JP2009516435A - 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化 - Google Patents

複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化 Download PDF

Info

Publication number
JP2009516435A
JP2009516435A JP2008540351A JP2008540351A JP2009516435A JP 2009516435 A JP2009516435 A JP 2009516435A JP 2008540351 A JP2008540351 A JP 2008540351A JP 2008540351 A JP2008540351 A JP 2008540351A JP 2009516435 A JP2009516435 A JP 2009516435A
Authority
JP
Japan
Prior art keywords
mobile
address
node
network node
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008540351A
Other languages
English (en)
Inventor
ジェイムズ ケンフ,
マンヒー ジョー,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2009516435A publication Critical patent/JP2009516435A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • H04W80/045Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

方法は、モビリティ管理にモバイルインターネットプロトコルバージョン6(モバイルIPv6)を使用するモバイルルータが、各モバイルネットワークノードがモバイルIPv6機能を果たさない場合でさえも、各モバイルネットワークノードに代わって通信相手ノードに直接対応付け更新メッセージをセキュアに送ることによって経路制御を最適化することを可能にする。各モバイルネットワークノードごとのネットワークアドレスが、モバイルネットワークノードとモバイルルータ両方の公開鍵から生成されるため、モバイルルータに、モバイルネットワークノードに代わって生成アドレスを使用する権限が与えられる。モバイルルータは、その接続点を変更する場合、各モバイルネットワークノードの通信相手ノードに署名付きの対応付け更新メッセージを送る。通信相手ノードは、対応付け更新メッセージと正しい公開鍵を検証すると、ホームエージェントを介さずに、モバイルネットワークノードとやりとりすることができる。したがって、セキュアなプロキシ対応付け更新メッセージをモバイルルータから送ることができる。
【選択図】 図1

Description

関連出願の相互参照
本発明は、2005年11月10日に出願した、「Secure Route Optimization for Mobile Network Using Multi-keyCryptographically Generated Addresses」という名称の米国仮特許出願第60/735749号(「‘749仮出願」)と、2006年11月7日に出願した、「Secure Route Optimization for Mobile Network Using Multi-KeyCryptographically Generated Address」という名称の米国特許出願第11/557283号(「‘283出願」)とに関連し、その優先権を主張するものである。また、本出願は、2006年3月16日に出願した、「Secure Address Proxying Using Multi-key Cryptographically GeneratedAddresses」という名称の、同時係属の米国特許出願第11/377589号(「‘589出願」)と、2006年3月16日に出願した、「Multi-key Cryptographically Generated Address」という名称の、同時係属の米国特許出願第11/377590(「‘590出願」)とにも関連するものである。‘749仮出願、‘283出願、‘589出願及び‘590出願は、参照によりその全文が本明細書に組み込まれる。米国指定では、本出願は、2006年11月7日に出願した上記米国特許出願第11/557283号の継続である。
発明の分野
本発明は、移動ネットワークの経路最適化に関する。詳細には、本発明は、通信相手ノードと、モバイルネットワーク内のノードの間の直接通信の保護を提供して、経路最適化を達成することに関する。
関連技術の考察
移動ネットワーク内のノードとモバイルネットワーク外のノードの間の経路を最適化するには、通信相手ノードにモバイルネットワーク内のネットワークアドレス所有者の動きについて知らせるのに、信頼性の高い、権限を有するプロキシネットワークノードを使用できることが求められる。
「AddressMechanisms in Internet Protocol」という名称の米国特許出願公開第2002/0133607号明細書(「Nikander出願」)には、一方向符号化関数を使って、ホストに特有の構成要素からのインターネットプロトコル(IP)アドレスを生成することが開示されている。その場合、結果として生じるIPアドレスを、ホストが請求することができる。Nikander出願では、ホストからのメッセージの受信側が、構成要素を使ってIPアドレスを再構築し、チェックすることができる。請求側ホストは、認証プロトコル又は公開鍵暗号化プロトコルを使って、メッセージのデータ保全性を確立してもよく、構成要素をIPアドレスと結び付ける。
「Methodsand Systems for Unilateral Authentication of Messages」という名称の国特許出願公開第2002/0152384号明細書(「Schelest出願」)には、請求側ホストの公開鍵のハッシュ化によってIPバージョン6(IPv6)アドレスを導出することが開示されている。Schelest出願では、請求側ホストからのメッセージの受信側が、IPv6アドレスのハッシュをチェックし、メッセージ内の暗号化署名をチェックしてそのデータ保全性を検証する。IPv6アドレスと含まれる署名の両方が検証された場合、受信側は、そのIPv6アドレスに対するホストの所有権請求を受け入れる。
Gabriel Montenegro及びClaude Castelluciaによる、「Crypto-Based Identifiers (CBIDs): Concepts and Applications」(「Montenegro論文」)、ACMTransactions on Information and System Security(2004年2月)では、ホストのアドレス使用権限の請求を検証するための、暗号化生成識別子の使用が検討されている。
「AddressingMechanisms in Mobile IP」という名称の、米国特許出願公開第2003/00849293号明細書、(「Arkko出願」)には、所有者ノードが、そのIPアドレスの責任を、そのアドレスが生成されるときに第2のノードに委任することが開示されている。Arkko出願では、IPアドレスは、Nikander出願又はSchelest出願に開示されている方法を使って暗号化して生成され得る。Arkko出願の方法によれば、所有者ノードは、第2のノードから公開/秘密鍵対の公開鍵部分を獲得し、第2のノードの公開鍵の上に所有者ノード自体の秘密鍵で署名することによって権限証明書を作成する。次いで、権限証明書が第2のノードに提供される。次いで、権限証明書は、所有者ノードのIPアドレスに関連する任意のメッセージに入れて配布され得る。第2のノードは、権限証明書を含むかかるメッセージに、第2のノードの秘密鍵で署名する。メッセージの受信側は、第2のノードの公開鍵を使ってメッセージを認証し、所有者ノードの公開鍵を使って権限証明書を認証する。IPアドレスの暗号化ハッシュは、所有者ノードのIPアドレスに対する権限を検証し、第2のノードの公開鍵は権限証明書を検証し、それによって、第2のノードが、所有者ノードに代わってメッセージを送る権限を確立する。
Tuomas AuraによるIETF RFC(Request for Comment)3972(2005年3月)には、近隣探索プロトコル(RFC2461及びRFC2462)を使って、IPv6アドレスを暗号化して生成し、IPv6アドレスの権限の請求を保護することが開示されている。IPv6アドレスは、所有者ノードの公開鍵の暗号化ハッシュと追加情報の両方を使って生成される。暗号化ハッシュの64ビットが、IPv6アドレスのインターフェース識別子として使用される。
「Methodsand Systems for Unilateral Authentication of Messages」という名称の、米国特許出願公開第2002/0152380号明細書(「O'Shea出願」)には、ホストの公開鍵(Schelest出願に記載されている方法など)を使って、モバイルIPv6ホームアドレスと気付アドレスを暗号化して生成することが開示されている。モバイルノードがホームサブネットの外部にあるとき、ホームネットワーク内のモバイルIPv6ホームエージェントは、ホームアドレス向けのデータパケットを気付アドレスに転送する。モバイルノードは、通信相手ノードが、パケットを、ホームアドレス経由ではなく、気付アドレスに直接アドレス指定して、経路制御性能を改善するよう要求してもよく、このプロセスを「経路最適化のための対応付け更新」という。このように経路制御を最適化するシグナリングは、モバイルノードに新しい気付アドレスを請求する権限が与えられているという証拠を必要とする。この証拠は、ネットワークアドレスとシグナリングパケット上の公開鍵署名の暗号化特性を使って提供され得る。モバイルノードは、対応付け更新シグナリングパケットに、ネットワークアドレスを生成するのに使用される公開鍵に対応する秘密鍵で署名する。シグナリングパケットは、送信元アドレスを、新しい、暗号化して生成された気付アドレスに設定して送られる。また、シグナリングパケットには、暗号化して生成されたホームアドレスとモバイルノードの公開鍵も含まれる。シグナリングパケットを受け取ると、通信相手ノードは、送信元アドレスとホームアドレスが、パケットに含まれる公開鍵から生成され得ることをチェックし、次いで、署名をチェックする。送信元アドレスと公開鍵の両方が検証される場合、通信相手ノードは、そのシグナリングパケットを受け入れる。
Jari Arkko、James Kempf、Brian Zill、及びPekka NikanderによるRFC3971(2005年3月)には、(RFC2461と2462に記載されている)IPv6近隣探索プロトコルを、ネットワークアドレスのセキュアな広告及び防御と、最後のホップIPルータのセキュアな探索のために拡張することが開示されている。ノードは、RFC3972に記載されているアルゴリズムに従って暗号化生成アドレスを生成し、近隣広告パケットにRSA署名で署名する。近隣広告パケットは、アドレスの所有権を請求する。この請求は、アドレスの暗号特性によって証明され、パケット上の署名は、パケットに対するデータ起点認証を確立する。よって、受信側ノードは、そのパケットが請求された送信元アドレスから発せられていると信頼することができ、メッセージは、請求側ノードがそのネットワークアドレスを請求する権限を確立する。SENDプロトコルは、さらに、最後のホップルータのセキュアな探索も可能にする。RFC3972では、最後のホップルータに関する証明書のフォーマットが指定されている。かかる証明書を処理するルータは、ルータ広告メッセージに、それの認証された公開鍵の秘密鍵対応部分で署名する。最後のホップルータを求めるノードは、ルータの証明書と、そのルータから共用のTrust Root(信頼されるルート)まで戻る証明書チェーンを獲得する。このノードは、ルータの認証鍵を使って、ルータ広告メッセージ上の署名を検証し、それによって、認証された最後のホップルータを獲得する。
Jari Arkko、Christian Vogt、及びWassim HaddadによるIETF草案「draft-arkko-mipshop-cga-cba-04」(「Arkko草案」)(2006年6月)には、モバイルIPv6ノードのセキュアな経路最適化のためにモバイルIPv6を拡張することが開示されている。Arkko草案では、モバイルノードはその通信相手ノードに、伝搬経路を最適化するための対応付け更新メッセージを直接送る。通信相手ノードは、RFC3972に開示されているように、モバイルノードの公開鍵を使って、モバイルノードの請求アドレス所有権を検証する。加えて、対応付け更新シグナリング負荷を低減することにより、ハンドオフ遅延を低減しようとする試みも行われる。アドレス所有権検証時の宛先変更ベースのフラッド攻撃は、両ノードでパケットの量を制限することによって防止される。
Vijay Devarapalli、Ryuji Wakikawa、Alexandru Petrescu、及びPascal ThubertによるRFC3963(2005年1月)には、モバイルネットワークにインターネットへの接続を提供するプロトコルが開示されている。モバイルネットワーク内の各ノード(「モバイルネットワークノード」)に代わって、そのノードがモビリティ機能を備えているか否かを問わず、モバイルIPv6機能を有するルータ(「モバイルルータ」)が、モバイルネットワークノードとインターネットの間の連続した接続を提供するモビリティサポート機能を実行する。モバイルルータは、モバイルルータとそのホームエージェントの間の双方向トンネルを確立する。モバイルルータは、その接続点を変更するたびに、この双方向トンネルを再確立する。この構成の下では、各モバイルネットワークノードに向けられ、各モバイルネットワークから送られるすべてのパケットが、この双方向トンネルを介してモバイルルータのホームエージェントによって処理される。
上記から分かるように、Nikander出願及びSchelest出願、Montenegro論文、RFC3972、Shea出願、並びにRFC3971は、ネットワークアドレスを使用する権限が、単一のホストによって請求される場合のみに関連するものである。加えて、Arkko草案は、モバイルIPv6ノードの経路最適化のみに関連するものである。しかしながら、しばしば、1つ又は複数のホストにアドレスを使用する権限を与えることが、各ノードがモビリティ機能をサポートしているか否かを問わず、必要になり得る。かかる必要の例は、モバイルネットワーク用途や、モバイルネットワークの経路制御最適化で見ることができる。
上記から分かるように、RFC3963は、すべてのパケットが、モバイルルータとそのホームエージェントの間の双方向トンネルを介して伝搬されるものと規定している。この次善の経路制御方式は、モバイルネットワークノードに代わって通信相手ノードに直接対応付け更新メッセージを送ることのできる、信頼性の高い、権限を有するプロキシモバイルルータが存在する場合には不要である。その場合、通信相手ノードは、新しく獲得されたアドレスを含む対応付け更新メッセージが権限を有するノードから送られていることを検証することができる。しかしながら、モバイルネットワークノードが、その公開鍵だけに結び付けられた暗号化識別子を使ってアドレスを生成する場合には、そのモバイルネットワークノードだけしか、セキュアな対応付け更新メッセージを送ることができない。モバイルルータによるプロキシ対応付け更新メッセージは、セキュリティなしで行われなければならない。
Arkko出願には、所有者ノードが、そのアドレスの広告と防御を別の当事者に委任することが開示されているが、Arkko出願の解決法は、煩雑である。Arkko出願では、所有者ノードの公開鍵と委任先ノードの公開鍵の両方を使用することに加えて、属性証明書も必要とされる。アドレスを生成した後、属性証明書が、所有者ノードによって、委任先ノードに送られる。Arkko出願に記載されているように、Arkko出願の解決法は、請求側が所有者ノードであるか、それとも委任先ノードであるか識別する。この情報は、攻撃者によって、所有者ホストに関する場所その他の情報を推論するのに使用され得る。
概要
本発明の一態様によれば、一方法は、ルータがモバイルネットワーク内でセキュアなプロキシ経路最適化を実行することを可能にする。一実施形態では、モバイルネットワーク内のモバイルノードが、モバイルルータから、モバイルネットワークプレフィックスとそのモバイルルータの公開鍵を含むルータ広告メッセージを受け取る。モバイルノードは、モバイルネットワークプレフィックス、及びモバイルノード自体の公開鍵とモバイルルータの公開鍵の両方を使って、複数鍵暗号化生成アドレス(MCGA)を生成する。次いで、このMCGAが、モバイルルータに知らされる。一実施形態では、モバイルルータは、MCGAとモバイルノードの公開鍵をキャッシュに入れる。次いで、モバイルルータに、セキュアなプロキシ経路最適化を実行する権限が与えられる。
また、本発明は、モバイルルータが、経路最適化を可能にするために、モバイルノードに代わって通信相手ノードに対応付け更新メッセージを送ることを可能にする方法も提供する。一実施形態では、モバイルネットワークノードに代わって、モバイルルータが、モバイルネットワークノードの通信相手ノードに保護された対応付け更新メッセージを送る。その場合、モバイルネットワークノードには、場所の変更又は気付アドレスの変更が生じたときに、モビリティ機能を果たす必要がなくなる。
本発明の別の態様によれば、セキュアなプロトコルは、通信相手ノードが、アドレスを請求するモバイルノードの権限を検証することを可能にする。通信相手ノードは、モバイルノードのネットワークアドレスとメッセージ上の署名を、そのネットワークアドレスを生成するのに使用される公開鍵を使ってチェックする。加えて、アドレスを請求するモバイルノードは、その要求に、そのネットワークアドレスを作成するのに使用される1つ又は複数の公開鍵に対応する秘密鍵を使って署名される署名を含む。この署名は、ネットワークアドレスを形成するすべての公開鍵を使って形成されたリング署名とすることができる。
本発明の一態様によれば、ネットワークアドレスが、モバイルネットワークノードによって自動的に構成され得る。モバイルネットワークノードは、適切なプロトコルを使用し、モバイルルータの公開鍵とネットワークプレフィックスを使ってネットワークアドレスを作成する。適切なプロトコルの例には、SENDプロトコル、すなわち、モバイルノード鍵のIPv6ルータ探索の拡張が含まれる。ルータは、モバイルノードに、モバイルノードの公開鍵を標準SEND近隣探索メッセージに含ませることによって、モバイルノードの公開鍵を獲得し得る。
また、本発明は、モバイルノードが、ネットワークアドレスをセキュアに請求し、防御する方法も提供する。一実施形態では、この方法は、少なくとも、モバイルネットワークノードの公開鍵とモバイルルータの公開鍵とから生成されるネットワークアドレスを求めるアドレス解決要求を受け取るステップを含む。この方法では、アドレス解決要求に応答して、送信側に公開鍵を含めたメッセージを送る。アドレス解決要求の送信側は、受け取った公開鍵を使ってネットワークアドレスをチェックし、モバイルネットワークノード又はモバイルルータにより秘密鍵を使って署名されているメッセージ上の署名を検証する。
よって、本発明は、モバイルルータが、経路最適化のためにIPv6モバイルネットワークノードに代わって通信相手ノードに直接対応付け更新を送ることを可能にし、通信相手ノードがモバイルルータの権限を検証することを可能にする。
本発明は、本発明と添付の図面を考察すればよりよく理解されるものである。
好ましい実施形態の詳細な説明
本発明は、モビリティ管理にモバイルIPv6を使用するモバイルルータが、IPv6モバイルネットワークノードに代わって通信相手ノードに直接対応付け更新メッセージを送ることにより、経路制御をセキュアに最適化することを可能にする。例えば、一実施形態によれば、IPv6モバイルネットワークノードは、ネットワークプレフィックスと、モバイルルータから広告される公開鍵と、モバイルネットワークノード自体の公開鍵の組み合わせを使って、複数鍵暗号化生成IPv6アドレス(MCGA)を生成する。モバイルネットワークノードもモバイルルータも、ネットワークアドレスを請求するメッセージに署名し、これを検証することができる。モバイルネットワークがその接続点を変更すると、モバイルルータは、モバイルネットワークノードに代わって、通信相手ノードに直接セキュアな対応付け更新メッセージを送る。このMCGAが通信相手ノードにセキュアに提供されれば、後続のデータパケットを最適化された経路を介して送ることができる。
図1に、IPv6モバイルネットワークノード(「モバイルネットワークノードA」など)におけるIPv6MCGAの構成を示す。図1に示すように、ステップ101で、モバイルルータ(「モバイルルータB」など)は、RFC2462の要件によるIPv6マルチキャストアドレス(すなわち、「All_Nodes_Multicast_Address」)にルータ広告メッセージをマルチキャストする。ルータ広告メッセージは、例えば、モバイルネットワークプレフィックスと、RFC3971の要件などによるCGAオプションの公開鍵(すなわち、モバイルルータB自体の公開鍵)を含む。次いで、ステップ102で、モバイルネットワークノードAは、モバイルルータBの公開鍵を使ってモバイルルータBのアドレスを検証する。正常に検証された場合、ステップ103で、モバイルネットワークノードAは、モバイルネットワークプレフィックス、及びモバイルルータBの公開鍵とモバイルネットワークノードA自体の公開鍵の両方を使って、MCGA(「アドレスAB」)を生成する。ステップ104で、モバイルネットワークノードAは、重複アドレス検出プロトコルを実行して、アドレスABに近隣要請を送り、CGAオプションでモバイルネットワークノードAの公開鍵を提供する。また、モバイルネットワークノードAは、近隣要請に、その公開鍵と、モバイルルータBの公開鍵と、(モバイルネットワークノードAの公開鍵を補完する)モバイルネットワークノードAの秘密鍵を使った署名を含めてもよい。(ステップ105で)所定の期間後に近隣要請への応答が受け取られないとき、ステップ106で、モバイルルータBは、モバイルネットワークノードAの公開鍵とモバイルルータB自体の公開鍵を使って、アドレスABと近隣要請の署名を検証する。ステップ107で、モバイルルータBは、後で参照するために、アドレスABとモバイルネットワークノードAの公開鍵の間の対応付けを記録する。同時に(ステップ108)、アドレスABは、今や、重複アドレスでないとみなされているため、モバイルネットワークノードAは、アドレスABを、そのIPトラフィックの送信元アドレスとして使用することができる。攻撃者がアドレスABを詐称するのを防ぐために、モバイルネットワークノードAとモバイルルータBは、例えば、RFC3971に記載されている証明書パス要請/広告技術を実施してもよい。
図2に、モバイルネットワークの接続点が変わるときに、モバイルルータBが、そのホームエージェントに対応付け更新メッセージを送る手順を示す。この実施形態では、モバイルルータBは、モビリティ管理にモバイルIPv6機能を使用する。したがって、モバイルルータBは、モバイルルータBが接続点を変更するときに、インターネットへの接続を確実にするためにそれ自体のホームエージェント(「ホームエージェントD」)に対応付け更新メッセージを送る。(図2には、新しい接続点が「アクセスルータC」に示されている)。この構成の下では、モバイルルータBのモバイルネットワーク内のモバイルネットワークノード(モバイルネットワークノードAなど)は、それ自体の対応付け更新メッセージをそれぞれのホームエージェントに送る必要がない。RFC3971に従って、ステップ201で、モバイルルータBとアクセスルータCは、SENDプロトコルを実行して、モバイルルータBの新しいアドレス(「気付アドレスB」又は「アドレスCoB」)を生成する。ステップ202で、モバイルルータBは、後続のデータパケットにおいてアドレスCoBを使用する。ステップ203で、モバイルルータBは、モバイルルータBのモバイルネットワークプレフィックス(「モバイルネットワークプレフィックスB」)とアドレスCoBを使って、ホームエージェントDに対応付け更新メッセージを送る。また、対応付け更新メッセージは、RFC3963に記載されているルータフラグを含んでいてもよい。ステップ204で、ホームエージェントDは、後で参照するために、モバイルネットワークプレフィックスBとアドレスCoBを表に記録する。次いで、ステップ205で、ホームエージェント205は、モバイルルータBに対応付け確認応答メッセージを送る。
図3に、IPv6基本サポート(すなわち、経路最適化なし)を使って、モバイルネットワークノードとその通信相手ノードの間でパケット経路制御を確立する手順を示す。IPv6基本サポートの下では、RFC3963に記載されているように、すべてのデータパケットが、モバイルルータB)とそのホームエージェントDの間の双方向トンネルを介して伝搬される。ステップ301で、モバイルネットワークノードAは、通信相手ノード(「ネットワークノードE」)にデータパケット(「パケットX」)を送る。ステップ302で、モバイルルータBは、パケットXを、ホームエージェントDに向けたIPv6パケットとしてカプセル化する。ステップ303で、パケットXを受け取ると、ホームエージェントDは、パケットXをカプセル開放し、ネットワークノードEのアドレスを使って、その目的の宛先に転送する。ネットワークノードEからモバイルネットワークノードAにデータパケット(「パケットY」)を送るのに、ネットワークノードEは、アドレスABを宛先アドレスとして使用する。ホームエージェントDは、ステップ304でパケットYを受け取ると、モバイルネットワークプレフィックスBを使って、以前にモバイルネットワークプレフィックスBとアドレスCoBを記録した表からアドレスCoBを検索する(ステップ305)。次いで、ステップ306で、ホームエージェントDは、パケットYをIPv6データパケット(「パケットY’」)にカプセル化し、パケットY’を、アドレスCoBを宛先アドレスに指定してモバイルルータBに送る。パケットY’を受け取ると、モバイルルータBは、パケットY’をカプセル開放してパケットYを回復し、アドレスABを求めて経路制御表を検索する(ステップ307)。ステップ30で、モバイルルータは、パケットYをモバイルネットワークノードAに送る。したがって、すべてのパケットが、モバイルルータBとホームエージェントDの間の双方向トンネルを介して転送される場合には、パケットは、最適化された経路を介して伝搬しない可能性があることに留意されたい。経路最適化をセキュアなやり方でサポートするために、本発明の一方法では、モバイルルータBは、モバイルネットワークノードAがモバイルIPv6機能を果たすことができない場合でさえも、モバイルネットワークノードAに代わってネットワークノードEに対応付け更新メッセージを送ることができる。
図4に、対応付け更新メッセージが、モバイルネットワークノード(モバイルネットワークノードAなど)に代わって、モバイルルータBからネットワークノードEに送られる初期のセキュアな対応付け更新プロトコルを示す。モバイルルータBがネットワークノードEにセキュアな対応付け更新メッセージを送る前に、モバイルルータBとネットワークノードEは、例えば、RFC3775などによる往復経路確認(Return Routability)プロトコルを実行して到達性を確実にする(ステップ401から406)。ステップ401と402で、モバイルルータBは、Home Init Cookie(ホーム開始クッキー)を含むHome Test Init Request(ホーム試験開始要求)を、ホームエージェントD経由でネットワークノードEに送る。Home Test Init Requestは、アドレスABを送信元アドレスに指定する。同時に、モバイルルータBは、Care−of Test Cookie(気付試験クッキー)を含むCare−of Test Init Request(気付試験開始要求)を、アドレスCoBを送信元アドレスに指定してネットワークノードEに直接送る(ステップ403)。ステップ404と405で、ネットワークノードEは、Home Init Cookieに基づいてHome Keygen(すなわち、鍵生成)Tokenを算出し、そのHome Keygen TokenをHome Init Cookieと共にHome Test Response(ホーム試験応答)に入れて、ホームエージェントD経由でモバイルルータBに送る。ステップ406で、ネットワークノードEは、Care−of Init Cookieに基づいてCare−of Keygen Token(気付鍵生成トークン)を算出し、そのCare−of Keygen TokenをCare−of Init Cookieと共にCare−of Test Response(気付試験応答)に入れて、モバイルルータBに直接送る。次いで、ステップ407で、モバイルルータBは、Home Keygen TokenとCare−of Keygen TokenからKbm(対応付け管理のための鍵)を構築する。Kbmは、「半永久的」期間にわたって、セキュリティアソシエーション鍵として使用される。ステップ408で、Kbmを使って、モバイルルータBは、RFC3775による対応付け更新メッセージのメッセージ認証コード(MAC)を算出する。加えて、ステップ409で、モバイルルータBは、モバイルルータBの秘密鍵を使って、対応付け更新メッセージの署名も計算する。この署名は、例えば、リング署名などとすることができる。ステップ410で、モバイルルータBは、この署名を、ネットワークノードEに送られる対応付け更新メッセージの署名オプションに含む。加えて、対応付け更新メッセージは、(a)対応付け権限データオプションのMACと、(b)送信元アドレスフィールドのアドレスCoBと、(c)複数鍵CGAオプションのモバイルネットワークノードAの公開鍵とモバイルルータBの公開鍵も含む。ステップ411で、ネットワークノードEは、モバイルネットワークノードAの公開鍵とモバイルルータBの公開鍵を使って、署名とMACとモバイルネットワークノードAのMCGA(すなわちアドレスAB)を検証する。ステップ412で、アドレスABが正常にチェックされ、署名が正常に検証されると、ネットワークノードEは、ネットワークノードEのアドレスを送信元アドレスに、アドレスCoBを宛先アドレスに指定して、モバイルルータBに対応付け確認応答メッセージを返送する。また、対応付け確認応答メッセージは、(a)対応付け権限データオプションに確認応答メッセージに対して算出されたMACを含み、(b)モバイルルータBが、後続のデータパケットの宛先アドレスを、アドレスCoBからアドレスABに変更できるように、例えばホームアドレスなどにアドレスABを含んでいてもよい。ステップ413で、ネットワークノードEは、後で参照するために、アドレスABとアドレスCoAを表に記録する。この時点から、ネットワークノードEは、アドレスCoBを、モバイルネットワークノードAへの到達可能アドレスとして使用することができる。
Arkko草案で指摘されているように、シグナリング負荷は、モバイルIPv6ノードが移動するときに長い遅延をもたらす。図5に、図4の初期の対応付け更新プロトコルの後でネットワーク接続に生じる後続の変更のためのずっと簡単な対応付け更新プロトコルを示す。モバイルルータBの接続点が新しいアクセスルータ(すなわちアクセスルータC)に変わる場合、モバイルルータBとアクセスルータCは、ステップ501に示すようにSENDプロトコルを実行する。次いで、ステップ502で、モバイルルータBは、その新しい気付アドレス(「アドレスCoB’」)を確立する。ステップ503で、モバイルルータBは、ネットワークノードEに、送信元アドレスとして新しいアドレスCoB’を含む仮の対応付け更新メッセージ(とCare−of Test Requestも)送る。また、モバイルルータBは、このメッセージに、以前に獲得したKbmを使って、対応付け権限データオプションの仮の対応付け更新メッセージに対して算出されたMACを含む。また、ステップ504で、ネットワークノードEは、仮の対応付け確認応答メッセージのMACも算出し、モバイルルータBに、仮の対応付け確認応答メッセージを、アドレスCoB’を使って生成された、新しいCare−of Keygen Tokenと共に返す。ステップ505で、ネットワークノードEは、アドレスABに向けられたすべてのパケットを、アドレスCoB’に宛先変更する。これらのステップの間、モバイルネットワークノードAとネットワークノードEは、モバイルルータBを介してペイロードパケットを送ってもよい。それらのパケットは、Arkko草案によれば、十分な信用が残されている限り許容される。ステップ506で、新しく受け取ったCare−of Keygen TokenとKbmを使って、モバイルルータBは、次に送られる実際の対応付け更新メッセージで使用される新しい対応付け管理鍵Kbm’を生成する。ステップ507で、モバイルルータBは、Kbm’を使って、実際の対応付け更新メッセージに対するMACを算出する。ステップ508で、モバイルルータBは、Bの秘密鍵を使って、実際の対応付け更新メッセージに対する署名を計算する。この署名もやはりリング署名とすることができる。ステップ509で、モバイルルータBは、実際の対応付け更新メッセージを、(a)複数鍵CGAオプションのモバイルネットワークノードAの公開鍵及びモバイルルータBの公開鍵と、(b)署名オプションの署名と、(c)対応付け権限データオプションのMACと共に送る。ステップ510で署名、MAC、及びアドレスABを検証した後、ネットワークノードEは、モバイルルータBに、ステップ511で算出した、新しく計算されたMACを含む対応付け確認応答メッセージを送る。ステップ512で、ネットワークノードEは、アドレスABとアドレスCoB'を記録する。後続のデータパケットでは、ネットワークノードEは、アドレスCoB'を、モバイルネットワークノードAの到達可能アドレスとして使用する。
図6に、経路最適化の観点から見たパケット経路の比較を示す。事例601に、セキュアな経路最適化が使用されない場合を示す。ステップ602で、モバイルルータBは、そのホームエージェントDに、その新しいアドレスを知らせる対応付け更新メッセージを送る。ホームエージェントDがモバイルルータBに対応付け確認応答メッセージを返送(ステップ603)した後、モバイルネットワークノード(モバイルネットワークノードAなど)とその通信相手ノード(ネットワークノードEなど)の間のすべてのパケットは、ホームエージェントD経由の最適化されない経路を介して伝搬される。これに対して、事例602では、セキュアな経路最適化の使用を可能にする。事例602で、モバイルルータBは、経路最適化のために、セキュアな対応付け更新メッセージを、適切なパラメータと共にネットワークノードEに直接送る(ステップ606)。これらのパラメータには、(a)複数鍵CGAオプションの公開鍵と、(b)署名オプションのリング署名が含まれる。次いで、ネットワークノードEは、モバイルルータBに、適切なセキュリティパラメータを含むセキュアな対応付け確認応答メッセージ607を返送する。その後、モバイルネットワークノードAとネットワークノードEの間のすべてのデータパケットは、参照番号608を付した、最適化された経路を介して送信され得る。モバイルルータBには、モバイルネットワークノードAのアドレス(すなわちアドレスAB)を使用する権限が与えられているため、モバイルルータBは、モバイルネットワークノードAに代わってネットワークノードEに対応付け更新メッセージを送るプロキシとなることができる。ネットワークノードEは、モバイルルータBからの対応付け更新メッセージを検証し、認証することができるため、信頼性の高い、最適化された経路を、ホームエージェントDを介したトンネリングなしで使用することができる。
以上の詳細な説明は、本発明の具体的実施形態を説明するために示すものであり、限定するためのものではない。本発明の適用範囲内で多数の改変及び変形が可能である。本発明を、添付の図面に示す。
IPv6モバイルネットワークノードAが、それ自体の公開鍵とモバイルルータBの公開鍵を使ってMCGAを構成する手順を示す図である。 モバイルルータBが、それ自体のホームエージェントに対応付け更新メッセージを送る手順を示す図である。 IPv6基本サポートの下で(すなわち経路最適化なしで)、モバイルネットワークノードとその通信相手ノードの間のパケット経路制御を確立する手順を示す図である。 モバイルルータBが、経路最適化を可能にするために、モバイルネットワークノードに代わって、最初にモバイルネットワークノードの通信相手ノードに対応付け更新メッセージを送り、後続のデータパケットが、最適化された経路を介して送られるようにするセキュアな対応付け更新プロトコルを示す図である。 図4の初期対応付け更新プロトコルの後でネットワーク接続に生じる後続の変更のためのずっと簡単な対応付け更新プロトコルを示す図である。 セキュアな経路最適化なしとセキュアな経路最適化ありで行われ得る経路制御最適化を比較する図である。

Claims (1)

  1. モバイルルータがモバイルネットワークノードのためにセキュアなプロキシ対応付け更新を実行することを可能にする方法であって、
    ネットワークプレフィックス、及び前記モバイルルータと関連付けられた公開鍵を受け取るステップと、
    前記ネットワークプレフィックス、前記モバイルネットワークノードと関連付けられた公開鍵、及び前記モバイルルータからの前記公開鍵を使って、ネットワークアドレスを作成するステップと
    を含む方法。
JP2008540351A 2005-11-10 2006-11-09 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化 Pending JP2009516435A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US73574905P 2005-11-10 2005-11-10
US11/557,283 US20070113075A1 (en) 2005-11-10 2006-11-07 Secure route optimization for mobile network using multi-key crytographically generated addresses
PCT/US2006/060744 WO2007059419A2 (en) 2005-11-10 2006-11-09 Secure route optimization for mobile network using multi-key cryptographically generated address

Publications (1)

Publication Number Publication Date
JP2009516435A true JP2009516435A (ja) 2009-04-16

Family

ID=38042324

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008540351A Pending JP2009516435A (ja) 2005-11-10 2006-11-09 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化

Country Status (3)

Country Link
US (1) US20070113075A1 (ja)
JP (1) JP2009516435A (ja)
WO (1) WO2007059419A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505729A (ja) * 2007-11-22 2011-02-24 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動通信ネットワークにおいて使用するための方法及び装置

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8098823B2 (en) * 2005-05-03 2012-01-17 Ntt Docomo, Inc. Multi-key cryptographically generated address
US7593377B2 (en) * 2006-03-29 2009-09-22 Cisco Technology, Inc. Route optimization for a mobile IP network node in a mobile ad hoc network
CN101150849B (zh) * 2006-09-18 2010-09-08 华为技术有限公司 生成绑定管理密钥的方法、系统、移动节点及通信节点
CN101150572B (zh) * 2006-09-22 2011-08-10 华为技术有限公司 移动节点和通信对端绑定更新的方法及装置
US8279829B2 (en) * 2006-10-10 2012-10-02 Futurewei Technologies, Inc. Multicast fast handover
US8346268B2 (en) * 2006-11-20 2013-01-01 Alcatel Lucent Network controlled mobility route optimization for an IP base station transceiver architecture
US8171120B1 (en) * 2006-11-22 2012-05-01 Rockstar Bidco Lp Mobile IPv6 route optimization authorization
CN101247314B (zh) * 2007-02-15 2013-11-06 华为技术有限公司 路由优化方法、代理移动媒体pma及报文传送系统
WO2008102570A1 (ja) * 2007-02-23 2008-08-28 Panasonic Corporation 移動ネットワーク内で移動する移動ノードに関連する効率的な位置管理シグナリングのためのシステム、ルータ、移動ノード並びに移動ルータ
FI20070157A0 (fi) * 2007-02-23 2007-02-23 Nokia Corp Nopea päivityssanomien autentikointi avainderivaatiolla mobiileissa IP-järjestelmissä
US7885274B2 (en) * 2007-02-27 2011-02-08 Cisco Technology, Inc. Route optimization between a mobile router and a correspondent node using reverse routability network prefix option
US9516495B2 (en) * 2007-03-01 2016-12-06 Futurewei Technologies, Inc. Apparatus and methods of PMIPv6 route optimization protocol
JP2010527549A (ja) * 2007-05-16 2010-08-12 パナソニック株式会社 ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法
US8533455B2 (en) * 2007-05-30 2013-09-10 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for combining internet protocol authentication and mobility signaling
JP5197999B2 (ja) * 2007-06-18 2013-05-15 株式会社エヌ・ティ・ティ・ドコモ アクセス網切り替え方法、アクセス網切り替え装置及び移動機
US7779136B2 (en) * 2007-11-01 2010-08-17 Telefonaktiebolaget L M Ericsson (Publ) Secure neighbor discovery between hosts connected through a proxy
CN101431756A (zh) * 2007-11-08 2009-05-13 华为技术有限公司 防止恶意攻击的方法、系统和装置
CN100488099C (zh) 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
EP2058998A1 (en) * 2007-11-09 2009-05-13 Panasonic Corporation Route optimization continuity at handover from network-based to host-based mobility
US20100275253A1 (en) * 2007-11-22 2010-10-28 Panasonic Corporation Communication method, communication system, mobile node, and communication node
JP4913909B2 (ja) * 2008-01-18 2012-04-11 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルipネットワークにおけるルート最適化
JP5102372B2 (ja) * 2008-02-08 2012-12-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおいて使用する方法および装置
EP2253153A1 (en) * 2008-03-03 2010-11-24 Panasonic Corporation Information exchange between gateways for route optimization with network-based mobility management
KR101527249B1 (ko) * 2008-03-04 2015-06-08 텔레폰악티에볼라겟엘엠에릭슨(펍) Ip 어드레스 위임
US8533465B2 (en) * 2008-03-05 2013-09-10 The Johns Hopkins University System and method of encrypting network address for anonymity and preventing data exfiltration
US8493910B2 (en) * 2008-03-05 2013-07-23 Futurewei Technologies, Inc. Prefix delegation support for mobile networks
WO2009113921A1 (en) * 2008-03-12 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Re-establishment of a security association
CN101299668A (zh) * 2008-06-30 2008-11-05 华为技术有限公司 一种通信的建立方法、系统和装置
CN101729251B (zh) * 2008-10-21 2012-09-05 华为技术有限公司 Cga签名验证的方法和装置
CN101741820B (zh) * 2008-11-13 2013-12-18 华为技术有限公司 Cga公钥识别和cga公钥确定的方法、系统及装置
US20110055551A1 (en) * 2009-08-27 2011-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and network nodes for generating cryptographically generated addresses in mobile ip networks
US8953798B2 (en) * 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
US8635448B2 (en) 2011-12-06 2014-01-21 Cisco Technology, Inc. Secure prefix authorization with untrusted mapping services
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
CN110401646B (zh) * 2019-07-15 2020-05-05 中国人民解放军战略支援部队信息工程大学 IPv6安全邻居发现过渡环境中CGA参数探测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
US7539164B2 (en) * 2002-06-14 2009-05-26 Nokia Corporation Method and system for local mobility management
KR20030008183A (ko) * 2002-12-24 2003-01-24 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법
JP4733703B2 (ja) * 2003-09-13 2011-07-27 アルカテル−ルーセント ユーエスエー インコーポレーテッド 1次エージェントおよび2次エージェントとして動作可能な基地局から形成されたネットワーク・アクティブ・セットを使用する無線通信システム
US7925027B2 (en) * 2005-05-02 2011-04-12 Ntt Docomo, Inc. Secure address proxying using multi-key cryptographically generated addresses

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505729A (ja) * 2007-11-22 2011-02-24 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動通信ネットワークにおいて使用するための方法及び装置

Also Published As

Publication number Publication date
WO2007059419A3 (en) 2008-01-24
WO2007059419A2 (en) 2007-05-24
US20070113075A1 (en) 2007-05-17

Similar Documents

Publication Publication Date Title
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
US7925027B2 (en) Secure address proxying using multi-key cryptographically generated addresses
US8918522B2 (en) Re-establishment of a security association
JP4913909B2 (ja) モバイルipネットワークにおけるルート最適化
US7155500B2 (en) IP address ownership verification mechanism
JP4756048B2 (ja) プレフィックススコープバインディング更新をセキュアにするためのシステム及び関連方法並びに装置
JP4585002B2 (ja) 高速ネットワーク接続機構
WO2012056430A1 (en) Secure route optimization in mobile internet protocol using trusted domain name servers
US20100017601A1 (en) Method and Server for Providing a Mobility Key
US7933253B2 (en) Return routability optimisation
JP5144685B2 (ja) 移動ネットワークにおけるシグナリング委任
US8295487B2 (en) Method and apparatus for establishing a cryptographic relationship in a mobile communications network
US20120271965A1 (en) Provisioning mobility services to legacy terminals
WO2012056431A1 (en) Cryptographically generated addresses using backward key chain for secure route optimization in mobile internet protocol
Combes et al. Securing neighbor discovery proxy: Problem statement
Kandikattu et al. A secure ipv6-based urban wireless mesh network (sumnv6)
Liu et al. Local key exchange for mobile IPv6 local binding security association
Taha et al. Mutual Authentication in IP Mobility-Enabled Multihop Wireless Networks
Combes et al. RFC 5909: Securing Neighbor Discovery Proxy: Problem Statement
KR20070106496A (ko) 리턴 라우터빌리티의 최적화