JP4351123B2 - ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント - Google Patents

ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント Download PDF

Info

Publication number
JP4351123B2
JP4351123B2 JP2004243402A JP2004243402A JP4351123B2 JP 4351123 B2 JP4351123 B2 JP 4351123B2 JP 2004243402 A JP2004243402 A JP 2004243402A JP 2004243402 A JP2004243402 A JP 2004243402A JP 4351123 B2 JP4351123 B2 JP 4351123B2
Authority
JP
Japan
Prior art keywords
ike
mobile
security association
mobile node
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004243402A
Other languages
English (en)
Other versions
JP2006060748A (ja
Inventor
克典 高橋
志郎 水野
和彦 鈴木
浩行 大西
裕之 渡辺
文浩 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Nippon Telegraph and Telephone Corp
Hitachi Communication Technologies Ltd
Original Assignee
NEC Corp
Nippon Telegraph and Telephone Corp
Hitachi Communication Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, Nippon Telegraph and Telephone Corp, Hitachi Communication Technologies Ltd filed Critical NEC Corp
Priority to JP2004243402A priority Critical patent/JP4351123B2/ja
Publication of JP2006060748A publication Critical patent/JP2006060748A/ja
Application granted granted Critical
Publication of JP4351123B2 publication Critical patent/JP4351123B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ユーザ識別子の管理方法、モバイルIPエージェント及びホームエージェントに係り、特に、IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をモバイルIPエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーション(IPsec SA)を生成する際に鍵交換を使用するモバイルIPシステムでのIKEにおけるユーザ識別子の管理方法、モバイルIPエージェント及びホームエージェントに関する。
現在、IETF(Internet Engineering Task Force)は、Mobile IPv6 の仕様を検討している。この仕様については、非特許文献1に記載されて知られている。
一般に、Mobile IPv6 の網は、移動ノード(MN:Mobile Node)、ホームエージェント(HA:Home Agent)、通信相手(CN:Correspondent Node)を構成要素として含んで構築されている。
MNには、移動しても変わることのない一意のIPアドレス(ホームアドレス)が付与されている。通常、ホームアドレスと同一のプレフィックスを持つリンクをホームリンクと呼び、HAは、ホームリンク以外に存在するMNの位置情報(Binding Cache)を管理している。
MNは、ホームリンク以外のリンク(在圏リンクという)において、気付アドレス(Care of Address、以下、CoAという)を取得する。そして、ホームリンク以外に存在するMNは、在圏リンクに存在するルータが定期的に送信するルータ広告を受信し、受信したルータ広告からホームアドレスとは異なるプレフィックスを検出することにより自MNの移動を検知してCoAを生成し、HAにホームアドレスとCoAとの対応情報を登録する。
MNは、Home Agent Address Discovery機能(HAアドレス発見機能)を備えて、HAのIPアドレスを動的に検索してもよい。この場合、まず、MNは、ホームリンクのプレフィックスからMobile IPv6 Home-Agents Anycast Address を作成する。そして、MNは、前述のアドレス宛にHAアドレス発見要求(ICMP Home Agent Address Discovery Request)を送信する。この要求信号は、ホームリンクのいずれかのHAに受信される。この要求信号を受信したHAは、MNに対してHAの情報を含むHAアドレス発見応答(ICMP Home Agent Address Discovery Reply)を送信する。MNは、この応答信号からHAの情報を取り出し、HAのアドレスを取得し、取得したHAのアドレスに対して位置登録信号(Binding Update)を送信する。
HAは、前述の位置登録信号(Binding Update)を受信した際、MNのホームアドレスをターゲットにした Neighbor Solicitationを送信し、一定時間内に同一リンク層からの対応する応答(Neighbor Advertisement)がなければ、同一のリンク層内に該当ホームアドレスを使用している端末はないと判断し、MNの位置情報をBinding Cache に格納する。
次に、HAは、MNのプロキシとして動作するため、MNの代わりにNeighbor Advertisementをホームリンクのall-nodes multicast アドレス宛に送信する。このNeighbor Advertisementを受信したノードは、Neighbor Cacheに、MNのホームアドレスとHAのリンクレイヤアドレスとの対応情報を格納する。これにより、HAは、MNのホームアドレス宛に送信されたパケットを捕捉することが可能となる。
Mobile IPv6 は、ホームリンク以外に存在するMNに対して、ホーム網のプレフィックス情報を通知する機能を備える。例えば、ホーム網がプレフィックスを変更する場合、HAは、Binding Cache を参照して位置登録中のMNにプレフィックス情報を通知(Mobile Prefix Advertisement)する。MNは、HAにプレフィックス情報を要請(Mobile Prefix Solicitation)してもよい。
また、Mobile IPv6 をベースにMNの局所的な移動管理を行う技術として、Hierarchical Mobile IPv6 mobility management (HMIPv6) (非特許文献2)が提案されている。
HMIPv6は、HAとMNとの間にMAP(Mobile Anchor Point)を備える。MNは、AR(Access Router)からMAPオプションを含むルータ広告を受信して、MAPのIPアドレスを取得し、地域気付アドレス(Regional Core of Address : RCoA)とリンク気付アドレス(On-link CoA : LCoA)とを生成する。HMIPv6対応のMNは、MAPとHAとに位置登録を行う。MAPは、MNのRCoAとLCoAとのバインディング情報を管理する。HAは、MNのホームアドレスとRCoAのバインディング情報とを管理する。そして、MNがMAP内で移動した場合、MNは、MAPの位置情報のみを更新する。
一方、IP網上のセキュリティを実現する技術として、IP Security Protocol(IPsec)と呼ばれる技術が注目されている。IPsec は、暗号化技術や認証技術を使用して、IPパケットを安全に運ぶ技術である。Mobile IPv6 は、MNがHAに送信する位置登録信号にIPsec を適用する(非特許文献3)。
IPsec は、IPsec を適用する装置の間にIPsec SA(Security Association)を生成することによってセキュリティ機能を提供する。IPsec を適用する装置は、SPD(Security Policy Database)とSAD(Security Assosiation Database)とを備えて構成される。
SPDは、パケットの処理方法を規定し、SADは、IPsec 適用装置が保持するIPsec SAのリストである。IPsec SAは、SPI(Seculity Parameters Index)により識別される。
IPsec SAの生成方法には、手動により生成する方法と自動生成する方法とがある。IKE(Internet Key Exchange)は、前述のIPsec SAを自動生成・管理するプロトコルである。
IKEは、Proposal交換機能と、秘密対称鍵を生成する機能と、IKE通信相手の認証機能とを用いてIKEフェーズ1により、ISAKMP(Internet Security Association and Key Management Protocol) SAを自動生成し、その後、ISAKMP SA を生成した通信相手とIKEフェーズ2とにより、IPsec SAを自動生成する。そして、IKEフェーズ1、IKEフェーズ2のやりとりを行うパケットには、MNとHAあるいはMAPとを識別する乱数であるクッキー(Cookie)情報が設定される。すなわち、例えば、MNが能動側となってHAあるいはMAPにアクセスを行う場合に、MNを識別するためのクッキー情報がパケットに設定され、HAあるいはMAPが応答する際、前述のMNを識別するためのクッキー情報と対になるようにHAあるいはMAPを識別するためのクッキー情報が設定される。
そして、IKEフェーズ1及びIKEフェーズ2を用いて端末を識別させるるために、MNは、識別子ペイロードによりユーザ識別子を通知するが、Mobile IPv6 で用いるユーザ識別子とは独立の識別子を通知する。通知を受ける受動側がMAPの場合、MNは、IKEフェーズ1により、ユーザ識別子としてホームアドレスを通知し、MAPは、通知されたホームアドレスをキーに ISAKMP SAを生成する。そして、IKEフェーズ2において、MNは、IPsec SAを識別するためにユーザ識別子としてRCoAを通知し、MAPは、通知されたユーザ識別子をキーにIPsec SAを生成する。
Mobility Support in IPv6 <draft-ietf-mobileip-ipv6-24.txt>、 Work in Progress draft-ietf-mobileip-hmipv6-08.txt、Work in Progress draft-ietf-mobileip-mipv6-ha-ipsec-01.txt、 Work in Progress
モバイルIPエージェントにおいて、IKEフェーズ1とIKEフェーズ2とは、これらのフェーズにより通知される識別子ペイロードに保持されたユーザ識別子には関連なく独立してフェーズを確立するため、同一のユーザ識別子に対して、複数のMNがIKEフェーズ2によりIPsec SAの生成要求を行った場合、MAP等のIKE受動側ではその重複を防止することができず、重複したユーザ識別子に対し異なるMNからも位置登録が可能になり、本来そのユーザ識別子を使用すべきMNの通信が遮断されてしまうという問題点を有している。例えば、悪意のあるユーザのMNにおけるIKEフェーズ2の処理時に、すでにIPsec SAを生成しているMNと同一のRCoAをユーザ識別子として設定してIPsec SAを生成する要求を行った場合、MAPは、すでにIPsec SAを生成して使用しているMNと同一のIPsec SAの生成を防止することができないことになり、以後の通信が悪意を持ったユーザのMNに取られてしまうことになる。
本発明の目的は、前述した従来技術の問題点を解決し、モバイルIPエージェント、または、ホームエージェントのIKEフェーズ2の処理において、すでに確立しているIPsec SAと同一のユーザ識別子に対して異なるMNからのIPsec SAの生成を防止し、これにより、位置登録済みのMNの通信を保証することができるようにしたユーザ識別子の管理方法、モバイルIPエージェント及びホームエージェントを提供することにある。
本発明によれば前述目的は、IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をモバイルIPエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーションを生成する手段として鍵交換を使用するモバイルIPシステムにおけるユーザ識別子の管理方法において、IKEフェーズ1でISAKMPセキュリティアソシエーションを確立する際に生成するIKE能動側クッキー値及びIKE受動側クッキー値のペアと、IKEフェーズ2でIPsec セキュリティアソシエーション要求を行う際に、IKE能動側によって付与される識別子ペイロードに保持されたユーザ識別子との対応を管理することにより達成される。
また、前記目的は、IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をモバイルIPエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーションを生成する手段として鍵交換を使用するモバイルIPシステムにおけるモバイルIPエージェントにおいて、IKEフェーズ1でISAKMPセキュリティアソシエーションを確立する際に生成するIKE能動側クッキー値及びIKE受動側クッキー値のペアと、IKEフェーズ2でIPsec セキュリティアソシエーション要求を行う際に、IKE能動側によって付与される識別子ペイロードに保持されたユーザ識別子との対応を管理する手段であり、IKEフェーズ2の処理で移動ノードが通知する識別子ペイロードに、移動先ネットワークにおいて当該移動ノードが動的に生成する地域気付けアドレスを使用する場合、クッキーペアと地域気付けアドレスとを対応情報として管理するユーザ識別子の管理手段と、移動ノードがIKEフェーズ2において使用しているクッキーペアと、すでに管理しているクッキーペアと地域気付けアドレスの対応情報を比較する比較手段とを備えることにより達成される。
本発明によれば、モバイルIPエージェントのIKEフェーズ2の処理において、すでに確立しているIPsec SAと同一のユーザ識別子に対して異なるMNからのIPsec SAの生成を防止することにより、位置登録済みのMNの通信を保証することができる。
以下、本発明によるユーザ識別子の管理方法及びモバイルIPエージェントの実施形態を図面により詳細に説明する。ここで説明する本発明の実施形態は、Mobile IPv6 対応の移動ノード(MN)がホームリンク(以下、ホーム網)以外の網(以下、在圏網)を移動するときの、モバイルIPエージェントでのIKEフェーズ2における ISAKMP SAを生成したMNとIPsec SAを生成しようとしているMNとが異なるか否かを判断する方法について説明する実施形態である。
図1は本発明が適用されるモバイルIPエージェントを備えて構成される通信網の構成例を示すブロック図である。図1において、1はHA、2a、2bはモバイルIPエージェント(MIP agent)、3a、3bはMN、4a〜4dは在圏網、5a〜5dはルータ、6はホーム網、7はIP網である。
本発明の実施形態によるモバイルIPエージェントを備える通信網は、MN3a、3bが所属するホーム網6とIP網7と複数の在圏網4a〜4dとから構成される。図示通信網において、ホーム網6、IP網7、及び、在圏網4a〜4dは、IPv6網である。MN3a、3bは、Mobile IPv6 対応の移動ノード(MN)である。在圏網4a、4bとIP網7とは、モバイルIPエージェント2aを介して接続され、在圏網4c、4dとIP網7とは、モバイルIPエージェント2bを介して接続され、さらに、IP網7とホーム網6とは、HA1を介して接続される。在圏網4a、4bは、モバイルIPエージェント2aを共有すると共に、それぞれルータ5a、5bを備えて構成され、在圏網4c、4dは、モバイルIPエージェント2bを共有すると共に、それぞれルータ5c、5dを備えて構成される。また、モバイルIPエージェント2aは、ルータ5a、5bとのインタフェース、及び、IP網7とのインタフェースを備え、モバイルIPエージェント2bは、ルータ5c、5dとのインタフェース、及び、IP網7とのインタフェースを備えている。
前述したように構成される通信網の中をMN3a、3bが、在圏網4a、4b等に移動した場合、移動したMNは、従来技術で説明したように、地域気付アドレスRCoAを取得する。そして、MN3a、3bが、在圏網4aまたは4bに移動している場合、モバイルIPエージェント2aは、MN3aまたは3bとの間で行うIKEフェーズ2処理の際に、ISAKMP SA を生成したMNとIPsec SAを生成しようとしているMNとが異なるか否かを判定することになる。
図2は本発明の実施形態によるMNとモバイルIPエージェントとの間で行われるIKEフェーズ1、IKEフェーズ2でのパケットの授受を説明するシーケンスチャートの例であり、次に、これについて説明する。図2において、MN201、202は、図1でのMN3a、3bに相当し、これらのMNが在圏網4aまたは4bに移動しているものとする。この場合、モバイルIPエージェント203は、図1でのモバイルIPエージェント2aに相当する。
(1)まず、MN201とモバイルIPエージェント203との間で、従来技術で説明したと同様に、よく知られている方法で、IKEフェーズ1及びIKEフェーズ2を確立させる。
(2)そして、MN201とモバイルIPエージェント203との間で行うIKEフェーズ1の処理時に、MN201は、クッキー情報(従来技術で説明したように、このクッキー情報は、MN及びモバイルIPエージェントを識別するクッキー値のペアである)と識別子ペイロードとしての自MNのホームアドレスとを乗せたパケットをモバイルIPエージェント203に送信する(シーケンス204)。
(3)次に、MN201とモバイルIPエージェント203との間で行うIKEフェーズ2の処理時に、MN201は、クッキー情報と識別子ペイロードとしての自MNの地域気付アドレスRCoAとを乗せたパケットをモバイルIPエージェント203に送信する(シーケンス205)。
(4)モバイルIPエージェント203は、前述したIKEフェーズ1の処理で通知されるクッキー情報と、IKEフェーズ2の処理で通知される識別子ペイロードに含まれるユーザ識別子としての地域気付アドレスRCoAとクッキー情報とを保持する(処理206)。
(5)その後、別のMN202がモバイルIPエージェント203との間で、IKEフェーズ1及びIKEフェーズ2を確立させ、IKEフェーズ1の処理を行った後、IKEフェーズ2の処理で、MN202が、ユーザ識別子としてシーケンス205でMN201から通知した地域気付アドレスRCoAと同一のRCoAを識別子ペイロードに乗せてモバイルIPエージェントに通知したものとする(シーケンス207)。
(6)モバイルIPエージェント203は、シーケンス207で通知されたユーザ識別子としてのRCoAをキーとして、処理206で登録したクッキー情報を検索し、対応するクッキー情報(このクッキー情報は、MN201のIKEフェーズ1でのクッキー情報である)が存在した場合、このクッキー情報とMN202のIKEフェーズ1で受信したクッキー情報とが一致しているか否かを判定し、一致していなかった場合、ユーザ識別子としてのRCoAの重複であり、ISAKMP SA を生成したMN201とIPsec SAを生成しようとしたMN202とが異なると判断する(208)。
図3は本発明の実施形態によるモバイルIPエージェントでMNからのIKEフェーズ2を受信した際の処理動作を説明するフローチャートであり、次に、これについて説明する。
(1)モバイルIPエージェントは、MNから通知されたIKEフェーズ2のユーザ識別子とクッキー情報とを取得する(ステップ301、302)。
(2)ステップ301、302にて取得したユーザ識別子と対応するクッキー情報との対応をすでに保持しているか否かを検索する(ステップ303)。
(3)ステップ303の検索の結果、該当するクッキー情報の有無を判定し、該当するクッキー情報が無い場合、ステップ301、302の処理で得られたクッキー情報を、新たなユーザ識別子とクッキー情報との対応として保持し、ここでの処理を終了する(ステップ304、305)。
(4)ステップ304の判定で、既に該当するクッキー情報があった場合、ステップ303にて得られたクッキー情報と、すでに保持しているIKEフェーズ1により通知されたクッキー情報とが一致するか否かを判定する(ステップ306)。
(5)ステップ306の判定で、クッキー情報が一致していた場合、IKEフェーズ1の処理でISAKMP SA を生成したMNとIKEフェーズ2の処理でIPsec SAを生成しようとしているMNとは一致していると判定し、不一致であった場合、IKEフェーズ1の処理でISAKMP SA を生成したMNとIKEフェーズ2の処理でIPsec SAを生成しようとしているMNとは一致していないと判定する(ステップ307、308)。
図3には示していないが、その後、モバイルIPエージェントは、ISAKMP SA を生成したMNと新たにIPsec SAを生成しようとしているMNとが異なると判断した場合、当該MNに対してエラーメッセージを送信し、当該MNとのIPsec SAを確立しない。
また、モバイルIPエージェントは、ISAKMP SA を生成したMNと新たにIPsec SAを生成しようとしているMNとが同一であると判断した場合、当該MNとのIPsec SAを確立する。
前述したように、本発明の実施形態によれば、モバイルIPエージェントでのIKEフェーズ2により通知されるユーザ識別子が既に存在し、ユーザ識別子に対応するクッキー情報がIKEフェーズ1の処理で通知されたクッキー情報とが異なるか否か判断することにより、ISAKMP SA を生成したMNとIPsec SAを生成しようとしているMNとが異なるか否か判断することが可能となる。
前述した本発明の実施形態は、在圏網とIP網とを接続するモバイルIPエージェントが在圏網に移動しているMNの位置情報を登録管理する場合を例として説明したが、本発明は、在圏網とIP網とをゲートウェイ(GW)により接続して構成される通信網において、在圏網に移動しているMNの位置情報をHAに登録管理させる場合にも適用することができる。
図4は本発明が適用される通信網の他の構成例を示すブロック図である。この例は、在圏網に移動しているMNの位置情報をHAに登録管理させる場合の例であり、在圏網4a、4bとIP網7とがゲートウェイ(GW)2c、2dにより接続されている点を除いて、図1に示した通信網と同様に構成される。
そして、この例の場合、ホーム網6とIP網7とを接続するHA1が、前述までに説明したモバイルIPエージェントと同様にして、ユーザ識別子の管理を行い、IKEフェーズ1、2による処理を在圏網に移動したMNとの間で行うようにすることにより、前述と同様な効果を得ることができる。
本発明が適用されるモバイルIPエージェントを備えて構成される通信網の構成例を示すブロック図である。 本発明の実施形態によるMNとモバイルIPエージェントとの間で行われるIKEフェーズ1、IKEフェーズ2でのパケットの授受を説明するシーケンスチャートである。 本発明の実施形態によるモバイルIPエージェントでMNからのIKEフェーズ2を受信した際の処理動作を説明するフローチャートである。 本発明が適用される通信網の他の構成例を示すブロック図である。
符号の説明
1 HA
2a、2b モバイルIPエージェント
2c、2d ゲートウェイ(GW)
3a、3b MN
4a〜4d 在圏網
5a〜5d ルータ
6 ホーム網
7 IP網

Claims (5)

  1. IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をモバイルIPエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーションを生成する手段として鍵交換を使用するモバイルIPシステムにおけるユーザ識別子の管理方法において、
    IKEフェーズ1でISAKMPセキュリティアソシエーションを確立する際に生成するIKE能動側クッキー値及びIKE受動側クッキー値のペアと、IKEフェーズ2でIPsec セキュリティアソシエーション要求を行う際に、IKE能動側によって付与される識別子ペイロードに保持されたユーザ識別子との対応を管理することを特徴とするIKEにおけるユーザ識別子の管理方法。
  2. IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をモバイルIPエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーションを生成する手段として鍵交換を使用するモバイルIPシステムにおけるモバイルIPエージェントにおいて、
    IKEフェーズ1でISAKMPセキュリティアソシエーションを確立する際に生成するIKE能動側クッキー値及びIKE受動側クッキー値のペアと、IKEフェーズ2でIPsec セキュリティアソシエーション要求を行う際に、IKE能動側によって付与される識別子ペイロードに保持されたユーザ識別子との対応を管理する手段であり、IKEフェーズ2の処理で移動ノードが通知する識別子ペイロードに、移動先ネットワークにおいて当該移動ノードが動的に生成する地域気付けアドレスを使用する場合、クッキーペアと地域気付けアドレスとを対応情報として管理するユーザ識別子の管理手段と、
    移動ノードがIKEフェーズ2において使用しているクッキーペアと、すでに管理しているクッキーペアと地域気付けアドレスの対応情報を比較する比較手段とを備えることを特徴とするモバイルIPエージェント。
  3. 前記比較手段での比較の結果、ユーザ識別子が一致し、クッキーペアが不一致であった場合に、IKEフェーズ1によりISAKMPセキュリティアソシエーションを生成した移動ノードと、IKEフェーズ2によりIPsec セキュリティアソシエーションを生成しようとしている移動ノードとが異なると判断し、ユーザ識別子が一致し、クッキーペアが一致した場合に、IKEフェーズ1によりISAKMPセキュリティアソシエーションを生成した移動ノードと、IKEフェーズ2によりIPsec セキュリティアソシエーションを生成しようとしている移動ノードとが同一であると判断する判断手段を備え、
    前記判断手段が異なると判断した場合に、IPsec セキュリティアソシエーションを生成しようとしている移動ノードに対してエラーメッセージを送信し、当該移動ノードとのIPsec セキュリティアソシエーションを確立させず、前記判断手段が同一と判断した場合に、当該移動ノードとのIPsec セキュリティアソシエーションを確立させることを特徴とする請求項2記載のモバイルIPエージェント。
  4. IPアドレスを保持する移動ノードが移動先のネットワークから自己の位置情報をホームエージェントに対して登録する際の認証及びIPパケットの保護を目的としたIPsec セキュリティアソシエーションを生成する手段として鍵交換を使用するモバイルIPシステムにおけるホームエージェントにおいて、
    IKEフェーズ1でISAKMPセキュリティアソシエーションを確立する際に生成するIKE能動側クッキー値及びIKE受動側クッキー値のペアと、IKEフェーズ2でIPsec セキュリティアソシエーション要求を行う際に、IKE能動側によって付与される識別子ペイロードに保持されたユーザ識別子との対応を管理する手段であり、IKEフェーズ2の処理で移動ノードが通知する識別子ペイロードに、移動先ネットワークにおいて当該移動ノードが動的に生成するホームアドレスを使用する場合、クッキーペアとホームアドレスとを対応情報として管理するユーザ識別子の管理手段と、
    移動ノードがIKEフェーズ2において使用しているクッキーペアと、すでに管理しているクッキーペアとホームアドレスの対応情報を比較する比較手段とを備えることを特徴とするホームエージェント。
  5. 前記比較手段での比較の結果、ユーザ識別子が一致し、クッキーペアが不一致であった場合に、IKEフェーズ1によりISAKMPセキュリティアソシエーションを生成した移動ノードと、IKEフェーズ2によりIPsec セキュリティアソシエーションを生成しようとしている移動ノードとが異なると判断し、ユーザ識別子が一致し、クッキーペアが一致した場合に、IKEフェーズ1によりISAKMPセキュリティアソシエーションを生成した移動ノードと、IKEフェーズ2によりIPsec セキュリティアソシエーションを生成しようとしている移動ノードとが同一であると判断する判断手段を備え、
    前記判断手段が異なると判断した場合に、IPsec セキュリティアソシエーションを生成しようとしている移動ノードに対してエラーメッセージを送信し、当該移動ノードとのIPsec セキュリティアソシエーションを確立させず、前記判断手段が同一と判断した場合に、当該移動ノードとのIPsec セキュリティアソシエーションを確立させることを特徴とする請求項4記載のホームエージェント。
JP2004243402A 2004-08-24 2004-08-24 ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント Active JP4351123B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004243402A JP4351123B2 (ja) 2004-08-24 2004-08-24 ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004243402A JP4351123B2 (ja) 2004-08-24 2004-08-24 ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント

Publications (2)

Publication Number Publication Date
JP2006060748A JP2006060748A (ja) 2006-03-02
JP4351123B2 true JP4351123B2 (ja) 2009-10-28

Family

ID=36107824

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004243402A Active JP4351123B2 (ja) 2004-08-24 2004-08-24 ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント

Country Status (1)

Country Link
JP (1) JP4351123B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102006298A (zh) * 2010-11-26 2011-04-06 华为技术有限公司 接入网关实现负荷分担的方法和装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4994683B2 (ja) * 2006-03-17 2012-08-08 株式会社リコー ネットワーク機器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102006298A (zh) * 2010-11-26 2011-04-06 华为技术有限公司 接入网关实现负荷分担的方法和装置

Also Published As

Publication number Publication date
JP2006060748A (ja) 2006-03-02

Similar Documents

Publication Publication Date Title
US7483697B2 (en) System for managing mobile node in mobile network
JP5166525B2 (ja) モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出
US8437345B2 (en) Terminal and communication system
US7489667B2 (en) Dynamic re-routing of mobile node support in home servers
JP5238029B2 (ja) 通信ネットワーク間でのローミングの方法および装置
EP2119175A1 (en) Network-based and host-based mobility management in packet-based communication networks
US20120271965A1 (en) Provisioning mobility services to legacy terminals
EP2272270A1 (en) A method for network access, related network and computer program product therefor
JP3573098B2 (ja) 移動網における移動端末管理システム、アクセスルータ、移動端末管理方法
Engelstad et al. Authenticated access for IPv6 supported mobility
JP4351123B2 (ja) ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント
Qiu et al. A mapping forwarding approach for supporting mobility in networks with identifier/locator separation
Hasan et al. Enhancement of Return Routability Mechanism for Optimized‐NEMO Using Correspondent Firewall
Chen et al. Mobility management at network layer
Noor et al. Route optimization schemes in mobile networks: a theoretical and empirical analysis
JP4351101B2 (ja) ホームエージェント装置及びモバイルノードの位置情報の登録方法
KR100872169B1 (ko) 인터넷 서비스 시스템에서의 핸드오버 패킷 손실 제어 방법
Hazarika et al. Survey on design and analysis of mobile IP
JP2011044988A (ja) 通信システムにおける位置登録管理方法、プロキシ装置及びプロキシプログラム
Jasola et al. Mobility in IP Networks
Iapichino et al. Combination of ad hoc mobility with IPv6 mobility mechanisms report
JP2005198153A (ja) ホームエージェント装置
Leung et al. RFC 5213: Proxy Mobile IPv6
Bor UNIFIED LOCAL, MOEILITY MIAN AGEN/IENT
Doja et al. TOKEN BASED SECURITY IN MIPV6, HMIPV6 AND IN DYNAMIC MAP MANAGEMENT HMIPV6

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090707

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090723

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120731

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4351123

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120731

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130731

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350