JP2012517165A - ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 - Google Patents

ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 Download PDF

Info

Publication number
JP2012517165A
JP2012517165A JP2011548540A JP2011548540A JP2012517165A JP 2012517165 A JP2012517165 A JP 2012517165A JP 2011548540 A JP2011548540 A JP 2011548540A JP 2011548540 A JP2011548540 A JP 2011548540A JP 2012517165 A JP2012517165 A JP 2012517165A
Authority
JP
Japan
Prior art keywords
address
host
identity protocol
host identity
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011548540A
Other languages
English (en)
Other versions
JP5147995B2 (ja
Inventor
サルメラ,パトリック
メレン,ヤン
ユリタロ,ユッカ
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2012517165A publication Critical patent/JP2012517165A/ja
Application granted granted Critical
Publication of JP5147995B2 publication Critical patent/JP5147995B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4535Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/668Internet protocol [IP] address subnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】移動ネットワークに接続されたホストによるホスト・アイデンティティ・プロトコル・セキュリティ手順へのアクセスを容易にする方法を提供する。
【解決手段】移動ネットワークは付加ホストにローカルIPアドレスを割り振る役割を担うホスト・アイデンティティ・プロトコル・サーバを含む。この方法は、ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレスとともに、前記ローカル・アドレスを割り振る際に前記ホスト・アイデンティティ・プロトコル・サーバによる使用のためにIPアドレス・プレフィックスをランデブー・サーバで登録することを含む。登録されたIPアドレス・プレフィックスは、受信したI1メッセージをホスト・アイデンティティ・プロトコル・サーバに転送するためにランデブー・サーバで使用される。ランデブー・サーバは、ローカルIPアドレスの衝突を防止するために、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御する。
【選択図】図6

Description

本発明は、ホストにモビリティ・サービスを供与することに関し、特に、ホスト・アイデンティティ・プロトコル(Host Identity Protocol)を使用してこのようなサービスを供与することに関する。詳細には、本発明は、ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成に関する。
IPアドレスはネットワーク内のノードのトポロジ位置(topological location)を記述するものである。このIPアドレスはIPパケットをソース・ノードから宛先ノードに経路指定するために使用される。同時に、このIPアドレスはノードを識別するためにも使用され、従って、1つのエンティティで2通りの機能を提供する。これは、人の名前と住所が同義語になることに似ている。モビリティについても考慮すると、状況はさらに複雑になる。即ち、IPアドレスはホスト識別子として作用するので、変更してはならないが、IPアドレスはトポロジ位置も記述するので、ホストがネットワーク内でその位置を変えた時は必ず変更しなければならない。明らかに、安定性と動的変更の両方を当時に達成することは不可能である。
いわゆるモバイルIPの場合、解決策は、ノードに「ホームIPアドレス」を提供する固定ホーム・ロケーションを使用することである。ホームIPアドレスは、ノードを識別するとともに、それがホームにある時にそれに関する安定した位置を提供する。現在位置情報は「ケア・オブ・アドレス(care-of address)」の形で使用可能であり、このアドレスはそのノードがホームから離れている時に経路指定のために使用される。あるノードのホーム・ネットワークは、そのノードに(新しい)ケア・オブ・アドレスが割り振られた時に必ず更新され、パケットのホーム・アドレスにアドレス指定されたパケットを登録済みケア・オブ・アドレスに転送するという処理を行う。
モビリティ処理の問題に対するもう1つの解決策は、ホスト・アイデンティティ・プロトコル(HIP)の提案(R.モスコウィッツ、P.ニカンダー、P.ジョケラ、「Host Identity Protocol」、インターネット・ドラフト、作業進行中、draft-ietf-hip-base-09.txt、IETF、2007年)によって提供されている。HIPは、新しい名前空間であるホスト・アイデンティティ(HI)を導入することにより、IPアドレスの位置とアイデンティティの役割を分離する。HIPでは、ホスト・アイデンティティは、公開鍵と秘密鍵のペア(public-private key-pair)のうちの公開暗号鍵である。公開鍵は、秘密鍵の唯一のコピーを保有する当事者を識別するものである。鍵のペアのうちの秘密鍵を処理するホストは、ネットワーク内でそれを識別するために使用される公開鍵を「所有」していることを直接的に証明することができる。
HIPホスト・アイデンティティ(HI)は、公開鍵であり、非常に長くなる可能性がある。従って、HIをハッシュすることによってそのHIから生成される長さ128ビットのホスト・アイデンティティ・タグ(HIT)で表される場合が多い。従って、HITはHIを識別する。HITは長さ128ビットであり、IPv6アドレスとまったく同じ長さであるので、IPv6アプリケーションに直接使用することができる。
アプリケーションは典型的に、(ピア)ノードの位置に関心がないが、ピアのアイデンティティを把握する必要がある。このアイデンティティはHITによって表される。これは、経路指定が関係する下位層についてのみIPアドレスが重要であることを意味する。アプリケーションが使用するHITは、当然のことながら、任意のパケットがノードを離れる前に対応するIPアドレスにマッピングしなければならない。これは、以下に説明するように、新しいホスト・アイデンティティ層で達成される。
添付図面のうちの図1は、標準的なトランスポート層4、ネットワーク層8、及びリンク層10を含み、プロセス2がその下にあるトランスポート層4と通信している、HIPベースのプロトコル・アーキテクチャ内の様々な層を示している。新しいホスト・アイデンティティ層6は、トランスポート層4とネットワーク層8との間に配置されている。ホスト・アイデンティティ層の主要な役割は、HITとIPアドレスとのマッピングを行うことである。上位層から到着する各パケットは、宛先アドレスとしてピア・ノードのHITを含む。ホスト・アイデンティティ層は宛先HITを適切な宛先IPアドレスで置き換え、ソースHITは適切なソースIPアドレスに変換される。
HIPは、4通りのメッセージを含む基本メッセージ交換、即ち、4ウェイ・ハンドシェークを定義し、これは、HIP対応ノード間にセキュリティ・アソシエーション(SA)を作成するために使用される。メッセージ交換中に、ディフィー・ヘルマン手順を使用して、セッション鍵を作成し、ノード間に1対のIPSecカプセル化セキュリティ・ペイロード(ESP)セキュリティ・アソシエーション(SA)を確立する。添付図面のうちの図2は、4ウェイ・ハンドシェークを示している。交渉している当事者は、接続を開始する「イニシエータ(Initiator)」と、「レスポンダ(Responder)」と呼ばれる。イニシエータは、交渉に関与しているノードのHITを含むI1パケットを送信することによって交渉を開始する。レスポンダは、I1パケットを受信すると、イニシエータが解くべきパズルを含むR1パケットを返送する。このプロトコルは、パズル解答中の計算のほとんどをイニシエータが行わなければならないように設計されている。これは、サービス不能(DoS)攻撃に対する何らかの保護になる。R1は、ディフィー・ヘルマン・パラメータとともにレスポンダの公開鍵を含む、ディフィー・ヘルマン手順も開始する。
R1パケットが受信されると、イニシエータは、パズルを解き、IPSec SPI値とその暗号化した公開鍵とともにI2パケットに入れて応答クッキーをレスポンダに送信する。レスポンダは、パズルが正しく解かれていることを検証し、イニシエータを認証し、IPSec ESP SAを作成する。最後のR2メッセージはレスポンダのSPI値を含む。
ピア・ノード間のSAは、HITによって表されるホスト・アイデンティティに拘束される。しかし、ネットワーク内を移動するパケットは実際のHI(HIT)情報を含まず、むしろ、ESPヘッダ内のセキュリティ・パラメータ・インデックス(SPI)値を使用して、到着パケットが識別され、正しいSAにマッピングされる。添付図面のうちの図3は、ネットワーク内を移動するパケットの論理的なパケット構造と実際のパケット構造を示している。
出力パケットが上位層からHI層に到着すると、宛先HITがIPSec SADBから検証される。宛先HITと一致するSAが見つかった場合、そのSAに関連するセッション鍵を使用してパケット・ペイロードが暗号化され、ソース及び宛先HITに関するパケットIPヘッダにソース及び宛先IPアドレスが代入される。受信側ホストでは、SPI値を使用して、IPSec SADBから正しいSAを見つける。ある項目が見つかった場合、ソース及び宛先IPアドレスを対応するHITに変更することができ、セッション鍵を使用してそのパケットを復号することができる。
HIPを実装していないレガシー・ノードがHIPの追加のセキュリティ上の恩恵をある程度利用できるようにするために、HIPプロキシを導入するための提案が行われた。HIPプロキシの使用については、例えば、WO05081466及びWO0501753で考慮され、図4に示されているが、同図ではレガシー・ホスト12は、HIPプロキシ16を介してHIP対応ノード14と通信するものとして示されている。レガシー・ホスト12はアクセス・ネットワーク18によりHIPプロキシ16にアクセスし、HIPプロキシ16はインターネット20によりHIPノード14にアクセスする。レガシー・ホスト12とHIPノード14との間の接続を部分的に保護するために、HIPプロキシ16とHIPノード14との間のすべての通信は、上述のものと同様の方法でHIPプロキシ16とHIPノード14との間にセットアップされたセキュリティ・アソシエーション22を使用する。HIPプロキシを要する特定使用のケースは、GPRSアクセス・ネットワーク18を使用するレガシー2G又は3Gワイヤレス・モバイル端末になる可能性がある。HIPプロキシは、有利なことに、GPRSネットワークのGGSNと同じ場所に位置する。図4に示されているその他のコンポーネントは、DNSサーバ24−1及び24−2とフォワーディング・エージェント(Forwarding Agent)26である。
ピア・ノードと通信することを希望し、そのピア・ノードのHITしか把握していないノードは、当然のことながら、そのピアに関するIPアドレスを入手しなければならない。ホスト・アイデンティティ層は、いくつかの方法で、例えば、DNSサーバを使用して、HITとIPアドレスとのマッピングを入手することができる。DNSサーバ側に保持されている所与のノードに関する位置情報は、そのノードによっていつでも更新することができる。
DNSベースのルックアップ手順に関する問題は、インターネットにより新しいデータを更新する時のDNSシステムの待ち時間を含む。DNSは、数時間又は数日間の間、データをキャッシュすることができるキャッシュ・メカニズムを使用し、従って、DNSは、非常に頻繁に行われる更新を効率よく処理することができない。DNSに保管されたアドレスは長く続くものと予想され、従って、DNSシステムはモビリティを処理するのに適していない。
インターネット技術標準化委員会(IETF)は、「ランデブー・サーバ(rendezvous server)」(RVS)として知られる新しいネットワーク・エンティティを指定した。RVSはそのクライアントに初期接触点を提供するものである。RVSのクライアントは、自分のHITとIPアドレスとのマッピングをRVSに登録するためにHIP登録プロトコルを使用するHIPノードである。登録後、その他のHIPノードは、自分が接触しようと試みているノードの現行IPアドレスの代わりにRVSのIPアドレスを使用して、基本交換(I1メッセージ)を開始することができる。I1メッセージ内に含まれるものは宛先ノードのHITである。RVSは、宛先HIPノードのIPアドレスを決定し、I1メッセージをそのアドレスに転送する。このようにして、RVSのクライアントはRVSのIPアドレスを介して到達可能になる。
RVSは、(IP)アクセス・ネットワークに対する1つ又は複数の接続ポイント(point of attachment)を有する移動ネットワーク(moving network)にHIPノードが接続される移動ネットワーク・トポロジの導入を容易にする。移動ネットワーク内にHIPモバイル・ルータを導入することにより、RVSはHIPノードの現在位置で連続的に更新することができ、同時に位置更新関連信号通知が最小限になる。従来の手法により、ノードはRVSに登録するためにHITを備えていなければならないので、RVS及びHIPモバイル・ルータを使用しても、それだけで移動ネットワーク内のレガシー・ホストがHIPベースのセキュリティを利用できるようにはならない。
移動ネットワークに接続されたレガシー・ホストがHIPベースのモビリティ及びセキュリティを利用できるようにするための手段を提供することが望ましい。これは、移動ネットワーク内のHIPプロキシとRVSシステムを使用することによって達成することができ、それにより、プロキシはそれが担当するIPアドレス・プレフィックス又は一時的HITを登録し、レガシー・ホストに関するI1パケットがRVSシステムに送信され、そのRVSシステムがそれらを担当のHIPプロキシにリダイレクトする。
HIPプロキシの移動サブネットワーク用のアドレスを構成する明白な方法は、プライベート・アドレス空間(例えば、192.168.0.0/16)を使用し、その空間をHIPプロキシ間で分割することである。これには手動構成が必要であり、HIPプロキシ管理者には使用することが許可されているプレフィックスが通知される。当然のことながら、これが適切に行われないか又は新しいプロキシがRVSに加わった場合、プレフィックス衝突が発生する可能性があり、例えば、2つのプロキシがそれぞれのサブネットワーク内で192.168.2.0/24アドレスを提供しようと決定する可能性がある。そのプレフィックス(例えば、192.168.2.5)に属すアドレスについて複数の一致が存在する可能性があるので、これはRVS内で問題を発生することになる。
しかし、IPアドレス衝突の問題はレガシー・ホスト及びHIPプロキシに限定されず、HIPホストがHIPモバイル・ルータの後に位置する場合、特に、2つ又はそれ以上のネストされたHIPモバイル・ルータの後に位置する場合も発生する可能性がある。
本発明の第1の態様により、移動ネットワークに接続されたホストによるホスト・アイデンティティ・プロトコル・セキュリティ手順へのアクセスを容易にする方法が提供され、移動ネットワークは付加ホスト(attached host)にローカルIPアドレスを割り振る役割を担うホスト・アイデンティティ・プロトコル・サーバを含む。この方法は、ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレス(externally reachable IP address)とともに、前記ローカル・アドレスを割り振る際に前記ホスト・アイデンティティ・プロトコル・サーバによる使用のためにIPアドレス・プレフィックスをランデブー・サーバで登録することを含む。登録されたIPアドレス・プレフィックスは、受信したI1メッセージをホスト・アイデンティティ・プロトコル・サーバに転送するためにランデブー・サーバで使用される。ランデブー・サーバは、ローカルIPアドレスの衝突を防止するために、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御する。
この手法は、前記ホスト・アイデンティティ・プロトコル・サーバがホスト・アイデンティティ・プロトコル・プロキシであり、前記ホストがレガシー・ホストである場合に適用可能である。この場合、この方法は、前記IPアドレス・プレフィックス及びHIPプロキシのパブリック・アドレス(複数も可)とともに、前記ホスト・アイデンティティ・プロトコル・サーバのホスト・アイデンティティ又はホスト・アイデンティティ・タグをランデブー・サーバで登録することを含むことができる。
この手法は、前記ホスト・アイデンティティ・プロトコル・サーバがホスト・アイデンティティ・プロトコル・モバイル・ルータであり、前記ホストがHIPホストである場合にも適用可能である。
ランデブー・サーバは、IPアドレス・プレフィックスのプールから割り振られていないIPアドレス・プレフィックスを選択し、登録側ホスト・アイデンティティ・プロトコル・サーバについて選択されたプレフィックスを登録し、登録側ホスト・アイデンティティ・プロトコル・サーバに選択され登録されたIPアドレス・プレフィックスを通知することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御することができる。
代わって、ランデブー・サーバは、登録側ホスト・アイデンティティ・プロトコル・サーバから提案されたIPアドレス・プレフィックスを受信し、すでに登録されたプレフィックスに基づいてその提案を受諾するか又は拒否することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御することができる。ランデブー・サーバによる提案されたIPアドレス・プレフィックスの拒否後、この方法は、代替プレフィックスをホスト・アイデンティティ・プロトコル・サーバで選択することと、これをランデブー・サーバに送信することをさらに含む。
ランデブー・サーバは1組の協働ランデブー・サーバのうちの1つにすることができ、これらのランデブー・サーバはランデブー・サーバ間のIPアドレス・プレフィックス衝突を防止するために割り振られたIPアドレス・プレフィックスを識別するデータを交換する。
本発明の第2の態様により、ホスト間のセッションを確立するためにランデブー・サーバとして動作するように構成された装置が提供される。この装置は、登録データベースと、ホスト・アイデンティティ・プロトコル・サーバから登録要求を受信するための受信機とを含み、サーバは付加ホストにローカルIPアドレスを割り振る役割を担う。ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレスとともに、前記ローカル・アドレスを割り振る際に前記ホスト・アイデンティティ・プロトコル・サーバによる使用のためにIPアドレス・プレフィックスを前記登録データベースで登録することにより、登録要求の受信に応答するための登録ユニットが提供される。この装置は、登録されたIPアドレス・プレフィックスを使用して受信したI1パケットをホスト・アイデンティティ・プロトコル・サーバに転送するためのメッセージ処理ユニットをさらに含む。登録ユニットは、ローカルIPアドレスの衝突を防止するために、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成される。
登録ユニットは、IPアドレス・プレフィックス・プール内から割り振られていないIPアドレス・プレフィックスをホスト・アイデンティティ・プロトコル・サーバに割り振ることにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成することができ、この装置は、割り振られたIPアドレス・プレフィックスをホスト・アイデンティティ・プロトコル・サーバに送信するための送信ユニットをさらに含む。
登録ユニットは、ホスト・アイデンティティ・プロトコル・サーバによって提案されたIPアドレス・プレフィックスを前記登録要求内で識別し、そのプレフィックスが他のホスト・アイデンティティ・プロトコル・サーバについて登録されている場合にそのプレフィックスを拒否することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成することができる。詳細には、登録ユニットは、提案されたIPアドレス・プレフィックスを拒否した時に、代替の使用可能なプレフィックスをホスト・アイデンティティ・プロトコル・サーバに送信するか又はサーバからの代替提案を考慮するようにさらに構成することができる。
登録ユニットは、ランデブー・サーバ間のIPアドレス・プレフィックス割り振り衝突を防止するために割り振られたIPアドレス・プレフィックスを識別するデータを他の関連ランデブー・サーバと交換するように構成することができる。
ホスト・アイデンティティ・プロトコル・サーバは、IPアドレスをクライアントに提供する役割を担う任意のHIP対応ノード、例えば、ホスト・アイデンティティ・プロトコル・プロキシ又はホスト・アイデンティティ・プロトコル・モバイル・ルータにすることができる。
本発明の第3の態様により、サブネットワーク内のホスト・アイデンティティ・プロトコル・クライアント及び/又はレガシー・ホストに対応するホスト・アイデンティティ・プロトコル・サーバとして動作するように構成された装置が提供される。この装置は、ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレスとともに、サブネットワーク内でローカルIPアドレスを割り振る際に前記ホスト・アイデンティティ・プロトコル・サーバによる使用のためにIPアドレス・プレフィックスをランデブー・サーバで登録するための登録ユニットを含み、登録ユニットは登録されたIPアドレス・プレフィックスをランデブー・サーバから受信するように構成される。
前述の通り、ホスト・アイデンティティ・プロトコル内の様々な層を示す図である。 同じく前述の通り、HIPプロトコル内の4ウェイ・ハンドシェークの動作を示す図である。 同じく前述の通り、HIP内の論理的なパケット構造及び実際のパケット構造を示す図である。 同じく前述の通り、HIPプロキシを介してレガシー・ホストとHIPモードとの間の通信のための一般ネットワーク・セットアップを示す概略図である。 レガシー・ホストがHIPプロキシを含む移動ネットワークに付加されるシナリオを概略的に示す図である。 HIPプロキシとRVSとの間の登録信号交換を示す図である。 新しいHIPプロキシの登録後のRVS間の登録データの交換を示す図である。 HIPプロキシ用の登録プロセスを示す流れ図である。 HIPプロキシを登録するようになっているランデブー・サーバを概略的に示す図である。 HIPプロキシを概略的に示す図である。 図5のシナリオに関連するモビリティ関連信号通知の流れを示す図である。
IPネットワークに実質的に連続的に接続される移動ネットワークの供与を容易にするための作業が進行中である。移動ネットワークの一例は、同じ移動車両内又は人の身体上に存在する相互接続デバイスの集合である可能性がある。このような移動ネットワークは固定アクセス・ポイントを介してIPネットワークに接続するが、そのアクセス・ネットワークのアイデンティティは典型的に、ネットワークが移動するにつれて変化する。ネットワークが移動した時にネットワーク内のデバイスが到達可能のままでいられるようにするために、位置アドレス(即ち、IPアドレス)に対する変更を信号通知するための何らかのメカニズムを実装しなければならない。移動ネットワークをサポートするための解決策の1つはIETF NEMO提案である。NEMOは、ネットワーク・デバイスからネットワーク・モビリティを効果的に隠すモバイル・ルータを移動ネットワークに導入するものである。このモバイル・ルータは、ピア・ノードに位置アドレス更新を送信する役割を担う。
NEMOに代わるものとして、HIPモバイル・ルータを移動ネットワーク(又は「サブネットワーク」)に導入することによりHIPベースの移動ネットワークを実装することが可能である。HIPモバイル・ルータは、サブネットワーク内のHIPノードに代わってモビリティ関連信号通知を処理する役割を担う。モビリティ関連信号通知権をHIPモバイル・ルータに委任することにより、HIPノードは、サブネットワークの移動による影響を受けなくなり、それ自体がモビリティ関連信号通知を実行する必要が無くなる。しかし、この手法は、HIPを利用するために、サブネットワーク内のデバイスがHIPノードであることを要求する。レガシー・ノードはHIPモバイル・ルータを使用することができない。
上述の通り、レガシー・ホストがHIPの追加のセキュリティ上の恩恵を少なくとも限られた範囲で利用できるようにするために、HIPプロキシを使用することは可能である。安定した到達可能アドレスをノードに提供するために、HIPプロキシは、(ピア)HIPノードに関する現行IPアドレスを入手するためにDNS照会を実行することができる。従って、HIPプロキシは、移動ネットワークを使用可能にするための代替メカニズムを提供し、その上、HIPベースのネットワーク・モビリティをレガシー端末に提供する。しかし、さらに良好な手法は、HIPプロキシの使用とIETFによって提案されたRVSメカニズムとを組み合わせることである。これについては以下に説明する。
図5は、レガシー・ノード100が移動ネットワーク101に接続されるシナリオを示している。移動ネットワークは、例えば、WLANネットワークにすることができるであろう。移動ネットワークは、(WLAN)ルータ103と同じ場所に位置するHIPプロキシ102をさらに含む。ルータ103は移動ネットワーク101をIPネットワーク・アクセス・ポイント104に接続する。移動ネットワークが移動すると、それは、あるアクセス・ポイントから他のアクセス・ポイントにハンドオフされる。アクセス・ポイント104はIPネットワーク105へのアクセスを可能にするものであり、そのIPネットワークはインターネットであるか又はインターネットを含むことができる。図5は、HIPプロキシ108、ルータ109、及びアクセス・ポイント110を介して第2の移動ネットワーク107に同様に接続されるピア・レガシー・ノード106を示している。
ランデブー・サーバ(RVS)111は、IPネットワーク内に位置し、HIPについて規定されたIETF RVSの機能性を実装するものである。即ち、RVS11はHIPノード用の合流点を提供する。しかし、RVSには、以下に説明するように追加の機能性が提供される。
HIPプロキシ102、108は、それぞれのモバイル・ネットワーク内のノードに提供されたIPアドレスを認識しているものと想定する。これらはIPv4及び/又はIPv6アドレスである可能性がある。詳細には、HIPプロキシは、そのネットワーク内で使用されるIPアドレス・プレフィックス(複数も可)並びに使用可能なアドレス空間から使用中の特定のアドレスを把握している(又は決定することができる)。RVSは、パブリックで経路指定可能なアドレスである可能性がない(しかし、それにもかかわらず、固有のものである)(ローカルに割り振られた)IPアドレスを使用して、移動ネットワーク内のレガシー・ホストがネットワークの外側から到達可能になるようにするために使用される。
所与のモバイルHIPプロキシによって使用されるアドレス・プレフィックス(複数も可)は、HIP RVSシステムで、特に、RVSシステムのデータベース112内に登録しなければならない。[RVSシステムは、例えば、何らかの階層RVS構造、DHTベースのRVSシステム、又は単に正規のRVSである可能性がある。]図6の信号通知図(以下に詳述する)に関して説明すると、1対のHIPプロキシ(HIPプロキシa及びHIPプロキシb)についてステップ1及び2で登録が実行される。HIPプロキシについてアイデンティティ[HIT(a)]及び現行ロケータ[IP(a)]のみを登録する代わりに、RVSはプロキシのサブネットワーク内で使用されるプレフィックス(複数も可)及び/又はサブネットワーク内で使用されるアドレスのリストも登録しなければならないので、これは、現行のRVS指定に対する拡張部分を表している。RVSを使用してレガシー・ホストの位置を突き止めようと試みる場合、レガシー・ホストのIPアドレスをRVSシステム内の任意の項目のプレフィックスと突き合わせることが必要である。一致が見つかると、対応するRVS項目は、そのレガシー・ホストに接触するために使用できるHIPプロキシ(IPアドレス及びHIT/HI)を識別する。
HIPプロキシ登録手順についてさらに考慮すると、可能であればHIPプロキシ間のアドレス衝突を回避することが重要である。これは、HIPプロキシの後ろにあるサブネットワークが「プライベート」アドレス空間を使用する場合でも、RVSがIPアドレス・プレフィックスをHIPプロキシに割り振れるようにすることによって達成することができる。
初めてRVSに登録するHIPプロキシについて考慮する。この場合、そのプロキシによって処理されている既存の接続は存在しないので、RVSは単に、そのサブネットワーク内で使用しなければならないプレフィックスを登録側HIPプロキシに通知することができる。これは、HIPプロキシがそのプレフィックスを選択し、その選択をRVSに通知する代わりに、そのプレフィックスがRVSによって割り振られ、HIPプロキシに与えられることを意味する。これにより、RVSは、それに登録されたすべてのHIPプロキシを管理し、プレフィックス衝突を回避することができる。HIPプロキシは、サブネットワーク内で使用すべきプレフィックスを受信し、それをそのクライアントに宣伝する。これは、まだアクティブ接続が存在しない間であってHIPプロキシが初めてRVSに登録する時だけ行われるので、サブネットワーク内のクライアントは本質的に影響を受けない。
図6は、HIPプロキシとRVSとの間の登録信号交換を示している。この交換は、IETF RFC5203に定義された登録交換を使用することができる。
RVSがリング構造又は階層構造に編成された場合、オーバラップを回避するためにRVS間でIPアドレス・プレフィックスを割り当てなければならない。次にRVSは、割り振られたプレフィックスをそれに接続されたHIPプロキシにさらに分割することができる。代替手法は、各RVSが、それがHIPプロキシにプレフィックスを割り振る時にその他の接続されたRVSに通知することである。この手法では、RVSは共通プールからプレフィックスを割り振る。これについては図7に示されている。
図8は、登録及びメッセージ処理手順をさらに示す流れ図である。このプロセスはステップ100から始まり、ステップ101でHIPプロキシが登録要求をRVSに送信する。ステップ102でこのメッセージがRVSによって受信される。ステップ103では、RVSは、プレフィックスの使用可能なプールから、HIPプロキシのために、割り振られていないIPアドレス・プレフィックスを選択する。ステップ104では、RVSは、HIPプロキシのIPアドレス(及びHI/HIT)(及び上述のその他のデータ)とともに、割り振られたプレフィックスをそのデータベースに登録する。ステップ105で、選択されたプレフィックスもHIPプロキシに送信される。その後、ステップ106では、そのプレフィックスを含むIPアドレス向けのI1メッセージをRVSが受信すると、RVSはHIPプロキシ用の接触アドレス(及びHI/HIT)を識別することができ、そのアドレスにメッセージを転送することができる。このプロセスはステップ107で終了する。
プレフィックス衝突の問題に対する代替の解決策は、他のHIPプロキシによって(全体的に又は部分的に)すでに登録されたプレフィックスをHIPプロキシが登録しようと試みた時にRVSがそのHIPプロキシに通知できるようにすることである。このような試みが検出された場合、HIPプロキシは新しいプレフィックスを選択し、代わりにこの新しいプレフィックスを登録しようと試みなければならない。[当然のことながら、この結果として、攻撃者がRVSノードになりすまし、すべてのプレフィックスが予約されているとHIPプロキシに通知するというサービス不能(DoS)タイプの攻撃が行われる可能性がある。]代替プレフィックスを提案することをHIPプロキシに要求するのではなく、衝突が発生した場合に、RVSは、RVSによって保持された他のHIPプロキシの登録情報に基づいて、新しい(空いている)プレフィックスをHIPプロキシに示唆することができる。
図9は、上述のようにHIPプロキシの登録を処理するように構成されたランデブー・サーバ(RVS)1を概略的に示している。RVS1は、HIPプロキシから登録要求を受信するための受信機2を含む。要求は、登録ユニット3に渡され、それによって処理される。特に、一実施形態では、登録ユニット3は、(プレフィックスのプールから)IPアドレス・プレフィックスを登録側HIPプロキシに割り振り、HIPプロキシの外部アクセス可能IPアドレス及びHI/HITとともに、これをデータベース4に登録する。登録ユニット3は送信ユニット5を使用して、選択されたIPアドレス・プレフィックスをHIPプロキシに通知する。HIPプロキシの後ろにあるレガシー端末向けのその後のI1メッセージはメッセージ処理ユニット6によって処理される。このユニットは、データベース4内の宛先端末のIPアドレス・プレフィックスをルックアップし、HIPプロキシの識別されたIPアドレスにそのメッセージを転送する。図10は、その割り振られたIPアドレス・プレフィックス及び接触IPアドレス(及びHI/HIT)をRVSに登録するための登録ユニット11を有するHIPプロキシ10を示している。
次に、HIPプロキシ(a)の後ろにあるレガシー・ホスト(x)が他のHIPプロキシ(b)の後ろにあるピア・レガシー・ホスト(y)に接続したいと希望するケースについて考慮する。ホスト(x)はまずピア・ホストのロケータを把握する必要がある。この情報をどのように入手するかについてはここでは詳細に考慮しないが、既存のDNSシステムを使用することが可能であると思われる。図11に示されている信号通知についてさらに考慮すると、レガシー・ホスト(x)は、正規パケット(例えば、TCP SYN)をピアに送信することによって(IP(x)−>IP(y))、ピア・ホスト(y)とのセッションを開始する。そのパケット内に含まれるソース及び宛先IPアドレスは、プライベート又はパブリックのIPアドレスにすることができる。HIPプロキシ(a)は、そのパケットをインターセプトし、そのIPアドレス対についてすでにHIP関連付けが存在するかどうかをチェックする。存在する場合、パケットはその関連付けによって送出される。2つのプロキシ間にすでにHIP関連付けが存在するが、レガシー・ホストが異なる場合、そのプロキシ間で完全なIPパケットがトンネリングされるので、そのHIP関連付けは依然として新しい接続に使用することができる。そうではない場合、プロキシは、宛先アドレスIP(y)が属すプレフィックスをどのプロキシが持っているかをすでに把握しているかどうかを確認するためのチェックを行う。この情報が見つかった場合[IP(b),HIT(b)]、図2の4ウェイ・ハンドシェークにより、2つのプロキシ間でHIP関連付けを確立するためにそれを直接使用することができる。しかし、使用可能な関連付けがまだ存在せず、HIPプロキシ(a)がピア・プロキシに関する情報を持っていない場合、それは、以下に説明するように、RVSシステムを利用して新しいHIP関連付けを確立する。
HIPプロキシ(a)は、RVSシステムに日和見モード(opportunistic mode)でI1パケットを送出し、即ち、宛先HITフィールド(即ち、知られていればHIT(b)が存在する場所)は空のままになる(ステップ4)。IPパケット・ヘッダ内の宛先アドレスはRVSのアドレスであるが、宛先レガシー・ホストIP(y)のIPアドレスはI1パケット・ペイロードに含まれ、そのため、この情報はRVS内の正しいピアHIPプロキシ項目を突き止めるためにRVSが使用することができる。I1パケットを受信すると、RVSは、IP(y)のプレフィックスと一致するプレフィックスを含む項目を識別し、その項目から、HIPプロキシ(b)のHIT及びそのIPアドレスIP(b)を識別する。次に、RVSはHIT(b)をI1パケットに挿入し、そのパケットが転送される前に、そのパケットの宛先がIP(b)に変更される(ステップ5)。
ピアHIPプロキシは、I1パケットを受信すると、通常通り、R1パケットで応答する。しかし、それは、それがサブネットワーク内で対応しているIPアドレス・プレフィックスをパケット内に含める。R1パケットは発信側HIPプロキシに直接送信され、次にそのHIPプロキシは、ピア・プロキシのHIT及びIPアドレスと、そのピア・プロキシが対応しているプレフィックスも学習する(ステップ6)。[この学習したプレフィックスは、例えば、異なる1対のレガシー・ホストについて、2つのサブネットワーク間で新しい接続を確立する必要がある時に、後で使用することができる。]次に発信側HIPプロキシがI2パケットで応答する場合、それはそのプロキシが対応しているサブネットワークのプレフィックスを含み、そのため、両方のプロキシが完全な情報を所有することになる(ステップ7)。HIP基本交換は、2つのプロキシ間でHIP関連付けを確立するために、通常通り、続行する(ステップ8)。この時点でHIPトンネルはセットアップされており、データ・パケットはHIPトンネルを通ってレガシー・ホスト間を流れることができる(ステップ9〜11)。完全なIPパケットはHIPプロキシ間のIP−in−IPトンネル内をトンネリングされ、宛先プロキシで受信されると、元のIPパケットがアンパックされ、元のIPアドレスで宛先サブネットワーク内に送信される[IP(x)−>IP(y)]。
次に、移動ネットワーク内にあってHIPプロキシの後ろにあるレガシー・ホストとのHIP保護セッションをHIPホストが確立しようと努めるケースについて考慮すると、この手順は上述のものと同様である。HIPホストはI1パケットを日和見モードでRVSに送信する。HIPホストは、レガシー・ホストのIPアドレスをI1メッセージに含めなければならない(これは変更されたI1パケットを必要とする)。RVSは、レガシー・ホストのIPアドレスを使用して担当のHIPプロキシを決定し、HIPプロキシにI1を転送する。開始側HIPホストはHIPプロキシからR1応答を受信し、それによりプロキシのIPアドレス及びHIT並びにそのプロキシが担当するIPアドレス・プレフィックスを学習する。当然のことながら、HIPホストはプレフィックスを担当せず、従って、それ自体のIPアドレスのみをI2に含める。その後、交換は通常通り完了する。
その後、データ・パケットを送信する時に、HIPホストはIP−in−IPトンネル内にパケットをカプセル化する(また、受信する時にカプセル化解除する)必要がある。HIPホストは、それ自体のアドレスとレガシー・ホストのアドレスに対応するソース及び宛先IPアドレスでプレーン・データ・パケットを作成する。このパケットは、出力HIPパケット用のペイロードとして使用され、(正規HIPのように)まずIPヘッダ内にHITを有し、次にHIPホスト及びHIPプロキシのIPアドレスに変換される。
HIPホストへの接続を開始するのがレガシー・ホストである場合、レガシー・ホストからレガシー・ホストへの接続に使用されたものと同じ手順が使用される。即ち、プロキシから送信されるI1パケット(プロキシのHITを含む)はRVSシステムを経由し、HIPホストに転送される。HIPホストは、R1パケット内の「プレフィックス」としてそれ自体のアドレスを含む。手順は、上述の通り、完了する。
RVS側でサブネットワーク・プレフィックスを登録するための代替手法は、HIPプロキシがサブネットワーク内のレガシー・ホストについて一時的アイデンティティを作成できるようにすることである。その場合、HIPプロキシは、これらのアイデンティティをRVS内のその登録項目に追加し、その項目がサブネットワーク内のレガシー・ホストについてHIT(a)、IP(a)、及び1組のIPアドレス/(一時的)HIT対を含むようにする。
この代替手法のためのHIP基本交換は前のシナリオと同様のものであるが、I1パケット内のソースHITはレガシー・ホスト(a)に割り当てられた一時的HITであり、RVSシステムでは、ピア・レガシー・ホスト(b)に割り当てられた一時的HITが宛先HITフィールドに挿入される(どちらのピアもHIPプロキシの後ろにあるレガシー・ホストであると想定する)。しかし、RVSシステムから依然としてI1パケットがピアHIPプロキシのIPアドレスに送信される。ピアHIPプロキシがR1パケットで応答する場合、それは(前のケースのようにサブネットワークのプレフィックスの代わりに)ピア・レガシー・ホストのIPアドレス(IP(b))を含む。発信側HIPプロキシは、それがないと、入力R1パケット(及び含まれるHIT)を送出されるI1パケットにマッピングできないので、IP(b)を必要とする(I1は空の宛先HITフィールドとともに日和見モードで送信されることに注意されたい)。発信側HIPプロキシは、宛先プロキシがレガシー・ホストのIPアドレス対を学習するように、I2パケット内にレガシー・ホスト(a)のIPアドレスを含める。基本交換は、レガシー・ホストの一時的HIT間でHIP関連付けを確立するために、通常通り、続行する。
この手法によれば、プレーンIPパケットはHIPプロキシ間でトンネリングされない。むしろ、プロキシは、IPヘッダのIPアドレスを、レガシー・ホストに割り当てられたHITで置き換え、その後、パケットには正規HIP処理が行われ、その結果、外側のIPヘッダのソース及び宛先アドレスが2つのプロキシのアドレスになるESP保護パケットが得られる。ESP保護パケットが受信機側のHIPプロキシで受信されると、そのパケットのIPアドレスは(正規HIPのように)まずHITで置き換えられる。次に、プロキシは、レガシー・ホストの実際のIPアドレスと一時的HITとの保管マッピングを使用して、IPヘッダ内のHITをレガシー・ホストの実際のIPアドレスに変換する。
この手法と上述のプレフィックスベースの手法との重大な違いは、前者では、新しいパケット(例えば、TCP SYN)が関連する2つのレガシー・ホストが、古い関連付けが関連するものと同じではない場合に、送信側プロキシが古いHIP関連付けを再使用できないことである。この場合、HIPプロキシは依然としてRVSを介してI1パケットを送信しなければならない。古いHIP関連付けが同じレガシー・ホストに関連するものである場合のみ、古い関連付けを再使用し、HIP基本交換を省略することができる。
HIPプロキシがそのサブネットワーク内のレガシー・ホストについて一時的アイデンティティを作成する場合、HIPホストは、それが正規HIPホストである場合と同じようにレガシー・ホストの1つに接続することができる。HIPホストがレガシー・ホストの一時的アイデンティティ及びプロキシのロケータを把握している場合、それは、一時的HITに設定された宛先アイデンティティによりプロキシのロケータにI1パケットを送信することができる。HIPホストは、I1パケット内にレガシー・ホストのIPアドレスを含め、I2パケット内にそれ自体のIPアドレスを含める必要がある。
HIPホストへの接続を開始するのがレガシー・ホストである場合、その手順も正規HIP基本交換と同様のものであるが、当然のことながら、レガシー・ホストからの最初の「プレーン」データ・パケットはHIPホストとのHIP基本交換を実行するようにプロキシをトリガするものである。レガシー・ホストはHIPホストのIPアドレスにデータ・パケットを送信し、プロキシはHIPホストのIPアドレスでRVSシステムに日和見I1を送信する。RVSシステムは、HIPホストのRVS項目(プレフィックス情報を含む場合もあれば、含まない場合もある)を見つけ、パケット内のHIPホストのHITとともにHIPホストにI1パケットを転送する。HIPホストは、R1パケットで応答し、そのIPアドレスをパケット内に含める。基本交換は上述の通り続行する。[HIPホストのIPアドレスはHIPサーバの後ろにあるプライベートIPアドレスにすることができることに注意されたい。]
モビリティの主題に戻ると、HIPプロキシはそれが対応しているプレフィックス又はアドレスをRVSシステム内に登録するので、プロキシ及びそのサブネットワーク内のレガシー・ホストもRVSを介して必ず見つけられることが認識されるであろう。プロキシを含むサブネットワーク全体が移動すると、プロキシはその現在位置でRVSシステムを更新することになる。また、プロキシは、そのレガシー・ホストに代わってピア(レガシー及びHIPホスト)で位置更新を実行することになる。HIPプロキシによって確立されたHIP接続は、(それがHIPであるので)デフォルトではレガシー・ホストとHIP/レガシー・ホストとのエンドツーエンド接続を切断せずに新しいロケータから始めるように変更される。
当業者であれば、本発明の範囲を逸脱せずに上述の諸実施形態に対して様々な変更が可能であることを認識するであろう。例えば、HIPプロキシをRVSに登録するための手法(図6)は、例えば、HIPモバイル・ルータを含む他のHIPサーバに適用することができる。このようなHIPモバイル・ルータは(レガシー・ホストではなく、又はレガシー・ホストとともに)HIPホストに対応することができる。このようなシナリオでは、上記で識別されたものと同様の問題が発生する可能性があり、即ち、特にネストされたモバイル・ルータの場合、異なるサブネットワーク間でローカルIPアドレスの衝突が発生する可能性がある。

Claims (16)

  1. 移動ネットワークに接続されたホストによるホスト・アイデンティティ・プロトコル・セキュリティ手順へのアクセスを容易にする方法であって、前記移動ネットワークが付加ホストにローカルIPアドレスを割り振る役割を担うホスト・アイデンティティ・プロトコル・サーバを含み、前記方法が、前記ホスト・アイデンティティ・プロトコル・サーバが前記ローカル・アドレスを割り振る際に使用するIPアドレス・プレフィックスを、前記ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレスとともにランデブー・サーバで登録することと、受信したI1メッセージを前記ホスト・アイデンティティ・プロトコル・サーバに転送するために前記登録されたIPアドレス・プレフィックスを前記ランデブー・サーバで使用することを含み、前記ランデブー・サーバが、ローカルIPアドレスの衝突を防止するために、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御する、方法。
  2. 前記ホスト・アイデンティティ・プロトコル・サーバがホスト・アイデンティティ・プロトコル・プロキシであり、前記ホストがレガシー・ホストである、請求項1記載の方法。
  3. 前記IPアドレス・プレフィックスとともに、前記ホスト・アイデンティティ・プロトコル・サーバのホスト・アイデンティティ又はホスト・アイデンティティ・タグを前記ランデブー・サーバで登録することを含む、請求項2記載の方法。
  4. 前記ホスト・アイデンティティ・プロトコル・サーバがホスト・アイデンティティ・プロトコル・モバイル・ルータであり、前記ホストがHIPホストである、請求項1記載の方法。
  5. 前記ランデブー・サーバが、IPアドレス・プレフィックスのプールから割り振られていないIPアドレス・プレフィックスを選択し、前記登録側ホスト・アイデンティティ・プロトコル・サーバについて前記選択されたプレフィックスを登録し、前記登録側ホスト・アイデンティティ・プロトコル・サーバに前記選択され登録されたIPアドレス・プレフィックスを通知することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御する、請求項1乃至4のいずれか1項記載の方法。
  6. 前記ランデブー・サーバが、前記登録側ホスト・アイデンティティ・プロトコル・サーバから提案されたIPアドレス・プレフィックスを受信し、すでに登録されたプレフィックスに基づいて前記提案を受諾するか又は拒否することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御する、請求項1乃至4のいずれか1項記載の方法。
  7. 前記ランデブー・サーバによる提案されたIPアドレス・プレフィックスの拒否後、代替プレフィックスを前記ホスト・アイデンティティ・プロトコル・サーバで選択することと、これを前記ランデブー・サーバに送信することを含む、請求項6記載の方法。
  8. 前記ランデブー・サーバによる提案されたIPアドレス・プレフィックスの拒否後、代替かつ割り振られていないプレフィックスをランデブー・サーバで選択することと、これを前記ホスト・アイデンティティ・プロトコル・サーバに送信することを含む、請求項6記載の方法。
  9. 前記ランデブー・サーバが1組の協働ランデブー・サーバのうちの1つであり、前記ランデブー・サーバがランデブー・サーバ間のIPアドレス・プレフィックス衝突を防止するために割り振られたIPアドレス・プレフィックスを識別するデータを交換する、請求項1乃至8のいずれか1項記載の方法。
  10. ホスト間のセッションを確立するためにランデブー・サーバとして動作するように構成された装置であって、
    登録データベースと、
    ホスト・アイデンティティ・プロトコル・サーバから登録要求を受信するための受信機であって、前記ホスト・アイデンティティ・プロトコル・サーバが付加ホストにローカルIPアドレスを割り振る役割を担う、受信機と、
    前記ホスト・アイデンティティ・プロトコル・サーバが前記ローカル・アドレスを割り振る際に使用するIPアドレス・プレフィックスを、前記ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレスとともに前記登録データベースに登録することにより、登録要求の受信に応答する登録ユニットと、
    前記登録されたIPアドレス・プレフィックスを使用して受信したI1メッセージを前記ホスト・アイデンティティ・プロトコル・サーバに転送するメッセージ処理ユニットとを含み、
    前記登録ユニットが、ローカルIPアドレスの衝突を防止するために、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成される、装置。
  11. 前記登録ユニットが、IPアドレス・プレフィックス・プール内から割り振られていないIPアドレス・プレフィックスを前記ホスト・アイデンティティ・プロトコル・サーバに割り振ることにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成され、前記装置が、前記割り振られたIPアドレス・プレフィックスを前記ホスト・アイデンティティ・プロトコル・サーバに送信するための送信ユニットをさらに含む、請求項10記載の装置。
  12. 前記登録ユニットが、前記ホスト・アイデンティティ・プロトコル・サーバによって提案されたIPアドレス・プレフィックスを前記登録要求内で識別し、前記プレフィックスが他のホスト・アイデンティティ・プロトコル・サーバについて登録されている場合に前記プレフィックスを拒否することにより、ホスト・アイデンティティ・プロトコル・サーバへのアドレス・プレフィックスの割り振り及び登録を制御するように構成される、請求項10記載の装置。
  13. 前記登録ユニットが、提案されたIPアドレス・プレフィックスを拒否した時に、代替の使用可能なプレフィックスを前記ホスト・アイデンティティ・プロトコル・サーバに送信するか又は前記サーバからの代替提案を考慮するようにさらに構成される、請求項12記載の装置。
  14. 前記登録ユニットが、ランデブー・サーバ間のIPアドレス・プレフィックス割り振り衝突を防止するために割り振られたIPアドレス・プレフィックスを識別するデータを他の関連ランデブー・サーバと交換するように構成される、請求項10乃至13のいずれか1項記載の装置。
  15. 前記ホスト・アイデンティティ・プロトコル・サーバが、ホスト・アイデンティティ・プロトコル・プロキシ及びホスト・アイデンティティ・プロトコル・モバイル・ルータのうちの1つである、請求項10乃至14のいずれか1項記載の装置。
  16. サブネットワーク内のホスト・アイデンティティ・プロトコル・クライアント及び/又はレガシー・ホストに対応するホスト・アイデンティティ・プロトコル・サーバとして動作するように構成された装置であって、
    前記ホスト・アイデンティティ・プロトコル・サーバが前記サブネットワーク内で前記ローカル・アドレスを割り振る際に使用するIPアドレス・プレフィックスを、前記ホスト・アイデンティティ・プロトコル・サーバの外部到達可能IPアドレス及びホスト・アイデンティティ又はホスト・アイデンティティ・タグとともにランデブー・サーバで登録するための登録ユニットであって、前記登録されたIPアドレス・プレフィックスを前記ランデブー・サーバから受信するように構成される登録ユニット
    を含む、装置。
JP2011548540A 2009-02-05 2009-02-05 ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 Expired - Fee Related JP5147995B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2009/051338 WO2010088957A1 (en) 2009-02-05 2009-02-05 Host identity protocol server address configuration

Publications (2)

Publication Number Publication Date
JP2012517165A true JP2012517165A (ja) 2012-07-26
JP5147995B2 JP5147995B2 (ja) 2013-02-20

Family

ID=41100461

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011548540A Expired - Fee Related JP5147995B2 (ja) 2009-02-05 2009-02-05 ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成

Country Status (4)

Country Link
US (1) US20110296027A1 (ja)
EP (1) EP2394418A1 (ja)
JP (1) JP5147995B2 (ja)
WO (1) WO2010088957A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101405248B1 (ko) 2012-12-27 2014-06-17 경북대학교 산학협력단 호스트 식별 프로토콜 네트워크 환경의 통신 시스템 및 방법
KR20190134365A (ko) * 2018-05-25 2019-12-04 국방과학연구소 Hip 네트워크의 통신 방법 및 시스템

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143242B (zh) * 2010-10-21 2014-07-09 华为技术有限公司 Ip网络中地址分配方法、设备及系统
US8683019B1 (en) * 2011-01-25 2014-03-25 Sprint Communications Company L.P. Enabling external access to a private-network host
US10251105B2 (en) * 2013-06-07 2019-04-02 Universidade De Aveiro Dynamic mobility management system
US9641512B2 (en) * 2014-04-10 2017-05-02 EMC IP Holding Company LLC Identity protocol translation gateway
CN108136963B (zh) * 2015-10-22 2021-04-27 金泰克斯公司 集成车辆通信系统和方法
WO2017218946A1 (en) * 2016-06-17 2017-12-21 Gentex Corporation Systems and methods for universal toll module
CN111404893B (zh) * 2020-03-06 2021-12-21 深信服科技股份有限公司 一种主机分类方法、装置、设备及计算机存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007522744A (ja) * 2004-02-13 2007-08-09 テレフオンアクチーボラゲット エル エム エリクソン(パブル) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP2008543140A (ja) * 2005-05-27 2008-11-27 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ホストアイデンティティプトコルを使用する方法及び装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835725A (en) * 1996-10-21 1998-11-10 Cisco Technology, Inc. Dynamic address assignment and resolution technique
AU2001232894A1 (en) * 2000-01-20 2001-07-31 Mci Worldcom, Inc. Intelligent network and method for providing voice telephony over atm and closeduser groups
AU2001250888A1 (en) * 2000-03-20 2001-10-03 At And T Corp. Service selection in a shared access network using policy routing
US7339903B2 (en) * 2001-06-14 2008-03-04 Qualcomm Incorporated Enabling foreign network multicasting for a roaming mobile node, in a foreign network, using a persistent address
US7454519B2 (en) * 2002-03-22 2008-11-18 Motorola, Inc. Method for automatically allocating address prefixes
US7324499B1 (en) * 2003-06-30 2008-01-29 Utstarcom, Inc. Method and system for automatic call monitoring in a wireless network
US20050066035A1 (en) * 2003-09-19 2005-03-24 Williams Aidan Michael Method and apparatus for connecting privately addressed networks
US7165722B2 (en) * 2004-03-10 2007-01-23 Microsoft Corporation Method and system for communicating with identification tags
CN1939000B (zh) * 2004-04-15 2011-01-12 艾利森电话股份有限公司 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备
JP4438510B2 (ja) * 2004-05-25 2010-03-24 株式会社日立製作所 通信システム及び通信制御装置
US7447188B1 (en) * 2004-06-22 2008-11-04 Cisco Technology, Inc. Methods and apparatus for supporting mobile IP proxy registration in a system implementing mulitple VLANs
US7568092B1 (en) * 2005-02-09 2009-07-28 Sun Microsystems, Inc. Security policy enforcing DHCP server appliance
CN101401392A (zh) * 2006-03-10 2009-04-01 松下电器产业株式会社 用于前缀控制的设备和用于前缀选择的设备
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
JP5031026B2 (ja) * 2006-08-24 2012-09-19 パナソニック株式会社 通信管理装置及び位置管理装置
GB2449118A (en) * 2007-05-11 2008-11-12 Ericsson Telefon Ab L M Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests
WO2009049663A1 (en) * 2007-10-15 2009-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Provisioning mobility services to legacy terminals

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007522744A (ja) * 2004-02-13 2007-08-09 テレフオンアクチーボラゲット エル エム エリクソン(パブル) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP2008543140A (ja) * 2005-05-27 2008-11-27 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ホストアイデンティティプトコルを使用する方法及び装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101405248B1 (ko) 2012-12-27 2014-06-17 경북대학교 산학협력단 호스트 식별 프로토콜 네트워크 환경의 통신 시스템 및 방법
KR20190134365A (ko) * 2018-05-25 2019-12-04 국방과학연구소 Hip 네트워크의 통신 방법 및 시스템
KR102109840B1 (ko) * 2018-05-25 2020-05-13 국방과학연구소 Hip 네트워크의 통신 방법 및 시스템

Also Published As

Publication number Publication date
EP2394418A1 (en) 2011-12-14
WO2010088957A1 (en) 2010-08-12
JP5147995B2 (ja) 2013-02-20
US20110296027A1 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
JP5147995B2 (ja) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
JP4579934B2 (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
EP1735990B1 (en) Mobile ipv6 authentication and authorization
EP2201742B1 (en) Provisioning mobility services to legacy terminals
US20020080752A1 (en) Route optimization technique for mobile IP
JP5804439B2 (ja) Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
US7849195B2 (en) Host identity protocol method and apparatus
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
US20130188651A1 (en) Mobility in ip without mobile ip
WO2007109963A1 (fr) Passerelle de réseau privé virtuel et système de réseau ipv6 et système de réalisation de réseau privé virtuel mobile dans un réseau hybride et procédé correspondant
WO2003030488A1 (en) Method and system for ensuring secure forwarding of messages
KR100737140B1 (ko) 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법
Pierrel et al. A policy system for simultaneous multiaccess with host identity protocol
Camarillo et al. Hip bone: host identity protocol (hip) based overlay networking environment (bone)
Makela et al. Home agent-assisted route optimization between mobile IPv4 networks
Kavitha et al. A secure route optimization protocol in mobile IPv6
Sadio et al. Improving security and mobility for remote access: a wireless sensor network case
Johnson et al. RFC 6275: Mobility Support in IPv6
Johnston et al. Internet Engineering Task Force (IETF) G. Camarillo Request for Comments: 6079 P. Nikander Category: Experimental J. Hautakorpi
Arkko IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Expires: August 27, 2003 C. Perkins Nokia Research Center
Arkko IETF Mobile IP Working Group David B. Johnson INTERNET-DRAFT Rice University Charles E. Perkins Nokia Research Center
Henry et al. Mobile Devices on IP Internetworks
Arkko IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Expires: October 30, 2003 C. Perkins Nokia Research Center
Makela et al. RFC 6521: Home Agent-Assisted Route Optimization between Mobile IPv4 Networks

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121127

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151207

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees