JP2011501924A - プロキシモバイルip通信ネットワークでモバイルホストによって用いられるipアドレスを生成するための方法および装置 - Google Patents

プロキシモバイルip通信ネットワークでモバイルホストによって用いられるipアドレスを生成するための方法および装置 Download PDF

Info

Publication number
JP2011501924A
JP2011501924A JP2010529320A JP2010529320A JP2011501924A JP 2011501924 A JP2011501924 A JP 2011501924A JP 2010529320 A JP2010529320 A JP 2010529320A JP 2010529320 A JP2010529320 A JP 2010529320A JP 2011501924 A JP2011501924 A JP 2011501924A
Authority
JP
Japan
Prior art keywords
address
mobile host
anchor point
key generation
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010529320A
Other languages
English (en)
Other versions
JP5225384B2 (ja
Inventor
クリスチャン フォークト,
信太 杉本
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011501924A publication Critical patent/JP2011501924A/ja
Application granted granted Critical
Publication of JP5225384B2 publication Critical patent/JP5225384B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

プロキシモバイルIP通信ネットワークで使用される方法および装置。アンカーポイント機能は、少なくとも1つのモバイルホストにサービス提供する。アンカーポイント機能は、アンカーポイント機能が所有する暗号化データを用いて、モバイルホストが用いるIPアドレスを生成する。次に、アンカーポイント機能は、モバイルホストに代わって、モバイルホストのために生成されたIPアドレスと、IPアドレスを生成するのに用いられた暗号化データの少なくとも一部とを用いて、シグナリングを実行することができる。

Description

本発明は、通信ネットワークで使用される方法および装置に関し、詳細には、プロキシモバイルIPネットワークで用いられる方法および装置に関する。
IPのモビリティサポートについては、以下のような2つの主な技術が存在する。
・双方向トンネリング(bidirectional tunnelling):モバイルホストが、双方向トンネルで固定アンカーポイントに接続する。ホストは、トンネルを通じてアンカーポイントのリンクから固定IPアドレスを介して通信する。いずれかの所与の時点においてモバイルホスト側でトンネルを終了させるIPアドレスは、モバイルホストのオンリンクIPアドレス(on-link IP address)と呼ばれる。
・ルート最適化(route optimization):モバイルホストが、相手先ホストへの直接経路を介して通信する。パケットは、モバイルホストのオンリンクIPアドレスを介してルーティングされる。モバイルホストのIPレイヤと相手先ホストのIPレイヤとにおけるIPアドレスの置換によって、高位プロトコルレイヤが可変オンリンクIPアドレスではなくモバイルホストの固定IPアドレスを見ることが保証される。
双方向トンネリングおよびルート最適化はいずれも、モバイルホストに関する特別なモビリティ機能性を必要とする。このため、ホスト実装が一層複雑になり、従来のホストに対するモビリティサポートが困難になる。これを軽減するため、プロキシベースのIPモビリティプロトコルが開発されている。そのようなプロトコルでは、モビリティ機能性がモバイルホストに存在することは必要ないが、代わりに、モバイルホストによって用いられるアクセスルータに存在することが必要である。従って、モバイルホストのアクセスルータは、モバイルホストのプロキシとなり、そして、そのIPアドレスのうちの1つが、モバイルホストのオンリンクIPアドレスとして用いられる。従って、アクセスルータは、モバイルホストのモビリティシグナリングを処理し、そして、理想的には、モバイルホストは、自身がプロキシベースのIPモビリティプロトコルを使用していることに気付くべきではない。Proxy Mobile IPv6(Sri Gundavelli他:Proxy Mobile IPv6, draft-ietf-netlmm-proxymip6-18)が、現在の主なプロキシベースのIPモビリティプロトコルである。
Proxy Mobile IPv6の基本仕様は、双方向トンネリングを用いるものである。しかし、双方向トンネリングでは、アンカーポイントを介した最適とはいえないパケットルートが原因で、帯域幅利用およびパケット伝搬遅延が増加する。ルート最適化を用いるようにProxy Mobile IPv6を拡張する努力が進行中である(例えば、Behcet Sarikaya他:PMIPv6 Route Optimization Protocol, draft-netlmm-pmipro-00、および、Julien Abeille, Marco, Liebsch:Route Optimization for Proxy Mobile IPv6, draft-abeille-netlmm-proxymip6ro-00を参照)。
ルート最適化では、モバイルホストが、自分は自分の固定IPアドレスの正当なユーザであることを相手先ホストに対して証明することが必要である。この、いわゆる「IPアドレス・オーナーシップ・プルーフ(IP address ownership proof)」は一般に、モバイルホストと相手先ホストとの間の事前セキュリティあるいは信頼関係がないまま機能しなければならない。
Mobile IPv6におけるルート最適化のための主なプロトコルの1つであるEnhanced Route Optimization(Jari Arkko, Christian Vogt, Wassim, Haddad:Enhanced Route Optimization for Mobile IPv6a, RFC4866を参照。)は、モバイルホストが、固定IPアドレスを暗号的に生成することによって自分の固定IPアドレスのオーナーシップを証明することを可能にする。具体的には、固定IPアドレスは、モバイルホストの公開鍵/秘密鍵のペアのうちの公開成分の関数であり、そして、モバイルホストは、自分がそれぞれの秘密成分を知っているという証拠を提示することによって固定IPアドレスのオーナーシップを証明する。
残念ながら、Proxy Mobile IPv6シナリオの中でEnhanced Route Optimizationという方法論を用いるならば、モバイルホストのアクセスルータはモバイルホストの秘密鍵を知ることが必要となるであろうし、そして、モバイルホストが移動する際に各アクセスルータ全体にモバイルホストの秘密鍵を転送することが必要となるであろう。これは、モバイルホストの公開鍵が漏洩するリスクが高まることになり、セキュリティの観点からは受け入れられるものではない。
この問題に対処するため、いくつかの試みが行われている。例えば、Sarikaya他:PMIPv6 Route Optimization Protocol, draft-qin-netlmm-pmipro-00は、Enhanced Route Optimizationに基づくプロキシベースのルート最適化ソリューションを記述している。これは、モバイルホストのモビリティ機能性をアクセスルータに直接移動させるものであり、モバイルホストのアクセスルータがモバイルホストの秘密鍵を知ることを必要である。また、これはモバイルホストが移動する際にアクセスルータ間でモバイルホストの秘密鍵を転送することも必要である。これらの要件はどちらも、セキュリティの観点からは望ましくない。
Julien Abeille, Marco Liebsch:Route Optimization for Proxy Mobile IPv6, draft-abeille-netlmm-proxymip6ro-00は、モバイルホストと相手先ホストとがどちらもProxy Mobile IPv6ドメインに存在する場合に限って、ルート最適化についてのサポートを提供する。この利点は、事前セキュリティおよび信頼関係がモバイルホストと相手先ホストとの各プロキシ間に存在すると想定されうることである。この関係は、IPアドレスのオーナーシップの証明に利用される。相手先ホストがProxy Mobile IPv6ドメインに存在することが必要であることの欠点は、それによって通信がルート最適化されうる相手先ホストの集合が制限されてしまうことである。RFC4866をサポートする相手先ホストであっても、Proxy Mobile IPv6ドメインにいない相手先ホストはサポートされないことになる。
Sangjin Jeong, Ryuji Wakikawa:Route Optimization Support for Proxy Mobile IPv6 (PMIPv6), draft-jeong-netlmm-ro-support-for-pmip6-00は、Proxy Mobile IPv6ドメイン内の相手先ホストとProxy Mobile IPv6ドメイン外の相手先ホストとを使ったルート最適化を検討している。前者の場合、セキュリティおよび信頼関係がモバイルホストと相手先ホストとの各プロキシ間に存在すると想定される。これは、Julien Abeille, Marco Liebsch:Route Optimization for Proxy Mobile IPv6, draft-abeille-netlmm-proxymip6ro-00の場合と同じ欠点を有する。後者の場合、ルート最適化は、Mobile IPv6のセキュリティ設計に基づいて達成される(DavidZ B. Johnson, Charles E. Perkins, Jari Arkko:Mobility Support in IPv6, RFC3775を参照)。これはセキュアではあるが、長いハンドオーバ遅延が生じ、しかも、シグナリングのオーバヘッドが大きくなる。
本発明者は、PMIPv6ネットワークなどのプロキシモバイルネットワークのセキュリティを向上させる手法を発明した。ここでは、アンカーポイントによって生成され所有される固定IPアドレスがモバイルホストに割り当てられる。これは、Enhanced Route Optimizationのためのセキュアなサポートを提供するのに用いることができる。
本発明の第1の側面によれば、プロキシモバイルIP通信ネットワークにおいて実行される方法が提供される。アンカーポイント機能は少なくとも1つのモバイルホストにサービス提供する。アンカーポイント機能は、アンカーポイントが所有する暗号化データを用いて、モバイルホストで使用されるIPアドレスを生成する。次いでアンカーポイント機能は、モバイルホストに代わって、モバイルホストのために生成されたIPアドレスと、IPアドレスを生成するのに用いられた暗号化データの少なくとも一部とを用いて、シグナリングを実行することができる。
この方法は、オプションで、モバイルホスト固有の修飾子値をIPアドレスを生成するための暗号化データと組み合わせて用いて、前記IPアドレスを生成するステップを更に有する。このようにして、各モバイルホストについて異なる修飾子を用いることによって、アンカーポイントによってサービス提供される複数のモバイルホストについてIPアドレスを生成することができる。
1つのオプションとして、本方法はさらに、モバイルホストの生成されたIPアドレスをアンカーポイントによって以前に生成されたIPアドレスと比較するステップと、モバイルホストの生成されたIPアドレスが、以前に生成されたIPアドレスと同じである場合には、別の修飾子値を用いて別のIPアドレスを生成するステップとを有する。これによって、2つのモバイルホストに同じIPアドレスが割り当てられることを防止できる。
暗号化データは、アンカーポイント機能が所有する公開鍵/秘密鍵のペアを含むことができる。この場合、本方法はオプションで、アンカーポイント機能の公開鍵をリモートノードに提供するステップを更に有し、この公開鍵は、モバイルホストのIPアドレスを認証するためにリモートノードによって用いられることになる。
別の実施形態では、本方法は、生成されたIPアドレスを用いて相手先ノードとのEnhanced Route Optimizationを実行するステップを有する。
この場合、本方法はオプションで、相手先ノードからテンポラリホーム鍵生成トークンを受信するステップと、テンポラリホーム鍵生成トークンと、モバイルホストのIPアドレスと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを相手先ノードへ送信するステップとを有する。アンカーポイントは、相手先ノードから気付鍵生成トークンを受信し、Binding Updateメッセージをモバイルホストに代わって相手先ノードへ送信する。そのBinding Updateメッセージは、テンポラリホーム鍵生成トークンと、complete Binding Updateメッセージの場合には気付鍵生成トークンと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを含む。
オプションで、本方法はさらに、パーマネントホーム鍵生成トークンと、モバイルホストのIPアドレスと、暗号化データの少なくとも一部とを相手先ノードへ送信するステップと、別の気付鍵生成トークンを相手先ノードから受信するステップと、アンカーポイントから、モバイルホストに代わって、Binding Updateメッセージを相手先ノードへ送信するステップとを有し、そのBinding Updateメッセージは、パーマネントホーム鍵生成トークンと、complete Binding Updateメッセージの場合には別の気付鍵生成トークンと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを含む。
本発明の第2の側面によれば、プロキシモバイル通信ネットワークで使用されるアンカーポイント機能が提供される。アンカーポイント機能は、アンカーポイント機能によりサービス提供される少なくとも1つのモバイルホストと通信する受信器と、アンカーポイント機能が所有する暗号化データを少なくとも部分的に用いて、上記少なくとも1つのモバイルホストが用いるIPアドレスを生成するプロセッサとを有する。また、アンカーポイント機能は、モバイルホストに代わって、シグナリングを送信する送信器を有する。シグナリングは、モバイルホスト用に生成されるIPアドレスと、IPアドレスを生成するのに用いられる暗号化データの少なくとも一部とを用いる。
オプションとして、プロセッサは、モバイルホスト固有の修飾子値を暗号化データと組み合わせて用いる。
生成されたIPアドレスとすでに用いられているIPアドレスとの衝突を防ぐために、プロセッサはオプションで、モバイルホストの生成されたIPアドレスをアンカーポイントによって以前に生成されたIPアドレスと比較し、モバイルホストの生成されたIPアドレスが、以前に生成されたIPアドレスと同じである場合には、別の修飾子値を用いて別のIPアドレスを生成する。
オプションで、暗号化データは、アンカーポイント機能が所有する公開鍵/秘密鍵のペアを含む。この場合、アンカーポイント機能はさらに、モバイルホストのIPアドレスを認証するためにリモートノードによって用いられることになるアンカーポイント機能の公開鍵をリモートノードへ送信する第2の送信器を有する。
アンカーポイント機能はオプションで、相手先ノードからテンポラリホーム鍵生成トークンを受信する第2の受信器と、テンポラリホーム鍵生成トークンと、モバイルホストのIPアドレスと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを相手先ノードへ送信する第3の送信器とを有する。また、相手先ノードから気付鍵生成トークンを受信する第3の受信器と、Binding Updateメッセージをモバイルホストに代わって相手先ノードへ送信する第4の送信器も有する。そのBinding Updateメッセージは、テンポラリホーム鍵生成トークンと、complete Binding Updateメッセージの場合には気付鍵生成トークンと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを含む。
オプションで、アンカーポイント機能はさらに、パーマネントホーム鍵生成トークンと、モバイルホストのIPアドレスと、暗号化データの少なくとも一部とを相手先ノードへ送信する第5の送信器と、別の気付鍵生成トークンを相手先ノードから受信する第4の受信器とを有する。また、Binding Updateメッセージをモバイルホストに代わって相手先ノードへ送信する第6の送信器も有する。そのBinding Updateメッセージは、パーマネントホーム鍵生成トークンと、complete Binding Updateメッセージの場合には別の気付鍵生成トークンと、モバイルホストのIPアドレスを認証するのに用いられる暗号化データの少なくとも一部とを含む。
本発明の第3の側面によれば、プロキシモバイル通信ネットワークで使用されるアクセスルータが提供される。アクセスルータは、アンカーポイント機能から、アンカーポイント機能によりサービス提供されるモバイルホストに関連するシグナリングを受信する受信器を有する。また、シグナリングを相手先ノードへ転送する送信器も有する。そのシグナリングは、IPソースアドレスをモバイルノードによって用いられるアンカーポイントによって生成されるIPアドレスとして定義するパケットを含み、そのIPアドレスは、少なくとも部分的には、アンカーポイントが所有する暗号化データを用いて生成される。
本発明の一実施形態の各ステップを示すフローチャートである。 本発明の一実施形態によるモバイルホストがプロキシモバイル通信ネットワークに登録する際のシグナリングを概略的に示す図である。 本発明の一実施形態によるモバイルホストがプロキシモバイル通信ネットワークに再登録する際のシグナリングを概略的に示す図である。 本発明の一実施形態におけるプロキシモバイルIPv6ネットワーク内で用いられるアンカーポイントノードの構成を示すブロック図である。 本発明の一実施形態におけるアクセスルータの構成を示すブロック図である。
以下、特定の実施形態、手順、技術等の詳細を述べるが、説明を目的とするものであり、本発明をこれに限定するものではない。これらの特定の詳細とは別の、他の実施形態を採用できることは当業者には理解されよう。例えば、下記の記述は、ツリー構造のネットワークトポロジのかたちで構成されたモバイル通信ネットワークへの限定的でない例示の応用を用いて分かりやすく行われているが、この技術は、あらゆる通信ネットワークアプリケーションにも適用可能である。周知の方法、インタフェース、回路、デバイスの詳細については、余計な詳細説明のために記述が不明確にならないように、省略されている。また、一部の図においては、個別のブロックを示している。当業者であれば、これらの各ブロックの機能は、適切にプログラム化されたデジタルマクロプロセッサや汎用コンピュータに連動して、特定用途集積回路(ASIC)を用いて、および/または、1つ以上のデジタル信号プロセッサ(DSP)を用いて、個別のハードウェア回路を用いて、ソフトウェアプログラムおよびデータを用いて実装されうることを、理解するであろう。
固定IPアドレスの生成およびオーナーシップ
モビリティサポートを受ける前に、モバイルホストにそのアンカーポイントから固定IPアドレスが割当てられる。固定IPアドレスはアンカーポイントによって生成され所有されるが、それはそのモバイルホストのみによって用いられる。IPアドレスは、自己を証明する識別子であり、これはアンカーポイントが所有する鍵ペアから暗号的に生成される。IPアドレスは、モバイルホスト上で実行される各アプリケーションによって通信のエンドポイントとして用いられる。
Tuomas Aura:Cryptgraphically Generated Addresses (CGA), RFC3972の中で記述されているように、アンカーポイントは固定IPアドレスを暗号的に生成する。このために、アンカーポイントは自身の公開鍵/秘密鍵ペアを用いる。IPアドレス生成プロセスの間に修飾子値を変化させることによって、アンカーポイントは、1つの公開鍵/秘密鍵ペアから複数のモバイルホストのための異なるIPアドレスを生成することができる。新たに生成されたIPアドレスが、別のモバイルホストのために以前に生成されたIPアドレスと衝突するという、思いも寄らぬ状況では、アンカーポイントは、その新たなIPアドレスを破棄して、新しい修飾子値を用いて別のIPアドレスを生成する。
アンカーポイントによって生成される固定IPアドレスがモバイルホストに伝えられるメカニズムは、本発明の範囲外である。
アンカーポイントは、IPアドレスがそこから生成される暗号化データ(cryptographic materials)を所有しているので、アンカーポイントがIPアドレス・オーナーシップの証拠をモバイルホストに代わって第三者に提供することが可能である。
図1に、IPアドレス生成の主なステップを図1に示す。以下の番号は、図1で用いた番号に対応する。
S1.モバイルホストがアクセスルータを介して最初にアンカーポイントに登録する時、アンカーポイントは、自身の公開鍵/秘密鍵ペアと修飾子を用いて、モバイルホストに代わってシグナリングを送信する時に使用するための、あるいは、モバイルホストが直接使用するためのIPアドレスを生成する。
S2.その生成されたIPアドレスは、アンカーポイントによって生成された他のIPアドレスと比較される。
S3.その生成されたIPアドレスが他のいずれかのIPアドレスと一致した場合、その生成されたIPアドレスは破棄され、修飾子が変更されて、新たなIPアドレスが生成される。
S4.生成されたIPアドレスがユニークであれば、モバイルホストによって、またはモバイルホストに代わって、そのIPアドレスが使用されうる。
S5.アンカーポイントの公開鍵は、リモートノードへ送信され、リモートノードによってモバイルホストのIPアドレスを認証するために使用されうる。
また、アンカーポイントの機能性が複数の物理的エンティティによって与えられる場合には、IPアドレスを生成するアンカーポイントエンティティは、ステップS2の一部として、同じIPアドレスが別のアンカーポイントエンティティによって生成されたことがあるかどうかをチェックするようにしてもよい。この場合、生成されたIPアドレスは破棄され、新たなIPアドレスが生成される。
ルート最適化サポートによるプロキシモバイルIPv6の変形
プロキシモバイルIPでルート最適化をサポートするには、秘密鍵が秘密鍵のオーナー以外のノードに知られないままであることが有利である。この場合、注目ノードは、アンカーポイントであり、秘密鍵は転送される必要はない。
Enhanced Route Optimization(拡張経路最適化)では、モバイルホストのオンリンクIPアドレス当初の新規登録を、相手先ホストおよびその後の登録と区別する。新規登録の間、相手先ホストは、パーマネントホーム鍵生成トークンを生成し、それによって、その後の登録がより効率的に行われることが可能になる。
これから記述するプロトコルは、[RFC4866]に規定されたEnhanced Route Optimizationのメッセージ交換に基づくものである。違いは、[RFC4866]ではモバイルホスト自身が登録を実行するが、本発明ではモバイルホストに代わってアンカーポイントが、部分的にモバイルホストのアクセスルータからの支援を使って、登録を実行するという点である。
想定:これから記述するプロトコルは、モバイルホストの通信相手である相手先ホストのリストをアンカーポイントが維持するという想定に基づいている。典型的には、モバイルホストは、この通信がルート最適化に切り替わる前に双方向トンネリングを介して通信する。アンカーポイントは、モバイルホストの通信相手である相手先ホストのリストを構築するために、この通信を活用してもよい。
1. 新規登録
モバイルホスト1の新規登録は、4つのフェーズで構成され、それらは典型的には部分的に重複する。これらのフェーズを図2に示す。同図において、モバイルホスト1、アクセスルータ2、アンカーポイント3、相手先ホスト4が示されている。
フェーズ1:モバイルホスト1が最初にアクセスルータ2に接続する時、Sri Gundabelli他:Proxy Mobile IPv6, draft-ietf-netlmm-proxymip6-18に記述されているように、アクセスルータ2は、モバイルホストのアンカーポイント3と、Proxy Binding UpdateメッセージおよびProxy Binding Acknowledgmentメッセージの交換を開始する(S6)。アンカーポイント3は、モバイルホスト1の新たな接続ポイントを登録し、そして、モバイルホスト1が最近通信した相手である各相手先ホスト4に対して、フェーズ2、フェーズ3をトリガする。
フェーズ2:モバイルホストが最近通信した相手である各相手先ホスト4に対して、アンカーポイント3は、Home Test InitメッセージおよびHome Testメッセージの交換を通じて、各相手先ホスト4からテンポラリホーム鍵生成トークンを取得する(S7)。次いで、アンカーポイント3は、early Binding Updateメッセージ(S8)およびearly Binding Acknowledgmentメッセージ(S9)の交換によって、モバイルホストのオンリンクIPアドレスを相手先ホストに登録する。early Binding Updateメッセージ(S8)には、モバイルホストの固定IPアドレスのためのテンポラリホーム鍵生成トークンおよびオーナーシッププルーフが含まれる。アンカーポイント3は、それを使って固定IPアドレスが生成された公開鍵/秘密鍵ペアの秘密成分についての自分の知識に基づいて、固定IPアドレスのオーナーシッププルーフを提供することができる。early Binding Acknowledgmentメッセージ(S9)には、パーマネントホーム鍵生成トークンが含まれ、アンカーポイント3は、それをその後の登録の間に使用するために記憶する。
フェーズ3:モバイルホスト1が最近通信した相手である各相手先ホスト4に対して、アンカーポイント3は、Care-of Test Initメッセージ(S10)およびCare-of Testメッセージ(S11)の交換を通じて気付鍵生成トークン(care-of kegen token)を取得する。これらのメッセージはそれぞれ、モバイルホスト1のオンリンクIPアドレスから発信され、かつ、そこに着信することが必要である。従って、これらのメッセージは、モバイルホスト1の現在のアクセスルータ2を通してトンネルされる。
フェーズ4:アンカーポイント3が相手先ホスト4から返信されたCare-of Testメッセージを受信すると、アンカーポイント3は、中に含まれた気付鍵生成トークンを抽出し、そして、モバイルホスト1に代わってcomplete Binding Updateメッセージ(S12)を相手先ホスト4へ送信する。complete Binding Updateメッセージ(S12)には、以前に送信されたearly Binding Updateメッセージ(S8)の内容に加えて、Care-of Testメッセージ(S11)からの気付鍵生成トークンが含まれる。
2. その後の登録
図3に、その後の登録の間に交換されるメッセージを示す。その後の登録は、アンカーポイント3が、新規登録から取得されたパーマネントホーム鍵生成トークンを用いて、フェーズ2およびフェーズ4でそれぞれ、early Binding Updateメッセージ(S13)およびcomplete Binding Updateメッセージ(S15)を送信することができるという点だけが、新規登録とは異なる。Home Test InitメッセージおよびHome Testメッセージの交換は、この場合は省略される。しかし、アクセスルータを介して相手先ホスト4からアンカーポイント3へ送信されたCare-of Testメッセージ(S14)の中で、気付鍵生成トークンが取得される。
ここで図4に、本発明の一実施形態によるアンカーポイント機能3の構成を示す。アンカーポイント3は、モバイルホスト1と通信するための受信器5を備える。プロセッサ6は、アンカーポイントの暗号化データを用いてIPアドレスを生成するため、使用される。また、本発明のある特定の実施形態では、プロセッサは、IPアドレスを生成する時、モバイルホストに固有の修飾子値を用いる。また、別の特定の実施形態では、プロセッサ6は、生成されたIPアドレスの比較を行い、以前に生成されたIPアドレスとの衝突が検出された場合には、別の修飾子値を用いて新しいIPアドレスを生成するように構成される。送信器7は、生成されたIPアドレスを用いてモバイルホストに代わってメッセージを送信する。また、第2の送信器8は、アンカーポイント3の公開鍵を相手先ホストへ送信することができる。
アンカーポイントがEnhanced Route Optimizationにおいて用いられる場合、第2の受信器9は、相手先ホスト4からテンポラリホーム鍵生成トークンを受信する。第3の送信器10は、モバイルホスト1のIPアドレスと共にテンポラリホーム鍵生成トークンを、および、公開鍵を、相手先ホスト4へ送信する。第3の受信器11は、相手先ホスト4から気付鍵生成トークンを受信する。第4の送信器12は、図2のS12に示したBinding Updateメッセージを送信する。アンカーポイントは更に、図3のS13に示したearly Binding Updateを送信するための第5の送信器13、S14のCare-of Testメッセージを相手先ノードから受信するための第4の受信器14を含むことができる。第6の送信器15は、ステップS15に示したBinding Updateメッセージを相手先ホスト4へ送信する。もっとも、上記の各送信器および各受信器は、それらの機能の観点でのみ記述されたにすぎない。これらは、単一のトランシーバ、複数のトランシーバ、あるい、は別個の送信器および受信器として実施することができる。アクセスポイント3は更に、衝突を回避するための比較を行う際に参照される、IPアドレスを記憶するためのメモリ16も備える。
図5は、本発明の実施形態におけるアクセスルータ2を示す図である。アクセスルータ2は、アンカーポイント3からモバイルホスト1に関連するシグナリングを受信する受信器17と、そのシグナリングを相手先ノード4へ転送する送信器18とを備える。
以上、各種の実施形態を詳細に説明したが、本発明は特定の実施形態や例示に限定されるものではない。上記の記述は、すべての特定の具体的な要素、ステップ、範囲、または機能が本発明の範囲内に含まれなければならないほど不可欠であることを意味すると解釈されるべきではない。特許の対象の範囲は、特許請求の範囲の記載によってのみ定義される。法的保護の範囲は、認められた請求項に記載された事項とそれらの均等の範囲によって定義される。

Claims (16)

  1. プロキシモバイルIP通信ネットワークにおいて実行される方法であって、
    少なくとも1つのモバイルホストにサービス提供するアンカーポイント機能が、当該アンカーポイントが所有する暗号化データを少なくとも部分的に用いて、前記モバイルホストが用いるIPアドレスを生成するステップと、
    前記アンカーポイント機能が、前記モバイルホストに代わって、前記モバイルホストのために生成された前記IPアドレスと、前記IPアドレスを生成するのに用いられた前記暗号化データの少なくとも一部とを用いて、シグナリングを実行するステップと、
    を有することを特徴とする方法。
  2. 前記モバイルホスト固有の修飾子値を前記暗号化データと組み合わせて用いて、前記IPアドレスを生成するステップを更に有することを特徴とする請求項1に記載の方法。
  3. i.前記モバイルホストの前記生成されたIPアドレスを前記アンカーポイントによって以前に生成されたIPアドレスと比較するステップと、
    ii.前記モバイルホストの前記生成されたIPアドレスが、以前に生成されたIPアドレスと同じである場合には、別の修飾子値を用いて別のIPアドレスを生成し、前記ステップiおよびこのステップiiを繰り返すステップと、
    を更に有することを特徴とする請求項2に記載の方法。
  4. 前記暗号化データは、前記アンカーポイント機能が所有する公開鍵/秘密鍵のペアを含むことを特徴とする請求項1乃至3のいずれか1項に記載の方法。
  5. 前記アンカーポイント機能の前記公開鍵をリモートノードに提供するステップ(S5)を更に有し、前記公開鍵は、前記モバイルホストのIPアドレスを認証するために前記リモートノードによって用いられることを特徴とする請求項4に記載の方法。
  6. 前記生成されたIPアドレスを用いて相手先ノードとのEnhanced Route Optimizationを実行するステップを更に有することを特徴とする請求項1乃至5のいずれか1項に記載の方法。
  7. 相手先ノードからテンポラリホーム鍵生成トークンを受信するステップと、
    前記テンポラリホーム鍵生成トークンと、前記モバイルホストのIPアドレスと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを前記相手先ノードへ送信するステップと、
    前記相手先ノードから気付鍵生成トークンを受信するステップと、
    前記アンカーポイントからBinding Updateメッセージを前記モバイルホストに代わって前記相手先ノードへ送信するステップと、
    を更に有し、
    前記Binding Updateメッセージは、前記テンポラリホーム鍵生成トークンと、complete Binding Updateメッセージの場合には前記気付鍵生成トークンと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを含むことを特徴とする請求項6に記載の方法。
  8. パーマネントホーム鍵生成トークンと、前記モバイルホストのIPアドレスと、前記暗号化データの少なくとも一部とを前記相手先ノードへ送信するステップと、
    別の気付鍵生成トークンを前記相手先ノードから受信するステップと、
    前記アンカーポイントから、前記モバイルホストに代わって、Binding Updateメッセージを前記相手先ノードへ送信するステップと、
    を更に有し、
    前記Binding Updateメッセージは、前記パーマネントホーム鍵生成トークンと、complete Binding Updateメッセージの場合には前記別の気付鍵生成トークンと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを含むことを特徴とする請求項7に記載の方法。
  9. プロキシモバイル通信ネットワークで使用されるアンカーポイント機能であって、
    前記アンカーポイント機能によりサービス提供される少なくとも1つのモバイルホストと通信する受信器と、
    前記アンカーポイント機能が所有する暗号化データを少なくとも部分的に用いて、前記少なくとも1つのモバイルホストが用いるIPアドレスを生成するプロセッサと、
    前記モバイルホストに代わって、前記モバイルホストのために生成された前記IPアドレスと、前記IPアドレスを生成するのに用いられた前記暗号化データの少なくとも一部とを用いて、シグナリングを送信する送信器と、
    を有することを特徴とするアンカーポイント機能。
  10. 前記プロセッサは、前記モバイルホスト固有の修飾子値を前記暗号化データと組み合わせて用いることを特徴とする請求項9に記載のアンカーポイント機能。
  11. 前記プロセッサは更に、前記モバイルホストの前記生成されたIPアドレスを前記アンカーポイントによって以前に生成されたIPアドレスと比較し、前記モバイルホストの前記生成されたIPアドレスが、以前に生成されたIPアドレスと同じである場合には、別の修飾子値を用いて別のIPアドレスを生成することを特徴とする請求項10に記載のアンカーポイント機能。
  12. 前記暗号化データは、前記アンカーポイント機能が所有する公開鍵/秘密鍵のペアを含むことを特徴とする請求項9乃至11のいずれか1項に記載のアンカーポイント機能。
  13. 前記アンカーポイント機能の前記公開鍵をリモートノードに送信する第2の送信器を更に有し、前記公開鍵は、前記モバイルホストのIPアドレスを認証するために前記リモートノードによって用いられることを特徴とする請求項12に記載のアンカーポイント機能。
  14. 相手先ノードからテンポラリホーム鍵生成トークンを受信する第2の受信器と、
    前記テンポラリホーム鍵生成トークンと、前記モバイルホストのIPアドレスと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを前記相手先ノードへ送信する第3の送信器と、
    前記相手先ノードから気付鍵生成トークンを受信する第3の受信器と、
    Binding Updateメッセージを前記モバイルホストに代わって前記相手先ノードへ送信する第4の送信器と、
    を更に有し、
    前記Binding Updateメッセージは、前記テンポラリホーム鍵生成トークンと、complete Binding Updateメッセージの場合には前記気付鍵生成トークンと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを含むことを特徴とする請求項9乃至13のいずれか1項に記載のアンカーポイント機能。
  15. パーマネントホーム鍵生成トークンと、前記モバイルホストのIPアドレスと、前記暗号化データの少なくとも一部とを前記相手先ノードへ送信する第5の送信器と、
    別の気付鍵生成トークンを前記相手先ノードから受信する第4の受信器と、
    前記モバイルホストに代わって、Binding Updateメッセージを前記相手先ノードへ送信する第6の送信器と、
    を更に有し、
    前記Binding Updateメッセージは、前記パーマネントホーム鍵生成トークンと、complete Binding Updateメッセージの場合には前記別の気付鍵生成トークンと、前記モバイルホストのIPアドレスを認証するのに用いられる前記暗号化データの少なくとも一部とを含むことを特徴とする請求項14に記載のアンカーポイント機能。
  16. プロキシモバイル通信ネットワークで使用されるアクセスルータであって、
    アンカーポイント機能から、前記アンカーポイント機能によりサービス提供される1つのモバイルホストに関連するシグナリングを受信する受信器と、
    前記シグナリングを相手先ノードへ転送する送信器と、
    を有し、
    前記シグナリングは、IPソースアドレスを前記モバイルノードによって用いられる前記アンカーポイントによって生成されるIPアドレスとして定義するパケットを含み、
    前記IPアドレスは、少なくとも部分的には、前記アンカーポイントが所有する暗号化データを用いて生成される
    ことを特徴とするアクセスルータ。
JP2010529320A 2007-10-17 2008-09-18 プロキシモバイルip通信ネットワークでモバイルホストによって用いられるipアドレスを生成するための方法および装置 Expired - Fee Related JP5225384B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0720283A GB2453752A (en) 2007-10-17 2007-10-17 Proxy mobile IP communications network
GB0720283.1 2007-10-17
PCT/EP2008/062461 WO2009049985A2 (en) 2007-10-17 2008-09-18 Method and apparatuses for generating an ip address for use by the mobile host in a proxy mobile ip communications network

Publications (2)

Publication Number Publication Date
JP2011501924A true JP2011501924A (ja) 2011-01-13
JP5225384B2 JP5225384B2 (ja) 2013-07-03

Family

ID=38813963

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010529320A Expired - Fee Related JP5225384B2 (ja) 2007-10-17 2008-09-18 プロキシモバイルip通信ネットワークでモバイルホストによって用いられるipアドレスを生成するための方法および装置

Country Status (7)

Country Link
US (1) US8751796B2 (ja)
EP (1) EP2210434B1 (ja)
JP (1) JP5225384B2 (ja)
AT (1) ATE501614T1 (ja)
DE (1) DE602008005496D1 (ja)
GB (1) GB2453752A (ja)
WO (1) WO2009049985A2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2454897A (en) * 2007-11-22 2009-05-27 Ericsson Telefon Ab L M Cryptographically generated IP addresses
TWI483122B (zh) * 2013-03-11 2015-05-01 Hon Hai Prec Ind Co Ltd 網路裝置探尋系統及方法
US20150229618A1 (en) * 2014-02-11 2015-08-13 Futurewei Technologies, Inc. System and Method for Securing Source Routing Using Public Key based Digital Signature

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003024128A1 (en) * 2001-09-12 2003-03-20 Telefonaktiebolaget Lm Ericsson (Publ.) Arrangements and method in mobile internet communications systems
US7370197B2 (en) * 2002-07-12 2008-05-06 Microsoft Corporation Method and system for authenticating messages
US7149225B2 (en) * 2003-03-10 2006-12-12 Cisco Technology, Inc. Arrangement for traversing an IPv4 network by IPv6 mobile nodes via a mobility anchor point
KR100636209B1 (ko) * 2004-11-12 2006-10-19 삼성전자주식회사 Mac 주소 보안 방법 및 장치
US8238326B2 (en) * 2004-11-18 2012-08-07 Ruckus Wireless, Inc. Maintaining consistent network connections while moving through wireless networks
US8098823B2 (en) * 2005-05-03 2012-01-17 Ntt Docomo, Inc. Multi-key cryptographically generated address
DE602006018179D1 (de) * 2005-09-20 2010-12-23 Ericsson Telefon Ab L M Verfahren und mobilitätsankerpunkt zum authentifizieren von aktualisierungen eines mobilknotens
EP1841184A1 (en) * 2006-03-28 2007-10-03 Matsushita Electric Industrial Co., Ltd. Efficient IP address configuration in mobile networks with multiple mobility anchor points (MAPs)
DE102006014594A1 (de) * 2006-03-29 2007-10-04 Siemens Ag Verfahren zum Wiederherstellen einer mit IPsec kryptographisch gesicherten Verbindung
EP1841143A1 (en) * 2006-03-31 2007-10-03 Matsushita Electric Industrial Co., Ltd. Efficent handover of a mobile node within a network with multiple anchor points
US9516495B2 (en) * 2007-03-01 2016-12-06 Futurewei Technologies, Inc. Apparatus and methods of PMIPv6 route optimization protocol
JP4794520B2 (ja) * 2007-05-16 2011-10-19 Kddi株式会社 ネットワーク主導型移動管理プロトコルにおける通信経路を最適化するシステム、アクセスゲートウェイ、ホームエージェント、およびプログラム
US8102815B2 (en) * 2007-07-12 2012-01-24 Telefonaktiebolaget L M Ericsson (Publ) Proxy mobility optimization
US8228843B2 (en) * 2007-11-12 2012-07-24 Futurewei Technologies, Inc. Internet protocol version 4 support for proxy mobile internet protocol version 6 route optimization protocol

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6012062339; A. Qin et al.: 'PMIPv6 Route Optimization Protocol' Internet-Draft , 20070225 *

Also Published As

Publication number Publication date
US20100287371A1 (en) 2010-11-11
GB2453752A (en) 2009-04-22
GB0720283D0 (en) 2007-11-28
ATE501614T1 (de) 2011-03-15
US8751796B2 (en) 2014-06-10
EP2210434B1 (en) 2011-03-09
JP5225384B2 (ja) 2013-07-03
DE602008005496D1 (de) 2011-04-21
EP2210434A2 (en) 2010-07-28
WO2009049985A2 (en) 2009-04-23
WO2009049985A3 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
JP4625125B2 (ja) マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ
US8516256B2 (en) Route optimization in mobile IP networks
JP4756048B2 (ja) プレフィックススコープバインディング更新をセキュアにするためのシステム及び関連方法並びに装置
US20070113075A1 (en) Secure route optimization for mobile network using multi-key crytographically generated addresses
EP2151142B1 (en) Methods and apparatus for sending data packets to and from mobile nodes
JP2009524275A5 (ja)
US8615658B2 (en) Dynamic foreign agent—home agent security association allocation for IP mobility systems
US7933253B2 (en) Return routability optimisation
JP2008537429A (ja) 対応ノードとセッション中にある移動ノードへの匿名性の提供
US20120271965A1 (en) Provisioning mobility services to legacy terminals
CN1741523B (zh) 一种实现主机移动性和多家乡功能的密钥交换协议方法
JP2012517165A (ja) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
JP5225384B2 (ja) プロキシモバイルip通信ネットワークでモバイルホストによって用いられるipアドレスを生成するための方法および装置
EP2471247B1 (en) Method and network nodes for generating cryptographically generated addresses in mobile IP networks
KR20040001211A (ko) 원격사용자 이동성을 보장하는 가상사설망 및 이를 이용한서비스 처리방법
JP2009225158A (ja) 移動体通信システム
Krishnan et al. Secure Proxy ND Support for SEcure Neighbor Discovery (SEND)
Krishnan et al. RFC 6496: Secure Proxy ND Support for SEcure Neighbor Discovery (SEND)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110818

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130312

R150 Certificate of patent or registration of utility model

Ref document number: 5225384

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160322

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees