JP4564054B2 - Dhcp用サポート - Google Patents

Dhcp用サポート Download PDF

Info

Publication number
JP4564054B2
JP4564054B2 JP2007509417A JP2007509417A JP4564054B2 JP 4564054 B2 JP4564054 B2 JP 4564054B2 JP 2007509417 A JP2007509417 A JP 2007509417A JP 2007509417 A JP2007509417 A JP 2007509417A JP 4564054 B2 JP4564054 B2 JP 4564054B2
Authority
JP
Japan
Prior art keywords
dhcp
server
aaa
eap
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007509417A
Other languages
English (en)
Other versions
JP2007534267A (ja
Inventor
ジョンソン 王山
良司 加藤
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2007534267A publication Critical patent/JP2007534267A/ja
Application granted granted Critical
Publication of JP4564054B2 publication Critical patent/JP4564054B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • H04W8/065Registration at serving network Location Register, VLR or user mobility server involving selection of the user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明の技術分野
本発明は、一般的には、ネットワーク通信の分野に関するものであり、より詳しくは、DHCP(動的ホストコンフィグレーション(設定)プロトコル)用のAAA(認証、認可、課金(アカウンティング))サポートに関するものである。
本発明の背景
DHCPプロトコル(RFC2131)[1]は、インターネット及び、モバイルネットワークを含む同様のネットワーク上のホストへコンフィグレーションパラメータを提供するためのフレームワークを提供する。DHCPは、基本的には、クライアント−サーバモデルで構築される。このクライアント−サーバモデルでは、指定されたDHCPサーバホストがネットワークアドレスを割り当て、そのようなコンフィグレーションパラメータを、動的に構成されたDHCPクライアントに配信する。つまり、DHCPクライアントは、ネットワークアドレスのようなコンフィグレーションパラメータを取得するためにDHCPを使用するホストであり、また、DHCPサーバは、コンフィグレーションパラメータをDHCPクライアントへ返信するホストである。DHCPサーバは、通常は、システム管理者によって構成される。基本的なDHCPプロトコルは、アドレス割当用に3つのメカニズムをサポートしている。自動割当では、DCHPは、固定アドレスをDHCPクライアントへ割り当てる。動的割当では、アドレスは、期限が設定されてクライアントに割り当てられる(あるいは、クライアントがそのアドレスを解放するまで)。手動割当では、アドレスはネットワーク管理者によって割り当てられ、また、DHCPは単に割り当てられたアドレスをDHCPクライアントへ搬送するために使用される。DHCPを介してパラメータ(例えば、TCP/IPスタックパラメータ)を取得した後は、DHCPクライアントは、考慮されているネットワーク内の任意の他のホストとパケット交換することが可能とならなければならない。
RFC2131のDHCPプロトコルに従えば、DHCPコンフィグレーションを必要とするクライアント130は、DHCP DISCOVER(ディスカバー:探索)メッセージをブロードキャストする。DHCPサーバ群125は、DHCP OFFER(オファー:申出)を用いてそれぞれ応答することができ、このメッセージには、利用可能なネットワークアドレスと他のオプションのコンフィグレーションパラメータを含んでいる(図1)。クライアント130は、DHCPサーバ群125からDHCP OFFERメッセージを受信し、実際のDHCPコンフィグレーションに対して使用すべきDHCPサーバ群の1つを選択する。次に、クライアントは、選択したDHCPサーバを示すDHCP REQUESTメッセージをブロードキャストする。選択されたサーバは、コンフィグレーションをコミットし、最終的には、そのリクエストしているクライアントに対するコンフィグレーションパラメータを含むDHCP ACKメッセージで応答する。図1に示されるDHCPサーバディスカバーフェーズ(DHCP DISCOVER及びDHCP OFFER)は、DHCPコンフィグレーション用のサービスを行うことができるDHCPサーバ群のDHCPクライアントへ通知することが必要とされ、これは、かなり繁雑な処理である。
また、基本的なDHCPプロトコル(RFC2131)は、明確なセキュリティメカリズムを含んでおらず、また、一般的には、かなり不安定なものとされている。
DHCP認証拡張(RFC3118)[2]には、セキュリティを向上するために様々なDHCPメッセージをどのようにして認証するかを定義するDHCP認証プロトコルがある。残念なことに、DHCP認証拡張(RFC3118)は、ローミングするクライアントをサポートしておらず、また、DHCPクライアントとサーバに対する帯域外キーアグリーメントプロトコル(an out-of-band key agreement protocol)の欠如のために、広範囲に展開することができない。
今日までには、局所的な信頼関係を確立し、かつRFC3118とともに使用することができるキーを生成するために、EAPベースのネットワークアクセス認証メカニズムをどのように使用できるかについてのアウトラインが、IETFで提案されている。
例えば、文献[3]は、セッションキーを生成するEAP認証方法を利用することによって、DHCPクライアントがネットワークアクセスを獲得することを提案している。ネットワークアクセスプロセスの一部として、DHCPクライアントと認証エージェント(NAS;AAAクライアント)は互いの意図を通信して、DHCPセキュリティアソシエーション(SA)を生成し、かつ必要とされるパラメータ(例えば、ナンス(nonce)、キーID等)を交換する。必要とされる情報交換は、EAPも搬送するEAP下位レイヤによって取り扱われる。
このことに従って、文献[4]は、RFC3118をブートストラップ(bootstrap:起動)するために、PANA内で必要とされる追加のペイロードを提案している。この文献[4]は、PANA認証の成功後、DHCP SAがPANA SAに基づいて生成されることも提案している。
EAP下位レイヤが、RFC3118をブートストラップするために必要とされる情報交換をサポートできないことになる場合が存在する。例えば、EAP下位レイヤが、PPP、IEEE802.1XあるいはレガシーPANAプロトコルである場合である。必要とするEAP下位レイヤのサポートを必要とすることは、AAAクライアントがRFC3118ブートストラップの要件を理解しなければならず、また、DHCPクライアントとサーバ間で交換される内容を知っていなければならないことを意味する。
このように、動的ホストコンフィグレーションプロトコル(DHCP)サービスに対する潜在的なサポートを改善する必要が存在している。
本発明の要約
本発明は、従来技術の構成のこれらの欠点及び他の欠点を解消するものである。
本発明の一般的な目的は、DHCPコンフィグレーションを必要とするモバイルホストのようなDHCPクライアント用のDHCPサービスに対して改善されたサポートを提供することである。
このソリューションは、DHCPの配備を容易にするメカニズムを含んでいることが好ましい。
特に、DHCPサービスの認証及び認可に対して、合理化されていて、そしてなお耐性のあるソリューションを提供することが好ましい。
本発明の特別な目的は、DHCPサービスをサポートする方法及びシステムを提供することである。
本発明の更なる目的は、DHCPサービスの認証及び認可をサポートする固有のネットワークコンポーネントを提供することである。
これらの及び他の目的は、特許請求の範囲によって定義される本発明によって達成されるものである。
本発明の基本的な特徴は、DHCPクライアント用のDHCPサポートを「ブートストラップ(bootstrap)」するためのAAAインフラストラクチャに依存することである。この概念は、AAAインフラストラクチャを使用して、適切なDHCPサーバを、DHCPサービスに対するDHCPクライアントへ割り当て、かつその割り当てられたDHCPサーバを用いて、DHCPサービスに対するDHCPクライアントを認証及び認可するためのAAAインフラストラクチャを介して、DHCP関連情報を送信することである。
従来の繁雑なDHCPサーバディスカバリープロセスに代えて、AAAインフラストラクチャ、より詳しくは、適切なAAAサーバが、適切なDCHPサーバをDHCPクライアントへ割り当てるために使用される。その結果、DHCPディスカバリー関連メッセージのこれ以上の強制的な依存性はなくなる。この割当は、典型的には、クライアントホストから開始されるDHCPサーバ割当リクエストに応答する、あるいはネットワークから開始される(network-initiated)再割当で行われる。
また、割り当てられたDHCPサーバを用いて、DHCPサービスに対するDHCPクライアントの認証だけではなく認可が、必要なDHCP関連認証及び認可情報の送信用のAAAインフラストラクチャを使用することによってサポートされる。DHCPブートストラップは、通常、割り当てられたDHCPサーバとモバイルホスト間のセキュリティアソシエーションの確立に基づいていて、これは、クライアントホストの次のDHCPコンフィグレーションに関係する通信を安全にする。そのため、DHCP関連情報の送信には、DHCPサーバ割当情報(例えば、割り当てられたDHCPサーバのネットワークアドレス)とDHCPセキュリティ関連情報のDHCPクライアントへの送信を含んでいることが好ましい。
重要な状況の例では、DHCPクライアントは訪問先ネットワークをローミングするモバイルホストである。訪問先ネットワーク内のAAAサーバ、いわゆる、AAA訪問先ネットワークサーバ(AAAv)は、適切なDHCPサーバをクライアントへ割り当てることを担当することが好ましい。DHCPサーバ割当は、例えば、訪問先ネットワークオペレータによって決定されるいくつかのポリシーに基づいていても良い。
ホームネットワークあるいは他のネットワーク内に配置されるDHCPサーバを構成することが有益である場合が存在することも理解されるであろう。これには、例えば、訪問先ネットワークがDCHPサーバサポートを提供しない場合がある。DHCPサーバがモバイルホストのホームネットワークに配置される場合では、いわゆるAAAホームネットワークサーバ(AAAh)を、DHCPサーバ割当用の適切なAAAインフラストラクチャコンポーネントとして使用することが適切な場合がある。
事実、本発明を用いると、DHCPサーバの位置は、ホームネットワーク、訪問先ネットワークあるいは他のネットワークにさえも配置することができる。
AAAインフラストラクチャの信頼性は、DHCP認証及び認可サポートをブートストラップするための様々な可能性を提案する。例えば、DHCPクライアントが訪問先ネットワークをローミングするモバイルホストである場合、訪問先ドメインに対してトランスペアレントなエンドツーエンド処理において、認証プロトコルで、モバイルホストとAAAホームネットワークサーバ間をDCHP関連認証及び認可情報(好ましくは、同時に)を送信することはかなり有益であることが証明されている。これは、好ましくは、アクセスネットワークノードのようなノード、AAAクライアント及び訪問先ネットワーク内のAAAサーバ、更には、他の介在し得る中間AAAサーバの透過性(transparency)を含んでいる。このことは、訪問先ネットワークのAAAノードを単なるパススルーエージェントとすることを可能にする。これは、重要な効果である。また、モバイルホストとAAAh間で事前暗号化を適用することも可能である。これは、エアインタフェースを介する交換を不可視にすることができる。
認証プロトコルは、既存プロトコルあるいは新規なプロトコルに基づく、拡張された認証プロトコルであっても良い。DHCP認証及び認可をブートストラップするための基礎として使用することが可能な認証プロトコルには、拡張可能認証プロトコル(EAP)がある。これは、EAP拡張を生成するとともに、好ましくは、EAP下位レイヤ(群)をそのまま維持する。このことは、通常は、DCHP関連情報が追加データとして、例えば、EAPプロトコルスタックのEAPメソッドレイヤ内のEAP属性として、EAPプロトコルスタックに組み込まれることを意味する。あるいは、DCHP関連情報がEAPレイヤあるいはEAPメソッドレイヤ上の汎用コンテナで送信されることを意味する。
別の方法では、補完として使用する、あるいはEAP拡張の代替として使用することは、DHCPに適合されているDiameterアプリケーション、あるいはRadiusプロトコルに基づく対応アプリケーションのような、新規のあるいは拡張されたAAAフレームワークプロトコルアプリケーションを生成するようなEAP「下位レイヤ(群)」を拡張することになる。
DHCPサーバが訪問先ネットワークに配置される場合、新規のあるいは拡張されたEAP形式のプロトコルは、拡張されたAAAフレームワークプロトコルアプリケーションと組み合わせて使用されることが好ましい。あるいは、選択的には、拡張されたAAAフレームワークプロトコルアプリケーションは、EAP形式の拡張のサポートなしで使用される。
DHCPサーバがホームネットワークに配置される場合、例えば、新規のあるいは拡張された認証プロトコル、あるいは拡張されたAAAフレームワークプロトコルアプリケーションを使用することが可能である。
例えば、拡張されたEAPあるいはEAP形式プロトコルは、例えば、PANA(ネットワークアクセス用認証搬送プロトコル)、PPP(ポイントツーポイントプロトコル)、IEEE802.1X、あるいは、モバイルホストと訪問先ネットワーク内のAAAクライアント間のGPRS/UMTSインタフェースを介して搬送されても良い。また、拡張されたEAPあるいはEAP形式プロトコルは、AAAインフラストラクチャ内のDiameterあるいはRadiusによって搬送されても良い。
DHCP認証及び認可情報の両方を搬送するためのEAP拡張のような認証プロトコル拡張の類の、カスタマイズされた認証プロトコルに依存することは、合理化されたソリューションを提供する。このことは、後方互換性の問題を最小限にして管理可能であり、かつ的確である。
拡張認証プロトコルスタックあるいは拡張AAAフレームワークプロトコルアプリケーションに、HMIPv6関連情報あるいはMIPv6関連情報を含めることによって、AAAインフラストラクチャを介して、同一のラウンドトリップで、DHCP認証及び認可と、HMIPv6/MIPv6認証及び認可を同時に実行することが可能である。もちろん、特定の場合に特別に必要とするモバイルホストに依存して、例えば、DHCP/HMIPv6/MIPv6使用可能ネットワークを使用して、HMIPv6/MIPv6に対応するものなしで、DHCP認証及び認可のみを実行することが可能であり、その逆も可能である。これは、単一の拡張認証プロトコル及び拡張フレームワークプロトコルアプリケーションの少なくとも一方に、様々な使用状況で使用される場合の柔軟性を与えることを可能にする。
本発明は、以下の効果を提供する:
・AAAベースのDHCPサーバ割当
・DHCPサポートの効果的なブートストラップ
・DHCPサービスを認可するためのDHCP関連情報の効果的な送信
・EAP形式の拡張に基づくDHCP認証及び認可サポートについて合理化されたソリューション、これは、後方互換性の問題を最小限にして管理可能であり、かつ的確である
・共通の処理で、認証及び認可の最適化
・訪問先ネットワークに制限されないDHCPサーバ位置
・DHCPサーバをホームネットワーク内に配置することができる
・同一のラウンドトリップで、DHCP認証及び認可と、HMIPv6とMIPv6認証及び認可の同時実行
本発明によって提供される他の効果は、本発明の実施形態の以下の説明を読むことによって理解されるであろう。
本発明の実施形態の詳細説明
図面全体を通して、同一の参照文字は、対応する要素あるいはそれに類する要素に対して使用している。
基本的な概念は、AAAインフラストラクチャを使用して、DHCPサービスに対するDHCPクライアントに適切なDHCPサーバを割り当てることであり、また、その割り当てられたDHCPサーバを用いてDHCPサービスに対するDHCPクライアントを認証し、かつ認可するためのAAAインフラストラクチャを介してDHCP関連情報を送信することである。
従来より知られている、かなりより複雑なDHCPサーバディスカバリープロセスに代えて、AAAインストラクチャ、より詳しくは適切なAAAサーバあるいはそれと等価のAAAコンポーネントが、適切なDHCPサーバをDHCPクライアントに対して割り当てるために使用される。その結果、DHCPディスカバリー関連メッセージにおける依存性はもはや必須ではない。
例えば、DHCPクライアントをモバイルホストとすることができ、また、本発明は、ローミングするホストに対するサポートさえも提供する。モバイルホストが訪問先ネットワーク内でローミングしている場合、AAA訪問先ネットワークサーバ(AAAv)は、クライアントに適切なDHCPサーバを割り当てることを担当することが好ましい。DHCPサーバ割当は、例えば、訪問先ネットワークオペレータによって決定されるいくつかのポリシーに基づいても良い。DHCPサーバの選択は、例えば、利用可能なDHCPサーバ群の現在の負荷、モバイルホストの位置、モバイルホストによって与えられるプリファレンスの少なくともいずれかに基づくことができる。
しかしながら、ホームネットワークあるいは他のネットワークに配置されるDHCPサーバを持つことが有益な場合も存在する。これは、例えば、訪問先ネットワークがDHCPサーバサポートを提供しない場合である。このような場合は、DHCPサーバ割当用の適切なAAAインフラストラクチャとして、いわゆる、AAAホームネットワークサーバ(AAAh)を使用することが適切であるからである。
事実、本発明を用いると、DHCPサーバの位置を、ホームネットワーク、訪問先ネットワーク、あるいは他のネットワーク内さえにもすることができる。
AAA DHCPのブートストラップは、通常、セキュリティアソシエーションの確立、即ち、AAAインフラストラクチャを介する、割当られたDHCPサーバと認証されたDHCPクライアント(例えば、モバイルホスト)間のセキュリティ関係に基づいていて、これにより、クライアントのDHCPコンフィグレーション用に、そのDHCPサーバとクライアント間の通信を安全(セキュア)にする。DHCPセキュリティアソシエーション情報とDHCPサーバ割当情報は、DHCPコンフィグレーションサービスに対するDHCPクライアントを認可するためのAAAインフラストラクチャを介してDHCPクライアントへ送信される。本発明は、適切なDHCPサーバの割当を容易にすること、及びDHCP認証拡張(RFC3118)のブートストラップを容易にするDHCP関連情報を搬送することによってDHCPクライアントとサーバに対して帯域外キーアグリーメントプロトコルを提供することの少なくとも一方を行うために、AAAプロトコルサポートを提供することが好ましい。
以下の実施形態では、DCHPクライアントは、基本的には、モバイルホストあるいはモバイルノードによって示される。しかしながら、本発明はこれに限定されないことが理解されるべきである。
図2は、クライアントホストに対してDHCPサービスをサポートする方法の例を示すフロー図である。ステップS1では、モバイルDHCPクライアントホストは、典型的には、AAAインフラストラクチャを介するチャレンジ−応答(challenge-response)処理に基づいて、そのモバイルホストのホームネットワーク内のAAAサーバのような適切なネットワークコンポーネントによって認証される。ステップS2Aで示されるように、DHCPクライアントは、DHCPサーバ割当をリクエストすることができる。このリクエストは、必要とされるラウンドトリップ回数を削減するために、認証応答とともに、AAAインフラストラクチャを介して送信されることが好ましい。実際には、このことは、クライアントが最終的に認証される前に、クライアントで開始されるDHCPリクエストが実行されても良いことを意味する。別のクライアントで開始されるDHCPサーバ割当としては、DHCPサーバの割当は、ステップS2Bで示されるように、ネットワークによって開始されても良い。ステップS3では、AAAインフラストラクチャは、適切なDHCPサーバを、リクエストしているクライアントホストへ割り当てるために使用される。このAAAインフラストラクチャは、DHCPセキュリティアソシエーション情報を生成するためにも使用されることが好ましい。ステップS4では、AAAインフラストラクチャを介して、割り当てられたDHCPサーバにおける情報を含むDHCP認可情報とDHCPセキュリティアソシエーション情報をDHCPクライアントへ送信することによって、DHCPサービスに対して、DHCPクライアントが認可される。これは、DHCPクライアントが、割り当てられたDHCPサーバからネットワークアドレス(例えば、IPアドレス)と他のオプションのDHCPコンフィグレーションパラメータを安全に受信することに備えることを意味するものである。
用語「AAA」は、インターネットドラフト(草稿)、RFC及び他の標準化文献におけるそれ自身の汎用的な意味の範囲とされるべきである。典型的には、AAA(認証、認可、アカウンティング)インフラストラクチャの認証及びセキュリティキーアグリーメントは、DHCPクライアント(例えば、モバイルホスト)と、そのクライアントのホームネットワークオペレータあるいは信用機関との間で共有されるイニシャルシークレット(initial secret:初期秘密鍵)の存在を示唆する、対称暗号方法に基づいている。いくつかの状況及びアプリケーションでは、例えば、AAAインフラストラクチャのアカウンティング特性は、無効にされても良く、あるいは実現されなくても良い。統合AAAインフラストラクチャは、一般的には、ホームネットワーク、中間ネットワーク(存在する場合)及び訪問先ネットワークの少なくともいずれかに、1つ以上のAAAサーバを含んでいて、また、1つ以上のAAAクライアントを含んでいても良い。
一般的には、DiameterプロトコルのようなAAAプロトコルは、モバイルユーザに、ネットワーク内を移動して、ネットワーク内のサービスを取得することを正確に可能にする。ここで、このネットワークは、モバイルユーザ自身のホームサービスプロバイダによって所有されている必要はない。商用ネットワークで展開されるモバイルIPに対しては、このプロトコルに対するAAAサポートを持っているべきである。特殊な場合として、モバイルIPv6(MIPv6)に対しては、ホームオペレータによって管理されるネットワーク以外のネットワークでのMIPv6ローミングを可能にするDiameterへの新規のアプリケーションを説明するインターネットドラフト[5]が提案されている。2003年6月18日に出願された本出願人の米国仮特許出願60/479,156と、後述するインターネットドラフト[6]では、AAAインフラストラクチャに基づいてモバイルIPv6認可及びコンフィグレーションを実行するためのアーキテクチャ及び関連プロトコルが示唆されている。ホームプロバイダのAAAサーバと、MIPv6用のモバイルホスト間で必要な対話は、EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)を使用して実現され、これは、認証データとともにモバイルIPv6ネゴシエーション用の情報を搬送する。
図3は本発明の実施形態に従うDHCPサポート用の新規のアーキテクチャを示す図である。モバイルホスト130(モバイルノードMNとも参照する)の形式でのDHCPクライアントは訪問先ネットワークでローミングしていて、また、DHCP認証及び認可は、訪問先ネットワークとモバイルホストのホームネットワークとをリンクしているAAAインフラストラクチャを使用することによって実行される。この例では、AAAインフラストラクチャは、基本的には、AAAホームネットワークサーバ110、AAA訪問先ネットワークサーバ120及び訪問先ネットワーク内のAAAクライアント122を含んでいる。
好ましくは、AAA訪問先ネットワークサーバ(AAAv)120は、適切なDHCPサーバの割当用の適切なAAAインフラストラクチャコンポーネントして使用され、これは、DHCPサーバの選択においては、訪問先オペレータのポリシーを考慮する。
AAAインフラストラクチャのメインコンポーネントはAAAサーバ110であり、これは、好ましくは、DHCPサーバ割当用のリクエストをモバイルDHCPクライアントからAAAvサーバ120へ転送し、また、所与のモバイルDHCPクライアントホスト130と割り当てられたDHCPサーバ125間の即時あるいは将来のセキュリティアソシエーション用のセキュリティキーあるいは同様の信用証明を生成する。このセキュリティキーは、典型的には、AAAv120を介してAAAh100からDHCPサーバ125へ転送され、また、DHCPサーバ125は、好ましくは、AAAv120を介してAAAh100とのDHCPセキュリティアソシエーションを成立させるための情報で応答する。そして、AAAhサーバ110は、DHCPサーバアドレスを含む、生成されかつ収集されたDHCP認可情報とDHCP SA情報をAAAインフラストラクチャを介してモバイルホスト130へ送信する。ここで、AAAインフラストラクチャのセキュアトンネルあるいは、暗号化及びソース完全性保護のような他のセキュリティ対策は、セキュリティキー(群)のような機密情報の転送用に採用される。
AAAインフラストラクチャにおける信頼性は、DHCP認証及び認可サポートをブートストラップするための様々な可能性を提案する。例えば、図3に示されるように、新規に拡張された認証プロトコルを提供すること、AAAインフラストラクチャを介して搬送される既存の認証プロトコルへの拡張を提供すること、及びDHCP認可情報を含むDHCP関連情報を搬送するためにAAAフレームワークプロトコルアプリケーションを拡張することの少なくともいずれかを行うことを可能にする。好ましくは、必要とされる認証及び認可情報は、同一のラウンドトリップで同時に送信される。
DHCPクライアントが訪問先ネットワークでローミングするモバイルホストである場合、例えば、DHCP関連認証及び認可情報は、訪問先ドメインに対してトランスペアレントなエンドツーエンド処理で、認証プロトコル内のモバイルホストとAAAホームネットワークサーバ間を送信されても良い。これは、訪問先ネットワークのAAAノードに単なるパススルーエージェントとして動作することを可能にする。これは、重要な利点である。
好ましくは、DHCP用に適合されている拡張EAP(拡張可能認証プロトコル)のような拡張認証プロトコルは、AAAhサーバと、AAAvサーバを介する訪問先ネットワークDHCPサーバ間のインタフェース用に、DHCP DiameterあるいはRadiusアプリケーションのような拡張AAAフレームワークプロトコルアプリケーションとともに利用される。
例えば、拡張認証プロトコルは、PANA(ネットワークアクセス認証搬送用プロトコル)、PPP(ポイント−ツー−ポイント(point-to-point)プロトコル)、IEEE802.1X、あるいはGPRS/UMTSのインタフェースによって、モバイルホストと訪問先ネットワークのAAAクライアント間で搬送されても良く、また、AAAインフラストラクチャ内のDiameterあるいは同様のAAAフレームワーク、あるいは搬送プロトコルによって搬送されても良い。
選択的には、新規のあるいは拡張DiameterあるいはRadiusアプリケーションのような、拡張AAAフレームワークプロトコルアプリケーションが、任意のEAPあるいはEAP形式の拡張のサポートなしに使用される。モバイルホストとAAAクライアント間の経路に対しては、DiameterあるいはRadiusアプリケーションは、例えば、ICMP(インターネット制御メッセージプロトコル)によって搬送することができる。
MIPv6用に、MN130は、オプションのホームエージェント(HA)150に関連付けられていても良い。また、HMIPv6用に、MN130は、オプションのモビリティアンカーポイント(不図示)に関連付けられていても良い。
ホームネットワークあるいは他のネットワーク内に配置されているDHCPサーバを持つことが有益な場合も存在することが認識される。これは、例えば、訪問先ネットワークがDHCPサーバのサポートを提供しない場合である。ホームネットワーク内に配置されている割り当てられたDHCPサーバを用いてDHCPをサポートするためのアーキテクチャの例を、図4に示す。
DHCPサーバ割当用のAAAホームネットワークサーバ(AAAh)110を使用することは有益である。好ましくは、AAAホームネットワークサーバ(AAAh)110は、モバイルホストと割り当てられたDHCPサーバ125間のセキュリティアソシエーション用のセキュリティキー、あるいは同様のセキュリティパラメータあるいは信用証明書を生成し、また、そのセキュリティキーをDHCPサーバ125を送信する。DHCPサーバ125は、セキュリティアソシエーションを成立させるための情報でAAAh110に応答し、AAAh110は、次に、DHCPサーバアドレスを含むDHCP認可情報とDHCP SA情報を、AAAインフラストラクチャを介してモバイルホスト130へ送信する。
DHCPサーバ125はホームネットワークに配置されていて、また、DHCP用に適合されている拡張EAP(拡張可能認証プロトコル)のような拡張認証プロトコルが採用される場合、AAAv120はDHCPトランザクションを監視する必要はなく、また、(MNとAAAh間だけでない)DHCP認証及び認可用の完全な「エンドツーエンド処理」を持つことが可能である。
選択的には、DHCP DiameterあるいはRadiusアプリケーションのような拡張フレームワークプロトコルアプリケーションを利用することができる。
理解されるべきことは、本発明は、DHCPサーバ125が訪問先ネットワーク内に配置されていなければならないという従来技術の制約を解消していることである。ここで、DHCPサーバの位置は、ホームネットワーク、訪問先ネットワークあるいは他のネットワークでさえにも配置することができる。
DHCPサーバの再割当は、以下の例の場合の間に発生する可能性がある。
・DHCPクライアント(MN)とDHCPサーバ間のセキュリティキーの満了、この場合に対しては、MNは、DHCP再認証/認可を開始しても良く、また、ネットワークは、例えば、MNの現在のトポロジー的な位置に基づいてより適切となる異なるDHCPを割り当てても良い。
・モバイルDHCPクライアントのリクエスト(MNからの開始)で、この場合に対しては、MNはDCHPサーバの再割当をリクエストするDHCP再認証/認可を開始する。
・ネットワーク(ネットワークからの開始)のリクエストで、この場合に対しては、AAAhあるいはAAAvは、DHCPサーバの再割当を開始することができ、また、必要が発生する場合、例えば、MNは、新規のDHCPサーバによってより良好にカバーされるアクセスルータ(AR)へMNが移動する場合に、これをMNへ「プッシュ」する。
図3及び図4を再度参照すると、セグメントAAAクライアント−AAAh、AAAh−(AAAv)−DHCPサーバ間の異なるプロトコルの取り得る組み合わせの例を以下にまとめる。
Figure 0004564054
組み合わせ(iii)は、特に、DHCPサーバがホームネットワークに配置されている場合に適用可能である。DHCPサーバが訪問先ネットワークに配置されている場合、AAAvは、訪問先ネットワークポリシーに基づいて、DHCPサーバの選択に関与しても良い。
EAPのような拡張認証プロトコルに対しては、DHCP関連認証及び認可情報は、同一のEAPラウンドトリップで同時に送信されることが好ましい。
別の状況では、図5に示されるように、モバイルDHCPクライアント130は実際にホームネットワークに配置されていて、また、AAAhサーバ110のようなホームネットワークのAAAインフラストラクチャコンポーネントは、ホームネットワーク内のDHCPサーバ125でのDHCPサービスに対して必要なサポートを提供する。これは、拡張認証DHCPプロトコル及びAAA DHCPアプリケーションの少なくとも一方の関連部分のみが、必要な認証及び認可情報の交換に対して使用されなければならないことを意味する。
図6は、本発明の実施形態に従うAAAホームネットワークサーバのブロック図である。この例では、AAAhサーバ110は、基本的には、オプションのDHCPサーバ割当モジュール111、DHCPセキュリティアソシエーションモジュール112、DHCP認可情報マネージャ113及び入力−出力(I/O)インタフェース114を備えている。ホームネットワーク内に存在する場合のDHCPサーバに対しては、AAAhサーバ110は、DHCPサーバ割当モジュール111を含み、これは、モバイルホストへの適切なDHCPサーバの割当及び再割当の少なくとも一方を行うために動作可能である。訪問先ネットワークに存在する場合のDHCPサーバに対しては、AAAhサーバ110は、典型的には、自身のI/Oインタフェース114で、AAAvから必要なDHCPサーバ割当情報を受信する。AAAhサーバは、典型的には、モバイルホストからキーシード(key seed:キーの種)あるいはナンス(nonce)も受信する。選択的には、AAAhサーバは、キーシード自身を生成し、それをモバイルホストへ送信する。DHCPセキュリティアソシエーションモジュール112は、そのキーシードに応じて、必要なセキュリティキーを生成することが好ましく、また、このセキュリティキーを安全にしてDHCPサーバへ送信する(ホームネットワーク内のDHCPサーバに直接送信する、あるいはAAAvサーバを介して訪問先ネットワーク内のDHCPサーバに送信する)。AAAvサーバ110は、認可情報情報マネージャ113に関連する認可情報を記憶する。AAAhサーバは、DHCPセキュリティアソシエーションを成立させるために、IPSec情報のような情報を、DHCPサーバから受信することもできる。そして、収集されたDHCP認可情報は、AAAインフラストラクチャを介してモバイルホストへ送信される。
AAAhサーバは、ホームアドレス割当及びホームエージェント(HA)割当の少なくとも一方を担当しても良い(ホームアドレスがMN自身によって構成されてない限り)。
本発明をより理解するために、DHCP用の拡張認証プロトコル及びDHCP用に適合されているAAAフレームワークプロトコルアプリケーションの詳細例を説明する。
DHCP用の拡張認証プロトコル
本実施形態では、DHCP用の拡張認証プロトコル、本明細書では、新規のあるいは拡張EAP認証プロトコルによって例示される(「DHCP認証方法」あるいは「EAP/DHCP」と称する)プロトコルでは、例えば、DHCP認証拡張(RFC3118)、即ち、DHCP SAリクエスト、キー生成ナンス、キーID及びその類をブートストラップすることを容易にするDHCP関連情報を搬送することが定義されている。EAP/DHCPは、必要なDHCPサーバIPアドレスをDHCPクライアントへトランスポートすることによって、ホームネットアwークあるいは訪問先ネットワークの一方に配置することができる適切なDHCPサーバの割当を容易にすることもできる。
EAPあるいはEAPのようなプロトコルを使用することで、AAAクライアント(及び訪問先ネットワークのAAAv及び他のネットワークコンポーネント)に、RFC3118処理を不可知にすることを可能にし(即ち、これは、訪問先ネットワークのRFC3118サポートについての依存性をなくす)、また、単なるパススルーエージェント(群)として動作することを可能にする。このことは、EAPのようなトランスペアレントなエンドツーエンドプロトコルの使用についての主要な利点の1つである。
上述したように、EAP/DHCPは、例えば、PANA、PPP、ICMP、IEEE802.1X、あるいはGPRS/UMTSのインタフェースによって、モバイルホスト(MN)と訪問先ネットワークのAAAクライアント間で搬送されても良い。但し、PANAは、いくつかの場合には、他の搬送プロトコルであっても良い。この他の搬送プロトコルとは、MNとAAAクライアント間でEAP/DHCPを搬送するために使用することができるPPP[7]及びIEEE802.1X[8]のような、下位レイヤ順序付け保証におけるEAP要件を満足するものである。特に、3GPP2 CDMA2000の場合に対しては、プロトコルフィールド値にEAP[7]用にC227(16進数)が設定されているPPPデータリンクレイヤプロトコルカプセル化を使用して、MNとAAAクライアント間をEAP/DHCPを搬送することができる。
本実施形態は、AAAクライアントとAAAhサーバ間の下位レイヤ通信に対しては、Diameter、Radiusあるいは同様のAAAフレームワークあるいは搬送プロトコルを使用する。例えば、AAAクライアント向け及びAAAインフラストラクチャ内を越えて、Diameter EAPアプリケーション[9]を、Diameter内、即ち、PAA/AAAクライアントとAAAh間でのEAP/DHCPのカプセル化を行うために使用することができる。Diameterプロトコルは、PANAセキュリティ用のセキュリティキーのPAA/AAAクライアントへの配信、及びオプションのQoSパラメータのシグナリング(信号送受信)のために、AAAhで使用されても良い。
Diameterが好ましい選択であるとしても、時には、当業者の自明な範囲で、Radiusのような別のAAAプロトコルを使用することが適切な場合もあることに注意すべきである。
EAP/DHCPプロトコルの詳細例
以下では、EAP/DHCPプロトコルの詳細例を、概念の全体フローと実行可能性の例を示すために提供する。
EAP TLV属性
第1の実現例では、新規のEAPタイプ長値(TLV)あるいは同様の属性のセットが定義されることが好ましく、これは、DHCP認証拡張(RFC3119)のブートストラップを容易にする情報、即ち、DHCP SAリクエスト、キー生成ナンス、キーID等を搬送し、また、適切なDHCPサーバの割当(DHCPサーバIPアドレス)を容易にする情報を搬送する。
別の認証スキームを、EAP/DHCPに対して利用することも可能である。本実施形態では、本発明は、MD−5チャレンジ認証を介する実装を提案しているが、他のスキームも本発明の範囲に含まれる。
1つ以上の以下に例示するEAP−TLV属性を、DHCP目的用に定義することもできる。
・DHCP Server Address Request EAP-TLV属性:
これは、認証が成功した場合に、MNに対し動的に割り当てられるDHCPサーバのアドレス用のリクエストを示している。これは、認証され、与えられるDHCPサービスをMNがリクエストする場合に、MNによってAAAhへ典型的にはリクエストされる。
DHCPサーバ割当リクエストは、選択的には、他のDHCPリクエストに潜在していても良い。
・DHCP Server Address Response EAP-TLV属性:
これは、認証されたMNに対し、動的に割り当てられるDHCPサーバのアドレスを示している。これは、MNが認証され、かつDHCPサーバが動的に割り当てられている場合に、AAAhからMNへ通知される。
・DHCP Server-MN (Pre-shared) Key Generation Nonce EAP-TLV属性:
これは、DHCPサーバとMN間の事前共有キーを生成するためのシードとする、MNによってランダムに生成されるオクテットストリングを示している。MNは、このナンス(nonce)と、MNとAAAh間の共有キーの組み合わせにおいて、適切なハッシュアルゴリズムを使用することによって、内部的に、DHCPサーバ−MN(事前共有)キーを生成することができる。この属性は、有効なDHCPサーバ−MN(事前共有)キーが既に存在している場合のオプションである。
・DHCP Server-MN (Pre-shared Key) EAP-TLV属性:
これは、DHCPサーバとMN間で動的に生成される(事前共有)キーを示している。これは、典型的には、AAAhからDHCPサーバへ通知される。AAAhは、DHCP Server-MN (Pre-shared) Key Generation Nonce EAP-TLV属性によって与えられるナンスと、MNとAAAh間の共有キーの組み合わせにおいて、適切なハッシュアルゴリズムを使用することによって、内部的に、DHCPサーバ−MN(事前共有)キーを生成することができる。この属性は、有効なDHCPサーバ−MN事前共有キーが既に存在している場合のオプションである。
・DHCP Server IKE KeyID EAP-TLV属性:
これは、[10]で定義されるIDペイロードを示している。KeyIDは、AAAhによって生成され、そして、認証が成功しているMNに送信される。KeyIDは、いくつかのオクテットを含み、これは、どのようにしてAAAhから、DHCPサーバ−MN事前共有キーを検索(あるいは生成)するかについてを、DHCPサーバへ通知する。この属性は、オプションであり、かつ、MNがDHCPサーバ−MN事前共有キー生成ナンス(DHCP Server-MN pre-shared key generation nonce)を提示しない場合、即ち、有効なDHCPサーバ−MN事前共有キーが既に存在している場合には、通常必要とされない。これは、DHCPサーバ−MN事前共有キーがAAAhによってDHCPサーバに搬送される場合にも必要とされない。
・DHCP Server-MN IPSec SPI EAP-TLV属性:
これは、DHCPサーバとMN間のIPSecに対するセキュリティパラメータインデックス(Security Parameter Index)を示している。これは、DHCPサーバによって生成され、かつ、DHCPサーバ−MN事前共有キーがAAAhによってDHCPサーバに搬送される場合にMNに通知されることが好ましい。この属性は、オプションであり、かつ、MNがDHCPサーバ−MN事前共有キー生成ナンス(DHCP Server-MN pre-shared key generation nonce)を提示しない場合、即ち、有効なDHCPサーバ−MN事前共有キーが既に存在している場合には、通常必要とされない。
・DHCP Server-MN IPSec Protocol EAP-TLV属性:
これは、DHCPサーバとMN間のIPSecプロトコル(例えば、ESPあるいはAH)を示している。これは、DHCPサーバ−MN(事前共有)キーがAAAhによってDHCPサーバに搬送される場合にMNに通知される。この属性は、オプションであり、かつ、MNがDHCPサーバ−MN事前共有キー生成ナンス(DHCP Server-MN pre-shared key generation nonce)を提示しない場合、即ち、有効なDHCPサーバ−MN事前共有キーが既に存在している場合には、通常必要とされない。
・DHCP Server-MN IPSec Crypto EAP-TLV属性:
これは、DHCPサーバとMN間のIPSecに対する暗号アルゴリズムを示している。これは、DHCPサーバ−MN(事前共有)キーがAAAhによってDHCPサーバに搬送される場合にMNに通知される。この属性は、オプションであり、かつ、MNがDHCPサーバ−MN事前共有キー生成ナンス(DHCP Server pre-shared key generation nonce)を提示しない場合、即ち、有効なDHCPサーバ−MN事前共有キーが既に存在している場合には、通常必要とされない。
・DHCP Server-MN IPSec Key Lifetime EAP-TLV属性:
これは、DHCPサーバとMN間のIPSecに対するキー期限を示している。これは、DHCPサーバ−MN(事前共有)キーがAAAhによってDHCPサーバに搬送される場合にMNに通知される。この属性は、オプションであり、かつ、MNがDHCPサーバ−MN事前共有キー生成ナンス(DHCP Server-MN pre-shared key generation nonce)を提示しない場合、即ち、有効なDHCPサーバ−MN事前共有キーが既に存在している場合には、通常必要とされない。
以下のEAP−TLV属性は、モバイルDHCPクライアント(MN)の認証に対して定義されても良い。
・MD5 Challenge EAP-TLV属性:
これは、AAAhによってランダムに生成され、かつMD5チャレンジ(Challenge)に対するMNへ送信されるオクテットストリングを示している。
・MD5 Response EAP-TLV属性:
これは、AAAhとMN間の共有シークレットキーを用いるMD5ハッシュ関数の結果として生成されるオクテットストリングを示している。
最後に、以下のオプションのEAP−TLV属性は、PANAセキュリティに対するPACとPAA間でのセキュリティキーの配信に対して定義されても良い。
・PAC-PAA Pre-shared Key Generation Nonce EAP-TLV属性:
これは、PAC−PAA間の事前共有キーを生成するためのシードとする、MN/PACによってランダムに生成されるオクテットストリングを示している。MN/PACは、このナンス(nonce)と、MNとAAAh間の共有キーの組み合わせにおいて、適切なハッシュアルゴリズムを使用することによって、内部的に、PAC−PAA事前共有キーを生成することができる。この属性は、PANAセキュリティに対して必要とされる。
選択的には、AAAhサーバは、MN−DHCPサーバセキュリティキーを生成するだけでなく、DHCPセキュリティアソシエーションを成立させるために必要とされる情報を生成するように構成されても良い。
セッションセットアップ時間遅延を短縮するためにDHCPとHMIPv6/MIPv6との両方の認証及び認可を同時に実行したい場合には、いくつかのEAP方法から関連するTLV群を単に組み合わせることによって、例えば、EAP/DHCPと、いわゆるEAP/HMIPv6及びEAP/MIPv6の少なくとも一方とを、単一のEAPセッション(即ち、EAP/DHCP+HMIPv6/MIPv6)にマージすることも可能となる。EAP/HMIPv6は、EAP認証プロトコルである。これは、MAP(モビリティアンカーポイント)の探索、DHCPサーバの動的割当、RCoAの動的割当、MNとMAP間のセキュリティキーの配信及びHMIPv6モビリティ処理の取り得るピギーバック(piggyback)の少なくともいずれかを容易にするHMIpv6関連情報を搬送する。Diameter EAPアプリケーションのような適切なEAPキャリヤは、AAAインフラストラクチャ内にEAP/DHCPをトランスポートすることができる。これに対して、EAP/MIPv6はEAP認証プロトコルであり、これは、MIPv6認証及び認可情報を含むMIPv6関連情報を搬送する。
文献[15]は、EAP認証フェーズを記載していて、これは、EAPピア(例えば、モバイルクライアント)からセッションパラメータに対する認証をリクエストすることをEAPサーバに可能にするために、EAPフレームワーク内のEAP認証フェーズの後につながれる。[15]で示唆されるアプローチは、DHCP、MIPv6及びHMIPv6の少なくともいずれかに対して想定されている状況とは完全に逆である。これは、EAPサーバは、EAPピア(同位)からの認証を問い合わせるものの1つであるからである。ピア側からのEAPサーバの認証は、例えば、サービスに対する課金を行うために、ネットワーク側がユーザによる認証(ユーザの承認)を必要とする場合の課金目的用に使用することができる。これに対して、DHCP、MIPv6及びHMIPv6では、クライアントは、DHCP、MIPv6及びHMIPv6サービスの少なくともいずれかを使用することを可能にするための認証をネットワーク側へ要求する。
EAP Generic Container Attribute(EAP GCA)(EAP汎用コンテナ属性)
別のEAPの実現では、EAPは、新規のいわゆるEAPメソッド(EAP method)を生成することなく、DHCP関連情報(オプションとしては、HMIPv6/MIPv6情報)のキャリヤとして使用される。これは、EAPメソッドとともに使用することができる汎用コンテナEAP属性で情報を搬送することによるものではない。
この例の実現では、アクセスネットワークでAAAサポートを構築する、EAPは、汎用コンテナ属性で増やされる(augmented)。この汎用コンテナ属性は、任意の(当然のことのように、非EAP関連)データ、例えば、DHCP専用データと、オプションのHMIPv6/MIPv6専用データ(MIPv6のブートストラップも要求される場合)を搬送するために使用することができる。これは、MNとAAAhに、アクセスネットワークを含む訪問先ドメインに対してトランスペアレントとなる方法で、AAAクライアントとAAAvと通信することを可能にする。EAPは、AAAプロトコルで、AAAクライアントとAAAh間で搬送されることが好ましい。このAAAプロトコルは、例えば、Diameter EAPアプリケーションあるいはRadius[11]、[12]がある。
この新規の属性は、すべてのEAPメソッドに対して利用可能であるとすべきことが好ましく、また、EAP成功/失敗メッセージを含む任意のEAPメッセージに含めることができる。このソリューションでは、新規の汎用コンテナ属性は、MNとAAAh間で、DHCP専用データを搬送するために使用される。このソリューションは、DiameterあるいはRadiusアプリケーションを含んでいても良く、これらは、AAAhとHA間で、AAAとそれに関連するデータの交換のために使用される。
以下では、汎用コンテナ属性(GCA)の実現可能な実装について、現存のEAPプロトコル[13]に関して説明する。上述のように、汎用コンテナ属性は、あらゆる方法で利用可能とすべきことが好ましく、また、EAP成功/失敗メッセージを含む任意のEAPメッセージに含めることを可能とすべきである。これは、EAPメソッドレイヤ[13]ではなく、EAPレイヤの一部とすべきであることを意味する。考慮するための重要な問題は、後方互換性1である。与えられる例でのGCAの使用は、新規の属性が後方互換性のある方法でEAPに導入され、かつEAP認証器に対してトランスペアレントであると想定する。これらの特性を伴うGCAの導入は、以下に説明するように、いくつかの特別な配慮を必要とする場合がある。
例えば、GCAのフォーマットは、GCA受信インジケータとGCAペイロードに続く2バイトのGCAレングス(length:長)インジケータとすることができる。GCA受信インジケータは、どの内部エンティティへ、受信GCAのペイロードをEAPモジュールが送信するべきかについてを示す(即ち、このインジケータは、IPヘッダ内のプロトコル/ネクストヘッダフィールド、あるいはUDP及びTCPヘッダ内のポート番号に対応する)。GCAペイロードは、EAPレイヤによって解釈されないデータの汎用部分(generic chunk)となる。GCAの不在は、ゼロに設定されるGCAレングスインジケータによって示されることが好ましい。
後方互換性を提供するために、パススルー(pass-through)EAP認証器に対してトランスペアレントとなる方法で、GCAをEAPパケットに含ませるべきことが好ましい。パススルーEAP認証器は、EAP認証器(NAS内に存在し、典型的には、WLAN APあるいはアクセスルータ)であり、これは、MNとバックエンドEAP認証サーバ(AAAサーバ)間の(ほとんどの)EAPパケットを中継する。[13]では、EAP認証器のパススルー動作は、EAPレイヤヘッダ、即ち、EAPパケットの最初にある、コード(Code)、識別子(Identifier)及び長(レングス(Length))フィールドに基づいてEAPパケットを中継することであると説明している。これは、要求される透過性(トランスペアレンシー)(かつ、ここでは後方互換性)が、GCAがEAPレイヤヘッダ(即ち、コード(Code)、識別子(Identifier)及び長(レングス(Length))フィールド)の後に配置される場合に、場合によって達成できることを意味している。
しかしながら、AAAルーティングに対して必要とされるNAIが抽出されるEAPアイデンティティ応答パケットを識別するために、EAP認証器は、通常は、EAP応答パケットのタイプ(Type)フィールド(EAPレイヤヘッダの後に続く)のチェックもしなければならない。EAP認証器がEAPアイデンティティ応答パケットを識別する場合、これは、タイプフィールドに続くタイプ−データ(Type-Data)フィールドからNAIを抽出する。ここで、EAPレイヤヘッダの直後にGCAを配置することは(EAP認証器に対してトランスペアレントとなる方法で)、EAPリクエストパケットについてのみ可能である。それゆえ、通常は、タイプフィールドの後、あるいは(可能であれば、NULLで終了されている)タイプデータフィールドの後にGCAを配置することが好ましい。
タイプフィールドの直後にGCAを配置することは、EAPアイデンティティ応答パケットではなく、すべてのEAP応答パケット内でGCAの使用を可能とする。EAPアイデンティティ応答パケット内でのGCAの使用は禁止されている、これは、これらのパケットから、EAP認証器がタイプ−データフィールドからNAIを抽出する必要があるからであり、これは、元来のEAP認証器がタイプフィールドの直後で検出することを予定しているからである。これは、EAPが通常数回以上のラウンドトリップを持っていることを考慮するGCAの使用の制約となり得る。場合によっては、他のEAPパケット内のタイプフィールドの後にその位置を保持しながら、GCAは、EAPアイデンティティ応答パケット内のNULLで終了されているタイプデータフィールドの後に配置することができる。
すべてのEAPパケットで一貫して使用することができるGCAの位置を用いることが通常望ましいとされている。上述の説明からは、後方互換性がある方法でGCAをすべてのEAPパケットに配置することができる位置は、多かれ少なかれトレーラー(trailer)とするパケットの最後であると思われる。しかしながら、このGCA位置は、EAPレイヤヘッダ内のレングスフィールドに依存するが、タイプ−データパラメータ(群)に対する明確なレングスインジケータを持っていないという、問題がこれらのEAPパケットに対して生じる可能性がある。これらのパケットでは、タイプ−データフィールドからGCAを区別することができないことになる。
この問題を解決するために、GCAレングスインジケータ、GCA受信インジケータ及びGCAペイロードの順序は、GCAレングスインジケータが最後に現れるように入れ換えられるべきである。つまり、EAPパケットの最後にGCAを配置する場合には、EAPパケットの最後の2つのオクテット(この長さは、EAPレイヤヘッダ内のレングスフィールドによって示される)は、常に、GCAレングスインジケータとなる。GCAレングスインジケータがゼロでない限り、GCA受信インジケータは、GCAレングスインジケータの前に存在し、GCAペイロード(このサイズは、GCAレングスインジケータから判定される)は、GCA受信インジケータの前に配置されることになる。この原理を通じて、EAPパケット内のGCAを識別し、かつタイプ−データフィールドからGCAを区別することが常に可能となる。それでもなお、GCAの使用は、パススルーEAP認証器に対してトランスペアレントとなる。
典型的には、GCAソリューションを用いる後方互換性は、更に、EAP認証器が、EAPリクエスト/応答パケット(EAPレイヤヘッダとNAI以外)から情報を抽出することを試行しないこと、かつ成功/失敗パケット内のレングスフィールドが4より大きい値を示すことを受け入れることを必要とする。
後方互換性の問題に対応する別の方法は、MNがGCAをサポートしているかどうかを判定するために、EAP GCAテストリクエスト/応答パケット(即ち、タイプフィールドの新規に定義される値を持つ新規のEAPパケット)を使用することである。
最初のEAPアイデンティティリクエスト/応答パケット交換の前後で、GCAをサポートするEAP認証器は、EAP GCAテストリクエストパケット(即ち、専用タイプ値を有するEAPリクエストパケット)をMNへ送信する([14]のEAP同位状態マシーン(peer state machine)は、2つの別々の送信回数が可能であることを示している)。MNがGCAをサポートしている場合、これは、EAP GCAテスト応答パケットで応答する。そうでない場合、MNは、EAP GCAテストリクエストパケットを、未知のEAPメソッドを使用するためのリクエストと解釈するので、MNは、EAP Nak パケットで応答する。MNからの応答からは、EAP認証器は、MNがGCAをサポートしているかどうかを判定することができる。
GCAをサポートするMNは、EAP GCAテストリクエストパケットの存在あるいは不在によって、EAP認証器がGCAをサポートしているかを判定することができる。EAP GCAテストリクエストパケットが受信される場合(即ち、EAP アイデンティティリクエスト/応答交換の前後)が予想される場合に、EAP認証器はGCAをサポートする。そうでない場合は、EAP認証器はGCAをサポートしない。
MNとEAP認証器の両方がGCAをサポートしている場合、これは、すべての次のEAPパケット内のEAPレイヤヘッダの後に(GCAコンポーネントの本来の順序で)配置される。そうでない場合、GCAは、後方互換性のある方法(上述のように)で含ませることを可能にするEAPパケットにいまだなお含められる。
後方互換性の問題を扱う上述の別の方法には、いくつかの制限がある。1つには、あるMN−EAP認証器のラウンドトリップが無駄になる。また、最初のEAPアイデンティティリクエスト/応答パケット交換の後に、EAP GCAテストリクエスト/応答パケットが交換される場合、GCAは、EAPアイデンティティ応答パケット内で使用することはできない。この実施形態は、EAP認証器(おそらくはNAS)がEAPの修正版、例えば、EAPv2を使用することも必要とする可能性がある。
従って、他の方法では可能であるが、EAPパケット内にGCAを配置する好適な方法は、典型的には、GCAペイロード及びGCA受信インジケータの後に続いてGCAレングスインジケータを有するパケットの最後を、トレーラーとすることである。
EAPラウンドトリップの回数がGCA内で交換されるデータに対して十分でない場合には、AAAhは、GCAの搬送目的のために、EAP通知リクエスト/応答交換を介する、EAPラウンドトリップの回数の増加を考慮しても良い。
別の変形では、実際には、EAPプロトコルスタックのメソッドレイヤ上のEAPメソッドにGCAを実際に導入している。GCAがEAPメソッドの専用のものである場合、GCAは後方互換性の問題を招くことはない。これは、通常、タイプ−データフィールドの一部となるからである。
EAP/DHCPに対するシグナリング(信号送受信)フロー例
図7は、割り当てられたDHCPサーバがホームネットワークに配置されている場合についての、EAP/DHCP(例えば、Diameterによって搬送される)のシグナリング(信号送受信)フローの例を示している。
AAAクライアントは、EAP(リクエストアイデンティティ(Request Identity))を使用するMN認証をリクエストして、MNは、EAP(応答アイデンティティ(Response Identity))で応答する。
MN応答は、AAAインフラストラクチャを介してAAAhへ送信される。AAAhは、MNのアイデンティティから、かつオペレータポリシーに基づいて、EAP/DHCPメソッドがMNの認証及び認可に対して適切である(即ち、AAAhは、MNの能力を知っている)ことを判定する。AAAhは、チャレンジ(challenge)に従って、提案されるEAPメソッド(例えば、EAP/DHCP)の指示をAAAインフラストラクチャを介してMNへ送信する。EAPメソッドあるいはスキームの指示は、拡張されたEAPスキーム(例えば、EAP/DHCP)に対して新規のEAPタイプ番号を割り当てることによって実現されても良い。この方法では、モバイルホストは、AAAhが提案しているEAPスキームがどれであるかを知ることになる。選択的には、特別なフォーマット済のチャレンジがモバイルホストに送信され、ここでは、そのチャレンジが、与えられるEAPスキームを示していることを認識する。
MNは、DHCPサポートをブートストラップすることを要求し、かつ、チャレンジ応答と適切なEAP属性(TLV)を用いて、AAAhの提案とチャレンジにリプライする。ここで、適切なEAP属性(TLV)は、好ましくは、割り当てられたDHCPとのセキュリティアソシエーションに対して必要な情報に従って、適切なDHCPサーバを割り当てるためのリクエストを搬送する。この処理では、MNは、事前に実行されていない場合に、必要に応じて、HMIPv6/MIPv6のブートストラップをリクエストすることも可能である。MN応答は、AAAインフラストラクチャを介してAAAhへ送信される。DHCPサーバ割当リクエストは実際には潜在的なものであるが、通常は、明示的なDHCPサーバ割当リクエストを使用することが勧められる。モバイルホストが既にDHCPサーバアドレスに気付いていて、かつ例えば、DHCPサーバとのセキュリティアソシエーションを単純に更新している場合に対しては、これ以上DHCPサーバ割当リクエストは発生しないが、再認証及び再認可の少なくとも一方のみが発生することになる。
AAAhは、MNのチャレンジ応答を有効にして、これが成功する場合、このことは、MNが真正のものであることを意味し、また、AAAhはMNの別のリクエストの処理に進む。
まず、AAAhは、ホームネットワーク内のDHCPサーバを選択して、例えば、DHCPサーバ−クライアントセキュリティキー(群)を備える拡張EAPメッセージを選択されたDHCPサーバへ送信する(ここで、この処理は、MNとAAAh間で既に進行中の処理以外は、典型的には別々のEAPセッションであることに注意されたい)。また、必要であればあるいはそうでなければ適切であれば、好ましくは、MNとのDHCPセキュリティアソシエーションを成立させるための情報を提供することによって、DHCPサーバはAAAhに応答する。例えば、IPSecセキュリティアソシエーションに対しては、EAP属性を使用することが必要となるかもしれない。このEAP属性は、例えば、上述で定義される、IPSec Protocol、IPSec Crypto、IPSec Key Lifetime EAP TLV属性がある。
このことについて、また、以下に示す例では、モバイルホスト(MN)とAAAhは、共通の共有シークレットを持っていると想定する。これは、例えば、モバイルホストにインストールされるアイデンティティモジュールとホームネットワークオペレータ間で共有される対称キーとすることができる。このアイデンティティモジュールは、従来より周知の不正開封防止アイデンティティモジュールとすることができ、これには、GSM(移動通信用グローバルシステム)移動電話で使用される標準SIMカード、ユニバーサルSIM(USIM)、WAP(無線アプリケーションプロトコル) SIM、これは、WIMとしても知られる。また、ISIM(IPマルチメディアサブシステムアイデンティティモジュール)、また、より一般的には、UICC(ユニバーサル集積化回路カード)モジュールがある。MN−DHCPサーバセキュリティアソシエーションに対しては、シードあるいはナンスは、MNによってAAAhへ搬送することができる(あるいは、別の方法では、即ち、シードは、AAAhによって生成されて、MNへ搬送される)。このシードあるいはナンスから、AAAhは、共有シークレットに基づいて、MN−DHCPサーバセキュリティキー(群)を生成することができる。モバイルホストは、自身で、同一のセキュリティキー(群)を生成することができる。これは、このモバイルホストが、シード/ナンスを元々生成して(あるいはAAAhからシードを受信して)いて、また、共有シークレットを持っているからである。選択的には、AAAhは、自身でセキュリティ情報を生成して、そして、それを安全に関連するノードへ送信するようにしても良い。
第2に、HMIPv6/MIPv6のブートストラップがリクエストされる場合、AAAhは、別の拡張EAPセッション(群)を使用するモビリティアンカーポイント(MAP)/ホームエージェント(HA)を選択することによって、このHMIPv6/MIPv6ブートストラップリクエストを提供するために処理を進める。そして、MAP/HAは、MNとのHMIPv6/MIPv6セキュリティアソシエーションを生成するために必要な情報(不図示)を提供することによってAAAhに応答する。オプションとしては、認証及び認可の交換時に、「MAPバインディング更新」と「HAバインディング更新」とをピギーバックすることが可能である。
AAAhが、上述のように、DHCPサーバ(及びMAP/HA)と通信した後、AAAhは、認可情報と認証成功指示に従うセキュリティアソシエーション情報を拡張EAPを介してMNへ返信する。ここで、この認可情報には、例えば、DHCPサーバアドレス、(MAPアドレス、RCoA、HAアドレス及びMNホームアドレス)がある。
図7のやり取りの特別な最後のラウンドトリップは、EAPプロトコルが、現在のEAPプロトコル仕様に従って円滑に終了することを補償するためのものである。
図8は、DHCPサーバが訪問先ネットワークに配置されている場合に対する、EAP/DHCP(Diameter)シグナリング(信号送受信)フローの例を示している。
AAAクライアントは、EAP(リクエストアイデンティティ)を使用してMN認証をリクエストし、また、MNは、EAP(応答アイデンティティ)で応答する。
MN応答は、AAAインフラストラクチャを介してAAAhへ送信される。AAAhは、MNのアイデンティティから、かつオペレータポリシーに基づいて、EAP/DHCPメソッドがMNの認証及び認可に対して適切である(即ち、AAAhは、MNの能力を知っている)ことを判定する。AAAhは、チャレンジ(challenge)に従って、提案されるEAPメソッド(例えば、EAP/DHCP)の指示をAAAインフラストラクチャを介してMNへ送信する。
MNは、DHCP認証及び認可サポートをブートストラップすることを要求し、かつ、チャレンジ応答と適切なEAP属性(例えば、TLV)を用いて、AAAhの提案とチャレンジにリプライする。ここで、適切なEAP属性(例えば、TLV)は、割り当てられたDHCPサーバとのDHCPセキュリティアソシエーションに対して必要な情報に従って適切なDHCPサーバを割り当てるためのリクエストを搬送する。この処理では、MNは、過去にまだ実行されていない場合に、必要に応じて、HMIPv6/MIPv6のブートストラップをリクエストすることも可能である。MN応答は、AAAインフラストラクチャを介してAAAhへ送信される。
AAAhは、MNのチャレンジ応答を有効にして、これが成功する場合、このことは、MNが真正のものであることを意味するものである、そして、AAAhはMNの別のリクエストの処理に進む。
まず、AAAhは、好ましくは、DHCPクライアント−サーバキーを生成して、このキーとともに、訪問先ネットワーク内のDHCPサーバの割当に対するリクエストを適切なAAAvへ送信する。これは、Diameterアプリケーションを介して実行されることが好ましい。ここで、Diameterアプリケーションは、Diameter DHCPアプリケーションを簡略化して称したものである。これについての理由は、訪問先オペレータのポリシーが、通常、訪問先ネットワーク内のDHCPサーバの選択を考慮に入れなければならないからであり、つまり、AAAvは、トランザクションを確認できることを必要とする。
AAAvは、訪問先ネットワーク内のDHCPサーバを選択して、例えば、DHCPセキュリティキー(群)を含むDiameter DHCPアプリケーションメッセージをDHCPサーバへ送信する。必要であればあるいはそうでなければ適切であれば、好ましくは、MNとのDHCPセキュリティアソシエーションを成立させるための情報を提供することによって、DHCPサーバはAAAvに応答する。AAAvは、割り当てられたDHCPサーバのネットワークアドレスとセキュリティアソシエーション情報をAAAhへ送信する。
第2に、AAAhは、別の拡張EAPセッションを使用するMAP/HAを選択することによって、HMIPv6/MIPv6ブートストラップリクエストを提供するために処理を進める。これは、このようなリクエストが存在する場合である。そして、MAP/HAは、MNとのHMIPv6/MIPv6セキュリティアソシエーションを生成するために必要な情報(不図示)を提供することによってAAAhに応答する。ここで、認証及び認可の交換時に、「MAPバインディング更新」と「HAバインディング更新」とをピギーバックすることが可能であることに注意する。
AAAhが、上述のように、DHCPサーバ(及びMAP/HA)と通信した後、AAAhは、認可情報及び認証成功指示に従うセキュリティアソシエーション情報を拡張EAPを介してMNへ返信する。ここで、この認可情報には、例えば、DHCPサーバアドレス、(MAPアドレス、RCoA、HAアドレス、MNホームアドレス)がある。
図8のやり取りの特別な最後のラウンドトリップは、拡張EAPプロトコルが、現在のEAPプロトコル仕様に従って円滑に終了することを補償するためのものである。
いくつかの詳細な実施形態を、主として現在のEAPバージョンを参照して説明しているが、他のEAPバージョン、例えば、EAPv2や、上述の方法で拡張されるあるいは構成される他の認証プロトコルについても本発明を確実に適用できることが理解されるべきである。EAPは、取り得る実装の単なる例であり、また、本発明は、一般的にはそれに制限されるものではなく、また、選択的には、非EAPスキームを含んでいても良い。
DHCP用のAAAフレームワークプロトコルアプリケーション
別の実施形態では、新規のAAAフレームワークプロトコルアプリケーション、ここでは、DHCP用に構成されているDiameterアプリケーション(「Diameter DHCPアプリケーション」と称する)によって例示される、が生成される。これは、例えば、DHCP認証拡張(RFC3118)のブートストラップを容易にするDHCP関連情報を搬送する。この情報には、DiameterプロトコルレベルでのDHCP SAリクエスト、キー生成ナンス、キーID等がある。また、Diameter DHCPアプリケーションは、必要なDHCPサーバのIPアドレスをDHCPクライアントにトランスポートすることによって、ホームネットワークあるいは訪問先ネットワークのいずれかに配置することができる適切なDHCPサーバの割当を容易にする。
以下では、Diameterについて言及されるが、Radiusあるいは他の同様のAAAフレームワークプロトコルを新規のあるいは拡張AAA DHCPアプリケーションに対する基準として使用できることが理解されるべきである。
必要に応じて、DHCPとHMIPv6/MIPv6の両方の認証及び認可の少なくとも一方は、同一のAAAフレームワークプロトコルアプリケーションに統合することができる。これは、[3]に記載されるDiameterMIPv6アプリケーションのコマンドコード、AVP及びフラグの少なくともいずれかをDiameter DHCPアプリケーションに追加し、これに加えて、HMIP専用コマンドコード、AVP及びフラグの少なくとも1つを定義することによって達成することができる。これは、セットアップ回数を短縮することを可能にする単一の移動(single traversal)で、DHCPとHMIPv6/MIPv6の両方の認証及び認可を同時に実行することが可能となる。特定の場合に特別に必要とするMNに依存して、HMIPv6/MIPv6に対応するものなしで、DHCPの認証及び認可だけを実行することが可能となり、その逆も可能である。これは、単一のアプリケーションである、Diameter DHCPアプリケーションに、様々な使用状況で使用される場合の柔軟性を与えることを可能にする。
Diameter DHCPアプリケーションの詳細
以下では、例として、Diameter DHCPアプリケーションの詳細を、概念の全体フロー及び実行可能性を例示するために提供する。好ましくは、新規のDHCP−専用コマンドコード、AVP(属性値ペア)、及びフラグが定義され、これは、DHCP認証拡張(RFC3118)、即ち、DHCP SAリクエスト、キー生成ナンス、キーID等のブートストラップを容易にし、また/あるいは、適切なDHCPサーバ(DHCPサーバのIPアドレス)の割当を容易にする情報を搬送する。
更なる情報については、インターネットドラフト[9]で、ネットワークアクセスサーバ(NAS)とバックエンド認証サーバ間でEAPパケットを搬送するために必要なコマンドコードとAVPを定義している。
Diameter DHCPアプリケーション用のシグナリング(信号送受信)フロー例
図9は、DHCPサーバがホームネットワークに配置されている場合に対する、Diameter DHCPアプリケーションシグナリング(信号送受信)フローの例を示している。
AAAクライアントは、例えば、インターネット制御メッセージプロトコル(ICMP)、PANA等のプロトコルを介して、認証対象のMNに対してチャレンジを発行する。MNは、DHCPサポートに対するリクエスト、キーナンス、また、おそらくは、HMIPv6/MIPv6ブートストラップリクエストにも従って、チャンレンジ応答で応答する。
AAAクライアントは、DHCPサポートブートストラップリクエストを理解し、Diameter DHCPアプリケーションコマンドコードを使用して、AAAインフラストラクチャを介して、MN応答をAAAhへ送信する。この処理では、AAAクライアントも、AAAhにMNの認証を検証することを可能にするチャレンジ応答を含んでいる。
AAAhは、MNのチャレンジ応答を有効にして、これが成功する場合、このことは、MNが真正のものであることを意味するものである、そして、AAAhはMNのリクエストの処理に進む。
まず、AAAhは、ホームネットワーク内のDHCPサーバを選択して、例えば、生成されたDHCPセキュリティキーを含む適切なDiameter DHCPアプリケーションコマンドコードをDHCPサーバへ送信する。また、必要であればあるいはそうでなければ適切であれば、好ましくは、コマンドコードを介してMNとのDHCPセキュリティアソシエーションを成立させるための情報を提供することによって、DHCPサーバはAAAhに応答する。
第2に、HMIPv6/MIPv6ブートストラップがリクエストされる場合に、AAAhは、Diameter DHCPアプリケーションコマンドコードを使用するMAP/HAを選択することによって、HMIPv6/MIPv6ブートストラップリクエストを提供するために処理を進める。そして、MAP/HAは、コマンドコードを介してMNとのHMIPv6/MIPv6セキュリティアソシエーションを生成するために必要な情報を提供することによってAAAhに応答する。ここで、認証及び認可の交換時に、「MAPバインディング更新」と「HAバインディング更新」とをピギーバックすることが可能であることに注意する。
AAAhが、上述のように、DHCPサーバ及びMAP/HAと通信した後、AAAhは、認可情報及び認証成功指示に従うセキュリティアソシエーション情報を、Diameter DHCPアプリケーションコマンドコードと、例えば、ICMP、PANA等を介してMNへ返信する。ここで、この認可情報には、例えば、DHCPサーバアドレス、(MAPアドレス、RCoA、HAアドレス、MNホームアドレス)がある。
図10は、DHCPサーバが訪問先ネットワークに配置されている場合に対する、Diameter DHCPアプリケーションのシグナリング(信号送受信)フローの例を示している。
AAAクライアントは、例えば、ICMPあるいはPANAを介して、認証対象のMNに対してチャレンジを発行する。MNは、DHCPサポートに対するリクエストに従って、また、おそらくは、HMIPv6/MIPv6ブートストラップリクエストにも従って、チャンレンジ応答で応答する。
AAAクライアントは、DHCPブートストラップリクエストを理解し、Diameter DHCPアプリケーションコマンドコードを使用して、AAAインフラストラクチャを介して、MN応答をAAAhへ送信する。この処理では、AAAクライアントも、AAAhにMNの認証を検証することを可能にするチャレンジ応答を含んでいる。
AAAhは、MNのチャレンジ応答を有効にして、これが成功する場合、このことは、MNが真正のものであることを意味するものである、そして、AAAhはMNのクエストの処理に進む。
第1に、AAAhは、DHCPクライアント−サーバキーを生成し、そのキーと訪問先ネットワーク内のDHCPサーバに対するリクエストを適切なAAAvへ送信する。これは、Diameter DHCPアプリケーションコマンドコードを介して実行される。AAAvは、訪問先ネットワーク内の適切なDHCPサーバを選択して、例えば、DHCPセキュリティキーを含むコマンドコードをDHCPサーバへ送信する。また、必要であればあるいはそうでなければ適切であれば、好ましくは、コマンドコードを使用するMNとのセキュリティアソシエーションを成立させるための情報を提供することによって、DHCPサーバはAAAvを介してAAAhに応答する。
第2に、必要である場合、AAAhは、HMIPv6/MIPv6ブートストラップリクエストを提供するために処理を進める。
AAAhが、上述のように、DHCPサーバ(及びMAP/HA)と通信した後、AAAhは、認可情報及び認証成功指示に従うセキュリティアソシエーション情報を、Diameter DHCPアプリケーションコマンドコードと、ICMPあるいはPANAのようなプロトコルを介してMNへ返信する。ここで、この認可情報には、例えば、DHCPサーバアドレス、(MAPアドレス、RCoA、HAアドレス、MNホームアドレス)がある。
他の用途範囲に渡って、本発明は、あらゆるアクセスネットワークに適用することが可能である。これには、WLAN、CDMA2000、WCDMA等がある。また、DHCPと、オプションとしてHMIPv6/MIPv6も使用することができ、これは、次のような技術を含んでいる。この技術には、AAA、DHCPとIPv6移動性(モビリティ)、CMS11、WCDMA及びGSMシステムのようなシステム群と、サービス/アプリケーションサブシステムのようサブシステム及び端末、AAAサーバ、DHCPサーバ及び端末ノードのような製品がある。
上述の実施形態は、単なる例として挙げられていて、本発明がそれに限定されるものではないことが理解されるべきである。本明細書で、開示され、かつ請求項で示される原理を根本とする基礎を維持する、更なる、変形、変更及び改良は、本発明の範囲にある。
略語
DHCP 動的ホストコンフィグレーションプロトコル
EAP 拡張可能認証プロトコル(Extensible Authentication Protocol)
NAS ネットワークアクセスサーバ
SA セキュリティアソシエーション(Security Association)
AAA 認証、認可及びアカウンティング(Authentication, Authorization and Accounting)
AAAh ホームAAA
AAAv 訪問先AAA(Visited AAA)
AKA 認証キーアグリーメント(Authentication Key Agreement)
EAP 拡張可能認証プロトコル(Extensible Authentication Protocol)
EP 実施点
HA ホームエージェント
IKE インターネットキー交換(Internet Key Exchange)
IPsec IP セキュリティ
ISAKMP インターネットセキュリティアソシエーション及びキー管理プロトコル
(Internet Security Association and Key Management Protocol)
MD5 メッセージダイジェスト5(Message Digest 5)
MIPv6 モバイルIPバージョン6
MN モバイルノード
PAA PANA認証エージェント
PAC PANAクライアント
PANA ネットワークアクセス認証搬送用プロトコル
SPI セキュリティパラメータインデックス
TLS トランスポートレイヤセキュリティ
TLV タイプレングス値(Type Length Value)
TTLS トンネル化TLS(Tunneled TLS)
WLAN 無線ローカルエリアネットワーク
参考文献
[1]動的ホストコンフィグレーションプロトコル、RFC2131、アール.ドルムス、1997年3月([1] Dynamic Host Configuration Protocol,RFC2131, R. Droms, March 1997)

[2]DHCPメッセージ用認証、RFC3118、アール.ドロムス、ダブリュー.アルバウ、2001年6月([2] Authentication for DHCP Messages, RFC3118, R. Droms, W. Arbaugh, June 2001)
[3]EAPベースのネットワークアクセス認証を使用する、RFC3118による遅延DHCP認証のブートストラップ、エイ.イエイン、エイチ.シュフォニグ、ディー.フォルスベルグ、2004年2月、<draft-yegin-eap-boot-rfc3118-00.txt>([3] Bootstrapping RFC3118 Delayed DHCP Authentication Using EAP-based Network Access Authentication, A. Yegin, H. Tschofenig, D. Forsberg, February 2004, <draft-yegin-eap-boot-rfc3118-00.txt>)
[4]PANAを使用する、RFC3118による遅延認証のブートストラップ、エイチ.シュフォニグ、エイ.イエイン、ディー.フォルスベルグ、2003年8月、<draft-tschofenig-pana-bootstrap- rfc3118-01.txt>([4] Bootstrapping RFC3118 Delayed authentication using PANA, H. Tschofenig, A. Yegin, D. Forsberg, October 2003, <draft-tschofenig-pana-bootstrap- rfc3118-01.txt>)
[5]DiameterモバイルIPv6アプリケーション、ステファノ エム.ファッチン、フランク リー、バサバラジ パチル、チャールズ イー.ペルキンス、2003年4月、<draft-le-aaa-diameter-mobileipv6- 03.txt>([5] Diameter Mobile IPv6 Application, Stefano M. Faccin, Franck Le, Basavaraj Patil, Charles E. Perkins, April 2003, <draft-le-aaa-diameter-mobileipv6- 03.txt>)
[6]EAPに基づく、MIPv6認証及びコンフィグレーション、ジー.ジアレッタ、アイ.グアルディニ、イー.デマリア、2004年2月、<draft-giaretta-mip6-authorization-eap-00.txt>([6] MIPv6 Authorization and Configuration based on EAP, G. Giaretta, I. Guardini, E. Demaria, February 2004, <draft-giaretta-mip6-authorization-eap-00.txt>)
[7]PPP拡張可能認証プロトコル(EAP)、RFC2284、エル.ブルンク、ジェイ.ボルブレッヒト、1998年3月(PPP Extensible Authentication Protocol (EAP), RFC2284, L. Blunk, J. Vollbrecht, March 1998)
[8]IEEE 標準802.1X、ローカル及びメトロポリトンエリアネットワーク−ポートベースのネットワークアクセス制御(IEEE Standard802.1X, Local and metropolitan area networks - Port-Based Network Access Control)
[9]Diameter拡張可能認証プロトコル(EAP)アプリケーション、ピー.エロネン、ティー.ヒラー、ジー.ゾルン、2004年2月16日、<draft-ietf-aaa-eap-04.txt>(Diameter Extensible Authentication Protocol (EAP) Application, P. Eronen, T. Hiller, G. Zorn, February 16, 2004, <draft-ietf-aaa-eap-04.txt>)
[10]インターネットセキュリティアソシエーション及びキー管理プロトコル(ISAKMP)、RFC2408、ディー.マウグハン、エム.シェルター、エム.シュナイダー、ジェイ.ターナー、1998年11月(Internet Security Association and Key Management Protocol (ISAKMP), RFC2408, D. Maughan, M. Schertler, M. Schneider, J. Turner, November 1998)
[11]リモート認証ダイアルインユーザサービス(RADIUS)−RFC2865、シー.リグネイ、エス.ウィレンス、エイ.ルーベンス、ダブリュー.シンプソン、2000年6月(Remote Authentication Dial In User Service (RADIUS) - RFC2865, C. Rigney, S. Willens, A. Rubens, W. Simpson, June 2000)
[12]RADIUS拡張−RFC2869、シー.リグネイ、ダブリュー.ウィラッツ、ピー.カルホウン、2000年6月(RADIUS Extensions - RFC2869, C. Rigney, W. Willats, P. Calhoun, June 2000)
[13]拡張可能認証プロトコル(EAP)−RFC2284、エル.ブルンク、ジェイ.ボルブレッヒト、ビー.アボバ、ジェイ.カールソン、エイチ.レブコベッツ、2003年9月、<draft-ietf-eap- rfc2284bis-06.txt>(Extensible Authentication Protocol (EAP) - RFC2284, L. Blunk, J. Vollbrecht, B. Aboba, J. Carlson, H. Levkowetz, September 2003, <draft-ietf-eap- rfc2284bis-06.txt>)
[14]EAPピアー及び認証器用状態マシーン、ジェイ.ボルブレッヒト、ピー.エロネン、エヌ.ペトロニ、ワイ.オオバ、2003年10月<draft-ietf-eap-statemachine-01.pdf>(State Machines for EAP Peer and Authenticator, J. Vollbrecht, P. Eronen, N. Petroni, Y. Ohba, October 2003, <draft-ietf-eap-statemachine-01.pdf>)
[15]EAP認証、エム.グレイソン、ジェイ.サロウェイ、2003年3月<draft-grayson-eap- authorization-0 1.txt>(EAP Authorization, M. Grayson, J. Salowey, March 2003, <draft-grayson-eap- authorization-01.txt>)
従来のDHCPディスカバリープロセスを示す図である。 クライアントホストに対してDHCPサービスをサポートする方法の例のフロー図である。 本発明の実施形態に従う訪問先ネットワークでローミングするDHCPクライアントに対するDHCP認証及び認可サポート用の新規のアーキテクチャを示す図である。 本発明の別の実施形態に従う訪問先ネットワークでローミングするDHCPクライアントに対するDHCPサポート用の新規のアーキテクチャを示す図である。 本発明の実施形態に従う自身のホームネットワークで動作するDHCPクライアントに対するDHCPサポート用の新規のアーキテクチャを示す図である。 本発明の実施形態に従うAAAホームネットワークサーバのブロック図である。 DHCPサーバがホームネットワークに配置されている場合に対して、Diameter/EAP/DHCPを使用するDHCP AAAについてのシグナリングフローを示す図である。 DHCPが訪問先ネットワークに配置されている場合に対して、Diameter/EAP/DHCPとDiameter DHCPアプリケーションとの組み合わせを使用するDHCP AAAについてのシグナリングフローを示す図である。 DHCPサーバがホームネットワークに配置されている場合に対して、Diameter DHCP アプリケーションを使用するDHCP AAAについてのシグナリングフローを示す図である。 DHCPサーバが訪問先ネットワークに配置されている場合に対して、Diameter DHCP アプリケーションを使用するDHCP AAAについてのシグナリングフローを示す図である。

Claims (24)

  1. DHCPクライアント用の動的ホストコンフィグレーションプロトコル(DHCP)サービスをサポートする方法であって、
    AAAサーバで、適切なDHCPサーバを、前記DHCPサービスに対する前記DHCPクライアントへ割り当てる工程と、
    前記DHCPクライアントと前記DHCPサーバ間のDHCPセキュリティアソシエーションを確立するために、前記割り当てられたDHCPサーバを用いて、前記DHCPサービスに対する前記DHCPクライアントを認証及び認可するためのAAAインフラストラクチャを介して、DHCP関連情報を送信する工程と
    を備えることを特徴とする方法。
  2. 前記送信する工程は、DHCPサーバ割当情報とDHCPセキュリティアソシエーション情報を前記DHCPクライアントへ送信することを含む
    ことを特徴とする請求項1に記載の方法。
  3. 前記DHCPクライアントは、訪問先ネットワークでローミングするモバイルホストであり、AAA訪問先ネットワークサーバ(AAAv)は、前記訪問先ネットワークのオペレータのポリシーに基づいて、前記訪問先ネットワーク内のDHCPサーバを前記モバイルホストに割り当てる
    ことを特徴とする請求項1に記載の方法。
  4. 前記モバイルホストは、前記AAAインフラストラクチャを介して、DHCP割当リクエストをAAAホームネットワークサーバ(AAAh)へ送信し、
    前記AAAhは、前記DHCP割当リクエストを、DHCPサーバの割当用の前記AAA訪問先ネットワークサーバ(AAAv)へ転送し、
    前記AAAホームネットワークサーバは、前記モバイルホストと前記割り当てられたDHCPサーバ間のセキュリティアソシエーション用の信用関連データを生成し、前記信用関連データは、前記AAAvを介して、前記AAAhから前記DHCPサーバへ転送され、
    前記AAAhは、前記セキュリティアソシエーションを成立させるための情報を生成する、あるいは前記DHCPサーバは、前記セキュリティアソシエーションを成立させるための情報を用いて、前記AAAvを介して前記AAAhへ応答し、
    前記AAAhは、DHCPサーバ割当情報を含むDHCP認可情報と、DHCPセキュリティアソシエーション情報を、前記AAAインフラストラクチャを介して、前記モバイルホストへ送信する
    ことを特徴とする請求項3に記載の方法。
  5. 前記DHCPクライアントはモバイルホストであり、AAAホームネットワークサーバ(AAAh)は、前記ホームネットワーク内のDHCPサーバを前記DHCPクライアントへ割り当てる
    ことを特徴とする請求項1に記載の方法。
  6. 前記DHCPクライアントはモバイルホストであり、
    前記モバイルホストの前記ホームネットワークのAAAコンポーネントは、前記モバイルホストと前記割り当てられたDHCPサーバ間のセキュリティアソシエーション用の信用関連データを生成し、前記信用関連データを、前記DHCPサーバへ送信し、
    前記ホームネットワークのAAAコンポーネントは、前記セキュリティアソシエーションを成立させるための情報を生成する、あるいは前記DHCPサーバは、前記セキュリティアソシエーションを成立させるための情報を用いて、前記ホームネットワークのAAAコンポーネントへ応答し、
    前記ホームネットワークのAAAコンポーネントは、DHCPサーバ割当情報を含むDHCP認可情報と、DHCPセキュリティアソシエーション情報を、前記AAAインフラストラクチャを介して、前記モバイルホストへ送信する
    ことを特徴とする請求項1に記載の方法。
  7. 前記DHCPクライアントは、訪問先ネットワークでローミングするモバイルホストであり、
    前記訪問先ネットワークに対してトランスペアレントなエンドツーエンド処理において、認証プロトコルで、DHCP関連認証及び認可情報は、前記モバイルホストとAAAホームネットワークサーバ(AAAh)間を送信される
    ことを特徴とする請求項1に記載の方法。
  8. 前記認証プロトコルは、拡張された拡張可能認証プロトコル(EAP)であり、前記DHCP関連認証及び認可情報は、前記EAPプロトコルスタック内に追加データとして組み込まれる
    ことを特徴とする請求項7に記載の方法。
  9. 前記DHCP関連情報は、前記AAAインフラストラクチャを介して、AAAフレームワークプロトコルアプリケーションで送信される
    ことを特徴とする請求項1に記載の方法。
  10. 前記AAAインフラストラクチャを介して、同一のラウンドトリップで、DHCP認証及び認可と、HMIPv6/MIPv6認証及び認可を同時に実行する
    ことを特徴とする請求項1に記載の方法。
  11. DHCPクライアントに対して、動的ホストコンフィグレーションプロトコル(DHCP)サービスをサポートするシステムであって、
    適切なDHCPサーバを、前記DHCPサービスに対する前記DHCPクライアントへ割り当てるように動作可能なAAAサーバと、
    前記DHCPクライアントと前記DHCPサーバ間のDHCPセキュリティアソシエーションを確立するために、前記割り当てられたDHCPサーバを用いて、前記DHCPサービスに対する前記DHCPクライアントを認証及び認可するための前記AAAインフラストラクチャコンポーネントを介して、DHCP関連情報を送信する手段と
    を備えることを特徴とするシステム。
  12. 前記送信する手段は、DHCPサーバ割当情報とDHCPセキュリティアソシエーション情報を前記DHCPクライアントへ送信する手段を含む
    ことを特徴とする請求項11に記載のシステム。
  13. 前記DHCPクライアントは、訪問先ネットワークでローミングするモバイルホストであり、AAA訪問先ネットワークサーバ(AAAv)は、前記訪問先ネットワークオペレータのポリシーに基づいて、前記訪問先ネットワーク内のDHCPサーバを前記モバイルホストに割り当てるように動作可能である
    ことを特徴とする請求項11に記載のシステム。
  14. AAAホームネットワークサーバ(AAAh)は、
    前記モバイルホストから、DHCP割当リクエストを受信し、前記DHCP割当リクエストを、DHCPサーバの割当用の前記AAA訪問先ネットワークサーバ(AAAv)へ送信する手段と、
    前記モバイルホストと前記割り当てられたDHCPサーバ間のDHCPセキュリティアソシエーション用の信用関連データを生成する手段と、
    前記信用関連データを前記AAAvを介して前記割り当てられたDHCPサーバへ送信し、かつ前記AAAvを介して前記DHCPサーバから、前記DHCPセキュリティアソシエーションを成立させるための情報を受信する手段と、
    DHCPサーバ割当情報を含むDHCP認可情報と、DHCPセキュリティアソシエーション情報を、前記AAAインフラストラクチャを介して、前記モバイルホストへ送信する手段と
    を備えることを特徴とする請求項13に記載のシステム。
  15. 前記DHCPクライアントはモバイルホストであり、AAAホームネットワークサーバ(AAAh)は、前記ホームネットワーク内のDHCPサーバを前記モバイルホストへ割り当てるように動作可能である
    ことを特徴とする請求項11に記載のシステム。
  16. 前記DHCPクライアントはモバイルホストであり、
    前記モバイルホストの前記ホームネットワークのAAAコンポーネントは、
    前記モバイルホストと前記割り当てられたDHCPサーバ間のDHCPセキュリティアソシエーション用の信用関連データを生成する手段と、
    前記信用関連データを、前記割り当てられたDHCPサーバへ送信する手段と、
    前記セキュリティアソシエーションを成立させるための情報を前記DHCPサーバから受信する手段と、
    DHCPサーバ割当情報を含むDHCP認可情報と、DHCPセキュリティアソシエーション情報を、前記AAAインフラストラクチャを介して、前記モバイルホストへ送信する手段と
    を備えることを特徴とする請求項11に記載のシステム。
  17. 前記DHCPクライアントは、訪問先ネットワークでローミングするモバイルホストであり、
    前記訪問先ネットワークに対してトランスペアレントなエンドツーエンド処理において、認証プロトコルで、DHCP関連認証及び認可情報は前記モバイルホストとAAAホームネットワークサーバ(AAAh)間を送信される
    ことを特徴とする請求項11に記載のシステム。
  18. 前記認証プロトコルは、拡張された拡張可能認証プロトコル(EAP)であり、前記DHCP関連認証及び認可情報は、前記EAPプロトコルスタック内に追加データとして組み込まれる
    ことを特徴とする請求項17に記載のシステム。
  19. 前記DHCP関連情報は、前記AAAインフラストラクチャを介して、AAAフレームワークプロトコルアプリケーションで送信される
    ことを特徴とする請求項11に記載のシステム。
  20. DHCPクライアントに対して、動的ホストコンフィグレーションプロトコル(DHCP)サービスをサポートするAAAサーバであって、
    前記DHCPサービスに対する前記DHCPクライアントへ、適切なDHCPサーバを割り当てる手段を備える
    ことを特徴とするAAAサーバ。
  21. 前記DHCPクライアントは、訪問先ネットワークでローミングするモバイルホストであり、前記AAAサーバは、前記訪問先ネットワークオペレータのポリシーに基づいて、前記訪問先ネットワーク内のDHCPサーバを割り当てるように動作可能なAAA訪問先ネットワークサーバ(AAAv)である
    ことを特徴とする請求項20に記載のAAAサーバ。
  22. 前記DHCPクライアントはモバイルホストであり、前記AAAサーバは、前記モバイルホストの前記ホームネットワーク内のDHCPサーバを割り当てるように動作可能なAAAホームネットワークサーバ(AAAh)である
    ことを特徴とする請求項20に記載のAAAサーバ。
  23. モバイルホストに対して、動的ホストコンフィグレーションプロトコル(DHCP)サービスをサポートするAAAホームネットワークサーバであって、
    前記モバイルホストとAAAサーバによって割り当てられたDHCPサーバ間のDHCPセキュリティアソシエーション用の信用関連データを生成する手段と、
    前記信用関連データを前記割り当てられたDHCPサーバへ送信する手段と、
    前記DHCPサーバから、前記DHCPセキュリティアソシエーションを成立させるための情報を受信する手段と、
    前記モバイルホストへ、DHCPセキュリティアソシエーション情報を含むDHCP認可情報を送信する手段と
    を備えることを特徴とするAAAホームネットワークサーバ。
  24. 当該AAAホームネットワークサーバ(AAAh)は、前記モバイルホストへの更なる送信のために、前記AAAインフラストラクチャコンポーネントから前記DHCPサーバ割当情報を受信するように動作可能であり、
    前記モバイルホストは、訪問先ネットワーク内をローミングするホストであり、
    前記DHCP認可情報を送信する手段は、前記モバイルホストの前記ホームネットワークと前記訪問先ネットワークとをリンクするAAAインフラストラクチャを介して、前記情報を送信するように動作可能であり、
    前記AAAホームネットワークサーバは、前記割り当てられたDHCPサーバから、DHCPセキュリティアソシエーションを成立させるための情報を受信するように構成され、
    前記DHCP認可情報を送信する手段は、DHCPサーバ割当情報を含むDHCP認可情報と、DHCPセキュリティアソシエーション情報を、前記モバイルホストへ送信するように構成されている
    ことを特徴とする請求項23に記載のAAAホームネットワークサーバ。
JP2007509417A 2004-04-23 2004-12-10 Dhcp用サポート Expired - Fee Related JP4564054B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US56459004P 2004-04-23 2004-04-23
PCT/SE2004/001856 WO2005104500A1 (en) 2004-04-23 2004-12-10 Aaa support for dhcp

Publications (2)

Publication Number Publication Date
JP2007534267A JP2007534267A (ja) 2007-11-22
JP4564054B2 true JP4564054B2 (ja) 2010-10-20

Family

ID=34959696

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007509417A Expired - Fee Related JP4564054B2 (ja) 2004-04-23 2004-12-10 Dhcp用サポート

Country Status (4)

Country Link
US (1) US7983418B2 (ja)
JP (1) JP4564054B2 (ja)
GB (1) GB2429381B (ja)
WO (1) WO2005104500A1 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
CN100388739C (zh) * 2005-04-29 2008-05-14 华为技术有限公司 实现dhcp地址安全分配的方法及系统
US7624181B2 (en) 2006-02-24 2009-11-24 Cisco Technology, Inc. Techniques for authenticating a subscriber for an access network using DHCP
US7853708B2 (en) * 2006-02-24 2010-12-14 Cisco Technology, Inc. Techniques for replacing point to point protocol with dynamic host configuration protocol
US20070220598A1 (en) * 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution
US8745253B2 (en) * 2006-03-08 2014-06-03 Alcatel Lucent Triggering DHCP actions from IEEE 802.1x state changes
EP1881434A1 (en) * 2006-06-09 2008-01-23 Axalto SA A personal token having enhanced signaling abilities
US7831997B2 (en) * 2006-06-22 2010-11-09 Intel Corporation Secure and automatic provisioning of computer systems having embedded network devices
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
CN101179554B (zh) * 2006-11-07 2012-12-12 华为技术有限公司 一种告知移动用户终端自举模式的方法
US8621540B2 (en) * 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US8296438B2 (en) * 2007-07-11 2012-10-23 International Business Machines Corporation Dynamically configuring a router to find the best DHCP server
US8104073B2 (en) * 2007-08-10 2012-01-24 Juniper Networks, Inc. Exchange of network access control information using tightly-constrained network access control protocols
US8239549B2 (en) 2007-09-12 2012-08-07 Microsoft Corporation Dynamic host configuration protocol
US8806565B2 (en) 2007-09-12 2014-08-12 Microsoft Corporation Secure network location awareness
EP2210429B1 (en) * 2007-09-20 2014-01-15 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for roaming between communications networks
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
CN101184100A (zh) * 2007-12-14 2008-05-21 中兴通讯股份有限公司 基于动态主机配置协议的用户接入认证方法
CN101471767B (zh) * 2007-12-26 2011-09-14 华为技术有限公司 密钥分发方法、设备及系统
EP2091204A1 (en) 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
US20090290539A1 (en) * 2008-05-21 2009-11-26 Huawei Technologies, Co., Ltd. Method and apparatus for home agent address acquisition for IPv4 mobile nodes
CN101321074B (zh) 2008-06-26 2011-09-14 华为技术有限公司 享用订购业务内容的方法及其系统
JP5255403B2 (ja) * 2008-10-30 2013-08-07 日本無線株式会社 サービスプラン作成方法
KR101691778B1 (ko) * 2009-03-05 2016-12-30 인터디지탈 패튼 홀딩스, 인크 안전한 원격 가입 관리
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
CN102035815B (zh) * 2009-09-29 2013-04-24 华为技术有限公司 数据获取方法、接入节点和系统
US8260902B1 (en) * 2010-01-26 2012-09-04 Juniper Networks, Inc. Tunneling DHCP options in authentication messages
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
KR20120091635A (ko) * 2011-02-09 2012-08-20 삼성전자주식회사 통신 시스템에서 인증 방법 및 장치
US9521108B2 (en) * 2011-03-29 2016-12-13 Intel Corporation Techniques enabling efficient synchronized authenticated network access
US9407506B2 (en) * 2011-09-12 2016-08-02 Microsoft Technology Licensing, Llc Multi-entity management
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
CN102497378B (zh) * 2011-12-15 2015-03-18 杭州华三通信技术有限公司 为客户端动态选择dhcp服务器的方法和装置
CN104011699A (zh) 2011-12-16 2014-08-27 华为技术有限公司 用于同时进行地址分配和认证的系统和方法
US8725860B1 (en) 2011-12-22 2014-05-13 Infoblox Inc. Visualization for managing multiple IP address management systems
US8862725B1 (en) * 2011-12-22 2014-10-14 Infoblox Inc. Managing multiple IP address management systems
CN102752277A (zh) * 2012-02-28 2012-10-24 新奥特(北京)视频技术有限公司 一种信息分发系统的动态注册方法
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US9794190B2 (en) 2015-02-16 2017-10-17 International Business Machines Corporation Managing asset deployment for a shared pool of configurable computing resources
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
EP3932044B1 (en) * 2019-02-28 2024-05-01 Telefonaktiebolaget Lm Ericsson (Publ) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
US11956635B2 (en) 2022-01-20 2024-04-09 Hewlett Packard Enterprise Development Lp Authenticating a client device

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4352547B2 (ja) * 2000-01-04 2009-10-28 パナソニック株式会社 リモートアクセスサーバ装置
US7451312B2 (en) * 2000-03-07 2008-11-11 General Instrument Corporation Authenticated dynamic address assignment
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
US6957276B1 (en) * 2000-10-23 2005-10-18 Microsoft Corporation System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol
JP2003008622A (ja) * 2001-06-22 2003-01-10 Fujitsu Ltd サービス制御ネットワーク、及びそのサービス制御ネットワークにおいて使用されるルータ装置
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
US6973567B1 (en) * 2001-09-14 2005-12-06 Cisco Technology, Inc. Early authentication during modem training
JP2003318939A (ja) * 2002-04-22 2003-11-07 Canon Inc 通信システムおよびその制御方法
US7533160B2 (en) * 2003-02-18 2009-05-12 Qualcomm Incorporated Provisioning server information in a mobile station
EP1634425A1 (de) * 2003-06-18 2006-03-15 Siemens Aktiengesellschaft Verfahren und einrichtung zum bilden und entschlüsseln einer verschlüsselten nachricht mit kommunikations-konfigurationsdaten

Also Published As

Publication number Publication date
US20080282325A1 (en) 2008-11-13
GB0617265D0 (en) 2006-10-11
WO2005104500A1 (en) 2005-11-03
US7983418B2 (en) 2011-07-19
GB2429381A (en) 2007-02-21
GB2429381B (en) 2007-11-14
JP2007534267A (ja) 2007-11-22

Similar Documents

Publication Publication Date Title
JP4564054B2 (ja) Dhcp用サポート
RU2368086C2 (ru) Способ, система и устройство для поддержки услуги hierarchical mobile ip
US20060185013A1 (en) Method, system and apparatus to support hierarchical mobile ip services
KR100918440B1 (ko) 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치
US9445272B2 (en) Authentication in heterogeneous IP networks
JP4723158B2 (ja) パケット・データ・ネットワークにおける認証方法
JP2006527968A (ja) Cdmaシステムで、モバイルipバージョン6サービスをサポートするための方法、システム及び装置
JP5166524B2 (ja) 証明書処理のための方法および装置
KR100935421B1 (ko) 모바일 인터넷 프로토콜 키 분배를 위한 일반 인증아키텍처의 이용
US9686669B2 (en) Method of configuring a mobile node
US20030039234A1 (en) System and method for secure network roaming
WO2009152676A1 (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
WO2008086749A1 (fr) Système et procédé pour réaliser une inter-fusion de plusieurs types de réseaux de communication
KR20080053160A (ko) Pana 인증 방법 및 장치
CN100539586C (zh) 支持分级移动ip业务的方法、系统和设备
WO2008086747A1 (en) Mobile ip system and method for updating home agent root key
ES2616499T3 (es) Aparatos y método para autenticación en redes de IP heterogéneas
Hartman et al. Channel-Binding Support for Extensible Authentication Protocol (EAP) Methods
Hoeper Internet Engineering Task Force (IETF) S. Hartman, Ed. Request for Comments: 6677 Painless Security Category: Standards Track T. Clancy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100726

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100729

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130806

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4564054

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees