JP5059872B2 - モバイルipプロキシ - Google Patents
モバイルipプロキシ Download PDFInfo
- Publication number
- JP5059872B2 JP5059872B2 JP2009543347A JP2009543347A JP5059872B2 JP 5059872 B2 JP5059872 B2 JP 5059872B2 JP 2009543347 A JP2009543347 A JP 2009543347A JP 2009543347 A JP2009543347 A JP 2009543347A JP 5059872 B2 JP5059872 B2 JP 5059872B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- mobile
- proxy
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、モバイルIPの解決に関し、特に、モバイルIP環境における中間ネットワークの取り扱いのための解決に関する。
固定型の及びモバイルによる通信の進化における1つの“ホットな”トピックは、マルチアクセス、即ち、複合的なアクセス技術により同一のサービスセットにアクセスする機能性である。想定されるアクセス技術には、3GPPにより定義されたアクセス(2G、3G、LTE)及び3GPPにより定義された以外の技術(例えば、WLAN、WiMAX、DSL)が含まれる。マルチアクセスの1つの特別な側面は、セッション継続性(session continuity)、即ち、進行中のサービスセッションを中断させることなく、異なるアクセス技術間をユーザが移動するための機能性である。
セッション継続性を可能にする重要な技術は、モバイルIP(MIP)である。MIPは、現在のインターネットへの接続点(PoA:point of attachment)に関わらず、安定したIPアドレス(所謂ホームアドレス)を端末が用いることを可能にする。また、端末は、当該端末の現在のPoAを表すローカルIPアドレス(所謂気付アドレス(Care-of Address))をも用いるであろう。モバイルIPは、これらローカルアドレスを、端末上で実行されるアプリケーションから隠蔽する。
3GPPアクセスを伴う典型的なケースでは、モバイル事業者(MO:mobile operator)はアクセス(無線ネットワーク)を所有し、エンドカスタマ(加入者)との関係を有する。例えばWLAN及びWiMAXなどの非3GPPアクセスを伴うケースでは、モバイル事業者は、全てのアクセスネットワークを所有はしないであろう。その代わりに、MOは、MOの加入者にMOのサービスへのアクセスを非3GPPアクセス上で可能とするとするアクセスネットワークプロバイダ(例えば、WLANホットスポット事業者)との間で、ビジネスの合意(business agreement)をなすであろう。
これらビジネスの側面は、ローミングシナリオ上にも重要性を有する。3GPPのローミングシナリオにおいては、図1に示しているように、2つの事業者のみが含まれる;訪問先(visited)事業者2及びホーム(home)事業者3である。非3GPPアクセスにおけるローミングの際には、次のビジネスエンティティが含まれる;非3GPPアクセスプロバイダ1、訪問先事業者2、及びホーム事業者3である。この場合、ビジネスの合意7が、ホーム及び訪問先事業者の間、並びに訪問先事業者及び非3GPPアクセスプロバイダの間に存在し、ホーム事業者及び非3GPP IPアクセスプロバイダの間には存在しない。
“モバイルIPプロキシ”という用語は、これまで様々な文脈で使用されてきた:
・VPNゲートウェイを横断するMIPv4をサポートする手段としてのMIPプロキシ。ここでのMIPプロキシは、常にVPNゲートウェイと共に使用される。
・ホームリンクへのリンク層の依存を除去しIP層でHAを配信するための拡張されたMIPv6のプロトコル。MIPプロキシは、ローカル移動性管理(Local Mobility Management)及びルート最適化のために導入される。
・VPNゲートウェイを横断するMIPv4をサポートする手段としてのMIPプロキシ。ここでのMIPプロキシは、常にVPNゲートウェイと共に使用される。
・ホームリンクへのリンク層の依存を除去しIP層でHAを配信するための拡張されたMIPv6のプロトコル。MIPプロキシは、ローカル移動性管理(Local Mobility Management)及びルート最適化のために導入される。
上記言及において、MIPプロキシは、本発明において提案されるMIPプロキシとは別の目的のために異なる手続を以って使用される。従って、引用文献は、従来技術として取り入れられない。
スリーネットワークモデルにおいて、ユーザ認証シグナリングなどの制御プレーンシグナリング4は、典型的には、訪問先ネットワーク(VN)2により中継される(プロキシされる)。これは、多くの場合、非3GPPアクセスネットワーク1がホームネットワーク3をどのように発見するかを知り得ないためであり、及びその逆もまたしかりである。これは、当該2つのネットワーク間での相互の合意又は相互接続の設定が存在しないことによる結果である。
しかしながら、ユーザプレーン(UP)5が訪問先(中間)ネットワーク2により中継されるか、及びどのように中継されるかについては明確ではない。VNを通してトラフィックを中継する理由は、VN事業者が、ユーザトラフィックに対して、例えば課金、ポリシーの強制又は合法的な傍受などのコントロールを行うことを可能にするためである。ユーザプレーンは、訪問先ネットワーク2に関わることなく、アクセスネットワーク1からホームネットワーク3へバイパスされてもよい。このシナリオにおいては、訪問先ネットワーク事業者は、トラフィックをコントロールして上述したサービスを扱うことができない。
モバイルIPプロトコルは、端末とホームネットワークとの間の移動性及びUPルーティングを制御するが、ここでは特に触れない。その基本的な形式におけるモバイルIPは、2つのネットワークレベルのみをサポートする:
1.アクセスネットワーク(アクセスルータ、外部エージェントを伴う)
2.ホームネットワーク(ホームエージェントを伴う)
1.アクセスネットワーク(アクセスルータ、外部エージェントを伴う)
2.ホームネットワーク(ホームエージェントを伴う)
モバイルIPは、アクセスネットワーク内のMN又は外部エージェントとホームネットワーク内のホームエージェントとの間のUPトンネルをセットアップする。MIP内には、従って、訪問先ネットワークという概念は存在しない。その代わりに、UPトラフィックは、通常通りのIPルーティングの仕組みを用いて、アクセスネットワークとホームネットワークとの間でルーティングされるであろう。
UPトラフィックに強制的にVNを通過させる既存の(又は未来の)可能性には、様々なものがある。それについて以下に簡単に議論する:
(端末ベースのアプローチ)
階層的なモバイルIP(HMIP:Hierarchical Mobile IP)は、例えば訪問先ネットワークにおいて中間的なレベルを導入するために使用され得るMIPの拡張である。一方、HMIPに伴う問題は、端末においてHMIPの機能性が求められることである。それにより、端末の複雑さと、おそらくはコストも増大する。
階層的なモバイルIP(HMIP:Hierarchical Mobile IP)は、例えば訪問先ネットワークにおいて中間的なレベルを導入するために使用され得るMIPの拡張である。一方、HMIPに伴う問題は、端末においてHMIPの機能性が求められることである。それにより、端末の複雑さと、おそらくはコストも増大する。
MN及びVNの間のIPSecトンネルは、代替手段として使用され得る。この解決策もまた、端末への重大なインパクトを有する。
(スタティックトンネル/ルートアプローチ)
UPトラフィックに強制的にVNを通過させる他の代替手段は、スタティックルート又はスタティックトンネルをアクセスネットワークとVNとの間、及びVNとHNとの間にセットアップすることである。これら代替手段の欠点は、非3GPPアクセスネットワークに要件を課すことである。MOは非3GPPアクセスを所有せず運用しないため、MOに特有の要件を非3GPPアクセスに課すことは避ける方が都合がよい。さらに、非3GPPアクセスプロバイダは、MOの特有の特性を要求することが技術的及び経済的に難しい、非常に“余裕の無い(lean)”エンティティ(例えばコーヒーショップのWLANホットスポットプロバイダなど)であるかも知れない。
UPトラフィックに強制的にVNを通過させる他の代替手段は、スタティックルート又はスタティックトンネルをアクセスネットワークとVNとの間、及びVNとHNとの間にセットアップすることである。これら代替手段の欠点は、非3GPPアクセスネットワークに要件を課すことである。MOは非3GPPアクセスを所有せず運用しないため、MOに特有の要件を非3GPPアクセスに課すことは避ける方が都合がよい。さらに、非3GPPアクセスプロバイダは、MOの特有の特性を要求することが技術的及び経済的に難しい、非常に“余裕の無い(lean)”エンティティ(例えばコーヒーショップのWLANホットスポットプロバイダなど)であるかも知れない。
(ネットワークベースの移動性スキーム)
プロキシMIP(PMIP:Proxy MIP)及びNetLMMなどのネットワークベースの移動性スキームを用いることができる。この代替手段は、ネットワークベースの移動性プロトコルをサポートしなければならないことから、一層多くの所望の要件を非3GPPアクセスネットワークに課す。また、例えばイントラアクセスの移動性のためのPMIPなどを既に使用しているアクセス技術のためにこの代替手段を使用することは困難である。その場合、2つの移動性スキームの使用は(可能であれば)調整されなければならない。
プロキシMIP(PMIP:Proxy MIP)及びNetLMMなどのネットワークベースの移動性スキームを用いることができる。この代替手段は、ネットワークベースの移動性プロトコルをサポートしなければならないことから、一層多くの所望の要件を非3GPPアクセスネットワークに課す。また、例えばイントラアクセスの移動性のためのPMIPなどを既に使用しているアクセス技術のためにこの代替手段を使用することは困難である。その場合、2つの移動性スキームの使用は(可能であれば)調整されなければならない。
“モバイルIPプロキシ”機能が訪問先(中間)ネットワークに導入される。MIPプロキシは、UPトラフィックをいつでも訪問先ネットワークを介して中継させることを可能とする階層における中間的なレベルを導入する。モバイルIPシグナリングは、MIP UPトンネルが次の2つの部分に分割されるように修正される:
1)MN/FAとMIPプロキシとの間
2)MIPプロキシとHAとの間
1)MN/FAとMIPプロキシとの間
2)MIPプロキシとHAとの間
MIPプロキシの目的は、MIPトンネルされたUPトラフィックがいつでも訪問先ネットワークを介してトンネルされることを保証することである。これは、訪問先の事業者にとっての例えば課金、ポリシーの強制又は合法的な傍受など、UPのコントロールの機会を増加させるであろう。本発明は、モバイルIPv4及びモバイルIPv6の双方に適用され得る。
本発明は複数の観点において実現されるが、そのうちの第1は、通信ネットワーク内の中間ネットワーク内での使用のための、当該中間ネットワーク内の通信トラフィックを制御する基盤装置であって、ホームネットワークと訪問ノードとの間の通信のためのモバイルIPプロキシとして動作する手段、を備え、上記装置は、モバイルIPアドレス変換機能を用いて、アクセスネットワークを介してホームネットワークと訪問ノードとの間でユーザプレーンのパケットを中継するための通信の構成を有する、基盤装置、である。
上記装置は、さらに、認証、承認及びアカウンティング(AAA)プロトコルのシグナリングを用いて、変換テーブルをセットアップするための手段、を備えてもよい。
上記アドレス変換機能は、気付アドレスの割当てを含んでもよく、又はドメインネームサービス(DNS)のルックアップの割当てを含んでもよい。
上記装置は、さらに、新たな認証コードを取得し、中継されるユーザプレーンのパケット内の認証コードを当該取得した認証コードに置き換えるよう構成されてもよい。
上記装置は、さらに、委任された固定的な鍵と上記モバイルノードの上記ホームネットワークから取得された委任された一時的な鍵とのうちの1つを用いて新たなコードを計算することにより新たなコードを取得するよう構成されてもよい。
本発明の別の観点として、通信ネットワーク内のトラフィックの流れを制御するための方法であって、ホームエージェントネットワークとアクセスネットワークとの間の中間ネットワーク内のモバイルIPプロキシのインターネットプロトコル(IP)アドレスを、一時的なホームエージェントのアドレスとして、上記アクセスネットワークに接続された訪問ノードへ送信するステップと、上記モバイルIPプロキシ内で上記訪問ノードについてのホームエージェントアドレスを実際のホームエージェントアドレスのアドレスに設定するステップと、上記訪問ノードと上記ホームエージェントとの間で上記モバイルIPプロキシを通してユーザプレーンのトラフィックを中継するステップと、を含む方法、が提供される。
上記方法は、上記訪問ノードを認証するためのセキュリティ機能を実行するステップ、をさらに含んでもよい。
上記セキュリティ機能は、例えばRadius又はDiameterに従った認証、承認及びアカウンティング(AAA)プロトコルを含んでもよい。
上記方法は、認証コードを取得するステップと、中継されるコンテンツ情報パケット内の認証コードを当該取得した認証コードに置き換えるステップと、をさらに含んでもよい。
上記認証コードを取得するステップは、委任された固定的な鍵と委任された一時的な鍵とのうちの1つを用いて新たなコードを計算することを含んでもよい。
本発明のまた別の観点として、アクセスネットワークとホームネットワークとの間に位置する中間的な通信ネットワーク内でユーザプレーンのトラフィックを制御するためのシステムであって、モバイルIPプロキシと認証、承認及びアカウンティング(AAA)サーバとを含み、上記モバイルIPプロキシは、ユーザデータを認証するための認証鍵を取得し、及び上記アクセスネットワークに接続されたモバイルノードと上記ホームネットワークとの間で、アドレス変換機能を用いてユーザデータを中継するために、上記AAAサーバを使用するように構成される、システム、が提供される。
本発明のまた別の観点として、アクセスネットワークとホームネットワークとの間に位置する中間的な通信ネットワーク内でユーザプレーンのトラフィックの制御を機能させるためのコンピュータプログラムであって、上記中間ネットワーク内のモバイルIPプロキシのインターネットプロトコル(IP)アドレスを、一時的なホームエージェントのアドレスとして、上記アクセスネットワークに接続された訪問ノードへ送信し、上記モバイルIPプロキシ内で上記訪問ノードについてのホームエージェントアドレスを実際のホームエージェントアドレスのアドレスに設定し、上記訪問ノードと上記ホームエージェントとの間で上記モバイルIPプロキシを通してユーザプレーンのトラフィックを中継する、ための命令セットを含む、コンピュータプログラム、が提供される。
既存の解決策と比較した本発明の利点には、次のことが含まれる。
・端末へのインパクトがない。
‐HMIPによる代替手段は端末のサポートを必要とする。
・非3GPPアクセスネットワークへのインパクトがない。
‐アクセスネットワークとVNとの間の固定的なトンネル及び/又は特有のルーティング構成を用いたセットアップは、アクセスネットワーク内の機能性を必要とする。
・動的な活性化が容易である。
‐MIPプロキシの使用は、VN及び/又はHNによりセッションごとの基準でセッションのセットアップにおいて動的に制御され得る。
‐HMIP及びスタティックトンネルによる代替手段は、セッションごとの基準での使用が難しい(不可能か?)。
・ユーザプレーンのオーバヘッドがない。
‐HMIP及びスタティックトンネルによるアプローチは、UPトンネリングオーバヘッドを与える。
・端末へのインパクトがない。
‐HMIPによる代替手段は端末のサポートを必要とする。
・非3GPPアクセスネットワークへのインパクトがない。
‐アクセスネットワークとVNとの間の固定的なトンネル及び/又は特有のルーティング構成を用いたセットアップは、アクセスネットワーク内の機能性を必要とする。
・動的な活性化が容易である。
‐MIPプロキシの使用は、VN及び/又はHNによりセッションごとの基準でセッションのセットアップにおいて動的に制御され得る。
‐HMIP及びスタティックトンネルによる代替手段は、セッションごとの基準での使用が難しい(不可能か?)。
・ユーザプレーンのオーバヘッドがない。
‐HMIP及びスタティックトンネルによるアプローチは、UPトンネリングオーバヘッドを与える。
本発明のこれらの及び他の観点は、これ以降に説明される実施形態を参照しながら明確かつ明瞭となるであろう。
以下に、本発明は、添付図面に描かれた一例としての実施形態を参照しながら、限定ではない形でより詳細に説明される。
図2において、参照番号200は、本発明に係る通信ネットワークを一般的に示している。そのネットワークは、この場合、3つの異なるネットワーク部分:ホームネットワーク201(HN)、訪問先ネットワーク202(VN)、及びアクセスネットワーク203(AN)を含む。例えば、移動局209若しくはラップトップ210又は他の何らかのユーザ機器(UE)であるモバイルノード(MN)として多くの場合言及される訪問ノード(visiting node)は、例えばGPRS、UMTS、WCDMA若しくは同様のパケットベースの通信プロトコルに準拠したインタフェースなど、何らかの無線インタフェースを通して、アクセスネットワーク203との間で通信を行う。本発明において、アクセスネットワーク203内に位置するアクセスゲートウェイ(例えばアクセスルータ又はアクセスポイント)208(AR)は、UEをネットワーク200へ接続する。アクセスゲートウェイ208はさらにモバイルIP(MIP)プロキシと接続され、モバイルIP(MIP)プロキシはさらにホームネットワーク201内のホームエージェント205(HA)と接続される。MIPプロキシは、通信セッションに関連するネットワーク200内で認証、承認及びアカウンティングサービスを扱うために、訪問先ネットワーク202内のAAAサーバ206(vAAA)との間の通信を有する。また、ホームエージェントは、同じ目的で、ホームネットワーク内のAAAサーバ204(hAAA)との間の通信を有する。これらAAAサーバは、当業者には理解されるように、例えば、ユーザの認証又は課金の件の取り扱いのために用いられ、特定のユーザについて利用可能なサービスについての通信などを行う。MIPバージョン4において、UEは外部エージェント(FA)との間で通信をしてもよく、その場合外部エージェントは例えばアクセスゲートウェイ208であってもよいが、アクセスネットワークの(図示しない)他の部分が外部エージェントとして動作してもよいことは理解されるべきである。FAの概念は、MIPバージョン6のネットワークについては使用されない。
UPトラフィックがVNを通してルーティングされることを保証するために、VN内にMIPプロキシが導入される。
MIPプロキシ207は、MIPに関連するシグナリング及びUPトンネルのための、制御プレーン(CP)及びユーザプレーン(UP)のプロキシである。MIPプロキシ207は、本質的には、UE209、210に対してはHA、HA205に対してはUEとして動作する。MIPプロキシの解決策の目標は、UE209、210に対して透過的となることである。実装手段に依存し、MIPプロキシは、HAに対しても透過的であってよい。しかしながら、ホーム事業者は、VNにおいてMIPプロキシが使用されているかを知ることを求める可能性があり、従ってHNに対しての透過性は必ずしも望まれない。
図3は、アクセスネットワーク301及び第1ホップのルータ307と通信するモバイルノード(MN)306を伴う本発明に係るネットワークの一例を示している。当該アクセスネットワークは、ホームエージェント(HA)309を伴うホームネットワーク303に対して、直接的に又は中間ノードとして動作するMIPプロキシ308を伴う訪問先ネットワーク302を介するコンタクトを有する。このシナリオにおいては、次の2つの状況があてはまる:2つの異なるユーザプレーン(UP)MIPトンネルがセットアップされ得る:1つは、訪問先ネットワークにMIPプロキシ308が存在しない場合のHA309への直接のトンネル305であり、1つは、訪問先ネットワーク302にMIPプロキシ308がインストールされている場合に当該MIPプロキシ308を介するHA309へのトンネル304である。
MIPによりトンネルされるUPがMIPプロキシ308を介して中継されるために、MN306、MIPプロキシ308及びHA309は、ホームアドレス、HAのIPアドレス、及び気付アドレス(CoA)についての適切な値と共に構成される必要がある。
HAのIPアドレスは、次のように構成される必要がある:
・MNがMIPプロキシのIPアドレスへ設定されたHAのIPアドレスを有すること。
・MIPプロキシが現実のHAのIPアドレスへ設定されたHAのIPアドレスを有すること。
・MNがMIPプロキシのIPアドレスへ設定されたHAのIPアドレスを有すること。
・MIPプロキシが現実のHAのIPアドレスへ設定されたHAのIPアドレスを有すること。
MIPプロキシ及びHAにおいて正確なCoAを登録するために、まず、MIP RRQ/BU(Registration Request/Binding Update)がMNからMIPプロキシへ送信される。このRRQ/BU内のCoAの値は、次の通りである。
・CoA=UEのローカルIPアドレス、又は、FAのIPアドレス
・CoA=UEのローカルIPアドレス、又は、FAのIPアドレス
MIPプロキシは、RRQ/BUを次のように修正する。
・CoA=MIPプロキシのIPアドレス
・CoA=MIPプロキシのIPアドレス
MIPプロキシは、本文書において後に議論される代替手段に従ってセキュリティ機能を実行し、そしてRRQ/BUをHAへ転送する。
MN及びMIPプロキシは、適切なHAのIPアドレスと共に構成される必要があり、図4において一例としてのシグナリングメッセージの流れが示されている。これを解決する1つの可能性は、例えばRadius又はDiameterプロトコルを通じてのAAAシグナリングなど、AAAシグナリングをHAの割当てのためのアクセス認証の間使用することである。HNは、MNへ送信されるAAA応答内でHAのIPアドレスを割当てる。アクセス認証のためのAAAシグナリングは、典型的にはVNを介して中継されるため、VNは、そのAAAメッセージからHAのIPアドレスを抽出し、MIPプロキシのIPアドレスと置き換えることができる。そして、AAAメッセージは、アクセスネットワークへと送信される。なお、上述したブートストラップ的な解決策は、唯一の解決策ではない。例えば、DNSサービスレコードを用いるような他のブートストラップ的な方法もまた可能である。
MIPプロキシの基本的な考え方は、MN/FAとHAとの間のUPのトンネルが、MIPプロキシを介してルーティングされることである。MIPプロキシは、各IPパケットのトンネルIPヘッダの送信元及び宛て先IPアドレスを編集する必要がある。
モバイルIPは、MNとHAとの間のモビリティセキュリティアソシエーション(MSA)を必要とする。MSAは、MNとHAとの間で送信されるMIPシグナリングメッセージを保護するために使用される。MIPプロキシは、MNとHAとの間の経路に導入され、セキュリティについてのその影響は、アドレスである。また、どのモバイルIPのバージョン(v4又はv6)が使用されているか、及びそのMIPバージョンについてどういった種類のセキュリティソリューションが使用されているかに依存して、異なる代替的な解決策も可能である。3つの異なるシナリオが、後に議論される。
MIPv4は、MIPシグナリングメッセージ内の認証フィールドを、そのコンテンツの保護のために使用する。認証フィールドは、MNとHAとの間で共有される鍵に基づいて計算される。MIPプロキシは、当該認証の拡張を再計算することなく、シグナリングメッセージを修正することはできない。
2つのオプションが可能である:
1a)固定された鍵を伴う委任された認証
この状況は、図5aにおいて概略的に描かれており、そこではメッセージの流れの例が示されている。HAによる認証の拡張の計算は、MIPプロキシに委任される。MIPプロキシは、例えばAAAシグナリングを用いて、必要な鍵をHNから受信する。MIPプロキシは、その受信した鍵に基づいて、MN及びHAから受信される認証の拡張をチェックすることができる。また、MIPプロキシは、MN又はHAへと転送するメッセージのための新たな認証の拡張を計算することができる。この代替手段は、MNにとって透過的であり、即ちMNはMIPプロキシを見ることなく;HAと直接通信しているように認識する。
この状況は、図5aにおいて概略的に描かれており、そこではメッセージの流れの例が示されている。HAによる認証の拡張の計算は、MIPプロキシに委任される。MIPプロキシは、例えばAAAシグナリングを用いて、必要な鍵をHNから受信する。MIPプロキシは、その受信した鍵に基づいて、MN及びHAから受信される認証の拡張をチェックすることができる。また、MIPプロキシは、MN又はHAへと転送するメッセージのための新たな認証の拡張を計算することができる。この代替手段は、MNにとって透過的であり、即ちMNはMIPプロキシを見ることなく;HAと直接通信しているように認識する。
よって、MNとMIPプロキシとの間のシグナリングは、MIPの認証の拡張を用いる通常の手法により保護される。MIPプロキシとHAとの間のシグナリングは、通常のMIPの認証の拡張を用いて、及び/又はVNとHNとの間の例えばIPSecトンネルなどにより、保護され得る。
1b)一時的な鍵を伴う委任された認証
この状況は、図5bにおいて概略的に描かれており、そこではメッセージの流れの例が示されている。ここでのHNは、MNとHNとの間で共有される固定的な鍵をVNへ送信することを望まない。その代わりに、一時的なMN−HA及びMN−AAAの鍵を動的に生成し、VNへ送信するのがよい。この代替手段では、MN及びHNの双方が同じ一時的な鍵を導くことができることが必要である。そのような鍵を導くための正確なアルゴリズムは、ここでは説明されない。一時的なMN−HA及びMN−AAAの鍵は、レジストレーションのプロセスの間にMIPプロキシへと送信される。
この状況は、図5bにおいて概略的に描かれており、そこではメッセージの流れの例が示されている。ここでのHNは、MNとHNとの間で共有される固定的な鍵をVNへ送信することを望まない。その代わりに、一時的なMN−HA及びMN−AAAの鍵を動的に生成し、VNへ送信するのがよい。この代替手段では、MN及びHNの双方が同じ一時的な鍵を導くことができることが必要である。そのような鍵を導くための正確なアルゴリズムは、ここでは説明されない。一時的なMN−HA及びMN−AAAの鍵は、レジストレーションのプロセスの間にMIPプロキシへと送信される。
本代替手段において、一時的な鍵を用いること以外は、メッセージの実質的な保護は、代替手段1aにおけるものと同様になされる。
図6は、MIPバージョン6についての本発明の一実施形態を概略的に示しており、メッセージの流れの一例が示されている。モバイルIPv6は、その原仕様の中で、シグナリングを保護するためにIPSecを使用している。この場合の1つの可能性として、MIPに特有のIPSecによる保護を、MNとMIPプロキシとの間で送信されるメッセージを丁度カバーするようにしてもよい。VNとHNとの間のシグナリングは、何らかの事業者間の合意に従って保護され得る。かかる保護もまた、当然にIPSecを用いる。
IPSecのセキュリティアソシエーションをMNとMIPプロキシとの間で確立するために必要とされるセキュリティ証明書(鍵など)は、例えばAAAプロトコルを用いて、HNからVNへ送信される。
RFC4285(即ち、IETF(The Internet Engineering Task Force) Request For Comment number 4285:モバイルIPv6のための認証プロトコル)は、MIPv6のための代替的な認証方法を提供する。その方法は、MIPv4の認証方法と同様である。よって、代替手段1(a及びb)について上述した同じ種類のセキュリティ手段がここでも可能である。なお、認証パラメータ、フィールド、鍵などについての用語は、MIPv4とRFC4285を用いるMIPv6との間で異なることに留意すべきである。
MIPv4と共に逆方向のトンネリングが使用されることは前提とされる。但し、三角ルーティングが使用される場合には、MIPプロキシはアップリンクのトラフィックがVNを通してルーティングされることを保証することはできないであろう。しかしながら、これは、モバイル事業者(MO)がホームネットワークにおいて例えば課金、ポリシーの強制及び合法的な傍受などを可能とするために使用すべき逆方向のトンネリングを要求することが最も考えられることから、関連するシナリオにおける制限とはみなされない。
MIPv6については、全てのトラフィックがホームエージェントを通してトンネリングされることが前提となっている。MIPv6のルート最適化が使用される場合には、MIPプロキシは、UPトラフィックがVNを通してルーティングされることを保証することはできないであろう。一方、MIPプロキシは、気付アドレスとしてそのアドレスを使用するMNのためにルート最適化を開始することができる。
上述した解決策は、多くの基盤(infrastructure)ノードにおいて、ソフトウェアにおける命令セットとして実装され得る。図7は、概略的なブロック図において、本発明に係る基盤ノード(例えばGGSN又はSGSNなどのサポートノード)を描いており、そこでは、処理部701が通信データ及び通信制御情報を扱う。基盤ノード700は、さらに、揮発性メモリ(例えばRAM)702及び/又は不揮発性メモリ(例えばハードディスク又はフラッシュディスク)部703、並びに、ノードの管理者からの制御命令のインタフェースとなるインタフェース部704を備える。基盤ノード700は、さらに、それぞれ接続インタフェースを伴うダウンストリーム通信部705及びアップストリーム通信部706を備えてもよい。基盤ノード内の全ての部は、直接的に又は処理部701を通して間接的に互いに通信することができる。ネットワークに接続したモバイルノードとの間の通信を扱うためのソフトウェアは、少なくとも部分的にこのノード内で実行され、当該ノード内に記憶され得る:しかしながら、当該ソフトウェアは、ノードの起動時又は例えばサービスの合間などの後の段階で動的にロードされてもよい。当該ソフトウェアは、コンピュータプログラム製品として実装され、配信及び/又は例えばディスケット、CD(Compact Disc)、DVD(Digital Video Disc)、フラッシュ若しくは同様の着脱可能なメモリ媒体(例えばコンパクトフラッシュ、SDセキュアデジタル、メモリスティック、miniSD、MMCマルチメディアカード、スマートメディア、トランスフラッシュ、XDなど)、HD−DVD(High Definition DVD)、BlurayDVD、USB(Universal Serial Bus)ベースの着脱可能なメモリ媒体、磁気テープ媒体、光学記録媒体、磁気光学媒体、バブルメモリなどの、着脱可能であってコンピュータにより読み取り可能な媒体上に記憶されてもよく、又は伝播信号としてネットワーク(例えばイーサネット、ATM、ISDN、PSTN、X.25、インターネット、ローカルエリアネットワーク(LAN)若しくは基盤ノードにデータパケットを輸送することのできる同様のネットワーク)を介して配信されてもよい。
なお、“comprising”という用語は、提示された以外の要素又はステップの存在を排除するものではなく、要素の前に付される“a”又は“an”という語はそのような要素が複数存在することを排除するものではないことには留意すべきである。本発明は、少なくとも部分的にソフトウェア又はハードウェアにおいて実装され得る。さらに、いかなる参照標識も当該特許請求の範囲を制限するものではなく、同じハードウェアアイテムにより複数の“手段”、“装置”及び“部”が表され得ることに留意すべきである。
上述し説明した実施形態は、例として与えられたものであり、本発明を制限するものではない。後に記述される発明の特許請求の範囲において請求された本発明の範囲内で、当業者にとって他の解決策、使用、目的及び機能は明らかとなるであろう。
(定義)
BA バインディング確認応答(Binding Acknowledgement) (MIPv6)
BU バインディング更新(Binding Update) (MlPv6)
CP 制御プレーン(Control Plane)
HA ホームエージェント(Home Agent)
HMIP 階層的なモバイルIP(Hierarchical Mobile IP)
HN ホームネットワーク(Home Network)
IP インターネットプロトコル(Internet Protocol)
MIP モバイルIP(Mobile IP)
MN モバイルノード(Mobile Node) (UEと同義として用いられる)
MO モバイル事業者(Mobile Operator)
RRP 登録応答(Registration Reply) (MIPv4)
RRQ 登録要求(Registration Request) (MIPv4)
UE ユーザ機器(User Equipment) (MNと同義として用いられる)
UP ユーザプレーン(User Plane)
VN 訪問先ネットワーク(Visited Network)
BA バインディング確認応答(Binding Acknowledgement) (MIPv6)
BU バインディング更新(Binding Update) (MlPv6)
CP 制御プレーン(Control Plane)
HA ホームエージェント(Home Agent)
HMIP 階層的なモバイルIP(Hierarchical Mobile IP)
HN ホームネットワーク(Home Network)
IP インターネットプロトコル(Internet Protocol)
MIP モバイルIP(Mobile IP)
MN モバイルノード(Mobile Node) (UEと同義として用いられる)
MO モバイル事業者(Mobile Operator)
RRP 登録応答(Registration Reply) (MIPv4)
RRQ 登録要求(Registration Request) (MIPv4)
UE ユーザ機器(User Equipment) (MNと同義として用いられる)
UP ユーザプレーン(User Plane)
VN 訪問先ネットワーク(Visited Network)
Claims (12)
- 通信ネットワーク内の中間ネットワーク内での使用のための、当該中間ネットワーク内の通信トラフィックを制御する基盤装置であって、ホームネットワークと訪問ノードとの間の通信のためのモバイルIPプロキシとして動作する手段、を備え、
前記中間ネットワークの認証、承認及びアカウンティング(AAA)サーバと前記訪問ノードとの間に位置し、
前記ホームネットワークとアクセスネットワークとの間の前記中間ネットワーク内の前記装置のインターネットプロトコル(IP)アドレスを、一時的なホームエージェントのアドレスとして、前記アクセスネットワークに接続された訪問ノードへ送信し;
前記装置内で前記訪問ノードについてのホームエージェントアドレスを実際のホームエージェントアドレスのアドレスに設定し;
前記訪問ノードとホームエージェントとの間で前記装置を通してユーザプレーンのトラフィックを中継する;
ように動作可能に構成される、基盤装置。 - さらに、認証、承認及びアカウンティング(AAA)プロトコルのシグナリングを用いて、変換テーブルをセットアップするための手段、を備える、請求項1に記載の装置。
- 気付アドレスの割当てを含むアドレス変換機能をさらに備える、請求項1に記載の装置。
- ドメインネームサービス(DNS)のルックアップの割当てを含むアドレス変換機能をさらに備える、請求項1に記載の装置。
- さらに、新たな認証コードを取得し、中継されるユーザプレーンのパケット内の認証コードを当該取得した認証コードに置き換えるよう構成される、請求項1に記載の装置。
- さらに、委任された固定的な鍵と前記訪問ノードの前記ホームネットワークから取得された委任された一時的な鍵とのうちの1つを用いて新たなコードを計算することにより新たなコードを取得するよう構成される、請求項5に記載の装置。
- 通信ネットワーク内のトラフィックの流れを制御するための方法であって、
ホームネットワークとアクセスネットワークとの間の中間ネットワーク内のモバイルIPプロキシのインターネットプロトコル(IP)アドレスを、一時的なホームエージェントのアドレスとして、前記アクセスネットワークに接続された訪問ノードへ送信するステップと;
前記モバイルIPプロキシ内で前記訪問ノードについてのホームエージェントアドレスを実際のホームエージェントアドレスのアドレスに設定するステップと;
前記訪問ノードと前記ホームエージェントとの間で前記モバイルIPプロキシを通してユーザプレーンのトラフィックを中継するステップと;
を含み、
前記モバイルIPプロキシは、前記中間ネットワークの認証、承認及びアカウンティング(AAA)サーバと前記訪問ノードとの間に位置する、
方法。 - 前記訪問ノードを認証するためのセキュリティ機能を実行するステップ、をさらに含む、請求項7に記載の方法。
- 前記セキュリティ機能は、例えばRadius又はDiameterに従った認証、承認及びアカウンティング(AAA)プロトコルを含む、請求項8に記載の方法。
- 認証コードを取得するステップと、中継されるコンテンツ情報パケット内の認証コードを当該取得した認証コードに置き換えるステップと、をさらに含む、請求項7に記載の方法。
- 前記認証コードを取得するステップは、委任された固定的な鍵と委任された一時的な鍵とのうちの1つを用いて新たなコードを計算することを含む、請求項10に記載の方法。
- アクセスネットワークとホームネットワークとの間に位置する中間的な通信ネットワーク内でユーザプレーンのトラフィックを制御するためのシステムであって、
モバイルIPプロキシと前記中間的な通信ネットワークのための認証、承認及びアカウンティング(AAA)サーバとを含み、
前記モバイルIPプロキシは、前記AAAサーバとモバイルノードとの間に位置し、
前記モバイルIPプロキシは、ユーザデータを認証するための認証鍵を取得し、及び前記アクセスネットワークに接続された前記モバイルノードと前記ホームネットワークとの間で、アドレス変換機能を用いてユーザデータを中継するために、前記AAAサーバを使用するように構成される、
システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2006/012577 WO2008080420A1 (en) | 2006-12-28 | 2006-12-28 | Mobile ip proxy |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010515315A JP2010515315A (ja) | 2010-05-06 |
| JP5059872B2 true JP5059872B2 (ja) | 2012-10-31 |
Family
ID=38437978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009543347A Expired - Fee Related JP5059872B2 (ja) | 2006-12-28 | 2006-12-28 | モバイルipプロキシ |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100097977A1 (ja) |
| EP (1) | EP2095595B1 (ja) |
| JP (1) | JP5059872B2 (ja) |
| ES (1) | ES2510715T3 (ja) |
| WO (1) | WO2008080420A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE501583T1 (de) * | 2007-01-04 | 2011-03-15 | Ericsson Telefon Ab L M | Verfahren und vorrichtung zur bestimmung einer authentifikationsprozedur |
| US9155118B2 (en) * | 2007-01-22 | 2015-10-06 | Qualcomm Incorporated | Multi-link support for network based mobility management systems |
| US8014357B2 (en) | 2007-02-16 | 2011-09-06 | Futurewei Technologies, Inc. | Method and system for managing address prefix information associated with handover in networks |
| US8769611B2 (en) * | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| US8289862B2 (en) * | 2007-06-27 | 2012-10-16 | Futurewei Technologies, Inc. | Method and apparatus for dynamic LMA assignment in proxy mobile IPv6 protocol |
| JP4826834B2 (ja) * | 2008-08-07 | 2011-11-30 | 日本電気株式会社 | 通信システム、接続装置、情報通知方法、プログラム |
| JP4915479B2 (ja) * | 2008-12-17 | 2012-04-11 | 三菱電機株式会社 | ナビゲーション装置 |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| EP2428056A1 (en) * | 2009-05-05 | 2012-03-14 | Nokia Siemens Networks OY | Topology based fast secured access |
| EP2522165B1 (en) * | 2010-01-04 | 2016-04-20 | StarHome GmbH | Local access to data while roaming with a mobile telephony device |
| US10728868B2 (en) | 2015-12-03 | 2020-07-28 | Mobile Tech, Inc. | Remote monitoring and control over wireless nodes in a wirelessly connected environment |
| US10517056B2 (en) | 2015-12-03 | 2019-12-24 | Mobile Tech, Inc. | Electronically connected environment |
| US10251144B2 (en) | 2015-12-03 | 2019-04-02 | Mobile Tech, Inc. | Location tracking of products and product display assemblies in a wirelessly connected environment |
| JP6959695B2 (ja) * | 2017-08-11 | 2021-11-05 | アイディーエーシー ホールディングス インコーポレイテッド | 複数のアクセスネットワークの間でのトラフィックステアリングおよび切り替え |
| WO2020086575A1 (en) * | 2018-10-25 | 2020-04-30 | Mobile Tech, Inc. | Proxy nodes for expanding the functionality of nodes in a wirelessly connected environment |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030224788A1 (en) * | 2002-03-05 | 2003-12-04 | Cisco Technology, Inc. | Mobile IP roaming between internal and external networks |
| WO2003088546A2 (en) * | 2002-04-08 | 2003-10-23 | Flarion Technologies, Inc. | Support of disparate addressing plans and dynamic ha address allocation in mobile ip |
| JP3952860B2 (ja) * | 2002-05-30 | 2007-08-01 | 株式会社日立製作所 | プロトコル変換装置 |
| US7082130B2 (en) * | 2002-06-13 | 2006-07-25 | Utstarcom, Inc. | System and method for point-to-point protocol device redundancey |
| US7218618B2 (en) * | 2002-07-19 | 2007-05-15 | Nokia Corporation | Method of providing mobile IP functionality for a non mobile IP capable mobile node and switching device for acting as a mobile IP proxy |
| US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
| CN1310476C (zh) * | 2004-07-05 | 2007-04-11 | 华为技术有限公司 | 无线局域网用户建立会话连接的方法 |
| JP2006333210A (ja) * | 2005-05-27 | 2006-12-07 | Zyxel Communication Corp | エスアイピー構造をモバイル仮想専用線網エージェントとなす方法 |
-
2006
- 2006-12-28 JP JP2009543347A patent/JP5059872B2/ja not_active Expired - Fee Related
- 2006-12-28 US US12/521,283 patent/US20100097977A1/en not_active Abandoned
- 2006-12-28 WO PCT/EP2006/012577 patent/WO2008080420A1/en active Application Filing
- 2006-12-28 EP EP06841195.8A patent/EP2095595B1/en not_active Not-in-force
- 2006-12-28 ES ES06841195.8T patent/ES2510715T3/es active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008080420A1 (en) | 2008-07-10 |
| EP2095595B1 (en) | 2014-08-06 |
| JP2010515315A (ja) | 2010-05-06 |
| ES2510715T3 (es) | 2014-10-21 |
| EP2095595A1 (en) | 2009-09-02 |
| US20100097977A1 (en) | 2010-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5059872B2 (ja) | モバイルipプロキシ | |
| Liu et al. | Distributed mobility management: Current practices and gap analysis | |
| EP1634422B1 (en) | Method, system and apparatus to support hierarchical mobile ip services | |
| JP5238029B2 (ja) | 通信ネットワーク間でのローミングの方法および装置 | |
| JP5553990B2 (ja) | 拡張システム・アーキテクチャにおけるポリシ制御 | |
| EP1766496B1 (en) | Bearer control of encrypted data flows in packet data communications | |
| JP2008527826A (ja) | 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置 | |
| US20040037260A1 (en) | Virtual private network system | |
| JP5087012B2 (ja) | ロケーションプライバシをサポートする経路最適化 | |
| US8195778B1 (en) | System and method for providing mobility across access technologies in a network environment | |
| Liebsch et al. | Proxy mobile IPv6 (PMIPv6) localized routing problem statement | |
| Arkko et al. | Internet protocol version 6 (IPv6) for some second and third generation cellular hosts | |
| Chen et al. | Fast handoff in mobile virtual private networks | |
| WG et al. | Internet-Draft Kudelski Security Intended status: Informational S. Gundavelli, Ed. Expires: September 14, 2016 Cisco March 13, 2016 | |
| Wu | Internet Engineering Task Force (IETF) M. Liebsch, Ed. Request for Comments: 6279 NEC Category: Informational S. Jeong | |
| Petrescu | Network Working Group K. Leung Internet-Draft G. Dommety Intended Status: Proposed Standard Cisco Systems Expires: May 4, 2008 V. Narayanan Qualcomm, Inc. | |
| Chan et al. | DMM D. Liu, Ed. Internet-Draft China Mobile Intended status: Informational JC. Zuniga, Ed. Expires: April 2, 2015 InterDigital P. Seite | |
| Chan et al. | DMM D. Liu, Ed. Internet-Draft China Mobile Intended status: Informational JC. Zuniga, Ed. Expires: January 4, 2015 InterDigital P. Seite | |
| Revision | CAN Wireless IP Network Overview and List of Parts | |
| Arkko et al. | RFC3316: Internet Protocol Version 6 (IPv6) for Some Second and Third Generation Cellular Hosts | |
| Loughney et al. | Network Working Group J. Arkko Request for Comments: 3316 G. Kuijpers Category: Informational H. Soliman Ericsson | |
| Araújo et al. | An 802.1 X-based Security Architecture for MIP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120703 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120802 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150810 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5059872 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |