JP5378603B2 - 複数技術インターワーキングでの事前登録セキュリティサポート - Google Patents

複数技術インターワーキングでの事前登録セキュリティサポート Download PDF

Info

Publication number
JP5378603B2
JP5378603B2 JP2012526858A JP2012526858A JP5378603B2 JP 5378603 B2 JP5378603 B2 JP 5378603B2 JP 2012526858 A JP2012526858 A JP 2012526858A JP 2012526858 A JP2012526858 A JP 2012526858A JP 5378603 B2 JP5378603 B2 JP 5378603B2
Authority
JP
Japan
Prior art keywords
access
communication system
access technology
communication device
security context
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012526858A
Other languages
English (en)
Other versions
JP2013502879A (ja
Inventor
フエダー,ペレツ
ミジコフスキー,セミヨン
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2013502879A publication Critical patent/JP2013502879A/ja
Application granted granted Critical
Publication of JP5378603B2 publication Critical patent/JP5378603B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1446Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本出願は、その開示が参照により本明細書に組み込まれている、2009年8月24日に出願した米国仮特許出願第61/275,008号「Method for Pre−Registration Security Support in Multi−Technology Interworking」の優先権を主張するものである。
本発明は一般に通信システムでのセキュリティに関し、より詳細には複数アクセス技術環境での事前登録セキュリティサポートに関する。
近年では、同等の性能で提供される通信システムアクセス技術の数が大幅に増加し、複数モードのワイヤレスアクセス端末を製造することを慎重にさせている。すなわち、3GPP2−第3世代パートナーシッププロジェクト2によって定義されるCDMA(符号分割多重アクセス)および1xEV−DO(エボリューションデータ最適化)、GSM(登録商標)(モバイル用グローバルシステム)、WCDMAとしても知られるUMTS(ユニバーサルモバイルテレコミュニケーションシステム)、UMTSのためのGPRS(汎用パケット無線サービス)、3GPP−第3世代パートナーシッププロジェクトによって定義されるEDGE(GSMエボリューションのための進化型データレート)、WiFi(Wireless Fidelity−IEEE802.11規格に基づくワイヤレスローカルエリアネットワーク(WLAN)デバイスのクラス)、WiMAX Forumによって定義されるWiMAX(マイクロ波のための世界相互運用性)等で動作することが可能なモバイル端末に出会うことは珍しくない。2つ以上のアクセス技術間のインターワーキングは、ワイヤレスコアネットワーク事業者が共通のコアネットワークサービスを、複数モード端末を所有するユーザに提供することができることから、それらの事業者にとって重要なものとなる。
ワイヤレス端末がネットワークにアクセスすると、正当性が認証される。この認証は所与のアクセス技術に固有であってもよいが、カプセル化認証プロトコル(EAP)の急増とともに、アクセス技術に対してトランスペアレントな共通の認証フレームワークが普及するようになった。EAPは、その開示が参照により本明細書に組み込まれているIETF RFC5247、「Extensible Authentication Protocol(EAP) Key Management Framework」、2008年8月の中で詳細に開示されている。
しかしながら、既存のEAP認証オペレーションは、多数のセキュリティコンテキストが、複数アクセス技術のための所与の通信デバイスに関して効果的に維持されるようにすることができない。したがって、このこと、および既存の認証方式の他の制限を克服する必要がある。
IETF RFC5247、「Extensible Authentication Protocol(EAP) Key Management Framework」、2008年8月 WiMAX NWGステージ3仕様書、WMF−T33−001−R015v01_Network−Stage3−Base IETF RFC3344、IP Mobility Support for IPv4(MIPv4)、2002年8月 RFC3775、IP Mobility Support for IPv6(MIPv6)、2004年6月 WiMAXフォーラムネットワークアーキテクチャ仕様書、1.5版 RFC5213 WiMAXフォーラムネットワークアーキテクチャ、1.5版、PMIPv6ステージ3仕様書 RFC2131 IETF RFC2865、「Remote Authentication Dial In User Service」、2000年6月 IETF RFC4005、「Diameter Network Access Server Application」、2005年8月 WMF−T33−00x−R015v01−J_Network−Stage3_V&V IEEE802.11i仕様書
本発明の原理は、複数アクセス技術環境での事前登録セキュリティサポートを提供する。
例えば、1つの態様では、通信システムのコンピューティングデバイスで使用するための方法であって、通信システムが、通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストのうちの少なくとも一部が所与の通信デバイスのためのコンピューティングデバイスで生成される方法が提供される。この方法は、所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように第1セキュリティコンテキストを維持しながら、所与の通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、所与の通信デバイスのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部をコンピューティングデバイスで生成することを備える。このコンピューティングデバイスは、通信システムの中でネットワークサービスプロバイダによって管理される認証サーバを備えてもよい。
さらに他の態様では、通信システムの通信デバイスで使用するための方法であって、通信システムが、通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストのうちの少なくとも一部が通信デバイスで生成される方法が提供される。この方法は、所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように第1セキュリティコンテキストを維持しながら、所与の通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、所与の通信デバイスのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部を通信デバイスで生成することを備える。
有利にも、本発明の例示的原理は、複数アクセス技術での同時モバイル登録を可能にするために、複数アクティブの明確に識別可能なセキュリティアソシエーションを維持する技術を提供する。
本発明のこれら、およびその他の目的、特徴ならびに利点は、添付の図面と併せて読まれるべき以下の本発明の例示的実施形態の詳細な説明から、明らかになるであろう。
本発明の1つまたは複数の実施形態による、複数アクセス技術環境の中の事前登録セキュリティサポートを組み込んだネットワーク参照モデルを示す図である。 本発明の1つの実施形態による第1アクセス技術のためのネットワークエントリー手順を示す図である。 本発明の1つの実施形態による第2アクセス技術のためのネットワークエントリー手順を示す図である。 本発明の1つの実施形態による複数アクセス技術環境の中の事前登録セキュリティサポートのための手順を示す図である。 本発明の1つの実施形態による複数アクセス技術環境の中の事前登録セキュリティサポートのための手順を示す図である。 本発明の他の実施形態による複数アクセス技術環境の中の事前登録セキュリティサポートのための手順を示す図である。 本発明の他の実施形態による複数アクセス技術環境の中の事前登録セキュリティサポートのための手順を示す図である。 本発明の1つまたは複数の実施形態による、複数アクセス技術環境の中で事前登録セキュリティサポートを実施するために適した通信システムの一部分の汎用ハードウェアアーキテクチャを示す図である。
「通信システム」という語句は一般に、通信デバイスおよび/またはネットワークノードが他の通信デバイスおよび/またはネットワークノードと通信/対話することを可能にし、それらを通して1つまたは複数の種類の媒体が輸送されることが可能な、1つまたは複数の通信ネットワークを含むように定義される。そのような1つまたは複数の種類の媒体(すなわちマルチメディア)は、限定されないが、テキストベースデータ、グラフィックベースデータ、音声ベースデータ(より一般的にはオーディオ型データ)およびビデオベースデータを含んでもよい。
さらに以下では、複数アクセス技術のために事前登録サポートを提供する本発明の例示的実施形態が2つの例示的アクセス技術であるWiMAXおよびWiFiに関して説明されているが、本発明はこれらの2つのアクセス技術に限定されず、また2つのアクセス技術とだけ使用することに限定されないということを理解されたい。すなわち本発明の原理は、限定されないがCDMA、GSM、UMTS、1xEV−DO、GPRSおよびEDGEなどの多くの異なるその他のアクセス技術に適用されてもよい。また、本発明の原理はEAPフレームワークで使用することに限定されないということも理解されたい。
さらに「セキュリティコンテキスト」および「セキュリティアソシエーション」という語句は本明細書ではほとんど同じ意味で使用され、一般に、通信システムに対してエンティティを認証する目的で生成される(例えば1つまたは複数のキーなどの)暗号化およびセキュアデータを指すものとして定義される。
また「サーバ」は本明細書で使用する際、一般に1つまたは複数のコンピューティングデバイスとして定義される。さらに「ノード」は、通信システムの中の専用コンピューティングデバイスのことを指すか、または1つまたは複数の他の機能を実行するコンピューティングデバイスの機能部分のことを指してもよいということを理解されたい。
例示的実施形態によって、(例えばモバイル端末などの)通信デバイスは、現在アクセスしているネットワークに対して認証を行うためにEAPを使用することができ、また他の利用可能なサポートされる技術への起こりうるハンドオフを見越して、そのアクセス技術に予め事前登録および事前認証することができる。このようにして、1つのアクセス技術から他のアクセス技術への通信セッションのハンドオフを決定するときには、対象とする技術の資源はすでに認可されており、ハンドオフプロセスの待ち時間は大幅に削減される。
ここで、論点となっている複数アクセス技術がWiFiとWiMAXを含む例示的実施形態について説明する。前述の例示的実施形態によって、2つの異種のアクセスネットワーク(アクセス技術)で重複する期間の同じHoA(ホームアドレス)セッションのために、同じEAP認証方式を同時に実行することが可能である。継ぎ目のないHO(ハンドオフ)を維持するために、この方式には両方のネットワークのために3つの共通のエンティティ、すなわちMS(移動局)およびそのサプリカント、AAA(認証、認可および課金)サーバならびにHA(ホームエージェント)サーバが伴う。
「サプリカント」は本明細書で使用する際、安全なアクセスサポート機能を実行するMS(通信デバイス)の一部、すなわち通信システムへアクセスするためのセキュリティコンテキストの作成に関与するMSの中の機能エンティティのことを指すということを理解されたい。以下に示すように、本発明の原理によって、通信デバイスは複数のサプリカントのインスタンスを作成し、それによって各サプリカントは別個のセキュリティコンテキストを作成して維持する。例えば、1つのサプリカントは第1アクセス技術に関連した第1セキュリティコンテキストを作成し、第2サプリカントは第2アクセス技術に関連した第2セキュリティコンテキストを作成してもよい。1つまたは複数のサプリカントは、実行可能命令符号、ハードウェア、またはそれらの組み合わせとしてMSの中で実装されてもよい。
図1は、WiMAXおよびWiFiネットワークの間のインターワーキングのためのネットワーク参照モデル(NRM)100の例を示す。「ネットワーク」または「通信ネットワーク」という用語は、本明細書では特定のアクセス技術に関して使用されているが、複数アクセス技術は「通信システム」全体のうちの一部と見なされることを理解されたい。
NRM100では、同一の複数モードワイヤレス端末(通信デバイス)MS102がWiMAX技術とWiFi技術の両方へのアクセスをサポートし、WiMAXネットワークへのアクセスがR1無線インターフェースを通じて行われることが仮定されている。ネットワークアクセスプロバイダ(NAP)106に属するアクセスサービングネットワーク(ASN)104は、バックホールIP(インターネットプロトコル)ベースのR3インターフェースを通じて、ネットワークサービスプロバイダ(NSP)110に属するコアサービングネットワーク(CSN)108に相互接続性を提供する。
IPセッションは、CSN108の中でMS102とホームAAAサーバ112の間の成功した認証を通じて認可される。この成功した認証の結果、AAAサーバ112およびMS102は相互にセキュリティアソシエーション(セキュリティコンテキスト)のセット、すなわち秘密キーをアクセスおよび移動性のセキュリティのために生成する。1つの実施形態では、そのようなセキュリティアソシエーションは、その開示が参照により本明細書に組み込まれているWiMAX NWGステージ3仕様書、WMF−T33−001−R015v01_Network−Stage3−Baseの中で定義されているように生成される。しかしながら、本発明はこれらの特定のセキュリティアソシエーションまたはコンテキストとともに使用することに限定されない。
アクセスセキュリティアソシエーションは、AAAサーバ112によってASN−GW(アクセスサービスネットワークゲートウェイ)サーバ114のオーセンティケータ機能に届けられるマスターセッションキー(MSK)に基づく。このオーセンティケータは、R1無線インターフェース上で暗号化および完全性保護のための特殊キーのセットを生成するためにMSKを使用する。
MSKに加えて、MS102およびAAAサーバ112もまた、AAAサーバを決して離れることのない拡張マスターセッションキー(EMSK)を生成する。このEMSKは、移動性を保護するための特殊ルートキー、MIP−RK(モバイルIPルートキー)を生成するために使用される。MIP−RKは次いで、モバイルIPノード間でモバイルIPメッセージの安全な署名を生成する方法によって、(その開示が参照により本明細書に組み込まれているIETF RFC3344、IP Mobility Support for IPv4(MIPv4)、2002年8月によって定義されるような)モバイルIPシグナリングを保護するために使用される。IPv6のためのIPモバイルサポートは、その開示が参照により本明細書に組み込まれているRFC3775、IP Mobility Support for IPv6(MIPv6)、2004年6月の中で定義されていることに留意されたい。
具体的には、MS102のモバイルノード(MN)とCSN108のホームエージェント(HA)116の間のメッセージは、MIP−RKから生成されたMN−HAキーを使用するMN−HA認証拡張子によって保護される。MNとASN−GWサーバ114のフォーリンエージェント(Foreign Agent)(FA)の間のメッセージは、MIP−RK等から作り出されたMN−FAキーを使用するMN−FA認証拡張子によって保護される。
「単純な」IPモバイル端末をサポートするために、アクセスネットワークのノードにMN機能が配置されることも可能である。このいわゆるプロキシモバイルIP機能(PMIP)は、モバイルが1つのASNから他のものへ移動するときにモバイルを追尾し、モバイルをHAに再登録し、したがってHA上でのIPセッションの連続性を維持する。PMIP MNのためのMN−HAキーは通常、EAPアクセス認証の成功した結果を示すAAAシグナリングとともにASNのPMIP MNに届けられる。
図2Aは、アクセス技術がWiMAXである場合のための初期ネットワークエントリー手順200の1つの実施形態を示す。示されているように、列挙された手順200のステップを参照すると:
1.WiMAX MS(通信デバイス)201は、例えば、その開示が参照により本明細書に組み込まれているWiMAXフォーラムネットワークアーキテクチャ仕様書、1.5版によって、WiMAX BS(基地局)202に接続し、WiMAX接続を確立する。
2.MS201はPKMv2および、以下のもの:EAP−TLS/TTLS/CHAPv2/AKAのうちの任意のものを含むことが可能なEAP方法を使用してWiMAX ASN203に対して認証を行う。MS201は自身を、アクセス認証の間にNAIを用いて識別する。WiMAX ASN203は、アクセス技術を識別するためのAAA要求の中にNAS型を含む。このEAP認証および認可ステップの終わりに、MS201でMSKが生成され、AAA205からWiMAX ASN203(ASN−GWオーセンティケータ)へ届けられる。
3.次いでMS201は、802.16(WiMAX)ネットワークに登録する。
4.次いでMS201は、DSA(動的サービス追加)要求/応答を使用してサービスフローを確立し、またASN203へのデータ経路登録を完了する。
5.MSは、ホストIP構成のためのDHCP(動的ホスト構成プロトコル)サーバを発見するために、DHCPDISCOVERメッセージを送信する。
6.ASN203の中のモビリティアクセスゲートウェイ(MAG)のPMIPv4クライアントまたはPMIPv6クライアントは、登録手順を開始するように起動される。EAP認証手順の間に使用されたものと同じNAIは、MIP RRQまたはBinding Updateメッセージの中で使用される。オプションの同時結合がサポートされ、起動されない限り、PMIPv4 RRQメッセージでは、「S」ビットが「0」に設定される。PMIPv6 PBUメッセージについては、ハンドオフインジケータオプションは値「1」(新しいインターフェースを介した添付)に設定されてもよく、アクセス技術型オプションは、その開示が参照により本明細書に組み込まれているRFC5213の中に明記されているように、値「5」(IEEE802.16e)に設定されてもよい。フィールドの残りの部分は、その開示が参照により本明細書に組み込まれている、WiMAXフォーラムネットワークアーキテクチャ、1.5版、PMIPv6ステージ3仕様書に従って初期化される。一般にMIPv4用語に関して知られているように、MIPv4クライアント、フォーリンエージェント(FA)およびホームエージェント(HA)が存在する。MIPv6用語では、MIPv6クライアントとホームエージェント(HA)は存在するが、FAは存在しない。プロキシMIPv4では、MIPv4クライアントはFAと同じ場所に設置される。PMIPv6では、PMIPv6クライアントはMAGと呼ばれるネットワーク要素の中に置かれ、HAはローカルモビリティエージェント(LMA)と呼ばれる。
7.SPI(セキュリティパラメータインデックス)によって識別されたMN−HAキーが利用可能でない場合、HA204はAAA205からMN−HAキーを要求する。
8.MN−HA SPIに関連したMN−HAキーは、MN−HA AE検証のためにHA204に返送される。
9.HA/LMA204は、PMIP RRPまたはPMIP PBUメッセージに応答する。一旦MN−A AEが検証されると、HA/LMA204はIPアドレスをMS201に割り当てる。割り当てられたMIP RRQ/PBUの中のHoA値が0.0.0.0である場合、HA204はHoAを割り当て、そうでない場合にはPMIP登録要求/PBUの中のHoAが使用される。これがMS201のための最初のエントリーである場合、HA/LMA204はMS201のために結合キャッシュを作成する。この時点で、ASN203とHA/LMA204の間でPMIPトンネルが確立される。
10.ASN203の課金クライアントはAcct−Request(start)メッセージをAAA205に送信する。
11.課金要求メッセージを受信すると、AAA205はAcct−Responseメッセージを課金クライアントに送信する。
12.ASN203のDHCPプロキシは、DHCPOFFERメッセージをMS201に送信する。
13.MS201は、DHCPOFFERで受信されたアドレス情報に加えて、DHCPプロキシへのDHCPREQUESTメッセージとともに受信された第1DHCPOFFERメッセージに応答する。
14.DHCPプロキシは、このIPアドレス、および、その開示が参照により本明細書に組み込まれているRFC2131で定義されているようなその他の構成パラメータの使用を、DHCPACKメッセージを送信することによって承認する。
15.ここでMS201は、アップリンク/ダウンリンクトラフィックが交換されることが可能なように、WiMAXネットワークに接続される。
同様の概念は、MS102が、この例の中でのIEEE802.11のWiFiプロトコルなどの他のアクセス技術を通じて動作する場合に使用される。EAPアクセス認証の結果として生成されるMSKが、IWK機能120と呼ばれる特殊インターフェースノードのワイヤレスインターフェース機能(WIF)118に配置される認証機能に届けられる場合を除いて、EAP認証は依然としてMS102とAAAサーバ112の間で実行される。IWK120に配置されるPMIP機能のためのMN−HAキーもまた、R3+インターフェースを介してAAA112から届けられる。
図2Bは、アクセス技術がWiFiである場合のための初期ネットワークエントリー手順220の1つの実施形態を示す。示されているように、列挙された手順220のステップを参照すると:
1.WiFi STA(通信デバイス)221は電源を入れられてWiFiシグナリングを捕らえ、次いでネットワークの発見および選択を実行する。
2.STA221は、WiFi AN222との802.11アソシエーションを確立する。
3.STA221は802.1X/EAPOL、およびEAP−TLSおよびEAP−AKAなどの様々なEAP方法を使用して、WiFi AN222に対して認証を行う。WiFi AN222は、後でWiFi STA221の代わりに認証を促進するWIF223のAAAプロキシにEAPメッセージを転送する。WIF223からのAAA要求は、アクセス技術を識別するNAS型を含む。認証の間、AAAサーバ225で生成されたMSKはWiFi AN222に転送され、次いでWiFi認証の終わりに、PMKまたはペアマスターキー(Pairwise Master Key)(エアインターフェースセキュリティのために使用される2番目のキー)はWiFi AN222のMSKから導き出される。
WiMAX−Session−IDおよびCUI(課金可能ユーザID)は、WIF223の課金クライアントに届けられる。
4.次いでSTA221は、WiFi AN222のオーセンティケータとともに、フォーウェイハンドシェイクを実施する。フォーウェイハンドシェイク手順の間、新しいペア一時キー(Pairwise Transient Key)(PTK)がPMKから導き出される。フォーウェイハンドシェイクが首尾よく完了すると、802.1xポートはブロック解除される。
5.STA221は、ホストIP構成のためのDHCPサーバを発見するために、DHCPDISCOVERメッセージを送信する。
6.WIF223の中のFA/MAGは、PMIP登録手順を開始するように起動される。EAP認証手順の間に使用されたものと同じNAIは、RRQ/Binding Updateメッセージの中で使用される。オプションの同時結合がサポートされ、起動されない限り、RRQメッセージでは、「S」ビットが「0」に設定される。PBUメッセージについては、ハンドオフインジケータオプションは値「1」(新しいインターフェースを介した添付)に設定されてもよく、アクセス技術型オプションは、RFC5213の中に明記されているように、(IEEE802.11a/b/gを示す)値「4」に設定されてもよい。フィールドの残りの部分は、上述のものと同じ方法で初期化される。
7.SPIによって識別されたMN−HAキーが利用可能でない場合、HA224はAAA225からMN−HAキーを要求する。
8.MN−HA SPIに関連したMN−HAキーは、MN−HA AE検証のためにHA224に返送される。
9.HA/LMA224は、RRP/PMIP PBUメッセージに応答する。一旦MN−A AEが検証されると、HA/LMA224はIPアドレスをSTA221に割り当てる。割り当てられたMIP RRQ/PBUの中のHoA値が0.0.0.0である場合、HA224はHoAを割り当て、そうでない場合にはPMIP登録要求/PBUの中のHoAが使用される。これがSTA221のための最初のエントリーである場合、HA/LMA224はSTA221のために結合キャッシュを作成する。この時点で、WIF223とHA/LMA224の間でPMIPトンネルが確立される。
10.WIF223の課金クライアントはAcct−Request(start)メッセージをAAA225に送信する。
11.課金要求メッセージを受信すると、AAA225はAcct−ResponseメッセージをWIF223の課金クライアントに送信する。
12.WIF223のDHCPプロキシは、DHCPOFFERメッセージをSTA221に送信する。
13.STA221は、DHCPOFFERで受信されたアドレス情報に加えて、DHCPプロキシへのDHCPREQUESTメッセージとともに受信された第1DHCPOFFERメッセージに応答する。
14.WIF223のDHCPプロキシは、このIPアドレス、およびその他の構成パラメータの使用を承認する。
15.ここでSTA221は、アップリンク/ダウンリンクトラフィックが交換されることができるように、WiFiネットワークに接続される。
他のアクセス技術を通して依然として動作中でありながら、1つのアクセス技術に事前登録することが、通信デバイス(MS/STA)にとって望ましい場合があることが認識されよう。このことは、トンネルを作って対象とするアクセス技術のシグナリングを現在サービス中のアクセス技術のシグナリングカプセルの中に通し、このカプセル化されたシグナリングを、IWK機能を通じて対象とするアクセス技術に届けることによって達成されてもよい。
しかしながら既存のEAPオペレーションによれば、このシグナリングは対象とするアクセス技術に達するときに、アクセスの認証を試み、そうする間に新しいMSKおよび新しいEMSKを含む新しいセキュリティアソシエーションを生成する。この新しいMSKはIWKに届けられ、MS/STAが実際に対象とする技術へのハンドオフを実行するまで、そのオーセンティケータの中に保持されることが可能である。しかしながら既存のEAPオペレーションでは、AAAの中のEMSKは現在のセッションに関連した現時点でアクティブのEMSKを置換し、MIP−RKなどのEMSKから計算された全ての第2キーもまた再計算されることになる。
これによって、ネットワークによって想定されるセキュリティアソシエーションとモバイルによって処理されるセキュリティアソシエーションとの間に格差が生じ、したがって接続が切断する。
この問題に対処するために、本発明の例示的原理は有利にも、複数アクセス技術での同時モバイル登録を可能にするために、複数アクティブの明確に識別可能なセキュリティアソシエーション(コンテキスト)を維持するために動作する。
本発明の例示的実施形態によって、AAAサーバ112はアクセス認証を求める要求を受信すると、どのアクセス技術からこの要求が来たのかを示す(ASN−GWサーバ114またはWIF118の中の)オーセンティケータのNAS(ネットワークアクセスサーバ)型を確認する。NAS型は、AAA RADIUS(その開示が参照により本明細書に組み込まれているIETF RFC2865、「Remote Authentication Dial In User Service」、2000年6月)およびダイアメータ(その開示が参照により本明細書に組み込まれているIETF RFC4005、「Diameter Network Access Server Application」、2005年8月)のシグナリングの標準的属性である。技術固有の情報を伴うAAAシグナリングを強化するためのいくつかのベンダー固有属性(VSA)は、各々のアクセス技術基準の中で定義される。例えば、WiMAXフォーラムはその固有のVSAを、その開示が参照により本明細書に組み込まれているステージ3文書、WMF−T33−00x−R015v01−J_Network−Stage3_V&Vの中で定義している。
オペレーションの中で、これが最初のネットワークアクセスであり、AAAサーバが、いかなるこのモバイルのための現時点でアクティブのセキュリティコンテキストも持たない場合、AAAサーバは通常のEAP認証手順を実施し、結果として生じるセキュリティコンテキストをアクティブとして保存する。すなわち上記のように、MSKは生成されてオーセンティケータに届けられ、EMSKは生成されて保存され、EMSKに関連した固有セキュリティパラメータインデックス(SPI)は生成されて保存され、MIP−RKおよびそのSPIは生成されて保存され、MN−HAおよびその関連MN−HA SPIは生成されて保存される。
オペレーションの中で、AAAサーバはすでにこのアクセス技術のためのセキュリティコンテキストを持つ場合、再認証を実施し、古いコンテキストを新しいコンテキストと置き換える。
しかしながら本発明の実施形態による改良型のオペレーションでは、AAAサーバはすでにこのアクセス技術のためのセキュリティコンテキストを持つ場合、再認証を実施し、このアクセス技術のためだけに古いコンテキストを新しいコンテキストと置き換え、その他の利用可能なセキュリティコンテキストをそのまま残す。
本発明の実施形態によるさらなる改良型オペレーションでは、AAAサーバがすでにこのモバイルのためのセキュリティコンテキストを持っているが、他のアクセス技術から要求が着ている場合、AAAサーバは、このモバイルのサブスクリプション記録を確認して、そのモバイルが対象とするアクセス技術からのアクセスが可能であり、そのために認可されているかどうかを検証し、そうでない場合要求を拒否する。
本発明の実施形態による他の改良型オペレーションでは、要求が複数モードMSに関連しており、アクセス技術がこのモバイルのためにサポートされ、認可される場合、AAAサーバはEAPアクセス認証を実施して、現在サービス中の技術のためのすでに存在しているコンテキストと同時に、新しいコンテキストを保存する。
本発明の実施形態によるさらなる改良型オペレーションでは、要求が、HAによって要求されるMN−HAキーなどのコンテキスト関連のパラメータのためにAAAサーバに来る場合、AAAサーバは、要求に含まれる関連したSPIに基づいて、どのコンテキストを使用するのかを判定する。
本発明の実施形態によるさらなる改良型オペレーションでは、固有のセキュリティコンテキストがその存続期間の終了、固有のアクセス技術での登録抹消、または任意のポリシー関連の制限のために失効する場合、AAAサーバは、他のアクティブのコンテキストを有効のままにしておきながら、この固有コンテキストを削除する。
本発明の実施形態によるさらなる改良型オペレーションでは、セッションが終了した後、全ての関連したセキュリティコンテキストは削除される。
同様の機能的論理は、複数モードモバイルデバイス(MS)が固有のアクセス技術にアクセスし、事前登録し、そのために認証される際に、固有のアクセス技術のためのセキュリティコンテキストを生成するMSに適用される。
したがって本発明の例示的原理は、同一のセッションのための任意の所与の時間に、MS(通信デバイス)と通信システムの間の複数アクティブのセキュリティアソシエーションを生成して、維持し、これらのコンテキスト、それらの使用、それらの置換およびそれら非推奨を明確に区別する方法を提供する。このように、1つの技術から他の技術へのハンドオフの性能を犠牲にすることなく、多数の対象とする技術への事前登録を可能にする。
したがって、本発明の例示的原理によって、アクティブモードでWiMAXまたはWiFiアクセスネットワークのいずれかに接続されながら、WiMAX/WiFi通信デバイスは代替アクセス技術(すなわちWiFiまたはWiMAX)に対して事前登録および事前認証することができる。アクティブのサービス中ネットワークでセキュリティコンテキストを維持するために、事前登録および事前認証が実行される異なるアクセス技術に関連した、同じデバイスのための第2セキュリティコンテキストをAAAは生成する。
同じNAI(ネットワークアクセス識別子)を使用して、各アクセス技術のための固有のセキュリティコンテキストを生成するために、各NASは認証ネットワークへのAAA要求メッセージの中でその型を報告する。AAAはAAA要求メッセージを受信すると、例えばネットワークアクセスサーバ(NAS)型などの報告されたアクセスネットワークの型を確認し、モバイルのNAIに基づいて、要求が最初のネットワークアクセスのためのものなのか、またはデバイスのためのさらなるセキュリティコンテキストを必要とする事前登録のためのものなのかを判定する。
最初のネットワークアクセスのために、AAAはEAP認証手順を実施し、結果として生じるセキュリティコンテキストおよびその関連したセキュリティパラメータインデックス(SPI)をデバイスのためのアクティブのものとして保存する。同様に、MSは計算されたセキュリティコンテキストを最初のネットワークアクセスに関連付ける。
異なるアクセス技術での事前登録の間に、二重モードデバイスのサプリカントは、(これもまた第2サプリカントによって処理されることが可能な)異なるアクセス技術に関連した第2セキュリティコンテキストを作り出す。同様にAAAは、デバイスが事前登録しているアクセス技術に関連した同じセッションのために第2セキュリティコンテキストを作り出す。
アクティブセッションの間に、AAAがすでに存在しているセキュリティコンテキストに関連した同じアクセス技術、すなわち同じNAIおよび(NAS型を通じて示される)同じアクセス技術からAAA要求を受信する場合、AAAは再認証を実施して、このセキュリティコンテキストを新しく生成されたものと置換する。
AAAがすでにデバイスのためのセキュリティコンテキストを持っているが、AAA要求が異なるアクセス技術から来る場合、AAAはデバイスのサブスクリプション記録を確認して、それが対象とするアクセス技術からのアクセスのために認可されているかどうかを検証し、その場合AAAはEAPアクセスの事前認証を実施する。EAP認証が首尾よく完了すると、AAAはその関連のSPIとともに第2セキュリティコンテキストを生成し、それをアクティブのセキュリティコンテキストと同時に保存する。
モバイルが異なるアクセス技術へのアクセスを認可されない場合、AAAはAAA要求を拒否する。
多数のネットワーク型(複数モードデバイス)にアクセスすることができるデバイスのために、固有のセキュリティコンテキストが存続期間の終了、またはアクセス技術のうちの1つでの登録抹消のために失効する場合、AAAおよびMS/STAは他の有効なコンテキストを保持しながら失効したコンテキストを削除する。
複数モードデバイスについては、セッションが終了する場合、全ての関連したセキュリティコンテキストはAAA、NASおよびMSで削除される。
図2Cは、WiMAXネットワークから802.11i WiFiネットワークへのハンドオーバ手順240の1つの実施形態を示す。このシナリオでは、最初にMS/STA二重モード単一無線(単一無線とは、1つのみのトランスミッタWiFiまたはWiMAXが任意の所与の時間に送信することができることを意味することに留意されたい)がWiMAXネットワークに接続されることが仮定されている。さらに、MSはWiFiネットワークの利用可能性およびインターワーキング機能について知ることが仮定されている。この時点で、1つまたは複数の判定基準に基づいて、MS/STAはWiFiネットワークへのハンドオーバを決定する。WiFiネットワークに基づくIEEE802.11iのためのWiMAXからWiFiへのハンドオーバ手順は手順240に示されているように、多数の段階(同様のステップは、WiFiネットワークの他の型のための簡単な方法で起動されることが可能なことに留意されたい)で構成される:
段階0:最初のWiMAXネットワークエントリー。モバイルデバイス(MS/STA241)は最初にWiMAXアクセスネットワーク242に接続される。最初のWiMAXネットワークエントリー手順は、図2Aのコンテキストの中で、上で詳細に説明されている。初期ネットワークエントリーの間、およびEAP手順が成功した後、MSKが生成される。これをMSK1(第1セキュリティコンテキストの一部)と呼ぶ。
段階1:対象とするネットワークの検出およびWiFi−SFF(シグナリング転送機能)の発見。MS/STA241は対象とするAP(アクセスポイント)を判定するためにWiFiネットワーク信号を検出し、DHCPまたはDNS手順を通じてWiFi−SFF243のアドレスを発見する。
段階2:トンネル設定およびEAP認証:
1.MS/STA241がWiFi−SFF243のアドレスを発見した後、MS/STA241はWiFi−SFF243へのIPトンネルを確立する。
2.トンネルを介したEAP認証手順は、その開示が参照により本明細書に組み込まれているIEEE802.11i仕様書に従い、以下で説明される:
− MS/STA241はオープンシステムアルゴリズムとともに認証要求フレームを対象とするAPに送信し、対象とするAPから認証応答フレームを受信する。フレームの中のBSSIDは、判定された対象とするAPのBSSIDでなければならない。WiFi−SFF243は、認証要求フレームの中のBSSIDに基づいて対象とするWiFiアクセスを発見し、フレームを対象とするネットワークに転送する。
− MS/STA241は、アソシエーション要求フレームをAPに送信することによって対象とするAPに結び付き、APからアソシエーション応答フレームを受信する。
− MS/STA241は、IPトンネルを介したEAP認証を開始するために、EAPOL−Startメッセージを対象とするWiFiアクセスネットワークに送信する。WiFi SFFは、このメッセージをWiFiアクセスネットワーク244に配置されたオーセンティケータに転送する。
− MS/STA241およびオーセンティケータサーバ(AAA)247は、MSK2(第2セキュリティコンテキストの一部)と呼ぶMSKを導出する。オーセンティケータサーバ247はMSK2を、対象とするWiFiネットワーク244の中のオーセンティケータ、およびWIF243のPMIPクライアントへの任意のモビリティキーに送信する。オーセンティケータは、802.11i仕様書によってMSK2からPMKを導出する。
3.MS/STA241は、WiFi SFF243とともに以前に作成されたIPトンネルを開放する。
段階3:WiFiへのハンドオーバ:
1.MS/STA241は、WiFiアクセスネットワークへのハンドオーバを決定する。WiFiインターフェースは電源を入れられ、WiMAXインターフェースはアイドルモードに入ってもよい。
2.二重モード単一無線MA/STA241は、先に導出されたPMKとともにマッピングするために、RSN(ロバストなセキュリティネットワーク)情報の中のPMKIDとともに、対象とするWiFi AN244へ再アソシエーションメッセージを送信する。
段階4:IPセッションの連続性。MS/STA241は、HA246に固定されたIPアドレスを要求して受信する。この場合、要求および応答メッセージは、インターワーキング機能WIF245のDHCPプロキシおよびPMIPクライアント/MAGによってプロキシされる。
図2Dは、WiFiネットワークからWiMAXネットワークへのハンドオーバ手順260の1つの実施形態を示す。このシナリオでは、最初にMS/STAがWiFiネットワークに接続されることが仮定される。さらに、MSはWiMAXネットワークの利用可能性およびインターワーキング機能について知ることが仮定されている。この時点で、1つまたは複数の判定基準に基づいて、MS/STAはWiMAXネットワークへのハンドオーバを決定する。WiFiからWiMAXへのハンドオーバ手順は、手順260に示されているように、多数の段階で構成される:
段階0:最初のWiFiネットワークエントリー(図2Dに示すステップ1)。最初に、MS/STA261はWiFiネットワークに接続される。最初のWiFiネットワークエントリー手順は、図2Bのコンテキストの中で、上で説明されている。初期ネットワークエントリーの間、およびEAP手順が成功した後、MSKが生成される。これをMSK1(第1セキュリティコンテキストの一部)と呼ぶ。その後、MS/STA261はWiMAXネットワークの利用可能性を検出し、インターワーキングサポートについて知る。この時点で、1つまたは複数の判定基準に基づいて、MS/STAはWiMAXネットワークへのハンドオーバを決定する。WiFiからWiMAXへの単一無線ハンドオーバのための手順全体は、4つの段階で構成される。
段階1:対象とするネットワークの検出およびWiMAX−SFFの発見(図2Dに示すステップ2)。MS/STA261はWiMAXネットワーク信号を検出し、WiMAX SFF263のアドレスを発見する。
段階2:トンネルの設定および事前初期ネットワークエントリー、すなわち事前登録段階(図2Dに示すステップ3から15)。MS/STA261はWiMAX−SFF263のアドレスを発見した後、WiMAXネットワークの中でWiMAX−SFF263へのトンネルを確立する。次いでMS/STA261は、MS/STA261とWiMAX−SFF263の間のトンネルを介して初期WiMAXネットワークエントリー手順を実行する。EAP手順が成功した後、MSKが生成され、AAA267によって送信される。これをMSK2(第2セキュリティコンテキストの一部)と呼ぶ。
段階3:アクティブまたはアイドル/アクティブ(図2Dに示すステップ16から32)を含む無線ハンドオーバアクション。MS/STA261は、ASN265に存在する対象のBS264へのハンドオーバ手順を実行する。MS/STA261はASN265の中の対象とするBS264へのハンドオーバを決定する場合、WiMAXに向けられた「SRハンドオーバアクション」手順を実行する。
段階4:ネットワーク資源の解放。MS/STAが上記段階で、HA266からIPアドレスを得た後、前のネットワークはネットワーク資源を解放する。
1つまたは複数の例示的実施形態では、標準的なステップおよび呼び出しフローは、WiMAXフォーラムのネットワーク作業グループによって定義された3G−WiMAXハンドオーバ手順/呼び出しフローに類似してもよく、またそれと合わせられてもよい。
図3は、本発明による複数アクセス技術環境で事前登録セキュリティサポートを実施するために適した通信システムの一部分の汎用ハードウェアアーキテクチャ300を示す。図3は2つのみのエンティティを示しているが、他のエンティティが同じ、または同様の構成を持つことができることを理解されたい。したがって上述の事前登録セキュリティサポートに関して、2つのエンティティはモバイル加入者通信デバイス(図1のMS102、および図2Aから2DのMS/STA)およびAAAサーバ(図1のAAAサーバ112、および図2Aから2DのAAA)であってよい。しかしながら、図1に示す他の構成要素は、図3のコンピューティングデバイスの中に示されるものと同じ、または同様のアーキテクチャとともに実装されてもよい。したがって、簡略化するために、本発明の方法に加わってもよいすべてのデバイスは図3の中には示されない。
示されているように、302と指定される通信デバイスおよび304と指定されるAAAサーバは、通信システム部分306に関連した少なくとも2つのアクセスネットワークを介して結合される。これは、図1に示す他の構成要素のうちの1つまたは複数を含んでもよく、またネットワーク事業者によって操作されるセルラー通信ネットワークなど、公的にアクセス可能な広域通信ネットワークを含んでもよい。しかしながら、本発明は特定の型のネットワークに限定されない。通常、通信デバイスは、限定はされないが携帯電話、スマートフォン、デスクトップ電話、携帯情報端末、ラップトップコンピュータ、パーソナルコンピュータ等であることが可能である。
当業者には容易に明らかであるように、サーバおよび通信デバイスは、コンピュータプログラム符号の制御の下で動作するプログラムされたコンピュータとして実装されてもよい。コンピュータプログラム符号は(例えばメモリ等の)コンピュータ可読ストレージ媒体の中に保存され、符号はコンピュータのプロセッサによって実行される。この本発明の開示を考えると、当業者であれば、本明細書で説明されるプロトコルを実装するために適切なコンピュータプログラム符号を容易に作り出すことができる。
それにも関わらず、図3は、通信システム306に関連した少なくとも2つのアクセスネットワークを介して通信する各デバイス/サーバのための例示的なアーキテクチャを大まかに示す。示されているように、通信デバイス302はI/Oデバイス308−A、プロセッサ310−Aおよびメモリ312−Aを備える。AAAサーバ304はI/Oデバイス308−B、プロセッサ310−Bおよびメモリ312−Bを備える。「プロセッサ」という用語は本明細書で使用される際、限定されないが1つまたは複数の信号プロセッサ、1つまたは複数の集積回路等を含む、中央処理ユニット(CPU)またはその他の処理回路を含む1つまたは複数の処理回路を含むことが意図されていることを理解されたい。また「メモリ」という用語は本明細書で使用される際、RAM、ROM、(例えばハードドライブ等の)固定メモリデバイスまたは(ディスケットまたはCDROM等の)取り外し可能メモリデバイスなど、プロセッサまたはCPUに関連したメモリを含むことが意図されている。さらに、「I/Oデバイス」という用語は本明細書で使用される際、データを処理ユニットに入力するための1つまたは複数の(例えばキーボード、マウス等の)入力デバイスとともに、関連した結果を処理ユニットに与えるための1つまたは複数の(例えばCRTディスプレイ等の)出力デバイスも含むことが意図されている。
したがって、本明細書で説明される本発明の方法を実行するためのソフトウェア命令または符号は、例えばROM、固定または取り外し可能メモリ等の関連したメモリデバイスのうちの1つまたは複数の中に保存されてもよく、利用される準備ができると、RAMにロードされ、CPUによって実行される。
本明細書では、添付の図面を参照して本発明の例示的実施形態が説明されてきたが、本発明はそれらの寸分違わぬ実施形態に限定されることはなく、様々な他の変更および修正が、本発明の範囲または精神から逸脱することなく当業者によって行われてもよいということを理解されたい。

Claims (10)

  1. 通信システムのコンピューティングデバイスで使用するための方法であって、通信システムが、所与の通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストの少なくとも一部が所与の通信デバイスのためのコンピューティングデバイスで生成され、
    1セキュリティコンテキストを維持しながら所与の通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、そして所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように、所与の通信システムのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部をコンピューティングデバイスで生成するステップを備え
    第2のセキュリティコンテキストが、第1アクセス技術から第2アクセス技術へのハンドオーバを行う決定がなされる前に生成される、方法。
  2. コンピューティングデバイスが、
    所与の通信デバイスのための第1アクセス技術から、再認証手順の開始を求める要求を受信するステップと、
    成功した再認証手順に応答して、第1アクセス技術のための所与の通信デバイスのために新しいセキュリティコンテキストの少なくとも一部を生成するステップと、
    第1セキュリティコンテキストを新しいセキュリティコンテキストと置換するステップとをさらに備える、請求項1に記載の方法。
  3. コンピューティングデバイスが、第2セキュリティコンテキストを生成する前に、所与の通信デバイスが第2アクセス技術からのアクセスのために認可されているかどうかを検証するステップをさらに備える、請求項1に記載の方法。
  4. コンピューティングデバイスが、(i)1つまたは複数のセキュリティコンテキストが失効する場合、および(ii)1つまたは複数のセキュリティコンテキストが1つまたは複数のアクセス技術で登録抹消される場合のうちの少なくとも1つの場合に、1つまたは複数のセキュリティコンテキストを削除するステップをさらに備える、請求項1に記載の方法。
  5. コンピューティングデバイスが、通信デバイスが通信システムにアクセスしているセッションが終了する場合に、任意の対応するセキュリティコンテキストを削除するステップをさらに備える、請求項1に記載の方法。
  6. 通信デバイスが、第1アクセス技術を介して通信システムにアクセスしたものと同じ通信セッションの中で、第2アクセス技術を介して通信システムにアクセスする、請求項1に記載の方法。
  7. コンピューティングデバイスが、通信システムの中でネットワークサービスプロバイダによって管理される認証サーバを備える、請求項1に記載の方法。
  8. 通信システムのコンピューティングデバイスで使用するための装置であって、通信システムが、所与の通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストの少なくとも一部が所与の通信デバイスのためのコンピューティングデバイスで生成され、
    メモリと、
    メモリに結合され、第1セキュリティコンテキストを維持しながら所与の通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、そして所与の通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように、所与の通信デバイスのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部をコンピューティングデバイスで生成するために構成されたプロセッサとを備え
    第2のセキュリティコンテキストが、第1アクセス技術から第2アクセス技術へのハンドオーバを行う決定がなされる前に生成される、装置。
  9. 通信システムの通信デバイスで使用するための方法であって、通信システムが、通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストの少なくとも一部が通信デバイスで生成され、
    1セキュリティコンテキストを維持しながら通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、そして通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように、通信デバイスのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部を通信デバイスで生成するステップを備え
    第2のセキュリティコンテキストが、第1アクセス技術から第2アクセス技術へのハンドオーバを行う決定がなされる前に生成される、方法。
  10. 通信システムの通信デバイスで使用するための装置であって、通信システムが、通信デバイスが通信システムにアクセスすることを可能にするための2つ以上のアクセス技術をサポートし、通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを可能にする第1セキュリティコンテキストの少なくとも一部が通信デバイスで生成され、
    メモリと、
    メモリに結合され、第1セキュリティコンテキストを維持しながら通信デバイスが少なくとも第2のアクセス技術を介して通信システムにアクセスするために事前登録されるように、そして通信デバイスが第1アクセス技術を介して通信システムにアクセスすることを継続することができ、その後第2アクセス技術を介して通信システムにアクセスするために事前登録されるように、通信デバイスのための少なくとも第2のセキュリティコンテキストのうちの少なくとも一部を通信デバイスで生成するために構成されたプロセッサとを備え
    第2のセキュリティコンテキストが、第1アクセス技術から第2アクセス技術へのハンドオーバを行う決定がなされる前に生成される、装置。
JP2012526858A 2009-08-24 2010-08-20 複数技術インターワーキングでの事前登録セキュリティサポート Active JP5378603B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US27500809P 2009-08-24 2009-08-24
US61/275,008 2009-08-24
US12/652,315 2010-01-05
US12/652,315 US8429728B2 (en) 2009-08-24 2010-01-05 Pre-registration security support in multi-technology interworking
PCT/US2010/046118 WO2011028442A2 (en) 2009-08-24 2010-08-20 Pre-registration security support in multi-technology interworking

Publications (2)

Publication Number Publication Date
JP2013502879A JP2013502879A (ja) 2013-01-24
JP5378603B2 true JP5378603B2 (ja) 2013-12-25

Family

ID=43606348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012526858A Active JP5378603B2 (ja) 2009-08-24 2010-08-20 複数技術インターワーキングでの事前登録セキュリティサポート

Country Status (6)

Country Link
US (1) US8429728B2 (ja)
EP (1) EP2471289B1 (ja)
JP (1) JP5378603B2 (ja)
KR (1) KR101395416B1 (ja)
CN (1) CN102484790B (ja)
WO (1) WO2011028442A2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8429728B2 (en) 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking
US20110255465A1 (en) * 2010-04-16 2011-10-20 Chang Hong Shan Wimax voip service architecture
JP5378296B2 (ja) * 2010-05-10 2013-12-25 株式会社東芝 通信装置および通信方法
US8700782B2 (en) * 2010-08-18 2014-04-15 Microsoft Corporation Directing modalities over different networks in multimodal communications
WO2012096457A2 (ko) * 2011-01-10 2012-07-19 엘지전자 주식회사 다중 무선접속기술을 지원하는 무선 접속 시스템에서 데이터를 송수신하기 위한 방법 및 장치
US9137742B1 (en) * 2011-02-23 2015-09-15 Sprint Communications Company L.P. Selective authentication of user devices in wireless communication networks
JP5952427B2 (ja) 2012-01-11 2016-07-13 インターデイジタル パテント ホールディングス インコーポレイテッド Staとieee802.11ネットワークのアクセスポイントの間の加速されたリンクセットアップのための方法および装置
US9307470B2 (en) * 2012-07-10 2016-04-05 Futurewei Technologies, Inc. System and method for single radio handover
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US9363671B2 (en) 2013-03-15 2016-06-07 Qualcomm Incorporated Authentication for relay deployment
US9338136B2 (en) * 2013-12-05 2016-05-10 Alcatel Lucent Security key generation for simultaneous multiple cell connections for mobile device
US10433163B2 (en) * 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
US10904757B2 (en) 2018-12-20 2021-01-26 HCL Technologies Italy S.p.A. Remote pre-authentication of a user device for accessing network services
US20230188988A1 (en) * 2020-05-06 2023-06-15 Lenovo (Singapore) Pte. Ltd. Gateway function reauthentication

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3854930B2 (ja) * 2003-01-30 2006-12-06 松下電器産業株式会社 一元管理認証装置及び無線端末認証方法
WO2006021236A1 (en) * 2004-08-26 2006-03-02 Ntt Docomo, Inc. Method and apparatus for supporting secure handover
CN101411115B (zh) * 2006-03-31 2012-06-06 三星电子株式会社 用于在接入系统间切换期间优化验证过程的系统和方法
JP4793826B2 (ja) * 2006-10-19 2011-10-12 Kddi株式会社 移動端末のハンドオーバにおける認証方法及びシステム
KR101490243B1 (ko) 2007-07-10 2015-02-11 엘지전자 주식회사 이종망간 핸드오버시 빠른 보안연계 설정방법
KR101467780B1 (ko) 2007-10-17 2014-12-03 엘지전자 주식회사 이기종 무선접속망간 핸드오버 방법
WO2009051405A2 (en) 2007-10-18 2009-04-23 Lg Electronics Inc. Method of establishing security association in inter-rat handover
US8166527B2 (en) * 2007-11-16 2012-04-24 Ericsson Ab Optimized security association database management on home/foreign agent
TWI410105B (zh) * 2008-12-01 2013-09-21 Inst Information Industry 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法
US8094621B2 (en) * 2009-02-13 2012-01-10 Mitsubishi Electric Research Laboratories, Inc. Fast handover protocols for WiMAX networks
US8429728B2 (en) 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking

Also Published As

Publication number Publication date
US20110047592A1 (en) 2011-02-24
KR20120051039A (ko) 2012-05-21
EP2471289A2 (en) 2012-07-04
EP2471289B1 (en) 2019-09-25
WO2011028442A3 (en) 2011-04-28
JP2013502879A (ja) 2013-01-24
KR101395416B1 (ko) 2014-05-14
CN102484790A (zh) 2012-05-30
US8429728B2 (en) 2013-04-23
WO2011028442A2 (en) 2011-03-10
CN102484790B (zh) 2015-03-18

Similar Documents

Publication Publication Date Title
JP5378603B2 (ja) 複数技術インターワーキングでの事前登録セキュリティサポート
US11463874B2 (en) User profile, policy, and PMIP key distribution in a wireless communication network
EP2174444B1 (en) Methods and apparatus for providing pmip key hierarchy in wireless communication networks
US7774828B2 (en) Methods for common authentication and authorization across independent networks
US8887251B2 (en) Handover method of mobile terminal between heterogeneous networks
US8385549B2 (en) Fast authentication between heterogeneous wireless networks
US8331287B2 (en) Method and system for managing mobility in a mobile communication system using mobile internet protocol
US20070191014A1 (en) Authentication mechanism for unlicensed mobile access
US20070124587A1 (en) Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal
US8571211B2 (en) Method and apparatus for generating security key in a mobile communication system
WO2008052470A1 (fr) Procédé d'établissement de mécanisme de sécurité d'appareil ip mobile, système de sécurité et dispositif correspondant
US20080287102A1 (en) Method and system for managing mobility of mobile station in a mobile communication system using mobile ip

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130430

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130925

R150 Certificate of patent or registration of utility model

Ref document number: 5378603

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250