JP4675909B2 - Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択 - Google Patents

Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択 Download PDF

Info

Publication number
JP4675909B2
JP4675909B2 JP2006551325A JP2006551325A JP4675909B2 JP 4675909 B2 JP4675909 B2 JP 4675909B2 JP 2006551325 A JP2006551325 A JP 2006551325A JP 2006551325 A JP2006551325 A JP 2006551325A JP 4675909 B2 JP4675909 B2 JP 4675909B2
Authority
JP
Japan
Prior art keywords
network
access
client node
service
service network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006551325A
Other languages
English (en)
Other versions
JP2007519379A (ja
Inventor
義洋 大場
伸一 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Publication of JP2007519379A publication Critical patent/JP2007519379A/ja
Application granted granted Critical
Publication of JP4675909B2 publication Critical patent/JP4675909B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5691Access to open networks; Ingress point selection, e.g. ISP selection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/17Selecting a data network PoA [Point of Attachment]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、一般に、ネットワーク通信に関し、好適な実施例は、更に、利用可能な多くの異なるプロバイダからの、単一のクライアント位置における通信ネットワークサービスプロバイダ選択に関する。いくつかの好適な実施例に従うと、本発明は、アクセスネットワーク上のクライアントノードにおける、ユーザによる、インターネットサービスプロバイダ(ISP)選択とマルチホーミングとに関する。
マルチホーミングは、同時にあるいは動的に2つ以上のISPによってインターネットに接続する技術である。マルチホーミングは、ISPに欠陥がある場合に公共のインターネットへの実質的なバックアップ接続を準備すること、地方の及びローカルの改良された接続を準備すること、増大した帯域幅を準備すること、性能を改良することができる負荷共有の利用を準備することを含む多くの利点を持つ。現在、単一のユーザ位置において、複数のISPが利用可能な多くの状況がある。例えば、ホームユーザは、ダイアルアップ接続によって1つのISPを選択し、ケーブルあるいはDSL(デジタル加入者回線)モデム接続によって別のISPを選択することができる。
IPカプセル化のためにPPPoE(イーサネット(登録商標)によるポイントトゥポイントプロトコル)を用いるDSLプロバイダは、加入者が、初期サインアップの間に静的に、あるいは、PPP認証フェーズの間に加入者によって準備されるNAI(ネットワークアクセス識別子)を用いて、又は発見処理段階においてISP情報を伝送することによって動的に、接続している多くのISPの中から1つを選択することを可能にする。
IEEE 802 LAN(ローカルエリアネットワーク)では、VLAN(仮想LAN)が、LANを多くの小さなLANへ分割するために使用される。VLANは、たとえ実際には、異なるLANのセグメントに物理的に配置されていても、それらがあたかも同じワイヤに接続されているかのように振舞うコンピュータネットワークである。VLANは、ハードウェアではなくソフトウェアによって構成することができる。これは、VLANの柔軟性を究極的に高める。クライアントノードが、ワイヤによるイーサネット接続を通じてVLANに接続される場合、クライアントノードのイーサネットポートと、VLANとの間のマッピングは、ほとんどの場合静的に形成される。公共の無線LAN環境では、アクセスポイントによって広告されたIEEE 802.11 SSID(サービスセットID)が、サービスプロバイダ情報を含むことができる。SSIDは、さらに、SSIDとVLANの間の静的なマッピングの作成により動的にVLANを選択するために使用される。その結果、特定のSSIDの指定により、アクセスポイントに関係している局が、そのSSIDにマップされた特定のVLANに接続される。
ISPまたはVLANを選択する現在の方法は、特定のリンク層技術(つまりPPPおよびIEEE 802.11)に緊密に結び付けられており、すべてのリンク層技術にわたって適用するのが難しい。そのため、アクセスネットワークが異種混合か、又はクライアントノードへのVLAN割り当てにおいてより柔軟性が必要な環境では、どのリンク層技術にも依存しないIP(インターネットプロトコル)層ソリューションを持つことが望ましいだろう。
単純なIP層ソリューションとして、アクセスルータがそれぞれ特定のISPあるいはVLANに接続されるアクセスネットワークにマルチアクセスルータを置くことが可能である。これによって、データパケットを送受信するために、アクセスネットワーク上のクライアントノードが特定のアクセスルータを選択することができる。しかしながら、この単純なソリューションは2つの問題を持っている。第1に、特にアクセスネットワークがマルチアクセス技術を使用する場合、複数のISPあるいはVLANの間のアクセスネットワークにおいて情報漏洩が生じるかもしれない。第2に、入口フィルタリングがアクセスルータにおいて行なわれる場合、1つの物理的なインタフェースを備えたクライアントノードが、2つ以上のISPあるいはVLANへの同時接続が許される場合には、単純なソリューションを実現するのは困難である。入口フィルタリングは、あたかもそれらが、アクセスルータが付いているアクセスネットワークとは異なるネットワーク内で生成されたかのように、攻撃者が、偽造されたソースIPアドレスをパケットに入れるのを防ぐための技術である。入口フィルタリングが使用されるアクセスネットワークでは、アクセスネットワーク内で生成されたパケットは、パケットが受信されたネットワークインタフェースにルータによって割り当てられたネットワークプレフィックスを備えたソースアドレスを持っている場合に限り、アクセスルータを通じて渡すことができる。しかしながら、ほとんどのホスト実装は、異なるISPあるいはVLANへの同時接続が可能となる場合となるであろうが、異なるネットワークプレフィックスを備えた複数のルータブルなIPアドレスが、与えられたインタフェースに割り当てられる場合に適切なソースアドレスを選択するいかなる方法をも提供しない。
従って、特に、あらゆる情報漏洩の発生を阻止し、IPアドレススプーフィング攻撃に対し防御するソリューションに対するニーズが当該技術分野において存在する。
本発明の好適な実施例は、既存の方法及び/又は装置を、顕著に改良することができる。いくつかの実施例では、本発明は、前述の方法に関する本質的な改良を提供する。
発明の1つの局面によれば、マルチホーミング及びネットワーク選択のための新しいIP層ベースのモデルが提供される。これは、使用する1つ又は複数のサービスネットワークの柔軟で安全な動的選択を可能とする。またここでは、サービスネットワークは、ISPネットワーク、NAP(ネットワークアクセスポイント)ネットワーク交換設備、VLAN等である。1つの好適な実施例によるIP層ベースのモデルは、3つのフェーズから成る。第1フェーズでは、ネットワーク情報がクライアントノードに広告される。第2フェーズでは、クライアントノードが、アクセスルータの使用のために認証され認可される。第3フェーズでは、安全なトンネルが、クライアントノードとアクセスルータとの間に確立される。この発明的なモデルは、変更せずに標準的なプロトコルを用いて実施することができ、IPデータグラムを伝送可能なあらゆる既存の又は将来のリンク層技術にわたって動作することができる。
特に、1つの好適な実施例によれば、本発明は、クライアントノードをサービスネットワークに動的に接続する方法を提供する。この方法は、クライアントノードがネットワーク接続を持つアクセスネットワークを準備することと、アクセスネットワークに対するネットワーク接続を持ち、少なくとも1つのサービスネットワークに対するネットワーク接続を持つ少なくとも1つのアクセスルータを準備することと、クライアントノードからの要求メッセージに応じて、サービスネットワークプロバイダ広告情報をクライアントノードに送信することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワークプロバイダ情報を、クライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
第2の局面によれば、本発明は、複数のインターネットサービスプロバイダにクライアントノードを接続する方法を提供する。この方法は、クライアントノードが、複数のインターネットサービスプロバイダと通信しうるアクセスネットワークを準備することと、複数のインターネットサービスプロバイダの各々について、アクセスネットワーク内に、個別の安全な通信トンネルを確立し、アクセスネットワークを経由して、個別の安全な通信トンネル内で、インターネットサービスプロバイダの各々と、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
第3の局面によれば、本発明は、サービスネットワークにクライアントノードを接続する方法を提供する。この発明は、少なくとも2つのサービスネットワークに対するネットワーク接続を持つアクセスルータを準備することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワーク情報をクライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることと、安全な通信トンネルのセキュリティ関連識別子として、指定されたサービスネットワークのサービスネットワーク情報を使用することにより、安全な通信トンネルを、指定されたサービスネットワークに結び付けることとの各ステップを含んでいる。
様々な実施例の上述した及び/又はその他の局面、特徴、及び/又は利点は、添付図面と組み合わせた以下の記述を参照して更に理解されるであろう。適用可能なところで、様々な実施例が、異なる局面、特徴、及び/又は利点を含むか、あるいは限定可能である。更に、適用可能なところで、様々な実施例は、他の実施例の1つ又は複数の局面あるいは特徴を組み合わせることができる。特定実施例の局面、特徴、及び又は利点の説明は、他の実施例あるいは請求項の範囲を限定するものとして解釈されるべきではない。
本発明の好適な実施例は、添付図面において、限定ではなく、一例として示される。
本発明は、多くの様々な形式で具体化されうる一方、多くの例示的な実施例が、本開示は、本発明の原理の一例を提供するものとして考慮されるべきであることと、そのような例は、ここで記載及び/又は例示された好適な実施例に限定されるようには意図されないことという理解のうえで記述される。
本発明の好適な実施例に従って提案されたIP層モデルの一例の物理的なトポロジが、図1に例示される。図示するように、IPアクセスネットワーク101は、アクセスルータAR1,AR2、およびクライアントノード103を含んでいる。このアクセスネットワーク上の更なるノードは、単純化の目的のために示さない。アクセスルータAR1はサービスネットワークN1に接続される。また、アクセスルータAR2はサービスネットワークN2,N3に接続される。IPアクセスネットワーク101では、クライアントノード103は、アクセスネットワーク内の通信のために有効であるルータブルな、又は非ルータブルなIPアドレスを用いることによって、他のノード(図示せず)と同様に、アクセスルータとも通信することができる。クライアントノード103が、サービスネットワークを経由してデータパケットを送受信する必要がある場合、IPセキュリティプロトコル(IPSecトンネル)を用いて、IPアクセスネットワークを経由してそのサービスネットワークのアクセスルータへの安全なトンネル(論理インタフェース)を確立する。トンネリングは、1つのネットワークが別のネットワークの接続を通じてそのデータを送ることを可能にし、第2のネットワークによって伝送されたパケット内のネットワークプロトコルをカプセル化することにより機能する。例えば、VPN(仮想プライベートネットワーク)を介してデータを送信するために、PPTP(ポイントトゥポイントトンネリングプロトコル)技術によってインターネットを使用することができる。それは、インターネットによって伝送されたTCP/IPパケット内にそれ自身のネットワークプロトコルを埋め込むことにより行う。
確立されたIPSecトンネルは、アクセスルータを通るパケットに対する機密性、完全性、及び反復操作保護を提供する安全な論理インタフェースである。これはまた、パケットが他のサービスネットワークに漏洩するのを阻止する。更に、IPSecトンネルは、ノードの物理的なインタフェースをオーバレイする論理的なトンネルインタフェースを確立する。これは、対応するアクセスルータへ転送されたパケットのソースアドレスとして、特定のインタフェースアドレス(つまり、特定の論理的なトンネルインタフェースに割り当てられたアドレス)が使用されることを保証する。入口フィルタリングを使用するアクセスルータは、アクセスルータによって論理的なインタフェースに割り当てられたネットワークプレフィックスを含むので、そのようなソースアドレスを持つパケットを見落とさないだろう。
図1の物理的なトポロジをオーバレイする論理的なトポロジの一例が図2に例示されている。図示するように、クライアントノード103は、別個の論理インタフェースL1,L2,L3に各々関連した3つのIPSecトンネル201,202,203を持っている。論理インタフェースL1,L2,L3は、特定のサービスネットワークN1,N2,N3を通じてデータパケットを送受信するためにそれぞれ使用される。サービスネットワークN1,N2,N3は、ISP、NAP、VLAN、あるいは同様のサービスネットワークでありうる。論理インタフェースL1に対応するIPSecトンネル201は、アクセスルータAR1において終了する。論理インタフェースL2,L3に対応するIPSecトンネル202,203は、アクセスルータAR2において終了する。
クライアントノード103の各々の論理インタフェースL1,L2,L3のインタフェースアドレスは、対応するサービスネットワークのアドレスブロックから割り当てられる。図示する例において、クライアントノード103は、3つのサービスネットワークN1,N2,N3のうちの何れかを経由してデータパケットを送受信することができる。もちろん、クライアントノードが、3つ全てのサービスネットワークの代わりに、サービスネットワークのうちの1つのみ、あるいは2つへの接続を確立することも可能である。アクセスネットワークに対してオンリンク接続を持っているクライアントノードは、ワークステーションまたはルータでありうる。
クライアントノード103は、アクセスネットワーク101内の他のノードと通信するために、ルータブルアドレス、又は非ルータブルアドレスであるアドレスを使用することができる。非ルータブルアドレスは、ルータによる転送が許可されない。一方、ルータブルアドレスは、ルータによって転送される。クライアントノード103が自律的にアドレスを生成するための非ルータブルアドレスの一例は、IPv4リンク−ローカルアドレス、あるいはIPv6リンク−ローカルアドレスである。特に、IPv6リンク−ローカルアドレスが使用される場合、SEND(SEcure Neighbor Discovery)は、ネイバーディスカバリエクスチェンジ(Neighbor Discovery exchanges)を保護するために使用することができる。ルータブルアドレスが使用される場合、DHCP(Dynamic Host Configuration Protocol)、DHCPv6、あるいはIPv6アドレス自動設定を含む任意の方法を用いて、静的、あるいは動的に設定される。
セキュリティが、例えば公共サービスアクセスネットワークのためのようなサービスを提供するサービスネットワークに重要ではない場合には、トンネルを確立するためにIPSecキー管理プロトコルを使用する必要はない。そのような場合、例えば、IP−in−IP、又はGRE(Generic Routing Encapsulation)のような、その他のIPトンネリングスキームが使用されうる。
(サービスネットワーク情報広告)
多くの無線LANホットスポットサービスプロバイダは、無線クライアントに対してサービスプロバイダ情報を広告するために、ブロードキャストビーコンフレーム内に含まれる802.11 SSIDを現在使用している。1つの物理的なアクセスポイントを、複数の仮想アクセスポイントに分割できるように、仮想アクセスポイント(VAP:virtual access point)と呼ばれる技術が、この使用法を拡張することができる。それらの各々は、各VLANのために別個のSSIDを広告することによって、あたかもそれが別個の物理的なアクセスポイントであるかのように動作する。VAPの不利な点は、特定のアクセス技術と緊密に関係しており、その他のアクセス技術に適用するのが難しいことである。別の不利な点は、より多くの帯域幅がビーコンフレームによって占有されるので、データトラフィック全体のスループットが減少することである。例えば、10の仮想アクセスポイントがあり、各仮想アクセスポイントがそれぞれビーコンフレームを100ミリ秒毎に生成すれば、局は、ビーコンフレームを10ミリ秒毎に受信するであろう。その場合、IEEE 802.11bのリンク帯域幅の30%以上は、ビーコンフレームによって占有される。
本発明によれば、対照的に、ネットワーク層プロトコルが、アクセスネットワーク101上のクライアントノードへ、サービスネットワーク情報を広告するために使用される。ルータブルネットワークがISP又はNAPネットワークである場合、プロバイダ識別子及びプロバイダ名データのペアが、各サービスプロバイダ毎に広告されうる。ここでは、プロバイダ識別子は、プロバイダを識別するために使用されるユニークな識別子であり、プロバイダ名は、プロバイダの名前を表す文字列である。サービスネットワークがVLANである場合、VLAN識別子およびVLAN名が、VLAN毎に広告されうる。ここで、VLAN識別子は、VLANを識別するために使用されるユニークな識別子であり、VLAN名は、VLANの名前を表わす文字列である。VLAN広告情報は、アクセスネットワークがVLANではない場合に、IPによって送られうる。
本発明の1つの好適な実施例によれば、サービスネットワークに関する情報は、PANA(Protocol for carrying Authentication information for Network Access:ネットワークアクセスのための認証情報を伝えるプロトコル)の使用により広告される。いくつかのシナリオでは、IPベースのデバイスは、その使用を認められる前に、ネットワークに対して自己を認証することが要求される。この認証は、様々な認証方法をサポートできるプロトコルを通常必要とする。ほとんどのリンク層について、そのような認証プロトコルがない状態で、アーキテクチャは多くの不適当な認証方法の使用をたびたび行ってきた。PANAは、クライアントが、サイトで使用されている特定のAAA(認証、認可、および会計)インフラストラクチャプロトコルを理解する必要なしに、アクセスを獲得するサイトのバックエンドAAAのインフラストラクチャーと対話することを可能にするIPプロトコルを使用して、アクセスネットワークにそれら自身を認証することを可能にするプロトコルを定義する。さらに、そのような相互作用が、リンク層の特定のメカニズムなしになされる。PANAは、マルチアクセス及びポイントトゥポイントの両方のリンクに適用可能である。本発明は、アクセスネットワーク上のクライアントノードに、サービスネットワーク情報を提供するためにPANAプロトコルを利用する。
PANAは、クライアント−サーバタイプのプロトコルである。ここでは、クライアント及びサーバが、それぞれPaC(PANAクライアント)及びPAA(PANA認証エージェント)と称される。本発明では、クライアントノード103はPaCである。PAAはアクセスネットワーク内に配置され、アクセスルータと同一場所に配置される場合も、そうでない場合もある。PAAがアクセスルータと同一場所に配置されない場合、例えばSNMP(Simple Network Management Protocol)又はDiameterのような他のプロトコルを用いて、認可されたクライアントに関する認可情報を、PAAによって広告されるサービスネットワークに接続されたアクセスルータの幾つか又は全てに送る。
広告シーケンスは、以下の通り実行される。
1.PaCが、アクセスネットワーク内でマルチキャスト又はユニキャストされるPANA−PAA−Discoverメッセージを、特定のPAAに送信する。
2.PANA−PAA−Discoverメッセージを受信した各PAAは、PaCにPANA−Start−Requestメッセージを送り戻す。PANA−Start−Requestメッセージは、PAAに関連したサービスネットワークについての情報を含んでいる。
3.PANA−Start−Requestメッセージを受信したPaCは、受信したメッセージから、サービスネットワーク情報を抽出する。
PANAを使用して、サービスネットワーク情報を受信するために無指定のIPアドレスを使用する場合、PaCが、IPアドレスを設定する必要がない場合もあることが注目される。そのような場合、PAAは、レイヤ2特有のパケット配信メカニズムを用い、規則的なIPスタック実装を回避することにより、IPパケット内にカプセル化された情報をPaCに送るだろう。
本発明の代替実施例によれば、サービスネットワーク情報は、IPv4またはIPv6のルータディスカバリメカニズムを用いることにより、クライアントに広告されるかもしれない。クライアントノードは、ルータディスカバリを使用してサービスネットワーク情報を得るためにアドレスを設定する必要がある。広告シーケンスは、以下のように実行される。
1.クライアントノードが、特定のルータへユニキャスト、又はアクセスネットワーク内でマルチキャストされるルータ懇請(Solicitation)メッセージを送る。
2.このルータ懇請メッセージを受信した各ルータはそれぞれ、クライアントノードにルータ広告メッセージを送り返す。このルータ広告メッセージは、ルータに接続されたサービスネットワークについての情報を含んでいる。
3.ルータ広告メッセージを受信するクライアントノードは、受信メッセージから、サービスネットワーク情報を抽出する。
(認証)
PANAが、サービスネットワークについての情報の広告のために使用される場合、それは元々の目的、つまり、クライアントの認証および認可のために使用することができる。IKE(Internet Key Exchange:インターネットキー交換)も、クライアントの認証のために使用することができる。IKEがクライアント認証に使用される場合、クライアントノードは、直ちに安全なトンネルを確立することができる。IKEは、IPSec規格と共に使用される重要な管理プロトコル規格である。IPSecは、IPパケットのロバストな認証および暗号化を提供するIPセキュリティ機能である。
一方、PAAがアクセスルータと同一場所に配置されない場合、PANAはクライアントの認証のために常に使用される。PANAがクライアント認証に使用される場合、認証手続きは前のセクション中のステップ3から継続する。
4.PaCは、PANA−Start−Requestメッセージに応答してPAAにPANA−Start−Answerメッセージを送る。PaCは、PANA−Start−Answerメッセージ内に所望のサービスネットワークについての情報を挿入することにより、それがアクセスしたい1つ又は複数のサービスネットワークを指定しうる。
5.PAAは、PANA−Auth−Requestメッセージを送り、EAP(Extensible Authentication Protocol:拡張認証プロトコル)メッセージおよびPANAセッション識別子を送る。PANA−Auth−Requestメッセージは、進行中の認証に関係しているサービスネットワークについての情報を含むことができる。EAPは、トークンカード、ワンタイムパスワード、証明書、公開鍵認証、およびスマートカードのような複数の認証方法をサポートする認証用の一般的なプロトコルである。認証の目的は、クライアント又はユーザの身元を確認することである。
6.PaCは、PANA−Auth−Requestメッセージに応答してPANA−Auth−Answerメッセージを返し、EAPメッセージを伝える。
7.EAP認証処理が終了するまで、必要な場合には、ステップ5および6が繰り返される。
8.EAP認証処理が終了した場合、PAAは、EAP成功/失敗メッセージを含むPANA−Bind−RequestメッセージをPaCに送る。EAP認証が成功して終了する場合、PAAに関連したアクセスルータのIPアドレスのリストが、メッセージ内に追加されて含まれる。PAAがアクセスルータと同一場所に配置されていない場合、PAAに関連し、サービスネットワークに接続されたアクセスルータ名のリストが、メッセージ内に追加されて含まれる。PANA−Bind−Requestは、PAAがPaCへのアクセスを認可したサービスネットワークに関する情報を含んでいる。クライアント認証が失敗すれば、クライアントノードは、どのサービスネットワークへのアクセスも与えられない。
9.PaCは、PANA−Bind−AnswerメッセージをPAAに返す。
10.EAP認証が1つ又は複数のサービスネットワークのために必要とされる場合、ステップ5乃至9が、各サービスネットワークのために繰り返される。
上記シーケンスでは、EAPマスタセッションキー(MSK)を導出可能な少なくとも1つのEAP認証方法が使用されると仮定する。導出されたMSKは、PaCとPAAの間で共有される。導出したMSKを用いたEAP認証処理が成功して終了すると、PaCが、サービスネットワークにアクセスを持つことを認可できるように、PAAは、PAAに関連し、ステップ4においてPaCによって指定されたサービスネットワークに接続された各アクセスルータに、少なくとも以下の情報を送る。
・PANAセッション識別子。
・MSKから導出されIKEが予め共有された秘密データ。
(アクセスルータへの安全なトンネルを確立すること)
サービスネットワーク広告情報およびクライアントノード認証(広告及び認証のためにPANAを使用した場合)の受信に成功するか、又はサービスネットワーク広告情報(ルータディスカバリを用いた場合)を受信すると、クライアントは、PAAに関連したどのアクセスルータが、どのサービスネットワークに接続されているのかを知る。そして、クライアントは、IPSecトンネルを確立するために、任意のアクセスルータを用いてIKEを実行することができる。
IKEは、インターネットセキュリティアソシエーションおよびキーマネジメントプロトコル(ISAKMP:Internet Security Association and Key Management Protocol)フレームワーク内で、Oakleyキー交換(Oakley key exchange)及びSkemeキー交換(Skeme key exchange)を実施するハイブリッドプロトコルである(ISAKMP、Oakley及びSkemeは、IKEによって実施されるセキュリティプロトコルである)。IPSecは、参加するピア間のデータ機密性、データ完全性、およびデータ認証を提供するオープンスタンダードなフレームワークである。IPSecは、IP層において、これらセキュリティサービスを提供する。それは、ローカルポリシーに基づいたプロトコルとアルゴリズムの交渉を取り扱い、かつIPSecによって使用される暗号化と認証のキーを生成するためにIKEを使用する。IPSecは1ペアのホスト間の、1ペアのセキュリティゲートウェイ間の、あるいはセキュリティゲートウェイとホストとの間の、1つ又は複数のデータフローを保護するために使用することができる。
認証が、安全なトンネルの確立段階に入る前に行なわれた場合、認証手続きで導出されたIKEが予め共有されたキーは、IKEが、IKEエンドポイントを認証するために使用される(したがって、交渉中には、他のクライアント認証は行なわれない)。クライアントは、IKEv1内のISAKMPセキュリティアソシエーション(ISAMKP SA)識別子、あるいはIKEv2内のIKE_SA識別子として、アクセスネットワーク内のPANAセッション識別子あるいは有効なIPアドレスを使用することができる。IPアドレスがIKEv1内のISAKMP SA識別子として使用される場合、IKEv1メインモードを使用する必要がある。
あるいは、クライアント認証が、安全なトンネルの確立段階に入る前に行なわれなかった場合、IKEが予め共有されたキーを用いる以外の認証手続きは、IKE交渉内に行なわれねばならない。この場合、認証手続きに特有の識別子が使用される。
アクセスルータが、複数のサービスネットワーク(例えば、図1に示すアクセスルータAR2)に接続される場合、IPSecトンネルを特定のサービスネットワークに結び付けるためのメカニズムが必要である。これによって、アクセスルータは、(1)サービスネットワークのアドレスブロックからIPSecトンネル内部アドレスを割り当て、(2)クライアントとサービスネットワークとの間でパケットを転送することができる。その結び付けは、IPSec SA識別子信用証書として、サービスネットワークについての情報を使用することにより、IKE交渉内で作成することができる。このように、図2に示すように、クライアントノードとアクセスルータとの間に、それぞれが、別個のサービスネットワークに向かう複数のIPSecトンネルを確立することが可能である。例えば、アクセスネットワーク全体に対する単一のPANA認証及びセッション識別子、各アクセスルータに対する単一のPANA認証及び識別子、各サービスネットワークに対する単一のPANA認証及び識別子のような複数のスキームを使用することができる。各サービスネットワークに対する認証があるところでは、PANAセッション識別子は、IKEのための識別子として使用されてもよい。しかし、他の場合では、クライアントは、特定のサービスネットワークに対するIKEのためのユニークな識別子を使用/生成しなければならない。あるいは、他の情報/識別子 交換/交渉が、IKEの間必要かもしれない。
IKEv2がIPSecトンネルの確立のために使用される場合、クライアントノードとアクセスルータとの間で、それぞれがサービスネットワークに向かう複数のIPSecトンネルを確立することも可能である。アクセスルータが1つのみのサービスネットワークに接続される場合、1つのみの結び付けが存在し、別の識別子が使用されうる。
IPSecトンネルSAの内部アドレスは、トンネルを終了するアクセスルータによって、IKE交渉の間に割り当てられるかもしれない。例えば、IKEv2は、IPSecトンネル内部アドレスを割り当てるために、設定ペイロード交換を定義する。内部アドレスがIKE交渉内に割り当てられていない場合、DHCPは、確立されたIPSecトンネルを通じて行なわれるかもしれない。いずれにせよ、割り当てられたIPSec内部アドレスは、IPSec SAへ向けられたサービスネットワークに有効であるに違いない。例えばサブネットプレフィックス(あるいはネットマスク)、DNS(ドメインネームシステム)サーバアドレス、あるいはDHCPサーバアドレスのようなその他の設定情報が、IKE交渉内で割り当てられるかもしれない。更に、クライアントノードがルータである場合、サービスネットワークから委任されたIPv6プレフィクスは、確立されたIPSecトンネルを経由して、プレフィックス委任オプションを持つDHCPv6を実行することにより割り当てることができる。この場合、委任されたプレフィクスは、クライアントルータが、サービスネットワークへのクライアント−サイドゲートウェイとして役立つ他のクライアントノード内で共有することができる。
アクセスルータは、異なるクライアントノードからのIPSecトンネル、及び/又は同じクライアントノードからのトンネルの間で、差別化されたサービスを提供するために、それが終端するIPSecトンネル上でサービス品質(QoS)制御を実行することができる。クライアントノードがIKE内のIPSec SA交渉の間にQoS情報を指定できるように、サービスネットワークについての広告情報は、QoS情報をも含むことができる。
本発明は、同じアクセスネットワーク上のマルチアクセスルータが、同じサービスネットワークに接続することを可能にする。すなわち、アクセスルータ間の負荷平準が可能である。PANAがネットワーク広告と認証とを提供するのに使用される場合、認証過程中に、PANA−Bind−Requestメッセージに含まれていたアクセスルータのリストは、どのアクセスルータが、どのサービスネットワークに接続されるのかを識別するために使用することができる。
ブロードキャスト及び/又はマルチキャストされたトラフィックは、IPSecトンネルを経由しても送信される。アクセスルータは、IPSecトンネルを経由してブロードキャスト/マルチキャストされたトラッフィックの送信を許可及び禁止するための設定オプションを持つこともできる。
アクセスルータに対するIPSecトンネルを持っているクライアントノードは、アクセスネットワーク内の他のノードへのパケットの送受信のためにIPSecトンネルを使用しないかもしれない。そのようなパケットは、アクセスネットワーク内のローカルプリンタへの印刷データのようなアプリケーショントラッフィックを含んでいる。
(使用法シナリオ)
本発明がDSLまたは無線LANホットスポット中で使用される場合、サービスネットワークは、ISPネットワークあるいはNAP交換ネットワークになりえる。アクセスネットワークは、一般に、単一のNAPによって所有される。しかし、複数のNAPが、同じアクセスネットワークを共有することも可能である。単一のNAP301がアクセスネットワーク101を所有する場合における物理的トポロジの例が、図3に示される。
この例では、クライアントノード103は、ISP1,ISP2,ISP3、あるいはNAP301によって所有されたサービスネットワークのうちの1つ、幾つか、又は全てに対する接続を選択的に確立することができる。PANAがクライアントノードを認証するために使用される場合、恐らく異なるクライアント識別子を使用することによって、単一のPANAセッションにおいて、1つはISPに対する、もう1つはNAPに対する2つのEAP認証を実行することが可能である。クライアントノード103が、異なるISPへの複数のIPSecトンネルを生成する場合、マルチホーミングが達成される。各プロバイダ(ISPまたはNAPかの何れか)のために、プロバイダの識別子および名前は、サービスネットワーク情報として使用されてもよい。
VLAN用途のための物理的なトポロジの例が、図4乃至図8に示される。VLANトポロジは主として企業ネットワーク設定に使用される。図4に示す例では、ネットワーク内に形成された4つのVLANがある。アクセスVLAN401は、クライアントノード103のためのアクセスネットワークとして使用される。サービスVLAN402乃至404は、サービスネットワークとして使用されるVLANである。サービスVLANへの接続は、クライアントノード103と、アクセスルータAR1,AR2との間で確立されたIPSecトンネルのみを通ってなされる(VLANが同じ物理的なネットワーク内に構成される場合、アクセスルータは仮想ルータかもしれない)。各サービスVLANについて、VLANの識別子および名前は、サービスネットワーク情報として使用される。
更に、アクセスネットワークが、図5に示すようなマルチアクセスVLAN 501,502からなることが可能である。この構成は、アクセスネットワーク内のトラフィックを分割するのに役立つ(レガシー(legacy)VLANネットワークが行うように)。これによって、クライアントノードによるサービスVLANへの動的な結び付け生成を可能にしながら、クライアントノード103は、アクセスVLAN501を経由してサービスVLAN402乃至404への接続を確立することができる。また、クライアントノード104は、アクセスVLAN502を経由してサービスVLAN402乃至404への接続を確立することができる。
本発明が、仮想アクセスポイント(VAP)に基づいたレイヤ2動的VLANモデルと共にどのように使用されるかを、図6および図7を参照して説明する。仮想アクセスポイントは物理的なアクセスポイント(AP)内に存在する論理的な実体である。単一の物理的APが複数の仮想APをサポートする場合、たとえ単一の物理的APだけが存在しても、仮想APは、クライアント局に対して、それぞれ独立した物理的APとして見える。例えば、単一の物理的APの中に複数の仮想APが存在し、それぞれが、別個のSSIDおよび機能セットを広告しうる。VLANを識別するための情報として、IEEE 802.11 SSIDが使用されると仮定される。以下に説明するように、本発明の場合、2つの代替構成がある。これら2つの構成は組み合わせることもできる。
APがIPSec(又はIEEE 802.11i)ほど強い安全なアクセスメカニズムと、動的なVLAN(すなわち、複数のVLANを取り扱う能力)との両方をサポートする場合、図6に示すように、別個のSSIDが各サービスVLANに関係しているサービスVLANに、APを直接(仮想的に)接続することが可能である。クライアントノード103は、有線イーサネット接続601を経由してサービスVLAN1乃至3に接続するために、本発明を使用する。一方、無線クライアントノード104(IEEE 802.11iをサポートする)は、仮想AP3への無線接続602を経由して、サービスネットワークへ直接接続することができる。しかしながら、無線クライアントは、複数の無線LANカードを持っていないのであれば、(あるいは単一の物理層上のある種の「仮想局」インタフェースをサポートしていないのであれば)、複数のサービスVLANに同時に接続することはできないだろう。
APが動的なVLAN機能をサポートするが、IPSecほど強い安全なアクセスメカニズムをサポートしない場合、ネットワークアドミニストレータは、APが、サービスVLANへ直接接続されることを許可しないだろうが、図7に示すように、アクセスVLANには接続されうる。この場合、クライアントノード103(104)は、先ず、仮想AP701(702)を経由してアクセスVLAN501(502)に接続し、次に、サービスVLAN402乃至404への接続を確立するために本発明を使用する。
図8に示すように、クライアントノード103は、遠隔ネットワークサイト801からサービスVLAN402乃至404に接続したい場合もある。もしもクライアントノード103が、サービスプロバイダ広告情報を受信できるように、PAA又はアクセスルータAR1,AR2のIPアドレスを知っていれば、本発明は、そのような状況をサポートすることができる。これは、アクセスルータもPAAも、遠隔ネットワークへプロバイダ情報をブロードキャストできないからである。クライアントノードが、DMZ(デミリタライズドゾーン。例えば企業プライベートLANのような信頼されたネットワークと、公共のインターネットのような信頼されていない外部ネットワークとの間に位置するコンピュータ又は小さなサブネットワーク)内のファイアウォールを経由して外部ネットワークから内部ネットワークに接続される場合、次のシナリオが示される。
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、DMZ(例えば、サービスVLANのアクセスルータが内部ネットワーク内に配置されている所)内のIPSecゲートウェイを経由してIPSecを用いて保護されるべきであると命じる場合。この場合、サービスVLANのアクセスルータとクライアントノードとの間に確立されたIPSecトンネルを経由して送信されたパケットは、クライアントノードとIPSecVPNゲートウェイとの間で確立された別のIPSecトンネルで保護される(二重のIPSec)。
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、IPSecで保護されるべきであると命ずるが、IPSecゲートウェイは、DMZにある必要がない場合。この場合、追加のIPSecトンネルは必要ではない。
また、本発明は、次の方法でモバイルIP(例えばMIPv4)と共に使用することができる。第1に、本発明によって、クライアントノードは、1つのサービスネットワークから別のサービスネットワークへと動的に切り換えることができるので、切り換えが生じる場合、対応するノードへの継続的な接続を必要とするアプリケーションのために安定したIPアドレスが必要とされる(この切り換えは、物理的に移動しないモバイルクライアントノードにおいて生じうることが注目されよう)。モバイルIPの使用によって、ホームアドレスはそのような安定したIPアドレスとして使用することができる。
第2に、サービスネットワークに接続されたモバイルクライアントノードは、1つのアクセスネットワークによってカバーされたエリアから、別のアクセスネットワークによってカバーされたエリアへと物理的に移動するかもしれない。ここでは、アクセスネットワークは、サービスネットワークのアクセスネットワーク、あるいは遠隔ネットワーク内のアクセスネットワークかもしれない。モバイルIPを使用することによって、クライアントノードは、アプリケーション接続を失わずに、異なるアクセスネットワーク間をシームレスに移動することができる。
何れの場合でも、パケット内にホームアドレスを含んでいるIPヘッダは、IPSecトンネルヘッダー内に見える。DMZを経由して外部サイトから内部サービスネットワークにクライアントノードが接続される場合には、外部移動をサポートするために追加のモバイルIPが使用されてもよい。
VLANシナリオでは、モバイルクライアントノードが、複数のサービスVLANへの接続を確立し、各サービスVLANが、自身のホームエージェントを使用する場合、クライアントノードは、複数のホームアドレスを使用して、並列して2つのモバイルIPを実行するかもしれない。上記議論は、モバイルIPv6がモバイルIPの代わりに使用される場合にも当てはまる。
(本発明の広い範囲)
本発明の例示的な実施例がここに記載されたが、本発明は、ここに記載された種々の好適な実施例に制限されず、本開示に基づいて当該技術分野における者によって理解されるであろう変形、省略、組み合わせ(例えば様々な実施例にわたった局面の)、適用、及び/又は変更を有する任意及び全ての実施例を含んでいる。請求項における制限は、請求項で使用された文言に基づいて広く解釈されるべきであり、本明細書で記載された例、又は応用の実施内に限定されない。これら例は、非限定的であると解釈されるべきである。例えば、本開示において、用語「好適に(preferably)」は、非限定的であり、「好適であるが、それに限定されない」ことを意味する。ミーンズ・プラス・ファンクション又はステップ・プラス・ファンクション限定は、その限定の中に以下の全ての条件が存在する特定の請求項に限って適用される。a)「〜する手段(means for)」又は「〜するステップ(step for)」(すなわち、〜のステップではない)が明示的に列挙されている。b)対応する機能が明示的に列挙されている。c)構造、材料、又はその構造をサポートする動作が列挙されていない。本開示、および出願の実施において、用語「本発明」あるいは「発明」は、本開示内の1つ又は複数の局面に対する参照として使用される。本発明あるいは発明という用語は、重大場面の見出しとして不適切に解釈されるべきではなく、全ての局面又は実施例にわたって適用されると不適切に解釈されるべきではなく(すなわち、本発明は多くの局面及び実施例を持つと解釈されるべきであり)、出願又は請求項の範囲を限定するものとして不適当に解釈されるべきではない。本開示、および出願の実施において、用語「実施例」は、いかなる局面、特徴、プロセス又はステップ、それらの任意の組み合わせ、及び/又はそれらの任意の部分等を記述するために使用することができる。いくつかの例では、様々な実施例が、重複した特徴を含んでいるかもしれない。
図1は、本発明の1つの好適な実施例による物理的なネットワークトポロジの図である。 図2は、図1のトポロジをオーバレイする本発明の1つの好適な実施例による論理的なネットワークトポロジの図である。 図3は、ISPとNAPを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。 図4は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。 図5は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。 図6は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。 図7は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。 図8は、遠隔ネットワークを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。

Claims (23)

  1. クライアントノードをサービスネットワークに動的に接続する方法であって、
    クライアントノードがネットワーク接続をしているアクセスネットワークを準備することと、
    前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している少なくとも1つのアクセスルータを準備することと、
    前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
    前記クライアントノードを認証することと、
    前記アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと
    の各ステップを含み、
    前記クライアントノードを認証するステップの前段において、PANAプロトコルを用いてサービスネットワークプロバイダ広告情報を、前記クライアントノードに送信する方法。
  2. 前記アクセスネットワークに対してネットワーク接続しており、少なくとも2つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含んでなる請求項1に記載の方法。
  3. 前記クライアントノードによって指定されたサービスネットワークが、前記第2のアクセスルータに関連している場合、前記確立するステップは更に、前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記第2のアクセスルータによって関連付けられた前記指定されたサービスネットワークへ前記通信トンネルを結び付けるステップを含む請求項2に記載の方法。
  4. 前記アクセスルータは、少なくとも2つのサービスネットワークに対してネットワーク接続をしており、前記方法は更に、前記アクセスネットワークを経由して、前記クライアントノードと前記アクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記2つのサービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを含む請求項1に記載の方法。
  5. 前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含み、前記アクセスネットワークを経由して、前記クライアントノードと前記第2のアクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記通信トンネルを経由して、前記アクセスルータに関連する前記サービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを更に含む請求項1に記載の方法。
  6. 前記サービスネットワークプロバイダ広告情報を送信するステップは、PANAプロトコルを使用するステップを含む請求項1に記載の方法。
  7. 前記サービスネットワークプロバイダ広告情報を送信するステップは、ルータディスカバリメカニズムを使用するステップを含む請求項1に記載の方法。
  8. 前記少なくとも1つのサービスネットワークは、サービスプロバイダネットワークを含む請求項1に記載の方法。
  9. 前記少なくとも1つのサービスネットワークは、ネットワークアクセスプロバイダネットワークを含む請求項1に記載の方法。
  10. 前記少なくとも1つのサービスネットワークは、VLANサービスネットワークを含む請求項1に記載の方法。
  11. クライアントノードが経由して前記VLANサービスネットワークに直接接続する仮想アクセスポイントを、前記VLANサービスネットワーク内に準備するステップを更に含む請求項10に記載の方法。
  12. 前記アクセスネットワークは、IPアクセスネットワークを含む請求項1に記載の方法。
  13. 前記アクセスネットワークは、VLANアクセスネットワークを含む請求項1に記載の方法。
  14. 前記VLANアクセスネットワークは、複数のVLANアクセスサブネットワークへ分割される請求項13に記載の方法。
  15. クライアントノードが経由して前記VLANアクセスネットワークに接続する仮想アクセスポイントを、前記VLANアクセスネットワーク内に準備するステップを更に含む請求項13に記載の方法。
  16. 前記クライアントノードは、遠隔ネットワークを経由して、前記アクセスネットワークに接続する請求項1に記載の方法。
  17. 前記通信トンネルを確立するステップは、IPSecキー管理プロトコルを使用するステップを含む請求項1に記載の方法。
  18. 前記クライアントノードは、モバイルノードであり、前記アクセスネットワークへの前記クライアントノードのネットワーク接続は、無線接続である請求項1に記載の方法。
  19. 前記通信トンネルは、安全な通信トンネルである請求項1に記載の方法。
  20. IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項19に記載の方法。
  21. サービスネットワークにクライアントノードを接続する方法であって、
    少なくとも2つのサービスネットワークに対するネットワーク接続を有するアクセスルータを準備することと、
    前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
    前記クライアントノードを認証することと、
    アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと、
    前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記指定されたサービスネットワークへ前記通信トンネルを結び付けることと
    の各ステップを含み、
    前記クライアントノードを認証するステップの前段において、PANAプロトコルを用いてサービスネットワークプロバイダ広告情報を、前記クライアントノードに送信する方法。
  22. 前記通信トンネルは安全な通信トンネルである請求項21に記載の方法。
  23. IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項22に記載の方法。
JP2006551325A 2004-01-22 2005-01-21 Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択 Expired - Fee Related JP4675909B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/761,347 US7860978B2 (en) 2004-01-22 2004-01-22 Establishing a secure tunnel to access router
PCT/US2005/002040 WO2005072276A2 (en) 2004-01-22 2005-01-21 Serving network selection and multihoming using ip access network

Publications (2)

Publication Number Publication Date
JP2007519379A JP2007519379A (ja) 2007-07-12
JP4675909B2 true JP4675909B2 (ja) 2011-04-27

Family

ID=34794818

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006551325A Expired - Fee Related JP4675909B2 (ja) 2004-01-22 2005-01-21 Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択

Country Status (6)

Country Link
US (1) US7860978B2 (ja)
EP (1) EP1709547B1 (ja)
JP (1) JP4675909B2 (ja)
KR (1) KR100826736B1 (ja)
CN (1) CN100507895C (ja)
WO (1) WO2005072276A2 (ja)

Families Citing this family (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US7978655B2 (en) * 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US7676599B2 (en) 2004-01-28 2010-03-09 I2 Telecom Ip Holdings, Inc. System and method of binding a client to a server
US10375023B2 (en) 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US9686669B2 (en) * 2004-04-08 2017-06-20 Nokia Technologies Oy Method of configuring a mobile node
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
KR20060047692A (ko) * 2004-05-07 2006-05-18 엘지전자 주식회사 광대역 무선접속 시스템에 적용되는 수면모드 수행 및 제어방법
KR101166765B1 (ko) * 2004-05-07 2012-07-27 엘지전자 주식회사 IPv4 및 IPv6을 지원하기 위한 IP 주소 설정
KR101119372B1 (ko) * 2004-05-10 2012-06-12 엘지전자 주식회사 Ip 연결 설정 방법
US20060002426A1 (en) * 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
CN100474839C (zh) * 2004-10-12 2009-04-01 上海贝尔阿尔卡特股份有限公司 IPv6接入网中的网络服务选择和认证,及无状态自动配置
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
US8839427B2 (en) * 2005-04-13 2014-09-16 Verizon Patent And Licensing Inc. WAN defense mitigation service
JP4421517B2 (ja) * 2005-06-07 2010-02-24 株式会社東芝 情報処理サーバ、遠隔操作システムおよび遠隔操作方法
US7801517B2 (en) * 2005-06-29 2010-09-21 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for implementing a roaming controlled wireless network and services
US20070009139A1 (en) * 2005-07-11 2007-01-11 Agere Systems Inc. Facial recognition device for a handheld electronic device and a method of using the same
US8200820B2 (en) * 2005-08-12 2012-06-12 Telefonaktiebolaget Lm Ericsson (Publ) Access selection method
FI119863B (fi) * 2005-08-22 2009-04-15 Teliasonera Ab Etäasiakkaan aitouden ja oikeuksien varmistaminen
DE602005006127T2 (de) * 2005-08-25 2009-07-02 Alcatel Lucent Sicheres Kommunikationsverfahren- und gerät zur Verarbeitung von SEND-Datenpaketen
US7526677B2 (en) * 2005-10-31 2009-04-28 Microsoft Corporation Fragility handling
JP2007128331A (ja) * 2005-11-04 2007-05-24 Inter Net Inishiateibu:Kk ネットワーク接続機器の自動生成機構
US8009644B2 (en) * 2005-12-01 2011-08-30 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
WO2007078789A2 (en) * 2005-12-15 2007-07-12 Lehman Brothers Inc. System and method for secure remote desktop access
US7827545B2 (en) * 2005-12-15 2010-11-02 Microsoft Corporation Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy
US10659250B2 (en) * 2005-12-30 2020-05-19 Telecom Italia S.P.A. Method and system for managing an internet connection and informing a user about connectivity
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US20070198525A1 (en) * 2006-02-13 2007-08-23 Microsoft Corporation Computer system with update-based quarantine
US9781162B2 (en) * 2006-02-15 2017-10-03 International Business Machines Corporation Predictive generation of a security network protocol configuration
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
US20070233844A1 (en) 2006-03-29 2007-10-04 Murata Kikai Kabushiki Kaisha Relay device and communication system
US7793096B2 (en) * 2006-03-31 2010-09-07 Microsoft Corporation Network access protection
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
WO2007127120A2 (en) 2006-04-24 2007-11-08 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US8625609B2 (en) * 2006-05-19 2014-01-07 Futurewei Technologies Inc. Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery
CN101102189B (zh) * 2006-07-05 2011-06-22 华为技术有限公司 一种实现多种媒体接入的网关***和方法
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7742479B1 (en) * 2006-12-01 2010-06-22 Cisco Technology, Inc. Method and apparatus for dynamic network address reassignment employing interim network address translation
US8751625B2 (en) * 2006-12-04 2014-06-10 Canon Kabushiki Kaisha Notification apparatus and notification method
KR101329150B1 (ko) * 2006-12-08 2013-11-14 삼성전자주식회사 Pana 인증 방법 및 장치
US8072973B1 (en) * 2006-12-14 2011-12-06 Cisco Technology, Inc. Dynamic, policy based, per-subscriber selection and transfer among virtual private networks
EP1936869B1 (en) * 2006-12-22 2009-02-11 Research In Motion Limited Global virtual local area network for voice communication sessions in a wireless area network
US8194605B2 (en) * 2006-12-22 2012-06-05 Research In Motion Limited Global virtual local area network for voice communication sessions in a wireless local area network
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
WO2009001434A1 (ja) * 2007-06-26 2008-12-31 Fujitsu Limited データ転送機能検出処理方法,処理システムおよびプログラム
US8341277B2 (en) * 2007-07-03 2012-12-25 International Business Machines Corporation System and method for connecting closed, secure production network
US8160038B1 (en) 2007-08-06 2012-04-17 Marvell International Ltd. Packet data network specific addressing solutions with network-based mobility
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
KR100964350B1 (ko) * 2007-09-14 2010-06-17 성균관대학교산학협력단 IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템
US9225684B2 (en) * 2007-10-29 2015-12-29 Microsoft Technology Licensing, Llc Controlling network access
US8825883B2 (en) * 2008-02-29 2014-09-02 Microsoft Corporation Connectivity platform
US8364847B2 (en) * 2008-02-29 2013-01-29 Microsoft Corporation Address management in a connectivity platform
CN101547383B (zh) * 2008-03-26 2013-06-05 华为技术有限公司 一种接入认证方法及接入认证***以及相关设备
WO2009151480A1 (en) * 2008-06-13 2009-12-17 Nortel Networks Limited Unifying virtualizations in a core network and a wireless access network
MX2011002170A (es) * 2008-08-29 2011-07-20 Shanker Singh Hari Metodo y sistema para integrar una pluralidad de servicios de administracion de edificios y servicios de automatizacion del hogar con la pluralidad de servicios de juegos multiples con base en operaciones de red de acceso neutral.
US8363658B1 (en) 2008-11-13 2013-01-29 Sprint Communications Company L.P. Dynamic firewall and dynamic host configuration protocol configuration
US8479266B1 (en) * 2008-11-13 2013-07-02 Sprint Communications Company L.P. Network assignment appeal architecture and process
US8341717B1 (en) 2008-11-13 2012-12-25 Sprint Communications Company L.P. Dynamic network policies based on device classification
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US8364825B2 (en) * 2009-01-07 2013-01-29 Hewlett-Packard Development Company, L.P. Network connection manager
KR100911942B1 (ko) * 2009-01-21 2009-08-13 (주)이소컴 고정 아이피 주소를 부여받을 수 있는 이동식 저장장치 및 고정 아이피 주소 부여 방법
US8599860B2 (en) * 2009-05-14 2013-12-03 Futurewei Technologies, Inc. Multiple prefix connections with translated virtual local area network
US8438389B2 (en) * 2009-08-17 2013-05-07 Intel Corporation Method and system for dynamic service negotiation with a uniform security control plane in a wireless network
US20110099280A1 (en) * 2009-10-28 2011-04-28 David Thomas Systems and methods for secure access to remote networks utilizing wireless networks
US8687609B2 (en) 2009-11-04 2014-04-01 Cisco Technology, Inc. Managing router advertisement messages to support roaming of wireless mobile client devices
US8724583B2 (en) * 2009-11-04 2014-05-13 Cisco Technology, Inc. Neighbor discovery message handling to support roaming of wireless mobile client devices
MY153839A (en) * 2010-02-10 2015-03-31 Mimos Berhad Method and system for use in deploying multiple gateways in mobile networks
US8428006B2 (en) 2010-05-04 2013-04-23 Cisco Technology, Inc. Hierarchical control signaling for mobile clients in distributed wireless controller system
US8446876B2 (en) 2010-05-04 2013-05-21 Cisco Technology, Inc. Maintaining point of presence at access switch for roaming clients in distributed wireless controller system
US8441983B2 (en) 2010-05-04 2013-05-14 Cisco Technology, Inc. Maintaining point of presence at tunneling endpoint for roaming clients in distributed wireless controller system
US8520595B2 (en) 2010-05-04 2013-08-27 Cisco Technology, Inc. Routing to the access layer to support mobility of internet protocol devices
US8675601B2 (en) 2010-05-17 2014-03-18 Cisco Technology, Inc. Guest access support for wired and wireless clients in distributed wireless controller system
RU2576492C2 (ru) * 2010-09-03 2016-03-10 Нек Корпорейшн Устройство управления, система связи, способ связи и носитель записи с записанной на нем программой связи
EP2434822B1 (en) * 2010-09-27 2014-04-16 Alcatel Lucent Method and base station system for providing access to a mobile communication network
US8667148B1 (en) * 2010-10-04 2014-03-04 Netblazr Inc. Minimal effort network subscriber registration
CN102694752B (zh) * 2011-03-21 2015-03-11 国基电子(上海)有限公司 网关设备
EP2705429B1 (en) 2011-05-01 2016-07-06 Ruckus Wireless, Inc. Remote cable access point reset
US20130034108A1 (en) * 2011-06-28 2013-02-07 Futurewei Technologies, Inc. System and Method for Communications Network Configuration
US8539055B2 (en) * 2011-06-30 2013-09-17 Aruba Networks, Inc. Device abstraction in autonomous wireless local area networks
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US9137210B1 (en) 2012-02-21 2015-09-15 Amazon Technologies, Inc. Remote browsing session management
KR101761702B1 (ko) * 2012-03-30 2017-08-04 노키아 솔루션스 앤드 네트웍스 오와이 분산된 게이트웨이들을 위한 중앙집중화된 ip 어드레스 관리 방법 및 장치
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
US9166952B2 (en) 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US9826399B2 (en) * 2013-01-04 2017-11-21 Apple Inc. Facilitating wireless network access by using a ubiquitous SSID
ES2934600T3 (es) 2014-05-31 2023-02-23 Huawei Tech Co Ltd Método de conexión de red, terminal de punto de acceso y terminal de gestión
CN104243465A (zh) * 2014-09-09 2014-12-24 京信通信***(中国)有限公司 一种基于wlan的ipsec的实现方法及装置
US10142172B2 (en) * 2015-07-22 2018-11-27 Facebook, Inc. Internet service provider management platform
US11233675B2 (en) * 2016-12-19 2022-01-25 Arris Enterprises Llc System and method for enabling coexisting hotspot and DMZ
CN106961355B (zh) * 2017-04-01 2020-05-15 国家电网公司 网络***及用共享备用路由器实现网络故障恢复的方法
CN110351772B (zh) * 2018-04-08 2022-10-25 慧与发展有限责任合伙企业 无线链路和虚拟局域网之间的映射
CN112204925B (zh) * 2018-07-13 2022-10-28 三菱电机楼宇解决方案株式会社 具有误操作防止功能的电梯***
US11122054B2 (en) 2019-08-27 2021-09-14 Bank Of America Corporation Security tool
US11765131B2 (en) * 2019-10-07 2023-09-19 Schlumberger Technology Corporation Security system and method for pressure control equipment
WO2022150041A1 (en) * 2021-01-08 2022-07-14 Hewlett-Packard Development Company, L.P. Data communications via tethered connections
US20220393967A1 (en) * 2021-06-07 2022-12-08 Vmware, Inc. Load balancing of vpn traffic over multiple uplinks
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels
WO2024044021A1 (en) * 2022-08-24 2024-02-29 National Currency Technologies, Inc. Implementation mechanisms for digital currencies

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (ja) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法及びその装置
JP2001237892A (ja) * 2000-02-25 2001-08-31 Nec Corp アクセスサーバを用いたインターネットアクセス方式および方法
JP2002044076A (ja) * 2000-07-26 2002-02-08 Nippon Telegraph & Telephone East Corp 端末装置、ネットワーク接続制御方法および接続制御プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2002135313A (ja) * 2000-10-25 2002-05-10 Nippon Telegraph & Telephone East Corp 通信システムおよび通信方法
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
JP2003143236A (ja) * 2001-10-30 2003-05-16 Hitachi Ltd ゲートウェイ装置
JP2003167805A (ja) * 2001-12-04 2003-06-13 Nippon Telegr & Teleph Corp <Ntt> 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7411916B2 (en) * 1998-02-26 2008-08-12 Nortel Networks Limited Data forwarding method and apparatus
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US20040019664A1 (en) * 2002-02-15 2004-01-29 Franck Le Method and system for discovering a network element in a network such as an agent in an IP network
US20030233580A1 (en) 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US20040236855A1 (en) * 2003-05-23 2004-11-25 Amir Peles Multi-link tunneling
US7769884B2 (en) * 2003-10-31 2010-08-03 International Business Machines Corporation Network route control

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (ja) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法及びその装置
JP2001237892A (ja) * 2000-02-25 2001-08-31 Nec Corp アクセスサーバを用いたインターネットアクセス方式および方法
JP2002044076A (ja) * 2000-07-26 2002-02-08 Nippon Telegraph & Telephone East Corp 端末装置、ネットワーク接続制御方法および接続制御プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2002135313A (ja) * 2000-10-25 2002-05-10 Nippon Telegraph & Telephone East Corp 通信システムおよび通信方法
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
JP2003143236A (ja) * 2001-10-30 2003-05-16 Hitachi Ltd ゲートウェイ装置
JP2003167805A (ja) * 2001-12-04 2003-06-13 Nippon Telegr & Teleph Corp <Ntt> 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Also Published As

Publication number Publication date
WO2005072276A3 (en) 2005-09-29
CN1954309A (zh) 2007-04-25
JP2007519379A (ja) 2007-07-12
US7860978B2 (en) 2010-12-28
EP1709547B1 (en) 2016-01-06
KR20070008555A (ko) 2007-01-17
WO2005072276A2 (en) 2005-08-11
CN100507895C (zh) 2009-07-01
KR100826736B1 (ko) 2008-04-30
EP1709547A2 (en) 2006-10-11
EP1709547A4 (en) 2013-08-07
US20050165953A1 (en) 2005-07-28

Similar Documents

Publication Publication Date Title
JP4675909B2 (ja) Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
USRE42871E1 (en) Extranet workgroup formation across multiple mobile virtual private networks
US6970459B1 (en) Mobile virtual network system and method
JP4652944B2 (ja) IPv6アクセスネットワークにおけるネットワークサービス選択、認証およびステートレス自動設定
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
JP5281644B2 (ja) ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置
US8185935B2 (en) Method and apparatus for dynamic home address assignment by home agent in multiple network interworking
EP2347560B1 (en) Secure access in a communication network
CA3021367C (en) Using wlan connectivity of a wireless device
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
JP2007518349A (ja) モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置
JP2007532043A (ja) ワイドエリアネットワークを横切る安全なスタンダードベースの通信
JP2005137026A (ja) 無線ネットワークにおける移動加入者認証方法およびそのコンピュータプログラム
WO2006118497A1 (en) Operator shop selection
US20090106831A1 (en) IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO
JP2004312257A (ja) 基地局、中継装置及び通信システム
Jarvinen Comparing IPv4 and IPv6 mobility and autoconfiguration for residential networks
Vijay et al. A Secure Gateway Solution for Wireless Ad-Hoc Networks.
ARIF STATELESS AUTO CONFIGURATION AND SECURED DATA TRANSMISSION IN IPV6 NETWORKS THROUGH IPSEC TUNNELING

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090616

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100524

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100531

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100623

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100630

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100723

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100730

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140204

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4675909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees