「好例な」という単語は、「例(example)、例証(instance)、又は実例(illustration)として扱う」を意味するためにここでは用いられる。ここで「好例」として説明された実施形態は、他の実施形態より好まれていたり、優位である必要はない。
MIPv4は、インターネット内のモバイルノードへのIPデータグラムの明白なルーティングを可能にする。各モバイルノードは、インターネット接続の現在の点に関わらず、常にそのホームアドレスにより識別される。そのホームから離れている間、モバイルノードは、モバイルノードの現在のインターネット接続点についての情報を与えるケア・オブ・アドレス(CoA:気付アドレス)と関連付けられる。MIPv4は、CoAをHAに登録するためのメカニズム及び方法を提供する。HAは、モバイルノードに伝送されるデータグラムをトンネルを通してCoAに送信する。トンネルを通り抜けた後に、データグラムはモバイルノードに送信される。
MIPv4は、あるモバイルノードのIPアドレスがインターネットへの接続点のモバイルノードを独自に識別していると仮定している。モバイルノードは、それに伝送されるデータグラムを受信するため、そのIPアドレスにより識別されたネットワーク上に位置しなければならない。さもなければ、データグラムは配送できなくなる。モバイルノードは、通信能力を失わずにその接続点を維持するため、以下に示される機構のうち1つを用いてもよい。第1の方法は、インターネットとの接続点を変更するときには、モバイルノードがそのIPアドレスを変更しなければならないことを要求し、あるいは、モバイルノードは、インターネットルーティングアーキテクチャの大部分に広められるホスト特定ルート(host-specific routes)を使用しなければならない。これらの選択肢は両方とも、承諾しがたいとされるかもしれない。繰り返しIPアドレスを変更することは、モバイルノードが位置を変更する際に、モバイルノードによる伝送の維持及びハイレイヤーでの接続の維持を不可能にするかもしれない。第2の方法は、厳しい規模の困難を引き起こすかもしれない。MIPv4は、インターネット内のモバイルノード移動性に適応するためのプロトコルである。
モバイルインターネットプロトコルは、下記に述べられるような新しい機能的要素を導入する。
モバイルノードは、あるネットワーク又はサブネットワークから他のネットワークへ、その接続点を変更するホスト又はルーターである。あるモバイルノードは、そのIPアドレスを変更せずに、モバイルノードの位置を変更してもよい。これにより、モバイルノードは、モバイルノードの通常のIPアドレスを用いて、いかなる位置においても他のインターネットノードとの接続を維持することができる。これにより、接続点へのリンク層接続可能性(link layer connectivity)が利用可能とされる。
ホームエージェントは、モバイルノードがホームから離れているときはデータグラムをトンネルしてモバイルノードへ配送し、モバイルノードのために現在の位置情報を維持するモバイルノードのホームネットワーク上のルーターである。
フォーリンエージェントは、登録の際にモバイルノードへルーティングサービスを提供するモバイルノードの訪問先ネットワーク上のルーターである。フォーリンエージェントは、トンネルを解除し、モバイルノードのホームエージェントによりトンネルされたモバイルノードへデータグラムを配送する。フォーリンエージェントは、あるモバイルノードにより送信されたデータグラムのための、登録されたモバイルノードのデフォルトルータとして機能する。
モバイルノードは、ホームネットワーク上で長期IPアドレスを与えられる。このホームアドレスは、固定されたホストのための「恒久的な」IPアドレスのように管理される。モバイルノードがそのホームネットワークから離れたとき、ケア・オブ・アドレス(CoA)は、モバイルノードと関連付けられ、モバイルノードの現在におけるインターネットとの接続点を反映する。モバイルノードは、モバイルノードが送信した、移動性管理機能データグラムを除く送信した全てのIPデータグラムのソースアドレスとしてそのホームアドレスを使用する。
モバイルIPv4は、プロトコルの実行をレビューする前に定義するべき複数の用語を使用する。これらの用語は下に定義される。
エージェント広告は、ルーター広告メッセージに特別な拡張部を付することにより構成された広告メッセージである。
オーセンティケーションは、メッセージの創作者の同一性を確認するために暗号手法を使用するプロセスである。
ケア・オブ・アドレスは、モバイルノードがそのホームネットワークから離れている間、モバイルノードへ転送されるデータグラムのための、モバイルノードへのトンネルの終端ポイントである。このプロトコルでは、異なる2種類のケア・オブ・アドレスを使用してもよい:ひとつは、モバイルノードが登録されているフォーリンエージェントのアドレスであるフォーリンエージェントケア・オブ・アドレス、もうひとつは、モバイルノードが自身のネットワークインターフェースの1つと関連付けた外部取得のローカルアドレスである同位置ケア・オブ・アドレスである。
ホームアドレスは、延長された一定期間でモバイルノードに割り当てられるIPアドレスである。ホームアドレスは、モバイルノードが接続するインターネットの場所に係らず変化しない。
ホームネットワークは、モバイルノードのホームアドレスのネットワークプレフィックス(接頭辞)と一致するネットワークプレフィックスを有するネットワークである。標準的なIPルーティングメカニズムは、モバイルノードのホームアドレスに伝送されるデータグラムをモバイルノードのホームネットワークに配送する。
トンネルは、データグラムがカプセル化される間に、データグラムによって導かれる通り道である。カプセル化されている間に、データグラムは、データグラムのカプセル解除を行いデータグラムを正確に最終送り先に配送する、精通するカプセル解除エージェント(knowledgeable decapsulating agent)に経路を作成される。
仮想ネットワークは、別のネットワーク上に物理的なインターネットインタフェースを有するルーターの向こうに物理的な例示(instantiation)のないネットワークである。ルーター又はHAは、一般に、従来のルーティングプロトコルを使用して、仮想ネットワークへの到達可能性を広告する。
訪問先ネットワークは、モバイルノードのホームネットワーク以外の、モバイルノードが現在接続されるネットワークである。
モバイルIPは、以下にリストされたサポートサービスを提供する。
ホームエージェントとフォーリンエージェントが互いのリンク上の有効性を広告するとき(それらはこのためにサービスを提供する)、エージェント発見が生じる。新たに到着したモバイルノードは、予想されるエージェントが存在するか否かを確認するため、リンク上で要求を送信する。
モバイルノードがホームネットワークから離れる場合、登録が生じる。自身のホームネットワークから離れたモバイルノードは、そのホームエージェントにそのケア・オブ・アドレスを登録する。インターネットへの接続モードに応じて、モバイルノードは、直接そのホームエージェントに、あるいは、ホームエージェントに登録を送るフォーリンエージェントを介して登録する。
以下のステップは、モバイルIPプロトコルの実行の一般的なアウトラインを提供する。移動性エージェント、すなわち、フォーリンエージェントとホームエージェントは、エージェント広告メッセージを使用して、存在を広告する。モバイルノードは、エージェント要求メッセージを用いて、局所に接続された移動性エージェントからエージェント広告メッセージをさらに要求してもよい。モバイルノードは、エージェント広告を受け取り、それがそのホームネットワーク上又はフォーリンネットワーク上のどちらにあるかを判断する。
モバイルノードは、それがホームネットワーク上にあることを検知すると、それは移動性サービスを利用せずに作動する。モバイルノードが他のところに登録された後にホームネットワークに返っている場合、モバイルノードは登録リクエストを使用すると共に登録再生メッセージを受け取り、まずホームエージェントから登録を取り消す。
モバイルノードはそれがホームネットワークからフォーリンネットワークに移動したことを検知すると、それはフォーリンネットワーク上でケア・オブ・アドレスを取得する。そのケア・オブ・アドレスは、フォーリンエージェントの広告(フォーリンケア・オブ・アドレス)から又は、外部割当メカニズム(同位置ケア・オブ・アドレス)により、のどちらかにより決定される。そして、ホームネットワークから離れて作動するモバイルノードは、登録リクエストメッセージと登録再生メッセージの交換を通じて、新たなケア・オブ・アドレスをホームエージェントに登録する。これが生じた後、モバイルノードのホームアドレスに送られたデータグラムは、ホームエージェントによって傍受され、ホームエージェントによりモバイルノードのケア・オブ・アドレスへトンネルされ、トンネルのエンドポイント(フォーリンエージェント又はモバイルノード自体)で受信され、モバイルノードに配送される。逆方向では、モバイルノードによって送られたデータグラムは一般に、標準的なIPルーティングメカニズムを使用して、それらの送り先に配送され、ホームエージェントを必ずしも通り抜けてもよくない。
ホームネットワークから離れている場合、モバイルIPは、ホームネットワークとモバイルノードの現在位置の間に介在するルーターからモバイルノードのホームアドレスを隠すためにトンネルを開設するプロトコルを使用する。トンネルは、モバイルノードのケア・オブ・アドレスで終了する。そのケア・オブ・アドレスは、従来のIPルーティングによりデータグラムが配送されるアドレスでなければならない。ケア・オブ・アドレスでは、オリジナルのデータグラムはトンネルから取り除かれ、モバイルノードに配送される。
モバイルIPv4は、ケア・オブ・アドレスを得るために2つのメカニズムを提供する。最初のメカニズムでは、フォーリンエージェントケア・オブ・アドレスは、エージェント広告メッセージを通してフォーリンエージェントにより提供されるケア・オブ・アドレスである。このメカニズムでは、ケア・オブ・アドレスは、フォーリンエージェントのIPアドレスである。フォーリンエージェントがトンネルされたデータグラムを受け取った場合、それはデータグラムをカプセル解除し、内部データグラムをモバイルノードへ配送する。このメカニズムは、複数のモバイルノードにケア・オブ・アドレスを共有させ、限定されたアドレススペースに不必要な要求を設置しないため好まれている。
第2のメカニズムは、同位置ケア・オブ・アドレスを提供する。この同位置ケア・オブ・アドレスは、いくつかの外部手段を介して、ローカルIPアドレスとしてモバイルノードにより取得される。そして、モバイルノードは、同位置ケア・オブ・アドレスと自身のネットワークインターフェースのうち1つを関連付ける。同位置ケア・オブ・アドレスは、モバイルノードにより一時的なアドレスとして動的に得られても、又は、フォーリンネットワークを訪問する間だけ使用する長期アドレスとしてモバイルノードにより所有されてもよい。同位置ケア・オブ・アドレスを使用するとき、モバイルノードは、トンネルのエンドポイントとして機能し、そのアドレスへトンネルされたデータグラムのカプセル解除を実行する。このメカニズムは、モバイルノードがフォーリンエージェントなしで機能することを可能にするという利点を持つ。訪問するモバイルノードで利用可能とするために、フォーリンネットワーク内にアドレスのプールを必要とするので、それはIPv4アドレススペースに負担をかけるかもしれない。
そのケア・オブ・アドレスは、フォーリンエージェント関数とは異なる。ケア・オブ・アドレスは、トンネルのエンドポイントである。それはフォーリンエージェントのアドレスであってもよいが、それはモバイルノード(同位置ケア・オブ・アドレス)により一時的に取得されたアドレスであってもよい。フォーリンエージェントは、モバイルノードにサービスを提供する移動性エージェントである。
図2は、モバイルノードがホームエージェントに登録した後に、ホームネットワークから離れたモバイルノードへ/からのデータグラムの経路を示す。方法200は、フォーリンエージェントケア・オブ・アドレスを使用して、モバイルノードを説明する。モバイルノードへのデータグラムは、標準的なIPルーティングを使用して、ホームネットワーク上のホスト202に到着する。ホームエージェント204はデータグラムを傍受し、データグラムをケア・オブ・アドレスにトンネルする。フォーリンエージェント206は、データグラムのトンネルを解除し、モバイルノードにより送信されたデータグラムのためにモバイルノード208に配送し、標準的なIPルーティングは指定された送り先に各データグラムを配送する。図2では、フォーリンエージェントはモバイルノードのデフォルトルーターである。
ホームエージェントは、それに登録されたモバイルノードのいくつかのホームアドレスに送られたデータグラムを引きつけ、かつ、傍受することができなければならない。この要求は、ホームエージェントが、モバイルノードのホームアドレスにより示されるリンク上にネットワークインタフェースを有している場合に満たされる。モバイルノードに対してホームエージェントの他の配置も可能である。しかしながら、モバイルノードのホームアドレスに送信されたデータグラムを傍受する他の方法が必要である。
モバイルノード及び、現在又は予想されるフォーリンエージェントは、標準的なIPルーティングメカニズム、特にIPヘッダの中の送り先アドレスのネットワーク接頭辞に基づいて前もった決定をするメカニズムに依存せずに、データグラムを交換できねばならない。フォーリンエージェント及び訪問しているモバイルノードが同じリンク上にインターフェースを持っている場合に、これは達成される。この場合、モバイルノードとフォーリンエージェントは、それぞれのリンク層アドレスに基本的なリンク層パケットを送出して、互いのもとへデータグラムを送信するとき、一般的なIPルーティングメカニズムを単純にバイパスする。
モバイルノードが同位置ケア・オブ・アドレスを使用している場合、モバイルノードは、ケア・オブ・アドレスのネットワーク接頭辞により識別されるリンク上にあるべきである。そうでなければ、データグラムは配送できないだろう。
あるネットワークから別のネットワークまで移動するモバイルノードは、それがどのように到着するか通信するために柔軟なメカニズムを必要とする。これは、モバイルIPにおいて、登録を使用することで成し遂げられる。登録は、モバイルノードがフォーリンネットワークを訪れる際に転送サービスをリクエストし、現在のケア・オブ・アドレスのホームエージェントに通知し、期限の切れる登録を更新し、モバイルノードがホームに戻った際に登録解除するのに用いられる方法である。登録メッセージは、モバイルノード、フォーリンエージェント及びホームエージェントの間で情報を交換する。登録プロセスは、規定された期間にモバイルノードのホームアドレスとそのケア・オブ・アドレスとを関連付けることで、ホームエージェントで義務付けられる(binding)移動性を作成又は修正する。
モバイルIPは2つの異なる登録手順、ひとつは情報をモバイルノードのホームエージェントに中継するフォーリンエージェントを介する手順、他方はモバイルノードのホームエージェントに直接登録する手順、を提供する。ルールは、状況に依存して、どの手順を使用するべきか定義する。どちらの登録手順でも、本発明に係る方法及び装置と矛盾しない。
登録手順は、オーセンティケーション及びある程度のセキュリティを提供し、トンネルによる送信もセキュリティを提供する。それにもかかわらず、追加セキュリティは、複数のネットワークを通じて輸送する間、データグラムを保護するために必要である。モバイルIPv4は、インターネットキー交換バージョン2(IKEv2)として知られるキー交換プロトコルと共に使用される。IKEv2は、相互の認証を実行してセキュリティアソシエーションをセットアップ及び維持するために使用されるIPセキュリティ(IPsec)の構成要素である。IPsecは、IPデータグラムに機密性、データの完全性、アクセス制御及び、データソースオーセンティケーションを提供する。これらのサービスは、IPデータグラムのソース及びシンクにおける共有状態を維持することで提供される。この状態は、データグラムに提供される特定のサービスを定義する。これにより、暗号のアルゴリズムは使用され、キーはその暗号のアルゴリズムの入力として使用される。IKEv2は、この状態が動的に設立されることを可能にする。
全てのIKEv2通信は、ペアのメッセージで構成される:リクエストとレスポンス。ペアは交換として知られている。レスポンスはリクエストに続く。信頼性を保証することは依頼人の責任である。レスポンスがタイムアウト間隔内に受信されない場合、依頼人はリクエストを再送達するか、あるいは接続を中止しなければならない。最初の交換は、セキュリティアソシエーションのためにセキュリティパラメータを取り決める。第2のリクエストはID(identity)を送信し、2つのIDに対応する秘密の知識を証明し、セキュリティアソシエーションをセットアップする。
IKEは、各々のシナリオが特別の要求を有する、多数の異なるシナリオの中で使用される。IKEは、セキュリティトンネルへのセキュリティゲートウェイと共に使用される。図3は、このシナリオのブロック図を示す。このシナリオでは、どちらのIP接続のエンドポイントもIPsecを実行しないが、それらの間のネットワークノードは、経路の一部のためにトラフィックを保護する。保護は、エンドポイントには透明(transparent)であり、処理のためにトンネルエンドポイントを通してパケットを送信するため、通常の経路に依存する。各エンドポイントは、その「後ろ」のアドレスのセットをアナウンスし、パケットは、トンネルモードで送信される。ここで、内部IPヘッダは実際のエンドポイントのIPアドレスを含んでいる。
図4は、IP接続の両エンドポイントがIPsecを実行する場合又は、エンドポイントからエンドポイントのシナリオを示す。送信モードは、内部IPヘッダなしで使用される。内部IPヘッダがある場合、内部アドレス及び外部アドレスは同一である。単一の1ペアのアドレスは、パケットがこのセキュリティアソシエーションにより保護されるように取り決められる。これらのエンドポイントは、参加者のIPsecにオーセンティケーションIDに基づいたアプリケーション層アクセス制御を実行する。このシナリオの1つの利点は、それが末端間セキュリティを提供するということである。
図5は、エンドポイントとセキュリティゲートウェイとのトンネルのシナリオのブロック図を示す。このシナリオでは、保護されたエンドポイント(典型的にはポータブルローミングデバイス)は、IPsecに保護されたトンネルを通ってその共同ネットワークに戻って接続する。デバイス又は、モバイルノードは、共同ネットワーク上で情報にアクセスするためのみにこのトンネルを使用する。あるいは、それは、共同ファイアウォールにより得られる保護の利点を得るために、共同ネットワークを通してトラフィックの戻りのすべてをトンネルする。いずれの場合も、エンドポイントに返されたパケットがセキュリティゲートウェイへ行き、トンネルされて戻るように、保護されたエンドポイントは、セキュリティゲートウェイに関連したIPアドレスを要求するだろう。このIPアドレスは静的でも、又はセキュリティゲートウェイにより動的に割り当てられてもよい。動的割付IKEv2をサポートすることは、セキュリティ割当ての間の使用のためにセキュリティゲートウェイにより所有されたIPアドレスを、イニシエータがリクエストするためのメカニズムを含んでいる。
このシナリオでは、パケットはトンネルモードを使用する。保護されたエンドポイントからの各パケット上では、外部IPヘッダは、現在の位置に関連したソースIPアドレス(つまり、エンドポイントにトラフィックを直接伝送するアドレス)を含んでいる。一方、内部IPヘッダは、セキュリティゲートウェイによって割り当てられたソースIPアドレス(つまり、エンドポイントに転送するためにセキュリティゲートウェイへトラフィックを転送するアドレス)を含んでいる。外部送り先アドレスは、セキュリティゲートウェイの外部送り先アドレスになり、その一方で、内部送り先アドレスは、パケットための最終的な送り先となる。本発明は、これらのシナリオのうちのいずれと共に使用されてもよいが、トンネルと共に作動する際にうまく機能する。
モバイルIPv4及びIKEv2は、3Gシステムと関連づけて上記で説明された。本発明は、モバイルノードが3GシステムからWLANまで移動する時に見つかる問題を解決する。cdma2000IPデータ接続性の背景におけるWLANネットワークの概観が示されるだろう。
図1は、3Gホームコアネットワークと接続するために設計されたWLANネットワークの一部を示す。WLAN自体と接続する3Gホームコアネットワークにおける機能は、PIDFとHAを含んでいる。
PDIFは、パケットデータ相互作用関数(Packet Date Interworking Function)であり、それは、cdma2000を提供するネットワークにおいてリソース及びパケットデータサービスを、無許可のアクセスから保護するセキュリティゲートウェイの役割をする。PDIF122は、提供されるネットワーク内、この場合では、3Gホームコアネットワークに配置される。HA124又はホームエージェントも3Gホームコアネットワークに配置される。PDIF122は、3Gホームコアネットワーク及び他の外部ネットワークにIP接続性を提供することにより、パケットデータサービスへのアクセスを提供する。それは、トンネルの開設及び解放、サービスネットワークからMSへのIPアドレスの割り当て及び、MS又はモバイルノードへ/からの輸送のカプセル化及びカプセル解除を含む、それ自体とモバイルノード又は移動局(MS)の間の安全なトンネル管理手順をサポートする。それは、パケットフィルタリング及びルーティング等の、提供するネットワーク処理も実行する。PDIF122は、H−AAA120へのインターフェースを通り、ユーザーオーセンティケーションやオーソリゼーション処理情報の移転をサポートする。さらに、PDIF122はアカウント情報を収集して報告する。
上述されるように、トンネルは、インターネットによってデータグラムを転送する安全な手段である。トンネルは下記で説明される手順を使用して開設される。
図6は、トンネル開設手順におけるメッセージのフローを示す。トンネルの開設を開始するために、MS又はモバイルノードは、WLANアクセスネットワークに認証し、インターネットアクセスを受信する。これは、許可のためにH−AAAと共にチェックするWLANアクセスネットワークを含んでいてもよい。MSかモバイルノードは、アクセスネットワークからのIPアドレスを設定し、デフォルトルーター及びサーバーを発見する。
その後、MS又はモバイルノードは、PDIFの発見を実行する。PDIFのIPアドレスはグローバルで、公に送ることができるIPアドレスである。
その後、MS又はモバイルノードは、PDIFと共にIKEv2交換を開始する。最初のメッセージセットは、キーを交換するために必要とされる交換である。これらの交換は、データグラムポートカプセル化の交渉もサポートする。
次にMS又はモバイルノードは、PIDFと共にキー交換オーソリゼーションを開始する。これらのメッセージは、前のステップで交渉された鍵を用いて暗号化されて保護している。その後、MS又はモバイルノードは、トンネル内部IPアドレス(TIA)をリクエストする。MS又はモバイルノードは、サービスオーソリゼーションリクエストにおけるペイロードにそのネットワークアクセス識別子(NAI)を含む。
PDIFは、IKEオーソリゼーションリクエストを受信し、サービスオーソリゼーション及びユーザーオーセンティケーションをリクエストするためにH−AAAと接続する。H−AAAは、加入者を認証し、オーセンティケーション情報をPDIFに戻す。PDIFは、MS又はモバイルノードへオーソリゼーションメッセージを送ることにより、IKEオーソリゼーション交換を完了する。一旦このIKEオーソリゼーションが完了すると、IPsecトンネルが、MS又はモバイルノードとPDIFとの間で開設される。
図7は、3G−WLAN相互作用におけるホームエージェントによる動的なホームアドレスの割り当てのフロー図である。図7では、左手側の数字(例えば1、2、3等)は、一般に、本発明の実施例による3G−WLAN相互に作用するアーキテクチャにおけるホームエージェントによる動的なホームアドレス割り当ての方法のステップを示す。ステップ1では、上に議論されるように、トンネルモードを使用する時、IKEv2実施のためにTIAが要求される。この要求のため、MS又はモバイルノードは、TIAをMSに割り当てるようにPDIFに伝えるInternal_IP4_Addressをゼロに設定する。MSは、上述されたように、MSがMIPV4 FA CoAオペレーションを使用したいことを示す3GPP2特有パラメータをさらに含む。
ステップ2において、PDIFは、一時的なアドレスxをMSに割り当てる。このアドレスは、ステップ9以降で回復される。
ステップ3では、PDIFは、IKEオーソリゼーション応答メッセージでMSに一時的アドレスxを伝える。
ステップ4では、PDIFは、MSのためにセキュリティ処理データベース(SPD)を作成する。この方法において、SPDの処理は、一時的なアドレスxに送信されるパケットを全て却下することである。
ステップ5において、MSはそれがMIPv4 FA CoAオペレーションを使用することを示したので、PDIFは、周期的な基準でMSへエージェント広告を送る。エージェント広告はFA CoAを含んでいる。
ステップ6において、MSは、FAにMIPv4登録リクエスト(RRQ)を送信する。ソース及び送り先IPアドレスは、それぞれ0.0.0.0及びFA CoAである。ソース及び送り先ポート番号は、それぞれw(MSによって選択される)及び、434(MIPv4登録のために周知のポート)である。HAにHoAを割り当てるようにリクエストを伝えるため、RRQは、MSのNAI及び、0.0.0.0に等しく設定されたホームアドレス(HoA)フィールドを備える。
ステップ7において、PIDFは、セレクターとして送り先ポートw及びMSのNAIを付加することにより、SPDを変更する。これは、MSに伝送されるMIPv4登録再生(RRP)のみと、PDIFからMSまでのIPsecトンネルとを関連付けることを意味する。これは、PDIFが、正確なIPsecトンネルへRRPを送ることを可能にする。
ステップ8では、HAは、HoA(y)を割り当て、MSのNAIを含むRRPを応答する。ソース及び送り先IPアドレスは、それぞれHA及びCoAである。ソース及び送り先ポート番号は、それぞれz(HAによって選択される)及びwである。
ステップ9において、PDIFは、セレクターとして送り先アドレスyだけ(つまりMSのHoA)を含むことにより、SPDを変更する。これは、PDIFが、MSに伝送される後続のIPパケットと、PDIFからMSまでのIPsecトンネルとを関連付けることを意味する。これは、PDIFが正確なIPsecトンネルへパケットを送ることを可能にする。
補足実施例は、個人のアドレシングサポートを考慮に入れる。すなわち、各HAは、個人アドレスを割り当てて、それ自身の個人アドレススペースを管理してもよい。この実施例では、2つのHAが、同一の個人アドレスを同一のPDIFにより、異なるMSに割り当てることが可能である。この状況で、2つのMSに伝送される2つのパケットは、同一の送り先IPアドレスを有する。そのため、PDIFは、各パケットに適切なIPsecトンネルを決定しなければならない。MSに伝送される各IPパケットは、IP−IPカプセル化を経て、MSのHAからPDIFに到着する。この状況で、パケットの外部ソース及び送り先アドレスは、それぞれHAのIPアドレス及びFAのIPアドレスである。パケットの内部ソース及び送り先アドレスは、それぞれMSのIPアドレス及び一致ノードのIPアドレスである。2つのMSは同一の個人アドレスを有しているが、2つのMSは異なるHAによりサーブされているので、それらは全体的に送ることが可能な異なるHA IPアドレスを有する。
さらなる実施例では、PDIFは、MSのためのSPDにおける追加セレクターとして、外部トンネルのソースIPアドレス(HAのIPアドレス)を含んでいる。これは、上に記述された方法のステップ9を変更する。この実施例におけるステップ9は、RRP(ステップ8を参照)の中で割り当てられたHoA(つまりy)が個人アドレスであることを発見することをPDIFに要求する。その後、PDIFは、MSのためのSPDにおける追加セレクターとして、外部トンネルのソースIPアドレス(MSのHA IPアドレスと等しく設定される)を加える。
さらなる実施例では、熟練した技術者は、コンピュータープラットフォームのメモリのような、コンピューターの読取り可能メディア上で具体化されるプログラムの実行によって、前述の方法は提供されることを理解するだろう。その教訓は、様々なタイプの信号を含んだメディア、又は、様々なタイプの第1、第2又は、第3のデータ保存メディアに存在することができる。メディアは、例えば、クライアントデバイス及び/又はサーバーによりアクセス可能であり、又は、クライアントデバイス及び/又はサーバー内に存在するRAMを含んでもよい。RAM、ディスケット又は他の補助記憶メディアに含まれていようと、その教訓は、DASDストレージ(例えば、従来の「ハードドライブ」又は、RAIDアレイ)、磁気テープ、電気的な読み出し専用メモリ(例えば、ROM又は、EEPROM)、フラッシュメモリーカード、光学ストレージデバイス(例えば、CD−ROM、WORM、DVD、デジタル光学テープ)、ペーパー「パンチ」カード、又はデジタル及びアナログ伝送メディアを含む他の適合データ保存メディアのような様々な機械可読のデータ保存メディア上に格納されてもよい。
前記開示は、本発明に係る実施形態を示しているが、添付された請求項により定義される発明の範囲から逸脱しない限りで、様々な変更及び修正を加えることが可能であることは注目されるべきである。ここで説明された発明の実施例に基づいた方法クレームの処理及びステップは、特定の順序で実行される必要はない。さらに、本発明の構成要素は、単数で説明され、又は、クレームされているが、単数であることに限定しない限り、複数である場合を考慮してもよい。
以上のように、本発明の好ましい実施例は示されて説明された。しかしながら、技術における通常のスキルにより、ここで説明された実施例に、本発明の趣旨又は範囲から逸脱しないで、多くの変更を加えられることは明白かもしれない。したがって、本発明は、クレームとの一致を除いて限定されない。