JP2007306554A - ネットワークトポロジーを隠蔽する方法および装置 - Google Patents
ネットワークトポロジーを隠蔽する方法および装置 Download PDFInfo
- Publication number
- JP2007306554A JP2007306554A JP2007110805A JP2007110805A JP2007306554A JP 2007306554 A JP2007306554 A JP 2007306554A JP 2007110805 A JP2007110805 A JP 2007110805A JP 2007110805 A JP2007110805 A JP 2007110805A JP 2007306554 A JP2007306554 A JP 2007306554A
- Authority
- JP
- Japan
- Prior art keywords
- management server
- address
- server
- management
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000013507 mapping Methods 0.000 claims abstract description 37
- 230000005540 biological transmission Effects 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 87
- 238000013475 authorization Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 101150105138 nas2 gene Proteins 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000013519 translation Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 101000713503 Homo sapiens Solute carrier family 13 member 1 Proteins 0.000 description 2
- 102100036743 Solute carrier family 13 member 1 Human genes 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 241001149900 Fusconaia subrotunda Species 0.000 description 1
- 101150070930 NAS3 gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/301—Name conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/30—Types of network names
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 特にモバイルワイヤレスネットワークにおいてネットワークトポロジーを隠蔽する方法および装置を提供する。
【解決手段】 第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する方法であって、管理サーバの実ホスト名を、該管理サーバのランダムホスト名へ置換するゲートウェイサーバを介して、前記第2のネットワーク内の管理サーバへデータを送信するステップと、前記第2のネットワーク内の管理サーバから前記ゲートウェイサーバを介してデータを受信するステップと、前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを前記ゲートウェイサーバが管理するステップとを含む方法。
【選択図】 図8
【解決手段】 第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する方法であって、管理サーバの実ホスト名を、該管理サーバのランダムホスト名へ置換するゲートウェイサーバを介して、前記第2のネットワーク内の管理サーバへデータを送信するステップと、前記第2のネットワーク内の管理サーバから前記ゲートウェイサーバを介してデータを受信するステップと、前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを前記ゲートウェイサーバが管理するステップとを含む方法。
【選択図】 図8
Description
本発明は、特にモバイルワイヤレスネットワークにおけるネットワークトポロジーを隠蔽する(hide)方法および装置に関する。
現在および将来のモバイルワイヤレスネットワークにおいて、異なるネットワークドメインにある管理サーバの間で管理データを共有することが重要である。本明細書において「異なるネットワークドメイン」という用語は、特に、異なるネットワークオペレータによってオペレーションされているドメインのことを指す。このような場合に生じる問題は、ネットワークトポロジーを明らかにせずに、あるネットワークオペレータと別のネットワークオペレータとの間で上記データのやり取りをいかに実行するかということである。これは、トポロジーを明らかにすることでアタッカーがネットワーク内の管理サーバに対して容易に攻撃できるようになるからである。
この問題は、ユーザーがあるネットワークから別のネットワークに移動し、ホームネットワークと同じサービスを受けたい場合に、分散された認証、承認、課金および監査の管理をする必要があるユビキタス環境において特に生じる。
これは、2つ以上のネットワークがサービス提供に関わっている場合に、認証、承認、監査および課金などのタスクを実行する第1のネットワーク内の管理サーバが、他のネットワーク内の管理サーバとデータを送受信しなければならないということを意味する。しかしながら、このようなデータ送受信は監視されたり、管理サーバのアドレスや番号などといったネットワーク情報およびネットワークトポロジーが漏れたりする恐れがある。
多くのオペレータは、自分のネットワークの機密情報を守ることに強い関心を持っている。ビジネス政策上の理由だけでなく、実際のセキュリティに関する理由もある。例えば、アタッカーはこの情報を使用して、既知の脆弱性を有するソフトウェアを実行したり、管理サーバに対して直接的にサービス拒否攻撃(DoS)をしたりする、ドメイン内の特別なサーバに攻撃をすることがある。従って、管理サーバの実際の名前およびアドレスはドメイン外に知られるべきではない。
従って、例えばサーバのIPアドレスに関する情報に基づいた、ネットワークオペレータのドメイン内のサーバに対する攻撃を阻止するといったセキュリティの考慮により、例えば管理データを送受信するために異なるドメイン内の管理サーバが相互に通信する場合は、ドメインのネットワークトポロジーが隠蔽され、他のドメインに対して明らかとならないことが望ましい。
通信相手の実際のアドレスを開示しないための既知の技術は、ベーシックネットワークアドレス変換(ベーシックNAT)およびネットワークアドレスポート変換(NAPT)である。ベーシックネットワークアドレス変換(ベーシックNAT)は、IPアドレスがあるグループからエンドユーザーには見えない別のグループへとマッピングされる方法である。ネットワークアドレスポート変換(NAPT)は、多くの(送信元の)ネットワークアドレスと、それらのTCP/UDP(Transmission Control Protocol/User Datagram Protocol)ポートとが単一のネットワークアドレスへ変換されるものの、TCP/UDPポートが送信元のネットワークアドレスごとに別々に管理されるため、逆方向のマッピングが実行される方法である。従来のNATと呼ばれるこれら2つの技術はともに、プライベートアドレスを有するアドレス体系を、グローバルにユニークな登録アドレスを有する外部アドレス体系へと関連付けるメカニズムを提供する。
非特許文献1に記載されている双方向NAT(両方向NAT)により、パブリックネットワークおよびプライベートネットワークの双方からセッションを開始できるようになるが、ドメインネームサーバ(DNS)の特別な実装が必要である。このDNSサーバは、DNSクエリ内のプライベートアドレス体系のアドレスを、DNSレスポンスにおいてバインドされる外部アドレス体系のアドレスへと変換できなければならない。
上記の方法は、少数のパブリックアドレスのみが使用できる場合にプライベートアドレスを有するネットワークのアドレス範囲を拡張することを目的とするが、ネットワークトポロジーに関する情報をはっきりと隠蔽する目的はない。
P. Srisuresh, A. Holdrege, "IP Network Address Translator (NAT) Terminology and Considerations", RFC 2663, August 1999
従って、本発明の目的は、特にモバイルワイヤレスネットワークにおいてネットワークトポロジーを隠蔽する方法および装置を提供することである。
一実施形態によれば、第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する方法であって、管理サーバの実ホスト名を、該管理サーバのランダムホスト名へ置換するゲートウェイサーバを介してのみ、前記第2のネットワーク内の管理サーバへデータを送信するステップと、前記第2のネットワーク内の管理サーバから前記ゲートウェイサーバを介してのみデータを受信するステップであって、前記データは、前記ゲートウェイサーバにより前記管理サーバの前記実ホスト名へ置換される前記管理サーバの前記ランダムホスト名へとアドレス指定されるものである、ステップと、前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを前記ゲートウェイサーバが管理するステップとを含む方法が提供される。
この方法によれば、第2のネットワーク内の管理サーバは、第1のネットワーク内の管理サーバのアドレスを知ることができない。対称的に、つまり両方のネットワークそれぞれに対しゲートウェイサーバを用いてこの方法を適用すると、2つの管理サーバは互いのアドレスを知ることができない。従ってこの方法は、ネットワークドメインの外部の他のドメインに対して該ネットワークドメインを隠蔽することをサポートするが、異なるドメイン内のサーバ間で管理データを送受信することは許容する。
さらに、ゲートウェイサーバを介した通信は管理に関するオーバーヘッドを低減する。別のドメインとの通信に際してゲートウェイサーバを使用しない場合、ドメイン内の全ての管理サーバは、キーを生成、管理および配信することにより、コストおよびメンテナンスにかかる労力を増やす、認証用および暗号化用のパブリックキーおよびプライベートキーを必要とする。さらに、キーは有効なドメイン間(inter−domain)になければならないため、信頼されている第三者は、認証リクエストを生成し有効化する必要がある。
さらに、提案された方法によれば、あるドメインの管理サーバは、管理サーバ名を知らなくても別のドメイン内の別の管理サーバへアドレス指定することができる。さらに、この機能は、内部サーバのアドレスを解決するのにDNSサーバの助けを必要としない一方、対応するサーバは実ホスト名を知る必要はない。
一実施形態によれば、管理サーバから異なる第2の管理ドメインへデータが送信される場合、同一の管理サーバはそれぞれ異なるランダム名で表される。
これにより、(複数の)管理サーバの実際の名前、ひいてはネットワークトポロジーを特に効率的に隠蔽することができる。
一実施形態によれば、前記マッピングテーブル内のマッピングエントリはタイムアウト後に削除されるものであり、前記タイムアウトは少なくともセッションの最大ライフタイムと同じ長さである。
一実施形態によれば、通信が異なるセッションに属する場合、管理サーバのホスト名はそれぞれ異なるランダム名へ置換される。これによりドメイン内の管理サーバの実際の数を隠蔽することができる。
一実施形態によれば、前記方法は、データが送信される前記第2のドメイン内の管理サーバのアドレスが不明の場合、前記管理サーバが管理する端末のアドレスに関する情報をメッセージに含めるステップと、前記メッセージが前記第2の管理ドメインへ到達すると、前記端末の前記アドレスに基づいて不明な前記管理サーバのアドレスを決定するステップとをさらに含む。
一実施形態によれば、前記方法は、どの管理サーバがどのIPアドレスを管理するかを表す、ドメイン内のIPアドレスプール情報を管理するステップと、前記IPアドレスプール情報に基づいて、不明な前記管理サーバのアドレスを決定するステップとをさらに含む。
一実施形態によれば、第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する装置であって、前記第2のネットワーク内の管理サーバへデータを送信する送信ユニットであって、その結果、前記管理サーバの実ホスト名は該管理サーバのランダムホスト名へ置換されるものである、送信ユニットと、前記第2のネットワーク内の管理サーバからデータを受信する受信ユニットであって、前記データは前記管理サーバの前記ランダムホスト名へとアドレス指定されるとともに、前記管理サーバの前記ランダムホスト名を前記管理サーバの実ホスト名へ置換する受信ユニットと、前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを管理する管理ユニットとを備える装置が提供される。
一実施形態によれば、前記管理サーバから異なる第2の管理ドメインへデータが送信される場合、前記管理サーバのホスト名はそれぞれ異なるランダム名へ置換される。
一実施形態によれば、前記マッピングテーブル内のマッピングエントリはタイムアウト後に削除されるものであり、前記タイムアウトは好ましくはセッションの最大ライフタイムと少なくとも同じ長さである。
一実施形態によれば、通信が異なるセッションに属する場合、管理サーバのホスト名はそれぞれ異なるランダム名へ置換される。
一実施形態によれば、データが送信される前記第2のドメイン内の管理サーバのアドレスが不明の場合、前記送信ユニットは、前記管理サーバが管理する端末のアドレスに関する情報をメッセージに含めるものであり、その結果、前記メッセージが前記第2の管理ドメインへ到達すると、不明な前記管理サーバのアドレスが前記端末の前記アドレスに基づいて決定できるものとなる。
一実施形態によれば前記装置は、どの管理サーバがどのIPアドレスを管理するかを表す、ドメイン内のIPアドレスプール情報を管理する管理ユニットと、前記IPアドレスプール情報に基づいて不明な前記管理サーバのアドレスを決定する決定ユニットとをさらに備える。
一実施形態によれば、コンピュータ上で、本発明の一実施形態に基づく方法を実行するコンピュータ実行可能なプログラムコードを含むコンピュータプログラムが提供される。
異なるオペレータの管理サーバ間でデータが送受信される場合の本発明の一実施形態について説明する。管理サーバは例えば、認証(authentication)、承認(authorization)、監査(auditing)、課金(accounting)および請求(charging)などのタスクを管理するサーバである。従って以下A4Cサーバとも呼ばれる。しかしながら、管理サーバは他のタスクを実行することもでき、管理タスクを実行するとともに別のドメイン内の管理サーバへ接続する必要がある任意の管理サーバに対して実施形態を適用することができる。
全ての管理サーバは、場合によっては別のドメイン内の他の全てのサーバとデータを送受信できなければならないため、場合によってはこのような通信から検出されるとともに攻撃を開始するのに用いられるネットワークトポロジーから問題が生じることがある。基本的に本発明の実施形態によれば、オペレータのネットワークトポロジーに関する情報を隠蔽することができるとともに、ドメイン間のデータの送受信が許可されているサーバの数を制限する。
従って、本発明によれば、攻撃の対象の数を削減することができる(例えば、既知の攻撃に対して特に保護されている専用サーバに対してのみ攻撃が行われることがある)。
一実施形態によれば、ネットワークオペレータが管理データを送受信できる一方で、ネットワークトポロジーに関する機密を守ることができる、送信元のホストアドレスを置換する具体的な手順が提供される。これは、メッセージ内の送信元のソースホストアドレスを「ダミー」、つまりランダムホストアドレスへ置換するホストアドレス置換を実行する専用のゲートウェイサーバを使用することによって実現できる。アドレス置換の関連付けを維持することにより、適切な双方向のメッセージルーティングが可能になる。
本発明の一実施形態は、アドレス体系ベースまたはドメインベースのメッセージルーティングを提供するTCP上のプロトコルが整っていることを前提とする。送信元ホスト、宛先ホストおよび宛先ドメインなどの情報に対するアドレスフィールドすなわち属性評価値対(Attribute Value Pairs)は、メッセージのアドレス指定およびルーティングを可能にできるようにサポートされる。これらのアドレスを使用して通信は、以下に説明するように本発明の実施形態に基づいて行うことができる。
基礎となるプロトコルによって使用される属性評価値対AVP(つまりアドレスフィールド)は、送信元ホストなどのネットワークトポロジーに関する情報を含んでいるため、この情報を隠蔽するメカニズムが提供される。送信元ホストのAVPは、送信サーバのアドレス(または名前、例えば完全修飾ドメイン名FQDN)を有している。一実施形態によれば、送受信されるメッセージがドメインを出入りする前に通らなければならないゲートウェイサーバが、ドメインに対して最初に送信されたFQDNをゲートウェイが通知する場合に、送信元ホストのFQDNのホスト部分をランダムに生成された名前へ置換する。一実施形態によればランダムに生成された名前は、シードによって連結された元のホスト名をBase64でエンコードしたハッシュであり、それにより実ホスト名との矛盾も排除することができる。
本発明の実施形態は、ネットワークオペレータのドメイン内で特定の課金監査サーバにより収集されるとともにホームオペレータのドメインへ送信される課金監査データの送受信に適用できる。ホームオペレータとは、申し込みによりユーザーが会員となっているオペレータであり、ユーザーが自分のホームオペレータへ接続しない場合は、外部のオペレータである。このような実施形態では、情報を送受信する管理サーバは監査機能を有することができ、認証、承認、課金、監査および請求サーバ(A4C)と呼ばれることもある。これらは、上述のアドレスを置換する機能を有するゲートウェイサーバを介してのみ外部ドメイン内の管理サーバと通信することができ、ネットワークトポロジーに関する情報を隠蔽することができる。
図1は、本発明の実施形態が適用される環境を概略的に示している。自身のモバイル端末を使用するユーザーAは、図1の右側に示されている自身のホームオペレータのネットワークの登録ユーザーである。しかしながら、ユーザーAが自分のホームオペレータのサービスエリア内に位置していない状況では、左側に示されている外部オペレータおよび外部オペレータとホームオペレータとの間のデータの送受信を仲介する中継オペレータといった1つ以上の外部オペレータを介してのみサービスを使用することができる。この場合ユーザーAは、メッセージサービス、インターネットアクセス、ビデオストリーミング、任意のウェブサーバサービスまたはこれに類似のものといった付加価値サービスプロバイダにより提供されるサービスを、図1の長い実線矢印で示されているように外部オペレータおよび中継オペレータを介して付加価値サービスプロバイダへ接続することにより使用することができる。
サービス使用の適切な課金を行うために、図1に「A4C」サーバとして示されている認証、承認、課金、監査および請求というタスクを実行する、各オペレータドメイン内に提供されている1つ以上の管理サーバがなければならない。サービスの課金や請求がホームオペレータの領域外で行われると、異なるドメインのA4Cサーバは、図1のA4Cサーバ間の点線矢印により示されているようにA4Cデータを送受信しなければならない。
オペレータドメインは1つのみを有していればよいが、通常各オペレータドメインは複数のA4Cサーバを有している。このような構成が図2に概略的に示されている。
あるドメイン、例えば外部オペレータドメインのネットワークトポロジーを隠蔽するために、一実施形態によれば、第1のドメイン200(外部オペレータ)内のA4Cサーバといった管理サーバと、ホームオペレータドメイン内のA4Cサーバといった第2のドメイン210内の管理サーバとの接続は、直接ではなくゲートウェイサーバを介してなされる。そしてゲートウェイサーバは、外部ドメイン内のA4Cサーバへデータを転送する場合に、A4Cサーバの送信アドレスまたは送信ホスト名を対応するランダムアドレスまたはランダムホスト名へ置換する。これにより任意のA4Cサーバの実送信アドレスまたは実送信ホスト名を、自身のドメインの外部、例えば外部オペレータドメインに対して隠蔽することができる。これは、複数のA4Cサーバ、A4C1、A4C2、・・・A4Cnは、それ自体の実アドレスまたは実ホスト名によってではなく、実アドレスまたは実ホスト名と置換されたランダムアドレスまたはランダムホスト名によってのみ現れるからである。
管理サーバから外部ドメイン内の相手への通信は、アドレス置換を実行するゲートウェイサーバを通過しなければならない。
一実施形態によればゲートウェイサーバは、A4Cサーバの実際の名前またはアドレスとこれと置換されたアドレスとのマッピングを含んだマッピングテーブルを管理している。ゲートウェイサーバにより他のドメインへ転送されたメッセージは、送信アドレスや名前として、実際の名前またはアドレスを置換するのに使用されたランダム名またはランダムアドレスを有している。特定のA4Cサーバへ入ってくる任意のメッセージは、このランダム名やランダムアドレスを宛先としてゲートウェイサーバへ入ってくる。ゲートウェイサーバは、マッピングテーブルを使用して、ランダム名を実際の名前へ置換することにより、特定のA4Cサーバへ向けて入ってくるメッセージを適切にルーティングすることができる。
一実施形態において、アドレス置換に関する情報は図3に概略的に示されているマッピングテーブル内に記憶される。ここで「ランダム名」と「送信先ドメイン」との組み合わせはユニークであり、「送信元のホスト名」(つまり送信元ホストのAVP)を特定する。これは、本実施形態において、メッセージを異なる他のドメインへ送信する場合に、同一の送信元ホストのホスト名やアドレスが異なるランダム名へ置換されるということを意味している。これにより、送信元ホストを特定したり、ネットワークトポロジーに関する情報を明らかにしたりすることが特に難しくなる。これは送信元ホストの実アドレスを置換するのに使用されるランダムアドレスの多様性を増大させ、これによりネットワークトポロジーに関する情報を明らかにするのが困難になる。
入ってくるデータについては、ゲートウェイサーバは逆置換しなければならない。一実施形態によれば、ゲートウェイサーバは常に、送信元ホスト名(つまり送信元ホストAVP)を特定するために「ランダム名」と「送信先ドメイン」(宛先ドメインの名前)との組み合わせを使用している。これは、これらの値のマッピングが変化しないためである。必要であれば(例えば、スケーラビリティにより)、A4Cサーバはタイムアウト後にこのマッピングを削除することができ、これは一実施形態によればセッションの最大ライフタイムよりも長い。
ゲートウェイはセッションの状態を維持する必要がないとともに、全てのアクティブセッションに対して同一のマッピングが使用されるため、ゲートウェイサーバは、どのセッションが実行中であるかを認識していない。従って、最初の送受信後、個々のA4Cサーバは、ネットワークトポロジーに関する実際の情報を明らかにすることなくアドレス指定ができ、ゲートウェイは新たなセッションごとにマッピングを変更する必要がない。
上記実施形態によれば、ドメイン内のサーバの実際の名前を隠蔽することができ、依然として、最大セッション期間が与えられなくても動作するが、ドメイン内の使用可能なサーバの数を推定することもできる。後述のさらなる実施形態によれば、使用中のA4Cサーバの実際の数を隠蔽することができる。この目的を達成するために、図4から分かるように「送信先ドメイン」の代わりにセッション識別子(SID)が使用される。これは、(実際の)送信元ホストアドレスとセッション識別子とのユニークなペアに対して、マッピングテーブル内の対応するランダム名が割り当てられるということを意味している。使用されるSIDは、外部ドメインによってそのドメイン内の課金または監査を行うために受信されたルートSIDまたは他のSIDのいずれかであり、ドメイン間でデータを送受信するのに使用される。SIDの使用により、1つのA4Cは他のドメインに対する名前をセッション数と同じ数だけ有している。従って、サーバの実際の数を推定することは外部からはまったく不可能である。
一実施形態において、基礎となるプロトコルは、Calhoun, P.; Loughney, J.; Guttman, E.; Zorn, G. and Arkko, J.,”RFC 3855 − Diameter Base Protocol”, 2003に記載されているDiameterプロトコルとすることができる。この場合、開始メッセージ(DiameterのAAリクエスト)においてSIDは使用できないため、Diameterプロトコルの「エンドツーエンド識別子」AVPを使用して、応答(AA応答)が入ってくる場合に実際のSIDへ置換することができる。
一実施形態によれば、マッピングテーブル内のセッション識別子を用いた実装は、好ましくは、スケーラビリティにより最大セッション期間が与えられる場合に使用されるものであり、一定時間後にマッピングテーブルからリファレンスを削除することができる。そうでなければ、マッピングテーブルが大きくなりすぎて、ゲートウェイが処理できなくなることがある。
上記実施形態は、ゲートウェイの外に対して、オペレータのネットワーク内のA4Cサーバを隠蔽することを目的としている。結果として、他のドメイン内のサーバを名前によりアドレス指定することは、ランダム名をサーバの実名へ逆マッピングするためにゲートウェイがマッピングテーブル内に適切なエントリを記憶している場合にのみ可能である。別のドメイン内のサーバへ送信された最初のメッセージについては、サーバのエントリがゲートウェイのマッピングテーブル内にもはや存在していないか、または可能性のある送信元がサーバのランダム名を認識していない。これらの問題を解決するために、2つのオプションを使用することができる。
・メッセージをドメインへとアドレス指定する: これは、メッセージが1つの特定のサーバ専用ではない場合に使用することができる。ドメイン内の任意のサーバは受信側であり、リクエストされたアクションを実行できる。あるサーバが選択されると、後続のメッセージが同一のサーバへ送信されるということが重要である。一つの例は、ユーザーが外部オペレータFOのネットワークへ最初に接続する際にFOからホームオペレータHOへと送信されるAA(認証および承認)リクエストである。AAリクエストはHOのゲートウェイへ送信され、ゲートウェイはこれをそのドメイン内のA4Cサーバへ転送するものの、どのサーバが選択されるかは特に重要ではないため、任意の選択スキーム(例えば、ランダム)に基づいて、または負荷などの基準に基づいて選択することができる。リクエストが実行され、応答が返却され、従ってサーバはFOのドメイン内で認識される。
・メッセージは、クライアントのIPアドレスに基づいたメッセージルーティングを使用して対象となるサーバアドレスを指定できる: それぞれのサーバをアドレス指定しなければならない他の全ての場合において、送信側はクライアントのIPアドレスに基づいたメッセージルーティングを使用できる(より詳細な説明は以下に示す)。このメカニズムは、ネットワークに関する内部の詳細を明らかにしないため、ゲートウェイの影響を受けない。
・メッセージをドメインへとアドレス指定する: これは、メッセージが1つの特定のサーバ専用ではない場合に使用することができる。ドメイン内の任意のサーバは受信側であり、リクエストされたアクションを実行できる。あるサーバが選択されると、後続のメッセージが同一のサーバへ送信されるということが重要である。一つの例は、ユーザーが外部オペレータFOのネットワークへ最初に接続する際にFOからホームオペレータHOへと送信されるAA(認証および承認)リクエストである。AAリクエストはHOのゲートウェイへ送信され、ゲートウェイはこれをそのドメイン内のA4Cサーバへ転送するものの、どのサーバが選択されるかは特に重要ではないため、任意の選択スキーム(例えば、ランダム)に基づいて、または負荷などの基準に基づいて選択することができる。リクエストが実行され、応答が返却され、従ってサーバはFOのドメイン内で認識される。
・メッセージは、クライアントのIPアドレスに基づいたメッセージルーティングを使用して対象となるサーバアドレスを指定できる: それぞれのサーバをアドレス指定しなければならない他の全ての場合において、送信側はクライアントのIPアドレスに基づいたメッセージルーティングを使用できる(より詳細な説明は以下に示す)。このメカニズムは、ネットワークに関する内部の詳細を明らかにしないため、ゲートウェイの影響を受けない。
いずれの場合においても(例えば、第1の場合にはドメインのみをアドレス指定することにより、また第2の場合にはクライアントのIPアドレスに基づいたメッセージルーティングを使用することにより)、開始メッセージは適切なアドレスを有することができ、受信側に配信することができる。そしてメッセージの送受信は、ゲートウェイのマッピングテーブル内で必要な全てのエントリを生成し、リクエストに対する応答は送信側にピアサーバの名前を提供する。従って、後続の全てのメッセージは名前によるアドレス指定を使用できる。
本発明の実施形態に基づいた、クライアントのIPアドレスに基づくメッセージルーティングと呼ばれるメカニズムについて、図5を参照して詳細に説明する。
オペレータドメイン500において、複数のアクセスポイントまたはネットワークアクセスサーバ(ここではNAS1およびNAS2)の各々に対して、ある範囲のIPアドレス510、511および512を動的に割り当てることができる。NASのIPプールは、NASが該NASへ接続しているモバイル端末へ動的に割り当てることができる全てのIPアドレスのリストである。各ネットワークアクセスサーバは、対応するA4Cサーバによって管理されている。図4に示されているようにNAS1およびNAS3はA4C1によって管理され、NAS2はA4C2によって管理されている。A4Cサーバは複数のNASを管理することができるものの、各NASは該NASへ接続されている端末に対する認証、承認、監査および課金などのタスク用の管理サーバである1つのA4Cサーバのみによって管理されている。例えば、ある端末がNAS2へ接続すると、NAS2を管理するA4CサーバA4C2またはNAS2によってIPアドレスが割り当てられ、A4C2はこの端末で使用されるサービスについてデータを管理する。
本実施形態のA4Cサーバは、NAS(ネットワークアクセスサーバ)からIPプール情報を取得または集約し、同一ドメイン内のA4Cピアへ通知する。これにより、各A4Cサーバは、ドメイン内のどのIPアドレスがどのA4Cサーバによって管理されているかに関する情報を得る。図5の場合、A4C2が管理するIPアドレスをA4C1が認識していることを意味し、この逆も同様である。その結果、管理メッセージ(例えば、「IPアドレス○○の課金情報」)と関係するクライアントIPアドレスを認識している場合に、あるA4Cサーバへ送信すべき該管理メッセージのルーティング先を全てのA4Cサーバが認識しているという「イントラドメインオーバーレイルーティングインフラストラクチャ」が展開される。管理メッセージやA4Cメッセージが外部ドメイン内のA4Cサーバへ方向付けられる場合、外部ドメインが既知であれば、メッセージがイントラドメインである場合に、他のドメイン内の任意のA4Cサーバ(特にゲートウェイサーバ)へこれらメッセージを転送することができる。対象となるA4Cサーバが管理する端末のIPアドレスをメッセージが含んでいる場合、外部ドメイン内の任意のサーバは、モバイル端末のIPアドレスが含まれるIPプールを管理するA4Cサーバへ該メッセージを転送する。
このようにしてピアは、A4Cサーバが管理するモバイル端末のIPアドレス、つまり通信相手のIPアドレスを示すことによってA4Cサーバのアドレスを知ることなくそのA4Cサーバをアドレス指定することができる。第1のドメイン内のA4Cサーバから外部ドメイン内のA4Cサーバへメッセージを送信する場合、この情報が含まれるはずである。この情報に基づいて、任意のA4Cサーバおよびゲートウェイサーバは、このIPアドレスを管理するA4Cサーバを特定し、正しいA4Cサーバへメッセージをルーティングすることができる。
このようなメカニズムに基づいて、他のドメイン内のA4Cサーバのアドレスがまだ不明である初期の送受信は、クライアントのIPアドレスに基づいたメッセージルーティングによって確立されるか、またはA4CサーバではなくA4Cドメインのみへアドレス指定されたメッセージによって確立される。クライアントのIPアドレスに基づいたメッセージルーティングにより、送信されるメッセージに対してモバイルデバイスのIPアドレスを挿入することは十分であり、他のドメイン内の各A4Cサーバは、どのA4Cサーバへメッセージを転送する必要があるかを認識している。他のA4Cサーバのドメインのみがアドレス指定されると、ドメイン内のゲートウェイは、どのA4Cサーバへメッセージを転送すべきかを判断する。
ドメインを出る最初のメッセージの場合、ゲートウェイは、マッピングテーブル内の「送信先ドメイン」および「送信元ホスト名」のエントリを見つけることができない。この場合、ランダム名が(上述のように)生成され、エントリがマッピングテーブル内に作成される。
一実施形態によれば、どのA4CサーバがどのIPアドレスを管理しているかという情報は、全てのA4Cサーバではなくゲートウェイのみによって管理される。これは、クライアントのIPアドレスに基づいたメッセージルーティングがどの場合にも実行されるメッセージが、ゲートウェイを通過しなければならない場合に十分なものである。このような場合、ゲートウェイがルックアップを実行し、メッセージを正しいA4Cサーバへルーティングできるならば十分である。
ゲートウェイへのみ通知すればよいため、上記実施形態は管理がさらに容易であるのに対し、各A4Cサーバが全てのピアのIPアドレスプールを認識している実施形態は、任意のA4CサーバがクライアントのIPアドレスに基づいてルーティングを行うことができるためより柔軟性がある。
以下、図6を参照して詳細に実施形態を説明する。本実施形態に基づいた構成は図6に概略的に示されており、オペレーション(例えば、課金)データを他のA4Cサーバへ送信するのに使用されるデータレポートリクエスト(DRR)が示されている。オペレータ2は、A4Cサーバ2から送信されるデータレポートリクエスト(1)をオペレータ1へ送信する。リクエストはゲートウェイ2によって転送されなければならない。事前に送信されたメッセージによりゲートウェイ2およびゲートウェイ1にマッピングテーブルがすでに存在しているとする。ゲートウェイ2において、マッピングテーブルのルップアップ(2)が実行され、これはまた図8のメッセージシーケンスチャート(MSC)に示されており、送信元ホストアドレス(つまりAVP)は、「A4Cサーバ2」(「送信元ホスト名」カラムのエントリを参照)から「ランダムA4C2」(「ランダム名」カラムのエントリを参照)へ変更される。しかしながら、エントリがすでに存在していなければ、(「ランダム名」カラムに入力される)ランダムに生成された名前により新たなエントリが生成される。続いてゲートウェイ2は、リクエスト(3)をオペレータ1へ送信する。それまでのメッセージ送受信から得られたA4Cサーバ1のランダム名は、リクエストの宛先ホストアドレス(つまりAVP)に含まれている。
図7は、図6に示されている第1のステップを含む完全なデータレポートリクエストおよびデータレポートアンサー(DRA)の送受信を示している。オペレータ1のゲートウェイ1は、このマッピングテーブル内のA4Cサーバ1の実際の名前をルックアップし(4)、図7に示されているようにDRRをA4Cサーバ1へ転送する(5)。A4Cサーバ1は、宛先ホストアドレス(つまりAVP)内の「ランダムA4C2」を使用してデータレポートアンサーによって応答する(6)。ゲートウェイ1はアンサー内の送信元ホストアドレス(つまりAVP)を「A4C1ランダム」へ置換し(7)、これをゲートウェイ2へ送信する(8)。ゲートウェイ2は、宛先ホストアドレス(つまりAVP)が設定されているかチェックし(9)、「ランダムA4C2」を「A4Cサーバ2」へマッピングする。ゲートウェイ2が「ランダムA4C2」についてのマッピングをそのテーブル内で見つけることができない場合、一実施形態のメッセージは拒絶される。次いでデータレポートアンサーはA4Cサーバ2へ送信される(10)。
一実施形態によれば、トポロジーを隠蔽するメカニズムの基本となるプロトコルはDiameterである。Diameterは、ネットワークアクセスやIPモビリティなどのアプリケーションのAAA(認証、承認、課金)プロトコルである。基本的なコンセプトは、AAAサービスを新たなアクセス技術へ提供するために、拡張可能なベースプロトコルを提供することである。Diameterは、ローカルAAAおよびローミングAAA両方での動作を目的としている。詳細はRFC3855を参照されたい。
しかしながら、本発明を実施するためには、Diameterプロトコルを使用する必要はない。アドレス体系ベースまたはドメインベースのルーティングをサポートする任意のプロトコルを使用することができる。さらにプロトコルは、送信元ホストアドレス(送信元ホストアドレスAVP)、宛先ホスト(宛先ホストAVP)などのヘッダーフィールドをサポートしていなければならない。クライアントのIPアドレスに基づいたメッセージルーティングを適用するため、プロトコルがNASのIPプールAVPのヘッダーフィールドをさらにサポートする場合は、一実施形態に基づく上記クライアントのIPアドレスに基づいたメッセージルーティングがサポートされていることが好ましい。
上記実施形態に基づく方法は、使用されている実際の規格とは無関係にネットワーク内で実施できることは当業者には容易に理解されるであろう。さらに、当業者は、本発明の実施形態と関連して説明した要素、ユニットおよび装置が、ハードウェア、ソフトウェアまたはそれらの組み合わせにより実現できることを容易に理解するであろう。特に、本発明の実施形態と、これに関連して説明した要素やモジュールとが、コンピュータ上またはマイクロプロセッサ上で実行されるコンピュータプログラムで実現できることが理解されるであろう。
Claims (13)
- 第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する方法であって、
管理サーバの実ホスト名を、該管理サーバのランダムホスト名へ置換するゲートウェイサーバを介して、前記第2のネットワーク内の管理サーバへデータを送信するステップと、
前記第2のネットワーク内の管理サーバから前記ゲートウェイサーバを介してデータを受信するステップであって、前記データは、前記ゲートウェイサーバにより前記管理サーバの前記実ホスト名へ置換される前記管理サーバの前記ランダムホスト名へとアドレス指定されるものである、ステップと、
前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを前記ゲートウェイサーバが管理するステップと
を含む方法。 - 管理サーバから異なる第2の管理ドメインへデータが送信される場合に、前記管理サーバのホスト名はそれぞれ異なるランダム名へ置換されるものである、請求項1に記載の方法。
- 前記マッピングテーブル内のマッピングエントリはタイムアウト後に削除されるものであり、
前記タイムアウトは好ましくはセッションの最大ライフタイムと少なくとも同じ長さである、
請求項1または2に記載の方法。 - 通信が異なるセッションに属する場合、管理サーバのホスト名はそれぞれ異なるランダム名へ置換されるものである、請求項1〜3のいずれか一項に記載の方法。
- データが送信される前記第2のドメイン内の管理サーバのアドレスが不明の場合、前記管理サーバが管理する端末のアドレスに関する情報をメッセージに含めるステップと、
前記メッセージが前記第2の管理ドメインへ到達すると、前記端末の前記アドレスに基づいて不明な前記管理サーバのアドレスを決定するステップと
をさらに含む請求項1〜4のいずれか一項に記載の方法。 - どの管理サーバがどのIPアドレスを管理するかを表す、ドメイン内のIPアドレスプール情報を管理するステップと、
前記IPアドレスプール情報に基づいて、不明な前記管理サーバのアドレスを決定するステップと
をさらに含む請求項5に記載の方法。 - 第1の管理ドメインを構成するとともに複数の管理サーバを有する第1のモバイルネットワーク内の管理サーバと、第2の管理ドメインを構成する第2のネットワークとの間でデータが送受信される場合に、前記第1のモバイルネットワークのネットワークトポロジーを隠蔽する装置であって、
前記第2のネットワーク内の管理サーバへデータを送信する送信ユニットであって、その結果、前記管理サーバの実ホスト名は該管理サーバのランダムホスト名へ置換されるものである、送信ユニットと、
前記第2のネットワーク内の管理サーバからデータを受信する受信ユニットであって、前記データは前記管理サーバの前記ランダムホスト名へとアドレス指定されるとともに、前記管理サーバの前記ランダムホスト名を前記管理サーバの実ホスト名へ置換する受信ユニットと、
前記管理サーバの前記実ホスト名と前記管理サーバの前記ランダムホスト名との対応を表すマッピングテーブルを管理する管理ユニットと
を備える装置。 - 前記管理サーバから異なる第2の管理ドメインへデータが送信される場合、前記管理サーバのホスト名はそれぞれ異なるランダム名へ置換されるものである、請求項7に記載の装置。
- 前記マッピングテーブル内のマッピングエントリはタイムアウト後に削除されるものであり、
前記タイムアウトは好ましくはセッションの最大ライフタイムと少なくとも同じ長さである、
請求項7または8に記載の装置。 - 通信が異なるセッションに属する場合、管理サーバのホスト名はそれぞれ異なるランダム名へ置換されるものである、請求項7〜9のいずれか一項に記載の装置。
- データが送信される前記第2のドメイン内の管理サーバのアドレスが不明の場合、前記送信ユニットは、前記管理サーバが管理する端末のアドレスに関する情報をメッセージに含めるものであり、その結果、前記メッセージが前記第2の管理ドメインへ到達すると、不明な前記管理サーバのアドレスが前記端末の前記アドレスに基づいて決定できるものとなる、請求項7〜10のいずれか一項に記載の装置。
- どの管理サーバがどのIPアドレスを管理するかを表す、ドメイン内のIPアドレスプール情報を管理する管理ユニットと、
前記IPアドレスプール情報に基づいて不明な前記管理サーバのアドレスを決定する決定ユニットと
をさらに備える請求項11に記載の装置。 - コンピュータ上で、請求項1〜6のいずれか一項に記載の方法を実行するコンピュータ実行可能なプログラムコードを含むコンピュータプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06112789A EP1848150B1 (en) | 2006-04-20 | 2006-04-20 | Method and apparatus for hiding network topology |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007306554A true JP2007306554A (ja) | 2007-11-22 |
| JP4394701B2 JP4394701B2 (ja) | 2010-01-06 |
Family
ID=36645577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007110805A Active JP4394701B2 (ja) | 2006-04-20 | 2007-04-19 | ネットワークトポロジーを隠蔽する方法および装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1848150B1 (ja) |
| JP (1) | JP4394701B2 (ja) |
| DE (1) | DE602006007319D1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8224936B2 (en) | 2008-05-21 | 2012-07-17 | Cisco Technology, Inc. | Configuration file override |
| US8335917B2 (en) | 2008-08-12 | 2012-12-18 | Cisco Technology, Inc. | System for binding a device to a gateway to regulate service theft through cloning |
| US9094819B2 (en) * | 2010-06-06 | 2015-07-28 | Tekelec, Inc. | Methods, systems, and computer readable media for obscuring diameter node information in a communication network |
| US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
| US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
| US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
| US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
| US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
| US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
| US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
| US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6477577B1 (en) * | 1996-04-05 | 2002-11-05 | Fujitsu Limited | Network connection system and connection substitute correspondence client |
| NL1013273C2 (nl) * | 1999-10-12 | 2001-04-17 | Koninkl Kpn Nv | Werkwijze en systeem voor het verzenden van IP berichten. |
| US7318091B2 (en) * | 2000-06-01 | 2008-01-08 | Tekelec | Methods and systems for providing converged network management functionality in a gateway routing node to communicate operating status information associated with a signaling system 7 (SS7) node to a data network node |
| JP2004120534A (ja) * | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | ルータと中継装置、フォワーディング方法 |
| TW200505189A (en) * | 2003-09-03 | 2005-02-01 | Nestar Communications Inc | Network equipment management system and related method |
| JP2005210352A (ja) * | 2004-01-22 | 2005-08-04 | Nec Engineering Ltd | Ipアドレス変換装置及び変換方法 |
| JP4401892B2 (ja) * | 2004-08-02 | 2010-01-20 | 日本電信電話株式会社 | メッセージ配送システム、メッセージ配送方法およびメッセージ配送プログラム |
-
2006
- 2006-04-20 DE DE602006007319T patent/DE602006007319D1/de active Active
- 2006-04-20 EP EP06112789A patent/EP1848150B1/en not_active Expired - Fee Related
-
2007
- 2007-04-19 JP JP2007110805A patent/JP4394701B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP1848150A1 (en) | 2007-10-24 |
| EP1848150B1 (en) | 2009-06-17 |
| DE602006007319D1 (de) | 2009-07-30 |
| JP4394701B2 (ja) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4394701B2 (ja) | ネットワークトポロジーを隠蔽する方法および装置 | |
| Laganier et al. | Host identity protocol (HIP) rendezvous extension | |
| US7401216B2 (en) | Addressing mechanisms in mobile IP | |
| US20080005290A1 (en) | Terminal reachability | |
| Van de Velde et al. | Local network protection for IPv6 | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| JP2012501026A (ja) | ピアツーピアネットワーク | |
| Reddy et al. | Dns over datagram transport layer security (dtls) | |
| US9356952B2 (en) | Packet redirection in a communication network | |
| KR100808983B1 (ko) | 무선단말에 도달하기 위한 주소정보 제공 | |
| Richardson et al. | Opportunistic encryption using the internet key exchange (ike) | |
| Cheshire et al. | Understanding apple's back to my mac (BTMM) service | |
| KR20050039880A (ko) | 제 1 컴퓨터 네트워크로부터 제 2 컴퓨터 네트워크로의통신 세션들 개시 | |
| KR20180099293A (ko) | 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이 | |
| JP2007189752A (ja) | 通信方法 | |
| JP2004200822A (ja) | 通信方法および情報処理装置 | |
| WO2004012413A1 (en) | Served initiated authorised communication in the presence of network address translator (nat) or firewalls | |
| Rafiee et al. | Challenges and Solutions for DNS Security in IPv6 | |
| Patil et al. | Traversal Using Relays around NAT (TURN) Server Auto Discovery | |
| Zhu et al. | Home as you go: an engineering approach to mobility-capable extended home networking | |
| Shrivastava | Threats and Security Aspects of IPv6 | |
| Spencer | Sun Feb 10 11: 15: 06 2002 Page 2 pr-l66-w80 draft-richardson-ipsec-opportunistic-05. txt | |
| Wakikawa et al. | Understanding Apple’s Back to My Mac (BTMM) Service | |
| Hunek | NAT64/DNS64 in the Networks with DNSSEC | |
| Janasik | How to access home while on the road |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090406 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090410 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090608 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091002 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091015 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4394701 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121023 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131023 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |