JP4960359B2 - 高速ルータ探索におけるルーティングアドバタイズメント認証 - Google Patents

高速ルータ探索におけるルーティングアドバタイズメント認証 Download PDF

Info

Publication number
JP4960359B2
JP4960359B2 JP2008526574A JP2008526574A JP4960359B2 JP 4960359 B2 JP4960359 B2 JP 4960359B2 JP 2008526574 A JP2008526574 A JP 2008526574A JP 2008526574 A JP2008526574 A JP 2008526574A JP 4960359 B2 JP4960359 B2 JP 4960359B2
Authority
JP
Japan
Prior art keywords
mobile node
advertisement
address
nonce value
nonce
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008526574A
Other languages
English (en)
Other versions
JP2009505548A (ja
Inventor
ハダッド,ワシム
クリシュナン,スレッシュ
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority claimed from PCT/IB2006/052636 external-priority patent/WO2007020548A2/en
Publication of JP2009505548A publication Critical patent/JP2009505548A/ja
Application granted granted Critical
Publication of JP4960359B2 publication Critical patent/JP4960359B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、アクセスポイントから直接受信されるルーティングアドバタイズメントメッセージの認証を支援するための方法と移動ノードとに関する。
移動ノード(Mobile Node:MN)が新しいアクセスポイント(Access Point:AP)のドメインに入ると、このAPを通してインターネットネットワークと通信するために、移動ノードは、通常、インターネットプロトコルバージョン6(Internet Protocol version 6:IPv6)からなる新しいインターネットプロトコル(Internet Protocol:IP)アドレスを構成しなければならない。このことを達成するためには、MNが新しいIPアドレスを構成するために使用するネットワークプレフィックス(Network Prefixes)を含むルーティングアドバタイズメント(Routing Advertisement:RtAdv)メッセージを、MNは、APに接続されたアクセスルータ(Access Router:AR)から受信する必要がある。新しいIPアドレスが完全に構成された場合のみ、MNはインターネットネットワークとのパケットデータ通信を開始できる。
IPアドレスの構成は長い処理である。第1に、ARは通常マルチキャスト方式で定期的なRtAdvメッセージを送信するのだが、このようなメッセージを、3秒に1度よりも高頻度で送ることは認可されていない(RFC2641, ‘Neighbor Discovery for IP Version 6 (IPv6)’(「IPバージョン6のための近隣探索」), T. Narten, E. Nordmark, W. Simpson, IETF, December 1998)。第2に、異なる移動ノードまたは他のクライアントが同じIPアドレスを取得し、他者の各通信を混乱させることを防ぐために、MNは、IP構成処理の一部として、複製アドレス検出(Duplicate Address Detection:DAD)手続きを開始しなければならない。DAD手続きは、IPアドレス取得処理において約1秒の大きな遅延を導く。ルーティングアドバタイズメントメッセージのこの低い定期性、及びこのDAD手順によって導かれる遅延は、ハンドオフ間では致命的になる。なぜなら、そのような定期性及び遅延は望ましくない待ち時間を追加するからである。移動ノード(MN)が、時間に影響を受けやすいアプリケーションを実行している場合、この待ち時間は特に有害である。
高速ルータ探索(Fast Router Discovery:FRD)提案(‘Fast Router Discovery with RA Caching’(「RAキャッシングを用いた高速ルータ探索」), draft‐jinchoi‐dna‐frd‐00.txt, JinHyeock. Choi, DongYun. Shin, IETF, July 12 2004)は、RFC2461に記述されるように、強制遅延を最小化することを目的とし、かかる処理は、新しい接続に移動した直後に、MNが新しいARからRtAdvを受信することを防ぐ。この目的のために、高速ルータ探索(FRD)は、RtAdvメッセージ(または複数のメッセージ)のコンテンツをAPにキャッシュ(cache)することから成り立つ。MNは、任意のAPのエリアに入ると、そのAPへ関連要求メッセージを送信する。APは、RtAdvメッセージのコンテンツをキャッシュしているので、関連応答メッセージをMNへ送信することと並行して、このコンテンツを転送する。かかる処理は、MNが、定期的なRtAdvを待たずして、そのIPアドレスを構成する処理を開始することを可能にする。
上のシナリオでの主な脅威は、偽RtAdvメッセージを悪質なAPにキャッシュすることから成り立ち、かかる処理は、MNに対して、簡単なサービス拒絶(Denial of Service:DoS)攻撃を浴びせることを可能にする。
高速ルータディスカバリ技術について、アクセスポイントから直接受信されるルーティングアドバタイズメントメッセージの妥当性の検証を可能にするための方法及び移動ノードをもつことに、明確な利点があるであろう。
従って、本発明の広義の目的は、アクセスポイント(AP)にキャッシュされるルーティングアドバタイズメント(RtAdv)メッセージが正当なアクセスルータ(AR)に属するという、ある程度のレベルの信頼を、MNに提供することを可能にする方法及び移動ノード(MN)を提供することである。
本発明の第1の側面は、APから受信される第1のアドバタイズメントをMNにおいて認証する方法に向けられており、そのアドバタイズメントは、ARから受信され、APにキャッシュされるデータを表す。IPアドレスをセットアップするためにMNによって要求されるネットワークプレフィックスを、そのアドバタイズメントは含む。そのアドバタイズメントは、さらにノンスインデックスとハッシュ化ノンス値とを含む。APから第1のアドバタイズメントを受信した直後、MNはIPアドレスをセットアップする処理を開始する。並行して、MNはノンスインデックスを含むソリシテーションをアクセスルータへ送信する。IPアドレスをセットアップする処理が進行中である間に、MNは、ノンス値を含む第2のアドバタイズメントを受信する。MNはノンス値をハッシュ化し、そのハッシュ化(hashing)の結果をハッシュ化(hashed)ノンス値と比較する。その比較がうまくいった場合、MNはIPアドレスを保持する。
本発明の第2の側面は、APから受信される第1のアドバタイズメントをMNにおいて認証する方法に向けられており、ここでは、ノンス値をMNにおいてハッシュ化することの結果とハッシュ化ノンス値との比較がうまくいかなかった場合、MNはIPアドレスを放棄し、第2のアドバタイズメント内で受信されるネットワークプレフィックスの使用によって、新しいIPアドレスのセットアップを開始する。
本発明の第3の側面は、APから受信される第1のアドバタイズメントをMN内において認証する方法に向けられており、ここでは、MN及びARが、暗号記録的生成アドレス(Cryptographically Generated Address:CGA)鍵を使用して、さらにアドバタイズメントとソリシテーションとを認証する。
本発明の第4の側面は、APから受信される第1のアドバタイズメントを認証するためのMNに向けられており、そのアドバタイズメントは、ARから受信され、APにキャッシュされるデータを表す。その移動ノードは、アドバタイズメントを受信するための受信機と、アドバタイズメントで受信される情報要素を記憶するため、及びIPアドレスを記憶するための一時記憶装置と、ソリシテーションを送信するための送信機と、IPアドレスを構成するため、及びアドバタイズメントで受信されるノンス値をハッシュ化するための処理装置と、決定論理回路とを含む。処理装置は、第1のアドバタイズメントで受信されるネットワークプレフィックスに基づいて、IPアドレスを構成する。一方で、送信機は、第1のアドバタイズメントで受信されるノンスインデックスを含むソリシテーションを送信する。受信機は、ノンス値を含む第2のアドバタイズメントを受信する。処理装置は、ノンス値をハッシュ化する。決定論理回路は、そのハッシュ化の結果と第1のアドバタイズメントで受信されたハッシュ化ノンス値とを比較する。その比較が肯定ならば、決定論理回路は、IPアドレスを保持することを決定する。
本発明のさらに別の課題および効果に対して、本発明をより詳細に理解するために、添付図面と関連して、以下の詳細な説明を参照することが可能である。
本発明の革新的な開示は、好的な実施形態のさまざまな例示的な用途および観点を特定して参照することにより説明されるであろう。しかしながら、本実施形態は本発明の革新的な開示の多くの効果的な用途のほんの数例を例示するに過ぎないことを、理解すべきであろう。一般的に、本願の明細書における説明は、特許請求の範囲に係る本発明の各種観点を不必要に限定するものではない。さらに、いくつかの説明は、本発明のいくつかの特徴に適用されるが、他の特徴には適用されないこともあり得る。図面の説明において、同様の参照番号は本発明の同様の構成要素を表現している。
本発明は、高速ルータディスカバリ(FRD)法を支援するための方法及び移動ノード(MN)を提供し、ここでは、アクセスルータ(AR)から送信される定期的なアドバタイズメントのコンテンツ、例えば定期的なルーティングアドバタイズメント(RtAdv)が、アクセスポイント(AP)にキャッシュされる。MNは、任意のAPのドメイン、すなわちカバーエリア(coverage area)に入ると、関連要求(Association Request:AssReq)メッセージをAPへ送信する。以前にAP内にキャッシュされ、RtAdvのコンテンツを形成する情報要素とともに、関連応答(Association Response:AssResp)を送信することによって、APは、FRD法に従ってAssReqに応答する。APによってMNに提供されるRtAdvは、AssRespの一部として送信される場合、またはAssRespと並行して送信される場合がある。ARによって送信されて、APにキャッシュされる定期的なRtAdvは、APによって提供されるRtAdvが正当であると認証する方法をMNに提供するために、本発明に従って、認証値を含む。認証値は、ノンスインデックス及びハッシュ化ノンス値からなるのが好ましい。ノンスインデックスの使用によって、ARのテーブルにおいてアドレス指定可能であるノンス値を、ハッシュ化することによって、そのハッシュ化ノンス値はARにおいて生産されたものである。ここで、ノンスとは、1度だけ使用される数として定義される。MNは、RtAdvを受信するとすぐに、FRD法のとおり、IPアドレスを構成する手続きを開始する。この構成処理に並行して、APから受信されるRtAdvが正当であることを検証するために、MNはARへソリシテーションを送信する。本発明に従って、このソリシテーションに、MNはノンスインデックスを含む。ARは、このノンスインデックスを受け取り、対応するノンス値を取り出す。ARは、このノンス値をMNへ新しいRtAdvで送信する。MNは、この新しいRtAdvを受信すると、そのノンス値をハッシュ化し、このハッシュ化の結果と、先来のRtAdvでMNが受信していたハッシュ化ノンス値とを比較する。この2つのハッシュ値が等しい場合、MNが先に受信していたRtAdvは当該ARからのものであり、APによって送信される悪質な情報の結果ではなかったということを、この2つのハッシュ値が等しいことは意味する。IPアドレスを構成する処理がこの時点で完了されていても、完了されていなくても、MNは、得られるIPアドレスが有効であると見なす。
本発明については、MNは、携帯電話、携帯情報端末、ノート型パソコン等を含んでも良い。APは、IEEE802.11アクセスポイントやIEEE802.16アクセスポイント等を含んでも良い。AP及びARは、単純な装置において、または通信リンクによって接続される個別要素として、実施される場合もある。
本発明の好ましい実施形態の説明のための基礎を提供するため、ここで図面が参照される。そのうち図1は、部分的なモバイルIPv6(Mobile Ipv6:MIPv6)ネットワーク100の表現を示す。MIPv6ネットワーク100は、移動ノード(MN)110と、アクセスポイント(AP)120及び130及び140と、アクセスルータ(AR)150及び160とを含む。1つのARは1つまたは多くのAPに接続可能である。MIPv6ネットワーク100が普通多くのMN110を含み得るということを、当業者は認識するであろう。MN110は、AP120または130または140を通して通信するのみであるが、MN110によって送信されるメッセージは、AP120または130または140か、またはAR150または160かを目標とすることができる。AR150及び160は、RtAdvメッセージを定期的に送信し、どのMN110にも、IPアドレスを構成することが可能となる。RtAdvメッセージは、AP120及び130及び140を通してMN110に送信される。FRD法に従って、AP120及び130及び140は、それらのキャッシュにRtAdvコンテンツのコピーを保持する能力がある。
MN100は、AP120または130または140のうちいずれかのドメイン、すなわちカバーエリアに入ると、AP120または130または140のうち選択された1つへ、パス180上でAssReqを送信し、セッションのセットアップを要求する。AP120または130または140は、FRD対応である場合、MN110に送信されるAssRespに、最近キャッシュされたRtAdvのコンテンツを含む。このRtAdvのコンテンツは、パス180を経由してMN110において受信され、直接AR150または160によって結局は送信される定期的なRtAdvよりも、一般的に早く受信される。かかる処理により、AR150または160との通信のためのIPアドレスの構成を、MN110がすぐに開始することを可能にする。
上記事態があまりに頻繁におきる場合には、図1のMIPv6ネットワーク100において、悪質なAP170が存在する可能性がある。もし、正当なAP120または130または140のうち1つにアクセスする代わりに、MN110は、悪質なAP170にアクセスしているならば、パス190上でAssReqを送信する。悪質なAP170は、不正RtAdv情報を含むAssRespで応答する。MN110はその後、この不正情報に基づいて、無効IPアドレスを構成する。MN110はその後、セッションは正当であるという信用に基づいて、この無効IPアドレスを用いてセッションをセットアップしようと試みる。悪質なAP170は、このセッションを使用し、例えばMN110へウイルスを送ること、またはMN110から秘密情報を取り出すことによって、MN110にまたはそのユーザに被害を加えることが可能である。
FRD法を支援するMIPv6ネットワークについて以上に記述してきたが、ここから、本発明の好ましい実施形態のある側面を、図2a及び2bを参照して説明することとし、その図2a及び2bは、移動ノードにおいてアクセスポイントから受信されたアドバタイズメントを認証する方法の、ある例示的な表現を示す。図2a及び図2bのMN110及びAP120及びAR150は全部、本発明の教示に従って構築されている。
ステップ205において、AR150は、3秒に1度を超えない頻度で、AP120を通してルーティングアドバタイズメント(RtAdv)メッセージのようなアドバタイズメントを定期的に送信する。RtAdvメッセージは、マルチキャストされ、ユーザ携帯機器のような、AP120のカバーエリア内に存在する可能性のある全端末を目標とすることができる。RtAdvは、AR150のネットワークプレフィックス、及びノンスインデックス(Nonce Index:NI)、及びハッシュ化ノンス値(Hashed Nonce Value:HNV)、及びAR150のアドレス、及び任意でARの公開鍵(ARK+)の形をとる情報を含む。本発明のある好ましい実施形態において、ARK+は暗号記録的生成アドレス(CGA)鍵である。ステップ205において任意のMN110は、すでにAP120のカバーの下にある場合、定期的なRtAdvを受信する。ステップ207において任意で、AR150は、より高頻度でさらなるNI‐HNV対をAP120へ送信することも可能である。ステップ210において、AP120は、定期的なRtAdv205からの情報と、この任意のさらなるNI−HNV対207とをその中間記憶装置にキャッシュする。
ステップ215において、定期的なRtAdvメッセージを事前に受信しなかった別のMN110が、AP120のカバーエリア、すなわちドメインに入る。セッションをセットアップするために、ステップ220において、MN110は関連要求(AssReq)メッセージをAP120へ送信し、接続をセットアップすることを要求する。ステップ225において、AP120は関連応答(AssResp)で応答する。AssRespは、AP120がRtAdvのために最近キャッシュした全部の情報を含み、AP120に現在キャッシュされる多くのNI‐HNV対のうちの1つであるのが好ましい任意のNI‐HNV対を含む。あるいは、AP120は、AssRespとRtAdvとを、2つの個別のメッセージとして、非常に短い期間内で連続して送信しても良い。任意で、ステップ227において、MN110の代わりにAP120は、ソリシテーション、例えばルートソリシテーション(Route Solicitation:RtSol)メッセージをAR150へ送信する。このRtSolメッセージは、このステップで送られた場合、以降に説明するように、AR150によるMN110への別のRtAdvメッセージの送信を誘発する。AP120は、RtSolメッセージを送信するように構成されている場合には、この事実をMN110に通知するためのパラメータを、ステップ225において送信されるAssRespに含む。
ステップ225に戻ると、第1のRtAdvコンテンツを受信したMN110は、セッションにとって第1のHNVであるHNVと、NIと、ネットワークプレフィックスと、AR150のアドレスと、もし提供されるならばARK+とを記憶する。ステップ230において、MN110は、AR150のネットワークプレフィックスを使用して、IPアドレス、例えばIPv6アドレスの構成を開始可能である。おそらく複製アドレス検出(DAD)手続きを含むIPアドレスを構成する処理は、おそらくは複製アドレス検出(DAD)手続きを含み、典型的に1秒以上かかるため、また、直接AR150から結局獲得される定期的なRtAdvhは3秒の遅延の後まで、またはそれ以上受信不可能であるため、ステップ230においてすでにIPアドレス構成処理を開始することは大いに時間を節約し、MN110による、遅延に影響を受けやすいアプリケーションの急なセットアップにも好都合である。しかし、この時点では、MN110はRtAdvコンテンツの正当性の証明を何ももっていない。
IPアドレス構成処理が進行中である間にRtAdvコンテンツを認証するために、ステップ235においてMN110は、ソリシテーション、例えばルートソリシテーション(RtSol)メッセージをAR150へ送信可能である。代替の実施形態において、以上で説明したとおり、ステップ227において、MN110の代わりにAP120が、RtSolメッセージをすでに送信しておくことも可能である。ステップ227においてAP120によって送信される場合でも、ステップ235においてMN110において送信される場合でも、RtSolメッセージはNIを含み、そのNIは、ステップ205においてAR150によって定期的なRtAdvで提供された。RtSolメッセージは、AR150のアドレスの使用によってユニキャストで送信されるのが好ましい。RtSolメッセージは、任意でMNの秘密鍵(MNK−)で署名される。本発明の好ましい実施形態においては、MNK−は暗号記録的生成アドレス(CGA)鍵である。
後来のRtAdvには異なるNI‐HNV対を使用させるために、ステップ240において、AR150は、NI及び対応するノンス値を中間テーブルから削除するのが好ましい。ステップ245において、AR150は別のRtAdvでMN110に応答し、このRtAdvは、MN110に到着する第2のRtAdvである。この第2のRtAdvはまたAR150のネットワークプレフィックスを含む。さらに第2のRtAdvは、NIに対応するノンス値を含む。第2のRtAdvはAR150のARK+を含むのが好ましい。本発明の最良のモードにおいては、第2のRtAdvはユニキャストされ、AR150の秘密鍵(ARK−)の使用によって署名される。
任意で、ステップ250において、MN110は、ARK+の使用によって、第2のRtAdvの妥当性の第1の認証を行う。ステップ255において認証が失敗する場合、ステップ280においてMN110は新しいRtSolメッセージをマルチキャストで送信する。その後ステップ285において、MN110は次の定期的なRtAdvを待つ。MN110は、結局は、AR150のネットワークプレフィックスを含む定期的なRtAdvを受信し、それに従って新しいIPアドレスを構成するであろう。
ステップ255において認証がうまくいった場合には、MN110は第2のRtAdvを認証している。ステップ260において、MN110はノンス値をハッシュ化し、第2のHNVを得る。ステップ265において、MN110は第1及び第2のHNVを比較する。これらが同一である場合、MN110はここで第1のRtAdvを認証する。ステップ270において、MN110は、IPアドレスを使用することを開始し、認証処理と並行して実行中であるIPアドレス構成処理が完了する直後、またはその後間もなく、データパケットを送信及び受信することが可能となる。しかし、ステップ265において第1及び第2のHNV値が同一でない場合には、MN110は第1のRtAdvを認証していない。ステップ290において、MN110は、第1のRtAdvとして以前に記憶された全部のコンテンツを破棄する。ステップ295において、MN110は、AR150から第2のRtAdvで受信されたネットワークプレフィックスの使用によって、新しいIPアドレスの構成を開始する。ステップ295の処理が終了すると、MN110は、データパケットの送信及び受信に、新しいIPアドレスが使用可能になるであろう。
FRD法を単独で用いるよりも安全な方法で、従来のMIPv6ネットワークより早く、MN110が有効なIPアドレスを取得する手段を、本発明の方法が提供するということが、前述の記述から当業者には容易にわかるであろう。
ここで、MN110の一例を示す図3を参照することによって、前述の説明において使用された移動ノードの構造の一例を説明することにする。このMN110は、送信機(TX)310と、受信機(RX)320と、処理装置330と、パケットデータハンドラ340と、固定記憶装置350と、一時記憶装置360と、決定論理回路370とを含む。当技術分野では周知のように、このMN110は、ディスプレイ、アンテナ、キーパッド、バッテリ等のような要素をさらに含んでも良い。
固定記憶装置350は、移動ノードの公開鍵(MNK+)と、移動ノードの秘密鍵(MNK−)とを記憶する。当技術分野では周知のように、固定記憶装置350は、例えばMN110の固定アイデンティティのような他のデータをさらに記憶する。
TX310は、アクセスポイントへは直接、アクセスルータへはアクセスポイントを通して、メッセージを送信する。これらのメッセージは、パケットデータに加えて、AssReqとRtSolとを含む。具体的に、TX310によって送信されるRtSolメッセージは、特定のアドレスに送信されるユニキャストRtSolメッセージ、またはマルチキャストRtSolメッセージである場合がある。
RX320は、アクセスポイントからは直接、アクセスルータからはアクセスポイントを通して、メッセージを受信する。これらのメッセージはパケットデータに加えて、AssRespと、RtAdvとを含む。具体的に、RX320によって受信されるRtAdvは、ユニキャストRtAdvまたはマルチキャスト定期的RtAdvである場合がある。
一時記憶装置360は、AP及びARとの継続中のセッションに関する情報を記憶する。このような情報は、NIと、第1のHNVと、ノンス値と、ネットワークプレフィックスと、ARのアドレスと、ARK+と、IPアドレスと、セッションをもつために必要な他のデータとを含む。一時記憶装置350は、決定論理回路370からまたは処理装置330からの要求に応じて、他の類似の情報で情報を上書きする。
処理装置330は、ネットワークプレフィックスの使用によって、AP及びARとのセッションのためにIPアドレス、例えばIPv6アドレスをセットアップする処理を実行する。このIPアドレスをセットアップする処理はDAD手続きを含むのが好ましい。処理装置330は、同じセッションおいて、決定回路370に要求されれば何度でも、IPセットアップ処理を実行することが可能である。処理装置330が、RX320によってAssRspを受信する結果としてIPセットアップ処理を実行する場合、第1のアドバタイズメントの認証処理と同時に、このIPセットアップ処理を開始するのが好ましい。処理装置330はまたハッシュ化能力をもち、この能力は、ノンス値をハッシュ化するため、及び、このノンス値のハッシュ化の結果として、第2のHNVを決定論理回路370に提供するために使用される。さらに処理装置330は、ARK+でのRtAdvメッセージの署名を認証するための認証能力と、MNK−でRtSolメッセージを署名するための署名能力とをもつ。認証及び署名の能力はCGA種に属するのが好ましい。
決定論理回路370は、RX320によってAssRspで受信された情報に基づいて、ソリシテーションがTX310によって送信されるかどうかを決定する。あるいは、決定論理回路370にこの特徴が実装されずに、ソリシテーションは常にTXによって送信される場合もある。決定論理回路370は、RtAdvメッセージから得られる第1のHNVと、処理装置330から得られる第2のHNVとの比較を行う。決定論理回路370は、この比較に基づいて、第1のアドバタイズメントが認証されるかどうかを決定し、その結果として、IPアドレスを保持すること、またはIPアドレスを解除し、処理装置330に新しいIPアドレスをセットアップするよう命令することを決定する。決定論理回路370は、またRtAdvメッセージの成功または失敗した署名認証に基づいても、IPアドレスを保持すること、または解除することを決定できる。
決定論理回路370がIPアドレスを保持することを決定している場合、パケットデータハンドラ340は、RX320からパケットデータを受信し、MN110内のアプリケーションへそれを転送する。またその後、パケットデータハンドラ340は、アプリケーションからパケットデータを受信し、TX310へそれを転送する。
本発明の方法及び移動ノードの好的な実施形態のいくつかの観点を、添付図面で示し、前述の詳細な説明で記述してきたが、本発明は、ここに開示された実施形態に限定されるものではなく、特許請求の範囲によって説明及び定義される本発明の本質から逸脱せずに、本発明の再配列、修正、置換が大いに可能であるということが了解されるであろう。
図1は、部分的なモバイルIPv6ネットワークの表現である。 図2aは、移動ノードにおいてアクセスポイントから受信されるアドバタイズメントを認証する方法の一例の表現を示す。 図2bは、移動ノードにおいてアクセスポイントから受信されるアドバタイズメントを認証する方法の一例の表現を示す。 図3は、本発明に従って構築される移動ノードの一例を示す。

Claims (23)

  1. アクセスポイントから受信される第1のアドバタイズメントを移動ノードにおいて認証する方法であって、
    第1のネットワークプレフィックスとノンスインデックスと第1のハッシュ化ノンス値とを含む前記第1のアドバタイズメントを、前記アクセスポイントから前記移動ノードにおいて受信するステップと、
    前記第1のネットワークプレフィックスの使用によって、第1のIPアドレスを前記移動ノードにおいて構成し、同時に、
    前記移動ノードにおいて、前記ノンスインデックスに対応するノンス値と第2のネットワークプレフィックスとを含む第2のアドバタイズメントをアクセスルータから受信すること、
    前記移動ノードにおいて、前記ノンス値をハッシュ化して、第2のハッシュ化ノンス値を算出すること、及び
    前記移動ノードにおいて、前記第1のハッシュ化ノンス値と前記第2のハッシュ化ノンス値とを比較するこ
    によって、前記第1のアドバタイズメントを認証するステップと、
    前記第1のハッシュ化ノンス値が前記第2のハッシュ化ノンス値に等しい場合、前記第1のIPアドレスを前記移動ノードにおいて保持するステップと
    を含む方法。
  2. 前記第1のハッシュ化ノンス値が前記第2のハッシュ化ノンス値に等しくない場合、前記第1のアドバタイズメントのコンテンツを前記移動ノードにおいて破棄するステップと、
    前記第2のアドバタイズメントに含まれる前記第2のネットワークプレフィックスの使用によって、第2のIPアドレスを前記移動ノードにおいて構成するステップと
    をさらに含む、請求項1の方法。
  3. 前記第1及び第2のアドバタイズメントの少なくとも1つは前記アクセスルータの公開鍵をさらに含む、請求項1の方法。
  4. 前記アクセスルータの前記公開鍵の使用によって、前記第2のアドバタイズメントを前記移動ノードにおいて検証するステップと、
    前記第2のアドバタイズメントの前記検証が失敗する場合、
    ソリシテーションを前記移動ノードから前記アクセスルータへ送信するステップと、
    定期的なアドバタイズメントを移動ノードにおいて待つことと
    をさらに含む、請求項3の方法。
  5. 前記第2のアドバタイズメントはユニキャストされる、請求項1の方法。
  6. 定期的なアドバタイズメントを前記移動ノードにおいて受信するステップをさらに含む、請求項1の方法。
  7. 前記第1のアドバタイズメントを認証することは、前記第1のアドバタイズメントを前記移動ノードにおいて受信することに応じて、前記ノンスインデックスを含むソリシテーションを前記移動ノードから前記アクセスルータへ送信するステップをさらに含む、請求項1の方法。
  8. 前記ソリシテーションは、前記移動ノードの秘密鍵で署名される、請求項7の方法。
  9. 前記第1のアドバタイズメントは、前記アクセスポイントによって送信される関連応答と並行して送信される、請求項1の方法。
  10. 前記関連応答は、前記移動ノードによって前記アクセスポイントへ送信される関連要求に応じて送信される、請求項9の方法。
  11. 前記第1のIPアドレスを前記移動ノードにおいて保持するステップの後、データパケット交換を前記移動ノードにおいて開始するステップをさらに含む、請求項1の方法。
  12. 前記第1のネットワークプレフィックスの使用によって、前記第1のIPアドレスを前記移動ノードにおいて構成することは、複製アドレス検出手続きを含む、請求項1の方法。
  13. 第1及び第2のアドバタイズメントを受信するための受信機と、
    前記第1のアドバタイズメントの中で受信されたネットワークプレフィックスとノンスインデックスとハッシュ化ノンス値とを記憶するため、第2のアドバタイズメントの中で受信されたノンス値を記憶するため、及び第1のIPアドレスを記憶するための一時記憶装置と、
    前記ネットワークプレフィックスに基づいて前記第1のIPアドレスを構成するための処理装置であって、前記構成は前記第1のアドバタイズメントの認証と同時に開始され、また前記ノンス値をハッシュ化するための前記処理装置と、
    前記ハッシュ化の結果と前記ハッシュ化ノンス値とを比較することによって前記第1のアドバタイズメントを認証するため、及び前記比較の結果に基づいて前記第1のIPアドレスを保持することを決定するための決定論理回路と
    を含む移動ノード。
  14. 前記決定論理回路は、さらに、前記比較の前記結果が否定である場合に、前記第1のIPアドレスを解除するためのものであり、
    前記処理装置は、さらに、前記決定論理回路が前記第1のIPアドレスを解除する場合に、前記第2のアドバタイズメントに基づいて、第2のIPアドレスを構成するためのものであり、
    前記一時記憶装置は、さらに、前記第1のIPアドレスを前記第2のIPアドレスで上書きするためのものである、
    請求項13の移動ノード。
  15. 前記一時記憶装置は、さらに、第1及び第2のアドバタイズメントで受信されるアクセスルータの公開鍵を記憶するためのものであり、
    前記処理装置は、さらに、前記アクセスルータの前記公開鍵の使用によって、前記第2のアドバタイズメントの署名を検証するためのものであり、
    前記決定論理回路は、さらに、前記検証の結果に基づいて、前記第1のIPアドレスを保持することを決定するためのものである、
    請求項13の移動ノード。
  16. 前記決定論理回路は、さらに、前記検証の前記結果が否定である場合、前記第1のIPアドレスを解除するためのものであり、
    前記移動ノードは、前記決定論理回路が前記検証の前記結果は否定であると決定すると、ソリシテーションを送信するための送信機をさらに含む、
    請求項15の移動ノード。
  17. 前記移動ノードの秘密鍵を記憶するための固定記憶装置をさらに含む、請求項13の移動ノード。
  18. 前記処理装置は、さらに、前記移動ノードの前記秘密鍵で前記ソリシテーションに署名するためのものである、請求項17の移動ノード。
  19. 前記ノンスインデックスを含むソリシテーションを送信するための送信機をさらに含む、請求項13の移動ノード。
  20. 前記決定論理回路が前記第1のIPアドレスを保持することを決定する場合に、パケットデータの送信及び受信を対処するためのパケットデータハンドラをさらに含む、請求項19の移動ノード。
  21. 前記送信機は、さらに、パケットデータを送信するためのものであり、
    前記受信機は、さらに、パケットデータを受信するためのものである、
    請求項20の移動ノード。
  22. 前記処理装置は、さらに、前記第1のIPアドレスを構成することの一部として複製アドレス検出手続きを使用するためのものである、請求項13の移動ノード。
  23. 前記受信機は、さらに、ユニキャストアドバタイズメント及び定期的なアドバタイズメントを受信するためのものであり、
    前記第2のアドバタイズメントはユニキャストアドバタイズメントである、
    請求項13の移動ノード。
JP2008526574A 2005-08-15 2006-08-01 高速ルータ探索におけるルーティングアドバタイズメント認証 Expired - Fee Related JP4960359B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US70797805P 2005-08-15 2005-08-15
US60/707,978 2005-08-15
PCT/IB2006/052636 WO2007020548A2 (en) 2005-08-15 2006-08-01 Routing advertisement authentication in fast router discovery

Publications (2)

Publication Number Publication Date
JP2009505548A JP2009505548A (ja) 2009-02-05
JP4960359B2 true JP4960359B2 (ja) 2012-06-27

Family

ID=39933953

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008526574A Expired - Fee Related JP4960359B2 (ja) 2005-08-15 2006-08-01 高速ルータ探索におけるルーティングアドバタイズメント認証

Country Status (2)

Country Link
JP (1) JP4960359B2 (ja)
CN (1) CN101243672B (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040240669A1 (en) * 2002-02-19 2004-12-02 James Kempf Securing neighbor discovery using address based keys
EP1518183A2 (en) * 2002-06-28 2005-03-30 Nokia Corporation Method of registering home address of a mobile node with a home agent
US7246231B2 (en) * 2002-10-31 2007-07-17 Ntt Docomo, Inc. Location privacy through IP address space scrambling
JP4352728B2 (ja) * 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
JP4567004B2 (ja) * 2003-11-26 2010-10-20 韓國電子通信研究院 アクセスルータを基盤としたモバイルIPv6の高速ハンドオーバ方法

Also Published As

Publication number Publication date
CN101243672B (zh) 2012-01-04
CN101243672A (zh) 2008-08-13
JP2009505548A (ja) 2009-02-05

Similar Documents

Publication Publication Date Title
US8230221B2 (en) Routing advertisement authentication in fast router discovery
Johnson et al. Mobility support in IPv6
Nikander et al. IPv6 neighbor discovery (ND) trust models and threats
Koodli Mobile IPv6 fast handovers
Arkko et al. Secure neighbor discovery (SEND)
US20030091030A1 (en) Secure network access method
US8006089B2 (en) Multiple PANA sessions
JP2010527549A (ja) ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法
Vogt et al. A taxonomy and analysis of enhancements to mobile IPv6 route optimization
Wang et al. Secure address auto-configuration for mobile ad hoc networks
CA2675837A1 (en) Solving pana bootstrapping timing problem
Kempf et al. Mobile IPv6 security
Aura et al. Effects of mobility and multihoming on transport-protocol security
Koodli Rfc 5568: Mobile ipv6 fast handovers
JP4960359B2 (ja) 高速ルータ探索におけるルーティングアドバタイズメント認証
Machana et al. Leveraging Secure Hash Algorithm for Securing IPv6 Protocols SLAAC and DAD.
An et al. Analysis of SEND protocol through implementation and simulation
Zhang et al. TRDP: a trusted router discovery protocol
You et al. Towards formal analysis of wireless LAN security with MIS protocol
Feng et al. Traffic Hijacking in Wi-Fi Networks via ICMP Redirects
ZHANG et al. AAA authentication for network mobility
Candolin et al. Experimenting with early opportunistic key agreement
Hampel et al. Lightweight security solution for Host-based mobility & multi-homing protocols
Kurian et al. Defending network-based services against denial of service attacks
Morioka et al. MIS protocol for secure connection and fast handover on wireless LAN

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120322

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4960359

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees