JP2006054733A - Mobile object communication system and method for preventing home address from being pretended - Google Patents

Mobile object communication system and method for preventing home address from being pretended Download PDF

Info

Publication number
JP2006054733A
JP2006054733A JP2004235705A JP2004235705A JP2006054733A JP 2006054733 A JP2006054733 A JP 2006054733A JP 2004235705 A JP2004235705 A JP 2004235705A JP 2004235705 A JP2004235705 A JP 2004235705A JP 2006054733 A JP2006054733 A JP 2006054733A
Authority
JP
Japan
Prior art keywords
home address
user
home
mobile
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004235705A
Other languages
Japanese (ja)
Inventor
Noriyuki Isechi
紀幸 伊瀬知
Fumihiko Yokota
史彦 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004235705A priority Critical patent/JP2006054733A/en
Publication of JP2006054733A publication Critical patent/JP2006054733A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent a user of a mobile node from generating a home address of a third person and pretending the other person to perform communication in an IPv6 mobile object communication system and a method for preventing the home address from being pretended. <P>SOLUTION: A mobile node 1-1 generates a home address setting user's inherent information (e.g. user account information) in a part of the home address and notifies a home agent of the home address in a key exchange protocol procedure (IKE Ph.1, XAUTH, IKE Ph.2) of IKE in order to establish security association of mobile IP controlling IPsec between the mobile node 1-1 and a home agent 1-2. The home agent 1-2 checks the notified home address, collates the user's inherent information set in the home address with the user account information, and upon recognizing illegality, interrupts the procedure. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、移動体通信システム及びそのホームアドレス成り済まし防止方法に関し、特に、モバイルIPv6(Mobile Internet Protocol version6)による移動体通信サービスを提供するホームエージェントサーバー(以下、単に「ホームエージェント」という。)とモバイルノードとしてのユーザー端末とから成る移動体通信システムにおいて、ユーザー通信の安全性を高めるためのものである。   The present invention relates to a mobile communication system and a home address spoofing prevention method, and in particular, a home agent server (hereinafter simply referred to as “home agent”) that provides a mobile communication service based on Mobile IPv6 (Mobile Internet Protocol version 6). In a mobile communication system including a user terminal as a mobile node, it is for enhancing the safety of user communication.

図4にモバイルIPv6システムの基本的な原理を示す概念図を示す。モバイルIPv6システムは、モバイルノード4−1とホームエージェント4−2とにより構成される。モバイルノード4−1は、自ノードと直接接続されるネットワークから払い出されるIP(Internet Protocol)アドレスを、気付アドレスとしてホームエージェント4−2に登録する。ホームエージェント4−2では、この気付アドレスと該モバイルノード4−1のホームアドレスとの対応付けを管理する。   FIG. 4 is a conceptual diagram showing the basic principle of the mobile IPv6 system. The mobile IPv6 system includes a mobile node 4-1 and a home agent 4-2. The mobile node 4-1 registers an IP (Internet Protocol) address issued from a network directly connected to the mobile node as a care-of address in the home agent 4-2. The home agent 4-2 manages the association between the care-of address and the home address of the mobile node 4-1.

ホームアドレスは、モバイルノード4−1に割り当てられた半固定的なIPアドレスで、モバイルノード4−1が複数のネットワークを跨って移動し、気付アドレスが変更されても通信相手のノード4−3には固定的なホームアドレスを呈示し続けることにより、モバイルノード4−1の移動は通信相手から隠蔽される。   The home address is a semi-fixed IP address assigned to the mobile node 4-1, and even if the mobile node 4-1 moves across a plurality of networks and the care-of address is changed, the communication partner node 4-3 By continuing to present a fixed home address, the movement of the mobile node 4-1 is hidden from the communication partner.

通信相手のノード4−3からモバイルノード4−1のホームアドレス宛てのパケット4−4は、ホームエージェント4−2にルーチングされ、ホームエージェント4−2は自らが管理するホームアドレスと気付アドレスとの対応表4−21により、モバイルノード4−1の気付アドレスを取得し、元のホームアドレス宛てのパケット4−4をこの気付アドレスを用いてカプセリングしたパケット4−5を、該気付アドレス宛に転送する。   The packet 4-4 addressed to the home address of the mobile node 4-1 from the communication partner node 4-3 is routed to the home agent 4-2, and the home agent 4-2 manages the home address and care-of address managed by itself. Based on the correspondence table 4-21, the care-of address of the mobile node 4-1 is acquired, and the packet 4-5 encapsulated using the care-of address for the packet 4-4 addressed to the original home address is transferred to the care-of address. To do.

モバイルノード4−1の気付アドレスは、Binding Updateという手順によりモバイルノード4−1からホームエージェント4−2に通知される。この時、モバイルノード4−1の正当性は、モバイルノード4−1のホームアドレスとホームエージェント4−2のアドレスとの間に設定されたIPsec(IP Security Protocol)のセキュリティアソシエーションにより保護される。   The care-of address of the mobile node 4-1 is notified from the mobile node 4-1 to the home agent 4-2 by a procedure called “Binding Update”. At this time, the validity of the mobile node 4-1 is protected by an IPsec (IP Security Protocol) security association set between the home address of the mobile node 4-1 and the address of the home agent 4-2.

モバイルIPv6システムにおいては、モバイルノード(ユーザー端末)4−1で利用するホームアドレスを、モバイルノード(ユーザー端末)4−1にて自動的に生成することができるが、生成したホームアドレスに応じたIPsecのセキュリティアソシエーションを確立するために、IKE(Internet Key Exchange)などの鍵交換プロトコルを利用する必要がある。   In the mobile IPv6 system, the home address used by the mobile node (user terminal) 4-1 can be automatically generated by the mobile node (user terminal) 4-1, but according to the generated home address. In order to establish an IPsec security association, it is necessary to use a key exchange protocol such as IKE (Internet Key Exchange).

図5はモバイルIP制御のための通信シーケンスの一例を示す。モバイルノード(ユーザー端末)においてホームアドレスを生成し、このホームアドレスとホームエージェントとの間のモバイルIP制御用IPsecのセキュリティアソシエーションを確立するために、IKEの鍵交換プロトコル手順の中でホームエージェントにホームアドレスを通知する(IKE Ph.1,XAUTH,IKE Ph.2)。   FIG. 5 shows an example of a communication sequence for mobile IP control. In order to generate a home address in the mobile node (user terminal) and establish a security association of IPsec for mobile IP control between the home address and the home agent, the home agent is homed in the IKE key exchange protocol procedure. The address is notified (IKE Ph.1, XAUTH, IKE Ph.2).

この鍵交換プロトコル手順の後、モバイルノード(ユーザー端末)とホームエージェントの間で、ホームアドレスと気付アドレスとの対応を登録するモバイルIP登録処理が行われ、該モバイルIP登録処理の完了の後、モバイルIP通信が行われる。   After this key exchange protocol procedure, a mobile IP registration process for registering the correspondence between the home address and the care-of address is performed between the mobile node (user terminal) and the home agent. After the completion of the mobile IP registration process, Mobile IP communication is performed.

モバイルIP通信に関する先行技術文献として、プライベートアドレスで管理される移動端末に対して、移動先のフォーリンネットワーク上でグローバルアドレスを動的に割り当てられるようにしたモバイルIPにおけるアドレス変換方法について、下記の特許文献1に記載されている。また、ホームエージェントを1台以上のサーバーで構成した場合、IPv6エニーキャストアドレスを用いて、位置登録やパケット転送の負荷分散を実現する移動体通信装置及び移動体通信方法について、下記の特許文献2に記載されている。
特開2002−94546号公報 特開2004−120270号公報 As a prior art document related to mobile IP communication, a mobile IP address translation method in which a global address is dynamically assigned to a mobile terminal managed by a private address on a foreign network at a destination is described below. It is described in Document 1. In addition, when a home agent is composed of one or more servers, a mobile communication device and a mobile communication method that realize load distribution for location registration and packet transfer using an IPv6 anycast address are disclosed in Patent Document 2 below. It is described in.
JP 2002-94546 A JP 2004-120270 A

モバイルIPv6システムにおいては、ユーザー端末で利用するホームアドレスの生成がユーザー側に委ねられているため、ホームエージェントに対して正規のアカウントを有するユーザーが、他人の利用するホームアドレスを用いて通信を奪い取ってしまうことが可能となる。   In the mobile IPv6 system, since the generation of the home address used by the user terminal is entrusted to the user side, a user who has a legitimate account with respect to the home agent seizes communication using the home address used by another person. It becomes possible to end.

IKEの鍵交換プロトコル手順において、該鍵交換プロトコルによる通信を実行しているユーザーの正当性は認証することができるが、前述の気付アドレスを用いてカプセリングしたパケット4−5は他の者が見ることができ、その中に格納されたホームアドレスを他の者が知り得る状態に置かれ、IKEの鍵交換プロトコル手順でユーザーの正当性が確認されても、そのユーザーが本来使用することが許されたホームアドレスを指定したかについては確認する術が無いことから、IKEの鍵交換プロトコルでは正当と認証されるユーザーが、他人のホームアドレスを盗用することにより他人のホームアドレスを詐称し、他人に成り済ますことを防ぐことができない。本発明は、モバイルノードのユーザーが他人のホームアドレスを盗用して他人に成り済まして通信を行うのを防ぐことを目的とする。   In the IKE key exchange protocol procedure, the legitimacy of the user who is executing communication using the key exchange protocol can be authenticated, but the packet 4-5 encapsulated by using the care-of address described above is viewed by others. Even if the home address stored in the IKE key exchange protocol procedure is confirmed by the IKE key exchange protocol procedure, the user can use the home address stored in the home address. Because there is no way to confirm whether the designated home address has been specified, a user who is authenticated by the IKE key exchange protocol misrepresents the home address of another person by stealing the home address of the other person, I can't prevent being impersonated. An object of the present invention is to prevent a mobile node user from stealing another person's home address and impersonating another person to communicate.

本発明の移動体通信システムは、(1)モバイルIPv6による移動体通信サービスを提供するホームエージェントに対して、モバイルノードのユーザー端末でホームアドレスを生成し、ホームエージェントとユーザー端末との間で、該ユーザー端末の正当性の認証手順を経て、該ホームアドレスをホームエージェントに登録する移動体通信システムにおいて、前記ユーザー端末は、ホームアドレスを生成する際に、ホームアドレスにユーザー固有の情報を括り付けたホームアドレスを生成するホームアドレス生成手段を備え、前記ホームエージェントは、前記ユーザー端末で生成されたホームアドレスを受信し、該ホームアドレスが該ユーザー固有の情報を括り付けられたものであるかどうかをチェックするホームアドレスチェック手段と、該ホームアドレスが該ユーザー固有のものでないと判定した場合に、以降のモバイルIPv6による移動体通信サービスのプロトコル手順の実行を拒絶する手段とを備えたことを特徴とする。   The mobile communication system of the present invention (1) generates a home address at a user terminal of a mobile node for a home agent that provides a mobile communication service based on Mobile IPv6, and between the home agent and the user terminal, In a mobile communication system that registers the home address with a home agent through the user terminal validity authentication procedure, the user terminal binds user-specific information to the home address when generating the home address. Home address generating means for generating a home address, wherein the home agent receives the home address generated by the user terminal and whether the home address is associated with information specific to the user. Home address check means to check In a case where the home address is determined not intended the user-specific, and further comprising a means for rejecting the execution of the steps of the protocol mobile communication service by a mobile IPv6 later.

また、(2)前記ホームアドレスに括り付けるユーザー固有の情報として、ユーザー端末とホームエージェントとの間で共通に保持された秘密鍵情報を元に生成したユーザー固有の情報を用いたことを特徴とする。   (2) The user-specific information generated based on the secret key information held in common between the user terminal and the home agent is used as the user-specific information linked to the home address. To do.

また、(3)前記ホームアドレスに括り付けるユーザー固有の情報として、IKEの鍵交換プロトコル手順において交換されるユーザー識別情報を元に生成したユーザー固有情報を用いたことを特徴とする。   (3) The user-specific information generated based on the user identification information exchanged in the IKE key exchange protocol procedure is used as the user-specific information tied to the home address.

また、(4)前記ホームアドレスに括り付けるユーザー固有の情報として、IKEの鍵交換プロトコル手順におけるXAUTH認証に用いるユーザー識別情報を元に生成したユーザー固有情報を用いたことを特徴とする。   Further, (4) the user-specific information generated based on the user identification information used for XAUTH authentication in the IKE key exchange protocol procedure is used as the user-specific information tied to the home address.

また、(5)本発明のホームアドレス成り済まし防止方法は、(5)モバイルIPv6による移動体通信サービスを提供するホームエージェントに対して、モバイルノードのユーザー端末でホームアドレスを生成し、ホームエージェントとユーザー端末との間で、該ユーザー端末の正当性の認証手順を経て、該ホームアドレスをホームエージェントに登録する移動体通信システムにおいて、前記ユーザー端末は、ホームアドレスを生成する際に、ホームアドレスにユーザー固有の情報を括り付けたホームアドレスを生成し、前記ホームエージェントは、前記ユーザー端末で生成されたホームアドレスを受信し、該ホームアドレスが該ユーザー固有の情報を括り付けられたものであるかどうかをチェックすることを特徴とする。   Further, (5) the home address spoofing prevention method of the present invention is (5) for a home agent that provides a mobile communication service based on Mobile IPv6, a home address is generated at a user terminal of a mobile node, and the home agent and user In a mobile communication system in which the home address is registered with a home agent through the authentication procedure for the validity of the user terminal with the terminal, when the user terminal generates the home address, the user terminal Generating a home address in which unique information is bundled, and the home agent receives the home address generated in the user terminal, and whether the home address is bundled with the user-specific information It is characterized by checking.

本発明によれば、ユーザー端末でホームアドレスを生成する際に、該ホームアドレスとユーザー識別情報との間に依存関係を有するホームアドレスを生成し、ホームエージェントにおいて、ユーザー端末で生成されたホームアドレスのユーザー識別情報との依存関係をチェックすることにより、ユーザー端末で恣意的にホームアドレスを生成して通信することができないようにし、他人にホームアドレスを盗用されて通信を横取りされたり、他人が本人に成り済まして通信を行ったりするのを防ぎ、通信の安全性を高めることができる。   According to the present invention, when generating a home address at a user terminal, a home address having a dependency relationship between the home address and user identification information is generated, and the home address generated at the user terminal in the home agent is generated. By checking the dependency relationship with the user's user identification information, it is possible to arbitrarily generate a home address on the user terminal so that communication is not possible, and the other person's home address is stolen and communication is intercepted. It is possible to prevent communication by impersonating the person and improve communication safety.

図1に本発明によるモバイルIP制御のための通信シーケンスの一例を、図2にそのフローチャートを示す。モバイルノード(ユーザー端末)1−1でホームアドレスを生成するが、モバイルノード(ユーザー端末)1−1で生成するホームアドレスの一部に、そのユーザー固有の情報を設定することを強いることにより、本人以外によるホームアドレスの使用を禁止するようにしたものである。   FIG. 1 shows an example of a communication sequence for mobile IP control according to the present invention, and FIG. By generating a home address in the mobile node (user terminal) 1-1, and forcing the user-specific information to be set in a part of the home address generated in the mobile node (user terminal) 1-1, The home address is prohibited from being used by anyone other than you.

モバイルノード(ユーザー端末)1−1は、ホームアドレスの一部にそのユーザー固有の情報(例.ユーザーアカウント情報)を設定したホームアドレスを生成し、ホームエージェント1−2との間のモバイルIP制御用IPsecのセキュリティアソシエーションを確立するために、IKEの鍵交換プロトコル手順(IKE Ph.1,XAUTH,IKE Ph.2)の中でホームエージェント1−2にそのホームアドレスを通知する。   The mobile node (user terminal) 1-1 generates a home address in which information specific to the user (eg, user account information) is set in a part of the home address, and mobile IP control with the home agent 1-2 In order to establish a security association for IPsec, the home address is notified to the home agent 1-2 in the IKE key exchange protocol procedure (IKE Ph.1, XAUTH, IKE Ph.2).

ホームエージェント1−2では、モバイルノード(ユーザー端末)1−1で生成されたホームアドレスをチェックし、該ホームアドレスに設定されたユーザー固有情報とユーザーアカウント情報とを照らし合わせることによりその妥当性を判断し、不正であると認識した場合は手順を中断する。これにより、本人以外のホームアドレスの使用を禁止し、成り済ましを防ぐ。   The home agent 1-2 checks the home address generated by the mobile node (user terminal) 1-1 and checks the validity by comparing the user specific information set in the home address with the user account information. Judgment is made and the procedure is interrupted when it is recognized as illegal. This prohibits the use of home addresses other than the principal and prevents impersonation.

図2の(a)はモバイルノード側のモバイルIP制御の処理フローを示し、図2の(b)はホームエージェント側のモバイルIP制御の処理フローを示す。同図に示すように、モバイルノード側では、ホームアドレスの一部にそのユーザー固有の情報(例.ユーザーアカウント情報)を設定したホームアドレスを生成し(ステップ2−1)、モバイルIP制御用IPsec鍵交換手順を実施してホームエージェントに該ホームアドレスを通知する(ステップ2−2。)   2A shows a processing flow of mobile IP control on the mobile node side, and FIG. 2B shows a processing flow of mobile IP control on the home agent side. As shown in the figure, on the mobile node side, a home address in which user-specific information (eg, user account information) is set in a part of the home address is generated (step 2-1), and the mobile IP control IPsec is generated. A key exchange procedure is executed to notify the home agent of the home address (step 2-2).

モバイルノードは、ホームエージェントとの上記鍵交換手順において、ホームエージェントから通知される鍵交換の結果の正常性を判定し(ステップ2−3)、正常でない場合は手順を中断し、正常の場合にモバイルIP制御用IPsecのセキュリティアソシエーションを確立し(ステップ2−4)、位置登録を実施する(ステップ2−5)。   In the key exchange procedure with the home agent, the mobile node determines the normality of the result of the key exchange notified from the home agent (step 2-3). If it is not normal, the mobile node interrupts the procedure. The mobile IP control IPsec security association is established (step 2-4), and location registration is performed (step 2-5).

一方、ホームエージェント側では、モバイルノードとのIPsec鍵交換手順を開始し(ステップ2−6)、モバイルノードで生成されたホームアドレスのユーザー固有情報とユーザーアカウント情報とを照らし合わせることにより、そのホームアドレスの正常性を判定し(ステップ2−7)、正常でない場合は手順を中断し、正常である場合にIPsec鍵交換手順を継続し(ステップ2−8)、鍵交換の結果の正常性を判定し(ステップ2−9)、正常でない場合は手順を中断し、正常である場合にモバイルノードとのIP制御用IPsecのセキュリティアソシエーションを確立し(ステップ2−10)、位置登録の受付を行う(ステップ2−11)。   On the other hand, on the home agent side, an IPsec key exchange procedure with the mobile node is started (step 2-6), and the home-specific user address information generated by the mobile node is compared with the user account information to determine the home agent side. The normality of the address is determined (step 2-7). If it is not normal, the procedure is interrupted. If it is normal, the IPsec key exchange procedure is continued (step 2-8). If it is not normal, the procedure is interrupted. If it is normal, an IPsec security association with the mobile node is established (step 2-10), and location registration is accepted. (Step 2-11).

(ホームアドレスの生成について)
図3にホームアドレス生成の一例を示す。モバイルノードで生成するホームアドレスは、同図に示すように、「プリフィックス」、「ユーザー固有値」及び「任意の値」という3つのフィールドから成る。それぞれのフィールドのビット長は任意に定めることができるが、ホームアドレス全体の合計ビット長は、IPv6のアドレス長の128ビットである。 (About home address generation)
FIG. 3 shows an example of home address generation. As shown in the figure, the home address generated by the mobile node is composed of three fields: “prefix”, “user-specific value”, and “arbitrary value”. Although the bit length of each field can be determined arbitrarily, the total bit length of the entire home address is 128 bits, which is the IPv6 address length.

「プリフィックス」は、ネットワークアドレスを示す部分であり、ネットワーク設計時に設計者によって付与される。「ユーザー固有値」は、ユーザーを識別することができる固有の情報より導出さる情報を設定する部分であり、例えばユーザーのアカウント情報(ユーザー識別情報(以下「ユーザーID」という))に対してハッシュ(Hash)関数による計算を行って求めた値を格納する。「任意の値」の部分には例えば乱数、シーケンス番号など、運用形態に応じた適切な値を付与することができる。   The “prefix” is a part indicating a network address, and is given by a designer at the time of network design. The “user unique value” is a part for setting information derived from unique information that can identify a user. For example, a hash (for user account information (user identification information (hereinafter referred to as “user ID”)) A value obtained by performing a calculation using a (Hash) function is stored. In the “arbitrary value” portion, for example, a random value, a sequence number, or the like can be given an appropriate value according to the operation mode.

(ホームアドレスチェックについて)
ホームエージェントにおいて、モバイルノードと同様の手法で、ユーザーアカウント情報等のユーザー固有値に対してハッシュ(Hash)関数による計算を行い、ユーザー固有値対応の値を求める。そして、ユーザー端末より送信されるホームアドレスの「ユーザー固有値」フィールドと、ホームエージェントで求めたユーザー固有値対応の値とを比較し、ホームアドレスがユーザー本人のものであることを確認する。ホームアドレスのチェックは、IKEなどの鍵交換プロトコル手順の中で実施され、チェックの結果、不正であると判断された場合は、鍵交換プロトコルの手順を中断する。 (About home address check)
In the home agent, a user-specific value such as user account information is calculated using a hash function by a method similar to that of the mobile node, and a value corresponding to the user-specific value is obtained. Then, the “user unique value” field of the home address transmitted from the user terminal is compared with the value corresponding to the user unique value obtained by the home agent to confirm that the home address belongs to the user himself / herself. The home address check is performed in a key exchange protocol procedure such as IKE. If the result of the check indicates that it is illegal, the key exchange protocol procedure is interrupted.

(ユーザー固有値について)
ユーザー固有値の生成手法は任意であるが、ホームエージェント側でそれがユーザー本人の真正なものであることを確認することができる情報に基づいて生成されるものでなければはならない。例えば、IKEの鍵交換プロトコル手順の実施時に、モバイルノードよりホームエージェントに対して通知されるユーザーアカウント情報(ユーザーID)は、IKEの鍵交換プロトコル手順において認証され、本人のものであることの確認が得られる。 (About user-specific values)
The method for generating the user-specific value is arbitrary, but it must be generated based on information on the home agent side that can confirm that the user is authentic. For example, when the IKE key exchange protocol procedure is executed, the user account information (user ID) notified from the mobile node to the home agent is authenticated by the IKE key exchange protocol procedure, and it is confirmed that it is the user's own. Is obtained.

このユーザーアカウント情報(ユーザーID)とホームアドレス生成に必要なユーザー固有値との間に依存関係を持たせておき、鍵交換プロトコル手順において認証されるユーザーが、そのユーザーに許容された範囲でホームアドレスの選択を行った場合には、そのホームアドレスをユーザー本人のものとして利用可能にするが、その範囲を外れた「他人に割り当てられるべき」ホームアドレスを使用しようとした場合は、ホームエージェントにおいてそのホームアドレスの利用を拒否する。   There is a dependency between the user account information (user ID) and the user specific value necessary for generating the home address, and the user who is authenticated in the key exchange protocol procedure is within the range permitted by the user. The home address is made available to the user himself / herself, but if a home address that is “out of range” is to be used, the home agent Deny use of home address.

ユーザー固有値生成の基となる情報は、ユーザーアカウント情報(ユーザーID)のほか、IKEの鍵交換プロトコル手順中に実行されるXAUTH認証のユーザーIDや、モバイルノードとホームエージェントとで共有する秘密の認証情報(秘密鍵)などを利用することができる。   In addition to the user account information (user ID), the information that is the basis for generating the user unique value is the XAUTH authentication user ID executed during the IKE key exchange protocol procedure, and the secret authentication shared between the mobile node and the home agent Information (private key) can be used.

モバイルノード及びホームエージェントは、共にホームアドレスを動的に生成することを許容するように設定しておく。モバイルノードは、ホームアドレスにユーザー固有の情報を括り付けてホームアドレスの生成を行う。この一例としては、IPv6のアドレス128ビットの内、プリフィックスが64ビット、それに続く32ビットのフィールドをユーザー固有値の設定フィールド、残り32ビットを乱数の設定フィールドとして定義することができる。   Both the mobile node and the home agent are set to allow the home address to be dynamically generated. The mobile node generates a home address by binding user-specific information to the home address. As an example of this, it is possible to define a field having a prefix of 64 bits, followed by a 32-bit field in the IPv6 address 128 bits as a user-specific value setting field, and the remaining 32 bits as a random number setting field.

モバイルノードは位置登録の手順を実行するのに先立ち、IKEなどのIPsec鍵交換プロトコルを実行し、生成したホームアドレスを用いたIPsecのセキュリティアソシエーションの設定を試みる。ホームエージェントはIPsec鍵交換プロトコル手順内で取得したホームアドレスが、モバイルノードとホームエージェントとの間で事前に取り決めた規則に従っているかをチェックし、従っていない場合は鍵交換手順を中断し、IPsecのセキュリティアソシエーションの設定を拒絶する。   Prior to executing the location registration procedure, the mobile node executes an IPsec key exchange protocol such as IKE and attempts to set up an IPsec security association using the generated home address. The home agent checks whether the home address obtained in the IPsec key exchange protocol procedure conforms to the rules agreed in advance between the mobile node and the home agent, and if not, interrupts the key exchange procedure and Reject the association setting.

ユーザー固有値を生成する第1、第2及び第3の実施例を以下に示す。第1の実施例として、モバイルノードとホームエージェントとの間で、IKE鍵交換プロトコルを用いてIPsecの鍵交換を行い、IKE鍵交換プロトコル手順の認証方式として、共有秘密鍵方式を用いるものとする。モバイルノードとホームエージェントとは、その間で共通に保持する秘密情報(秘密鍵)をMD5等のハッシュ関数に作用させることによりユーザー固有値を生成する。   First, second, and third embodiments for generating user specific values are shown below. As a first embodiment, IPsec key exchange is performed between a mobile node and a home agent using an IKE key exchange protocol, and a shared secret key method is used as an authentication method of the IKE key exchange protocol procedure. . The mobile node and the home agent generate user-specific values by applying secret information (secret key) held in common between them to a hash function such as MD5.

第2の実施例として、モバイルノードとホームエージェントとの間で、IKE鍵交換プロトコルを用いてIPsecの鍵交換を行い、IKE鍵交換プロトコル手順の認証方式として、共有秘密鍵方式を用いるものとする。モバイルノードとホームエージェントとは、IKE鍵交換プロトコル手順で用いるユーザーIDをMD5等のハッシュ関数に作用させることによりユーザー固有値を生成する。IKE鍵交換プロトコルのフェーズ1の手順において認証が完了したことにより、ホームエージェントはそのユーザーIDが有効であると判断し、これ以降にホームアドレスのチェックを行う。   As a second embodiment, IPsec key exchange is performed between a mobile node and a home agent using an IKE key exchange protocol, and a shared secret key method is used as an authentication method of the IKE key exchange protocol procedure. . The mobile node and the home agent generate a user specific value by applying a user ID used in the IKE key exchange protocol procedure to a hash function such as MD5. When the authentication is completed in the procedure of phase 1 of the IKE key exchange protocol, the home agent determines that the user ID is valid, and thereafter checks the home address.

第3の実施例として、モバイルノードとホームエージェントとの間で、IKE鍵交換プロトコルを用いてIPsecの鍵交換を行い、IKE鍵交換プロトコルの手順の認証方式としてユーザーIDとパスワードとに基づいたXAUT認証H方式を用いるものとする。具体的には、モバイルノードとホームエージェントとは、XAUTH認証方式での認証に用いるユーザーIDをMD5等のハッシュ関数に作用させることによりユーザー固有値を生成する。   As a third embodiment, an IPsec key exchange is performed between a mobile node and a home agent using an IKE key exchange protocol, and an XAUT based on a user ID and a password is used as an authentication method for the procedure of the IKE key exchange protocol. It is assumed that the authentication H method is used. Specifically, the mobile node and the home agent generate a user specific value by applying a user ID used for authentication in the XAUTH authentication method to a hash function such as MD5.

パスワードと組み合わせて正当性が確認されたことにより、ホームエージェントはそのユーザーIDが有効であると判断し、これ以降にホームアドレスのチェックを行う。この第3の実施例によれば、認証サーバーと連携させてホームアドレスのチェックを行うことができる。   When the validity is confirmed in combination with the password, the home agent determines that the user ID is valid, and thereafter checks the home address. According to the third embodiment, the home address can be checked in cooperation with the authentication server.

本発明によるモバイルIP制御のための通信シーケンスの一例を示す図である。It is a figure which shows an example of the communication sequence for the mobile IP control by this invention. 本発明によるモバイルIP制御の処理フローを示す図である。It is a figure which shows the processing flow of the mobile IP control by this invention. 本発明によるホームアドレス生成の一例を示す図である。It is a figure which shows an example of the home address generation by this invention. モバイルIPv6システムの基本的な原理を示す概念図である。It is a conceptual diagram which shows the basic principle of a mobile IPv6 system. モバイルIP制御のための通信シーケンスの一例を示す図である。It is a figure which shows an example of the communication sequence for mobile IP control.

符号の説明Explanation of symbols

1−1 モバイルノード(ユーザー端末)
1−2 ホームエージェント 1-1 Mobile node (user terminal)
1-2 Home Agent

Claims (5)

モバイルIPv6(Mobile Internet Protocol version6)による移動体通信サービスを提供するホームエージェントサーバーに対して、モバイルノードのユーザー端末でホームアドレスを生成し、ホームエージェントサーバーとユーザー端末との間で、該ユーザー端末の正当性の認証手順を経て、該ホームアドレスをホームエージェントサーバーに登録する移動体通信システムにおいて、
前記ユーザー端末は、ホームアドレスを生成する際に、ホームアドレスにユーザー固有の情報を括り付けたホームアドレスを生成するホームアドレス生成手段を備え、
前記ホームエージェントサーバーは、前記ユーザー端末で生成されたホームアドレスを受信し、該ホームアドレスが該ユーザー固有の情報を括り付けられたものであるかどうかをチェックするホームアドレスチェック手段と、該ホームアドレスが該ユーザー固有のものでないと判定した場合に、以降のモバイルIPv6による移動体通信サービスのプロトコル手順の実行を拒絶する手段とを備えたことを特徴とする移動体通信システム。 For a home agent server that provides a mobile communication service based on Mobile IPv6 (Mobile Internet Protocol version 6), a home address is generated at the user terminal of the mobile node, and the user terminal is connected between the home agent server and the user terminal. In a mobile communication system in which the home address is registered in the home agent server through a validity authentication procedure,
The user terminal comprises a home address generating means for generating a home address in which user-specific information is bound to a home address when generating a home address,
The home agent server receives a home address generated by the user terminal, and checks whether the home address is a bundle of information unique to the user, and the home address A mobile communication system comprising: means for rejecting execution of a subsequent mobile communication service protocol procedure by Mobile IPv6 when it is determined that is not unique to the user. 前記ホームアドレスに括り付けるユーザー固有の情報として、ユーザー端末とホームエージェントサーバーとの間で共通に保持された秘密鍵情報を元に生成したユーザー固有の情報を用いたことを特徴とする請求項1に記載の移動体通信システム。   The user-specific information generated based on secret key information held in common between the user terminal and the home agent server is used as the user-specific information to be bundled with the home address. The mobile communication system according to 1. 前記ホームアドレスに括り付けるユーザー固有の情報として、IKE(Internet Key Exchange)の鍵交換プロトコル手順において交換されるユーザー識別情報を元に生成したユーザー固有情報を用いたことを特徴とする請求項1に記載の移動体通信システム。   The user-specific information generated based on user identification information exchanged in an IKE (Internet Key Exchange) key exchange protocol procedure is used as the user-specific information linked to the home address. The mobile communication system described. 前記ホームアドレスに括り付けるユーザー固有の情報として、IKE(Internet Key Exchange)の鍵交換プロトコル手順におけるXAUTH認証に用いるユーザー識別情報を元に生成したユーザー固有情報を用いたことを特徴とする請求項1に記載の移動体通信システム。   The user-specific information generated based on the user identification information used for XAUTH authentication in the IKE (Internet Key Exchange) key exchange protocol procedure is used as the user-specific information bundled with the home address. The mobile communication system according to 1. モバイルIPv6(Mobile Internet Protocol version6)による移動体通信サービスを提供するホームエージェントサーバーに対して、モバイルノードのユーザー端末でホームアドレスを生成し、ホームエージェントサーバーとユーザー端末との間で、該ユーザー端末の正当性の認証手順を経て、該ホームアドレスをホームエージェントサーバーに登録する移動体通信システムにおいて、
前記ユーザー端末は、ホームアドレスを生成する際に、ホームアドレスにユーザー固有の情報を括り付けたホームアドレスを生成し、
前記ホームエージェントサーバーは、前記ユーザー端末で生成されたホームアドレスを受信し、該ホームアドレスが該ユーザー固有の情報を括り付けられたものであるかどうかをチェックすることを特徴とするホームアドレス成り済まし防止方法。 For a home agent server that provides a mobile communication service based on Mobile IPv6 (Mobile Internet Protocol version 6), a home address is generated at the user terminal of the mobile node, and the user terminal is connected between the home agent server and the user terminal. In a mobile communication system in which the home address is registered in the home agent server through a validity authentication procedure,
When generating the home address, the user terminal generates a home address in which user-specific information is bundled with the home address,
The home agent server receives a home address generated by the user terminal, and checks whether the home address is bound with information unique to the user, preventing home address impersonation Method.
JP2004235705A 2004-08-13 2004-08-13 Mobile object communication system and method for preventing home address from being pretended Withdrawn JP2006054733A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004235705A JP2006054733A (en) 2004-08-13 2004-08-13 Mobile object communication system and method for preventing home address from being pretended

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004235705A JP2006054733A (en) 2004-08-13 2004-08-13 Mobile object communication system and method for preventing home address from being pretended

Publications (1)

Publication Number Publication Date
JP2006054733A true JP2006054733A (en) 2006-02-23

Family

ID=36031904

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004235705A Withdrawn JP2006054733A (en) 2004-08-13 2004-08-13 Mobile object communication system and method for preventing home address from being pretended

Country Status (1)

Country Link
JP (1) JP2006054733A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008017343A (en) * 2006-07-07 2008-01-24 Nippon Telegr & Teleph Corp <Ntt> Communication system and communication method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008017343A (en) * 2006-07-07 2008-01-24 Nippon Telegr & Teleph Corp <Ntt> Communication system and communication method
JP4608466B2 (en) * 2006-07-07 2011-01-12 日本電信電話株式会社 Communication system and communication method

Similar Documents

Publication Publication Date Title
CN101507235B (en) Method and arrangement for provision of wire-free mesh network
JP4768720B2 (en) Method and system for managing user terminals accessing network by applying generic authentication architecture
JP5097273B2 (en) Authentication key and method for establishing secure wireless communication
JP4801147B2 (en) Method, system, network node and computer program for delivering a certificate
JP4302398B2 (en) Internet protocol addressing mechanism
CN101965722B (en) Re-establishment of a security association
US8000704B2 (en) Fast network attachment
CN110800331A (en) Network verification method, related equipment and system
JP2004343764A (en) Execution of authentication within communication system
JP2006086907A (en) Setting information distribution device and method, program, medium, and setting information receiving program
KR20100126783A (en) Ip address delegation
KR20080086127A (en) A method and apparatus of security and authentication for mobile telecommunication system
JP4299621B2 (en) Service providing method, service providing program, host device, and service providing device
CN104869121A (en) 802.1x-based authentication method and device
US8275987B2 (en) Method for transmission of DHCP messages
JPWO2009011120A1 (en) Address generation method, address generation system, communication apparatus, communication method, communication system, and destination communication apparatus
JPH11161618A (en) Mobile computer management device, mobile computer device, and mobile computer registering method
JP2004194196A (en) Packet communication authentication system, communication controller and communication terminal
JP2007310619A (en) Authentication method and authentication system using the same
JPH11331181A (en) Network terminal authenticating device
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
JP2006054733A (en) Mobile object communication system and method for preventing home address from being pretended
JP4768547B2 (en) Authentication system for communication devices
CN105681364B (en) A kind of IPv6 mobile terminal attack resistance method based on enhancing binding
Zhu et al. A web database Security model using the Host identity protocol

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20071106