JP5323141B2 - 複数のpanaセッション - Google Patents

複数のpanaセッション Download PDF

Info

Publication number
JP5323141B2
JP5323141B2 JP2011137783A JP2011137783A JP5323141B2 JP 5323141 B2 JP5323141 B2 JP 5323141B2 JP 2011137783 A JP2011137783 A JP 2011137783A JP 2011137783 A JP2011137783 A JP 2011137783A JP 5323141 B2 JP5323141 B2 JP 5323141B2
Authority
JP
Japan
Prior art keywords
pana
authentication
sessions
pac
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011137783A
Other languages
English (en)
Other versions
JP2011234394A (ja
Inventor
義洋 大場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Publication of JP2011234394A publication Critical patent/JP2011234394A/ja
Application granted granted Critical
Publication of JP5323141B2 publication Critical patent/JP5323141B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本出願は、無線ネットワーキングに関し、いくつかの好ましい実施形態では、無線ネットワークなどにおいて複数のPANAセッションを実行するシステムおよび方法に関する。
2004年1月22日に出願された、Yoshihiro Ohbaらによる、「IPアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択(Serving Network Selection And Multihoming Using IP Access Network)」という名称の米国特許出願第10/761347号(整理番号第3119−102号)明細書の全内容を、参照により本明細書に組み込む。加えて、以下の文献の全内容もまた、本発明の背景技術として、参照により全体として本明細書に組み込むものである。
1. D. Forsberg, et al., “Protocol for Carrying Authentication for Network Access (PANA)”, draft-ietf-pana-pana, work in progress, June?2003.
2. S. Deering, “ICMP Router Discovery Messages", RFC 1256, September 1991.
3. T. Narten, et al., "Neighbor Discovery for IP Version 6 (IPv6)", RFC 2461, December 1998.
4. D. Harkins and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
5. C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", draft-ietf-ipsec-ikev2, work in progress, October 2003.
6. L. Blunk and J. Vollbrecht, "PPP Extensible Authentication Protocol (EAP)", RFC 2284, March 1998.
7. B. Aboba, et al., "EAP Key Management Framework", draft-ietf-eap-keying, work in progress, October 2003.
8. M. Parthasarathy, "PANA enabling IPsec based Access Control", draft-ietf-pana-ipsec, work in progress, October 2003.
9. Troan and R. Droms, "IPv6 Prefix Options for DHCPv6", draft-ietf-dhc-dhcpv6-opt-prefix-delegation, work in progress, October 2003.
10. C. Perkins, "IP Mobility Support for IPv4", RFC 3344, August 2002.11. D. Johnson, et al., "Mobility Support in IPv6", draft-ietf-mobileip-ipv6, work in progress。
一般背景検討
ネットワーク及びインターネット(登録商標)プロトコル 多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
IP(インターネットプロトコル)に関して、これは、ネットワーク上である装置(電話機、PDA[携帯情報端末]、コンピュータなど)から別の装置にデータを送るためのプロトコルである。今日、IPv4、IPv6などを含めて、様々なIPのバージョンがある。ネットワーク上の各ホスト装置は、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
IPはコネクションレス型プロトコルである。通信時の端点間接続は連続的ではない。ユーザがデータ又はメッセージを送信し、又は受信するとき、データ又はメッセージは、パケットと呼ばれる構成要素に分割される。各パケットは、独立のデータ単位として扱われる。
インターネットなどのネットワークを介した各点間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワーク中の2点間の通信プロセスを7つの階層に分け、各層(レイヤ)は独自の機能セットを付加する。各装置は、送信側端点では各層を通る下方への流れがあり、受信側端点では各層を通る上方への流れがあるようにメッセージを処理する。7つの機能層を提供するプログラミング及び/又はハードウェアは、通常、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコル、並びに他のソフトウェア及びハードウェアの組み合わせである。
通常、上位4層は、メッセージがユーザから、又はユーザへ渡されるときに使用され、下位3層は、メッセージが装置(IPホスト装置など)を通過するときに使用される。IPホストは、サーバ、ルータ、ワークステーションなど、IPパケットを送受信することのできるネットワーク上の任意の装置である。他の何らかのホストに向けられているメッセージは、各上位層には渡されず、この他のホストに転送される。OSI及び他の同様なモデルにおいて、IPは第3層におけるネットワーク層である。
無線ネットワーク:
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。典型的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続することのできる無線LAN(WLAN)が、無線通信に用いることができる。無線通信には、例えば、光、赤外線、電波、マイクロ波などの電磁波を介して伝搬する通信などを含むことができる。現在、ブルートゥース(登録商標)、IEEE802.11、HomeRFなど、様々なWLAN標準が存在する。
一例として、ブルートゥース製品は、モバイルコンピュータ、モバイル電話機、携帯式ハンドヘルド機器、携帯情報端末(PDA)、及び他のモバイル機器の間のリンク、ならびにインターネットへの接続を提供するのに使用できる。ブルートゥースは、モバイル機器が、短距離無線接続を使って、相互に、また非モバイル機器と、どのようにして容易に相互接続し合うことができるかを詳述するコンピュータ及び電気通信業界仕様である。ブルートゥースは、ある機器と別の機器との間でデータを同期させ、整合させ続けることを必要とする、様々なモバイル機器の普及から生じるエンドユーザ問題に対処して、異なるベンダからの装置を相互にシームレスに動作させるデジタル無線プロトコルを作成する。ブルートゥース機器は、共通の命名概念に従って命名できる。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)又は一意のブルートゥース機器アドレス(BDA)に関連付けられた名前を持ち得る。また、ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥース機器がIPネットワーク上で機能する場合、この機器は、IPアドレス及びIP(ネットワーク)名を備え得る。よって、IPネットワークに参加するように構成されたブルートゥース機器は、BDN、BDA、IPアドレス及びIP名などを含むことができる。「IP名」という用語は、インターフェースのIPアドレスに対応する名前を指す。
IEEE標準であるIEEE802.11は、無線LAN及び機器の技術の仕様を定める。802.11を使えば、各単一基地局がいくつかの機器をサポートする無線ネットワークが実現できる。いくつかの例では、機器に無線ハードウェアが事前装備されていることもあり、ユーザが、アンテナを含み得る、カードなどの別個のハードウェアをインストールすることもできる。例えば、802.11で使用される機器は、通常、機器がアクセスポイント(AP)であるか、移動局(STA)であるか、ブリッジであるか、PCMCIAカードであるか、それとも別の機器であるか否かを問わず、無線送受信機、アンテナ、及びネットワークにおける各点間のパケットの流れを制御するMAC(媒体アクセス制御)層という3つの注目すべき要素を含む。
更に、いくつかの無線ネットワークでは、複数インターフェース機器(MID)が利用できる。MIDは、ブルートゥースインターフェースと802.11インターフェースなど、2つの独立のネットワークインターフェースを含むことができ、よって、MIDが2つの別個のネットワーク上に参加すると同時に、ブルートゥース機器ともインターフェースすることが可能になる。MIDは、IPアドレス、及びIPアドレスに関連付けられた共通IP(ネットワーク)名を持つことができる。
無線ネットワーク機器には、それだけに限らないが、ブルートゥース機器、複数インターフェース機器(MID)、802.11x機器(802.11a、802.11b、802.11g機器などを含む、IEEE802.11機器)、HomeRF(家庭内無線周波数)機器、Wi−Fi(Wireless Fidelity)機器、GPRS(汎用パケット無線システム)機器、3Gセルラ機器、2.5Gセルラ機器、GSM(登録商標)(移動通信用グローバルシステム)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA型(時分割多重接続)機器、又はCDMA2000を含むCDMA型(符号分割多重接続)機器が含めることができる。各ネットワーク機器は、それだけに限らないが、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、IEEE MACアドレスを含む、様々な種類のアドレスを含むことができる。
また、無線ネットワークは、例えば、モバイルIP(インターネットプロトコル)システム、PCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも関与できる。モバイルIPでは、これに、インターネット技術標準化委員会(IETF)によって作成された標準通信プロトコルが関与する。モバイルIPでは、モバイル機器ユーザは、これらの一旦割り当てられたIPアドレスを維持しつつ、各ネットワークにまたがって移動することができる。コメント要求(RFC)3344を参照されたい。(注:RFCはインターネット技術標準化委員会(IETF)の公式文書である。)モバイルIPは、インターネットプロトコル(IP)を拡張し、モバイル機器のホームネットワーク外部に接続するときに、モバイル機器にインターネットトラフィックを転送する手段を付加する。モバイルIPは、各モバイルノードに、これのホームネットワーク上のホームアドレスと、ネットワーク及びこれのサブネット内の機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が異なるネットワークに移動すると、機器は、新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは、各ホームアドレスを、これの気付アドレスと関連付けることができる。モバイルノードは、インターネット制御メッセージプロトコル(ICMP)などを使って、これの気付アドレスを変更する都度ホームエージェントにバインディング更新を送ることができる。
基本IPルーティング(即ち、外部モバイルIP)において、ルーティング機構は、各ネットワークノードが、常に、インターネットなどへの一定の接続点を有し、かつ各ノードのIPアドレスが、これが接続されているネットワークリンクを識別するという仮定を利用する。本明細書において、「ノード」という用語は、例えば、データ伝送のための再配信点や端点などを含むことができ、他のノードへの通信を認識し、処理し、及び/又は転送することのできる接続点を含む。例えば、インターネットルータは、機器のネットワークを識別するIPアドレスなどを調べることができる。次いで、ネットワークレベルにおいて、ルータは、特定のサブネットを識別するビットセットを調べることができる。次いで、サブネットレベルにおいて、ルータは、特定の機器を識別するビットセットを調べることができる。典型的なモバイルIP通信の場合、ユーザが、例えば、インターネットなどからモバイル機器を切断し、これを新しいサブネットで再接続しようとする場合、機器は、新しいIPアドレス、適正なネットマスク及びデフォルトのルータを用いて再構成する必要がある。そうでなければ、経路指定プロトコルは、パケットを適正に配信することができないはずである。
メディア独立の事前認証:
メディア独立の事前認証(MPA)は、任意のリンク層を介して、任意のモビリティ管理プロトコルと共に動作する、モバイル支援型の、確実なハンドオーバ最適化方式である。MPAを用いれば、移動ノードは、候補ターゲットネットワーク(CTN)のIPアドレスと他の構成パラメータを確実に獲得することができるだけでなく、CTNに実際に接続する前に、獲得したIPアドレスを使ってIPパケットを送受信することもできる。これは、移動ノードが、リンク層におけるハンドオーバを実行する前に、任意のモビリティ管理プロトコルの対応付け更新を完了し、新しい気付アドレス(CoA)を使用することを可能にする。
MPAは、任意のリンク層を介して、モバイルIPv4、モバイルIPv6、MOBIKE、HIP、SIPモビリティなどを含む任意のモビリティ管理プロトコルと共に動作する。MPAでは、IEEE802.11i事前認証の概念が、上位層で動作するように拡張され、移動端末がそこに移動できるネットワークからのIPアドレスの早期獲得と、移動端末がまだ現在のネットワークに接続されている間にネットワークへの事前対応型ハンドオーバとを実行する追加機構を組み込んでいる。
MPAをサポートする移動ノード(MN)は、認証エージェント(AA)との事前認証プロセスを開始する。正常な認証により、PANA認証エージェント(PAA)が、AAとセキュリティアソシエーションを確立することが可能になる。これが、IPアドレスと他の構成パラメータを移動ノードに確実に配信するための構成プロトコルを確実に実行するのに使用される構成エージェント(CA)と、移動ノードへの事前対応型ハンドオーバトンネルを確立するためのトンネル管理プロトコルを確実に実行するアクセスルータ(AR)に加わる。この全プロセスが、MNが現在の接続点に接続されるときに実行される。これは、参照によりこれの開示が本明細書に組み込まれる、2006年3月の「draft-ohba-mobopts-mpa-framework-02.txt」と、2006年10月22日の「draft-ohba-mobopts-mpa-framework-03.txt」で詳細に説明されている。
確実なネットワークアクセスサービスを提供することは、クライアントとアクセスネットワークの認証と許可に基づくアクセス制御を必要とする。クライアントからネットワークへの認証は、実行点を通るトラフィックフローを規制するのに必要とされるパラメータを提供する。クライアントとアクセスネットワークの間で認証方法を搬送するプロトコルが必要とされる。
PANAは、ネットワークアクセス認証方法のためのリンク層不可知トランスポートを提供する。拡張可能認証プロトコル(EAP)[参照により全体が本明細書に組み込まれるRFC3748を参照]は、かかる認証方法を提供する。これに関して、PANAは、様々な認証方法を搬送することのできるEAPを搬送する。IPより上でのEAPのトランスポートを可能にすることによって、EAP方法として伝えることができる任意の認証方法がPANAから、したがって、任意のリンク層技術から利用可能になる。
PANAプロトコル[I-D.ietf-pana-pana]は、アクセスネットワーク内のPaC(PANAクライアント)とPAA(PANA認証エージェント)の間でEAPメッセージを伝送する。PaCがモバイル機器であり、これのアプリケーションを実行する間に、あるアクセスネットワークから別のアクセスネットワークに移動することができる場合、このPaCが、ハンドオーバ期間中にアプリケーションの性能を低下させずに、シームレスにハンドオーバを行うことは決定的に重要である。ハンドオーバが、PaCが新しいアクセスネットワーク内のPAAとPANAセッションを確立することを必要とするとき、PANAセッションを確立する信号は、できるだけ速く完了されるべきである。
PANAプロトコルは、ネットワークアクセスサービスのための認証と許可を行うために、クライアント(PaC)とサーバ(PAA)の間で実行される。このプロトコルのメッセージングは、一連の要求と応答を伴い、これらのうちのいくつかが、どちらかの側によって開始できる。各メッセージは、ペイロード内でゼロ以上のAVPを伝送することができる。PANAの主要ペイロードは、認証を実行するEAPである。PANAは、PaCとPAAが、EAPセッションを確立するのに役立つ。
PANAは、UDPベースのプロトコルである。PANAは、確実にメッセージを配信する独自の再送信機構を有する。PANAメッセージが、PaCとPAAの間で、PANAセッションの一部として送信される。PANAセッションは、以下で述べ、図1に示すように複数の異なる段階を含む。
1.ハンドシェーク段階:これは、新しいPANAセッションを開始する段階である。ハンドシェーク段階は、PaCとPAAの両方によってトリガできる。
2.認証許可段階:ハンドシェーク段階の直後に続くのが、PAAとPaCの間のEAP実行である。EAPペイロード(内部にEAPメソッドを保持する)が、認証に使用されるものである。PAAは、この段階の終わりに認証と許可の結果をPaCに伝達する。
3.アクセス段階:正常な認証と許可の後、ホストは、ネットワークにアクセスすることができ、(1つまたは複数の)EPを介してIPデータトラフィックを送受信することができる。この段階の任意の時点において、PaCとPAAは、任意選択で、ピア上のPANAセッションが存続しているかどうかテストするために、PANAピングメッセージを送信してもよい。
4.再認証段階:アクセス段階の間、PAAは、PANAセッション存続期間が切れる前に、最認証を開始しなければならない。認証を行うために、PANAによってEAPが伝送される。この段階は、任意選択で、セッション存続期間に関わりなく、PaCとPAAの両方によってトリガできる。セッションは、アクセス段階からこの段階に移り、正常な再認証が行われ次第、アクセス段階に戻る。
5.終了段階:PaCまたはPAAは、いつでもアクセスサービスを打ち切ろうとしてよい。明示的切断メッセージが、どちらの側からも送信できる。PaCまたはPAAが、終了メッセージを交えることなく切断する場合には、有限のセッション存続期間の満了または存続テストの失敗により、相手側においてセッションがクリーンアップされるはずであると予期される。
PANAは、これのトランスポート層プロトコルとしてUDPを使用する。UDPポート番号は、例えば、IANAなどによって割り当てられる。ここで、メッセージは、常に、ユニキャストされる。
PANAは、以下で論じる属性値対を使用する。ここで、任意のPANAメッセージのペイロードは、ゼロ以上のAVPを含む。以下で簡単に説明する。
○ アルゴリズムAVP:擬似乱数関数と保全性アルゴリズムを含む。
○ AUTH AVP:PANAメッセージを保全性保護するメッセージ認証コードを含む。
○ クッキーAVP:[RFC4086]に従ってPAAによって生成され、見境のないリソース消費DoS攻撃に対抗して、ハンドシェーク段階を頑強にするのに使用される乱数を含む。
○ 機器ID AVP:PaCまたはEPの機器識別子(リンク層アドレスまたはIPアドレス)を含む。
○ EAP AVP:EAP PDUを含む。
○ 失敗したAVP:失敗を引き起こした加害側AVPを含む。
○ 鍵ID AVP:MSK識別子を含む。
○ 保護機能AVP:PANA認証後に暗号機能が使用可能にされるべきであるときに、パケットごとの保護(リンク層対ネットワーク層)の種類を含む。
○ NAP情報AVP、ISP情報AVP:それぞれ、NAPとISPの識別子を含む。
○ 臨時AVP:暗号鍵計算で使用されるランダムに選択される値[RFC4086]を含む。
○ 通知AVP:表示可能なメッセージを含む。
○ プロバイダ識別子AVP:NAPまたはISPの識別子を含む。
○ PPAC AVP:PANAアドレス構成後のAVP。正常なPANA認証後にPaCによって使用され得る利用可能な/選択されるIPアドレス構成方法を示すのに使用される。
○ プロバイダ名AVP:NAPまたはISPの名前を含む。
○ 結果コードAVP:プロトコル実行結果に関する情報を含む。
○ セッションID AVP:PANAセッション識別子の値を含む。
○ セッション存続期間AVP:許可されるアクセスの期間を含む。
○ 終了原因AVP:セッション終了の理由を含む。
AVPは、PANAメッセージと関連性を有する情報をカプセル化する方法である。AVPの詳細については、セクション6.3を参照されたい。AVPヘッダについては、OctetString型の各AVPは、32ビット境界上で揃うようにパディングされる必要があり、他の型のAVPは、もともと揃っている。いくつかのゼロ値のバイトが、ワード境界に達するまでAVPデータフィールドの最後に加えられる。パディングの長さは、AVP長さフィールドには反映されない[RFC3588参照]。AVPヘッダの各フィールドは、ネットワークバイト順で送信される。AVPヘッダの形式を図2に示す。
詳細な背景情報については、これの全開示が、参照により、あたかも本明細書に全文が記載されているかのように本明細書に組み込まれる、2006年8月24日付け、D.Forsberg、Y.Ohbaらによる、「(ネットワークアクセスのための認証を伝えるためのプロトコル(PANA)(Protocol for Carrying Authentication for Network Access (PANA))」、IETFのPANA作業グループのインターネット草案、文書番号draft-ietf-PANA-PANA-12を参照されたい。
さらに参考のために、一部の背景用語として、以下が含まれる。
モビリティ対応付け: 移動端末のロケータと識別子の間の対応付け。
モビリティ管理プロトコル(MMP):移動端末のロケータと識別子の間の対応付けを維持するために、ネットワーク層以上で動作するプロトコル。
対応付け更新:モビリティ対応付けを更新する手順。
メディア独立の事前認証移動ノード(MN):好ましい実施形態では、任意のリンク層を介し、任意のモビリティ管理プロトコルを用いて動作する、モバイル支援型の、セキュアなハンドオーバ最適化方式であるメディア独立の事前認証(MPA)の移動端末。MPA移動ノードは、IPノードである。本明細書では、修飾なしの「移動ノード」または「MN」という用語は、「MPA移動ノード」を指すものとする。MPA移動ノードは、普通、モビリティ管理プロトコルの移動ノードの機能も有する。
候補ターゲットネットワーク(CTN):モバイルが近い将来そこに移動できるネットワーク。
ターゲットネットワーク(TN):モバイルが、そこに移動することを決定しているネットワーク。ターゲットネットワークは、1つまたは複数の候補ターゲットネットワークから選択される。
事前対応型ハンドオーバトンネル(PHT):MPA移動ノードと候補ターゲットネットワークのアクセスルータの間で確立される双方向IPトンネル。本明細書では、修飾語句なしの「トンネル」という用語は、「事前対応型ハンドオーバトンネル」を指すものとする。
接続点(PoA):MPA移動ノードのネットワークへのリンク層接続点として機能するリンク層機器(スイッチ、アクセスポイント、基地局など)。
気付アドレス(CoA):モビリティ管理プロトコルによって、MPA移動ノードのロケータ(locator)として使用されるIPアドレス。
PANAクライアント(PaC):アクセス機器(ラップトップ、PDAなど)にあるプロトコルのクライアント側。PaCは、ネットワークアクセス許可を求めてこれの識別情報(認証)を証明するために資格情報を提供する役割を果たす。PaCとEAPピアは、同じアクセス機器内において同一場所に配置される。
PANA認証エージェント(PAA):PANAクライアント(PaC)によって提供される資格情報を検証し、このクライアントと関連付けられ、機器識別子(DI)によって識別される機器にネットワークアクセスを許可する役割を果たす、アクセスネットワーク内のプロトコルエンティティ。PAAとEAPオーセンティケータ(と任意選択でEAPサーバ)は、同じノード内に位置する。認証許可手順は、EAPモデルによれば、バックエンドAAAインフラストラクチャにオフロードされてもよいことに留意されたい。
PANAセッション:PANAセッションは、PANAクライアント(PaC)とPANA認証エージェント(PAA)の間のハンドシェークで開始し、認証または存続テストの失敗、再送信数が最大値に達した後のメッセージ配信失敗、セッション存続期間満了、または明示的終了メッセージの結果として終了する。セッションの間中、固定のセッション識別子が維持される。セッションは、複数のネットワークインターフェースにまたがって共用できない。簡単にするために、PaCのただ1つの機器識別子だけが、PANAセッションに対応付けできるものとする。
セッション存続期間:PANAセッションと関連付けられる期間。確立されたPANAセッションでは、セッション存続期間は、PaCに与えられた現在の許可の存続期間に対応付けされる。セッション存続期間は、これが切れる前に、EAP認証の新しいラウンドによって更新できる。
セッション識別子:この識別子は、PAAとPaC上のPANAセッションを一意に識別するのに使用される。この識別子は、PAAの識別子を含み、したがって、複数のPAAにまたがって共用できない。この識別子は、メッセージを特定のPANAセッションに対応付けるためにPANAメッセージに含まれる。この双方向識別子は、ハンドシェークに続いてPAAによって割り振られ、セッションが終了するときに解放される。
PANAセキュリティアソシエーション(PANA SA):PANA セキュリティアソシエーションは、PaCとPAAの間で、暗号鍵生成材料と関連するコンテキストを共用することによって形成される。形成される二重のセキュリティアソシエーションは、PaCとPAAの間の双方向PANA信号トラフィックを保護するのに使用される。
機器識別子(DI):ネットワークによって、機器のネットワークアクセスを制御し、規制するためのハンドルとして使用される識別子。アクセス技術に応じて、この識別子は、プロトコルヘッダで搬送されるアドレス(IPまたはリンク層アドレスなど)、または、接続される機器のローカルプロトコルスタックによって供与されるローカルで有意な識別子(回線ID、PPPインターフェースIDなど)を含み得る。
実行点(EP) パケットごとの実行ポリシ(すなわちフィルタ)が、アクセス機器のインバウンドとアウトバウンドのトラフィックで適用されるアクセスネットワーク上のノード。DIや(任意選択で)暗号鍵などの情報が、EP上のフィルタを生成するために、クライアントごとのPAAによって提供される。EPとPAAは、同じ場所に位置していてもよい。
ネットワークアクセスプロバイダ(NAP):管理するアクセスネットワークに物理層やリンク層の接続などを提供するサービスプロバイダ。
インターネットサービスプロバイダ(ISP): インターネットや他の関連するサービスへのアクセスなどを提供するサービスプロバイダ。
マスタセッション鍵(MSK): EAPピアとEAPサーバによって導出され、オーセンティケータ(authenticator)に転送される[RFC3728参照]鍵。
追加の用語と背景技術を、参照により、PANAフレームワーク文書[I-D.ietf-pana-framework]から本明細書に組み込むものである。
様々なシステムおよび方法が知られているが、様々な状況において認証の速度を増大させるシステムおよび方法などを含め、改善されたシステムおよび方法が依然として求められている。
本発明は、認証遅延に関するものなどを含めて、背景技術の様々な限界および欠点を克服する。
いくつかの実施形態によれば、移動ノードのネットワークとの認証遅延を低減する方法は、2つのEAP実行を同時に用いて総認証遅延を低減することを含む。同様に、いくつかの実施形態によれば、移動ノードのネットワークとの認証遅延を低減するシステムは、PANA認証エージェントとの2つのPANAセッションを同時に実行して総認証遅延を低減するように構成されているPANA認証クライアントを備える。また同様に、いくつかの実施形態によれば、移動ノードのネットワークとの認証遅延を低減するシステムは、PANA認証クライアントとの2つのPANAセッションを同時に実行して総認証遅延を低減するように構成されているPANA認証エージェントを備える。
いくつかの例では、この方法は、2つのEAP実行が、PaCの特定の機器識別子を認証するのに用いられることを含む。いくつかの例では、この方法は、2つのEAP実行が、複数のISPを同時に接続することに関連してPaCの特定の機器識別子を認証するのに用いられることを含む。いくつかの例では、この方法は、2つのEAP実行が、PaC上の複数のユーザに関連してPaCの特定の機器識別子を認証するのに用いられることを含む。いくつかの例では、この方法は、2つのEAP実行が、NAPとISP認証において、総認証遅延を低減するのに用いられることを含む。
他のいくつかの例では、この方法は、PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションを確立すること、および複数のPANAセッションの間で暗号対応付けを作成することを含む。いくつかの例では、この方法は、PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションを確立すること、および複数の独立PANAセッションのそれぞれについてEPの異なるPaC−EPマスタ鍵を生成することを含む。いくつかの例では、この方法は、PaCとPAAの間の独立PANAセッションのそれぞれについて、異なるIKEセキュリティアソシエーションを確立すること、および各独立セッションごとに各ユーザ専用のIPsecセキュリティアソシエーションを作成することを含む。いくつかの例では、この方法は、ピアに認証の状況を知らせるために新しい認証状況AVPを提供することを含む。いくつかの例では、この方法はPANA開始要求(PSR)で、新しい認証状況の型、長さ、値を提供することを含む。いくつかの例では、この方法は、PSR内のSフラグがNAPとISPの別個の認証を不可にするように設定されず、PSRと後続のPANAメッセージでNフラグが設定されないことを含む。
いくつかの例では、この方法は、PAAの新しいセッションを作成するために、PaCにPANA PAA探索メッセージを送信させること、およびPAAの他のセッションに割り当てられたものと異なる新しいUDP送信元ポート番号を割り当てることを含む。いくつかの例では、この方法は、PAAが、PaCの新しいセッションを作成するためのPSRを送信請求なしで送信するとき、PaCの他のセッションに割り当てられたものと異なる新しいUDP宛先ポート番号が割り当てられることを含む。いくつかの例では、この方法は、異なるセッションでは異なるEAP認証方法および資格情報を使用することを含む。いくつかの例では、この方法は、PANA条件付き成功に関連する新しい結果コードと、1つまたは複数のセッションID AVPを含む新しいAVPを提供すること、および従属セッションのPANA対応付け要求(PBR)に、新しい結果コードを搬送させることを含む。いくつかの例では、この方法は、EPのPaC−EPマスタ鍵が、従属セッションのAAA鍵から導出されないことを含む。いくつかの例では、この方法は、従属セッションを暗号化して対応付けするために、PAAに新しいセッションを作成させること、および新しいセッションを作成した後にPAAにPSRを送信することを含む。いくつかの例では、この方法は、新しいセッションのPANA開始応答を受信した後で、PAAが、PANA認証要求/PANA認証応答を交換せずに、直ちにPBRを送信することを含む。
様々な実施形態の上記他の態様、特徴および/または利点は、以下の説明を添付の図と併せて考察すればさらに理解されるであろう。様々な実施形態は、妥当な場合には、異なる態様、特徴および/または利点を含み、かつ/または除外することができる。加えて、様々な実施形態は、妥当な場合には、他の実施形態の1つまたは複数の態様または特徴を組み合わせることもできる。個々の実施形態の態様、特徴および/または利点の記述は、他の実施形態または特許請求の範囲を限定するものであると解釈すべきではない。
セッションにおけるPANAメッセージを示す図である(環境と配置に応じて、図1に示すプロトコルの流れは略記できることに留意されたい(非送信請求PANA開始要求メッセージは、PANAクライアント開始なしで送信でき、EAP応答はPANA認証応答に載せて搬送でき、PANAピングとPANA終了の使用は任意選択である))。 AVPヘッダ形式を示す図である。 いくつかの例示的実施形態による、独立、従属および親セッションに関連するPaCとPAAの間のメッセージシーケンスを示す図である。 別個のISPへのPANAセッション1と2を有する例示的マルチホーミング使用例を示す図である。 別個のユーザとのPANAセッション1と2を有する例示的マルチユーザ使用例を示す図である。 いくつかの説明例による、複数のPANAセッション、すなわちセッションAとBの確立のための、PaCとPAAの間の例示的メッセージシーケンスを示す図である。
本発明の好ましい実施形態を、添付の図に、限定としてではなく例として示す。
本発明は、多くの異なる形で実施できるが、本開示は、本明細書で説明する様々な発明の原理の例を提供するものとみなされるべきであり、かかる例は、本発明を、本明細書で説明し、かつ/または本明細書で図示する好ましい実施形態だけに限定するためのものではないという了解の下で、いくつかの例示的実施形態について説明する。
問題提示:既存のシステムでは、いくつかの問題と欠点がある。例えば、以下の問題が存在する。
問題1:PaCの特定の機器識別子を認証するのに2つ以上のEAP実行が必要とされる状況がある。例えば、a)複数のISPに同時に接続する、およびb)PaC上の複数のユーザという2つの例示的状況では、PaCの特定の機器識別子を認証するのに2つ以上のEAP実行が必要とされる。
問題2:現在のPANA仕様におけるNAPとISPの別個の認証は、順次の2つのEAP実行を必要とする。本願では、総認証遅延を低減するために、2つのEAP実行が同時に行われ得るべきことが企図されている。
http://ftp.3gpp2.org/TSGX/Working/2005/2005-12/TSG-X-2005-12-Maui/WG3-PSN/SWG31-PDS/(2005年12月8日、11:43PM 109568 X31-20051205-013 PANA-for-PFO-[Samsung, Starent, Nokia].ppt)に記載されている、A.Yegin、 K.ChowdhuryおよびG.Bajkoによる「TSG-X, EAP/PANA for PFO」という名称の、Samsung社、Starent社およびNokia社による3GPP2寄稿において、著者らは、「PANAは、ルータにまたがって実行できるため、端末が1つまたは複数のターゲットアクセスネットワーク(複数ホップ離れ、異種のアクセス技術を有する場合でさえも)と事前認証を行うことを可能にし」、このため、「ハンドオーバ後、端末のネットワークへのアクセスを許可するには無線による1回の往復で十分である」と説明している。加えて、著者らは、さらに、「運用者らは、例えば、PANAを実行している間のIMS、モバイルIPv6、モバイルIPv4シグナリングなど、PANAと並列(帯域外)での別の限られたL3プロトコルシグナリングを許容することができ」、このため、「総待ち時間は、累積ではなく、個々の待ち時間の最大値である」という点で、PANAでは「並列シグナリング」が利用可能であると記述している。著者らは、次いで、事前認証に関連して、いかなる裏づけ、詳細などもなしで、以下のような仮説を設定している。
並列加入者機器認証
複数の認証が行われる必要がある場合(1つはアクセス機器のため、もう1つは加入者のためなど)、これらの認証は、2つの別個のPANAセッションとして並列に実行され、後で結合できる。
最終的な効果:認証待ち時間が半減する。
要件:既存の技術とは対照的に、本出願は、特に、並列PANAセッションを実行することに関連する新規なシステムおよび方法を示す。本明細書で述べる目的で並列PANAセッションを実行することに関連して、本発明者らにより、いくつかの要件が識別されている。これに関して、以下に関連するいくつかの要件を示す。
要件1:PANAは、PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションが確立されるようサポートする必要がある。これに関して、既存のPANA仕様は、これを妨げない。
要件2:PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションを確立するとき、認証の状況が、各セッションごとにピア間で伝えられる必要がある。それだけに限らないが例として、いくつかの例示的状況には、ISP認証、NAP認証などが含まれる。
要件3:PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションを確立するとき、PANAは、これらのセッションを同時に確立することができる必要がある。
要件4:PaCとPAAの間で、PaCの同じ機器識別子のために複数のPANAセッションを確立するとき、例えば、複数セッションのそれぞれについて、EPの異なるPaC−EPマスタ鍵が生成されるのでない限り、複数セッション間で暗号対応付けが作成される必要がある。これに関して、本明細書では、EPの同じPaC−EPマスタ鍵を共用するPANAセッションを「従属」セッションといい、これ以外のPANAセッションを、本明細書では「独立」セッションという。ここで、独立セッションは、EPの異なるPaC−EPマスタ鍵を作成してもよい。一例では、これは、PaCとPAAの間の各独立セッションごとに、異なるIKE SAを確立することを含み得る。各ユーザ専用のIPsec SAが、各独立セッションごとに作成されることになる。
いくつかの実施形態では、要件2の解決法には、以下が含まれ得る。
1.新しいAVP、認証状況(型:OctetString、‘M’フラグが設定される必要がある)が提供される。ここで、新しいAVPは、ピアに、認証の(1つまたは複数の)状況を知らせるのに使用される。加えて、これは、PANA PAA探索またはPANA開始要求メッセージで搬送させることが可能である。加えて、これは、1つの1オクテット状況、1(NAP認証)、および2(ISP認証)の搬送を伴う。
2.認証状況の型、長さ、値パケット(TLV)は、任意選択で、PANA開始要求(PSR)に含めることもできる。AVPが含まれるとき、PSR内のSフラグは、NAPとISPの別個の認証を不可にするように設定されるべきではない。更に、PSRと後続のPANAメッセージでは、Nフラグが設定されるべきではない。
いくつかの実施形態では、要件3の解決法には、以下が含み得る。
1.PaCが、PAAの新しいセッションを作成するためのPANA PAA探索(PDI)メッセージを送信するときには、このPAAの他のセッションに割り当てられているものと異なる新しいUDP送信元ポート番号が割り当てられるべきである。
2.PAAが、PaCの新しいセッションを作成するためのPSRを送信請求なしで送信するときには、このPaCの他のセッションに割り当てられているものと異なる新しいUDP宛先ポート番号が割り当てられるべきである。
3.更に、異なるセッションは、異なるEAP認証方法と資格情報を使用してもよい。
いくつかの実施形態では、要件4の解決法には、以下が含み得る。
1.新しい結果コード、
PANA_CONDITIONAL_SUCCESSが提供される。
2.新しいAVP、セッションIDリスト(型:グループ化、‘M’フラグは設定される必要がある)が提供される。ここで、セッションIDリストAVPは、1つまたは複数のセッションID AVPを含む。
3.従属セッションのPANA対応付け要求(PBR)は、PANA_SUCCESSではなく、この結果コードを搬送する。更に、ここで、a)このときには許可が行われず、b)EPのPaC−EPマスタ鍵が、従属セッションのAAA鍵から導出されない。
4.PAAは、従属セッションを暗号化して対応付けするために新しいセッションを作成する。ここで、この新しいセッションを親セッションという。
5.親セッションを作成した後で、PAAにPSRが送信される。
6.親セッションのPANA開始応答(PSA)を受信した後で、PAAは、PANA認証要求/PANA認証応答(PAR/PAN)を交換せずに、直ちにPBRを送る。ここで、
i.親セッションのPBR内の結果コードはPANA_SUCCESSである。
ii.PBRは、子セッションのセッションID AVPのリストを含むセッションIDリスト AVPを搬送する。
iii.親セッションのAAA鍵が、従属セッションのAAA鍵の連結として計算される。
a.従属セッションのAAA鍵は、セッションIDリスト AVPに記載されるセッションの順序に従って順序付けされる。
iv.更に、このときに許可も行われる。
a.従属セッションの間で最小の許可存続期間が、親セッションの許可存続期間になる。
b.親セッションのAAA鍵から導出されたEPのPaC−EPマスタ鍵が、これの従属セッションの間で共用される。
7.各従属セッションごとに最認証が行われる。
i.各再認証が完了するごとに、親セッションの許可存続期間とAAA鍵が再計算される。
8.親セッションが打ち切られるとき、これの従属セッションが、直ちに、黙って打ち切られる。
9.従属セッションの1つが打ち切られるとき、親セッションは、終了ポリシによって、打ち切られることも、打ち切られないこともある。
i.ここで、終了ポリシが親セッションを打ち切らないよう指示しているとき、親セッションの許可存続期間とAAA鍵が再計算される。
ii.更に、終了ポリシの如何を問わず、親セッションは、最後の従属セッションが打ち切られるときには、直ちに、黙って打ち切られる。
PANA認証遅延:
参考のために、以下に適用可能なPANA認証遅延を示す。以下の式では、T1=探索とハンドシェーク段階における遅延、T2,NAP=NAP認証のためのPAR/PAN交換における遅延、T2,ISP=ISP認証のためのPAR/PAN交換における遅延、T3=PBR/PBA交換における遅延を用いる。更に、従属と独立のPANAセッションの場合、2つのセッションのPAA探索は、同時に開始し、同時に完了するものと仮定する。
NAPとISPの別個の認証:
=T+T2,NAP+T2,ISP+T
独立セッション:
=T+max(T2,NAP,T2,ISP)+T
従属セッションと親セッション:
=D+T+T<D<D
図3〜6:
図3〜6に、本発明のいくつかの実施形態の態様を説明するいくつかの説明図を示す。
これに関して、図3には、前述のような、独立セッション、従属セッションおよび親セッションに関連するPaCとPAAの間の例示的メッセージシーケンス、及びいくつかの事例での暗号の結合の確立が示されている。
更に、図4には、マルチホーミングなどに関連する説明的使用例を示す例示的アーキテクチャ概略図が示されている。この説明例に示すように、第1のPANAセッションが第1のサービスプロバイダISP1に関連して確立され、第2のPANAセッションが第2のサービスプロバイダISP2に関連して確立される。PANAセッション1に関連付けられるトラフィックは、この図の上部近くに示され、PANAセッション2に関連付けられるトラフィックは、この図の下部近くに示されている。ここで、セッション1と2は、前述の従属または独立のセッションとすることができる。この場合、これらが従属セッションであるとき、異なるセッションと関連付けられるトラフィックは、区別可能である必要があり、これは、例えば、異なるセッションに別個のIKE SAを作成するなどによって行うことができる。
更に、図5には、マルチユーザなどに関連する説明的使用例を示す例示的アーキテクチャ概略図が示されている。この説明図に示すように、第1のPANAセッションが、第1のユーザ、ユーザAに関連して確立され、第2のPANAセッションが、第2のユーザ、ユーザBに関連して確立される。PANAセッション1に関連付けられるトラフィックはこの図の上部近くに示され、PANAセッション2に関連付けられるトラフィックは、この図の下部近くに示されている。特に、この図には、第1のユーザ機器を介して動作する第1のユーザ、ユーザAが、PANA認証エージェント(PAA)/実行点(EP)とやりとりするPANA認証クライアント(PaC)/ネットワークアクセス変換器(NAT)を介して、ネットワークアクセスプロバイダ(NAP)とインターネットサービスプロバイダ(ISP)への第1のPANAセッションを確立し、第2のユーザ機器を介して動作する第2のユーザBが、PANA認証クライアント(PaC)/ネットワークアクセス変換器(NAT)とPANA認証エージェント(PAA)/実行点(EP)を介して、ネットワークアクセスプロバイダ(NAP)とインターネットサービスプロバイダ(ISP)への第2のPANAセッション2を確立する説明例が示されている。ここで、PaCは、子機器のためのEAP資格情報で事前構成されている。更に、異なるセッションに関連付けられるトラフィックは、区別可能である必要があり、これは、例えば、異なるセッションに別個のIKE SAを作成するなどによって行うことができる。図6は、いくつかの説明例による、複数のPANAセッション、セッションAとBの確立のための、PaCとPAAの間の例示的メッセージシーケンスを示す図である。
本発明の広い範囲
本明細書では、本発明の例示的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用され得る。いくつかの例では、様々な実施形態が重なり合う特徴を含み得る。本開示では、「例えば」を意味する「e.g.」という省略用語が用いられ得る。

Claims (20)

  1. アクセスネットワーク外部の認証クライアントと前記アクセスネットワーク内部の認証エージェントとの間に前記認証クライアントに又は前記アクセスネットワーク内部の前記認証クライアントに接続される別個のユーザ装置から独立したデータトラフィックセッションを含む複数の同時及び独立のデータトラフィックセッションを確立するための方法であって
    PANA認証クライアント(PaC)とPANA認証エージェント(PAA)との間に複数の同時及び独立のデータトラフィックセッションを確立することを含み、前記データトラフィックセッションは前記認証クライアントに又は前記アクセスネットワーク内の別個のプロバイダに接続される別個のユーザ装置からの同時及び独立データトラフィックセッションを含み、
    前記データトラフィックセッションは全体の認証遅延を減少するために同時に2つの拡張可能認証プロトコル(EAP)実行を採用して確立され、
    前記2つのEAP実行は各々前記PANA認証クライアント(PaC)の特定の機器識別子を認証するために採用され、
    前記2つの拡張可能認証プロトコル(EAP)実行は同時に複数のサービスプロバイダへの接続に関してPANA認証クライアント(PaC)の特定の機器識別子を認証するため又はPaC上の複数のユーザに関してPANA認証クライアント(PaC)の特定の機器識別子を認証するために採用され、
    更にPANA認証クライアント(PaC)とPANA認証エージェント(PAA)との間に複数のPANAセッションを確立することを含み、
    前記複数のPANAセッションを確立することは、
    1)前記複数のPANAセッションの間に暗号対応付けを確立し、前記複数のPANAセッションの各々毎に実行点に対して同じPaC−EPマスタ鍵を共有すること、又は
    2)前記複数のPANAセッションの各々毎に実行点に対して異なるPaC−EPマスタ鍵を生成すること及び前記セッションの各々毎に異なるセキュリティ関連を確立することを含む、方法。
  2. 前記データトラフィックセッションが前記アクセスネットワーク内の別個のプロバイダに同時及び独立データトラフィックセッションを更に含む、請求項1に記載の方法。
  3. 前記2つのEAP実行は、同時に複数のインターネットサービスプロバイダ(ISPs)への接続に関してPANA認証クライアント(PaC)の特定の機器識別子を認証するのに用いられる請求項1に記載の方法。
  4. 前記2つの拡張可能認証プロトコル(EAP)実行はPaC上の複数のユーザに関してPANA認証クライアントの特定の機器識別子を認証するために使用される、請求項1記載の方法。
  5. 前記2つのEAP実行は前記全体の認証遅延を減少するためにネットワークアクセスプロバイダ(NAP)及びインターネットサービスプロバイダ(ISP)に採用される、請求項1の方法。
  6. PANA認証クライアント(PaC)と前記PaCtp同じ機器識別子のPANA認証エージェント(PAA)との間に複数のPANAセッションを確立すること、前記複数のPANAセッション間で暗号対応付けを形成することを更に含む、請求項1に記載の方法。
  7. 前記複数の独立PANAセッションの各々毎に実行点(EP)に対して異なるPaC−EPマスタ鍵を生成すること、
    PaCとPAAとの間に前記独立PANAセッションの各々毎に異なるIKEセキュリティアソシエーションを確立し、独立セッション毎にIPsecセキュリティアソシエーションを形成すること、を更に含む、請求項1に記載の方法。
  8. 前記認証の状況をピアに知らせるために新規認証状況属性値対(AVP)を提供することを更に含む、請求項1の方法。
  9. PANA開始要求(PSR)に新規認証状況の型、長さ、値パケットを提供することを更に含む、請求項1の方法。
  10. 前記PSRのSフラグはネットワークアクセスプロバイダ(NAP)及びインターネットサービスプロバイダ(ISP)個別認証を無効にするように設定されなく、Nフラグは前記PSR及び後続のPANAメッセージに設定されない、請求項9の方法。
  11. PANA認証エージェント(PAA)に対して新規セッションを作るためPANA PAA発見メッセージをPANA認証クライアント(PaC)に遅らせること、前記PAAに対して他のセッションに割当てられたものとは異なる新規UDPソースポートナンバーを割り当てることを更に含む、請求項1の方法。
  12. PANA認証エージェント(PAA)がPANA認証クライアント(PaC)に対して新規セッションを作るためにPANA開始要求(PSR)を承諾なく送ると、前記PaCに対して他のセッションに割当てられたものとは異なる新規UDP宛先ポートナンバーが割り当てられることを更に含む、請求項1に記載の方法。
  13. 異なるセッションで異なるEAP認証方法及び信用証明を用いることを更に含む、請求項1の方法。
  14. PANA条件付き成功に関連する新規結果コード及び1つ以上のセッションID AVPを含む新規属性値対(AVP)を提供すること、独立セッションに対するPANA結合要求(PBR)に前記新規結果コードを付帯させること、を更に含む、請求項1の方法。
  15. 実行点(EP)に対するPaC−EPマスタ鍵が独立セッションのAAA鍵から抽出されないことを更に含む、請求項14の方法。
  16. 独立セッションを暗号化で結合するために前記PANA認証エージェント(PAA)に新規セッションを作らせること、前記新規セッションを作ったのちにPANA開始要求(PSR)を前記PAAに送ることを更に含む、請求項14の方法。
  17. 前記新規セッションに対するPANA開始アンサーを受信した後に前記PAAはPANA-Auth-Request/PANA-Auth-Answer交換を行うことなくPANA結合要求を直ちに送付することを含む、請求項16の方法。
  18. 前記データトラフィックセッションは前記認証クライアントに接続される別個のユーザ装置からの同時及び独立データトラフィックセッションを含む、請求項1の方法。
  19. ネットワークと共にモバイルノードの認証遅延を減少するためのシステムであって、
    複数の同時及び独立データトラフィックセッションを前記PANA認証クライアントと前記PANA認証エージェント(PAA)との間に前記データトラフィックセッションによって確立することによって全体の認証遅延を減少するためにアクセスネットワーク内部のPANA認証エージェントによって2つのPANAセッションを同時に行うように構成される前記アクセスネットワークの外部のPANA認証クライアントを具備し、前記データトラフィックセッションは前記PANA認証クライアントに又は前記アクセスネットワーク内の別個のプロバイダに接続される別個のユーザ装置からの同時及び独立データトラフィックセッションを含み、
    前記PANA認証クライアントは2つの拡張可能認証プロトコル(EAP)実行を同時に採用して前記データトラフィックセッションを確立するように構成され、前記2つのEAP実行は各々前記PANA認証クライアントの特定の機器識別子を認証するために採用され、
    前記PANA認証クライアントは同時に複数のサービスプロバイダへの接続に関してPANA認証クライアント(PaC)の特定の機器識別子を認証するために又はPAC上の複数のユーザに関してPANA認証クライアント(PaC)の特定の機器識別子を認証するために前記2つの拡張可能認証プロトコル(EAP)実行を採用するように構成され、複数のPANAセッションはPANA認証クライアント(PaC)とPANA認証エージェント(PAA)との間に前記PANA認証エージェント(PaC)の同じ機器識別子に対して確立され、前記複数のPANAセッションが
    1)暗号対応付けが前記複数のPANAセッションの間に確立され、同じPaC−EPマスタ鍵が前記複数のPANAセッションの各々毎に実行点に対して共有され、又は
    2)異なるPaC−EPマスタ鍵が前記複数のPANAセッションの各々毎に実行点に対して生成され、異なるセキュリティアソシエーションが前記セッションの各々毎に確立される、システム。
  20. ネットワークと共にモバイルノードの認証遅延を減少するためのシステムであって、
    複数の同時及び独立データトラフィックセッションを前記PANA認証クライアントと前記PANA認証エージェント(PAA)との間に前記データトラフィックセッションによって確立することによって全体の認証遅延を減少するためにアクセスネットワーク外部のPANA認証エージェントによって2つのPANAセッションを同時に行うように構成される前記アクセスネットワークの内部のPANA認証クライアントを具備し、前記データトラフィックセッションは前記PANA認証クライアントに又は前記アクセスネットワーク内の別個のプロバイダに接続される別個のユーザ装置からの同時及び独立データトラフィックセッションを含み、
    前記PANA認証クライアントは2つの拡張可能認証プロトコル(EAP)実行を同時に採用して前記データトラフィックセッションを確立するように構成され、前記2つのEAP実行は各々前記PANA認証クライアントの特定の機器識別子を認証するために採用され、
    前記PANA認証エージェントは同時に複数のサービスプロバイダへの接続に関してPANA認証クライアント(PaC)の特定の機器識別子を認証するために又はPAC上の複数のユーザに関してPANA認証クライアント(PaC)の特定の機器識別子を認証するために前記2つの拡張可能認証プロトコル(EAP)実行を採用するように構成され、複数のPANAセッションはPANA認証クライアント(PaC)とPANA認証エージェント(PAA)との間に前記PANA認証エージェント(PaC)の同じ機器識別子に対して確立され、前記複数のPANAセッションが
    1)暗号対応付けが前記複数のPANAセッションの間に確立され、同じPaC−EPマスタ鍵が前記複数のPANAセッションの各々毎に実行点に対して共有され、又は
    2)異なるPaC−EPマスタ鍵が前記複数のPANAセッションの各々毎に実行点に対して生成され、異なるセキュリティアソシエーションが前記セッションの各々毎に確立される、システム。
JP2011137783A 2006-02-07 2011-06-21 複数のpanaセッション Expired - Fee Related JP5323141B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US76671406P 2006-02-07 2006-02-07
US60/766,714 2006-02-07
US11/558,921 US8006089B2 (en) 2006-02-07 2006-11-12 Multiple PANA sessions
US11/558,921 2006-11-12

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007547073A Division JP4823233B2 (ja) 2006-02-07 2007-01-31 複数のpanaセッション

Publications (2)

Publication Number Publication Date
JP2011234394A JP2011234394A (ja) 2011-11-17
JP5323141B2 true JP5323141B2 (ja) 2013-10-23

Family

ID=38057417

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2007547073A Expired - Fee Related JP4823233B2 (ja) 2006-02-07 2007-01-31 複数のpanaセッション
JP2011137783A Expired - Fee Related JP5323141B2 (ja) 2006-02-07 2011-06-21 複数のpanaセッション

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2007547073A Expired - Fee Related JP4823233B2 (ja) 2006-02-07 2007-01-31 複数のpanaセッション

Country Status (7)

Country Link
US (1) US8006089B2 (ja)
EP (1) EP1982498B1 (ja)
JP (2) JP4823233B2 (ja)
KR (1) KR100932325B1 (ja)
CN (1) CN104080084B (ja)
CA (1) CA2641495C (ja)
WO (1) WO2007091577A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2710666T3 (es) * 2006-04-11 2019-04-26 Qualcomm Inc Procedimiento y aparato para unir múltiples autentificaciones
KR101329150B1 (ko) * 2006-12-08 2013-11-14 삼성전자주식회사 Pana 인증 방법 및 장치
JP5144679B2 (ja) * 2006-12-19 2013-02-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおけるユーザアクセス管理
US8886802B1 (en) * 2009-03-23 2014-11-11 Symantec Corporation Transport agnostic network access control
EP2276278A1 (en) 2009-07-13 2011-01-19 Research In Motion Limited Methods and apparatus for maintaining secure connections in a wireless communication network
US8881305B2 (en) * 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
JP5378296B2 (ja) 2010-05-10 2013-12-25 株式会社東芝 通信装置および通信方法
JP5468588B2 (ja) 2011-09-15 2014-04-09 株式会社東芝 通信装置及びプログラム
US8984590B2 (en) 2011-11-08 2015-03-17 Qualcomm Incorporated Enabling access to key lifetimes for wireless link setup
US8676954B2 (en) * 2011-12-06 2014-03-18 Kaseya International Limited Method and apparatus of performing simultaneous multi-agent access for command execution through a single client
CN105432102A (zh) * 2013-05-22 2016-03-23 康维达无线有限责任公司 用于机器对机器通信的网络辅助引导自举
CN111416717B (zh) * 2019-01-07 2023-01-03 中安网脉(北京)技术股份有限公司 一种sm2算法并行多路硬件实现方法
CN112152790A (zh) * 2019-06-26 2020-12-29 联合汽车电子有限公司 一种数据加密方法、解密方法、加密装置和解密装置
NL2024116B1 (en) * 2019-10-29 2021-07-19 Sancoo B V Method and system for identified communications

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004512735A (ja) * 2000-10-18 2004-04-22 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ コンテンツ保護のための複数認証セッション
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US7458095B2 (en) * 2002-11-18 2008-11-25 Nokia Siemens Networks Oy Faster authentication with parallel message processing
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
US20060002557A1 (en) * 2004-07-01 2006-01-05 Lila Madour Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US8688834B2 (en) * 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server

Also Published As

Publication number Publication date
JP4823233B2 (ja) 2011-11-24
US8006089B2 (en) 2011-08-23
CN104080084B (zh) 2018-07-13
EP1982498A1 (en) 2008-10-22
EP1982498B1 (en) 2015-06-03
WO2007091577A1 (en) 2007-08-16
CA2641495A1 (en) 2007-08-16
KR100932325B1 (ko) 2009-12-16
CN104080084A (zh) 2014-10-01
JP2008537850A (ja) 2008-09-25
CA2641495C (en) 2015-03-03
JP2011234394A (ja) 2011-11-17
KR20070103735A (ko) 2007-10-24
US20070186096A1 (en) 2007-08-09

Similar Documents

Publication Publication Date Title
JP5323141B2 (ja) 複数のpanaセッション
JP5955352B2 (ja) 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
JP5430709B2 (ja) Eap拡張(eap−ext)のためのeapメソッド
US8046829B2 (en) Method for dynamically and securely establishing a tunnel
KR100807652B1 (ko) Pana를 지원하는 매체-독립 사전 인증 프레임워크
EP2106591B1 (en) Solving pana bootstrapping timing problem

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121120

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130220

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130225

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130321

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130326

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130716

R150 Certificate of patent or registration of utility model

Ref document number: 5323141

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees