JP4477003B2 - 通信システムにおける位置プライバシー - Google Patents

通信システムにおける位置プライバシー Download PDF

Info

Publication number
JP4477003B2
JP4477003B2 JP2006525845A JP2006525845A JP4477003B2 JP 4477003 B2 JP4477003 B2 JP 4477003B2 JP 2006525845 A JP2006525845 A JP 2006525845A JP 2006525845 A JP2006525845 A JP 2006525845A JP 4477003 B2 JP4477003 B2 JP 4477003B2
Authority
JP
Japan
Prior art keywords
mobile node
node
communication destination
registration process
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006525845A
Other languages
English (en)
Other versions
JP2007504763A (ja
Inventor
リスト モノネン
サンドロ グレッチ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2007504763A publication Critical patent/JP2007504763A/ja
Application granted granted Critical
Publication of JP4477003B2 publication Critical patent/JP4477003B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/16Mobility data transfer selectively restricting mobility data tracking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Facsimile Transmission Control (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、一般に、通信システムにおける位置プライバシーに係る。より詳細には、本発明は、通信当事者がその居場所を相手の通信当事者によって推測されるのを防止できるようにするメカニズムに係る。このメカニズムは、主に、移動インターネットプロトコル(IP)ネットワーク用として意図されたものである。
インターネットのようなIPネットワークに関連したプロトコルは、インターネットエンジニアリングタスクフォース(IETF)により開発された。IETFは、IPの両バージョン(即ちIPv4及びIPv6)用の移動IPノードに対するサポートも開発している。このような研究についての主たる結果が2つの移動IPプロトコル、即ち移動IPv4(RFC2002)及び移動IPv6(研究中であって、間もなくRFC状態に到達すると仮定される)である。
移動IPは、移動ノードが通信ピアとの進行中セッションを中断せずにそのIPアドレスを変更できるメカニズムを規定している。IPサブネットを横切って移動しているときに、移動ノードは、アクセスルーターにより容易にされた新たなIPアドレスを得る。次いで、移動ノードは、そのホームエージェント(HA)に、及び任意であるがその通信先ノード(CN)にも、アドレスの変更を通知し、これは、バインディングアップデート(BU)と称するメッセージにおいて新たなアドレス(いわゆるケアオブアドレス)をホームエージェント及び任意であるがその通信先ノードに送信することにより行われる。移動ノードの永久的なホームアドレスと、移動ノードのケアオブアドレスとの関連付けを、バインディングと称する。
バインディングアップデートに基づいて、通信先ノード及び考えられる盗聴者は、移動ノードの地理的位置を、ある精度で、推測することができる。移動ノードは、そのプライバシーを保護するために、バインディングアップデートの送信を制御し、信用度の低い通信先ノードに位置情報を得る機会を与えないようにすることができる。現在の提案(draft−ietf−mobileip−ipv6−23、IPv6における移動サポート、2003年5月)は、「移動ノードは、そのトポロジー的位置について、ある通信先ノードからプライバシーを保つことを選択してもよく、従って、通信先登録を開始する必要がない(a mobile node may also choose to keep its topological location private from certain correspondent nodes, and thus need not initiate the correspondent registration)」と述べている。通信先登録とは、バインディングアップデートを通信先ノードに送信して、移動ノードに対するバインディングを通信先ノードに登録させるプロセスである。しかしながら、これに関連した問題は、通信先バインディング手順を開始すべきかどうか判断するに充分な情報を移動ノードが実際にもたないことである。
一般に、IPアドレス及び関連DNS(ドメインネームシステム)ネームは、移動ノードが知っている通信先ノードの唯一の認識である。しかしながら、通信先ノードの認識を照合するためにこれら認識を使用できるかどうかは、次の理由で問題である。第1に、IPv6アドレスは、128ビットストリングであり、従って、人間のユーザが記憶することは極めて困難である。容易に記憶することが困難な識別子は、通信先ノードの信用性についてユーザに疑いを抱かせ、そしてユーザは、疑いを抱いたときに、通信先登録を省略する傾向となり、この場合には、2つのノード間のルートが最適でない状態のままとなる。これは、ひいては、ネットワークにオーバーヘッドを生じさせる。第2に、DNSは、MIPv6アーキテクチャー又は信用モデルの一部分ではない。第3に、DNSデータの完全性は、今日のインターネットでは信用できない。RFC2535に述べられたドメインネームシステムに対する拡張は、状態を改善するように試みるが、これらの拡張は、実際の使用を考慮していない。第4に、通信先ノードは、必ずしもDNSネームを有していない。これは、例えば、通信先ノードがそのホームネットワークから離れているときの状態である。
本発明は、移動ノードの位置を推測する機会を通信先ノードに与えるアドレス更新プロセスに関連して位置プライバシー判断のための信頼性ある情報を移動ノードに与えるものである。
本発明において、通信先登録プロセスの始めに認証プロセスが導入され、通信先ノードが必ずしも信用できる当事者でないことを認証プロセスが示す場合に、通信先ノードへの新たなアドレスの送信を防止する機会が移動ノード(エンドユーザに代わって)又はエンドユーザに与えられる。認証プロセスは、通信先ノードの少なくとも1つの高レベル識別子を発生する。高レベル識別子は、人間のユーザが、単なるIPアドレスよりも、ある個人又は組織に関連付けることが容易な識別子を指してもよい。この識別子は、例えば、通信先ノードのeメールアドレス又はDNSネームでよい。従って、認証プロセスが成功した後、移動ノードは、IPアドレスに加えて、通信先ノードの少なくとも1つの高レベル識別子を知り、これは、通信先ノードの信用度について移動ノード又はユーザの知識を著しく高めることができる。それ故、通信先登録プロセスを継続するか完了するかの判断は、認証プロセスの後に行われるだけである。図3及び4について以下に説明するように、高レベル識別子は、認証プロセス中に暗号で証明されてもよい。
従って、本発明の一実施形態は、通信システム内でアドレス更新を実行する方法を提供する。この方法は、アドレス更新プロセスを実行する必要があることを指示する段階であって、アドレス更新プロセスが実行される場合に移動ノードに関する位置関連情報を通信先ノードに送信するような段階と、この指示段階に応答して通信先ノードを認証する段階とを備えている。この認証段階は、通信先ノードに関する認識情報を発生する。又、この方法は、前記認識情報に基づいて、アドレス更新プロセスを実行すべきかどうか決定する段階と、この決定段階がそのように指示するときにアドレス更新プロセスを実行する段階も備えている。
別の実施形態において、本発明は、通信システムのための移動ノードを提供する。この移動ノードは、アドレス更新プロセスを実行する必要があるときに指示を与えるためのインジケータ手段と、通信先ノードを認証するための認証手段とを備えている。認証手段は、インジケータ手段に応答し、通信先ノードに関する認識情報を発生する。移動ノードは、更に、認証手段に応答して、アドレス更新プロセスを実行すべきかどうか決定するための決定手段と、この決定手段に応答して、アドレス更新プロセスを実行するためのアドレス更新手段も備えている。
更に別の実施形態において、本発明は、通信システム内でアドレス更新を実行するシステムを提供する。このシステムは、前記移動ノードの前記機能的エンティティと同様のエンティティを備えているが、本発明のシステムでは、それらエンティティが移動ノードとネットワークとの間に分散されてもよい。
本発明の解決策によれば、移動ノードには、登録の必要性が検出されたときに通信先登録を実行できるかどうかの判断を行えるようにする信頼性の高い認識情報を与えることができる。従って、移動ノード(又はそのユーザ)は、継続が許されたときに得られる位置情報を通信先ノードが悪用しないことを認識情報が指示するときだけ通信先登録の実行を許すことができる。
本発明の更に別の効果は、移動ノード又はそのユーザが信用できる通信先ノードを単に確認できないというだけでルートの最適化を省略しなくてよいことである。これは、ネットワークに生じるオーバーヘッドを減少する。
移動ノードは、認証が行われている間にホームエージェントを通してトラフィックを逆トンネル伝送させることができるので、認証は、セッションに対する設定時間を必ずしも増加せず、又は進行中のセッションを途絶させることもない。認証は、セッション中に一度しか必要とされないので、その後のアドレス変更に関連して移動ノードのシグナリング性能が影響を受けることはない。
以下、添付図面の図1から図6を参照して本発明及びその幾つかの実施形態を詳細に説明する。
図1は、本発明を適用できる典型的な通信環境の一例を示す図である。例えば、IPv6適合ノードでよい移動ノード100は、現在、そのホームネットワーク102から離れた外国のネットワーク103に位置してもよい。ホームネットワークから離れているが、移動ノードは、これがホームネットワークに位置するそのホームエージェント101に登録したいわゆるケアオブアドレスにアドレスすることができる。ホームアドレスとケアオブアドレスとの関連付けを「バインディング」と称する。移動ノードは、そのホームネットワークの外部に位置されたときには、移動ノード又は固定ノードでよい通信先ノード104と通信するときに、2つの異なる通信モードを使用することができる。その第1モードでは、トラフィックがホームエージェントを経て進行でき、即ち通信先ノードから発せられたパケットは、ホームエージェントへルーティングされ、次いで、登録されたバインディングを使用して、移動ノードへトンネル伝送され得る。移動ノードから発せられたパケットは、最初、ホームエージェントに逆トンネル伝送されるが、それらパケットは、次いで、通信先ノードへルーティングされる。第2モードでは、移動ノードは、バインディング更新(BU)と称するメッセージを通信先ノードに送信することにより、その現在バインディングを通信先ノードに登録することができる。従って、通信先ノードからのパケットを移動ノードに直接的にルーティングすることができる。その結果、移動ノードと通信先ノードとの間の最短の通信経路を使用することができる。第2モード及びその初期化は、ルート最適化と称することもできる。ルート最適化は、通信先ノードがローミング中の移動ステーションに接近しているとき、即ち最適なルートと非最適ルートとの間の差が大きいときに最も有益となる。この差は、中間ノードの数の差として測定されてもよい。
上述したように、通信先ノード及び考えられる盗聴者は、BUに基づいて、移動ノードの地理的位置を、ある精度で、推測することができる。本発明では、ルート最適化の必要があるときにノードの位置を通信先ノードからプライベートに保持すべきかどうか判断するための付加的な認識情報を移動ノードに与えることができる。これは、通信先ノードとのルート最適化手順の前に認証プロセスを導入することにより達成できる。認証プロセスは、移動ノード及び/又はそのユーザに対する通信先ノードに関する信頼性のある高レベル認識情報を発生し、そして認証プロセスの結果で、通信先ノードに向かうルート最適化を実行すべきかどうか規定することができる。
図2は、ルート最適化手順の前に認証プロセスを導入する一実施例を示す。移動ノード100は、ルートが通信先ノード104に対して最適でないことを検出すると、ルートを最適化するために登録プロセスをスタートする判断を実行することができる(ステップ202)。ルート最適化プロセスをスタートするための判断は、ノードの移動IPレイヤで行われてもよく、そして種々の事象201が判断をトリガーすることができる。例えば、ホームエージェントを経て最適にルーティングされなかったパケットを受信したときに、登録プロセスをトリガーしてもよい。別の考えられる登録トリガーは、移動ノード100がアクセスネットワークを移動しそしてネットワークが新たなケアオブアドレスを移動ノードに信号するときに、新たなケアオブアドレスへの移動IPハンドオーバーが発生することでもよい。通信先登録をスタートする判断に応答して、通信先ノードの認証が最初に開始されて(ステップ203)、登録プロセスを完了できるかどうかチェックすることができる。認証プロセスは、通信先ノードのIPアドレスに加えて、通信先ノードの付加的な高レベル認識情報を発生するというものでよい。この情報に基づいて、移動ノード又はそのユーザは、次いで、ルート最適化判断を行うことができ(ステップ204)、即ち移動ノードは、登録プロセスを完了できるかどうか判断する。高レベル情報が、通信先ノードが信用できる当事者であることを指示する場合には、移動ノードは、通信先ノードとのルート最適化手順を開始することができる(ステップ205)。逆の場合には、移動ノードは、そのケアオブアドレスを通信先ノードに露呈しないように登録プロセスを停止する判断をすることができる。この段階において、ユーザは、登録プロセスを継続すべきかどうか判断するように促されてもよい。認証及びルート最適化判断は、セッション中に一度行うだけでよく、即ち、通信先ノードが既に首尾良く認証された後に移動ノードのケアオブアドレスが変更された場合に認証手順を繰り返す必要はない。
従って、本発明において、通信先ノードは、通信先登録(即ちルート最適化)を実行する必要性が検出されたときに認証することができる。この検出がルートの最適化に属すると定義されるか、或いはルートの最適化はこの検出の後にのみ開始される個別のプロセスであると定義されるかに基づいて、本発明も、2つの仕方で定義することができる。第1に、検出がルート最適化の一部分であるとみなされる場合には、認証プロセスの開始にルート最適化を凍結し、そして認証プロセスに基づいて行われるルート最適化判断が継続を許す場合だけルート最適化を継続することができる。第2に、検出が実際のルート最適化の一部分としてみなされない場合には、実際のルート最適化は、認証プロセスの結果に基づき条件に応じて開始することができる。
通信先ノードに関して得られる高レベル認識情報は、使用する認証プロトコルに基づいて変化してもよい。通信先ノードの信用できる高レベル認識を発生する認証プロトコルを使用できるが、他の目的にも広く使用できる認証プロトコルを使用するのが好ましい。このような「汎用」認証メカニズムは、例えば、証明書に基づく認証プロトコルで、これらは、通常、少なくとも区別化された名前(DN)及びそれに関連したパブリックキーを含むデジタル証明書に基づくものである。通信先ノードが移動ノードである場合には、証明書は、例えば、移動オペレータにより発行される加入者証明書でよい。しかしながら、通信先ノードがサーバーである場合には、証明書は、通常、別の証明書当局(CA)により発行される。
移動ノードと通信先ノードとの間のセッションは、いずれか当事者により開始されてもよい。移動ノードが開始するセッションでは、移動ノードは、少なくとも第1パケットを、ホームエージェントを経て逆トンネル伝送されるものとして送信することにより、セッションを開始してもよく、又、トリガー事象に応答してその後でのみルート最適化を開始してもよい。或いは又、移動ノードは、通信先ノードとの他の通信を行う前にルート最適化を開始するように判断してもよい。従って、この場合には、認証プロセスは、パケットが通信先ノードへ送信される前に開始される。通信先ノードは、それがセッションを開始する場合に、DNS問合せの結果として移動ノードのホームアドレスを得ることができる。従って、CNにより送信される第1パケットは、移動ノードのホームエージェントを経てルーティングすることができる。
全てのケースにおいて、認証プロセス中にCNにケアオブアドレスを露呈しないために、通信先ノードの認識を証明するシグナリングを、ホームエージェントを経て逆トンネル伝送することができる。認証が進行している間に、認証によりセッションに対する設定時間を増加することも、又、進行中セッションを何ら途絶することもないように、移動ノードは、ホームエージェントを経てトラフィックを逆トンネル伝送することができる。
図3は、本発明の一実施形態による認証プロセス203の主たる段階を示す。この実施形態は、他のメカニズムの中でも、証明書に基づく認証プロトコルをサポートするインターネットキー交換(IKE)認証プロトコルをベースとするものである。IKEは、RFC2409に定義されている。以下の実施例は、IKEのバージョン2のドラフト、draft−ietf−ipsec−ikev2−08.txtに基づくものである。
論理的に、IKEに基づく認証プロセスは、3つの次々の段階に分割することができる。図3に示す第1段階(301)では、既知のディフィー−ヘルマン(Diffie-Hellman)キー交換により移動ノードと通信先ノードとの間に安全な通信パイプを確立することができる。この第1段階では、セッション特有のキー(SK)を生成して、2つの当事者間のその後の通信中に機密性及び完全性を保護することができる。完全性の保護は、第三者がIKEv2メッセージを変更したり、IKEv2ネゴシエーションにメッセージを挿入したりするのを防止する。機密性の保護は、(とりわけ)通信当事者のプライバシーを保護するために必要とされることがある。
図3の第2段階302では、2つの当事者が、それらの認識について互いに通知する。この段階では、認識が請求されるだけであり、受信側当事者は、送信側当事者の認識を照合できないことがある。パブリックキー証明書を、次の第3段階において認識を照合するためのツールとして使用することができる。この証明書は、認識をパブリックキーにバインディングすることができる。
第3段階303は、ランダムなチャレンジ及びこのチャレンジに対する照合可能な応答を含むことができる。拡張型認証を使用しないときには、サインごとにデータのブロックをもたせることによりピアを認証してもよい(IKEv2ドラフトの第2.15及び2.16章を参照)。或いは又、共有シークレットをキーとして使用することもできる。データブロック、即ちチャレンジは、その手前のメッセージのオクテット、臨時ペイロード(Ni、Nr)の値、及びあるメッセージフィールドにわたる擬似ランダムファンクション(prf)の値、の連結でよい。シグネチャー、即ち応答は、チャレンジに対して正しい応答を与えられるのは正しい認識だけであることを確保するために、暗号化アルゴリズム及びシークレットキーを使用することができる。パブリックキー証明書の場合には、プライベートキーをサインに使用してもよく、そしてパブリックキーをシグネチャーの照合に使用してもよい。首尾良い応答は、サインする者が、証明書におけるパブリックキーに一致するプライベートキーを所有していることを証明する。それ故、サインする者の認識は、証明書において請求されたものでなければならない。パブリック/プライベートのキー対は独特なものであり、且つプライベートキーは部外者に知られていないので、部外者は、正しい応答を計算することができない。
上述した概要は、トランスポートレイヤセキュリティ(TLS)ハンドシェークプロトコルについても有効である。図4に示す実際のIKEv2メッセージ交換では、図3の実施形態について上述した概要は、明確に明らかでないことがある。というのは、メッセージ交換におけるラウンドトリップの回数を最小にするために、2つ以上の前記段階に関連した情報をメッセージが保持するからである。これは、2つの要求−応答対401/402及び403/404を生じるが、上記3つの主たる段階を最適化せずに単純に実施すると、3つのメッセージ対を生じ、即ち主たる段階の各々に対してメッセージ対を生じることになる。図4に示すメッセージでは、「HDR」という語は、IKEv2ヘッダを指し、「i」及び「r」は、各々、開始者及び応答者を指す。又、「SK{ }」という表示は、大カッコ内のペイロードが暗号化され、そして段階401/402においてディフィー−ヘルマン交換中に合意したセキュリティキーを使用して完全性が保護されることを指示する。図4における他の省略形は、次のように、IKEv2ペイロードを指す。即ち、SAは、セキュリティアソシエーションを指し、KEは、キー交換を指し、IDは、認識を指し、CERTは、証明書を指し、CERTREQは、証明書要求を指し、AUTHは、認証を指し、Niは、臨時開始者を指し、Nrは、臨時応答者を指し、TSiは、開始者トラフィックセレクタを指し、そしてTsrは、応答者トラフィックセレクタを指す。上記メッセージの内容は、IKEv2の上述した現在ドラフトに詳細に開示されている。
又、移動ノードは、オンライン証明書状態プロトコル(OCSP)サーバーのような外部サーバーからの証明書の現在状態を照合することもできる。更に、ローミング当事者の証明書を信用できるようにオペレータ間信用伝播を与える種々の信用モデルを使用してもよい。
図5は、移動ノードのオペレーションの一実施形態を示すフローチャートである。移動ノードがルート最適化プロセスを開始するための判断を行うと(段階501)、認証プロセスが開始される(段階502)。上述したように、通信先登録を開始するための判断は、トリガー事象に応答して移動IPレイヤにおいて行うことができる。認証プロセスは、少なくとも1つの高レベル識別子を発生し、これは、次いで、移動ノードに常駐するセキュリティポリシーデータベースのコンテンツと比較される(ステップ503)。データベースは、信用できるホストの高レベル識別子を含むか、又はどの識別子が信用できるホストを表わすか指示するルールを含んでもよい。データベースとの比較で、認証プロセスの結果として得られた少なくとも1つの高レベル識別子が信用できるホストを表わすことが指示された場合には、登録プロセスを続行することが許され(段階505)、そしてBUが通信先ノードに送信される。しかしながら、得られた高レベル識別子が信用できる識別子のグループに属さないことが比較で指示された場合には、移動ノードのユーザインターフェイスを経て移動ノードのユーザに判断を促すことができる(ステップ504)。移動ノードのディスプレイにおいて、得られた高レベル識別子(1つ又は複数)を含むウインドウを開いてもよい。ウインドウに表示されるテキストは、例えば、次の通りである。「あなたは、自分のローカルアドレスをwww.nokia.comに露呈しようとしている。この情報を使用して、あなたの現在位置を推測することができる。処理を進めますか?」。ユーザが処理を進めたい場合、即ちユーザが高レベル認識(www.nokia.com)を信用できる当事者とみなす場合には、登録を続けることが許され、従って、BUメッセージが通信先ノードへ送信される。又、セキュリティポリシーデータベースも、ユーザが信頼できる当事者とみなした認識を含むように更新され得る。ユーザが処理を進めたくない場合には、登録を停止することができ(段階507)、この場合には、BUメッセージが送信されない。
以上のことから明らかなように、移動ノードにおいて実行されるプロセスは、通常の通信先登録に対応するが、更新メッセージを送信する前に付加的な段階にパスしなければならず、この付加的な段階では、通信先ノードの信用度がテストされる。
図6は、本発明の一実施形態によるターミナルの基本的要素を示す。この移動ターミナル600は、トランシーバ601を備え、これには、少なくとも1つのアンテナ602と、制御ユニット603と、ユーザがターミナルを操作できるようにするユーザインターフェイスを生成するユーザインターフェイス装置604と、メモリ装置605とが設けられ、メモリ装置は、SIMカードのような1つ以上のスマートカード606を含んでもよい。メモリ装置は、更に、バインディングと、安全通信に必要な情報を含むセキュリティポリシーデータベース610とを含むことができる。通信先登録については、データベースは、信用できるホストの高レベル識別子を含むか、又はどの識別子が信用できるホストを表わすか指示するルールを含むことができる。制御ユニットは、通信先ノードから得た高レベル識別子をデータベースのコンテンツと比較し、そしてその比較で通信先ノードが信用できる当事者であることが指示されない場合に続くユーザ対話を、ユーザインターフェイスの制御により、取り扱うことができる。データベースのルールは、例えば、フィルタリングルールがファイアウオールゲートウェイで実施されるのと同様に、実施することができる。典型的なファイアウオールポリシー情報であるIPアドレス及びポート番号に加えて、BUポリシーデータベース610は、一致されるべき上位プロトコルレイヤ認識、及び行われるべき関連BUアクション、即ち(risto.mononen@nokia.com,BU−ok)、(*.monomen@kolumbus.fi,BU−ok)、(*,BU−nok)を含むことができる。ルール及びそれらの手順の順序は、典型的なファイアウオールポリシーデータベース筋書きに従うことができる。しかしながら、本発明では、いずれのデータベースエントリーも、通信先ノードが信用できるかどうか指示しない場合に、ユーザを促すことが好ましい。更に、ユーザは、信用できるホストを表わす新たな高レベル認識を入力するか、又はさもなければ、ノードのユーザインターフェイスを通してデータベースの内容を変更することにより、データベースを維持できることが好ましい。制御ユニットは、更に、肯定的なルート最適化判断がなされた(ユーザ又は制御ユニット自体のいずれかにより)場合にバインディング更新プロセスも取り扱うことができる。又、いたずら防止スマートカードのセキュリティ特徴と共にポリシーデータベースに対する読み取り又は書き込みアクセス或いはその両方を制御することもできる。
以上、添付図面に示した実施例を参照して本発明を説明したが、本発明は、それらに限定されるものではなく、本発明の範囲及び精神から逸脱せずに当業者により変更され得ることが明らかであろう。例えば、ルート最適化以外の目的で本発明のメカニズムを使用することもできる。更に、規格が変更された場合に、本発明のメカニズムの実施も、それに応じて変更することができる。移動IPに関しては、ケアオブアドレスが変更されるときに、バインディング更新を必ずしも送信しなくてもよく、例えば、周期的に送信することもできる。従って、この方法は、移動ノードがその位置に留まるときには第1の周期的更新に関連して使用することもできる。又、ネットワークへのBUシグナリング又はその一部分をデレゲートすることもできる。従って、ホームエージェントは、ポリシー判断ポイントを含みそして必要なときにBUを送信することができ、即ちホームエージェントは、上述したように通信先ノードを認証することができる。しかしながら、ホームエージェントに位置されるのではなく、上記認証装置に応答する上記決定装置と、この決定装置に応答する上記アドレス更新装置は、例えば、実際の認証手段がホームエージェントに位置された場合でも、移動ノードに位置されてもよい。又、上記メカニズムが主として移動IPv6用として意図された場合でも、通信ピアが受信メッセージからノードの位置を推測するのを許すプロトコルに関連してそれを使用して、このような推測を許すプロセスを防止するオプションをノードに与えることができる。それ故、移動IP環境において一般的である用語の上記使用は、本発明が実施される環境を限定するものではないことを理解されたい。例えば、通信先ノードは、ここでは、移動ノードと通信するノード又はネットワークエンティティを指す。更に、通信先ノードに関する認識情報を得るために種々の認証又は識別メカニズムが使用されてもよい。これらは、DNSベースのメカニズムのように、認識情報が暗号化以外で安全確保されるようなメカニズムを含む。
本発明の原理を実施できる通信環境を例示する図である。 ルート最適化手順に認証プロセスを導入するところを示す図である。 本発明の一実施形態による認証プロセスの主たる段階を示す図である。 インターネットキー交換(IKEv2)認証プロトコルに基づく認証プロセスを例示する図である。 ルート最適化に関連した移動ノードのオペレーションの一実施形態を示すフローチャートである。 本発明の一実施形態に基づくターミナルの基本的な要素を示すブロック図である。

Claims (29)

  1. 通信システム内で通信先登録を実行する方法において、
    通信先登録プロセスを実行する必要があることを指示し、前記通信先登録プロセスは、移動ノードに関する位置関連情報を前記移動ノードの通信先ノードに送信することを含み、
    前記通信先ノードを前記指示段階に応答して認証し、前記通信先ノードに関する認識情報を発生し、
    前記通信先登録プロセスを実行すべきかどうか前記認識情報に基づいて決定し、
    前記決定段階が前記通信先登録プロセスを実行すべきであると指示するときには前記通信先登録プロセスを実行し、そして前記決定段階が前記通信先登録プロセスを実行すべきでないと指示するときには前記通信先登録プロセスを実行しないこと、
    を備え
    前記方法は、前記移動ノードのホームアドレスと前記移動ノードのケアオブアドレスとを関連付けることであるバインディングを維持することを更に備え、前記通信先登録プロセスが実行されるときに前記通信先ノードに前記バインディングが通知されることを特徴とする方法。
  2. 前記実行段階は、前記移動ノードと前記通信先ノードとの間のルートを最適化するように前記通信先登録を実行することを備える、請求項1に記載の方法。
  3. 1組の信用できる当事者を示すセキュリティポリシーデータを前記移動ノードに記憶することを更に備えた、請求項1に記載の方法。
  4. 前記決定段階は、前記認識情報を、前記移動ノードに記憶された前記セキュリティポリシーデータと比較することを含む、請求項3に記載の方法。
  5. 前記実行段階は、前記比較段階に応答して、前記通信先ノードが前記1組の信用できる当事者に属することを前記比較段階が指示するときに実行される、請求項4に記載の方法。
  6. 前記決定段階は、前記通信先ノードが前記1組の信用できる当事者に属さないことを前記比較段階が指示するときに前記移動ノードのユーザに判断をおこなうよう促すことを備え、この促す段階は、前記認識情報をユーザに通知することを含む、請求項4に記載の方法。
  7. 前記指示段階は、前記通信先登録プロセスが移動IPプロトコルに基づくバインディング更新プロセスを含むことを指示することを備えた、請求項1に記載の方法。
  8. 前記指示段階は、所定の事象に応答して実行される、請求項7に記載の方法。
  9. 前記指示段階は、前記移動ノードのホームエージェントを経てルーティングされるパケットの受信を含む所定事象に応答することを含む、請求項8に記載の方法。
  10. 前記指示段階は、前記移動ノードの新たなアドレスの受信を含む所定事象に応答することを含む、請求項8に記載の方法。
  11. 前記記憶段階は、信用できる通信先ノードの高レベル識別子を含むセキュリティポリシーデータを記憶することを含む、請求項3に記載の方法。
  12. 前記記憶段階は、前記認識情報が信用できる通信先ノードを表わすかどうか判断するためのルールを含むセキュリティポリシーデータを記憶することを含む、請求項3に記載の方法。
  13. 前記認証段階は、証明書に基づく認証プロトコルにより通信先ノードを認証することを含む、請求項1に記載の方法。
  14. 前記認証段階は、インターネットキー交換プロトコルを含む証明書に基づく認証プロトコルにより認証することを含む、請求項13に記載の方法。
  15. 前記認証段階は、トランスポートレイヤセキュリティプロトコルを含む証明書に基づく認証プロトコルにより認証することを含む、請求項13に記載の方法。
  16. 前記認証段階は、前記認識情報を暗号で証明することを含む認証段階により認証することを含む、請求項1に記載の方法。
  17. 通信システムのための移動ノードにおいて、
    通信先登録プロセスを実行する必要があるときに指示を与えるためのインジケータ手段であって、前記通信先登録プロセスが実行される場合に移動ノードに関する位置関連情報が移動ノードの通信先ノードに通知されるようにするインジケータ手段と、
    前記通信先ノードを認証するための認証手段であって、前記インジケータ手段に応答して、前記通信先ノードに関する認識情報を発生するような認証手段と、
    前記認証手段に応答して、前記通信先登録プロセスを実行すべきかどうか決定するための決定手段と、
    前記決定手段に応答して、前記通信先登録プロセスを実行するための通信先登録手段と、
    を備え
    前記移動ノードは、前記移動ノードのホームアドレスと前記移動ノードのケアオブアドレスとを関連付けることであるバインディングを維持するためのバインディング手段を更に備え、前記通信先登録プロセスが実行されるときに前記通信先ノードに前記バインディングが通知されることを特徴とする移動ノード。
  18. 前記認証手段は証明書に基づく認証プロトコルを含む、請求項17に記載の移動ノード。
  19. 前記認証手段は、認識情報を得るためのドメインネームシステムベースのプロトコルを含む、請求項17に記載の移動ノード。
  20. 前記決定手段は、セキュリティポリシーデータベースを備え、前記決定手段は、前記移動ノードのユーザに相談せずに、通信先登録手段をアクチベートできるかどうか前記セキュリティポリシーデータベースにより決定するように構成される、請求項17に記載の移動ノード。
  21. 前記決定手段は、更に、前記通信先登録プロセスを実行すべきかどうかの判断するようにユーザを促すためのユーザ対話手段を備えた、請求項20に記載の移動ノード。
  22. 前記ユーザ対話手段は、通信先ノードの高レベル識別子を含む認識情報をユーザに指示するように構成される、請求項21に記載の移動ノード。
  23. 前記セキュリティポリシーデータベースは、信用できる通信先ノードの識別子を含む、請求項20に記載の移動ノード。
  24. 前記セキュリティポリシーデータベースは、所与の識別子が信頼できる通信先ノード表わすかどうか決定するためのルールを含む、請求項20に記載の移動ノード。
  25. 通信システム内で通信先登録を実行するためのシステムにおいて、
    通信先登録プロセスを実行する必要があるときに指示を与えるためのインジケータ手段であって、前記通信先登録プロセスが実行される場合に移動ノードに関する位置関連情報が移動ノードの通信先ノードに通知されるようにするインジケータ手段と、
    前記通信先ノードを認証するための認証手段であって、前記インジケータ手段に応答して、前記通信先ノードに関する認識情報を発生するような認証手段と、
    前記認証手段に応答して、前記通信先登録プロセスを実行すべきかどうか決定するための決定手段と、
    前記決定手段に応答して、前記通信先登録プロセスを実行するための通信先登録手段と、
    を備え
    前記システムは、前記移動ノードのホームアドレスと前記移動ノードのケアオブアドレスとを関連付けることであるバインディングを維持するためのバインディング手段を更に備え、前記通信先登録プロセスが実行されるときに前記通信先ノードに前記バインディングが通知されることを特徴とするシステム。
  26. 前記認証手段は前記移動ノードに位置される、請求項25に記載のシステム。
  27. 前記認証手段は前記移動ノードのホームエージェントに位置される、請求項25に記載のシステム。
  28. 前記通信先登録手段は前記移動ノードのホームエージェントに位置される、請求項25に記載のシステム。
  29. 前記決定手段は前記移動ノードのホームエージェントに位置される、請求項27に記載のシステム。
JP2006525845A 2003-09-04 2004-09-03 通信システムにおける位置プライバシー Active JP4477003B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20031258A FI20031258A0 (fi) 2003-09-04 2003-09-04 Sijainnin yksityisyys viestintäjärjestelmässä
PCT/FI2004/000515 WO2005025174A1 (en) 2003-09-04 2004-09-03 Location privacy in a communication system

Publications (2)

Publication Number Publication Date
JP2007504763A JP2007504763A (ja) 2007-03-01
JP4477003B2 true JP4477003B2 (ja) 2010-06-09

Family

ID=27838931

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006525845A Active JP4477003B2 (ja) 2003-09-04 2004-09-03 通信システムにおける位置プライバシー

Country Status (8)

Country Link
US (1) US7426746B2 (ja)
EP (1) EP1661364B1 (ja)
JP (1) JP4477003B2 (ja)
CN (1) CN100558101C (ja)
AT (1) ATE401729T1 (ja)
DE (1) DE602004015123D1 (ja)
FI (1) FI20031258A0 (ja)
WO (1) WO2005025174A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
US7991854B2 (en) * 2004-03-19 2011-08-02 Microsoft Corporation Dynamic session maintenance for mobile computing devices
KR100636318B1 (ko) * 2004-09-07 2006-10-18 삼성전자주식회사 CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템
US8594323B2 (en) * 2004-09-21 2013-11-26 Rockstar Consortium Us Lp Method and apparatus for generating large numbers of encryption keys
WO2006102565A2 (en) * 2005-03-23 2006-09-28 Nortel Networks Limited Optimized derivation of handover keys in mobile ipv6
US7881468B2 (en) * 2005-04-08 2011-02-01 Telefonaktiebolaget L M Ericsson (Publ) Secret authentication key setup in mobile IPv6
US8185935B2 (en) * 2005-06-14 2012-05-22 Qualcomm Incorporated Method and apparatus for dynamic home address assignment by home agent in multiple network interworking
EP1739893A1 (en) * 2005-06-30 2007-01-03 Matsushita Electric Industrial Co., Ltd. Optimized reverse tunnelling for packet switched mobile communication systems
WO2007101628A1 (en) * 2006-03-08 2007-09-13 Matsushita Electric Industrial Co., Ltd. Mobile ipv6 optimised reverse tunnelling for multi-homed terminals
CN101005698B (zh) 2006-01-20 2010-07-07 华为技术有限公司 一种移动IPv6中路由优化的方法和系统
JP4990920B2 (ja) * 2006-03-08 2012-08-01 パナソニック株式会社 マルチホーム端末のためのモバイルIPv6の最適化リバース・トンネリング
US7881470B2 (en) * 2006-03-09 2011-02-01 Intel Corporation Network mobility security management
GB2436665A (en) * 2006-03-31 2007-10-03 Fujitsu Ltd Efficient call routing while roaming
EP2050244B1 (en) * 2006-08-09 2012-12-05 Telefonaktiebolaget LM Ericsson (publ) A method and apparatus for routing a packet in mobile ip system
US8312155B2 (en) * 2006-11-28 2012-11-13 Canon Kabushiki Kaisha Service publication restriction apparatus, method, and computer-readable storage medium
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
US20100119069A1 (en) * 2007-05-31 2010-05-13 Panasonic Corporation Network relay device, communication terminal, and encrypted communication method
CN101330498A (zh) * 2007-06-20 2008-12-24 朗迅科技公司 VoIP网络中的SIP端点配置
US7894420B2 (en) * 2007-07-12 2011-02-22 Intel Corporation Fast path packet destination mechanism for network mobility via secure PKI channel
US7747784B2 (en) * 2008-03-04 2010-06-29 Apple Inc. Data synchronization protocol
EP2337386A1 (en) * 2009-12-15 2011-06-22 Alcatel Lucent Method and system for routing data to a mobile node in a foreign network
CN102845125B (zh) * 2010-04-16 2016-06-22 交互数字专利控股公司 使用移动网际协议的单元间转移支持
WO2014032049A2 (en) 2012-08-24 2014-02-27 Environmental Systems Research Institute, Inc. Systems and methods for managing location data and providing a privacy framework
US11337177B2 (en) 2020-09-23 2022-05-17 Glowstik, Inc. System and method for generating amorphous dynamic display icons

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
EP1128597B1 (en) * 2000-02-22 2004-07-07 Telefonaktiebolaget LM Ericsson (publ) Method and arrangement in a communication network
US6915325B1 (en) * 2000-03-13 2005-07-05 Nortel Networks Ltd Method and program code for communicating with a mobile node through tunnels
GB2369530A (en) 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7349377B2 (en) 2001-11-09 2008-03-25 Nokia Corporation Method, system and system entities for providing location privacy in communication networks
US7286671B2 (en) * 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
US7023828B2 (en) * 2001-11-19 2006-04-04 Motorola, Inc. Method and apparatus for a mobile node to maintain location privacy from selected correspondent nodes

Also Published As

Publication number Publication date
ATE401729T1 (de) 2008-08-15
FI20031258A0 (fi) 2003-09-04
DE602004015123D1 (de) 2008-08-28
WO2005025174A1 (en) 2005-03-17
EP1661364A1 (en) 2006-05-31
CN1846423A (zh) 2006-10-11
US7426746B2 (en) 2008-09-16
EP1661364B1 (en) 2008-07-16
CN100558101C (zh) 2009-11-04
US20050055576A1 (en) 2005-03-10
JP2007504763A (ja) 2007-03-01

Similar Documents

Publication Publication Date Title
JP4477003B2 (ja) 通信システムにおける位置プライバシー
JP4913909B2 (ja) モバイルipネットワークにおけるルート最適化
US8549294B2 (en) Securing home agent to mobile node communication with HA-MN key
EP2168068B1 (en) Method and arrangement for certificate handling
JP4585002B2 (ja) 高速ネットワーク接続機構
US7636569B2 (en) Method of registering home address of a mobile node with a home agent
JP5102372B2 (ja) 通信ネットワークにおいて使用する方法および装置
JP2008537429A (ja) 対応ノードとセッション中にある移動ノードへの匿名性の提供
JP4944904B2 (ja) モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
Praptodiyono et al. Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey
Tschofenig et al. RSVP security properties
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
EP1562340A1 (en) Method and apparatus for establishing a temporary secure connection between a mobile network node and an access network node during a data transmission handover
Qiu et al. A pmipv6-based secured mobility scheme for 6lowpan
Mufti et al. Design and implementation of a secure mobile IP protocol
Qiu et al. A secure pmipv6-based group mobility scheme for 6l0wpan networks
Elshakankiry Securing home and correspondent registrations in mobile IPv6 networks
Allard et al. Security analysis and security optimizations for the context transfer protocol
Fonsell Security in IP mobility solutions
Liu et al. Local key exchange for mobile IPv6 local binding security association
WO2009067905A1 (fr) Procédé, système et dispositif pour prévenir une attaque hostile

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090309

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090609

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100310

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3