JP5119242B2 - モバイルipキーを提供する方法とシステム - Google Patents

モバイルipキーを提供する方法とシステム Download PDF

Info

Publication number
JP5119242B2
JP5119242B2 JP2009512551A JP2009512551A JP5119242B2 JP 5119242 B2 JP5119242 B2 JP 5119242B2 JP 2009512551 A JP2009512551 A JP 2009512551A JP 2009512551 A JP2009512551 A JP 2009512551A JP 5119242 B2 JP5119242 B2 JP 5119242B2
Authority
JP
Japan
Prior art keywords
mobile
key
terminal device
encoded
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009512551A
Other languages
English (en)
Other versions
JP2009539289A (ja
Inventor
ファルク ライナー
クレーゼルベルク ディルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2009539289A publication Critical patent/JP2009539289A/ja
Application granted granted Critical
Publication of JP5119242B2 publication Critical patent/JP5119242B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、殊にWiMaxネットワークのために、モバイルIPキーを提供するための方法とシステムに関する。
TCP/IPプロトコルを用いるインターネットはモバイルの分野に関するより高度のプロトコルを開発するためのプラットフォームを提供する。インターネットプロトコルは広く普及しているので、相応のプロトコル拡張によってモバイル環境に関してより多くの利用者を開拓することができる。しかしながら従来のインターネットプロトコルは本来モバイルの用途のために構想されていない。従来のインターネットのパケット交換においては固定のコンピュータ間でパケットが交換されており、これらのパケットのネットワークアドレスは変化せず、またこれらのパケットが異なるサブネットワーク間でローミングされることもない。モバイル端末装置ないしモバイルコンピュータを備えた無線ネットワークにおいては、モバイルコンピュータMS(モバイル局)が種々のネットワークに組み込まれることが多い。DHCP(動的ホスト構成プロトコル;Dynamic Host Configuration Protocol)は、相応のサーバを用いてネットワーク内のコンピュータへのIPアドレスおよび別のコンフィギュレーションパラメータの動的な割り当てを実現する。ネットワークに組み込まれるコンピュータにはDHCPプロトコルにより自由なIPアドレスが自動的に割り当てられる。モバイルコンピュータにDHCPがインストールされると、このコンピュータはDHCPプロトコルによるコンフィギュレーションをサポートするローカルネットワークのエリア内で動作しなければならない。DHCPプロトコルでは動的なアドレス設定が実現される。すなわち自由なIPアドレスが自動的に所定の時間にわたり割り当てられる。この時間の経過後には、モバイルコンピュータMSによるリクエストが新たに行われなければならないか、IPアドレスを別のやり方で割り当てることができる。
DHCPによりマニュアルによるコンフィギュレーションを行うことなくモバイルコンピュータMSをネットワークに組み込むことができる。その前提として単にDHCPサーバが提供されれば良い。モバイルコンピュータMSはローカルネットワークのサービスを利用することができ、また例えば中央に記憶されているデータファイルを利用することができる。しかしながら、モバイルコンピュータMS自体がサービスを提供する場合には、潜在的なサービスユーザがそのモバイルコンピュータMSを発見することはできない。何故ならば、そのモバイルコンピュータのIPアドレスはモバイルコンピュータが組み込まれるネットワーク毎に変わるからである。同様のことは、IPコネクションが確立されている間にIPアドレスが変わる場合にも発生する。これによりコネクションが中断される。したがってモバイルIPの場合にはモバイルコンピュータMSに他のネットワークにおいても保持されるIPアドレスが割り当てられる。従来のIPネットワーク切り換えにおいては、IPアドレス設定を相応に適合させることが必要であった。IPメカニズムおよび従来の自動的なコンフィギュレーションメカニズムが恒常的に適合される場合、確立中のコネクションがIPアドレスの変更の際に遮断される。MIPプロトコル(RFC2002,RFC2977,RFC3344,RFC3846,RFC3957,RFC3775,RFC3776,RFC4285)はモバイル端末装置MSのモビリティをサポートする。従来のIPプロトコルにおいては、モバイル端末装置MSにアドレッシングされたデータパケットを正確にルーティングするためにIPサブネットワークを切り換える場合、モバイル端末装置MSはその都度自身のIPアドレスを適合させなければならなかった。確立中のTCPコネクションを維持するために、モバイル端末装置MSは自身のIPアドレスを保持しなければならない。何故ならば、アドレス変更によりコネクションは遮断されるからである。MIPプロトコルにより2つのアドレス間、すなわち恒久的なホームアドレスと一時的な気付アドレス(Care-Of-Address)との間のトランスパレントなコネクションが実現される。気付アドレスはその時点においてモバイル端末装置にアクセスすることができるIPアドレスである。
ホームエージェント(Home Agent)HAは、モバイル端末装置MSが本来のホームネットワーク内に存在しない場合のこのモバイル端末装置MSのエージェントである。ホームエージェントにはモバイルコンピュータMSの現在地に関する情報が恒常的に通知される。ホームエージェントHAは通常の場合、モバイル端末装置のホームネットワーク内のルータの構成要素である。モバイル端末装置MSがホームネットワーク外に存在する場合には、ホームエージェントHAはモバイル端末装置MSがログインできる機能を提供する。この場合、ホームエージェントHAはモバイル端末MSにアドレッシングされたデータパケットをモバイル端末MSの現在のサブネットワークに転送する。
フォーリンエージェント(Foreign Agent)FAは、モバイル端末装置MSが移動しているサブネットワーク内に存在する。フォーリンエージェントFAは到来したデータパケットをモバイル端末装置MSないしモバイルコンピュータMSに転送する。フォーリンエージェントFAはいわゆるフォーリンネットワーク(訪問先のネットワーク)内に存在する。フォーリンエージェントFAも通常の場合ルータの構成要素である。フォーリンエージェントFAはモバイル端末装置MSとそのモバイル端末装置MSのホームエージェントHAとの間で全ての管理モバイルデータパケットをルーティングする。フォーリンエージェントFAはホームエージェントHAから送信、トンネリングされたIPデータパケットをアンパックし、そのデータをモバイル端末装置MSに転送する。
モバイル端末装置MSのホームアドレスは、モバイル端末装置MSに恒常的にアクセスすることができるアドレスである。ホームアドレスはホームエージェントHAと同一のアドレスプレフィクスを有する。気付アドレスはモバイル端末装置MSがフォーリンネットワークにおいて使用するIPアドレスである。
ホームエージェントHAはいわゆるモビリティ結合テーブル(MBT: Mobility Binding Table)を管理する。このテーブル内のエントリは、モバイル端末装置MSの2つのアドレス、すなわちホームアドレスと気付アドレスを相互に対応付け、データパケットを相応にリルートするために使用される。
MBTテーブルはホームアドレス、気付アドレス、この対応付けが有効である期間(ライフタイム)についての情報に関するエントリを含む。
図1は、従来技術によるモビリティ結合テーブルMBTの一例を示す。
フォーリンエージェントFAは訪問者リストないしビジターリスト(VL:Visitor List)を有し、このリストはその時点においてフォーリンエージェントFAのIPネットワーク内に存在するモバイル端末装置MSに関する情報を包含する。
図2は、従来技術によるその種の訪問者リストの一例を示す。
モバイルコンピュータMSをネットワークに組み込むためには、モバイルコンピュータMSは先ず自身がホームネットワーク内にいるのか外部ネットワーク内にいるのかを識別しなければならない。付加的にモバイル端末装置は、どのコンピュータがホームエージェントもしくはフォーリンエージェントのサブネットワーク内にあるかを識別しなければならない。これらの情報はいわゆるエージェント発見(Agent Discovery)によって求められる。
続く登録によってモバイル端末装置MSは自身の現在地を自身のホームエージェントHAに通知することができる。このためにモバイルコンピュータないしモバイル端末装置MSはホームエージェントに目下の気付アドレスを送信する。登録のためにモバイルコンピュータMSは登録リクエスト(Registration-Request)ないし登録要求をホームエージェントに送信する。ホームエージェントHAは気付アドレスを自身のリストに登録し、登録リプレイ(Registration Reply)ないし登録応答により応答する。もっともこの場合、安全性に関する問題が存在する。原理的には各コンピュータはホームエージェントHAに登録リクエストを送信することができるので、簡単にホームエージェントHAに、コンピュータは別のネットワーク内を移動しているかのように認識させることができてしまう。つまり外部のコンピュータはモバイルコンピュータないしモバイル端末装置の全てのデータパケットを受け取ることも可能であり、このことを送信器が識別することもない。これを阻止するために、モバイルコンピュータMSおよびホームエージェントHAは共通の秘密キーを使用する。モバイルコンピュータMSが自身のホームネットワークに戻ると、このモバイルコンピュータMSはホームエージェントHAにおける登録が取り消される。何故ならばモバイルコンピュータMSは全てのデータパケットを自身で受け取ることができるからである。モバイル無線ネットワークは殊に以下のセキュリティ特性を有していなければならない。所望の通信パートナに対してのみ情報を公開することが許可される。すなわち伝送されるデータに対する不所望な傍受者によるアクセスは許可されない。すなわちモバイル無線ネットワークは秘匿性(Confidentiality)の特性を有していなければならない。さらに真正性が与えられていなければならない。真正性(Authenticity)により通信パートナは、所望の通信パートナとの通信が実際に確立されたか否か、もしくは部外者が通信パートナと称しているか否かを一義的に識別することができる。認証をメッセージ毎またはコネクション毎に実施することができる。コネクションを基礎として認証が行われる場合には、セッション(Session)の開始時に一度だけ通信パートナが識別される。セッションの更なる経過に関しては、後続のメッセージが依然として相応の送信器に由来することが前提とされる。通信パートナの同定が確定されている場合であっても、すなわち通信パートナが認証されている場合であっても、この通信パートナは全てのリソースへのアクセスが許可されない、もしくはネットワークを介する全てのサービスの利用が許可されなことが生じる可能性がある。この場合においては、相応の許可は通信パートナの先行する認証を前提とする。
モバイルデータネットワークにおいては、メッセージがエアインタフェースを介して比較的長い区間にわたり伝送され、したがって潜在的な攻撃者はこれらのメッセージに容易にアクセスすることができる。したがってモバイル無線データネットワークにおいてはセキュリティの観点が非常に重要な役割を担う。データネットワークにおける安全性を高めるための実際の手段は暗号化技術である。暗号化によって、権限のない第三者がデータにアクセスできることなく、信頼性が低い通信経路、例えばエアインタフェースを介してデータを伝送することができる。暗号化のためにデータ、すなわちいわゆる平文が暗号化アルゴリズムにより暗号文に変換される。暗号化された文を信頼性が低いデータ伝送チャネルを介して伝送し、続けて復号ないし解読することができる。
非常に有望な無線アクセス技術としてWiMax(Worldwide Interoperability for Microwave Access)が新たな標準として提案されており、これはIEEE802.16無線伝送に関して使用される。WiMaxにより送信局は100Mbit/秒のデータレートで50kmまでの領域をカバーすることができる。
図3は、WiMax無線ネットワークに関する基準モデルを示す。モバイル端末装置MSはアクセスネットワーク(ASN:Access Serving Network)内に存在する。アクセスネットワークASNは少なくとも1つの訪問先ネットワーク(VCSN:Visited Connectivity Service Network)ないし中間ネットワークを介してホームネットワークHCSN(Home Connectivity Service Network)と接続されている。異なるネットワークはインタフェースないし基準点Rを介して相互に接続されている。移動局MSのホームエージェントHAはホームネットワーク(HCSN)または訪問先ネットワーク(VCSN)内に存在する。
WiMaxは移動局MS自体がMIPクライアント機能を実現するモバイルIP、すなわちいわゆるクライアントMIP(CMIP)と、MIPクライアント機能がWiMaxアクセスネットワークASNによって実現されているプロキシMIP(PMIP)の2つの実現ヴァリエーションをサポートする。このためにASN内に設けられている機能はプロキシモバイルノード(PMN)またはPMIPクライアントと称される。これによって自身ではMIPをサポートしない移動局MSによってもMIPを使用することができる。
図4は、ホームエージェントHAが訪問先ネットワークVCSN内に存在する場合の従来技術によるプロキシMIP(PMIP)におけるコネクション確立を示す。
モバイル端末装置MSと基地局BSとの間の無線コネクションが確立された後に、先ずアクセス認証が行われる。認証、許可および課金の機能はいわゆるAAAサーバによって行われる(AAA:Authentication Authorization and Accounting)。モバイル端末装置MSとホームネットワーク(HAAA)のAAAサーバとの間では認証メッセージが交換され、この認証メッセージによりホームエージェントHAのアドレスおよび認証キーが取得される。ホームネットワーク内の認証サーバは加入者のプロフィールデータを有する。AAAサーバはモバイル端末装置の加入者識別子を包含する認証リクエストメッセージを受け取る。AAAサーバはアクセス認証の成功後に、モバイル端末装置MSとアクセスネットワークASNの基地局BSとの間のデータ伝送区間を保護するためにMSKキー(MSK:Master Session Key)を生成する。このMSKキーはホームネットワークのAAAサーバから中間ネットワークCSNを介してアクセスネットワークASNに伝送される。
アクセス認証後には、図4から見て取れるように、DHCPプロキシサーバがアクセスネットワークASNにおいてコンフィギュレートされる。IPアドレスおよびホストコンフィギュレーションが既にAAA応答メッセージに含まれている場合には、全ての情報がDHCPプロキシサーバにダウンロードされる。
認証および許可の成功後に、移動局ないしモバイル端末装置MSはDHCP発見メッセージ(discovery message)を送信し、またIPアドレス割り当てが行われる。
モバイル端末装置MSがネットワークに組み込まれると、モバイル端末装置MSはホームネットワークにいるか外部ネットワークにいるかを認識できなければならない。さらにモバイル端末装置MSは、それぞれのネットワーク内のどのコンピュータがホームエージェントもしくはフォーリンエージェントであるかを識別しなければならない。これらの情報はいわゆるエージェント発見(Agent Discovery)によって求められる。2種類のエージェント発見、すなわちいわゆるエージェント広告(Agent Advertisement)およびエージェント誘導(Agent Solicitation)が存在する。
エージェント広告ではエージェント、すなわちホームエージェントまたはフォーリンエージェントが周期的にブロードキャストメッセージをサブネットワークの全てのコンピュータもしくはモバイル端末装置に送信する。所定の期間にブロードキャストメッセージを聴取する各コンピュータはそれぞれのサブネットワークにおけるエージェントを識別することができる。
モバイル端末装置MSが新たに起動される場合、一般的に次のエージェント広告を待機することは実用的ではない。モバイル端末装置MSは即座に、今現在どのサブネットワーク内にいるかを知らなければならない。したがって、いわゆるエージェント誘導においてはエージェント広告を実施する要求がそれぞれのサブネットワークの全てのコンピュータに送信される。エージェント誘導によって、エージェントを即座に識別することをモバイル端末装置MSに強制することができ、これにより待機時間が著しく短縮される。エージェント誘導は例えばパケット損失またはネットワーク切り換えの際にエージェント広告が行われない場合にも実施される。エージェント発見により、モバイル端末装置MSは自身がホームネットワーク内にいるか、フォーリンネットワーク内にいるかを識別することもできる。エージェント広告メッセージ内のパケット情報に基づきモバイル端末装置MSはホームエージェントを識別する。モバイル端末装置MSがフォーリンネットワークからのメッセージパケットを受信すると、モバイル端末装置は自身の現在地が最後の広告以降に変わったか否かを付加的に識別することができる。モバイル端末装置MSが広告メッセージを受信しない場合には、モバイル端末装置MSは先ずホームネットワーク内におり、且つホームエージェントHAは妨害されていないことを想定する。この場合モバイル端末装置MSはこの想定を確認するためにネットワークのルータとコンタクトを取ることを試みる。モバイル端末装置MSがホームネットワーク内にいない場合には、モバイル端末装置はDHCPサーバにアクセスし、サブネットワークのアドレスを取得することを試みる。この試みが成功すると、モバイル端末装置MSはこのアドレスをいわゆる共有気付アドレス(Colocated Care-of-Adresse)として使用し、ホームエージェントHAとコンタクトを取る共有気付アドレスはフォーリンネットワーク内のモバイル端末装置MSに割り当てられたアドレスであり、またホームエージェントHAにも伝送される。
ネットワークベースのモビリティ管理(PMIP)と端末装置ベースのモビリティ管理(CMIP)は区別される。端末装置ベースのモビリティ管理CMIPは端末装置モバイルIP(MIP)をサポートする。
図4は従来のネットワークベースのモビリティ管理(PMIP)におけるコネクション確立を示し、図5は従来の端末装置ベースのモビリティ管理(CMIP)におけるコネクション確立を示す。
モバイル端末装置MSとネットワークとの間においてコネクションを確立する場合、ホームネットワークの認証サーバ(H−AAA)は加入者の認証が成功した後に認証確認メッセージ(SUCCESS)を送信する。認証確認メッセージは認証クライアントに加入者の認証は成功したことを通知する。
プロキシMIPないしネットワークベースのモビリティ管理(PMIP)ではモバイル端末装置はモバイルIPをサポートしない、もしくは相応のMIPソフトウェアはモバイル端末装置MSにおいて起動されない。
これに対してクライアントMIP(CMIP)ないし端末装置ベースのモビリティ管理においては、モバイルIPがそれぞれの端末装置または移動局MSによってサポートされる。
プロキシMIPではモバイル端末装置MSはDHCPサーバによって割り当てられたIPアドレスしか識別しない。モバイル端末装置MSの気付アドレスはモバイル端末装置には既知ではなく、PMIPクライアント、フォーリンエージェントFAならびにホームエージェントHAに既知である。これに対してクライアントMIPでは、モバイル端末装置MSは両方のIPアドレス、すなわちホームアドレスも気付アドレスも識別する。
図4,5から見て取れるように、IPアドレスが割り当てられた後にMIP登録が行われる。MIP登録の際にホームエージェントHAには、モバイル端末装置MSの現在地に関する情報が通知される。登録のためにモバイル端末装置MSまたは相応のPMIPクライアントは目下の気付アドレスを包含する登録リクエストをホームエージェントHAに送信する。ホームエージェントHAは気付アドレスを自身が管理するリストに登録し、登録応答(Registration Reply)により応答する。原理的には各コンピュータはホームエージェントHAに登録リクエストを送信することができるので、簡単にホームエージェントHAに、コンピュータまたはモバイル端末装置MSは別のネットワーク内を移動しているかのように認識させることができてしまう。これを阻止するために、モバイル端末装置MSもホームエージェントHAも共通の秘密キー、すなわちいわゆるモバイルIPキー(MIP−KEY)を使用する。
プロキシMIP(PMIP)では登録リクエスト(MIPRRQ)がアクセスネットワークASN内のPMIPクライアントからフォーリンエージェントFAを介してホームエージェントHAに伝送される。図4に示されているように、ホームエージェントHAには所属の認証サーバH−AAAから加入者に対するキーが割り当てられ、ホームエージェントHAはこのキーをMIP登録応答(MIP Registration Reply)と共に伝送する。
図5に示されているように、端末装置ベースのモビリティ管理(CMIP)では、登録リクエストメッセージ(MIPRRQ)が直接的にモバイル端末装置MSからフォーリンエージェントFAを介してホームエージェントHAに送信される。
図4,5から見て取れるように、PMIPおよびCMIPではアクセス認証の際に、モバイルIPシグナリングメッセージを暗号化するために同一のモバイルIPキー(MIPキー)が認証サーバによって提供される。モバイルIPキーはモバイルIPクライアントとモバイルIPホームエージェントHAとの間でモバイルIPシグナリングメッセージを暗号化するために使用される。
したがって図5に示されているCMIPの場合には、オーセンティケータ(Authenticator)は自身が全く必要としないモバイルIPキーを取得する。オーセンティケータは通常の場合、アクセスネットワークASNのゲートウェイノード内に設けられている。モバイルIPキーはモバイル端末装置MSとホームエージェントHAとの間のシグナリングメッセージを暗号化するべきなので、オーセンティケータはこのモバイルIPキーを必要としない。したがって従来のシステムにおいてアクセスネットワークASNは、全く必要とされないのだが不正操作のためには使用することができるキーを取得していた。例えば、伝送する必要のないモバイルIPキーを用いて、アクセスネットワークのゲートウェイノードから権限のないモバイルIP登録リクエストメッセージ(MIPREQ)を送信することも可能である。別の欠点は伝送する必要のないモバイルIPキーがASNゲートウェイノードの記憶スペースを不必要に占有することである。
本発明の課題は、不正操作を回避するために、モバイルIPキーを実際に必要とするノードにのみこのモバイルIPキーが割り当てられる方法とシステムを提供することである。
本発明によればこの課題は、請求項1に記載されている特徴を備えた方法および請求項20に記載されている特徴を備えたシステムによって解決される。
本発明は、加入者端末装置(MS)またはPMIPクライアントとホームエージェント(HA)との間のメッセージを暗号化するために設けられているモバイルIPキーを提供するための方法に関し、この方法においては、認証サーバが相応に符号化されたパラメータPに基づき、加入者端末装置(MS)自体がモバイルIPを使用しない(PMIP)ことを識別する場合にのみ認証サーバがモバイルIPキー(MIP−KEY)を提供する。
本発明による方法の有利な実施形態においては、符号化されたパラメータPが符号化された加入者識別子NAI(Network Access Identifier)によって形成される。有利な実施形態においては、認証サーバがAAA認証サーバによって形成される。
本発明による方法の別の実施形態においては、符号化された加入者識別子がメッセージにより加入者端末装置MSの認証の間に認証サーバに伝送される。
本発明による方法の択一的な実施形態においては、符号化された加入者識別子NAIがメッセージにより加入者端末装置MSの登録の間に認証サーバに伝送される。
本発明による方法の択一的な実施形態においては、符号化されたパラメータが符号化されたセキュリティパラメータインデクス(SPI)によって形成される。
有利な実施形態においては、符号化されたセキュリティパラメータインデクス(SPI)が加入者端末装置MSの登録の間に認証サーバに伝送される。
本発明による方法の1つの実施形態においては、パラメータPの符号化がモバイル端末装置MSによって行われる。
本発明による方法の択一的な実施形態においては、パラメータPの符号化がオーセンティケータによって行われる。
本発明による方法の別の択一的な実施形態においては、パラメータPの符号化がPMIPクライアントによって行われる。
本発明による方法の別の択一的な実施形態においては、パラメータPの符号化がフォーリンエージェントFAによって行われる。
本発明による方法の有利な実施形態においては、MIPヴァージョンが何であるかが付加的にパラメータPと一緒に符号化される。
本発明による方法の別の実施形態においては、ホームエージェントHAが符号化されたパラメータを提示して認証サーバにモバイルIPキー(MIP−KEY)を要求する。
本発明による方法の別の実施形態においては、認証サーバが2つの異なるMIPキーを提供し、モバイル端末装置MS自体がモバイルIPを使用する場合、ホームエージェントHAには認証サーバによって第1のCMIPキーが提供され、モバイル端末装置MS自体がモバイルIPを使用しない場合、ホームエージェントHAには認証サーバによって第2のPMIPキーが提供される。
本発明による方法の有利な実施形態においては、認証サーバがモバイルIPルートキー(RK)および文字列に依存して、モバイルIPキー(MIP−KEY)として提供されるハッシュ値Hを計算する。
文字列は有利には連結されたサブ文字列から形成される。
有利な実施形態においては、サブ文字列がホームエージェントのIPアドレスによって形成される。
本発明による方法の1つの実施形態においては、加入者識別子NAIが以下のデータフォーマットを有する:
[Routing Realm1! Routing Realm2!...!]{Auth Mode}pseudo Identitiy@realm
ここでpseudo Identitiyは認証の際に端末装置MSによって生成されるランダム数を表し、またAuth Modeは認証モードを表す記号である。
本発明による方法の1つの実施形態では、符号化された加入者識別子NAIにおいて認証モード(Auth Mode)が少なくとも1つの記号について拡張され、この記号は加入者端末装置MS自体がモバイルIPを使用するか否かを表す。
さらに本発明は、加入者端末装置MSまたはPMIPクライアントとホームエージェントHAとの間のメッセージを暗号化するために設けられているモバイルIPキーを提供するためのシステムに関し、このシステムにおいては、認証サーバが相応に符号化されたパラメータPに基づき、加入者端末装置MS自体がモバイルIPを使用しない(PMIP)ことを識別する場合にのみ認証サーバがモバイルIPキー(MIP−KEY)を提供する。
さらに本発明は、認証サーバにアドレッシングされているネットワークログインメッセージおよび/またはホームエージェントHAにアドレッシングされているMIP登録リクエストメッセージにより、モバイル端末装置MS自体がモバイルIPを使用するか否かを表す符号化されたパラメータPを伝送するモバイル端末装置MSに関する。
さらに本発明は、ホームエージェントHAにアドレッシングされているMIP登録リクエストメッセージにより、所属のモバイル端末装置MS自体がモバイルIPを使用するか否かを表す符号化されたパラメータPを伝送する、アクセスネットワークASNのクライアントコンピュータに関する。
以下では、本発明の本質をなす特徴を説明するために、添付の図面を参照しながら、モバイルIPキーを提供する本発明による方法および本発明によるシステムの有利な実施形態を説明する。ここで、
図1は、従来技術によるモビリティ結合テーブルを示す。
図2は、従来技術による訪問者リストを示す。
図3は、WiMax無線ネットワークに関する基準モデルを示す。
図4は、従来技術によるプロキシMIP(PMIP)におけるコネクション確立を示す。
図5は、従来技術によるクライアントMIP(CMIP)におけるコネクション確立を示す。
図6は、モバイルIPキーを提供するための本発明による方法を使用することができるWiMaxネットワークを示す。
図7は、モバイルIPキーを提供するための本発明による方法が実施されるWiMaxネットワークへのログインを示す。
図8は、本発明による方法の実施形態を説明するための、ネットワークへのログインの際に伝送される加入者識別子のコーディングを説明する表を示す。
図9は、モバイルIPキーを提供する本発明による方法を説明するためのCMIPの場合に関する信号チャートを示す。
図10は、モバイルIPキーを提供する本発明による方法を説明するためのPMIPの場合に関する別の信号チャートを示す。
図11は、モバイルIPキーを提供する本発明による方法の別の実施形態を説明するためのPMIPの場合に関する別の信号チャートを示す。
図12は、モバイルIPキーを提供する本発明による方法の別の実施形態を説明するためのCMIPの場合に関する別の信号チャートを示す。
図6は、モバイルIPキーを提供するための本発明による方法を使用することができるWiMaxネットワークアーキテクチャを示す。モバイル端末装置1(MS=移動局)はインタフェースR1を介してアクセスネットワーク2(ASN=アクセスサービスネットワーク;Access Service Network)に接続されている。アクセスネットワーク2はインタフェースR3を介して訪問先ネットワーク3(VCSN=訪問先のコネクティビティサービスネットワーク;Visited Connectivity Service Network)に接続されている。この訪問先ネットワーク3はインタフェースR5を介してホームネットワーク4(HCSN=ホームコネクティビティサービスネットワーク;Home Connectivity Service Network)と接続されている。
モバイル端末装置1が第1のアクセスネットワーク2から第2のアクセスネットワーク2’に移動すると、第1のアクセスネットワークと第2のアクセスネットワークとの間で引渡し(ハンドオーバ)が行われる。この引渡し(ハンドオーバ)はWiMax仕様において「マクロモビリティ管理;Macro Mobility Management」または「R3モビリティ;R3 Mobility」もしくは「インタASNモビリティ;Inter ASN Mobility」と称される。訪問先ネットワーク3およびホームネットワーク4はそれぞれアクセスサービスプロバイダ(ASP;Access Service Provider)のネットワークまたはインターネットに接続されている。
各アクセスネットワーク2は複数の基地局BSを有し、それらの基地局BSはインタフェースR6を介してASNゲートウェイノード5に接続されている。図6に示されているASNゲートウェイノード5はオーセンティケータ5A、MIPフォーリンエージェント5BおよびPMIPクライアント5Cを有する。各訪問先ネットワーク3には、図6に示されているようにAAAサーバ3Aが設けられている。同様にホームネットワーク4にはオーセンティケータ4Aならびにホームエージェント4Bが設けられている。
モバイル端末装置1に関して2つのケースを区別することが重要である。つまり、モバイル端末装置1は自身でモバイルIPをサポートし、且つ固有のCMIPクライアントを有するか、モバイル端末装置1はモバイルIPをサポートせず、且つアクセスネットワーク2のゲートウェイノード5におけるPMIPクライアント5Cを必要とする。
図7は、本発明による方法を説明するための信号チャートを示す。
加入者端末装置1またはPMIPクライアント5Cとホームエージェント4Bとの間のメッセージを暗号化するため、すなわち例えば不正操作および/またはリスニングから暗号により保護するために設けられているモバイルIPキーを提供する本発明による方法においては、ホームネットワーク4内の認証サーバ4Aが相応に符号化されたパラメータPに基づき、加入者端末装置1自身がモバイルIPキーを使用することができない、またはPMIPのケースである場合にのみ、認証サーバ4AはモバイルIPキーを提供する。モバイルIPキーを用いて殊にメッセージの不正操作(変更)を暗号化方法(暗号的チェックサム、メッセージ認証コード;MAC)により阻止することができるリスニングから保護するためにもメッセージを暗号化することができる。
パラメータPは有利には符号化された加入者識別子またはネットワークアクセス識別子(NAI;Network Access Identifier)である。
もっとも、ネットワークへのログインの間に伝送される別のパラメータPも本発明による方法では符号化することができる。例えば、登録の際に使用されるセキュリティパラメータインデクス(SPI;Security Parameter Index)も符号化することができる。
図7から見て取れるように、モバイル端末装置1は認証の際に認証サーバ4Aに符号化された加入者識別子NAIを伝送する。符号化された加入者識別子NAIに基づき認証サーバ4Aは、モバイル端末装置1は自身でモバイルIPキーをサポートするものであるか(CMIP)、またはモバイル端末装置1はモバイルIPをサポートしないものであるか(PMIP)を識別する。認証サーバ4Aが符号化されたパラメータPに基づき、モバイル端末装置1自体はモバイルIPを使用しないということを確認した場合にのみ、つまりPMIPの場合にのみ、モバイルIPキー(MIPキー)が加入者端末装置1とモバイル端末装置1のホームエージェント4Bとの間のメッセージを暗号化するために提供される。考えられる第1の実施形態においては、加入者端末装置1自体がモバイルIPを使用しない場合(PMIPの場合)、認証サーバ4AがモバイルIPキーを伝送する。このPMIPのケースに関して認証サーバ4AはモバイルIPキー(MIPキー)をSUCCESSにおいて、ASNゲートウェイ5内に設けられているオーセンティケータ5Aに伝送し、このオーセンティケータ5Aは再びモバイルIPキーをPMIPクライアントに提供する。逆の場合に(CMIPの場合)に関して、すなわちモバイル端末装置1がモバイルIPをサポートする場合、第1のヴァリエーションにおいては認証サーバ4Aからオーセンティケータ5AにはIPキーは伝送されない。択一的なヴァリエーションにおいては、認証サーバ4Aが2つの異なるIPキー、すなわちモバイル端末装置1自体がモバイルIPを使用する場合の第1のCMIPキーと、モバイル端末装置1自体がモバイルIPを使用しない場合の第2のPMIPキーを提供する。相応のキーが認証サーバ4Aによってオーセンティケータ5Aおよびホームエージェント4Bに伝送される。
1つの実施形態においては、パラメータP、殊に加入者識別子NAIの符号化がモバイル端末装置1によって行われる。別の実施形態においては、パラメータPの符号化がオーセンティケータ5A、PMIPクライアント5Cまたはフォーリンエージェント5Bによって行われる。
別の有利な実施形態においては、MIPヴァージョンが何であるか、すなわちMIPV4であるかMIPV6であるかが付加的にパラメータと一緒に符号化される。
ホームエージェント4Bは符号化されたパラメータP、殊に符号化された加入者識別子NAIを提示して、ホームエージェント4Bと加入者端末装置1またはこの加入者端末装置1のPMIPクライアント5Cとの間のメッセージの暗号化に必要とされるモバイルIPキーを認証サーバ4AにおけるMIP登録の際に要求する。
加入者識別子NAIの符号化を種々のやり方で行うことができる。認証の際と登録の際に同一の加入者識別子NAIが使用されることは必ずしも必要とされない。したがって認証の際に使用される加入者識別子NAIおよび登録の際に使用される加入者識別子NAIRは図7に示唆されているように異なっていてもよい。
加入者識別子NAIは有利には以下のデータフォーマットを有する:
[Routing Realm1! Routing Realm2!...!]{Auth Mode}pseudo Identitiy@realm
ここでpseudo Identitiyは認証の際に端末装置1によって生成されるランダム数を表し、またAuth Modeは認証モードを表す記号である。認証モードは認証サーバにどの認証モードがモバイル端末装置1によって要求されるかを示す。
本発明による方法の考えられる実施形態においては、加入者識別子NAIに含まれており、記号または数字であることが考えられる認証モードが、加入者端末装置1自体はモバイルIPを使用するか否かを表す少なくとも1つの付加的な記号に拡張される。
例えば加入者識別子NAI
{1}[email protected]
はCMIPの場合には:
{1C}[email protected]
のように符号化され、PMIPの場合には:
{1P}[email protected].
のように符号化される。
択一的に、加入者識別子NAIは例えばCMIPの場合にのみ記号について拡張され、このCMIPの場合には符号化された加入者識別子:{1c}[email protected]が得られる。PMIPの場合には認証モードの文字列の拡張は行われないので、符号化された加入者識別子:
{1}[email protected]が得られる。
認証の際に使用される加入者識別子と登録の際に使用される加入者識別子NAIRに対して同じ符号化または異なる符号化が実施されるように加入者識別子NAIを符号化するための種々のヴァリエーションが存在する。
符号化のための考えられるヴァリエーションが表の形で図8に示されている。
例えばヴァリエーションV1においては、認証モードにおける文字列がPMIPの場合に関しては認証の際の加入者識別子NAIAにおいても登録の際の加入者識別子NAIRにおいても記号「P」に拡張されており、他方CMIPの場合に関しては記号「C」に拡張されている。
ヴァリエーションV2においては、PMIPの場合に関して認証モード文字列の拡張は行われず、他方CMIPの場合に関しては認証モードが記号「C」に拡張される。別のヴァリエーションV3〜V6は図8の表に示されている。
さらには、IPヴァージョンは何であるか、例えばMIPV4であるかMIPV6であるかを加入者識別子NAIに一緒に符号化することも可能であり、これは記号「P」または「C」に数字「4」または「6」が付されることにより行われる。
任意のASCII記号をそれぞれのケースの符号化に使用することももちろん可能である。
認証サーバ4Aは加入者識別子NAIと一緒に符号化されているMIPモードに依存してPMIPキーまたはCMIPキーをホームエージェント4Bに供給する。
本発明による方法においては、ホームエージェント4Bまたは認証サーバ4Aが、モバイル端末装置1がネットワークへのログインの際に使用する符号化された加入者識別子NAIに基づき、CMIPが使用されるかPMIPが使用されるかを識別する。
キー導出およびキー伝送はCMIPであるかPMIPであるかに依存して行われる。
第1のヴァリエーションにおいては、実際にPMIPである場合にのみMIPキーがアクセスネットワーク5に伝送される。キーの階層は変更されてはならず、またモバイル端末装置1とホームエージェント4Bとの間のメッセージを暗号化するためのキーのみが生成される。
択一的な実施形態においては、PMIPの場合とCMIPの場合とで異なるMIPキーが導出される。
例えば、認証サーバはハッシュ関数Hを用いて、モバイルIPルートキー(MIP−RK)および文字列に依存して、モバイルIPキーとして提供されるハッシュ値を計算する:
MM−HA−PMIP4=H(MIP−RK,"PMIP4MNHA"|HA−IP)
MN−HA−CMIP4=H(MIP−RK,"CMIP4MNHA"|HA−IP)
ハッシュ関数Hを用いるハッシュ値の計算の際に使用される文字列を例えば連結されたサブ文字列から構成することができる。有利にはサブ文字列HA−IPがホームエージェント4BのIPアドレスによって形成される。このサブ文字列がPMIPの場合とCMIPの場合とで異なる文字列に付されるか連結され、例えばPMIPの場合には「PMIP4MNHA」となり、またCMIPの場合には「CMIP4MNHA」となる。この場合には、構成された文字列およびモバイルIPルートキー(MIP−RK)からハッシュ値がハッシュ関数Hを用いて計算される。構成された文字列はPMIPの場合とCMIPの場合とで異なる部分を有するので、計算された2つのハッシュ値HP(MM−HA−PMIP4),HC(MN−HA−CMIP4)はPMIPの場合とCMIPの場合とで異なり、モバイルIPキーとしてそれぞれの場合に提供することができる。
アクセスネットワーク5にCMIPキー(MN−HA−CMIP4)は送信されずに、PMIPキー(MN−HA−PMIP4)のみが送信される。
ホームエージェント4Bが後にMIP登録の際に認証サーバ4AからMIPキーを要求すると、認証サーバ4Aは加入者識別子NAIに一緒にコーディングされたMIPモード(CMIPまたはPMIP)に依存してPMIPキー(MS−HA−PMIP4)またはCMIPキー(MS−HA−CMIP4)をホームエージェント4Bに送信する。ここではアクセスネットワークASN(プロキシMN)がMIPキーを受信したにもかかわらず、クライアントがMIPをサポートする場合(CMIPの場合)にはこのMIPキーを使用することはできない。すなわちホームエージェント4Bは、CMIPキー(MN−HA−CMIP4)によって保護されているMIPクライアントからのシグナリングメッセージのみを受け入れる。
択一的に、PMIPとCMIPとに関して異なるキーの導出をホームエージェント4Bにおいて直接行うことができる。これは、認証サーバ4Aがホームエージェント4BにMIPルートキー(MIP−RK)から導出されたキーを送信することにより行うことができる。ホームエージェントは加入者がPMIPを使用するかCMIPを使用するかという情報に基づき自身で相応のMIPキー(MN−HA)の導出を行うことができる。
1つの実施形態においては、モバイルIPヴァージョン4およびモバイルIPヴァージョン6に関して、またPMIPの場合およびCMIPの場合に関してそれぞれ異なるキーが提供される。例えば、認証サーバはハッシュ関数Hを用いて、モバイルIPルートキー(MIP−RK)および文字列に依存して、モバイルIPキーとして提供されるハッシュ値を計算する:
MM−HA−PMIP4=H(MIP−RK,"PMIP4MNHA"|HA−IP)
MN−HA−CMIP4=H(MIP−RK,"CMIP4MNHA"|HA−IP)
MM−HA−PMIP6=H(MIP−RK,"PMIP6MNHA"|HA−IP)
MN−HA−CMIP6=H(MIP−RK,"CMIP6MNHA"|HA−IP)
ハッシュ関数Hを用いるハッシュ値の計算の際に使用される文字列を例えば連結されたサブ文字列から構成することができる。有利にはサブ文字列HA−IPがホームエージェント4BのIPアドレスによって形成される。このサブ文字列がPMIPv4、CMIPv4、PMIPv6およびCMIPv6の場合とで異なる文字列に付されるか連結され、例えばPMIPv4の場合には「PMIP4MNHA」となり、またCMIPv4の場合には「CMIP4MNHA」となり、PMIPv6の場合には「PMIP6MNHA」となり、またCMIPv6の場合には「CMIP6MNHA」となる。この場合には、構成された文字列およびモバイルIPルートキー(MIP−RK)からハッシュ値がハッシュ関数Hを用いて計算される。構成された文字列はPMIPv4,CMIPv4,PMIPv6およびCMIPv6の場合とで異なる部分を有するので、計算された4つのハッシュ値HP4(MM−HA−PMIP4),HC4(MN−HA−CMIP4),HP6(MM−HA−PMIP6)およびHC6(MN−HA−CMIP6)はPMIPv4,CMIPv4,PMIPv6およびCMIPv6の場合とで異なり、モバイルIPキーとしてそれぞれの場合に提供することができる。
1つのヴァリエーションにおいては、アクセスネットワーク5にCMIPキー(MN−HA−CMIP4,MN−HA−CMIP6)は送信されずに、2つのPMIPキー(MN−HA−PMIP4,MN−HA−PMIP6)のみが送信される。
別のヴァリエーションにおいて、伝送されるパラメータPによってモバイルIPヴァージョン4とモバイルIPヴァージョン6とが区別される場合には、モバイルIPヴァージョン4が使用されることをパラメータPが表すならば、ヴァージョン4に関するモバイルIPキー(MM−HA−PMIP4またはMN−HA−CMIP4)のみを認証サーバが提供するか、モバイルIPヴァージョン6が使用されることをパラメータPが表すならば、ヴァージョン6に関するモバイルIPキー(MM−HA−PMIP6またはMN−HA−CMIP6)のみを認証サーバが提供する。
1つのヴァリエーションにおいては、モバイルIPヴァージョン4が使用されるか、モバイルIPヴァージョン6が使用されるかを認証の際に伝送されるパラメータPが表す。認証サーバはアクセスネットワーク5に相応のPMIPキー(MN−HA−PMIP4またはMN−HA−PMIP6)のみを伝送する。つまり、パラメータPによってモバイルIPヴァージョン4の使用が符号化されている場合にはMN−HA−PMIP4がアクセスネットワーク5に送信され、パラメータPによってモバイルIPヴァージョン6の使用が符号化されている場合にはMN−HA−PMIP6がアクセスネットワーク5に送信される。
図9は、本発明による方法を説明するために使用される。図9に示されている信号チャートにおいては、モバイル端末装置1自体がモバイルIPをサポートするCMIPが考察される。図9に示されているように、認証サーバ4AはCMIPの場合にはアクセスネットワーク5内のオーセンティケータ5AにモバイルIPキーを伝送しない(すなわちSUCCESSメッセージ内にモバイルIPキーMIP−KEYは含まれていない)か、PMIPの場合とは異なるPMIPキーがオーセンティケータ5Aに伝送される。
図10は、本発明による方法を説明するためのPMIPの場合に関する信号チャートを示す。モバイル端末装置1自体がモバイルIPをサポートしないPMIPの場合に関しては、認証サーバ4Aによってアクセスネットワーク2のゲートウェイノード5内のPMIPクライアント5Cおよびオーセンティケータ5AにモバイルIPキーが提供され、このモバイルIPキーはSUCCESSメッセージにおいて伝送される。このモバイルIPキーは、この場合に関して別個に算出されたPMIPキー(PMIP−Key)であるか、PMIPの場合に関してのみPMIPクライアントに提供される、従来のように導出されたモバイルIPキーである。つまりCMIPの場合にはこのモバイルIPキーはオーセンティケータ、したがってPMIPクライアントには提供されない。
本発明による方法においては、認証サーバ4Aがパラメータに基づき、加入者端末装置1自体がモバイルIPをサポートする(CMIPの場合)か、加入者端末装置1自体はモバイルIPをサポートしない(PMIPの場合)かを識別する。このパラメータPは有利には、アクセス認証のためにEAPプロトコルを用いて伝送されるパラメータPから導出される。
パラメータPの符号化はネットワークへのログインの間に必ずしも行われなければならないものではない。符号化を加入者端末装置1の登録の間にメッセージにおいて認証サーバ4Aに伝送されるパラメータPに基づき行うこともできる。殊に、符号化がMIPシグナリングメッセージにおいて行われるが、ネットワークへのログインの際には行われない場合、本発明による方法の実施形態においては、モバイルIPシグナリングメッセージに含まれるセキュリティパラメータインデクスSPIがこのために使用される。
図11は、この実施形態を説明するための信号チャートを示す。ゲートウェイノード5は相応に符号化されたセキュリティパラメータインデクスSPIを含む登録リクエストを送信し、この登録リクエストに基づき認証サーバ4Aはモバイル端末装置1がモバイルIPを使用するか(CMIPの場合)、使用しないか(PMIPの場合)を確認することができる。セキュリティパラメータインデクスSPIは32ビットの数値である。セキュリティパラメータインデクスSPIはRFC3344においてはMIPV4に関しては「IP Novelty Support for IP V4」またはRFC4285においてはMIPV6に関しては「Authentification Protocol for Mobile IP V6」が定義されている。
例えば1つの実施形態においては、固定の所定のSPI値はPMIPケースを符号化することができ、第2の所定のSPI値はCMIPケースを符号化することができる。
択一的に、セキュリティパラメータインデクスSPIの所定のビットをこのために規定することができ、例えば最上位ビットまたは最下位ビット0を規定することができる。例えば、このビットが値0を有するSPI値はCMIPケースを符号化し、他方このビットが値1を有する場合にはPMIPケースが表される。
図11に示されているチャートでは例えばSPI値が奇数である。すなわち最後のビットは1にセットされるので、PMIPケースが表される。
付加的に、モバイルIPヴァージョン4とモバイルIPヴァージョン6とが区別されるべき場合には、これを相応にSPI値によって符号化することができる:例えば1つの実施形態においてはCMIPv4,PMIPv4,CMIPv6およびPMIPv6に関して4つの値を設定することができる。
択一的に、セキュリティパラメータインデクスSPIの2つの所定のビットをこのために規定することができ、例えば2つの最上位ビットまたは2つの最下位ビット0を規定することができる。例えば、このビットが値00を有するSPI値はCMIPv4ケースを符号化し、このビットが値01を有するSPI値はPMIPv4ケースを符号化し、このビットが値10を有するSPI値はCMIPv6ケースを符号化し、このビットが値11を有するSPI値はPMIPv6ケースを符号化する。
図12に示されている実施例においては、モバイル端末装置1から伝送された登録リクエストが偶数のSPI値を有し、これは端末装置1がモバイルIPを使用することを示す。このSPI値はさらに認証サーバ4Aに伝送され、この認証サーバ4AはSPI値に基づきPMIPケースであることを識別し、且つ相応のCMIPキーをホームエージェント4Bに伝送する。
本発明による方法においては原則として、アクセス認証の際またはMIP登録の際に認証サーバ4Aに伝送される各パラメータPをCMIPケースまたはPMIPケースの符号化に使用することができる。
本発明による方法は殊にWiMaxネットワークに適している。WiMaxは所定の認証モードをシグナリングするために既に所定のパラメータを使用する。殊にWiMaxにおいては、PMIPまたはCMIPを示すために本発明によれば1つの実施形態において符号化される加入者識別子NAIを既に使用する。加入者識別子NAIはいずれにせよ評価されるので、これにより非常に簡単な実現形態が達成される。これによって、実際に必要とされるキーのみが配布されるので、モバイルIPキーを配布するためのシグナリングオーバヘッドおよびモバイルIPキーを記憶するためのメモリ要求が低減される。
従来技術によるモビリティ結合テーブルを示す。 従来技術による訪問者リストを示す。 WiMax無線ネットワークに関する基準モデルを示す。 従来技術によるプロキシMIP(PMIP)におけるコネクション確立を示す。 従来技術によるクライアントMIP(CMIP)におけるコネクション確立を示す。 モバイルIPキーを提供するための本発明による方法を使用することができるWiMaxネットワークを示す。 モバイルIPキーを提供するための本発明による方法が実施されるWiMaxネットワークへのログインを示す。 本発明による方法の実施形態を説明するための、ネットワークへのログインの際に伝送される加入者識別子のコーディングを説明する表を示す。 モバイルIPキーを提供する本発明による方法を説明するためのCMIPの場合に関する信号チャートを示す。 モバイルIPキーを提供する本発明による方法を説明するためのPMIPの場合に関する別の信号チャートを示す。 モバイルIPキーを提供する本発明による方法の別の実施形態を説明するためのPMIPの場合に関する別の信号チャートを示す。 モバイルIPキーを提供する本発明による方法の別の実施形態を説明するためのCMIPの場合に関する別の信号チャートを示す。

Claims (18)

  1. 加入者端末装置(1)またはPMIPクライアント(5C)とホームエージェント(4B)との間のメッセージを暗号化するために設けられているモバイルIPキーを提供する方法において、
    認証サーバ(4A)が相応に符号化されたパラメータ(P)に基づき、前記加入者端末装置(1)自体がモバイルIPを使用しない(PMIP)ことを識別する場合にのみ、認証サーバ(4A)が前記ホームエージェント(4B)にPMIPキーを提供し、
    前記加入者端末装置(1)自体がモバイルIPを使用することを識別する場合は、認証サーバ(4A)が前記ホームエージェント(4B)にCMIPキーを提供し、
    前記符号化されたパラメータ(P)は、前記加入者端末装置(1)自体がモバイルIPを使用するか否かを表す少なくとも1つの記号(1C、1P、C、P)が付加されて符号化された加入者識別子(NAI)であるか、または、前記加入者端末装置(1)自体がモバイルIPを使用するか否かを表す少なくとも1つのビットを含んで符号化されたセキュリティパラメータインデックス(SPI)である、
    ことを特徴とする、モバイルIPキーを提供する方法。
  2. 前記認証サーバ(4A)をAAA認証サーバによって形成する、請求項1記載の方法。
  3. 前記符号化された加入者識別子(NAI)をメッセージにより前記加入者端末装置(1)の認証の間に前記認証サーバ(4A)に伝送する、請求項1記載の方法。
  4. 前記符号化された加入者識別子(NAI)をメッセージにより前記加入者端末装置(1)の登録の間に前記認証サーバ(4A)に伝送する、請求項記載の方法。
  5. 前記符号化されたセキュリティパラメータインデクスを前記加入者端末装置(1)の登録の間に前記認証サーバ(4A)に伝送する、請求項記載の方法。
  6. 前記パラメータ(P)の符号化を前記モバイル端末装置(1)によって行う、請求項1記載の方法。
  7. 前記パラメータ(P)の符号化をオーセンティケータ(5A)によって行う、請求項1記載の方法。
  8. 前記パラメータ(P)の符号化をPMIPクライアント(5C)によって行う、請求項1記載の方法。
  9. 前記パラメータ(P)の符号化をフォーリンエージェント(5B)によって行う、請求項1記載の方法。
  10. 付加的に、MIPヴァージョンは何であるかを前記パラメータ(P)と一緒に符号化する、請求項1記載の方法。
  11. 前記ホームエージェント(4B)は前記符号化されたパラメータ(P)を提示して前記認証サーバ(4A)に前記モバイルIPキーを要求する、請求項1記載の方法。
  12. 前記認証サーバ(4A)がモバイルIPルートキー(RK)および文字列に依存して、ハッシュ関数Hを用いてモバイルIPキーとして提供されるハッシュ値を計算する、請求項1記載の方法。
  13. 前記文字列を連結されたサブ文字列から構成する、請求項12記載の方法。
  14. サブ文字列を前記ホームエージェント(4B)のIPアドレスによって形成する、請求項13記載の方法。
  15. 前記加入者識別子(NAI)は以下のデータフォーマットを有し:
    [Routing Realm1! Routing Realm2!...!]{Auth Mode}pseudo Identitiy @realm
    ここでpseudo Identitiyは前記認証の際に前記端末装置(1)によって生成されるランダム数を表し、Auth Modeは認証モードを表す記号である、請求項記載の方法。
  16. 加入者端末装置(1)またはPMIPクライアント(5C)とホームエージェント(4B)との間のメッセージを暗号化するために設けられているモバイルIPキーを提供するシステムにおいて、
    認証サーバ(4A)が相応に符号化されたパラメータ(P)に基づき、前記加入者端末装置(1)自体がモバイルIPを使用しない(PMIP)ことを識別する場合にのみ、前記認証サーバ(4A)はPMIPキーを提供し、
    前記加入者端末装置(1)自体がモバイルIPを使用することを識別する場合は、認証サーバ(4A)が前記ホームエージェント(4B)にCMIPキーを提供し、
    前記符号化されたパラメータ(P)は、前記加入者端末装置(1)自体がモバイルIPを使用するか否かを表す少なくとも1つの記号(1C、1P、C、P)が付加されて符号化された加入者識別子(NAI)であるか、または、前記加入者端末装置(1)自体がモバイルIPを使用するか否かを表す少なくとも1つのビットを含んで符号化されたセキュリティパラメータインデックス(SPI)である、
    ことを特徴とする、モバイルIPキーを提供するシステム。
  17. 請求項16記載のシステムにおける加入者端末装置(1)であって、
    認証サーバ(4A)にアドレッシングされているネットワークログインメッセージおよび/またはホームエージェント(4B)にアドレッシングされているMIP登録リクエストメッセージにより、前記加入者端末装置(1)自体がモバイルIPを使用するか否かを表す符号化されたパラメータ(P)を伝送することを特徴とする、加入者端末装置。
  18. 請求項16記載のシステムにおけるPMIPクライアント(5C)であって、
    ホームエージェント(4B)にアドレッシングされているMIP登録リクエストメッセージにより、所属の加入者端末装置(1)自体がモバイルIPを使用するか否かを表す符号化されたパラメータ(P)を伝送することを特徴とする、PMIPクライアント(5C)。
JP2009512551A 2006-06-01 2007-05-24 モバイルipキーを提供する方法とシステム Expired - Fee Related JP5119242B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
DE102006025690 2006-06-01
DE102006025690.5 2006-06-01
DE102006026737 2006-06-08
DE102006026737.0 2006-06-08
DE102006031870A DE102006031870B4 (de) 2006-06-01 2006-07-10 Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
DE102006031870.6 2006-07-10
PCT/EP2007/055045 WO2007137987A2 (de) 2006-06-01 2007-05-24 Verfahren und system zum bereitstellen eines mobile ip schlüssels

Publications (2)

Publication Number Publication Date
JP2009539289A JP2009539289A (ja) 2009-11-12
JP5119242B2 true JP5119242B2 (ja) 2013-01-16

Family

ID=38650610

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009512551A Expired - Fee Related JP5119242B2 (ja) 2006-06-01 2007-05-24 モバイルipキーを提供する方法とシステム

Country Status (8)

Country Link
US (1) US8611543B2 (ja)
EP (1) EP2025120B1 (ja)
JP (1) JP5119242B2 (ja)
KR (1) KR101414711B1 (ja)
CN (1) CN101461211B (ja)
DE (1) DE102006031870B4 (ja)
EA (1) EA014148B1 (ja)
WO (1) WO2007137987A2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106452B (zh) * 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和***
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及***
KR101088668B1 (ko) * 2007-02-13 2011-12-01 닛본 덴끼 가부시끼가이샤 이동 관리 시스템, 홈 에이전트 및 이들에 사용하는 이동 단말 관리 방법 그리고 그 프로그램을 수록한 컴퓨터 판독가능 매체
EP2186373A4 (en) 2007-08-13 2012-12-19 Nortel Networks Ltd NEW DIAMETER SIGNALING FOR IPV4 MOBILE PROTOCOL
JP4371250B1 (ja) 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
JP4371249B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
ES2539267T3 (es) * 2008-11-04 2015-06-29 Huawei Technologies Co., Ltd. Método y aparato para determinar índices de recursos
CN102045639B (zh) * 2009-10-10 2015-06-10 中兴通讯股份有限公司 订购关系鉴权方法、***和移动多媒体广播条件接收***
CN103841592B (zh) * 2012-11-27 2017-12-05 中兴通讯股份有限公司 一种微波设备托管的实现方法及装置
US10430607B2 (en) * 2016-05-05 2019-10-01 Ribbon Communications Operating Company, Inc. Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
US10833876B2 (en) 2016-10-28 2020-11-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication
US11553561B2 (en) 2016-10-28 2023-01-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication
TWI644229B (zh) * 2017-05-04 2018-12-11 慧榮科技股份有限公司 採加密技術之數據中心與數據中心操作方法
CN113468544B (zh) * 2020-03-30 2024-04-05 杭州海康威视数字技术股份有限公司 一种应用模型的训练方法及装置

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7581076B2 (en) * 2001-03-05 2009-08-25 Pact Xpp Technologies Ag Methods and devices for treating and/or processing data
US20040010703A1 (en) * 2001-08-01 2004-01-15 Networks Associates Technology, Inc. Persistent storage access system and method for a wireless malware scan engine
JP2003110543A (ja) * 2001-09-27 2003-04-11 Toshiba Corp 暗号キー設定システム、無線通信装置および暗号キー設定方法
US7218618B2 (en) * 2002-07-19 2007-05-15 Nokia Corporation Method of providing mobile IP functionality for a non mobile IP capable mobile node and switching device for acting as a mobile IP proxy
JP4000419B2 (ja) 2003-04-09 2007-10-31 日本電信電話株式会社 経路最適化システムと方法およびプログラム
US7549055B2 (en) * 2003-05-19 2009-06-16 Intel Corporation Pre-boot firmware based virus scanner
US7325185B1 (en) * 2003-08-04 2008-01-29 Symantec Corporation Host-based detection and prevention of malicious code propagation
WO2005086462A1 (en) 2004-02-27 2005-09-15 Nortel Networks Limited Nai based aaa extensions
CN100375424C (zh) 2004-03-22 2008-03-12 国际商业机器公司 多媒体消息收发方法、***、网关和客户设备
KR100918440B1 (ko) 2004-11-12 2009-09-24 삼성전자주식회사 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US7881262B2 (en) * 2005-07-07 2011-02-01 Alvarion Ltd. Method and apparatus for enabling mobility in mobile IP based wireless communication systems
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US7877801B2 (en) * 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US7853999B2 (en) * 2007-05-11 2010-12-14 Microsoft Corporation Trusted operating environment for malware detection

Also Published As

Publication number Publication date
DE102006031870A1 (de) 2007-12-06
KR101414711B1 (ko) 2014-07-04
US8611543B2 (en) 2013-12-17
EA014148B1 (ru) 2010-10-29
EP2025120A2 (de) 2009-02-18
WO2007137987A2 (de) 2007-12-06
US20090185691A1 (en) 2009-07-23
EP2025120B1 (de) 2018-06-27
WO2007137987A3 (de) 2008-02-07
JP2009539289A (ja) 2009-11-12
DE102006031870B4 (de) 2008-07-31
CN101461211A (zh) 2009-06-17
CN101461211B (zh) 2013-05-29
EA200870590A1 (ru) 2009-04-28
KR20090024755A (ko) 2009-03-09

Similar Documents

Publication Publication Date Title
JP5119242B2 (ja) モバイルipキーを提供する方法とシステム
JP5054772B2 (ja) アクセス専用キーを提供する方法およびシステム
JP4806028B2 (ja) モビリティキーを提供する方法とサーバ
JP4861426B2 (ja) モビリティキーを提供する方法とサーバ
JP4681656B2 (ja) クライアントモバイルip(cmip)に代わるプロキシモバイルip(pmp)の加入者固有の強制
AU2003294330B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
KR101037844B1 (ko) 이동성 키를 제공하기 위한 방법 및 서버
US20020147820A1 (en) Method for implementing IP security in mobile IP networks
Qiu et al. A pmipv6-based secured mobility scheme for 6lowpan
Kim et al. Secure and low latency handoff scheme for proxy mobile ipv6
Morioka et al. MIS protocol for secure connection and fast handover on wireless LAN
Hassan et al. Integrated Solution Scheme with One-Time Key Diameter Message Authentication Framework for Proxy Mobile IPv6

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101227

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110706

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111004

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111012

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111104

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120405

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120803

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120813

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120921

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121022

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5119242

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees