JP4585002B2 - 高速ネットワーク接続機構 - Google Patents

高速ネットワーク接続機構 Download PDF

Info

Publication number
JP4585002B2
JP4585002B2 JP2007525185A JP2007525185A JP4585002B2 JP 4585002 B2 JP4585002 B2 JP 4585002B2 JP 2007525185 A JP2007525185 A JP 2007525185A JP 2007525185 A JP2007525185 A JP 2007525185A JP 4585002 B2 JP4585002 B2 JP 4585002B2
Authority
JP
Japan
Prior art keywords
mobile node
access
access router
network
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007525185A
Other languages
English (en)
Other versions
JP2008509614A (ja
Inventor
ヤリ アリッコ,
ペッカ ニカンデル,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2008509614A publication Critical patent/JP2008509614A/ja
Application granted granted Critical
Publication of JP4585002B2 publication Critical patent/JP4585002B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access, e.g. scheduled or random access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/087Mobility data transfer for preserving data network PoA address despite hand-offs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Description

本発明は、移動体無線ネットワークに高速ネットワーク接続する機構に関する。
移動体無線通信ネットワークにおいて、用語“接続”とは、ユーザ装置がローカル無線ネットワーク(例えば、無線LANアクセスポイント)に接続し、少なくともそのネットワークによって提供されているサービスのいくらかを利用することができるようになるための手順について言及している。実際には、この手順は、複数のプロトコル層、例えば、正しい無線周波数の識別、アクセスポイントと通信を可能にする無線層のネゴシエーション、ネットワークアクセス認証と認可の手順、リンク層での機密保護の開始、IP層におけるルータとアドレスの発見、新しいIPアドレスへのモビリティ機構を再設定することなどに関係するものを含んでいる。残念なことに、無線アクセスについての問題における研究の多くが特定の側面にのみ焦点を当ててきたことから、これら作業を完了させるまでの時間と個々の作業の相互作用と全体的な効果はよく理解されていない。
複数プロトコルを相互に関係させることに失敗すると特に影響を受けそうな分野は、異なったネットワークタイプ間のモビリティについての分野である。例えば、この分野についての研究者は、(ビジネス上と法律上との内、少なくともいずれかでの要求のために必要な)リンクについてのアクセス制御を実現しなければならないことについての影響を無視する傾向にあった。実際のユーザはただ、異なるネットワークタイプ間でのモビリティの利点を享受しようとしているだけであり、それゆえ、関連する問題については完全には理解されてなかったか認識されていなかった。
モバイルIPは、アクセスネットワーク間を加入者がローミングし、同時に加入者の現在の位置を知らない相手ノードから加入者が到達可能となることを確実とすること、を提供するプロトコルセットである。図1は、モバイルIPを実施するためのネットワークアーキテクチャを模式的に図示している。加入者1はネットワーク3のアクセスルータ2に接続されている。モバイルIPに基本的なことは、加入者のホームネットワーク5において、加入者1の現在位置(“気付アドレス”として知られているIPアドレスによって定義されている現在位置)を知っているホームエージェント4を備え、加入者の固定IPアドレスにあてられたメッセージをその現在位置へルーティングすることを可能にすることである。対応付け情報のメッセージ(binding update message)は、例えば、加入者が新しいアクセスネットワークにローミングする際など、加入者1がホームエージェント4における自らの気付アドレスを更新することを可能にするために用いられている。加入者が自身の気付アドレスを変更するとき、各アクセスネットワーク7に接続している相手ホスト6から続々と送られてくるパケットを加入者に最適な経路を通じてルーティングすることを確実にするため、ルートの最適化手順が呼び出される。ホームネットワーク5に位置する、認証、認可、課金(AAA)サーバ8はホームエージェント4と通信する。
インターネットプロトコル・バージョン6(IPv6)において、典型的な無線リンクでのネットワーク接続の過程は以下の通りである。
・特定の無線ローカルエリアネットワーク(LAN)アクセスポイントを検出して、接続するといったようなリンク層接続。
・アクセス制御手順。802.1XとEAPといった仕組みがこのために使われる。一般的に、これは3つのEAP制御メッセージ(EAPOL−Successメッセージにピギーバックされて送られる、アイデンティティ要求、応答、そして成功のメッセージ)と特定の認証方式を含む。単純な認証方法は2つのメッセージで完結するが、多くの方法はより多くのメッセージを必要とする。
・ルータ探知。これは、ノードのためにデフォルトルータを発見し、このリンクのルーティング・プレフィックスを決定するための過程である。最も単純な場合においては、間に待ち時間を伴う2つのメッセージを必要とする。
・重複アドレス検出(DAD)。これは移動体ノードがこのリンクで使用するため選択したアドレスが、一意であることを保証するために用いられる。一般的にこれは1つのメッセージと待ち時間を伴う。
・モビリティ管理手順。これはホームエージェント、そして、相手ノード、以前使用していたルータとのメッセージのやりとりを含む。そのやりとりは、一般的にユーザ端末とホームエージェント間でやり取りされる2つのメッセージと、各相手ノードとやりとりされる(部分的には同時に行われる)5つのメッセージと、以前のルータとやりとりされる1つのメッセージからなる。
インターネットプロトコル・バージョン4(IPv4)は、IPv6とたいていは同様にふるまう。しかし、ルータ探知と、隣接ネットワーク探知と、アドレス自動設定とは、動的ホスト制御プロトコル(Dynamic Host Control Protcol:DHCP)によって代わられている。また、DADのサポートはない。DHCPは一般的に4つのメッセージを必要としている。モバイルIPv4はルート最適化の技術を備えておらず、従って、モビリティに関連する、2つだけ追加のメッセージを必要としている。IPv4では古いものから新しいアクセスルータへスムーズにハンドオーバするためのサポートはない。
要約すると、IPv6では、仮に相手ノードがひとつだった場合に、少なくとも16個のメッセージと2つの明白な待ち時間が必要となる(しかしながら、これらメッセージのうち4つは並列に送信可能である)。IPv4の場合は、その少ない機能とDHCPの主要な役割のために、メッセージの数は幾分少なくなる。しかしながら、少なくとも11個のメッセージが依然として必要である。
上で論じたようなシグナリング手順のいくつかを最適化しようとする研究が進行中である。
特に、
・いわゆる“最適化された”DADは、DADに関連した遅延を回避しようとし、DADが完了する前においては仮のアドレスを使うことを許可する。このアプローチの期待できる利点は、1つの待ち時間の削減と、メッセージ送信段階において並列処理が付加的に可能となることである。もうひとつの提案されたアプローチは、DAD手順において、DADを補助するためにアクセスルータを使うことである。
・最適移動検知(Optimised Movement Detection)は、(ユーザ端末の)移動があったときそれを検知し、新しいネットワークにおけるネットワークパラメータを検出することをより高速にしようと試みる。これはIPv6のルータ広告(Router Advertisement)と関連した待ち時間の削減のための新しいアルゴリズムを含んでいるが、全体としてのメッセージの量は減少しない。
・階層化モバイルIP(HMIP)は、ホームエージェントと相手ノードに送られる位置更新の数を最小化できるように移動を局所化しようと試みている。
英国特許第2367986号明細書
これらの最適化アプローチは、主に不要な待ち時間の削減に関心がある。これらのアプローチは、HMIP以外については、必要なシグナリングの量について重大な影響はないように思われる。HMIPは、基本的なネットワークアクセス・シグナリングの量を減らさないが、ただシグナリングが通らなければならないパスを短くするのみである。
本発明の目的は、移動体ノードのネットワークアクセスを容易にするために必要なメッセージの数を減らすことである。これは、現在移動体ノードによって実行されている一定の作業をアクセスネットワークのアクセス・ルータに確実に委任することで実現される。
いわゆる委任に基づく機密保護の方式を提供することが本発明の目的である。その方式では、移動体ノードと、それが通信しようとするコアネットワークのいかなるエンティティとのエンド−エンド間でメッセージを送信することよりむしろ、さもなければ移動体ノードでなされなければならないいくつかのタスクについてアクセスルータに委任するための証明書を移動体ノードからアクセスルータへ送信する。
本発明の第一の側面は、アクセス網への移動体ノードによるインターネットプロトコルアクセスを容易にする方法であって、その方法は、
移動体ノード識別子と、インタフェース識別子或は前記インタフェース識別子を導出するための手段を含み、メッセージがその移動体ノードにおいて発信したものであるとして認証されるために前記移動体ノードによって署名された接続要求を前記移動体ノードから前記アクセス網のアクセスルータに送信する工程と、
前記アクセスルータでその接続要求を受信し、前記署名を用いてそのメッセージを認証し、前記メッセージの受信と認証とに応答して、前記アクセスノードへ委任され、前記アクセスを容易にするために必要とされている、予め定義された一連の作業を実行する工程と、
前記アクセスルータからアクセス許可を確認しようとする前記移動体ノードに対して確認応答を返信する工程とを有し、前記確認応答は、ネットワークルーティングプレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する手段を含むことを特徴とする。
本発明を適用する結果、特定のプロトコルと作業に焦点を当てるよりむしろ、全体的なアプローチを用いることで、移動体ノードにネットワーク接続を提供するために要求されるシグナリングメッセージの数を大幅に減らすことができる。それによって、アクセスネットワーク間のほとんどシームレスに近いローミングができることが期待できる。
さて、前記接続要求は、
前記移動体ノードのネットワークアクセス識別子(NAI)と、
前記移動体ノード自身の公開鍵と、
前記移動体ノードが受信する意図のあるいずれかのアクセスルータの信頼されたルートと、
前記移動体ノードのホームエージェントのアドレスと、
前記移動体ノードがルート最適化を望む相手ノードのアドレスと、
暗号化アドレス生成(Cryptographically Generated Address:CGA)法によって構成されたインタフェース識別子と、
(もし知られているなら)前記アクセスルータのアイデンティティと、
(もし必要なら)無線リンク接続のための所望のパラメータと、
前記移動体ノードだけによって知られた方法によって計算されたクッキーと、
前記移動体ノードの秘密鍵で記された署名と
の内、1つ以上を含むことが好ましい。
また、前記アクセスルータにおける前記接続要求の受信は、前記アクセスルータにおいて、
リンク層接続と、
アクセス制御手順と、
ルータ探知と、
IPアドレス生成と、
重複アドレス検出と
の手順の内、1以上の手順の契機となることが好ましい。
さらに、前記予め定められた一連の作業は、
前記移動体ノードのホームネットワークにおける適切なインフラストラクチュア(AAAサーバ)にアクセス、認可、課金の手順を実装することと、
前記移動体ノードのために、前記移動体ノードのホームエージェントにおいて情報対応付けを行うことと、
前記移動体ノードの1つ以上の相手ノードに対してルート最適化を実行することとを含むことが好ましい。
本発明の第二の側面は、移動体ノードによるアクセス網へのインターネットプロトコルアクセスを容易にするために前記移動体ノードを動作させる方法であって、前記方法は、移動体ノード識別子と、インタフェース識別子或はインタフェース識別子を導出する手段とを含み、前記移動体ノードにより署名されメッセージが前記移動体ノードにおいて発信したものであるとして認証されることが可能な接続要求を前記移動体ノードから前記アクセス網のアクセスルータに送信する工程を含み、前記メッセージは、前記アクセスルータが前記アクセスノードへ委任され、前記アクセスを容易にするために必要とされている、予め定義された一連の作業を実行するための認可を含むことを特徴とする。
本発明の第三の側面は、移動体ノードによるアクセス網へのインターネットプロトコルアクセスを容易にするために構成されたアクセスルータを動作させる方法であって、前記方法は、
前記アクセスルータで要求を受信し、署名を用いてメッセージを認証し、メッセージの受信と認証に応答して、アクセスノードへ委任され、前記アクセスを容易にするために必要とされている、予め定義された一連の作業を実行する工程と、
前記アクセスルータから、アクセス許可を確認しようとする前記移動体ノードに対して確認応答を返信する工程とを有し、前記確認応答は、ネットワーク(ルーティング)プレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する手段とを含むことを特徴とする。
本発明の第四の側面は、移動体ノードに対して移動体インターネットプロトコルを実装するために構成されたホームエージェントを動作させる方法であって、前記方法は、
アクセスルータから前記移動体ノードのための位置更新メッセージを受信する工程と、
前記移動体ノードのために、アクセスルータが位置更新を行うことを認可する工程と、
前記位置更新を実行する工程とを備えることを特徴とする。
移動体ノードのネットワーク接続手順を最適化する際に、いくつかの基本的な条件が考慮されなければならない。移動体ノードの観点からみると、移動体ノードはアクセスネットワークに対して、アクセス権があることを証明する必要がある。また、移動体ノードは、ホームエージェントに対して、ホームエージェントに保存されている対応付け情報を更新する権利を有することを証明し、相手ノードに対しては、ホームアドレスと気付けアドレスで到達可能であることを証明する必要がある。最後に、移動体ノードは、訪問中のネットワークにおける他のノードに対し、気付けアドレスを“所有”していることを証明する必要がある。他の条件は以下の通りである。
・ローカルルータは移動体ノードに対し、アクセス認証とルータとしての動作能力との両方について、自身の権限を証明する必要がある。
・アクセス、認可、課金機能の(AAA)インフラストラクチュアは、(機密保護を確かなものとし、支払いがすぐにされるであろうことを確認するために)移動体ノードが確かに自らであると主張するものであることについての証明を得る必要がある。
・ホームエージェントは、移動体ノードが本当に位置更新を要求したことについて証明を得る必要がある。
ここで提案される効率的なネットワーク接続手順は、以下の基本概念に基づいている。
・ネットワークアクセスのための(その付随する証明書を伴う)一個の要求は、アクセスルータ、ホームエージェント、必要であればAAAインフラストラクチュアから必要な許可を得るために用いられる。
・移動体ノードのためのアドレス創成は別々のノードによってなされる次の2つのステップで実行される。即ち、移動体ノードは、アドレスのインタフェース識別子(IID)部を生成し、暗号化して生成されたアドレス(Cryptographically Generated Addresses)(英国特許2367986号を参照)またはEUI−64アドレス証明書をとおして、そのIIDの所有権を保証する。アクセスルータはアドレスのプレフィックス部を生成することができる。
・ホームエージェント(またはホームAAAサーバ)は移動体ノードに代わって、アクセスルータに対する信頼性と、気付けアドレスを構成することについての正しさを検証するため動作する。
・ホームエージェントは移動体ノードに代わって、相手ノードとのルート最適化を実行するために必要な暗号値である、ホーム“鍵生成(keygen)”トークンを取得するために動作する。
・同様に、アクセスルータは移動体ノードに代わって、気付け鍵生成トークンを取得するために動作することができる。
・サービス拒否攻撃の防止は、その防止手順は余分な遅れを引き起こすだけであるので、その関与するノードが攻撃にさらされている時にのみ用いられる必要がある。
上記の概念に基づく無線リンクプロトコルを創成する様々な方法は数多くある。ひとつの解決法は、以下のメッセージ送信シーケンスからなるものである。
1.ある種のリンク層において、移動体ノードが接続を試みる前に、広告または“ビーコン”メッセージを受信することが可能であるかもしれない。そのようなメッセージが利用可能である場合には、そのメッセージは以下の情報を含む。即ち、
アクセスルータのアイデンティティと、
任意のものとして、アクセスルータの能力と特性である。
2.移動体ノードがリンクに接続準備完了となっているとき、移動体ノードは適切なアクセスルータに対して、“新規接続メッセージ”を送信する。このメッセージは、おそらく証明書の形で移動体ノードより送られた、署名付きステートメントである。そのステートメントは、移動体ノードがアクセスできるようになることを望んでいることを示すともに、以下の情報を含む。
即ち、
移動体ノードのネットワークアクセス識別子(NAI)と、
移動体ノード自身の公開鍵と、
移動体ノードが受信する全てのアクセスルータの信頼されたルートと、
移動体ノードのホームエージェントのアドレスと、
移動体ノードがルート最適化を望む相手ノードのアドレスと、
暗号化アドレス生成(Cryptographically Generated Address:CGA)法によって構成されたインタフェース識別子(IID)と、
(もし知られているなら)アクセスルータのアイデンティティと、
(もし必要なら)無線リンク接続のための所望のパラメータと、
移動体ノードだけによって知られた方法によって計算されたクッキーと、
移動体ノードの秘密鍵で記された署名とである。
3.一端、アクセスルータでアクセス要求を検査した後(この詳細については後述)、アクセスルータは移動体ノードに確認応答を送信して、ネットワークにアクセスすることを許可する。この確認応答は、アクセスルータに委任された作業を実行したことを示す、アクセスルータより送られた署名付きステートメントである。加えて、その確認応答はホームAAAネットワークがアクセス要求を登録し、そのアクセス網が信頼されるものであることを検証したという、ホームAAAネットワークからの署名付きステートメントを搬送する。その確認応答は、移動体ノードのホームエージェントが移動体ノードの新しい位置情報を登録し、またそのアクセスルータが信頼されていることを検証したという、ホームエージェントからの同様の署名付きステートメントをも搬送する。その確認応答は以下の情報を含む。
即ち、移動体ノードからのクッキーと、
移動体ノードのために割り当てられたネットワークプリフィックスと、
アクセスルータのアイデンティティ及び公開鍵と、
アクセスルータの署名と、
ユーザのホームAAAネットワークの署名と、
ユーザのホームエージェントの署名とである。
4.移動体ノードは確認応答に含まれているクッキーが自らが作成したものであることを検証し、メッセージの署名を検証する(これを行うため、移動体ノードは知られた公開鍵を使っても良い)。署名が正しいと仮定するなら、移動体ノードはデータパケットの送信を開始する。
5.一旦、アクセスルータ、ホームエージェント、相手ノードがルート最適化を確立するために必要とされるモビリティシグナリングを完了させたならば、アクセスルータは移動体ノードに対して、以下の情報を含むメッセージを送信する。即ち、
移動体ノードからのクッキーと、
相手ノードのアドレスと、
アクセスルータの署名とである。
6.移動体ノードは再び、このメッセージに含まれているクッキーが自らが生成したものであることを検証し、そのメッセージの署名を検証する。情報が正しいと仮定するなら、移動体ノードは問題となっている相手ノードに対して送信するデータパケットについてルート最適化を用いはじめる。
一旦、このプロセスが完了したならば、移動体ノードはローカルネットワークに認証されたのであり(おそらく課金記録が作成され)、ホームエージェントによって登録され、すべての相手ノードによって登録されたのである。
移動体ノードが、(a)ステップ1から6までが実行されたというアクセスルータからの確認応答を受信したときか、(b)移動体ノードが(楽観的に)データ送信を始めた場合におけるプリフィックス情報を少なくとも受信したときか、或は、(c)アクセスルータが移動体ノードのパケットを発信元IPアドレスのプリフィックス部で満たしたなら、すぐに、データパケットは流れ始める。
公開鍵暗号処理を伴う単一の要求−応答のペアを用いることは、潜在的にサービス拒否(DoS)の脆弱性がある。攻撃者が多数の要求を生成し、例えば、アクセスルータのような受信者はその要求が無効であると決定できる前に、多くの計算を実行しなければならない。このDoS攻撃に対してとられる通常の防御方法は、実際の負荷の高い計算が発生する前に、いくつかの(わずかに)検証されたパケットを交換することである。例えば、インターネット鍵交換(IKE)手順はクッキーを交換し、ディフィ−ヘルマン(Diffie-Hellman)またはRSA計算のどちらかを実行する前に、申告されたIPアドレスにおいて実際に相手がパケットを受信できるのかを検証する。
類似した防御法としては、ここで述べられている(一般的に、アクセス網から移動体ノードへのクッキー送信と、移動体ノードによって送信された初期アクセス要求にこのクッキーを含むことが関係する)手順が使われるかもしれない。しかし、比較的まれな問題による遅延を避けるために、その手順に関与するノードは余分な交換を通常は求めない。むしろ、ノードが重い処理負荷にあるか、潜在的にサービス拒否攻撃にさらされていると考える時にのみ、そのことを求める。具体的には、そのような状況では、アクセスルータまたはその背後にあるインフラストラクチュアは、署名を即座に検証することはしないようにできる。その代わりに、オリジナルのメッセージと送信者のクッキーとを含む予備的な応答メッセージを送り、それに自身のクッキーを付加することができる。もし、その要求が正当であるのであれば、送信者はこのメッセージを受信し、予備応答メッセージから得られた付加的なクッキーを伴った要求を再送信することにより応答するであろう。このことにより、少なくとも、問題となっているノードが、知られたIPアドレスに存在し、パケットを送受信できることを保証している。この場合、シグナリングシーケンスは以下の通りである。
1.移動体ノードは新しいリンクに接続するとき“新規接続メッセージ”を送信する。
2.そのアクセスルータまたは、その背後にあるインフラストラクチュアノードは追加的な検証を要求する。そのメッセージは以下の情報を含む。即ち、
移動体ノードからのクッキーと、
アクセスルータ(とインフラストラクチュア)ノードからのクッキーとである。
3.移動体ノードは、そのメッセージの中に含まれているクッキーが自らが生成したものであることを検証して、一つの追加的なパラメータ、即ち、アクセスルータ(とインフラストラクチュア)ノードからのクッキーと共に、自身の本来の要求を再送する。
4.この点より先からは、その過程は上記で説明したように継続する。
ネットワーク接続手順のインフラストラクチュアについての部分は、新しいプロトコルを導入するか、既存のものを再利用するかに応じて、様々な方法で実施される。以下に、我々は、アクセスルータにおける望ましい機能の提供について、そして、アクセスルータがどのようにして、AAAインフラストラクチュア、ホームエージェントそして相手ノードに既存のプロトコルを用いつつ接続するかについての概要のみを記す。
1.AAAインフラストラクチュアには既存の認証機構を用いて通信する。例えば、アクセスルータはRADIUSプロトコルのEAP−TLSを実行し、クライアントTLS認証のためにルータ自身の鍵を用いる。証明書の様式の中に移動体ノードの署名付きアクセス要求を含めることによって、AAAインフラストラクチュアは、移動体ノードがアクセスルータへ認証作業を委任したことを判断できる。
2.このリンクで現在使われているIIDについてアクセスルータ自身のデータベースを保持することにより、或は、移動体ノードに代わってリンクにおけるIPv6 DAD要求を送信することによって、アクセスルータは移動体ノードによって送信されたIIDを検証する。
3.アクセスルータは、自身の公開鍵を使って移動体ノードのホームエージェントに対して自分自身を認証し、そして、上述したように証明書として移動体ノードの署名入り要求を含める。加えて、アクセスルータはネットワークプリフィックス情報を提供する。その後、ホームエージェントは新しい位置を判定し、移動体ノードが本当に移動される要求を行ったことを検証する。その要求がなされる前にアクセスルータのアイデンティティを移動体ノードが知っていたかどうかに従って、ホームエージェントもまた、移動体ノード、アクセスルータ、及びホームエージェントのすべてがアクセスルータのアイデンティティについて合意していることをチェックすることができる。
4.一旦、アクセスルータがAAAインフラストラクチュアとホームエージェントの両方から回答を受信し、その受信したクッキーと署名とを検証したならば、移動体ノードに確認応答を送信し、移動体ノードがネットワークにアクセスすることを許可することにより継続する。
5.ホームエージェントがアクセス要求を承認したとき、同時にホームエージェントは移動体IPv6ホームテスト“初期”メッセージをリストにある相手ノードに送信する。同様に、アクセスルータは、気付テスト“初期”メッセージをその同じ相手ノードに送信する。ホームテストメッセージに対する応答は、ホームエージェントからアクセスルータへ送信される。ホームテストメッセージと気付テストメッセージの両方に対して応答されたとき、相手ノードに対応付け情報(Binding Update)を送信するために、アクセスルータは応答から得られた値を結合する。(この交換に関与する他のノードと違って、テスト実行中のホームエージェントとアクセスルータのために継続しているアドレス到達テストに基づいてのみ相手ノードは動作しているので、相手ノードは署名付きステートメントを必要とはしない)。
メッセージフローの概要は図2に示されている。
図示されている手順は、他のインフラストラクチュアノードに対するメッセージを並列的な求めることを含むことで、またさらに最適化されうることが認識されよう。
ここで紹介したモデルはまた、リンク層(無線リンク)の機密保護機構として、例えば、ホストとアクセスルータとの間の暗号化を可能とするために動作することもできる。必要とされたセションキーを導出するために必要な暗号の交換は“新しい接続メッセージ”とその確認応答に組み込むことができる。例えば、ディフィ−ヘルマン(Diffie-Hellman)交換がセションキーにおいて安全に合意するために実行される。
もちろん、確認応答を受信する前に楽観的にデータパケットが送信された場合を仮定するならば、最も簡単な場合において、ここで説明した手順は、無線リンク上でネットワーク接続機構を機密保護された一個のメッセージに対して提供する。いずれにしろ、説明した機構は、移動体ノードに対するネットワーク接続を実行するのに無線リンクで最大で3つのメッセージを必要とする。
本発明の範囲から逸脱することなく、様々な変形が上述した実施例に対してなされることが当業者には認識されるであろう。
模式的に移動体IPを使用している移動体通信システムアーキテクチュアを示す図である。 高速ネットワーク接続手順に関するシグナリングの様子を示す図である。

Claims (14)

  1. 移動体ノードによるアクセス網へのインターネットプロトコルアクセスをインターネットプロトコル・バージョン6(IPv6)を用いて行う方法であって、前記方法は、
    前記アクセス網のアクセスルータにおいて、移動体ノード識別子と、インタフェース識別子或はインタフェース識別子を導出する手段とを含み、秘密鍵−公開鍵のペアの秘密鍵を用いて前記移動体ノードにより署名され前記移動体ノードにおいて発信したものであるとして認証されることが可能なIPv6接続要求メッセージを前記移動体ノードから受信する工程と、
    前記アクセスルータにより、前記署名と前記秘密鍵−公開鍵のペアの公開鍵とを用いて前記メッセージを認証する工程と、
    前記メッセージの受信と認証に応答して、前記移動体ノードにより前記アクセスルータへ委任され、前記移動体ノードを認証し、それにより前記アクセスを行うために必要とされている、予め定義された一連の作業を実行する工程と、
    前記アクセスルータから、アクセス許可を確認しようとする前記移動体ノードに対して確認応答を返信する工程とを有し、
    前記確認応答は、ネットワークルーティングプレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する手段を含むことを特徴とする方法。
  2. 前記移動体ノード識別子は、前記移動体ノードのネットワークアクセス識別子(NAI)であり、
    前記接続要求メッセージは、
    前記移動体ノード自身の公開鍵と、
    前記移動体ノードが受信する意図のあるいずれかのアクセスルータの信頼されたルートとを含み、
    前記信頼されたルートは、前記移動体ノードと前記アクセスルータとにより共有される信頼を示すことを特徴とする請求項1に記載の方法。
  3. 前記アクセスルータにおける前記接続要求メッセージの受信は、前記アクセスルータにおいて、
    リンク層接続と、
    アクセス制御手順と、
    ルータ探知と、
    IPアドレス生成と、
    重複アドレス検出と
    の手順の契機となることを特徴とする請求項1に記載の方法。
  4. 前記予め定義された一連の作業を実行する工程は、
    前記移動体ノードのホームネットワークにおける適切なインフラストラクチュアにアクセス、認可、課金の手順を実装することと、
    前記移動体ノードのために、前記移動体ノードのホームエージェントにおいて情報対応付けを行うことと、
    前記移動体ノードの1つ以上の相手ノードに対してルート最適化を実行することとを含むことを特徴とする請求項1に記載の方法。
  5. 前記接続要求メッセージはさらに、
    前記移動体ノードのホームエージェントのアドレスと、
    前記移動体ノードがルート最適化を望む相手ノードのアドレスと、
    暗号化アドレス生成(Cryptographically Generated Address)法によって生成されたインタフェース識別子と、
    前記アクセスルータのアイデンティティと、
    無線リンク接続のための所望のパラメータと、
    前記移動体ノードだけによって知られた方法によって計算されたクッキーと、
    前記移動体ノードの秘密鍵で記された署名と
    の内、1つ以上を含むことを特徴とする請求項2に記載の方法。
  6. 移動体ノードによるアクセス網へのインターネットプロトコルアクセスをインターネットプロトコル・バージョン6(IPv6)を用いて行うアクセスルータを動作させる方法であって、
    前記アクセスルータでIPv6接続要求メッセージを受信する工程と、
    前記アクセスルータにより、前記移動体ノードの署名と秘密鍵−公開鍵のペアの公開鍵とを用いて前記メッセージを認証する工程と、
    前記メッセージの受信と認証に応答して、前記移動体ノードによりアクセスルータへ委任され、前記移動体ノードを認証し、それにより前記アクセスを行うために必要とされている、予め定義された一連の作業を実行する工程と、
    前記アクセスルータから、アクセス許可を確認しようとする前記移動体ノードに対して確認応答を返信する工程とを有し、
    前記確認応答は、ネットワーク(ルーティング)プレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する手段とを含むことを特徴とする方法。
  7. インターネットプロトコル・バージョン6(IPv6)を用いたネットワークにおいて、移動体ノードに対して移動体インターネットプロトコルを実装するために構成されたホームエージェントを動作させる方法であって、
    前記移動体ノードにより予め定義された作業を実行するように委任されたアクセスルータから前記移動体ノードのためのIPv6位置更新要求メッセージを受信する工程と、
    前記移動体ノードのために、アクセスルータが位置更新を行うことを認可する工程と、
    前記位置更新を実行する工程とを備えることを特徴とする方法。
  8. 移動体ノードによるアクセス網へのインターネットプロトコルアクセスをインターネットプロトコル・バージョン6(IPv6)を用いて行うアクセスルータであって、前記アクセスルータは、
    前記アクセスルータでIPv6接要求メッセージを受信し、前記移動体ノードの署名と秘密鍵−公開鍵のペアの公開鍵とを用いて前記接続要求メッセージを認証する手段と
    前記移動体ノードによりアクセスルータへ委任され、前記移動体ノードを認証し、それにより前記アクセスを行うために必要とされている、予め定義された一連の作業を実行する手段と、
    前記アクセスルータから、アクセス許可を確認しようとする前記移動体ノードに対して確認応答を返信する手段とを有し、
    前記確認応答は、ネットワーク(ルーティング)プレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する手段とを含むことを特徴とするアクセスルータ。
  9. 前記移動体ノードのネットワークアクセス識別子と、
    前記移動体ノード自身の公開鍵と、
    前記移動体ノードが受信する意図のあるいずれかのアクセスルータの信頼されたルートとを含む接続要求メッセージを扱うように構成され
    前記信頼されたルートは、前記移動体ノードと前記アクセスルータとにより共有される信頼を示すことを特徴とする請求項に記載のアクセスルータ。
  10. 前記移動体ノードのホームエージェントのアドレスと、
    前記移動体ノードがルート最適化を望む相手ノードのアドレスと、
    暗号化アドレス生成(Cryptographically Generated Address)法によって生成されたインタフェース識別子と、
    前記アクセスルータのアイデンティティと、
    無線リンク接続のための所望のパラメータと、
    前記移動体ノードだけによって知られた方法によって計算されたクッキーと、
    前記移動体ノードの秘密鍵で記された署名と
    の内、1つ以上を含む前記接続要求メッセージを扱うように構成されたことを特徴とする請求項9に記載のアクセスルータ。
  11. 前記接続要求の受信と認証に応答して、
    リンク層接続と、
    アクセス制御手順と、
    ルータ探知と、
    IPアドレス生成と、
    重複アドレス検出と
    の手順の契機を与える手段をさらに有することを特徴とする請求項9に記載のアクセスルータ。
  12. 前記予め定められた一連の作業は、
    前記移動体ノードのホームネットワークにおける適切なインフラストラクチュアにアクセス、認可、課金の手順を実装することと、
    前記移動体ノードのために、前記移動体ノードのホームエージェントにおいて情報対応付けを行うことと、
    前記移動体ノードの1つ以上の相手ノードに対してルート最適化を実行することとを含むことを特徴とする請求項9に記載のアクセスルータ。
  13. インターネットプロトコル・バージョン6(IPv6)を用いたネットワークにおいて、移動体ノードに対して移動体インターネットプロトコルを実装するホームエージェントであって、前記ホームエージェントは、
    前記移動体ノードにより予め定義された作業を実行するように委任されたアクセスルータから前記移動体ノードのためのIPv6位置更新要求メッセージを受信する手段と、
    前記移動体ノードのために、アクセスルータが位置更新を行うことを認可する手段と、
    前記位置更新を実行する手段とを有することを特徴とするホームエージェント。
  14. インターネットプロトコル・バージョン6(IPv6)を用いたアクセスネットワークにおいて、移動体ノードを動作させる方法であって、前記方法は、
    前記移動体ノードにより、前記移動体ノードを認証し、それにより前記ネットワークへのアクセスを行うために必要とされている、予め定義された一連の作業をアクセスルータに委任する工程と、
    前記移動体ノードから前記アクセスルータに、移動体ノード識別子と、インタフェース識別子或はインタフェース識別子を導出する手段とを含み、秘密鍵−公開鍵のペアの秘密鍵を用いて前記移動体ノードにより署名され前記移動体ノードにおいて発信したものであるとして認証されることが可能な接続要求メッセージ送信する工程と、
    前記アクセスルータから、アクセス許可を確認する確認応答を受信する工程とを有し、
    前記確認応答は、ネットワークルーティングプレフィックスと、前記移動体ノードに対して前記アクセスルータを認証する情報を含むことを特徴とする方法。
JP2007525185A 2004-08-20 2004-08-20 高速ネットワーク接続機構 Expired - Fee Related JP4585002B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/051871 WO2006018045A1 (en) 2004-08-20 2004-08-20 Fast network attachment

Publications (2)

Publication Number Publication Date
JP2008509614A JP2008509614A (ja) 2008-03-27
JP4585002B2 true JP4585002B2 (ja) 2010-11-24

Family

ID=34958642

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007525185A Expired - Fee Related JP4585002B2 (ja) 2004-08-20 2004-08-20 高速ネットワーク接続機構

Country Status (8)

Country Link
US (1) US8000704B2 (ja)
EP (1) EP1782574B1 (ja)
JP (1) JP4585002B2 (ja)
CN (1) CN101006682B (ja)
AT (1) ATE516640T1 (ja)
CA (1) CA2577142A1 (ja)
ES (1) ES2368566T3 (ja)
WO (1) WO2006018045A1 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE0003440D0 (sv) * 2000-09-26 2000-09-26 Landala Naet Ab Kommunikationssystem
US20060095546A1 (en) * 2004-10-07 2006-05-04 Nokia Corporation Method and system for locating services in proximity networks for legacy application
US7886076B2 (en) * 2005-01-12 2011-02-08 International Business Machines Corporation Bypassing routing stacks using mobile internet protocol
US7765305B2 (en) * 2005-04-07 2010-07-27 Microsoft Corporation Retry request overload protection
US20070101408A1 (en) * 2005-10-31 2007-05-03 Nakhjiri Madjid F Method and apparatus for providing authorization material
JP4937270B2 (ja) * 2005-11-22 2012-05-23 パナソニック株式会社 通信経路最適化方法及び通信経路最適化制御装置
US8391153B2 (en) 2006-02-17 2013-03-05 Cisco Technology, Inc. Decoupling radio resource management from an access gateway
CN101496387B (zh) 2006-03-06 2012-09-05 思科技术公司 用于移动无线网络中的接入认证的系统和方法
US8477683B2 (en) * 2006-04-13 2013-07-02 Qualcomm Incorporated Configuring a host device by way of MMP
CN101114928B (zh) * 2006-07-24 2011-04-20 华为技术有限公司 一种实现负载均衡的系统及方法
US7885274B2 (en) * 2007-02-27 2011-02-08 Cisco Technology, Inc. Route optimization between a mobile router and a correspondent node using reverse routability network prefix option
KR101341720B1 (ko) * 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
JP2010531106A (ja) * 2007-06-22 2010-09-16 テレフオンアクチーボラゲット エル エム エリクソン(パブル) アクセスネットワークのマルチホーミングのためのシステムおよび方法
US8843751B2 (en) 2008-03-04 2014-09-23 Telefonaktiebolaget L M Ericsson (Publ) IP address delegation
EP2182328A1 (en) * 2008-10-28 2010-05-05 Koninklijke KPN N.V. Telecommunications network and method of transferring user data in signalling messages from a communication unit to a data processing centre
KR101386097B1 (ko) 2009-03-06 2014-04-29 인터디지탈 패튼 홀딩스, 인크 무선 장치들의 플랫폼 입증 및 관리
US20110055551A1 (en) * 2009-08-27 2011-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and network nodes for generating cryptographically generated addresses in mobile ip networks
GB2474077B (en) * 2009-10-05 2013-07-24 Samsung Electronics Co Ltd Method and apparatus for configuring radio access functionality of a wireless commumication unit
CN102238241B (zh) * 2010-04-26 2015-09-16 中兴通讯股份有限公司 一种变长前缀的申请方法、装置和系统
US8953798B2 (en) * 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
JP5810168B2 (ja) * 2010-11-05 2015-11-11 インターデイジタル パテント ホールディングス インコーポレイテッド デバイスの妥当性確認、障害指示、および修復
US9313687B2 (en) * 2012-09-25 2016-04-12 Thomson Licensing Reducing core network traffic caused by migrant users
JP6029449B2 (ja) * 2012-12-17 2016-11-24 三菱電機株式会社 スマートメータシステム、管理ルータおよびメータ
US10033540B2 (en) * 2014-07-24 2018-07-24 The Hong Kong University Of Science And Technology Handoff free wireless network architecture
CN108347723B (zh) * 2017-01-25 2021-01-29 华为技术有限公司 一种切换方法和装置
CN114513860B (zh) * 2020-10-23 2023-05-05 中国移动通信有限公司研究院 一种终端附着方法、设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2963945B2 (ja) * 1997-05-08 1999-10-18 大塚化学株式会社 2,2’−ビス(6−ベンゾトリアゾリルフェノール)化合物
US6353891B1 (en) * 2000-03-20 2002-03-05 3Com Corporation Control channel security for realm specific internet protocol
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
JP4572476B2 (ja) * 2001-03-13 2010-11-04 ソニー株式会社 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム
JP2003008625A (ja) 2001-06-20 2003-01-10 Matsushita Electric Ind Co Ltd MobileIPエージェント装置、移動端末、移動通信システム及び移動端末登録方法
US20030026230A1 (en) * 2001-08-02 2003-02-06 Juan-Antonio Ibanez Proxy duplicate address detection for dynamic address allocation
GB2381423B (en) * 2001-10-26 2004-09-15 Ericsson Telefon Ab L M Addressing mechanisms in mobile IP
US7286671B2 (en) * 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
JP3822555B2 (ja) * 2001-11-09 2006-09-20 株式会社エヌ・ティ・ティ・ドコモ 安全なネットワークアクセス方法
US20030104814A1 (en) * 2001-11-30 2003-06-05 Docomo Communications Laboratories Usa Low latency mobile initiated tunneling handoff
AU2003223604A1 (en) * 2002-04-15 2003-11-03 Flarion Technologies, Inc. Tunneling between different addressing domains
US7286510B2 (en) * 2002-04-15 2007-10-23 Qualcomm Incorporated Method and apparatus for providing compatibility between elements of a wireless communication system
WO2004030309A2 (en) * 2002-09-24 2004-04-08 Orange Sa A method for a gateway to select a channel for transferring data packets
US6930988B2 (en) * 2002-10-28 2005-08-16 Nokia Corporation Method and system for fast IP connectivity in a mobile network

Also Published As

Publication number Publication date
WO2006018045A1 (en) 2006-02-23
CN101006682B (zh) 2013-03-06
JP2008509614A (ja) 2008-03-27
EP1782574B1 (en) 2011-07-13
US8000704B2 (en) 2011-08-16
US20070242638A1 (en) 2007-10-18
ATE516640T1 (de) 2011-07-15
CN101006682A (zh) 2007-07-25
ES2368566T3 (es) 2011-11-18
EP1782574A1 (en) 2007-05-09
CA2577142A1 (en) 2006-02-23

Similar Documents

Publication Publication Date Title
JP4585002B2 (ja) 高速ネットワーク接続機構
US6879690B2 (en) Method and system for delegation of security procedures to a visited domain
JP4913909B2 (ja) モバイルipネットワークにおけるルート最適化
US8918522B2 (en) Re-establishment of a security association
JP4291272B2 (ja) ホームエージェントと共に移動ノードのホームアドレスを登録する方法
US20120110334A1 (en) Secure route optimization in mobile internet protocol using trusted domain name servers
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
JP4477003B2 (ja) 通信システムにおける位置プライバシー
Deng et al. Defending against redirect attacks in mobile IP
JP2008537398A (ja) モバイルインターネットプロトコル鍵配布のためのジェネリック認証アーキテクチャの利用
EP1415212A2 (en) Modular authentication and authorization scheme for internet protocol
US20120110326A1 (en) Enhanced cryptographcially generated addresses for secure route optimization in mobile internet protocol
JP3822555B2 (ja) 安全なネットワークアクセス方法
US7933253B2 (en) Return routability optimisation
Hartman et al. Channel-Binding Support for Extensible Authentication Protocol (EAP) Methods
Araújo et al. An 802.1 X-based Security Architecture for MIP
Marques et al. An 802.1 X-based Security Architecture for MIP
Qiu et al. HIP based real-name access mechanism in next generation internet
Shah et al. Research Article A TOTP-Based Enhanced Route Optimization Procedure for Mobile IPv6 to Reduce Handover Delay and Signalling Overhead
KR20070106496A (ko) 리턴 라우터빌리티의 최적화

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100402

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100820

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100902

R150 Certificate of patent or registration of utility model

Ref document number: 4585002

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees