JP5044690B2 - Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て - Google Patents

Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て Download PDF

Info

Publication number
JP5044690B2
JP5044690B2 JP2010500993A JP2010500993A JP5044690B2 JP 5044690 B2 JP5044690 B2 JP 5044690B2 JP 2010500993 A JP2010500993 A JP 2010500993A JP 2010500993 A JP2010500993 A JP 2010500993A JP 5044690 B2 JP5044690 B2 JP 5044690B2
Authority
JP
Japan
Prior art keywords
agent
home
foreign agent
foreign
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010500993A
Other languages
English (en)
Other versions
JP2010523051A (ja
Inventor
ムハナ,アーマド
クハリル,モハメド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nortel Networks Ltd
Original Assignee
Nortel Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nortel Networks Ltd filed Critical Nortel Networks Ltd
Publication of JP2010523051A publication Critical patent/JP2010523051A/ja
Application granted granted Critical
Publication of JP5044690B2 publication Critical patent/JP5044690B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • H04W8/065Registration at serving network Location Register, VLR or user mobility server involving selection of the user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/16Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
    • H04W28/18Negotiating wireless communication parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/14Access restriction or access information delivery, e.g. discovery data delivery using user query or user detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Description

関連出願データ
本出願は、2007年3月28日に出願された仮特許出願第60/908,472号、および2007年5月9日に出願された第60/916,866号に関し、米国特許法第119条(e)の下でのこれらの先行出願の優先権を主張する。またこれらの仮特許出願は、参照により、この実用特許出願に組み込まれる。
ホーム・ネットワークと、外部ネットワークと、移動ノードとを有するIPベースの移動通信システムを含む、任意のIPベースシステムのためのシステムおよび方法。
IPベースの移動システムは、無線通信システム内に少なくとも1つの移動ノードを含む。用語「移動ノード」には、移動通信装置が含まれ、通信システムは、移動ノードに加えて、ホーム・ネットワークと外部ネットワークとを有する。移動ノードは、これらの他のネットワークを介してインターネットへのその接続点を変更し得るが、移動ノードは、IPアドレッシングのために、単一のホーム・ネットワークに常に関連付けられる。ホーム・ネットワークは、ホーム・エージェントを有し、外部ネットワークは、外部エージェントを有し、これらのエージェントの両方が、そのネットワークに入り、またそこから出て行く情報パケットのルーティングを制御する。
移動ノード、ホーム・エージェントおよび外部エージェントは、任意の特定のネットワーク構成または通信システムで使用される用語法に依存する他の名前で呼ばれることがある。たとえば、「移動ノード」は、インターネット・アクセス、電子メール、メッセージング・サービスなどのさまざまな特徴および機能性を有するさまざまな型およびモデルの移動端末(「携帯電話」)が体験し得るように、無線ネットワークへのケーブル型(たとえば電話線(「ツイスト・ペア」)、イーサネット・ケーブル、光ケーブルなど)の接続性、ならびに直接にセルラ・ネットワークへの無線接続性を有するPCを包含する。また、ホーム・エージェントは、ホーム・エージェント、ホーム・モビリティ・マネージャ、ホーム・ロケーション・レジスタと呼ばれることがあり、外部エージェントは、外部エージェント、サービング・モビリティ・マネージャ(Serving Mobility Manager)、在圏ロケーション・レジスタ(Visited Location Register)および在圏サービング・エンティティ(Visiting Serving Entity)と呼ばれることがある。移動ノード、ホーム・エージェントおよび外部エージェントという用語は、限定的に定義されるものではないが、ホームまたは外部ネットワークに位置する他の移動通信装置または監視ルーティング装置を含み得る。
移動ノードは、「気付アドレス」をホーム・エージェントに登録することによって、ホーム・エージェントにその現在位置に関して通知し続ける。本質的に、気付アドレスは、移動ノードが位置する現在の外部ネットワークを表す。ホーム・エージェントは、移動ノードが外部ネットワークに位置する間に移動ノードに宛てられた情報パケットを受け取る場合、適用可能な気付アドレスを使用して外部ネットワーク上の移動ノードの現在位置に情報パケットを送信する。
外部エージェントは、ホーム・エージェントに移動ノードの現在の気付アドレスを通知することに関与する。外部エージェントは、情報パケットがホーム・エージェントによって転送された後にも、移動ノードのための情報パケットを受け取る。さらに、外部エージェントは、外部ネットワークに接続される間に移動ノードによって生成された、出て行く情報パケットのデフォルト・ルータの働きをする。
外部エージェントおよびホーム・エージェントは、そのエージェントに関連するローカル・ネットワーク上のすべてのノードにエージェント広告を周期的にブロードキャストする。エージェント広告は、モバイルIPプロトコル(RFC 2002)または他の任意のタイプの通信プロトコルに基づいて出され得る、ネットワーク上のエージェントからのメッセージである。この広告は、移動ノードに対してモビリティ・エージェント(たとえばホーム・エージェント、外部エージェントなど)を一意に識別するのに必要な情報を含むべきである。移動ノードは、エージェント広告を検査して、移動ノードがホーム・ネットワークまたは外部ネットワークに接続されるかどうか判断する。
移動ノードがそのホーム・ネットワークに位置する場合、情報パケットは、標準のアドレッシングおよびルーティング方式に従って移動ノードにルーティングされる。しかし、移動ノードは、外部ネットワークに在圏している場合、エージェント広告から適切な情報を取得し、外部エージェントを介してそのホーム・エージェントに登録要求メッセージを送信する。登録要求メッセージは、移動ノードの気付アドレスを含む。
登録された気付アドレスは、移動ノードが位置する外部ネットワークを識別し、ホーム・エージェントは、移動ノードへの後の転送のために、この登録済み気付アドレスを使用して外部ネットワークに情報パケットを転送する。登録プロセスがうまく完了したことを確認するために、登録応答メッセージが、ホーム・エージェントによって移動ノードに送信されてもよい。
新しいネットワークに移ると、移動ノードは、新しいルータからルータ広告メッセージを受け取ること、あるいはリンクされたルータから予期されたルータ広告メッセージを受け取る時間間隔が超過することによって、移動ノードの移動を検出する。移動ノードは、外部ネットワーク上のルータによって受け取られるルータ要請メッセージを周期的に送信し、移動ノードによって受け取られたルータ広告メッセージの送信を開始することもできる。
ルータ広告メッセージは、ホーム・ネットワークから外部ネットワーク上の移動ノードに情報パケットをルーティングするための気付アドレスを形成するために使用されるネットワーク・プレフィックス情報を含む。登録要求またはバインディング更新メッセージ(BU:Binding Update message)が、ホーム・エージェント、および移動ノードと通信する任意のアクティブな対応ノードに気付アドレスを登録するために使用される。新しい登録要求は、気付アドレスと、ホームアドレスと、バインディングの有効期間とを含む。認証ステップとしてバインディング更新を受け入れまたは拒否するために、登録応答またはバインディング肯定応答メッセージ(BA:Binding Acknowledgment message)が、要求またはバインディング更新メッセージに応答して送られる。ネットワーク上のルータは、データ・テーブル上に移動ノードの気付アドレスとホームIPアドレスの関連付けを維持して、外部ネットワークに接続された移動ノードに情報パケットがルーティングされ得ることを保証する。
IPベースの移動通信システムでは、移動ノードは、ネットワーク接続性を維持しながら、ネットワークへのその接続点を変更する。モバイルIPプロトコル(RFC 2002)は、移動ノードとのモバイルIP通信が、1つの管理者によって制御された単一の管理ドメインまたは単一のネットワーク上で実施されると仮定する。しかし、移動ノードがそのホーム管理ドメイン外に移動する場合、移動ノードは、そのホーム・ネットワークとのネットワーク接続性を維持するために、複数の外部ネットワークを介して通信する必要があり得る。別の管理ドメインによって制御された外部ネットワークに接続される間、ネットワーク・サーバは、移動ノードに与えられるサービスのアカウンティング情報を認証し、許可し、収集しなければならない。これらの認証、許可およびアカウンティング活動は、「AAA」活動と呼ばれる。
認証は、主張された誰かの身元を証明するプロセスであり、モバイルIPネットワーク上のセキュリティ・システムは、要求された活動を許可する前にシステム・ユーザの身元の認証をしばしば必要とする。ネットワーク上のAAAサーバは、許可されたユーザの身元を認証し、移動ノードの要求された活動を許可する。さらに、AAAサーバは、管理ドメイン間の伝送リンクの使用のための使用法および使用料を追跡することを含めて、アカウンティング機能をもサポートする。
リモート認証ダイアル・イン・ユーザ・サービス(RADIUS:Remote Authentication Dial In User Service)は、AAAのための広く使用されている1つのプロトコルである。RADIUSプロトコルは、事実上どんなパケットベース通信システム上でも使用され得るAAAに必要なメッセージ形式およびデータを定義する。機能的には、RADIUSは、UDP伝送プロトコルによる標準情報符号化を使用してクライアント・サーバ操作、ネットワーク・セキュリティ、認証、およびアカウンティングを実施することができる。RADIUS AAAサーバ・コンピュータは、AAA機能を実施するためにRADIUSプロトコルを使用して無線ネットワーク上に広く配置される。
AAAサーバのための別の機能は、セキュリティ・アソシエーションを格納し割り当てることによって、セキュリティ保護された情報パケット伝送をサポートすることである。セキュリティ・アソシエーションは、2つのノード間の情報パケット送信を安全な形式で暗号化することを指定しサポートするのに必要な暗号化プロトコル、ノンス、および鍵を指す。セキュリティ・アソシエーションは、ノード間で交換された情報パケットに適用され得る、ノード間に存在するセキュリティ・コンテキストの集まりである。それぞれのコンテキストは、認証アルゴリズムおよびモード、共有鍵または適切な公開/秘密鍵対、および再生保護のスタイルを示す。
拡張がIPプロトコルに定義されており、拡張は、情報パケット内の可変量のデータの伝送をサポートするために類似のプロトコルで使用され得る。これは、移動ノード、ルータおよびネットワークのアドレス情報を含む。IPの拡張機構は、発見、通知、制御およびルーティング情報パケット形式など、専用メッセージ・タイプへの制約なしに、適切なアドレッシングおよびルーティング情報が任意の情報パケットによって運ばれることを可能にする。
一般的な拡張形式は、タイプ−長さ−値(Type−Length−Value)形式を含む。タイプ・データ・フィールド(T)1は、一般的な拡張の最初の8ビット(1オクテット)を占める。このデータ・フィールドの値は、拡張のタイプを指定する。長さデータ・フィールド(L)2は、拡張の次の8ビットを占め、割り当てられる値は、オクテット内の値フィールド(V)3の長さである。値データ・フィールド3は、タイプ1および長さ2データ値によって指定されるような一般的な拡張の残りのビットを占める。
モバイルIPv4のいくつかの機能性は、外部エージェントが、ホーム・エージェントへの登録要求RRQの転送前に、移動ノードから受け取られたその登録要求RRQに特定情報を追加することを必要とする。この追加情報は、公開開示されないように保護すべきであり、それは、ホーム・エージェントへのRRQの送信前に外部エージェントがホーム・エージェントとセキュリティ・アソシエーションを確立することを必要とする。
外部エージェント−ホーム・エージェント認証拡張(AE:Authentication Extension)は、外部ネットワークとホーム・ネットワークの間の安全な通信をサポートするために使用され得るオプションの拡張である。FA−HA認証拡張(AE)を使用するには、外部エージェントFAとホーム・エージェントHAの間にセキュリティ・アソシエーションが存在することが必要である。FA−HA認証拡張(AE)をサポートするのに外部エージェントとホーム・エージェントの間のセキュリティ・アソシエーションを確立するために、外部エージェントは、外部エージェントとホーム・エージェントの間のセキュリティ・アソシエーションを確立するFA−HAアクセス要求メッセージで、セキュリティ・アソシエーション・パラメータ(たとえばFA−HA秘密鍵、ハッシュ関数、ハッシュ関数モードなど)を動的に割り当てることができなければならない。
また外部エージェントおよびホーム・エージェントは、セキュリティ・パラメータ・インデックス(SPI:Security Parameter Index)を使用してセキュリティ・アソシエーションにインデックスを付け、また外部エージェントおよびホーム・エージェントは、外部エージェントとホーム・エージェントの間のセキュリティ・アソシエーションのインデックスとして移動ノードのIPアドレスを送信する。このFA−HAセキュリティ・アソシエーションの割当ては、RFC 2002(3344)の範囲外であり、現在、FA−HAセキュリティ・アソシエーションに必要なサポート情報を割り当てる能力はない。それは、本発明の1つの目的である。別の目的は、以前に静的に事前構成されたパラメータの可変の組合せおよび拡張と共に、FA−HAセキュリティ・アソシエーションで使用されるパラメータの動的割当てをサポートすることである。AAAサーバを使用して単一の秘密鍵値を動的に割り当てるために3GPP2規格で提案された方法があるが、この提案は、外部エージェントとホーム・エージェントの間の同時性を維持せず、他の必要なパラメータまたはセキュリティ・パラメータ・インデックス値の動的な割当てを可能にしていない。
本発明は、外部エージェントとホーム・エージェントの間のセキュリティ・アソシエーションを確立するのに必要なさまざまなパラメータを動的に割り当てるためにAAA基盤を使用する。本発明で割り当てることができるさまざまなパラメータは、FA−HA共有秘密鍵または公開/秘密鍵対、認証アルゴリズムおよびモード、FA−HA秘密鍵有効期間、ならびにセキュリティ・パラメータ・インデックスまたはセキュリティ・インデックス値を含む。本発明はまた、外部エージェントとホーム・エージェントがセキュリティ・アソシエーションに関して同期されたままであることを保証する際に役立つことができる。
本発明は、外部エージェントからの要求に基づいて外部エージェントとホーム・エージェントのセキュリティ・アソシエーションをサポートするのに必要な選ばれたセキュリティ・アソシエーション・パラメータを動的に生成して配布する中央エンティティとして、AAAサーバを使用する。AAAサーバは、外部エージェントとホーム・エージェントの対に一意のSPI値を動的に割り当てることもできる。必要なパラメータを動的に割り当て、FA−HAセキュリティ・アソシエーションを確立した後、外部エージェントは、移動ノードからホーム・ネットワーク上のホーム・エージェントに初期登録要求を転送することができる。
本発明の目的および特徴は、添付の図面と併せ読めば、以下の詳細な説明および添付の特許請求の範囲からより容易に理解されよう。図面では、同じ番号は、同様の要素を表す。
モバイルIPベースの通信システムを示す図である。 本発明で使用されるメッセージ・シーケンスの図である。
図1に、IPベース移動システムの全体的なアーキテクチャが、移動ノード64、ホーム・ネットワーク10および外部ネットワーク40を伴って示されている。図1に示されるように、ホーム・ネットワーク10および外部ネットワーク40は、雲35によって表されたインターネットに結合される。ホーム・ネットワーク10は、通信リンク24を介してホーム・エージェント28に結合された中央バス線20を有する。バス線20は、通信リンク22を介してAAAサーバ17に結合される。ホーム・ネットワーク10は、通信リンク30を介してインターネット35に結合される。通信リンクは、ネットワーク上の2つ以上のノード、あるいはネットワークまたは管理ドメイン内のユーザ間の任意の接続である。
外部ネットワーク40は、通信リンク54を介して外部エージェント58に結合された中央バス線50を有する。バス線50は、通信リンク52を介してAAA外部ネットワーク・サーバ47に結合される。外部ネットワーク40は、通信リンク37を介してインターネット35に結合される。移動ノード64は、トランシーバ60の無線通信リンク66を介して外部ネットワーク40に電子的に結合されて示されている。トランシーバ60は、通信リンク62を介して外部ネットワーク40に結合される。移動ノード64は、外部ネットワーク40に結合された任意のトランシーバまたはアクセス・ネットワークと通信することができる。
ホーム・エージェントおよび外部エージェントという用語は、モバイルIPプロトコル(RFC 2002)に定義されたとおりであり得るが、これらのエージェントは、単一のプロトコルまたはシステムに限定されない。実際、本出願では用語ホーム・エージェントは、ホーム・モビリティ・マネージャ、ホーム・ロケーション・レジスタ、ホーム・サービング・エンティティ、または移動ノード64のモビリティ関連機能を管理する責任を担うホーム・ネットワーク10上の他の任意のエージェントを指し得る。同様に、本出願では用語外部エージェントは、サービング・モビリティ・マネージャ、在圏ロケーション・レジスタ、在圏サービス・エンティティ、または移動ノード64のモビリティ関連機能を管理する責任を担う外部ネットワーク40上の他の任意のエージェントを指し得る。
図1に示されたモバイルIP通信システムでは、移動ノード64は、永続IPアドレスによって識別される。移動ノード64がそのホーム・ネットワーク10に結合されている間、移動ノード64は、ホーム・ネットワーク10上の他の任意の固定ノードと同様に情報パケットを受け取る。移動しているとき、移動ノード64は、外部ネットワーク40内にそれ自体位置することもできる。外部ネットワーク40内に位置するとき、ホーム・ネットワーク10は、外部ネットワーク40に通信を「トンネリングする」ことによって移動ノード64にデータ通信を送る。
移動ノード64は、ホーム・エージェント28に気付アドレスを登録することによって、その現在の位置または外部ネットワーク・アソシエーションをホーム・エージェント28に通知し続ける。本質的に、気付アドレスは、移動ノード64が現在位置している外部ネットワーク40を表す。ホーム・エージェント28は、移動ノード64が外部ネットワーク40内に位置する間に移動ノード64に宛てられた情報パケットを受け取る場合、移動ノード64への後の送信のために情報パケットを外部ネットワーク40に「トンネリングする」。
外部エージェント58は、移動ノード64の現在の気付アドレスをホーム・エージェント28に通知することに関与する。外部エージェント58は、情報パケットがホーム・エージェント28によって外部エージェント58に転送された後も、移動ノード64のための情報パケットを受け取る。さらに、外部エージェント58は、外部ネットワーク40に接続される間に移動ノード64によって生成された、出て行く情報パケットのためのデフォルト・ルータとして働く。
移動ノード64は、現在の気付アドレスをホーム・エージェント28に通知することに関与する。移動ノード64が外部ネットワーク40に在圏しているとき、移動ノード64は、エージェント広告から、外部ネットワーク40および/または外部エージェント58のアドレスに関する適切な情報を取得する。この情報を取得した後、移動ノード64は、外部エージェント58に登録要求を送信し、この外部エージェント58は、ホーム・エージェント28への転送に備えて登録要求メッセージを準備する。
モバイルIPプロトコルは、新しい外部ネットワーク40への移動後に移動ノードがホーム・ネットワーク10上のホーム・エージェント28に気付アドレスを登録することを必要とする。登録プロセスの一環として、移動ノード64は、外部ネットワーク40上の起動またはエージェント広告の受信に応答して登録要求を出す。登録要求は、ホーム・ネットワーク40上のホーム・エージェント28に送られるが、外部エージェント58とホーム・エージェント28の間にセキュリティ・アソシエーションが確立された後にしか行われない。
セキュリティ・アソシエーションが確立された後、移動ノード64の気付アドレスを含む登録要求メッセージが、ホーム・エージェント28に送られ得る。登録要求を受け取ったことを通知し、移動ノード64の気付アドレスの受信を確認し、登録プロセスの完了を示すために、登録応答が、ホーム・エージェント28によって出される。気付アドレスは、移動ノード64が位置する外部ネットワーク40を識別し、ホーム・エージェント28は、この気付アドレスを使用して、移動ノード64への後の転送のために情報パケットを外部ネットワーク40にトンネリングする。
移動ノード64に宛てられたすべての通信は、通常のIPプロトコルに従って移動ノードのホーム・ネットワーク10にルーティングされる。登録が完了した後、ホーム・エージェント28は、この通信を受け取り、外部ネットワーク40上の移動ノード64にメッセージを「トンネリングする」。外部エージェント58は、向きが変えられた(re−directed)通信を受け入れ、トランシーバ60を介して移動ノード64に情報パケットを送り届ける。このようにして、ホーム・ネットワーク10上のその通常のアドレスで移動ノード64に宛てられた情報パケットは、外部ネットワーク40上の移動ノード64へと向きが変えられ、すなわち転送される。
セキュリティ・アソシエーションなしでは、上記の情報は、パブリック・ドメインで送られることになろう。しかし、こうした情報をセキュリティ・アソシエーションなしにパブリック・ドメインで送信すると、許可されたユーザが、以下の形の攻撃を受けることになり得る:(1)敵意のあるノードが情報パケットの向きを変えることによって移動ノードからネットワーク・セッションをハイジャックするセキュリティ窃盗、(2)許可されたユーザの識別が、ネットワークへのアクセスを得るために無許可のやり方で使用されるスプーフィング、および(3)許可されたユーザとのセッションの間、情報を傍受し盗むこと。本発明は、外部エージェント58からホーム・エージェント28に情報を送信する前に、セキュリティ・アソシエーション・パラメータを動的に確立することによってそれが生じないようにする。
AAAサーバ
AAAサーバ17は、外部ネットワーク40に接続されるときにホーム・ネットワーク10上のユーザおよび移動ノード64に認証および許可サービスを提供する。本発明は、外部エージェント58とホーム・エージェント28の間のセキュリティ・アソシエーションを確立するために必要なさまざまなパラメータを動的に割り当てるために、AAAサーバ17およびその周囲の基盤を使用する。
AAAサーバ17は、本発明の中央エンティティであり、AAAサーバ17は、登録要求が外部エージェント58によってホーム・エージェント28に送信される前に外部エージェント58とホーム・エージェント28の間のセキュリティ・アソシエーションを確立するために必要な選ばれたパラメータを動的に生成して配布する。本発明で割り当てることができるさまざまなパラメータは、FA−HA共有秘密鍵または公開/秘密鍵の対、認証アルゴリズムおよびモード、FA−HA秘密鍵有効期間、応答保護機構(必要な場合)、セキュリティ・パラメータ・インデックス(SPI)またはセキュリティ・インデックス値、ならびに将来定義され得る他の任意の必要なパラメータを含む。
セキュリティ・パラメータ・インデックス(SPI)は、モビリティ・セキュリティ・アソシエーションで使用可能な1対のノード間のセキュリティ・コンテキストを識別する。指定された各セキュリティ・コンテキストは、認証アルゴリズムおよびモード、公開または非公開鍵(「秘密鍵」)、ならびに応答保護のスタイルを示す。SPIは、すべての認証拡張で見られ、移動ノードの身元を認証するために使用しなければならない。SPIは、認証値を計算するためのセキュリティ・プロトコル(アルゴリズムおよび鍵)を指定する。
本発明は、外部エージェントからの要求に基づいて外部エージェントとホーム・エージェントのセキュリティ・アソシエーションをサポートするのに必要な選ばれたセキュリティ・アソシエーション・パラメータを動的に生成して配布するための中央エンティティとして、AAAサーバを使用する。AAAサーバは、外部エージェントとホーム・エージェントの対に一意のSPI値を動的に割り当てることもできる。必要なパラメータを動的に割り当て、FA−HAセキュリティ・アソシエーションを確立した後、外部エージェントは、移動ノードからホーム・ネットワーク上のそのホーム・エージェントに初期登録要求を転送する。
AAAサーバ17は、新しく生成されたセキュリティ・アソシエーションの状態、およびFA−HA対のSPI値を維持する。AAAサーバ17は、RADIUS AAAサーバであってもよく、このRADIUS AAAサーバは、外部エージェント58からのRADIUSアクセス要求を処理し、セキュリティ・アソシエーションの確立に必要なパラメータを動的に生成し、外部エージェント58によるホーム・エージェント28への登録要求の転送の前に、RADIUSアクセス許可メッセージ(Access Accept message)で外部エージェント58にそれらのパラメータを返送することができる。
本発明は、外部エージェントとホーム・エージェントが同期されたセキュリティ・アソシエーションを維持することを保証するのにも役立つ。本発明は、外部エージェント58がアクセスおよび指定されたホーム・エージェント28とのセキュリティ・アソシエーションを要求するときはいつでも、セキュリティ・アソシエーションが既に存在しており、または既存のセキュリティ・アソシエーションが終了していない場合でもAAAサーバ17が、そのセキュリティ・アソシエーションのための新しいセキュリティ・パラメータ・インデックス(SPI)を生成することを必要とすることによって、この目的を達成する。特定のホーム・エージェント28を指定するセキュリティ・アソシエーションを求める新しい要求が生じるたびに新しいセキュリティ・パラメータ・インデックス(SPI)を生成させるというこの要件を使用して、新しいセキュリティ・アソシエーションが動的に確立されており、外部エージェント58を介して移動ノード64と通信し続けるにはホーム・エージェント28がAAAサーバ17から新しいセキュリティ・アソシエーション・パラメータを取得しなければならないことを示すことができる。
セキュリティ・アソシエーションの確立およびこの動的な割当てを必要とするFA−HA対を外部エージェント58が指定する場合は新しいセキュリティ・パラメータ生成またはSPI値割当てを実施しなければならないという要件は、外部エージェント58がセキュリティ・アソシエーションを要求し、そのアクセス要求内に古いSPI値を含む場合にも生じる。セキュリティ・パラメータ値を動的に割り当てる制御エンティティであるAAAサーバ17は、指定されたホーム・エージェント28に関して外部エージェント58によってアクセス要求メッセージでセキュリティ・アソシエーションが要求されるたびに、新しいセキュリティ・パラメータ値を割り当てなければならない。外部エージェント58にセキュリティ・アソシエーション情報を提供した後、外部エージェントは、ホーム・エージェント28への通信を行い、このホーム・エージェント28は、動的に割り当てられて、外部エージェント58に以前に送られたセキュリティ・パラメータ情報を求めてAAAサーバ17に問い合わせる。AAAサーバ17は、(外部エージェント58から受け取られた)特定の有効なSPI値を用いた特定のFA−HAセキュリティ・アソシエーションを求める要求をホーム・エージェント28から受け取ると、指定されたSPIインデックス値および指定されたFA−HA対に関連するFA−HA秘密鍵を含むセキュリティ・アソシエーション・パラメータをホーム・エージェント28に返さなければならない。
AAAサーバ17は、無効のSPI値を使用したセキュリティ・アソシエーションを求める要求をホーム・エージェント28から受け取る場合、拒否メッセージまたは無効SPIの表示をホーム・エージェント28に返送しなければならない。失敗したまたは拒否された応答メッセージには、動的に割り当てられたセキュリティ・アソシエーション・パラメータは割り当てられず、または通信され得ない。新しいセキュリティ・アソシエーション・パラメータがAAAサーバ17によって動的に割り当てられると、古いSPIおよびセキュリティ・アソシエーション・パラメータは無視しなければならないが、AAAサーバ17は、古いセキュリティ・アソシエーション・パラメータと新しいセキュリティ・アソシエーション・パラメータの競合をチェックするために古いセキュリティ・アソシエーション・パラメータを格納する能力を有することができる。古いセキュリティ・パラメータおよびインデックス値は、AAAサーバ17から新しいセキュリティ・パラメータおよびインデックス値を取得することにも有用であり得る。最も新しく生成されたセキュリティ・パラメータおよびSPIインデックス値は、格納されるとき、外部エージェント58とホーム・エージェント28の間のセキュリティ・アソシエーションをサポートする。
新しいセキュリティ・パラメータおよび新しいSPIインデックス値を動的に割り当てる要件の唯一の例外は、外部エージェント58から送られたアクセス要求メッセージでホーム・エージェント28が(指定されず)動的に割り当てられる場合である。この状況は、移動ノード64がホーム・エージェント28のアドレスを識別せずに登録要求メッセージを外部エージェント58に送る場合に生じる。この場合、外部エージェント58は、ホーム・ネットワークAAAサーバ17にそのアクセス要求を行うときにホーム・エージェント28の身元またはアドレスを知っていないことがある。その場合、外部エージェント58は、AAAサーバ17にホーム・エージェント28に関して尋ね、外部エージェント−ホーム・エージェント対のセキュリティ・コンテキストを求めることができる。その情報要求に応答して、AAAサーバ17は、前の割当てがなかった場合はセキュリティ・アソシエーション・パラメータの新しい割当て、および新しいSPIインデックス値を外部エージェント58に送る。HAとSAのセキュリティ・アソシエーションのための前の割当てがあった場合は、以前に割り当てられたSPIインデックス値が、FAに返される。
本発明のメッセージ順序付け
図2は、本発明によるメッセージ・フローチャートである。リンク層設定メッセージ(SU:Set Up message)シーケンス305が、移動ノード64と外部エージェント(FA)58の間で通信される。移動ノード64は、メッセージング305で外部エージェント58と通信した後、メッセージ315で、外部エージェント58に登録要求メッセージ(RRQ:Registration Request Message)を送る。この登録要求は、ホーム・エージェント28が移動ノード64に情報パケットを転送するのに必要な気付アドレスを有する。
ホーム・エージェント28上に登録要求メッセージを送る前に、外部エージェントは、メッセージ320でホーム・ネットワーク10上のH−AAAサーバ17と通信する。H−AAAサーバ17への通信320は、外部エージェント58とホーム・エージェント28の間のセキュリティ・アソシエーションの確立を求めるアクセス要求(RSA)である。アクセス要求(RSA)320は、外部エージェント58とホーム・エージェント28の間の特定のセキュリティ・アソシエーションの確立を求める要求を含み、H−AAAサーバ17が、要求されたセキュリティ・アソシエーションの確立に必要な特定のセキュリティ・パラメータを動的に割り当てるように要求される。要求されたこれらのパラメータは、FA−HA共有秘密鍵または公開/秘密鍵対、認証アルゴリズムおよびモード、FA−HA秘密鍵有効期間、応答保護機構(必要な場合)、セキュリティ・パラメータ・インデックス(SPI)またはセキュリティ・インデックス値、ならびに将来定義され得る他の任意の必要なパラメータを含み得る。
H−AAAサーバ17は、要求が無効であり、または要求の他の何らかの部分が不適当である場合、アクセス拒否メッセージで応答してもよい。セキュリティ・アソシエーションの要求が適切であるとみなして、H−AAAサーバ17は、メッセージ325で、アクセス要求メッセージ(RSA)320にアクセス許可メッセージ(RSAR)で応答する。メッセージ325のこのアクセス許可メッセージ(RSAR)は、SPI=SPI1のセキュリティ・パラメータ・インデックス値(SPI)を含む、要求されたセキュリティ・アソシエーション・パラメータを含む。秘密鍵情報が、メッセージ325に含まれ得る。
外部エージェントがメッセージ325でアクセス許可メッセージ(RSAR)を受け取った後、外部エージェント58は、メッセージ330で、ホーム・エージェント(HA)に初期登録要求メッセージ(RRQ)を転送する。メッセージ330は、メッセージ325でH−AAAサーバ17から受け取られた追加のセキュリティ・アソシエーション・パラメータおよびセキュリティ・パラメータ・インデックス(SPI)値の一部を伴う認証拡張を含む。
ホーム・エージェント28は、メッセージ330で、初期登録要求メッセージ(RRQ)を受け取り、H−AAAサーバ17によって動的に割り当てられて、メッセージ325で外部エージェント58に送られたセキュリティ・アソシエーション値およびセキュリティ・パラメータ・インデックス(SPI)値の開示を求める要求と共に、H−AAAサーバ17にアクセス要求メッセージ(RSA)330を送信する。アクセス要求メッセージ(RSA)330は、H−AAAサーバ17がホーム・エージェント28の身元が本物であることを認証し確認することを可能にし、H−AAAサーバ17は、メッセージ345でH−AAAサーバ17からホーム・エージェント28に送られたアクセス許可メッセージ(RSAR)で、要求されたセキュリティ・アソシエーション・パラメータをホーム・エージェント28に提供する。H−AAAサーバ17は、メッセージ345でホーム・エージェント28に送られたアクセス許可メッセージ(RSAR)内に、ホーム・エージェント28および外部エージェント58がそれらのエンティティ間のメッセージングを暗号化し復号することを可能にするセキュリティ・パラメータ値および秘密鍵情報など追加のセキュリティ情報を含める。
ホーム・エージェント28は、アクセス許可メッセージ(RSAR)を受け取り、このアクセス許可メッセージは、外部エージェント58を介して移動ノード64から最初に受け取られた登録要求(RRQ:registration request)をホーム・エージェント28が認証することを可能にする。ホーム・エージェントは、この確認および認証の後、外部エージェントに登録応答(RRQ返信)メッセージ350を送信する。外部エージェントは、登録応答(RRQ返信)メッセージ350を認証し、その確認と認証の後に登録応答返信メッセージ(RRQ返信)355を送信する。メッセージ350の受信に続いて、移動ノード64が登録され、移動ノード64と外部エージェント58とホーム・エージェント28の間に確立された安全な通信経路が存在する。セッションが登録され、移動ノード64は、ホーム・エージェント28と安全なやり方で通信することができる。
本発明について、好ましい実施形態に関して具体的に示され述べられているが、本発明の精神から逸脱せずに本発明の詳細の小さい変更が行われてもよいことが容易に理解されよう。

Claims (22)

  1. ホーム・エージェントとホーム・ネットワークAAAサーバとを有するホーム・ネットワークと、
    外部エージェントを有する外部ネットワークと、
    ホーム・エージェント−外部エージェント対を求める特定のセキュリティ・アソシエーション要求を前記外部エージェントから受け取った後、前記ホーム・ネットワークAAAサーバからのセキュリティ・パラメータおよびSPIインデックス値の動的割当てに基づいて前記ホーム・エージェントと前記外部エージェントの間に確立されるセキュリティ・アソシエーションとを備える通信システムであって、前記セキュリティ・アソシエーション要求が、前記外部エージェントによって移動ノードから登録要求が受け取られた後に開始され、前記外部エージェントによって受け取られた前記登録要求が、前記外部エージェントと前記ホーム・エージェントの間の前記セキュリティ・アソシエーションが確立された後に前記ホーム・エージェントに転送され、前記ホーム・ネットワークAAAサーバが、前記外部エージェントが特定のホーム・エージェント−外部エージェント対を求めるセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータおよびSPIインデックス値を動的に割り当てる、通信システム。
  2. 前記ホーム・ネットワークAAAサーバが、ホーム・エージェント−外部エージェント対の既存のセキュリティ・アソシエーションが存在している場合でも、前記外部エージェントがその特定のホーム・エージェント−外部エージェント対のセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータおよびSPIインデックス値を動的に割り当てる、請求項1に記載の通信システム。
  3. 古いSPIインデックス値が、前記ホーム・ネットワークAAAサーバによって発行された前記動的に割り当てられたSPIインデックス値に一致しない場合は、それらの値が無効とみなされる、請求項1に記載の通信システム。
  4. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント共有秘密鍵または公開/秘密鍵対を含む、請求項1に記載の通信システム。
  5. 動的に割り当てることができるセキュリティ・パラメータが、認証アルゴリズムおよびモードを含む、請求項1に記載の通信システム。
  6. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント秘密鍵有効期間を含む、請求項1に記載の通信システム。
  7. 移動ノードと、ホーム・ネットワーク上のホーム・エージェントとの間に安全な通信経路を確立するための方法であって、
    外部ネットワーク上に位置する前記移動ノードから前記外部ネットワーク上の外部エージェントで登録要求を受け取るステップであって、前記登録要求が、前記移動ノードと、前記ホーム・ネットワーク上に位置する前記ホーム・エージェントとの間の通信経路を確立するための気付アドレッシング情報を含む、ステップと、
    特定の外部エージェント−ホーム・エージェント対を求めるセキュリティ・アソシエーション要求と共に、前記ホーム・ネットワーク上に位置するホーム・ネットワークAAAサーバに前記外部エージェントからのアクセス要求を送信するステップであって、前記ホーム・ネットワークAAAサーバが、前記セキュリティ・アソシエーション要求をサポートするためのセキュリティ・パラメータを動的に割り当てる、ステップと、
    前記ホーム・ネットワークAAAサーバから、前記ホーム・ネットワークAAAサーバによって生成された前記動的に割り当てられたセキュリティ・パラメータ情報を含むアクセス応答を前記外部エージェントで受け取るステップと、
    前記外部エージェントによって受け取られた前記セキュリティ・パラメータの選択された部分を含む前記登録要求を前記外部エージェントから前記ホーム・エージェントに送信するステップであって、前記ホーム・エージェントが、前記登録要求を受け取った後、前記動的に割り当てられたセキュリティ・パラメータ情報を別個に前記ホーム・ネットワークAAAサーバから受け取る、ステップと、
    前記外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション情報の確認の後、前記外部エージェントで前記ホーム・エージェントから登録応答を受け取るステップであって、前記登録応答が、前記ホーム・エージェントと前記移動ノードの間の前記通信経路を確立するために前記移動ノードに提供される、ステップとを備える方法。
  8. 前記ホーム・ネットワークAAAサーバが、前記外部エージェントが特定のホーム・エージェント−外部エージェント対を求めるセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータ情報を動的に割り当てる、請求項7に記載の方法。
  9. 前記ホーム・ネットワークAAAサーバが、前記外部エージェントが特定のホーム・エージェント−外部エージェント対を求めるセキュリティ・アソシエーションを要求するたびに、SPIインデックス値を含む前記セキュリティ・パラメータ情報を動的に割り当てる、請求項7に記載の方法。
  10. 古いSPIインデックス値が、前記ホーム・ネットワークAAAサーバによって発行された前記動的に割り当てられたSPIインデックス値に一致しない場合は、それらの値が無効とみなされる、請求項9に記載の方法。
  11. 前記ホーム・ネットワークAAAサーバが、ホーム・エージェント−外部エージェント対の既存のセキュリティ・アソシエーションが存在している場合でも、前記外部エージェントがその特定のホーム・エージェント−外部エージェント対のセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータを動的に割り当てる、請求項7に記載の方法。
  12. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント共有秘密鍵または公開/秘密鍵対を含む、請求項7に記載の方法。
  13. 動的に割り当てることができるセキュリティ・パラメータが、認証アルゴリズムおよびモードを含む、請求項7に記載の方法。
  14. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント秘密鍵有効期間を含む、請求項7に記載の方法。
  15. ホーム・エージェントとホーム・ネットワークAAAサーバ・コンピュータとを有するホーム・ネットワークと、
    外部エージェントを有する外部ネットワークと、
    ホーム・エージェント−外部エージェント対を求める特定のセキュリティ・アソシエーション要求を前記外部エージェントから受け取った後、前記ホーム・ネットワークAAAサーバ・コンピュータからのセキュリティ・パラメータおよびSPIインデックス値の動的割当てに基づいて前記ホーム・エージェントと前記外部エージェントの間に確立されるセキュリティ・アソシエーションとを備える通信システムであって、前記セキュリティ・アソシエーション要求が、前記外部エージェントによって移動ノードから登録要求が受け取られた後に開始される、通信システム。
  16. 前記外部エージェントによって受け取られた前記登録要求が、前記外部エージェントと前記ホーム・エージェントの間に前記セキュリティ・アソシエーションが確立された後に前記ホーム・エージェントに転送される、請求項15に記載の通信システム。
  17. 前記ホーム・ネットワークAAAサーバが、前記外部エージェントが特定のホーム・エージェント−外部エージェント対を求めるセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータおよびSPIインデックス値を動的に割り当てる、請求項15に記載の通信システム。
  18. 古いSPIインデックス値が、前記ホーム・ネットワークAAAサーバによって発行された前記動的に割り当てられたSPIインデックス値に一致しない場合は、それらの値が無効とみなされる、請求項17に記載の通信システム。
  19. 前記ホーム・ネットワークAAAサーバが、ホーム・エージェント−外部エージェント対の既存のセキュリティ・アソシエーションが存在している場合でも、前記外部エージェントがその特定のホーム・エージェント−外部エージェント対のセキュリティ・アソシエーションを要求するたびに前記セキュリティ・パラメータおよびSPIインデックス値を動的に割り当てる、請求項15に記載の通信システム。
  20. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント共有秘密鍵または公開/秘密鍵対を含む、請求項15に記載の通信システム。
  21. 動的に割り当てることができるセキュリティ・パラメータが、認証アルゴリズムおよびモードを含む、請求項15に記載の通信システム。
  22. 動的に割り当てることができるセキュリティ・パラメータが、外部エージェント−ホーム・エージェント秘密鍵有効期間を含む、請求項15に記載の通信システム。
JP2010500993A 2007-03-28 2008-03-27 Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て Expired - Fee Related JP5044690B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US90847207P 2007-03-28 2007-03-28
US60/908,472 2007-03-28
US91686607P 2007-05-09 2007-05-09
US60/916,866 2007-05-09
PCT/US2008/003992 WO2008118480A1 (en) 2007-03-28 2008-03-27 Dynamic foreign agent-home agent security association allocation ip mobility systems

Publications (2)

Publication Number Publication Date
JP2010523051A JP2010523051A (ja) 2010-07-08
JP5044690B2 true JP5044690B2 (ja) 2012-10-10

Family

ID=39788865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010500993A Expired - Fee Related JP5044690B2 (ja) 2007-03-28 2008-03-27 Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て

Country Status (4)

Country Link
US (2) US8411858B2 (ja)
JP (1) JP5044690B2 (ja)
CN (1) CN101675617A (ja)
WO (1) WO2008118480A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101675617A (zh) * 2007-03-28 2010-03-17 北方电讯网络有限公司 用于ip移动性系统的动态外区代理-归属代理安全性关联分配
US8370503B2 (en) * 2008-05-02 2013-02-05 Futurewei Technologies, Inc. Authentication option support for binding revocation in mobile internet protocol version 6
US8509815B1 (en) * 2009-05-21 2013-08-13 Sprint Communications Company L.P. Dynamically updating a home agent with location-based information
JP2011008701A (ja) * 2009-06-29 2011-01-13 Sony Corp 情報処理サーバ、情報処理装置、および情報処理方法
CN101656959B (zh) * 2009-09-10 2012-02-29 中兴通讯股份有限公司 PMIP中HA获取MN-HA key的方法、设备及系统
US9350604B1 (en) 2014-03-28 2016-05-24 Sprint Spectrum L.P. Packet gateway assignment based on network connectivity
US9445256B1 (en) 2014-10-22 2016-09-13 Sprint Spectrum L.P. Binding update forwarding between packet gateways
US10785645B2 (en) * 2015-02-23 2020-09-22 Apple Inc. Techniques for dynamically supporting different authentication algorithms
US9936430B1 (en) 2016-03-07 2018-04-03 Sprint Spectrum L.P. Packet gateway reassignment

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
US6466964B1 (en) * 1999-06-15 2002-10-15 Cisco Technology, Inc. Methods and apparatus for providing mobility of a node that does not support mobility
US7174018B1 (en) * 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
JP2001169341A (ja) * 1999-09-29 2001-06-22 Fujitsu Ltd 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
WO2001026322A2 (en) * 1999-10-05 2001-04-12 Nortel Networks Limited Key exchange for a network architecture
US6922404B1 (en) * 1999-10-14 2005-07-26 Nortel Networks Limited Mobile IP extensions rationalization (MIER)
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7333482B2 (en) * 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
US7193985B1 (en) * 2001-06-14 2007-03-20 Utstarcom, Inc. System and method for managing foreign agent selections in a mobile internet protocol network
US7213144B2 (en) * 2001-08-08 2007-05-01 Nokia Corporation Efficient security association establishment negotiation technique
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7382748B1 (en) * 2001-10-24 2008-06-03 Nortel Networks Limited Assigning a dynamic home agent for a mobile network element
US7409549B1 (en) * 2001-12-11 2008-08-05 Cisco Technology, Inc. Methods and apparatus for dynamic home agent assignment in mobile IP
US7298847B2 (en) * 2002-02-07 2007-11-20 Nokia Inc. Secure key distribution protocol in AAA for mobile IP
US7447162B1 (en) * 2002-03-05 2008-11-04 Cisco Technology, Inc. Methods and apparatus for anchoring of mobile nodes using DNS
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
US7080151B1 (en) * 2002-04-01 2006-07-18 Utstarcom, Inc. Method and system for mobile IP home agent redundancy by using home agent control nodes for managing multiple home agents
US6956846B2 (en) * 2002-08-16 2005-10-18 Utstarcom Incorporated System and method for foreign agent control node redundancy in a mobile internet protocol network
US7870389B1 (en) * 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
EP1634422B1 (en) * 2003-06-18 2016-11-16 Telefonaktiebolaget LM Ericsson (publ) Method, system and apparatus to support hierarchical mobile ip services
US20070274266A1 (en) * 2003-06-18 2007-11-29 Johnson Oyama Method, System And Apparatus To Support Mobile Ip Version 6 Services in Cdma Systems
US20050190734A1 (en) * 2004-02-27 2005-09-01 Mohamed Khalil NAI based AAA extensions for mobile IPv6
EP1735990B1 (en) * 2004-04-14 2018-05-30 Microsoft Technology Licensing, LLC Mobile ipv6 authentication and authorization
EP1782575A1 (en) * 2004-08-26 2007-05-09 NTT DoCoMo, Inc. Method and apparatus for supporting secure handover
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US20060294363A1 (en) * 2005-06-16 2006-12-28 Samsung Elecontronics Co., Ltd. System and method for tunnel management over a 3G-WLAN interworking system
US7808970B2 (en) * 2005-06-30 2010-10-05 Motorola, Inc. Method of dynamically assigning mobility configuration parameters for mobile entities
US7653813B2 (en) * 2006-02-08 2010-01-26 Motorola, Inc. Method and apparatus for address creation and validation
DE102006006072B3 (de) * 2006-02-09 2007-08-23 Siemens Ag Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden
CN101496387B (zh) * 2006-03-06 2012-09-05 思科技术公司 用于移动无线网络中的接入认证的系统和方法
WO2007134547A1 (fr) * 2006-05-24 2007-11-29 Huawei Technologies Co., Ltd. Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification
CN101106452B (zh) * 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
CN101675617A (zh) * 2007-03-28 2010-03-17 北方电讯网络有限公司 用于ip移动性系统的动态外区代理-归属代理安全性关联分配
US8166527B2 (en) * 2007-11-16 2012-04-24 Ericsson Ab Optimized security association database management on home/foreign agent
US8923811B2 (en) * 2008-03-14 2014-12-30 Alcatel Lucent Methods and apparatuses for dynamic management of security associations in a wireless network
EP2151142B1 (en) * 2008-06-02 2011-11-02 Media Patents, S. L. Methods and apparatus for sending data packets to and from mobile nodes
US8385300B2 (en) * 2008-10-03 2013-02-26 Cisco Technology, Inc. Internet protocol address management for communicating packets in a network environment
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
US8195778B1 (en) * 2009-12-19 2012-06-05 Cisco Technology, Inc. System and method for providing mobility across access technologies in a network environment

Also Published As

Publication number Publication date
CN101675617A (zh) 2010-03-17
JP2010523051A (ja) 2010-07-08
US20130130655A1 (en) 2013-05-23
US8615658B2 (en) 2013-12-24
US8411858B2 (en) 2013-04-02
WO2008118480A1 (en) 2008-10-02
US20100106969A1 (en) 2010-04-29

Similar Documents

Publication Publication Date Title
JP5044690B2 (ja) Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て
KR100450973B1 (ko) 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7805605B2 (en) Server, terminal control device and terminal authentication method
US7401216B2 (en) Addressing mechanisms in mobile IP
US8477945B2 (en) Method and server for providing a mobile key
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
US8516243B2 (en) Host identity protocol method and apparatus
CN101300889B (zh) 用于提供移动性密钥的方法和服务器
KR101037844B1 (ko) 이동성 키를 제공하기 위한 방법 및 서버
US20020147820A1 (en) Method for implementing IP security in mobile IP networks
US20100091707A1 (en) Method for route optimization between mobile entities
JP4475514B2 (ja) IPv6/IPv4トンネリング方法
WO2009155863A1 (zh) 下一代网络中支持移动性安全的方法与系统
US9871793B2 (en) Diameter signaling for mobile IPv4
KR100687721B1 (ko) 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120627

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120710

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120713

R150 Certificate of patent or registration of utility model

Ref document number: 5044690

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150720

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees