JP5166525B2 - モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 - Google Patents
モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 Download PDFInfo
- Publication number
- JP5166525B2 JP5166525B2 JP2010512576A JP2010512576A JP5166525B2 JP 5166525 B2 JP5166525 B2 JP 5166525B2 JP 2010512576 A JP2010512576 A JP 2010512576A JP 2010512576 A JP2010512576 A JP 2010512576A JP 5166525 B2 JP5166525 B2 JP 5166525B2
- Authority
- JP
- Japan
- Prior art keywords
- gateway
- address
- access network
- user equipment
- prefix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title description 8
- 238000000034 method Methods 0.000 claims description 86
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 4
- 230000011664 signaling Effects 0.000 description 36
- 230000004044 response Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 17
- 239000003795 chemical substances by application Substances 0.000 description 13
- 101100457316 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) MIP6 gene Proteins 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
−ePDGへのトンネルを確立して初めて、BUメッセージをPDN−GWへ送信できるのか、あるいは、
−BUメッセージをPDN−GWへ直接送信できるのか
を把握していないことである。
1.いくつかの無線アクセス技術(Radio Access Technologies(RATs))をデフォルトで信頼できるもの(WiMAX)とし、その他をデフォルトで信頼できないもの(WLAN 802.11)とする。この解決策の問題は、無線アクセス技術が信頼できるものであるか否かはオペレータの判断になる可能性があるので、正しくないこともあり得る、ということである。また、非3GPPアクセスがUEにとって信頼できるものであるか否かは、このUEの機能に依存する場合がある。例えば、UEが特定のセキュリティ手段をサポートしている場合には、信頼できるものとなる。
2.信頼できる非3GPPアクセスからのネットワークプレフィックスのリストを用いて、UEを事前に設定する。ここでの問題は、例えば、オペレータが多数の小規模な非3GPPアクセス・ホットスポット・オペレータとの間に信頼関係を持っている場合には、このリストが極めて大きくなる可能性があることである。また、新しい非3GPPアクセスネットワークが絶えず加わり得るので、リストを最新の状態に保たなければならない。これは、更新されなければならないUEが多数ある場合には、困難又はかなり非効率となる。
3.AAA(Authentication(認証)、Authorization(認可)、Accounting(アカウンティング))手順の間に、例えば、EAP(拡張認証プロトコル)拡張機能によって、UEに通知してもよい。この解決策は、ローカルの非3GPPアクセスAAAプロトコル及びインフラストラクチャからのサポートを必要とするが、これが常にサポートされていることを前提とすることはできない。
4.下位層の(例えば、L2の)情報によって、UEに通知する。ここでも、問題は、非3GPPアクセスネットワーク、すなわち、下位層からの(例えば、IEEE 802.11u又はIEEE 802.21によって何らかの手段で提供される)サポートを必要とすることである。
5.UEがPDN−GWへの接続の確立を試行する、すなわち、バインディングアップデート(Binding Update)をPDN−GWのアドレスへ(又はPDN−GW及びePDGへ並行して)直接送信する。PDN−GWへのその確立が失敗した(PDN−GWが信頼できない非3GPPアクセスから到達可能でないため)場合には、UEは、信頼できない非3GPPアクセスにいて、ePDGを使用しなければならない、ということを把握する。問題は、UEが、PDN−GWへの到達を何度か試行しなければ、PDN−GWが到達可能ではないと確実に結論付けることができないので、その手順が非常に遅いことである。
6.UEが必ず、最初にePDGを使用する、すなわち、ePDGへのトンネルを確立する。そして、非3GPPアクセスが信頼できるものである場合には、UEは、PDN−GWへ直接接続するよう通知される。この解決策の問題は、最初に多くのリソースを消費することである。全てのパケットが2重にトンネリングされて(IPsec+MIPトンネル)ePDGを介してルーティングされるからである。したがって、あまり効率的ではない。
7.信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのか、UEがDHCPサーバに問い合わせをしてもよい(R. Droms, J. Bound, B. Volz, T. Lemon, C. Perkins, M. Carney “Dynamic Host Configuration Protocol for IPv6 (DHCPv6)” RFC 3315, 2003年7月)。ここで、UEは、最初は非3GPPアクセスに接続し、L2アクセスが確立される。その後、UEは、DHCPサーバに信頼関係(例えばNAIの形式のUEのID、及び/又は、ユーザのホームオペレータ識別子を含む)について要求する。非3GPPアクセスがユーザのホームオペレータとユーザにとって信頼できるものである場合には、DHCPサーバは、信頼関係についてユーザに通知する。DHCPサーバは、さらに、PDN−GWのIPアドレスを返してもよい。非3GPPアクセスがユーザのホームオペレータとユーザにとって信頼できないものである場合には、DHCPサーバは、信頼関係についてユーザに通知する。DHCPサーバは、さらに、ePDGのIPアドレスを返してもよい。ここでの問題は、この解決策が、ローカルDHCPサーバへの事前設定入力又はAAAインフラストラクチャによるサポートを必要とするので、DHCPサーバは、UEのアクセス認証の際、UEのための情報で更新される。しかしながら、これが利用可能でない場合には、DHCPは有効なIPアドレスを返すことができない。この場合、UEは、デフォルトでePDGを使用してもよい。しかしながら、このプロセスは遅い可能性がある。
8.信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのか、UEがDNSサーバに問い合わせをしてもよい。ここで、UEは、最初は非3GPPアクセスに接続し、L2及びL3アクセスを確立する。その後、UEは、例えばサービス又はPDN用に、UE又はオペレータ固有のFQDN(Fully Qualified Domain Name;フルドメイン名)を、例えば次のように構成してもよい。
FQDN=<pdn>.<non-3gpp>.<hplmn>.3gppnetwork.orgor
FQDN= <pdn>.<user id>.<non-3gpp>.<hplmn>.3gppnetwork.org
第1の態様によれば、非3GPPアクセスへのハンドオーバを行った、あるいは、非3GPPアクセスに初期接続したUEが、その非3GPPアクセスがホームオペレータの観点から信頼できるものであるか否かを検出できるようにし、また、これに関して、ホームネットワークへの使用すべきトンネルを検出できるようにする方法が提供される。
31.UEは、非3GPPアクセスネットワークへのハンドオーバ、あるいは、非3GPPアクセスへの初期接続を行う。UEは、その非3GPPアクセスが信頼できるものであるか否かを把握していない。
32.UEは、非3GPPアクセス認証を行ってもよい。この場合、3GPPのAAAサーバも関与する。
33.UEは、バインディングアップデート(BU)を送信する。実際には、BUの最終的な宛先はPDN−GWであるが、まずePDGへ送信される。BUをePDGに受信させるため、BUは、UEからePDGへトンネリングされるか、あるいは、ePDGへ送信される他のメッセージ(例えば、図4IKEv2メッセージ)に含める。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
34.ePDGは、バインディングアップデートにて伝達される非3GPPアクセスについての情報、及び/又は、AAAサーバから受信した情報、及び/又は、PDN−GWから受信した情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。 AAAサーバが判定に関与する(例えば、ePDGが、UEを認証する際あるいは別のシグナリング交換時に、AAAサーバに問合せをする)場合には、AAAサーバが、アクセス認証の際に伝達される非3GPPアクセスについての情報、及び/又は、バインディングアップデートにて伝達されてePDGにより提供される非3GPPアクセスについての情報(例えば、アクセスネットワーク識別子)、及び/又は、加入者データベース内の情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。 AAAサーバは、ePDGへ通知を送信してもよい(例えば、PDN−GWが、UEを認証する際に、応答を送信する)。その通知により、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかをePDGに通知してもよい。
35.ePDGが信頼関係の判定に関与する場合には、ePDGは、BUを修正、あるいは、新規のBUを生成して、そのBUをPDN−GWへ送信してもよい。例えば、UEが信頼できる非3GPPアクセスにいるとePDGが判定した場合には、ePDGは、気付アドレス=UEの非3GPPのローカルIPアドレスとしてBUをPDN−GWへ送信し、一方、UEが信頼できない非3GPPアクセスにいるとePDGが判定した場合には、ePDGは、気付アドレス=UEのリモートIPアドレスとしてBUをPDN−GWへ送信してもよい。ePDGが信頼関係の判定に関与しない場合には、ePDGは、BUを処理せずにPDN−GWへ転送してもよい。
36.PDN−GWは、バインディングアップデートにて伝達される非3GPPアクセスについての情報、及び/又は、AAAサーバから受信した情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。
37.
a.UE10が信頼できない非3GPPアクセスにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UE10が信頼できる非3GPPアクセスにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、ePDGを介することなくUEへ直接送信される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
41.非3GPPアクセスネットワークへのハンドオーバ後、あるいは、非3GPPアクセスネットワークへの初期接続後、UEは、ePDGとの間でIKEv2トンネルの確立を開始する。すなわち、UEは、IKE_SA_INITメッセージをePDGへ送信し、ePDGは、IKE_SA_INITメッセージで応答する。その後、Diffie−Hellman交換が完了し、以後、全てのメッセージは、暗号化されてインテグリティが保護される。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
42.UEは、まず、IKE_AUTH交換を行って自身の認証を行う。UEは、さらに、リモートIPアドレスがまだ割り当てられていない場合には、設定ペイロードにおいてリモートIPアドレスを要求してもよい。
その認証は、例えば、EAPに基づいて、あるいは、メッセージ交換の数を低減するために、EAP再認証拡張機能(ERX)のような拡張機能に基づいて行うことができる。ERXでは、UEは、再認証インテグリティ鍵を使用して認証を行うので、ここでは従来の認証が要求される。IKE_AUTHメッセージにおいては、UEがバインディングアップデートをPDN−GWとの間で行うことを希望する旨を追加フラグで示してもよい。また、例えば、競合状態を回避するために、BUのシーケンス番号が含まれなければならない(タイムスタンプも含めてもよい)。
より高速に(ERXを使用せずに)認証を行い暗黙のBUを送信する他の可能性としては、BUを(完全に又は部分的に)IKE_AUTHメッセージのIDiフィールドに含めることである。IDiメッセージは、可変長のフィールドであり、イニシエータの識別に使用される。この場合、イニシエータは、例えばBUに含まれているMN−NAIにより識別される。BUの認証は、モバイルIPv6用の認証プロトコルで行うことができる。すなわち、MN−AAAセキュリティアソシエーションを使用する。
43.ePDGはAAAサーバとコンタクトを取り、例えば、ERXを使用して、あるいは、MIP6の認証プロトコルによる機構を使用して、UEの認証を行う。
44.ePDGは、UEの認証を行った後、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかを判定することができる(例えば、IKEv2メッセージにおけるUEの送信元IPアドレス、AAAサーバからの情報、又はIKE_AUTHメッセージにおけるアクセスネットワーク識別子に基づいて)。
45.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、ePDGは、リモートIPアドレスをUEに割り当ててもよく、CoA=UEのリモートIPアドレスとしてBUをPDN−GWへ送信する。
BUフラグ付きのERXが使用された場合には、ePDGは、プロキシバインディングアップデート(Proxy Binding Update)をPDN−GWへ送信し、代替気付アドレスモビリティオプションを使用して、代替気付アドレスオプションをUEのリモートIPアドレスに設定してもよい。
含まれている、MIP6の認証プロトコル付きのBUが使用された場合には、ePDGは、BUを送信し、そのインテグリティを、UEから送信された通りに保護することができる。ePDGは、認証の際、MN−HAセキュリティアソシエーションの鍵を受信しているからである。しかしながら、UEのIPアドレスの偽造を防ぐために、この場合も、ePDGは、代替気付アドレスオプションを使用して、代替気付アドレスオプションをUEのリモートIPアドレスに設定してもよい。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、ePDGは、CoA=UEの非3GPPのローカルIPアドレスとしてBUをPDN−GWへ送信する。ここで、ePDGは、リモートIPアドレスを割り当てることはできない。
BUフラグ付きのERXが使用された場合には、ePDGは、プロキシバインディングアップデートをPDN−GWへ送信し、代替気付アドレスモビリティオプションを使用して、代替気付アドレスオプションをUEの非3GPPのローカルIPアドレスに設定してもよい。
含まれている、MIP6の認証プロトコル付きのBUが使用された場合には、ePDGは、BUを送信し、そのインテグリティを、UEから送信された通りに保護することができる。ePDGは、認証の際、MN−HAセキュリティアソシエーションの鍵を受信しているからである。しかしながら、UEのIPアドレスの偽造を防ぐために、この場合も、ePDGは、代替気付アドレスオプションを使用して、代替気付アドレスオプションをUEの非3GPPのローカルIPアドレスに設定してもよい。
46.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、ePDGは、IKE_AUTHメッセージにおいて、認証の成功をUEに通知する。ePDGは、さらに、設定ペイロードにおいて、リモートIPアドレスをUEに通知してもよい。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、ePDGは、IKE_AUTHメッセージにおいて、認証が失敗したことをUEに通知してもよい。
47.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。MIP6の認証プロトコルを使用してBUの認証を行った場合には、BACKの認証にもMIP6の認証プロトコルが使用される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、UE−ePDG間のトンネルを介することなくUEへ直接送信される。MIP6の認証プロトコルを使用してBUの認証を行った場合には、BACKの認証にもMIP6の認証プロトコルが使用される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
51.UEは、ePDGとの間でIKEv2トンネルの確立を開始する。すなわち、UEは、IKE_SA_INITメッセージをePDGへ送信し、ePDGは、IKE_SA_INITメッセージで応答する。その後、Diffie−Hellman交換が完了し、以後、全てのメッセージは、暗号化されてインテグリティが保護される。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
52.UEは、IKEv2に基づくMOBIKEを使用して、ePDGとの間で認証を行う。すなわち、UEは、MOBIKEをサポートしている旨の通知をePDGへ送信する。UEは、さらに、リモートIPアドレスがまだ割り当てられていない場合には、設定ペイロードにおいてリモートIPアドレスを要求してもよい。
注:ステップ51とステップ52は、実際のハンドオーバよりも前に行ってもよい。
53.UEは、非3GPPアクセスネットワークへのハンドオーバを行うが、その非3GPPアクセスが信頼できるものなのかあるいは信頼できないものなのかを把握していない。
54.UEは、MOBIKE INFORMATIONAL要求を送信して、ePDGとのIPsecセキュリティアソシエーションを更新する。MOBIKEを使用するので、全く新規のIKE及びIPsecのセキュリティアソシエーションを作成する必要はない。
55.MOBIKE更新の直後、UEは、UE−ePDG間のトンネルを介して、バインディングアップデートをPDN−GWへ送信する。UEは、BUに、複数の気付アドレス、すなわち、UEの非3GPPのローカルIPアドレスとUEのリモートIPアドレスを含める。複数のCoAを含めるために、UEは、例えば、IETF WG MONAMI6において提案されているような代替気付アドレスオプション又は拡張機能を使用してもよい。
56.ePDGは、セキュリティアソシエーションの更新が成功したことをUEに通知する。
注:ステップ56は、ステップ55よりも前に行ってもよい。
57.PDN−GWは、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかを判定する(例えば、BUメッセージにおけるUEの非3GPPのローカルIPアドレス、AAAサーバから得た情報、又はアクセスネットワーク識別子のようなBUにおける追加情報に基づいて)。
58.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、UE−ePDG間のトンネルを介することなくUEへ直接送信される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
上記のシグナリングフローは例に過ぎない。他の変形例も可能である。例えば、一変形例においては、バインディングアップデートは、MOBIKEを使用せずに単純なIKEのみを使用して単独で送信してもよい。または、別の変形例においては、BUは、MOBIKEアップデートメッセージに暗黙的に含まれていてもよく、また、手順はePDGにとってトランスペアレントでなくてもよい。
「第1の態様」の項では、UEがクライアントモバイルIP、例えば、デュアルスタックMIPv6(DSMIPv6)をサポートしており、バインディングアップデートをePDGへトンネリングすることを前提としている。しかしながら、発展型システムにおけるUE及び3GPPオペレータ(例えば、オペレータのPDN−GW)が全てDSMIPv6をサポートしているとは限らない。したがって、UEがBUを送信できない場合や、PDN−GWがユーザデータをPDN−GWへ直接トンネリングさせない場合がある。そのような場合、DSMIP−BUは受け付けられず、バインディングアクノレッジがUEに返信されることはない。
本発明の実施の形態をより詳細に述べる前に、PMIPの概要を以下に述べる。
本発明の種々の実施の形態をより詳細に説明する前に、IPsec(IKEv2)の手順について簡単に説明する。
71.まず、ePDGとの間でIKE_SA_INITを行ってePDGへの安全な接続を確立することにより、IKEの手順がUEによって開始される。
72.開始が成功すると、IKE_AUTHのシグナリングにおいて、UEは、自身のID(NAI)をIDiペイロードに、APN情報をIDrペイロードに含める。さらに、UEは、ホームIPアドレス/プレフィックスを取得したい旨を設定ペイロードにおいて示す。
73.ePDGは、AAAサーバでUEの認証を開始する。ここでは、EAP−AKAが使用される。
74.認証後、ePDGは、プロキシバインディングアップデートメッセージをPDN−GWへ送信する。PBUメッセージは、UEのIDと要求されたAPNとを含む。本発明の有利な一実施の形態によれば、このPBUは、例えばフラグによって、仮のものであると示さなければならない。そして、PDN−GW内にバインディングキャッシュエントリ(Binding Cache Entry)が既に存在する場合には、PDN−GW(LMA)は、パスをePDGに切り替えない。このようにするのは、このIKEの手順は、アクセスネットワークの信頼関係を判定するために使用されるだけであり、UEに到達するためのIPsecトンネルを実際に確立するために使用されるわけではないからである。もしPBUが仮のもの等でなければ、PDN−GWは、ePDGを介したUEへのデータパスを確立してしまう。そうすると、UEが信頼できるアクセスネットワークにいる場合には、ePDG経由の迂回路なしでUEと直接通信することが可能になり、IPsecトンネルをまた解除しなければならなくなる。
75.PDN−GWは、プロキシバインディングアクノレッジにおいて、UEの割り当てられたホームIPアドレス/プレフィックスで応答する。
76.ePDGは、ステップ73の認証が成功したことをUEに通知する。
77.IKE_AUTH ResponseにおいてEAP successを受信すると、UEは、最初のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータと共にIKE_AUTH RequestをePDGへ送信する。
78.ePDGは、2番目のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータを含み、かつ割り当てられたホームIPアドレス/プレフィックスを設定ペイロードに含むIKE_AUTH Responseで応答する。
79.UEは、ePDGからのIKE_AUTH ResponseにおけるIPアドレス/プレフィックスを、ローカルに割り当てられたIPアドレス/プレフィックスと比較する。両IPアドレス/プレフィックスが一致する場合には、信頼できるアクセスであり、UEはePDGへのトンネルを使用する必要がない。両IPアドレス/プレフィックスが一致しない場合には、信頼できないアクセスであり、UEは、PDNにアクセスするためには、ePDGへのトンネルを使用しなければならない。
81.まず、IKE_SA_INITを行って、PDN−GWへの安全な接続を確立する。
82.その後、IKE_AUTHのシグナリングにおいて、UEは、自身のID(NAI)をIDiペイロードに、APN情報をIDrペイロードに含める。さらに、UEは、非3GPPアクセスにおいてローカルに割り当てられたIPアドレスを設定ペイロードにおいて示すことができる。
83.PDN−GWは、AAAサーバでUEの認証を開始する。EAP−AKAが使用される。
84.PDN−GWは、認証が成功したことをUEに通知する。
85.IKE_AUTH ResponseにおいてEAP successを受信すると、UEは、最初のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータと共にIKE_AUTH RequestをPDN−GWへ送信する。
86.PDN−GWは、2番目のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータを含み、かつ割り当てられたホームIPアドレス/プレフィックスを設定ペイロードに含むIKE_AUTH Responseで応答する。
87.UEは、PDN−GWからのIKE_AUTH ResponseにおけるIPアドレス/プレフィックスを、非3GPPアクセスにおいて割り当てられたIPアドレス/プレフィックスと比較する。両IPアドレス/プレフィックスが一致する場合には、信頼できるアクセスである。両IPアドレス/プレフィックスが一致しない場合には、信頼できないアクセスであり、UEは、PDNへの接続性を得るためにePDGへのトンネルを確立しなければならない。
91.UEは、最初に割り当てられたIPアドレス/プレフィックスを(送信元アドレスに、あるいは、メッセージのペイロードに付加的に)含めて、IKE_SA_INITをPDN−GWへ送信する。
92.PDN−GWは、受信した、UEにより使用されたIPアドレス/プレフィックスに基づいて、UEが信頼できる非3GPPアクセスにいることあるいは信頼できない非3GPPアクセスにいることを検出してもよい。例えば、使用されたIPアドレス/プレフィックスがそのPDN−GWによって割り当てられたものである場合には、信頼できるアクセスのはずである。逆に、IPアドレス/プレフィックスがPDN−GWによって割り当てられたものでない場合には、そのアクセスは信頼できないものである。
93.PDN−GWは、NotifyペイロードをIKE_SA_INIT(又はIKE_AUTH)Responseメッセージに含め、アクセスが信頼できるもの(又は信頼できないもの)であるということをUEに通知してもよい。
94a.UEは、非3GPPアクセスが信頼できないものであるということを示すIKE_SA_INIT(又はIKE_AUTH)ResponseメッセージのNotifyペイロードを受信すると、ePDGへのIKEv2トンネル確立の手順を開始する。
95a.UEの認証が成功すると、ePDGは、PBUをPDN−GWへ送信し、割り当てられたIPアドレス/プレフィックスと共にPBAを受信する。
96a.IKEv2/IPsecトンネルのセットアップを完了する。
97a.ePDGは、設定ペイロードにおいて、割り当てられたIPアドレス/プレフィックスをUEに通知する。
98a.UEは、PDN−GWによって割り当てられたホームIPアドレス/プレフィックスを使用して、アプリケーション層のセッションを開始できる。
94b.UEは、非3GPPアクセスが信頼できるものであるということを示すIKE_SA_INIT(又はIKE_AUTH)ResponseメッセージのNotifyペイロードを受信すると、IKEv2の手順を中止する。そして、UEは、割り当てられたIPアドレス/プレフィックスで、アプリケーション層のセッションをすぐに開始することができる。
Claims (18)
- アクセスネットワークに接続するユーザ装置が、ゲートウェイと前記ユーザ装置のパケット・データ・ネットワーク・ゲートウェイ(PDN−GW)とを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を判定する方法であって、
前記アクセスネットワークに接続すると同時に、前記アクセスネットワークから前記ユーザ装置に通知されたIPアドレス/IPプレフィックスを前記ユーザ装置が受信するステップと、
前記ゲートウェイによって割り当てられたリモートIPアドレスを前記ユーザ装置が受信するステップと、
前記ユーザ装置と前記ゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージであって、前記ユーザ装置の前記IPアドレス/IPプレフィックスの情報を含む前記メッセージを交換するステップと、
前記セキュリティトンネル確立手順の後に、前記ユーザ装置において、前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを、前記パケット・データ・ネットワーク・ゲートウェイから前記ユーザ装置に送信されたバインディングアクノレッジ(BACK)の宛先アドレスに基づいて判定するステップとを、
備える方法。 - 前記バインディングアクノレッジの宛先アドレスが前記IPアドレス/IPプレフィックスである場合、前記ユーザ装置は前記アクセスネットワークが前記コアネットワークにより信頼されるものであると判定し、
前記バインディングアクノレッジの宛先アドレスが前記リモートIPアドレスである場合、前記ユーザ装置は前記アクセスネットワークが前記コアネットワークにより信頼されるものでないと判定する請求項1に記載の方法。 - 前記ゲートウェイは発展型パケット・データ・ゲートウェイ(ePDG)である請求項1に記載の方法。
- 前記IPアドレス/IPプレフィックスは、前記セキュリティトンネル確立手順の前記メッセージの1つで、前記ユーザ装置から前記発展型パケット・データ・ゲートウェイへ伝達される請求項3に記載の方法。
- 前記発展型パケット・データ・ゲートウェイから前記パケット・データ・ネットワーク・ゲートウェイへ転送されるモビリティメッセージは、前記IPアドレス/IPプレフィックスを含み、前記パケット・データ・ネットワーク・ゲートウェイは、前記モビリティメッセージで受信される前記IPアドレス/IPプレフィックスが既に前記パケット・データ・ネットワーク・ゲートウェイによって前記アクセスネットワークを介して前記ユーザ装置に割り当てられているホームIPアドレス/IPプレフィックスと同一であるかどうかを判定し、
同一であると判定される場合には、前記バインディングアクノレッジの宛先アドレスに前記IPアドレス/IPプレフィックスが設定されて送信され、同一でないと判定される場合には、前記バインディングアクノレッジの宛先アドレスに前記リモートIPアドレスが設定されて送信される請求項4に記載の方法。 - アクセスネットワークに接続され、ゲートウェイと前記ユーザ装置のパケット・データ・ネットワーク・ゲートウェイ(PDN−GW)とを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を判定するユーザ装置であって、
前記アクセスネットワークによって前記ユーザ装置に割り当てられたIPアドレス/IPプレフィックスを受信する受信部を備え、
前記ゲートウェイによって割り当てられたリモートIPアドレスを前記ユーザ装置が受信する前記受信部と、
前記ユーザ装置と前記ゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージであって、前記IPアドレス/IPプレフィックスの情報を含むメッセージを交換する前記受信部及び送信部と、
前記セキュリティトンネル確立手順の後に、前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを、前記パケット・データ・ネットワーク・ゲートウェイから前記ユーザ装置に送信されたバインディングアクノレッジ(BACK)の宛先アドレスに基づいて判定するプロセッサとを、
備えるユーザ装置。 - アクセスネットワークに接続されたユーザ装置が、第1のゲートウェイと第2のゲートウェイとを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を検出するための方法であって、
前記ユーザ装置が前記第2のゲートウェイを介して前記第1のゲートウェイへメッセージを送信するステップと、
前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断するステップと、
前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記第2のゲートウェイと前記ユーザ装置との間を経由する前記第1のゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記第1のゲートウェイが前記ユーザ装置へ前記ユーザ装置のリモートIPアドレスを宛先アドレスとするメッセージを送信するステップと、
前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記第1のゲートウェイが前記ユーザ装置へ前記ユーザ装置のローカルIPアドレス/プレフィックスを宛先アドレスとするメッセージを送信するステップとを、
備える方法。 - 前記第1のゲートウェイはパケット・データ・ネットワーク・ゲートウェイ(PDN−GW)であり、前記第2のゲートウェイは発展型パケット・データ・ゲートウェイ(ePDG)である請求項7に記載の方法。
- 前記判断するステップは、前記第1のゲートウェイによって行われる、あるいは、認証、認可、アカウンティングサーバによって行われる請求項7又は8に記載の方法。
- 前記ユーザ装置が前記第1のゲートウェイへ送信するステップにおける前記メッセージはバインディングアップデートであり、前記バインディングアップデートは、トンネリングされる、あるいは、他のメッセージに含まれる請求項7から9のいずれか1つに記載の方法。
- 前記第1のゲートウェイが前記ユーザ装置へ送信するステップにおける前記メッセージはバインディングアクノレッジ(BACK)である請求項7から10のいずれか1つに記載の方法。
- 前記ユーザ装置が前記バインディングアクノレッジを受信するステップと、
前記バインディングアクノレッジの宛先アドレスにローカルIPアドレス/プレフィックスが使用される場合に、前記ユーザ装置が信頼できるネットワークにいると判定するステップと、
前記バインディングアクノレッジの宛先アドレスにリモートIPアドレスが使用される場合に、前記ユーザ装置が信頼できないネットワークにいると判定するステップとを、
さらに備える請求項11に記載の方法。 - アクセスネットワークに接続されたユーザ装置のために、コアネットワークと前記アクセスネットワークとの間の信頼関係が検出される、前記コアネットワークにおけるゲートウェイであって、
前記ユーザ装置からメッセージを受信する受信手段と、
前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断する判断手段と、
前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、他のゲートウェイと前記ユーザ装置との間を経由する前記ゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記ユーザ装置へ前記ユーザ装置のリモートIPアドレスを宛先アドレスとするメッセージを送信する送信手段とを備え、
前記送信手段は、前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記ゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記ユーザ装置へ前記ユーザ装置のローカルIPアドレス/プレフィックスを宛先アドレスとするメッセージを送信する
備えるゲートウェイ。 - 前記ゲートウェイはパケット・データ・ネットワーク・ゲートウェイ(PDN−GW)である請求項13に記載のゲートウェイ。
- アクセスネットワークに接続され、第1のゲートウェイと第2のゲートウェイとを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を検出できるユーザ装置であって、
前記第2のゲートウェイを介して前記コアネットワークへメッセージを送信する送信手段と、
前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記第2のゲートウェイと前記ユーザ装置との間を経由する前記第1のゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記第1のゲートウェイから前記ユーザ装置のリモートIPアドレスを宛先アドレスとするメッセージを受信する受信手段とを備え、
前記受信手段は、前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記第1のゲートウェイから前記ユーザ装置のローカルIPアドレス/プレフィックスを宛先アドレスとするメッセージを受信する
備えるユーザ装置。 - ネットワークのコアネットワークにおけるゲートウェイのプロセッサによって実行されたときに、ユーザ装置のために前記コアネットワークとアクセスネットワークとの間の信頼関係を前記ゲートウェイに検出させる命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、前記ゲートウェイに、
前記ユーザ装置からメッセージを受信させ、
前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断させ、
前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、他のゲートウェイと前記ユーザ装置との間を経由する前記ゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記ユーザ装置へ前記ユーザ装置のリモートIPアドレスを宛先アドレスとするメッセージを送信させ、
前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記ゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記ユーザ装置へ前記ユーザ装置のローカルIPアドレス/プレフィックスを宛先アドレスとするメッセージを送信させることによって、前記信頼関係を検出させるコンピュータ読み取り可能媒体。 - ネットワークのアクセスネットワークに接続されたユーザ装置のプロセッサによって実行されたときに、前記アクセスネットワークと第1及び第2のゲートウェイを含むコアネットワークとの間の信頼関係を前記ユーザ装置に検出させる命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、前記ユーザ装置に、
前記第2のゲートウェイを介して前記コアネットワークへメッセージを送信させ、
前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記ユーザ装置と前記第2のゲートウェイとの間を経由する前記第1のゲートウェイへの第1のトンネルを介して、前記第1のゲートウェイから前記ユーザ装置のリモートIPアドレスを宛先アドレスとするメッセージを受信させ、
前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイへの第2のトンネルを介して、前記第1のゲートウェイから前記ユーザ装置のローカルIPアドレス/プレフィックスを宛先アドレスとするメッセージを受信させることによって、前記信頼関係を検出させるコンピュータ読み取り可能媒体。 - 請求項17に記載のコンピュータ読み取り可能媒体であって、ネットワークのアクセスネットワークにおけるユーザ装置のプロセッサによって実行されたときに、請求項10から12に記載の方法のステップを前記ユーザ装置に実行させることによって、前記アクセスネットワークと第1及び第2のゲートウェイを含むコアネットワークとの間の信頼関係を検出させる命令を格納するコンピュータ読み取り可能媒体。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP07011972A EP2007097A1 (en) | 2007-06-19 | 2007-06-19 | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network |
EP07011972.2 | 2007-06-19 | ||
EP08008131A EP2037652A3 (en) | 2007-06-19 | 2008-04-28 | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
EP08008131.8 | 2008-04-28 | ||
PCT/EP2008/004731 WO2008155066A2 (en) | 2007-06-19 | 2008-06-12 | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010530680A JP2010530680A (ja) | 2010-09-09 |
JP5166525B2 true JP5166525B2 (ja) | 2013-03-21 |
Family
ID=40156735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010512576A Expired - Fee Related JP5166525B2 (ja) | 2007-06-19 | 2008-06-12 | モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8688970B2 (ja) |
EP (2) | EP2037652A3 (ja) |
JP (1) | JP5166525B2 (ja) |
CN (1) | CN101785270A (ja) |
WO (1) | WO2008155066A2 (ja) |
Families Citing this family (97)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8150018B2 (en) * | 2002-12-18 | 2012-04-03 | Cisco Technology, Inc. | System and method for provisioning connections as a distributed digital cross-connect over a packet network |
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
US8160038B1 (en) * | 2007-08-06 | 2012-04-17 | Marvell International Ltd. | Packet data network specific addressing solutions with network-based mobility |
EP2068565A1 (fr) * | 2007-12-07 | 2009-06-10 | Gemplus | Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée |
JP5316423B2 (ja) * | 2007-12-19 | 2013-10-16 | 富士通株式会社 | 暗号化実施制御システム |
EP2091204A1 (en) * | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
US8503460B2 (en) * | 2008-03-24 | 2013-08-06 | Qualcomm Incorporated | Dynamic home network assignment |
CN101547383B (zh) * | 2008-03-26 | 2013-06-05 | 华为技术有限公司 | 一种接入认证方法及接入认证***以及相关设备 |
ES2447546T3 (es) * | 2008-04-11 | 2014-03-12 | Telefonaktiebolaget L M Ericsson (Publ) | Acceso a través de redes de acceso no-3GPP |
US8364790B2 (en) * | 2008-06-13 | 2013-01-29 | Samsung Electronics Co., Ltd. | Method and apparatus for production and use of decorated networking identifier |
GB0812632D0 (en) * | 2008-07-10 | 2008-08-20 | Vodafone Plc | Security architecture for LTE relays |
JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
EP2347560B1 (en) * | 2008-10-15 | 2014-08-27 | Telefonaktiebolaget L M Ericsson (PUBL) | Secure access in a communication network |
CA2748736C (en) | 2009-01-05 | 2014-08-12 | Nokia Siemens Networks Oy | Trustworthiness decision making for access authentication |
JP5421392B2 (ja) * | 2009-01-15 | 2014-02-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 宅内ネットワーク内におけるプロキシモバイルIPv6のサポート |
WO2010086029A1 (en) * | 2009-02-02 | 2010-08-05 | Nokia Siemens Networks Oy | Method and radio communication system for establishing an access to a mobile network domain |
EP2222116A1 (en) * | 2009-02-19 | 2010-08-25 | Alcatel Lucent | Exchanging signaling information between a mobile station and a pdn gateway of a 3GPP evolved packet core network |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
KR101679891B1 (ko) * | 2009-03-27 | 2016-11-25 | 샤프 가부시키가이샤 | 이동 단말 장치 및 그 통신 방법, 외부 게이트웨이 장치 및 그 통신 방법, 및 이동체 통신 시스템 |
SG176293A1 (en) * | 2009-06-04 | 2012-01-30 | Research In Motion Ltd | Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol |
EP2478719B1 (en) * | 2009-09-18 | 2017-06-28 | InterDigital Patent Holdings, Inc. | Method and apparatus for multicast mobility |
US20110271117A1 (en) * | 2009-10-26 | 2011-11-03 | Telefonaktiebolaget L M Ericsson (Publ) | User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment |
CN102056144B (zh) * | 2009-10-28 | 2015-05-20 | 中兴通讯股份有限公司 | 多接入的处理方法、家乡代理及用户设备 |
EP2362688B1 (en) * | 2010-02-23 | 2016-05-25 | Alcatel Lucent | Transport of multihoming service related information between user equipment and 3GPP evolved packet core |
US8839397B2 (en) * | 2010-08-24 | 2014-09-16 | Verizon Patent And Licensing Inc. | End point context and trust level determination |
US8898759B2 (en) | 2010-08-24 | 2014-11-25 | Verizon Patent And Licensing Inc. | Application registration, authorization, and verification |
US9596597B2 (en) * | 2010-11-05 | 2017-03-14 | Nokia Technologies Oy | Mobile security protocol negotiation |
KR101338486B1 (ko) | 2010-12-21 | 2013-12-10 | 주식회사 케이티 | I-wlan의 게이트웨이 및 그의 호 추적 방법 |
WO2012095184A1 (en) * | 2011-01-14 | 2012-07-19 | Nokia Siemens Networks Oy | External authentication support over an untrusted network |
US9077730B2 (en) * | 2011-02-02 | 2015-07-07 | Cisco Technology, Inc. | Restricting network access while connected to an untrusted network |
US9843975B2 (en) * | 2011-02-17 | 2017-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a PDN connection |
US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
CA2839835A1 (en) * | 2011-06-20 | 2012-12-27 | Telefonaktiebolaget L M Ericsson (Publ) | Roaming selection of a v-epdg |
US8955078B2 (en) | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
BR112014002742B8 (pt) * | 2011-08-05 | 2023-01-17 | Huawei Tech Co Ltd | Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação |
CN103024737B (zh) * | 2011-09-23 | 2017-08-11 | 中兴通讯股份有限公司 | 可信任非3gpp接入网元、接入移动网络及去附着方法 |
US20130086218A1 (en) * | 2011-09-30 | 2013-04-04 | Corey F. Adams | Proxy Server For Home Network Access |
TWI428031B (zh) * | 2011-10-06 | 2014-02-21 | Ind Tech Res Inst | 區域網協存取網路元件與終端設備的認證方法與裝置 |
JP5922785B2 (ja) | 2011-11-03 | 2016-05-24 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | データセキュリティチャネル処理方法およびデバイス |
US20130114463A1 (en) * | 2011-11-03 | 2013-05-09 | Futurewei Technologies, Inc. | System and Method for Domain Name Resolution for Fast Link Setup |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
US9100940B2 (en) | 2011-11-28 | 2015-08-04 | Cisco Technology, Inc. | System and method for extended wireless access gateway service provider Wi-Fi offload |
EP2611228A1 (en) * | 2011-12-27 | 2013-07-03 | Alcatel Lucent | Allowing access to services delivered by a service delivery platform in a 3GPP HPLM, to an user equipment connected over a trusted non-3GPP access network |
EP2820874A1 (en) * | 2012-03-01 | 2015-01-07 | Interdigital Patent Holdings, Inc. | Method and apparatus for supporting dynamic and distributed mobility management |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
US8885626B2 (en) * | 2012-04-06 | 2014-11-11 | Chris Gu | Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN |
US8879530B2 (en) * | 2012-04-06 | 2014-11-04 | Chris Yonghai Gu | Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN |
US8990916B2 (en) * | 2012-07-20 | 2015-03-24 | Cisco Technology, Inc. | System and method for supporting web authentication |
EP2880619A1 (en) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systems and methods for accessing records via derivative locators |
US8832433B2 (en) * | 2012-08-17 | 2014-09-09 | Cellco Partnership | Methods and systems for registering a packet-based address for a mobile device using a fully-qualified domain name (FQDN) for the device in a mobile communication network |
CN103716775B (zh) * | 2012-09-29 | 2017-10-10 | 华为终端有限公司 | 数据流控制方法及相关设备和通信*** |
TW201434292A (zh) * | 2012-10-15 | 2014-09-01 | Interdigital Patent Holdings | 邊緣組件失效切換恢復方法 |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
US20140259012A1 (en) * | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
CN104427006A (zh) * | 2013-08-22 | 2015-03-18 | 中兴通讯股份有限公司 | 网络地址的处理方法、装置、***、wlan及ue |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
WO2016072897A1 (en) * | 2014-11-07 | 2016-05-12 | Telefonaktiebolaget L M Ericsson (Publ) | Selectively utilising mobility of ip flows |
JP6496423B2 (ja) * | 2015-04-22 | 2019-04-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | サービス割り当て方法及び装置 |
EP3295763B1 (en) * | 2015-05-11 | 2020-12-09 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods and nodes for handling access to a service via an untrusted non-3gpp network |
CN113596032B (zh) * | 2015-05-12 | 2024-04-26 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
WO2016187871A1 (en) | 2015-05-28 | 2016-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple pdn connections over untrusted wlan access |
US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
FR3039954A1 (fr) * | 2015-08-05 | 2017-02-10 | Orange | Procede et dispositif d'identification de serveurs d'authentification visite et de domicile |
CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和*** |
US10057929B2 (en) | 2015-08-18 | 2018-08-21 | Samsung Electronics Co., Ltd. | Enhanced hotspot 2.0 management object for trusted non-3GPP access discovery |
EP3151599A1 (en) * | 2015-09-30 | 2017-04-05 | Apple Inc. | Authentication failure handling for cellular network access through wlan |
US10419994B2 (en) * | 2016-04-08 | 2019-09-17 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
KR102088717B1 (ko) | 2016-04-08 | 2020-03-13 | 한국전자통신연구원 | 비접속계층 기반 액세스 방법 및 이를 지원하는 단말 |
US11089519B2 (en) * | 2016-04-13 | 2021-08-10 | Qualcomm Incorporated | Migration of local gateway function in cellular networks |
US10674346B2 (en) * | 2016-10-10 | 2020-06-02 | Qualcomm Incorporated | Connectivity to a core network via an access network |
US10833876B2 (en) * | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
US11553561B2 (en) * | 2016-10-28 | 2023-01-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication |
US11258694B2 (en) * | 2017-01-04 | 2022-02-22 | Cisco Technology, Inc. | Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2 |
EP3622670B1 (en) * | 2017-05-12 | 2021-03-17 | Nokia Solutions and Networks Oy | Connectivity monitoring for data tunneling between network device and application server |
JP2019033416A (ja) * | 2017-08-09 | 2019-02-28 | シャープ株式会社 | 端末装置、コアネットワーク内の装置、及び通信制御方法 |
WO2019201241A1 (en) * | 2018-04-17 | 2019-10-24 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for handling access type restriction information |
US11416620B1 (en) | 2019-11-01 | 2022-08-16 | Sprint Communications Company L.P. | Data communication service in a trusted execution environment (TEE) at the network edge |
US11777935B2 (en) * | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
US11489821B2 (en) | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
US11184160B2 (en) * | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
US11405215B2 (en) | 2020-02-26 | 2022-08-02 | International Business Machines Corporation | Generation of a secure key exchange authentication response in a computing environment |
US11310036B2 (en) | 2020-02-26 | 2022-04-19 | International Business Machines Corporation | Generation of a secure key exchange authentication request in a computing environment |
US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
US20220103594A1 (en) * | 2020-09-25 | 2022-03-31 | Fortinet, Inc. | Adjusting behavior of an endpoint security agent based on network location |
CN115296988B (zh) * | 2022-10-09 | 2023-03-21 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060265737A1 (en) * | 2005-05-23 | 2006-11-23 | Morris Robert P | Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location |
WO2006137037A1 (en) * | 2005-06-24 | 2006-12-28 | Nokia Corporation | Adaptive ipsec processing in mobile-enhanced virtual private networks |
-
2008
- 2008-04-28 EP EP08008131A patent/EP2037652A3/en not_active Withdrawn
- 2008-06-12 EP EP08759216A patent/EP2165496B1/en not_active Not-in-force
- 2008-06-12 WO PCT/EP2008/004731 patent/WO2008155066A2/en active Application Filing
- 2008-06-12 JP JP2010512576A patent/JP5166525B2/ja not_active Expired - Fee Related
- 2008-06-12 US US12/665,006 patent/US8688970B2/en not_active Expired - Fee Related
- 2008-06-12 CN CN200880103440A patent/CN101785270A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2010530680A (ja) | 2010-09-09 |
EP2165496A2 (en) | 2010-03-24 |
WO2008155066A2 (en) | 2008-12-24 |
EP2037652A3 (en) | 2009-05-27 |
WO2008155066A4 (en) | 2009-08-20 |
WO2008155066A3 (en) | 2009-06-11 |
EP2165496B1 (en) | 2012-11-21 |
US8688970B2 (en) | 2014-04-01 |
US20100199332A1 (en) | 2010-08-05 |
EP2037652A2 (en) | 2009-03-18 |
CN101785270A (zh) | 2010-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5166525B2 (ja) | モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 | |
US11477634B2 (en) | Home agent discovery upon changing the mobility management scheme | |
JP5430587B2 (ja) | ネットワークベースのモビリティ管理による経路最適化のためのゲートウェイ間での情報交換 | |
JP5554342B2 (ja) | アクセスネットワークへの接続又はハンドオーバの後のセキュアトンネルの確立 | |
US8780800B2 (en) | Optimized home link detection | |
US20070086382A1 (en) | Methods of network access configuration in an IP network | |
Leung et al. | WiMAX forum/3GPP2 proxy mobile IPv4 | |
JP2012501129A (ja) | ネットワークによって用いられるモビリティマネジメント機能の検出 | |
EP2007097A1 (en) | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network | |
Leung et al. | RFC 5563: WiMAX Forum/3GPP2 Proxy Mobile IPv4 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110525 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120907 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121220 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5166525 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |