JP4763700B2 - 動的かつ安全なトンネル確立方法 - Google Patents
動的かつ安全なトンネル確立方法 Download PDFInfo
- Publication number
- JP4763700B2 JP4763700B2 JP2007527946A JP2007527946A JP4763700B2 JP 4763700 B2 JP4763700 B2 JP 4763700B2 JP 2007527946 A JP2007527946 A JP 2007527946A JP 2007527946 A JP2007527946 A JP 2007527946A JP 4763700 B2 JP4763700 B2 JP 4763700B2
- Authority
- JP
- Japan
- Prior art keywords
- pana
- client
- authentication
- address
- authentication agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
Description
ネットワークとインターネットプロトコル:
最も有名なインターネットとともに多様な種類のコンピュータネットワークがある。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは何百万ものユーザが使用できる公開された自立したネットワークである。インターネットはTCP/IP(つまり伝送制御プロトコル/インターネットプロトコル)と呼ばれている一式の通信プロトコルを使用して、ホストを接続する。インターネットはインターネットバックボーンとして公知の通信インフラストラクチャを有する。インターネットバックボーンに対するアクセスは、主として企業及び個人のアクセスをリセールするインターネットサービスプロバイダ(ISP)によって制御されている。
無線ネットワークは、例えばセルラー電話と無線電話、PC(パソコン)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレスフォン、ページャ、ヘッドホン、プリンタ、PDA等の種々のタイプのモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するためにデジタルシステムを含んでよい。典型的なモバイル機器は、以下の構成要素のいくつか又はすべてを含む。つまり、トランシーバ(つまり、例えば送信機、受信機、及び所望される場合他の機能が統合されたシングルチップトランシーバ等を含む送信機と受信機)、アンテナ、プロセッサ、1台又は複数台の音声トランスデューサ(例えば、音声通信用のデバイスにおいてのようなスピーカ又はマイク)、(例えば、ROM、RAM、データ処理が提供されるデバイスにおいてのようなデジタルデータ記憶装置等の)電磁データ記憶装置、メモリ、フラッシュメモリ、フルチップセット又は集積回路、(例えばUSB、CODEC、UART、PCM等の)インタフェース、及び/又は類似物である。
・[RFC2003] C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月.
・[RFC2004] C.Perkins, “Minimal Encapsulation within IP”, RFC2004, 1996年10月.
・[RFC2784] D.Farinacciら, “Generic Routing Encapsulation (GRE)”, RFC2784, 2000年3月.
・[RFC2401] S.Kent and R.Atkins, “Security Architecture for the Internet Protocol”, RFC2401, 1998年11月.
・[RFC3344] C.Perkins, “IP Mobility Support for IPv4”, RFC3344, 2002年8月.
・[RFC3775] C.Perkinsら, “IP Mobility Support for IPv6”, 2004年6月.
・[RFC2409] D.Harkins and D.Carrel, “The Internet Key Exchange (IKE)”, RFC2409, 1998年11月.
・[IKEv2] C.Kaufman, “Internet Key Exchange (IKEv2) Protocol”, Internet-Draft, draft-ietf-ipsec-ikev2-14.txt, work in progress, 2004年11月.
・[RFC3748] B.Abobaら, “Extensible Authentication Protocol (EAP)”, RFC3748, 2004年6月.
・[PANA−FRWK] P.Jayaraman, “PANA Framework”, Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, 2004年7月.
・[PANA] D.Forsbergら, “Protocol for Carrying Authentication for Network Access (PANA)”, Internet-Draft, draft-ietf-pana-pana-05.txt, work in progress, 2004年7月.
・[PANA−IPSEC] M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet-Draft, draft-ietf-pana-ipsec-03.txt, 2004年5月.
インターネットプロトコルは、イーサネット(登録商標)及びPPP(Point-to-Point Protocol)を含む様々なリンク層上でネットワークレイヤ・パケット(すなわち、インターネットプロトコルにおけるIPデータグラム)を運ぶ方法を定義する。IPデータグラムは、“IPリンク”上で運ばれることも可能であり、そこでは、他のIPデータグラムのペイロードにカプセル化されて伝送される。この技術は、“IPトンネリング”又は“トンネリング”と呼ばれる。トンネリングは、データグラムを、最初のIPヘッダにおけるIP宛先アドレス・フィールド(のネットワークパート)に基づいては選択されないであろう中間の宛先へ伝えることによって、データグラムのための通常のルーティングを変更する手段として使用される[C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月を参照]。カプセル化されたデータグラムがこの中間の宛先ノードへ到着すると、それはデカプセル化されて、最初のIPデータグラムが生成され、これが、最初の宛先アドレス・フィールドにより指示される宛先へ伝えられる。トンネリングの機能性を提供するIPリンクは、“トンネル”と呼ばれる。そして、トンネリングにおけるIPリンクのエンカプシュレータ及びデカプシュレータは、トンネルの“エンドポイント”に存在するように考慮される。
PANA:
参考のために、「P.Jayaraman、 “PANA Framework”、Internet-Draft、draft-ietf-pana-framework-01.txt、work in progress、2004年7月」からのPANAに関する情報が本明細書の本項に組み込まれている。この点で、PANAは、ネットワークにアクセスを希望するノードとネットワーク側のサーバの間で実行するリンク層にとらわれないネットワークアクセス認証プロトコルである。PANAは、新しいEAP[B.Abobaら, “Extensible Authentication Protool(EAP)”, RFC3748, 2004年6月を参照]を定義し、下位層ではプロトコルエンドポイント間でIPを使用する。
PANA設計は、多様なタイプの配備にサポートを提供する。アクセスネットワークは、より下位の層のセキュリティの可用性、PANAエンティティの設置、クライアントIP構成の選択、及び認証方法等に基づいて異なることがある。
「P.Jayaraman, “PANA Framework”, Internet−Draft, draft−ietf−pana−framework−01.txt, work in progress, 2004年7月」にて議論されているように、このモデルにおいて、データトラフィックは、IPsecトンネルモードのSAを用いることによって保護され、IPアドレスは、PaCのデバイス識別子として使用される。APのいくつか又は全て、DHCPv4サーバ(PRPAのDHCPv4サーバ及びIPsec−TIAのDHCPv4サーバを含む)、DHCPv6サーバ、PAA及びEPは、単一の機器に配置されてもよい。EPは、AR(アクセスルータ)と同一位置に配置される。また、EPは、PAAと同一位置に配置されてもよい。EP及びPAAが同一位置に配置されない場合、PAA−EPプロトコルは、PAAとEPとの間の通信のために使用される。
参考のために、現在のPANAの仕様書(http://www.ietf.org/internet−drafst/draft−ietf−pana−pana−10.txt)において、“デバイス識別子”(DI)は、デバイスのネットワークアクセスを制御し及び取り締まるためのハンドルとしてネットワークにより使用される識別子として定義されている。アクセス技術に応じて、この識別子は、プロトコルヘッダにより伝送されるアドレス(例えば、IP層又はリンク層のアドレス)、又は接続された機器のローカルプロトコルスタックにより利用できるように作成された、ローカルに重要な識別子(例えば、回路ID、PPPインタフェースID)を含んでもよい。
PANA移動操作(PANA Mobility Operations)というタイトルのPANAワーキンググループのドキュメント(draft−ietf−pana−mobopts−00.txt 1で見つけられる)の全開示は参照してここに組み込まれる。このドキュメントは、PANAを用いたPANA認証クライアント(PaC)は、サブネット間(例えば、PAA間)移動においてEAP/PANAを完全に実行することが要求されることを説明し、及びシームレスな移動が要求される場合に、AAAサーバによる完全なEAP認証を実行する必要のあることが、望ましくないレイテンシを引き起こすであろうことを説明する。それゆえに、PaCがPAA間のハンドオーバーを遂行する毎にEAPを実行する必要を除去するために、このドキュメントのアウトラインは、ベースのPANAの仕様書を拡張する。このスキームは、実在している他のPAAとのセッションに基づく新たなPAAとの新たなPANAセッションの作成を許容する。このドキュメントは、新たなPANAセッションの生成は、EAPベースの認証の実行を要求しないが、その代わりに、前のPAAから新たなPAAへ適切な状態情報を届けるために、コンテキスト転送ベースのスキームが使用される。参考のために、移動性を最適化したPANAの実行を描写したコールフローは、前記ドキュメントに示されている。前記ドキュメントは、次のフローを説明している。すなわち、PaCが既に承認されサブネット1に接続され、ここに前PAAが存在し、そして、PaCがサブネット1からサブネット2へのハンドオーバーを遂行し、そして、PANAディスカバリーとハンドシェイクのフェイズが実行され、そして、PSAに含まれるパラメータに応答して、PANAセッションのコンテキストが前PAAから新PAAへ転送され、最後に、PANAバインドが、PANA認証の成功の信号を交換する。EAP認証は発生しない。結果として、モバイルPaCのネットワークアクセス認証の遂行は、コンテキスト転送ベースの機構を配置することによって、強化することができ、ここで、いくつかのセッション属性は、完全なEAP認証を遂行することを避けるために、前PAAから新PAAへ転送される。
動的にトンネルを確立するための現存する方法は、例えば以下に示すような様々な問題を有する。
図1(A)、図1(B)、図1(C)及び図2は、本発明のいくつかの実施形態で採用されてもよい、いくつかの例示的なアーキテクチャー要素を描いている。この点で、図1(A)は、PANAを用いたいくつかの例示的な実施に従って4つの基本的な機能要素、すなわち、PANAクライアント(PaC)、PANA認証エージェント(PAA)、認証サーバ(AS)及び施行ポイント(EP)を例示する概略図である。図1(B)は、いくつかの例示的な実施に従って第1のアクセスポイント(AP)及び第2のアクセスポイント(AP)と通信するモバイルクライアントを描いた概略図である。図1(C)は、いくつかの例示的な実施に従って採用されてもよいオーセンティケータ及びクライアントの機能要素を例示する概略図であり、ここで、オーセンティケータは、とりわけEAPサーバ及びPANAサーバ(PAA)の機能を含み、一方、クライアントは、とりわけEAPクライアント及びPANAクライアント(PaC)の機能を含む。図2は、IPsecトンネリングによって、同時に複数のVPNを確立するような方法で、第1のアクセスルータ(pAR)及び第2のアクセスルータ(nAR)と通信するモバイルクライアントを描いた概略図である。
好ましい実施形態は、動的にトンネルを確立するために、PANAの仕様書で既に定義されているメソッドを使用することができる。すなわち、IPsecトンネルモードは、トンネリングメソッドとして使用することができ、1以上のトンネルのエンドポイントは、PANA−Bind−Requestメッセージにおいて運ばれるEP−Device−Id AVP(属性値ペア)を通したPANAシグナリングにおいて特定することができる。提案されたスキームは、好ましくは、IPsecトンネルモードを使用する。なぜならば、それは、安全なトンネルを提供し、また、NATの環境下においてさえ動作するからである。IPsecトンネルは、好ましくは、IKEv1又はIKEv2を用いて確立される。ここで、要求されたIKEクレデンシャルは、[M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet−Draft, draft−ietf−pana−ipsec−03.txt, 2004年5月]で詳述された方法を用いることによって、PANAからブートストラップされる。
いくつかの場合、NATルータは、あるNAT状態を維持される。例として、NATルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、NATがそのアドレス変換状態を消去することを阻止するようにするために、ピアライブネステストのために定義されたPANAメッセージ交換(例えば、PANA−Reauth−Request/Answer)が、ある頻度(例えば、ある時間間隔で)遂行されることができる。
いくつかの例では、PaCは、あるPAAからもう一つのPAAへ移動するモバイルPaCであってもよい。いくつかの実施形態では、PANAクライアントが、同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立した場合、それが新たなIPリンクへ移動することを知っていれば、同一のPANA移動ハンドリング手順を遂行することができる。
本発明の幅広い範囲:
本発明の例示的な実施形態を本明細書に説明してきたが、本開示に基づいて当業者により理解されるように、本発明は本明細書に説明されている多様な好ましい実施形態に限定されるのではなく、同等な要素、変型、省略、(例えば、多様な実施形態全体での態様の)組み合わせ、適応、及び/又は改変を有するあらゆるすべての実施形態を含む。(例えば、後に加えられるものを含む)請求項における制限は請求項で利用される言語に基づいて幅広く解釈されるべきであり、本明細書に、あるいは出願の手続き追行の間に説明される例に限定されず、その例は包括的と解釈されるべきである。例えば、本開示では、用語「好ましくは」は包括的であり、「好ましいが、限定されない」を意味する。本開示では、及び本開示の手続き追行中、手段プラス機能(means-plus-function)又はステッププラス機能(step-plus-function)の制限は、特定の請求項の制限について、以下の条件のすべてがその制限内に存在する場合にだけ利用される。つまりa)「のための手段」又は「のためのステップ」は、明示的に列挙され、b)対応する機能は明示的に列挙され、及びc)その構造をサポートする構造、材料又は行為が列挙される。本開示において、及び本出願の手続き追行中、用語「本発明」又は「発明」は、本開示の中で1つ又は複数の態様に対する参照として使用されてよい。言語本発明又は発明は、臨界の識別として理解されてはならず、すべての態様又は実施形態全体で当てはまると不適切に解釈されてはならず(つまり、本発明は多数の態様と実施形態を有することが理解されるべきである)、出願つまり請求項の範囲を制限すると不適切に解釈されてはならない。本開示では、及び本願の手続き追行の間、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、その組み合わせ、及び/又はその任意の部分等を説明するために使用できる。いくつかの例では、多様な実施形態は重複する特長を含むことがある。本開示では、以下の省略された用語、つまり「例えば」を意味する「e.g.」が利用されてよい。
Claims (15)
- モバイル機器のための動的かつ安全なトンネル確立方法であって、
コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含み、
同一のIPリンク上に存在しないクライアントと認証エージェントとの間でプロトコルが動作することを許容するために、該クライアントのデバイス識別子が、複数のクライアントの識別を可能にするために再定義されるように、該クライアントのIPアドレスだけでなく、複数のクライアントを識別できるように該クライアントから送信されたメッセージのソースポート番号も、該クライアントのデバイス識別子として使用されることを更に含み、
前記認証エージェントのデバイス識別子が、複数の認証エージェントの識別を可能にするために再定義されるように、前記認証エージェントのIPアドレスだけでなく、該認証エージェントから送信されたメッセージのソースポート番号も、該認証エージェントのデバイス識別子として使用されることを更に含み、
前記クライアントから異なる複数のエンドポイントへの複数のIPsecトンネルを確立すること(他のエンドポイントに関する認証結果に応じて、トンネルのエンドポイントを新たなエンドポイントに動的に割り当てることを含む)を更に含み、
先行するPANA認証の結果に応じて、トンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンク上には存在しないPANAクライアントに動的に割り当てるように、PANAプロトコルを拡張することを更に含み、
ここで、同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、(a)該PANAクライアントから該PANA認証エージェントへ送信されるメッセージについて、該PANAクライアントのIPアドレスだけでなく、該PANAクライアントから送信される該PANAメッセージのソースポート番号も、該PANAクライアントのPANAデバイス識別子として使用され、及び、(b)該PANA認証エージェントから該PANAクライアントへ送信されるメッセージについて、該PANA認証エージェントのIPアドレスだけでなく、該PANA認証エージェントから送信されたPANAメッセージの前記ソースポート番号も、該PANA認証エージェントのPANAデバイス識別子として使用される方法。 - モバイル機器のための動的かつ安全なトンネル確立方法であって、
コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含み、
ここで、前記方法は、前記PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンク上には存在しないPANAクライアントに動的に割り当てることを含み、
同一のネットワークアドレス変換ルータの背後に存在する複数のクライアントを識別できるように、前記クライアントのIPアドレス及び該クライアントから送信された認証メッセージのUDPソースポート番号を、該クライアントのデバイス識別子として使用することを更に含み、
同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、前記PANAクライアント又はPANA認証エージェントのIPアドレスだけでなく、同一のネットワークアドレス変換ルータの背後に存在する複数のPANAクライアントを識別できるように該PANAクライアント又はPANA認証エージェントから送信されたPANAメッセージの前記UDPソースポート番号も、該PANAクライアント又はPANA認証エージェントのデバイス識別子として使用されることを更に含み、
前記クライアントから異なる複数のエンドポイントへの複数のIPsecトンネルを確立すること(他のエンドポイントに関する認証結果に応じて、トンネルのエンドポイントを新たなエンドポイントに動的に割り当てることを含む)を更に含み、
先行するPANA認証の結果に応じて、トンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンク上には存在しないPANAクライアントに動的に割り当てるように、PANAプロトコルを拡張することを更に含む方法。 - 前記PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANA認証メッセージを、UDP宛先ポートとしてPANAのために割り当てられたUDPポート番号を指定して、前記PANA認証エージェントに送信することによってPANAセッションを開始し、該PANA認証エージェントは、PANA−Start−Request及びこれに続くPANA認証メッセージを、UDP宛先ポートとして前記PDIのUDPソースポートを指定して、該PANAクライアントへ送信することを更に含む請求項1または2に記載の方法。
- PANA認証メッセージ交換を実行することを更に含み、
前記PANA認証メッセージ交換を実行することは、
前記PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANAメッセージを、PANAのために割り当てられたUDPポート番号を指定して、ネットワークアドレス変換ルータの背後の前記PANA認証エージェントに送信することによって、PANAセッションの開始者になることと、
前記PANA認証エージェントが、PANA−Start−Request及びこれに続くPANAメッセージを、前記PDIのUDPソースポートを指定して、該PANAクライアントに送信することと、
前記PANA認証エージェント及び前記PANAクライアントが、前記PANAクライアントと前記複数のエンドポイントのそれぞれとをバインディングするために、PANA−Bind−Request及びPANA−Bind−Answerメッセージ交換を実行することを含む請求項1または2に記載の方法。 - 複数のIPsecゲートウェイのために確立されたIKEの信用証明書を使用することを含む前記PANA認証メッセージ交換に基づいて、複数のIPsecトンネルを確立することを更に含み、
前記IKEの信用証明書は、PANAからブートストラップされる請求項4に記載の方法。 - IKEのあるバージョンを用いて前記複数のIPsecトンネルを確立することを更に含み、
前記IPsecトンネルは、前記モバイル機器と、複数の異なるIPsecゲートウェイとの間に確立されるものであり、
前記IPsecトンネルの各々は、再認証を要求することなしに、前記先行するPANA認証に基づいて確立されるものである請求項1ないし5のいずれか1項に記載の方法。 - EAP認証によって前記複数の安全なトンネルを確立することを更に含む請求項1ないし6のいずれか1項に記載の方法。
- ネットワークアドレス変換ルータがクライアントと認証エージェントとの間に存在する場合に、該ネットワークアドレス変換ルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項1ないし7のいずれか1項に記載の方法。
- ネットワークアドレス変換ルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、該ネットワークアドレス変換ルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項1ないし8のいずれか1項に記載の方法。
- 前記ネットワークアドレス変換ルータがそのアドレス変換状態を消去することを阻止するように、ピアライブネステストのために定義されたPANAメッセージ変換を遂行することを更に含む請求項9に記載の方法。
- 同一のIPリンク上に存在しない認証エージェントとのセッションを確立したクライアントが、それが新たなIPリンクに移動することを知っている場合に、移動ハンドリング手順を行うことを更に含む請求項1ないし10のいずれか1項に記載の方法。
- 前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項11に記載の方法。
- 同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立したPANAクライアントが、それが新たなIPリンクに移動することを知っている場合に、PANA移動ハンドリング手順を行うことを更に含む請求項1ないし12のいずれか1項に記載の方法。
- 前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項13に記載の方法。
- 前記モバイルは、ソースIPアドレスがネットワークアドレス変換ルータ(NAT)の横断前は初期的にPaCのアドレスのそれであり且つ該NATの横断後は該NATのアドレスのそれであり、宛先ソースアドレスが初期PANA−PAA−Discoverメッセージについてはマルチキャストアドレスであり且つ後のメッセージについてはPAAのIPアドレスであり、前記宛先ポートがPANAポートであるメッセージを、PANA認証エージェント(PAA)に送信するPANAクライアント(PaC)を含む請求項1ないし14のいずれか1項の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US60198004P | 2004-08-17 | 2004-08-17 | |
US60/601,980 | 2004-08-17 | ||
US11/161,733 US8046829B2 (en) | 2004-08-17 | 2005-08-15 | Method for dynamically and securely establishing a tunnel |
US11/161,733 | 2005-08-15 | ||
PCT/US2005/029120 WO2006023494A2 (en) | 2004-08-17 | 2005-08-16 | A method for dynamically and securely establishing a tunnel |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008512010A JP2008512010A (ja) | 2008-04-17 |
JP4763700B2 true JP4763700B2 (ja) | 2011-08-31 |
Family
ID=35910889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007527946A Expired - Fee Related JP4763700B2 (ja) | 2004-08-17 | 2005-08-16 | 動的かつ安全なトンネル確立方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8046829B2 (ja) |
EP (1) | EP1784942B1 (ja) |
JP (1) | JP4763700B2 (ja) |
CA (1) | CA2577418C (ja) |
WO (1) | WO2006023494A2 (ja) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7561574B2 (en) * | 2006-02-23 | 2009-07-14 | Computer Associates Think, Inc. | Method and system for filtering packets within a tunnel |
US20080095114A1 (en) * | 2006-10-21 | 2008-04-24 | Toshiba America Research, Inc. | Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication |
JP4216876B2 (ja) * | 2006-12-21 | 2009-01-28 | 株式会社東芝 | 通信端末を認証する装置、方法およびプログラム |
JP4643596B2 (ja) * | 2007-01-11 | 2011-03-02 | 株式会社東芝 | 端末装置を認証する装置、方法、プログラム、端末装置、および端末装置の通信を中継する装置 |
EP1956791A1 (en) * | 2007-02-09 | 2008-08-13 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
US8356176B2 (en) | 2007-02-09 | 2013-01-15 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
EP2003858A1 (en) * | 2007-06-14 | 2008-12-17 | Nokia Siemens Networks Oy | Performing interactive connectivity checks in a mobility environment |
WO2009066439A1 (ja) * | 2007-11-22 | 2009-05-28 | Panasonic Corporation | 通信方法、通信システム、モバイルノード及び通信ノード |
US20090193247A1 (en) * | 2008-01-29 | 2009-07-30 | Kiester W Scott | Proprietary protocol tunneling over eap |
US9112909B2 (en) * | 2008-02-13 | 2015-08-18 | Futurewei Technologies, Inc. | User and device authentication in broadband networks |
US8621198B2 (en) * | 2008-02-19 | 2013-12-31 | Futurewei Technologies, Inc. | Simplified protocol for carrying authentication for network access |
JP2009232044A (ja) * | 2008-03-21 | 2009-10-08 | Toshiba Corp | 通信の中継先を決定する通信システム、中継先の情報を通知する装置、方法、プログラム、およびip電話端末 |
US8051185B2 (en) * | 2008-05-16 | 2011-11-01 | Fastsoft, Inc. | Network communication through a specified intermediate destination |
WO2010057120A2 (en) * | 2008-11-17 | 2010-05-20 | Qualcomm Incorporated | Remote access to local network |
KR101358897B1 (ko) * | 2008-11-17 | 2014-02-05 | 퀄컴 인코포레이티드 | 보안 게이트웨이를 통한 로컬 네트워크에 대한 원격 액세스 |
US20110085552A1 (en) * | 2009-10-14 | 2011-04-14 | Electronics And Telecommunications Research Institute | System and method for forming virtual private network |
WO2011064858A1 (ja) * | 2009-11-26 | 2011-06-03 | 株式会社 東芝 | 無線認証端末 |
CN102845125B (zh) * | 2010-04-16 | 2016-06-22 | 交互数字专利控股公司 | 使用移动网际协议的单元间转移支持 |
JP5378296B2 (ja) * | 2010-05-10 | 2013-12-25 | 株式会社東芝 | 通信装置および通信方法 |
KR101589574B1 (ko) * | 2011-01-14 | 2016-01-28 | 노키아 솔루션스 앤드 네트웍스 오와이 | 비신뢰 네트워크를 통한 외부 인증 지원 |
US8990892B2 (en) * | 2011-07-06 | 2015-03-24 | Cisco Technology, Inc. | Adapting extensible authentication protocol for layer 3 mesh networks |
US8676954B2 (en) * | 2011-12-06 | 2014-03-18 | Kaseya International Limited | Method and apparatus of performing simultaneous multi-agent access for command execution through a single client |
TW201434292A (zh) * | 2012-10-15 | 2014-09-01 | Interdigital Patent Holdings | 邊緣組件失效切換恢復方法 |
US9602470B2 (en) * | 2013-05-23 | 2017-03-21 | Sercomm Corporation | Network device, IPsec system and method for establishing IPsec tunnel using the same |
US9450915B1 (en) | 2014-01-02 | 2016-09-20 | vIPtela Inc. | Bi-directional NAT traversal using endpoint assigned discriminators |
CN105187339B (zh) * | 2014-06-06 | 2018-12-07 | 华为技术有限公司 | 一种双选信道的补偿方法、系统及相关装置 |
US10397060B2 (en) * | 2017-03-02 | 2019-08-27 | Cisco Technology, Inc. | Identity-based policy implementation in network address translation (NAT) environments |
US10264622B2 (en) * | 2017-03-17 | 2019-04-16 | Ofinno Technologies, Llc | Inactive state data forwarding |
JP7015498B2 (ja) * | 2019-04-01 | 2022-02-03 | e-Janネットワークス株式会社 | 通信システム、情報提供装置、プログラム及び情報提供方法 |
US11876790B2 (en) * | 2020-01-21 | 2024-01-16 | The Boeing Company | Authenticating computing devices based on a dynamic port punching sequence |
US11805103B2 (en) * | 2020-12-08 | 2023-10-31 | Hewlett Packard Enterprise Development Lp | Dynamic selection of tunnel endpoints |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000036809A (ja) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | ユーザの簡易認証方法およびそのプログラムを格納した記録媒体 |
JP2001238192A (ja) * | 2000-02-21 | 2001-08-31 | Nippon Telegr & Teleph Corp <Ntt> | 情報配信システム、情報配信方法及び端末装置 |
JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6058431A (en) * | 1998-04-23 | 2000-05-02 | Lucent Technologies Remote Access Business Unit | System and method for network address translation as an external service in the access server of a service provider |
-
2005
- 2005-08-15 US US11/161,733 patent/US8046829B2/en not_active Expired - Fee Related
- 2005-08-16 WO PCT/US2005/029120 patent/WO2006023494A2/en active Application Filing
- 2005-08-16 JP JP2007527946A patent/JP4763700B2/ja not_active Expired - Fee Related
- 2005-08-16 CA CA2577418A patent/CA2577418C/en not_active Expired - Fee Related
- 2005-08-16 EP EP05790295.9A patent/EP1784942B1/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000036809A (ja) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | ユーザの簡易認証方法およびそのプログラムを格納した記録媒体 |
JP2001238192A (ja) * | 2000-02-21 | 2001-08-31 | Nippon Telegr & Teleph Corp <Ntt> | 情報配信システム、情報配信方法及び端末装置 |
JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
Also Published As
Publication number | Publication date |
---|---|
EP1784942A4 (en) | 2011-08-17 |
US20060041742A1 (en) | 2006-02-23 |
CA2577418A1 (en) | 2006-03-02 |
US8046829B2 (en) | 2011-10-25 |
JP2008512010A (ja) | 2008-04-17 |
CA2577418C (en) | 2013-08-06 |
WO2006023494A2 (en) | 2006-03-02 |
EP1784942B1 (en) | 2018-04-04 |
EP1784942A2 (en) | 2007-05-16 |
WO2006023494A3 (en) | 2007-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4763700B2 (ja) | 動的かつ安全なトンネル確立方法 | |
JP5955352B2 (ja) | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ | |
JP4592754B2 (ja) | Pana用メディア独立事前認証サポート構成 | |
JP5122588B2 (ja) | プロキシMIPv6環境における高速ハンドオフをサポートするメディア独立事前認証 | |
KR100932325B1 (ko) | 복수의 pana 세션 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20071225 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100824 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101124 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101201 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110609 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140617 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4763700 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees | ||
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |