対して、PrRtAdvを送信する(ステップ703)。
Transfer Acknowledgement)を、PARに送信する(ステップ704)。このCTACKも新たに追加されたメッセージである。PARは、CTACKを受信すると、利用可能なNCoAとPAR間のSAを生成する。これは、FBACK(ステップ708参照)を送信するのに必要である。その一方、MNは、PrRtAdvを受信すると、当該MN自身とNARとの間のSAを、NCoAを用いて生成する。
Architecture for Internet Protocol) SAを確立するために、新たなIPsec SA(NARとMNとの間)の確立を、既に確立されているIPsec SA(つまり、PARとMNとの間、PARとNARとの間)によるセキュアな通信路と、そのIPsec
SAのパラメータを利用して実現する。
Initiate)に、SA生成に関連する情報を付加するステップと、前記PARにおいて、NARに対して、前記SA生成に関連する情報が付加されたHIを送信するステップと、を備えたことを特徴とするSAの確立方法により達成される。
Acknowledgement)に、前記NAR向きの第2のSPI値を付加するステップと、前記NARにおいて、前記第2のSPI値が付加されたHACKを、前記PARに送信するステップと、前記PARにおいて、受信したHACKに含まれる前記第2のSPI値を、FBACK(Fast
Binding Acknowledgement)に付加するステップと、前記PARにおいて、前記第2のSPI値が付加されたFBACKを、前記MNに送信するステップと、を備えている。
Binding Update)に、前記MN向きの第3のSPI値を付加するステップと、前記MNにおいて、前記NARに対して、前記SPI値が付加されたFBUがカプセル化されたFNA(Fast
Neighbor Advertisement)を送信するステップと、前記NARにおいて、前記PARに送信すべきFBUに、前記MN向きの第3のSPI値を付加するステップと、前記NARにおいて、前記PARに対して、前記第3のSPI値が付加されたFBUを送信するステップと、前記PARにおいて、前記NARに送信する第1のメッセージに、SA生成に関連する情報を付加するステップと、前記PARにおいて、前記NARに対して前記SA生成に関連する情報が付加された第1のメッセージを送信するステップと、前記NARにおいて、前記PARに送信する第2のメッセージに、前記NAR向きの第4のSPI値を付加するステップと、前記NARにおいて、前記PARに対して前記第4のSPI値が付加された第2のメッセージを送信するステップと、前記PARにおいて、FBACKに、前記NAR向きの第4のSPI値を付加するステップと、前記PARにおいて、前記MNに対して、前記第4のSPI値が付加されたFBACKを送信するステップと、を備えたことを特徴とするSAの確立方法によっても達成される。
IPsec
SAMN_l→PAR_l
IPsec
SAPCoA→PAR_g
IPsec
SAPAR_g→PCoA
IPsec
SAPAR_l→MN_l
本実施の形態においては、MN12が移動して、新たに、AR16(以下、「NAR」とも称する。)との間の通信経路を利用してパケットの送受信をする場合を考える。
SAを、MNとNARとの間で確立させる。
Management Protocol)
SAを移動させることもできる。これは、IPsec SAと同様に、MNとPARとの間で確立していたISAKMP SAのパラメータを利用して、MNとNARとの間で、ISAKMP
SAを確立させる。IPsecを使用するためには、IPsec SAが必要で、更に、IPsec SAをリキーするには ISAKMP SAが必要である。ISAKMP SAを移動させることにより、新たにIKEによりISAKMP SAの確立を行わずIPsec SAのリキーが行える。
Paramete Index)値を矢印を使って、「A→B」にて表わす。たとえば、アドレスAからアドレスB向きのIPsec SAは、「IPsec SAアドレスA→アドレスB」と表わす。
SAAR→MN_lにおいても新規のSAを確立させることとして、SPI値についても、新たな値を衝突のないように決定する。また、シーケンス番号も0に戻す。このときに、SPI値は、IPsec
SAの受信側が決定し、相手に通知することでSPI値の衝突を避ける。なお、本明細書において、SPI値についても、アドレスAからアドレスB向きのIPsec SAにおけるSPI値を、SPIアドレスA→アドレスBと表わす。
SAが存在するため、PARは、RtSolPrを認証することができる。なお、送信元アドレスとして、PCoAを使用しても良いし、或いは、宛先アドレスとして、PAR_gを使用しても良い。
SPINAR_g→NCoA
SPINAR_l→MN_l
SPIPAR_g→NCoA
の3種類である。ここで、SPIPAR_g→NCoAは、FBACKのためにPAR_gからNCoA向きのIPsec
SAであるIPsec SAPAR_g→NCoAを確立するためのものであり、請求項記載の第1のSPI値には含まれない。なお、FBUは、送信元アドレス(src)がPCoAであり、宛先アドレス(dst)がPAR_gであり、該当するIPsec
SAが存在するため、PARは、FBUを認証可能である。
SANCoA→NAR_g,IPsec SAMN_l→NAR_l)を、HIに付加された情報B(SPINAR_g→NCoA、SPINAR_l→MN_lを含む)とHACKに付加するSPINCoA→NAR_g、SPIMN_l→NAR_lを用いて生成する。次いで、NARは、PARにHACKを送信する(ステップ205)。PARとNARとの間ではSAが確立していることが前提であるため、PARはHACKを認証することができる。
SAPAR_g→NCoAを既存のPARとMN間のSAパラメータ及びFBUに付加されたSPIPAR_g→NCoAを利用して確立させ、MNにFBACKを送信する(ステップ206)。MNにおいては、IPsec
SAPAR_g→NCoAを既に生成しているため、FBACKを認証することができる。FBACKに付加される情報Dには、図3(d)に示すように、MN→NAR向きのSPI値が含まれる。
SANCoA→NAR_g、IPsec SAMN_l→NAR_l)の4つを既存のPARとMN間のSAパラメータ及びFBUに付加したSPINAR_g→NCoA、SPINAR_l→MN_l、HACKに付加されたSPINCoA→NAR_g、SPIMN_l→NAR_lを利用して生成する。その後、MNは、NARに接続して、FNAを送信する(ステップ207)。FNAの送信元アドレス(src)はNCoA、宛先アドレス(dst)はNAR_gであり、NARはFNAを認証することが可能である。
Address Destination Option(HoAOption)において、PCoAを指定していることにより、PARは、当該FBUを、IPsec SAPCoA→PAR_gにより認証することができる。
Anchor Point)など、IP移動通信の位置管理装置、或いは、VPNの終端装置にも本発明を適用することが可能である。
SAを引き継ぐこともできる。さらに、同一端末であっても、通信I/Fが変更になった場合、たとえば、携帯電話の通信I/Fから無線LANの通信I/Fに変更になった場合にも、本発明を適用することができる。
SAの移動が完了していれば、いわゆるIKEのphase2の処理が実行され得る。このような手法を採用することにより、SPI値を変更しないで利用するように構成しても、重複するような状態が生じた場合に、新たなSPI値を生成することで対応可能である。
14 AR(PAR)
16 AR(NAR)
Claims (8)
- FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、
プレディクティブモードの下で、前記PARにおいて、MNの新たなケア・オブ・アドレス(NCoA)の使用可否を問い合わせるHI(Handover Initiate)に、SA生成に関連する情報を付加するステップと、
前記PARにおいて、NARに対して、前記SA生成に関連する情報が付加されたHIを送信するステップと、を備えたことを特徴とするSAの確立方法。 - さらに、前記MNにおいて、FBU(Fast Binding Update)に、前記MN向きの第1のSPI(Security Parameter Index)値を付加するステップと、
前記MNにおいて、PARに対して、前記第1のSPI値が付加されたFBUを送信するステップと、
前記NARにおいて、前記HIの受信に応答して、前記NCoAの利用の可否や代替アドレスを通知するHACK(Handover Acknowledgement)に、前記NAR向きの第2のSPI値を付加するステップと、
前記NARにおいて、前記第2のSPI値が付加されたHACKを、前記PARに送信するステップと、
前記PARにおいて、受信したHACKに含まれる前記第2のSPI値を、FBACK(Fast Binding Acknowledgement)に付加するステップと、
前記PARにおいて、前記第2のSPI値が付加されたFBACKを、前記MNに送信するステップと、を備えたことを特徴とする請求項1に記載のSAの確立方法。 - 前記SA生成に関連する情報、前記第1のSPI値又は前記第2のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含むことを特徴とする請求項1または2に記載のSAの確立方法。
- FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、
リアクティブモードの下で、MNにおいて、FBU(Fast Binding Update)に、前記MN向きの第3のSPI値を付加するステップと、
前記MNにおいて、前記NARに対して、前記第3のSPI値が付加されたFBUがカプセル化されたFNA(Fast Neighbor Advertisement)を送信するステップと、
前記NARにおいて、前記PARに送信すべきFBUに、前記MN向きの第3のSPI値を付加するステップと、
前記NARにおいて、前記PARに対して、前記第3のSPI値が付加されたFBUを送信するステップと、
前記PARにおいて、前記NARに送信すべき第1のメッセージに、SA生成に関連する情報を付加するステップと、
前記PARにおいて、前記NARに対して、前記SA生成に関連する情報が付加された第1のメッセージを送信するステップと、
前記NARにおいて、前記PARに送信すべき第2のメッセージに、前記NAR向きの第4のSPI値を付加するステップと、
前記NARにおいて、前記PARに対して、前記第4のSPI値が付加された第2のメッセージを送信するステップと、
前記PARにおいて、FBACKに、前記NAR向きの第4のSPI値を付加するステップと、
前記PARにおいて、前記MNに対して、前記第4のSPI値が付加されたFBACKを送信するステップと、を備えたことを特徴とするSAの確立方法。 - 前記第1のメッセージに付加されたSA生成に関連する情報が、前記MN向きの第3のSPI値を含むことを特徴とする請求項4に記載のSAの確立方法。
- 前記SA生成に関連する情報、前記第3のSPI値又は前記第4のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含むことを特徴とする請求項4または5に記載のSAの確立方法。
- 前記SAを確立する際に、シーケンス番号を初期化するステップを、それぞれ備えたことを特徴とする請求項2ないし6に記載のSAの確立方法。
- 前記PARと前記MN間のSAの有効期間が、前記NARと前記MN間のSAに引き継がれることを特徴とする請求項1ないし7の何れか一項に記載のSAの確立方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004198868A JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004198868A JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006024982A true JP2006024982A (ja) | 2006-01-26 |
Family
ID=35797971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004198868A Pending JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006024982A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007131404A1 (fr) * | 2006-05-15 | 2007-11-22 | Huawei Technologies Co., Ltd. | Méthode et dispositif de transfert rapide |
WO2008000133A1 (fr) * | 2006-06-24 | 2008-01-03 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de réalisation d'un transfert rapide |
JP2010504714A (ja) * | 2006-09-28 | 2010-02-12 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
WO2006003859A1 (ja) * | 2004-06-30 | 2006-01-12 | Matsushita Electric Industrial Co., Ltd. | 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法 |
JP2007522725A (ja) * | 2004-01-22 | 2007-08-09 | 株式会社東芝 | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ |
-
2004
- 2004-07-06 JP JP2004198868A patent/JP2006024982A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
JP2007522725A (ja) * | 2004-01-22 | 2007-08-09 | 株式会社東芝 | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ |
WO2006003859A1 (ja) * | 2004-06-30 | 2006-01-12 | Matsushita Electric Industrial Co., Ltd. | 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法 |
Non-Patent Citations (1)
Title |
---|
RAJEEV KOODLI: "Fast Handovers for Mobile IPv6", DRAFT-IETF-MOBILEIP-FAST-MIPV6-08, JPN6009048386, 10 October 2003 (2003-10-10), ISSN: 0001421963 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007131404A1 (fr) * | 2006-05-15 | 2007-11-22 | Huawei Technologies Co., Ltd. | Méthode et dispositif de transfert rapide |
WO2008000133A1 (fr) * | 2006-06-24 | 2008-01-03 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de réalisation d'un transfert rapide |
JP2010504714A (ja) * | 2006-09-28 | 2010-02-12 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
JP4801201B2 (ja) * | 2006-09-28 | 2011-10-26 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
US8396971B2 (en) | 2006-09-28 | 2013-03-12 | Siemens Aktiengesellschaft | Method for optimizing NSIS signaling in MOBIKE-based mobile applications |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5211155B2 (ja) | Mih事前認証 | |
JP5122588B2 (ja) | プロキシMIPv6環境における高速ハンドオフをサポートするメディア独立事前認証 | |
JP4251500B2 (ja) | Wlanからセルラネットワークへのインタテクノロジ・ハンドオフを実行する方法および装置 | |
EP1894423B1 (en) | Method to facilitate handover | |
EP2092683B1 (en) | Key caching, qos and multicast extensions to media-independent pre-authentication | |
US20070189218A1 (en) | Mpa with mobile ip foreign agent care-of address mode | |
JP4563941B2 (ja) | 通信システム及び移動端末並びにアクセスルータ | |
US20030104814A1 (en) | Low latency mobile initiated tunneling handoff | |
JP2006506930A5 (ja) | ||
JPWO2005081560A1 (ja) | 通信ハンドオーバ方法、通信メッセージ処理方法及びこれらの方法をコンピュータにより実行するためのプログラム並びに通信システム | |
US20090310564A1 (en) | Fast handover system and method thereof | |
JP4563940B2 (ja) | 通信システム及び移動端末並びにアクセスルータ | |
JP2007194848A (ja) | 無線lanシステムの移動無線端末認証方法 | |
KR100662885B1 (ko) | FMIPv6에서 TCP 패킷의 끊김없는 전송을 보장하는핸드오프 방법 | |
WO2018137462A1 (zh) | 一种切换方法和装置 | |
JP2006024982A (ja) | セキュリティ・アソシエーションの確立方法 | |
Lin et al. | Mobile intelligent agent technologies to support intelligent handover strategy | |
JP4560432B2 (ja) | モバイルノードの認証方法 | |
Christakos et al. | Using the media independent information service to support mobile authentication in fast mobile IPv6 | |
Lee et al. | An efficient performance enhancement scheme for fast mobility service in MIPv6 | |
Zhang et al. | Seamless mobility management schemes for IPv6-based wireless networks | |
JP2009171571A (ja) | 高速モバイルipハンドオーバのための方法および装置 | |
EP2356850A1 (en) | REDUCTION OF HANDOVER DELAYS IN NESTED PROXY MOBILE IPv6 MOBILE IPv6 NETWORKS | |
Lin et al. | Mobile intelligent agent technologies to support VoIP seamless mobility | |
Chen et al. | Mobility management at network layer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070706 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090819 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090929 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100212 |