JP2006514815A - 私設ネットワークとローミング移動端末との間の通信 - Google Patents
私設ネットワークとローミング移動端末との間の通信 Download PDFInfo
- Publication number
- JP2006514815A JP2006514815A JP2005518696A JP2005518696A JP2006514815A JP 2006514815 A JP2006514815 A JP 2006514815A JP 2005518696 A JP2005518696 A JP 2005518696A JP 2005518696 A JP2005518696 A JP 2005518696A JP 2006514815 A JP2006514815 A JP 2006514815A
- Authority
- JP
- Japan
- Prior art keywords
- address
- mobile terminal
- gateway
- new
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 49
- 238000004891 communication Methods 0.000 title claims abstract description 48
- 230000011664 signaling Effects 0.000 claims abstract description 28
- 238000012790 confirmation Methods 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
私設ネットワーク(1)とローミング移動端末(4)との間の通信であり、私設ネットワーク(1)は移動端末のためのホームエージェント(5)と、通信が通過するものであり、私設ネットワーク(1)のための機密保護を提供するゲートウェイ(2,3)とを備える。セキュリティアソシエーションバンドルを有する通信のプロトコルは夫々、移動端末(4)とゲートウェイ(2,3)との間のインバウンド通信用のセキュリティアソシエーション、および、アウトバウンド通信用の他のセキュリティアソシエーションを有する。移動端末(4)のIPアドレス(MN気付アドレス)を、新IPアドレス(MN新気付アドレス)に変更させる通信のハンドオーバーに対応し、移動端末は、ゲートウェイ(2,3)からのインバウンドセキュリティアソシエーションを更新し、宛先として新IPアドレス(MN新気付アドレス)を付され、移動端末に対して送信されたパケットを受信できる。移動端末は、宛先としてホームエージェント(5)を付され、新IPアドレス(MN新気付アドレスはセキュリティを有する形式であることをホームエージェント(5)に対して示す第1のシグナリングメッセージを、セキュリティを有するトンネル(20´)にてゲートウェイ(2,3)に対して送信する。移動端末(4)からゲートウェイ(2,3)のインバウンドセキュリティアソシエーションは、第1のシグナリングメッセージを、同メッセージの発信元を照合することなく、承認する。ゲートウェイ(2,3)は、私設ネットワーク(1)内の第1のシグナリングメッセージをホームエージェント(5)に対して転送し、ホームエージェント(5)は、第1のシグナリングメッセージの有効性を照合し、第1のシグナリングメッセージが有効なら、第1のシグナリングメッセージのアドレスデータを更新し、新アドレス(MN新気付アドレス)を示す第2のシグナリングメッセージをゲートウェイ(2,3)に対して送信する。ゲートウェイ(2,3)は、示された新アドレス(MN新気付アドレス)に応答して移動端末(4)とのアウトバウンドセキュリティアソシエーションを更新する。好ましくは、移動ノード(4)とゲートウェイ(2,3)との間の通信は、IPsecに従い、且つ、カプセル化セキュリティペイロードプロトコルがトンネルモードにおいて使用される。好ましくは、移動端末(4)のための登録確認は、第2のシグナリングメッセージに含まれる。
Description
本発明は、私設ネットワークとローミング移動端末との間の通信に関する。
多くの組織が私設ネットワークを利用しており、私設ネットワークと私設ネットワーク外の端末との通信は、ファイヤウォールなどの技術を用いて私設ネットワークを保護するセキュリティゲートウェイを通過する。
私企業の情報を保護することは、情報基幹設備を設計するときに極めて重要である。しかし、個別の私設ネットワーキングソリューションには費用がかかり、事業要件の変化に適応して迅速に更新することはできない。一方、インターネットは安価ではあるが、それ自身でプライバシーを保証するものではない。仮想私設ネットワーク化は、私設ネットワーク化での要求に対する解決策を提供するべく、公衆ネットワーク、特にインターネットに適用された一連の技術である。仮想私設ネットワークは、物理的に分離するのではなく、セキュリティトンネルを介した難読化を用い、通信のプライバシーを維持する。
従って、仮想私設ネットワーク(virtual private network、VPN)はローミング端末、即ち私設ネットワーク外に存在する端末との通信、例えば、インターネットを介した通信、および移動電話ネットワーク上の通信においてセキュリティが確保された通信を可能とするように、私設ネットワークを拡張可能とする。インターネットはインターネットプロトコル(Internet Protocol、IP)を用い、移動端末の通信は、大抵はモバイルインターネットプロトコル(Mobile Internet Protocol、MIP)を用いる。
仮想私設ネットワークでのローミングの使用は、一層拡大し、且つ、一層頻繁となるであろうと期待される。このような頻繁にローミングする使用者は、企業用VPN/ファイヤーウォールアーキテクチャを介し、固定端末とも、または時折ローミングを行う端末とも同水準のセキュリティを付与される必要があろう。
異なるネットワークには、異なる通信およびセキュリティプロトコルが使用される。インターネットセキュリティプロトコルの例としては、IPsec仕様(S.Kent,R.Atkinson,「インターネットプロトコルのためのセキュリティアーキテクチャ(Security Architecture for the Internet Protocol)」インターネットエンジニアリングタスクフォース(IETF),RFC 2401,1998年11月)がある。移動電話通信プロトコルの例としては、モバイルIPv4仕様(C.Perkins,「IP移動性サポート(IP Mobility Support)」,RFC 2002,1996年10月)、およびモバイルIPv6仕様がある。VPNプロトコルがIPsecカプセル化セキュリティペイロードであり、移動体プロトコル(mobility protocol)がモバイルIPであり、両プロトコルが同一のIP階層にて実行されているとき、これら2つのプロトコルは、同時に要求されたときに、どのように相互に関連し合うかを定める必要がある。
モバイルIPを先に用いても、またはIPsecを先に用いても、基本アプリケーション命令を越えれば、包括的な解決策は以下の主要な3つの要求に答えることを目指さねばならない。
・セキュリティについて VPN基幹設備はモバイルIPの使用者をサポートできる
が、このことが、いかなる法人(企業ネットワーク使用者、および、移動体使用者、または、たまにローミングする使用者)に対しても新規なセキュリティ上の不備を生じてはならない。モバイルIP対応可能な装置は、移動体使用者に対して、あたかも移動体使用者が物理的に当該企業ネットワーク内に位置するかのような、同一水準のセキュリティを提供しなければならない。一方、モバイルIP群は、企業セキュリティ基幹設備(ファイヤウォール)により適切に保護されねばならず、且つ、モバイルIPセキュリティメカニズムは、全世界的なセキュリティメカニズムと干渉してはならない。
が、このことが、いかなる法人(企業ネットワーク使用者、および、移動体使用者、または、たまにローミングする使用者)に対しても新規なセキュリティ上の不備を生じてはならない。モバイルIP対応可能な装置は、移動体使用者に対して、あたかも移動体使用者が物理的に当該企業ネットワーク内に位置するかのような、同一水準のセキュリティを提供しなければならない。一方、モバイルIP群は、企業セキュリティ基幹設備(ファイヤウォール)により適切に保護されねばならず、且つ、モバイルIPセキュリティメカニズムは、全世界的なセキュリティメカニズムと干渉してはならない。
・適合性について 移動体IPとIPsecとの間での交信を最適化できる解決策は、プロトコル仕様の大幅修正を回避するべきである。最適で複合的な解決策を用いることによって、移動体IPプロトコルおよびIPsecプロトコルの将来における進歩は、極度には困難なものではないに違いない。複合的な解決策の使用に関しては、このような進歩はまだ見えていないに違いない。
・性能について 本発明は、ハンドオーバーの品質に関し、移動体の使用者の具体的な要求に答えねばならない。即ち、ハンドオーバーは可能な限り迅速に行われなければならない。
仮想私設ネットワーク用の通信プロトコルの一例は、トンネルモードに使用されるESP(カプセル化セキュリティペイロード、Encapsulating Security Payload)プロトコル(S.Kent、R.Atkinson,「IPカプセル化セキュリティペイロード(IP Encapsulating Security Payload)」インターネットエンジニアリングタスクフォース(IETF),RFC 2406,1998年11月)である。最も重要な点は、下記のものである。
・全ての着信IPパケットは、新規なトンネルにトンネリングされる。内部の(元の)発信元アドレスおよび宛先アドレスは変更されない。
・全ての着信IPパケットは暗号化され、任意で(推奨されるが)認証される。
・全ての着信IPパケットは暗号化され、任意で(推奨されるが)認証される。
ESPトンネルモードは、定義により、単一方向のピアツーピアプロトコルである。送信者(暗号化し、トンネリングを行う人)および受信者(トンネリング解除および復号化を行う人)は、暗号化機密(例えば、暗号化および復号化用のキーおよびアルゴリズム)を共有しなければならない。一連のセキュリティパラメータ(プロトコル、キー、アルゴリズム、送信者アドレス、受信者アドレス、有効期限など)は、いわゆるIPsecセキュリティアソシエーション(SA)を構成する。IPsecが確実に単一方向の通信を行うには、2つのSA(SAバンドル)を要する。それらのSAの一方は送信者に対するものであり、他方は受信者(ある共通のパラメータ、例えばキーを付して)に対するものである。
VPN通信は双方向(移動ノード(MN)からVPNゲートウェイへ、および、VPNゲートウェイからMNへ)なので、2つのSAバンドルが必要とされる。第1のバンドルは、MNからVPNゲートウェイへのトンネルを記述し、第2のバンドルは、VPNゲートウェイからMNへのトンネルを記述する。「VPNゲートウェイ」という意味は、プロトコルによって具体化されるものではないことは、留意されるべきである。VPNゲートウェイは、ローミング移動ノードへの、およびローミング移動ノードからの全てのVPNのセキュリティを有するトンネルを、企業ネットワーク側において終結させる単なるトポロジーエンティティである。
SAセレクタはIPsecパケットの処理に使用される。基本的に、SAセレクタは、以下をチェックするためにIPsec階層により使用されるIPパラメータである。
・あるアウトバウンドSAにより定義されたトンネルにまさに送信されようとするパケットは、該SA(例えば、パケットの発信元および宛先アドレスは、SAの発信元および宛先アドレスと合致する)を付されて送付されるべきものである。この検査は、アウトバウンドSAセレクタチェックと称される。
・あるアウトバウンドSAにより定義されたトンネルにまさに送信されようとするパケットは、該SA(例えば、パケットの発信元および宛先アドレスは、SAの発信元および宛先アドレスと合致する)を付されて送付されるべきものである。この検査は、アウトバウンドSAセレクタチェックと称される。
・あるインバウンドSAにより定義されたトンネルから受信されたパケットは、SA(例えば、パケットの発信元および宛先アドレスは、SAの発信元および宛先アドレスと合致する)を付されて受信されるべきものである。この検査はインバウンドSAセレクタ照合と称される。
上記の2例に示されるように、本発明において、インバウンドSAおよびアウトバウンドSAの双方のためのSAセレクタとしては、発信元および宛先アドレスのみが考慮されることに留意されるべきである。
2つの系の提案が、この状況に対処する。
1. MIPトンネル中のIPsecトンネル
この系の提案により、VPNゲートウェイと移動ノードのホームアドレスとの間にIPsecトンネルが確立される。
1. MIPトンネル中のIPsecトンネル
この系の提案により、VPNゲートウェイと移動ノードのホームアドレスとの間にIPsecトンネルが確立される。
外部ホームエージェント: ホームエージェントはIPsecゲートウェイや企業のファイヤウォールの前、即ち、ホームネットワークの外部に配置されている。明らかに、重大なセキュリティ上の不備がある。主要な不備の1つは、ホームエージェントはネットワークの境界における通常の保護(企業ファイヤウォール)メカニズムによって、もはや保護されるものではないということである。実際に、ゲートウェイの外部に配置されたホームエージェントは、何ら保護の便益を受けることなく、攻撃の標的となり易い。この種のセキュリティ上の不備は、セキュリティを有する通信を目標にしたVPN解決策を設計するときには、受け入れ難い。
他の問題は、MIPパケット(IPトンネルはMIPトンネル内に存する)を暗号化しないトンネリングメカニズムに由来する。MIPヘッダは平文にて記述されており、悪意を有する攻撃者は、例えば、移動ノードのホームアドレスなどの全てのヘッダフィールドに関する知識を入手するであろう。かくして、この解決策はプライバシーを付与しないので、悪意のあるノードは、ある移動体ノードの、そのホームアドレスにより識別される全ての移動位置を追跡できる。
MIPプロキシ: この提案は、ある草案(F.Adrangi,P.Lyer,「VPNまたはNATおよびVPNゲートウェイ越えのモバイルIPv4トランスバーサル(Mobile IPv4 Transversal across VPN or NAT & VPN Gateway),IETF 編集中 draft−adrangi−mobileip−natvpn−traversal−01.txt,2002年2月」)中に記述されている。この草案は、モバイルIPプロキシと称される新規なエンティティの創成を前提としている。この新規なエンティティは、移動ノード側からは代理のホームエージェントとして見え、逆にいえば、ホームエージェントには移動ノードとして見られる。この解決策はまた、上記のように、プライバシーに関する機密性がIPsec中のMIPより低い、MIPトンネリングのIPsecに基づくものである。
単なるローミングの処理は、MIPプロキシと、VPNゲートウェイと、ホームエージェントとの間の新規なシグナリングメッセージを必要とする。ここで、MIPプロキシは、移動ノードとホームエージェント(HA)との間の中継部として作用する。MIPプロキシは、移動ノードとHAとの間に既存の保護に留意し、有効な要求を一意的に転送しな
ければならない。また、MIPプロキシは、VPNゲートウェイと交信する。それにより、対向ノードからMNへの通常のパケットは壮大な処理を受ける。パケットは、HAによりMIPプロキシへMIPカプセル化される。その後、MIPプロキシは、カプセル化された通常のパケットをカプセル開放し、暗号化を実施するためにVPNゲートウェイにそのパケットを提供する。VPNゲートウェイは、暗号化したパケットをMIPプロキシに対して返送し、MIPプロキシは、MIPを新たなMIPパケット中に再度カプセル化する。
ければならない。また、MIPプロキシは、VPNゲートウェイと交信する。それにより、対向ノードからMNへの通常のパケットは壮大な処理を受ける。パケットは、HAによりMIPプロキシへMIPカプセル化される。その後、MIPプロキシは、カプセル化された通常のパケットをカプセル開放し、暗号化を実施するためにVPNゲートウェイにそのパケットを提供する。VPNゲートウェイは、暗号化したパケットをMIPプロキシに対して返送し、MIPプロキシは、MIPを新たなMIPパケット中に再度カプセル化する。
MIPプロキシは、企業の私設ネットワークと外部の公衆ネットワークとの間の「中立地帯」として挿入されている小さなネットワークである非武装地帯(Demilitarized Zone、DMZ)中の保護されたドメインの外に位置する。DMZ内の機器のセキュリティ水準は、企業ネットワークに比して大幅に劣る。ファイヤウォールは、プロキシとホームエージェントとの間の登録手順とは干渉してはならない。企業のファイヤウォールは、MIPプロキシとホームエージェントとの間にあるあらゆるパケットを、更なる検査を行うことなく通過させるので、このアーキテクチャは潜在的なセキュリティ上の不備を暗示している。これは、攻撃者がMIPプロキシに何とかしてアクセスできれば、全ての企業のネットワークを容易に危うくすることになり得る。
2. IPsecトンネル中のMIPトンネル
この系の提案により、IPsecトンネルは、VPNゲートウェイと移動ノード気付アドレスとの間に確立される。
2. IPsecトンネル中のMIPトンネル
この系の提案により、IPsecトンネルは、VPNゲートウェイと移動ノード気付アドレスとの間に確立される。
IPsecトンネル中のMIPトンネルを含む提案は、スイス国ベルン大学(www.iam.unibe.ch/〜rvs/publications/secmip_gi.pdfにて入手可能)により説明されている。IPsecトンネルは、新規のハンドオーバーの前にリセットされる。新規なネットワークへと移動すると、IPsecトンネルは、全般的なキー配布処理により確立し直されなければならない。ハンドオーバーモードは長時間の許容できない待ち時間を生成し、標準的なMIP要求には適合しない。
この提案に関する他の事項は、IPsecは充分な保護を提供すると仮定し、それによりMIP登録操作中には認証および再送保護を不能にすることにある。ホームエージェントでの保護を不能にすることは、速度を改善しないとの選択であり、MIP保護を未だ使用している単純なMIP使用者に専用の他のホームエージェントと同様に、MIP−VPN使用者に専用のホームエージェントを必要とする。
本発明は、上記の問題および他の問題に答えるものである。
本発明は、添付の請求項に記載された通信の方法、および通信のための装置を提供する。
図1に示すのは、私設ネットワーク1を備える移動仮想私設ネットワークの構想である。私設ネットワーク1は、VPNゲートウェイ2およびファイヤウォール3を含むセキュリティゲートウェイと、私設ネットワーク1中に存する移動ノード4と、移動ノード4のためのホームエージェント5とを備える。図面に図示される本発明の実施態様は、特に移動ノード4が無線リンクによる通信が可能な場合に適用され、それにより、私設ネットワークの内部および外部でのローミング能力が向上される。しかし、本発明の本実施態様はまた、移動ノード4が有線接続のみで通信する場合であっても採用可能である。
図1は本実施態様の利点が特に顕著である場合、すなわち、移動ノード4が私設ネットワーク1の外部へと移動する場合について示している。この場合、移動ノード4は、最初にモバイルIPv4プロトコルに基づき機能する外部エージェント7を備える訪問先のネットワーク6へと移動し、ネットワーク6にあるローミング移動ノード4は、インターネット8を介して私設ネットワーク1と通信可能となっている。この構想では、ローミング移動ノード4は、その後、外部エージェント10を備える第2の訪問先のネットワーク9へと移動する。外部エージェント10は同様に、インターネット8を介した私設ネットワーク1との通信のためのモバイルIPv4に基づき機能する。本発明の本実施態様は、モバイルIPv4プロトコルにて機能するが、本発明は他のプロトコル、特にモバイルIPv6にもまた適用できることは、充分に理解されるであろう。
移動ノード4が訪問先のネットワーク6,9においてローミングされると、私設ネットワーク1との通信は、IPsecおよびMIPトンネル11,12の夫々においてインターネット8を介して確立される。より具体的には、使用されるプロトコルは、図2に図示されたカプセル化セキュリティペイロード(ESP)プロトコルである。このプロトコルに基づき、オリジナルパケット13はオリジナルIPヘッダ14とデータ15とを備える。パケット13は、オリジナルIPヘッダおよび宛先アドレスを変更することなく、ESPトレーラ16を付されて暗号化される。暗号化されたパケットはESPヘッダを付され、好ましくは、ESP認証18をも付されてカプセル化され、送信の前に新IPヘッダ19と組み合わされる。各々アウトバウンド通信セキュリティアソシエーションとインバウンド通信セキュリティアソシエーションとを備えるセキュリティアソシエーションバンドルは、VPNゲートウェイ2によるパス11,12上の通信のために確立される。セキュリティアソシエーションセレクタは、夫々のアウトバウンドセキュリティアソシエーションにより定義されたトンネルを用いて送信されるパケットが正規であり、当該のセキュリティアソシエーションにより送信されるべきものであること、および、特に、パケットの発信元および宛先のアドレスが、セキュリティアソシエーションの発信元および宛先のアドレスと合致していることを確認する。この検査は、アウトバウンドSAセレクタチェックである。インバウンドセキュリティアソシエーションにより定義されたトンネルから受信されたパケットは、このセキュリティアソシエーションにより受信の正当性が確認される。特に、パケットの発信元および宛先のアドレスは、セキュリティアソシエーションの発信元および宛先のアドレスと合致することを確認される。この検査は、インバウンドSAセレクタチェックである。
本発明の本実施態様において、VPNゲートウェイ2のインバウンドセキュリティアソシエーションは、発信元アドレスとしての移動ノード4のIPアドレスを保有せず、ワイルドカード(*として表示)を保有している。このことにより、VPNゲートウェイ2がどのような気付アドレスを用いても、VPNゲートウェイ2が移動ノード4からのパケットを受信および転送することが可能となる。これは、ワイルドカードの内容は、セキュリティアソシエーションにおける発信元アドレスセレクタとして、このIPsecプロトコルにより承認されるので、IPsecプロトコルとは矛盾していないことに留意されたい
。VPNゲートウェイ2と移動ノード4との間のIPsecトンネルに関しては、トンネル命令とは、移動ノード気付アドレスを終点として使用するIPsecトンネル中のMIPトンネルの命令である。
。VPNゲートウェイ2と移動ノード4との間のIPsecトンネルに関しては、トンネル命令とは、移動ノード気付アドレスを終点として使用するIPsecトンネル中のMIPトンネルの命令である。
移動ノード4がローミングされるときの通信の処理は、図3に図示される。ここで、アウトバウンドおよびインバウンドに関する言及は、移動ノード4におけるパケットを指す。はじめに、移動ノード4の現行の気付アドレスにおいて通信が確立された状況における、IPsecトンネルが図示されている。アウトバウンドIPsecトンネル20は、発信元アドレスとしての現行移動ノード気付アドレスおよび宛先アドレスとしてのVPNゲ
ートウェイのアドレスを有する移動ノード4におけるキュリティアソシエーションと、発信元アドレスとしてのワイルドカードおよび宛先アドレスとしてのVPNゲートウェイ2を有するVPNゲートウェイ2におけるセキュリティアソシエーションとを備える。初期のインバウンドIPsecトンネルは、発信元アドレスとしてVPNゲートウェイ2のアドレスおよび宛先アドレスとして移動ノードの現行気付アドレスを有する移動ノード4におけるセキュリティアソシエーションと、発信元としてVPNゲートウェイのアドレスおよび宛先アドレスとして移動ノード4の気付アドレスを有するVPNゲートウェイ2におけるセキュリティアソシエーションとを備える。
ートウェイのアドレスを有する移動ノード4におけるキュリティアソシエーションと、発信元アドレスとしてのワイルドカードおよび宛先アドレスとしてのVPNゲートウェイ2を有するVPNゲートウェイ2におけるセキュリティアソシエーションとを備える。初期のインバウンドIPsecトンネルは、発信元アドレスとしてVPNゲートウェイ2のアドレスおよび宛先アドレスとして移動ノードの現行気付アドレスを有する移動ノード4におけるセキュリティアソシエーションと、発信元としてVPNゲートウェイのアドレスおよび宛先アドレスとして移動ノード4の気付アドレスを有するVPNゲートウェイ2におけるセキュリティアソシエーションとを備える。
参照番号22において、移動ノードがある訪問先のネットワークから他の訪問先のネットワークに、例えば、訪問先のネットワーク6から訪問先のネットワーク9に移動すると、移動ノード4は自身の位置が変化したことを、例えば、着信エージェント広告により認識する。移動ノードはその後、新規の訪問先のネットワーク9内においてルーティング可能な新気付アドレスを形成する。移動ノード4は、例えば、ネットワーク選択ミドルウェアに応答して、またはアウトバウンドパケットの発信元アドレスを監視することにより、移動ノード4は移動ノードの位置の変化に対応するVPNクライアントソフトウェアを備える。VPNクライアントソフトウェアはその後、宛先アドレスが移動ノードの新気付アドレスであり、またインバウンドIPsecトンネル21が、暫定的なインバウンドIPsecトンネル23となるように、移動ノード4のインバウンドセキュリティアソシエーションを能動的に変化させる。このようにして、移動ノード4は、VPNゲートウェイ2により移動ノードの新気付アドレスに対して送信されたパケットを、セキュリティを保ちつつ受信することが可能であろう。そうでない場合には、パケットが旧インバウンドIPsecトンネル21に含まれた宛先アドレスと合致しないので、パケットは廃棄される。同様に、VPNクライアントソフトウェアは、発信元アドレスが移動ノードの新気付アドレスであり、アウトバウンドIPsecトンネル20がアウトバウンドIPsecトンネル20´となるように、移動ノード4のアウトバウンドセキュリティアソシエーションを能動的に変化させる。そうでない場合には、パケットが旧アウトバウンドIPsecトンネル20に含まれた発信元アドレスと合致しないので、移動ノード4は送信パケットを送信することができないであろう。
移動ノード4はその後、ノード4のホームエージェントに対して、ノード4の新規な位置を知らせるためのシグナリングメッセージを送信する。シグナリングメッセージはアウトバウンドIPsecトンネル20´、およびVPNゲートウェイ2を通過する。このシグナリングメッセージは登録要求の形式であり、使用されるプロトコルは、本発明の本実施態様に記載のように、モバイルIPv4である。
シグナリングメッセージは、ステップ24においてVPNゲートウェイ2に受信される。発信元アドレスはワイルドカードであり、従って、発信元のアドレスは検証されず、パケットはホームエージェント5宛てに転送されるので、アウトバウンドトンネル20´のためのVPNゲートウェイ中のSAセレクタは、パケットを拒絶しない。ステップ25において、ホームエージェント5は移動ノード4からの新気付アドレスを知らせる登録要求を受信し、処理する。登録要求が有効である場合には、ホームエージェント5はVPNゲートウェイ2に対して、VPNゲートウェイにある暫定IPsecトンネル23のセキュリティアソシエーションを更新するようにとの命令を含むセキュリティ情報更新メッセージ(security information update message、SIU)を送信する。このSIUメッセージは、VPNゲートウェイ2において、例えば、いわゆるシステムにサービスを提供するバックグランドプログラムであるデーモンにより処理される。
SIUメッセージに応答し、VPNゲートウェイ2は暫定インバウンドIPsecトン
ネル23のためのセキュリティアソシエーションを、宛先アドレスとして移動ノード4の新気付アドレスを有する新IPsecトンネル26へと更新する。この更新は、任意のパケット、特に登録確認が移動ノード4に送信される前に実行される。本発明の好ましい実施態様において、ホームエージェント5からVPNゲートウェイ2へのSIUメッセージは、移動ノード4に対する登録確認を備える。
ネル23のためのセキュリティアソシエーションを、宛先アドレスとして移動ノード4の新気付アドレスを有する新IPsecトンネル26へと更新する。この更新は、任意のパケット、特に登録確認が移動ノード4に送信される前に実行される。本発明の好ましい実施態様において、ホームエージェント5からVPNゲートウェイ2へのSIUメッセージは、移動ノード4に対する登録確認を備える。
ホームエージェント5の具体的なルーチンは、私設ネットワーク1外の移動ノード4の位置に対応し、確認要求が参照番号2などのVPNゲートウェイを介して受信されたときのみトリガーとなることは充分に理解されるであろう。移動ノードが私設ネットワーク1内に存在する場合、従って、VPNサービスを使用していない場合には、ホームエージェント5は通常の登録確認を有する通常のルーチンにより応答するであろう。
ステップ27において、VPNゲートウェイ2は、新規に確立されたインバウンドIPsecトンネル26を用い、登録確認を移動ノード4に対して転送する。更に、トンネル26を用い、更なる通知があるまで、新気付アドレスに対して全てのデータパケットを送信する。
ステップ25において、ホームエージェント5における登録要求が不成功である場合、処理には回復不能な程の障害があるのではない。登録確認は移動ノード4に受信されず、移動ノード4は更なる登録確認を送信するであろう。ホームエージェント5が登録要求の非承認を続ければ、移動ノード4は最終的にはその企図を放棄し、本発明の本実施態様の処理の利点を享受することなく、新気付アドレスのための新規なトンネルを確立する。このような状況は、モバイルIP構想に特有のものである。
図4は、上記の処理中にホームエージェント5により実行されるルーチンを図示する。ルーチンはステップ28において開始し、ステップ29において、入力は移動ノード4からの登録要求の形式で受信される。ステップ30において、登録要求が有効か否かの確認が為され、ホームエージェント5が登録を承認しない場合には、本ルーチンはステップ31において終了する。ホームエージェント5が登録要求を承認する場合には、ステップ32において、登録要求が参照番号2などのVPNゲートウェイを介して受信されたか否かの確認が行われる。登録要求がVPNゲートウェイを介して受信されていない場合には、ステップ33において、登録確認が作成され、直接に私設ネットワーク上の移動ノード4に送信される。登録要求が参照番号2などのVPNゲートウェイを介して受信された場合には、移動ノード4のための登録確認がステップ34において作成される。その後この登録確認は、ステップ35においてホームエージェント5により生成された新パケットに包含される。新パケットには、移動ノード4の旧気付アドレス、および新気付アドレスも備える。新パケットは、その後、ステップ36にてVPNゲートウェイ2に送信され、本ルーチンもステップ31にて終了する。
Claims (8)
- 私設ネットワーク(1)とローミング移動端末(4)との間の通信の方法であって、私設ネットワーク(1)はローミング移動端末(4)のためのホームエージェント(5)と、前記通信が通過し、且つ、私設ネットワーク(1)のための機密保護を提供するゲートウェイ(2,3)とを備え、前記通信のプロトコルは、インバウンド通信のための移動端末(4)とゲートウェイ(2,3)との間のセキュリティアソシエーション、およびアウトバウンド通信のための別のセキュリティアソシエーションを夫々備えるセキュリティアソシエーションバンドルを備え、該方法は、
移動端末(4)のIPアドレス(MN気付アドレス)を新IPアドレス(MN新気付アドレス)へと変更させる通信のハンドオーバーに応答して、前記移動端末は、宛先として前記新IPアドレス(MN新気付アドレス)を付されて該端末に送信されたパケットを受信できるように、ゲートウェイ(2,3)からの該端末のインバウンドセキュリティアソシエーションを更新し、
移動端末(4)は、宛先としてホームエージェント(5)が付された第1のシグナリングメッセージを、セキュリティを有するトンネル20´にてゲートウェイ(2,3)に対して送信し、前記第1のシグナリングメッセージは、セキュリティを有する形式である前記新IPアドレス(MN新気付アドレス)をホームエージェント(5)に対して示し、
移動端末(4)からのゲートウェイ(2,3)のインバウンドセキュリティアソシエーションは、第1のシグナリングメッセージを同メッセージの発信元アドレスを確認することなく承認し、
ゲートウェイ(2,3)は第1のシグナリングメッセージを私設ネットワーク(1)内でホームエージェント(5)に転送し、
ホームエージェント(5)は、第1のシグナリングメッセージの有効性を確認し、同メッセージが有効である場合は、同メッセージのアドレスデータを更新し、前記新アドレス(MN新気付アドレス)を示す第2のシグナリングメッセージをゲートウェイ(2,3)に送信し、
ゲートウェイ(2,3)は、示された新アドレス(MN新気付アドレス)に応答して、移動端末(4)とのアウトバウンドセキュリティアソシエーションを更新する方法。 - 移動ノード(4)とゲートウェイ(2,3)との間の通信は、IPsecプロトコル仕様に従う請求項1に記載の方法。
- ゲートウェイ(2,3)と移動端末(4)との間の通信は、トンネルモードにて使用されるカプセル化セキュリティペイロードプロトコルに従う請求項2に記載の方法。
- 移動端末(4)のための登録確認は、第2のシグナリングメッセージ中に含まれる請求項1乃至3のいずれか一項に記載の方法。
- 移動端末のIPアドレス(MN気付アドレス)を新IPアドレス(MN新気付アドレス)に変更させる通信のハンドオーバーに応答して、移動端末が、宛先として前記新IPアドレス(MN新気付アドレス)を付されて送信されたパケットを受信できるように、ゲートウェイ(2,3)からの移動端末(4)のインバウンドセキュリティアソシエーションを更新し、宛先としてホームエージェント(5)を付された第1のシグナリングメッセージを、セキュリティを有するトンネル(20´)を介して前記ゲートウェイに対して送付するための手段を備え、
前記第1のシグナリングメッセージは、前記新IPアドレス(MN新気付アドレス)はセキュリティを有する形式であることをホームエージェント(5)に対して示す、請求項1乃至4のいずれか一項に記載の方法による通信に使用するための移動端末。 - 移動端末(4)のIPアドレス(MN気付アドレス)を新IPアドレス(MN新気付アドレス)に変更させる通信のハンドオーバーに応答して、移動端末(4)のゲートウェイ(2,3)へのアウトバウンドセキュリティアソシエーションを更新し、移動端末(4)が発信元アドレスとして前記新IPアドレス(MN新気付アドレス)を付されたパケットをゲートウェイ(2,3)に送信できるようにするための手段を備える請求項1乃至5のいずれか一項に記載の方法による通信に使用されるための移動端末。
- 移動端末からのセキュリティを有するトンネル(20´)にて受信された、宛先としてホームエージェント(5)を有する第1のシグナリングメッセージに応答して、移動端末(4)からのゲートウェイ(2,3)におけるインバウンドセキュリティアソシエーションに、その発信元アドレスを確認することなく、第1のシグナリングメッセージを承認させ、更に、第1のシグナリングメッセージをホームエージェント(5)に転送するための手段と、前記新アドレス(MN新気付アドレス)を示す第2のシグナリングメッセージに応答して、前記新アドレス(MN新気付アドレス)に応じて移動端末(4)とのゲートウェイ(2,3)のアウトバウンドセキュリティアソシエーションを更新するための手段とを備える、請求項1乃至6のいずれか一項に記載の方法による通信に使用されるためのゲートウェイ。
- ゲートウェイ(2,3)から受信された第1のシグナリングメッセージに応答して、ゲートウェイ(2,3)が移動端末(4)とのアウトバウンドセキュリティアソシエーションを更新するための新アドレス(MN新気付アドレス)を示す第2のシグナリングメッセージを、ゲートウェイ(2,3)に対して送信するための手段を備える、請求項1乃至7のいずれか一項に記載の方法による通信において使用されるためのホームエージェント。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03290770A EP1463257B1 (en) | 2003-03-27 | 2003-03-27 | Communication between a private network and a roaming mobile terminal |
| PCT/EP2004/050310 WO2004086718A1 (en) | 2003-03-27 | 2004-03-15 | Communication between a private network and a roaming mobile terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006514815A true JP2006514815A (ja) | 2006-05-11 |
| JP4163215B2 JP4163215B2 (ja) | 2008-10-08 |
Family
ID=32799149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005518696A Expired - Lifetime JP4163215B2 (ja) | 2003-03-27 | 2004-03-15 | 私設ネットワークとローミング移動端末との間の通信 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7516486B2 (ja) |
| EP (1) | EP1463257B1 (ja) |
| JP (1) | JP4163215B2 (ja) |
| KR (1) | KR100679882B1 (ja) |
| CN (1) | CN100525300C (ja) |
| AT (1) | ATE329443T1 (ja) |
| DE (1) | DE60305869T2 (ja) |
| ES (1) | ES2264756T3 (ja) |
| WO (1) | WO2004086718A1 (ja) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
| US7587591B2 (en) * | 2003-10-31 | 2009-09-08 | Juniper Networks, Inc. | Secure transport of multicast traffic |
| TWI236255B (en) * | 2003-12-15 | 2005-07-11 | Ind Tech Res Inst | System and method for supporting inter-NAT-domain handoff within a VPN by associating L2TP with mobile IP |
| US7620979B2 (en) | 2003-12-22 | 2009-11-17 | Nokia Corporation | Supporting mobile internet protocol in a correspondent node firewall |
| JP4654006B2 (ja) * | 2004-11-16 | 2011-03-16 | パナソニック株式会社 | サーバ装置、携帯端末、通信システム及びプログラム |
| US7792072B2 (en) * | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
| US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
| US20070198837A1 (en) * | 2005-04-29 | 2007-08-23 | Nokia Corporation | Establishment of a secure communication |
| US20060248337A1 (en) * | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
| CN1874343B (zh) * | 2005-06-03 | 2010-04-21 | 华为技术有限公司 | IPSec安全联盟的创建方法 |
| US8856311B2 (en) | 2005-06-30 | 2014-10-07 | Nokia Corporation | System coordinated WLAN scanning |
| WO2007027958A1 (en) * | 2005-08-29 | 2007-03-08 | Junaid Islam | ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4 |
| US8316226B1 (en) * | 2005-09-14 | 2012-11-20 | Juniper Networks, Inc. | Adaptive transition between layer three and layer four network tunnels |
| CN100444690C (zh) * | 2005-09-22 | 2008-12-17 | 中兴通讯股份有限公司 | 集群系统中实现漫游终端群组信息更新的方法 |
| DE102006014350A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements |
| GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
| CN100488284C (zh) | 2006-01-26 | 2009-05-13 | 华为技术有限公司 | 一种3gpp演进网络中漫游用户数据路由优化方法 |
| CN100466816C (zh) * | 2006-03-21 | 2009-03-04 | 华为技术有限公司 | 路由优化选择方法 |
| US20070254634A1 (en) * | 2006-04-27 | 2007-11-01 | Jose Costa-Requena | Configuring a local network device using a wireless provider network |
| US8296839B2 (en) * | 2006-06-06 | 2012-10-23 | The Mitre Corporation | VPN discovery server |
| US8174995B2 (en) * | 2006-08-21 | 2012-05-08 | Qualcom, Incorporated | Method and apparatus for flexible pilot pattern |
| US8978103B2 (en) * | 2006-08-21 | 2015-03-10 | Qualcomm Incorporated | Method and apparatus for interworking authorization of dual stack operation |
| EP2055078B1 (en) | 2006-08-21 | 2017-03-08 | QUALCOMM Incorporated | Method and apparatus for interworking authorization of dual stack operation |
| CN100452799C (zh) * | 2006-09-19 | 2009-01-14 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
| DE102006046023B3 (de) * | 2006-09-28 | 2008-04-17 | Siemens Ag | Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen |
| WO2008073735A2 (en) * | 2006-12-08 | 2008-06-19 | Adaptix, Inc. | System and method for managing wireless base station handoff information |
| CN101198156B (zh) * | 2006-12-08 | 2012-10-31 | 昂达博思公司 | 管理无线基站切换信息的系统和方法 |
| WO2008137098A1 (en) * | 2007-05-04 | 2008-11-13 | Nortel Networks Limited | Negotiating different mobile ip delivery styles |
| EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
| JP4430091B2 (ja) * | 2007-08-17 | 2010-03-10 | 富士通株式会社 | パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ |
| US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
| CA2714280A1 (en) * | 2008-02-08 | 2009-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for use in a communications network |
| US8209749B2 (en) * | 2008-09-17 | 2012-06-26 | Apple Inc. | Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement |
| US8719337B1 (en) | 2009-04-27 | 2014-05-06 | Junaid Islam | IPv6 to web architecture |
| KR101382620B1 (ko) * | 2009-10-14 | 2014-04-10 | 한국전자통신연구원 | 가상사설망을 구성하는 장치 및 방법 |
| CN102088438B (zh) * | 2009-12-03 | 2013-11-06 | 中兴通讯股份有限公司 | 一种解决因特网协议安全性客户端地址冲突的方法及客户端 |
| US8443435B1 (en) | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
| US9491686B2 (en) * | 2011-07-28 | 2016-11-08 | Pulse Secure, Llc | Virtual private networking with mobile communication continuity |
| US9608962B1 (en) | 2013-07-09 | 2017-03-28 | Pulse Secure, Llc | Application-aware connection for network access client |
| CN107579932B (zh) * | 2017-10-25 | 2020-06-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
| JP7139943B2 (ja) | 2018-12-28 | 2022-09-21 | 住友ゴム工業株式会社 | 空気入りタイヤ |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4038732A1 (de) * | 1990-12-05 | 1992-06-11 | Henkel Kgaa | Mit synthetischen polymerverbindungen modifizierte werkstoffe und/oder formteile auf staerkebasis und verfahren zu ihrer herstellung |
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6571289B1 (en) * | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
| US6823386B1 (en) * | 1999-02-25 | 2004-11-23 | Nortel Networks Limited | Correlating data streams of different protocols |
| JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
| KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US7036143B1 (en) * | 2001-09-19 | 2006-04-25 | Cisco Technology, Inc. | Methods and apparatus for virtual private network based mobility |
-
2003
- 2003-03-27 AT AT03290770T patent/ATE329443T1/de not_active IP Right Cessation
- 2003-03-27 ES ES03290770T patent/ES2264756T3/es not_active Expired - Lifetime
- 2003-03-27 DE DE60305869T patent/DE60305869T2/de not_active Expired - Lifetime
- 2003-03-27 EP EP03290770A patent/EP1463257B1/en not_active Expired - Lifetime
-
2004
- 2004-03-15 JP JP2005518696A patent/JP4163215B2/ja not_active Expired - Lifetime
- 2004-03-15 WO PCT/EP2004/050310 patent/WO2004086718A1/en active Application Filing
- 2004-03-15 US US10/550,109 patent/US7516486B2/en active Active
- 2004-03-15 KR KR1020057018261A patent/KR100679882B1/ko active IP Right Grant
- 2004-03-15 CN CNB2004800072038A patent/CN100525300C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004086718A1 (en) | 2004-10-07 |
| US7516486B2 (en) | 2009-04-07 |
| EP1463257A1 (en) | 2004-09-29 |
| DE60305869D1 (de) | 2006-07-20 |
| KR20050122221A (ko) | 2005-12-28 |
| KR100679882B1 (ko) | 2007-02-07 |
| CN1762140A (zh) | 2006-04-19 |
| EP1463257B1 (en) | 2006-06-07 |
| US20060185012A1 (en) | 2006-08-17 |
| DE60305869T2 (de) | 2006-10-05 |
| CN100525300C (zh) | 2009-08-05 |
| JP4163215B2 (ja) | 2008-10-08 |
| ATE329443T1 (de) | 2006-06-15 |
| ES2264756T3 (es) | 2007-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4163215B2 (ja) | 私設ネットワークとローミング移動端末との間の通信 | |
| US6839338B1 (en) | Method to provide dynamic internet protocol security policy service | |
| Arkko et al. | Using IPsec to protect mobile IPv6 signaling between mobile nodes and home agents | |
| US7937581B2 (en) | Method and network for ensuring secure forwarding of messages | |
| EP2398263B1 (en) | Secure and seamless WAN-LAN roaming | |
| US20040037260A1 (en) | Virtual private network system | |
| JP5102372B2 (ja) | 通信ネットワークにおいて使用する方法および装置 | |
| EP1466458B1 (en) | Method and system for ensuring secure forwarding of messages | |
| JP2008527826A (ja) | 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置 | |
| JP2007036641A (ja) | ホームエージェント装置、及び通信システム | |
| KR20080085038A (ko) | 적어도 하나의 모바일 통신 유니트 및 통신 시스템사이에서 이더넷 전송 프로토콜 바탕 데이터 패킷들의 전송방법 | |
| JP2009528735A (ja) | ロケーションプライバシをサポートする経路最適化 | |
| US20060274670A1 (en) | Mobile router device and home agent device | |
| EP1906615A1 (en) | Method and devices for delegating the control of protected connections | |
| Arkko et al. | RFC 3776: Using IPsec to protect mobile IPv6 signaling between mobile nodes and home agents | |
| KR100617315B1 (ko) | 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치 | |
| Dupont | Network Working Group J. Arkko Request for Comments: 3776 Ericsson Category: Standards Track V. Devarapalli Nokia Research Center | |
| Tschofenig et al. | Secure Access Over Multi-Hop Relay Extensions of Public Networks | |
| Oschwald et al. | Mobile IP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070928 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080715 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080723 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4163215 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120801 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120801 Year of fee payment: 4 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130801 Year of fee payment: 5 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130801 Year of fee payment: 5 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |