JP2006024982A - セキュリティ・アソシエーションの確立方法 - Google Patents
セキュリティ・アソシエーションの確立方法 Download PDFInfo
- Publication number
- JP2006024982A JP2006024982A JP2004198868A JP2004198868A JP2006024982A JP 2006024982 A JP2006024982 A JP 2006024982A JP 2004198868 A JP2004198868 A JP 2004198868A JP 2004198868 A JP2004198868 A JP 2004198868A JP 2006024982 A JP2006024982 A JP 2006024982A
- Authority
- JP
- Japan
- Prior art keywords
- par
- nar
- spi value
- added
- spi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 FMIPv6(Fast Handovers for Mobile IPv6)との整合性を確保した、高速かつ簡易なSAの確立方法を提供する。
【解決手段】 FMIPv6にしたがって、モバイルノード(MN)12が、通信中のアクセスルータ(AR)であるPAR14のサブネットから新たなARであるNAR16のサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法において、プレディクティブモードの下で、PAR14は、MN12の新たなケア・オブ・アドレス(NCoA)の使用可否を問い合わせるHI(Handover
Initiate)に、SA生成に関連する情報を付加し、かつ、PAR14は、NAR16に対して、SA生成に関連する情報が付加されたHIを送信する。
【選択図】 図2
Description
本発明は、FMIPv6(Fast Handovers for Mobile IPv6)における移動ノード(MN)の高速ハンドオーバーを実現するセキュリティ・アソシエーション(SA)の確立方法に関する。
MIPv6(Mobility Support in IPv6)では、移動ノード(MN)が高速にサブネットを移動する場合、ネットワーク移動時のアドレス解決と位置登録によって生じる遅延によりパケット損失が生じてしまう。そこで、非特許文献1に記載されたように、FMIPv6(Fast
Handovers for Mobile IPv6)は、MIPv6を拡張して、移動探知とパケットのフォワーディングを行うことでこの問題を解決している。
Handovers for Mobile IPv6)は、MIPv6を拡張して、移動探知とパケットのフォワーディングを行うことでこの問題を解決している。
非特許文献1に開示されたように、FMIPv6においては、MNがPAR(Previous Access Router)からNAR(New Access Router)に移動する前に、移動後に使用するケア・オブ・アドレス(CoA)である、NCoA(New
Care of Address)を取得し、PARとNARとの間でトンネルを生成することで、以前に使用したCoAであるPCoA(Previous Care of
Address)宛のパケットをNARに転送する。こうして、本来は移動先でNCoAの設定にかかる時間による遅延とBinging Updateが完了するまでにかかる時間による遅延が原因のパケット損失を削減する。FMIPv6では、MNがハンドオーバーするタイミングによってプレディクティブ(predictive)モードと、リアクティブ(reactive)モードとの2つのメッセージシーケンスが存在する。
Care of Address)を取得し、PARとNARとの間でトンネルを生成することで、以前に使用したCoAであるPCoA(Previous Care of
Address)宛のパケットをNARに転送する。こうして、本来は移動先でNCoAの設定にかかる時間による遅延とBinging Updateが完了するまでにかかる時間による遅延が原因のパケット損失を削減する。FMIPv6では、MNがハンドオーバーするタイミングによってプレディクティブ(predictive)モードと、リアクティブ(reactive)モードとの2つのメッセージシーケンスが存在する。
図5は、プレディクティブモードにおけるメッセージシーケンスを示す図である。図5に示すように、MNがリンク層情報を利用して、新たな基地局AP(Access Point)を検知すると、RtSolPr(Router Solicitation for Proxy)をPARに送信し、当該基地局APについての情報をリクエストする(ステップ501)。PARは、リクエストに応答して、MNに、PrRtAdv(Proxy
Router Advertisement)を送信し、当該APに対応した新たなAR(NAR)についての情報を伝達する(ステップ502)。
Router Advertisement)を送信し、当該APに対応した新たなAR(NAR)についての情報を伝達する(ステップ502)。
PrRtAdvにより、MNは、ハンドオーバー前に新たなケア・オブ・アドレス(NCoA)を生成することが可能となる。PrRtAdvを受信したMNは、FBU(Fast
Binding Update)をPARに送信し、生成したNCoAを伝える(ステップ503)。FBUを受信したPARは、NARにHI(Handover
Initiate)を送信し、FBUに含まれたNCoAが実際に使用可能かを問い合わせる(ステップ504)。HIを受信したNARは、そのNCoAの利用の可否や代替アドレスをHACK(Handover
Acknowledgement)として送信する(ステップ505)。HACKを受信したPARは、FBACK(Fast Binding
Acknowledgement)をMNに送信する(ステップ506)。
Binding Update)をPARに送信し、生成したNCoAを伝える(ステップ503)。FBUを受信したPARは、NARにHI(Handover
Initiate)を送信し、FBUに含まれたNCoAが実際に使用可能かを問い合わせる(ステップ504)。HIを受信したNARは、そのNCoAの利用の可否や代替アドレスをHACK(Handover
Acknowledgement)として送信する(ステップ505)。HACKを受信したPARは、FBACK(Fast Binding
Acknowledgement)をMNに送信する(ステップ506)。
MNが移動前にFBACKを受信した場合には、プレディクティブモードにて作動する。その場合、NARのリンクに接続次第、遅延無くNCoAの使用が可能である。MNはNARに接続すると、FNA(Fast
Neighbor Advertisement)を送信することで接続を通知し(ステップ507)、PARからNARにトンネリングされバッファリングされていたPCoA宛のパケットを受信する(ステップ510、511参照)。
Neighbor Advertisement)を送信することで接続を通知し(ステップ507)、PARからNARにトンネリングされバッファリングされていたPCoA宛のパケットを受信する(ステップ510、511参照)。
MNがFBUを移動前に送信できなかった場合、また、FBACKを受信できなかった場合には、リアクティブモードにて作動する(図6参照)。この場合に、MNは、NARのリンクに接続次第FBUを送信する。このときに、FBUはFNAによってカプセル化されて送信される(ステップ603参照)。
FMIPv6では、MNと、その時点のアクセスルータであるPARとの間、PARと移動後のアクセスルータであるNARとの間で、制御パケットのやりとりを必要とする。そのため、攻撃者のなりすましを防ぐ認証機構が不可欠となる。
ラジーヴ・クードゥリ(Rajeev Koodli)著、「モバイルIPv6のための高速ハンドオーバー(Fast Handovers for MobileIPv6)」、2004年1月30日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www.ietf.org/internet-drafts/draft-ietf-mipshop-fast-mipv6-01.txt> オガワ・タケシ(Takeshi Ogawa)他著、「FMIPメッセージのためのセキュリティ・アソシエーション(SecurityAssociation for FMIP Messages)」、2004年2月20日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www1.ietf.org/mail-archive/web/mobopts/current/msg00033.html>
ラジーヴ・クードゥリ(Rajeev Koodli)著、「モバイルIPv6のための高速ハンドオーバー(Fast Handovers for MobileIPv6)」、2004年1月30日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www.ietf.org/internet-drafts/draft-ietf-mipshop-fast-mipv6-01.txt> オガワ・タケシ(Takeshi Ogawa)他著、「FMIPメッセージのためのセキュリティ・アソシエーション(SecurityAssociation for FMIP Messages)」、2004年2月20日、IETF、[平成16年6月1日検索]、インターネット<URL: http://www1.ietf.org/mail-archive/web/mobopts/current/msg00033.html>
たとえば、非特許文献2には、セキュリティ・アソシエーションを確立した状態でハンドオーバーを実現する手法が開示されている。図7において、MNとPARの間では、IKE(Internet Key Exchange)等により予めSAが生成されている。この状態で、MNからPARに対して、RtSolPrを送信し(ステップ701)、次いで、PARからNARに対して、NCoAやSAパラメータを含むCT(Context
Transfer)が、NARに送信される(ステップ702)。このメッセージCTは、FMIPv6のシーケンスに新たに追加されたものとなる。なお、RtSolPrが、複数のアドレス(リンク)を含む場合には、全てのアドレスに対してCTが送信される。また、PARは、MNに対して、PrRtAdvを送信する(ステップ703)。
Transfer)が、NARに送信される(ステップ702)。このメッセージCTは、FMIPv6のシーケンスに新たに追加されたものとなる。なお、RtSolPrが、複数のアドレス(リンク)を含む場合には、全てのアドレスに対してCTが送信される。また、PARは、MNに対して、PrRtAdvを送信する(ステップ703)。
NARは、CTを受信すると、利用可能なNCoA(CTの中にあるもの、或いは、NARが自身で提案するもの)を用いて、NARとNCoAとの間のSAを作り、利用可能なNCoAを含むCTACK(Context
Transfer Acknowledgement)を、PARに送信する(ステップ704)。このCTACKも新たに追加されたメッセージである。PARは、CTACKを受信すると、利用可能なNCoAとPAR間のSAを生成する。これは、FBACK(ステップ708参照)を送信するのに必要である。その一方、MNは、PrRtAdvを受信すると、当該MN自身とNARとの間のSAを、NCoAを用いて生成する。
Transfer Acknowledgement)を、PARに送信する(ステップ704)。このCTACKも新たに追加されたメッセージである。PARは、CTACKを受信すると、利用可能なNCoAとPAR間のSAを生成する。これは、FBACK(ステップ708参照)を送信するのに必要である。その一方、MNは、PrRtAdvを受信すると、当該MN自身とNARとの間のSAを、NCoAを用いて生成する。
その後、PARとNARの間で、HIおよびHACKの送受信が実行され(ステップ706、707)、また、PARからMNに対して、FBACKが送信される(ステップ708)。これらは、FMIPv6にしたがったメッセージである。MNは、FBACK中に異なるCoAが含まれていた場合に、該当するSAの宛先IPアドレスをそのCoAに変更する。
上記非特許文献2に開示された技術においては、RtSolPrが複数のアドレス(リンク)を含む場合には、PARは、全てのアドレスに対して、CTを出す必要がある。したがって、場合によっては、PARやNARは、無駄なCTやCTACKを送信しなければならない。また、PARはRtSolPrを受信するとNCoAを生成しNARにCTを出す。もしくは、NARはCTを受信すると利用可能なNcoAを生成しそれを用いてSAを作成する。このように、NCoAを決定するのはMNではなく、PAR或いはNARとなるため、予めNARまたはPARがNCoAを決定する仕組みを規定する必要があり、これはFMIPv6の仕様から逸脱している。
また、SPI値はMNの固有識別子から決定され、SPI値は、基本的にハンドオーバー後も継続的に利用される。このため、NARにおいて、他のMNとSPI値が重複する確率は「0」ではなく、SPI値が衝突する可能性もある。また、非特許文献2に開示された技術においては、移動前後でアドレスの変わらない可能性のあるMNのリンクローカルアドレスを宛先アドレスとするSAにおいて、シーケンス番号の不整合が生じる可能性もある。
本発明は、FMIPv6との整合性を確保しつつ、かつ、上述した従来技術の問題点を解決したSAの確立方法を提供することを目的とする。
本発明においては、高速にIPsec(Security
Architecture for Internet Protocol) SAを確立するために、新たなIPsec SA(NARとMNとの間)の確立を、既に確立されているIPsec SA(つまり、PARとMNとの間、PARとNARとの間)によるセキュアな通信路と、そのIPsec
SAのパラメータを利用して実現する。
Architecture for Internet Protocol) SAを確立するために、新たなIPsec SA(NARとMNとの間)の確立を、既に確立されているIPsec SA(つまり、PARとMNとの間、PARとNARとの間)によるセキュアな通信路と、そのIPsec
SAのパラメータを利用して実現する。
より詳細には、本発明の目的は、FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、プレディクティブモードの下で、前記PARにおいて、MNの新たなケア・オブ・アドレス(NCoA)の使用可否を問い合わせるHI(Handover
Initiate)に、SA生成に関連する情報を付加するステップと、前記PARにおいて、NARに対して、前記SA生成に関連する情報が付加されたHIを送信するステップと、を備えたことを特徴とするSAの確立方法により達成される。
Initiate)に、SA生成に関連する情報を付加するステップと、前記PARにおいて、NARに対して、前記SA生成に関連する情報が付加されたHIを送信するステップと、を備えたことを特徴とするSAの確立方法により達成される。
本発明によれば、FMIPv6のメッセージシーケンスに新たなメッセージを追加することなく、FMIPv6の仕様をそのまま利用して、NARとMNとの間のSAを確立することが可能となる。また、NARを限定することができ、NARの候補となるAR全てにメッセージを送信するような不要なパケット送信を回避することができる。
好ましい実施態様においては、さらに、前記MNにおいて、FBU(Fast Binding Update)に、前記MN向きの第1のSPI(Security Parameter Index)値を付加するステップと、前記MNにおいて、PARに対して、前記第1のSPI値が付加されたFBUを送信するステップと、前記NARにおいて、前記HIの受信に応答して、前記NCoAの利用の可否や代替アドレスを通知するHACK(Handover
Acknowledgement)に、前記NAR向きの第2のSPI値を付加するステップと、前記NARにおいて、前記第2のSPI値が付加されたHACKを、前記PARに送信するステップと、前記PARにおいて、受信したHACKに含まれる前記第2のSPI値を、FBACK(Fast
Binding Acknowledgement)に付加するステップと、前記PARにおいて、前記第2のSPI値が付加されたFBACKを、前記MNに送信するステップと、を備えている。
Acknowledgement)に、前記NAR向きの第2のSPI値を付加するステップと、前記NARにおいて、前記第2のSPI値が付加されたHACKを、前記PARに送信するステップと、前記PARにおいて、受信したHACKに含まれる前記第2のSPI値を、FBACK(Fast
Binding Acknowledgement)に付加するステップと、前記PARにおいて、前記第2のSPI値が付加されたFBACKを、前記MNに送信するステップと、を備えている。
この実施態様によれば、データ通信の受信側がSPI値を決定するため、SPI値の衝突を避けることが可能となる。
別の好ましい実施態様においては、前記SA生成に関連する情報、前記第1のSPI値又は前記第2のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含む。これにより、NARとMNとの間で、全てのFMIPv6シーケンスをIPsecで保護するために必要なSAの生成が可能となる。また、移動先でIKEのシーケンスが起動することはない。
また、本発明の目的は、FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、リアクティブモードの下で、MNにおいて、FBU(Fast
Binding Update)に、前記MN向きの第3のSPI値を付加するステップと、前記MNにおいて、前記NARに対して、前記SPI値が付加されたFBUがカプセル化されたFNA(Fast
Neighbor Advertisement)を送信するステップと、前記NARにおいて、前記PARに送信すべきFBUに、前記MN向きの第3のSPI値を付加するステップと、前記NARにおいて、前記PARに対して、前記第3のSPI値が付加されたFBUを送信するステップと、前記PARにおいて、前記NARに送信する第1のメッセージに、SA生成に関連する情報を付加するステップと、前記PARにおいて、前記NARに対して前記SA生成に関連する情報が付加された第1のメッセージを送信するステップと、前記NARにおいて、前記PARに送信する第2のメッセージに、前記NAR向きの第4のSPI値を付加するステップと、前記NARにおいて、前記PARに対して前記第4のSPI値が付加された第2のメッセージを送信するステップと、前記PARにおいて、FBACKに、前記NAR向きの第4のSPI値を付加するステップと、前記PARにおいて、前記MNに対して、前記第4のSPI値が付加されたFBACKを送信するステップと、を備えたことを特徴とするSAの確立方法によっても達成される。
Binding Update)に、前記MN向きの第3のSPI値を付加するステップと、前記MNにおいて、前記NARに対して、前記SPI値が付加されたFBUがカプセル化されたFNA(Fast
Neighbor Advertisement)を送信するステップと、前記NARにおいて、前記PARに送信すべきFBUに、前記MN向きの第3のSPI値を付加するステップと、前記NARにおいて、前記PARに対して、前記第3のSPI値が付加されたFBUを送信するステップと、前記PARにおいて、前記NARに送信する第1のメッセージに、SA生成に関連する情報を付加するステップと、前記PARにおいて、前記NARに対して前記SA生成に関連する情報が付加された第1のメッセージを送信するステップと、前記NARにおいて、前記PARに送信する第2のメッセージに、前記NAR向きの第4のSPI値を付加するステップと、前記NARにおいて、前記PARに対して前記第4のSPI値が付加された第2のメッセージを送信するステップと、前記PARにおいて、FBACKに、前記NAR向きの第4のSPI値を付加するステップと、前記PARにおいて、前記MNに対して、前記第4のSPI値が付加されたFBACKを送信するステップと、を備えたことを特徴とするSAの確立方法によっても達成される。
さらに好ましい実施態様においては、前記第1のメッセージに付加されたSA生成に関連する情報には、前記MN向きの第3のSPI値が含まれることを特徴とする。
本発明によれば、データ通信の受信側がSPI値を決定するため、SPI値の衝突を避けることが可能となる。
また、好ましい実施態様においては、前記SA生成に関する情報、前記第3のSPI値又は第4のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含む。
別の好ましい実施態様においては、前記SAを確立する際に、シーケンス番号を初期化するステップを、それぞれ備える。これにより、宛先アドレスが移動先でも変わらない場合(たとえば、MNのリンクローカルアドレス)についても、SPI値が変更し、シーケンス番号を、たとえば、「0」に初期化することにより、シーケンス番号の不整合を避けることが可能となる。
また、さらに別の好ましい実施態様においては、前記PARと前記MN間のSAの有効期間が、前記NARと前記MN間のSAに引き継がれる。有効期間は、セキュリティの強度を表わす。移動前のAR(PAR)とのSAのセキュリティ強度を、移動先のAR(NAR)とのSAに引き継ぐことにより、セキュリティレベルを一定以上に保つことが可能である。
なお、本発明にかかるSAの確立方法は、MNおよびARにおいて、それぞれのステップを実行させるコンピュータプログラムをインストールし、MNやARにおいて、コンピュータプログラムが動作することにより実現される。
本発明によれば、FMIPv6との整合性を確保した、高速かつ簡易なSAの確立方法を提供することが可能となる。
以下、添付図面を参照して、本発明の実施の形態について説明する。図1は、本発明の実施の形態にかかるSA確立方法を適用したシステムの概略を示すブロックダイヤグラムである。図1において、MN12は、AR14との間で、何らかの方法(例えば、IKEを利用する方法)で既にSAが確立されており、MN12とAR14(以下、「PAR」とも称する。)との間でパケットが送受信されている。具体的には、以下の4つのSAが既に確立している。
IPsec
SAMN_l→PAR_l
IPsec
SAPCoA→PAR_g
IPsec
SAPAR_g→PCoA
IPsec
SAPAR_l→MN_l
本実施の形態においては、MN12が移動して、新たに、AR16(以下、「NAR」とも称する。)との間の通信経路を利用してパケットの送受信をする場合を考える。
IPsec
SAMN_l→PAR_l
IPsec
SAPCoA→PAR_g
IPsec
SAPAR_g→PCoA
IPsec
SAPAR_l→MN_l
本実施の形態においては、MN12が移動して、新たに、AR16(以下、「NAR」とも称する。)との間の通信経路を利用してパケットの送受信をする場合を考える。
概略的には、MNがPARのサブネットからNARのサブネットに移動する場合に、MNとPARとの間のIPsec SAのパラメータを利用して、MNとNARとの間で新たなIPsec SAを確立させる。なお、既存のパラメータのうち、有効期間(lifetime)を引き継ぐことによって、同じパラメータを使い続けることによるセキュリティの低下を防止する。
FMIPv6におけるFNA、および、MNが移動し続ける場合に、MNとNARとの間で送受信される、RtSolPr、PrRtAdv、FBU、FBACKを認証可能とするため、MNとPARとの間に確立されていたのと同様に、後述する4つのIPsec
SAを、MNとNARとの間で確立させる。
SAを、MNとNARとの間で確立させる。
また、本実施の形態においては、IPsec SAとともに、ISAKMP(Internet Security Association and Key
Management Protocol)
SAを移動させることもできる。これは、IPsec SAと同様に、MNとPARとの間で確立していたISAKMP SAのパラメータを利用して、MNとNARとの間で、ISAKMP
SAを確立させる。IPsecを使用するためには、IPsec SAが必要で、更に、IPsec SAをリキーするには ISAKMP SAが必要である。ISAKMP SAを移動させることにより、新たにIKEによりISAKMP SAの確立を行わずIPsec SAのリキーが行える。
Management Protocol)
SAを移動させることもできる。これは、IPsec SAと同様に、MNとPARとの間で確立していたISAKMP SAのパラメータを利用して、MNとNARとの間で、ISAKMP
SAを確立させる。IPsecを使用するためには、IPsec SAが必要で、更に、IPsec SAをリキーするには ISAKMP SAが必要である。ISAKMP SAを移動させることにより、新たにIKEによりISAKMP SAの確立を行わずIPsec SAのリキーが行える。
なお、本明細書において、NAR_gは、NARのグローバルアドレス、NAR_lは、NARのリンクローカルアドレス、PAR_gは、PARのグローバルアドレス、PAR_lは、PARのリンクローカルアドレス、MN_lは、MNのリンクローカルアドレスを示す。また、あるアドレスAからアドレスB向きのSAやSPI(Security
Paramete Index)値を矢印を使って、「A→B」にて表わす。たとえば、アドレスAからアドレスB向きのIPsec SAは、「IPsec SAアドレスA→アドレスB」と表わす。
Paramete Index)値を矢印を使って、「A→B」にて表わす。たとえば、アドレスAからアドレスB向きのIPsec SAは、「IPsec SAアドレスA→アドレスB」と表わす。
IPsec SAのパラメータを引き継ぐ上では、SPI値の設定が問題となる。IPsec SAMN→NARの確立においては、既にNARが同じSPI値を別のノードとの間で使用している場合があるためであり、既に使用中のSPI値と衝突しないように、SPI値を両者の間で決定する必要がある。
またIPsec SAAR→MN_lにおいては、SPI値を含め既存のSAパラメータを全て引き継いでしまうと、MNからは移動の前後で同じSAを使用しているように見えるため、PARからMN_l宛てのパケットとNARからMN_l宛てのパケットとでシーケンス番号の整合性の混乱などが考えられる。そのため、IPsec
SAAR→MN_lにおいても新規のSAを確立させることとして、SPI値についても、新たな値を衝突のないように決定する。また、シーケンス番号も0に戻す。このときに、SPI値は、IPsec
SAの受信側が決定し、相手に通知することでSPI値の衝突を避ける。なお、本明細書において、SPI値についても、アドレスAからアドレスB向きのIPsec SAにおけるSPI値を、SPIアドレスA→アドレスBと表わす。
SAAR→MN_lにおいても新規のSAを確立させることとして、SPI値についても、新たな値を衝突のないように決定する。また、シーケンス番号も0に戻す。このときに、SPI値は、IPsec
SAの受信側が決定し、相手に通知することでSPI値の衝突を避ける。なお、本明細書において、SPI値についても、アドレスAからアドレスB向きのIPsec SAにおけるSPI値を、SPIアドレスA→アドレスBと表わす。
図2は、プレディクティブモードにおいて、MN12が、AR14(PAR)のサブネットからAR16(NAR)のサブネットに移動する際のメッセージシーケンスを示す図である。
まず、MNがリンク層情報を利用して、新たな基地局APを検知すると、RtSolPrをPARに送信し、当該基地局APについての情報をリクエストする(ステップ201)。このRtSolPrにおいては、送信元アドレス(src)がMN_lであり、宛先アドレス(dst)がPAR_lであり、該当するIPsec
SAが存在するため、PARは、RtSolPrを認証することができる。なお、送信元アドレスとして、PCoAを使用しても良いし、或いは、宛先アドレスとして、PAR_gを使用しても良い。
SAが存在するため、PARは、RtSolPrを認証することができる。なお、送信元アドレスとして、PCoAを使用しても良いし、或いは、宛先アドレスとして、PAR_gを使用しても良い。
PARは、リクエストに応答して、MNに、PrRtAdvを送信し、当該APに対応した新たなAR(NAR)についての情報を伝達する(ステップ202)。なお、PrRtAdvにおいて、送信元アドレス(src)が、PAR_lであり、宛先アドレス(dst)が、MN_lであるため、MNは、PrRtAdvを認証することができる。無論、送信元アドレスとして、PAR_gを使用しても良いし、或いは、宛先アドレスとして、PCoAを使用しても良い。
MNは、PrRtAdvに含まれる情報からNCoAを生成する。
次いで、MNは、FBUをPARに送信する(ステップ203)。このFBUには、生成された新たなケア・オブ・アドレスNCoAが含まれる。また、FBUに付加される情報Aには、NARとMNとの間のSA及びPARとNCoAとの間のSAにおける、MN向きのSPI値が含まれる。図3(a)に示すように、含まれるMN向きのSPI値は、
SPINAR_g→NCoA
SPINAR_l→MN_l
SPIPAR_g→NCoA
の3種類である。ここで、SPIPAR_g→NCoAは、FBACKのためにPAR_gからNCoA向きのIPsec
SAであるIPsec SAPAR_g→NCoAを確立するためのものであり、請求項記載の第1のSPI値には含まれない。なお、FBUは、送信元アドレス(src)がPCoAであり、宛先アドレス(dst)がPAR_gであり、該当するIPsec
SAが存在するため、PARは、FBUを認証可能である。
SPINAR_g→NCoA
SPINAR_l→MN_l
SPIPAR_g→NCoA
の3種類である。ここで、SPIPAR_g→NCoAは、FBACKのためにPAR_gからNCoA向きのIPsec
SAであるIPsec SAPAR_g→NCoAを確立するためのものであり、請求項記載の第1のSPI値には含まれない。なお、FBUは、送信元アドレス(src)がPCoAであり、宛先アドレス(dst)がPAR_gであり、該当するIPsec
SAが存在するため、PARは、FBUを認証可能である。
また、MNは、FBACKのためのSAであり、PAR_gからNCoA向きのIPsec SAであるIPsec SAPAR_g→NCoAを既存のPARとMN間のSAパラメータ、及びFBUに付加したSPIPAR_g→NCoAを利用して生成する。
PARは、NARにHIを送信する(ステップ204)。PARとNARとの間ではSAが確立していることが前提であるため、NARはHIを認証することができる。HIに付加される情報Bには、図3(b)に示すように、MN向きのSPI値の他、SAパラメータ群が含まれる。
NARは、HIを受信すると、NAR→MN向きのSA(より具体的には、IPsec SANAR_g→NCoA,IPsec SANAR_l→MN_l)、および、MN→NAR向きのSA(より具体的には、IPsec
SANCoA→NAR_g,IPsec SAMN_l→NAR_l)を、HIに付加された情報B(SPINAR_g→NCoA、SPINAR_l→MN_lを含む)とHACKに付加するSPINCoA→NAR_g、SPIMN_l→NAR_lを用いて生成する。次いで、NARは、PARにHACKを送信する(ステップ205)。PARとNARとの間ではSAが確立していることが前提であるため、PARはHACKを認証することができる。
SANCoA→NAR_g,IPsec SAMN_l→NAR_l)を、HIに付加された情報B(SPINAR_g→NCoA、SPINAR_l→MN_lを含む)とHACKに付加するSPINCoA→NAR_g、SPIMN_l→NAR_lを用いて生成する。次いで、NARは、PARにHACKを送信する(ステップ205)。PARとNARとの間ではSAが確立していることが前提であるため、PARはHACKを認証することができる。
HACKに付加される情報Cには、図3(c)に示すように、MN→NAR向きのSPI値が含まれる。PARは、FBACKのためのIPsec
SAPAR_g→NCoAを既存のPARとMN間のSAパラメータ及びFBUに付加されたSPIPAR_g→NCoAを利用して確立させ、MNにFBACKを送信する(ステップ206)。MNにおいては、IPsec
SAPAR_g→NCoAを既に生成しているため、FBACKを認証することができる。FBACKに付加される情報Dには、図3(d)に示すように、MN→NAR向きのSPI値が含まれる。
SAPAR_g→NCoAを既存のPARとMN間のSAパラメータ及びFBUに付加されたSPIPAR_g→NCoAを利用して確立させ、MNにFBACKを送信する(ステップ206)。MNにおいては、IPsec
SAPAR_g→NCoAを既に生成しているため、FBACKを認証することができる。FBACKに付加される情報Dには、図3(d)に示すように、MN→NAR向きのSPI値が含まれる。
MNは、NAR→MN向きのSA(IPsec SANAR_g→NCoA,IPsec SANAR_l→MN_l)、MN→NAR向きのSA(IPsec
SANCoA→NAR_g、IPsec SAMN_l→NAR_l)の4つを既存のPARとMN間のSAパラメータ及びFBUに付加したSPINAR_g→NCoA、SPINAR_l→MN_l、HACKに付加されたSPINCoA→NAR_g、SPIMN_l→NAR_lを利用して生成する。その後、MNは、NARに接続して、FNAを送信する(ステップ207)。FNAの送信元アドレス(src)はNCoA、宛先アドレス(dst)はNAR_gであり、NARはFNAを認証することが可能である。
SANCoA→NAR_g、IPsec SAMN_l→NAR_l)の4つを既存のPARとMN間のSAパラメータ及びFBUに付加したSPINAR_g→NCoA、SPINAR_l→MN_l、HACKに付加されたSPINCoA→NAR_g、SPIMN_l→NAR_lを利用して生成する。その後、MNは、NARに接続して、FNAを送信する(ステップ207)。FNAの送信元アドレス(src)はNCoA、宛先アドレス(dst)はNAR_gであり、NARはFNAを認証することが可能である。
このような処理を経ることにより、PARで受信されたパケットは、NARに転送され、かつ、NARからMNに適切に伝達され得る(ステップ210、211参照)。
次に、リアクティブモードについて説明する。図4は、リアクティブモードにて、MNが、PARのサブネットからNARのサブネットに移動する際のメッセージシーケンスを示す図である。
図4において、ステップ401およびステップ402は、それぞれ、図2のステップ201およびステップ202に相当する。
MNが、FBACKを受信せずに、NARにアクセスした場合には、MNは、NARに、FBUおよび情報Aをカプセル化したFNAを送信する(ステップ403)。FBUおよび情報Aがカプセル化されているFNAは、NARでデカプセル化され、FBUおよび情報Aが、NARからPARに転送される(ステップ404)。ここにいう情報Aは、MN向きのSPI値であり、図3(a)に示すプレディクティブモードのものと同様である。
FBUにおいては、送信元アドレスがNCoAであり、宛先アドレスがPAR_gであるが、Destination Options HeaderのHome
Address Destination Option(HoAOption)において、PCoAを指定していることにより、PARは、当該FBUを、IPsec SAPCoA→PAR_gにより認証することができる。
Address Destination Option(HoAOption)において、PCoAを指定していることにより、PARは、当該FBUを、IPsec SAPCoA→PAR_gにより認証することができる。
次いで、PARからNARに対して、追加された第1のメッセージが送信される(ステップ405)。この第1のメッセージは請求項記載の“第1のメッセージ”に相当し、図3(b)に示す情報Bが含まれる。これに応答して、NARからPARに対して、追加された第2のメッセージが送信される(ステップ406)。この第2のメッセージは請求項記載の“第2のメッセージ”に相当し、図3(c)に示す情報Cが含まれる。すなわち、プレディクティブモードにおいては、HI(ステップ204)およびHACK(ステップ205)にて伝達されたメッセージが、リアクティブモードでは、追加されたメッセージとして伝達される。
その後のPARからMNへのFBACKの送信(ステップ407、408)においては、図3(d)に示す情報Dが付加される。
このような処理を経ることにより、PARに受信されたパケットは、NARに転送され、かつ、NARからMNに適切に伝達され得る。
本実施の形態において、たとえば、プレディクティブモードでは、FMIPv6のシーケンスをそのまま利用することができる。また、リアクティブモードであっても、PARとNARとの間で一度ずつメッセージのやりとりを追加すれば足りる。
また、本実施の形態においては、リンクローカルアドレスに対するSAも考慮しており、FMIPv6のシーケンスを適切にIPsecで守ることができる。なお、本実施の形態では、FMIPv6のシーケンスの全てのフェーズにおいてリンクローカルアドレスを考慮した形態を説明したが、全てのフェーズでリンクローカルアドレスに対するSA生成のためのパラメータ(SPI値を含む)を授受する必要はなく、一部のフェーズのみであってもよい。また、MN_l向きのSPI値を移動前後で変更し、移動後のSAのシーケンス番号を「0(ゼロ)」に戻すことによりシーケンス番号の不整合の問題を回避することができる。さらに、宛先アドレスとなるノードがSPI値の提案を行うことにより、SPI値の衝突を回避することも可能であり、加えて、本実施の形態によれば、PARが、無駄なSA生成に関連する情報を送信することを防止できる。
また、本実施の形態によれば、リアクティブモードにおけるFNAを除き、全てのFMIPv6のシーケンスをIPsecにて保護することができる。FNAについても、カプセル化されたFBUは、MNとPARとの間のIPsecにて保護されているため、実質的に問題が生じることはない。
本発明は、以上の実施の形態に限定されることなく、特許請求の範囲に記載された発明の範囲内で、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
たとえば、前記実施の形態において、MNがARのサブネットを移動するように構成されているが、ARに限定されるものではなく、HA(ホームエージェント)、HMIP(Hierarchical Mobile IP)のMAP(Mobility
Anchor Point)など、IP移動通信の位置管理装置、或いは、VPNの終端装置にも本発明を適用することが可能である。
Anchor Point)など、IP移動通信の位置管理装置、或いは、VPNの終端装置にも本発明を適用することが可能である。
また、MNの種別(PDA、携帯電話、PCなど)自体が変更した場合、たとえば、MNがPDAから携帯電話に変更した場合にも、本発明を適用して、IPsec
SAを引き継ぐこともできる。さらに、同一端末であっても、通信I/Fが変更になった場合、たとえば、携帯電話の通信I/Fから無線LANの通信I/Fに変更になった場合にも、本発明を適用することができる。
SAを引き継ぐこともできる。さらに、同一端末であっても、通信I/Fが変更になった場合、たとえば、携帯電話の通信I/Fから無線LANの通信I/Fに変更になった場合にも、本発明を適用することができる。
さらに、前記実施の形態においては、NARが、自分向きのSPI値をHACK(プレディクティブモードの場合)や追加された第2のメッセージ(リアクティブモードの場合)に含ませて、PARに送信しているが、このような構成に限定されるものではない。たとえば、NAR向きのSPI値として、移動前のSPI値を継続的に利用しても良い。この場合、請求項記載の第1ないし第6のSPI値のうち、いくつかのSPI値については送信することなく、新たなSAを確立できる。
たとえば、プレディクティブモードの下では、SPI値が重複する場合に、NARは、HACKおよびFBACKを利用して、重複していない新たなSPI値の候補を、MNに通知するように構成すれば良い。また、リアクティブモードの下では、追加された第2のメッセージおよびFBACKを利用して、新たなSPI値の候補を、MNに通知すれば良い。
或いは、プレディクティブモードの下で、SPI値が重複する場合に、NARは、HACKおよびFBACKを利用して、SPI値が利用不可能であることをMNに通知しても良い。また、リアクティブモードの下でも、追加された第2のメッセージおよびFBACKを利用して、SPI値が利用不可能であることをMNに通知しても良い。その後、ISAKMP
SAの移動が完了していれば、いわゆるIKEのphase2の処理が実行され得る。このような手法を採用することにより、SPI値を変更しないで利用するように構成しても、重複するような状態が生じた場合に、新たなSPI値を生成することで対応可能である。
SAの移動が完了していれば、いわゆるIKEのphase2の処理が実行され得る。このような手法を採用することにより、SPI値を変更しないで利用するように構成しても、重複するような状態が生じた場合に、新たなSPI値を生成することで対応可能である。
12 MN
14 AR(PAR)
16 AR(NAR)
14 AR(PAR)
16 AR(NAR)
Claims (8)
- FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、
プレディクティブモードの下で、前記PARにおいて、MNの新たなケア・オブ・アドレス(NCoA)の使用可否を問い合わせるHI(Handover Initiate)に、SA生成に関連する情報を付加するステップと、
前記PARにおいて、NARに対して、前記SA生成に関連する情報が付加されたHIを送信するステップと、を備えたことを特徴とするSAの確立方法。 - さらに、前記MNにおいて、FBU(Fast Binding Update)に、前記MN向きの第1のSPI(Security Parameter Index)値を付加するステップと、
前記MNにおいて、PARに対して、前記第1のSPI値が付加されたFBUを送信するステップと、
前記NARにおいて、前記HIの受信に応答して、前記NCoAの利用の可否や代替アドレスを通知するHACK(Handover Acknowledgement)に、前記NAR向きの第2のSPI値を付加するステップと、
前記NARにおいて、前記第2のSPI値が付加されたHACKを、前記PARに送信するステップと、
前記PARにおいて、受信したHACKに含まれる前記第2のSPI値を、FBACK(Fast Binding Acknowledgement)に付加するステップと、
前記PARにおいて、前記第2のSPI値が付加されたFBACKを、前記MNに送信するステップと、を備えたことを特徴とする請求項1に記載のSAの確立方法。 - 前記SA生成に関連する情報、前記第1のSPI値又は前記第2のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含むことを特徴とする請求項1または2に記載のSAの確立方法。
- FMIPv6(Fast Handovers for Mobile IPv6)にしたがって、モバイルノード(MN)が、通信中のアクセスルータ(AR)であるPARのサブネットから新たなARであるNARのサブネットに移動する際の、セキュリティ・アソシエーション(SA)の確立方法であって、
リアクティブモードの下で、MNにおいて、FBU(Fast Binding Update)に、前記MN向きの第3のSPI値を付加するステップと、
前記MNにおいて、前記NARに対して、前記第3のSPI値が付加されたFBUがカプセル化されたFNA(Fast Neighbor Advertisement)を送信するステップと、
前記NARにおいて、前記PARに送信すべきFBUに、前記MN向きの第3のSPI値を付加するステップと、
前記NARにおいて、前記PARに対して、前記第3のSPI値が付加されたFBUを送信するステップと、
前記PARにおいて、前記NARに送信すべき第1のメッセージに、SA生成に関連する情報を付加するステップと、
前記PARにおいて、前記NARに対して、前記SA生成に関連する情報が付加された第1のメッセージを送信するステップと、
前記NARにおいて、前記PARに送信すべき第2のメッセージに、前記NAR向きの第4のSPI値を付加するステップと、
前記NARにおいて、前記PARに対して、前記第4のSPI値が付加された第2のメッセージを送信するステップと、
前記PARにおいて、FBACKに、前記NAR向きの第4のSPI値を付加するステップと、
前記PARにおいて、前記MNに対して、前記第4のSPI値が付加されたFBACKを送信するステップと、を備えたことを特徴とするSAの確立方法。 - 前記第1のメッセージに付加されたSA生成に関連する情報が、前記MN向きの第3のSPI値を含むことを特徴とする請求項4に記載のSAの確立方法。
- 前記SA生成に関連する情報、前記第3のSPI値又は前記第4のSPI値の少なくとも1つが、リンクローカルアドレスに関するものを含むことを特徴とする請求項4または5に記載のSAの確立方法。
- 前記SAを確立する際に、シーケンス番号を初期化するステップを、それぞれ備えたことを特徴とする請求項2ないし6に記載のSAの確立方法。
- 前記PARと前記MN間のSAの有効期間が、前記NARと前記MN間のSAに引き継がれることを特徴とする請求項1ないし7の何れか一項に記載のSAの確立方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004198868A JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004198868A JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006024982A true JP2006024982A (ja) | 2006-01-26 |
Family
ID=35797971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004198868A Pending JP2006024982A (ja) | 2004-07-06 | 2004-07-06 | セキュリティ・アソシエーションの確立方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006024982A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007131404A1 (fr) * | 2006-05-15 | 2007-11-22 | Huawei Technologies Co., Ltd. | Méthode et dispositif de transfert rapide |
| WO2008000133A1 (fr) * | 2006-06-24 | 2008-01-03 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de réalisation d'un transfert rapide |
| JP2010504714A (ja) * | 2006-09-28 | 2010-02-12 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
| WO2006003859A1 (ja) * | 2004-06-30 | 2006-01-12 | Matsushita Electric Industrial Co., Ltd. | 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法 |
| JP2007522725A (ja) * | 2004-01-22 | 2007-08-09 | 株式会社東芝 | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ |
-
2004
- 2004-07-06 JP JP2004198868A patent/JP2006024982A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
| JP2007522725A (ja) * | 2004-01-22 | 2007-08-09 | 株式会社東芝 | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ |
| WO2006003859A1 (ja) * | 2004-06-30 | 2006-01-12 | Matsushita Electric Industrial Co., Ltd. | 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法 |
Non-Patent Citations (1)
| Title |
|---|
| RAJEEV KOODLI: "Fast Handovers for Mobile IPv6", DRAFT-IETF-MOBILEIP-FAST-MIPV6-08, JPN6009048386, 10 October 2003 (2003-10-10), ISSN: 0001421963 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007131404A1 (fr) * | 2006-05-15 | 2007-11-22 | Huawei Technologies Co., Ltd. | Méthode et dispositif de transfert rapide |
| WO2008000133A1 (fr) * | 2006-06-24 | 2008-01-03 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de réalisation d'un transfert rapide |
| JP2010504714A (ja) * | 2006-09-28 | 2010-02-12 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
| JP4801201B2 (ja) * | 2006-09-28 | 2011-10-26 | シーメンス アクチエンゲゼルシヤフト | Mobikeベースのモバイルアプリケーションにおけるnsisシグナリングの最適化方法 |
| US8396971B2 (en) | 2006-09-28 | 2013-03-12 | Siemens Aktiengesellschaft | Method for optimizing NSIS signaling in MOBIKE-based mobile applications |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5211155B2 (ja) | Mih事前認証 | |
| JP5122588B2 (ja) | プロキシMIPv6環境における高速ハンドオフをサポートするメディア独立事前認証 | |
| JP4251500B2 (ja) | Wlanからセルラネットワークへのインタテクノロジ・ハンドオフを実行する方法および装置 | |
| EP1894423B1 (en) | Method to facilitate handover | |
| EP2092683B1 (en) | Key caching, qos and multicast extensions to media-independent pre-authentication | |
| US20070189218A1 (en) | Mpa with mobile ip foreign agent care-of address mode | |
| JP4563941B2 (ja) | 通信システム及び移動端末並びにアクセスルータ | |
| US20030104814A1 (en) | Low latency mobile initiated tunneling handoff | |
| JP2006506930A5 (ja) | ||
| JPWO2005081560A1 (ja) | 通信ハンドオーバ方法、通信メッセージ処理方法及びこれらの方法をコンピュータにより実行するためのプログラム並びに通信システム | |
| US20090310564A1 (en) | Fast handover system and method thereof | |
| JP4563940B2 (ja) | 通信システム及び移動端末並びにアクセスルータ | |
| JP2007194848A (ja) | 無線lanシステムの移動無線端末認証方法 | |
| KR100662885B1 (ko) | FMIPv6에서 TCP 패킷의 끊김없는 전송을 보장하는핸드오프 방법 | |
| WO2018137462A1 (zh) | 一种切换方法和装置 | |
| JP2006024982A (ja) | セキュリティ・アソシエーションの確立方法 | |
| Lin et al. | Mobile intelligent agent technologies to support intelligent handover strategy | |
| JP4560432B2 (ja) | モバイルノードの認証方法 | |
| Christakos et al. | Using the media independent information service to support mobile authentication in fast mobile IPv6 | |
| Lee et al. | An efficient performance enhancement scheme for fast mobility service in MIPv6 | |
| Zhang et al. | Seamless mobility management schemes for IPv6-based wireless networks | |
| JP2009171571A (ja) | 高速モバイルipハンドオーバのための方法および装置 | |
| EP2356850A1 (en) | REDUCTION OF HANDOVER DELAYS IN NESTED PROXY MOBILE IPv6 MOBILE IPv6 NETWORKS | |
| Lin et al. | Mobile intelligent agent technologies to support VoIP seamless mobility | |
| Chen et al. | Mobility management at network layer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070706 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090819 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090929 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100212 |