JP2007501554A - 認証済みの通信を行うための方法 - Google Patents

認証済みの通信を行うための方法 Download PDF

Info

Publication number
JP2007501554A
JP2007501554A JP2006522339A JP2006522339A JP2007501554A JP 2007501554 A JP2007501554 A JP 2007501554A JP 2006522339 A JP2006522339 A JP 2006522339A JP 2006522339 A JP2006522339 A JP 2006522339A JP 2007501554 A JP2007501554 A JP 2007501554A
Authority
JP
Japan
Prior art keywords
mnn
address
mobile router
coa
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006522339A
Other languages
English (en)
Other versions
JP4299860B2 (ja
Inventor
オリーブロー、アレクシス
ジャンヌトー、クリストフ
ペトレスキュ、アレクサンドリュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of JP2007501554A publication Critical patent/JP2007501554A/ja
Application granted granted Critical
Publication of JP4299860B2 publication Critical patent/JP4299860B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/28Connectivity information management, e.g. connectivity discovery or connectivity update for reactive routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/34Modification of an existing route
    • H04W40/36Modification of an existing route due to handover
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
  • Developing Agents For Electrophotography (AREA)

Abstract

本発明は、少なくとも第1の移動ルータ(MR)を介して、移動ネットワーク・ノード(MNN)と対応するノード(CN)との間で認証済みの通信を行うための方法を提供する。前記方法は、拡張リターンルーチング可能性チェック手順(XRRP)を使用することを特徴とする。この場合、MNN試験開始(MNNTI)メッセージがMRにより送信され、MNN試験(MNNT)メッセージがCNにより送信される。このことは、3つのHoT、CoTおよびMNNT試験メッセージのうちの任意のものまたはすべての受信に基づいて、バインディング・更新認証鍵を生成することができるようにすることにより、標準RRPですでに説明したように、ホームと気付けアドレスが同じでなければならないセキュリティの一助となる。この方法は、MRからMNNのアドレス(MNNA)を含む拡張バインディング・更新(XBU)を送信することをさらに特徴とする。この方法によりMNNAを内蔵するように、バインディング・更新を拡張することにより、認証済みCN/MNNルート最適化を行うことができる。

Description

本発明は、認証済みの通信を行うための方法に関し、特に、少なくとも第1の移動ルータを介しての移動ネットワーク・ノードと対応するノードとの間の認証済みの通信を行うための方法に関する。
従来の移動体サポートの目的は、例えば、無線接続をすることができるラップトップ・コンピュータのような移動ホストに、継続的にインターネットにより接続することができるようにすることである。対照的に、ネットワークの移動体サポートは、多くの移動ホストを有する全ネットワークが、インターネット網の連結点を変更し、それによるインターネット網内の連結点に接続するルートを変更する状況に関する。移動中のこのようなネットワークは移動ネットワークと呼ぶことができる。
このような移動ネットワークが発生する多数のシナリオが存在する。2つだけ例を挙げると、
i.パーソナル・エリア・ネットワーク(PAN、すなわち、ある個人に取り付けられたいくつかの個人用装置のネットワーク)は、ユーザが町を歩き回っている間にインターネット網へのその連結点を変更する。
ii.乗客に搭載インターネット・アクセスを提供する、バスまたは航空機内にあるネットワーク。これらの乗客は、1つのデバイス(例えば、ラップトップ)を使用することもできるし、またはある移動ネットワークを訪問している移動ネットワーク(すなわち、入れ子状の移動体)の場合を示す移動ネットワーク(PAN等)を所有することもできる。
それ故、移動ネットワーク(MONET)は、一組のノード、すなわち、インターネットの残りの部分に対してユニットとして移動することができる移動ルータ(MR)に取り付けられている1つまたは複数のIPサブネットの一部であると定義することができる。すなわち、MRおよびすべてのその連結ノード(いわゆる、移動ネットワーク・ノード、すなわちMNN)であると定義することができる。
MNN自身は、所与の移動ネットワークに永久に関連するローカル固定ノード(LFN)であってもよいし、現在の移動ネットワーク内のそのネットワーク連結点を変えることができ、他の場所に連結するために現在の移動ネットワークを離脱することができるローカル移動ノード(LMN)であってもよいし、そのホーム・リンクが現在の移動ネットワーク上に存在しないで、その連結点を現在の移動ネットワークの外部のある場所から変更した在圏移動ノード(VMN)であってもよい。すでに説明したように、MNNは、入れ子状の移動体になる簡単な移動ホストまたは他の移動ルータであってもよい。
移動ネットワークに対して使用することができる連結点の変更に関しては、このようなネットワークがデータのパケットを送受信するルートを最適化するための方法が、多くの理由で非常に望ましいものである。
i.ルートを最適化すると、パケット経路の長さが短くなり遅延が低減する。
ii.ルートを最適化すると、システムの使用できる全帯域幅が広くなる。何故なら、パケットがもっと短い経路を介して経路指定され、もはやトンネリングされないからである。
iii.ルートを最適化すると、通信経路上の最大送信単位のサイズを増大することができ、ペイロードの分割が少なくなる。
IPv6(「移動IPv6」またはMIPv6)仕様の移動体のサポート(http://www.ietf.org/参照)は、MNと対応するノード(CN)間のルートを最適化(最短経路を使用する二方向通信)することができるようにする手段を提案しているが、MNNとCN間のルートを最適化することができるようにする機構はまだ提案されていない。
図1を参照すると、MNNとCN間の通信に対する基幹ネットワーク・移動体サポート(http://www.ietf.org/の「NEMO基本サポート・プロトコル」)は、移動ルータ(MR)とそのホーム・エージェント(HA)間の二方向トンネリングに依存している。
i.(CNからMNNへの)入力パケットは、MRのホーム・リンクに送られる。MRのHAは、それを傍受し、MRにトンネリングする。
ii.(MNNからCNへの)出力パケットは、MRによりそのHAに逆トンネリングされる。
しかし、この方法ではMNNへのルートを最適化することはできない。
EP 1 158 742 A1および関連する論文、2002年3月付けのIETFインターネット−草案 draft−ernst−mobileip−v6−network−03.txt掲載の、T.Ernst、A.Olivereau、L.Bellier、C.Castelluccia、H.−Y.Lachの、「移動IPv6での移動ネットワークのサポート(プレフィックス・スコープ・バインディング・更新)」(Mobile Networks Support in Mobile IPv6(Prefix Scope Binding Updates))は、MRが、在圏ネットワークにローミングした場合、これらの文書がプレフィックス・スコープ・バインディング更新(PSBU)として参照するMIPv6バインディング更新(BU)の修正版をそのホーム・エージェント(HA)に送信する方法を記載している。
古典MIPv6 BUは、CNに、1つの移動ノード(例えば、移動気付けアドレス(CoA)と結合している移動ルータのホーム・アドレス(HoA))宛のデータの送り先を知らせるだけである。提案のPSBUは、MR HoAをMR CoAにバインドしないで、MRプレフィックスをMR CoAにバインドするので、PSBUを受信しているHAに、MRに取り付けてある任意のMNN宛のデータをMR CoAに送るように通知する。
その宛先アドレスが、MRプレフィックス(例えば、宛先がMNNである)と一致するパケットを受信した場合には、ホーム・エージェント(HA)は、パケットをこのパケットを実際の受信人に送るMR CoAにトンネリングしなければならない。
同様に、MRは、PSBUをCN/MNNルート最適化を行うMNNの対応するノードに送信することができる。
しかし、この解決方法は、その受信人がPSBUの認証に成功した場合だけに使用することができる。ピア認証の範囲を超えた場合、PSBUの送信人は、自身がPSBUを送るプレフィックス全部を有していることを実際に証明しなければならない。
PSBUの受信人が、MRに属するプレフィックスについて最初の知識を有していると予想されるMRホーム・エージェントである限りは、このことは問題にならない。しかし、受信人が任意のCNである場合には、そのCNがPSBUを認証することができるようにするある機構を発見しなければならない。この解決方法の適用範囲を大幅に低減する機構はまだ提案されていない。
この方法の適用範囲は、古典MIPv6 BU認証に対してすでに提案されていると見なすことができる。
i.暗号化により生成したアドレス
この解決方法の場合、ホーム・アドレス(HoA)は、公開鍵/秘密鍵のペアの一部である公開鍵と結合している。これにより、悪意のあるノードは、ホーム・アドレスのふりを決してすることができない。何故なら、悪意のあるノードは対応する秘密鍵を所有していないからである。
しかし、PSBUに関しては、この方法を、プレフィックスの所有まで拡張することはできない。何故なら、多数のホーム・アドレスが、同じプレフィックスを共有することができるからである。さらに、MIPv6または任意の将来の仕様が、任意の移動ネットワークがそれ自身のアドレスまたはプレフィックスを割り当てることができるようにする可能性は少ない。所有を一意のものにするために、プレフィックスに追加のハッシュを追加するのは、ネットワーク・プレフィックス内の使用できるビット数により制限を受ける。推定では、一意性すなわちセキュリティを喪失する機会を50%にするには、攻撃者は、216(約65,000)の公開鍵を試験しなければならない。
ii.リターンルーチング可能性チェック手段(RRP)
RRPは、現在、MIPv6仕様に含まれていて、バインディング更新(BU)を受け入れる前に、指定の気付けアドレス(CoA)のところで、指定のホーム・アドレス(HoA)に実際に到達することができることを確認するための対応するノード(CN)によるチェックからなる。本質的には、このプロセスは下記のものを含む。
・ホーム試験開始(HoTI)メッセージおよび気付け試験開始(CoTI)メッセージをCNに送信することにより、手段を開始する移動ノード(MN)
・MNのホーム・アドレスにホーム試験(HoT)メッセージを送信し、MNの気付けアドレスに気付け試験(CoT)メッセージ)を送信するCN
・HoTおよびCoTの両方の内容から、MNは、送信するBUに署名するために使用する鍵を生成する。
それ故、MNは、有効なBUを生成することができるように、HoTおよびCoTの両方の受信に成功しなければならない。このことは、CNによりホーム・アドレスおよび気付けアドレスがそのMNに対して有効であるという十分な証拠であると見なされる。
しかし、PSBUに関しては、全部のプレフィックスがある気付けアドレスに到達するかどうかを確認するためにこの機構を使用することはできない。プレフィックスの所有は、アドレスの所有より遥かに重要である。類似のレベルのセキュリティを入手するためには、CNは、RRPにより、そのネットワーク・プレフィックスから入手することができるすべての可能なアドレスをチェックしなければならない。
このようなことは明らかに不可能である。何故なら、標準プレフィックスの長さの場合、可能なIPv6のアドレスの数は莫大なものになるからである。
それ故、PSBUは、移動ネットワークに認証済みのルート最適化を提供することはできない。すなわち、PSBUは、その内部に位置する任意の移動ネットワーク・ノードに、認証済みのルート最適化を提供することはできないという結論になる。
それ故、移動ネットワーク・ノードに対して認証済みのルートを最適化するための方法の開発が依然として待望されている。
本発明の目的は、このニーズを満たすことである。
本発明は、添付の特許請求の範囲に記載するように、少なくとも第1の移動ルータ(MR)を介して、移動ネットワーク・ノード(MNN)と対応するノード(CN)との間で認証済みの通信を行うための方法を提供する。
第1の態様においては、本発明は、請求項1に記載するように、認証済みの通信を行うための方法を提供する。
第2の態様においては、本発明は、請求項32に記載するように、認証済みの通信のための装置を提供する。
第3の態様においては、本発明は、請求項33に記載するように、認証済みの通信を行うために動作することができる移動ルータを提供する。
第4の態様においては、本発明は、請求項34に記載するように、認証済みの通信を行うために動作することができる対応するノードを提供する。
本発明の他の特徴は、従属請求項に定義してある。
添付の図面を参照しながら以下に本発明の実施形態について説明するが、これは単に例示としてのものに過ぎない。
本発明は、認証済みの通信を行うための方法を提供する。下記の説明において、本発明を完全に理解してもらうために、多数の特定の詳細について説明する。しかし、当業者であれば、これらの特定の詳細は、本発明を実行するために使用する必要がないことを理解することができるだろう。他の例の場合には、本発明が分かりにくくなるのを避けるために、周知の方法、手順および構成要素の詳細な説明は省略してある。
図1を参照すると、この図は、少なくとも第1の移動ルータ(MR)120を介しての移動ネットワーク・ノード(MNN)110と対応するノード(CN)150との間で認証済みの通信を行うための方法を示す。
図1は、移動ルータ(MR)120およびそのホーム・アドレス132から在圏リンク上のあるアドレス142に移動したそのネットワークであって、移動ネットワーク・ノード(MNN)(110)を認証済みのルートを最適化する方法を必要としているネットワークを示す。
ここで図2についても説明すると、本発明のある実施形態においては、この方法は、拡張リターンルーチング可能性チェック手順(XRRP)200を使用する。この場合、MNN試験開始(MNNTI)メッセージが、MR120により送信され(236)、MNN試験(MNNT)メッセージがCN150により送信される(256)。
これは、3つのHoT、CoTおよびMNNT試験メッセージの任意のものまたはすべての上での受信に基づいて、バインディング更新認証鍵の生成を可能にすることにより、標準RRPのところですでに説明したように、ホーム・アドレスおよび気付けアドレスが同じでなければならないセキュリティの一助になる。
さらに、図3を参照すると、本発明のこの実施形態の方法は、また、MR120からのMNNのアドレス(MNNA)112を含む(320)拡張バインディング更新(XBU)(300)を送信するステップを含む。
このようにMNNAを含むようにバインディング・更新を拡張することにより、認証済みCN/MNNルートの最適化を行うことができる。より詳細に説明すると、認証済みCN/MNNルートの最適化は、セキュリティ・コンテキストを予め確立しなくても行うことができる。
さらに、このことは、移動ネットワーク・ルート最適化に適当なレベルのセキュリティを提供する。より詳細に説明すると、悪意のあるノードは、MNNのアドレスを装うことができず、データを他の宛先に送ることができず、またはMRの気付けアドレスのフリをすることもできず、それに対するサービス攻撃を拒否することもできない。
さらに、このことは、MNNに対して透明であるので、ノードを変更する必要がなく、そのため現在の装置は、本発明の利点を使用することができる。
拡張リターンルーチング可能性チェック手順200については、以下に詳細に説明する。
MR120は、MNN110が、そのMNN110に対するそのホーム・エージェントからのトンネリングしたパケットを受信した場合にはいつでも、ルート最適化が、MNN110に対して使用されていないことを検出する。
それ故、MR120と対応するノードCN150との間の認証プロセス200は、移動ネットワーク・ノードMNN110宛のMR120のホーム・エージェントHA130からのトンネリングしたパケットをMR120が受信した場合に開始する。
しかし、これは下記の一組の条件のうちの少なくとも1つの適用を受ける。すなわち、
i.MNN110は、指定のサービスに加入する。
ii.CN150は、前のXBU300のしきい値数を無視したことがない。
iii.CN150は、認証プロセス200のしきい値数を無視したことがない。
iv.MNN110は、使用ポリシーを満足する。
認証プロセス200が開始すると、MR120は、当業者であれば周知のように、ホーム・アドレス試験開始(HoTI)メッセージおよび気付けアドレス試験開始(CoTI)メッセージに対してランダムな値(以後「クッキー」と呼ぶ)を生成する。
しかし、さらに、ここで、追加の移動ネットワーク・ノード試験開始(MNNTI)メッセージに対してもう1つのクッキーを生成することを提案する。
本発明の発明者は、現在のMIPv6仕様の制約により、追加のメッセージを使用しなければならないことを理解している。MR120は、バインドしているMR HoA132/MR CoA142が正しいことを証明しなければならないが、この証明の他に、MNN110を含む第3のチェックが、所望のレベルの認証に対して必要である。それ故、本質的には、MNN110が、そのパケットを経路指定するためにMR120を信頼することを証明することができなければならないか、またはMR120が、MNN110宛のパケットを経路指定することができることを証明することができなければならない。
MNN110に対して透明であるという利点を保持するために、本発明の発明者は、第2の機構を選択する。CN150が要求した場合には、MR120は、自身がMNN110に実際にサービスを提供していることを証明しなければならない。MIPv6は、ホーム・アドレス所有の証明を、それぞれ、MR HoA132からCN150へ送った、およびCN150からMR HoA132に送ったHoTI(ホーム試験開始)メッセージおよびHoT(ホーム試験)メッセージにより行うように指定する。同様に、気付けアドレス所有の証明が、それぞれMR CoA142からCN150へ、およびCN150からMR CoA142に送ったCoTI(気付け試験開始)メッセージおよびCoT(気付け試験)メッセージにより行われる。
それ故、認証プロセス(200)は、当業者であれば周知のように、MR120が、MRのホーム・アドレス(HoA)132およびCN150へのHoTIクッキーを含むHoTIを送るステップと、MR120が、MRの気付けアドレス(CoA)142およびCN150へのCoTIクッキーを含むCoTIを送るステップ(236)を含み、さらに、MR120が、MNNアドレス(MNNA)112およびCN150へのMNNTIクッキーを含むMNNTIを送るステップを含む。
HoTIは、MRのホーム・アドレス(HoA)132を介して送られ、CoTIは、MRの気付けアドレス(CoA)142を介して送られる。
しかし、HoTIメッセージおよびCoTIメッセージとは異なり、MNNTIメッセージは、移動体・オプション(MIPv6内に定義されている)を含み、このオプションはMNNアドレス112を含む。
本発明の好ましい実施形態の場合には、MNNTIは、MR HoA132を介して送られる。
本発明の他の実施形態の場合には、MNNTIは、MRの気付アドレス(CoA)142を介して送られる。次に、MNNTIメッセージは、さらにMRのホーム・アドレス(HoA)132を含む。
本発明のある実施形態の場合には、関連試験開始メッセージを受信した場合には、CN150は、当業者であれば周知のように、ランダム・キー(KCN)およびナンス(時間依存値)と一緒に、HoTIから抽出したHoA132からホーム・トークンを計算し、およびCoTI、KCNおよびナンスから抽出したCoA142からの気付けトークンを計算するステップ246を実行する。
さらに、MNNTIを受信した場合には、CN150は、KCNおよびナンスと一緒に、MNNTIから抽出したMNNA112からMNNトークンを計算する。
各初期化試験に応じてトークンを生成した後で、当業者であれば周知のように、CN150は、HoTIクッキー、ホーム・ナンス指数およびMR120へのホーム・トークンを含むホーム・アドレス試験(HoT)を送信し、CoTIクッキー、気付けナンス指数およびMR120への気付けトークンを含む気付けアドレス試験(CoT)を送信するステップ256を実行する。ナンス指数を使用すれば、CNは、セキュリティを危うくするので、ナンス自身を送信しないで、トークンを生成するために使用したナンスを検索することができる。
さらに、CN150は、MNNTIクッキー、MNNナンス指数、MNN110へのMNNトークンを含む移動ネットワーク・ノード・アドレス試験(MNNT)を送信する。MNNTは、さらに、MRのホーム・アドレス(HoA)132を含む移動ルータ・プレゼンス・オプション(MRPO)を含む。
HoTは、MR HoA132に送られ、CoTは、MR CoA142に送られる。MNNTは、MNNアドレス(MNNA)112に送られる。
その目的は、HoTおよびCoTの場合には、両方ともMRに到達することであり、MNNTの場合には、MNNに到達することである。
MNNトークンは、依然として秘密のままである場合には認証プロセス200内でもっと高いレベルのセキュリティを提供することに留意されたい。この目的のために、ホーム・エージェント(HA)130は、CN150がそれを暗号化しない場合には、MR120に上記MNNTをトンネリングする場合にMNNTを暗号化することができる。
移動ルータ・プレゼンス・オプション(MRPO)は、受信人の経路上のすべてのルータにそれをチェックするように指示するIPホップ・バイ・ホップ・オプションである。しかし、実際には、移動ルータだけが、通常このオプションをチェックする。
本発明の発明者は、このことが必要であることを理解している。何故なら、それが正しい場所に確実に経路指定されるようにするためにMNNTをMNN110宛に送るからである。しかし、それが正しい位置の有効なMRである場合には、MR120は、それによる認証鍵を生成するために、MNNTを傍受できることが望ましい。そうするには、MRPO内のMR HoA132のようなMNNTのある特徴のある部分をチェックすることができるMR120のための施設が必要である。
それ故、MR120は、それ自身のホーム・アドレス132を、MNN110に経路指定するために受信するMNNTから抽出するMRのホーム・アドレスと比較する。
他の実施形態の場合には、MRPOは、MR HoAではなくMRの気付アドレス(CoA)を含み、MRは、それ自身のCoA142をMNN110に経路指定するために受信するMNNTから抽出するMR CoAと比較する。
上記HoAまたはCoAの場合には、アドレスが一致する場合には、MR120は、MNNTをさらにMNNには転送しない。代わりに、MR120は、MNNTから抽出したMNNTIクッキーがMNNTI内のMR120が送信したものと一致するかどうかを確認し、一致を確認した場合には、MNNTからMNNナンス指数およびMNNトークンを抽出する。
それ故、クッキーは、悪意により構成されたMNNTに対してフェイルセーフとなる。
MR120は、この時点で、有効なXBUを生成することができる。
図3を参照すると、MR120は、MNNT、HoTおよびCoTを受信した後で、CN150が生成したホーム・トークン、気付けトークンおよびMNNトークンを含む。次に、当業者であれば周知のように、MRは、CN150が有効なMR120に属していることを認識するホーム・トークンおよび気付けトークンからバインディング・更新認証鍵(KBM)314を生成することができる。
さらに、MR120は、また、MNNトークンから拡張バインディング・更新(XBU)認証鍵(KBMNN)を生成(266)することができる。
本発明のある実施形態の場合には、拡張を理解することができないCN150により受信された場合には、XBUは、標準BUとして解釈されるように構成されている。
それ故、XBUは、MIPv6 BUに新しいオプションを追加することにより入手される。それ故、拡張バインディング・更新は、少なくとも下記の2つのオプションを含む。
i.MNNアドレス320
ii.XBU署名322
任意のより好適な追加オプションiiiは、MNNナンス指数321である。
MNNアドレス・オプション320は、XBUが送られるMNN112のアドレスを含み、一方、XBU署名オプション322は、全XBU上で行われたKBMNN鍵324を使用するメッセージ認証コード(MAC)に基づいて生成(276)することが好ましい。
次に、MRは、通常はCN150であるその受信人にXBUを送信する。
署名322内のCN150からのMNNトークンに基づいてKBMNN鍵324を含むことにより、CN150は、MR120からCN150が受信したXBU300から抽出したKBMNNをベースとする署名322を認証することができる。
本発明のある実施形態の場合には、CN150がXBU300を受信し、認証に成功すると、CN150は、認証済みのXBU300からのそのバインディング・キャッシュ(BC)に2つの入力を追加する。
i.当業者であれば周知のように、MR HoA132には、MR CoA142を介して到達できるというマークが付けられる。
ii.さらに、MNNA112には、MR HoA132を介して到達できるというマークが付けられる。
EP 02291331.3(Motorola)に詳細に記載されているように、CNは、そのバインディング・キャッシュの再帰的パーズを使用していると仮定することができる。
それ故、CNが入力点としてMNNアドレス112によりそのBCをパーズした場合には、MR HoA132が最初に返送される。BCの再帰的パーズのおかげで、次に、BC内でMR HoA132が探索され、MR CoA142を返送する。
本発明の他の実施形態の場合には、CN150のバインディング・キャッシュに追加された2つの入力は、
i.当業者であれば周知のように、MR CoA142を介して到達できるというマークがつけられたMR HoA132、および
ii.さらに、MR CoA142を介して到達できるというマークがつけられたMNNA112である。
それ故、CNが、入力点としてのMNNアドレス112でそのBCをパーズした場合には、MR CoA142が最初に返送される。
次に、どちらの実施形態の場合にも、CN150は、その宛先が、例えば、MR CoA142のような第1の中間アドレスである1つのIPヘッダを含み、その後に、MR HoA132およびMNNA112のような他の中間アドレスを有するルーティング・ヘッダが続き、その後に最後に、ペイロードが続くパケットを組立てることができる。
もっと一般的にいうと、入れ子状の移動ルータの場合には、CN150は、トップ・レベルの移動ルータ気付けアドレスのIPヘッダ宛先を含み、少なくとも以降の移動ルータの気付けアドレスおよびMNNA112を含み、その後に最後にペイロードが続くルーティング・ヘッダを含むMNN110宛のパケットを経路指定する。
CN150が、XBU300により、そのバインディング・キャッシュ(BC)内で生成した期限切れMNN BC入力をリフレッシュしたい場合には、CN150は、古典MIPv6バインディング要求メッセージの修正版を送信しなければならないことに留意されたい。その拡張バインディング要求(XBR)は、MRに送られ、それが発行されるMNN110のアドレス112を含む。期限切れおよびBC内のデータのリフレッシュのような目的のために、MNN BC入力(「MNNアドレスはMR HoAのところに到達することができる」)をMR BC入力(「MR HoAは、MR CoAのところに到達することができる」)から区別することができることに留意されたい。しかし、両方ともCN150が認証済みXBU300を受信した場合に生成される。通常、これら2つの入力は、同じ寿命を有していてはならない(MNN BC入力の寿命の方が遥かに長い)。CN150がこの区別をすることができるようにするために、CN BCの構造を若干修正しなければならない(例えば、MNN入力であるかないかを指定する各入力にフラグを追加することにより)。
本発明のある実施形態の場合には、移動ルータがある移動ルータ(入れ子状の移動体)を訪問した場合のために、移動ルータは、そのホーム・エージェントからトンネリングしたパケットを受信した場合には、内部パケットの宛先アドレスに対して内部パケットのソース宛先へXBUを送信する。
図4Aおよび図4Bを参照すると、第2の移動ルータをホストしている第1の移動ルータの場合のために:
第1の移動ルータ(MR1)420のネットワークは、第2の移動ルータ(MR2)460を有し、MR2 460のネットワークはMNN410を有する。
CN150をMNN110にリンクするCNバインディング・キャッシュ内のバインドのシーケンスをコンパイルするために、認証プロセス200は2回始動される。1回目の始動は、(MR2のHA470によりトンネリングされた)MR2 460により第1のパケット(図4A)を受信した場合行われ、2回目の始動は、(MR2 CoA482へ直接送信され、MR1のHA430によりトンネリングされた)MR1 420により、第2のパケット(図4B)を受信した場合に行われる。図4Aおよび図4Bの丸で囲んだ数字は、2つのパケットの各ルータを示す。
図4Aを参照すると、第1のトンネリングしたパケットを受信した場合には、MR1 420は、MR2 CoA482に対するMR2のホーム・エージェント(HA2)470にXBU401を送信する。何故なら、HA2のアドレスおよびMR2 CoAは、それぞれ、内部パケットのソース・フィールドおよび宛先フィールド内に位置するからである。(内部パケットは、パケット内のシリーズ内の次のIPヘッダで始まると定義される。図5を参照すると、パケット510は、IPヘッダ501で開始し、520で別に示すその内部パケットは、ヘッダ502で開始する)。
HA2 470は、通常、XBU401を無視する。その目的は、認証プロセスと同じ方法で内部パケットを「アンラップ」することである。
MR1 420は、内部パケットをMR2 460に転送する。MR2 460は、パケットを受信した場合、(第2の)内部パケットをデトンネリングし、XBU402をMNNA412に対するCN450に送信する。何故なら、CNアドレスおよびMNNアドレスは、それぞれ内部パケットのソース・フィールドおよび宛先フィールド内に位置するからである。MR2 460は、最後に内部パケットをMNN110に転送する。
その結果、CNは、間接的にMNNA112をMR2 CoA482にリンクするために、そのバインディング・キャッシュを更新する。
図4Bを参照すると、MR2 HoA472およびMNNA412を含むルーティング・ヘッダを有するMR2 CoA482に直接送信された第2のトンネリングしたパケットを受信した場合には、HA1 430は、それを傍受し、それをMR1 CoA442にトンネリングする。
それを受信した場合、MR1 420は、XBU403をMR2 CoA482に対するCN450に送信する。何故なら、CNおよびMR2の気付けアドレスは、それぞれ、内部パケットのソース・フィールドおよび宛先フィールド内に位置するからである。
その結果、CNは、MR2 CoA482をMR1 CoA442に間接的にリンクするためにバインディング・キャッシュを更新する。
それ故、CN BC内でこのように生成された4つすべての入力は、再帰的にパーズした場合、MR1 CoA442のIPヘッダ宛先、および(MR1 HoA432、MR2 CoA482、MR2 HoA472、MNNA412)のルーティング・ヘッダを含むMNN410にパケットを経路指定する。
当業者であれば、上記例は、移動ネットワークの入れ子状の1つのレベルに限定されないことを理解することができるだろう。
本発明の高度の実施形態の場合には、移動ネットワークがある移動ネットワーク(入れ子状の移動体)を訪問した場合のために、上記のように第1のXBU401を送信するのを避けることができる。このことは、移動ネットワークのnレベルが入れ子状になっている場合、XBUが無駄にならないというもう1つの利点を有する。このことは、また、トンネリング方法により送信するパケットの数を低減する。
この実施形態の場合には、移動ルータは、そのホーム・エージェントからトンネリングしたパケットを受信した場合、XBUを内部パケットの宛先アドレスに対する最も内側のパケットのソース・アドレスに送信する。
図5および図6を参照すると、トンネリングしたパケット510は、MNNへのルートの各ステップに対するIPヘッダを含む前に添加されたペイロードを示す。図を見やすくするために、パケット510内の各IPヘッダは、任意の以降のパケットおよびそれ故ペイロードを含むパケットのヘッダと見なすことができる。それ故、この場合、第1のパケット501は、MR1 CoA442に向けられ、一方、最も内側のパケット506は、MNNA112に向けられる。
第1のトンネリングしたパケット510を受信した場合には、MR1 420は、XBU516を第2の(または「内側の」)パケット502、すなわち、MR2 CoA482の宛先514に対する最も内側のパケット(CN)512のソース・アドレスに送信する。
これにより、CNは、MR2 CoA482へMR1 CoA442をリンクするために、そのバインディング・キャッシュ(BC)を更新することができる。
パケットをMR2 460に送った場合、MR2 460は、第2のパケット520を受信する。上記プロセスを反復することにより、MR2 460は、XBU526を宛先524宛の最も内側のパケット(CN)522のソース・アドレスに送信する。万一存在する場合には、MR3 CoAへ送信する。
このプロセスは、MRnが、XBU556をMNN410に対する最も内側のパケットCN552のソース・アドレスに送信した場合には、MNN410が取り付けられているMRnに到達するまで反復して行われる。
再帰的にパーズした場合、CN BC内でこのように生成した2nの入力は、MR1 CoA542のIPヘッダ宛先を含むMNN510に対するパケットを経路指定する。図6の場合には、BCの内容は、見やすくするために順序を変えてあることに留意されたい。
図6のアーキテクチャの場合には(図4Aおよび図4Bのアーキテクチャをコピーした)、第1の移動ルータ(MR1)420のネットワークは、第2の移動ルータ(MR2)460を有し、MR2 460のネットワークは、MNN410を有する。
第1のトンネリングしたパケットを受信した場合には、MR1 420は、XBU601をMR2 CoA482に対する最も内側のパケット(CN)のソース・アドレスへ送信する。
MR1は、このパケットをMR2 460に送信する。
このパケットを受信した場合には、MR2 460は、再帰的にパーズした場合、CN BC内でこのように生成した4つの入力が、MR1 CoA442のIPヘッダ宛先、および(MR1 HoA432、MR2 CoA482、MR2 HoA472、MNNA412)のルーティング・ヘッダを含むMNN410に対してパケットを経路指定するように、XBU602をMNNに対する最も内側のパケット(CN)のソース・アドレスに送信する。
本発明の他の実施形態の場合には、ホーム・アドレス試験開始(HoTI)および移動ネットワーク・ノード試験開始(MNNTI)を結合することができ、結果として得られる試験開始は、ホーム/MNN TIクッキー、MR HoA132およびMNNアドレスを含む。当業者であれば、本明細書に記載するプロセスは、容易にこのような結合試験開始に適応させることができることを理解することができるだろう。
本発明のもう1つの他の実施形態の場合には、MNNTIメッセージは、MR CoA142を介して送信される。
本発明の他の実施形態の場合には、気付けアドレス試験開始(CoTI)および移動ネットワーク・ノード試験開始(MNNTI)を結合することができる。結果として得られる試験開始は、気付け/MNN TIクッキー、MR CoA142およびMNNアドレスを含む。当業者であれば、本明細書に記載するプロセスは、容易にこのような結合試験開始に適応させることができることを理解することができるだろう。
本発明の上記2つの他の実施形態のいずれの場合でも、MR CoA142を介して送信したMNNTIメッセージは、さらにMR HoA132を含むことができる。
対応するノード150の役割に対する装置は、本明細書に記載する方法による使用のために動作することができる任意のIPネットワーク対応可能な装置であってもよい。
移動ルータ120の役割を行う装置は、本明細書に記載する方法による使用のために動作することができるもう1つのIPネットワーク対応可能な装置と接続することができる、任意のIPネットワーク対応可能な装置であってもよい。
対応するノードと移動ネットワーク・ノードとの間の通信の略図。 当業者にとって周知のリターン・ルーチング可能性・チェック手順と、本発明のある実施形態による拡張リターンルーチング可能性チェック手順との間の違いを詳細に示す比較プロセス・チャート。 本発明のある実施形態による拡張バインディング・更新・メッセージに対する移動体・オプションのブロック図。 本発明のある実施形態による対応するノードと移動ネットワーク・ノードとの間の通信の略図。 本発明のある実施形態によるデータ・パケットの連続的パーズを詳細に示すブロック図。 本発明のある実施形態による対応するノードと移動ネットワーク・ノード間の通信の略図。

Claims (34)

  1. 少なくとも第1の移動ルータ(MR)(120)を介して、移動ネットワーク・ノード(MNN)(110)と対応するノード(CN)(150)との間で認証済みの通信を行うための方法であって、
    i.拡張されたリターンルーチング可能性チェック手順(200)を使用するステップであって、MNN試験開始(MNNTI)メッセージが前記MR(120)により送信され、MNN試験(MNNT)メッセージが前記CN(150)により送信されるステップと、
    ii.前記MR(120)から、前記MNNのアドレス(MNNA)(112)を含む拡張バインディング更新(XBU)を送信するステップと、を含むことを特徴とする方法。
  2. 前記移動ネットワーク・ノード(MNN)(110)宛の移動ルータ(MR)(120)のホーム・エージェント(HA)(130)からトンネリングしたパケットを受信した場合、前記MR(120)が、MR(120)と対応するノード(CN)(150)との間で認証プロセス(200)を開始する請求項1に記載の認証済みの通信を行うための方法。
  3. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記MR(120)が、ホーム・アドレス試験開始(HoTI)メッセージおよび気付けアドレス試験開始(CoTI)メッセージに対してランダムな値(以後「クッキー」と呼ぶ)を生成するステップ(226)を含み、さらに
    移動ネットワーク・ノード試験開始(MNNTI)メッセージのためのクッキーを生成するステップ、
    を特徴とする請求項1または2に記載の認証済みの通信を行うための方法。
  4. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、下記のステップ(236)、すなわち、
    前記MR(120)が、前記MRのホーム・アドレス(HoA)(132)およびHoTIクッキーを含むHoTIを前記CN(150)に送信するステップと、
    前記MR(120)が、前記MRの気付アドレス(CoA)(142)およびCoTIクッキーを含むCoTIを前記CN(150)に送信するステップと、を含み、さらに
    前記MR(120)が、前記MNNアドレス(MNNA)(112)およびMNNTIクッキーを含むMNNTIを前記CN(150)に送信するステップ、
    を特徴とする請求項1乃至3の何れか1項に記載の認証済みの通信を行うための方法。
  5. 前記HoTIが、前記MRのホーム・アドレス(HoA)(132)を介して送信され、前記CoTIが、前記MRの気付けアドレス(CoA)(142)を介して送信され、前記MNNTIが、前記HoA(132)またはCoA(142)を介して送信される請求項4に記載の認証済みの通信を行うための方法。
  6. 前記MNNTIが、前記MRの気付アドレス(CoA)(142)を介して送られる場合に、前記MNNTIメッセージが、さらに前記MRのホーム・アドレス(HoA)(132)を含む請求項5に記載の認証済みの通信を行うための方法。
  7. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、下記のステップ(246)、すなわち、
    前記CN(150)が、HoTIから抽出したHoA(132)、ランダム・キー(KCN)およびナンスからホーム・トークンを計算するステップと、
    前記CN(150)が、CoTIから抽出したCoA(142)、前記KCNおよびナンスから気付けトークンを計算するステップと、を含み、
    前記CN(150)が、MNNTIから抽出したMNNA(112)、前記KCNおよびナンスからMNNトークンを計算するステップ、をさらに含むこと
    を特徴とする請求項1乃至6の何れか1項に記載の認証済みの通信を行うための方法。
  8. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、下記のステップ(256)、すなわち、
    前記CN(150)が、HoTIクッキー、ホーム・ナンス指数およびホーム・トークンを含むホーム・アドレス試験(HoT)を前記MR(120)に送信するステップと、
    前記CN(150)が、CoTIクッキー、気付けナンス指数および気付けトークンを含む気付けアドレス試験(CoT)を前記MR(120)に送信するステップと、を含み、さらに
    前記CN(150)が、MNNTIクッキー、MNNナンス指数およびMNNトークンを含む移動ネットワーク・ノード・アドレス試験(MNNT)を前記MNN(110)に送信し、前記MNNTが、
    前記MRのホーム・アドレス(HoA)(132)を含む移動ルータ・プレゼンス・オプション(MRPO)をさらに含むこと、
    を特徴とする請求項1乃至7の何れか1項に記載の認証済みの通信を行うための方法。
  9. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、下記のステップ(256)、すなわち、
    前記CN(150)が、HoTIクッキー、ホーム・ナンス指数およびホーム・トークンを含むホーム・アドレス試験(HoT)を前記MR(120)に送信するステップと、
    前記CN(150)が、CoTIクッキー、気付けナンス指数および気付けトークンを含む気付けアドレス試験(CoT)を前記MR(120)に送信するステップと、を含み、さらに
    前記CN(150)が、MNNTIクッキー、MNNナンス指数およびMNNトークンを含む移動ネットワーク・ノード・アドレス試験(MNNT)を前記MNN(110)に送信し、前記MNNTが、
    前記気付けアドレス(CoA)(142)を含む移動ルータ・プレゼンス・オプション(MRPO)をさらに含むこと、
    を特徴とする請求項1乃至7の何れか1項に記載の認証済みの通信を行うための方法。
  10. 前記HoTが、前記MRのホーム・アドレス(HoA)(132)に送信され、前記CoTがMRの気付けアドレス(CoA)(142)に送信され、前記MNNTが、前記MNNアドレス(MNNA)(112)に送信される請求項8および9の何れか1項に記載の認証済みの通信を行うための方法。
  11. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    ホーム・エージェント(HA)(130)が、前記MNNTをMR(120)にトンネリングする時にMNNTを暗号化するステップ、
    を特徴とする請求項1乃至10の何れか1項に記載の認証済みの通信を行うための方法。
  12. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記MR(120)が、それ自身のホーム・アドレス(132)を、前記MR(120)が、MNN(110)に経路指定するために受信するMNNTから抽出することができる任意のMRのホーム・アドレスと比較するステップ、
    を特徴とする請求項1乃至11の何れか1項に記載の認証済みの通信を行うための方法。
  13. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記MR(120)が、それ自身の気付けアドレス(142)を、前記MR(120)が、MNN(110)に経路指定するために受信するMNNTから抽出することができる任意のCoAと比較するステップ
    を特徴とする請求項1乃至12の何れか1項に記載の認証済みの通信を行うための方法。
  14. 前記アドレスが一致した場合に、
    前記MR(120)が、前記MNNTを転送しないで、さらに、
    前記MNNTから抽出したMNNTIクッキーが、前記MNNTI内の前記MR(120)が送信したMNNTIクッキーと一致することを確認し、
    一致を確認した場合に、前記MNNTから前記MNNナンス指数およびMNNトークンを抽出する請求項12および13の何れか1項に記載の認証済みの通信を行うための方法。
  15. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記MR(120)が、MNNトークンから、拡張バインディング更新(XBU)認証鍵(KBMNN)(324)を生成するステップ(266)を特徴とする請求項1乃至14の何れか1項に記載の認証済みの通信を行うための方法。
  16. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記MR(120)が、KBMNN鍵(324)を用いて拡張バインディング更新(XBU)署名(322)を生成するステップ(276)
    を特徴とする請求項1乃至15の何れか1項に記載の認証済みの通信を行うための方法。
  17. 前記署名がKBMNN鍵(324)を用いるメッセージ認証コードをベースとする請求項16に記載の方法。
  18. 前記拡張バインディング更新が、少なくとも2つのオプション、
    i.MNNアドレス(320)、および
    ii.XBU署名(322)
    を含む請求項1乃至16の何れか1項に記載の認証済みの通信を行うための方法。
  19. 前記拡張バインディング更新が、MNNナンス指数オプション(321)をさらに含む請求項18に記載の認証済みの通信を行うための方法。
  20. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記CN(150)が、前記MR(120)から前記CN(150)が受信したXBU(300)から抽出したKBMNNをベースとする署名(322)を認証するステップを特徴とする請求項1乃至19の何れか1項に記載の認証済みの通信を行うための方法。
  21. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記CN(150)が、認証したXBU(300)からのそのバインディング・キャッシュ(BC)に2つの入力を追加するステップ、すなわち
    i.当業者であれば周知のように、MR HoA(132)に、前記MR CoA(142)を介して到達できるというマークがつけられ、
    ii.MNNA(112)に、前記MR HoA(132)を介して到達できるというマークがつけられるステップ
    を特徴とする請求項1乃至20の何れか1項に記載の認証済みの通信を行うための方法。
  22. 前記移動ルータ(MR)(120)と対応するノード(CN)(150)との間の認証プロセス(200)が、
    前記CN(150)が、認証したXBU(300)からのそのバインディング・キャッシュ(BC)に2つの入力を追加するステップ、すなわち
    i.当業者であれば周知のように、MR HoA(132)に、前記MR CoA(142)を介して到達できるというマークがつけられ、
    ii.MNNA(112)に、MR CoA(142)を介して到達できるというマークがつけられるステップ
    を特徴とする請求項1乃至21の何れか1項に記載の認証済みの通信を行うための方法。
  23. 前記MNN(110)が宛先である場合に、前記CN(150)が、そのBCを、
    前記CN(150)が、MR CoA(142)のIPヘッダ宛先、および少なくともMNNA(412)を含むルーティング・ヘッダと一緒に、前記MNN(110)にパケットを経路指定するように
    再帰的に解析する請求項21および22の何れか1項に記載の認証済みの通信を行うための方法。
  24. 前記MNN(110)が少なくとも2つの入れ子状の移動ルータの下の宛先である場合に、前記CN(150)が、そのBCを、
    前記CN(150)が、トップ・レベルの移動ルータの気付けアドレスのIPヘッダ宛先、および以降の移動ルータおよび前記MNNA(112)の少なくとも気付けアドレスを含むルーティング・ヘッダと一緒に、前記MNN(110)にパケットを経路指定するように
    再帰的にパーズする請求項21および22の何れか1項に記載の認証済みの通信を行うための方法。
  25. 前記移動ルータ(MR)(120)が、下記の条件、すなわち、
    i.前記MNN(110)は、指定のサービスに加入する;
    ii.前記CN(150)は、前のXBU(300)のしきい値数を無視しなかった;
    iii.前記CN(150)は、認証プロセスのしきい値数を無視しなかった;
    iv.前記MNN(110)は使用ポリシーを満足する;
    のうちの少なくとも1つを満足した場合だけ、前記MR(120)と対応するノード(CD)(150)との間に認証プロセス(200)を開始する請求項2乃至23の何れか1項に記載の認証済みの通信を行うための方法。
  26. ホーム・アドレス試験開始(HoTI)および移動ネットワーク・ノード試験開始(MNNTI)が結合され、結果として得られる試験開始が、ホーム/MNN TIクッキー、MR HoA(132)およびMNNアドレス(112)を含む請求項3乃至25の何れか1項に記載の認証済みの通信を行うための方法。
  27. 気付けアドレス試験開始(CoTI)および移動ネットワーク・ノード試験開始(MNNTI)が結合され、結果として得られる試験開始が、気付け/MNN TIクッキー、MR CoA(142)およびMNNアドレス(112)を含む請求項3乃至25の何れか1項に記載の認証済みの通信を行うための方法。
  28. 移動ルータ(MR)120が、そのホーム・エージェント(HA)130からトンネリングしたパケットを受信した場合に、XBU300を、前記内部パケットの宛先アドレスに対する前記内部パケットのソース・アドレスに送信するステップ、
    をさらに特徴とする請求項1乃至27の何れか1項に記載の認証済みの通信を行うための方法。
  29. 第1の移動ルータ(MR1)(420)のネットワークが、第2の移動ルータ(MR2)(460)を含み、MR2(460)のネットワークが、MNN(410)を含み、下記のステップ、すなわち、
    第1のトンネリングしたパケットを受信した場合に、MR1(420)が、XBU(401)をMR2 CoA(482)に対する前記MR2のホーム・エージェント(HA2)に送信するステップと、
    MR1(420)が、内部パケットをMR2(460)に転送するステップと、
    MR2(460)が、前記パケットを受信した場合に、XBU(402)をMNNA(412)に対するCN(450)に送信するステップと、
    前記MR2 HoA(472)およびMNNA(412)を含むルーティング・ヘッダを含むMR2 CoA(482)に直接送信した第2のトンネリングしたパケットを受信した場合に、HA1(430)が、それを傍受し、内部パケットをMR1 CoA(442)にトンネリングするステップと、
    MR1(420)が、前記パケットを受信した場合に、XBU(403)をMR2 CoA(482)に対するCN(450)に送信し、
    そのため、前記CN BC内でこのように生成された前記4つの入力が、再帰的にパーズされた場合、MR1 CoA(442)のIPヘッダ宛先および(MR1 HoA(432)、MR2 CoA(482)、MR2 HoA(472)、MNNA(412))のルーティング・ヘッダと一緒に、MNN(410)にパケットを経路指定するステップとを含む請求項28に記載の認証済みの通信を行うための方法。
  30. 移動ルータ(MR)120が、そのホーム・エージェント(HA)130からトンネリングしたパケットを受信した場合に、XBU300を前記内部パケットの宛先アドレスに対する最も内側のパケットのソース・アドレスに送信するステップをさらに特徴とする請求項1乃至27の何れか1項に記載の認証済みの通信を行うための方法。
  31. 第1の移動ルータ(MR1)(420)のネットワークが、第2の移動ルータ(MR2)(460)を有し、MR2(460)のネットワークが、MNN(410)を有し、下記のステップ、すなわち、
    第1のトンネリングしたパケットを受信した場合に、MR1(420)が、XBU(601)をMR2 CoA(482)に対する前記最も内側のパケット(CN)のソース・アドレスに送信するステップと、
    MR1(520)が、内部パケットをMR2(460)に送信するステップと、
    前記内部パケットを受信した場合に、MR2(460)が、XBU(602)をMNNに対する最も内側のパケット(CN)のソース・アドレスに送信し、
    そのため、前記CN BC内でこのように生成された前記4つの入力が、再帰的にパーズされた場合、MR1 CoA(542)のIPヘッダ宛先および(MR1 HoA(532)、MR2 CoA(582)、MR2 HoA(572)、MNNA(512))のルーティング・ヘッダと一緒に、MNN(510)にパケットを経路指定するステップとを含む請求項30に記載の認証済みの通信を行うための方法。
  32. 少なくとも第1の移動ルータ(MR)(120)を介して、移動ネットワーク・ノード(MNN)(110)と対応するノード(CN)(150)との間に、
    i.拡張リターンルーチング可能性チェック手順(236)を実行するためのチェック手段であって、MNN試験開始(MNNTI)メッセージが前記MR120により送信され、MNN試験(MNNT)メッセージが前記CN(150)により送信されるチェック手段と、
    ii.前記MR(120)から、前記MNNのアドレス(MNNA)(112)を含む拡張バインディング更新(XBU)を送信する(276)ための拡張バインディング更新手段と
    を含む請求項1乃至31の何れか1項に記載の方法による認証済みの通信で使用するための装置。
  33. 請求項1乃至31の何れか1項に記載の方法による通信で、少なくとももう1つのIPネットワーク対応可能な装置と接続するための移動ルータ(MR)(120)であって、前記MR(120)が、前記MNNTIメッセージを生成し、送信するためのMNN試験開始(MNNTI)メッセージ手段、およびMNNのアドレス(MNNA)(112)を含む拡張バインディング更新(XBU)(300)を生成し、送信するためのバインディング更新手段を備える移動ルータ。
  34. 請求項1乃至31の何れか1項に記載の方法による通信で、少なくとも1つのIPネットワーク対応可能な装置と接続するための対応するノード(CN)(150)であって、前記CN(120)が、前記MNNTメッセージを生成し、送信するためのMNN試験(MNNT)メッセージ手段と、XBU(300)から抽出したKBMNNをベースとする署名(322)を認証するための認証手段とを備える対応するノード。
JP2006522339A 2003-08-06 2004-06-25 認証済みの通信を行うための方法 Expired - Fee Related JP4299860B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03291964A EP1505780B1 (en) 2003-08-06 2003-08-06 A method of validated communication
PCT/EP2004/051257 WO2005015853A1 (en) 2003-08-06 2004-06-25 A method of validated communication

Publications (2)

Publication Number Publication Date
JP2007501554A true JP2007501554A (ja) 2007-01-25
JP4299860B2 JP4299860B2 (ja) 2009-07-22

Family

ID=33547795

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006522339A Expired - Fee Related JP4299860B2 (ja) 2003-08-06 2004-06-25 認証済みの通信を行うための方法

Country Status (8)

Country Link
US (1) US7564825B2 (ja)
EP (1) EP1505780B1 (ja)
JP (1) JP4299860B2 (ja)
KR (1) KR100759727B1 (ja)
CN (1) CN1833412A (ja)
AT (1) ATE503357T1 (ja)
DE (1) DE60336464D1 (ja)
WO (1) WO2005015853A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009011120A1 (ja) * 2007-07-18 2009-01-22 Panasonic Corporation アドレス生成方法、アドレス生成システム、通信装置、通信方法、通信システム及び相手先通信装置
WO2010067569A1 (ja) * 2008-12-08 2010-06-17 パナソニック株式会社 経路最適化方法、経路最適化システム、移動通信装置、移動管理装置及び相手先通信装置並びにホーム基地局

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8139538B1 (en) * 2004-06-22 2012-03-20 Cisco Technology, Inc. Methods and apparatus for achieving route optimization between mobile networks and a correspondent node using a mobile router as a proxy node
JP4705673B2 (ja) * 2005-03-08 2011-06-22 パナソニック株式会社 ネットワーク管理方法及びネットワーク管理装置
CN101176328B (zh) * 2005-04-28 2011-08-24 松下电器产业株式会社 用于保护前缀范围绑定更新的安全的系统、关联方法和设备
US7554929B1 (en) * 2005-11-02 2009-06-30 Verizon Services Corp. Mobility aware performance evaluation
CN101001261B (zh) * 2006-01-09 2010-09-29 华为技术有限公司 一种MIPv6移动节点的通信方法
US7551915B1 (en) * 2006-04-24 2009-06-23 Sprint Spectrum L.P. Method of establishing route optimized communication in mobile IPv6 by securing messages sent between a mobile node and home agent
US8151116B2 (en) * 2006-06-09 2012-04-03 Brigham Young University Multi-channel user authentication apparatus system and method
US8750303B2 (en) * 2006-06-12 2014-06-10 Telefonaktiebolaget Lm Ericsson (Publ) Mobility signaling delegation
WO2007149024A1 (en) * 2006-06-20 2007-12-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for assuring prefix consistency among multiple mobile routers.
KR100743082B1 (ko) 2006-06-30 2007-07-27 주식회사 케이티프리텔 이동 라우터를 통한 이동 노드로의 패킷 전달을 위한터널링 프로토콜의 터널링 장치, 위치 등록 방법 및 터널링방법
CN101119297B (zh) * 2006-08-04 2010-05-12 华为技术有限公司 一种移动网络中的路由优化方法
WO2008023845A1 (en) * 2006-08-25 2008-02-28 Panasonic Corporation Method and apparatus for address verification during multiple addresses registration
CN101150849B (zh) * 2006-09-18 2010-09-08 华为技术有限公司 生成绑定管理密钥的方法、系统、移动节点及通信节点
CN101150572B (zh) * 2006-09-22 2011-08-10 华为技术有限公司 移动节点和通信对端绑定更新的方法及装置
US8171120B1 (en) 2006-11-22 2012-05-01 Rockstar Bidco Lp Mobile IPv6 route optimization authorization
US8640215B2 (en) * 2007-03-23 2014-01-28 Microsoft Corporation Secure isolation of application pools
US20100189000A1 (en) * 2007-06-20 2010-07-29 Panasonic Corporation Prefix information check device and communication device
GB2454645B (en) * 2007-08-31 2012-05-09 Ericsson Telefon Ab L M Location update of a mobile node
US7916721B1 (en) * 2007-11-05 2011-03-29 Sprint Spectrum L.P. Home address subnet assignment for IPv6 bootstrapping
US8509439B2 (en) * 2007-12-31 2013-08-13 Intel Corporation Assigning nonces for security keys
WO2009090722A1 (ja) * 2008-01-18 2009-07-23 Panasonic Corporation バインディング更新方法及びその方法で用いられる移動端末
WO2009099358A1 (en) * 2008-02-08 2009-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for use in a communications network
CN101594339B (zh) * 2008-05-29 2012-07-04 华为技术有限公司 管理和查询映射信息的方法、设备及通信系统
US8521821B2 (en) * 2009-03-17 2013-08-27 Brigham Young University Encrypted email based upon trusted overlays
US8625529B2 (en) * 2010-03-30 2014-01-07 Verizon Patent And Licensing Inc. System for and method of dynamic home agent allocation
US8953798B2 (en) * 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
CN102404220B (zh) * 2011-11-25 2014-10-01 周明云 一种基于私有协议的安全路由器的设备及实现方法
CN104316735A (zh) * 2014-10-31 2015-01-28 工业和信息化部电信研究院 移动终端连接器
FR3048573B1 (fr) * 2016-03-01 2019-05-31 Hager-Electro Sas Procede d'initialisation et de securisation de communication bidirectionnelle d'un appareil avec un reseau domotique
US12034707B2 (en) 2021-11-18 2024-07-09 Cisco Technology, Inc. Randomizing server-side addresses
US11683286B2 (en) * 2021-11-18 2023-06-20 Cisco Technology, Inc. Anonymizing server-side addresses

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1158742A1 (en) * 2000-05-24 2001-11-28 Motorola, Inc. Communication system and method therefor
JP3636637B2 (ja) * 2000-05-30 2005-04-06 三菱電機株式会社 経路最適化方法
US7353027B2 (en) * 2000-10-18 2008-04-01 Telefonaktiebolaget Lm Ericsson (Publ) Seamless handoff in mobile IP
US7333482B2 (en) * 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
KR100383587B1 (ko) * 2001-08-16 2003-05-14 삼성전자주식회사 이동 인터넷 프로토콜 시스템 및 그의 경로 최적화 방법
WO2003024128A1 (en) * 2001-09-12 2003-03-20 Telefonaktiebolaget Lm Ericsson (Publ.) Arrangements and method in mobile internet communications systems
US6721297B2 (en) * 2001-11-19 2004-04-13 Motorola, Inc. Method and apparatus for providing IP mobility for mobile networks
AU2002216062A1 (en) * 2001-11-27 2003-06-10 Nokia Corporation Transmission of a binding update message indicating a care of address for delivering data packets to a mobile node via a unidirectional interface
US7409549B1 (en) * 2001-12-11 2008-08-05 Cisco Technology, Inc. Methods and apparatus for dynamic home agent assignment in mobile IP
US7756073B2 (en) * 2002-09-20 2010-07-13 Franck Le Method for updating a routing entry
US20040095913A1 (en) * 2002-11-20 2004-05-20 Nokia, Inc. Routing optimization proxy in IP networks
US7793098B2 (en) * 2003-05-20 2010-09-07 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009011120A1 (ja) * 2007-07-18 2009-01-22 Panasonic Corporation アドレス生成方法、アドレス生成システム、通信装置、通信方法、通信システム及び相手先通信装置
WO2010067569A1 (ja) * 2008-12-08 2010-06-17 パナソニック株式会社 経路最適化方法、経路最適化システム、移動通信装置、移動管理装置及び相手先通信装置並びにホーム基地局

Also Published As

Publication number Publication date
KR20060052969A (ko) 2006-05-19
US20060120315A1 (en) 2006-06-08
EP1505780A1 (en) 2005-02-09
DE60336464D1 (de) 2011-05-05
WO2005015853A1 (en) 2005-02-17
KR100759727B1 (ko) 2007-09-20
CN1833412A (zh) 2006-09-13
JP4299860B2 (ja) 2009-07-22
ATE503357T1 (de) 2011-04-15
US7564825B2 (en) 2009-07-21
EP1505780B1 (en) 2011-03-23

Similar Documents

Publication Publication Date Title
JP4299860B2 (ja) 認証済みの通信を行うための方法
EP2074799B1 (en) Method and apparatus for mobile ip route optimization
JP4620050B2 (ja) パケットデータ通信
FI105965B (fi) Autentikointi tietoliikenneverkosssa
RU2437238C2 (ru) Способы и устройство для обеспечения иерархии ключей pmip в сети беспроводной связи
US9516495B2 (en) Apparatus and methods of PMIPv6 route optimization protocol
US8516256B2 (en) Route optimization in mobile IP networks
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
US20090265767A1 (en) Methods and arrangements for prefix management in moving networks
KR101317388B1 (ko) WAN을 통한 홈 에이전트 없는 MIPv6 루트 최적화
WO2009099358A1 (en) Method and apparatus for use in a communications network
WO2007082427A1 (fr) Procédé, système et appareil d'optimisation de chemin dans un protocole ipv6 mobile
You et al. caTBUA: context‐aware ticket‐based binding update authentication protocol for trust‐enabled mobile networks
EP2471247B1 (en) Method and network nodes for generating cryptographically generated addresses in mobile IP networks
US20100175109A1 (en) Route optimisation for proxy mobile ip
Mathi et al. A flattened architecture for distributed mobility management in IPv6 networks
JP4990920B2 (ja) マルチホーム端末のためのモバイルIPv6の最適化リバース・トンネリング
Ahmed et al. Binding update authentication scheme for mobile IPv6
Hasan et al. FPKIN: Firewall Public Key Infrastructure for NEMO
Sornlertlamvanich et al. Route optimization in nested mobile networks using binding update for top-level MR

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090417

R150 Certificate of patent or registration of utility model

Ref document number: 4299860

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120424

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120424

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120424

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130424

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130424

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140424

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees