JP4592754B2 - Pana用メディア独立事前認証サポート構成 - Google Patents
Pana用メディア独立事前認証サポート構成 Download PDFInfo
- Publication number
- JP4592754B2 JP4592754B2 JP2007529462A JP2007529462A JP4592754B2 JP 4592754 B2 JP4592754 B2 JP 4592754B2 JP 2007529462 A JP2007529462 A JP 2007529462A JP 2007529462 A JP2007529462 A JP 2007529462A JP 4592754 B2 JP4592754 B2 JP 4592754B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- pana
- network
- paa
- mobile node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 title claims 7
- 238000000034 method Methods 0.000 claims description 76
- 238000004891 communication Methods 0.000 claims description 25
- 238000013475 authorization Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims 1
- 229920002125 Sokalan® Polymers 0.000 description 12
- 238000007726 management method Methods 0.000 description 9
- 230000001413 cellular effect Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000002360 preparation method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 238000005457 optimization Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、特に、例えば、PANAなどをサポートする事前証明を含む、事前証明方法に関する。
ネットワーク及びインターネット(登録商標)プロトコル
最も有名なインターネットを含む多くのコンピュータネットワークが存在する。インターネットはコンピュータネットワークの世界的ネットワークである。現代、インターネットは何百万のユーザに利用できる公衆及び自立ネットワークである。インターネットはホストを接続するためTCP/IP(即ち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる通信プロトコルセットを使用する。インターネットはインターネットバックボーンとして知られる通信基盤を有する。インターネットバックボーンへのアクセスは会社及び個人へのアクセスを再販するインターネット・サービス・プロバイダによって大きく制御される。
最も有名なインターネットを含む多くのコンピュータネットワークが存在する。インターネットはコンピュータネットワークの世界的ネットワークである。現代、インターネットは何百万のユーザに利用できる公衆及び自立ネットワークである。インターネットはホストを接続するためTCP/IP(即ち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる通信プロトコルセットを使用する。インターネットはインターネットバックボーンとして知られる通信基盤を有する。インターネットバックボーンへのアクセスは会社及び個人へのアクセスを再販するインターネット・サービス・プロバイダによって大きく制御される。
IP(インターネットプロトコル)に関して、これはネットワーク上でデータを一つの装置(例えば、電話、PDA(パーソナル・デジタル・アシスタント)、コンピュータなど)から他の装置に送ることができるプロトコルである。今日では、例えば、IPv4、IPv6などを含む多種のIPバージョンがある。ネットワーク上の各ホスト装置は自己の固有識別子である少なくとも1つのIPアドレスを有する。IPはコネクションレスプロトコルである。通信にエンドポイント間の接続は継続しない。ユーザがデータ又はメッセージを送信又は受信するとき、このデータ又はメッセージはパケットとして知られる要素に分割される。すべてのパケットは独立した単位のデータとして扱われる。
インターネット又は同様のネットワークを介してポイント間の伝送を標準化するために、OSI(オープン・システム・インターコネクション)モデルが確立された。OSIモデルは各層が自己の一連の機能を加えた状態でネットワークの2ポイント間の通信処理を7積層に分離する。各装置は送信エンドポイントで各層を介する下流と受信エンドポイントで複数の層を介する上流が存在するようにメッセージを取り扱う。7層の機能を与えるプログラミング及び/又はハードウエアは一般的には装置動作システム、アプリケーションソフトウエア、TCP/IP及び/又は他の伝送及びネットワークプロトコル、及び他のソウルウエア及びハードウエアの組み合わせである。
一般に、上部4層はメッセージがユーザから又はユーザへ渡すときに使用され、下部3層はメッセージが装置(例えば、IPホスト装置)を通過するときに使用される。IPホストはIPパケットを送受信できるネットワーク上の任意の装置、例えばサーバ、ルータ又はワークステーションである。他のホストに予定されているメッセージは上部層に逃がされないが、他のホストに転送される。OSIモデルの層は以下に記載されている。層7(即ち、アプリケーション層)は例えば、通信相手が識別される、サービス品質が識別される、ユーザ認証及びプライバシが考慮される、データシンタックスの制約が同定される、などの層である。層6(即ち、プレゼンテーション層)は、例えば、到来及び送信データを1つのプレゼンテーションフォーマットから他のフォーマットなどに変換する層である。層5(即ち、セッション層)は、例えば、会話を設定し、調整し、終了する、アプリケーションなどの間の交換及び対話する層である。層4(即ち、トランスポート層)は、例えば、両端間制御及びエラーチェックなどを管理する層である。層3(即ち、ネットワーク層)は、例えば、ルーティング及び転送、などを取り扱う層である。層2(即ち、データリンク層)は、例えば、物理レベルに対して同期を与える、ビットスタッフィングを行う、送信プロトコル知識及び管理などを与える層である。電気電子技術者協会(IEEE)はデータリンク層を2つのサブレイヤ、即ち、物理層への送受データ転送を制御するMAC(媒体アクセス制御)層及びネットワーク層とのインタフェースを行い、コマンドを解釈し、エラー回復を行うLLC(論理リンク制御)層に再分割する。層1(即ち、物理層)は、例えば、物理レベルでネットワークを介してビットストリームを搬送する層である。IEEEは物理層をPLCP(物理層収束手順)サブレイヤ及びPMD(物理媒体依存)サブレイアに再分割される。
無線ネットワーク
無線ネットワークは、種々タイプのモバイル装置、例えば、セルラ及び無線電話、PC(パーソナルコンピュータ)、ラップトップコンピュータ、ウェアラブル・コンピュータ、ページャ、ヘッドセット、プリンタ、PDA、などを含むことができる。例えば、モバイル装置は音声及び/又はデータの高速無線送信を保証するデジタルシステムを含むことができる。一般のモバイル装置は次の構成要素、即ち、トランシーバ(即ち、送信機及び受信機、例えば集積送信機、受信機及び所望なら他の機能を備えたシングルチップトランシーバを含む)、アンテナ、プロセッサ、1つ以上のオーディオトランスデューサ(例えば、オーディオ通信のための装置におけるようなスピーカ又はマイクロフォン)、電磁データ記憶装置(例えば、データ処理が設けられている場合の装置におけるようなROM,RAM,デジタルデータ記憶装置)、メモリ、フラッシュメモリ、完全チップセット又は集積回路、インタフェース(例えば、USB,CODEC,UART,PCM,など)、及び/又は同等のものの幾つか又は全てを含んでいる。
無線ネットワークは、種々タイプのモバイル装置、例えば、セルラ及び無線電話、PC(パーソナルコンピュータ)、ラップトップコンピュータ、ウェアラブル・コンピュータ、ページャ、ヘッドセット、プリンタ、PDA、などを含むことができる。例えば、モバイル装置は音声及び/又はデータの高速無線送信を保証するデジタルシステムを含むことができる。一般のモバイル装置は次の構成要素、即ち、トランシーバ(即ち、送信機及び受信機、例えば集積送信機、受信機及び所望なら他の機能を備えたシングルチップトランシーバを含む)、アンテナ、プロセッサ、1つ以上のオーディオトランスデューサ(例えば、オーディオ通信のための装置におけるようなスピーカ又はマイクロフォン)、電磁データ記憶装置(例えば、データ処理が設けられている場合の装置におけるようなROM,RAM,デジタルデータ記憶装置)、メモリ、フラッシュメモリ、完全チップセット又は集積回路、インタフェース(例えば、USB,CODEC,UART,PCM,など)、及び/又は同等のものの幾つか又は全てを含んでいる。
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続できる無線ラン(WLAN)は無線通信のために採用できる。無線通信は、例えば、光、赤外線、無線、マイクロ波のような電磁波を介して伝播する通信を含むことができる。現在存在する種々のWLAN規格、例えば、ブルーツース(登録商標)、IEEE802.11、及びホームRFがある。
一例として、ブルーツース製品はモバイルコンピュータ、モバイル電話、携帯装置、パーソナル・デジタル・アシスタント(PDA)及び他のモバイル装置間のリンク及びインターネットへの接続を提供することができる。ブルーツースは短距離無線接続を用いてどのようにモバイル装置が互に及び非モバイル装置と容易に相互接続できるかを詳細に示す計算及び通信業界仕様である。ブルーツースは1つの装置から他の装置に同期し、一貫性のあるデータを保つ必要がある種々のモバイル装置の増加に起因するエンドユーザ問題を扱うデジタル無線プロトコルを作成する。それにより異なるベンダーからの装置が共に途切れなく作動する。ブルーツース装置は共通の命名概念に従って命名できる。例えば、ブルーツースはブルーツース装置名(BDN)又は固有のブルーツース装置アドレス(BDA)と関連する名を有してもよい。ブルーツース装置はインターネットプロトコル(IP)ネットワークに加えてもよい。ブルーツース装置がIPネットワークで機能すれば、それはIPアドレスとIP(ネットワーク)名を持つことができる。故に、IPネットワークに加わるよう構成されたブルーツース装置はBDN,BDA,IPアドレス及びIP名を含むことができる。用語「IP名」はインタフェースのIPアドレスに対応する名を引用する。
IEEE規格、IEEE802.11は無線LAN及び装置の技術を明記している。802.11を用いると、無線ネットワーキングが幾つかの装置を支援する各単一基地局によって行われる。ある幾つかの例では、装置は無線ハードウエアを事前に供えてもよく、又はユーザがアンテナを含むことができるカードのようなハードウエアの独立の素子を設けてもよい。一例として、802.11に使用される装置は各装置がアクセスポイント(AP)、モバイルステーション(STA)、ブリッジ、PCMCIAカード及び他の装置であろうとなかろうと、一般的に3つの注目すべき素子、即ち、無線通信機、アンテナ、及びネットワーク内のポイント間のパケットフローを制御するMAC(媒体アクセス制御)層を含む。
更に、多重インタフェース装置(MID)が幾つかの無線ネットワークに利用できる。MIDは2つの独立したネットワークインタフェース、即ちブルーツースインタフェース及び802.11インタフェースを含み、それ故にMIDはブルーツース装置とインタフェースするだけでなく2つの別個のネットワークに加わることができる。MIDはIPアドレス及びIPアドレスと関連する共通IP(ネットワーク)名を持つことができる。
無線ネットワーク装置は、ブルーツースに限定されないが、多重インタフェース装置(MID)、802.11x装置(例えば、802.11a,80211b及び802.11g装置を含むIEEE802.11装置)、ホームRF(ホーム無線周波数)装置、Wi−Fi(Wireless Fidelity)装置、GPRS(汎用パケット無線システム)装置、3Gセルラ装置、2.5Gセルラ装置、GSM(汎欧州デジタルセルラーシステム)装置、EDGE(Enhanced Data for GSM Evolution)装置、TDMA (時分割多重接続)型装置、又はCDMA2000を含むCDMA (符号分割多元接続)型装置を含むことができる。各ネットワーク装置はIPアドレスに限定されないが、ブルーツース装置アドレス、ブルーツース共通名、ブルーツースIPアドレス、ブルーツースIP共通名、802.11IPアドレス、802.11P共通名又はIEEEMACアドレスを含むタイプを変更するアドレスを含むことができる。
無線ネットワークは、例えば、モバイルIP(Internet Protocol))システム、PCSシステム、及び他のモバイルネットワークシステムにおいて求められる方法及びプロトコルを含むことができる。モバイルIPに対しては、これはInternet Engineering Task Force (IETF)によって作られる標準通信プロトコルを含む。モバイルIPに関しては、モバイル装置ユーザが一度割り当てられたそれらのIPアドレスを維持しながらネットワークを移動する。Request for Comments (RFC) 3344を参照。NB、即ち、RFCはInternet Engineering Task Force (IETF)の正式文書である。モバイルIPはインターネットプロトコル(IP)を高め、それらのホームネットワーク外に接続するときにモバイル装置に前方インターネットトラフィックの価値を追加する。モバイルIPはホームネットワークのホームアドレス及びネットワーク及びそのサブネット内の装置の現在位置を認識する気付アドレス(CoA)を各モバイルノードに割り当てる。装置が異なるネットワークに移動すると、それは気付アドレスを受け取る。ホームネットワークのモビリティエージェントが各ホームアドレスをその気付アドレスと関連できる。モバイルノードはそれがインターネットコントロールメッセージプロトコル(ICMP)を用いてその気付アドレスを変更する毎にバインディング更新をホームアドレスに送ることができる。
基本IPルーチン(例えば、外部モバイルIP)においては、ルーチン機構は各ネットワークノードが例えば、インターネットに対する一定の接続点を必ず持ち、各ノードIPアドレスはそれが接続されるネットワークリンクを識別するという仮定に基づいている。この文書では、専門用語「ノード」はデータ送信のための、例えば、再配信点又は終端点を含めることができ、他のノードへの通信を認識、処理及び/又は進めることができる接続点を含む。例えば、インタネットルータは機器のネットワークを認識するIPアドレスプリーフィックスなどを見ることができる。このとき、サブネットレベルでは、ルータは特別の機器を認識する、例えば、一組のビットを見ることができる。一般のモバイルIP通信に関しては、ユーザモバイル機器を、例えば、インターネットから切り離し、それを新サブネットに再接続しようとする。そのとき、機器は新IPアドレス、適正ネットマスク及びデフォルトルータで再構成しなければならない。そうでなければ、ルーティングプロトコルはパケットを適切に搬送できなくなる。
図4はクライアント機器が通信している無線アクセスポイントを含む幾つかの具体的で非制限装置に採用できる幾つかの具体的なアーキテクチャ構成要素を示している。
この点について、図4は21で示されている無線ローカルエリアネットワーク(WLAN)に接続される具体的な有線ネットワーク20を示している。WLAN21はアクセスポイント(AP)22及び多数のユーザ局23,24を含む。例えば、有線ネットワーク20はインターネット又は法人データ処理ネットワークを含む。例えば、アクセスポイント22は有線ネットワーク21にリンクされたネットワークインタフェース25及びユーザ局23,24と通信する無線トランシーバを有する。例えば、無線トランシーバ26はユーザ局23,25との無線又はマイクロ波周波数通信のためのアンテナ27を含む。アクセスポイント22もプロセッサ28、プログラムメモリ29及びランダムアクセスメモリ31を有する。ユーザ局23はアクセスポイント局22との通信のためのアンテナ36を含む無線トランシーバ35を有する。同様に、ユーザ局24は無線トランシーバ38及びアクセスポイント22との通信のためのアンテナ39を有する。
PANA
参考のため、P. Jayaraman, “PANA Framework,” Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, July 2004のPANAに関する情報がこのセクションに援用される。この関連で、PANAはネットワークにアクセスしたいノードとネットワーク側のサーバとの間でランするリンクレイヤ寛容ネットワークアクセス認証プロトコルである。PANAは新EAP([B. Aboba, et al, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004参照]Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and H. Levkowetz, Extensible Authentication Protocol (EAP), June 2004.)、プロトコルエンドポイント間にIPを使用する下位レイヤを規定している。
参考のため、P. Jayaraman, “PANA Framework,” Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, July 2004のPANAに関する情報がこのセクションに援用される。この関連で、PANAはネットワークにアクセスしたいノードとネットワーク側のサーバとの間でランするリンクレイヤ寛容ネットワークアクセス認証プロトコルである。PANAは新EAP([B. Aboba, et al, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004参照]Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and H. Levkowetz, Extensible Authentication Protocol (EAP), June 2004.)、プロトコルエンドポイント間にIPを使用する下位レイヤを規定している。
そのようなプロトコルを規定する動機付け及び要求はYegin, A. and Y. Ohba, Protocol for Carrying Authentication for Network Access (PANA) Requirements, draft-ietf-pana-requirements-08 (work in progress), June 2004に記載されている。プロトコルの詳細はForsberg, D., Ohba, Y., Patil, B., Tschofenig, H. and A. Yegin, Protocol for Carrying Authentication for Network Access (Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H. and A. Yegin, Protocol for Carrying Authentication for Network Access (PANA), draft-ietf-pana-pana-04 (work in progress), May 2004に立証されている。Parthasarathy, M., PANA Enabling IPsec Based Access Control, draft-ietf-pana-ipsec-03 (work in progress), May 2004はPANAに準拠した認証に続くアクセス制御ためにIPsecを使用することを記載している。IPsecはパケット当たりのアクセス制御に使用できるが、それにもかかわらず、それはこの機能性を達成するための唯一の方法ではない。代替としては物理セキュリティ及びリンクレイヤ暗号化に関する信頼性を含む。アクセス制御を強化するエンティティからPANAを切り離すことはオプショナルな展開選択と考えられる。SNMP([Mghazli, Y., Ohba, Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana-snmp-00 (work in progress), April 2004参照)は分離ノードに関連情報を搬送するためのプロトコルとして選択されていた。
PANAは種々タイプに展開のための保護を与える。アクセスネットワークは下位レイヤセキュリティの利用性、PANAエンティティの配置、クライアントIP構成の選択及び認証方法などに基づいて異なることがある。
PANAは基本的セキュリティに関係なく任意のアクセスネットワークに使用できる。例えば、ネットワークは物理的に保証され、又は成功したクライアントネットワーク認証後の暗号メカニズムによって保証される可能性がある。
PANAクライアント、PANA認証エージェント、認証サーバ、及び実施ポイントはこの設計では機能的エンティティであった。PANA認証エージェント及び実施ポイントは(例えば、アクセスポイント、アクセスルータ、専用ホストのような)アクセスネットワークの種々の要素に設けることができる。
IPアドレス構成メカニズムは同様に変化する。静止構成、DHCP、無国籍アドレス自動構成は選択するための可能性メカニズムである。クライアントがパケット当たりのセキュリティを可能にするためのIPsecトンネルを構成すれば、トンネル内にIPアドレスを構成することは関連するようになり、そのためにIKEのような付加的選択がある。
PANAプロトコルはアクセスネットワークの認証及び承諾を容易にするように設計される。PANAはEAP([Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and H. Levkowetz, Extensible Authentication Protocol (EAP), June 2004. Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and H. Levkowetz, Extensible Authentication Protocol (EAP), RFC 3748, June 2004,参照)、クライアンホストとアクセスネットワークのエージェントの間のEAP内に包含されたEAP認証方法を伝える下位レイヤである。PANAは2つのエンティティ間の認証処理を可能にするが、全AAA及びアクセス制御枠組みの一部だけである。PANAを用いるAAA及びアクセス制御枠組みはいかに検討するように及び図1(A)乃至1(C)に概略的に示されるように4つの機能的エンティティを含んでいる。
第1機能的エンティティはPANAクライアント(PaC)がPANAプロトコルのクライアントによる実施であることである。このエンティティはネットワークアクセスを要求しているエンドホストに存在する。エンドホストは、有線又は無線インタフェースに接続される、例えば、ラップトップ、PDA、携帯電話、デスクトップPC及び/又は同様なものを含む。PaCはネットワークアクセスを要求し、PANAプロトコルを用いて認証処理に従事するために応答できる。
第2機能的エンティティはPANA認証エージェント(PAA)がPANAプロトコルのサーバによる実施であることである。PAAはネットワークアクセスサービスのために複数PaCを認証及び委任するため複数PaCとインタフェースすることを管理する。PAAはPaCの信任状及び権利を確認するために認証サーバを調べる。認証サーバがPAAと同じホストにあれば、アプリケーションプログラムインタフェース(API)がこの相互関係に十分である。それらが別々であれば(公衆アクセスネットワークでは多く起こるケース)、プロトコルは両者の間で実行するために使用される。この目的のために次のものが一般的に使用される。即ち、LDAP [Hodges, J. and R. Morgan, Lightweight Directory Access Protocol (v3): Technical Specification, September 2002参照. Hodges, J. and R. Morgan, Lightweight Directory Access Protocol (v3): Technical Specification, RFC 3377, September 2002]及びRADIUS のようなAAA プロトコル[Rigney, C., Willens, S., Rubens, A. and W. Simpson, Remote Authentication Dial In User Service (RADIUS), June 2000参照. Rigney, C., Willens, S., Rubens, A. and W. Simpson, Remote Authentication Dial In User Service (RADIUS), RFC 2865, June 2000] 及び Diameter [Calhoun, P., Loughney, J., Guttman, E., Zorn, G. and J. Arkko, Diameter Base Protocol, September 2003参照.Calhoun, P., Loughney, J., Guttman, E., Zorn, G. and J. Arkko, Diameter Base Protocol, RFC 3588, September 2003]
PAAは委任状態の作成及び削除に依存してアクセス制御状態(即ち、フィルタ)を更新するためにも応答する。PAAは更新状態をネットワークの実施ポイントに伝える。PAA及びEPは同じホストに存在すれば、APIはこの通信に十分である。そうでなければ、プロトコルが認証済みクライアント属性をPAAからEPに伝えるために使用される。他のプロトコルを禁止しないが、現在、SNMP [Mghazli, Y., Ohba, Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana-snmp-00 (work in progress), April 2004参照]がこのタスクのために示唆されていた。
PAAは委任状態の作成及び削除に依存してアクセス制御状態(即ち、フィルタ)を更新するためにも応答する。PAAは更新状態をネットワークの実施ポイントに伝える。PAA及びEPは同じホストに存在すれば、APIはこの通信に十分である。そうでなければ、プロトコルが認証済みクライアント属性をPAAからEPに伝えるために使用される。他のプロトコルを禁止しないが、現在、SNMP [Mghazli, Y., Ohba, Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana-snmp-00 (work in progress), April 2004参照]がこのタスクのために示唆されていた。
PAAはローカルエリアネットワークで一般にネットワークアクセスサーバ(NAS)と呼ばれるノードに存在する。PAAはPaCと同じIPサブネットにおける任意のIP可能ノードに受け入れられる。例えば、DSLネットワークにおけるBAS(broadband access server)又は3GPP2ネットワークにおけるPDSNに受け入れられる。
第3機能的エンティティは認証サーバ(AS)であり、この認証サーバはネットワークアクセスサーバを要求しているPaCの信任を確認することを管理しているサーバによる実施である。ASはPaCsに代わりPAAから要求を受け、認証パラメータ(例えば、許可済み帯域幅、IP構成など)と共に認証の結果に応答する。ASはPAAと同じホストで、アクセスネットワークの専用ホストで、又はインターネットの何処かのセントラルサーバで受け入れられる可能性がある。
第4機能エンティティは実施ポイント(EP)であり、これは他人によるアクセスを防止しながら認証済みクライアントにアクセスを許可することを管理しているアクセス制御実施である。EPはPAAから認証済みクライアントの属性を学習する。EPはデータパケットを選択的に許可及び破棄するために非暗号化又は暗号化フィルタを用いる。これらのフィルタはリンクレイヤ又はIPレイヤに適用されてもよい。暗号アクセス制御が使用されるとき、安全関連プロトコルがPaCとEP間でラン(実行)するために必要である。リンク又はネットワークレイヤ保護(例えば、TKIP, IPsec ESP)は安全関連プロトコルが完全性保護、データ起源認証、リプレイ保護及随意的秘密性保護を可能すするために必要なセキュリティ関連を確立した後に使用される。EPはネットワークへの非認証クライアントのアクセスを最小にするためにローカルエリアネットワークに戦略的に設けるべきである。例えば、EPは有線ネットワークにおいてクライアントに直接接続されるスイッチに受け入れることができる。このように、EPは非認証パケットが任意の他のクライアントホストに到達する前又はローカルエリアネットワークを越えて非認証パケットを破棄できる。
幾つかのエンティティは展開シナリオに依存して同じ箇所に配置される。例えば、PAA及びEPはDSLネットワークの同じノード(BAS)にある可能性がある。その場合に、PAAとEPとの間で単純なAPIで十分である。小規模展開では、PAA及びASは2つの間のプロトコルランの必要性を除外する同じノード(例えば、アクセスルータ)で受け入れることができる。これらのエンティティを同じ箇所に配置する決定又は他の方法及びネットワークトポロジーでのそれらの正確な位置が展開決定となる。
安全関連のためのIKE又は4方向ハンドシェイクプロトコルを使用するのはPANAを実行する前に任意の下位レイヤセキュリティが存在しないときに必要とされるだけである。(例えば、DSLのような)物理的に安全なネットワーク又はPANA実行(例えば、cdma2000)以前にリンクレイヤで既に暗号的に安全であるネットワークが付加的安全関連及びパケット単位の暗号化を必要としない。これらネットワークはPANA認証及び承諾を既に利用可能な下位レイヤ安全チャンネルに接続できる。
アクセスネットワークのEPは認可済みPaCからの一般データトラフィックを可能にするが、非許諾PaCに対しては制限されたタイプのトラフィック(例えば、PANA, DHCP, ルータディスカバリ)だけを許可する。これは新たに配属されたクライアントがPANAに加わる最小アクセスサービスを持ち、無制限サービスを許諾することを確認する。
PaCはPANAを実行する前にIPアドレスを設定する必要がある。展開シナリオによってPANA認証が成功した後は、PaCはそのIPアドレスを再設定又は付加的IPアドレスを設定する必要があるかもしれない。付加的アドレス設定は安全関連プロトコル実行の一部として実行できる。
最初に許諾されなかったPaCがアクセスネットワークにPAAを見つけることによってPANA認証を開始し、続いてPANAにわたってEAP交換を行う。PAAはこの処理中にASと交信する。ASから認証及び許諾結果を受け取ると、PAAはそのネットワークアクセス要求の結果についてPaCに知らせる。
PaCがネットワークへのアクセスを得ることを許諾されると、PAAもPaC特定属性(例えば、IPアドレス、暗号化キーなど)を、SNMPを用いてEPに送る。EPはこの情報を用いてPaCとのデータトラフィックを通過させることを可能にする。
暗号化アクセス制御がPANA認証後に可能とする必要がある場合、安全関連プロトコルがPaCとEP間で実行する。PaCはPAN交換成功の結果としてこの処理への入力パラメータを既に持っているはずである。同様に、EPはSNMPを介してPAAからそれらを得ているはずである。安全関連交換は暗号化データトラフィック保護を可能にするためPaCtoEP間の要求セキュリティ関連を生成する。パケット当たりの暗号データトラフィック保護は付加的なパケット当たりオーバヘッドを導入するが、オーバヘッドはPaCとEP間だけに存在し、EPを越えて通信に影響しないはずである。その意味では、EPをできるだけネットワークの端に近づけることが重要である。
最終にデータトラフィックは新たに許諾されたPaCに対する流れを開始できる。
MPA枠組み
メディア独立事前認証(Media-independent Pre-Authentication:MPA)は任意のリンクレイヤにわたって、かつ任意のモビリティ管理プロトコルによって機能するモバイル補助、安全引継ぎ最適化方式である。MPAによって、モバイルノードはIPアドレス及び他の設定パラメータを候補目標ネットワークから安全に得ることができるだけでなく、候補目標ネットワークが目標ネットワークになるとモバイルノードが候補目標ネットワークに帰属する前に、得られたIPアドレス及び他の設定パラメータを用いてIPパケットを送受信できる。これはモバイルノードが任意のモビリティ管理プロトコルの結合更新を完了し、リンクレイヤで引継ぎを行う前に新たな着付きアドレスを使用することを可能にする。
メディア独立事前認証(Media-independent Pre-Authentication:MPA)は任意のリンクレイヤにわたって、かつ任意のモビリティ管理プロトコルによって機能するモバイル補助、安全引継ぎ最適化方式である。MPAによって、モバイルノードはIPアドレス及び他の設定パラメータを候補目標ネットワークから安全に得ることができるだけでなく、候補目標ネットワークが目標ネットワークになるとモバイルノードが候補目標ネットワークに帰属する前に、得られたIPアドレス及び他の設定パラメータを用いてIPパケットを送受信できる。これはモバイルノードが任意のモビリティ管理プロトコルの結合更新を完了し、リンクレイヤで引継ぎを行う前に新たな着付きアドレスを使用することを可能にする。
これは、現ネットワークへの接続性を有するがまだ候補目標ネットワークに接続されていないモバイルノードが(i)次のプロトコル実行を確実にするため候補目標ネットワークとのセキュリティ関連を確立すること、(ii)モバイルノードと候補目標ネットワークのアクセスルータとの双方向トンネルを確立するトンネル管理プロトコルだけでなく候補目標ネットワークからIPアドレスと他の設定パラメータを得る設定プロトコルを確実に実行すること、(iii)取得したIPアドレスをトンネル内部アドレスとして用いてトンネルにわたって、モビリティ管理プロトコルの結合更新のための信号メッセージ及び結合更新完了後に送信されたデータパケットを含むIPパケットを送受信すること、そして最後に(iv)それが目標ネットワークになったときの候補目標ネットワークに接続される直前にトンネルを削除又は無力化とし、それからモバイルノードがインタフェースを介して目標ネットワークに接続される直後にその物理インタフェースに削除又は無力化トンネルの内部アドレスを再割り当てすることを可能にすることによって得られる。
特に、第3手順は、モバイルがリンクレイヤ引継ぎを開始する前に上位レイヤ引継ぎを完了することを可能にする。これはモバイルがトンネルにわたる結合更新の完了後に送信されるデータパケットの送受信を可能にするが、トンネル外での結合更新の完了前に送信されるデータパケットの送受信も可能にすることを意味する。
MPAの上述した4つの基本的手順において、第1手順は「事前認証」と称し、第2手順は「事前設定」と称し、第3及び第4手順の組み合わせは「安全事前策引継ぎ」と称する。事前認証を介して確立されるセキュリティ関連は「MPA-SA」と称する。事前設定を介して確立されるトンネルは「事前策引継ぎトンネル」と称する。
MPA枠組みでは、次の機能素子がモバイルノードと通信するための各候補目標ネットワーク、即ち認証エージェント(AA),設定エージェント(CA)及びアクセスルータ(AR)に存在すると考えられる。これら素子の幾つか又は全ては単一のネットワークサービス又は別個のネットワークサービスに設けることができる。
認証エージェントは事前認証に応答できる。認証プロトコルはモバイルノードと認証エージェントの間で実行され、MPA-SAを確立する。認証プロトコルはモバイルノードと認証エージェントとの間でキーを得ることができなければならなく、相互認証を与えることができなければならない。認証プロトコルは認証保証をAAA基盤で適切な認証サービスを伝えるためにRADIUS及びDiameterのようなAAAプロトコルと交流できるようにする必要がある。この取得キーは、事前設定及び安全事前策引継ぎに使用されるメッセージ交換を保護するために使用されるキーを更に取得するために使用される。ブートストラッピングリンクレイヤ及び/又はネットワークレイヤ暗号に使用される他のキーもMPA-SAから取得される。
設定エージェントは事前設定の一部に応答できる、即ち、IPアドレス及び他の設定パラメータをモバイルノードに安全に送るために設定プロトコルを安全に実施する。設定プロトコルの信号メッセージはMPA-SAに対応するキーから得られるキーを使用して保護されなければならない。
アクセスルータは事前設定の他の部分に応答するルータであり、即ち、事前策引継ぎトンネルをモバイルノードに確立し、事前策引継ぎトンネルを用いて事前策引継ぎを確保するためにトンネル管理プロトコルを安全に実行する。設定プロトコルの信号メッセージはMPA-SAに対応するキーから得られるキーを使用して保護されなければならない。事前策引継ぎトンネルを介して送信されるIPパケットはMPA-SAに対応するキーから得られるキーを用いて保護されるべきである。
ここで記載されている幾つかの好適実施形態では、方式及び方法は異なる媒体の高位レイヤ及び下位レイヤ内容を事前策的に確立するために説明されている。ここで、媒体は、例えば、(例えば、有線、無線許諾又は無線非許諾などの)モバイル装置にアクセスできる有効ネットワークを含む。例えば、I.E.E.E. 802.21を含むI.E.E.E. 802に記載された媒体を参照。媒体は、例えば、無線LAN(例えば、I.E.E.E. 802.11)、I.E.E.E. 802.16, I.E.E.E. 802.20, ブルーツース(登録商法)などを含む。幾つかの具体的な例は、1) セルラネットワークから無線又はWIFIネットワーク、例えば、無線インタフェースを同時に確立するよりもセルラインタフェース及び最初にセルラネットワークを介して情報(例えば、キーなど)を得ることによってWIFIアクセスを得ようと試みる無線インタフェースを備える携帯電話に切り換えるモバイル装置、2)モバイル装置が現在無線又はWIFI接続性を有する場合、無線LANが素早く遮断されるなどの可能性がある場合、一例として、モバイル装置がセルラネットワークを介して事前認証を事前策として行うことができる(即ち、必要なら敏速切換を可能にするような)場合を含む。ある具体的な事例では、単一IEEE 802.xxインタフェースを備えるモバイルノードは多数のサブネット及び多数の許容領域間で移動できる。多数のインタフェースを常に稼動状態にしていることが選択肢であるが、モバイルノードは(例えば、電力を保存するなどのような)ある状態において未使用インタフェースを動作停止したいかもしれない。更に、MPAは、特に、多数のインタフェースを使用するだけでなく、インタサブネットハンドオフ、インタドメインハンドオフ、インタテクノロジハンドオフなどに機能する安全及びシームレスモビリティ最適化を提供できる。
背景参照
この発明は、特に、下記参照文献に記載された方式及び方法の種々の発展及び改良を提供する。文献の全開示は参照によりここに援用される。
この発明は、特に、下記参照文献に記載された方式及び方法の種々の発展及び改良を提供する。文献の全開示は参照によりここに援用される。
1. [I-D.ietf-pana-pana] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H. and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", draft-ietf-pana-pana-08 (work in progress), May 2005.
2. [I-D.ohba-mobopts-mpa-framework] A. Dutta, Y. Ohba, K. Taniuchi and H. Schulzrinne, "A Framework of Media-Independent Pre-Authentication (MPA)", draft-ohba-mobopts-mpa-framework-00 (work in progress), February 2005.
3. [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
4. [I-D.ietf-pana-mobopts] Forsberg, D., "PANA Mobility Optimizations", draft-ietf-pana-mobopts-00 (work in progress), January 2005.
5. [I-D.bournelle-pana-ctp] Bournelle, J., "Use of Context Transfer Protocol (CxTP) for PANA", draft-bournelle-pana-ctp-03 (work in progress), June 2005.
6. [I-D.ietf-seamoby-ctp] Loughney, J., "Context Transfer Protocol", draft-ietf-seamoby-ctp-11 (work in progress), August 2004.
2. [I-D.ohba-mobopts-mpa-framework] A. Dutta, Y. Ohba, K. Taniuchi and H. Schulzrinne, "A Framework of Media-Independent Pre-Authentication (MPA)", draft-ohba-mobopts-mpa-framework-00 (work in progress), February 2005.
3. [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
4. [I-D.ietf-pana-mobopts] Forsberg, D., "PANA Mobility Optimizations", draft-ietf-pana-mobopts-00 (work in progress), January 2005.
5. [I-D.bournelle-pana-ctp] Bournelle, J., "Use of Context Transfer Protocol (CxTP) for PANA", draft-bournelle-pana-ctp-03 (work in progress), June 2005.
6. [I-D.ietf-seamoby-ctp] Loughney, J., "Context Transfer Protocol", draft-ietf-seamoby-ctp-11 (work in progress), August 2004.
本発明は、上記又は他の背景技術及び/又はその問題を改良する。
幾つかの好適実施形態によると、ビジタネットワークのモバイルノードとモバイルノードが移動できる他のネットワークの認証エージェントとの間にセキュリティ関連を事前策的に確立する方法は通信が事前認証セキュリティを確立するためか否かを示すメッセージヘッダのフラグを用いて事前認証を交渉することを含み、モバイルノード及び認証エージェントの一方がメッセージヘッダのフラグセットを持つメッセージを送信することによって事前認証を開始し、モバイルノードと認証エージェントの他方が事前認証をサポートしている場合に限りメッセージヘッダのフラグセットに応答する。幾つかの例では、この方法は、他のネットワークのサーバでモバイルノードと認証エージェントとの間にリンクレイヤ寛容ネットワークアクセス認証プロトコルを用いて事前認証を行うことを含む。幾つかの他の例では、この方法は更に多数の管理領域にわたって事前認証を行うことを含む。幾つかの他の例では、この方法は更に媒体独立事前認証の枠組みにおいて事前認証を行うことを含む。幾つかの他の例では、この方法は更にビジタネットワークが第1媒体用であり、他のネットワークは異なる媒体用であることを含み、第1媒体は携帯電話のものであり、他のネットワークは無線LAN又は第1媒体は無線LANであり、異なる媒体は携帯電話用であることを含む。幾つかの他の例では、この方法は更にモバイルノードと認証エージェントの他方が事前認証をサポートしなければエラーメッセージに応答することを含む。
幾つかの他の例では、この方法はネットワークアクセス認証プロトコルとしてPANAを採用することを含む。好適実施形態では、この方法はフラグがPANAヘッダにPフラグを含めさせることを含む。ある例では、この方法は、モバイルノードが事前認証を開始するためにPフラグセットを持つPANA-PAA-Discoverメッセージを送信させること、又は認証エージェントが事前認証を開始するためにPフラグセットを持つPANA-Start-Requestメッセージを送信させることを含む。
幾つかの実施形態によると、ビジタネットワークから、モバイルノードが移動できる他のネットワークの認証エージェントとのセキュリティ関連性を事前策的に確立するよう構成されるモバイルノードは、通信が事前セキュリティ関連性を確立するためか否かを示すメッセージヘッダのフラグを使用して事前許諾を取り決めるように構成されるモバイルノード、及びモバイルノード及び認証エージェントの一方がメッセージヘッダに設定されたフラグと共にメッセージを送信することによってモバイルノードが事前認証を開始し、モバイルノード及び認証エージェントの他方が認証をサポートしている場合に限りメッセージヘッダに設定されたフラグに応答するこのモバイルノードを含む。
幾つかの実施形態によると、ビジタネットワークからモバイルノードとのセキュリティ関連を事前策的に確立するよう構成されるが、モバイルノードが移動できる他のネットワークに存在する認証エージェントは、通信が事前認証セキュリティ関連を確定するためか否かを示すメッセージヘッダのフラグを用いて事前認証を取り決めるように構成される認証エージェント、及びモバイルノード及び認証エージェントの一方がメッセージヘッダに設定されたフラグと共にメッセージを送信することによって事前認証を開始し、モバイルノードと認証エージェントの他方が事前認証をサポートする場合に限りメッセージヘッダに設定されたフラグに応答する認証エージェントを含む。
上記及び/又は他の態様、各種実施形態の特徴及び/又は利点は添付図面と関連して下記の説明を鑑みて更に分かるようになる。更に、各種実施形態は1以上の形態又は適用可能な場合他の実施形態の特徴を組み合わすことができる。特定実施形態の態様、特徴及び/又は利点の記載は他の実施形態及び特許請求の範囲を限定するように解釈されるべきでない。
本発明の好適実施形態が添付図面に一例として示されるが、それに限定されない。
本発明は多くの異なる形態で実施できるが、多数の具体的な実施形態は、この明細書が発明の原理に実例を提供すると考えるべきであり、ここに記載され図示された好適実施形態に発明を限定する意図はない。
以下の検討では、次のような用語が採用されている。
アクセスネットワーク:PaCが1以上のPAAによって制御される1以上のEPを介してインターネットにアクセスできるネットワークである。アクセスネットワークは多数のIPリンクにより構成できる。
ローカルPAA:PaC(PANAクライアント)が接続されるビジタネットワークに存在するPAA(PANA認証エージェント)である。用語「ローカル」は特別のPaCの場所に関連する。
リモートPAA:ビジタネットワーク以外のネットワークに存在するPAAである。用語「リモート」は特別のPaCの場所に関連する。1つのPaCに対するリモートPAAは他のPaCに対するローカルPAAであってもよい。
ローカルPaC:特別のPAAと同じアクセスネットワークに存在するPaCである。用語「ローカル」は特定のPaCの場所に関連する。
リモートPaC:特別のPAAに対するローカルPaCでないPaCである。用語「リモート」は特別のPAAの場所に関連する。1つのPAAに対するリモートPaCであるPaCは他のPAAに対するローカルPaCであってもよい。
アクティブPAA:PaCがPANAセッションを持つためのローカルPAAである。
準備PAA:PaCと事前認証を行うリモートPAAである。1つのPaCに対する準備PAAとして寄与しているPAAは他のPaCに対するアクティブPAAとして寄与できる。
事前認証:一例として、PANA環境では、これはPaCと準備PAAとの間で行われる認証を含むことができる。
事前認証SA:一例として、PANA環境では、事前認証の成功の結果としてPaCと準備PAAとの間に確立されるPANA SA(Security Association)である。
アクティブSA:一例として、PANA環境では、PaCとアクティブPAAとの間に確立されるPANA SAである。
事前認証:一例として、PANA環境では、事前認証の成功の結果として準備PAAによってPaCに対してなされる認証である。
事後認証:一例として、PANA環境では、準備PAAとして作用していた、かつアクティブPAAとなっていたPAAによってPaCに対してなされた認証である。
1.好適実施形態
好適実施形態は、特に、ビジタネットワークのPaCとPaCが移動するあのネットワークのPAAとの間にPANA SA (Security Association)を積極的に確立するために使用されるPANAプロトコル[I-D.ietf-pana-pana]への拡張を規定する。好適実施形態では、メカニズムは多数の管理領域にわたり機能する。更に、メカニズムはMPA (Media-independent Pre-authentication)の各組みの中で認証プロトコルとして使用されることが好ましい。
好適実施形態は、特に、ビジタネットワークのPaCとPaCが移動するあのネットワークのPAAとの間にPANA SA (Security Association)を積極的に確立するために使用されるPANAプロトコル[I-D.ietf-pana-pana]への拡張を規定する。好適実施形態では、メカニズムは多数の管理領域にわたり機能する。更に、メカニズムはMPA (Media-independent Pre-authentication)の各組みの中で認証プロトコルとして使用されることが好ましい。
1.(多数のPANAセッション)。事前認証をサポートするPaCはローカルPAAの1つに対するPANAセッションに加えてPAAを準備PAAに対して1以上のPANAセッションを持つことができる。
2.(事前認証の開始)。事前認証はPaC及びPAAの両方によって開始できる。
3.(事前認証の折衝)。新フラグPフラグはPANAヘッダで規定される。事前認証が行われると、PANAメッセージはこのPANA実行が事前認証を確立するためのものかどうかを示す新フラグを含む。好適実施形態では、事前認証は次のようにPANAディスカバリ(発見)及び初期ハンドシェイクフェーズで取り決められる。
PaCが事前認証を開始すると、それはPANA-PAA-DiscoverメッセージをPフラグセットで送る。PAAはそれが事前認証をサポートするときだけPフラグセットでPANA-Start-Requestメッセージに応答する。さもなければ、それは新Result Code "PANA_HDR_BIT_UNSUPPORTED"でPANA-Errorメッセージを送る。
PaC及びPAAがディスカバリ及びハンドシェイクフェーズ中に事前認証を行うことに同意したら、それらの間で交換される次のPANAがPフラグセットを持つ必要がある。
4.(事前認証SAからアクティブSAへの切換)。準備PAAはPaCの動きによりアクティブPAAとなると、PaCはPAAが野勝っているリモートネットワークから得られるPaC新アドレスのPAAを更新するためにPANA-Update交換を用いてIPアドレス更新手順を実行する。PANA-Update手順が完了すると、事前認証SAをアクティブSAに変更することになる。pフラグがPANA-Updateメッセージ及び次のPANAメッセージに設定されない。
5.(準備PAAを変更しないでアクティブPAAを変更しての引継ぎ)。アクティブPAAを持つアクティブSA及び準備PAAを持つ事前認証SAを有するPaCが準備PAAを変更しないでそのアクティブPAAを変更するとき、PaCは新アクティブPAAが残っているリモートネットワークから得られるPaC新アドレスのPAAを更新するためにPANA-Update交換を用いてIPアドレス更新手順を実行する。PANA-Update手順が完了すると、事前認証SAをアクティブSAに変更しなくなる。pフラグがPANA-Updateメッセージ及び次のPANAメッセージに設定される。
6.(事前認証SAの削除)。事前認証SA及びPaCと事前認証との間の対応PANAセッションがPANAプロトコルの終了段階を入力し、その段階に必要な手順を行うことによって削除できる。
7.(リモートPAAを発見)。リモートPAAを発見するためには種々の方法があり、当業者により実行できる、IEEE 802.21で規定されている情報サービスを含む。
8.(準備PAAの場所)。準備PAAは事前認証をサポートしないPAAと同様に設置する必要がある。例えば、各アクセスリンクに、又はネットワークの中心に向かうアクセスリンクを越える何処かに設置できる。
9.(認証)。PaCのための事前許諾及び事後許諾は異なる許諾ポリシーを持つことができる。例えば、事前許諾ポリシーはPaCが準備PAAの制御下でEPを介してパケットを送受信することを許容しなくできるが、事前許諾及び事後許諾ポリシーの両方がEPへ証明を行うことを可能にする。但し、証明はパレット当たりの暗号フィルタリングのためにセキュリティ関連性を確立するために使用される。
2.更なる検討
PANAプロトコル[I-D.ietf-pana-pana参照]はアクセスネットワークにおいてPaC(PANAクライアント)とPAA(PANA認証エージェント)との間でEAPメッセージを伝達する。PaCがモバイル装置であり、そのアプリケーションを実行しながら1つのアクセスネットワークから他のネットワークに移動できれば、PaCが引継ぎ期間中にアプリケーションの性能を低下することなく引継ぎを途切れなく行うことが望ましい。引継ぎが新アクセスネットワークにおいてPAAを持つPANAセッションを確立するためにPaCを要求すると、PANAセッションを確立する信号化はできるだけ早く完了しなければならない。
PANAプロトコル[I-D.ietf-pana-pana参照]はアクセスネットワークにおいてPaC(PANAクライアント)とPAA(PANA認証エージェント)との間でEAPメッセージを伝達する。PaCがモバイル装置であり、そのアプリケーションを実行しながら1つのアクセスネットワークから他のネットワークに移動できれば、PaCが引継ぎ期間中にアプリケーションの性能を低下することなく引継ぎを途切れなく行うことが望ましい。引継ぎが新アクセスネットワークにおいてPAAを持つPANAセッションを確立するためにPaCを要求すると、PANAセッションを確立する信号化はできるだけ早く完了しなければならない。
引継ぎのときに新PAAを持つPANAセッションを確立するために信号化遅延を減少するコンテンツトランスファプロトコル(CTP)[I-D.ietf-seamoby-ctp参照]に基づく最適化方法がある[I-D.ietf-pana-mobopts 参照] [I-D.bournelle-pana-ctp参照]。
CTPに基づく方法は次の欠陥を含む多数の問題点を有する。第1には、異なる管理領域においてPAA間のセキュリティ関連が実際には困難であるので多数の管理領域にわたって引継ぎを適用することは容易でない。第2に、単一管理領域内でも、CTPに基づく方法は先の及び新アクセスネットワークが、例えば、NAP及びISP分離認証の使用中のような異なる認証特性を持っているときに実行することは難しい。第3に、CTPに基づく方法は、PAA間に十分な暗号分離を行わない前アクセスネットワークにおいてPaCとPAA間に使用されるAAA-Keyから、新ネットワークにおいてPaCとPAA間に使用されるPANA_MAC_Keyを取得することに依存する。
CTPに基づく方法に関する問題に対処するために、好適実施形態は、EAP認証を積極的に実行し、アクセスネットワークのPaCとPaCが移動できる他のアクセスネットワークとの間にPANAを確立するために使用されるPANAプロトコル[I-D.ietf-pana-pana参照]へ拡張する。好適実施形態では、この方法は多数の管理領域にわたり行う。更に、この方法はMPA (Media-independent Pre-authentication)の枠組み内で認証プロトコルとして使用することが好ましい[I-D.ohba-mobopts-mpa-framework参照]。
これらの方法はCTPに基づく方法(即ち、単一管理領域における同質の許諾特性)によって保護される状況を補填できるけれども、幾つかの好適実施形態では、これらの方法はCTPに基づく方法を代えることがない。その代わりに、ある好適実施形態では、これらの方法はCTPに基づく方法によって保護されない場合に採用される。故に、CTPに基づく方法によって保護される場合は、CTPに基づく方法が使用できる。
事前認証手順
上述したように、事前認証をサポートするPaCはローカルPAAの1つに対するPANAセッションに加えて準備PAAに対する1以上のPANAセッションを持つことができる。先にも述べたように、リモートPAAを発見するために多数の方法が可能であるが、リモートPAAディスカバリ及びリモートPaCディスカバリはこの提案の範囲外である。更に、リモートPAA事前認証が行われるとき及びどれによって行うかについて多数の基準があってもよい。そのような基準は環境に依存し、実施仕様とすることができる。
上述したように、事前認証をサポートするPaCはローカルPAAの1つに対するPANAセッションに加えて準備PAAに対する1以上のPANAセッションを持つことができる。先にも述べたように、リモートPAAを発見するために多数の方法が可能であるが、リモートPAAディスカバリ及びリモートPaCディスカバリはこの提案の範囲外である。更に、リモートPAA事前認証が行われるとき及びどれによって行うかについて多数の基準があってもよい。そのような基準は環境に依存し、実施仕様とすることができる。
事前認証はPaC及びPAAの両方によって開始できる。上述したように、好適実施形態では、新フラグPフラグがPANAヘッダに規定されている。事前認証が行われるとき、PANAメッセージのPフラグはこのPANA実行が事前認証SAを確立するためであるか否かを示すために設定される。好適実施形態では、事前認証は次のようにPANAディスカバリ及びハンドシェイクフェイズで取り決められる。
PaCが事前認証を開始すると、それはPフラグセットを持つPANA-PAA-Discoverメッセージを送る。PANA-PAA-Discoverメッセージはユニキャストでなければならない。PAAは事前認証をサポートしたときだけPフラグセットを持つPANA-Start-Requestメッセージに応答する。さもなければ、メッセージを無許可で破棄せねばならない。
準備PAAが事前認証を開始すると、Pフラグセットを持つPANA-Start-Requestを送る。PaCは事前認証をサポートしたときだけPフラグセットを持つPANA-Start-Answerメッセージに応答する。さもなければ、無許可でメッセージを破棄せねばならない。
PaC及び準備PAAがディスカバリ及びハンドシェイクフェーズ中に事前認証を行うことに一度同意してしまうと、それらの間で交換する次のPANAメッセージはPフラグセットを持つ必要がある。
準備PAAがPaCの移動によりアクティブPAAとなると、PaCはPAAをPAAが存在しているリモートネットワークから得られるPaCの新アドレスに更新するためにPANA-Update交換を用いてIPアドレス更新手順を実行する。PANA-Update手順が完了すると、事前認証SAをアクティブSAに変更することになる。PフラグはPANA-Updateメッセージ及び次のPANAメッセージに設定されない。
準備PAAを持つ事前認証SAだけでなくアクティブPAAとともにアクティブSAを持つPaCが準備PAAを変更しないでアクティブPAAを変更すると、PaCは新アクティブPAAが存在するリモートネットワークから得られるPaCの新アドレスのPAAを更新するためにPANA-Update交換を用いてIPアドレス更新手順を実行する。PANA-Update手順が完了すると、事前認証SAをアクティブSAに変更されないことになる。
事前認証SA及びPaCと事前認証済PAAとの間の対応PANAセッションがPANAプロトコルの終了段階に入り、その段階の要求手順を行うことによって削除できる。
参考のために、PaC開始事前認証のための具体的及び非制限的例の呼フローが図1に示されている。この関連で、アクセスネットワークにおけるPaCはローカルPAA(I-PAA)とともにPANAセッションを確立する。ある時点で、それは他のアクセスネットワークにおけるリモートPAA(r-PAA)に事前認証するためのトリガを受ける。このとき、PaCはPビットセットを持つPANA-PAA-Discoverメッセージを送ることによって事前認証手順を開始する。PANAメッセージは全てのメッセージのためのPビットセットとともにPaCとr−PAAとの間で交換される。事前認証及び事前承諾ためのPANA交換が首尾よく完了すると、事前認証SAがPaCとI-PAA間に確立されることになる。一方、PaCとI-PAA間に確立されたアクティブSAは活性を維持する。事前認証SAを確立した後のある時点で、PaCはr−PAAのアクセスネットワークに移動する。このとき、PaCはPANA-Update交換を開始し、PAAにIPアドレス変更を知らせる。このPANA-Update交換においては、Pビットは設定されていない。PANA-Update交換及び事後認証手順が首尾よく完了すると、事前認証SAはアクティブSAとなる。PaCとI-PAAとの間のアクティブSAはPaCが前のアクセスネットワークに直ちに復帰する状況に対応するためにしばらくの間活性を維持していてもよい。
参考のため、PAA開始事前認証のための他の例の呼フローが図2に示されている。この関連で、アクセスネットワークのPaCはローカルPQQ(I-PP)を持つPANAセッションを確立する。ある時点で、他のアクセスネットワークのリモートPAA(r−PAA)はPaCに事前認証するためのトリガを受ける。このとき、PAAは、例えば、Pフラグセットを持つPANA-Start-Requestを送信するような事前認証手順を開始する。このとき、PaCは事前認証をサポートしたときだけPフラグセットを持つPANA-Start-Answerメッセージ(PSA)に応答する。その後、図2に示すように、呼フローは図1を参照した上述したものに沿っている。
PANA拡張
上述したように、好適実施形態においては、新PフラグはPANAヘッダのフラグフィールドに規定されている。この関連で、図3はPフラグの具体的実施形態を示す。好適実施形態では、認証が行われるとき、PANAメッセージのPフラグはこのPANA実行が事前印象SAを確立するためであるか否かを示すために設定される。このフラグは上述したように使用できる。好ましい実施では、このフラグはインターネット・アサインド・ナンバー・オーソリティ(IANA)によって割り当てられることになる。故に、好適実施形態では、PANAヘッダのフラグフィールド内の新フラグは、例えば、新フラグが事前認証のためのビット3(Pフラグ)である具体的な例におけるように割り当てられることになる。
上述したように、好適実施形態においては、新PフラグはPANAヘッダのフラグフィールドに規定されている。この関連で、図3はPフラグの具体的実施形態を示す。好適実施形態では、認証が行われるとき、PANAメッセージのPフラグはこのPANA実行が事前印象SAを確立するためであるか否かを示すために設定される。このフラグは上述したように使用できる。好ましい実施では、このフラグはインターネット・アサインド・ナンバー・オーソリティ(IANA)によって割り当てられることになる。故に、好適実施形態では、PANAヘッダのフラグフィールド内の新フラグは、例えば、新フラグが事前認証のためのビット3(Pフラグ)である具体的な例におけるように割り当てられることになる。
許諾及びアカウンティング検討
場合によっては、PaCの事前許諾及び事後許諾は異なる許諾ポリシーを持つことができる。例えば、事前認証ポリシーはPaCが準備PAAの制御下で実施ポイント(EPs)を介してパケットを送受信することを許容しないかもしれないが、事前許諾及び事後許諾ポリシー両方がEP(s)に証明を行うことを可能にするかもしれない。但し、証明はパケット当たりの暗号化フィルタリングのためのセキュリティ関連性を確立するために使用される。事前許諾ポリシーに依存して、PaCのための事前認証SAを持つPAAは事前認証SAが確立された直後にアカウンティングを開始でき、又は事前認証SAがアクティブSAとなるまではアカウンティングを開始できない。
場合によっては、PaCの事前許諾及び事後許諾は異なる許諾ポリシーを持つことができる。例えば、事前認証ポリシーはPaCが準備PAAの制御下で実施ポイント(EPs)を介してパケットを送受信することを許容しないかもしれないが、事前許諾及び事後許諾ポリシー両方がEP(s)に証明を行うことを可能にするかもしれない。但し、証明はパケット当たりの暗号化フィルタリングのためのセキュリティ関連性を確立するために使用される。事前許諾ポリシーに依存して、PaCのための事前認証SAを持つPAAは事前認証SAが確立された直後にアカウンティングを開始でき、又は事前認証SAがアクティブSAとなるまではアカウンティングを開始できない。
%%セキュリティ検討
好適実施形態では、この明細書に記載された貴校は多数のアクセスネットワークわたって働くように設計されているので、各EP(実施ポイント)はPaCが事前認証を開始することを回避するためにローカルPAAを持つアクティブSAを有する場合に限り異なるアクセスネットワークでPaCと準備PAAとの間にPANAメッセージが送られるように構成する必要がある。事前認証はリモートPAAによって開始されると、PaCは事前認証を開始する多数のリモートPAAと同時に通信することができる。好適実施形態では、ソースアドレスを変更することによってPaCに対する事前認証を開始する無差別攻撃によって生じるPaCへの起こり得る資源消費攻撃を回避するために、PaCは通信できるPAAの最大数を制限する必要がある。
好適実施形態では、この明細書に記載された貴校は多数のアクセスネットワークわたって働くように設計されているので、各EP(実施ポイント)はPaCが事前認証を開始することを回避するためにローカルPAAを持つアクティブSAを有する場合に限り異なるアクセスネットワークでPaCと準備PAAとの間にPANAメッセージが送られるように構成する必要がある。事前認証はリモートPAAによって開始されると、PaCは事前認証を開始する多数のリモートPAAと同時に通信することができる。好適実施形態では、ソースアドレスを変更することによってPaCに対する事前認証を開始する無差別攻撃によって生じるPaCへの起こり得る資源消費攻撃を回避するために、PaCは通信できるPAAの最大数を制限する必要がある。
発明の広い範囲
発明の具体的実施形態が説明してきたが、この発明はここに記載された種々の好適実施形態に限定されないが、この明細書に基づいた技術のものによって分かるように等化な素子を持つ任意及び全ての実施形態、変形例、削除、(種々実施形態の態様の)組み合わせ、適応及び/又は変更を含む。(例えば、後に追加されるものを含む)請求項の限定は請求項で使用されている言語に基づいて広く解釈されるものであり、この明細書に又は出願の継続中に記載され、非排他的となるように構成される例に限定されない。例えば、この明細書では、用語「好ましくは」は非排他的であり、「好ましいが限定されない」ことを意味する。この明細書に及びこの出願の継続中において、手段プラス機能又はステッププラス機能の限定は特定の請求項の限定に対して次の条件、即ち、a)「ための手段」又は「ためのステップ」が明確に記載され、b)対応する機能が明確に記載され、そしてc)構成、物質又はその構成を裏づけする作用が記載されていないことがその限定に含まれる。この明細書において及びこの出願の継続中での言語「本発明」又は「発明」はこの明細書内で1以上の態様を参照として使用してもよい。言語本発明又は発明は臨界の識別として不適切に解釈されるべきでなく、全ての態様又は実施形態に渡って適用するように不適切に解釈されるべきでなく(即ち、本発明が多数の態様及び実施形態を有することは理解されるべきである)、そして出願又は請求項の範囲を限定するように不適切に解釈されるべきでない。この明細書において及びこの出願の継続中において、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、それらの任意の組み合わせ及び/又はそれらの任意の部分などを説明するために使用できる。ある例では、種々の実施形態が重複する特徴を含んでもよい。この明細書では、略語、「例えば」を表すe.g.及び「注目」を意味する「NB」が使用されている。
発明の具体的実施形態が説明してきたが、この発明はここに記載された種々の好適実施形態に限定されないが、この明細書に基づいた技術のものによって分かるように等化な素子を持つ任意及び全ての実施形態、変形例、削除、(種々実施形態の態様の)組み合わせ、適応及び/又は変更を含む。(例えば、後に追加されるものを含む)請求項の限定は請求項で使用されている言語に基づいて広く解釈されるものであり、この明細書に又は出願の継続中に記載され、非排他的となるように構成される例に限定されない。例えば、この明細書では、用語「好ましくは」は非排他的であり、「好ましいが限定されない」ことを意味する。この明細書に及びこの出願の継続中において、手段プラス機能又はステッププラス機能の限定は特定の請求項の限定に対して次の条件、即ち、a)「ための手段」又は「ためのステップ」が明確に記載され、b)対応する機能が明確に記載され、そしてc)構成、物質又はその構成を裏づけする作用が記載されていないことがその限定に含まれる。この明細書において及びこの出願の継続中での言語「本発明」又は「発明」はこの明細書内で1以上の態様を参照として使用してもよい。言語本発明又は発明は臨界の識別として不適切に解釈されるべきでなく、全ての態様又は実施形態に渡って適用するように不適切に解釈されるべきでなく(即ち、本発明が多数の態様及び実施形態を有することは理解されるべきである)、そして出願又は請求項の範囲を限定するように不適切に解釈されるべきでない。この明細書において及びこの出願の継続中において、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、それらの任意の組み合わせ及び/又はそれらの任意の部分などを説明するために使用できる。ある例では、種々の実施形態が重複する特徴を含んでもよい。この明細書では、略語、「例えば」を表すe.g.及び「注目」を意味する「NB」が使用されている。
Claims (19)
- ビジタネットワークのモバイルノードとこのモバイルノードが移動できる他のネットワークの認証エージェントとの間のセキュリティ関連性を積極的に確立する方法であって、
通信が事前認証セキュリティ関連性を確立するためか否かを示すメッセージヘッダのフラグを用いて事前認証を取り決めることを含み、
前記モバイルノード及び前記認証エージェントの一方がそのメッセージヘッダ内のフラグセットを持つメッセージを送信することによって事前認証を開始し、前記モバイルノード及び前記認証エージェントの他方が事前認証をサポートする場合に限りそのメッセージヘッダ内のフラグセットに応答し、
前記モバイルノードが前記ビジタネットワークから前記他のネットワークに移動する前に事前認証セキュリティ関連性を確立する方法。 - 前記モバイルノード及び前記他のネットワークのサーバにある前記認証エージェントとの間でリンクレイヤ寛容ネットワークアクセス認証プロトコルを用いて前記事前認証を行うことを更に含む、請求項1記載の方法。
- 多数の管理領域にわたり前記事前認証を行うことを更に含む、請求項1の方法。
- メディア独立事前認証の枠組みにおいて前記事前認証を行うことを更に含む、請求項1記載の方法。
- 前記ビジタネットワークは第1メディア用であり、前記他のネットワークは異なるメディア用であり、前記第1メディアは携帯電話であり、前記異なるメディアは無線LANであり、又は前記第1メディアは無線LANであり、前記異なるメディアは携帯電話である、請求項1記載の方法。
- 前記ネットワークアクセス認証プロトコルとしてPANAを使用することを更に含む、請求項2記載の方法。
- 前記フラグはPANAヘッダにPフラグを含ませることを更に有する、請求項6記載の方法。
- 前記モバイルノードは事前認証を開始するためにPフラグセットを持つPANA−PAA−Discoverメッセージを送信させることを更に含む、請求項6記載の方法。
- 前記認証エージェントは事前認証を開始するためにPフラグセットを持つPANA−Start−Requestメッセージを送信させることを更に含む、請求項6記載の方法。
- 前記モバイルノードをPaCとして動作させ、前記認証エージェントをPAAとして動作させることを更に含む、請求項6記載の方法。
- PaC及びPAAが事前認証を行うことに一度同意すると、それらの間で交換される次のPANAメッセージがPフラグセットを持つことを更に含む、請求項10記載の方法。
- 準備PAAがPaCの移動によりアクティブPAAとなると、PaCはPAAが存在するリモートネットワークから得られるPaCの新アドレスのPAAを更新するためにPANA−Update変換を用いてIPアドレス更新手順を行う、請求項10記載の方法。
- PフラグはPANA−Updateメッセージ及び次のPANAメッセージには設定されない、請求項12記載の方法。
- PaCがアクティブPAAを持つアクティブSAを有し、準備PAAを持つ事前認証SAが準備PAAを変更しないでアクティブPAAを変更すると、PaCは新アクティブPAAが存在するリモートネットワークから得られるPaCの新アドレスのPAAを更新するためにPANA−Update交換を用いてIPアドレス更新手順を実行する、請求項10記載の方法。
- PANA更新手順が完了すると、事前認証SAはアクティブSAに変更されないことになる、請求項14記載の方法。
- PフラグはPANA−Updateメッセージ及び次のPANAメッセージに設定されることを更に含む、請求項15記載の方法。
- モバイルノードの事前認証及び事後認証は異なる許諾ポリシーを含ませることを更に含む、請求項1記載の方法。
- ビジタネットワークから、モバイルノードが移動できる他のネットワークの認証エージェントとセキュリティ関連性を事前策的に確立するように構成されるモバイルノードであって、
前記モバイルノードは通信が事前認証セキュリティ関連性を確立する目的かどうかを示すメッセージヘッダのフラグを使用して事前認証を取り決めるように構成され、
前記モバイルノードは前記モバイルノード及び前記認証エージェントの一方がそのメッセージヘッダのフラグセットを持つメッセージを送信することによって事前認証を開始し、前記モバイルノード及び前記認証エージェントの他方が事前認証をサポートする場合に限りメッセージヘッダのフラグセットに応答し、
前記ビジタネットワークから前記他のネットワークに移動する前に事前認証セキュリティ関連性を確立するモバイルノード。 - ビジタネットワークからモバイルノードとセキュリティ関連性を事前策的に確立するように構成され、モバイルノードが移動できる他のネットワークに存在する認証エージェントであって、
前記認証エージェントは通信が事前認証セキュリティ関連性を確立するためであるかどうかを示すメッセージヘッダのフラグを用いて事前認証を取り決めるように構成され、
前記認証エージェントは前記モバイルノード及び前記認証エージェントの一方がメッセージヘッダのフラグセットを持つメッセージを送信することによって事前認証を開始し、
前記モバイルノードと前記認証エージェントの他方は事前認証をサポートする場合に限りメッセージのフラグセットに応答し、
前記モバイルノードが前記ビジタネットワークから前記他のネットワークに移動する前に事前認証セキュリティ関連性を確立する認証エージェント。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US59516905P | 2005-06-13 | 2005-06-13 | |
| US11/308,175 US8565185B2 (en) | 2005-04-13 | 2006-03-09 | Framework of media-independent pre-authentication support for PANA |
| PCT/JP2006/312207 WO2006135082A1 (en) | 2005-06-13 | 2006-06-13 | Framework of media-independent pre-authentication support for pana |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008512892A JP2008512892A (ja) | 2008-04-24 |
| JP4592754B2 true JP4592754B2 (ja) | 2010-12-08 |
Family
ID=36998132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007529462A Expired - Fee Related JP4592754B2 (ja) | 2005-06-13 | 2006-06-13 | Pana用メディア独立事前認証サポート構成 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8565185B2 (ja) |
| EP (1) | EP1900175A1 (ja) |
| JP (1) | JP4592754B2 (ja) |
| KR (1) | KR100807652B1 (ja) |
| CN (2) | CN1989756A (ja) |
| CA (1) | CA2611943C (ja) |
| WO (1) | WO2006135082A1 (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7646710B2 (en) | 2003-07-28 | 2010-01-12 | Nortel Networks Limited | Mobility in a multi-access communication network |
| US20070082656A1 (en) * | 2005-10-11 | 2007-04-12 | Cisco Technology, Inc. | Method and system for filtered pre-authentication and roaming |
| US9723520B1 (en) | 2005-12-20 | 2017-08-01 | Microsoft Technology Licensing, Llc | Location based mode switching for dual mode mobile terminals |
| WO2007088451A2 (en) * | 2006-02-03 | 2007-08-09 | Nokia Corporation | Encapsulation techniques for handling media independent handover (mih) information services messages |
| US7869438B2 (en) * | 2006-08-31 | 2011-01-11 | Symbol Technologies, Inc. | Pre-authentication across an 802.11 layer-3 IP network |
| US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
| JP4216876B2 (ja) | 2006-12-21 | 2009-01-28 | 株式会社東芝 | 通信端末を認証する装置、方法およびプログラム |
| WO2008091517A1 (en) * | 2007-01-19 | 2008-07-31 | Kabushiki Kaisha Toshiba | Kerberized handover keying |
| US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
| US8036367B2 (en) | 2007-03-19 | 2011-10-11 | Google Inc. | Flexible communication systems and methods |
| JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
| JP4970189B2 (ja) * | 2007-08-10 | 2012-07-04 | 株式会社東芝 | 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム |
| KR101467780B1 (ko) * | 2007-10-17 | 2014-12-03 | 엘지전자 주식회사 | 이기종 무선접속망간 핸드오버 방법 |
| US8190897B2 (en) * | 2007-12-13 | 2012-05-29 | Motorola Solutions, Inc. | Method and system for secure exchange of data in a network |
| WO2010129475A2 (en) * | 2009-05-03 | 2010-11-11 | Kabushiki Kaisha Toshiba | Media independent handover protocol security |
| CN101932057B (zh) * | 2009-06-22 | 2013-08-28 | 华为技术有限公司 | 切换处理方法、切换处理的通信装置及通信系统 |
| JPWO2011064858A1 (ja) * | 2009-11-26 | 2013-04-11 | 株式会社東芝 | 無線認証端末 |
| JP5378296B2 (ja) * | 2010-05-10 | 2013-12-25 | 株式会社東芝 | 通信装置および通信方法 |
| EP2751702B1 (en) | 2011-09-01 | 2018-05-16 | Google LLC | Establishing network connections |
| US8750475B1 (en) | 2012-02-01 | 2014-06-10 | Google Inc. | Determining cost effective ways of communicating |
| GB201211565D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining availability of an acess network |
| GB201211568D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining network availability based on geographical location |
| GB201211580D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining suitablity of an access network |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19900436B4 (de) | 1999-01-08 | 2016-12-01 | Ipcom Gmbh & Co. Kg | Verfahren zum Handover, Mobilstation für ein Handover und Basisstation für ein Handover |
| US6711408B1 (en) | 2000-02-05 | 2004-03-23 | Ericsson Inc. | Position assisted handoff within a wireless communications network |
| CN1186959C (zh) * | 2000-04-19 | 2005-01-26 | 中国联合通信有限公司 | 一种无线虚拟漫游系统和实现方法 |
| FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| US7873163B2 (en) * | 2001-11-05 | 2011-01-18 | Qualcomm Incorporated | Method and apparatus for message integrity in a CDMA communication system |
| WO2003086002A1 (en) * | 2002-04-11 | 2003-10-16 | Nortel Networks Limited | Resource optimization in a wireless ip network |
| US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| US6879803B2 (en) * | 2003-04-29 | 2005-04-12 | Lexmark International, Inc. | Belt fuser for a color electrophotographic printer |
| CN1568031A (zh) * | 2003-06-20 | 2005-01-19 | 华为技术有限公司 | 基于无线局域网的无线蜂窝数据系统及其实现方法 |
| US8233450B2 (en) * | 2004-09-10 | 2012-07-31 | Interdigital Technology Corporation | Wireless communication methods and components for facilitating multiple network type compatibility |
| US7477747B2 (en) * | 2005-02-04 | 2009-01-13 | Cisco Technology, Inc. | Method and system for inter-subnet pre-authentication |
-
2006
- 2006-03-09 US US11/308,175 patent/US8565185B2/en active Active
- 2006-06-13 EP EP06766871A patent/EP1900175A1/en not_active Withdrawn
- 2006-06-13 CN CNA2006800004059A patent/CN1989756A/zh active Pending
- 2006-06-13 CA CA2611943A patent/CA2611943C/en not_active Expired - Fee Related
- 2006-06-13 CN CN2013102559701A patent/CN103327022A/zh active Pending
- 2006-06-13 KR KR1020067027203A patent/KR100807652B1/ko active IP Right Grant
- 2006-06-13 WO PCT/JP2006/312207 patent/WO2006135082A1/en active Application Filing
- 2006-06-13 JP JP2007529462A patent/JP4592754B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20070008926A1 (en) | 2007-01-11 |
| CN1989756A (zh) | 2007-06-27 |
| JP2008512892A (ja) | 2008-04-24 |
| US8565185B2 (en) | 2013-10-22 |
| CA2611943C (en) | 2014-09-16 |
| CN103327022A (zh) | 2013-09-25 |
| WO2006135082A1 (en) | 2006-12-21 |
| KR100807652B1 (ko) | 2008-02-28 |
| KR20070090741A (ko) | 2007-09-06 |
| EP1900175A1 (en) | 2008-03-19 |
| CA2611943A1 (en) | 2006-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4592754B2 (ja) | Pana用メディア独立事前認証サポート構成 | |
| JP4763700B2 (ja) | 動的かつ安全なトンネル確立方法 | |
| JP5955352B2 (ja) | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ | |
| JP5728543B2 (ja) | 媒体非依存事前認証改善策のフレームワーク | |
| KR100932325B1 (ko) | 복수의 pana 세션 | |
| CA2675837C (en) | Solving pana bootstrapping timing problem | |
| JP5232887B2 (ja) | 媒体非依存事前認証改善策のフレームワーク |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091104 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100203 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100210 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100304 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100311 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100401 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100408 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100506 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100914 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4592754 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| LAPS | Cancellation because of no payment of annual fees | ||
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |