JP2011515930A - 無線ネットワーク内のセキュリティアソシエーションを動的に管理するための方法及び装置 - Google Patents

無線ネットワーク内のセキュリティアソシエーションを動的に管理するための方法及び装置 Download PDF

Info

Publication number
JP2011515930A
JP2011515930A JP2010550677A JP2010550677A JP2011515930A JP 2011515930 A JP2011515930 A JP 2011515930A JP 2010550677 A JP2010550677 A JP 2010550677A JP 2010550677 A JP2010550677 A JP 2010550677A JP 2011515930 A JP2011515930 A JP 2011515930A
Authority
JP
Japan
Prior art keywords
key
security key
new
home agent
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010550677A
Other languages
English (en)
Inventor
フェダー,ペレツ,モシェ
ミジコフスキー,セミョン,ビー.
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2011515930A publication Critical patent/JP2011515930A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワーク内のセキュリティアソシエーションを動的に管理するための方法が提供される。ある方法によれば、セキュリティ鍵管理エンティティは、既存のアクティブなセキュリティ鍵に基づいて、アクティブなセキュリティ鍵として新しいセキュリティ鍵を適用すべきかどうか判断する。新しいセキュリティ鍵及び既存のアクティブなセキュリティ鍵はそれぞれ、同じホームエージェントに関連付けられ、既存のアクティブなセキュリティ鍵は、ホームエージェントと少なくとも1つの他のネットワーク要素との間の既存のセキュリティアソシエーションのベースとして働く。

Description

WiMAXは比較的長い距離に渡って無線データ通信を提供することを目的とする通信技術である。WiMAXはIEEE 802.16e規格に基づく。
図1に、現在のIEEE 802.16e規格(WiMAXフォーラム・ネットワーク・アーキテクチャ−ステージ2−パート1−リリース1.1.1)による従来のWiMAXシステムの一部を示す。図1のシステムは、当技術分野ではよく知られているモバイルインターネットプロトコル(IP:Internet Protocol)フレームワークを使用して、複数の移動ノードM1、M2、M3…NMなどのエンドポイントに通信セッション(例えばデータセッション、音声セッション、マルチメディアセッションなど)などの無線サービスを提供する。通信セッションは、移動ノードなど、2つ以上のエンドポイント間のアクティブな通信を指す。
本明細書で論じられる場合、用語「移動ノード」は、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップコンピュータなど、無線通信機能を有する電子装置を指す。より一般には、移動ノードは、あるネットワーク又はサブネットワークから別のネットワーク又はサブネットワークにその接続点を変更できる任意の電子装置を指す。
図1を参照すると、このシステムは、複数のアクセスサービスネットワーク(ASN:access service network)ASN1、ASN2、在圏接続サービスネットワークV−CSN、及びホーム接続サービスネットワークH−CSNを含んでいる。互いに関連してアクセスサービスネットワークASN1、ASN2、在圏接続サービスネットワークV−CSN、及びホーム接続サービスネットワークH−CSNは1つ以上の移動ノードMI〜MNに通信サービスを提供する。
ASN1及びASN2はそれぞれ、有線ネットワークへの無線アクセスを移動ノードに提供する通信ネットワークを表す。アクセスサービスネットワークASN1、ASN2はネットワークアクセスプロバイダ(NAP:network access provider)によって提供され得る。例示的なアクセスサービスネットワークはWiMAXアクセスサービスネットワークであり、このWiMAXアクセスサービスネットワークはWiMAXネットワークサービスプロバイダ(NSP:network service provider)にWiMAX無線アクセス基盤を提供する。図1には2つのアクセスサービスネットワークだけが示されているが、WiMAXシステムは任意の数のアクセスサービスネットワークを含んでよいことが当技術分野ではよく知られている。
アクセスサービスネットワークASN1は1つ以上の基地局32−1を含む。本明細書で論じられる場合、基地局32−1は、基地局32−1のサービスエリアまたセル内に存在する1つ以上の移動体M1、M2に無線サービスを提供する任意の適切な装置又はシステムを表す。当技術分野ではよく知られているように、基地局は、その対応するサービスエリアまたセル内に位置する移動ノードに無線サービスを提供するように動作可能な適切な装置を備える。基地局32−1はASNゲートウェイ(ASN−GW)36−1と通信し、このASN−GW36−1もまた、アクセスサービスネットワークASN1内に含まれる。
よく知られているように、ASN−GW36−1は、制御プレーンの機能エンティティの集合体を表す論理エンティティであり、これらの制御プレーン機能エンティティは、アクセスサービスネットワークASN1内の対応する機能(例えば基地局のインスタンス)、CSN内の常駐機能(例えばV−CSN又はH−CSN)、或いは別のASN内の機能と対になる。ASN−GW36−1はベアラプレーンのルーティング又はブリッジング機能を実施することもできる。
よく知られているように、それぞれの移動ノードは基地局に関連付けられ、この基地局は一般に、単一の既定のASN−GWに関連付けられる。しかし、あらゆる移動ノードのためのASN−GW機能は、1つ以上のASN内に位置する複数のASN−GW間で分散されてもよい。
さらに図1を参照すると、ASN−GW36−1は外部エージェント(FA:foreign agent)44−1及びオーセンティケータ52−1を含む。よく知られているように、外部エージェント44−1はアクセスサービスネットワークASN1に登録された移動ノードにルーティングサービスを提供するネットワークエンティティ(例えばルータ)である。外部エージェント44−1は、アクセスサービスネットワークASN1に現在登録されている移動ノードへの、またそこからのデータのルーティングを行う。外部エージェント44−1は、移動ノードの割り当てられたホームエージェント(例えば在圏接続サービスネットワークV−CSNに位置するホームエージェント48)からアクセスサービスネットワークASN1内の移動ノードに宛てられたデータを受け取る。
よく知られているオーセンティケータ52−1は、アクセスサービスネットワークASN1に入ると移動ノードからのアクセス要求を認証するネットワークエンティティである。オーセンティケータ52−1は、ASN−GW36−1内の外部エージェント44−1から離して示されているが、任意の適切な位置で外部エージェント44−1と共に置かれてもよい。
上述されたように、図1のシステムは、1つ以上の基地局32−2及びASN−GW36−2を含むアクセスサービスネットワークASN2をも含む。ASN−GW36−2は外部エージェント44−2及びオーセンティケータ52−2を含む。ここで実施されるこれらのコンポーネント及び機能はそれぞれ、アクセスサービスネットワークASN1に関して上述された対応するコンポーネントと同じである。従って、これらのコンポーネントについての説明は省略される。
図1のシステムは、在圏接続サービスネットワークV−CSN及びホーム接続サービスネットワークH−CSNをさらに含む。一般に、接続サービスネットワーク(CSN:connectivity service network)は、WiMAX加入者(移動ノード)にインターネットプロトコル(IP)接続サービスを提供する1組のネットワーク機能である。CSNは、例えばユーザセッションのための移動ノードへのIPアドレス及びエンドポイントパラメータの割当て、インターネットアクセス、AAAサーバ、ユーザ加入プロファイルに基づくポリシー及び許可制御、ASN−CSNトンネリングサポート、WiMAX加入者課金及びオペレータ間決済、ローミング用のCSN間トンネリング、ASN間移動性、位置ベースサービスなどのWiMAXサービス、及びピアツーピアのサービスのための接続性、プロビジョニング、IPマルチメディアサービスへの認証及び/又は接続性を提供することができる。
よく知られているように、CSNは、ルータ、AAAサーバ、ユーザデータベース、相互に作用するゲートウェイ移動ノードなど、ネットワーク要素を備えてよい。CSNは、例えばWiMAXサービスプロバイダネットワークの一環として展開することができる。
より具体的には、在圏接続サービスネットワークV−CSNは、アクセスサービスネットワークASN1、ASN2によってサービスされる移動体のための移動性管理を提供する通信ネットワークを表し、他の操作、例えば許可操作、ホスト構成管理操作などをも提供する。在圏接続サービスネットワークV−CSNはネットワークサービスプロバイダ(NSP)によって通常提供される。
在圏接続サービスネットワークV−CSNは上記で言及されたコンポーネント及び機能性のすべてを含むが、分かり易くするために、単一のホームエージェント48、及び認証、許可及び/又はアカウンティング(AAA:authentication,authorization,and/or accounting)機能40だけが示されている。よく知られているように、ホーム、エージェント48は、移動ノードがそのホームネットワークから離れているときに移動ノードにデータグラムをトンネリングするネットワークエンティティ(例えばルータ)である。トンネルは、カプセル化される間、データグラムが辿る経路である。ホームエージェント48は、それが割り当てられる移動ノードの現在の位置を維持する。
ホームエージェント48は、ネットワークサービスプロバイダによって設定されたポリシー及び構成に基づいて、ホーム接続サービスネットワークH−CSN内のAAAサーバ42による特定の移動体の通信セッション、及び/又は在圏接続サービスネットワークV−CSN内のAAA機能40を提供するために選択され、割り当てられる。
ホーム接続サービスネットワークH−CSN及び在圏接続サービスネットワークV−CSN内では、それぞれAAAサーバ42及びAAAサーバ40は、移動ノードの登録に関連するAAA関連サービス(例えば認証、許可、アカウンティング又はその任意その組合せ)を提供するネットワークエンティティ(例えばサーバ)である。AAAサーバ42とAAAサーバ40は、AAAサーバ40が在圏接続サービスネットワーク(V−CSN)内に位置しており、AAAサーバ42がホーム接続サービスネットワークH−CSNに位置しているという点で異なる。さらに、より詳細に下記に述べられるように、AAAサーバ40はホームエージェントを選択し、特定の移動体の通信セッションに割り当てる際にAAAサーバ40がAAAサーバ42に従属し得るという点でAAAサーバ42とは異なる。例えば、AAAサーバ42は、ホームエージェントの選択及び割当てを在圏接続サービスネットワークV−CSN内のAAAサーバ40に委ねることができる。例えば、主なAAA機能性がH−CSNに期待される場合、接続サービスネットワークV−CSN内のサーバ40は接続サービスネットワークH−CSN内のAAAサーバ42に情報を移送するプロキシとして働く。分かり易くするために、プロキシとして働くAAAサーバはAAA機能と呼ばれる。
当技術分野においてよく知られているように、認証とは、移動ノードの識別情報を検証することを指し、許可とは、移動ノードに関するサービスレベルを許可することを指し、アカウンティングとは、移動ノードに関するリソース使用を追跡することを指す。
図1に示されたシステムはモバイルIPフレームワークを使用する。インターネット技術特別調査委員会(IETF:Internet Engineering Task Force)RFC3344に指定された現在のモバイルインターネットプロトコルバージョン4(MIPv4:mobile Internet Protocol version 4)セキュリティフレームワークによれば、移動ノードM1の通信セッションに関連する外部エージェント44−1とホームエージェント48の間のトンネリングは、外部エージェント44−1及びホームエージェント48に通常知られているセキュリティ鍵(以下、FA−HA鍵と呼ばれる)に基づくセキュリティアソシエーションを使用する。
この例では、FA−HA鍵は、サービングアクセスサービスネットワークASN1内のオーセンティケータ52−1によって、ホームエージェントセキュリティ鍵(以下、HA−RK鍵と呼ばれる)、その関連するコンテキスト、並びに割り当てられた外部エージェント44−1のIPアドレス(FA−IP)及びホームエージェント48のIPアドレス(HA−IP)に基づいて計算される。よく知られているように、HA−RK鍵は、各ホームエージェントについてAAAサーバ42によって生成された一意の160ビット乱数である。各HA−RK鍵のコンテキストはHA−RK鍵の有効期間(又は有効期限)及びセキュリティパラメータインデックス(SPI:security parameters index)を含む。HA−RK鍵の有効期間は、どのくらいの期間HA−RK鍵が使用されるか示す。より具体的には、HA−RK鍵の有効期間は(HA−RKに基づく)再認証の前にどのくらいの期間セキュリティアソシエーションが有効であるか指定する。SPIは、それぞれのHA−RK鍵に基づいて生成されたそれぞれ異なるFA−HA鍵を区別するために使用される。HA−RK鍵はオーセンティケータ52−1にも送られる。
上述されたように、オーセンティケータ52−1は、受け取られたHA−RK鍵、その関連するコンテキスト、並びに割り当てられた外部エージェント44−1のIPアドレス(FA−IP)及びホームエージェント48のIPアドレス(HA−IP)に基づいてFA−HA鍵を計算する。従って、FA−HA鍵は外部エージェントとホームエージェントの対ごとに生成される。換言すると、FA−HA鍵は外部エージェント44−1とホームエージェント48の間のトンネルごとに生成される。オーセンティケータ52−1は、計算されたFA−HA鍵を、移動体の通信セッションに割り当てられたホームエージェント48と通信する際に使用するために外部エージェント44−1に提供する。
従来のHA−RK鍵及びFA−HA鍵配置のシナリオについて、図1に示されたシステムに関して次に述べられる。
図1を参照すると、アクセスサービスネットワークASN1内に位置する移動ノードM1及びM2はオーセンティケータ52−1を介してAAAサーバ42によって認証される。アクセスサービスネットワークASN2内に位置する移動ノードM3はオーセンティケータ52−2を介してAAAサーバ42で認証を行う。アクセスサービスネットワークASN1とASN2の両方は同じローカルのAAA機能40によってサービスされ、従って、すべての認証トランザクションはAAA機能40を介してルーティングされる。
認証の間、AAA機能40は、AAAサーバ42にそのローカルサービス(各移動体M1〜M3へのローカルホームエージェント48の割当て及びホームエージェント48のためのHA−RK鍵の生成を含む)を推奨する。
そのローカルポリシーに基づいて、AAAサーバ42は、AAA機能40の推奨に基づいて、ホームエージェント48を移動体M1に割り当てるかどうか判断する。AAAサーバ42がそうすることに決定すると仮定して、AAAサーバ42はホームエージェント48のためのHA−RK鍵HA−RK1−1及び関連するコンテキスト(以下、HA−RK鍵及びコンテキストHA−RK1−1と呼ばれる)を生成する。AAAサーバ42はHA−RK鍵及びコンテキストHA−RK1−1をAAA機能40に送り、このAAA機能40は、それをオーセンティケータ52−1に、引き続いてモバイルIP登録中にホームエージェント48に転送する。
AAAサーバ42はまた、ホームエージェントのIPアドレス(HA−IP)をAAA機能40に送信し、このAAA機能40はASN−GW36−1上のオーセンティケータ52−1にそれを転送する。
オーセンティケータ52−1を含むASN−GW36−1はEAPベースの登録認証トランザクション用のAAAクライアントとして働く。
HA−RK鍵及びコンテキストHA−RK1−1を受け取ると、オーセンティケータ52−1は、外部エージェント44−1とホームエージェント48の間のトンネルのために、対応するFA−HA鍵FA−HA1−1を生成し、それを外部エージェント44−1に送る。同じFA−HA鍵FA−HA1−1が、ホームエージェント48によっても計算される。FA−HA鍵FA−HA1−1は、外部エージェント44−1とホームエージェント48の間でトンネリングされたデータグラム用のセキュリティ鍵として働く。
次に移動ノードM2に移ると、AAAサーバ42は、AAA機能40の推奨を再び受け付ける場合にはホームエージェント48を移動ノードM2に割り当て、ホームエージェント48用のHA−RK鍵及びコンテキストHA−RK1−2を生成する。AAAサーバ42はHA−RK鍵及びコンテキストHA−RK1−2をAAA機能40に送り、このAAA機能40は、それをオーセンティケータ52−1に、引き続いてモバイルIP登録の間にホームエージェント48に転送する。
HA−RK鍵及びコンテキストHA−RK1−2を受け取ると、オーセンティケータ52−1は、外部エージェント44−1とホームエージェント48の間のトンネルのための対応するFA−HA鍵FA−HA1−2を生成し、それを外部エージェント44−1に送る。同じFA−HA鍵FA−HA1−2がホームエージェント48によっても計算される。FA−HA鍵FA−HA1−2は、外部エージェント44−1とホームエージェント48の間でトンネリングされるデータグラム用の別のセキュリティ鍵として働く。
移動ノードM3に移ると、AAAサーバ42は、AAA機能40の推奨に基づいてホームエージェント48を再び割り当てる場合、ホームエージェント48用の別のHA−RK鍵及びコンテキストHA−RK2−3を生成する。AAAサーバ42はHA−RK鍵及びコンテキストHA−RK2−3をAAA機能40に送り、このAAA機能40は、それをオーセンティケータ52−2に、引き続いてモバイルIP登録の間にホームエージェント48に転送する。
HA−RK鍵及びコンテキストHA−RK2−3を受け取ると、オーセンティケータ52−2は、外部エージェント44−2とホームエージェント48の間のトンネル用の対応するFA−HA鍵FA−HA2−3を生成し、それを外部エージェント44−2に送る。同じFA−HA鍵FA−HA2−3がホームエージェント48によっても計算される。FA−HA鍵FA−HA2−3は、外部エージェント44−2とホームエージェント48の間でトンネリングされるデータグラム用のセキュリティ鍵として働く。
この例では、引き続いて移動ノードM1がアクセスサービスネットワークASN2に移転する場合、外部エージェント44−2は、オーセンティケータ52−1に別のFA−HA鍵FA−HA2−1(外部エージェント44−2とホームエージェント48の間のトンネル用の鍵)を要求する。オーセンティケータ52−1は、オーセンティケータ52−1で維持されたHA−RK鍵及びコンテキストHA−RK1−1に基づいてFA−HA鍵FA−HA2−1を生成し、それを外部エージェント44−2に送る。同じFA−HA鍵FA−HA2−1がホームエージェント48でも生成される。FA−HA鍵FA−HA2−1もまた、外部エージェント44−2とホームエージェント48の間でトンネリングされたデータグラム用のセキュリティ鍵として働く。
図1に戻って参照すると、HA−RK鍵の有効期間及びSPIは、HA−RK鍵及びコンテキストを割り当てるAAAサーバ42によって管理される。AAAサーバ42は、オーセンティケータ52−1及び52−2上でアクティブなHA−RK鍵及びコンテキストが失効する前に、新しいHA−RK鍵及びコンテキストを生成し、各オーセンティケータ52−1、52−2及び/又はホームエージェント48に引き渡す責任を担う。
いずれかのEAP認証手続きの間、AAAサーバ42は、例えばオーセンティケータ52−1又はホームエージェント48のアクティブなHA−RK鍵の残りの有効期間が、新しく割り当てられたマスタセッション鍵(MSK:master session key)の有効期間より小さいと認識する場合、オーセンティケータ52−1及びホームエージェント48に新しいHA−RKコンテキストを送る。
EAPベースの登録認証手続きが成功した結果、EAPクライアント(例えば移動ノードM1)とEAPサーバ(AAAサーバ42)の両方がMSKを生成する。AAAサーバ42は、そのポリシーに基づいて、このMSKに有効期間を割り当てる。MSKの有効期間(又は有効期限)は、再認証前にこのセキュリティアソシエーションがどのくらいの期間有効であるか指定する。引き続いて、MSKとMSKの両方の有効期間が、EAP認証手続きの終わりにオーセンティケータ52−1に引き渡される。
一般に、AAAサーバ42は、HAとオーセンティケータがそれぞれ異なる認証イベントに関連付けられるので、HAとオーセンティケータの所与の対について配布された前のセキュリティアソシエーションについての知識を保持しない。AAAサーバ42にとって、オーセンティケータ内のいずれかのHA−RK鍵が現在その割り当てられた有効期間内にあるかどうかに関する知識を保持するのは面倒なことである。従って、新しい認証イベントの完了時、AAAサーバ42は新しいランダムなHA−RK鍵を作成し送る。一般に、AAAサーバ42は、HA−RKの有効期間を、少なくとも新しいMSKの有効期間以上に設定する。このように、FA−HAトンネルのセキュリティアソシエーションの有効期間は登録認証有効期間によって制限されない。
しかし、現在、オーセンティケータ52−1又はホームエージェント48上で新しいHA−RK鍵及びコンテキストが受け取られると、より古いバージョンのHA−RK鍵及びコンテキストは直ちには廃止又は削除されない。そうではなく、それぞれのHA−RK鍵はその有効期間の終了までアクティブなままである。その結果、複数のHA−RK鍵及びコンテキストがオーセンティケータ52−1及びホームエージェント48で常に維持されなければならない。
上記例では、HA−RKセキュリティ鍵はAAA機能40を介してAAAサーバ42によって提供される。しかし、別の例では、AAA機能40はHA−RKセキュリティ鍵を生成し、オーセンティケータ52−1、52−2及びホームエージェント48に送ってよい。このプロセスで、移動ノードM1が在圏接続サービスネットワークV−CSNにアクセスするとき、AAA機能40はAAAサーバ42にローカルホームエージェント48を提案する。AAAサーバ42が(そのポリシーをチェックした後に)推奨に合意する場合、その合意はAAA機能40に通信し戻される。次いで、AAA機能40は移動ノードM1にホームエージェント48を割り当て、AAAサーバ42に関して上述されたのと同じやり方でHA−RKセキュリティ鍵をも割り当てる。
従来、所与の移動ノードについて、オーセンティケータ52−1及び52−2はサービングシステムの配置構成に基づいて選択されるが、関連するAAA又はホームエージェント48によっては予測できない。同様に、ホームエージェント48はAAAサーバ42のポリシーに基づいて選択されるが、関連するオーセンティケータ52−1、52−2又は外部エージェント44−1、44−2によっては予測できない。その結果、ホームエージェント48及び/又はオーセンティケータ52−1、52−2は、オーセンティケータとホームエージェントの間の同じ所与のアソシエーションについてそれぞれ異なるHA−RKセキュリティ鍵を同時に受け取ることがある。
HA−RKセキュリティ鍵間の調整不足により、同じホームエージェント−外部エージェント対について複数のトンネル及びセキュリティアソシエーションが生成されることになる。結果として生じる複数のセキュリティアソシエーションはホームエージェント及びオーセンティケータ上に曖昧さをもたらす。
より一般に、ホームエージェント割当てに関与するN個のAAAサーバ、及びFA−HA鍵配布に関与するP個のオーセンティケータ(それぞれのオーセンティケータはM個のAAAサーバに関連付けられ、M≦Nである)場合、ホームエージェントは少なくともN×P個の鍵を維持しなければならず、それぞれのオーセンティケータは少なくともM個の鍵を維持しなければならず、それぞれの外部エージェントは少なくともM×P個の鍵を維持しなければならない。
RFC3344
例示的な実施形態は無線ネットワーク内のセキュリティアソシエーションを動的に管理するための方法を提供する。
少なくとも1つの例示的な実施形態は、ネットワーク内のセキュリティアソシエーションを動的に管理するための方法を提供する。この方法によれば、セキュリティ鍵管理エンティティは、既存のアクティブなセキュリティ鍵に基づいて、アクティブなセキュリティ鍵として新しいセキュリティ鍵を適用するかどうか判断する。新しいセキュリティ鍵及び既存のアクティブなセキュリティ鍵はそれぞれ、同じホームエージェントに関連付けられ、既存のアクティブなセキュリティ鍵は、ホームエージェントと少なくとも1つの他のネットワーク要素との間の既存のセキュリティアソシエーションのベースとして働く。アクティブなセキュリティ鍵、及び結果として生じるセキュリティアソシエーションは、ホームエージェントと少なくとも1つの他のネットワーク要素との間で送信されるデータを保護するために使用される。
少なくとも1つの他の例示的な実施形態は、ネットワーク内のセキュリティアソシエーションを動的に管理するための方法を提供する。この方法によれば、セキュリティ鍵管理エンティティは、既存のアクティブなセキュリティ鍵、及びセキュリティ鍵管理エンティティで現在保留中のセキュリティ鍵に基づいて新しいセキュリティ鍵を保持するか、それとも廃棄するか判断する。既存のアクティブなセキュリティ鍵は少なくとも2つのネットワーク要素間の既存のセキュリティアソシエーションのベースとして働く。アクティブなセキュリティ鍵及び結果として生じるセキュリティアソシエーションは少なくとも2つのネットワーク要素間で送信されるデータを保護するために使用される。
少なくとも1つの他の例示的な実施形態はネットワークゲートウェイを提供する。ネットワークゲートウェイはネットワーク内のセキュリティアソシエーションを動的に管理するためのセキュリティ鍵管理エンティティを含んでよい。セキュリティ鍵管理エンティティは、既存のアクティブなセキュリティ鍵に基づいて、アクティブなセキュリティ鍵として新しいセキュリティ鍵を適用すべきかどうか判断するように構成される。新しいセキュリティ鍵及び既存のアクティブなセキュリティ鍵はそれぞれ、同じホームエージェントに関連付けられ、既存のアクティブなセキュリティ鍵は、ホームエージェントと少なくとも1つの他のネットワーク要素との間の既存のセキュリティアソシエーションのベースとして働く。アクティブなセキュリティ鍵及び結果として生じるセキュリティアソシエーションは、少なくとも2つのネットワーク要素間で送信されるデータを保護するために使用される。
本発明は、本明細書に後述された詳細な説明及び添付の図面からより完全に理解されるようになり、図面では、同様の要素は同じ参照符号で表されており、それらは、例示するためだけに示され、従って本発明を制限するものではない。
従来のWiMAXシステムの一部を示す図である。 例示的な実施形態による無線ネットワーク内のセキュリティアソシエーションを動的に管理する方法を示す図である。
以下の記述では、限定するためではなく、説明するために、特定のアーキテクチャ、インターフェース、技術など、具体的な詳細が、本発明の完全な理解をもたらすために示されている。しかし、本発明は、これらの具体的な詳細から離れた他の例示的な実施形態で実施され得ることが当業者には明らかであろう。一部の例では、よく知られている装置、回路及び方法の詳細な説明は、本発明についての説明を不必要な詳細で不明瞭にしないようにするために省略されている。本発明のすべての原理、態様及び実施形態、並びにその具体的な例は、その構造と機能の両方の等価物を包含するものである。さらに、こうした等価物は、現在知られている等価物と、将来開発される等価物の両方を含むものである。
例示的な実施形態について、本明細書では、適切なコンピューティング環境内で実施されるものとして論じられる。必須ではないが、例示的な実施形態は、1つ以上のコンピュータプロセッサ又はCPUによって実行されるプログラムモジュールや機能プロセスなど、コンピュータ実行可能命令の一般的な文脈で述べられる。一般に、プログラムモジュール又は機能プロセスは特定のタスクを実施し、又は特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造体などを含む。本明細書に論じられたプログラムモジュール及び機能プロセスは、既存の通信ネットワーク内の既存のハードウェアを使用して実装されてよい。例えば、本明細書に論じられたプログラムモジュール及び機能プロセスは、既存のネットワーク要素又は制御ノード(例えば図1に示されたホームエージェント又はオーセンティケータ)上の既存のハードウェアを使用して実装されてよい。こうした既存のハードウェアは、1つ以上のデジタル信号プロセッサ(DSP)、特定用途向け集積回路、フィールドプログラマブルゲートアレイ(FPGA)コンピュータなどを含んでよい。
以下の説明では、例示的な実施形態について、他に示されていない限り、1つ以上のプロセッサによって実施される行為及び操作の(例えばフローチャートの形)記号表現を参照して述べられる。従って、コンピュータによって実行されるものと呼ばれることがあるこうした行為及び操作は、構造化された形でデータを表す電気的信号をプロセッサによって操作することを含むことが理解されよう。この操作は、データを変換し、又はそれをコンピュータのメモリシステム内の位置に維持し、このコンピュータは、コンピュータの操作を、当業者によってよく理解されるやり方で再構成し、又は別のやり方で変更する。
図2は、例示的な実施形態による、セキュリティアソシエーション又は鍵を動的に管理するための方法を示すフローチャートである。図2に示された方法は、図1に示された例示的なシステムに関して、具体的にはホームエージェント48又はオーセンティケータ52−1によって実施される機能/行為に関して述べられる。オーセンティケータ52−1、52−2及びホームエージェント48はひとまとめにして、セキュリティ鍵管理エンティティ、ネットワークエンティティ又は鍵管理エンティティと呼ばれることがある。
例示的な実施形態について、オーセンティケータ52−1に関して述べられる。しかし、同じ動的管理方法がオーセンティケータ52−2及び/又はホームエージェント48で実施され得ることが理解されよう。
上記に論じられたように、オーセンティケータ52−1は、アクセスサービスネットワークASN1内の移動ノードへの通信に必要とされる、各ホームエージェント48と外部エージェント44−1の間のトンネルに関連するHA−RK鍵及びコンテキストを維持する。しかし、オーセンティケータ52−1は、どのAAAサーバがHA−RK鍵及びコンテキストを生成して送ったかについてのいかなる知識も保持しない。
上記に論じられたように、オーセンティケータ52−1は、オーセンティケータ52−1上のアクティブなHA−RK鍵の残りの有効期間(又は有効期限)が、新しく割り当てられたMSK有効期間より小さい場合、且つ/又はアクセスサービスネットワークASN1内の新しい移動ノードの認証に応答して、AAAサーバ42から新しいHA−RK鍵及びコンテキストを受け取ることができる。
図2に示された方法を使用して、オーセンティケータ52−1(及び/又はホームエージェント48)は、HA−RK及び/又はFA−HA鍵の数を減少させるためにホームエージェントと外部エージェントの間のトンネルのセキュリティアソシエーションを動的に管理することができる。
図1及び2を参照すると、オーセンティケータ52−1は、ステップS202で、新しく生成されたHA−RK鍵KEYNEW及び関連するコンテキストを受け取る。上記に論じられたように、オーセンティケータ52−1は複数のモバイルセッションにサービスする。それぞれのセッションは確立されたときに認証され、その結果、サービスされたセッションの少なくとも一部はオーセンティケータ52−1によって認証される。認証プロセスの終わりに、AAAサーバ42はセッションのためのホームエージェント48を割り当て、従って、同じホームエージェント48が、同じオーセンティケータ52−1によって処理される複数のセッションのために割り当てられてよい。従って、オーセンティケータ52−1は、前のセッションのために割り当てられた同じホームエージェント48と通信するのに有効なHA−RKを既に有していながら、HA−RKの新しい値を受け取ることができる。
図2に戻ると、ステップS204で、オーセンティケータ52−1は、ホームエージェント48に関連するアクティブなHA−RK鍵KEYACTが既に存在するかどうか判断する。オーセンティケータ52−1は、割り当てられたHAに関連するセキュリティ鍵をチェックすることによって、アクティブなHA−RK鍵KEYACTがホームエージェント48に既に関連付けられているかどうか判断する。これは、例えば、ホームエージェントの識別子に関連してセキュリティ鍵を格納するメモリを解析することによって行うことができる。オーセンティケータ52−1が、ホームエージェント48に関連する既存のHA−RK鍵がない(例えばアクティブな鍵コンテキストKEYACTが存在しない)と判断する場合、ステップS206で、新しく受け取られたHA−RK鍵KEYNEWがアクティブ化され、HA−RK鍵KEYACTになる。アクティブなHA−RK鍵KEYACTは、アクティブなHA−RK鍵KEYACTが失効するまで、FA−HA鍵を生成するためのベースとして使用される。
アクティブなHA−RK鍵KEYACTは、HA−RK鍵Life_KEYACTの有効期間が経過するときに失効する。HA−RK鍵の有効期間は、例えばAAAサーバ42によって割り当てられた経過時間タイマの最大値である。このタイマが終了すると、HA−RK鍵に基づくセキュリティアソシエーションは終わる。
オーセンティケータ52−1は、ステップS208で、アクティブな鍵Life_KEYACTの有効期間が終了したと判断すると、ステップS210で、保留中のHA−RK鍵KEYPNDが存在するかどうか判断する。保留中のHA−RK鍵KEYPNDはステップS216、S220及びS222に関してより詳細に後述される。保留中のHA−RK鍵KEYPNDが存在しない場合は、オーセンティケータ52−1は、ステップS212で、ホームエージェント48と外部エージェント44−1の間のセキュリティアソシエーションを廃止又は削除する。
ステップS210に戻ると、保留中のHA−RK鍵KEYPNDが存在する場合は、オーセンティケータ52−1は、ステップS214で、保留中のHA−RK鍵KEYPNDをアクティブ化し、保留中のHA−RK鍵KEYPNDはアクティブなHA−RK鍵KEYACTになる。次いで、アクティブなHA−RK鍵KEYACTは、失効するまで、FA−HA鍵を生成するためのベースとして使用される。
図2のステップS204に戻って、オーセンティケータ52−1は、アクティブなHA−RK鍵KEYACTが存在すると判断する場合は、ステップS216で、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効するかどうか判断する。オーセンティケータ52−1は、新しく受け取られたHA−RK鍵Life_KEYNEWの有効期間をアクティブなHA−RK鍵Life_KEYACTの有効期間と比較することによって、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効するかどうか判断する。
アクティブなHA−RK鍵Life_KEYACTの有効期間が、新しく受け取られたHA−RK鍵Life_KEYNEWの有効期間を超えて延びる(例えばそれより大きい)場合、オーセンティケータ52−1は、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効すると判断する。
オーセンティケータ52−1は、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効すると判断する場合は、ステップS218で、新しく受け取られたHA−RK鍵KEYNEWを無視し廃棄する。
ステップS216に戻ると、オーセンティケータ52−1は、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効しないと判断する場合は、ステップS220で、ホームエージェント48のための保留中のHA−RK鍵KEYPNDが既に存在するかどうか判断する。
保留中のHA−RK鍵KEYPNDが存在する場合は、オーセンティケータ52−1は、ステップS222で、新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効するかどうか判断する。オーセンティケータ52−1は、ステップS216に関して上述されたように、新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効するかどうか判断する。
新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効する場合は、オーセンティケータ52−1は、ステップS218で、新しく受け取られたHA−RK鍵KEYNEWを無視し廃棄する。
ステップS222に戻ると、オーセンティケータ52−1は、保留中のHA−RK鍵KEYPNDが新しく受け取られたHA−RK鍵KEYNEWの前に失効すると判断する場合、ステップS224で、現在の保留中のHA−RK鍵KEYPNDを、新しく受け取られたHA−RK鍵KEYNEWで置き換える。次いで、このプロセスはステップS208に進み、上記に論じられたように継続する。
ステップS220に戻ると、オーセンティケータ52−1上にホームエージェント48のための保留中のHA−RK鍵KEYPNDが存在しない場合は、このプロセスはステップS224に進み、上記に論じられたように継続する。
図2に示された方法は、オーセンティケータ52−1に関して上記に論じられたのと同じ又は実質的に同じやり方で、オーセンティケータ52−2上で実施することもできる。類似の方法をホームエージェント48上で実施することもできる。ホームエージェント48上で実施される方法は、オーセンティケータ52−1で実施される方法に実質的に類似するので、以下では、簡潔な議論だけが提供される。
図1及び2を再び参照すると、ホームエージェント48は、ステップS202で、新しく生成されたHA−RK鍵KEYNEW及び関連するコンテキストを受け取る。ステップS204で、ホームエージェント48は、アクティブなHA−RK鍵KEYACTが既に存在するかどうか判断する。ホームエージェント48は、オーセンティケータ52−1に関して上述されたのと同じやり方で、アクティブなHA−RK鍵KEYACTが既に存在するかどうか判断する。
既存のHA−RK鍵がないとホームエージェント48が決定する場合は、ステップS206で、新しく受け取られたHA−RK鍵KEYNEWがアクティブ化され、HA−RK鍵KEYACTになる。アクティブなHA−RK鍵KEYACTは、アクティブなHA−RK鍵KEYACTが失効するまで、FA−HA鍵を生成するためのベースとして使用される。
ホームエージェント48は、ステップS208で、アクティブな鍵Life_KEYACTの有効期間が終了したと判断すると、ステップS210で、ホームエージェント48は保留中のHA−RK鍵KEYPNDが存在するかどうか判断する。
保留中のHA−RK鍵KEYPNDが存在しない場合は、ホームエージェント48は、ステップS212で、外部エージェント44−1とのセキュリティアソシエーションを廃止又は削除する。
ステップS210に戻ると、保留中のHA−RK鍵KEYPNDが存在する場合は、ホームエージェント48は、ステップS214で、保留中のHA−RK鍵KEYPNDをアクティブ化し、保留中のHA−RK鍵KEYPNDはアクティブなHA−RK鍵KEYACTになる。次いで、アクティブなHA−RK鍵KEYACTは、アクティブなHA−RK鍵KEYACTが失効するまで、FA−HA鍵を生成するためのベースとして使用される。
図2のステップS204に戻ると、ホームエージェント48は、アクティブなHA−RK鍵KEYACTが存在すると判断する場合は、ステップS216で、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効するかどうか判断する。
ホームエージェント48は、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効すると判断する場合は、ステップS218で、新しく受け取られたHA−RK鍵KEYNEWを無視し廃棄する。
ステップS216に戻ると、ホームエージェント48は、新しく受け取られたHA−RK鍵KEYNEWがアクティブなHA−RK鍵KEYACTの前に失効しないと判断する場合は、ステップS220で、保留中のHA−RK鍵KEYPNDが既に存在するかどうか判断する。
保留中のHA−RK鍵KEYPNDが存在する場合は、ホームエージェント48は、ステップS222で、新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効するかどうか判断する。ホームエージェント48は、ステップS216に関して上述されたように、新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効するかどうか判断する。
新しく受け取られたHA−RK鍵KEYNEWが保留中のHA−RK鍵KEYPNDの前に失効する場合は、ホームエージェント48は、ステップS218で、新しく受け取られたHA−RK鍵KEYNEWを無視し廃棄する。
ステップS222に戻ると、ホームエージェント48は、保留中のHA−RK鍵KEYPNDが新しく受け取られたHA−RK鍵KEYNEWの前に失効すると判断する場合は、ステップS224で、現在の保留中の鍵HA−RK鍵KEYPNDを、新しく受け取られたHA−RK鍵KEYNEWで置き換える。次に、このプロセスはステップS208に進み、上記で論じられたように継続する。
ステップS220に戻ると、保留中のHA−RK鍵KEYPNDが存在しない場合は、このプロセスはS224に進み、上記で論じられたように継続する。
上述された例示的な実施形態を使用して、所与のホームエージェント及び/又はオーセンティケータで保持されるHA−RK鍵及び/又はサポートされるトンネルの数を減少させることができる。例えば、本明細書に論じられた例示的な実施形態を使用することによって、M個のオーセンティケータにHA−RK鍵及びコンテキストを割り当てるN個のAAAサーバが存在する場合、それぞれのホームエージェントは少なくとも(1×M)HA−RK鍵及びコンテキストを維持する。
図2の方法は受信ステップS202を含むが、ホームエージェント48又はオーセンティケータ52−1のうちの1つ以上はAAAサーバ又はAAA機能と共に置くことができ、従って、それ自体HA−RK鍵KEYNEWを生成できることが理解されよう。
本発明について上記のように述べられたが、本発明は、多くのやり方で変更できることが明らかである。こうした変形形態は、本発明からの逸脱とみなすべきではなく、こうした修正は全て、本発明の範囲内に含まれるものである。

Claims (10)

  1. ネットワーク内のセキュリティアソシエーションを動的に管理するための方法であって、
    セキュリティ鍵管理エンティティで、既存のアクティブなセキュリティ鍵に基づいて、アクティブなセキュリティ鍵として新しいセキュリティ鍵を適用すべきかどうか判断するステップを備え、前記新しいセキュリティ鍵及び前記既存のアクティブなセキュリティ鍵がそれぞれ、同じホームエージェントに関連付けられ、前記既存のアクティブなセキュリティ鍵が、前記ホームエージェントと少なくとも1つの他のネットワーク要素との間の既存のセキュリティアソシエーションのベースとして働く、方法。
  2. 請求項1記載の方法であって、
    前記判断ステップに基づいて前記新しいセキュリティ鍵を適用し又は無視するステップ
    をさらに備える方法。
  3. 請求項2記載の方法であって、前記新しいセキュリティ鍵が、前記既存のアクティブなセキュリティ鍵が前記新しいセキュリティ鍵の後に失効する場合に無視され、
    前記既存のアクティブなセキュリティ鍵に基づいて生成された前記既存のセキュリティアソシエーションを使用して、送信又は受信されるデータを保護するステップ
    をさらに備える方法。
  4. 請求項2記載の方法であって、前記新しいセキュリティ鍵が、前記既存のアクティブなセキュリティ鍵が前記新しいセキュリティ鍵の後に失効する場合に無視され、
    前記既存のセキュリティアソシエーションを使用して保護されるデータを送信するステップ及び受信するステップのうちの少なくとも1つ
    をさらに備える方法。
  5. 請求項2記載の方法であって、前記新しいセキュリティ鍵が、前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の後に失効する場合に適用され、
    前記新しいセキュリティ鍵に基づいて生成されたセキュリティアソシエーションを使用して保護されるデータを送信するステップ及び受信するステップのうちの少なくとも1つ
    をさらに備える方法。
  6. 請求項2記載の方法であって、前記新しいセキュリティ鍵が、前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の後に失効する場合に適用され、
    前記新しいセキュリティ鍵に基づいて生成されたセキュリティアソシエーションを使用して、送信又は受信されるデータを保護するステップ
    をさらに備える方法。
  7. 請求項1記載の方法であって、
    前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の後に失効する場合に前記新しいセキュリティ鍵を適用するステップ、及び
    前記新しいセキュリティ鍵に基づいて前記ホームエージェントと前記少なくとも1つの他のネットワーク要素との間のセキュリティアソシエーションを作成するステップ
    をさらに備える方法。
  8. 請求項1記載の方法であって、前記判断ステップが、
    前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の後に失効するかどうか判断するために前記新しいセキュリティ鍵と前記既存のアクティブなセキュリティ鍵の有効期限を比較するステップを備え、
    前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の後に失効する場合に、前記既存のアクティブなセキュリティ鍵が前記新しいセキュリティ鍵で置き換えられる、方法。
  9. 請求項8記載の方法であって、
    前記新しいセキュリティ鍵に基づいて前記ホームエージェントと前記少なくとも1つの他のネットワーク要素との間のセキュリティアソシエーションを作成するステップ
    をさらに備える方法。
  10. 請求項8記載の方法であって、
    前記新しいセキュリティ鍵が前記既存のアクティブなセキュリティ鍵の前に失効する場合に前記新しいセキュリティ鍵が現在の保留中のセキュリティ鍵の後に失効するかどうか判断するために、前記新しいセキュリティ鍵と前記現在の保留中のセキュリティ鍵の有効期限を比較するステップ、及び
    前記新しいセキュリティ鍵が前記現在の保留中のセキュリティ鍵の後に失効する場合に前記現在の保留中のセキュリティ鍵を前記新しいセキュリティ鍵で置き換えるステップ
    をさらに備える方法。
JP2010550677A 2008-03-14 2009-03-04 無線ネットワーク内のセキュリティアソシエーションを動的に管理するための方法及び装置 Pending JP2011515930A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/076,176 2008-03-14
US12/076,176 US8923811B2 (en) 2008-03-14 2008-03-14 Methods and apparatuses for dynamic management of security associations in a wireless network
PCT/US2009/001392 WO2009114100A2 (en) 2008-03-14 2009-03-04 Methods and apparatuses for dynamic management of security associations in a wireless network

Publications (1)

Publication Number Publication Date
JP2011515930A true JP2011515930A (ja) 2011-05-19

Family

ID=41063572

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010550677A Pending JP2011515930A (ja) 2008-03-14 2009-03-04 無線ネットワーク内のセキュリティアソシエーションを動的に管理するための方法及び装置

Country Status (6)

Country Link
US (1) US8923811B2 (ja)
EP (1) EP2255515B1 (ja)
JP (1) JP2011515930A (ja)
KR (1) KR101237479B1 (ja)
CN (1) CN101971596B (ja)
WO (1) WO2009114100A2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101675617A (zh) 2007-03-28 2010-03-17 北方电讯网络有限公司 用于ip移动性系统的动态外区代理-归属代理安全性关联分配
US9064132B1 (en) * 2008-03-31 2015-06-23 Symantec Operating Corporation Method for writing hardware encrypted backups on a per set basis
KR101514840B1 (ko) * 2008-06-11 2015-04-23 삼성전자주식회사 휴대 방송 시스템에서의 암호화 키 분배 방법 및 이를 위한시스템
US8548467B2 (en) * 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
WO2010071522A1 (en) * 2008-12-19 2010-06-24 Telefonaktiebolaget Lm Ericsson (Publ) A method and arrangement for handling resource data
CN101800981A (zh) * 2010-01-25 2010-08-11 上海华为技术有限公司 动态安全关联的管理方法及一种通讯实体
US10263968B1 (en) * 2015-07-24 2019-04-16 Hologic Inc. Security measure for exchanging keys over networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007060466A (ja) * 2005-08-26 2007-03-08 Fuji Xerox Co Ltd 証明書管理装置、プログラム、方法
US20070260885A1 (en) * 2006-05-04 2007-11-08 Parviz Yegani Authenticating A Registration Request With A Mobility Key Provided To An Authenticator
WO2007134547A1 (fr) * 2006-05-24 2007-11-29 Huawei Technologies Co., Ltd. Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification
WO2008019989A1 (de) * 2006-08-14 2008-02-21 Siemens Aktiengesellschaft Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
US20090279704A1 (en) * 2007-01-16 2009-11-12 Huawei Technologies Co., Ltd. Mobile internet protocol system and method for updating home agent root key

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6240513B1 (en) * 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7475241B2 (en) 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
CN100362785C (zh) 2003-05-29 2008-01-16 华为技术有限公司 一种共享密钥更新的方法
WO2006135217A1 (en) 2005-06-16 2006-12-21 Samsung Electronics Co., Ltd. System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system
US7561692B2 (en) 2006-02-27 2009-07-14 Alvarion Ltd. Method of authenticating mobile terminal
ATE543298T1 (de) 2006-06-20 2012-02-15 Alcatel Lucent Wimax-netz, wimax-netzelement und eine verfahrensweise der behandlung der dienstleistungsqualität

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007060466A (ja) * 2005-08-26 2007-03-08 Fuji Xerox Co Ltd 証明書管理装置、プログラム、方法
US20070260885A1 (en) * 2006-05-04 2007-11-08 Parviz Yegani Authenticating A Registration Request With A Mobility Key Provided To An Authenticator
WO2007134547A1 (fr) * 2006-05-24 2007-11-29 Huawei Technologies Co., Ltd. Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification
WO2008019989A1 (de) * 2006-08-14 2008-02-21 Siemens Aktiengesellschaft Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
US20090279704A1 (en) * 2007-01-16 2009-11-12 Huawei Technologies Co., Ltd. Mobile internet protocol system and method for updating home agent root key

Also Published As

Publication number Publication date
US20090233578A1 (en) 2009-09-17
US8923811B2 (en) 2014-12-30
KR20100117663A (ko) 2010-11-03
WO2009114100A2 (en) 2009-09-17
EP2255515A2 (en) 2010-12-01
CN101971596A (zh) 2011-02-09
EP2255515B1 (en) 2018-01-03
WO2009114100A3 (en) 2010-03-18
KR101237479B1 (ko) 2013-02-26
CN101971596B (zh) 2017-09-01

Similar Documents

Publication Publication Date Title
US8666077B2 (en) Traffic encryption key generation in a wireless communication network
US10171998B2 (en) User profile, policy, and PMIP key distribution in a wireless communication network
JP5378603B2 (ja) 複数技術インターワーキングでの事前登録セキュリティサポート
EP2255515B1 (en) Method for dynamic management of security associations in a wireless network
US20080294891A1 (en) Method for Authenticating a Mobile Node in a Communication Network
US20060067271A1 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US8676999B2 (en) System and method for remote authentication dial in user service (RADIUS) prefix authorization application
JP2004304804A (ja) 独立したネットワーク間での共通の認証および認可の方法
US20090052379A1 (en) Method and system for managing mobility in a mobile communication system using mobile internet protocol
US7477626B2 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US8792876B1 (en) System and method for provisioning flows in a WiMAX network environment
US8036222B1 (en) Method for obtaining a mobile internet protocol address
US9137661B2 (en) Authentication method and apparatus for user equipment and LIPA network entities
WO2008052470A1 (fr) Procédé d'établissement de mécanisme de sécurité d'appareil ip mobile, système de sécurité et dispositif correspondant
US8908871B2 (en) Mobile internet protocol system and method for updating home agent root key
KR100687721B1 (ko) 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법
TWI254546B (en) Assignment method and system of home agent in mobile VPN
US8605901B1 (en) System and method for provisioning a home agent in a network environment
KR101266931B1 (ko) Aaa 프로토콜을 기반으로 하는 통합 보안인증 체계의 구축을 통한 보안인증 방법
KR20090041155A (ko) 프락시 모바일 ip 기반의 휴대 인터넷 망에서 빠른 ip주소 설정 방법 및 장치
WO2008055444A1 (fr) Procédé et système de gestion de clé entre un agent local et un agent externe

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130222

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130301

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130613

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130913

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130924

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131226

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140424

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140502

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20141003