JP5804439B2 - Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法 - Google Patents
Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法 Download PDFInfo
- Publication number
- JP5804439B2 JP5804439B2 JP2014535436A JP2014535436A JP5804439B2 JP 5804439 B2 JP5804439 B2 JP 5804439B2 JP 2014535436 A JP2014535436 A JP 2014535436A JP 2014535436 A JP2014535436 A JP 2014535436A JP 5804439 B2 JP5804439 B2 JP 5804439B2
- Authority
- JP
- Japan
- Prior art keywords
- host
- hnr
- lns
- response
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5084—Providing for device mobility
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
第一の応答は,DNRのPK,DNRの秘密鍵を使用して作成したDNRの署名をさらに備え,DNRのPKおよびDNRの署名は,DNRからの第一の応答を検証することに使用される。HNRのPKは,HNR23からの第二の応答を検証するために使用される。
AA15は,第一のホスト登録要求を受信し,その後,HNRからSHのIDとPKを取得するために,請求項1に記載されたホスト名解決を同様に行う。AA15は,SHによって送信されたホスト情報と,HNRから得られたホスト情報が同じであることを検証する。AA15は,AAがサポートできる完全性チェックアルゴリズムの種類に基づいて,完全性チェックアルゴリズムを選択する。AA15は,アクセスIDおよびシークレットアクセスキーを割り当てる。AA15は,完全性チェックアルゴリズム,アクセスIDおよびシークレットアクセスキーを含む第一のホスト登録応答をSH12へ送信する。ここで,アクセスIDおよびシークレットアクセスキーは,SHのPKで暗号化される。
SH12は,第一のホスト登録応答を受信する。
第一GW13は,GW宛てのホスト登録メッセージを受信し,AA−GWshKeyを用いてこれを復号化する。第一GW13は,GLocをSH12に割り当て,第一GW13のメモリに,SHのGLocを保存する。第一GW13は,GWから、SHのGLocを含むホスト登録応答メッセージをAA15に送信する。LNS14は,LNS宛てのホスト登録メッセージを受け取り,AA−LNSshKeyを使用してこれを読み取り,LNS14は,SHのホスト名,SHのID,SHのLLoc,SHのPKおよびアクセスキーを保存する。LNS14は,LNSからホスト登録応答メッセージをAA15へ送信する。AA15は,SHのGLocを含む第二のホスト登録応答をSH12に送信する。SH12は,第二のホスト登録応答を受信する。
図2は,ホスト名解決手順のフローチャートを示す。ホスト名解決のための方法は,ターゲットホストのホスト名によって検索された時に,ターゲットホストのID,ロケータ,公開鍵(PK)を取得する手順である。図2において,Sはステップを表している。図2に示すように,THのID,THのロケータ,THのPKが一つ以上得られるよう,SH12はホスト名解決クエリをLNS14へ送信する(ステップ101)。SH12は始めにTH31のホスト名を知っているが,TH31と通信するために必要なすべての情報を知っているわけではない。ホスト名解決要求は,ホストがLNSと共有しているアクセスキーを使用して計算したHMAC(Hash−based message authentication code)によって,完全性が保護されている。
そして,LNS14は,HNRの情報を使用して,第二のクエリをHNR23に送信する(ステップ106)。第二のクエリは,THのID,THのロケータおよびTHのPKをLNS14に提供することをHNR23に要求する。
図3は,ネットワークアクセス手順のフローチャートを示している。ネットワークアクセス手順には,ホスト(例えば,SH)が他のホストと通信することを許可する前に,ネットワークによってホストが認証されることが含まれる。また,ネットワークアクセス手順は,ホストとネットワークの間で交換されるメッセージを保護するために使用される,ホストとネットワークにおけるセキュリティコンテキスト(アクセスIDとアクセスキーからなる)を作成する。
通信セッションのセキュリティ手順において,SH12およびTH31は互いに認証し合い,第三者によるデータの変更を防ぐことによってデータの完全性を保護する。
このセクションでは,三つのステップで,本発明の第一の実施例を説明する。最初のセクションでは,ネームレジストリのセキュリティについて記載する。第二のセクションでは,ネットワークアクセスのセキュリティについて記載する。最後のセクションでは,データ通信を安全にするためのセキュリティ方法について記載する。
ネームレジストリは,2つのタイプのレジストリ,すなわちDNRとHNRによって構成される[HIMALIS]。DNRは,ドメイン名(例えば,idloc.nwgn.jp)と,HNRのIDおよびロケータとの間のマッピングを保存する。一方,HNRは,ホスト名と,ホストのホストID,ロケータ,PKおよび他のパラメータとの間のマッピングを保存している。
以下は,(idloc.nwgn.jpゾーンの)DNRレコードの例である。
_hnr._udp.east.idloc.nwgn.jp 3600 IN SRV 0 0 2900 east.idloc.nwgn.jp
(これはeast.idloc.nwgn.jpドメインのHNRが,UDPポート番号2900を使用することを意味する。)
_hnr._tcp.east.idloc.nwgn.jp 3600 IN SRV 0 0 2900 east.idloc.nwgn.jp
(これはeast.idloc.nwgn.jpドメインのHNRが,TCPポート番号2900を使用していることを意味する。)
east.idloc.nwgn.jp IN HID FFFF−FFF0−0001−FF01−3EA3−82D2−B948−B35C
(このレコードは,FFFF−FFF0−0001−FF01−3EA3−82D2−B948−B35CなどHNRのホストIDを指定する。)
east.idloc.nwgn.jp IN A 133.32.149.1
(このレコードは,133.32.149.1としてHNRのIPv4ロケータを指定する)。
east.idloc.nwgn.jp IN AAAA 2001:BEEF::1001:1
(このレコードは,2001:BEEF::1001:1として,HNRのIPv6ロケータを指定する。)
east.idloc.nwgn.jp <TTL> IN DS <key tag> <algorithm> <digest of HNR‘s DNSKEY>
(このDelegate Signer recordは,HNRのDNSKEYに署名する権威のシグネチャを与える。これらのパラメータの説明は,RFC4035に記載されている。)
east.idloc.nwgn.jp <TTL> IN DNSKEY <protocol value> <public key algorithm> <HNR public key>
(このDNSKEYレコードは,HNRレコードに署名するために使用されているHNRの公開鍵の値を提供する。署名は,RRSIGレコードに保存されている。)
host01♯ east.idloc.nwgn.jp IN HID FFF−FFFF−0001−FF01−3EA3−82D2−B948−B35C
host01♯ east.idloc.nwgn.jp IN A 133.243.119.192
host01♯ east.idloc.nwgn.jp IN AAAA 2001:BEEF::2001:1
host01♯east.idloc.nwgn.jp IN PK <公開鍵;パラメータはDNSKEYと同様である。)
HNR登録メッセージを送信することによって,HNRは,そのID,そのGLoc,そのPKおよび他のパラメータをDNRに保存する。HNR登録メッセージの形式は,DNS UPDATE[RFC2136は,「http://www.ietf.org/rfc/rfc2136.txt」で入手できる]で規定されている動的DNS更新メッセージと同様である。メッセージが途中で変更されること防ぐために,メッセージにはTSIG[RFC2845で規定されており,「http://www.ietf.org/rfc/rfc2845.txt」で入手できる]が含まれている。TSIG(Transaction SIGnature)とは,コンピュータネットワークプロトコルである。これは,動的DNSデータベースへの更新を認証する手段を提供するために,ドメインネームシステム(DNS)で主に使用される。
ホストは,図5で規定された形式のホスト登録メッセージを送信することにより,そのホスト名,ID,ロケータ,PKおよび他のパラメータをHNRに保存する。メッセージは,2つの部分,すなわち基本ヘッダおよびパラメータフィールド,を有する。基本ヘッダは32バイトのサイズを持ち,以下のフィールドで構成されている。
メッセージタイプ(2バイト):メッセージのタイプを指定する。HNRにホスト登録をするために,メッセージタイプは1に設定される。(注:同じメッセージヘッダが,ホスト名解決[メッセージタイプ=3]と,GWにおけるピアホスト登録[メッセージタイプ=2]にも使用される。)
メッセージ長(2バイト):基本ヘッダおよびパラメータの両方を含むメッセージの長さを指定する。
予備(2バイト):このフィールドは,本発明の将来的な拡張のための予備である。
制御フラグ(2バイト):このフィールドは,メッセージに関連付けられている追加的な意味を指定するために使用される。各フラグは1ビットの長さである。以下のフラグが定義されている。
メッセージが「要求」メッセージであることを示す場合には,Rを1に設定する。R=0の場合には,メッセージは応答メッセージである。要求メッセージおよび応答メッセージは,同じシーケンス番号およびアクセスIDを有している。
ホスト名,ホストID,ロケータまたは他のパラメータの「新たな」登録のためのメッセージであることを示す場合には,Nを1に設定する。
登録の「更新」のためのメッセージであることを示す場合には,Uを1に設定する。
登録の「終了」のためのメッセージであることを示す場合には,Tを1に設定する。
ID,ロケータまたは他のパラメータをGWに登録する要求であることを示す場合には,Gを1に設定する。
ID,ロケータまたは他のパラメータをローカルネームサーバ(LNS)に登録するための要求であることを示す場合には,Sを1に設定する。
ID,ロケータまたは他のパラメータをHNRに登録する要求であることを示す場合には,Hを1に設定する。
送信側が受信側から受信通知を受信することを望むことを示す場合には,要求メッセージのみAを1に設定する。
「ピア」ホストのホスト名,ID,およびロケータをGWに登録するための要求メッセージでは,Pを1に設定する。
シーケンス番号(4バイト):メッセージのシーケンス番号を指定する。
アクセス識別子(4バイト):ホストがネットワークに接続する際にアクセスネットワークによって与えられたアクセス識別子を指定する。シーケンス番号とアクセス識別子の組み合わせは,メッセージを一意に識別する。
ホスト解決プロセスは,要求(またはクエリ)メッセージおよび応答(または返答)メッセージのシーケンスを含む(図6参照)。これらのメッセージは,アプリケーション層から交換される。ホスト名解決と応答メッセージは,DNSクエリおよび応答で使用されるのと同じポート番号を使用してもよい。図には,2つの例が含まれている:(1)LNSが,ターゲットホストのIDおよびロケータをGWに登録する場合(ホスト登録要求メッセージにおいて,Gフラグが1に設定されているため),および(2)送信元ホストが,ターゲットホストのIDおよびロケータをGWに登録する場合(ホスト登録要求において,G=0であるため)。このプロセスは,他のホスト(ターゲットホストと呼ばれるホスト,すなわちTH)のホストID,ロケータ,またはPKについて知ろうとしているホスト(送信元ホストと呼ばれるホスト,すなわちSH)によって開始される。ホスト名解決にあたり,送信元ホストは,最初にターゲットホストのホスト名のみしか知らない。送信元ホストは,THのホスト名を含むホスト名解決要求を送信し,リソースレコード(RR)としてHNRからTHのID,ロケータ,およびPKを含む応答の返信を受ける。送信元ホストは,ターゲットホストとの通信セッションを開始するために,ターゲットホストのID,ロケータおよびPKを使用する。
(a)送信元ホストは,ターゲットホストのID,ロケータまたはPKを得るためのホスト名解決要求を送信する。それは,送信元ローカルネットワークがサポートできるロケータタイプを要求する。(例えば,送信元ローカルネットワークが,IPv4(またはIPv6)プロトコルのみをサポートしている場合には,送信元ホストは,ターゲットホストのIPv4(またはIPv6)ロケータのみを取得するためのホスト名解決要求を発行する。送信元ローカルネットワークが,IPv4とIPv6の両方のプロトコルをサポートしている場合には,送信元ホストは,ターゲットホストのIPv4とIPv6の両方のロケータを取得するためのホスト名解決要求を発行する。)
ネットワークアクセスとは,ネットワークサービスを使用する前に,ユーザデバイスやホストがネットワークに接続されるプロセスである。
(数か国にわたる可能性もある)広範囲に広がるインターネットのような大規模ネットワークは通常,2種類ネットワーク,すなわち,エッジネットワークおよびバックボーンネットワーク,で構成されている。エッジネットワークは,ユーザデバイスまたはホストへのネットワーク接続を提供する。一方,バックボーンネットワークは,2つ以上のエッジネットワーク同士を接続する。本発明においては,エッジネットワークはアクセスネットワークとも呼ばれており,バックボーンネットワークはコアまたはグローバルネットワークとも呼ばれている。ローカルネットワークにおけるデバイスのロケータ(すなわち,位置識別子)は,ローカルロケータ(LLoc)と呼ばれており,グローバルネットワークにおけるデバイスのロケータは,グローバルロケータ(GLoc)と呼ばれている。ホストは,ホスト自身のGLocとして,GWのGLocを使用することを許可されている。
この節では,ホストが初めてネットワークに接続される手順について説明する。手順は,図9Aおよび図9Bに示されている。これらのメッセージは,アプリケーション層から交換される。これらは,いくつかの未使用のポート番号を使用してもよい。あるいは,それらは,IDレイヤから交換することができる。
ホストは初めてスイッチを入れられると,ホストは最初に(ユーザ名,使用法,日付,場所などに関連する属性を使用して,自身でまたはその所有者/管理者の助けを借りて)そのローカルホスト名,およびそのPKを設定する。
この節では,ホストがネットワークに接続される手順について説明する。手順は,図10Aおよび図10Bに示されている。これらのメッセージは,アプリケーション層から交換される。DHCPは,クライアントのためにポート番号446を使用し,サーバプロトコルのためにポート番号447を使用する。いくつかの未使用のポート番号は,ホスト登録メッセージのために使用されることができる。あるいは,ホスト登録メッセージは,識別層から交換されることができる。この手順のステップは,ホストの初回登録のために前節に記載したものと同様である。以下の段落では,異なる点についてのみ説明する。
送信元ホストがターゲットホストと通信しようとする場合には,前者はまず,前のセクションで説明したようにホスト名解決手順を用いることによって,ターゲットホストのホスト名を解決する。そして,送信元ホストは,共有秘密鍵などのセキュリティパラメータを折衝するのと同様にして,そのホスト名,IDおよびロケータを知らせるために,制御シグナリングパケットをターゲットホストと交換する。セキュリティパラメータは,ホストが,ホスト間で交換されるシグナリングとデータパケットを保護するために使用するセキュリティコンテキストを構成する。これらの制御パケットは,アプリケーション層から,または識別層のいずれかから交換することができる。それは実装に依存している。しかし,我々は,識別層における実装が,より効果的であると考えている。
識別ヘッダすなわちIDヘッダは,2つの部分,すなわち基本ヘッダおよびオプショナルなパラメータを有する。
ヘッダ長(1バイト):オプショナルなパラメータを含むIDヘッダの長さを指定する。
P(1ビット):パケットが任意の上位層ペイロードを含んでいる場合を指定する場合には,1に設定される。
タイプ(7ビット):識別層のパケットタイプ(pタイプ),すなわち,パラメータフィールドが有する制御メッセージのタイプ,を指定する。
バージョン(4ビット):識別層プロトコルのバージョンを指定する。
C(1ビット):IDヘッダが制御メッセージ(パラメータフィールドが有する)を有する場合には,1に設定される。
チェックサム(2バイト):パラメータフィールドが有するID基本ヘッダや制御メッセージをカバーするチェックサムを指定する。
制御フラグ(2バイト):IDの性質や,ロケータとそれらのマッピング(持続的/一時的,アノニマス等)などの追加的な制御情報を指定する。二つのフラグSとAは,以下のように定義されている。S=1は,識別層に実装されたセキュリティ機能が使用されていることを示している。A=1は,送信元ホストが送信先ホストに1パケットのみを送信しようとしており,したがって,送信先ホストまたはGWは,送信元ホストのID/ロケータマッピングを保存する必要が無いということを示している。
|S| 予備 |A|
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
ネットワークアプリケーションが,識別層からのセキュリティサービスを要求しない場合には,通信セッションを確立するために交換される制御パケットのシーケンスは,図12に示されており,以下に説明する。
グローバルネットワークから受信したパケットの識別ヘッダにおいて,T−GWは,まず,pタイプフィールドの値をチェックする。pタイプが1であった場合には,Aフラグをチェックする。A=0であった場合には,SHのID/GLoc(IDは,識別ヘッダの送信元IDフィールドに記載されており,GLocは,識別ヘッダパラメータフィールドに記載されている)がそのIDテーブルにキャッシュされる。そして,T−GWは,(送信先ロケータフィールドにおけるTHのLLocと,送信元ロケータフィールドにおける自身のLLocを使用することによって)ネットワークヘッダを変換し,パケットをTHに転送する。
T−GWは,T−GWのIDテーブルに,SHのID/GLocを保存するために,THからの明示的なシグナリングを必要とする。この方法では,THが通信初期化要求パケット(pタイプ=1)を受信した場合に,ホスト名解決セクションにてすでに記載したピアホスト登録を行う。
ネットワークアプリケーションが,識別層のセキュリティ機能を必要とする時には,通信初期化フェーズにおいて4つの制御パケットを交換することによって,送信元ホストとターゲットホストが,セキュリティパラメータ(セッション秘密鍵および完全性アルゴリズムなど)を折衝する。4つの制御パケットは,図14に示されている。
前節で説明した通信初期化プロセスを用いてホストにおいて確立されたセキュリティコンテキストは,データパケットの完全性および発信元の認証を提供するために使用される。
HIMALISアーキテクチャは,エッジネットワーク,グローバルトランジットネットワーク,および論理制御ネットワークから構成されており,図1に同様である。
エッジネットワークは,様々なエンドシステムやホストへのネットワークアクセスを提供する。エッジネットワークの各々は,例えば,異なる第3層,すなわち,L3プロトコルを使用してもよい。エッジネットワークは,以下のエンティティで構成されている。つまり,ゲートウェイ(GW),ローカルネームサーバ(LNS),認証エージェント(AA),およびホストである。
グローバルトランジットネットワークとは,あるエッジネットワークから別のエッジネットワークへとパケットを転送するために使用される,同一のネットワーク層プロトコル(グローバルネットワーク層プロトコルと呼ばれる)およびグローバルロケータのための単一の番号スペースを使用するサービスプロバイダーのバックボーンネットワークの集合体である。グローバルネットワークは,パケットヘッダ内の送信先ロケータに基づいて,パケットを転送するための高速リンクとルータで構成されている。ネットワークプロトコル変換は,ルータで発生しない。つまり,エッジネットワークとトランジットネットワークの境界に位置するGWのみが,その境界を越えて広がる通信のために,ローカルネットワーク層プロトコル(および/またはLLoc)を,グローバルネットワーク層プロトコル(および/またはGLoc)へ,およびその逆へ,と変換する。
論理制御ネットワークは,ホスト名,ID,GLocおよびセキュリティキーマッピングレコードを保存し提供するために,DNR(Domain Name Registry)とHNRからなるホスト名解決システムを含んでいる。DNRは,ドメイン名と,HNRのIDおよびロケータとの間のマッピングを保存する。一方,HNRは,ホスト名と,ホストのID,GLocおよびPKとの間のマッピングを保存する。HNRは移動しないため,DNRレコードは大抵は静的である。一方,ホストが移動に応じてそれらのGLocを変更した時にHNRレコードが更新される必要があるため,HNRレコードは動的である。各ドメイン名に対して,グローバルホスト名におけるドメイン名を共有するすべてのホストのレコードを保存する少なくとも一つの権威HNRが存在している。DNS構造は,静的マッピング情報を保存および取得するのに適しているので,DNRは,DNSのものと同様の階層構造で構築されている。HNRは,フラットな構造を持っている。
この段落と次の段落では,DNRとHNRにおけるID/ロケータマッピングレコードの登録および更新のためのセキュリティ機能について説明する。取得に対しても同様である。
メッセージの完全性を保護するためのTSIG(transactional signature)[RFC2845]を使用して,DNS UPDATE[RFC2136]によってDNSSEC[RFC4035]のリソースレコード(RR)が作成されるのと同様の方法で,DNRレコードは,HNRによって作成され,または更新される。次のセクションで説明する手順を用いてホストがエッジネットワークに接続する時に,ホストによってHNRレコードが作成され,または更新される。DNRとHNRの両者は,DNSリソースレコードと同様の形式でそれらのレコードを保存する。
HNRレコードは,図16に示すように,要求(またはクエリ)および応答(または返答)のシーケンスを含むホスト名解決手順を実行することによって取得される。矢印は,メッセージがあるエンティティから別のエンティティへと流れることを示しており,角括弧内の値は,メッセージに含まれるパラメータを示している。この手順は,別のホストとのセッションを開始するために別のホスト(ターゲットホストと呼ばれる)のID,ロケータ,およびPKについて知ろうとしているホスト(送信元ホストと呼ばれる)によって開始される。ホスト名解決のために,送信元ホストは,最初は,ターゲットホストのホスト名のみを知っている。送信元ホストは,ターゲットホスト名を含むホスト名解決要求を送信し,そして,HNRからターゲットホストのID,ロケータ,およびPKを含む返答を受信する。
ホストによってアクセスネットワークエントリとの間で,またはHNRとの間で交換される制御メッセージのヘッダは,図17に示す。基本ヘッダは16バイト長と6つのフィールドで構成されている。つまり,タイプ(2バイト),長さ(2バイト),予備(2バイト),制御フラグ(2バイト),シーケンス番号(4バイト),およびアクセス番号(4バイト)である。メッセージタイプは,例えば,ホスト登録のためには1,ピアホスト登録のためには2,ホスト名解決のためには3などのメッセージのタイプを指定する。メッセージ長は,基本ヘッダおよびパラメータの両者を含むメッセージの長さを指定する。制御フラグは,メッセージに関連付けられている追加的な意味を指定する。R(要求のためには1/返答のためには0),N(新規登録),U(更新登録),T(登録の終了),G(GWへの登録),S(LNSへの登録)H(HNRへの登録),A(ack要求),およびP(ピアホスト登録)といったフラグビットが定義される。シーケンス番号はメッセージのシーケンス番号を指定し,アクセス識別子は,ネットワークアクセス時にホストがエッジネットワークから取得するホストのアクセスIDを指定する(後述する)。シーケンス番号とアクセス識別子の組み合わせは,メッセージを一意に識別する。
ネットワークアクセスセキュリティ機能は,ホストを認証し,自身の情報(主にIDおよびロケータ)を,AA,LNS,GW,およびHNRに安全に登録するためのものである。ホストには,アクセス識別子(accessID)およびアクセスキー(accessKey)も与えられており,これらは,メッセージおよびアクセスキーに対して計算されたHMACを含めることによって,後に続くシグナリングメッセージを保護するために使用される。図18Aおよび図18Bに示すように,ネットワークアクセス手順は,4つのステップ,すなわち,初期設定,認証,ローカル登録,およびHNRの更新から成る。AA,LNS,およびGWは同じ信頼ドメインに属しているため,我々は,AA,LNS,およびGWが,これらの間で交換されるメッセージを保護するために使用される,事前に共有された秘密鍵,AA−GWshKey,AA−NSshKey,およびLNS−GWshKeyを有していることを前提としている。
パケットの識別ヘッダに認証データを含ませることによって,通信セッションは安全にされる。この方式では,パケットの発信元の認証と完全性を保証する。認証データは,ホスト名解決プロセスに続くセッション開始フェーズの間に確立されたセキュリティコンテキストを使用することによって,計算される。
識別層ヘッダフォーマットを図19に示す。基本ヘッダのサイズは,40バイト長であり,可変サイズのオプショナルなパラメータフィールドは,他の制御メッセージ,例えばセキュリティパラメータの折衝メッセージやモビリティシグナリングメッセージの他に,認証データを入れるために使用される。基本的なヘッダフィールドは,以下のものである。次ヘッダ(1バイト)は,パケットのペイロードの次のヘッダのプロトコル番号(通常はトランスポートプロトコル番号)を指定する。ペイロードが無い場合には,次ヘッダ=NO_NXT_HDR(59)となる。ヘッダ長(1バイト)は,オプショナルなパラメータを含むIDヘッダの長さを指定する。P(1ビット)は,パケットが,任意の上位層ペイロードを含むかどうかを指定する。タイプ(7ビット)は,IDレイヤパケットタイプ(pタイプ),すなわち,パラメータフィールドに入れられる制御メッセージのタイプを指定する。バージョン(4ビット)は,1である識別層プロトコルのバージョンを指定する。C(1ビット)は,IDヘッダが(パラメータフィールドで運ばれる)制御メッセージを有するかどうかを指定する。チェックサム(2バイト)は,ID基本ヘッダやパラメータをカバーするチェックサムを指定する。制御フラグ(2バイト)は,IDの性質や,ロケータとそれらのマッピング(持続的/一時的,アノニマス等)などの追加的な制御情報を指定する。フラグSは,識別層に実装されたセキュリティ機能が使用されていることを示すために,1に設定されている。
アプリケーションが,識別層からセキュリティを必要するとき,送信元ホスト(SH)とターゲットホスト(TH)は,図20に示すように,識別層から4つの制御パケットを交換することによって,セキュリティコンテキスト(例えば,セッション秘密鍵および完全性チェックアルゴリズムのような)を確立する。SHは,送信元と送信先のIDとして識別ヘッダにSHとTHのID,SHのホスト名,PK,SHおよびTHのGLoc,および完全性チェックアルゴリズムのリストをパラメータフィールドに含み,Sフラグが1であり,pタイプが1である通信初期化要求メッセージを送信する。ネットワーク層ヘッダにおいて,SHのLLocとS−GWのLLocは,送信元および送信先ロケータフィールドで使用さる。パケットが送信元GW(S−GW)に到達すると,ホスト名解決の間に得られた,SHとTHのID/GLocのマッピングの両者を含むS−GWのIDテーブルを使用して,ネットワーク層ロケータ(プロトコル)をグローバルロケータに変換する。そして,ターゲットGW(T−GW)にパケットを転送する。THのID/LLocマッピングのためのT−GWのIDテーブルを参照することによって,T−GWは,再度ネットワーク層ヘッダを変換する。ネットワークヘッダでは,送信元ロケータではTHのLLocを使用し,送信先ロケータとしては自身のLLocを使用している。そして,パケットはTHに転送される。T−GWのIDテーブルには,まだ,SHのID/GLocマッピングが含まれていないことに注意されたい。そして,このマッピングが無ければ,THはSHに応答を返信することができない。SHのID/GLocをT−GWに登録するための方法としては,暗黙的ピアホスト登録または明示的ピアホスト登録の2つの方法がある。暗黙的ピアホスト登録においては,T−GWは,パケットヘッダからSHのID/GLocを抽出し,それをIDテーブルに保存する。一方,明示的な登録においては,THは,図に示すように,ピアホスト登録を行う必要がある。
SHの同一性を検証するために,THは,SHから受け取ったSHのホスト名,IDおよびPKを,ホスト名解決プロセスを行うことによってSHのHNRから取得した同様の値と比較する。検証が成功した場合には,THは,SHのパラメータを含む一時バッファを,セキュリティアソシエーションテーブル(SAT)にコピーする。また,通信初期化応答2メッセージで受信したsessKeyをSATに追加する。そして,セッション開始プロセスの結果を含めることによって,通信初期化完了メッセージを構成する。メッセージは,sessKeyを使用して計算したHMAC含めることによって保護される。通信初期化完了メッセージは,SHに送信される。
ネットワークアクセスセキュリティおよび通信セッションセキュリティの機能は,モビリティプロセスを安全にするために活用することができる。すなわち,ネットワーク接続プロセス中にホストとネットワークとの間において,またはセッション初期化プロセス中にホスト間において,確立されたセキュリティコンテキストは,ホストがあるエッジネットワークから別のエッジネットワークに移動する時に,モビリティ管理機能を安全に行うために使用することができる。モビリティ管理においては,モバイルホスト(MH)は,以下のシグナリング機能を実行する。つまり,(a)新しいエッジネットワークから新しいロケータを取得するためのネットワークアクセス,(b)ハンドオーバー中に,古いGWが,新しいGWにパケットを転送できるように,MHの新しいGLocにより古いGWを更新すること,(c)パケットが新しい場所に転送されるように,ピアまたは通信ホスト(CH)とそのGWを更新すること,(d)MHの新しいGLocによりMHのHNRを更新すること,および(e)古いエッジネットワークからグレースフルに切断することである。機能(a),(b),(d)および(e)は,ネットワークアクセスセキュリティに関連し,(c)は通信セッションのために設けられたセキュリティコンテキストを用いて安全に行うことができる。
11 エッジネットワーク
12 送信元ホスト(SH)
13 第一ゲートウェイ(GW)
14 ローカルネームサーバ(LNS)
15 認証エージェント(AA)
21 論理制御ネットワーク
22 ドメインネームレジストリ(DNR)
23 ホストネームレジストリ(HNR)
31 ターゲットホスト(TH)
32 第二エッジネットワーク
33 第二ゲートウェイ(GW)
34 第二ローカルネームサーバ(LNS)
35 認証エージェント(AA)
41 グローバルトランジットネットワーク
42 ルータ
Claims (4)
- インターネットネットワークシステム(1)におけるホスト名解決方法であって,
上記システムは,
送信元ホスト(SH)(12),第一ゲートウェイ(GW)(13),およびローカルネームサーバ(LNS)(14)を備える,第一エッジネットワーク(11)と,
ドメインネームレジストリ(DNR)(22)と,ホストネームレジストリ(HNR)(23)を備える,論理制御ネットワーク(21)と,
前記第一エッジネットワーク(11)または第二エッジネットワーク(32)内のターゲットホスト(TH)(31)と,
前記第一エッジネットワーク(11),前記論理制御ネットワーク(21),および前記第二エッジネットワーク(32)と接続するためのルータ(42)を備えるグローバルトランジットネットワーク(41)と,を備え,
前記方法は,
前記TH(31)のホスト名を知っている前記SH(12)が,前記TH(31)のID,前記THのロケータおよび前記THの公開鍵(PK)のうちの任意の一つ以上を得るように,前記TH(31)のホスト名を含むホスト名解決クエリを前記LNS(14)に送信し,
前記LNS(14)が前記ホスト名解決クエリを受信し,前記TH(31)が前記第一エッジネットワーク(11)内にあるか否かを検証し,
前記LNS(14)が,前記TH(31)が前記第一エッジネットワーク(11)内に配置されていると判断できない場合には,前記LNS(14)は,前記TH(31)の前記ホスト名を含む第一のクエリを前記DNR(22)送信し,
前記DNR(22)が前記第一のクエリを受信し,次いで,前記DNR(22)は第一の応答を前記LNS(14)に送信し,ここで,前記第一の応答は,前記HNRのID,前記HNRのロケータ,および前記HNRの公開鍵を含む前記HNRの情報を含んでおり,
前記LNS(14)は,前記第一の応答を受信し,次いで,前記LNS(14)は前記HNRの情報を用いて第二のクエリを前記HNR(23)に送信し,ここで,前記第二のクエリは前記THのID,前記THのロケータおよび前記THのPKをLNS(14)に提供することを前記HNR(23)に要求し,
前記HNR(23)は,前記第二のクエリを受信し,次いで,前記HNR(23)が第二の応答を前記LNS(14)に送信し,ここで,前記第二の応答は前記THのID,前記THのロケータおよび前記THのPKを含んでおり,
前記LNS(14)は,前記第二の応答を受信し,前記HNRのPKを用いて前記第二の応答の真正性を検証するための機能を実行し,
前記検証の結果が可である場合には,前記LNS(14)は,前記THのID,前記THのロケータおよび前記THの公開鍵(PK)を含む,ホスト名解決応答を前記SH(12)に送信し,
前記SH(12)は,前記ホスト名解決応答において,前記THのID,前記THのロケータおよび前記THのPKを受け取る,
ことを特徴とする方法。 - 請求項1に記載された方法であって,
前記第一の応答は,前記DNRのPKと,前記DNRの秘密鍵を用いる前記DNRの署名をさらに含み,前記DNRのPKと前記DNRの署名は,前記DNR(22)からの前記第一の応答の検証において使用される,
ことを特徴とする方法。 - 請求項1に記載された方法であって,
前記第一エッジネットワーク(11)は,認証エージェント(AA)(15)および動的ホスト構成プロトコルサーバ(DHCP)(16)をさらに備えており,
前記第一ゲートウェイ(GW)(13),前記LNS(14),および前記AA(15)は,これらの間で交換されるメッセージを保護するために使用されるペアワイズ共有鍵である,AA−GWshKey,AA−LNSshKeyおよびLNS−GWshKeyを有し,
前記方法は,前記SH(12)がホスト名解決クエリを送信する前に,前記SH自身のLLocと,前記第一GWのIDとLLocと,前記LNSのIDとLLocと,前記AAのIDとLLocと,を前記DHCPから取得するための初期設定ステップと,
前記第一エッジネットワークにおいて前記SH(12)を認証するための認証ステップと,
前記第一GW(13)および前記LNS(14)に登録される前記SHのホスト名,ID,PKおよびLLocを作成するためのローカル登録ステップと,
前記HNR(23)において前記SHのロケータを更新するためのHNR更新ステップと,をさらに有し,
前記初期設定のステップの後に実行される前記認証ステップでは,
前記SH(12)は,第一のホスト登録要求を前記AA(15)に送信し,ここで,前記第一のホスト登録要求は,前記SHのホスト名,前記SHのID,前記SHのPK,および前記SH(12)でサポートされている完全性チェックアルゴリズムのリストを含み,
前記AA(15)は,前記第一のホスト登録要求を受信し,その後,前記AAは,前記SHのIDおよびPKをHNR(23)から取得するために,請求項1に記載された前記ホスト名解決を同様に実行し,
前記AA(15)は,前記SH(12)によって送られたホスト情報が,前記HNR(23)から得たものと同じであることを確認し,
前記AA(15)は,前記AA(15)がサポートすることができる完全性チェックアルゴリズムのタイプに基づいて,完全性チェックアルゴリズムを選択し,
前記AA(15)は,アクセスIDとシークレットアクセスキーを割り当て,
前記AA(15)は,前記完全性チェックアルゴリズム,前記アクセスIDおよび前記シークレットアクセスキーを含む第一のホスト登録応答を前記SH(12)に送信し,ここで,前記アクセスIDと前記シークレットアクセスキーは,前記SHのPKによって暗号化されており,
前記SH(12)は,前記第一のホスト登録応答を受け取り,
前記認証ステップの後に実行される前記ローカル登録ステップでは,
前記SH(12)は,前記完全性チェックアルゴリズムにおいて前記アクセスキーを使用して計算されたHMACを含むことによって完全性が保護されている,前記SHのホスト名,前記SHのID,前記SHのLLoc,および前記SHのPKを含む第二のホスト登録要求をAA(15)に送信し,
前記AA(15)は,前記第二のホスト登録要求を受信し,
前記AA(15)は,AA−GWshKeyによって暗号化された,前記SHのホスト名,前記SHのID,前記SHのLLoc,前記SHのPKおよびアクセスキーを含む,GWのためのホスト登録メッセージを第一GW(13)へ送信し,
前記AA(15)は,AA−LNSshKeyによって暗号化された,前記SHのホスト名,前記SHのID,前記SHのLLoc,前記SHのPKおよびアクセスキーを含む,LNSのためのホスト登録メッセージを前記LNS(14)へ送信し,
前記第一GW(13)は,GWのための前記ホスト登録メッセージを受信し,AA−GWshKeyを用いてこれを復号化し,前記第一GW(13)は,GLocを前記SH(12)に割り当て,前記SHのGLocを前記第一GW(13)のメモリに保存し,
前記第一GW(13)は,GWから,前記SHのGLocを含むホスト登録応答メッセージを前記AA(15)へ送信し,
前記LNS(14)は,LNSのための前記ホスト登録メッセージを受信し,AA−LNSshKeyを用いてこれを読み取り,前記LNS(14)は,前記SHのホスト名,前記SHのID,前記SHのLLoc,前記SHのPKおよびアクセスキーを保存し,
前記LNS(14)は,LNSからホスト登録応答メッセージを前記AA(15)へ送信し,
前記AA(15)は,前記SHのGLocを含む第二のホスト登録応答を前記SH(12)へ送信し,
前記SH(12)は,前記第二のホスト登録応答を受信し,
前記ローカル登録ステップの後に実行される前記HNR更新ステップにおいて,
前記SH(12)は,SH−HNRshKeyによって暗号化された,前記SHのホスト名,前記SHのIDおよび前記SHのGLocを含む第三のホスト登録要求を前記HNR(23)へ送信し,
前記HNR(23)は,前記第三のホスト登録要求を受信し,前記SH−HNRshKeyを用いてこれを読み取り,
前記HNR(23)は,前記HNRのレコードにおいて前記SHのGLocを更新し,第三のホスト登録応答を前記SH(12)へ送信する,
ことを特徴とする方法。 - 前記SH(12)および前記TH(31)との間の通信セッションを確立するための手順をさらに含む,請求項1に記載の方法であって,
前記SH(12)は,前記TH(31)に通信要求を伝えるよう,前記SH(12)とTHのID,SHのホスト名,PKおよびGLoc,THのGLoc,完全性チェックアルゴリズムのリスト,およびSHの署名を含む,第一の通信初期化要求メッセージを前記TH(31)に送信し,
前記TH(31)は,前記第一の通信初期化要求メッセージを受信し,前記SHのID,GLoc,PKおよびLLocと,前記選択された完全性チェックアルゴリズムを,前記TH(31)の一時バッファに保存し,
前記TH(31)は,請求項1に記載されたホスト名解決プロセスを実行することによって,前記HNR(23)から前記SHのIDとPKを取得することにより前記SH(12)の真正性を検証し,
前記TH(31)が二つ以上のGLocを有する場合には,前記TH(31)は,前記THのGLocを含む第一の通信初期化応答を前記SH(12)へ送信し,前記第一の通信初期化応答は,THの秘密鍵を用いたTHの署名によって保護されており,
前記SH(12)は,前記第一の通信初期化応答を受信し,前記SH(12)および前記TH(31)との間で交換されるパケットの完全性を保護するために使用される秘密セッション鍵(sessKeyと,前記sessKeyに関連付けられている有効期間を生成し,
前記SH(12)は,前記THのID,PK,sessKeyおよび有効期間を,前記SHの一時バッファに保存し,
前記SH(12)は,前記THのPKによって暗号化されたsessKeyを含む第二の通信初期化応答,および前記SHの秘密鍵によって署名された応答メッセージを前記TH(31)に送信し,
前記TH(31)は,前記第二の通信初期化応答を受信し,前記SHのID,GLoc,PKおよびLLocと前記sessKeyを含む一時バッファを,前記TH(31)のセキュリティアソシエーションテーブル(SAT)に保存し,
前記TH(31)は,前記sessKeyを用いて計算されたHMACによって保護されている通信初期化完了メッセージを前記SH(12)に送信し,
前記SH(12)は,前記通信初期化完了メッセージ受信し,前記TH(31)が,接続要求を受け入れたか否かを確認するために,これをチェックし,
前記SH(12)は,前記SHのID,GLoc,PKおよびLLocを含む前記一時バッファを,前記SH(12)の前記SATにコピーし,
前記SH(12)は,前記TH(31)とのデータの送信または受信を開始する,
ことを特徴とする方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2012/000505 WO2013111192A1 (en) | 2012-01-26 | 2012-01-26 | Method for securing name registries, network access and data communication in id/locator split-base networks |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015507379A JP2015507379A (ja) | 2015-03-05 |
JP5804439B2 true JP5804439B2 (ja) | 2015-11-04 |
Family
ID=48872973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014535436A Expired - Fee Related JP5804439B2 (ja) | 2012-01-26 | 2012-01-26 | Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9077753B2 (ja) |
JP (1) | JP5804439B2 (ja) |
WO (1) | WO2013111192A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015114685A1 (en) * | 2014-01-31 | 2015-08-06 | National Institute Of Information And Communications Technology | Dynamic mobile sensors network platform for identifier-based communication |
US9762556B2 (en) * | 2015-01-09 | 2017-09-12 | Verisign, Inc. | Registering, managing, and communicating with IOT devices using domain name system processes |
CN106161224B (zh) * | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
US10341311B2 (en) * | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
US10091243B2 (en) * | 2016-02-24 | 2018-10-02 | Qualcomm Incorporated | Apparatus and method for securely connecting to a remote server |
CN107820283B (zh) * | 2016-09-13 | 2021-04-09 | 华为技术有限公司 | 一种网络切换保护方法、相关设备及系统 |
KR101776882B1 (ko) * | 2016-10-18 | 2017-09-08 | 성균관대학교산학협력단 | IoT 디바이스에 대한 보안성 있는 DNS 네이밍 방법 및 보안성 있는 DNS 네이밍 등록을 수행하는 라우터 장치 |
CN106685979B (zh) * | 2017-01-09 | 2019-05-28 | 北京信息科技大学 | 基于STiP模型的安全终端标识及认证方法及系统 |
CN108243190A (zh) * | 2018-01-09 | 2018-07-03 | 北京信息科技大学 | 一种网络标识的可信管理方法和系统 |
US11290765B2 (en) * | 2018-02-06 | 2022-03-29 | Akamai Technologies, Inc. | Securing an overlay network against attack |
CN114189847A (zh) * | 2020-09-14 | 2022-03-15 | 华为技术有限公司 | 通信的方法和装置 |
CN117439838B (zh) * | 2023-12-15 | 2024-02-23 | 南京群顶科技股份有限公司 | 一种面向边缘计算网关主从机自适应快速组网方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003101570A (ja) * | 2001-09-21 | 2003-04-04 | Sony Corp | 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム |
JP3940018B2 (ja) * | 2002-04-26 | 2007-07-04 | パイロットインキ株式会社 | 消しゴム付き筆記具又は字消し具 |
US7853788B2 (en) * | 2002-10-08 | 2010-12-14 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
CA2622820A1 (en) * | 2005-09-16 | 2007-03-22 | Eyeball Networks Inc. | Method and system for providing accurate location service for internet applications |
JP4682912B2 (ja) * | 2006-05-08 | 2011-05-11 | 株式会社日立製作所 | センサネットシステム、センサネット位置特定プログラム |
JP5327832B2 (ja) * | 2007-05-16 | 2013-10-30 | 独立行政法人情報通信研究機構 | ノード識別子と位置指示子とを用いたパケットの通信方法 |
US7954131B2 (en) * | 2007-06-13 | 2011-05-31 | Time Warner Cable Inc. | Premises gateway apparatus and methods for use in a content-based network |
EP2163074B1 (en) * | 2007-07-04 | 2017-01-18 | Telefonaktiebolaget LM Ericsson (publ) | Location functionality in an interworking wlan system |
US8887307B2 (en) * | 2007-10-12 | 2014-11-11 | Broadcom Corporation | Method and system for using location information acquired from GPS for secure authentication |
US8935748B2 (en) * | 2007-10-31 | 2015-01-13 | Microsoft Corporation | Secure DNS query |
US8990349B2 (en) * | 2008-02-12 | 2015-03-24 | International Business Machines Corporation | Identifying a location of a server |
CN102045314B (zh) * | 2009-10-10 | 2016-08-03 | 中兴通讯股份有限公司 | 匿名通信的方法、注册方法、信息收发方法及系统 |
CN102487344B (zh) * | 2010-12-06 | 2014-11-05 | 中兴通讯股份有限公司 | 身份位置分离网络的监听方法和系统 |
US8949954B2 (en) * | 2011-12-08 | 2015-02-03 | Uniloc Luxembourg, S.A. | Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account |
-
2012
- 2012-01-26 US US14/364,356 patent/US9077753B2/en not_active Expired - Fee Related
- 2012-01-26 JP JP2014535436A patent/JP5804439B2/ja not_active Expired - Fee Related
- 2012-01-26 WO PCT/JP2012/000505 patent/WO2013111192A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US9077753B2 (en) | 2015-07-07 |
US20140304785A1 (en) | 2014-10-09 |
WO2013111192A1 (en) | 2013-08-01 |
JP2015507379A (ja) | 2015-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5804439B2 (ja) | Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法 | |
JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
JP4579934B2 (ja) | レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 | |
Liebsch et al. | Candidate access router discovery (CARD) | |
US7333482B2 (en) | Route optimization technique for mobile IP | |
US20070297430A1 (en) | Terminal reachability | |
JP2008541566A (ja) | マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ | |
JP5147995B2 (ja) | ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 | |
EP2201742B1 (en) | Provisioning mobility services to legacy terminals | |
Komu et al. | A survey of identifier–locator split addressing architectures | |
Cheshire et al. | Understanding apple's back to my mac (BTMM) service | |
US20120072513A1 (en) | Method and system for obtaining host identity tag | |
Kafle et al. | An integrated security scheme for ID/locator split architecture of future network | |
US8923515B2 (en) | System and method for mobility management in a communications system | |
Kafle et al. | Mobility management in HIMALIS architecture | |
Kafle et al. | Design and implementation of security for HIMALIS architecture of future networks | |
Kafle et al. | Generic identifiers for ID/locator split internetworking | |
Kafle et al. | Network mobility management in HIMALIS architecture of future networks | |
WO2012152230A1 (en) | System and method for mobility management in a communications system | |
Sadio et al. | Improving security and mobility for remote access: a wireless sensor network case | |
Korhonen | Network Working Group S. Bhandari Internet-Draft S. Gundavelli Intended status: Standards Track M. Grayson Expires: August 4, 2016 B. Volz Cisco Systems | |
Wakikawa et al. | Understanding Apple’s Back to My Mac (BTMM) Service | |
Grayson | Access-Network-Identifier Option in DHCP draft-ietf-dhc-access-network-identifier-01 | |
Li et al. | A proactive scheme for securing ID/locator split architecture | |
Chaskar et al. | RFC 4066: Candidate Access Router Discovery (CARD) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150616 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150706 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150728 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5804439 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |