JP4468453B2 - 往復経路確認の最適化 - Google Patents
往復経路確認の最適化 Download PDFInfo
- Publication number
- JP4468453B2 JP4468453B2 JP2007531814A JP2007531814A JP4468453B2 JP 4468453 B2 JP4468453 B2 JP 4468453B2 JP 2007531814 A JP2007531814 A JP 2007531814A JP 2007531814 A JP2007531814 A JP 2007531814A JP 4468453 B2 JP4468453 B2 JP 4468453B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- mobile node
- certificate
- node
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5092—Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、モバイル通信に関し、より詳細には、仮想プライベートネットワーク(VPN)トンネルの切り替え時における往復経路確認(return routability)(RR)を最適化する方法に関する。
図1は、GPRS(General Packet Radio Service)インタフェースおよびIEEE802.11 WLAN(ワイヤレスローカルエリアネットワーク)インタフェースを備えた、例えばマルチホーム携帯電話などのローミング中のモバイルノードMNが、安全ではないパブリックインターネットI上のトンネルVPNT1またはVPNT2(IPSec(Internet Protocol Security Protocol)によって保護されている)を通じて、セキュリティゲートウェイSGWを介して自身の企業ネットワークNに接続している状況の例を示している。モバイルノードMNは、IPSecトンネルを使用して、自身の企業ネットワーク内の情報にアクセスしたり、その外部トラフィックすべてをトンネル経由とすることで、自身の企業ネットワークのセキュリティゲートウェイSGWによって提供されるセキュリティサービス(例:ホームファイアウォール)を利用することができる。
最初に、モバイルノードMNは外部ネットワークFN1にローミングし、この外部ネットワーク内で、GPRSインタフェースに関連するIPアドレスIP1が割り当てられる、または自身で設定する。データトラフィックを安全に渡すことのできるIPSecトンネルVPNT1を設定するため、モバイルノードMN(IP1)およびセキュリティゲートウェイSGWは、IKE(Internet Key Exchange:インターネット鍵交換)シグナリングを実行する。この複雑なステップでは、モバイルノードMN(IP1)およびセキュリティゲートウェイSGWが相互認証を実行した後に、IKEセキュリティアソシエーション(IKE SA)が確立される。IPSecトンネル(VPN接続)を形成するためのセキュリティアソシエーションは、このIKE SAの保護下で確立される。
モバイルノードMNは、そのモビリティにより、第1の外部ネットワークFN1から切断し、第2の外部ネットワークFN2にアタッチし(ステップs1)、その外部ネットワークFN2において、GPRSインタフェースに関連する新しい、または追加のIPアドレスIP2が割り当てられる、または自身で設定する。あるいは、移動した結果として、モバイルノードMNが第2の外部ネットワークFN2においてGPRSとWLANの両方のサービスエリア内に入り、それにより、モバイルノードMNは、GPRSインタフェース上のIPアドレスIP1と、WLANインタフェース上のIPアドレスIP2の両方を同時にサポートする。前者のケースでは、モバイルノードMNは、IPアドレスの変更には関係なく、セキュリティゲートウェイSGWとのVPN接続を維持することを望むが、後者のケースでは、モバイルノードMNは、利用可能な接続のうち効率的な方の接続を使用することを望む。いずれの場合にも、モバイルノードMNは、セキュリティゲートウェイSGWと第2のIPアドレスIP2との間にVPN接続を再確立しなければならず、これは、場合によってはユーザとの対話が必要となり得る面倒なプロセスである。
IETF(Internet Engineering Task Force)のIKEv2 Mobility and Multi-homing(MOBIKE)ワーキンググループによって検討されている新しい方法では、モバイルノードは、自身の更新後のアドレスをセキュリティゲートウェイピアに通知するための明示的なシグナリングを使用し、これにより、IP1からIP2へのVPN接続の切り替えを実施する。このようにVPN接続をIPアドレス間で切り替えることは、実質的には、モバイルノードを宛先としているデータをリダイレクトすることである。この手法における問題は、この手法を悪用することで、いわゆる「第三者爆弾(third party bombing)」またはサービス拒否(DoS)攻撃を実行できることである。これらの攻撃により、有効なピアが自身のトラフィックを特定の第三者にリダイレクトし、その結果、その被害者である特定の第三者は、大量のトラフィックによって処理不能となる。
モバイルノードとセキュリティゲートウェイとの間のIKEセキュリティアソシエーションは、MOBIKEシグナリングを保護するものであり、すなわち、セキュリティゲートウェイは、モバイルノードの新しいアドレスをセキュリティゲートウェイに通知するための明示的なMOBIKEシグナリングの送り元が認証済みであることを認識できる。しかしながら、セキュリティゲートウェイは、更新シグナリングに含まれているIPアドレスがそのモバイルノードに属しており、それ以降にその新しいアドレスへリダイレクトする結果として第三者爆弾攻撃が確実に起こらないようにする必要性が依然としてある。
MOBIKEプロトコルでは、MOBIKE更新ペイロードに含まれ、報告されているアドレスにおいて確実にモバイルノードに到達できるようにするため、往復経路確認(RR)テストを実行することが提案されている。往復経路確認(RR)テストは、ピアが空の情報パケットを交換するデッドピア検知(DPD:dead-peer-detection)手順に従うように提案されている。更新後のアドレスに対するDPDテストが正常に完了しない場合にIKE SAが削除されないように、適切な修正が必要である。
RR/DPDテストにはいくつかの問題がある。現在のIKEv2 DPD手順では、正しく認証されている悪意のあるノードが、要求パケットを処理せずにDPDテストパケットに応答することが可能である。DPDの機能強化として、報告されているIPアドレスに関連付けられているクッキーまたはノンスを開始側が挿入し、これをIKE応答側が戻さなければならないようにする必要がある。IKEv2実装のうちウィンドウサイズが1である実装では、DPDテストが行われないが、それ以外のいくつかのIKEv2では、交換が行われている。さらに、RR/DPDでは、この手順の実行に伴うラウンドトリップ遅延に起因してデータのリダイレクトが遅延することがある。
RR/DPDのシグナリングオーバーヘッドを発生させることなく、モバイルノードが、セキュリティゲートウェイに報告するIPアドレスを実際に保持していることを主張する(assert)ための代替メカニズムを提供することは有利であろう。
本発明は、ステートレスアドレス設定、および例えばDHCP(Dynamic Host Configuration Protocol)設定)などのステートフルアドレス設定の両方の場合において、モバイルノードが、自身に割り当てられている報告するIPアドレスを実際に保持していることを主張するときのRR/DPDプロセスによって発生する遅延およびシグナリングオーバーヘッドを排除することを目的とする。
本発明によると、仮想プライベートネットワーク(VPN)トンネルの終端ポイントの、第1のアドレスから第2のアドレスへの切り替えを管理する方法であって、VPNが、固定ネットワークノードと、終端ポイントを画定するモバイルノードとの間で動作しており、本方法が、
モバイルノードのアドレスを第1のアドレスから第2のアドレスに切り替えるステップと、
モバイルノードのアドレスが第1のアドレスから第2のアドレスに変更されたことの通知を、モバイルノードから固定ネットワークノードに送るステップと、
第2のアドレスが、第三者に属していないものと信用できるアドレスであることを、通知から確認するステップと、
を含んでいる、方法、が提供される。
モバイルノードのアドレスを第1のアドレスから第2のアドレスに切り替えるステップと、
モバイルノードのアドレスが第1のアドレスから第2のアドレスに変更されたことの通知を、モバイルノードから固定ネットワークノードに送るステップと、
第2のアドレスが、第三者に属していないものと信用できるアドレスであることを、通知から確認するステップと、
を含んでいる、方法、が提供される。
本発明によると、仮想プライベートネットワーク(VPN)トンネルの終端ポイントの切り替えマネージャであって、
使用時、VPNの終端ポイントを第1のアドレスから第2のアドレスに切り替えるようにされている切り替え手段であって、VPNが、固定ネットワークノードと、終端ポイントを画定するモバイルノードとの間で動作する、切り替え手段と、
使用時、モバイルノードのアドレスが第1のアドレスから第2のアドレスに変更されたことの通知を、モバイルノードから固定ネットワークノードに送るようにされている通知送信手段と、
使用時、第2のアドレスが、第三者に属していないものと信用できるアドレスであることを通知から確認するようにされている確認手段と、
を備えている、切り替えマネージャ、がさらに提供される。
使用時、VPNの終端ポイントを第1のアドレスから第2のアドレスに切り替えるようにされている切り替え手段であって、VPNが、固定ネットワークノードと、終端ポイントを画定するモバイルノードとの間で動作する、切り替え手段と、
使用時、モバイルノードのアドレスが第1のアドレスから第2のアドレスに変更されたことの通知を、モバイルノードから固定ネットワークノードに送るようにされている通知送信手段と、
使用時、第2のアドレスが、第三者に属していないものと信用できるアドレスであることを通知から確認するようにされている確認手段と、
を備えている、切り替えマネージャ、がさらに提供される。
本発明は、使用していることをモバイルノードが報告している新しいアドレスが、望ましくないトラフィックの標的となる第三者に属し得ないことを、固定ネットワークノードが信用することのできるシステム、を提供する。この結果として、モバイルノードが確かに報告アドレスであることを確認するために通常ならば使用される往復経路確認テストまたはデッドピア検知テストを使用する必要がない。新しいアドレスへのデータトラフィックがただちに開始され、従って、遅延が減少する。
以下では、ステートフルアドレス設定とステートレスアドレス設定の両方の場合における本発明の例を、添付の図面を参照しながら説明する。図面において、同一・相当の部分は、同一・相当の参照数字によって表してある。
ステートフルアドレス設定の場合に明示的なMOBIKE更新シグナリングの結果として2つのネットワーク間でのVPNトンネルの切り替えを完了するプロセスは、複数の個別のステップにおいて行われ、図2はこれらのステップのタイミングを示している。
ステートフル設定の例として、クライアント/サーバプロトコルであるDHCPを使用する場合が挙げられ、この場合、DHCPサーバは、クライアントデバイスのステートフル設定管理(例:データベースからIPアドレスを一時的に割り当てる)を提供する。あるいは、ステートフル設定として、自動設定を挙げることができる。図1の例では、外部ネットワークFN1、FN2のそれぞれがDHCPサーバを含んでいることができ、DHCPサーバは、VPNトンネルVPNT1およびVPNT2の終端ポイントとして使用されるアドレスIP1およびIP2をモバイルノードMNに割り当てる。本発明の基本的なコンセプトにおいては、最初に、モバイルノードが、セキュリティゲートウェイとのIKE SAの確立時に使用したものと同じアイデンティティを使用して、DHCPサーバからのIPアドレスを要求する。DHCPサーバは、それに応答してアドレスを割り当てるとき、割り当てるアドレスとそのアイデンティティとを結びつける証明書をモバイルノードにさらに提供する。この証明書を、モバイルノードとセキュリティゲートウェイとの間でのMOBIKE更新シグナリングに含めることができ、それにより、セキュリティゲートウェイは、報告されている更新アドレスが確かにそのモバイルノードに割り当てられたものであり、無関係な被害者には属していないことを確信できる。従って、セキュリティゲートウェイは、RR/DPDテストを実行することなく、1つのIPアドレスから別のIPアドレスにデータをリダイレクトすることができる。
次に、ステートフルアドレス設定の場合に2つのネットワーク間でVPNトンネルを切り替えるプロセスについて、詳しく説明する。最初に、セキュリティゲートウェイSGWと、外部ネットワークFN1の中のモバイルノードMNとの間のVPNトンネルを動的に確立する。
最初のステップ1は、IKEフェーズ1メッセージ交換である。セキュリティゲートウェイSGWおよびモバイルノードMNは、IKEプロトコルを実行してIKE SAを確立し、このIKE SAは、アイデンティティIDsgwを使用しているセキュリティゲートウェイSGWと、アイデンティティIDmnを使用しているモバイルノードとの間での相互認証に使用される安全なネゴシエーションチャネルである。このステップでは、実行するのがIKEであるかIKEv2であるかに応じて、一般に約4〜6個のメッセージが交換される。
第2のステップ2においては、IKE SAによってVPNの確立が保護される。IKE SAを使用することにより、一対の一方向IPSec SAを確立するシグナリングが保護される。IPSec SAは、VPNトンネルの特定のIPSecパラメータ(例:認証ヘッダ(AH)、ESP(encapsulating security protocol:カプセル化セキュリティプロトコル)認証/暗号化方法)の実際のネゴシエーションである。このステップでは、一般には、さらに2〜4個のメッセージが交換される。
第3のステップ3においては、外部ネットワークFN1を経てモバイルノードMNまでのVPNトンネルVPNT1を確立する。IPSec SAには、IPアドレス/ポートなどのトラフィックセレクタが関連付けられている。送出パケットのうち、宛先アドレス/ポートが合致しているパケットは、関連するIPSec SAによって保護され、この場合、暗号化されたパケットがアドレスIP1におけるモバイルノードMNに転送される。
第4のステップ4においては、ネットワークのモビリティを利用して、モバイルノードMNがネットワークをFN1からFN2に変更する。このためには、モバイルノードMNは、新しいネットワークアタッチポイントにおいて使用できる新しいアドレスを設定することが要求される。このとき、モバイルノードが、ローカルなDHCPサーバDHCPSを利用してステートフルアドレス設定を行うものと想定する。
第5のステップ5においては、モバイルノードMNは、リンクローカルなIPv6アドレスを使用して、マルチキャストDHCP要請メッセージ(DHCP Solicit message)を送出し、利用可能なDHCPサーバDHCPSを特定する。モバイルノードMNは、DHCPサーバに求める要件として、アドレス設定情報を提供することと、割り当てられるアドレッシング情報を、モバイルノードMNによって使用されているアイデンティティに結びつける証明書を提供することとを提示する。
第6のステップにおいては、モバイルノードの要件を満たすことのできるサーバDHCPSが、アドバタイズメッセージに応答する。
第7のステップ7においては、モバイルノードMNは、サーバDHCPSのうちの1つを選択し、IKE SAの確立時にセキュリティゲートウェイSGWに提示したものと同じアイデンティティIDmnを使用して、確認済みの(confirmed)アドレスおよびその他の設定情報を割り当てるように要求する要求メッセージを、そのサーバDHCPSに送る。この場合、モバイルノードMNが、他のDHCPクライアントと同様に、何らかのアウトオブバンドメカニズム(out-of-band mechanism)(DHCPv6仕様の範囲を超えていると考えられる)によってモバイルノードMNおよびDHCPサーバDHCPSの両方に配布済みである一連の鍵を持っているものと想定する。交換された鍵は、他のピアへのDHCPメッセージのソースおよび内容の認証を提供するために使用される。送信側のピアは、鍵付きHMAC−MD5ハッシュをDHCPメッセージから計算し、元のDHCPメッセージが受信側ピアによって正確に再現されるならば、そのメッセージが送信中に変更されていないことが確認される。
第8のステップ8において、サーバDHCPSは、モバイルノードMNの確認済みアドレスIP2および設定が含まれている応答メッセージによって応答する。DHCPサーバからの応答メッセージの完全性は、鍵付きHMAC−MD5ハッシュの使用によって保護される。
モバイルノードMNに提供される証明書に含まれるのは、モバイルノードMNに割り当てられるIPアドレス、IKE SAの確立時に使用されたモバイルノードMNのアイデンティティ、DHCPサーバDHCPSがIPアドレスを割り当てた時を示すタイムスタンプおよびそのアドレスの存続期間、DHCPサーバの公開鍵、DHCPによる署名、DHCP証明書である。DHCPサーバは、自身の秘密鍵を使用して証明書に署名し、割り当てるアドレスおよびそのタイムスタンプと、モバイルノードMNのアイデンティティとの間を結びつける。第三者は、証明書に含まれているDHCPサーバの公開鍵を使用して、この結びつきを確認することができる。この証明書には、DHCPサーバDHCPSによって提供された公開鍵が確かにそのDHCPサーバDHCPSに属していることを確認する別の証明書も含まれている。この第2の証明書に署名するのは、一般には、セキュリティゲートウェイSGWとDHCPサーバDHCPSの両方によって信用されている第三者である。追加のシグナリングを伴う代替方法としては、セキュリティゲートウェイSGWが、DHCPサーバのアイデンティティが提示されたときに、PKI(Public Key Infrastructure:公開鍵基盤)を使用してDHCPの公開鍵を取り出す。
第9のステップ9においては、モバイルノードMNが、VPNトンネルをIP1からIP2に切り替えるためのMOBIKE更新シグナリング要求を、新しいネットワークFN2から発行する。このメッセージには、DHCP証明書が挿入される。セキュリティゲートウェイSGWは、モバイルノードMNによって報告される新しいアドレスがDHCPサーバDHCPSによってモバイルノードのアイデンティティIDmnに確かに割り当てられたことを、DHCPサーバの公開鍵を使用して確認する。
最終ステップ10においては、モバイルノードMNが、外部ネットワークFN2を経由する変更されたVPNトンネルVPNT2を通じてデータを受信する。この時点で、セキュリティゲートウェイSGWは、モバイルノードMNのデータを新しいアドレスIP2にリダイレクトすることができ、この場合、セキュリティゲートウェイSGWは、このリダイレクトに起因して無関係な被害者へのサービス拒否が生じることはないと認識している。セキュリティゲートウェイSGWは、更新されたアドレスの受け入れを確認するACKメッセージをモバイルノードMNに戻す。DHCP証明書により、セキュリティゲートウェイSGWは、RR/DPDテストを実行する必要なしに、リダイレクトを実行することができる。
ステートレスアドレス設定の場合に明示的なMOBIKE更新シグナリングの結果として2つのネットワーク間でのVPNトンネルの切り替えを完了するプロセスは、複数の個別のステップにおいて行われ、図3はこれらのステップのタイミングを示している。
ステートレスアドレス設定では、ホストは、ローカルに利用可能な情報と、アクセスルータによってアドバタイズされた情報の組み合わせを使用して、自身のアドレスを生成することができる。アクセスルータは、リンクに関連付けられている(1つ以上の)サブネットを識別するプレフィックスをアドバタイズし、その一方で、ノードが、サブネット上のインタフェースを一意に識別するリンクローカルアドレスを生成する。リンクローカルアドレスが一意であること、すなわち、そのリンク上の別のノードによってすでに使用されていないことが証明された後、リンクローカルアドレスとサブネットのプレフィックスとを組み合わせることによって、グローバルにルーティング可能なアドレスが形成される。ステートレスアドレス設定の場合の本発明の基本的なコンセプトとして、モバイルノードは、送出パケットにおけるソースアドレスとして、第三者によって設定されている可能性が極めて低いアドレスを使用する。モバイルノードによって設定されるアドレスを、保持している暗号鍵に結びつけるための手法の1つとして、CGA(CryptographicalIy Generated Addresses:暗号的に生成されたアドレス)を使用するプロセスが挙げられる。本発明においては、アドレス生成プロセスに含めることがモバイルノードとセキュリティゲートウェイとの間で事前に合意されているパラメータを使用することによって、このCGAコンセプトが拡張されている。これにより、セキュリティゲートウェイは、モバイルノードを宛先とするデータをそのソースアドレスにリダイレクトすることに起因して、別の無関係なノードへのサービス拒否攻撃が起こらないであろうことをさらに確信することができる。
以下では、ステートレスアドレス設定の場合にVPNトンネルの切り替えを完了するプロセスについて、詳しく説明する。
最初のステップ1は、図2におけるステートフル設定の例と共通しており、IKE SAを確立することである。さらに、セキュリティゲートウェイSGWは、モバイルノードの公開鍵を取得し、CGAプロセスに含めるパラメータに関する合意に達する。これらのパラメータとしては、8ビットの衝突カウンタ(collision counter)と、128ビットの補助パラメータが挙げられる。本明細書においては、補助パラメータとして、ランダムに選択される128ビットを提案する。しかしながら、別のパラメータを使用することもできる。本発明においては、補助パラメータに関する1つのオプションとして、モバイルノードMNおよびセキュリティゲートウェイSGWが、固定の128ビットに合意する。別のオプションとして、モバイルノードMNおよびセキュリティゲートウェイSGWは、IKE SAおよびIPSec SAの確立時に導かれる鍵材料のセクションのうち、補助パラメータとして使用するセクションに関して合意する。一般に、IKE SAの鍵材料は、5つの鍵と、IPSec SAの対ごとのさらなる4つの鍵とを含んでいる。1つのIKE SAのもとに複数のIPSec対を存在させることができる。
第2のステップ2、第3のステップ3、第4のステップは、図2におけるステートフル設定の例と同じである。モバイルノードMNがモビリティを利用してネットワークを変更する前に、セキュリティゲートウェイSGWとモバイルノードMNとの間にVPNトンネルを確立する。
第5のステップ5aにおいては、新しいネットワークFN2上のアクセスルータARがアドバタイズし、グローバルにルーティング可能なアドレスを設定するのに使用できる有効なプレフィックスに関する情報をモバイルノードMNに提供する。
モバイルノードMNは、IKE/IPSec SA鍵材料からの事前に合意している数のビットと、事前に合意している衝突カウンタと、公開鍵と、アドバタイズされたプレフィックスとを使用し、CGA手順に従って、ハッシュ関数を用いてグローバルアドレスを生成する。モバイルノードMNは、近隣探索機能(例:重複アドレス検出)のすべてがステートレスな設定に関連付けられていると結論した後、新たに設定したCGAアドレスを使用して新しい外部ネットワークFN2からセキュリティゲートウェイSGWに送ろうとする次のパケットのペイロードを作成する。
第6のステップ6aにおいては、モバイルノードMNが、CGAソースアドレスを使用して新しい外部ネットワークFN2からのパケットの送信を開始する。セキュリティゲートウェイSGWは、予測されるソースアドレスとは異なるソースアドレスを持つ最初のパケットを受信し、そのソースアドレスが、モバイルノードの公開鍵と事前合意されている値とを使用して生成されたCGAアドレスであるかを確認する。この場合、セキュリティゲートウェイSGWが、トンネル外側アドレス(tunnel outer address)に依存せずに、単にセキュリティパラメータインデックス(SPI)を使用して正しいIPSec SAを特定できるものと想定する。
第7のステップ7aにおいては、モバイルノードMNが、新しい外部ネットワークFN2を経由する変更されたVPNトンネルVPNT2を通じてデータを受信する。CGAアドレスが正常に確認された場合、セキュリティゲートウェイSGWは、モバイルノードMNを宛先とするパケットにおける宛先アドレスとしてそのソーススアドレスを使用し、そのアドレスの往復経路確認を実行することなしに、そのアドレスへのデータ転送に進む。
Claims (12)
- 仮想プライベートネットワーク(VPN)トンネルの終端ポイントの第1のアドレスから第2のアドレスへの切り替えを管理する方法であって、前記VPNが、固定ネットワークノードと、前記終端ポイントであるモバイルノードとの間で動作しており、前記方法が、
前記モバイルノードが前記固定ネットワークノードとの間で使用したアイデンティティを用いて、前記固定ネットワークノードによって信用されている第三者にアドレス割り当てを要求するステップと、
前記信用されている第三者が前記モバイルノードに新たなアドレスとして前記第2のアドレスを割り当てるステップと、
前記信用されている第三者が前記第2のアドレスと前記アイデンティティを含んでいる証明書を発行するステップと、
前記モバイルノードの前記アドレスを前記第1のアドレスから前記第2のアドレスに切り替えるステップと、
前記モバイルノードの前記アドレスが前記第1のアドレスから前記第2のアドレスに変更されたことの通知に前記発行された証明書を含めて、前記モバイルノードから前記固定ネットワークノードに送るステップと、
前記第2のアドレスは、前記信用されている第三者によって前記モバイルノードに割り当てられたことを、前記証明書から確認するステップと、
を含む、方法。 - 前記信用されている第三者は、DHCP(Dynamic Host Configuration Protocol)サ
ーバである、請求項1記載の方法。 - 前記アイデンティティは、前記モバイルノードが前記固定ネットワークノードとの間のVPNを確立する際に取り決められるアイデンティティである、請求項1または請求項2に記載の方法。
- 前記アイデンティティは、前記モバイルノードが前記固定ネットワークノードとの間でIKE SA(Internet Key Exchange Security Associations)確立時に使用したアイデンティティである、請求項3に記載の方法。
- 前記証明書は、公開鍵を含む、請求項1に記載の方法。
- 前記証明書は、前記DHCPサーバが前記第2のアドレスを割り当てた時を示すタイムスタンプと、前記第2のアドレスが前記モバイルノードに割り当てられている存続期間と、を含む、請求項2に記載の方法。
- 前記証明書は、前記第2のアドレスと、前記モバイルノードのアイデンティティと、前記タイムスタンプとを結びつける役割を果たす前記DHCPサーバの秘密鍵を使用してのデジタル署名を含む、請求項6に記載の方法。
- 前記モバイルノードは、前記証明書を提供する前記DHCPサーバのサービスを、変更されたDHCPシグナリングを使用することによって要求する、請求項2に記載の方法。
- 前記変更されたDHCPシグナリングは、前記モバイルノードから前記DHCPサーバへのアドレス割り当て要求メッセージに含まれている新しいオプションOPTION_ADDR_CERTである、請求項8記載の方法。
- IKEv2シグナリングが、前記モバイルノードの前記アドレスが前記第1のアドレスから前記第2のアドレスに変更されたことを通知するために使用される請求項1に記載の方法。
- 仮想プライベートネットワーク(VPN)トンネルの終端ポイントの、第1のアドレスから第2のアドレスへの切り替えシステムであって、仮想プライベートネットワーク(VPN)トンネルの終端ポイントの、前記VPNが、固定ネットワークノードと、前記終端ポイントであるモバイルノードとの間で動作しており、
前記モバイルノードが前記固定ネットワークノードとの間で使用したアイデンティティを用いて、前記固定ネットワークノードによって信用されている第三者にアドレス割り当てを要求するアドレス要求手段と、
前記信用されている第三者が前記モバイルノードに新たなアドレスとして前記第2のアドレスを割り当てるためのアドレス割り当て手段と、
前記信用されている第三者が前記第2のアドレスと前記アイデンティティを含んでいる証明書を発行するための証明書発行手段と、
前記モバイルノードの前記アドレスを前記第1のアドレスから前記第2のアドレスに切り替える切り替え手段と、
前記モバイルノードの前記アドレスが前記第1のアドレスから前記第2のアドレスに変更されたことの通知に前記発行された証明書を含めて、前記モバイルノードから前記固定ネットワークノードに送る通知送信手段と、
前記第2のアドレスが、第三者に属していないものと信用できるアドレスであることを前記証明書から確認する確認手段と、
を備える切り替えシステム。 - IKEv2(Internet Key Exchange version 2)シグナリングが、前記モバイルノードの前記アドレスが前記第1のアドレスから前記第2のアドレスに変更されたことを通知するために使用される請求項11に記載の切り替えシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/GB2004/004008 WO2006032826A1 (en) | 2004-09-20 | 2004-09-20 | Return routability optimisation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008514077A JP2008514077A (ja) | 2008-05-01 |
| JP4468453B2 true JP4468453B2 (ja) | 2010-05-26 |
Family
ID=34958624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007531814A Active JP4468453B2 (ja) | 2004-09-20 | 2004-09-20 | 往復経路確認の最適化 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7933253B2 (ja) |
| EP (2) | EP1792465A1 (ja) |
| JP (1) | JP4468453B2 (ja) |
| CN (1) | CN101023647A (ja) |
| BR (1) | BRPI0419056A (ja) |
| WO (1) | WO2006032826A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2424798A (en) * | 2005-03-31 | 2006-10-04 | Matsushita Electric Ind Co Ltd | Attribute based selection of a VPN endpoint IP address |
| WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
| DE102006046023B3 (de) * | 2006-09-28 | 2008-04-17 | Siemens Ag | Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen |
| JP4892008B2 (ja) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
| US8296438B2 (en) * | 2007-07-11 | 2012-10-23 | International Business Machines Corporation | Dynamically configuring a router to find the best DHCP server |
| WO2009095088A1 (en) * | 2008-01-31 | 2009-08-06 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for allocation of parameter values in a communications system |
| JP5102372B2 (ja) * | 2008-02-08 | 2012-12-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおいて使用する方法および装置 |
| WO2009126083A1 (en) * | 2008-04-11 | 2009-10-15 | Telefonaktiebolaget L M Ericsson (Publ) | Access through non-3gpp access networks |
| US9148335B2 (en) * | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
| CN102006284A (zh) * | 2010-11-02 | 2011-04-06 | 南京邮电大学 | 一种基于信任度的QoS路由选路方法 |
| US9021578B1 (en) * | 2011-09-13 | 2015-04-28 | Symantec Corporation | Systems and methods for securing internet access on restricted mobile platforms |
| EP2792191B1 (en) * | 2011-12-13 | 2016-08-10 | Vonage Network LLC | Systems and methods for handoff of a voip call |
| US8223720B1 (en) | 2011-12-13 | 2012-07-17 | Vonage Network, Llc | Systems and methods for handoff of a mobile telephone call in a VOIP environment |
| US9451507B2 (en) | 2011-12-13 | 2016-09-20 | Vonage America Inc. | Systems and methods for handoff of a mobile telephone call in a VOIP environment |
| EP2907272B1 (en) * | 2012-10-10 | 2016-11-30 | Nokia Solutions and Networks Oy | Peer revival detection |
| JP6762735B2 (ja) * | 2016-03-07 | 2020-09-30 | 国立研究開発法人情報通信研究機構 | 端末間通信システム及び端末間通信方法及びコンピュータプログラム |
| US10356830B2 (en) | 2017-01-17 | 2019-07-16 | Cisco Technology, Inc. | System and method to facilitate stateless serving gateway operations in a network environment |
| US20190018710A1 (en) * | 2017-07-11 | 2019-01-17 | Nicira, Inc. | Managing resource allocation of a managed system |
| CN111556084B (zh) * | 2020-06-30 | 2022-08-23 | 成都卫士通信息产业股份有限公司 | Vpn设备间的通信方法、装置、系统、介质和电子设备 |
| CN113676493B (zh) * | 2021-09-29 | 2022-10-11 | 网宿科技股份有限公司 | 一种基于mobike协议的通信方法及电子设备 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
| DE69935138T2 (de) * | 1999-08-20 | 2007-11-22 | International Business Machines Corp. | System und Verfahren zur Optimierung der Leistung und der Verfügbarkeit eines DHCP Dienstes |
| US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| GB2364477B (en) | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
| AU2001247295A1 (en) * | 2000-03-07 | 2001-09-17 | General Instrument Corporation | Authenticated dynamic address assignment |
| GB0006464D0 (en) * | 2000-03-18 | 2000-05-10 | Ericsson Telefon Ab L M | Ip communication in a cellular telecommunications system |
| US7554967B1 (en) * | 2000-03-30 | 2009-06-30 | Alcatel-Lucent Usa Inc. | Transient tunneling for dynamic home addressing on mobile hosts |
| JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
| US7389412B2 (en) * | 2001-08-10 | 2008-06-17 | Interactive Technology Limited Of Hk | System and method for secure network roaming |
| US7502929B1 (en) * | 2001-10-16 | 2009-03-10 | Cisco Technology, Inc. | Method and apparatus for assigning network addresses based on connection authentication |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| ES2433272T3 (es) * | 2002-11-06 | 2013-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | Un método y un dispositivo en una red IP |
| US7428226B2 (en) * | 2002-12-18 | 2008-09-23 | Intel Corporation | Method, apparatus and system for a secure mobile IP-based roaming solution |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| US7400611B2 (en) * | 2004-06-30 | 2008-07-15 | Lucent Technologies Inc. | Discovery of border gateway protocol (BGP) multi-protocol label switching (MPLS) virtual private networks (VPNs) |
| US7602786B2 (en) * | 2005-07-07 | 2009-10-13 | Cisco Technology, Inc. | Methods and apparatus for optimizing mobile VPN communications |
-
2004
- 2004-09-20 EP EP04768554A patent/EP1792465A1/en not_active Withdrawn
- 2004-09-20 CN CNA2004800440190A patent/CN101023647A/zh active Pending
- 2004-09-20 BR BRPI0419056-4A patent/BRPI0419056A/pt not_active IP Right Cessation
- 2004-09-20 US US11/663,316 patent/US7933253B2/en active Active
- 2004-09-20 WO PCT/GB2004/004008 patent/WO2006032826A1/en active Application Filing
- 2004-09-20 EP EP08102097A patent/EP1921822A2/en not_active Withdrawn
- 2004-09-20 JP JP2007531814A patent/JP4468453B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20080310375A1 (en) | 2008-12-18 |
| JP2008514077A (ja) | 2008-05-01 |
| CN101023647A (zh) | 2007-08-22 |
| WO2006032826A1 (en) | 2006-03-30 |
| BRPI0419056A (pt) | 2007-12-11 |
| US7933253B2 (en) | 2011-04-26 |
| EP1792465A1 (en) | 2007-06-06 |
| EP1921822A2 (en) | 2008-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4468453B2 (ja) | 往復経路確認の最適化 | |
| US7155500B2 (en) | IP address ownership verification mechanism | |
| EP2789117B1 (en) | Secure prefix authorization with untrusted mapping services | |
| US7286671B2 (en) | Secure network access method | |
| JP2009516435A (ja) | 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化 | |
| US20060111113A1 (en) | Virtual private network with mobile nodes | |
| EP1782574B1 (en) | Fast network attachment | |
| Deng et al. | Defending against redirect attacks in mobile IP | |
| JP5159878B2 (ja) | インターネットプロトコル認証とモビリティシグナリングとを結合するための方法と装置 | |
| EP2394418A1 (en) | Host identity protocol server address configuration | |
| Ratola | Which layer for mobility?-comparing mobile ipv6, hip and sctp | |
| US7969933B2 (en) | System and method for facilitating a persistent application session with anonymity between a mobile host and a network host | |
| Ylitalo et al. | Re-thinking security in IP based micro-mobility | |
| Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
| GB2424154A (en) | Streamlined network logon using Host Identity Protocol (HIP) with broadcast puzzle challenges and home server certificates | |
| Abusafat et al. | Roadmap of security threats between IPv4/IPv6 | |
| Namal et al. | Securing the backhaul for mobile and multi-homed femtocells | |
| Koskiahde | Security in Mobile IPv6 | |
| Ahmed et al. | Denial of service attack over secure neighbor discovery (SeND) | |
| KR20070106496A (ko) | 리턴 라우터빌리티의 최적화 | |
| Sarma | Securing IPv6’s neighbour and router discovery using locally authentication process | |
| Modares et al. | Protection of binding update message in Mobile IPv6 | |
| Shrivastava | Threats and Security Aspects of IPv6 | |
| Park et al. | MoHoP: A protocol providing for both mobility management and host privacy | |
| Doja et al. | Securing IPv6’s neighbour discovery using locally authentication process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100126 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100224 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130305 Year of fee payment: 3 |