JP2007522744A - レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 - Google Patents

レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 Download PDF

Info

Publication number
JP2007522744A
JP2007522744A JP2006552476A JP2006552476A JP2007522744A JP 2007522744 A JP2007522744 A JP 2007522744A JP 2006552476 A JP2006552476 A JP 2006552476A JP 2006552476 A JP2006552476 A JP 2006552476A JP 2007522744 A JP2007522744 A JP 2007522744A
Authority
JP
Japan
Prior art keywords
hip
host
address
proxy
hit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006552476A
Other languages
English (en)
Other versions
JP4579934B2 (ja
Inventor
パトリック サルメラ,
ヨルマ ウォール,
ペトリ ヨケラ,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2007522744A publication Critical patent/JP2007522744A/ja
Application granted granted Critical
Publication of JP4579934B2 publication Critical patent/JP4579934B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Cable Transmission Systems, Equalization Of Radio And Reduction Of Echo (AREA)
  • Time-Division Multiplex Systems (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

HIPプロキシ(16)を介して、HIP使用可能でない第1ホスト(12)と、HIP使用可能である第2ホスト(14)間の通信を少なくとも部分的に安全にする方法が提供される。この方法は、前記第2ホスト(14)のIPアドレスを解決するために、前記第1ホスト(12)からクエリーを送信し(A)、前記クエリーに応じて、前記第2ホスト(14)に関連付けられているIPアドレス(IPfa)とHIT(HIThip)を検索し(B,C)、前記第2ホスト(14)に関連付けられている代替IPアドレス(IPres)を前記HIPプロキシ(16)から返信し(E)、かつ前記HIPプロキシ(16)で、前記代替IPアドレス(IPres)、前記検索されたIPアドレス(IPfa)及び前記検索されたHIT(HIThip)間のマッピングを保持し(D)、自身の宛先アドレスとして前記代替IPアドレス(IPres)を含む、前記第1ホスト(12)からのセッション開始メッセージ(TCP SYN)の、前記HIPプロキシでの受信(F)において、前記HIPプロキシ(16)と前記第2ホスト(14)間の安全なHIP接続(22)をネゴシエートするために前記マッピングを使用する。

Description

本発明の背景
1.本発明の分野
本発明は、HIP使用可能でないホストと、HIP使用可能である別のホスト間の通信を少なくとも部分的に安全する(at least securing communications)方法に関するものである。また、本発明は、そのような方法を使用する通信システム及びHIPプロキシに関するものである。
2.従来技術の説明
インターネットが当初考案された時には、ホストの位置は固定されていて、かつ実際のセキュリティあるいはホスト識別プロトコルが欠落しているにも関わらず、ユーザ間には暗黙の信頼が存在していた。また、この状況は、技術が幅広く取り込まれかつ使用されても継続していた。ホストモビリティを取り扱うための技術を検討する必要性はあまりなかった。これは、コンピュータが比較的かさばるものであり、かつ固定されていたからである。
1990年初期における電気通信及びコンピュータ産業の革命に伴って、より小型の通信機器及びコンピュータがより幅広く利用可能となり、またワールドワイドウェブの発明をもたらした。また、それを用いて生み出されるあらゆるサービスは、最終的には、世間一般の人々にインターネットを魅力的なものにした。ネットワークと移動電気通信を組み合わせた使用の増加は、インターネットにおけるモビリティ管理を安全なものにするための必要性を生じさせた。
加入者の数の増加と、サービスに対して必要とされる金銭的な取引もまた、付加的なアプリケーションレベルのセキュリティの必要性を生じさせた。現在では、最も広く使用されている暗号プロトコル、例えば、SSL/TLSは、上位ネットワークレイヤー、例えば、TCP内で動作している。
上述のモビリティ管理及びセキュリティの問題を考慮して、モバイルIP規格(シー.ペルキンス、「IPv4用IPモビリティサポート」、RFC3220、IETF、2002年)とモバイルIPv6規格(ディー.ジョンソン、シー.ペルキンス、ジェイ.アルッコ、「IPv6におけるモビリティサポート」、インターネットドラフト、策定中、draft-ietf-mobileip-ipv6-24.txt、IETF、2003年)が導入されている。これらの仕様とともに、次世代インターネット用のモビリティサポートを提供することが計画されている。セキュリティ機能は、IPレイヤーでセキュリティを提供することを目的として、IPsecと、それに関連するアクティビティ、例えば、様々なキー交換プロトコルとの形式で発達してきている。しかしながら、現在の規格を使用してセキュリティとモビリティとを組み合わせることはかなり難しいことが経験的に示されている。
IPアドレスは、ネットワーク内のノードのトポロジー的な位置を記述している。このIPアドレスは、ソースノードから宛先へパケットを転送するために使用される。同時に、IPアドレスは、1つのエンティティで2つの異なる機能を提供するノードを識別するために使用される。このことは、だれがいるかを問い合わせる場合に、自身のホームアドレスを用いて応答する人に似ている。モビリティも考慮される場合、この状況は、より複雑となる。これは、IPアドレスが、このスキームにおけるホストアイデンティティとして動作するからである。これらは変更されてはならない。また、IPアドレスはトポロジー的な位置も示しているので、これらは、ネットワーク内の自身の位置をホストが変更する場合には変更する必要がある。明らかなことは、安定的な変更と動的な変更の両方を同時に達成することは不可能なことである。
モバイルIPの場合、このソリューションは、ノードに対する「ホームアドレス」を提供する固定ホーム位置を使用することである。このホームアドレスは、ノードを識別し、かつノードがホームに存在する場合のノードに対する適切な位置を提供する。現在の位置情報は、気付けアドレスの形式で利用可能であり、これは、ノードがホームから離れる場合のルーティング(転送)目的のために使用される。
この問題に対する別のソリューションは、識別機能と位置機能とを互いに分離することである。これは、ホストアイデンティティプロトコル(HIP)提案(アール.モスコビッツ、ピー.ニカンデル、ピー.ジョケラ、「ホストアイデンティティプロトコル」、インターネットドラフト、策定中、draft-moskowitz-hip-07.txt、IETF、2003年)で取り上げられている方法である。HIPは、新規の名前区間であるホストアイデンティティ(HI)を導入することによって、IPアドレスの位置の役割とアデンティティの役割を分離している。HIPでは、ホストアイデンティティは、基本的には、パブリック−プライベートキーペアのパブリック暗号キーである。このパブリックキーは、プライベートキーのコピーだけを保持するパーティ(関係者(加入者))を識別する。このキーペアのプライベートキーを保有するホストは、それが、ネットワークで識別するために使用されるパブリックキーを「所有している」ことを直接証明することができる。この分離は、安全な(セキュアな)方法でモビリティ及びマルチホーミングを処理するための手段をも提供する。
HIPは以下で詳細に説明するが、HIPは、位置及びアイデンティティ分離の概念に基づく提案だけではない。FARA(ディー.クラーク、アール.ブラデン、エイ.フォルク、ブイ.ピンガリ、「FARA:アドレッシングアーキテクチャの再編成」、ACM SIGCOMM 2003 ワークショップ、2003年8月25日、27日)は、実際のアーキテクチャから導出することができるフレームワークを提供する概念の汎用化モデルである。FARAは、ノード識別が検証される場合にHIPを使用することができ、結果として、HIPを、特定のFARAインスタンス化(instantiation)の一部とすることができる。ピアーネットの提案(ジェイ.エリクソン、エム.ファロウツオス、エス.クリシュナムルティ、「ピアーネット:スタックのピアーツーピアダウンプッシュング」、IPTPS’03、2003年2月20−21日)は、位置及びアイデンティティの分離について議論している。インターネットインダイレクションインフラストラクチャであるI3(アイ.ストイカ等、「インターネットインダイレクションインフラストラクチャ」、ACM SIGCOMM’02、2002年8月19−23日)も、アイデンティティとルーティング情報間の分離を定義している。
ホストアイデンティティプロトコルは、IPレイヤーで位置及びアイデンティティ情報間の分離を導入している。この分離に加えて、HIP使用可能ノード間でセキュリティアソシエーション(SA群)をネゴシエートするためのプロトコルが定義されている。
HIPを用いる場合、各ホストは、1つ以上のアイデンティティを持っていて、これは、長期間あるいは短期間のものとすることができ、ネットワーク内でそれを識別するために使用することができる。HIPを用いる場合、識別子は、パブリック−プライベートキーペアのパブリックキーとなる。ホストがプライベートキーを保有する場合、ホストは、パブリックキーが示すアイデンティティを実際に「所有する」ことを証明することができ、これは、ID−カードを提示することと同種のことである。
各ホストは、短期間用にのみ使用される短期間キーを生成することができる。これらは、同一のアイデンティティを後に識別することがノードに対して必要とされない場合に有用である。例えば、書店から本を購入する場合は長期間の関係としても良く、一方、ユーザプロファイルを収集するために1回だけサーバと接続する場合は短期間動作としてみなすことができる。後者の場合、短期間アイデンティティは、長期間アイデンティティがより広範囲に分散してしまうことを回避するために生成することができる。
パブリックキーであるHIPホストアイデンティティ(HI)は、極めて長くなることがあるので、あらゆる状況において実用的であるとは言えない。HIPでは、HIは、128ビット長のホストアイデンティティタグ(HIT)で表現され、これは、それをハッシュ化することによってHIから生成される。つまり、HITは、HIを識別する。HITは128ビット長であるので、これは、IPv6アドレスとちょうど同一長となるので、直接IPv6アプリケーション用に使用することができる。
HIPが使用される場合、アプリケーションを含む上位レイヤーは、IPアドレスをそれ以上参照することはない。その代わり、これらは、宛先ホストの「アドレス」として、HITを参照する。位置情報は、後述するように、新規のレイヤーに隠されている。IPアドレスはこれ以上ノードを識別することはなく、これらは、ネットワーク内のパケットのルーティング用に使用されるだけである。
アプリケーションは、典型的には位置情報には関心がないが、それらの同位のアイデンティティを知る必要がある。このアイデンティティは、HITによって表現される。これは、IPアドレスだけが、ルーティングが関係する下位レイヤーにおいて重要性を持っていることを意味する。アプリケーションが使用するHITは、任意のパケットがホストから出力される前に、対応するIPアドレスにマッピングされなければならない。これは、後述するように、ホストアイデンティティレイヤー内で達成される。
図1はHIP内の様々なレイヤーを示していて、これらのレイヤーは、標準トランスポートレイヤー4、ネットワークレイヤー8及びリンクレイヤー10を備え、プロセス2は、その下にあるトランスポートレイヤーと通信する。HIPを用いる場合、新規のホストアイデンティティレイヤー6が、トランスポートレイヤー4とネットワークレイヤー8との間に配置される。
局所的には、各HIとそれに関係するHITは、ノードのIPアドレスにマッピングされる。パケットをホストから出力する場合には、正しいルートが選択され(何らかの手段によって)、かつ対応するIPアドレスはソースアドレス及び宛先アドレスとしてパケットに配置される。上位レイヤーから到達する各パケットは、宛先アドレスとして同位のHITを含んでいる。HITと位置情報間のマッピングは、HIレイヤー6で検出することができる。ここで、宛先アドレスは、マッピングされているIPアドレスへ変換され、ソースHITは、ソースIPアドレスに変換される。
同位(ピア)のHITとIPアドレス間のマッピングはいくつかの方法で検索することができ、その内の1つは、DNSサーバからによるものである。位置情報は、いつでも同位ノードによって更新することができる。この更新処理は、モビリティ管理のサブセクションで詳細に説明する。
HIPは、4つのメッセージを含む基本メッセージ交換と、4ウェイハンドシェイクを定義していて、これは、HIP使用可能ホスト間のセキュリティアソシエーション(SA)を生成するために使用される。メッセージ交換中には、ディフィ−ヘルマン処理がセッションキーを生成し、かつノード間のIPSecカプセル化セキュリティペイロード(ESP)セキュリティアソシエーション(SA群)のペアを確立するために使用される。
図2は、4ウェイハンドシェイクの動作を示している。ネゴシエートしているパーティ群は、接続を開始するインジケータと、それに対するレスポンダ(応答システム:Responder)がある。インジケータは、I1パケットを送信することによってネゴシエーションを開始する。このパケットは、ネゴシエーションに関係するノードのHITを含んでいる。レスポンダのHITがインジケータで示されていない場合、宛先HITはゼロにされていても良い。
レスポンダがI1パケットを受信する場合、レスポンダは、インジケータで解決されるべき問題を含むR1パケットを返信する。問題解決中に、インジケータがほとんどの計算を実行しなければならないようにプロトコルは設計されている。これは、DoS攻撃に対していくつかの保護を与える。R1は、デフィ−ヘルマン処理も開始し、これには、デフィ−ヘルマンパラメータを伴うレスポンダのパブリックキーを含んでいる。
R1パケットが受信されると、インジケータは問題を解決し、IPSecSPI値と自身の暗号化パブリックキーとともにI2パケットで応答クッキーをレスポンダに送信する。レスポンダは、問題が解決されていることを検証し、インジケータを認証して、IPsec ESP SA群を生成する。最終のR2メッセージは、レスポンダのSPI値を含んでいる。
ホスト間のSA群は、HITで表現されるホストアイデンティティにバインドされる。しかしながら、ネットワーク内を通過するパケットは、実際のHI情報を含んでないが、IPsecヘッダのセキュリティパラメータインデックス(SPI)を使用して、到来パケットは識別され、かつ正しいSAにマッピングされる。図3は、パケットがネットワークを通過する場合の論理的かつ実際のパケット構造を示している。
上述のことから、パケット内の位置情報の変更はIPsec処理に対して問題を生じないことは明らかである。パケットは、依然として、SPIを使用して正常に識別される。いくつかの理由によって、パケットが間違った宛先へ転送される場合、そのパケットは正しいキーを持っていないので、受信先ではそのパケットをオープンすることはできない。
発信パケットが上位レイヤーからHIレイヤーに到達すると、宛先HITが、IPsec SDABから検証される。宛先HITと一致するSAが検出される場合、そのパケットは、SAに関連付けられているセッションキーを使用して暗号化される。
HITは、パケットを転送するために使用することはできない。つまり、宛先(及びソース)アドレスは、ノードのIPアドレスと一致するように変更されなければならない。これらのマッピングは、上述のように、HIレイヤーに記憶される。このアドレスが変更されると、パケットをネットワークに送信することができ、そのパケットは、IPアドレス情報を使用して宛先へ転送される。
受信側ホストで、SPI値は、IPsec SADBから正しいSAを検出するために使用される。エントリが検出される場合、IPアドレスを対応するHITに変更することができ、また、セッションキーを使用して、パケットを解読することができる。
モビリティは、自身の通信状態をアクティブに維持しながらホストが移動する状況、あるいは換言すれば、既存のあらゆる接続をアクティブに維持しながら、IPアドレスによって記述される自身のトポロジー的位置をホストが変更する状況とするために定義される。おそらくは経験しているサービスの品質を変更する場合以外は、ホスト上で動作中のプロセスはモビリティを確認しない。
モバイルホストは、異なるアクセス技術間、あるいは異なるIPアドレス領域間、例えば、IPv4とIPv6ネットワーク間でさえも、1つのアクセスネットワーク内の位置を変更することができる。HIPでは、アプリケーションは、IPアドレスバージョンにおける変更を通知しない。HIレイヤーは、上位レイヤーからの変更を完全に隠蔽している。もちろん、同位ノードは、IPバージョンを変更する位置更新を処理することが可能でなければならず、また、パケットは、いくつかの互換アドレスを使用して転送可能でなければならない。ノードがIPv4及びIPv6接続性の両方を持っていない場合、アドレスバージョン変更を実行するプロキシノードを使用して、ノードに代って接続性を提供しても良い。
マルチホーミング(Multi-homing)とは、自身が使用することができるいくつかの並列通信経路をエンドポイントが持っている状況を意味している。通常、マルチホーミングは、いくつかのネットワークインタフェース(エンドホストマルチホーミング)を有するホスト、あるいは、ホストと、冗長経路(サイトマルチホーミング)を有するネットワークの部分との間のネットワークによるものである。
HIPを用いると、位置情報と識別情報との分離は、パケット識別とルーティングとを明確に分離できることを明らかにする。パケットを受信するホストは、正しいキーをまず取得して、パケットを解読することによって送信側を識別する。つまり、パケット内に存在するIPアドレスは関与しない。
ネットワーク内を移動するHIPモバイルノード(HMN)は、インターネットの接続点を定期的に変更することができる。接続点が変更される場合、IPアドレスを変更する。この変更された位置情報は同位ノード、即ち、HIP対応ノード(HCN)へ送信されなければならない。これについては、図4で示される。同一のアドレスは、HMNの転送エージェント(FA)へ送信しなければならない、そうすることで、HMNは、より適切な地点を介して到達することができる。DNSシステムは、位置情報を定期的に変更するために使用することには遅すぎる。それゆえ、HMNに接続するために使用することができるより適切なアドレスが存在しなければならない。このアドレスは、FAによって提供されるアドレスである。
HIPモビリティとマルチホーミングプロトコル(ピー.ニカンデル、ジェイ.アルコッコ、ピー.ジョケラ、「ホストアイデンティティプロトコルを用いるエンドホストモビリティ及びマルチホーミング」、インターネットドラフト、策定中、draft-nikander-hip-mm-00.txt、IETF、2003年)は、HMNの現在のIPアドレスを含む再アドレス割当(REA)パケットを定義している。HMNが位置及びIPアドレスを変更する場合、これは、REAパケットを生成し、使用されるHIに一致するプライベートキーを用いてパケットを署名し、同位ノードとFAへそのパケットを送信する。
同位ノードがREAパケットを受信すると、REAパケットに含まれるIPアドレスに対するアドレス検証処理を開始しなければならない。アドレス検証は、HMNからの不正な更新を受け付けることを回避するために必要とされる。これは、アドレスチェック(AC)パケットを、REAパケット内に存在するアドレスへ送信する。HMNが、先に送信されているREAにマッチするACを受信すると、HMNは、アドレスチェックリプライ(ACR)パケットで応答する。同位ノードがACRパケットを受信した後に、アドレス検証が完了し、かつHMNの位置情報としてIPアドレスを追加することができる。
HMNは、異なるIPアドレスバージョンを使用するネットワーク間を移動することができるので、HCNによって受信されるアドレスも、従前のアドレス以外の異なるアドレスファミリーのものとすることができる。
HCNは1つのIPアドレスバージョンのみをサポートしても良い。この場合、HCNは、他のIPアドレスバージョンのネットワークを介してパケットを転送するために使用することができる、いくつかの他のプロキシノードを使用しなければならない。
異なるアクセスネットワークに接続される異なるインタフェース上に構成される複数のIPアドレスを有するマルチホーム化HIPホストは、同位ノードに向かうトラフィックを処理するための可能性をより一層持っている。このホストは、ネットワーク内の自身の現在の位置を示すIPアドレスを複数持っているので、これらのアドレスのすべてを自身の同位ノードへ通知しても良い。そうするためには、マルチホーム化HIPノードは、特定ノードに向けて使用することができるアドレスのすべてを含むREAパケットを生成する。このアドレスのセットは、それが有するすべてのアドレス、あるいはこれらのアドレスのいくつかのサブセットを含めることができる。複数のアドレスを伴うREAパケットを、同位ノードが受信する場合、それは、可能性のある不正な更新を回避するために、これらのアドレズのそれぞれに対してアドレス検証を行わなければならない。
HCNは、REAパケットに含まれるIPアドレスに向けられているACパケットのセットを送信する。HMNがこれらのACを受信すると、HMNは、ACRで、これらのそれぞれに対して応答する。HCNは、受信したACRパケットから、どのアドレスが有効であるかを判定することができる。
REAパケット内の不正なあるいは転送不可能アドレスが発生し得る。これは、HMNが不正なノードで、それがスタック実装に誤りを持たせているからである。あるいはHMNが、インターネット内で転送不可能なプライベートアドレスを使用するネットワーク内に存在する場合があるからである。
マルチホーム化HIPノードは利用可能な接続のすべてを使用することができるが、接続の効率的な使用には、潜在的なアクセスネットワークの情報を有し、それらの使用を制御することができるポリシーシステムを必要とする。このようなポリシーシステムは、異なる種類の情報を使用することができる。これには、ユーザプリファレンス、オペレータプリファレンス、QoSのようなネットワーク接続からの入力及びその類がある。
モバイルノードを用いてHIP交換を開始するために、インジケータノードは、どのようにしてモバイルノードへ到達するかを知る必要がある。動的DNSは、不定期にノードを移動するためにこの機能を使用することができるが、代替として、この形態のDNSを使用することは、上述のように導入された静的なインフラストラクチャの部分である、転送エージェント(HIP連絡(rendezvous)サーバとも呼ばれる)を使用することである。DNSサーバを用いて自身の現在の動的アドレスを登録する代わりに、モバイルノードは、転送エージェント(群)のアドレス(群)を登録する。モバイルノードは、自身の現在のIPアドレス(群)で継続的に更新される転送エージェント(群)を維持する。転送エージェントは、単に、最初のHIPパケットを、インジケータから、自身の現在の位置にあるモバイルノードへ転送する。インジケータとモバイルノード間で、続くパケットの全てが流される。転送エージェントの動作は通常はかなりわずかであり、これは、主に、アドレス更新と最初のHIPパケット転送である。つまり、1つの転送エージェントは、潜在的な大量のモバイルノードをサポートすることができる。モバイルノードは、自身のHITとIPアドレスマッピングを適切に維持するために転送エージェントを信用しなければならない。転送エージェントは位置が固定されているノードに対してさえも使用することができる。これは、多くの場合、固定ノードは、自身のIPアドレスを頻繁に変更することができるからである。このことは、例えば、その固定ノードに対するサービスプロバイダによってインターネット接続がセットアップされる毎に、IPアドレスが割り当てられる場合である。
ノードの両方が移動体であり、かつ同時に移動することが発生する場合にも、転送エージェントが必要とされる。この場合、HIP再アドレスパケットがネットワーク内で互いに行き来するが、同位ノードには決して到達しない。この状況を解消するために、ノードは転送エージェントアドレスを記憶していなければならず、また、リプライが受信されない場合には、HIP再アドレスパケットを転送エージェントに再送信しなければならない。
移動ノードは、転送エージェントとのHIPアソシエーションを設定し、かつHIP再アドレスパケットを転送エージェントへ送信することによって、転送エージェントに現存する自身のアドレスを維持する。転送エージェントは、2つのモバイルシステムに、外部のインフラストラクチャ(加えて、転送エージェント自身)を使用することなく、HIPを使用することを許容することになる。この外部のインフラストラクチャは、その2つのモバイルシステムが他のHIとHITをそれぞれ取得するためのDNSクエリー以外の方法を持っている場合のDNSを含んでいる。
従来(レガシー)の機器では、ホストはHIPを使用可能にすることができない場合があり、唯一の選択肢は、IPアドレスを使用してホスト間の接続を識別することである。これは、安全ではない。この状況は、HIP使用可能ホストとHIPを使用できないホスト間にHIPプロキシを配置することによって改善することができる。典型的な状況は、クライアント端末がHIPを使用可能でない小企業のLANがある。トラフィックは、HIPプロキシを介して対応するホスト(HIP使用可能である)へ転送される。
この構成は、図5に示される。図5では、レガシーホスト12は、HIPプロキシ16を介して、HIP使用可能であるノード14(ドメイン「hip.foo.com」を有する)と通信していることを示している。レガシーホスト12は、アクセスネットワーク18を介してHIPプロキシ16にアクセスする。一方で、HIPプロキシ16は、インターネット20を介してHIPノード14へアクセスする。レガシーホスト12とHIPノード14間の接続を部分的に安全にするために、HIPプロキシ16とHIPノード14間のすべての通信は、図3を参照して上述した方法と同様の方法で、HIPプロキシ16とHIPノード14間でセットアップされているセキュリティアソシエーションが介在する。
しかしながら、レガシーホスト12とHIPノード14間での通信を可能にするために、図5に示されるセキュリティアソシエーション22をセットアップできる前には、HIPノード14が上述の転送エージェント26の配下に配置されている場合にクエリーをDNSサーバ24−1(及びその次のDNSサーバ24−2)へ送信することによって、レガシーホスト12がHIPノード14のIPアドレスを解決するを試行する場合に問題が生じる。DNSサーバ24−1は、転送エージェント26のIPアドレスとともにHIPノード14へHITを返信する。レガシーホスト12はHIPを使用可能でないので、HITを無視して、転送エージェント26へのメッセージ送信を開始することになる。HITがないと、転送エージェント26は、これらのメッセージの宛先アドレスを解決することができなくなる。これは、いくつかのHIPノードは同一の転送エージェント26を使用している可能性がほとんどであるからである。同様に、レガシーホスト12はHITを破棄して、かつ接続を開始する場合はHIPノード14のIPアドレスだけを使用するので、HIPプロキシ16は自身とHIPノード14間のHIPネゴシエーションを開始することができない。これは、HIPプロキシ16がHIPノード14のHITを知らないからである。
このように、上述の問題を回避するHIPプロキシを介して、HIP使用可能でない第1ホストとHIP使用可能である第2ホスト間の通信を少なくとも部分的に安全にする方法を提供することが必要とされている。
本発明の要約
本発明の第1の構成に従えば、HIPプロキシを介して、HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間の通信を少なくとも部分的に安全にする方法が提供される。この方法は、前記第2ホストのIPアドレスを解決するために、前記第1ホストからクエリーを送信し、前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHITを検索し、前記第2ホストに関連付けられている代替IPアドレスを前記HIPプロキシから返信し、かつ前記HIPプロキシで、前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持し、自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの、前記HIPプロキシでの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する。
この方法は、前記セッション開始メッセージ内の前記代替IPアドレスに基づいて、前記マッピングから前記検索されたIPアドレスと前記検索されたHITを参照し、該検索されたIPアドレスと該検索されたHITを使用してHIPネゴシエーションを実行して、前記HIPプロキシのIPアドレスとHITとともにレスポンダを検索して識別し、かつインジケータを検索して識別することを含んでも良い。
前記検索されたIPアドレスは、前記第2ホストによって使用される転送エージェントのIPアドレスであっても良く、更に、前記HIPプロキシと前記第2ホスト間の前記HIPネゴシエーションを、最初にHIPネゴシエーションパケットを前記転送エージェットへ送信することによって開始することを含んでも良い。
この方法は、更に、前記HIPネゴシエーション中に、前記HIPプロキシで前記第2ホストの実際のIPアドレスの受信を行い、前記実際のIPアドレスを前記HIPプロキシで保持されるマッピングに含めることを含んでも良い。前記検索されたIPアドレスは、前記HIPプロキシでの受信に続く前記実際のIPアドレスによって、前記マッピングにおいて置換されても良い。
前記検索されたIPアドレスは、前記第2ホストの実際のIPアドレスであっても良い。
この方法は、更に、前記安全なHIP接続が確立した後に前記HIPプロキシで受信される、自身の宛先アドレスとして前記代替IPアドレスを含む発信メッセージに対して、前記マッピングを使用して、前記発信メッセージを前記安全なHIP接続を介して前記第2ホストへ転送することを含んでも良い。このことは、前記発信メッセージ内の前記代替IPアドレスに基づいて、前記マッピングから前記実際のIPアドレスと前記検索されたHITを参照し、前記実際のIPアドレスと前記検索されたHITを使用して前記発信メッセージを前記第2ホストへ転送して、前記発信メッセージの宛先を検索して識別し、前記HIPプロキシのIPアドレスとHITを使用して前記発信メッセージのソースを検索して識別することを含んでも良い。
この方法は、更に、前記安全なHIP接続を介して、前記セッション開始メッセージを前記HIPプロキシから前記第2ホストへ転送することによって、前記第1ホスト及び前記第2ホスト間の通信の確立を完了し、前記安全なHIP接続を介して、前記第2ホストから前記HIPプロキシへセッション応答確認メッセージでリプライし、前記セッション応答確認メッセージを前記第1ホストへ転送することを含んでも良い。前記セッション応答確認メッセージは、TCP ACKメッセージであっても良い。
前記セッション開始メッセージは、TCP SYNメッセージであっても良い。
この方法は、更に、前記確立された安全なHIP接続を介して、前記第2ホストから前記プロキシで受信される着信メッセージに対して、前記HIPプロキシのNAT機能を使用して、前記着信メッセージを適切な宛先ホストへ転送することを含んでも良い。
前記クエリーは、DNSクエリーであっても良い。前記HIPプロキシは、前記第1ホストから前記DNSクエリーを捕捉しても良い。前記HIPプロキシは、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索することを実行しても良い。
前記HIPプロキシは、外部DNSサーバから、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索しても良い。あるいは、前記HIPプロキシは、内部DNSサーバから、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索しても良い。
本発明の第2の構成に従えば、HIP使用可能でない第1ホストと、HIP使用可能である第2ホストと、HIPプロキシを備える通信システムが提供される。前記第1ホストは、前記第2ホストのIPアドレスを解決するためのクエリーを送信する手段を備える。前記HIPプロキシは、前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHITを検索する手段と、前記第2ホストに関連付けられている代替IPアドレスを返信する手段と、前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持する手段と、自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する手段とを備える。
本発明の第3の構成に従えば、HIPプロキシによって、HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間で少なくとも部分的に安全な通信を使用する方法が提供される。この方法は、前記第2ホストのIPアドレスを解決するために、前記第1ホストからクエリーを受信し、前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHITを検索し、前記第2ホストに関連付けられている代替IPアドレスを返信し、かつ前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持し、自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用することを含んでいる。
本発明の第4の構成に従えば、HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間で少なくとも部分的に安全な通信を使用するためのHIPプロキシが提供される。このHIPプロキシは、前記第2ホストのIPアドレスを解決するために、前記第1ホストからクエリーを受信する手段と、前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHITを検索し、前記第2ホストに関連付けられている代替IPアドレスを返信し、かつ前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持する手段と、自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する手段とを備えている。
本発明の第5の構成に従えば、HIPプロキシ上で動作する場合に、前記HIPプロキシに本発明の第3の構成に従う方法を実行させるオペレーティングプログラムが提供される。
本発明の第6の構成に従えば、HIPプロキシ内にロードされる場合に、前記HIPプロキシが本発明の第4の構成に従うHIPプロキシを実現させるオペレーティングプログラムが提供される。
前記オペレーティングプログラムは、搬送媒体上で搬送されても良く、この搬送媒体は、送信媒体あるいは記憶媒体であっても良い。
実施形態の詳細説明
本発明の実施形態は、図5を参照して説明されるシステムの汎用フレームワーク内で説明される。本発明の実施形態は、HIPを使用可能でないレガシーホスト12と、HIPプロキシ16を介してHIPを使用可能であるHIPホスト14間の通信を少なくとも部分的に安全にする方法を提供する。本発明の実施形態の動作は、図6のメッセージ交換図を参照して説明される。図6に示されるステップ群は、図8から図12で詳細に説明される。一方、図7は、TCP、UDP(ユーザデータグラムプロトコル)、ESP及びHIPで使用されるパケット構造のより詳細な構成を示している。
レガシーホスト12が、自身とHIPホスト14間で通信を開始したいという状況を想定する。レガシーホスト12は、「hip.foo.com」とする、HIPホスト14のドメイン名を知っていて、かつ第1ステップ(図6及び図8では「A」で示されている)として、レガシーホスト12は、HIPホスト14のIPアドレスを解決するために、自身の通常のDNSサーバへ、ドメインネームシステム(DNS)クエリーを送信する。但し、DNSサーバで直接受信する代わりに、本発明の実施形態では、DNSクエリーはHIPプロキシ16によって捕捉され、HIPプロキシ16自身は、DNSクエリーをDNSサーバ24−1に送信する(これは、図6及び図8では「B」で示されている)。
このDNSクエリーの応答では、DNSサーバ24−1は、「foo.com」のDNSサーバ24−2と通信して、HIPホスト14に関連付けられているIPアドレスとHITを検索する(図6及び図9では「C」で示されている)。この例では、HIPホスト14は、上述したように「ホームアドレス」として、転送エージェント(FA)26を使用しているので、DNSクエリーによって検索されるIPアドレスとHITは、転送エージェント26のIPアドレスである3ffe:200::1(IPfa)とHIPホスト14のHITとなる。ここでは、HIPホスト14のHITをHIThipと参照する。ここで、第1サーバから情報が検出されると、追加のDNSサーバを使用する必要がなくなるので、DNSサーバがIPアドレスを解決するために必要とされる場合が常にでないことに注意すべきである。
HIPプロキシは、DNSクエリーを送信した最初のホストがHIP使用可能でないことを知っているので、HIPプロキシ16は、DNS情報{HIThip、IPfa}を返信しない。代わりに、HIPプロキシ16は、代替IPドレスIPresを生成する。これは、例えば、3ffe:401::5である。HIPプロキシ16は、DNSサーバ24から検索されるHIT、DNSサーバ24から検索されるIPアドレス、HIPプロキシ16によって生成される代替IPアドレスとのマッピング{HIThip;IPfa;IPres}を保持する。このマッピングは、以下で説明する次の通信のルーティングを処理するために必要とされる。代替IPアドレスIPresの生成と、マッピングの保持は、図6及び9では「D」で示されている。
この間では、HIPプロキシ16は、代替IPアドレスIPresを用いて、レガシーホスト12へDNS応答を送信する。これは、図6及び図9では「E」で示されている。代替IPアドレスIPresは、すべての次の通信用に、宛先アドレスとしてレガシーホスト12によって使用されることになり、これは、HIPホスト14へ送信される。
レガシーホスト12がHIPホスト14との接続を開始する準備をしている場合、自身の宛先アドレスとして、代替IPアドレスIPresを有するセッション開始メッセージTCP SYNを送信し、これは、図6及び図10では「F」で示されている。代替IPアドレスIPresはHIPプロキシ16によって生成され、かつマッピングMで保持されているので、HIPプロキシ16は、レガシーホスト12からのその開始メッセージの宛先アドレスを認識し(図10では「F.1」で示されている)、また、レガシーホスト12とHIPホスト14間の通信をセットアップし、かつ処理するための責任があると想定する。
HIPプロキシ16は、次に、マッピングMを使用して、HIPプロキシ16とHIPホスト14間のセキュア(安全な)HIP接続(セキュリティアソシエーション)をネゴシエートする。HIPプロキシ16とHIPホスト14間で実行されるネゴシエーションは、上述の図2を参照して説明される4ウェイハンドシェイクにかなり類似していて、本例では、インジケータはHIPプロキシ16であり、レスポンダはHIPホスト14である。HIPネゴシエーションの開始は、図6及び図10では「G」で示されている。本明細書で使用されている用語「セキュリティアソシエーション」は、2つのホスト間で生成されるセキュリティアソシエーションのペアが生成される場合を含むものと解釈されるべきであることに注意すべきである。このペアの1つは一方向におけるトラフィックを扱うセキュリティアソシエーションであり、もう1つはもう一方向におけるトラフィックを扱うセキュリティアソシエーションである。論理的には、2つのホスト間は1つのSAパイプとなっているが、物理的には、2つのSAが存在することになる。
マッピングMを使用して、HIPプロキシ16は、I1パケットがIPアドレスIPfaへ送信されるべきであるかを判定する。ここで、IPアドレスIPfaは、HIPホスト14によって使用される転送エージェント26のIPアドレスである。I1パケットは、ネゴシエーションに関係するノードのHIT、即ち、HIThipとHITproxyを含んでいる。このマッピングは、図6及び図10では「H」で示されている。I1パケットが転送エージェント26によって受信される場合、それは、HIThipから実際のIPアドレスIPhipへのマッピングを実行し、かつその受信したI1パケットをIPhipで指定されるHIPホスト14への転送する自身の機能を実行する。
以下のHIPホスト14でのI1パケットの受信に続いて、4ウェイハンドシェイクネゴシエーションの残りの部分が、図2を参照して上述したように、R1、I2及びR2パケットの送信によって形成される。このネゴシエーションが完了すると、HIPプロキシ16とHIPホスト14間のセキュリティアソシエーション22が確立される。これは、図6及び図10では「I」で示されている。
ここで、セキュリティアソシエーション22がセットアップされると、HIPプロキシ16は、TCP SYN開始メッセージをHIPホスト14へ送信することによってこれを継続する。実行されるマッピングとネットワークアドレス解決(NAT)機能を図11の下部で詳細に説明する。これは、図11において「I.1」で示されている。HIPホスト14は、HIPプロキシ16のIPアドレスで指定されるTCP ACKで応答する。ここでは、これは、本例では、3ffe:300::1である。これらの2つのステップは、図6及び図11では「J」で示されている。そして、HIPプロキシ16は、自身のIPアドレスである3ffe:400::50のレガシーホスト12へTCP ACKメッセージを返信し、TCP開始処理を完了する。これは、図6及び図12では「K」で示されている。図6及び図11で「J」で示されている、HIPホスト14からHIPプロキシ16へのTCP ACKメッセージは、自身の宛先IPアドレスとして、HIPプロキシ16のIPアドレスを含んでいるが、レガシーホスト12のIPアドレスは含んでいないことに注意されたい。HIPプロキシ16が、TCP ACKメッセージを正しいレガシーホスト12へどのようにして送信するかを続けて知るかについての方法を説明する。
1つのセキュリティアソシエーション22だけが、HIPプロキシ16とHIPノード14間でセットアップされると、このセキュリティアソシエーション22は、同一のHIPホスト14と通信する複数のレガシーホストによって使用されることになる。上述のマッピングMはセキュリティアソシエーションに関連付けられていて、レガシーホスト12のような特定のレガシーホストに関連付けられていない。セキュリティアソシエーション22とそれに関連付けられているマッピングMは複数のレガシーホストで使用されなければならないので、マッピングMは特定のレガシーホストに関連する情報、例えば、セキュリティアソシエーション22のセットアップを最初に担当するレガシーホストのIPアドレスのような情報を含むことができない。代わりに、HIPプロキシ内のネットワークアドレス解決(NAT)機能は、正しいレガシーホストのIPアドレスへのパケットのマッピングを取り扱う。
この目的のために、通常のNAT機能に対しては、上位レイヤーポート番号が使用される。HIPプロキシ16を介するHIPホスト14とレガシーホスト12間のトラフィックに対して、HIPホスト14からIPパケットがHIPプロキシ16に到達する場合のソースアドレスは当初のHIPホスト14のIPアドレスとなる。代替IPアドレスIPhipは、セキュリティアソシエーション22に関連付けられているマッピングMから検索され、そして、IPパケットのソースアドレスとして置換される。次に、IPパケットはHIPプロキシ16のNAT機能に渡され、ソースIPアドレスとポート番号を使用して、NAT機能はそのIPパケットが送信されるべき実際のレガシーホスト12を確認する。このNAT機能は、アドレスマッピングのために、そのIPアドレスとそのポート番号の両方を使用する。このポート番号は単独で使用することができない。これは、2つのレガシーホストは、同一のソースポート番号を使用し得るからである。また、標準化NAT機能はポートマッピングを実行する。これは、それ以外は、2つのホストが同一の外部ノードとの通信に対して同一のソースポート番号を使用する場合にはアドレス解決は機能しないからである。NATマッピングを実行する場合、プロトコルも参照される。これは、UDPとTCPは同一のポート番号を使用することができるからである。
例として、2つのレガシーホストLH1とLH2に対し、ポート10000を監視する外部HIPホスト14との通信を示す。
LH1: source port(ソースホ゜ート)5000, dst port(宛先ホ゜ート)10000, src(ソース)IP IPlh1, dst(宛先)IP IPres
LH2: source port(ソースホ゜ート)5000, dst port(宛先ホ゜ート)10000, src(ソース)IP IPlh2, dst(宛先)IP IPres
HIPプロキシ16は、以下に示す発信(HIPホストにバインドされる)接続に対するマッピングを行う。
LH1: new source(新ソース)5001, dst port(宛先ホ゜ート)10000, src(ソース)IP IPproxy, dst(宛先)IP IPhip
LH2: new source(新ソース)5002, dst port(宛先ホ゜ート)10000, src(ソース)IP IPproxy, dst(宛先)IP IPhip
つまり、上記の内容は、宛先アドレスもHIPプロキシ16によってIPresからIPhipへ変更される以外は、まさに標準NAT機能を示している。
HIPホスト14は、同一のIPアドレスを用いて、HIPプロキシ16から2つの別々の接続を見ている。HIPホスト14からの着信(LHでバインドされている)トラフィックに対しては、HIPプロキシ16は、ここでは、以下のようなマッピングを行うことができる。
dst(宛先)IPproxy, src(ソース)IPhip, dst port(宛先ホ゜ート)5001, src port(ソースホ゜ート)10000
→ dst(宛先)IPlh1 ; src(ソース)IPres ; dst port(宛先ホ゜ート)5000 ; src port(ソースホ゜ート)10000
dst(宛先)IPproxy, src(ソース)IPhip, dst port(宛先ホ゜ート)5002, src port(ソースホ゜ート)10000
→ dst(宛先)IPlh2 ; src(ソース)IPres ; dst port(宛先ホ゜ート)5000 ; src port(ソースホ゜ート)10000
着信パケットのNAT機能も、図12の下部で詳細に示されしている。これは、「K」で示されている。
HIPセキュリティアソシエーション22が一旦HIPプロキシ16とHIPホスト14間でセットアップされると、レガシーホスト12とHIPホスト14間の連続通信は転送エージェント26を通過しない。この転送エージェント26は、上述の開始I1パケットを転送するためだけに使用される。それゆえ、確立されているセキュリティアソシエーション22に対しては、転送エージェント(IPfa)のIPアドレスは、これ以上、セキュリティアソシエーション22に関連付けられているマッピングMで必要とされない。代わりに、HIPホスト14の現在の位置情報(IPアドレスIPhip)が必要とされる。
それゆえ、転送エージェント26(IPfa)のIPアドレスは、マッピングMにおいて、HIPホスト14(IPhip)のIPアドレスに置換することができる。換言すれば、マッピングMは、{HIThip;IPfa;IPres}から{HIThip;IPhip;IPres}へ変更される。このことは、図10では「H.1」で示されている。この方法では、自身の宛先アドレスとして代替IPアドレスIPresを有する、レガシーホスト12から送信される任意の連続パケットを、その変更されたマッピングMを使用して、HIPプロキシ16によってセキュリティアソシエーション22にマッピングすることがことができ、かつ位置IPhipにおけるHIPホスト14へ直接転送することができる。ソースIPアドレスと宛先IPアドレスは、HIPプロキシ16において、上記の変更されたマッピングMから得られるマッピングを用いて{dst=IPres;src=IPlh}から{dst=IPhip;src=IPproxy}へマッピングされる。HIPプロキシ16は、HIPネゴシエーション中に、R1パケットから、HIPホスト14の実際のIPアドレスIPhipを受信する。
本発明の実施形態は、HIPホスト14が転送エージェント26の後に配置されている場合で説明されているが、本発明は、HIPホスト14によって転送エージェントが使用されない場合にも適用される。例えば、HIPホスト14(ドメイン名「hip.foo.com」を用いる)が固定のIPアドレスIPfixedを持っている場合、転送エージェントを用いずに、DNSクエリーは、固定IPアドレスIPfixedとHIPホスト14のHIThipを返信することになる。レガシーホスト12が「hip.foo.com」に対するIPアドレスを解決することを試行する場合、HIPプロキシ16はこのDNSクエリーを捕捉して、自身で、DNSからIPfixedとHIThipを検索することになる。HIPプロキシ16は、DNSサーバ24から返信されるIPアドレスがHIPホスト14の実際のIPアドレスであり、かつHIPホスト14によって使用される転送エージェントのIPアドレスではないことを通常は把握できないので、HIPプロキシ16は、上述のように、代替IPアドレスIPresを生成して、この代替IPアドレスをレガシーホスト12へ返信する。HIPプロキシ16は、マッピング{HIThip;IPfixed;IPres}を維持し、かつ、そのマッピングからの{HIThip;IPfixed}に基づいてHIPホスト14とネゴシエートする時に受信する、IPresに対するTCP SYNパケットの監視を維持している。セキュリティアソシエーションが一旦セットアップされると、IPresに対して指定されるパケットはHIPプロキシ16によってピックアップされ、かつそのマッピングを使用して{HIThip;IPfixed}へ転送される。これは、IPfaが決してマッピングに記憶されない、つまり、決して置換されないということ以外は、上述の処理とほぼ同一である。代わりに、このマッピングは、最初からHIPホスト14のIPアドレスを有している。
HIPプロキシ16に対して、DNSサーバ24から検索されるIPアドレスがHIPホスト14の実際のIPアドレスであることを判定することが可能である場合、選択的には、代替IPアドレスを生成することは、HIPホスト14の実際のIPアドレスを単にレガシーホスト12へ返信することになる。これは、レガシーホスト12とHIPホスト14間の通信が、完全にHIPプロキシ16をバイパスすることができる可能性を広げることになる。これは、レガシーホスト12がHIPホスト14の実際のIPアドレスを有しているからである。この場合となる場合、通信はHIPプロトコルによって安全ではなくなるかもしれないが、それでもなお通信は標準TCP/IPに基づくことができる。しかしながら、小規模ネットワークでは、レガシーホスト12からHIPプロキシ16への1つの発信ルートを用いることで、これまでのように、代替IPアドレスとHIPホスト14の実際のIPアドレス間で必要とされるマッピングがなくても、十分に確立されているセキュリティアソシエーションを用いて、レガシーホスト12とHIPホスト14間のセキュア(安全な)ゲートウェイとして動作することがHIPプロキシ16に対して依然として可能となる。それゆえ、後者の場合では、マッピングMは、HIPホスト14のIPアドレスIPhipと、HIPホスト14のHITであるHIThipとのみを有することになる。
上述では、HIPプロキシ16がDNSクエリーを外部DNSサーバ24へ送信することを説明しているが、HIPプロキシ16は、外部のDNSクエリーを必要としないで、自身でDNSサーバの機能を提供可能にすることが可能である。
レガシーホスト12、HIPプロキシ16及びHIPホスト14の1つ以上の動作がデバイス上で動作するプログラムによって制御できることは明らかであろう。このようなオペレーティングプログラムは、コンピュータ可読媒体に記憶することができる。あるいは、例えば、インターネットウェブサイトから提供される、ダウンロード可能なデータ信号のような信号で実現することもできる。請求項は、それ自身によってオペレーティングプログラムを含むように解釈されるべきであり、あるいは、キャリヤ(搬送媒体)上のレコード、信号あるいは任意の他の形態として解釈されるべきである。
当業者は、本発明の実施形態は、トランスポートレイヤーあるいはネットワークレイヤーのようなレイヤーのそれぞれに対する特定のプロトコルに制限される必要はなく、どのようなアドレッシング(アドレス指定)あるいはトランスポートプロトコルがHIPフレームワークに使用されるとしても、HIPフレームワーク内で機能することになることを理解するであろう。
ホストアイデンティティプロトコルにおける様々なレイヤーを示す図である。 HIPプロトコルにおける4ウェイハンドシェイクの動作を示す図である。 HIPにおける論理的かつ実際のパケット構造を示す図である。 IPv6とIPv4間のハンドオーバを示す図である。 HIPプロキシを介する、レガシーホストとHIPノード間の通信に対する汎用ネットワークセットアップを示す図である。 本発明の実施形態に従うレガシーホストとHIPホスト間の通信を少なくとも部分的に安全にする方法を示すメッセージ交換図である。 TCP、UDP、ESP及びHIPで使用されるパケット構造の詳細図である。 図6の方法のステップの詳細を示すメッセージ交換図である。 図6の方法のステップの詳細を示すメッセージ交換図である。 図6の方法のステップの詳細を示すメッセージ交換図である。 図6の方法のステップの詳細を示すメッセージ交換図である。 図6の方法のステップの詳細を示すメッセージ交換図である。

Claims (25)

  1. HIP(ホストアイデンティティプロトコル)プロキシを介して、HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間の通信を少なくとも部分的に安全にする方法であって、
    前記第2ホストのIP(インターネットプロトコル)アドレスを解決するために、前記第1ホストからクエリーを送信し、
    前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHIT(ホストアイデンティティタグ)を検索し、前記第2ホストに関連付けられている代替IPアドレスを前記HIPプロキシから返信し、かつ前記HIPプロキシで、前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持し、
    自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの、前記HIPプロキシでの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する
    ことを特徴とする方法。
  2. 前記セッション開始メッセージ内の前記代替IPアドレスに基づいて、前記マッピングから前記検索されたIPアドレスと前記検索されたHITを参照し、かつ該検索されたIPアドレスと該検索されたHITを使用してHIPネゴシエーションを実行して、前記HIPプロキシのIPアドレスとHITとともにレスポンダを検索して識別し、かつインジケータを検索して識別する
    ことを特徴とする請求項1に記載の方法。
  3. 前記検索されたIPアドレスは、前記第2ホストによって使用される転送エージェントのIPアドレスであり、
    更に、前記HIPプロキシと前記第2ホスト間の前記HIPネゴシエーションを、最初にHIPネゴシエーションパケットを前記転送エージェットへ送信することによって開始する
    ことを特徴とする請求項1または2に記載の方法。
  4. 更に、前記HIPネゴシエーション中に、前記HIPプロキシで前記第2ホストの実際のIPアドレスの受信を行い、前記実際のIPアドレスを前記HIPプロキシで保持されるマッピングに含める
    ことを特徴とする請求項3に記載の方法。
  5. 前記検索されたIPアドレスは、前記HIPプロキシでの受信に続く前記実際のIPアドレスによって、前記マッピングにおいて置換される
    ことを特徴とする請求項4に記載の方法。
  6. 前記検索されたIPアドレスは、前記第2ホストの実際のIPアドレスである
    ことを特徴とする請求項1または2に記載の方法。
  7. 更に、前記安全なHIP接続が確立した後に前記HIPプロキシで受信される、自身の宛先アドレスとして前記代替IPアドレスを含む発信メッセージに対して、前記マッピングを使用して、前記発信メッセージを前記安全なHIP接続を介して前記第2ホストへ転送する
    ことを特徴とする請求項1乃至6のいずれか1項に記載の方法。
  8. 請求項4に従属する場合には、更に、前記発信メッセージ内の前記代替IPアドレスに基づいて、前記マッピングから前記実際のIPアドレスと前記検索されたHITを参照し、前記実際のIPアドレスと前記検索されたHITを使用して前記発信メッセージを前記第2ホストへ転送して、前記発信メッセージの宛先を検索して識別し、前記HIPプロキシのIPアドレスとHITを使用して前記発信メッセージのソースを検索して識別する
    ことを特徴とする請求項7に記載の方法。
  9. 更に、前記安全なHIP接続を介して、前記セッション開始メッセージを前記HIPプロキシから前記第2ホストへ転送することによって、前記第1ホスト及び前記第2ホスト間の通信の確立を完了し、前記安全なHIP接続を介して、前記第2ホストから前記HIPプロキシへセッション応答確認メッセージでリプライし、前記セッション応答確認メッセージを前記第1ホストへ転送する
    ことを特徴とする請求項1乃至8のいずれか1項に記載の方法。
  10. 前記セッション応答確認メッセージは、TCP ACKメッセージである
    ことを特徴とする請求項9に記載の方法。
  11. 前記セッション開始メッセージは、TCP SYNメッセージである
    ことを特徴とする請求項1乃至9のいずれか1項に記載の方法。
  12. 更に、前記確立された安全なHIP接続を介して、前記第2ホストから前記プロキシで受信される着信メッセージに対して、前記HIPプロキシのNAT機能を使用して、前記着信メッセージを適切な宛先ホストへ転送する
    ことを特徴とする請求項1乃至11のいずれか1項に記載の方法。
  13. 前記クエリーは、DNSクエリーである
    ことを特徴とする請求項1乃至12のいずれか1項に記載の方法。
  14. 前記HIPプロキシは、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索することを実行する
    ことを特徴とする請求項1乃至13のいずれか1項に記載の方法。
  15. 前記HIPプロキシは、外部DNSサーバから、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索する
    ことを特徴とする請求項14に記載の方法。
  16. 前記HIPプロキシは、内部DNSサーバから、前記第2ホストに関連付けられている前記IPアドレスと前記HITを検索する
    ことを特徴とする請求項14に記載の方法。
  17. 前記HIPプロキシは、前記第1ホストから前記DNSクエリーを捕捉する
    ことを特徴とする請求項1乃至16のいずれか1項に記載の方法。
  18. HIP(ホストアイデンティティプロトコル)使用可能でない第1ホストと、HIP使用可能である第2ホストと、HIPプロキシを備える通信システムであって、
    前記第1ホストは、
    前記第2ホストのIP(インターネットプロトコル)アドレスを解決するためのクエリーを送信する手段を備え、
    前記HIPプロキシは、
    前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHIT(ホストアイデンティティタグ)を検索する手段と、
    前記第2ホストに関連付けられている代替IPアドレスを返信する手段と、
    前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持する手段と、
    自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する手段と
    を備えることを特徴とする通信システム。
  19. HIP(ホストアイデンティティプロトコル)プロキシによって、HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間で少なくとも部分的に安全な通信を使用する方法であって、
    前記第2ホストのIP(インターネットプロトコル)アドレスを解決するために、前記第1ホストからクエリーを受信し、
    前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHIT(ホストアイデンティティタグ)を検索し、前記第2ホストに関連付けられている代替IPアドレスを返信し、かつ前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持し、
    自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する
    ことを特徴とする方法。
  20. HIP使用可能でない第1ホストと、HIP使用可能である第2ホスト間で少なくとも部分的に安全な通信を使用するためのHIP(ホストアイデンティティプロトコル)プロキシであって、
    前記第2ホストのIP(インターネットプロトコル)アドレスを解決するために、前記第1ホストからクエリーを受信する手段と、
    前記クエリーに応じて、前記第2ホストに関連付けられているIPアドレスとHIT(ホストアイデンティティタグ)を検索し、前記第2ホストに関連付けられている代替IPアドレスを返信し、かつ前記代替IPアドレス、前記検索されたIPアドレス及び前記検索されたHIT間のマッピングを保持する手段と、
    自身の宛先アドレスとして前記代替IPアドレスを含む、前記第1ホストからのセッション開始メッセージの受信において、前記HIPプロキシと前記第2ホスト間の安全なHIP接続をネゴシエートするために前記マッピングを使用する手段と
    を備えることを特徴とするHIPプロキシ。
  21. HIPプロキシ上で動作する場合に、前記HIPプロキシに請求項19に記載の方法を実行させることを特徴とするオペレーティングプログラム。
  22. HIPプロキシ内にロードされる場合に、前記HIPプロキシが請求項20に記載のHIPプロキシを実現させることを特徴とするオペレーティングプログラム。
  23. 搬送媒体上で搬送されることを特徴とする請求項21または22に記載のオペレーティングプログラム。
  24. 前記搬送媒体は、送信媒体である
    ことを特徴とする請求項23に記載のオペレーティングプログラム。
  25. 前記搬送媒体は、記憶媒体である
    ことを特徴とする請求項23に記載のオペレーティングプログラム。
JP2006552476A 2004-02-13 2004-02-13 レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 Expired - Fee Related JP4579934B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/050129 WO2005081466A1 (en) 2004-02-13 2004-02-13 Addressing method and method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes

Publications (2)

Publication Number Publication Date
JP2007522744A true JP2007522744A (ja) 2007-08-09
JP4579934B2 JP4579934B2 (ja) 2010-11-10

Family

ID=34878414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006552476A Expired - Fee Related JP4579934B2 (ja) 2004-02-13 2004-02-13 レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置

Country Status (8)

Country Link
US (1) US7827313B2 (ja)
EP (1) EP1714434B1 (ja)
JP (1) JP4579934B2 (ja)
CN (1) CN1938999B (ja)
AT (1) ATE366017T1 (ja)
DE (1) DE602004007301T2 (ja)
ES (1) ES2287697T3 (ja)
WO (1) WO2005081466A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010537604A (ja) * 2007-08-31 2010-12-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルノードの位置更新
JP2012517165A (ja) * 2009-02-05 2012-07-26 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
JP2013504957A (ja) * 2009-09-17 2013-02-07 ゼットティーイー コーポレーション ネットワーク相互通信の実現方法及びシステム
JP2013506326A (ja) * 2009-09-25 2013-02-21 中興通訊股▲ふん▼有限公司 ネットワーク間ローミングの実現方法、システム並びに問合せ及びネットワークアタッチメントの方法及びシステム
JP2013526107A (ja) * 2010-04-20 2013-06-20 中興通訊股▲ふん▼有限公司 データメッセージの処理方法、システム及びアクセスサービスノード

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005101753A1 (en) * 2004-04-15 2005-10-27 Telefonaktiebolaget Lm Ericsson (Publ) Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
GB2423448B (en) * 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
EP1894371A1 (en) * 2005-05-18 2008-03-05 Ninety9.com PTY Ltd. Dynamic address mapping
GB2426672B (en) * 2005-05-27 2009-12-16 Ericsson Telefon Ab L M Host identity protocol method and apparatus
WO2006133740A1 (en) * 2005-06-17 2006-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Host identity protocol method and apparatus
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
GB2449118A (en) * 2007-05-11 2008-11-12 Ericsson Telefon Ab L M Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests
CN101335747B (zh) * 2007-07-01 2012-10-03 华为技术有限公司 通信地址通知、探索及通信检测、恢复方法及其装置
CN101350807B (zh) * 2007-07-20 2012-04-04 华为技术有限公司 多地址空间移动网络架构、主机信息注册及数据发送方法
CN101383758B (zh) * 2007-09-07 2011-04-20 华为技术有限公司 多地址空间移动网络架构、路由器及数据发送方法
US20100284400A1 (en) * 2007-10-15 2010-11-11 Melen Jan Provisioning mobility services to legacy terminals
CN101425919B (zh) * 2007-11-02 2012-06-06 华为技术有限公司 主机标识标签的生成、分配方法和设备、网络
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
CN101827011B (zh) * 2009-03-04 2013-03-27 华为技术有限公司 一种主机通信的方法、系统和设备
CN102025590B (zh) * 2009-09-18 2012-07-18 中兴通讯股份有限公司 新网与互联网互通的实现方法和系统
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
CN102223353A (zh) 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
CN101958910B (zh) * 2010-10-18 2013-05-22 清华大学 基于双代理的一体化标识网络个人通信移动管理方法
CN101997875B (zh) * 2010-10-29 2013-05-29 北京大学 一种安全的多方网络通信平台及其构建方法、通信方法
WO2012055112A1 (zh) * 2010-10-29 2012-05-03 华为技术有限公司 连接建立方法、装置及通信系统
US8683019B1 (en) * 2011-01-25 2014-03-25 Sprint Communications Company L.P. Enabling external access to a private-network host
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US9021104B2 (en) * 2011-02-28 2015-04-28 Futurewei Technologies, Inc. System and method for mobility management in a wireless communications system
WO2012122709A1 (zh) * 2011-03-16 2012-09-20 中兴通讯股份有限公司 身份位置分离网络与互联网的互通方法及互通网络
US8315266B1 (en) * 2012-03-02 2012-11-20 Google Inc. Extending a local area network
CN103369519B (zh) * 2012-04-09 2016-09-28 腾讯科技(深圳)有限公司 获取终端号码的归属地信息的方法和终端
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US9912644B2 (en) * 2014-08-05 2018-03-06 Fireeye, Inc. System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10893126B2 (en) * 2018-03-29 2021-01-12 Siemens Aktiengesellschaft Method and apparatus for protocol translation and exchange of selectable, contextualized data between a server using a next-generation protocol and a legacy server

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136052A (ja) * 1996-11-01 1998-05-22 Hitachi Ltd IPv4−IPv6通信方法およびIPv4−IPv6変換装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9303595D0 (en) * 1993-02-23 1993-04-07 Int Computers Ltd Licence management mechanism for a computer system
DE69737645T2 (de) 1996-11-01 2007-11-22 Hitachi, Ltd. Kommunikationsverfahren zwischen einem IPv4-Endgerät und einem IPv6-Endgerät und IPv4-IPv6-Umwandlungsvorrichtung
US6839323B1 (en) * 2000-05-15 2005-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Method of monitoring calls in an internet protocol (IP)-based network
US20020194378A1 (en) * 2001-04-05 2002-12-19 George Foti System and method of hiding an internet protocol (IP) address of an IP terminal during a multimedia session
NO20013497D0 (no) * 2001-07-13 2001-07-13 Ericsson Telefon Ab L M Dynamisk distribuering av deltagere i sentraliserte IP- telefonkonferanser
US7028311B2 (en) * 2002-01-04 2006-04-11 Telefonaktiebolaget Lm Ericsson (Publ) Communications node architecture and method for providing control functions in a telecommunications network
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7532614B2 (en) * 2002-09-24 2009-05-12 Siemens Communications, Inc. Methods and apparatus for facilitating remote communication with an IP network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136052A (ja) * 1996-11-01 1998-05-22 Hitachi Ltd IPv4−IPv6通信方法およびIPv4−IPv6変換装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010537604A (ja) * 2007-08-31 2010-12-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルノードの位置更新
JP2012517165A (ja) * 2009-02-05 2012-07-26 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
JP2013504957A (ja) * 2009-09-17 2013-02-07 ゼットティーイー コーポレーション ネットワーク相互通信の実現方法及びシステム
US8724630B2 (en) 2009-09-17 2014-05-13 Zte Corporation Method and system for implementing network intercommunication
JP2013506326A (ja) * 2009-09-25 2013-02-21 中興通訊股▲ふん▼有限公司 ネットワーク間ローミングの実現方法、システム並びに問合せ及びネットワークアタッチメントの方法及びシステム
JP2013526107A (ja) * 2010-04-20 2013-06-20 中興通訊股▲ふん▼有限公司 データメッセージの処理方法、システム及びアクセスサービスノード
KR101381701B1 (ko) 2010-04-20 2014-04-04 지티이 코포레이션 데이터 메시지 처리 방법, 시스템 및 접속 서비스 노드

Also Published As

Publication number Publication date
US20070274312A1 (en) 2007-11-29
DE602004007301T2 (de) 2008-02-28
ATE366017T1 (de) 2007-07-15
ES2287697T3 (es) 2007-12-16
EP1714434B1 (en) 2007-06-27
WO2005081466A1 (en) 2005-09-01
JP4579934B2 (ja) 2010-11-10
US7827313B2 (en) 2010-11-02
CN1938999A (zh) 2007-03-28
CN1938999B (zh) 2010-09-01
EP1714434A1 (en) 2006-10-25
DE602004007301D1 (de) 2007-08-09

Similar Documents

Publication Publication Date Title
JP4579934B2 (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
EP1340337B1 (en) Location-independent packet routing and secure access in a short-range wireless networking environment
EP1578083B1 (en) Virtual private network structure reuse for mobile computing devices
JP4755203B2 (ja) ホスト・アイデンティティ・プロトコルの方法および装置
US7849195B2 (en) Host identity protocol method and apparatus
US7873825B2 (en) Identification method and apparatus for establishing host identity protocol (HIP) connections between legacy and HIP nodes
JP5147995B2 (ja) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
US20120271965A1 (en) Provisioning mobility services to legacy terminals
US7623500B2 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
Jokela et al. Host Identity Protocol: Achieving IPv4 œ IPv6 handovers without tunneling
JP4586721B2 (ja) 通信中にアドレス変更が可能な通信装置、システム及び通信方法
Pierrel et al. A policy system for simultaneous multiaccess with host identity protocol
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
Camarillo et al. Hip bone: host identity protocol (hip) based overlay networking environment (bone)
Komu et al. RFC 5770: Basic Host Identity Protocol (HIP) Extensions for Traversal of Network Address Translators
Nikander et al. Host Identity Protocol (HIP): an overview
Johnston et al. Internet Engineering Task Force (IETF) G. Camarillo Request for Comments: 6079 P. Nikander Category: Experimental J. Hautakorpi
AU2001286799A1 (en) Providing secure network access for short-range wireless computing devices
WO2002021803A2 (en) Providing secure network access for short-range wireless computing devices

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A529

Effective date: 20061010

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100105

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100415

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100806

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100826

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees