JP4352728B2 - サーバ装置、端末制御装置及び端末認証方法 - Google Patents

サーバ装置、端末制御装置及び端末認証方法 Download PDF

Info

Publication number
JP4352728B2
JP4352728B2 JP2003064329A JP2003064329A JP4352728B2 JP 4352728 B2 JP4352728 B2 JP 4352728B2 JP 2003064329 A JP2003064329 A JP 2003064329A JP 2003064329 A JP2003064329 A JP 2003064329A JP 4352728 B2 JP4352728 B2 JP 4352728B2
Authority
JP
Japan
Prior art keywords
terminal
prefix
information
device
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003064329A
Other languages
English (en)
Other versions
JP2004274521A (ja
Inventor
秀則 井内
幸子 武田
敬亮 竹内
伸介 鈴木
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to JP2003064329A priority Critical patent/JP4352728B2/ja
Publication of JP2004274521A publication Critical patent/JP2004274521A/ja
Application granted granted Critical
Publication of JP4352728B2 publication Critical patent/JP4352728B2/ja
Application status is Expired - Fee Related legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0823Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L29/00Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/00 - H04L27/00
    • H04L29/12Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/00 - H04L27/00 characterised by the data terminal
    • H04L29/12009Arrangements for addressing and naming in data networks
    • H04L29/12792Details
    • H04L29/12933IP addresses subnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements or network protocols for addressing or naming
    • H04L61/20Address allocation
    • H04L61/2007Address allocation internet protocol [IP] addresses
    • H04L61/2015Address allocation internet protocol [IP] addresses using the dynamic host configuration protocol [DHCP] or variants
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements or network protocols for addressing or naming
    • H04L61/60Details
    • H04L61/6068Internet protocol [IP] addresses subnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/085Mobility data transfer involving hierarchical organized mobility servers, e.g. hierarchical mobile IP [HMIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Description

【0001】
【発明の属する技術分野】
本発明は、サーバ装置、移動体制御装置、および、端末認証方法に関する。特にモバイルIP(Mobile IP)プロトコルを適用した通信システムにおける、公開鍵証明書の発行・保証を行うサーバ装置、ホームエージェント装置、および、端末認証方法に関する。
【0002】
【従来の技術】
IETF(Internet Engineering Task Force)は、Mobile IPv6の仕様を検討している(Ref. Mobility Support in IPv6 <draft-ietf-mobileip-ipv6-19.txt>、 Work in Progress)。
Mobile IPv6の網構成要素は、移動ノード(MN:Mobile Node)、ホームエージェント(HA:Home Agent)、通信相手(CN:Correspondent Node)である。
MNには移動しても変わることのない一意のIPアドレス(ホームアドレス)が付与される。ホームアドレスと同じプレフィックスを持つリンクをホームリンクと呼ぶ。HAはホームリンク以外に存在するMNの位置情報(Binding Cache)を管理する。
【0003】
MNはホームリンク以外のリンク(在圏リンク)において気付アドレス(Care of Address、以下CoAで表す)を取得する。ホームリンク以外に存在するMNは、在圏リンクに存在するルータが定期的に送信するルータ広告を受信する。MNはホームアドレスと異なるプレフィックスを検出することで移動を検知してCoAを生成する。MNはHAにホームアドレスとCoAの対応情報を登録する。
【0004】
MNは、Home Agent Address Discovery機能(HAアドレス発見機能)を備え、HAのIPアドレスを動的に検索してもよい。まず、MNはホームリンクのプレフィックスからMobile IPv6 Home-Agents Anycast Addressを作成する。MNは上記アドレス宛にHAアドレス発見要求(ICMP Home Agent Address Discovery Request)を送信する。上記信号は、ホームリンクのいずれかのHAが受信する。上記信号を受信したHAは、MNに対してHAの情報を含むHAアドレス発見応答(ICMP Home Agent Address Discovery Reply)を送信する。MNは上記信号からHAの情報を取り出し、HAのアドレスを取得する。MNは上記HAアドレスに対して位置登録信号(Binding Update)を送信する。
【0005】
HAは、上記信号(Binding Update)を受信し、MNの位置情報をBinding Cacheに格納する。
【0006】
次に、HAはMNのプロキシとして動作するため、MNの代わりにNeighbor Advertisementをホームリンクのall-nodes multicastアドレス宛に送信する。上記Neighbor Advertisementを受信したノードは、Neighbor Cacheに、MNのホームアドレスとHAのリンクレイヤアドレスの対応情報を格納する。HAは、MNのホームアドレス宛に送信されたパケットを捕捉する。
【0007】
Mobile IPv6は、ホームリンク以外に存在するMNに対して、ホーム網のプレフィックス情報を通知する機能を備える。例えば、ホーム網がプレフィックスを変更する場合、HAはBinding Cacheを参照して位置登録中のMNにプレフィックス情報を通知(Mobile Prefix Advertisement)する。MNはHAにプレフィックス情報を要請(Mobile Prefix Solicitation)してもよい。
【0008】
IP網上のセキュリティを実現する技術として、IP Security Protocol(IPsec)が注目されている。IPsecは、暗号化技術や認証技術を使用して、IPパケットを安全に運ぶ技術である。Mobile IPv6は、MNがHAに送信する位置登録信号にIPsecを適用する(Ref. draft-ietf-mobileip-mipv6-ha-ipsec-01.txt、 Work in Progress)。
【0009】
IPsecは、IPsecを適用する装置の間にSA(Security Association)を生成することによってセキュリティ機能を提供する。IPsecを適用する装置は、SPD(Security Policy Database)とSAD(Security Assosiation Database)を備える。
【0010】
SPDはパケットの処理方法を規定する。SADは、IPsec適用装置が保持するSAのリストである。SAはSPI(Seculity Parameters Index)で識別する。
【0011】
SAの生成方法には、手動設定する方法と自動生成する方法がある。IKE(Internet Key Exchange)は、SAを自動生成・管理するプロトコルである。IKEは、Proposal交換機能と、秘密対称鍵を生成する機能と、IKE通信相手の認証機能とを用いてSAを自動生成する。
【0012】
IKE通信相手の認証方式には、Pre-Shared Key認証方式、公開鍵暗号認証方式、デジタル署名認証方式等が規定されている。デジタル署名認証方式は、通信相手毎に事前に鍵情報等を共有する必要がないため、拡張性が高い。デジタル署名認証方式は、CA(Certification Authority)が発行する公開鍵証明書を使用する。公開鍵証明書のフォーマットは、X.509で規定される。
【0013】
CMP(Certificate Managemnet Protocol)は、電子証明書を発行・管理するプロトコルである。CMPは、IETF RFC2510で規定される。CMPは、トランスポートプロトコルにHTTP(HyperText Transfer Protocol)やTCP(Transmission Control Protocol)を利用する。
【0014】
一方、Mobile IPv6をベースに局所的な移動管理を行う技術として、Hierarchical Mobile IPv6 mobility management (HMIPv6) (Ref. draft-ietf-mobileip-hmipv6-07.txt、Work in Progress)が提案されている。
HMIPv6は、HAとMNの間にMAP(Mobile Anchor Point)を備える。MNは、AR(Access Router)からMAPオプションを含むルータ広告を受信して、MAPのIPアドレスを取得し、地域気付アドレス(Regional Core of Address : RCoA)とリンク気付アドレス(On-link CoA : LCoA)を生成する。HMIPv6対応MNは、MAPとHAに位置登録を行う。MAPはMNのRCoAとLCoAのバインディング情報を管理する。HAはMNのホームアドレスとRCoAのバインディング情報を管理する。MNがMAP内で移動した場合、MNはMAPの位置情報のみ更新する。
IETFは、IPv6 Prefix Delegation Options for DHCPv6 (以下、DHCP-PD)(draft-ietf-dhc-dhcpv6-opt-prefix-delegation-01.txt、Work in Progress)を検討している。DHCP-PDは、DHCP(Dynamic Host Configuration Protocol)を活用して、アドレス割当側からサイトにIPv6プレフィックス(群)を割り当てる機能である。
DHCP-PDの構成要素は、Delegating RouterとRequesting Routerである。Requesting RouterがDelegating RouterにIPv6プレフィックス(群)の割り当てを要求する。Delegating RouterはIPv6プレフィックス(群)を選択して、それをRequesting Routerに送信する。DHCP-PDは、例えば、ISP(Internet Service Provider)が加入者にPrefixを割り当てるとき利用される。
【0015】
【発明が解決しようとする課題】
領域Aと領域Bが相互接続された通信システムにおいて、領域Aに属する移動ノード(MN)が領域Bに移動した場合、MNは領域Aに存在するHAに位置登録を行う。位置登録信号には、IPsecを適用する。
【0016】
HAとMNの間にSAを手動設定すると、暗号化などに使用する鍵が漏洩した場合、安全性が保てないという課題がある。また、Mobile IPv6のプレフィックス通知機能やHAアドレス発見機能を使用すると、MNのホームアドレス、或いは、HAアドレスが変わる。このため、MNとHA間のSAを手動設定する方法は、システムの運用上現実的ではない。さらに、現状のMobile IPには、MNの正当性を確認する手段がない。
【0017】
本特許の目的は、Mobile IPの技術を活用して、端末の認証方法を提供することにある。
特に、デジタル署名認証方法とMobile IPの位置登録手順を連携し、HAが公開鍵証明書にリンクしたホームアドレスに対してSAを生成・保持することにより、端末に対する認証手順を提供する。
【0018】
本発明のその他の目的は、MNがホームアドレスを動的に取得する場合、DHCP-PD Delegating RouterとCAの連携と、及び、DHCP-PD Delegating RouterとHAの連携により、端末の正当性を確認する認証手順を提供することにある。
【0019】
特に、領域Aに属するHAをホーム網とする端末xが、領域BにおいてDHCP-PD機能を活用してホーム網のプレフィックスを取得する場合、以下を目的とする。
1)DHCP-PD Delegating Routerは、CAが許可した端末に対してPrefix情報を配布する。
2)HAは、上記Delegating Routerが配布したPrefixをもつIPアドレスに対してSAを生成し、上記SAを満たす位置登録を許容する。
【0020】
本発明のその他の目的は、領域Bに属する通信装置がHMIPv6対応MAPであり、上記通信装置が、MNから制御信号(Binding Update)を受信してDHCP-PD機能を起動する場合、DHCP Delegating Routerは、CAが許可した端末に対してPrefix情報を配布する認証方法を提供することにある。
【0021】
本発明のその他の目的は、HAはCAが許可した端末に対してプレフィックス情報を広告する通信方法を提供することにある。
【0022】
【課題を解決するための手段】
上記の問題を解決するために、本発明は、従来の認証方式に加えて少なくても以下の手段を備える。すなわち、
(1)CAはDHCP-PD Delegating Router機能との通信手段を備える。また、CAは、端末に対して公開鍵証明書を発行し、Prefix情報の通知を許可する。
(2)端末は、Mobile IPv6機能と、IPsec機能と、デジタル署名に必要な情報を保持する機能を備える。デジタル署名認証に必要な情報は、外部記憶装置から受信してもよい。端末は、移動端末でなくてもよい。
(3)端末制御装置は、DHCPv6 Prefix Delegation Option(以下、DHCP-PD)のDelegating Router機能を備える。Delegating Router機能は、CAとの通信手段と、CAが許可した端末に対してPrefix情報を通知する手段を備える。
(4)端末制御装置は、端末からSAの生成要求を受信すると、上記DHCP-PD Delegating 機能にPrefix情報を問い合わせる。上記Delegating Router機能が配布したPrefixを利用する端末であれば、端末制御装置は上記端末との間にSAを生成する手段を備える。
(5)あるいは、端末制御装置が端末の公開鍵証明書を保持する手段を備え、CAが許可した端末に対してPrefix情報を通知してもよい。
【0023】
【発明の実施の形態】
(実施例1)
本発明の第1の実施の形態を図面を用いて説明する。なお、本実施例においては、HAが端末制御装置に該当する。
【0024】
代表例として、Mobile IPv6対応移動ノード(MN)がホームリンク(以下、ホーム網)以外の網(以下、在圏網)に存在するとき、MNの認証方法及び位置登録方法について詳細に説明する。
【0025】
図1は、本発明における通信網の構成例を示す。通信網はMN4のホーム網8とIP網7と在圏網5(5a、5b)から構成される。実施例において、ホーム網8、IP網7、及び、在圏網5はIPv6網である。MN4はMobile IPv6対応移動ノード(MN)である。情報家電端末9は、Mobile IPv6対応MNの機能を備える。在圏網5とIP網7、及び、IP網7とホーム網8は、ルータ、或いは、ゲートウェイ装置を介して接続される。在圏網5とホーム網8は、ルータ、或いは、ゲートウェイ装置を介して直接接続してもよい。
ホーム網8は、HA1を備える。HA1はMobile IPv6対応ホームエージェント(HA)である。HA1はホーム網8以外に存在するMNの位置情報を管理する。
在圏網5(5a、5b)は通信装置2(2a、2b)とルータ6(6a、6b、6c、6d)を備える。通信装置2は、ルータ6とのインタフェースと、IP網7とのインタフェースを備える。ルータ6は機器認証機能を備える。
ルータ6が機器認証機能を備える代わりに、ルータ6に機器認証機能を備えるサーバとの通信手段を備えてもよい。
IP網7はCA3を備える。ホーム網8或いは在圏網5がCA3を備えてもよい。
【0026】
図2はMN4のホーム網8に設置するHA1の構成例を示す。HA1は、サーバ部11(11a、11b、)、サーバ部12と、回線18(18a、18b、18m、18n)を収容するインタフェース部(IF)19(19a、19b、19m、19n)と、スイッチ部17(17a、17b)とから構成される。
【0027】
サーバ部11は、主にパケット送信・受信処理部13と、IPsec処理部14と、Mobile IP処理部15とを備える。
パケット送信・受信処理部13はデータパケットを送信又は受信する機能を備える。
IPsec処理部14は、主にSPDとSADとIPsec処理ルーチン70を備え、パケットの認証処理や暗号化処理を行う。また、IPsec処理部14は、CA3からサーバ部11の公開鍵証明書を取得する。
Mobile IP処理部15は、Mobile IPv6のホームエージェント(HA)機能を備える。Mobile IP処理部15は、Binding Cache管理テーブル310を含む。
【0028】
図3はBinding Cache管理テーブル310のテーブル構成の一例を示す。Binding Cache管理テーブル310は、MNのホームアドレス311に対して、少なくてもMNが在圏網で取得したCare of Address (CoA)312と、Binding Cacheの有効期間を示すLifetime313の対応関係を格納する。
【0029】
サーバ部12は、主にパケット送信・受信処理部13と、DHCP PD機能部16とを備える。
【0030】
DHCP PD機能部16は、DHCP-PD Delegating Router機能を備え、主にPrefix管理テーブル320と、Prefix Delegation処理ルーチン60と、DHCP-PDを識別するIA_PDとMNの識別子の対応テーブルとを含む。
【0031】
図4はPrefix管理テーブル320のテーブル構成の一例を示す。Prefix管理テーブル320は、DHCP Client識別子321に対して、少なくてもPrefix(群)を示すIAID322と、配布したPrefix323と、PrefixのLifetime324との対応関係を格納する。本実施例において、サーバ部12のDHCP-PD機能はHA1に実装されるが、HA1とは別のサーバ装置に、DHCP‐PD機能を実装してもよい。
【0032】
図7はIP網7に設置する認証局(CA)3の構成例を示す。CA3は、CPU31と、メモリ32と、回線34を収容するインタフェース部(IF)33とをバス35で接続する構成をとる。
メモリ32は、少なくてもPrefix配布管理テーブル330と、公開鍵証明書発行ルーチン80と、証明書情報格納テーブルとを備える。
【0033】
図8はPrefix配布管理テーブル330のテーブル構成の一例を示す。Prefix配布管理テーブル330は、端末の識別子(ID)331に対してPrefix発行許可か否かを示すフラグ332の対応関係を格納する。
【0034】
図17と図18に示すシーケンスに従って、図1に示す網5bに在圏するMN4の認証及び位置登録のシーケンスを説明する。本実施例において、MN4は、識別子と秘密鍵と公開鍵を、Secure Multimedia Card(SMMC)等の記憶装置から読み出す手段を備える。また、MN4は、DHCP-PD Requesting Router機能を備えるとする。
【0035】
電源を入れたMN4は、網5bに属するルータ6cからルータ広告(Router Avertisement)を受信する(101)。MN4はRouter AvertisementのMビットを参照して、CoA(Care of Address)の取得方法を決定する。Mビットが1であれば、MNはIPv6ステートフルアドレス自動構成を用いてCoAを取得する。Mビットが設定されていなければ、MNはIPv6ステートレスアドレス自動構成を用いてCoAを生成する(102)。
【0036】
次に、MN4は、ルータ6cに機器認証要求を送信する(103)。ルータ6cは、機器IDを検索キーとして機器認証を行う。ルータ6cは、MN4に対して認証結果を含む機器認証応答を送信する(104)。機器IDとして、例えばMACアドレスを用いる。
【0037】
機器認証が正常に終了すると、MN4は、SMMC等の記憶装置からMN4の識別子と秘密鍵と公開鍵を読み出す。MN4の識別子は、例えばFQDN(Fully Qualified Domain
Name)やX.500のDistinguished Nameで指定する。
【0038】
MN4は、CA3に対しMN4の公開鍵と識別子を含む公開鍵証明書発行要求を送信する(105)。公開鍵証明書の送受信には、例えば、CMP(Certificate Management Protocol)を用いる。
【0039】
図11は、CMPメッセージを含むパケットのフォーマット例S1を示す。
【0040】
図10は、IPv6パケットのフォーマットを示す。
CMPメッセージS1は、IPv6パケットのPayload43内のデータ部43Bに格納される。
【0041】
CA3は、上記要求を受信し、公開鍵証明書発行ルーチン80を起動する。
【0042】
図9は公開鍵証明書発行ルーチン80を示す。CA3は、MN4の識別子を用いてMN4に証明書を発行可能であるか確認し(81)、発行可能であれば、MN4の公開鍵証明書を発行する。次に、CA3はPrefix配布管理テーブル330にMN4の新規エントリを生成し、Prefix発行許可フラグを設定する(82、106)。CA3は、MN4に対してMN4の公開鍵証明書とCA3の公開鍵を含む公開鍵発行要求応答を送信し、本ルーチンを終了する(83、107)。
ステップ81において証明書の発行が不可能でなる場合、或いは、ステップ82においてMN4の公開鍵に対して証明書を発行できない場合、CA3はMN4に対してエラーを通知する証明書発行要求応答を送信し(84)、本ルーチンを終了する。
HA1のサーバ部11はMN4と同様に識別子と秘密鍵と公開鍵を保持する。サーバ部11は、CA3からサーバ部11の公開鍵証明書を取得する。
MN4は、公開鍵証明書を取得すると、Prefix Request処理を起動し、ホームPrefixを取得する。
MN4は、Prefixの配布が可能なDHCP Serverを発見するため、DHCP SolicitメッセージをAll_DHCP_Relay_Agents_and_Servers address宛に送信する(108)。上記SolicitメッセージはDHCP Clinet識別子(Client Identifier option)とIA_PD optionsを含む。上記IA_PD optionsには、Prefixを付与するグループ(IA_PD)をMN内で一意に示すIAIDが設定される。
【0043】
図12は、DHCPv6メッセージを含むパケットフォーマット例S2を示す。DHCPv6はトランスポートレイヤにUDP/IPを使うアプリケーションプロトコルである。
DHCPメッセージS2は、IPv6パケットのPayload43内のデータ部43Bに格納される。DHCPメッセージは、Message-typeフィールド51の値で指定する。DHCPメッセージのオプションパラメータは、Optionsフィールド53に設定される。
ここで、HA1のサーバ部12が上記DHCP Solicitメッセージ(108)を受信したとする。HA1のサーバ部12は、Prefix Delegation処理ルーチン60を起動する。
【0044】
図5は、Prefix Delegation処理ルーチン60を示す。
【0045】
サーバ部12は、上記DHCP SolicitメッセージのIA_PD optionsからIAIDを読み出し、IAIDに対してPrefixを配布可能であるか判断する(61)。配布可能であれば、サーバ部12は、上記DHCP Solicitに含まれるIAIDからIA_PDを特定する。サーバ部12は、IA_PD を検索キーとして、IA_PDとMN4の識別子の対応テーブルを参照し、MN4の識別子を決定する。サーバ部12は、CA3にMN4の識別子を含む問合せを送信する(62、109)。
【0046】
CA3は、上記問い合わせを受信すると、NN4の識別子を検索キーとしてPrefix配布管理テーブル330を検索する(110)。
【0047】
CA3は、ステップ106で生成したMN4のエントリを検出する。CA3は該当エントリのPrefix発行許可フラグが設定されていることを確認して、サーバ部12にPrefix割当許可を示す応答を送信する(63、111)。
【0048】
サーバ部12は、上記応答を受信すると、上記DHCP Solicitメッセージに含まれるDHCP Clinet識別子とIAIDでPrefix管理テーブル320を検索する。該当エントリがPrefix管理テーブル320に存在しなければ、サーバ部12はPrefix管理テーブル320に新規エントリを生成し、上記DHCP Solicitメッセージに含まれるDHCP Clinet識別子321とIAID322を格納する。そして、サーバ部12はMN4にDHCP Advertiseメッセージを送信する(64、112)。上記Advertiseメッセージは、サーバ部12の識別子(Server Identifier option)と、上記MN4の識別子(Client Identifier option)と、ステップ108で受信したIA_PD optionsを含む。サーバ部12は、DHCP Advertiseメッセージに配布可能なIPv6 Prefix情報を含んでもよい。
ステップ61において、サーバ部12がIAIDに対してIPv6 Prefixを配布することができないとき、或いは、ステップ63において、CA3がPrefixの配布を許可しないとき、サーバ部12は上記MN4にPrefix配布不可を示すStatus Code optionを含むAdvertiseメッセージを送信し、本ルーチンを終了する(67)。
【0049】
MN4は、Prefixの配布が許可された場合、上記サーバ部12にIA_PD options を含むDHCP Requestメッセージを送信し、IPv6 Prefix情報を要求する(113)。
ステップ112で受信したAdvertiseメッセージがIPv6 Prefix情報を含む場合、上記Requestメッセージは、MN4が利用を希望するPrefixを含む。
ここで、図5に戻りPrefix Delegation処理ルーチン60の説明を続ける。
サーバ部12は、上記DHCP Reqeustメッセージを受信すると(65)、IAIDを読み出し、配布するIPv6 Prefixを特定する。上記RequestメッセージがIPv6 Prefix情報を含む場合、MN4が利用を希望するPrefixを承認する。
次に、サーバ部12は、上記DHCP Reqeustメッセージに含まれるDHCP Clinet識別子とIAIDでPrefix管理テーブル320を検索する。サーバ部12は、ステップ64で生成したエントリを検出して、該当エントリに配布するIPv6 PrefixとPrefixのライフタイムを格納する。サーバ部12はMN4に対してPrefix情報を含むDHCP Replyメッセージを送信して(66、114)、本ルーチンを終了する。
ステップ65においてMN4に配布するPrefixが特定できなかった場合、或いは、ステップ66においてPrefix管理テーブル320に該当エントリが存在しない場合、上記サーバ部12はMN4にエラーを通知するDHCP Replyメッセージを送信し(68)、本ルーチンを終了する。
MN4は、上記DHCP ReplyメッセージからIPv6 Prefix情報を抽出する。MN4は上記Prefix情報とMN4のインタフェース識別子からホームアドレスを生成する(115)。
【0050】
次にMN4は、HAアドレス発見機能を用いてHAアドレスを特定する。MN4は、ステップ114で受信したPrefixをホーム網のPrefixに設定したMobile IPv6 Home-Agents Anycast Address宛に、HAアドレス発見要求(Home Agent Address Discovery Request)を送信する(116)。
上記Mobile IPv6 Home-Agents Anycast Addressと同一Prefixを有するHAのいずれかが上記Home Agent Address Discovery Requestを受信する。
ここで、HA1のサーバ部11aが、上記Home Agent Address Discovery Requestを受信したとする。サーバ部11aは、MN4にHAアドレス発見応答(Home Agent Address Discovery Reply)を送信する(117)。
【0051】
MN4は、上記Home Agent Address Discovery Replyを受信して、HAアドレス(サーバ部11aのアドレス)を取得する(118)。
次に、MN4は、IKEを用いてMN4とサーバ部11aとの間にIPsec SAを生成する。
IKEフェーズ1において、MN4とサーバ部11aの間にISAKMP SAを確立する。ISAKMP SAはIKEの制御用チャネルである
MN4は、サーバ部11aに、SAペイロードを用いてISAKMP SAのパラメータを提案する(121)。
【0052】
図13は、ISAKMPのパケットフォーマット例S3を示す。IKEで使用するパケットのフォーマットは、ISAKMPプロトコルで規定される。IKEのトランスポートプロトコルはUDP/IPである。
ISAKMPパケットS3は、IPv6パケットのPayload43内のデータ部43Bに格納される。ISAKMPパケットS3は、ISAKMPヘッダ55と1つ以上のペイロード56で構成される。ペイロード56には、例えば、SAの提案を運ぶSAペイロード、ID情報を交換するIdentificationペイロード、デジタル署名を送信するSignitureペイロードなどがある。
サーバ部11aは、ステップ121で受信したSAペイロードから受諾可能なProposalを選択してMN4に返信する(122)。
次に、MN4とサーバ部11aは、Diffe-Hellman公開値とNonceによる乱数を交換して(123、124)、秘密対称鍵を生成する。
続いて、MN4とサーバ部11aは、本人性を確認するため、ID情報を交換する。なお、本実施例では、本人であるかどうかの属性の確認の際に伝送される信号を本人性確認信号と定義している。図14は、IKEフェーズ1の本人性確認に用いるISAKMPパケットのフォーマット例S4を示す。ISAKMPパケットS4は、 Identificationペイロード56AとSignitureペイロード56B、Certificateペイロード56Cを含む。
MN4は、サーバ部11aに本人性確認に用いるISAKMPパケットを送信する(125)。上記ISAKMPパケット125のIdentificationペイロード56Aは、MN4がステップ115で生成したホームアドレスを含む。MN4は、ハッシュ値を計算し、そのハッシュ値にMN4の秘密鍵を用いてデジタル署名を行い、Signitureペイロード56Bに設定する。Certificateペイロード56Cは、CA3が発行したMN4の公開鍵証明書を含む。
サーバ部11aは、上記パケット125のSignitureペイロード56BからMN4のデジタル署名を取り出し、MN4の公開鍵を使ってデジタル署名を復号化する。MN4の公開鍵は、上記パケット125のCertificateペイロード56Cから取得する。
受信パケット125から計算したハッシュ値と、上記デジタル署名を復号化した値を比較することにより、サーバ部11aはパケット送信者MN4の本人性を確認する。
次にサーバ部11aは、上記パケット125のIdentificationペイロードからMN4のホームアドレスを取り出す。サーバ部11aは、サーバ部12にホームプレフィックスを含む問い合わせを送信する(126)。サーバ部12は、上記問合せ126に含まれるPrefixを検索キーとして、Prefix管理テーブル320を検索する。上記Prefix管理テーブル320に該当エントリが存在すれば、Prefixは割当済みである(127)。サーバ部12は、サーバ部11aに対してPrefix割当済みを通知する応答を送信する(128)。
Prefixが割当済みであれば、サーバ部11aは、IKEフェーズ1の処理を継続する。サーバ部11aはハッシュ値にサーバ部11aの公開鍵を使ってデジタル署名を行う。サーバ部11aは、MN4に上記デジタル署名を含むISAKMPパケットを送信する(129)。上記ISAKMPパケット129のIdentificationペイロードには、サーバ部11aのIPアドレスを設定する。上記ISAKMPパケットはサーバ部11aの公開鍵証明書を含んでもよい。
MN4は、上記パケット129を受信し、サーバ部11aの公開鍵を使ってIKE通信相手が本物であることを確認する。MN4は、サーバ部11aの公開鍵を上記パケット129の公開鍵証明書、或いは、CA3から取得する。
以上で、MN4とサーバ部11aの間にISAKMP SAが確立する。
次に、IKEフェーズ2において、MN4とサーバ部11a間にIPsec SAを生成する。上記IPsec SAは、MN4とサーバ部11aとの間のパケットをIPsec化して転送する際に利用する。IKEフェーズ2で送受信されるISAKMPパケットのペイロードは、IKEフェーズ1で確立したISAKMP SAによって暗号化される。
MN4は、サーバ部11aにIPsec SAプロポーザルを含むSAペイロードと、Nonceペイロードと、ハッシュペイロードを設定したISAKMPパケットを送信する(130)。サーバ部11aは、MN4に、受諾したIPsec SAのプロポーザルを含むSAペイロードと、Nonceペイロードと、ハッシュペイロードを設定したISAKMPパケットを送信する(131)。
MN4はサーバ部11aにハッシュペイロードを含むISAKMPパケットを送信する(132)。サーバ部11aは、上記パケット132を受信して、NN4が上記パケット131を受信したことを確認する。以上の処理により、2本のIPsec SA(MN4からサーバ部11aへのIPsec SAとサーバ部11aからMN4へのIPsec SA)が生成される。サーバ部11aとMN4は、上記IPsec SA(SPI、MN4のホームアドレス、サーバ部11aのアドレス等)をそれぞれSADに格納する。
MN4は、サーバ部11aに、上記IKEフェーズ2で生成したSAを適用した位置登録メッセージ(Binidng Update)を送信する(133)。MN4は、Binding Update List管理テーブルにサーバ部11aのアドレスを仮登録する(134)。
【0053】
図15は、IPsecを適用したBinding Updateのメッセージフォーマット例S11を示す。IPv6 Destination Options Header401と、IPsecヘッダ(AH HeaderまたはESP Header)402と、IPv6 Mobility Header403は、IPv6パケットの拡張ヘッダ42に格納される。
MN4がサーバ部11aに送信するBinding Updateには、以下の値が格納される。MN4のCoAがIPv6パケットヘッダの送信元アドレス41aに設定される。MN4がステップ115で生成したホームアドレスがIPv6 Destination Options Header401のHome Addresフィールドに設定される。
サーバ部11aは、上記Binding Update133を受信し、IPsec処理ルーチン70を起動する。
【0054】
図6は、IPsec処理ルーチン70を示す。まず、IPv6 Destination Options Header401を処理する(71)。具体的には、Destination Options Headerの値(ホームアドレス)と送信元アドレスの値(CoA)を入れ替える。
【0055】
次に、サーバ部11aは、SADをIPsecの種類(AH or ESP)、SPI値、及び、着信先アドレスで検索し、IPsec SAを特定する。受信パケットが暗号化されている場合、サーバ部11aは受信パケットを復号化した後、特定したIPsec SAに合致することを確認する(72)。次にサーバ部11aは、SPDを参照して、再構築したパケットが受け入れ可能であるかチェックする(73)。
パケットを受け入れ可能であれば、サーバ部11aのIPsec処理部14は上記再構築されたパケットをMobile IP処理部15に送信する。
【0056】
Mobile IP処理部15は、MN4の位置登録処理を行う(74)。
Mobile IP処理部15は、MN4のホームアドレスを検索キーとして、Binding Cache管理テーブル310を検索する。上記Binding Cache管理テーブル310にMN4のエントリが存在しなければ、上記Binding Cache管理テーブル310にMN4のエントリを追加する(135)。上記エントリのCare of Address312には、MN4が在圏網5bで取得したCoAを設定する。
ステップ72及びステップ73において処理が正常に終了しなかった場合、サーバ部11aは受信パケットを廃棄し、本ルーチンを終了する(78)。
【0057】
Mobile IP処理部15は、MN4に対してIPsecを適用したBinding Updateの応答(Binding Acknowledgement)を送信するため、IPsec処理部14にパケットを送信する。IPsec処理部14は、SPDを検索して上記パケットのセキュリティポリシーを調べる(75)。上記パケットはIPsecの適用対象であることがわかり、SADから合致するSAを検出する。IPsec処理部14は、上記パケットにRouteing Header404を追加し、IPsecを適用する(76)。次にサーバ部11aは、Routeing Headerの値と着信先アドレスの値を入れ替え、MN4にIPsecを適用したBinding Acknowlegementを送信し(77、136)、本ルーチンを終了する。
【0058】
図16は、IPsecを適用したBinding Acknowledgementメッセージのフォーマット例S12を示す。IPv6 Routing Header404と、IPsecヘッダ(AH Header or ESP Header)402と、IPv6 Mobility Header403は、IPv6パケットの拡張ヘッダ42に格納される。サーバ部11aがMN4に送信するBinding Acknowledgementには、以下の値が格納される。MN4のCoAがIPv6パケットヘッダの着信先アドレス41bに格納される。MN4のホームアドレスがIPv6 Routing Header404のHome Addressフィールドに格納される。
【0059】
MN4は、Binidng Acknowledgement136を受信すると、SADを検索してSAを特定する。受信パケットが暗号化されている場合、復号化した後SAに合致することを確認する。さらにSPDを参照して、再構築したパケットが受け入れ可能であるかチェックする。受け入れ可能であれば、MN4はステップ134で仮登録したエントリをBinding Update List管理テーブルに登録する(137)。
【0060】
ここで、MN4は識別情報(例えばFQDN)とステップ115で取得したホームアドレスの対応情報をホーム網8、在圏網5、或いは、IP網7に属する位置情報管理装置(例えばDNSサーバ装置)に登録してもよい。
【0061】
情報家電端末9がMobile IPv6機能とDHCP-PD Requesting Router機能を備え、CA3から公開鍵証明書を取得すれば、上記認証方法を情報家電端末9に適用できる。
本発明の第1の実施の形態によると、デジタル署名認証方法とMobile IPの位置登録手順が連携し、HAが公開鍵証明書にリンクしたホームアドレスに対してSAを生成・保持することにより、IPv6端末の正当性を確認する認証方法の提供が可能になる。
【0062】
MN4とHA1のサーバ部11はCA3が発行した公開鍵証明書を保持し、HA1のサーバ部12とMN4がDHCP-PD機能を備える。CA3とHA1のサーバ部12の連携により、HA1はCA3がPrefixの配布を許可したMN4に対してPrefixの通知が可能になる。さらに、HA1のサーバ部11は、サーバ部12が割り当てたPrefixをホームプレフィックスとするMN4との間でIPsec SAを生成することにより、MNの正当性を確認する認証方法の提供が可能になる。
(実施例2)
本発明の第2の実施の形態を図面を用いて説明する。
【0063】
図19は、本発明の第2の実施例における通信網の構成例を示す。第2の実施例は、通信装置2がDHCP-PD Requesting Router機能を備えることを特徴とする。第2の実施例において、IP網7は認証サーバ10を備える。認証サーバ10はホーム網へのアクセス認証に必要な情報(ID、パスワード等)を管理する。
【0064】
図20は、本発明の第2の実施例における通信装置2の構成例を示す。通信装置2はCPU21と、メモリ22と、回線24(24a、24b)を収容するインタフェース部(IF)23(23a、23b)とを、バス25で接続する構成をとる。
【0065】
メモリ22は、主にDHCP-PD Requesting Router機能を備えるDHCP PD機能部26と、ホーム網8へのアクセス認証を行う認証処理部27とを備える。
【0066】
図21は、本発明の第2の実施例におけるMN4の認証及び位置登録のシーケンスを示す。
第1の実施例と第2の実施例は、DHCP-PD Requesting Router機能の配備箇所が異なる。第2の実施例において通信装置2(GW2)がDHCP-PD Requesting Router機能を備え、DHCP-PDメッセージを送受信する。
ステップ101からステップ107は、第1の実施例と同様である。
以下、ステップ141以降について説明する。
GW2は、MN4からパケットを受信すると、MN4に対して認証情報を要求する(141)。MN4は、IDとパスワードを含む認証要求を送信する(142)。GW2bはIAIDを含むDHCP Solicitを送信する(143)。
サーバ部12は、上記DHCP Solicit受信し、IAIDからIA_PDを特定する。サーバ部12は、IA_PD を検索キーとして、IA_PDとMN4の識別子の対応テーブルを参照し、MN4の識別子を決定する。
ステップ144からステップ146は、第1の実施例におけるステップ109からステップ111と同様である。
【0067】
サーバ部12は、応答146を受信すると、GW2bにDHCP Advertiseを送信する(147)。以下、サーバ部12におけるステップ148とステップ149の処理は、第1の実施例と同様である。
【0068】
GW2bは、Prefix情報を含むDHCP Solicit149を受信すると、MN4にPrefix情報を含む認証応答を送信する(150)。以下、MNの認証処理及び位置登録処理は、第1の実施例のステップ115からステップ137と同様である。
本発明の第2の実施の形態によると、通信装置2がDHCP-PD Requesting Router機能を備える場合であっても、デジタル署名認証方法とMobile IPの位置登録手順の連携により、DHCP-PD機能を備えないIPv6端末の正当性を確認する認証方法が提供できる。
また、上記通信装置2がHAへのアクセス認証機能を提供することにより、より安全性の高い通信サービスの提供が可能になる。
(実施例3)
本発明の第3の実施の形態を図面を用いて説明する。
【0069】
図22は、本発明の第3の実施例における通信網の構成例を示す。第3の実施例は、第2の実施例に示す機能に加えて、通信装置2がHMIPv6のMAP機能を備えることを特徴とする。第3の実施例において、MN4はHMIPv6対応移動端末である。
【0070】
図23は、第3の実施例における通信装置2の構成例を示す。通信装置2のメモリ22は、第2の実施例に示す機能に加えてHMIPv6処理部29を備える。HMIPv6処理部29はHMIPv6のMAP機能を提供し、RCoAとLCoAの対応情報を保持するBinding Cache管理テーブルを備える。
【0071】
図24に示すシーケンスに従って、図22に示す網5bに在圏するMN4の認証及び位置登録のシーケンスを説明する。
【0072】
MN4は網5bに属するルータ(AR:Access Router)6cからMAPオプションを含むルータ広告(Router Avertisement)を受信する(161)。MN4は、ルータ広告161の情報を用いて、通信装置(以下、MAP)2bを特定し、RCoAとLCoAを生成する(162)。
【0073】
ステップ103からステップ107は、第1の実施例と同様である。
【0074】
MN4は、CA3から公開鍵証明書を受信すると、 MAP2bに位置登録信号(Binding Update)を送信する(163)。
【0075】
第3の実施例において、MAP2bは位置登録信号の受信を契機に認証処理を起動する。以下、ステップ141からステップ150は、第2の実施例と同様である。
【0076】
ステップ150までの処理が正常に終了した場合、MAP2bはHMIPv6処理部29のBinding Cache管理テーブルにMN4のRCoAとLCoAの対応情報を格納する。MAP2bはMN4にBinidng Acknowledgementを送信する(164)。
【0077】
以下、MNの認証処理及び位置登録処理は、第1の実施例のステップ115からステップ137と同様である。
本発明の第3の実施例によると、通信装置2がHMIPv6機能を備える場合であっても、デジタル署名認証方法とMobile IPの位置登録手順の連携により、DHCP-PD機能を備えないIPv6端末の正当性を確認する認証方法が提供できる。
また、上記通信装置はHMIPv6の制御信号受信を契機に、ホーム網に対するアクセス認証処理を起動することが可能になり、より安全性の高い通信サービスの提供が可能になる。
(実施例4)
本発明の第4の実施の形態を図面を用いて説明する。本発明の第4の実施例における通信網の構成例は、第1の実施と同様である。
【0078】
第4の実施例は、HA1のサーバ部11が、CA3によって許可されたMNにしてPrefixを配布する手段と、MN4の公開鍵証明書管理テーブルを備えることを特徴とする。公開鍵証明書管理テーブルは、IPsecフェーズ1のISAKMPパケットに含まれるIdentificationペイロードの情報と公開鍵証明書の対応情報を格納する。
【0079】
第4の実施例において、HA1とMNは、DHCP-PD機能を備えなくてもよい。MN4のHAは、サーバ部11aとする。
【0080】
図25から図27に示すシーケンスに従って、図1に示す網5bに在圏するMN4がHA1のサーバ部11aに位置登録を完了後、HA1のサーバ部11aがMN4にプレフィックスを通知し、MN4が再度位置登録を完了するまでのシーケンスを説明する。
ステップ101からステップ107は、第1の実施例と同様である。
続いて、MN4はサーバ部11aとの間でIPsec SAを生成する。
ステップ121からステップ125は、第1の実施例と同様である。MN4は、サーバ部11aに対して、 MN4のホームアドレスを設定したIdentificationペイロードとMN4の公開鍵証明書を設定したCertificateペイロードを含むISAKMPパケット125を送信する。
サーバ部11aは、上記パケット125からIdentificationペイロードとCertificateペイロードの情報を読み出し、MN4のエントリを公開鍵証明書管理テーブルに追加する(171)。MN4のエントリが存在する場合は、該当エントリを更新する。
ステップ129からステップ132は、第1の実施例と同様である。
MN4はサーバ部11aとの間に生成したIPsec SAを適用して位置登録を行う。位置登録処理(ステップ133から137)は、第1の実施例と同様である。
サーバ部11aは、例えば自身のPrefixを変更する場合、位置登録中のMN4に対してプレフィックスを通知する。
まず、サーバ部11aは、Binding Cache管理テーブル310を参照し、ステップ135で生成したMN4のエントリを検出する。次に、サーバ部11aは、MN4のホームアドレスを検索キーとして、公開鍵証明書管理テーブルを検索し、ステップ171で生成したMN4の公開鍵証明書を読み出す。
サーバ部11aはMN4の公開鍵証明書からMN4の識別子を特定し、上記MN4の識別子を含む問合せをCA3に送信する(173)。
【0081】
CA3は、上記問い合わせを受信すると、NN4の識別子を検索キーとしてPrefix配布管理テーブル330を検索する。
【0082】
CA3は、ステップ106で生成したMN4のエントリを検出する。CA3は該当エントリのPrefix発行許可フラグが設定されていることを確認して(174)、サーバ部11aにPrefix割当許可を示す応答を送信する(175)。
【0083】
サーバ部11aは、上記応答を受信すると、MN4にプレフィックス情報を通知するMobile Prefix Advertisementを送信する(176)。サーバ部11aは、上記Mobile Prefix Advertisementメッセージに、ステップ130から132で生成したIPsec SAを適用する。
【0084】
MN4は、上記Mobile Prefix Advertisementからプレフィックスを読み出す。MN4は、ホームプレフィックスの変更を検出し、ホームアドレスを生成する。ホームアドレスの生成から位置登録を完了するまでの処理(ステップ115〜125、ステップ129〜137)は、第1の実施例と同様である。
本発明の第4の実施例によると、HA1がCA3と連携することにより、MNの正当性を確認したのち、MN4にプレフィックス情報を通知することが可能になる。
【0085】
【発明の効果】
以上の実施の形態から明らかなように、本発明はデジタル署名認証方法とMobile IPの位置登録手順の連携により、IPv6端末の正当性を確認する認証方法を提供する。
【0086】
特に、領域Aに属するHAをホーム網とする端末xが領域BにおいてMobile IPの位置登録を行う際、領域Aに属するDHCP-PD Delegating Router機能が領域Bに属する端末XにPrefixを配布する手段を備え、1)DHCP-PD Delegating Router機能がCAにPrefix配布可否を問い合わせる手段、2)HAがDHCP-PD Delegating Router機能にPrefix情報を問い合わせる手段、3)HAが端末xとの間にIPsec SAを生成する際、端末xの公開鍵をCAまたは端末xから取得する手段、4)HAが上記3)で生成したIPsecを適用した位置登録のみ許容する手段、を備えることにより、端末xの正当性を確認する認証方法の提供が可能になる。
【0087】
領域Aと領域Bを相互接続する通信装置がDHCP-PD Requesting Router機能と、領域Aへのアクセス認証機能を備えれば、 DHCP-PD機能を備えない端末xに対して上記認証方法の提供が可能になる。また、上記通信装置は認証された端末xのみHAへのアクセスを許容するため、安全性の高い通信サービスの提供が可能になる。
【0088】
さらに、上記領域Aと領域Bを相互接続する通信装置が、HMIPv6のMAP機能を備えれば、上記通信装置はHMIPv6の制御信号受信を契機に、領域Aに対するアクセス認証処理を起動することが可能になる。
また、HA1がCA3との通信手段とMN4の公開鍵証明書を保持する手段を備えれば、HA1はCA3にMN4の正当性を確認したのち、MN4にプレフィックス情報を通知することが可能になる。
【図面の簡単な説明】
【図1】本発明における通信網の構成例を示す構成図。
【図2】 HA1のブロック図。
【図3】 HA1が備えるBinding Cache管理テーブル図。
【図4】 HA1が備えるPrefix管理テーブル図。
【図5】 HA1のDHCP PD機能部が備えるPrefix Delegation処理ルーチン図。
【図6】 HA1のIPsec処理部が備えるIPsec処理ルーチン図。
【図7】 CA3のブロック図。
【図8】 CA3が備えるPrefix配布管理テーブル図。
【図9】 CA3が備える公開鍵証明書発行ルーチン図。
【図10】 IPv6パケットのフォーマット図。
【図11】 CMPメッセージ例の図。
【図12】 DHCPv6パケットのフォーマット図。
【図13】 ISAKMPパケットのフォーマット例の図。
【図14】 IKEフェーズ1本人性確認時のISAKMPパケットのフォーマット例の図。
【図15】 Binding Updateメッセージ例の図。
【図16】 Binding Acknowledgementメッセージ例の図。
【図17】本発明における認証及び位置登録シーケンス図1。
【図18】本発明における認証及び位置登録シーケンス図2。
【図19】第2の実施例における通信網の構成例を示す構成図。
【図20】第2の実施例における通信装置2のブロック図。
【図21】第2の実施例における認証及び位置登録シーケンス図。
【図22】第3の実施例における通信網の構成例を示す構成図。
【図23】第3の実施例における通信装置2のブロック図。
【図24】第3の実施例における認証及び位置登録シーケンス図。
【図25】第4の実施例における認証及び位置登録シーケンス図1。
【図26】第4の実施例における認証及び位置登録シーケンス図2。
【図27】第4の実施例における認証及び位置登録シーケンス図3。
【符号の説明】
1 HA、2 通信装置、3 CA、4 Mobile IP移動ノード(MN)、60 Prefix Request処理ルーチン、70 IPsec処理ルーチン、80 証明書発行ルーチン。

Claims (11)

  1. 公開鍵証明書を発行及び保証する手段と、
    端末装置に対するIPv6 Prefix配布可否情報を保持する手段と、
    端末装置から公開鍵証明書発行要求を受信し、前記端末装置のPrefix配布可否情報を更新する手段とを備え、
    前記端末装置から公開鍵証明書発行要求を受信して、前記端末装置の公開鍵証明書を発行し、前記Prefix配布可否情報を更新し、前記端末装置に対して前記証明書を送信することを特徴とするサーバ装置。
  2. 請求項1に記載のサーバ装置において、
    Prefix配布機能を有する情報処理装置との通信手段を備え、
    前記情報処理装置からPrefix配布可否の問い合わせを受信し、前記端末装置のPrefix配布可否情報を検索し、得られた情報を前記情報処理装置に対して送信することを特徴とするサーバ装置。
  3. 請求項1に記載のサーバ装置において、
    端末装置の位置情報を管理する端末制御装置との通信手段を備え、
    前記端末制御装置からPrefix配布可否の問い合わせを受信し、前記端末装置のPrefix配布可否情報を検索し、得られた情報を前記端末制御装置に対して送信することを特徴とするサーバ装置。
  4. 公開鍵証明書を発行及び保証する機能とPrefix配布許可情報とを備えるサーバ装置との通信手段と、前記サーバ装置から公開鍵証明書を取得する手段と、IPsecによるセキュリティを確保する手段と、端末装置の位置情報を格納する手段とを備え、
    端末装置から本人性確認信号を受信し、前記端末装置の公開鍵証明書を取得することを特徴とする端末制御装置。
  5. 請求項4記載の端末制御装置において、Prefix配布機能を有する情報処理装置との通信手段とを備え、
    前記末装置から前記本人確認性信号を受信し、前記情報処理装置に対しPrefix情報を問合せ、前記情報処理装置が前記Prefix情報を配布していれば、前記本人性確認信号の応答を前記端末装置に対して送信することを特徴とする端末制御装置。
  6. 請求項4または請求項5に記載の端末制御装置において、
    前記端末装置から位置登録要求を受信し、前記端末装置のセキュリティ情報を読み出し、前記要求が前記セキュリティ情報に合致すれば前記端末装置の位置登録処理を行うことを特徴とする端末制御装置。
  7. 請求項4から請求項6のいずれか1項に記載の端末制御装置において、
    前記サーバ装置から前記端末装置のPrefix配布許可情報を読み出し、前記サーバ装置が前記端末装置に対してPrefixの配布を許可すれば、前記端末装置にPrefix情報を広告することを特徴とする端末制御装置。
  8. 在圏網と、該在圏網に接続可能な端末装置と、該端末装置が属しかつ前記在圏網と相互接続されるホーム網と、該ホーム網に設置された端末制御装置と、公開鍵証明書を発行及び保証する手段を備えたサーバ装置と、Prefix配布機能を備える情報処理装置とを備えた通信システムにおける端末認証方法において、
    前記サーバ装置は前記端末装置に対して公開鍵証明書を発行し、前記端末装置のPrefix配布情報を更新し、
    前記情報処理装置は、
    前記端末装置からPrefix配布要求を受信し、前記サーバ装置に前記端末装置のPrefix配布可否情報を問合せ、Prefixの配布が許可される場合前記端末装置にPrefix情報を配布し、
    前記端末制御装置は、
    前記端末装置から本人性確認信号を受信し、前記端末装置のPrefix情報を前記情報処理装置に送信し、
    前記情報処理装置は、前記Prefix情報を発行した端末装置と前記端末制御装置との間にセキュリティアソシエーションを確立することを特徴とする端末認証方法。
  9. 請求項8に記載の端末認証方法において、前記ホーム網と前記在圏網を相互接続する通信装置が前記情報処理装置にPrefix配布要求を送信することを特徴とする端末認証方法。
  10. 請求項8または請求項9に記載の端末認証方法において、
    前記端末制御装置は、前記端末装置から位置登録要求を受信し、前記セキュリティアソシエーションを読み出し、前記位置登録要求が前記セキュリティアソシエーションを満たす場合に前記端末装置の位置登録を許可することを特徴とする端末認証方法。
  11. 請求項8から請求項10のいずれか1項に記載の端末認証方法において、前記端末制御装置は、前記サーバ装置との通信手段と、端末装置の公開鍵証明書情報を格納する手段とを備え、
    前記移動体通信装置は、前記サーバ装置が許可した端末装置に対してPrefix情報を送信することを特徴とする端末認証方法。
JP2003064329A 2003-03-11 2003-03-11 サーバ装置、端末制御装置及び端末認証方法 Expired - Fee Related JP4352728B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003064329A JP4352728B2 (ja) 2003-03-11 2003-03-11 サーバ装置、端末制御装置及び端末認証方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003064329A JP4352728B2 (ja) 2003-03-11 2003-03-11 サーバ装置、端末制御装置及び端末認証方法
US10/782,837 US7805605B2 (en) 2003-03-11 2004-02-23 Server, terminal control device and terminal authentication method
CN 200410007291 CN1531245B (zh) 2003-03-11 2004-02-27 服务器、终端控制设备以及终端鉴权方法

Publications (2)

Publication Number Publication Date
JP2004274521A JP2004274521A (ja) 2004-09-30
JP4352728B2 true JP4352728B2 (ja) 2009-10-28

Family

ID=33125643

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003064329A Expired - Fee Related JP4352728B2 (ja) 2003-03-11 2003-03-11 サーバ装置、端末制御装置及び端末認証方法

Country Status (3)

Country Link
US (1) US7805605B2 (ja)
JP (1) JP4352728B2 (ja)
CN (1) CN1531245B (ja)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100513863B1 (ko) * 2003-04-29 2005-09-09 삼성전자주식회사 호스트의 이동성을 지원할 수 있는 무선 근거리 네트워크시스템 및 그의 동작방법
JP4054007B2 (ja) * 2004-07-15 2008-02-27 株式会社東芝 通信システム、ルータ装置、通信方法、ルーティング方法、通信プログラムおよびルーティングプログラム
KR100651716B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
FR2876853A1 (fr) * 2004-10-20 2006-04-21 France Telecom Procede d'adressage d'un reseau ip se connectant a un autre reseau ip
JP2006154125A (ja) * 2004-11-26 2006-06-15 Ntt Docomo Inc ローカル認証システム、ローカル認証装置、ローカル認証方法
US7342925B2 (en) * 2004-11-30 2008-03-11 At&T Corp. Technique for automated MAC address cloning
KR100669240B1 (ko) 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
GB0504868D0 (en) * 2005-03-09 2005-04-13 Nokia Corp A method of configuring a communication device
WO2006112095A1 (ja) * 2005-03-31 2006-10-26 Nec Corporation 移動通信制御方法、移動通信システム、ルーティング装置、管理装置及びプログラム
EP1875710B1 (en) * 2005-04-28 2011-11-23 Panasonic Corporation System, associated methods and apparatus for securing prefix-scoped binding updates
US8369329B2 (en) * 2005-05-16 2013-02-05 Rockstar Consortium Us Lp Dynamic hierarchical address resource management architecture, method and apparatus
US8185935B2 (en) 2005-06-14 2012-05-22 Qualcomm Incorporated Method and apparatus for dynamic home address assignment by home agent in multiple network interworking
US20060291422A1 (en) * 2005-06-27 2006-12-28 Nokia Corporation Mobility management in a communication system of at least two communication networks
JP4879524B2 (ja) 2005-06-30 2012-02-22 ブラザー工業株式会社 通信装置、通信システム及びプログラム
JP2007036641A (ja) * 2005-07-27 2007-02-08 Hitachi Communication Technologies Ltd ホームエージェント装置、及び通信システム
CN101243672B (zh) 2005-08-15 2012-01-04 艾利森电话股份有限公司 在快速路由器发现中路由广告认证的方法及移动节点
DE602006018179D1 (de) * 2005-09-20 2010-12-23 Ericsson Telefon Ab L M Verfahren und mobilitätsankerpunkt zum authentifizieren von aktualisierungen eines mobilknotens
EP1777908A1 (en) * 2005-10-21 2007-04-25 Matsushita Electric Industrial Co., Ltd. Dynamic discovery of home agent with specific binding
KR101221610B1 (ko) * 2005-11-03 2013-01-14 삼성전자주식회사 무선 통신 시스템에서 링크 id 프리픽스와 함께 고속이동성 ip를 지원하기 위한 방법 및 장치
KR100753820B1 (ko) 2005-12-10 2007-08-31 한국전자통신연구원 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법
KR100755536B1 (ko) * 2005-12-15 2007-09-06 주식회사 팬택앤큐리텔 복제단말기에 대한 ip 할당 방지시스템
KR100814400B1 (ko) 2006-01-12 2008-03-18 삼성전자주식회사 IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US8625609B2 (en) * 2006-05-19 2014-01-07 Futurewei Technologies Inc. Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery
KR100863135B1 (ko) * 2006-08-30 2008-10-15 성균관대학교산학협력단 이동환경에서의 듀얼 인증 방법
KR101088668B1 (ko) * 2007-02-13 2011-12-01 닛본 덴끼 가부시끼가이샤 이동 관리 시스템, 홈 에이전트 및 이들에 사용하는 이동 단말 관리 방법 그리고 그 프로그램을 수록한 컴퓨터 판독가능 매체
WO2008099802A1 (ja) * 2007-02-13 2008-08-21 Nec Corporation 移動端末管理システム、ネットワーク機器及びそれらに用いる移動端末動作制御方法
CN101690024B (zh) 2007-06-15 2012-07-25 富士通株式会社 通信系统、通信系统中的移动终端的位置检索方法
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
US20090129597A1 (en) * 2007-11-21 2009-05-21 Zimmer Vincent J Remote provisioning utilizing device identifier
US7962584B2 (en) * 2008-02-13 2011-06-14 Futurewei Technologies, Inc. Usage of host generating interface identifiers in DHCPv6
US8788826B1 (en) * 2008-06-06 2014-07-22 Marvell International Ltd. Method and apparatus for dynamically allocating a mobile network prefix to a mobile terminal
CN104702715B (zh) * 2008-08-14 2019-05-28 三星电子株式会社 动态主机配置协议网际协议版本4地址释放的方法和系统
PL2320604T3 (pl) * 2008-08-26 2017-03-31 Alcatel Lucent Sposób oraz urządzenie do przekazywania pakietów w węźle dostępowym ipv6
US7924830B2 (en) 2008-10-21 2011-04-12 At&T Intellectual Property I, Lp System and method to route data in an anycast environment
US8619995B2 (en) * 2009-01-28 2013-12-31 Qualcomm Incorporated Methods and apparatus related to address generation, communication and/or validation
CN101924800B (zh) * 2009-06-11 2015-03-25 华为技术有限公司 获取DHCPv6服务器IP地址的方法、DHCPv6服务器和DHCPv6通信系统
US9912654B2 (en) 2009-11-12 2018-03-06 Microsoft Technology Licensing, Llc IP security certificate exchange based on certificate attributes
CN103001927B (zh) * 2011-09-09 2018-06-12 中兴通讯股份有限公司 种位置信息处理方法和系统
CN102820982B (zh) * 2011-09-21 2016-04-13 金蝶软件(中国)有限公司 数据传输方法和装置
US9532224B2 (en) * 2012-11-05 2016-12-27 Electronics And Telecommunications Research Institute Method of device-to-device discovery and apparatus thereof
US9992708B2 (en) * 2013-05-22 2018-06-05 Google Technology Holdings LLC Micro to macro IP connection handover
US9742798B2 (en) 2015-03-16 2017-08-22 Cisco Technology, Inc. Mitigating neighbor discovery-based denial of service attacks
CN105872618A (zh) * 2015-11-16 2016-08-17 乐视致新电子科技(天津)有限公司 视频资源共享方法、系统及相关设备
CN105323074B (zh) * 2015-11-17 2018-05-25 西安电子科技大学 终端设备地理位置的可信验证方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5517618A (en) * 1992-02-10 1996-05-14 Matsushita Electric Industrial Co., Ltd. Mobile migration communications control device
US6018524A (en) * 1997-09-09 2000-01-25 Washington University Scalable high speed IP routing lookups
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
JP2002077274A (ja) * 2000-08-31 2002-03-15 Toshiba Corp ホームゲートウェイ装置、アクセスサーバ装置及び通信方法
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
US7493652B2 (en) * 2003-08-06 2009-02-17 Microsoft Corporation Verifying location of a mobile node

Also Published As

Publication number Publication date
US20040205211A1 (en) 2004-10-14
US7805605B2 (en) 2010-09-28
CN1531245B (zh) 2012-04-25
CN1531245A (zh) 2004-09-22
JP2004274521A (ja) 2004-09-30

Similar Documents

Publication Publication Date Title
Liebsch et al. Candidate access router discovery (CARD)
CA2520501C (en) Methods and apparatus for securing proxy mobile ip
US7616615B2 (en) Packet forwarding apparatus for connecting mobile terminal to ISP network
US7483697B2 (en) System for managing mobile node in mobile network
CN1989754B (zh) 用于在IPv6网络中实现路由优化和位置私密性的方法和设备
EP1578083B1 (en) Virtual private network structure reuse for mobile computing devices
AU2003219693B2 (en) Methods and apparatus for Mobile IP home agent clustering
EP1714434B1 (en) Addressing method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
CN101160924B (zh) 在通信系统中分发证书的方法
Gundavelli et al. Proxy mobile ipv6
US7385957B2 (en) Methods and apparatus for extending mobile IP
US20070086382A1 (en) Methods of network access configuration in an IP network
Wakikawa et al. IPv4 support for proxy mobile IPv6
US20020006133A1 (en) Communications service providing system, and mobile terminal device, address server device, and router device for use therewith
CN101297515B (zh) 充分利用gsm/sim认证基础架构的移动ip eap/sim认证
CN101480018B (zh) 在移动ip网络中创建安全关联的方法
CN1939000B (zh) 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备
US7401216B2 (en) Addressing mechanisms in mobile IP
US7502331B2 (en) Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
Giaretta et al. Mobile IPv6 bootstrapping in split scenario
JP4019880B2 (ja) サーバ装置
US20040029584A1 (en) Method of registering home address of a mobile node with a home agent
AU2003294330B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US8437345B2 (en) Terminal and communication system
ES2609257T3 (es) Procedimiento y sistema para proporcionar una clave específica de acceso

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060202

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090707

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090720

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130807

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees