JP2007195173A - 移動体ネットワークに接続された無線ローカルエリアネットワーク間の呼転送方法およびそれに関連する管理デバイス - Google Patents

移動体ネットワークに接続された無線ローカルエリアネットワーク間の呼転送方法およびそれに関連する管理デバイス Download PDF

Info

Publication number
JP2007195173A
JP2007195173A JP2007001205A JP2007001205A JP2007195173A JP 2007195173 A JP2007195173 A JP 2007195173A JP 2007001205 A JP2007001205 A JP 2007001205A JP 2007001205 A JP2007001205 A JP 2007001205A JP 2007195173 A JP2007195173 A JP 2007195173A
Authority
JP
Japan
Prior art keywords
network
mobile terminal
local area
wireless local
secure tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007001205A
Other languages
English (en)
Inventor
Mghazli Yacine El
ヤシーン・エル・ムガーズリ
Olivier Marce
オリビエ・マルス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of JP2007195173A publication Critical patent/JP2007195173A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/142Reselecting a network or an air interface over the same radio air interface technology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】無線アクセス技術と、パケット交換サービスを提供するネットワークN3のコアネットワークN32に接続された第1および第2のセキュアゲートウェイP1、P2とを用いた、第1および第2のWLAN N1、N2間の呼転送専用の方法を提供すること。
【解決手段】P1に接続されN1内に設定され、認証データおよびセキュリティデータに関連する第1のセキュアトンネルTU1を経由して移動体通信端末T1とコアネットワークN32との間に呼が設定されている場合、さらにT1がN1、N2の無線重複領域に入る場合、TU1を経由しP2に対して、移動体端末を事前認証し、T1とP2との間に第2のセキュアトンネルTU2を設定し、TU2を経由して移動性管理情報を更新し、TU2を経由して、P2にT1に関するピアアドレス更新メッセージを送ることによって、N1、N2間の転送に進み、TU2を経由して呼を継続するものである。
【選択図】図2

Description

本発明は、通信ネットワークに関し、より正確には、IPsec形式のセキュアトンネル(secure tunnel)およびコアネットワーク(例えば、インターネットまたは3GPP(2G/3G)組織によって定義された移動体(すなわちセルラー)ネットワーク)によって保護された無線アクセス技術を用いた無線ローカルエリアネットワーク(WLAN)間の網間接続(interworking)(IW)に関する。
当業者が知るように、ある種の無線ローカルエリアネットワーク(WLAN)(例えば、WiFiネットワークおよびWiMaxネットワーク)は、それら無線ローカルエリアネットワークがある種のネットワーク(例えば、3GPP(例えば、UMTS)移動体ネットワーク)のコアネットワークインフラストラクチャを用いることを可能にするIPsec形式のセキュアトンネルによって保護された無線アクセス技術を用いる。これは、これらのWLANネットワークのカスタマがIPsec形式のセキュアトンネルによって保護された無線アクセスネットワークを経由して3GPPパケット交換サービスにアクセスすることを可能にする。
3GPP組織は、略語UMA(無許可移動体アドレス(Unlicensed Mobile Address))のもとに独立して開発された後で3GPP規格に組み込まれたI−WLAN(網間接続WLAN)およびGAN(汎用アクセスネットワーク(Generic Access Network))と呼ばれる2つの網間接続ソリューションを提案している。GANソリューションはインターネットアドレス「http://www.3gpp.org」の3GPPサイト上で定義され、UMA技術はインターネットアドレス「http://www.umatechnology.org」で定義される。これら2つのソリューションの各々を用いることは、WLANネットワークの無線アクセスネットワークと移動体ネットワークのコアネットワークのインフラストラクチャとの間のインターフェースにセキュリティゲートウェイ(SecGW)形式の相互接続設備、ならびに移動体ネットワークのパケット交換3GPPサービスへのアクセスを望むWLANネットワークカスタマの各移動体通信端末と該セキュリティゲートウェイとの間にIPsecトンネル形式のセキュア論理接続(secure logical connection)(IPセキュアトンネル)の設定を必要とする。
移動体ネットワークの3GPPパケット交換サービスにアクセスするために、移動体通信端末が同じWLANネットワークを用い、したがって同じセキュリティゲートウェイを用いるならば、これら2つのソリューションはうまく動作する。しかし、移動体通信端末が(移動体通信端末が移動体ネットワークの3GPPパケット交換サービスにアクセスすることを可能にしていた)第1のWLANネットワークの無線有効範囲領域を離れ、第1のWLANネットワークのセキュリティゲートウェイとは異なるセキュリティゲートウェイを有する第2のWLANネットワークの無線有効範囲領域に入るたびに、新たなIPセキュアトンネルがその移動体端末と第2のWLANネットワークのセキュリティゲートウェイとの間に設定されなければならない。そのような状況は、例えば、移動体端末のユーザが複数のWLANネットワークを用いることを可能にする(特に、ローミング(インターオペレータ移動性(interoperator mobility)の特別な例)を可能にする)契約を結んでいる場合に発生する。
次に、新たなIPセキュアトンネルを設定する時期は、例えば、ITU G.114規格によって定義されるサービスの継続性の概念と両立しない。すなわち、3GPPによって提案されるI−WLANソリューションおよびGANソリューションは、移動体端末が第1のセキュリティゲートウェイを有する第1のWLANネットワークから、第2のセキュリティゲートウェイを有する第2のWLANネットワークに移動する場合、サービスの継続性が維持されることを可能にしない。
したがって、本発明の目的は、この状況を改善することであり、より正確には、(2つのWLANネットワークが同じオペレータに属する場合を含めて)移動体端末が1つのWLANネットワークから別のWLANネットワークに移動する場合、サービスの継続性が維持されることを可能にすることである。
このために本発明は、第1および第2の無線ローカルエリアネットワーク間で、各々が無線アクセス技術と、パケット交換サービス(適用可能な場合、3GPPパケット交換サービス)を提供するネットワーク(適用可能な場合、移動体ネットワーク)のコアネットワークに接続されたそれぞれ第1および第2のセキュアゲートウェイとを用いて、呼を転送する専用の方法を提示する。
この方法は、呼が、移動体通信端末と第1のセキュアゲートウェイとの間の第1の無線ローカルエリアネットワーク内で設定され、認証データおよびセキュリティデータに関連する第1のセキュアトンネルを経由して移動体端末とコアネットワークとの間に設定されている場合、さらに移動体端末が第1および第2の無線ローカルエリアネットワークの無線有効範囲領域間の交差領域に入る場合、
第1のセキュアトンネルを経由し、同じ認証データおよびセキュリティデータを用いて、第2のセキュリティゲートウェイに対して、IPレイヤのレベルで移動体端末の事前認証の手順を実施し、
次いで、移動体端末と第2のセキュリティゲートウェイとの間に第2のセキュアトンネルを設定し、
次いで、第2のセキュアトンネルを経由して移動体管理情報の更新を実施し、
次いで、第2のセキュアトンネルを経由して、第2のセキュリティゲートウェイに移動体端末に関するピアアドレス更新メッセージを送ることによって無線ローカルエリアネットワーク間の転送(すなわちハンドオーバ)に進み、さらに
移動体端末とコアネットワークとの間で、第2のセキュアトンネルを経由して呼が継続することを許可するものである。
本発明による方法はその他の特徴を有してもよく、特に、個別でまたは組み合わせて、
事前認証手順は、セキュリティアソシエーション(security associations)の作成専用の通信プロトコル(例えば、IKEプロトコル(好ましくはその第2版(IKEv2))により実施されてもよく、
第2のセキュアトンネルを経由したピアアドレス更新メッセージの伝送は、移動性およびマルチホーミング専用の通信プロトコルの拡張(例えば、MOBIKEプロトコル拡張)により実施されてもよい。
本発明はまた、アクティブ化の場合に、無線ローカルエリアネットワーク間の転送(すなわちハンドオーバ)を制御するように構成された、少なくとも1つのレイヤ2(L2)インターフェースを含む移動体通信端末内に、第1および第2の無線ローカルエリアネットワーク間での、各々が無線アクセス技術と、パケット交換サービス(適用可能な場合、3GPPパケット交換サービス)を提供するネットワーク(適用可能な場合、移動体ネットワーク)のコアネットワークに接続されたそれぞれ第1および第2のセキュアゲートウェイとを用いた、呼転送を管理する専用のデバイスを提案する。
このデバイスは、
呼が、移動体端末と第1のセキュアゲートウェイとの間の第1の無線ローカルエリアネットワーク内で設定され、認証データおよびセキュリティデータに関連する第1のセキュアトンネルを経由して、移動体端末とコアネットワークとの間に設定されている場合に、移動体端末が第1および第2の無線ローカルエリアネットワークの無線有効範囲領域間の交差領域に入る場合、警告メッセージを生成するように構成された検出手段、ならびに
警告メッセージを受信する場合に、
レイヤ2インターフェースおよび第1のセキュアトンネルを経由し、認証データおよびセキュリティデータを用いて、第2のセキュリティゲートウェイに対して、IPレイヤのレベルで移動体端末の事前認証の手順をトリガし、
次いで、第1に、移動体端末と第2のセキュリティゲートウェイとの間に第2のセキュアトンネルを設定すること、第2に、第2のセキュアトンネルを経由して移動性管理情報を更新すること、第3に、レイヤ2インターフェースをアクティブ化することを命令し、その結果、第2のセキュアトンネルを経由して、第2のセキュリティゲートウェイに移動体端末に関するピアアドレス更新メッセージを送ることによって第1および第2の無線ローカルエリアネットワーク間の転送(すなわちハンドオーバ)に進むようにし、
次いで、転送(したがってハンドオーバ)が完了された場合、第2のセキュアトンネルを経由して、移動体端末とコアネットワークとの間の呼が継続することを許可する
ように構成された管理手段を備える。
本発明はさらに、パケット交換サービス(適用可能な場合、3GPPパケット交換サービス)を提供し、無線ローカルエリアネットワークに接続されたネットワーク(適用可能な場合、移動体ネットワーク)のコアネットワークとの呼を設定するために無線アクセス技術を用いて無線ローカルエリアネットワークに接続されるように構成され、少なくとも1つのレイヤ2(L2)インターフェースと上述の形式の管理デバイスとを備える移動体通信端末を提案する。
この移動体端末は、セキュリティアソシエーションの作成専用の通信プロトコル(例えば、IKEプロトコル)によりその管理デバイスによって命令された、セキュリティゲートウェイに対する各事前認証手順を実施するように構成されてもよい。
さらに、移動体端末は移動性およびマルチホーミング専用の通信プロトコルの拡張(例えば、MOBIKEプロトコル拡張)により各ピアアドレス更新メッセージを伝送するように構成されてもよい。
本発明は、これに限られないが、WiFi形式またはWiMax形式の無線ローカルエリアネットワークと3GPP形式の移動体通信ネットワークとの間の網間接続を行うように特に適している。
本発明の他の特徴および利点は以下の詳細な説明および添付の図面を考察することで明らかになるであろう。
添付の図面は本発明の説明の一部であることに加えて、必要に応じて、本発明の定義に貢献する。
本発明の目的は、第1の無線ローカルエリアネットワーク内で設定されたセキュアトンネルを経由して、ネットワーク(ことによると移動体ネットワーク)のコアネットワークに接続された移動体端末が該第1の無線ローカルエリアネットワークの有効範囲領域から第2の無線ローカルエリアネットワークの有効範囲領域に移動する場合、該移動体端末に対してサービスの継続性が維持されることを可能にすることである。
以下で、非限定的な例として、無線ローカルエリアネットワークはWLAN形式のものであり、WLANネットワークに接続されたコアネットワークは移動体ネットワーク(例えば、UMTS形式)の一部であることが考慮される。しかし、本発明はこの形式の無線ローカルエリアネットワークおよびこの形式の移動体ネットワークに限定されない。実際に本発明は、IPsec形式のセキュアトンネルによって保護された無線アクセス技術を用いるすべての無線ローカルエリアネットワーク、特にブルートゥースネットワーク、WiFiネットワークおよびWiMaxネットワーク、ならびにパケット交換(適用可能な場合、3GPP)サービスを提供するコアネットワーク、特に3GPP(2G/3G)移動体(すなわちセルラー)ネットワークを有するすべての通信ネットワークに関する。
図1および図2に示された例では、第1のWLANネットワークN1は第1の無線アクセスネットワーク(やはりN1と示される)を含み、第2のWLANネットワークN2は第2の無線アクセスネットワーク(やはりN2と示される)を含む。さらに、移動体ネットワークN3は、互いに接続された無線アクセスネットワークN31および(3GPP WLAN IPアクセス形式の)コアネットワークN32を含む。
さらに、第1の無線アクセスネットワークN1および第2の無線アクセスネットワークN2は、各々が移動体ネットワークN3のコアネットワークN32に接続され、それらのWLANネットワークN1、N2と移動体ネットワークN3との間に網間接続を提供する第1および第2のセキュアゲートウェイP1およびP2をそれぞれ含む。
図1および図2に示された例は、アドレス「http://www.3gpp.org」の3GPPインターネットサイト上で定義されるI−WLAN形式の3GPP/WLAN網間接続アーキテクチャに対応する。しかし、本発明はアドレス「http://www.3gpp.org」の3GPPインターネットサイト上で定義されるGAN形式の3GPP/WLAN網間接続アーキテクチャにも等しく関連する。
3GPP/WLAN網間接続の特性は、3GPP組織の勧告および技術仕様書3GPP TR23.934、TS22.234、TS23.234およびTS24.234によって定義される。
さらに、第1および第2の無線アクセスネットワークN1およびN2各々は、そのセキュリティゲートウェイP1、P2に結合され、移動体通信端末T1、T2およびT3が接続されてよい、少なくとも1つの無線アクセス設備(すなわちアクセスポイント)R1、R2を備える無線有効範囲領域(ここでは楕円形によって図式的に示される)を有する。本発明は、図1および図2に示された例におけるように、第1および第2の無線アクセスネットワークN1およびN2の無線有効範囲領域が重複領域を有するとすぐに適用される。
同じ設備が、アクセスポイントR1またはR2機能およびセキュリティゲートウェイP1またはP2機能を同時に提供できる点に留意されたい。
「移動体通信端末」は、別のユーザ設備またはネットワーク設備と、信号の形式で無線によってデータを交換するために、無線アクセスネットワークN1、N2に接続されることが可能である任意の通信端末を意味し、そのユーザはWLANネットワークN1、N2のオペレータと契約を結び、該ユーザがWLANネットワークを経由してそのコアネットワークに接続される場合、該ユーザが移動体ネットワークによって提供される特定のサービスを用いることを可能にする。したがって、移動体通信端末は、例えば、WLAN通信デバイスを備えた移動体電話、携帯情報端末(すなわちPDA)または携帯型コンピュータであってよい。
当業者が知るように、移動体ネットワークが提供するサービスのうち少なくとも1つにアクセスする目的で、前述の種類の移動体端末(例えば、T1)がWLANネットワーク(この場合、第1のWLANネットワークN1)を経由して移動体ネットワークN3のコアネットワークN32に呼を設定することを可能にするために、セキュアトンネルTU1がその移動体端末T1と(第1の)無線アクセスネットワーク(この場合、N1)のセキュリティゲートウェイ(この場合、P1)との間に設定されなければならない。このセキュアトンネルはIPsec形式のものである。
このセキュアトンネルTU1の設定は、第1のWLANネットワークN1の許可、認証および課金(authorization,authentication and accounting)(AAA)形式のサーバSA1によって、さらに第1のセキュリティゲートウェイP1によって、移動体端末T1のユーザの認証を事前に必要とする。
AAAサーバSA1に対して認証されるために、移動体端末T1は、AAAプロキシ形式の、AAAサーバSA1に接続されたネットワーク設備PA1に、一般に「EAPクレデンシャル」と呼ばれる認証データ、および適用可能な場合、セキュリティデータを伝送する。このデータは、例えば、パスワードおよび/または「ログイン」からなる。この伝送は、移送および認証プロトコル(例えば、RADIUSプロトコルまたはDIAMETERプロトコル)により実施される。
AAAプロキシPA1はAAAサーバSA1に対して、伝送された認証(およびセキュリティ)データが実際に(例えば、IMS形式の)サービスにアクセスすることが許可されているカスタマに対応するかどうかを確認する。カスタマが許可を有する場合、そのカスタマの移動体端末T1は、次いでAAAサーバSA1に登録され、第1のWLANネットワークN1にアクセスすることが許可される。
第1のセキュリティゲートウェイP1に対して認証されるために、移動体端末T1はその認証(およびセキュリティ)データを第1のセキュリティゲートウェイP1に伝送する。この伝送は、例えば、セキュリティアソシエーションの作成専用の通信プロトコル(例えばIKE(インターネットキー交換)プロトコル、好ましくはアドレス「http://www.ietf.org/rfc/rfc4306.text」のIETFサイト上で入手可能な文献「<draft−ietf−ispec−ikev2−17.txt>」内で定義されたその第2版IKEv2)により実施される。
認証がもたらされると、IPsec形式の(第1の)セキュアトンネルTU1が(このためにアクティブ化された)レイヤ2(L2)インターフェースI1と第1のセキュリティゲートウェイP1との間に設定される。その場合、移動体端末T1は移動体ネットワークN3のコアネットワークN32と通信できる。
本発明は、移動体端末(例えば、T1)が、認証データおよびセキュリティデータを用いて、(該移動体端末T1と第1のセキュアゲートウェイP1との間の)第1のWLANネットワークN1内で設定された第1のセキュアトンネルTU1を経由して移動体ネットワークN3のコアネットワークN32に呼をすでに設定しており、かつ第1のWLANネットワークN1の無線有効範囲領域と第2のWLANネットワークN2の無線有効範囲領域との間の重複(すなわち交差)領域に入る場合に動作可能である。すなわち本発明は、移動体ネットワークのコアネットワークとの通信の際に、ローミングという状況において、移動体端末が別のWLANネットワーク内でその呼を継続するために1つのWLANネットワークを離れる準備をするたびに動作可能である。この状況は図2に例示されている。
本発明は移動体端末T1からT3内に、一方で、第1のWLANネットワークN1から第2のWLANネットワークN2への移動時に呼転送の管理を担うデバイスDを設置し、他方で、アクティブ化の場合に、WLANネットワークN1およびN2間の転送の監視を担う少なくとも1つのレイヤ2(L2)インターフェースを設置することを提案する。
図3で概略的に示されるように、この管理デバイスDは互いに結合された検出モジュールMDおよび管理モジュールMGを備える。
検出モジュールMDは、その契約によって移動体端末(例えばT1)が接続されることが許可されているWLANネットワークN1、N2の有効範囲領域内で検出モジュールMDが設置されている移動体端末の移動の観測を担う。このため、検出モジュールMDは、例えば、その移動体端末T1内の配置を担うモジュールMLに結合される。
この観測はより正確には、移動体端末T1がいつ第1および第2のWLANネットワークN1およびN2の無線有効範囲領域間の重複(すなわち交差)領域に入るか、すなわち、第2の(あるいは第1の)WLANネットワークに入るためにいつ第1の(あるいは第2の)WLANネットワークを離れる準備をするかを検出することが意図される。
移動体端末T1が第1のWLANネットワークN1内に設定された第1のセキュアトンネルTU1を経由して移動体ネットワークN3のコアネットワークN32に呼を設定し、検出モジュールMDが第1のWLANネットワークN1と第2のWLANネットワークN2との間の重複領域内にその存在を検出するたびに、その存在を管理モジュールMGに信号で知らせるために、該検出モジュールMDは管理モジュールMGに警告メッセージを生成する。警告メッセージは移動体端末T1がその有効範囲領域に入ったばかりの第2のWLANネットワークN2を表すデータを含むことが好ましい。このデータは少なくとも第2のWLANネットワークN2の第2のアクセスポイントR2のアドレスを含み、したがって、第2のWLANネットワークN2の第2のセキュリティゲートウェイP2のアドレスを間接的に含む。
(検出モジュールMDによって生成された)警告メッセージを受信するたびに、管理モジュールMGは、第1のWLANネットワークN1のAAAサーバSA1および第2のWLANネットワークN2の第2のセキュリティゲートウェイP2に対して、その移動体端末T1の事前認証の手順をトリガする。この事前認証手順は、IPプロトコルレイヤのレベルで、第1のセキュアトンネルTU1を経由して実施される。IPプロトコルレイヤはレベル2レイヤ(リンクレイヤL2)より上に位置していることを記憶されたい。さらに、この事前認証手順は、第1のセキュアトンネルTU1を設定する際に移動体端末T1のユーザの初期認証のために予め用いられたものと同じ認証データおよびセキュリティデータ(EAPクレデンシャル)を用いて実施される。
AAAサーバSA1に対して事前認証されるために、移動体端末T1は第1のWLANネットワークN1のAAAプロキシPA1に、初期認証手順および第1のセキュアトンネルTU1を設定するための手順の間に用いられたものと同じ認証データおよびセキュリティデータ(EAPクレデンシャル)を伝送する。この伝送は先に用いられたものと同じ移送および認証プロトコル(例えば、RADIUSプロトコルまたはDIAMETERプロトコル)により実施される。
AAAプロキシPA1は、次いでAAAサーバSA1に対して、伝送された認証(およびセキュリティ)データが実際にサービスにアクセスすることが許可されているカスタマに対応するかどうかを確認する。クライアントが許可を有する場合、そのクライアントの移動体端末T1は第2のWLANネットワークN2にアクセスすることが許可される。
第2のセキュリティゲートウェイP2に対して事前認証されるために、移動体端末T1はその認証データおよびセキュリティデータ(常に同じ)を第2のセキュリティゲートウェイP2に伝送する。この伝送はIKEv2通信プロトコルにより実施されることが好ましい。
すべてのこれらの動作は、第1のセキュアトンネルTU1を経由し、したがって第1のセキュリティゲートウェイP1を経由して移動体端末T1からの呼の間に実行される。これらの動作はしたがって、移動体端末T1のユーザにとって透過的に実行される。
本発明は、アドレス「http://www.ietf.org/internet−drafts/draft−ohba−mobopts−mpa−framework−01.txt」のそのサイト上でアクセス可能な文献「<draft−ohba−mobopts−mpa−framework−01.txt>」内でIETFによって定義される事前認証フレームワークの移送媒体に対して自立性を利用する。
事前認証動作が終了し、移動体端末T1が第2のセキュアトンネルTU2を設定するための許可を受信すると、移動体端末T1はその許可をそのデバイスDの管理モジュールMGに転送する。管理モジュールMGは、次いでその移動体端末T1と予め受信された警告メッセージによって指定された第2のセキュリティゲートウェイP2との間に第2のセキュアトンネルTU2の設定を命令する。
第2のセキュアトンネルTU2が設定されると、管理モジュールMGは移動体端末T1に、第2のセキュアトンネルTU2を経由して移動体ネットワークN3のコアネットワークN32内で、その移動体端末T1に関する移動性管理情報を更新するよう命令する。これは主にコアネットワークN32内で移動体端末T1に関する配置情報、用いられたアクセスの形式、用いられたアクセスオペレータなどを更新するものである。管理モジュールMGは次いで、第1および第2のWLANネットワークN1およびN2の間の転送が第2のセキュアトンネルTU2を経由して実施されるように、その移動体端末T1にレイヤ2(L2)インターフェースI1のレベルでハンドオーバに進むよう命令する。
より正確には、ハンドオーバ手順は、移動体端末T1が第2のWLANネットワークN2の第2のセキュリティゲートウェイP2に、第2のWLANネットワークN2内のその新たなIPアドレスを含むピアアドレス更新メッセージを送ることによって実施される。このピアアドレス更新メッセージは、移動性およびマルチホーミング専用の通信プロトコル(この場合、例えばIKE)の拡張により第2のセキュリティゲートウェイP2に伝送される。例えば、IETFサイト上でアクセス可能な文献「<draft−ietf−mobike−design−03.txt>」および「<draft−ietf−ispec−mobike−protocol−04.txt>」内で定義される、MOBIKEと呼ばれるプロトコル拡張が用いられてもよい。当然、セキュリティゲートウェイP2はその拡張を支援することが可能でなければならない。
第2のWLANネットワークN2のセキュリティゲートウェイP2は、次いでセキュリティポリシー専用のそのデータベース内に記憶されたセキュリティデータを更新してよい。この場合、この更新は移動体端末T1の新たなアドレスを記憶することからなる。
セキュリティデータの更新が実施されると、ハンドオーバは完了する。管理モジュールMGは、次いでその移動体端末T1が第2のセキュアトンネルTU2を経由して、かつ第2のセキュリティゲートウェイP2を経由して、移動体ネットワークN3のコアネットワークN32との呼を継続することを許可することができる。この呼はこの時点までに第1のセキュアトンネルTU1を経由して、かつ第1のセキュリティゲートウェイP1を経由して設定されたことを記憶されたい。したがって、実際にサービスの継続性が存在する。
本発明による管理デバイスD、特にその検出モジュールMDおよびその処理モジュールMTは、電子回路、ソフトウェア(すなわち電子データ処理)モジュールまたは回路およびソフトウェアの組合せの形で作成されてよい。
移動体端末T1がL2レイヤのレベルでハンドオーバ(網間接続転送)機構の最適化の利益を得るように構成されている場合、そこから利益を得るために、最適化された機構は本発明によって提供される処理に自動的に組み込まれる点に留意することが重要である(実際に、IPレベルで得られた時間が失われた場合、レイヤ2(L2)を改善することは無益であろう)。
本発明の結果、無線ローカルエリアネットワーク間の呼転送に必要な時間は大幅に削減される。実際に、その時間は主にレイヤ2(L2)のハンドオーバ遅延まで(すなわち、IP面(IP plane)全体が予め事前構成されるため、インターフェースI1のレベルでWLANネットワークの変更まで)削減される。
本発明は、例としてのみ上で説明された管理デバイスおよび移動体通信端末の実施形態に限定されず、当業者が特許請求の範囲内に含まれると想定することが可能なすべての変更形態を包括する。
第1の無線ローカルエリアネットワーク内で設定された第1のセキュアトンネルを経由した、本発明による管理デバイスを備えた移動体端末(T1)と移動体ネットワークのコアネットワークとの接続を非常に概略的かつ機能の面から示す図である。 移動体端末(T1)が第1および第2の無線ローカルエリアネットワークの有効範囲領域の重複領域内に位置する場合、図1の第1の無線ローカルエリアネットワークの移動体端末(T1)から第2の無線ローカルエリアネットワークへの呼転送段階を非常に概略的かつ機能の面から示す図である。 本発明による管理デバイスの一実施形態とレイヤ2(L2)インターフェースとを備えた移動体端末を非常に概略的かつ機能の面から示す図である。
符号の説明
D デバイス
I1 インターフェース
L2 レイヤ2
MD 検出手段
MG 管理手段
N1、N2 無線ローカルエリアネットワーク
N3 ネットワーク
N32 コアネットワーク
P1、P2 セキュアゲートウェイ
T1 移動体端末
TU1、TU2 セキュアトンネル

Claims (11)

  1. 第1および第2の無線ローカルエリアネットワーク(N1、N2)間で、無線アクセス技術と、パケット交換サービスを提供するネットワーク(N3)のコアネットワーク(N32)に接続されたそれぞれ第1および第2のセキュアゲートウェイ(P1、P2)とを用いて、呼を転送する方法であって、移動体通信端末(T1)と前記第1のセキュアゲートウェイ(P1)との間の前記第1の無線ローカルエリアネットワーク(N1)内で設定され、認証データおよびセキュリティデータに関連する第1のセキュアトンネル(TU1)を経由して前記移動体端末(T1)と前記コアネットワーク(N32)との間で呼を設定する場合、さらに前記移動体端末(T1)が前記第1および第2の無線ローカルエリアネットワーク(N1、N2)の無線有効範囲領域間の交差領域に入る場合、i)前記第1のセキュアトンネル(TU1)を経由し、前記認証データおよび前記セキュリティデータを用いて、前記第2のセキュリティゲートウェイ(P2)に対して、IPレイヤのレベルで前記移動体端末の事前認証手順を実施し、ii)次いで、前記移動体端末(T1)と前記第2のセキュリティゲートウェイ(P2)との間に第2のセキュアトンネル(TU2)を設定し、iii)次いで、前記第2のセキュアトンネル(TU2)を経由して移動性管理情報の更新を実施し、iv)次いで、前記第2のセキュアトンネル(TU2)を経由して、第2のセキュリティゲートウェイに移動体端末(T1)に関するピアアドレス更新メッセージを送ることによって無線ローカルエリアネットワーク間の転送に進み、さらにv)前記第2のセキュアトンネル(TU2)を経由して呼が継続することを許可するものであることを特徴とする、方法。
  2. 前記事前認証手順がセキュリティアソシエーションの作成専用の通信プロトコルにより実施されることを特徴とする、請求項1に記載の方法。
  3. 前記通信プロトコルが、IKEと呼ばれるプロトコルであることを特徴とする、請求項2に記載の方法。
  4. 前記ピアアドレス更新メッセージが、移動性およびマルチホーミング専用の前記通信プロトコルの拡張により伝送されることを特徴とする、請求項2および3のいずれか一項に記載の方法。
  5. 前記通信プロトコル拡張がMOBIKEと呼ばれるプロトコルであることを特徴とする、請求項4に記載の方法。
  6. アクティブ化の場合に、無線ローカルエリアネットワーク間の転送を制御するように構成された、少なくとも1つのレイヤ2(L2)インターフェース(I1)を含む移動体通信端末(T1)のために、第1および第2の無線ローカルエリアネットワーク(N1、N2)間での、無線アクセス技術と、パケット交換サービスを提供するネットワーク(N3)のコアネットワーク(N32)に接続されたそれぞれ第1および第2のセキュアゲートウェイ(P1、P2)とを用いた、呼転送を管理するためのデバイス(D)であって、i)前記移動体端末(T1)と前記第1のセキュアゲートウェイ(P1)との間の前記第1の無線ローカルエリアネットワーク(N1)内で設定され、認証データおよびセキュリティデータに関連する第1のセキュアトンネル(TU1)を経由して前記移動体端末(T1)と前記コアネットワーク(N32)との間に呼を設定する場合に、前記移動体端末(T1)が前記第1および第2の無線ローカルエリアネットワーク(N1、N2)の無線有効範囲領域間の交差領域に入る場合、警告メッセージを生成するように構成された検出手段(MD)、ならびにii)警告メッセージを受信する場合に、前記レイヤ2インターフェース(I1)および前記第1のセキュアトンネル(TU1)を経由し、前記認証データおよび前記セキュリティデータを用いて、前記第2のセキュリティゲートウェイ(P2)に対して、IPレイヤのレベルで前記移動体端末(T1)の事前認証の手順をトリガし、次いで、前記移動体端末(T1)と前記第2のセキュリティゲートウェイ(P2)との間に第2のセキュアトンネル(TU2)を設定すること、第2のセキュアトンネルを経由して移動性管理情報を更新すること、および前記レイヤ2インターフェース(I1)をアクティブ化することを命令し、その結果、前記第2のセキュアトンネル(TU2)を経由して、前記第2のセキュリティゲートウェイ(P2)に移動体端末(T1)に関するピアアドレス更新メッセージを送ることによって前記第1および第2の無線ローカルエリアネットワーク(N1、N2)間の転送に進み、次いで、前記転送が完了された場合、前記第2のセキュアトンネル(TU2)を経由して、呼が継続することを許可するように構成された管理手段(MG)を備えることを特徴とする、デバイス(D)。
  7. パケット交換通信サービスを提供し、無線ローカルエリアネットワーク(N1、N2)に接続されたネットワーク(N3)のコアネットワーク(N32)との呼を設定するために、無線アクセス技術を用いて前記無線ローカルエリアネットワーク(N1、N2)に接続されるように構成された移動体通信端末(T1−T3)であって、少なくとも1つのレイヤ2インターフェース(I1)(L2)と請求項6に記載の管理デバイス(D)とを有することを特徴とする、移動体通信端末(T1−T3)。
  8. セキュリティアソシエーションの作成専用の通信プロトコルにより、前記デバイス(D)によって命令された前記事前認証手順を実施するように構成されていることを特徴とする、請求項7に記載の端末。
  9. 前記通信プロトコルが、IKEと呼ばれるプロトコルであることを特徴とする、請求項8に記載の端末。
  10. 移動性およびマルチホーミング専用の前記通信プロトコルの拡張により、各ピアアドレス更新メッセージを伝送するように構成されていることを特徴とする、請求項8および9のいずれか一項に記載の端末。
  11. 前記通信プロトコル拡張が、MOBIKEと呼ばれるプロトコルであることを特徴とする、請求項10に記載の端末。
JP2007001205A 2006-01-10 2007-01-09 移動体ネットワークに接続された無線ローカルエリアネットワーク間の呼転送方法およびそれに関連する管理デバイス Withdrawn JP2007195173A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0650090A FR2896111B1 (fr) 2006-01-10 2006-01-10 Procede de transfert de communication entre reseaux locaux sans fil connectes a un reseau mobile, et dispositif de gestion associe

Publications (1)

Publication Number Publication Date
JP2007195173A true JP2007195173A (ja) 2007-08-02

Family

ID=36796621

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007001205A Withdrawn JP2007195173A (ja) 2006-01-10 2007-01-09 移動体ネットワークに接続された無線ローカルエリアネットワーク間の呼転送方法およびそれに関連する管理デバイス

Country Status (7)

Country Link
US (1) US20070178905A1 (ja)
EP (1) EP1806898B1 (ja)
JP (1) JP2007195173A (ja)
CN (1) CN100539536C (ja)
AT (1) ATE500678T1 (ja)
DE (1) DE602006020398D1 (ja)
FR (1) FR2896111B1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010106822A1 (ja) * 2009-03-19 2010-09-23 日本電気株式会社 移動体通信システムの無線通信装置
JP2011507449A (ja) * 2007-12-17 2011-03-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート セキュアトンネルを用いた移動性支援方法
JP2021013192A (ja) * 2018-02-13 2021-02-04 パロ アルト ネットワークス, インコーポレイテッドPalo Alto Networks, Inc. 次世代ファイアウォールを用いたトランスポート層の信号安全性
US11265290B2 (en) 2018-02-13 2022-03-01 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
US11283767B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Diameter security with next generation firewall
US11283765B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Application layer signaling security with next generation firewall
US11283766B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Network layer signaling security with next generation firewall

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2525377T3 (es) * 2007-08-29 2014-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Utilización de WLAN para transporte de medios en redes móviles celulares
US8345694B2 (en) * 2007-12-31 2013-01-01 Airvana, Corp. Network address translation for tunnel mobility
KR101049664B1 (ko) 2009-07-06 2011-07-14 주식회사 케이티 모바이크 프로토콜을 이용하여 이종무선망 간의 이동성 및 보안을 지원하는 클라이언트 장치
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
GB2484125B (en) * 2010-09-30 2013-07-24 Samsung Electronics Co Ltd Improvements in handover between heterogeneous radio networks
KR101504389B1 (ko) * 2011-04-25 2015-03-19 주식회사 케이티 모바이크 프로토콜을 이용하여 이종무선망 간의 이동성 및 보안을 지원하는 클라이언트 장치
US8885626B2 (en) * 2012-04-06 2014-11-11 Chris Gu Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN
US8879530B2 (en) * 2012-04-06 2014-11-04 Chris Yonghai Gu Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN
TW201434292A (zh) * 2012-10-15 2014-09-01 Interdigital Patent Holdings 邊緣組件失效切換恢復方法
US9119123B2 (en) 2013-03-13 2015-08-25 Motorola Solutions, Inc. Method and apparatus for performing Wi-Fi offload without interrupting service
US9906497B2 (en) * 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
GB2548894B (en) * 2016-03-31 2020-02-19 British Telecomm Handover method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
US20060130136A1 (en) * 2004-12-01 2006-06-15 Vijay Devarapalli Method and system for providing wireless data network interworking

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011507449A (ja) * 2007-12-17 2011-03-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート セキュアトンネルを用いた移動性支援方法
WO2010106822A1 (ja) * 2009-03-19 2010-09-23 日本電気株式会社 移動体通信システムの無線通信装置
CN102342168A (zh) * 2009-03-19 2012-02-01 日本电气株式会社 移动体通信系统的无线通信装置
JP5018999B2 (ja) * 2009-03-19 2012-09-05 日本電気株式会社 移動体通信システム、無線通信方法、ゲートウェイ、HomeNodeB
US11283767B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Diameter security with next generation firewall
US11265290B2 (en) 2018-02-13 2022-03-01 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
JP2021013192A (ja) * 2018-02-13 2021-02-04 パロ アルト ネットワークス, インコーポレイテッドPalo Alto Networks, Inc. 次世代ファイアウォールを用いたトランスポート層の信号安全性
US11283765B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Application layer signaling security with next generation firewall
US11283766B2 (en) 2018-02-13 2022-03-22 Palo Alto Networks, Inc. Network layer signaling security with next generation firewall
US11652794B2 (en) 2018-02-13 2023-05-16 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
US11777902B2 (en) 2018-02-13 2023-10-03 Palo Alto Networks, Inc. Application layer signaling security with next generation firewall
US11784971B2 (en) 2018-02-13 2023-10-10 Palo Alto Networks, Inc. Network layer signaling security with next generation firewall
US11784972B2 (en) 2018-02-13 2023-10-10 Palo Alto Networks, Inc. Diameter security with next generation firewall

Also Published As

Publication number Publication date
FR2896111B1 (fr) 2008-02-22
CN101005433A (zh) 2007-07-25
DE602006020398D1 (de) 2011-04-14
EP1806898B1 (fr) 2011-03-02
ATE500678T1 (de) 2011-03-15
CN100539536C (zh) 2009-09-09
US20070178905A1 (en) 2007-08-02
EP1806898A1 (fr) 2007-07-11
FR2896111A1 (fr) 2007-07-13

Similar Documents

Publication Publication Date Title
JP2007195173A (ja) 移動体ネットワークに接続された無線ローカルエリアネットワーク間の呼転送方法およびそれに関連する管理デバイス
JP4303752B2 (ja) 安全なドメイン内およびドメイン間ハンドオーバ
US8036176B2 (en) MIH pre-authentication
US7072657B2 (en) Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks
CA2679202C (en) Media independent pre-authentication supporting fast-handoff in proxy mipv6 environment
JP5694296B2 (ja) プロアクティブ認証
US20160234729A1 (en) Method and Apparatus for Security Configuration and Verification of Wireless Devices in a Fixed/Mobile Convergence Environment
US8451799B2 (en) Security update procedure for zone switching in mixed-mode WiMAX network
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
TWI262683B (en) A method, a wireless server, a mobile device, and a system for handing over, from a wireless server to another wireless server, in a connection between a mobile device in a foreign intranet network, and an intranet network
EP2939391B1 (en) Method and system for secure network access
US20060041742A1 (en) Method for dynamically and securely establishing a tunnel
CA2597002A1 (en) Framework of media-independent pre-authentication
JP4613926B2 (ja) 移動体通信網と公衆網間でのハンドオーバー方法および通信システム
JP2007538470A (ja) Vpnクライアントのないポータブル装置の仮想プライベートネットワークへのアクセスを管理する方法
JP2008504755A (ja) セキュアハンドオーバ
EP2432262A1 (en) Method and system for switching station in centralized wlan when wpi is performed by access controller
JP5272851B2 (ja) 通信傍受システム、通信傍受装置、通信傍受方法およびプログラム
KR20150034147A (ko) IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법
EP1665856B1 (en) Secure intra- and inter-domain handover
KR101575578B1 (ko) IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090327

A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100406