JP2008527826A - 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置 - Google Patents

移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置 Download PDF

Info

Publication number
JP2008527826A
JP2008527826A JP2007549981A JP2007549981A JP2008527826A JP 2008527826 A JP2008527826 A JP 2008527826A JP 2007549981 A JP2007549981 A JP 2007549981A JP 2007549981 A JP2007549981 A JP 2007549981A JP 2008527826 A JP2008527826 A JP 2008527826A
Authority
JP
Japan
Prior art keywords
mobile node
mag
tunnel
internal
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007549981A
Other languages
English (en)
Inventor
チョイ、ヴィノー・クマー
バーボー、ミシェル
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2008527826A publication Critical patent/JP2008527826A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

本発明の少なくとも一つの実施形態によれば、同一のドメインに属する一つ以上の移動ノード(MN)が遠隔的に配置される場合でも、このMNに、そしてこのMNからIPアプリケーショントラフィックが機密的に提供されることができる。MN間の通信において、好ましくは、常に一般的に企業環境内(例えば、保護されたイントラネット内)で提供されるのと同等の機密性および保全性レベルを提供することが可能である。一つ以上のMNが本質的に安全であると仮定することができない接続、例えば、インターネットのようなパブリックネットワークまたは安全なイントラネットを離脱したネットワークへの接続を通じて通信中であるとき、安全かつ効率的な通信が提供される。

Description

本発明は、一般的に、モバイルネットワーキング(mobile networking)に関し、より詳細には、一つ以上の移動ノードを含む待ち時間の少ないセキュリティネットワーキングに関する。
本出願は、次の米国仮出願:2005年1月7日に出願された出願番号第60/642,255号、および2005年1月10日に出願された出願番号第60/642,690号に対し、米国特許法第119条(e)項による優先権を主張する。
本出願は、本出願と出願日付が同じである「METHOD AND APPARATUS FOR PROVIDING ROUTE−OPTIMIZED SECURE SESSION CONTINUITY BETWEEN MOBILE NODES」(代理人整理番号1400.1400.1500550)のための出願と関連している。
無線通信の特徴は、固定(つまり、非無線)ネットワークに比べて、無線環境で安全な通信を提供することを難しくする。一方、主に回線交換ボイスネットワーク(circuit−switched voice networks)であった移動通信用グローバルシステム(GSM)、パーソナル・コミュニケーション・システム(PCS)、および符号分割多重接続(CDMA)のような無線ネットワークは、一般的に完全なインターネットアクセスを提供しなかったため、インターネットの通常の弱点のような短所を避けることが可能であった。インターネットプロトコル(IP)マルチメディアサブシステム(IMS)ソリューションおよび関連技術の導入により、データ、音声、およびビデオは、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)および符号分割多重接続2000(CDMA2000;例えば、インターナショナル・モバイル・テレコミュニケーション(IMT)−CDMAマルチキャリア、フェーズ1無線伝送技術(1xRTT)、またはフェーズ3無線伝送技術(3xRTT))を使用するような無線接続を通じてインターネットを経由してアクセス可能である。移動装置は、異種(heterogeneous)の無線アクセスネットワークを用いる多重無線インタフェース等と作業することができる能力を有する。移動加入者も同様に、移動装置、ネットワーク、およびアプリケーションによって制約されないので、「真に移動できる」ようになった。しかし、一般的に個人同士で通信する情報の保護に対する要求は解決されておらず、これが、専用通信(private communication)と公衆通信(public ccommunication)との差異点とも言える。プライバシーは、ネットワークの観点からだけでなく、ピアツーピア(peer−to−peer)通信モデルによっても有用である。
IPアプリケーショントラフィックの機密性(confidentiality)を同一のドメインに属するモバイルユーザに提供することが難しいという問題が存在する。これまでに抱えてきた一つの課題は、好ましくは、常に移動ノード(MN)(または、MNと一つ以上の固定ノード)の間の通信において、固定イントラネット(例えば、固定された企業環境または固定された家庭環境)内で提供されるものと同等の機密性および保全性(integrity)レベルを保障することであった。
機密性および移動性の目標は、適切に実現されていなかった。一方、インターネット鍵交換(IKE)プロトコルが仮想プライベートネットワーク(VPN)のトンネルのためのセキュリティアソシエーション(SA)を取り決めるのに使用することができる。一方、モバイルIP(MIP)プロトコルは、IPノードの移動性を支援するのに使用することができる。共に使用する場合、次のような問題:VPNトンネル(VPN T)のSAが、トンネルの終端点毎に一つずつ、2つのIPアドレスに関わるという不具合が発生する。MNは、一般的に、それの地理的位置と関わりを持つ二重識別情報(dual identity)(パーマネントホームアドレス(HoA)および一時気付アドレス(temporary care−of address)(CoA))を有する。HoAは、VPNトンネルの一終端点を識別するのに使用される。HoAから、トラフィックはMNの現在位置にリダイレクトされ得る。CoAがVPNトンネルの終端点として使用される場合、CoAが変更される度に、SAを更新するためのメカニズムを提供しなければならない。
セキュア・ユニバーサル・モビリティ(SUM)と呼ばれるアーキテクチャは、機密性と移動性を同時に図るようにしている。3つの別の領域が定義される。その第1の領域は、ファイアウォールにより保護される安全な領域であるイントラネットである。第2の領域は、相対的に制御が弱い他のファイアウォールを通じてイントラネット外部でアクセス可能な非武装地帯(de−militarized zone)(DMZ)である。第3の領域は、元々安全でないものと推定されることもあるパブリックインターネット(public internet)である。SUMは、MIPに基づいている。各MNは、2つのHoA、内部HoA(i−HoA)および外部HoA(x−HoA)を有する。i−HoAは、イントラネットのプライベートアドレス空間での識別情報として使用される。x−HoAは、インターネットのパブリックアドレス空間での識別情報として使用される。2種のホームエージェント(HA)、つまり、内部HA(i−HA)および外部HA(x−HA)が存在する。i−HAは、イントラネットの移動性を図り、内部CoA(i−CoA)を内部HoA(i−HoA)バインディング(bindings)まで追跡する。x−HAは、外部の移動性を図り、外部CoA(x−CoA)を外部HoA(x−HoA)バインディングまで追跡する。x−HAは、DMZに配置されている。イントラネットとDMZとをブリッジするVPNゲートウェイ(VPN GW)が存在する。MNがインターネットに位置する間に、データトラフィックの機密性および保全性は、IPセキュリティ(IPSec)トンネルを使用して提供されるが、IPSecトンネルの終端点は、VPN GWのパブリックアドレスおよびMNのx−HoAである。
全部で3つのトンネルが確立され、外部ネットワークを訪問中のMNへのイントラネットプライベートアクセス(intranet private access)を提供する。x−CoAを取得することに伴って、MNはx−HAにx−CoAを登録することで、x−HoAをx−CoAとバインディングする。これにより、終端点がx−HAのアドレスおよびMNのx−CoAであるMIPトンネルが確立される。その後、MNは、それのx−HoAを使用して、VPN GWとのIPSecトンネルの確立を開始する。このようにして専用イントラネットにMNへのエントリが生成される。次に、MNは、MNのi−HoAと対をなすVPN GWのイントラネットアドレスからなるバインディングを登録する。これにより、i−HAとVPN GWの間にMIPタイプの第3のトンネルが生成される。
MNが宛先であるイントラネットトラフィックは、i−HAによってインターセプトされた(intercepted)後、VPN GWにトンネリング(tunneling)される。後者は、VPNトンネルを使用して、トラフィックをMNのx−HoAに安全にリダイレクトする。トラフィックは、x−HAによりインターセプトされた後、MNの現在位置にトンネリングされる。
SAがx−CoAにバインディングされると、MNによって新しいx−CoAが取得される度に、SAの再取り決めを行わなければならない。設定時間は、次のように、4つの往復時間(RTT)の最小値を必要とするが、その1つのRTTは、内部登録のためのものであり、2つのRTTの最小値は(IKEプロトコルの使用を仮定する場合)、IPSecトンネルの確立のためのものであり、1つのRTTは、外部登録のためのものである。MNが宛先であるイントラネットトラフィックは、2つのHAを通過する。このようなアプローチによれば、三角形ネットワークトポロジーを数回トラバース(traversing)することから発生するネットワーク待ち時間の4つのRTTを意味する二重三角形ルーティング(double triangle routing)の問題が発生するようになる。
外部ネットワークを訪問する間、対応(correspondent)ノード(CN)からMNへのトラフィックは、まず、内部ホームネットワークに伝達される。このホームネットワークで、i−HAは、MNが離脱していることを認知する。i−HAは、MNが宛先であるトラフィックをインターセプトし、それをMNの現在位置にトンネリングする。これによって、MNが宛先であるトラフィックでは、二重のネットワーク待ち時間が発生する。
上記では、2つのMNが共にイントラネット(例えば、保護されているサブネットワーク)から離脱している場合、それらが互いに通信するときの条件について適切に扱っていない。なお、上記説明では、一つのMNのみが離脱している場合の条件における所定の欠陥を提示している。また、上記説明では、待ち時間の少ない接続を支援するために最適化されたパスを提供することができない。待ち時間(および待ち時間変動)は、性能を悪化させるおそれがある。
従って、一つ以上のMNが本来安全であると当然仮定することができない接続を通じて通信中である場合、安全かつ効率的な通信を許容するための方法および装置が必要である。
本発明は、添付図面を参照することにより一層理解を深めることができ、本発明の特徴は当業者に明らである。
図面は、類似した部分および同一の項目については同一の参照符号を付けている。
本発明の少なくとも一つの実施形態によれば、同一のドメインに属する一つ以上のMNが、インターネットのようなパブリックネットワークへの、および/または、パブリックネットワークからの制御アクセスを提供するイントラネットのような企業または保護ドメインから離脱している場合でも、IPアプリケーショントラフィックがこのMNに、そして、このMNから機密的に提供されることができる。好ましくは、常にMNの間の通信において、通常の企業環境内(例えば、保護された(secured)イントラネット内)で提供されるのと同様のレベルの機密性および保全性を提供することが可能であり、このような機密性および保全性は、企業、家庭、学校、政府、非営利組織、または、その他の任意のタイプのネットワークのために提供されることも可能である。一つ以上のMNが本質的に安全であると仮定することができない接続、例えば、インターネットのようなパブリックネットワーク、または、保護されたイントラネットを離脱したネットワークへの接続を通じて通信中である場合、安全かつ効率的な通信が提供される。
本発明の少なくとも一つの実施形態は、IPセキュリティ(IPSec)に基づく技術のようなVPN技術を使用することにより、ピアツーピア・モバイルの間で安全な接続を提供するように実現することもできる。ルート最適化(route−optimization)(RO)技術とともにモバイルIP(MIP)に適合するように実現することもできる移動性管理(mobility management)が提供される。本発明の少なくとも一つの実施形態によれば、実時間トラフィックの待ち時間が、IPSecおよびMIPトンネルのようなトンネルをトラバーシングするとき減少することもある。
MNがイントラネットネットワークおよびパブリックネットワークの間をトラバースするとき、MNの間で安全かつシームレスなセッションの連続性を提供するためのメカニズムが開示される。VPNトンネルのルーティングは最適化され、ハンドオフ以降のIPSecセキュリティアソシエーション(IPSec SA)の再取り決めは防止される。これによって、三角形ルーティングが防止される。
図1は、本発明の少なくとも一つの実施形態による装置を例示するブロック図である。この装置は、イントラネット101、第1の移動ノード(MN1)103および/または第2の移動ノード(MN2)104、および、MN1 103および/またはMN2 104をイントラネット101にカップリングする外部ネットワーク102を有する。好ましくは、イントラネット101は、モバイルアウェア・ゲートウェイ(mobile−aware gateway)(MAG)105、第1の内部ホームエージェント(i−HA1)108および/または第2のホームエージェント(i−HA2)109、および対応ノード(CN)110を有する。好ましくは、MAG105は、第1の外部ホームエージェント(x−HA1)106および/または第2の外部ホームエージェント(x−HA2)107を有する。
MN1 103は、ネットワーク接続111を介して外部ネットワーク102にカップリングされる。MN2 104は、ネットワーク接続112を介して外部ネットワーク102にカップリングされる。MAG105は、例えば、外部ネットワーク102およびネットワーク接続111を介してMN1 103にカップリングされることもできるネットワーク接続113を介して、そして/または、外部ネットワーク102およびネットワーク接続112を介してMN2 104にカップリングされることもできるネットワーク接続114を介して外部ネットワーク102にカップリングされる。本発明の少なくとも一つの実施形態による外部ネットワーク102の一例はインターネットであるが、これは、イントラネット101以外の他のイントラネットのみならず、その他の有線ネットワークおよび/または、セルラ無線ネットワークなどの無線ネットワークのようなインターネットへのアクセスを提供することができる他のネットワークを含むこともできる。
x−HA1 106は、イントラネット接続115を介してi−HA1 108にカップリングされる。x−HA2 107は、イントラネット接続116を介してi−HA2 109にカップリングされる。i−HA1 108は、イントラネット接続117を介してCN110にカップリングされる。i−HA2 109は、イントラネット接続118を介してCN110にカップリングされる。好ましくは、x−HA1 106は、イントラネット接続119を介してCN110にカップリングされることもでき、x−HA2 107は、イントラネット接続120を介してCN110にカップリングされることができる。好ましくは、x−HA1 106は、MAG105内で実現されるのが好ましい接続121を介してx−HA1 107にカップリングされることができる。
図2は、本発明の少なくとも一つの実施形態によるMAG105を例示するブロック図である。好ましくは、MAG105は、プロセッサ201およびメモリ202を有する。プロセッサ201は、接続203を介してメモリ202にカップリングされる。好ましくは、プロセッサ201は、ネットワーク接続113および114のうちの一つ以上の接続を介して外部ネットワーク102にカップリングされる。好ましくは、プロセッサ201は、イントラネット接続115、116、119、および120のうちの一つ以上の接続を介してイントラネット101またはそれに関わるエレメントにカップリングされる。プロセッシングモジュールは、単一のプロセッシングデバイスまたは複数のプロセッシングデバイスであることができる。このようなプロセッシングデバイスは、マイクロプロセッサ、マイクロコンピュータ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、中央演算プロセッシング装置(CPU)、状態機械、論理回路、および/または演算コマンドに基づいて信号(アナログまたはデジタル)を操作する任意のデバイスであることも可能である。メモリは、単一のメモリデバイスまたは複数のメモリデバイスであることもできる。このようなメモリデバイスは、読み取り専用メモリ、ランダムアクセスメモリ(RAM)、磁気テープメモリ、フロッピーディスクメモリ、ハードディスクメモリ、DVDメモリ、CDメモリ、および/または、演算および/またはプログラミングコマンド等を格納する任意のデバイスであることもできる。プロセッシングモジュールが状態機械または論理回路を介して通じて一つ以上のファンクションを実現する場合、対応する演算コマンドを格納するメモリは、状態機械および/または論理回路を有する回路に組み込まれることに注意されたい。メモリに格納されてプロセッシングモジュールにより実施される演算コマンドについて、次の図3〜図11を参照して詳細に説明する。
イントラネットへアクセスするように意図された2つのMN、例えば、MN1およびMN2が付与される場合、いくつかのシナリオが存在する。その一つの可能性は、MN1およびMN2が共にイントラネット(例えば、企業ネットワーク)に位置する場合である。また他の可能性は、MN1はイントラネット内に位置し、MN2はイントラネットを離脱する場合である。また他の可能性は、MN1およびMN2の両方がイントラネットを離脱する場合である。
両MNがイントラネット内で直接接続されている場合、プライベートドメイン内のMN間の通信は、ファイアウォール、ネットワークアドレス変換(NAT)技術、および、侵入検出メカニズムや侵入防止メカニズムにより保護される。イントラネット内での移動性は、MIPを用いて支援され得る。
1つのMNがイントラネットを離脱する場合には、訪問した(つまり外部)ネットワークのMNからVPNゲートウェイ(VPN−GW)を経由してイントラネットに至るIPsecトンネルを使用してセキュリティ通信を提供することができる一方、MIPを使用して移動性を支援することができる。問題は、MNによりネットワーク−階層(network−layer)のハンドオフが行われる度に、IPSec SAの再取り決めが発生しないことを保障することである。本発明の少なくとも一つの実施形態によれば、このような問題を解決できるとともに、経路最適化(RO)を介して減少した待ち時間等のような他の効果も得ることができる。
複数のMNがイントラネットを離脱するシナリオは、イントラネットを離脱した1つのMNの多重インスタンスとして扱うことができるが、このようなアプローチが複数のMN間で必ず経路最適化および待ち時間の少ない通信を提供するものではない。本発明の少なくとも一つの実施形態によれば、このような仕様を提供することも可能である。
本発明の少なくとも一つの実施形態は、1つのMNがイントラネットを離脱した場合、または、複数のMNがイントラネットを離脱した場合、安全かつ効率的な通信を提供する。イントラネットの存在が本発明の実施形態の実現のための必要条件ではなく、他のイントラネットエレメントの不在時にMAGを使用して、どこでも配置された複数ノード間の安全かつ効率的な通信を提供することができることに注意されたい。このような理解は、ここで、MNに対する参照がイントラネットに関連して行われる度に考慮されなければならない。本発明の少なくとも一つの実施形態は、Duttaらが説明したセキュアユニバーサルモビリティ(SUM)アーキテクチャの仕様により実現されることもできる(A.Dutta,T.Zhang,S.Madhani,K.Taniuchi,K.Fujimoto,Y.Katsube,Y.Ohba,and H.Schulzrinne,“Secure Universal Mobility for Wireless Internet”,First ACM International Workshop on wireless Mobile Applications and Services on WLAN Spots(WMASH),Philadelphia,pp.71−80 October 2004)。1つのMNがイントラネットを離脱した場合、SUMは、二重三角形ルーティングの問題を抱えるようになる。本発明の少なくとも一つの実施形態は、適合したMIP経路最適化技術をSUMアーキテクチャで統合することにより該問題点を解消する。
複数のMNがイントラネットを離脱した場合には、ある程度の最適化を実現するため、移動性およびVPN管理が調整されることが有用な場合もある。従って、VPN−GWおよび外部ホームエージェント(x−HA)の役目は、モバイルアウェアVPNゲートウェイ(MAG)と呼ばれる単一の実体に統合されることが好ましい。このような統合は、MAGがVPN機能などとともに移動性管理を行うことを可能とする。MAG機能性を実現することができる一つの方式は、MAGを2つのMNの間の通信に完全に関与させることである。要するに、MAGは、VPNトンネルおよびMIPトンネルの設定および演算に関わる。MAG機能性を実現することができる他の方式は、第1の最適化として、MAGが鍵分配およびトンネル設定には関与するが、MAGの活動が継続する必要がなく通信を許可することである。完全なMAGが関与する第1の方式と異なり、ユーザトラフィックは、経路最適化されたパスに沿って移動する。
本発明の少なくとも一つの実施形態によれば、VPN−GWおよびx−HAが、モバイルアウェアVPNゲートウェイ(MAG)である単一のデバイスに組合されることもできる。図3においては、別々にx−HAおよびMAGが図示されているが、図4においては、MN−対−MNの場合(MN−to−MN case)およびMNの間でエンドツーエンド(end−to−end)のセキュアトンネルが確立される場合の両方に対して、組合されたMAGが図示されることに注意されたい。別々のx−HAおよびMAGは、本発明が、Duttaらによって説明されたSUMアーキテクチャのコンテキストで実現することができることを示すために図示される。x−HAおよびMAGを別々に実現することもできるが、x−HA機能性をMAG内に実現することによって利点が得られることも理解しなければならない。
移動ノード(MN)が保護されるイントラネットの外に移動する場合、MNとの通信を保持したり、確立するためのいくつかのステップを実施することもできる。第1ステップでは、外部ホームエージェント(x−HA)へのMIP登録が発生する。MNは、それのx−CoAを、内部にx−HA機能性が実現されていることが好ましいMAGに登録する。これは、MAGと移動ノードのx−CoAの間に外部MIP(x−MIPT)トンネル(x−MIP T)を設定する。第2ステップの第1の態様によれば、安全なVPNが確立される。IKEを使用する場合、MNは、x−HoAをMAGとのトンネル終端点のうちの一つとして使用してIPSec SAを取り決めるが、他の終端点は、MAGのアドレスである。第2ステップの第2の態様によれば、内部ホームエージェント(i−HA)へのMIP登録が発生する。一旦、第2ステップによりVPNトンネルが確立されると、MNはMAGのプライベートアドレスをMNのi−CoAとして使用してi−HAに登録する。これにより、i−HAとMAGの間に内部MIP(i−MIP)トンネル(i−MIP T)が確立される。第2ステップで発生するモバイルIPシグナリングは、MNとMAGの間に確立されたセキュアVPNトンネルを使用して行われる。
MNからCNへのユーザトラフィックのために、MNのプライベートアドレス(i−HoA)を、宛先アドレスとしてのCNの内部(プライベート)アドレス(i−CN)に対する送信元アドレスとして使用してMNにより送信されるトラフィックは、まずIPSec SAにより暗号化および保全性保護を受ける。次に、保護されたトラフィックは、MNのx−HoAを使用するx−MIP T−1を使用してMAGにトンネリングされる。MAGは、データグラムをデカプセレーション(decapsulation)する。その後、MAGは、トラフィックの保全性を検査するだけでなく、データグラムを復号化する。次いで、データグラムは、i−CNに転送(forward)される。
CNからMNへのトラフィックのために、CNの内部アドレス(i−CN)を、宛先としてのMNのプライベートアドレス(i−HoA)に対する送信元アドレスとして使用し、CNにより送信されるユーザトラフィックは、i−HAによりインターセプトされ、i−MIP T−1を介してMAGにトンネリングされる。次に、MAGはテーブルを参照してi−HoAを適合したMNのx−HoAに分解する。IPSec SA毎にデータグラムに暗号化および保全性の検査が施される。次に、パケットは、MNのx−HoAアドレスにトンネリングされる。次に、MAGのHAコンポーネントは、パケットをインターセプトし、保護されたデータグラムをMNのx−CoAにトンネリングする。MNは、パケットの受信時、データグラムをデカプセレーションし、パケットの保全性を検査し、特定アプリケーションにより処理される内容を復号化する。
SUMアーキテクチャでは、外部ネットワークを訪問中であるMNへの安全なネットワーク接続を提供するため、2つのMIPトンネルが使用される。CNからのトラフィックは、MNに到逹する前にi−HAを通過した後、x−HAを通過する。本発明の少なくとも一つの実施形態によれば、経路最適化技術を用いて、MIP三角形ルーティングおよび長期間にわたる待ち時間のような、それと関連する不具合を防止する。
本発明の少なくとも一つの実施形態によれば、i−HAは、MNが宛先であるi−CN(i−HoA)からのMNのためのパケットをインターセプトしたとき、i−CNにはMNがそれのホームネットワークを離脱したことを通知し、CNにはMAGを経由してMNに到逹するためのより短いパスが存在することを通知する。このような通信は、PerkinsおよびJohnsonにより定義された経路最適化メッセージを使用して行われることが好ましい(C.Perkins,D.Johnson,Route Optimization in Mobile IP,Internet Draft,2001)。次に、i−CNはi−HoAが宛先であるユーザトラフィックを、ユーザトラフィックをMAGに転送するi−HAに送信する代わり、MAGに直接転送する。これにより、CNとMAG間の三角形ルーティングが防止され、これによって、パケットが相対的に速く受信される。
i−HAは、i−HoAが宛先であるパケットのインターセプトのときに、MAGの内部アドレスを含むi−CNにバインディングアップデートメッセージを送信する。その後、i−CNは、MAGの内部アドレスと対をなすi−HoAのためのバインディングエントリを生成し、これによって、i−HoAが宛先であるパケットがMAGにトンネリングされる。これは、パケットをMN1の内部ホームネットワークに送信する代りに行われる場合もある。次に、i−CNは、i−MIP経路最適化(i−MIP−RO)トンネル(i−MIP−RO T)を用いてユーザパケットを直接MAGに転送する。MIP経路最適化を支援することができるi−CNおよびMAGの能力は、i−CNおよびMAGに経路最適化メッセージを用いることができる能力を実現することによって提供される。
図3は、本発明の少なくとも一つの実施形態による、MN103/104およびCN110を含むエレメント間の接続を例示する図である。同図は、CN110、i−HA108または109、MAG105、x−HA106または107、およびMN103または104を含むエレメントを示す垂直線を含む。他の方法で示される前記エレメントの関係は、それぞれ理解のためのものである。従って、図1に示されるようなエレメントの接続により例示されるように、i−HA108は、MN103に関わるx−HA106と関連し、i−HA109は、MN104に関わるx−HA107と関連している。CN110、i−HA108または109、およびMAG105は、イントラネット101内に存在することが好ましい。図面は、エレメント間の通信を示す水平線を含む。
第1に、第1外部モバイル・インターネット・プロトコル・トンネル(x−MIP T−1)301がMN103または104とx−HA106または107の間に確立される。外部気付アドレス(x−CoA)を確立するための外部モバイル・インターネット・プロトコル(x−MIP)登録要請302がMN103または104からx−HA106または107に通信される。外部気付アドレス(x−CoA)を確立するためのx−MIP登録応答303が、x−HA106または107からMN103または104に通信される。
第2に、VPNトンネル304がx−MIP T−1 301に沿ってMN103または104とMAG105との間に確立される。インターネット鍵交換(IKE)取り決め、インターネット・プロトコル・セキュリティ(IPSec)セキュリティアソシエーション(SA)生成、およびアドレス割り当てのような、VPNトンネル304を確立するための通信が、MN103または104からMAG105への通信305およびMAG105からMN103または104への通信306によって発生する。
第3に、第1のモバイル・インターネット・プロトコル・トンネル(i−MIP T−1)307がMAG105とi−HA108または109の間に確立され、インターネットプロトコル(IP)接続308が、第1のi−MIP T−1 307、VPNトンネル304、およびx−MIP T−1 301に沿ってMN103または104と対応ノード(CN)110の間に確立される。内部モバイル・インターネット・プロトコル(i−MIP)登録要請309がMN103または104からi−HA108または109に通信される。i−MIP登録応答310がi−HA108または109からMN103または104に通信される。
第4に、経路最適化が行われて三角形ルーティングを防止する。x−MIP T−1 301は、MN103または104とMAG105の間のx−MIP経路最適化トンネル(x−MIP−RO T−1)311と交換される。x−CoAを変更するための経路最適化(RO)バインディングアップデート313がx−HA106または107からMAG105に通信される。x−CoAを変更するためのROバインディング肯定応答314がMAG105からx−HA106または107に通信される。i−MIP T−1 307は、MAG105とCN110の間のi−MIP−RO T−1 312と交換される。ROバインディングアップデート315がi−HA108または109からCN110に通信される。ROバインディング肯定応答316がCN110からi−HA108または109に通信される。このように、MN103または104とCN110の間の通信がMN103または104とMAG105の間のx−MIP−RO T−1 311、および、MAG105とCN110の間のi−MIP−RO T−1 312を通じて発生することができる。
図5は、本発明の少なくとも一つの実施形態によるMNとCNの間の通信を含む方法を例示するフローチャートである。ステップ501では、第1の移動ノードと第1の外部ホームエージェントの間に第1の外部通信トンネルが確立される。ステップ502では、第1の移動ノードとセキュリティゲートウェイ(例えば、MAG)の間に第1の外部セキュアトンネル(external secure tunnel)が確立される。セキュリティゲートウェイは、イントラネットとMAGにカップリングされた外部ネットワーク(例えば、インターネットのようなパブリックネットワーク)の間の通信を制御するセキュリティ政策を実現することによってイントラネットの境界を確立することができる(つまり、イントラネットは、セキュリティゲートウェイにより境界が決まる)。ステップ503では、第1の外部セキュアトンネル、および/または、第1の外部通信トンネルを経由して、第1のセキュリティゲートウェイと第1の内部ホームエージェントの間に第1の内部通信トンネルが確立される。ステップ504では、第1の内部通信トンネルを経由して第1の移動ノードと対応ノードの間にユーザデータのための第1のパスが確立される。
ステップ505では、第1の外部通信トンネルが交換され、第1の移動ノードとセキュリティゲートウェイ(例えば、MAG105)の間の経路最適化された第1の外部通信トンネルを形成する。ステップ506では、第1の内部通信トンネルが交換されてセキュリティゲートウェイ(例えば、MAG105)と対応ノードの間の経路最適化された第1の内部通信トンネルを形成する。ステップ507では、第1のパスが、経路最適化された第1の内部通信トンネルを経由するユーザデータに使用され、移動ノードと対応ノードの間でユーザデータを通信する。
図6は、本発明の少なくとも一つの実施形態による図5のステップ501を実施する方法を例示するフローチャートである。ステップ601では、第1の外部気付アドレス登録要請が第1の移動ノードから第1の外部ホームエージェントに通信される。ステップ602では、第1の外部気付アドレス登録応答が第1の外部ホームエージェントから第1の移動ノードに通信される。
図7は、本発明の少なくとも一つの実施形態による、図5のステップ503を実施する方法を示したフローチャートである。ステップ701では、第1の内部気付アドレス登録要請が第1の移動ノードから第1の内部ホームエージェントに通信される。ステップ702では、第1の内部CoA登録応答が第1の内部ホームエージェントから第1の移動ノードに通信される。
図8は、本発明の少なくとも一つの実施形態による図5のステップ506を実施する方法を例示したフローチャートである。ステップ801で、第1の内部経路最適化バインディングアップデートが第1の内部ホームエージェントから対応ノードに通信される。ステップ802では、第1の内部経路最適化バインディング肯定応答が対応ノードから第1の内部ホームエージェントに通信される。
図9は、本発明の少なくとも一つの実施形態による図5のステップ502を実施する方法を例示したフローチャートである。ステップ901で、セキュリティゲートウェイと第1の移動ノードの間でセキュリティ能力が交換され、鍵が誘導される。ステップ902で、第1の外部セキュアトンネルのための第1の外部セキュリティアソシエーションが生成される。
図10は、本発明の少なくとも一つの実施形態による図5のステップ505を実施する方法を例示したフローチャートである。ステップ1001で、第1の外部経路最適化バインディングアップデートが第1の外部ホームエージェントからセキュリティゲートウェイに通信される。ステップ1002では、第1の外部経路最適化バインディング肯定応答がセキュリティゲートウェイから第1の外部ホームエージェントに通信される。
今まで適切に扱われなかったもう一つの問題は、イントラネットを離脱して外部ネットワーク(例えば、インターネット)に常駐するMN間の信頼可能で、安全かつ効率的な通信に関する問題である。互いに通信中のMNが共にセキュリティイントラネットを離脱した場合に対して適切に対処するための解決法は、これまでに適切に提供されなかったため、通信中のMNが、通信中のMNが宛先であるデータのパケットをイントラネット環境の機密性レベルと同等の機密性レベルとして受信し、同等のアクセス性のレベルを有することが保障されなかった。
2つの通信中であるモバイルのうちの一つもまた、イントラネットの外に移動しようとする場合(イントラネット内部に配置されてイントラネットの外に位置したMN1と通信中であるMN2もまた、これからイントラネットの外に移動する場合、要するに、これからMNの全部がイントラネットを離脱する場合)は、上記のようなアプローチは、2つの別々のVPN、外部MIPおよび内部MIPトンネルが設定される必要性があるので、追加のシグノルリングおよびオーバーヘッドが期待される。要求される処理オーバーヘッドだけでなく、待ち時間も減少させるための一方法は、MAGがMNへトンネルをブリッジする方法である。処理オーバーヘッドをより大幅に減少させ、そして/または、待ち時間をさらに減少させるためには、(MN1からMAGまで、そしてMN2からMAGまでの)2つの別々のVPNトンネルが単一のエンドツーエンドVPNトンネルで合わせられることが好ましい。
2つのMNが共にイントラネット(例えば、保護されたサブネットワーク)から離脱した状態で2つのMNが互いに通信するときの条件については、これまでに適切に開示されていなかった。以下では、イントラネットを離脱した2つのMN間の安全な通信を望む場合の条件に関する方法および装置を開示する。これは、VPN−GWとx−HAを、モビリティアウェア(Mobility−Aware)VPNゲートウェイ(MAG)と呼ばれる単一の実体に組み合わせることによって実現される。MAGは、MNの間の安全な接続を容易にするために2つの別々のVPNトンネルおよび2つの別々のMIPトンネルをブリッジする。
2つのMNがイントラネットを離脱し、それらの間の通信を望む場合には、いくつかのステップを行うことが可能である。第1に、MNは、x−HAへの(例えば、x−HA機能性を提供するMAGへの)MIP登録を行う。第2に、MNは、MAGへのセキュアVPNトンネルを確立する。第3に、MNは、それらの個々のi−HAへのMIP登録を行う。このようなステップは、イントラネットを離脱したMNにより行われ、イントラネット内部のノードとの、または同様に登録された他のMNとの安全な通信を容易にする。MN1およびMN2が上記ステップを行うとき、MN1およびMN2は、図4のx−MIP T−1 401、i−MIP T−1 402、x−MIP T−2 407、およびi−MIP T−2 408を確立することができる。i−MIP−RO T−2 413は、x−MIP T−2 407とともに、1つのMNとイントラネットの間の安全な通信を確立するために言及された、例えば、図5乃至図10を参照して説明したステップにより得ることができる。
表1は、MAGにより保有される情報の構造を反映するサンプルエントリを含む例示的表である。

Figure 2008527826
 バインディングテーブルの一例
バインディングテーブルのエントリのアップデートはMAGで行われるが:MAGが保有する表は、各MNがMAGと形成する接続を反映するように更新される。
上記の第1のステップが行われるとき、MN識別子(MN id)、x−HoA値、およびX−CoA値が表に入力される。上記の第2のステップ以降は、そのx−HoAおよびi−HoAアドレスが表とマッチングする特定MNに対する指示毎に、セキュリティアソシエーション識別子(SAiD)が追加される。SAiDto−MNは、MAGからMNへのトラフィックのために取り決められるIPSec SAのための識別子である一方、SAiDfrom−MNは、MNからMAGへのトラフィックのためのIPSec SAである。好ましくは、表は、x−HoAをi−HoAにマッピングするエントリを有することに注意されたい。x−CoAおよびSAiDに対する値は、第1および第2のステップの以降に入力されることも可能である。上記の第3ステップがMAGに保有された表に影響を及ぼす必要は全くない。非空白(non−empty)x−CoAフィールドのエントリはMAGに、モバイルがイントラネットを離脱したことを通知する。
本発明の少なくとも一つの実施形態によれば、この拡張部分と関連して議論されたように、i−HoAが宛先であるパケットがMAGにより受信される場合、MAGは、i−HoAが対応するx−CoA値と対をなすかどうかを確かめるために検査する。特定i−HoAのためのx−CoA値が存在する場合には、MAGは、それのプライベートアドレスが、i−HoAであるMNがイントラネットを離脱していると判定する。従って、MAGは、それが宛先であるパケットがイントラネットに転送される必要がないことを認識する。MN1からMN2へのトラフィックの流れの例を以下に述べる。
第1に、MN1は、MN1の内部送信元アドレスであるi−HoA1を使用して、パケットをi−HoA2(MN2の内部アドレス)に送信する。第2に、(パケットが内部送信元および宛先アドレスを有するので)MN1のVPNアプリケーションが呼び出される。パケットは、ステップ(暗号化、保全性値の計算等)を通過し、MAGと取り決められたIPSec SAに従う。その後、パケットは、x−HoAを送信元アドレスとして使用するIPヘッダーでエンカプセレーションされる。MAGのパブリックアドレスを宛先アドレスとして有する、MN1とMAGの間のX−MlP T−1による安全なトンネルがパケットを移送(transport)するのに使用される。
第3に、MN1のMIPクライアントアプリケーションは、セキュアパケットをx−CoA1を送信元アドレスとして使用する他のIPヘッダーでエンカプセレーションする。MAGのパブリックアドレスを宛先アドレスとして有するx−MIP T−1トンネルがMIPパケットを移送するのに使用される。これにより、新しいIPヘッダーの宛先アドレスは、MAGのパブリックアドレスである。(注:本来のパケットは、好ましくは、少なくとも3つのIPヘッダーを有する。)
最外郭ヘッダー(outermost header)の宛先がMAGであるので、MAGがパケットを受信する第1番目であって、MIPヘッダーを処理し、ヘッダーを破棄する。その後、MAGは、適合したIPSec SAに従うために、内部ヘッダーおよびパケットを検査する。IPSec SAは、送信元のMN(この場合、i−HoA1)のための表1からの適合したSAiDfrom−MN値(1388)を使用してMAGにより取得される。SAiDfrom−MN値は、MAGにより保有されるセキュリティ・アソシエーション・データベース(Security Association Database)からSAを引き出すのに使用される。
パケットが、保全性検査および暗号化のために合意されたIPSec SAを満たす場合、MAGはIPSecヘッダーを破棄した後、最も内側のヘッダーを処理する。パケットの宛先アドレスがi−HoA2の宛先アドレスであるので、MAGは表でi−HoA2のためのエントリを捜し、x−CoA2に対して有効なエントリが存在するかどうかを検査する。
対応するx−CoA2が存在する場合、それはi−HoA2もまた企業ネットワークを離脱したことを意味する。次に、SAiDto−MNがIPSec SAを取得するのに使用され、それがパケットに適用される。i−HoA2のためのSAiDto−MNは2076である。SAiDto−MNはSAを引き出すのに使用され、必要なセキュリティ機能がパケットに適用される。新しいIPヘッダーが、送信元アドレスはMAGアドレスであり、宛先アドレスはx−HoA2アドレスであるように付加される。MAGとMN2の間の安全なトンネルがパケットを移送するのに使用される。その後、セキュアパケットは、送信元アドレスはMAGのアドレスであり、宛先アドレスはx−CoA2である他のIPヘッダー(例えば、MIPヘッダー)を使用するX−MIP−T2を使用してトンネリングされる。
本発明の少なくとも一つの実施形態により、好ましくは、いくつかの特徴を提供することができる。一例として、パケットをイントラネットで送信するかどうかに関する判定は、MAG自体で行われることもできるので、大きな待ち時間だけでなく、高いパケットオーバーヘッドをもたらす、MNがイントラネットを離脱したと判定する前にパケットが常にi−HAに移動しなければならないという非効率性を防止する。また、他の例として、イントラネットを離脱した場合にも相互通信しようとするMNは、少ない待ち時間で、安全かつ効率的に互いに通信することができる。
複数のMNの間で安全な通信を提供することが有益ではあるが、2つの互いに異なるIPSec SAに従うために同一のユーザトラフィックを復号化および再暗号化しなければならないという点で、MAGには一定量のオーバーヘッドが存在することもある。このようなオーバーヘッドは、互いに通信するように意図されたMNの間でエンドツーエンド(例えば、ピアツーピア)VPN接続を生成することにより減少することがある。新しいIPSec SA取り決めのため、既に確立されたVPNトンネルを用いて通信中のモバイルの間に新しいVPN接続が確立される。
MN1がイントラネットを対象としたデータグラムを送信するとき、MN1のVPNクライアントプロセスは、VPNヘッダーを暗号化して追加する。その後、MIPクライアントはMIPヘッダーを追加し、データグラムをMAGに転送する。一旦、パケットがデカプセレーションおよび復号化されると、MAGは、MN2がイントラネット内部に位置するかどうかを確かめるために検査する。MN2がイントラネットを離脱した場合には、MAGはローミングデータベースを参照し、x−HoAを判定し、適合したIPSec SAを適用する。次に、HA実体は、x−CoA1へのデータグラムをエンカプセレーションする。
MAGにおけるパケットの復号化および再暗号化と関連するオーバーヘッドを減少させるため、以下に述べるように、いくつかのステップを実施することができる。第1に、MAGは、通信中の両モバイルが共有する鍵を誘導する。その後、MAGにより両方のMNに送信される共有鍵は、MNにより2つのMNの間のIKEおよびIPSec SAを取り決めるのに使用され、MAGに依存しないで、直接2つのMNの間に新しいエンドツーエンドのセキュアVPNトンネルを生成することができる。第2に、MAGは経路最適化メッセージをデータグラムの送信元および宛先の両方に送信する。経路最適化メッセージは、鍵分配の一部として抱き合わせにする(piggybacking)ことができる。第3に、MN2のためのMN1からのデータグラムが、エンドツーエンドのセキュアトンネルを使用して送信され、MN2のx−CoA2へのx−MIP T−3を使用してエンカプセレーションされる。イントラネット内部のノードを対象としたMN1からの他のデータグラムは、x−MIP T−1およびx−MIP T−1に沿って存在するVPNトンネルを使用する。
本発明の少なくとも一つの実施形態によるMN間でエンドツーエンドVPNトンネルを提供するいくつかの態様は、少なくとも一部の状況で有用である。第1に、MAGがSAに従うために復号化し、再暗号化するのが不要である。第2に、確立されるトンネルは、一般的に、三角形ルーティングを防止する、可能な最短パス(the shortest path possible)である。第3に、MNによる移動(例えば、x−CoAアドレスの変更)の場合、トラフィックのルーティングの更新が往復時間の半分(1/2RTT)で行われることがあるので、実時間アプリケーションのため許容される待ち時間を大幅には増加させない。
本発明の少なくとも一つの実施形態によれば、MN1とMN2の間のエンドツーエンドVPNトンネルおよびMN1とMN2の間の対応するエンドツーエンドMIP経路最適化トンネルが生成される。別々のVPNトンネルおよびMIPトンネルにおける向上は、経路最適化されたパスがトラバースされることだけでなく、パケットがMAGで復号化および再暗号化される必要がないということである。他の利点は、新しいSAおよびMIPトンネルを生成するためのシグナリングメッセージが、既に確立されたセキュアVPNトンネルを通じて移送されることである。
また、2つのMN間の通信は経路最適化され、これによって、MAGで終結されずに、MN1とMN2の間で新しいMIPトンネルx−MIP−RO T−3が実行される。このような最適化は、MAGからMNの各々に至るセキュアトンネルが存在することを認知しているので、経路最適化されたエンドツーエンドのセキュアトンネルを実現するための可能性を認知することができるMAGによって開始されることが好ましい。MAGは、MNが別々のVPNトンネルを通じて通信中であるという事実を認知したときに、最適化手順を開始する。このような最適化手順の一例は、以下に述べるステップのとおりである。第1に、MAGは共有鍵を発生させる。第2に、MAGは、セキュアVPNトンネルを通じて共有鍵を分配するだけでなく、MNの間のIPSec取り決めを始めるようにMNに指示する。第3に、MNは、新しく取得した鍵を利用してIKE手順を開始し、IPSec SAを確立する。第4に、MAGは、MIP経路最適化メッセージを両方のMNに送信する。第5に、それぞれのMNは、それのバインディングアップデート表を更新し、MIPトンネル終端点での変化を反映する。
MAGが、MNがMAGをトラバースする分割されたトンネルを介して通信中であることを認識したとき、MAGは、MNの間に安全なピアツーピアVPN接続を設定するのに使用され得る共有鍵を発生させる。その後、MAGは、この鍵を両方のMNに分配するだけでなく、MNの間のIPSec SAを生成することをMNに指示する。また、MAGは、MNの外部アドレスをお互いに送信する。次に、MNは、MN自体の間でIKE手順を開始し、新しいIPSec SAが生成される。MNの間で取り決められるこれらのSAは、MAGを必要としない。次に、MNの間のいかなる通信も、新しいSAにより保護される。その後、MAGは、MNの各々の現在のCoAを含む経路最適化メッセージを送信する。MNは、経路最適化メッセージの受信時に、それらの内部バインディングエントリを更新する。
MN1とMN2間のトラフィックの流れの一例を以下に述べる。第1に、MN1は、i−HoA1を使用して、プライベートアドレスがi−HoA2であるMN2にパケットを送信する。第2に、MN1のVPNアプリケーションが呼び出され、パケットは、MN2と取り決められた新しいIPSec SAに従うためのステップを通過する。その後、パケットは、x−HoA1を送信元アドレスとして使用するIPヘッダーでエンカプセレーションされる。送信元アドレスとしてx−HoA1を、そしてx−HoA2の宛先アドレスを有するx−MIP−RO T−3に沿って提供されるセキュアVPNトンネルを使用してパケットが移送される。第3に、MN1のMIPクライアントアプリケーションはセキュアパケットを、x−CoA1を送信元アドレスとして使用する他のIPヘッダーでエンカプセレーションする。セキュアパケットは、x−CoA1を送信元アドレスとして有するx−MIP−RO T−3によって移送される。x−MIP−RO T3トンネルと併用される新しいIPヘッダーの宛先アドレスは、宛先アドレスがMAGのアドレスである、MAGを通じたMN対MN通信の場合と異なり、x−CoA2(つまり、MN2の気付アドレス)である。第4に、x−CoA2が宛先であるので、MN2は、パケットを受信し、外側のMIPヘッダーを破棄する。第5に、その後、MN2は内側のヘッダを検査し、パケットが適合したIPSec SAに従っているかどうかを検査する。第6に、SAにより、IPSecヘッダーもまた破棄され、送信元アドレスとしてのi−HoA1およびi−HoA2の宛先を有する元のパケットがアプリケーションによって処理される。MNの各々には、通信中のピアとの新しいVPN接続生成について通知する。
本発明の少なくとも一つの実施形態によれば、以下に述べる一つ以上の特徴は、通信中のMNの間にエンドツーエンドのセキュアトンネルを確立することに関連して実現されることができる。MAGを通じたMN対MN通信の場合と異なり、SAに従うために、MAGが通信を復号化し再暗号化することが不要である。MAGでの負荷は、特に、MAGが複数のCNおよびMNをサービング中である場合なら大幅に減少することができる。また、MAGでのパケットの復号化、再暗号化、および再トンネリングにより、ユーザトラフィックによって発生する待ち時間を完全に防止することができる。さらには、確立されるトンネルは、三角形ルーティングを防止するとともに、可能な最短パスになるように選択することも可能である(そして、できるだけ最短パスであることが好ましい)。
図4は、本発明の少なくとも一つの実施形態による、MN1 103およびMN2 104を含むエレメント間の接続を例示する図である。同図は、MN1 103、CN110、i−HA2 109、MAG105、i−HA1 108、およびMN2 104を含むエレメントを示す垂直線を含む。CN110、i−HA2 109、MAG105、およびi−HA1 108は、イントラネット101内に存在することが好ましい。図面は、エレメント間の接続を示す水平線を含む。
第1に、MN1 103とMAG105の間にVPNおよびx−MIP T−1 401が確立される。インターネット鍵交換(IKE)取り決め、インターネット・プロトコル・セキュリティ(IPSec)セキュリティ・アソシエーション(SA)生成、およびアドレス割り当てのような、VPNトンネルを確立するための通信ならびにx−MIP登録要請がMN1 103からMAG105への通信403によって発生する。VPNトンネルを確立するための追加的な通信およびx−MIP登録応答は、MAG105からMN1 103への通信404によって発生する。i−MIP T−1 402がMAG105とi−HA1 108の間に確立される。i−MIP登録要請405がMN1 103からi−HA1 108に通信される。i−MIP登録応答がi−HA1 108からMN1 103に通信される。
第2に、VPNおよびx−MIP T−2 407がMN2 104とMAG105の間に確立される。インターネット鍵交換(IKE)取り決め、インターネット・プロトコル・セキュリティ(IPSec)セキュリティ・アソシエーション(SA)生成、およびアドレス割り当てのような、VPNトンネルを確立するための通信ならびにx−MIP登録要請がMN2 104からMAG105への通信409によって発生する。VPNトンネルを確立するための追加的な通信およびx−MIP登録応答は、MAG105からMN2 104への通信410によって発生する。i−MIP T−2 408がMAG105とi−HA2 109の間に確立される。i−MIP登録要請411がMN2 104からi−HA2 109に通信される。i−MIP登録応答がi−HA2 109からMN2 104に通信される。
第3に、経路最適化が行われてi−MIP T−2 408を交換し、これによって、MAG105とCN110の間にi−MIP−RO T−2 413が存在する。ROバインディングアップデート414がi−HA2 109からCN110に通信される。ROバインディング肯定応答415がCN110からi−HA2 109に通信される。
第4に、MN1 103とMN2 104の間の通信が望まれる場合、MAG105は、通信でi−HA1 108およびi−HA2 109を必要とする非効率性を認識し、x−MIP T−1 401とx−MIP T−2 407(およびそれらの個々のVPNトンネル)をブリッジし、MN1 103とMN2 104の間の待ち時間が減少したより効率的な通信を容易にする。
第5に、経路最適化が行われ、MN1 103とMN2 104の間にエンドツーエンドVPNトンネルおよび経路最適化されたx−MIP−RO T−3 416が確立される。MAG105は、MN1 103およびMN2 104が、それらのトラフィックがMAG105を通過する必要なく、互いに通信することができる(例えば、MN1 103およびMN2 104が共通ネットワークを介してお互いに到達可能である)と判定する。好ましくは、一例として、MN1 103とMN2 104の間に暗号でセキュリティが施されたリンク(例えば、セキュアトンネル)の確立のため、MAG105は、暗号鍵を誘導し、暗号鍵をMN1 103およびMN2 104のうちの少なくとも一つに分配する。また他の一例としては、MN1 103とMN2 104の間に、暗号鍵の発生および分配を行うための通信417が発生し、MN1 103とMN2 104の間にVPNトンネルが確立される。MN1 103とMN2 104の間に、MN1 103とMN2 104の間のIKE取り決めおよびIPSec SA生成を行うための通信418が発生し、MN1 103とMN2 104の間にVPNトンネルが確立される。x−CoA1(MN1の外部気付アドレス)を通信するためのROバインディングアップデート419がMAG105からMN2 104に通信される。x−CoA2(MN2の気付アドレス)を通信するためのROバインディングアップデート420がMAG105によってMN1 103に送信される。これによって、MN1 103およびMN2 104は、トンネルx−MIP−RO T−3 416を使用してMN1とMN2の間で直接にエンドツーエンドVPNトンネルに沿って、少ない待ち時間でで効率的に通信することができる。セキュリティゲートウェイ(例えば、MAG105)において、第1の移動ノード(例えば、MN1 103)と第2の移動ノード(例えば、MN2 104)の間の通信をブリッジすることにより、第1の内部通信トンネル(例えば、i−MIP T−1 402)および第2の内部通信トンネル(例えば、i−MIP T−2 408)は、第1の移動ノードと第2の移動ノードの間の通信を伝達する必要がない。
図11は、本発明の少なくとも一つの実施形態による、第1のMNと第2のMNの間の通信を含む方法を例示するフローチャートである。ステップ1101では、第1の内部通信トンネルが、セキュリティゲートウェイを経由して第1の移動ノードと第1の内部ホームエージェントの間で確立される。ステップ1102では、第2の内部通信トンネルが、セキュリティゲートウェイを経由して第2の移動ノードと第2の内部ホームエージェントの間で確立される。
ステップ1103では、第1の内部通信トンネルが変更され、第1の移動ノードと対応ノードの間に経路最適化された第1の内部通信トンネルを形成する。ステップ1103は、ステップ1104およびステップ1105を含むこともできる。ステップ1104では、第1の内部経路最適化バインディングアップデートが第1の内部ホームエージェントから対応ノードに通信される。ステップ1105では、第1の内部経路最適化バインディング肯定応答が対応ノードから第1の内部ホームエージェントに通信される。
ステップ1106では、第1の内部通信トンネルおよび第2の内部通信トンネルがセキュリティゲートウェイでブリッジされ、第1の移動ノードと第2の移動ノードの間に待ち時間の少ない安全な通信を提供する。ステップ1106は、第1の移動ノードと第2の移動ノードの間にエンドツーエンドのセキュアトンネルが確立されるステップ1107を含むことこともできる。ステップ1107は、ステップ1108、ステップ1109、およびステップ1110を含むこともできる。ステップ1108では、暗号鍵情報が第1の移動ノードと第2の移動ノードの間で通信される。ステップ1109では、エンドツーエンドのセキュアトンネルのためのセキュリティアソシエーションが生成される。ステップ1110では、経路最適化バインディングアップデートがセキュリティゲートウェイから第1の移動ノードおよび第2の移動ノードに通信される。
本発明の少なくとも一つの実施形態によれば、実時間アプリケーションのため、三角形の経路およびその影響、つまり、MAGでの復号化、再暗号化、および再トンネリングによってもたらされる待ち時間を防止することができる。このような待ち時間を防止する利点は、異種無線アクセスの間、または、移動性の高い環境(highly mobile environment)でセッションの連続性が要求されることにより、セッションの連続性要求事項が、このような待ち時間のため発生する通信損傷を悪化させるときにより拡大される。
図12は、本発明の少なくとも一つの実施形態により通信される情報を例示するブロック図である。イントラネット1201は、MAG1202、i−HA1203、およびCN1204を有する。第1のMN1205および第2のMN1206は、MAG1202に影響を及ぼすように(operatively)カップリングされる。MN1は、メッセージ1219をMAG1202に通信する。メッセージ1219はデータ1207を有する。ヘッダー1208がデータ1207に追加されている。ヘッダー1208は、メッセージ1219がi−MN1の送信元およびi−MN2の宛先を有することを指示する。ヘッダー1209がデータ1207およびヘッダー1208に追加されている。ヘッダー1209は、メッセージ1219がx−HoA1の送信元およびi−MAGの宛先を有することを指示する。ヘッダー1210がデータ1207およびヘッダー1208および1209に追加されている。ヘッダー1210は、メッセージ1219がCoAの送信元およびMAGの宛先を有することを指示する。最外郭(outermost)ヘッダーとして、ヘッダー1210はMAGの宛先を指示し、メッセージ1219はその固有のアドレスであるMAG1202に送信されるので、MAG1202が後続ヘッダーを処理する。MAG 1202は、ヘッダー1210を除去し、ヘッダー1209がその固有のアドレスであるi−MAGの宛先を指示すると判定するので、MAG1202が後続ヘッダーを処理する。MAG1202は、ヘッダ1209を除去してメッセージ1220を取得し、ヘッダー1208がi−MN2の宛先を指示すると判定する。MAG1202は表を参照し、メッセージ1220に、MAGの送信元およびx−HoA2の宛先を指示するヘッダー1214を追加する。MAG1202は、MAGの送信元およびx−CoA2の宛先を指示するヘッダー1213を追加することで、メッセージ1221を発生させる。パケットの宛先がMN2 1206の気付アドレスであるx−CoA2であるので、MN2 1206がパケットを受信し、次いで、MN2によりメッセージ1221からヘッダー1213が除去される。(MN2が先に確立されたSAによってメッセージの保全性および/または真正性(authenticity)を確認した後)ヘッダー1214もまた、MN2によりメッセージ1221から除去され、データ1207と、i−MN1の送信元およびi−MN2の宛先を指示するヘッダー1208とを有するメッセージ1222を発生させる。このようにして、データ1207がMN2 1206のアプリケーションに通信される。
以上のように、移動ノードの間に待ち時間の少ない安全なセッションの連続性を提供するための方法および装置を説明した。本発明の多様な態様による多様な変更および変形の実現は当業者に明らかであり、また、本発明は、上述の特定の実施形態に限られるものではない。よって、請求の範囲で定義している本発明の基本概念を利用した当業者の多様な変形、改良形態または等価物は本発明の権利範囲に属するものである
本発明の少なくとも一つの実施形態による装置を例示するブロック図である。 本発明の少なくとも一つの実施形態によるモバイルアウェア・ゲートウェイ(mobile−aware gateway)(MAG)105を例示するブロック図である。 本発明の少なくとも一つの実施形態によるMN103/104およびCN110を含むエレメント間の接続を例示する図である。 本発明の少なくとも一つの実施形態によるMN1 103およびMN2 104を含むエレメント間の接続を例示する図である。 本発明の少なくとも一つの実施形態によるMNとCNの間の通信を含む方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による図5のステップ501を実施する方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による図5のステップ503を実施する方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による図5のステップ506を実施する方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による図5のステップ502を実施する方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による図5のステップ505を実施する方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による第1のMNと第2のMNの間の通信を含む方法を例示するフローチャートである。 本発明の少なくとも一つの実施形態による通信される情報を例示するブロック図である。

Claims (20)

  1. セキュリティゲートウェイを経由し、第1の移動ノードと第1の内部ホームエージェントの間に第1の内部通信トンネルを確立するステップと、
    前記セキュリティゲートウェイを経由し、第2の移動ノードと第2の内部ホームエージェントの間に第2の内部通信トンネルを確立するステップと、
    前記セキュリティゲートウェイで、前記第1の内部通信トンネルおよび前記第2の内部通信トンネルが前記第1の移動ノードと前記第2の移動ノードの間の通信を伝達するのが不要になるように、前記第1の移動ノードと前記第2の移動ノードの間の前記通信をブリッジするステップと、
    を含む方法。
  2. 前記第1の移動ノードからのデータの宛先が前記セキュリティゲートウェイにより確立された境界を有するイントラネットを離脱した第2の移動ノードであるかどうかを判定するため、バインディングテーブルのバインディングテーブルエントリを検査するステップをさらに含む、請求項1に記載の方法。
  3. 前記バインディングテーブルエントリを検査する前記ステップは、
    前記バインディングテーブルで、前記第2の移動ノードのための外部気付アドレスフィールドの内容を判定するために検査するステップをさらに含む、請求項2に記載の方法。
  4. 前記バインディングテーブルで前記第2の移動ノードのための外部CoAフィールドの内容を判定するために検査する前記ステップは、
    前記第2の移動ノードのための前記外部CoAフィールドが空白でない場合、前記第2の移動ノードが前記イントラネットを離脱したと判定するステップをさらに含む、請求項3に記載の方法。
  5. 前記データにヘッダーを追加するステップであって、前記ヘッダーは、ルーティングヘッダーおよび仮想プライベートネットワーク(VPN)ヘッダーを有し、前記VPNヘッダーは、前記バインディングテーブルに格納されたセキュリティアソシエーション識別子(SAiD)から誘導されるステップをさらに含む、請求項2に記載の方法。
  6. 前記第1の移動ノードおよび前記第2の移動ノードから選択された移動ノードで通信されるデータにヘッダーを追加するステップであって、前記ヘッダーは、ルーティングヘッダーおよびVPN(virtual private network)ヘッダーを有し、前記VPNヘッダーは、バインディングテーブルに格納されたセキュリティアソシエーション識別子(SAiD)から誘導される、請求項1に記載の方法。
  7. 前記移動ノードのためのアドレス指定情報を前記バインディングテーブルに格納するステップをさらに含む、請求項6に記載の方法。
  8. 前記移動ノードのための前記アドレス指定情報を前記バインディングテーブルに格納する前記ステップは、
    前記移動ノードの外部ホームアドレス、前記移動ノードの内部ホームアドレスおよび前記移動ノードの外部CoAを前記バインディングテーブルに格納するステップをさらに含む、請求項7に記載の方法。
  9. 前記バインディングテーブルに格納されたSAiDは、前記移動ノードから前記セキュリティゲートウェイに適用可能な第1のSAiDおよび前記セキュリティゲートウェイから前記移動ノードに適用可能な第2のSAiDを有する、請求項8に記載の方法。
  10. 前記セキュリティゲートウェイを経由し、前記第1の移動ノードと前記第1の内部ホームエージェントの間に前記第1の内部通信トンネルを確立する前記ステップは、
    前記第1の内部ホームエージェントへの前記第1の移動ノードのモバイルインターネットプロトコル(MIP)登録を行うステップをさらに含む、請求項1に記載の方法。
  11. 前記第1の内部ホームエージェントへの前記第1の移動ノードのMIP登録を行う前記ステップは、
    前記セキュリティゲートウェイのプライベートアドレスを前記第1の移動ノードの第1の内部CoAとして使用するステップをさらに含む、請求項10に記載の方法。
  12. 前記第1の移動ノードと第1の外部ホームエージェントの間に第1の外部通信トンネルを確立するステップをさらに含む、請求項11に記載の方法。
  13. 前記第1の外部通信トンネルを確立する前記ステップは、
    前記セキュリティゲートウェイと前記第1の移動ノードの第1の外部CoAの間に前記第1の外部通信トンネルを確立するステップをさらに含む、請求項12に記載の方法。
  14. 前記第1の外部トンネルを確立する前記ステップは、
    第1の外部ホームエージェントへのMIP登録を行うステップをさらに含む、請求項12に記載の方法。
  15. 前記第1の移動ノードと前記セキュリティゲートウェイの間に第1の外部セキュアトンネルを確立するステップをさらに含む、請求項12に記載の方法。
  16. 前記第1の外部セキュアトンネルを確立する前記ステップは、
    前記セキュリティゲートウェイと前記第1の移動ノードの第1の外部ホームアドレスの間に第1の仮想プライベートネットワーク(VPN)を確立するステップをさらに含む、請求項15に記載の方法。
  17. 第1の移動ノードと、
    第1の内部通信トンネルを経由して前記第1の移動ノードにカップリングされた第1のホームエージェントと、
    第2の移動ノードと、
    第2の内部通信トンネルを経由して前記第2の移動ノードにカップリングされた第2のホームエージェントと、
    前記第1の内部通信トンネルおよび前記第2の内部通信トンネルにカップリングされたセキュリティゲートウェイであって、前記セキュリティゲートウェイは、前記第1の内部通信トンネルおよび前記第2の内部通信トンネルが前記第1の移動ノードと前記第2の移動ノードの間の通信を伝達することが不要になるように、前記第1の移動ノードと前記第2の移動ノードの間の通信をブリッジする、セキュリティゲートウェイとを備える装置。
  18. 前記セキュリティゲートウェイは、前記第1の移動ノードおよび前記第2の移動ノードのためのアドレス指定情報を含むバインディングテーブルエントリを有するバインディングテーブルを保持する、請求項17に記載の装置。
  19. 前記アドレス指定情報は、前記第1の移動ノードのための第1の外部ホームアドレスおよび前記第1の移動ノードのための第1の内部ホームアドレスを備える、請求項18に記載の装置。
  20. 前記第1の移動ノードが前記セキュリティゲートウェイにより境界付けられたイントラネットを離脱する場合、前記アドレス指定情報は、前記第1の移動ノードのための第1の外部CoAをさらに備える、請求項19に記載の装置。
JP2007549981A 2005-01-07 2006-01-06 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置 Pending JP2008527826A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US64225505P 2005-01-07 2005-01-07
US64269005P 2005-01-10 2005-01-10
PCT/IB2006/000375 WO2006072890A1 (en) 2005-01-07 2006-01-06 Method and apparatus for providing low-latency secure session continuity between mobile nodes

Publications (1)

Publication Number Publication Date
JP2008527826A true JP2008527826A (ja) 2008-07-24

Family

ID=36221517

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007549981A Pending JP2008527826A (ja) 2005-01-07 2006-01-06 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置

Country Status (5)

Country Link
US (2) US20060268901A1 (ja)
EP (2) EP1839425A1 (ja)
JP (1) JP2008527826A (ja)
KR (1) KR101165825B1 (ja)
WO (2) WO2006072890A1 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2423448B (en) * 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
US8296437B2 (en) * 2005-12-29 2012-10-23 Logmein, Inc. Server-mediated setup and maintenance of peer-to-peer client computer communications
US7962652B2 (en) * 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
EP2011022A4 (en) * 2006-04-17 2011-04-06 Starent Networks Corp SYSTEM AND METHOD FOR TRANSPORTATION
US8843657B2 (en) * 2006-04-21 2014-09-23 Cisco Technology, Inc. Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site
EP1912400A1 (en) * 2006-10-10 2008-04-16 Matsushita Electric Industrial Co., Ltd. Method and apparatus for mobile IP route optimization
US8171120B1 (en) 2006-11-22 2012-05-01 Rockstar Bidco Lp Mobile IPv6 route optimization authorization
US7835723B2 (en) * 2007-02-04 2010-11-16 Bank Of America Corporation Mobile banking
CN101247314B (zh) * 2007-02-15 2013-11-06 华为技术有限公司 路由优化方法、代理移动媒体pma及报文传送系统
WO2009029583A1 (en) * 2007-08-24 2009-03-05 Starent Networks, Corp Providing virtual services with an enterprise access gateway
KR100937874B1 (ko) * 2007-12-17 2010-01-21 한국전자통신연구원 센서 네트워크에서의 라우팅 방법
US20090207843A1 (en) * 2008-02-15 2009-08-20 Andreasen Flemming S System and method for providing network address translation control in a network environment
EP2091204A1 (en) 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
US8327017B1 (en) * 2008-03-12 2012-12-04 United Services Automobile Association (Usaa) Systems and methods for an autonomous intranet
US9345065B2 (en) 2008-11-17 2016-05-17 Qualcomm Incorporated Remote access to local network
US9532293B2 (en) 2009-03-18 2016-12-27 Cisco Technology, Inc. Localized forwarding
US8743696B2 (en) 2009-08-07 2014-06-03 Cisco Technology, Inc. Mobile transport solution for offloading to an alternate network
US8693367B2 (en) * 2009-09-26 2014-04-08 Cisco Technology, Inc. Providing offloads in a communication network
US9015318B1 (en) 2009-11-18 2015-04-21 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
US9148380B2 (en) 2009-11-23 2015-09-29 Cisco Technology, Inc. System and method for providing a sequence numbering mechanism in a network environment
US8792495B1 (en) 2009-12-19 2014-07-29 Cisco Technology, Inc. System and method for managing out of order packets in a network environment
US20110219105A1 (en) * 2010-03-04 2011-09-08 Panasonic Corporation System and method for application session continuity
US9215588B2 (en) 2010-04-30 2015-12-15 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment
WO2011151095A1 (en) * 2010-06-01 2011-12-08 Nokia Siemens Networks Oy Method of connecting a mobile station to a communications network
US8787303B2 (en) 2010-10-05 2014-07-22 Cisco Technology, Inc. Methods and apparatus for data traffic offloading at a router
US8526448B2 (en) 2010-10-19 2013-09-03 Cisco Technology, Inc. Call localization and processing offloading
US9003057B2 (en) 2011-01-04 2015-04-07 Cisco Technology, Inc. System and method for exchanging information in a mobile wireless network environment
US9432258B2 (en) 2011-06-06 2016-08-30 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks to reduce latency
US8743690B1 (en) 2011-06-14 2014-06-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8792353B1 (en) 2011-06-14 2014-07-29 Cisco Technology, Inc. Preserving sequencing during selective packet acceleration in a network environment
US8948013B1 (en) 2011-06-14 2015-02-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8737221B1 (en) 2011-06-14 2014-05-27 Cisco Technology, Inc. Accelerated processing of aggregate data flows in a network environment
US9386035B2 (en) 2011-06-21 2016-07-05 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks for security
AU2012282841B2 (en) * 2011-07-08 2016-03-31 Virnetx, Inc. Dynamic VPN address allocation
US10044678B2 (en) 2011-08-31 2018-08-07 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks with virtual private networks
US10123368B2 (en) 2012-02-23 2018-11-06 Cisco Technology, Inc. Systems and methods for supporting multiple access point names for trusted wireless local area network
CN103220203B (zh) * 2013-04-11 2015-12-02 汉柏科技有限公司 一种实现网络设备间多IPsec隧道建立的方法
US10152864B2 (en) 2014-02-28 2018-12-11 Tyco Fire & Security Gmbh Distributed rules engines for robust sensor networks
US9792129B2 (en) * 2014-02-28 2017-10-17 Tyco Fire & Security Gmbh Network range extender with multi-RF radio support for plurality of network interfaces
US9985799B2 (en) * 2014-09-05 2018-05-29 Alcatel-Lucent Usa Inc. Collaborative software-defined networking (SDN) based virtual private network (VPN)
US10142293B2 (en) * 2015-12-15 2018-11-27 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments
US9571457B1 (en) * 2015-12-15 2017-02-14 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002223236A (ja) * 2001-01-24 2002-08-09 Matsushita Electric Ind Co Ltd 通信システムにおけるゲートウェイ装置及び通信システムにおけるルート最適化方法
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6350417B1 (en) * 1998-11-05 2002-02-26 Sharper Image Corporation Electrode self-cleaning mechanism for electro-kinetic air transporter-conditioner devices
US6973057B1 (en) * 1999-01-29 2005-12-06 Telefonaktiebolaget L M Ericsson (Publ) Public mobile data communications network
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
US20020055971A1 (en) * 1999-11-01 2002-05-09 Interdigital Technology Corporation Method and system for a low-overhead mobility management protocol in the internet protocol layer
US6915325B1 (en) * 2000-03-13 2005-07-05 Nortel Networks Ltd Method and program code for communicating with a mobile node through tunnels
US7275262B1 (en) * 2000-05-25 2007-09-25 Bull S.A. Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US7380124B1 (en) * 2002-03-28 2008-05-27 Nortel Networks Limited Security transmission protocol for a mobility IP network
US7587498B2 (en) * 2002-05-06 2009-09-08 Cisco Technology, Inc. Methods and apparatus for mobile IP dynamic home agent allocation
EP1381202B1 (en) * 2002-07-11 2006-03-22 Birdstep Technology ASA Apparatuses and computer software for providing seamless IP mobility across security boundaries
US7804826B1 (en) * 2002-11-15 2010-09-28 Nortel Networks Limited Mobile IP over VPN communication protocol
US7428226B2 (en) * 2002-12-18 2008-09-23 Intel Corporation Method, apparatus and system for a secure mobile IP-based roaming solution
US20040120329A1 (en) 2002-12-18 2004-06-24 Wen-Tzu Chung SNMP management with a layer 2 bridge device
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
GB0308980D0 (en) * 2003-04-17 2003-05-28 Orange Personal Comm Serv Ltd Telecommunications
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
US7486951B2 (en) * 2004-09-24 2009-02-03 Zyxel Communications Corporation Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002223236A (ja) * 2001-01-24 2002-08-09 Matsushita Electric Ind Co Ltd 通信システムにおけるゲートウェイ装置及び通信システムにおけるルート最適化方法
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes

Also Published As

Publication number Publication date
EP1839424A1 (en) 2007-10-03
US20060268901A1 (en) 2006-11-30
KR20070097547A (ko) 2007-10-04
US20060245362A1 (en) 2006-11-02
EP1839425A1 (en) 2007-10-03
WO2006072890A1 (en) 2006-07-13
KR101165825B1 (ko) 2012-07-17
WO2006072891A1 (en) 2006-07-13

Similar Documents

Publication Publication Date Title
KR101165825B1 (ko) 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치
US8437345B2 (en) Terminal and communication system
JP4163215B2 (ja) 私設ネットワークとローミング移動端末との間の通信
JP5059872B2 (ja) モバイルipプロキシ
EP1766496B1 (en) Bearer control of encrypted data flows in packet data communications
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20040037260A1 (en) Virtual private network system
US20020161905A1 (en) IP security and mobile networking
JP5087012B2 (ja) ロケーションプライバシをサポートする経路最適化
FI116027B (fi) Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
Liebsch et al. Proxy mobile IPv6 (PMIPv6) localized routing problem statement
Adrangi et al. Problem statement: Mobile IPv4 traversal of virtual private network (VPN) gateways
TWI502946B (zh) 具身份式加密(ibe)之有效移動網路(nemo)安全性技術
US20060067265A1 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
CN101091371A (zh) 提供移动节点之间路由优化安全会话连续性的方法和装置
WO2009094939A1 (en) Method for protecting mobile ip route optimization signaling, the system, node, and home agent thereof
Li et al. Mobile IPv6: protocols and implementation
Chen et al. Fast handoff in mobile virtual private networks
JP5192065B2 (ja) パケット伝送システムおよびパケット伝送方法
Choyi et al. Low-latency secure mobile communications
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi
Gayathri et al. Mobile Multilayer IPsec Protocol
Pulkkis et al. Mobile virtual private networking

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080613

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081021

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110802