[go: up one dir, main page]

JP2010530680A - モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 - Google Patents

モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 Download PDF

Info

Publication number
JP2010530680A
JP2010530680A JP2010512576A JP2010512576A JP2010530680A JP 2010530680 A JP2010530680 A JP 2010530680A JP 2010512576 A JP2010512576 A JP 2010512576A JP 2010512576 A JP2010512576 A JP 2010512576A JP 2010530680 A JP2010530680 A JP 2010530680A
Authority
JP
Japan
Prior art keywords
gateway
access network
address
network
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010512576A
Other languages
English (en)
Other versions
JP5166525B2 (ja
Inventor
イェンス バッハマン
キリアン ヴェニゲル
隆 荒牧
ヨン シュリンガー
純 平野
新吉 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP07011972A external-priority patent/EP2007097A1/en
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JP2010530680A publication Critical patent/JP2010530680A/ja
Application granted granted Critical
Publication of JP5166525B2 publication Critical patent/JP5166525B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【解決手段】本発明は、ユーザ装置のために、コアネットワークとアクセスネットワークとの間の信頼関係検出の方法を提供する。コアネットワークの一部又はユーザ装置自身である1つのエンティティに、アクセスネットワークが信頼できるものなのか、あるいは、信頼できないものなのかを判定するための情報を与えるために、セキュリティトンネル確立の手順を使用することを要旨とする。その情報は、ユーザ装置にアクセスネットワークに接続すると同時に最初に割り当てられた第1のIPアドレス/プレフィックスを含んでもよい。その必要な情報は、コアネットワークの信頼できるエンティティにおいて割り当てられるアドレス/プレフィックスである第2のIPアドレス/プレフィックスをさらに含んでもよい。セキュリティトンネル確立手順を使用して、どのエンティティがアクセスネットワークの信頼関係を判定するかにより、第1のIPアドレス/プレフィックス、又は、第2のIPアドレス/プレフィックス、又は、第1及び第2のIPアドレス/プレフィックスを送信しなければならない場合がある。
【選択図】図7

Description

本発明は、概して移動体通信に関し、特に、非3GPPアクセスネットワークへのハンドオーバ後又は初期接続後のモビリティシグナリングに関する。
本発明は、モバイルネットワークにおけるコアネットワークと非3GPPアクセスネットワークとの間の信頼関係検出の方法に関する。
3GPPでは、システムアーキテクチャの発展が標準規格に規定されている(3GPP TS 23.401及び3GPP TS 23.402)。発展の1つの側面としては、3GPP(3rd Generation Partnership Project)アクセス(例えば、GERAN(GSM/Edge Radio Access Network)、UTRAN(UMTS Terrestrial Radio Access Network)、E−UTRAN(Evolved− UTRAN))と、非3GPPアクセス(例えば、WLAN(Wireless Local Area Network)、WiMAX(Worldwide Interoperability for Microwave Access)、3GPP2(3rd Generation Partnership Project 2)等)と、さらにそれらの間のモビリティとをサポートすることが挙げられる。3GPPアクセスと非3GPPアクセスとの間のモビリティアンカーは、3GPPコアネットワークのゲートウェイである。このゲートウェイは、外部のパケット・データ・ネットワーク(PDN)とのインターフェースも提供し、PDN−GWと呼ばれる。3GPPアクセスと非3GPPアクセスとの間のモビリティは、モバイルIPに基づいており、それにより、そのプロトコルとして、クライアントモバイルIP(D. Johnson, C. Perkins, J. Arkko, “Mobility Support in IPv6” RFC 3775, 2004年6月; H. Soliman, “Mobile IPv6 support for dual stack Hosts and Routers (DSMIPv6)” draft−ietf−mip6−nemo−v4traversal−04.txt, 2007年3月)及びプロキシモバイルIP(S. Gundavelli, K. Leung, V. Devarapalli, K. Chowdhury, B. Patil, “Proxy Mobile IPv6” draft−ietf−netlmm−proxymip6−00.txt, 2007年4月)のいずれを使用してもよい。非3GPPアクセスは、信頼できるアクセスと信頼できないアクセスとに分けられる。信頼できないアクセスは、信頼できないアクセスにいるユーザ装置(UE)は、オペレータのサービスにアクセスできるようになる前に、発展型(evolved)パケット・データ・ゲートウェイ(ePDG)への(IPsec(インターネット・プロトコル・セキュリティ)に基づいた)安全なトンネルをまず必要とすることを、前提とする。ePDGは、インターワーキングWLANに使用されるPDGと類似のものである(TS 23.234に記載されている)。一方、信頼できるアクセスからは、この安全なトンネルは必要ない。非3GPPアクセスが信頼できるものであるか否かは、オペレータの判断であり、オペレータによって異なる場合がある。
同一の非3GPPアクセス内又は異なる非3GPPアクセス間のモビリティに対して、3GPPアクセスと非3GPPアクセスとの間のモビリティに対して使用されるものと類似のメカニズム、すなわち、クライアント又はプロキシモバイルIP(インターネットプロトコル)が使用することができる。
上記したように、2種類の非3GPPアクセス、すなわち、信頼できない非3GPPアクセスと信頼できる非3GPPアクセスが定義されており、非3GPPアクセスが信頼できるものであるか否かは、3GPPオペレータに委ねられている。また、1つの非3GPPアクセスが、オペレータAの、あるUEにとっては信頼できるアクセスであり、オペレータAの別のUEにとっては信頼できないアクセスである、という場合もある。
UEが信頼できない非3GPPアクセスへ移動又は初期接続する場合(図1)、UEは、まず、ePDGを発見して、ePDGとの間にIPsec鍵交換IKEv2/IPsecトンネルを確立しなければならない。そして、UEは、ePDGIPsecトンネルを介して、発展型パケットコアEPC(PDN−GW)に接続することができる。一方、UEは、信頼できる非3GPPアクセスへ移動又は初期接続する場合(図2)には、EPC(PDN−GW)に直接接続することができる。
問題は、UEが、非3GPPアクセスへの初期接続の間又はハンドオーバの後(図3)、そのアクセスが信頼できるものなのかあるいは信頼できないものなのかを把握しておらず、また、
−ePDGへのトンネルを確立して初めて、BUメッセージをPDN−GWへ送信できるのか、あるいは、
−BUメッセージをPDN−GWへ直接送信できるのか
を把握していないことである。
上記のように、(ハンドオーバ後又は初期接続において)非3GPPアクセスネットワークとの接続確立を開始するUEは、その非3GPPアクセスネットワークが信頼できるものなのかあるいは信頼できないものなのかを把握していない場合がある。
UEが非3GPPアクセスネットワークの信頼関係を検出できる方法に関しては、いくつかの解決策が考えられる。以下に、その解決策のうちのいくつかを説明し、それらの解決策において起こりうる問題に着目する。
1.いくつかの無線アクセス技術(Radio Access Technologies(RATs))をデフォルトで信頼できるもの(WiMAX)とし、その他をデフォルトで信頼できないもの(WLAN 802.11)とする。この解決策の問題は、無線アクセス技術が信頼できるものであるか否かはオペレータの判断になる可能性があるので、正しくないこともあり得る、ということである。また、非3GPPアクセスがUEにとって信頼できるものであるか否かは、このUEの機能に依存する場合がある。例えば、UEが特定のセキュリティ手段をサポートしている場合には、信頼できるものとなる。
2.信頼できる非3GPPアクセスからのネットワークプレフィックスのリストを用いて、UEを事前に設定する。ここでの問題は、例えば、オペレータが多数の小規模な非3GPPアクセス・ホットスポット・オペレータとの間に信頼関係を持っている場合には、このリストが極めて大きくなる可能性があることである。また、新しい非3GPPアクセスネットワークが絶えず加わり得るので、リストを最新の状態に保たなければならない。これは、更新されなければならないUEが多数ある場合には、困難又はかなり非効率となる。
3.AAA(Authentication(認証)、Authorization(認可)、Accounting(アカウンティング))手順の間に、例えば、EAP(拡張認証プロトコル)拡張機能によって、UEに通知してもよい。この解決策は、ローカルの非3GPPアクセスAAAプロトコル及びインフラストラクチャからのサポートを必要とするが、これが常にサポートされていることを前提とすることはできない。
4.下位層の(例えば、L2の)情報によって、UEに通知する。ここでも、問題は、非3GPPアクセスネットワーク、すなわち、下位層からの(例えば、IEEE 802.11u又はIEEE 802.21によって何らかの手段で提供される)サポートを必要とすることである。
5.UEがPDN−GWへの接続の確立を試行する、すなわち、バインディングアップデート(Binding Update)をPDN−GWのアドレスへ(又はPDN−GW及びePDGへ並行して)直接送信する。PDN−GWへのその確立が失敗した(PDN−GWが信頼できない非3GPPアクセスから到達可能でないため)場合には、UEは、信頼できない非3GPPアクセスにいて、ePDGを使用しなければならない、ということを把握する。問題は、UEが、PDN−GWへの到達を何度か試行しなければ、PDN−GWが到達可能ではないと確実に結論付けることができないので、その手順が非常に遅いことである。
6.UEが必ず、最初にePDGを使用する、すなわち、ePDGへのトンネルを確立する。そして、非3GPPアクセスが信頼できるものである場合には、UEは、PDN−GWへ直接接続するよう通知される。この解決策の問題は、最初に多くのリソースを消費することである。全てのパケットが2重にトンネリングされて(IPsec+MIPトンネル)ePDGを介してルーティングされるからである。したがって、あまり効率的ではない。
7.信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのか、UEがDHCPサーバに問い合わせをしてもよい(R. Droms, J. Bound, B. Volz, T. Lemon, C. Perkins, M. Carney “Dynamic Host Configuration Protocol for IPv6 (DHCPv6)” RFC 3315, 2003年7月)。ここで、UEは、最初は非3GPPアクセスに接続し、L2アクセスが確立される。その後、UEは、DHCPサーバに信頼関係(例えばNAIの形式のUEのID、及び/又は、ユーザのホームオペレータ識別子を含む)について要求する。非3GPPアクセスがユーザのホームオペレータとユーザにとって信頼できるものである場合には、DHCPサーバは、信頼関係についてユーザに通知する。DHCPサーバは、さらに、PDN−GWのIPアドレスを返してもよい。非3GPPアクセスがユーザのホームオペレータとユーザにとって信頼できないものである場合には、DHCPサーバは、信頼関係についてユーザに通知する。DHCPサーバは、さらに、ePDGのIPアドレスを返してもよい。ここでの問題は、この解決策が、ローカルDHCPサーバへの事前設定入力又はAAAインフラストラクチャによるサポートを必要とするので、DHCPサーバは、UEのアクセス認証の際、UEのための情報で更新される。しかしながら、これが利用可能でない場合には、DHCPは有効なIPアドレスを返すことができない。この場合、UEは、デフォルトでePDGを使用してもよい。しかしながら、このプロセスは遅い可能性がある。
8.信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのか、UEがDNSサーバに問い合わせをしてもよい。ここで、UEは、最初は非3GPPアクセスに接続し、L2及びL3アクセスを確立する。その後、UEは、例えばサービス又はPDN用に、UE又はオペレータ固有のFQDN(Fully Qualified Domain Name;フルドメイン名)を、例えば次のように構成してもよい。
FQDN=<pdn>.<non-3gpp>.<hplmn>.3gppnetwork.orgor
FQDN= <pdn>.<user id>.<non-3gpp>.<hplmn>.3gppnetwork.org
ここで、hplmn部は、ユーザのホームオペレータの識別子、例えば、MNCコード(Mobile Network Code)及びMCC(Mobile Country Code)コードである。non−3GPP部は、非3GPPネットワークについてのある情報、例えば、広告されたネットワークアクセス識別子又は広告されたIPプレフィックスである。user id部は、ユーザの識別子、例えば、NAI(Network Access Identifier)である。UEは、この固有のFQDNについてDNS(Domain Name Server)に問合せをする。DNS要求は、再帰的に解決される。前のDNSサーバによって解決できない場合には、最終的にはUEのホームオペレータのDNSサーバによって解決される。非3GPPアクセスが信頼できないものである場合には、DNSサーバは、IPアドレスと共にePDGを提供する。そして、UEはePDGへのトンネルを確立して、そのトンネルを介してBUをPDN−GWへ送信しなければならない。非3GPPアクセスが信頼できるものである場合には、DNSサーバは、IPアドレスと共にPDN−GWを提供する。そして、UEは、BUをPDN−GWへ直接送信しなければならない。ここで考えられる問題は、この解決方法が非常に遅いことである。
本発明は、上記の状況を考慮してなされたものであり、非3GPPアクセスネットワークへのハンドオーバ後又は初期接続後のモビリティシグナリングをより効率的にすることを目的とする。本発明のより詳細な目的は、UEが接続したアクセスネットワークが信頼できるものであるか否かを容易に判定するための方法を提供することである。
その目的は、独立クレームの主題によって解決される。本発明の有利な実施の形態は、従属クレームの主題である。
本発明の種々の実施の形態によれば、ネットワークベースのモビリティ方式がユーザ装置(UE)によって使用され、信頼できないアクセスネットワークはUEによって使用されるネットワークベースのモビリティ方式をサポートしていないことを前提としている。したがって、UEは、ローカル・モビリティ・アンカー(UEに対応するコアネットワークにおけるパケット・データ・ネットワーク・ゲートウェイ(PDN−GW))との間で、発展型パケット・データ・ゲートウェイ(ePDG)(信頼できないアクセスネットワークへの接続性を提供する)を介して、そのネットワークベースのモビリティ方式を実現しなければならない。その際、UEはePDGとの間でセキュリティトンネルを確立しなければならない。ユーザデータは、その後、そのトンネルを介してUEとPDN−GWとの間で交換される。これが機能するためには、UEは、PDN−GWにおいて割り当てられたホームIPアドレスを通信に使用しなければならない。上記の場合にのみ、他のエンティティとのセッション通信に上記のホームIPアドレスを使用すると、ユーザデータは、実際にPDN−GWによって受信されてePDGに転送され、そこからさらにセキュリティトンネルを介してUEへ転送される。したがって、UEが別のアクセスへ移動しても、ネットワークベースのモビリティも正しく機能し、セッションは中断されない。PDN−GWにおいて割り当てられたホームIPアドレスを新しいアクセスネットワークにおいても使用することができるからである。
一般に、ユーザ装置は、新しいアクセスネットワークに接続するとき、始めに、そのアクセスネットワークからIPアドレス/プレフィックスを入手する。アクセスネットワークは、信頼できるネットワークである場合には、UEのネットワークベースのモビリティ方式をサポートしており、アクセスネットワークのアクセスポイントは、UEのモビリティに対応するローカル・モビリティ・アンカー(PDN−GW)に対するプロキシ・モビリティ・エージェントとして機能する。アクセスポイントは、UEのローカル・モビリティ・アンカーとコンタクトを取って、ローカル・モビリティ・アンカーからUEのホームIPアドレス/プレフィックスを受信することができ、その後、ユーザのホームIPアドレス/プレフィックスをUEへ伝送する。ホームIPプレフィックスを受信すると、UEは、そのホームIPプレフィックスを使用してホームIPアドレスを生成するものとする。UEは、そのホームIPアドレスを他のエンティティとのセッション通信に使用することができる。
アクセスネットワークが信頼できないネットワークである場合には、UEのネットワークベースのモビリティ方式をサポートしていない。したがって、アクセスネットワークのアクセスポイントがローカル・モビリティ・アンカー(PDN−GW)に到達することはできない。その結果、アクセスネットワークにおいてローカルに割り当てられるIPアドレス/プレフィックスが、アクセスポイントによって生成されてUEに送信される。この場合、UEがローカル・モビリティ・アンカー(PDN−GW)とコンタクトを取るためのプロキシ・モビリティ・エージェントとしてePDGを使用し、それによってネットワークベースのモビリティを信頼できないアクセスネットワークにおいて実現することが必要になるであろう。この場合、UEは、PDN−GWにおいて割り当てられたUEのホームIPアドレス/プレフィックスを受信するために、ePDGへのセキュリティトンネルを確立し、ePDGがPDN−GWとコンタクトを取らなければならない。ePDGは、受信したホームIPアドレス/プレフィックスをUEへ転送する。IPプレフィックスの場合は、UEは、そのホームIPプレフィックスを使用して、他のエンティティとのセッション通信用のIPアドレスを生成する。したがって、この場合も、UEは、アクセスを変更するときに、セッションの連続性を維持することができる。逆に、UEがローカルに割り当てられたIPアドレス/プレフィックスをセッションに使用した場合(例えば、UEが信頼できないアクセスネットワークを信頼できるものと誤って想定し、IPアドレス/プレフィックスがUEのローカル・モビリティ・アンカーにおいて割り当てられたとき)には、UEがそのアクセスネットワークを離れるとすぐに、セッションは中断されてしまうであろう。
UEから見て、上記の差異はトランスペアレントである。すなわち、UEは、受信したIPアドレス/プレフィックスが、PDN−GWにおいて割り当てられたもの(UEのホームIPアドレス/プレフィックス)なのか、あるいは、アクセスネットワークにおいてローカルに割り当てられたものなのかを把握していない。
したがって、UEは、アクセスネットワークが信頼できるものなのか、つまり、受信したIPアドレス/プレフィックスをセッションの確立に使用することができるのか、あるいは、信頼できないものなのか、つまり、受信したIPアドレス/プレフィックスをセッションの確立に使用できず、その代わりにePDGを介してPDN−GWとの間でネットワークベースのモビリティを実現しなければならないのか、を判定しなければならない。
しかしながら、ネットワークベースのモビリティ方式を使用するときのハンドオーバの場合には、アクセスが信頼できるものであるか否かの検出は、前のアクセスネットワークにおいて受信したIPアドレス/プレフィックスを新しいアクセスネットワークにおいて受信したIPプレフィックスと比較することによって達成できる。より詳細には、UEが前のアクセスネットワークから新しいアクセスネットワークへハンドオーバを行う場合、UEは、前のアクセスネットワークにおいては、UEのホームIPアドレスでありPDN−GW(UEのローカル・モビリティ・アンカー)において割り当てられたホームIPプレフィックスに基づくIPアドレスをセッション通信に使用していた。UEは、新しいアクセスネットワークへ移動すると、新しいアクセスネットワークからIPアドレス/プレフィックスを受信する。そのIPアドレス/プレフィックスは、PDN−GWにおいて割り当てられたホームIPアドレス/プレフィックス、及び、新しいアクセスネットワークにおいてローカルに割り当てられたIPアドレス/プレフィックスのどちらでもよい。前のアクセスネットワークで使用していた前のIPアドレス/プレフィックスを、新しいアクセスネットワークから受信した新しいIPアドレス/プレフィックスと比較することによって、UEは、受信した新しいIPアドレス/プレフィックスがUEのローカル・モビリティ・アンカーにおいて割り当てられたものであるか否かを推測することができ、それにより、アクセスネットワークが信頼できるものであるか否かを判定することができる。
新しいアクセスネットワークとコアネットワークとの間の信頼関係を判定する上記の簡単な方法は、UEが新しいアクセスネットワークに初期接続することを前提とするときにはそれほど簡単ではない。この場合、前のIPアドレス/プレフィックスについての情報は何も得られない。UEによってそれ以前に確立されたセッションがないからである。したがって、UEは、受信したIPアドレス/プレフィックスがPDN−GWにおいて割り当てられたホームIPアドレス/プレフィックスなのか、あるいは、アクセスネットワークにおいてローカルに割り当てられたものなのかを把握することができない。
本発明は、アクセスネットワークが信頼できるネットワークであるか否かを、この場合及び他の場合にUEが判定する簡単で効率的な方法を提供する。
上記で使用した「IPアドレス/プレフィックス」という用語は、IPアドレス及びIPプレフィックスのいずれも使用できることを意味している。UEは、IPプレフィックスを入手すると、IPプレフィックスからIPアドレスを生成する。さらに、このIPアドレスは、その後、通信セッションに適用することができる。しかしながら、UEが、IPプレフィックスではなくIPアドレスを直接入手することも可能である。この場合、UEは、信頼できないアクセスネットワークに接続すると同時にローカルに割り当てられたIPアドレスを受信するか、あるいは、信頼できるアクセスネットワークから、PDN−GWにおいて割り当てられたホームIPアドレスを入手する。UEがIPプレフィックスからIPアドレスを生成する必要があるのか、あるいは、UEがIPアドレスを直接入手するのかは、発明が機能するためにはそれほど重要なことではない。当業者には、その違いと、後で説明する発明の種々の実施の形態の含意とが分かる。以下において、「IPアドレス」という用語又は「IPプレフィックス」という用語が使用されるときは、それぞれ、その代わりに「IPプレフィックス」又は「IPアドレス」をやはり使用することができる。このことは、当業者には明らかである。
また、記載されている実施の形態の大半は、ネットワークベースのモビリティを前提としているが、本発明は、ネットワークベースのモビリティ方式に限定されず、クライアントベースのモビリティ方式に適用してもよい。
例えば、クライアントベースのモビリティを使用するときは、UEは、新しいアクセスネットワークに接続するときに、前のアクセスネットワークからのハンドオーバ後の、あるいは、初期接続後のIPアドレスも入手する。このIPアドレスは、新しいアクセスネットワークにおいてローカルに割り当てられるものである。クライアントベースのモビリティを実現するために、UEは、その新しいIPアドレス(MIPを使用しているときは、気付アドレス)をコアネットワークのホームエージェントに登録しなければならない。これにより、ホームエージェントは、新しいアクセスネットワークにおけるUEとデータを交換することができる。
しかしながら、アクセスネットワークがコアネットワークにより信頼されないものである場合には、ホームエージェントは、UEによる登録の試行を受け付けないであろう。この場合、UEは、割り当てられたIPアドレスを使用してePDGとコンタクトを取って、新しいIPアドレスをePDGに要求しなければならない。その後、ePDGにおいて割り当てられた、新しく割り当てられたIPアドレスは、コアネットワークにおけるUEのホームエージェントにおいて正常に登録することができる。この新しいIPアドレスは、ePDGにおいて割り当てられるものであり、ePDGは、コアネットワークの一部なので、UEのホームエージェントにより信頼されるものだからである。UEは、ePDGへのセキュリティトンネルの確立も行わなければならないであろう。その結果、UEのホームエージェントを介して、また、信頼できないアクセスネットワークに接続しているUEへePDGを介して、データが交換される。
アクセスネットワークがコアネットワークにより信頼されるものである場合には、UEのホームエージェントによる登録の試行は成功し、UEは、最初に受信したIPアドレスを使用して、通常、クライアントベースのモビリティの場合に行うのと同じように、通信セッションを開始することができる。
今述べたように、UEは、最初に受信したIPアドレスを通信に使用できるか否かを把握するために、接続したアクセスネットワークがコアネットワークにより信頼されるものであるか否かを把握しなければならない。
発明の種々の実施の形態のベースとなる発明の趣旨は、アクセスネットワークが信頼できるものなのか、あるいは、信頼できないものなのかを判定するのに必要な情報を、コアネットワークの一部又はユーザ装置自身である1つの特定のエンティティに与えるために、セキュリティトンネル確立の手順を使用することである。
セキュリティトンネル確立手順のメッセージを用いて、上記の判定を行うエンティティに必要な情報を与える。必要な情報は、アクセスネットワークに接続すると同時にそのアクセスネットワークによってユーザ装置に最初に割り当てられた第1のIPアドレス/プレフィックスを含んでもよい。必要な情報は、コアネットワークにおけるユーザ装置のホームエージェントにおいて割り当てられるIPアドレス/プレフィックスであるそのユーザ装置のホームIPアドレス/プレフィックスをさらに含んでもよい。
アクセスネットワークの信頼関係を判定するエンティティによっては、必要な情報の一部、すなわち、第1のIPアドレス/プレフィックス又はホームIPアドレス/プレフィックスを既に把握している場合がある。したがって、そのエンティティは、足りない情報を保持している他のエンティティから残りの必要な情報を得なければならない。
つまり、アクセスネットワークの信頼関係を判定するエンティティによっては、セキュリティトンネル確立手順のメッセージで、第1のIPアドレス/プレフィックス、又は、ホームIPアドレス/プレフィックス、又は、第1のIPアドレス/プレフィックス及びホームIPアドレス/プレフィックスを送信しなければならない場合がある。例えば、UEがアクセスネットワークの信頼関係を判定するエンティティである場合には、第1のIPアドレス/プレフィックスは、セキュリティトンネル確立手順のメッセージで伝達されない。UEは既に第1のIPアドレス/プレフィックスを把握しているからである。しかしながら、この場合、セキュリティトンネル確立手順のメッセージを使用して、ホームIPアドレス/プレフィックスをUEへ伝達しなければならない。
したがって、ローカル・モビリティ・アンカー、つまり、PDN−GWがアクセスネットワークの信頼関係を判定するエンティティである場合には、セキュリティトンネル確立手順の際に、ホームIPアドレス/プレフィックスを交換する必要はない。ホームIPアドレス/プレフィックスは、概して、PDN−GWにとって既知だからである。しかしながら、第1のIPアドレス/プレフィックスをPDN−GWへ伝達しなければならない。これは、セキュリティトンネル確立手順のメッセージの1つを使用して行うことができる。
ePDGがアクセスネットワークの信頼関係を判定する場合には、第1のIPアドレス/プレフィックス及びホームIPアドレス/プレフィックスをePDGに与えるべきである。ePDGは、第1のIPアドレス/プレフィックス及びホームIPアドレス/プレフィックスのいずれも把握していないからである。第1のIPアドレス/プレフィックス及びホームIPアドレス/プレフィックスは、セキュリティトンネル確立手順のメッセージを使用して、また、実際にはセキュリティトンネル確立手順の一部ではないが、セキュリティトンネル確立手順によってトリガされるメッセージも使用して、ePDGに与えることができる。
この情報に基づいて、エンティティは、アクセスネットワークがコアネットワークにより信頼されるものであるか否かを判定してもよい。これは、第1のIPアドレス/プレフィックスをホームIPアドレス/プレフィックスと比較することによって行ってもよく、それらが一致する場合には、アクセスネットワークが信頼できるものであると推測することができる。この場合、アクセスネットワークはその信頼できるエンティティからIPアドレス/プレフィックスを取得して、その後、UEがアクセスネットワークに接続すると同時に、取得したこのIPアドレス/IPプレフィックスを第1のIPアドレス/プレフィックスとしてUEに与えている。
逆に、対応するエンティティが、第1のIPアドレスとホームIPアドレスが一致しないと判定する場合には、UEがアクセスネットワークから受信したIPプレフィックスはローカルに割り当てられているので、UEは、このIPプレフィックスを通信セッション開始のために使用しないものとする。つまり、そのアクセスネットワークはコアネットワークにより信頼されないものである。したがって、信頼できないアクセスネットワークからコアネットワークへ橋渡しをするePDGを介して、コアネットワーク、すなわち、モバイルノードのローカル・モビリティ・アンカー(PDN−GW)と通信しなければならない。
本発明の有利な実施の形態によれば、セキュリティトンネル確立手順が、ユーザ装置と、第1のゲートウェイと、コアネットワークの認証サーバとの間で行われる認証手順を備える。この場合、第1ゲートウェイは、ホームIPアドレス/IPプレフィックスを認証サーバからその認証手順のメッセージで受信する。これにより、判定全体を迅速化することができる。認証手順は、通常、始めに行われるので、第1のゲートウェイがホームIPアドレス/プレフィックスの情報をかなり早い時点で受信することになるからである。そして、第1のゲートウェイは、アクセスネットワークが信頼できるものであるか否かを判定することができる。あるいは、判定に対応するエンティティに、ホームIPアドレス/プレフィックスの情報を与えることができる。
本発明の別の実施の形態においては、アクセスネットワークがコアネットワークにより信頼されるものであるか否かを第1のゲートウェイが判定する場合には、その判定の結果は、セキュリティトンネル確立手順のメッセージでユーザ装置へ伝達される。
本発明の別の有利な実施の形態を次に参照すると、第1のゲートウェイは発展型パケット・データ・ゲートウェイであり、信頼できるエンティティはユーザ装置に対応するパケット・データ・ネットワーク・ゲートウェイである。ホームIPアドレス/プレフィックスは、パケット・データ・ネットワーク・ゲートウェイから、セキュリティトンネル確立手順のメッセージの1つを使用してユーザ装置へ、及び/又は、セキュリティトンネル確立手順によってトリガされる他のメッセージで発展型パケット・データ・ゲートウェイへ、伝達される。
本発明の別の有利な実施の形態によれば、第1のIPアドレス/プレフィックスは、セキュリティトンネル確立手順のメッセージの1つでユーザ装置から発展型パケット・データ・ゲートウェイへ伝達される。これは、アクセスネットワークの、コアネットワークとの信頼関係をユーザ装置が判定しない場合に行われる。
本発明の別の実施の形態においては、セキュリティトンネル確立手順は、発展型パケット・データ・ゲートウェイからパケット・データ・ネットワーク・ゲートウェイへのモビリティメッセージの送信をトリガし、モビリティメッセージはパケット・データ・ネットワーク・ゲートウェイをトリガしてホームIPアドレス/プレフィックスを発展型パケット・データ・ゲートウェイへ返すようにさせる。
本発明の別の実施の形態を参照すると、パケット・データ・ネットワーク・ゲートウェイへ転送されるモビリティメッセージは、IPアドレス/プレフィックスを含み、パケット・データ・ネットワーク・ゲートウェイは、モビリティメッセージで受信されるそのIPアドレス/プレフィックスが既にパケット・データ・ネットワーク・ゲートウェイによってユーザ装置に割り当てられているかどうかを判定する。モビリティメッセージで受信されるそのIPアドレス/プレフィックスが、ユーザ装置がアクセスネットワークに接続すると同時にそのユーザ装置に割り当てられるIPアドレス/プレフィックスと同一であると判定される場合には、パケット・データ・ネットワーク・ゲートウェイは、その判定の結果の情報を発展型パケット・データ・ゲートウェイへ返す。ユーザ装置がアクセスネットワークに接続すると同時に、パケット・データ・ネットワーク・ゲートウェイによって、モビリティメッセージで受信されるそのIPアドレス/プレフィックスがユーザ装置に割り当てられなかったと判定される場合には、ホームIPアドレス/プレフィックスはパケット・データ・ネットワーク・ゲートウェイによって生成され、発展型パケット・データ・ゲートウェイへ送信される。
本発明の別の有利な実施の形態によれば、第1のゲートウェイ及び信頼できるエンティティは、ユーザ装置に対応するパケット・データ・ネットワーク・ゲートウェイである。そして、ホームIPアドレス/プレフィックスは、セキュリティトンネル確立手順のメッセージの1つでパケット・データ・ネットワーク・ゲートウェイからユーザ装置へ伝達される。あるいは、第1のIPアドレス/プレフィックスは、セキュリティトンネル確立手順のメッセージの1つでユーザ装置からパケット・データ・ネットワーク・ゲートウェイへ伝達される。これは、どのエンティティが実際に信頼関係の判定を行うかによる。
本発明の別の実施の形態は、アクセスネットワークに接続されたユーザ装置のために、コアネットワークとそのアクセスネットワークとの間の信頼関係を判定する方法を提供する。そのコアネットワークは、パケット・データ・ネットワーク・ゲートウェイを含む。開始メッセージは、ユーザ装置からパケット・データ・ネットワーク・ゲートウェイへ送信される。開始メッセージに応じて、パケット・データ・ネットワーク・ゲートウェイから応答を受信しない場合には、ユーザ装置は、アクセスネットワークがコアネットワークにより信頼されないものであると判定する。
本発明の上記別の実施の形態によれば、その開始メッセージで、ユーザ装置とパケット・データ・ネットワーク・ゲートウェイとの間でセキュリティトンネル確立手順を開始する。
また、本発明は、アクセスネットワークに接続され、第1のゲートウェイを含むコアネットワークとそのアクセスネットワークとの間の信頼関係が判定されるユーザ装置を提供する。ユーザ装置の受信部は、アクセスネットワークによってユーザ装置に割り当てられた第1のIPアドレス/プレフィックスを受信する。ユーザ装置の受信部と送信部とは、ユーザ装置と第1のゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージを交換する。そのメッセージは、第1のIPアドレス/プレフィックス及び/又はユーザ装置のホームIPアドレス/プレフィックスの情報を含む。ユーザ装置内のプロセッサは、アクセスネットワークがコアネットワークにより信頼されるものであるか否かを、その第1のIPアドレス/プレフィックスとホームIPアドレス/プレフィックスとに基づいて判定する。
前記ユーザ装置が、本発明のこれまでに説明した実施の形態のステップを行う及び/又はそれらに関与する手段をさらに備えることは、当業者には明らかなはずである。
さらに、本発明は、アクセスネットワークに接続されたユーザ装置のために、コアネットワークとそのアクセスネットワークとの間の信頼関係が判定される、そのコアネットワークにおけるゲートウェイを提供する。ゲートウェイの受信部と送信部とは、ユーザ装置とゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージを交換する。そのメッセージは、アクセスネットワークに接続すると同時にユーザ装置によって受信され、かつアクセスネットワークによってユーザ装置に割り当てられた第1のIPアドレス/プレフィックスの情報を含む。そのメッセージは、さらに、ユーザ装置のホームIPアドレス/プレフィックスの情報を含む。ゲートウェイ内のプロセッサは、アクセスネットワークがコアネットワークにより信頼されるものであるか否かを、その第1のIPアドレス/プレフィックスとホームIPアドレス/プレフィックスとに基づいて判定する。
前記ゲートウェイが、本発明のこれまでに説明した実施の形態のステップを行う及び/又はそれらに関与する手段をさらに備えることは、当業者には明らかなはずである。
第1の態様によれば、アクセスネットワークに接続されたユーザ装置のための、第1のゲートウェイと第2のゲートウェイとを含むコアネットワークとそのアクセスネットワークとの間の信頼関係検出のための方法と、ゲートウェイと、ユーザ装置と、ネットワークと、コンピュータ読み取り可能媒体とが提供される。その方法は、ユーザ装置が第2のゲートウェイを介してコアネットワークへメッセージを送信するステップを備える。その後、ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかが判断される。第1のゲートウェイは、ユーザ装置が信頼できないアクセスネットワークにいる場合に、第2のゲートウェイとユーザ装置との間を経由する第1のゲートウェイとユーザ装置との間のトンネルを介して、ユーザ装置へメッセージを送信する。また、第1のゲートウェイは、ユーザ装置が信頼できるアクセスネットワークにいる場合に、第1のゲートウェイとユーザ装置との間のトンネルを介して、ユーザ装置へメッセージを送信する。
第1の態様をさらに詳細に参照すると、第1のゲートウェイはパケット・データ・ネットワーク・ゲートウェイであり、第2のゲートウェイは発展型パケット・データ・ゲートウェイである。前記判断するステップは、第2のゲートウェイ、第1のゲートウェイ、又は認証、認可、アカウンティングサーバによって行われる。第1の態様によれば、前記送信するステップにおけるメッセージはバインディングアップデートであり、そのバインディングアップデートは、トンネリングされる、あるいは、他のメッセージに含まれる。さらに、ユーザ装置が信頼できるアクセスネットワークにいる場合に、第1のゲートウェイが、ユーザ装置の非3GPPアクセスネットワークにおけるインターネット・プロトコル・アドレス宛てにバインディングアクノレッジメント(binding acknowledgement)メッセージを送信するステップが備えられている。第1の態様によれば、ユーザ装置が信頼できないアクセスネットワークにいる場合に、第1のゲートウェイが、ユーザ装置の第2のゲートウェイにおけるインターネット・プロトコル・アドレス宛てにバインディングアクノレッジメントメッセージを送信するステップが備えられている。第1の態様においては、第2のゲートウェイにおけるインターネット・プロトコル・アドレスは、事前に設定、あるいは、動的に決定される。さらに、第1の態様は、ユーザ装置がバインディングアクノレッジメントメッセージを受信するステップと、非3GPPアクセスネットワークにおけるインターネット・プロトコル・アドレスが使用される場合に、ユーザ装置が信頼できるネットワークにいると判定するステップと、第2のゲートウェイでのインターネット・プロトコル・アドレスが使用される場合に、ユーザ装置が信頼できないネットワークにいると判定するステップとをさらに備える。
第1の態様によれば、ユーザ装置のために、コアネットワークとアクセスネットワークとの間の信頼関係が検出されるネットワークが提供される。そのコアネットワークは、第1のゲートウェイと第2のゲートウェイとを含む。ユーザ装置は、第2のゲートウェイを介してコアネットワークへメッセージを送信する。コアネットワークは、ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断する。また、第1のゲートウェイは、ユーザ装置が信頼できないアクセスネットワークにいる場合に、第2のゲートウェイとユーザ装置との間を経由する第1のゲートウェイとユーザ装置との間の第1のトンネルを介して、ユーザ装置へメッセージを送信する。逆に、第1のゲートウェイは、ユーザ装置が信頼できるアクセスネットワークにいる場合に、第1のゲートウェイとユーザ装置との間の第2のトンネルを介して、ユーザ装置へメッセージを送信する。
さらに、第1の態様は、アクセスネットワークに接続されたユーザ装置のために、コアネットワークとそのアクセスネットワークとの間の信頼関係が検出される、そのコアネットワークにおけるゲートウェイを提供する。ゲートウェイは、ユーザ装置からメッセージを受信する受信手段を備える。ゲートウェイにおける判断手段は、ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断する。ゲートウェイの送信手段は、ユーザ装置が信頼できないアクセスネットワークにいる場合に他のゲートウェイとユーザ装置との間を経由するゲートウェイとユーザ装置との間の第1のトンネルを介して、ユーザ装置へメッセージを送信する。ゲートウェイの送信手段は、ユーザ装置が信頼できるアクセスネットワークにいる場合に、ゲートウェイとユーザ装置との間の第2のトンネルを介して、ユーザ装置へメッセージを送信する。
第1の態様は、別の選択肢として、アクセスネットワークに接続されたユーザ装置のために、コアネットワークとアクセスネットワークとの間の信頼関係が検出される、コアネットワークにおけるゲートウェイを提供する。ゲートウェイは、ユーザ装置からメッセージを受信する受信手段を備える。ゲートウェイにおける判断手段は、ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断する。ゲートウェイの通信手段は、ユーザ装置が信頼できないアクセスネットワークにいる場合に、他のゲートウェイとユーザ装置との間で、メッセージを搬送する。
また、第1の態様は、アクセスネットワークに接続され、第1のゲートウェイと第2のゲートウェイとを含むコアネットワークとそのアクセスネットワークとの間の信頼関係が検出されるユーザ装置を提供する。ユーザ装置は、第2のゲートウェイを介してコアネットワークへメッセージを送信する送信手段を備える。ユーザ装置の受信手段は、ユーザ装置が信頼できないアクセスネットワークにいる場合に第2のゲートウェイとユーザ装置との間を経由する第1のゲートウェイとユーザ装置との間の第1のトンネルを介して、第1のゲートウェイからメッセージを受信する。又は、その受信手段は、ユーザ装置が信頼できるアクセスネットワークにいる場合に、第1のゲートウェイとユーザ装置との間の第2のトンネルを介して、第1のゲートウェイからメッセージを受信する。
添付の図面に示される本発明の種々の実施の形態のより詳細な後述の説明から、さらなる特徴と利点とが明らかになるであろう。
3GPPから信頼できない非3GPPアクセスネットワークへ移動するUEを示す。 3GPPから信頼できる非3GPPアクセスネットワークへ移動するUEを示す。 ホームネットワークの信頼関係検出のための上位のシグナリングフローを示す。 暗黙のBU及びePDGが関与する場合の例としてのシグナリングフローを示す。 独立したBUが関与しePDGが関与しない場合の例としてのシグナリングフローを示す。 PMIPv6を使用するMN用の初期接続手順のシグナリング図を示す。 モバイルノードが発展型PDGとの間でIKEセキュリティアソシエーションの交換を行う、本発明の実施の形態による例としてのシグナリングフローである。 モバイルノードがPDN−GWとの間でIKEセキュリティアソシエーションの交換を行う、本発明の別の実施の形態による例としてのシグナリングフローである。 モバイルノードがPDN−GWとの間でIKEセキュリティアソシエーションの交換を行い、PDN−GWがアクセスネットワークが信頼できるものなのかあるいは信頼できないものなのかを判断する、本発明のさらに別の実施の形態による例としてのシグナリングフローを示す。
以下の各節では、3GPPコアネットワークと非3GPPアクセスネットワークとの間の信頼関係の検出を含む本発明の種々の実施の形態について説明し、その他の選択可能な構成を例示する。
例示的な目的でのみ、実施の形態の大半を、3GPP通信システムとの関連で概説しており、以下の各項で使用される用語は主に3GPPの用語に関連する。しかしながら、ここで使用される用語と3GPPのアーキテクチャに基づく実施の形態の説明とは、そのようなシステムに対する本発明の原理と思想の限定を意図するものではない。
また、上記背景技術の項で行った詳細な説明は、単に、以下に記載の概ね3GPPに特化した例である実施の形態をよりよく理解することを意図するものであって、上記移動体通信ネットワークにおいてここに具体的に記載されている通りに処理装置及び機能を実装することに本発明を限定するものと理解すべきではない。
第1の態様
第1の態様によれば、非3GPPアクセスへのハンドオーバを行った、あるいは、非3GPPアクセスに初期接続したUEが、その非3GPPアクセスがホームオペレータの観点から信頼できるものであるか否かを検出できるようにし、また、これに関して、ホームネットワークへの使用すべきトンネルを検出できるようにする方法が提供される。
信頼関係を検出するために、UE10は、モビリティに関するメッセージをePDG12へ伝送し、ePDG12は、そのメッセージをPDN−GW14へ転送する。ePDG12又はPDN−GW14は、メッセージの処理中に、UE10が信頼できる非3GPPアクセスネットワーク20にいるのかあるいは信頼できない非3GPPアクセスネットワーク18にいるのかを判断又は判定してもよい。UE10が信頼できない非3GPPアクセスネットワーク18にいる場合には、PDN−GW14は、ePDG12を介してモビリティメッセージをUE10に返信する。一方、UE10が信頼できる非3GPPアクセスネットワーク20にいる場合には、PDN−GW14は、モビリティメッセージをUE10に直接返信する。
PDN−GW14からのモビリティメッセージの宛先に基づいて、UE10は、信頼できる非3GPPアクセス20なのかあるいは信頼できない非3GPPアクセス18なのかを検出できる。
非3GPPアクセスネットワークにいるUE10には、IPアドレスが割り当てられており、そのIPアドレスはUE10自身が把握しているものである。信頼できないアクセスネットワーク18においては、UE10に対してもう1つのアドレスが必要であり、そのアドレスはePDG12によって割り当てられて、UE10自身に知らされる。このアドレスは、リモートアドレスである。
UE10は、宛先をPDN−GW14にして、バインディングアップデート(BU)をePDG12へトンネリングする。その後、ePDG12は、UE10が信頼できる非3GPPアクセスネットワーク20にいるのかあるいは信頼できない非3GPPアクセスネットワーク18にいるのかを判断又は判定し、BUをPDN−GW14へ送信してもよい。または、ePDG12はBUをPDN−GW14へ転送し、PDN−GW14が、UE10が信頼できる非3GPPアクセスネットワーク20にいるのかあるいは信頼できない非3GPPアクセスネットワーク18にいるのかを判断又は判定してもよい。 UE10が信頼できる非3GPPアクセスネットワーク20にいる場合には、PDN−GW14は、BACK(Binding ACKnowledgement)を、その非3GPPアクセスにおいてUEに割り当てられたIPアドレスへ送信する。UE10が信頼できない非3GPPアクセスネットワーク18にいる場合には、PDN−GW14は、BACKを、ePDGにおいてUEに割り当てられたIPアドレス(UEのリモートIPアドレス)へ送信する。BACKにおいて使用されている宛先アドレスに基づいて、UE10は、信頼できる非3GPPアクセス20なのかあるいは信頼できない非3GPPアクセス18なのかを検出できる。
本発明との関連においては、タイプ2ルーティングヘッダ又はホームアドレスオプションを用いたメッセージの送信は、トンネリングされていると見なされるということが分かる。
上記の方法の利点としては、UEごとの動的な信頼可否判断が可能になること、事前設定が不要で、下位層又は非3GPPのアクセスに対するサポートが必要ないこと、UEが信頼できる非3GPPアクセスにいる場合に初期の二重トンネリング(IPsec+MIPトンネリング)が回避されること、そしてそのアクセスが、UEが例えばDHCP/DNSを介して信頼/非信頼関係を検出する機構よりも高速であることが挙げられる。
非3GPPアクセスとホームオペレータとの間の信頼関係を検出するために、図3に示す以下の上位レベルのシグナリング手順を行う。
31.UEは、非3GPPアクセスネットワークへのハンドオーバ、あるいは、非3GPPアクセスへの初期接続を行う。UEは、その非3GPPアクセスが信頼できるものであるか否かを把握していない。
32.UEは、非3GPPアクセス認証を行ってもよい。この場合、3GPPのAAAサーバも関与する。
33.UEは、バインディングアップデート(BU)を送信する。実際には、BUの最終的な宛先はPDN−GWであるが、まずePDGへ送信される。BUをePDGに受信させるため、BUは、UEからePDGへトンネリングされるか、あるいは、ePDGへ送信される他のメッセージ(例えば、図4IKEv2メッセージ)に含める。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
34.ePDGは、バインディングアップデートにて伝達される非3GPPアクセスについての情報、及び/又は、AAAサーバから受信した情報、及び/又は、PDN−GWから受信した情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。 AAAサーバが判定に関与する(例えば、ePDGが、UEを認証する際あるいは別のシグナリング交換時に、AAAサーバに問合せをする)場合には、AAAサーバが、アクセス認証の際に伝達される非3GPPアクセスについての情報、及び/又は、バインディングアップデートにて伝達されてePDGにより提供される非3GPPアクセスについての情報(例えば、アクセスネットワーク識別子)、及び/又は、加入者データベース内の情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。 AAAサーバは、ePDGへ通知を送信してもよい(例えば、PDN−GWが、UEを認証する際に、応答を送信する)。その通知により、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかをePDGに通知してもよい。
35.ePDGが信頼関係の判定に関与する場合には、ePDGは、BUを修正、あるいは、新規のBUを生成して、そのBUをPDN−GWへ送信してもよい。例えば、UEが信頼できる非3GPPアクセスにいるとePDGが判定した場合には、ePDGは、気付アドレス=UEの非3GPPのローカルIPアドレスとしてBUをPDN−GWへ送信し、一方、UEが信頼できない非3GPPアクセスにいるとePDGが判定した場合には、ePDGは、気付アドレス=UEのリモートIPアドレスとしてBUをPDN−GWへ送信してもよい。ePDGが信頼関係の判定に関与しない場合には、ePDGは、BUを処理せずにPDN−GWへ転送してもよい。
36.PDN−GWは、バインディングアップデートにて伝達される非3GPPアクセスについての情報、及び/又は、AAAサーバから受信した情報に基づいて、非3GPPアクセスとホームオペレータとの間の信頼関係を判定してもよい。
37.
a.UE10が信頼できない非3GPPアクセスにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UE10が信頼できる非3GPPアクセスにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、ePDGを介することなくUEへ直接送信される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
この項では、例となるシグナリングフローを示す(図4参照)。このフローにおいては、BUは、独立したメッセージで送信されるのではなく、IKEv2のメッセージに含まれる。ePDGは、この暗黙のBUを検出することができ、以下にさらに詳細に述べるように、適切な措置を開始する。
41.非3GPPアクセスネットワークへのハンドオーバ後、あるいは、非3GPPアクセスネットワークへの初期接続後、UEは、ePDGとの間でIKEv2トンネルの確立を開始する。すなわち、UEは、IKE_SA_INITメッセージをePDGへ送信し、ePDGは、IKE_SA_INITメッセージで応答する。その後、Diffie−Hellman交換が完了し、以後、全てのメッセージは、暗号化されてインテグリティが保護される。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
42.UEは、まず、IKE_AUTH交換を行って自身の認証を行う。UEは、さらに、リモートIPアドレスがまだ割り当てられていない場合には、設定ペイロードにおいてリモートIPアドレスを要求してもよい。
その認証は、例えば、EAPに基づいて、あるいは、メッセージ交換の数を低減するために、EAP再認証拡張機能(ERX)のような拡張機能に基づいて行うことができる。ERXでは、UEは、再認証インテグリティ鍵を使用して認証を行うので、ここでは従来の認証が要求される。IKE_AUTHメッセージにおいては、UEがバインディングアップデートをPDN−GWとの間で行うことを希望する旨を追加フラグで示してもよい。また、例えば、競合状態を回避するために、BUのシーケンス番号が含まれなければならない(タイムスタンプも含めてもよい)。
より高速に(ERXを使用せずに)認証を行い暗黙のBUを送信する他の可能性としては、BUを(完全に又は部分的に)IKE_AUTHメッセージのIDiフィールドに含めることである。IDiメッセージは、可変長のフィールドであり、イニシエータの識別に使用される。この場合、イニシエータは、例えばBUに含まれているMN−NAIにより識別される。BUの認証は、モバイルIPv6用の認証プロトコルで行うことができる。すなわち、MN−AAAセキュリティアソシエーションを使用する。
43.ePDGはAAAサーバとコンタクトを取り、例えば、ERXを使用して、あるいは、MIP6の認証プロトコルによる機構を使用して、UEの認証を行う。
44.ePDGは、UEの認証を行った後、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかを判定することができる(例えば、IKEv2メッセージにおけるUEの送信元IPアドレス、AAAサーバからの情報、又はIKE_AUTHメッセージにおけるアクセスネットワーク識別子に基づいて)。
45.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、ePDGは、リモートIPアドレスをUEに割り当ててもよく、CoA=UEのリモートIPアドレスとしてBUをPDN−GWへ送信する。
BUフラグ付きのERXが使用された場合には、ePDGは、プロキシバインディングアップデート(Proxy Binding Update)をPDN−GWへ送信し、代替気付アドレスモビリティオプションを使用して、代替気付アドレスオプションをUEのリモートIPアドレスに設定してもよい。
含まれている、MIP6の認証プロトコル付きのBUが使用された場合には、ePDGは、BUを送信し、そのインテグリティを、UEから送信された通りに保護することができる。ePDGは、認証の際、MN−HAセキュリティアソシエーションの鍵を受信しているからである。しかしながら、UEのIPアドレスの偽造を防ぐために、この場合も、ePDGは、代替気付アドレスオプションを使用して、代替気付アドレスオプションをUEのリモートIPアドレスに設定してもよい。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、ePDGは、CoA=UEの非3GPPのローカルIPアドレスとしてBUをPDN−GWへ送信する。ここで、ePDGは、リモートIPアドレスを割り当てることはできない。
BUフラグ付きのERXが使用された場合には、ePDGは、プロキシバインディングアップデートをPDN−GWへ送信し、代替気付アドレスモビリティオプションを使用して、代替気付アドレスオプションをUEの非3GPPのローカルIPアドレスに設定してもよい。
含まれている、MIP6の認証プロトコル付きのBUが使用された場合には、ePDGは、BUを送信し、そのインテグリティを、UEから送信された通りに保護することができる。ePDGは、認証の際、MN−HAセキュリティアソシエーションの鍵を受信しているからである。しかしながら、UEのIPアドレスの偽造を防ぐために、この場合も、ePDGは、代替気付アドレスオプションを使用して、代替気付アドレスオプションをUEの非3GPPのローカルIPアドレスに設定してもよい。
46.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、ePDGは、IKE_AUTHメッセージにおいて、認証の成功をUEに通知する。ePDGは、さらに、設定ペイロードにおいて、リモートIPアドレスをUEに通知してもよい。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、ePDGは、IKE_AUTHメッセージにおいて、認証が失敗したことをUEに通知してもよい。
47.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。MIP6の認証プロトコルを使用してBUの認証を行った場合には、BACKの認証にもMIP6の認証プロトコルが使用される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、UE−ePDG間のトンネルを介することなくUEへ直接送信される。MIP6の認証プロトコルを使用してBUの認証を行った場合には、BACKの認証にもMIP6の認証プロトコルが使用される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
この項では、例となるシグナリングフローを示す(図5参照)。このフローにおいて、BUは、独立したメッセージで送信されるが、大幅な遅延は伴わない。さらに、信頼可否の判定は、ePDGにとってトランスペアレントに行うことができる。
51.UEは、ePDGとの間でIKEv2トンネルの確立を開始する。すなわち、UEは、IKE_SA_INITメッセージをePDGへ送信し、ePDGは、IKE_SA_INITメッセージで応答する。その後、Diffie−Hellman交換が完了し、以後、全てのメッセージは、暗号化されてインテグリティが保護される。ePDGのIPアドレスは、例えばDHCP又はDNSを介して、あるいはエニーキャストで、事前に設定又は動的に決定してもよい。
52.UEは、IKEv2に基づくMOBIKEを使用して、ePDGとの間で認証を行う。すなわち、UEは、MOBIKEをサポートしている旨の通知をePDGへ送信する。UEは、さらに、リモートIPアドレスがまだ割り当てられていない場合には、設定ペイロードにおいてリモートIPアドレスを要求してもよい。
注:ステップ51とステップ52は、実際のハンドオーバよりも前に行ってもよい。
53.UEは、非3GPPアクセスネットワークへのハンドオーバを行うが、その非3GPPアクセスが信頼できるものなのかあるいは信頼できないものなのかを把握していない。
54.UEは、MOBIKE INFORMATIONAL要求を送信して、ePDGとのIPsecセキュリティアソシエーションを更新する。MOBIKEを使用するので、全く新規のIKE及びIPsecのセキュリティアソシエーションを作成する必要はない。
55.MOBIKE更新の直後、UEは、UE−ePDG間のトンネルを介して、バインディングアップデートをPDN−GWへ送信する。UEは、BUに、複数の気付アドレス、すなわち、UEの非3GPPのローカルIPアドレスとUEのリモートIPアドレスを含める。複数のCoAを含めるために、UEは、例えば、IETF WG MONAMI6において提案されているような代替気付アドレスオプション又は拡張機能を使用してもよい。
56.ePDGは、セキュリティアソシエーションの更新が成功したことをUEに通知する。
注:ステップ56は、ステップ55よりも前に行ってもよい。
57.PDN−GWは、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかを判定する(例えば、BUメッセージにおけるUEの非3GPPのローカルIPアドレス、AAAサーバから得た情報、又はアクセスネットワーク識別子のようなBUにおける追加情報に基づいて)。
58.
a.UEが信頼できない非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEのリモートIPアドレスへ送信する。すなわち、BACKは、まずePDGによって受信され、ePDGからUEへトンネリングされる。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できない非3GPPアクセスネットワークに置かれていること、及び、PDN−GWへのトラフィックは全てePDGを介してトンネリングしなければならないことを検出できる。
b.UEが信頼できる非3GPPアクセスネットワークにいる場合には、PDN−GWは、バインディングアクノレッジ(BACK)をUEの非3GPPのローカルIPアドレスへ送信する。すなわち、BACKは、UE−ePDG間のトンネルを介することなくUEへ直接送信される。BACKにおいて使用されている宛先IPアドレスに基づいて、UEは、信頼できる非3GPPアクセスネットワークに置かれていること、及び、トラフィックは全てPDN−GWへ直接送信可能であることを検出できる。
第1の態様の一般的な問題及び変形例
上記のシグナリングフローは例に過ぎない。他の変形例も可能である。例えば、一変形例においては、バインディングアップデートは、MOBIKEを使用せずに単純なIKEのみを使用して単独で送信してもよい。または、別の変形例においては、BUは、MOBIKEアップデートメッセージに暗黙的に含まれていてもよく、また、手順はePDGにとってトランスペアレントでなくてもよい。
発明の実施の形態
「第1の態様」の項では、UEがクライアントモバイルIP、例えば、デュアルスタックMIPv6(DSMIPv6)をサポートしており、バインディングアップデートをePDGへトンネリングすることを前提としている。しかしながら、発展型システムにおけるUE及び3GPPオペレータ(例えば、オペレータのPDN−GW)が全てDSMIPv6をサポートしているとは限らない。したがって、UEがBUを送信できない場合や、PDN−GWがユーザデータをPDN−GWへ直接トンネリングさせない場合がある。そのような場合、DSMIP−BUは受け付けられず、バインディングアクノレッジがUEに返信されることはない。
DSMIPv6がサポートされていない場合には、ネットワークベースモビリティ(NBM)、例えば、プロキシモバイルIPが、UEにモビリティを提供する。ここで、UEがあるアクセスから別のアクセスへのハンドオーバを行っているとき、モビリティ・アクセス・ゲートウェイ(MAG)は、UEに代わって、バインディングアップデートをPDN−GW(ローカル・モビリティ・アンカー、LMA)へ送信している。そして、ハンドオーバ後その新しいMAGによってUEに割り当てられたIPアドレス/プレフィックスは、前アクセスネットワークにおける前MAGによって割り当てられたIPアドレス/プレフィックスと同じである。
プロキシモバイルIPが、信頼できないアクセスへの接続性のために使用されるときは、MAGの機能は、ePDGに設置される。UEは、信頼できない非3GPPアクセスにおけるローカルIPアドレス/プレフィックスを割り当てられ、UEがそのアクセスネットワークに接続すると同時にアクセスネットワークによってUEに割り当てられたそのローカルIPアドレスを用いて、ePDGへのIKE/IPsecトンネルを確立しなければならない。そして、ePDGは、ePDGのIPアドレスを含めて、プロキシバインディングアップデートをPDN−GWへ送信する。ePDGは、UEのホームIPアドレス/プレフィックスを受信し、このホームIPアドレス/プレフィックスをIKE_AUTH設定ペイロードにおいてUEに提供する。UEは、ホームIPアドレス/プレフィックスを通信セッションの確立のために使用するからである。
プロキシモバイルIPが、信頼できるアクセスへの接続性のために使用されるときは、MAGは、信頼できるアクセスに(例えば、アクセスポイントに)設置され、UEは、最初は、アクセス固有の手順を使用して、信頼できるアクセスネットワークへの接続を確立する。その後、3GPPベースのアクセス認証(EAP−AKAを使用)を行わなければならない。そして、認証が成功すると、MAGは、最初に割り当てられたIPアドレス/プレフィックスを含めて、プロキシバインディングアップデートメッセージをPDN−GWへ送信する。PDN−GWは、割り当てられたホームIPアドレス/プレフィックスを含めて、BACKをMAGへ送信し、MAGは、そのホームIPアドレス/プレフィックスをUEに提供する。受信したこのホームIPアドレス/プレフィックスは、その後、UEが通信セッションを確立するために使用できる。
既に先に述べたように、UEは、始めは、受信したIPアドレス/プレフィックスがPDN−GWから割り当てられたものなのか、あるいは、アクセスネットワークによってローカルに割り当てられたものなのかを把握していない。しかしながら、UEは、接続手順を適切に完結するために、その情報を把握する必要がある。
そうするためには、3GPP認証が使用されているか否かということに基づいてその判定を行うことはできない。より詳細には、信頼できる非3GPPアクセスにアクセスしてNBMを使用するためには、3GPPベースのアクセス認証が要求される。一方、このことは、UEが3GPPベースのアクセス認証を行わない場合には、PMIPは信頼できないアクセスネットワークにおいては使用できないので、NBMはePDGを介してのみ使用できる、ということを意味する。しかしながら、UEが信頼できない非3GPPアクセスにアクセスするときにも、3GPPベースのアクセス認証を使用してよい。したがって、3GPPベースのアクセス認証がなされることのみで、そのアクセスが信頼できるものであると結論付けることはできない、ということになる。
既に述べたように、UEがNBMを使用しているときに非3GPPアクセスへのハンドオーバを行っている場合には、そのアクセスが信頼できるものであってNBMを使用できるのか否かを検出することは問題ない。UEは、ハンドオーバ以前から、既にホームIPアドレス/プレフィックスを所持している。したがって、UEは、新しいアクセスにおいて割り当てられたIPアドレス/プレフィックスから、信頼関係を検出することができる。そのIPアドレス/プレフィックスがホームIPアドレス/プレフィックスと同じ場合には、そのアクセスは信頼できるものである。IPアドレス/プレフィックスが異なる場合には、そのアクセスは信頼できないものであり、セッションの連続性を保持するためには、ePDGへのトンネルを確立しなければならない。
これは、UEが、前のアクセスネットワークからのホームIPアドレス/プレフィックスをまだ所持していない、非3GPPアクセスに初期接続する場合には適用できない。UEが3GPPベースのアクセス認証を行って成功した後にIPアドレス/プレフィックスを割り当てられるときは、そのアクセスが信頼できるものであってIPアドレス/プレフィックスがホームIPアドレス/プレフィックスでありアプリケーション層のセッションに使用できるものであるのか、あるいは、そのアクセスが信頼できないものであってIPアドレス/プレフィックスがローカルIPアドレス/プレフィックスでありePDGへのトンネルを確立しなければいけないのかを、UEは把握していない。
本発明は、アクセスネットワークが信頼できるものであるか否かをその場合にもUEが判定できる実施の形態を提供する。
●プロキシMIPv6(PMIPv6)
本発明の実施の形態をより詳細に述べる前に、PMIPの概要を以下に述べる。
モバイルIPは、ホストベースの(又はクライアントベースの)モビリティ管理として分類される。モビリティ関連のシグナリングが、ホスト(又はクライアント)とHAとの間で行われるからである。したがって、場合によっては、クライアントモバイルIP(CMIP)と呼ばれる。限定された地理的領域におけるIPモビリティ管理を対象とする他のアプローチは、ネットワークによって管理されるので、MNにとってトランスペアレントである。このアプローチを、ネットワークベースのローカルIPモビリティと称する。
ネットワークベースモビリティの主な特徴の1つは、アクセス・ネットワーク・エンティティが、MNの移動を検出してMNの現在位置についての情報を交換するように適切に構成されており、そのため、MNは、モビリティプロセスに関与する必要がないことである。したがって、ワイヤレスインタフェースを介したモビリティ関連のシグナリングが回避される。ネットワークベースモビリティ管理の他の利点は、MIPv6のカプセル化が必要ないので無線のパケットのオーバヘッドが少ないことと、単純なIPノード(すなわち、MIP非対応ノード)に対してモビリティをサポートしていることである。インターネット・エンジニアリング・タスク・フォース(IETF)団体は、モバイルIPプロトコルベースのローカル・モビリティ管理のためのそうしたアプローチに取り組んでいる。ネットワークエンティティは、MNに代わってプロキシとして機能するので、このプロトコルは、プロキシモバイルIP(PMIP)と呼ばれる。IPv6にはPMIPv6と呼ばれる変種があり、IPv4にはPMIPv4と呼ばれる変種がある。本発明の実施の形態のほとんどは、ネットワークベースモビリティ管理用のプロトコルとしてPMIPv6を前提としているが、本発明は、PMIPv6に限定されない。PMIPv4など、他のネットワークベースモビリティ管理プロトコルに適用してもよい。実際には、本発明は、ネットワークベースモビリティに限定されず、クライアントベースモビリティ方式を使用するMNに適用してもよい。
ネットワークの制限されたトポロジー的局所に存在するあらゆるIPv6ホストに、ホストの関与を必要とせずにモビリティサポートを提供するために、プロキシモバイルIP(PMIP)は、アクセスリンクに接続されているモバイルノードに対するモビリティ関連のシグナリングを管理する、アクセスネットワークにおけるプロキシ・モビリティ・エージェントであるモバイル・アクセス・ゲートウェイ(MAG)と呼ばれる新しい論理エンティティを導入している。MAGは、モバイルノードのリンクへの接続のトラッキングとモバイルノードのローカル・モビリティ・アンカーへのシグナリングとに関与するエンティティである。MAGは、通常、アクセスルータ(AR)と同じ場所に設置され、モバイルノードに代わってモバイルIPv6シグナリングメッセージを行い、例えば、MNに代わってBUメッセージを送信できる。それらのBUメッセージにはフラグが付けられるので、プロキシBU(PBU)メッセージとして識別できる。また、PBUメッセージは、ネットワークアクセス識別子(NAI)オプション、ホーム・プレフィックス・オプション、及び、タイムスタンプオプションを含んでもよい。NAIオプションは、「username@realm」という形式の、MNの識別に使用されるNAIを含む。ホーム・プレフィックス・オプションは、使用時、MNのHoA又はホームプレフィックスを含む。いわゆるper−MN−prefixアドレッシングモデルにおいては、各MNは、固有のホームプレフィックスを持ち、MNの1つ又は複数のグローバルIPアドレスは、このプレフィックスに基づいて設定される。固有のホームプレフィックスは、PBUメッセージにおいて、HoAの代わりに使用できる。タイムスタンプオプションは、PBUがMAGによって送信された時刻を含み、ローカル・モビリティ・アンカー(LMA)によって、PBUメッセージの新しさを識別するために使用される。PBUメッセージのシーケンス番号の値は、LMAには無視される。
ローカル・モビリティ・アンカー(LMA)は、プロキシモバイルIPv6ドメインにおけるモバイルノードのホームエージェントである。LMAは、モバイルノードのホームプレフィックスのトポロジー上のアンカーポイントであり、モバイルノードの到達可能性状態を管理するエンティティである。LMAが、モバイルIPv6の基礎仕様において定義されているように、ホームエージェントの機能と、プロキシモバイルIPv6をサポートするために必要なその他の機能とを持っているということを理解することが重要である。
MNは、信頼できるアクセスネットワークにおいて新しいMAGに接続すると、EAPフレームワークとEAP−AKAなどのEAPメソッドとを使用して、そのネットワークとの間で認証を行う。MAGは、典型的には、パススルー認証を行うオーセンティケータとして機能し、MNに関連付けられたAAAサーバ/インフラストラクチャへEAPパケットを転送する。MNは、NAIを識別子として使用する。ネットワーク認証が成功した場合には、MAGは、LMAにおいて割り当てられたMNのホームプレフィックスを含めて、MNのプロファイルをAAAサーバから取得する。その後、MAGは、PBUをLMAへ送信し、ホームプレフィックスをMNに告知する。MNは、ARとの間で認証を行った後、IP設定を開始する。すなわち、MNは、リンクローカル(LL)IPアドレスを設定し、チェックすべきLLアドレスの要請ノードマルチキャストアドレスへ近隣要請(NS)メッセージを送信することによって、LLアドレスに対して重複アドレス検出(DAD)を行う。この手順が成功した場合には、MNは、対応するマルチキャストアドレスを介して、ルータ要請(RS)メッセージを全てのルータへ送信し、ルータ広告(RA)を受信するまで待機する。AR/MAGは、MNのホームプレフィックスを含むユニキャストRAで応答する。
グローバルIPアドレスを設定した後、MNはIPリーチャブルになり、そのPMIPドメイン内を移動している限りはそのIPアドレスを使用することができる。初期接続手順におけるPMIPv6用の上記した例としてのシグナリングフローを図6に示す。
上記においては、ネットワークベースモビリティ方式を詳細に説明した。本発明の以下の実施の形態については、PMIPが、UEに対して使用され通信セッション時のモビリティを可能にするものと想定しているからである。ただし、本発明はそれに限定されず、本発明の種々の実施の形態の思想と原理とは、MIPなどのクライアントベースモビリティ方式をUEが使用する場合にも同様に適用できる。実際、PMIPは、部分的にMIPをベースにしている。
「発明の概要」の項で概説したように、本発明の主な思想の1つは、セキュリティトンネル確立手順を使用して非3GPPアクセスの信頼関係を検出することである。より詳細には、UEは、セキュリティトンネルの確立を開始し、トンネルを確立する際又はその後に、非3GPPアクセスの信頼関係を把握する。本発明の一実施の形態においては、セキュリティトンネル確立手順は、IPsecトンネルがIKEv2を使用して、そのIPsecトンネルに使用されるセキュリティアソシエーションを取り決めることによって行うことができる。
IKEv2(IPsec)
本発明の種々の実施の形態をより詳細に説明する前に、IPsec(IKEv2)の手順について簡単に説明する。
インターネット鍵交換(IKE)プロトコルは、IPsec用の自動鍵管理を運用するのに役立つ。IKEは、安全でないコンピュータネットワークを介しての安全な鍵交換を行うために、Diffie−Hellman鍵交換を使用する。IKEは、セキュリティパラメータの取り決め方と共有鍵の交換の仕方とを規定している。IPsecによる暗号化接続を実際に開始する前に、両サイドは、お互いの認証を行い、使用する鍵アルゴリズムを取り決める必要がある。
このように、IKEは、一対の通信ピア間でセキュリティアソシエーションを取り決めるのに使用される。IKEは、インターネット・プロトコル・セキュリティ(IPsec)の一部として定義されている。セキュリティアソシエーション(SA)は、両ピア間の取り決めであり、例えば、ID、IPsec接続用の鍵アルゴリズム、及び/又は、IPsec接続の確立元及び確立先ネットワークを含んでもよい。
IKEv2は、セキュリティアソシエーションの取り決めに、IKE_SA_INIT及びIKE_AUTHという、2つのフェーズを使用する。各フェーズは、要求と応答で構成される。従って、IKE_SAを確立するには、少なくとも4つのメッセージが必要になる。IKE_SA_INIT交換においては、両ピアは、暗号アルゴリズムの使用を取り決め、鍵の取り決めに使用する情報を交換する。この交換の後、各ピアは、認証及び暗号化用の共有対称鍵を導出するために使用する鍵素材を生成する。これらの鍵は、IKE_SAと関連付けられている。IKE_SAは双方向性である。この時点では、両ピアは、暗号鍵を取り決めてはいるが、お互いの認証は行っていない。これらの鍵は、IKE_AUTH交換を保護するために使用される。
IKE_AUTH交換は、ピアの相互認証を提供するために、及び、両IKEv2ピア間でIPsecを使用するためのセキュリティアソシエーションを確立するために使用される。各ピアは、自身のID(例えば、IPアドレス、フルドメイン名)をアサートし、認証機構を使用してそのアサーションを証明する。この認証機構としては、電子署名、拡張認証プロトコル(EAP)、又は事前共有鍵を使用してもよい。各ピアは、相手のピアのアサーションの確認を行う。確認されると、相互エンティティ認証が与えられる。確認が失敗した場合には、セキュリティアソシエーションの取り決めは失敗し、IKE_SA_INIT交換において取り決められたIKE_SAは解除される。
両ピアは、使用する暗号アルゴリズムと、両ピア間の保護対象となるトラフィックとを取り決める。また両ピアは、任意で、鍵の取り決めのための追加の素材をIKE_AUTH交換において交換するようにしてもよい。証明書の交換も行ってもよい。この交換において、2つの単方向セキュリティアソシエーションが作成される。
図7は、本発明の実施の形態に係る信頼検出手順を示すシグナリングフローである。本実施の形態においては、UEは、アクセスネットワークが信頼できるものなのかあるいは信頼できないものなのかを判定するのに必要な情報を入手するために、ePDGとの間でIKEv2の手順を開始する。ここで、その判定は、UE自身が行う。
既に何度も述べたように、UEは、非3GPPアクセスに接続するときは、まず3GPPベースのアクセス認証を行う。認証が成功すると、IPアドレス/プレフィックスがUEに割り当てられるが、UEは、そのIPアドレス/プレフィックスが通信セッションに使用できるものであるか否か、すなわち、そのアクセスが信頼できるものであるかを把握していない。
本発明のこの実施の形態では、まず、このIPアドレス/プレフィックスを使用して、例えばDNSを介して(ドメイン名解決)ePDGを発見することを提案する。IPプレフィックスを受信する場合には、まず、UEがIPプレフィックスからIPアドレスを生成することが必要である。これにより、UEは、DNSサーバと通信できるようになる。
そうして、ePDGが発見され、UEは、以下より明らかになるように、このePDGとの間でIKEv2 SAのセットアップを開始する。以下のシグナリングフローは、図7に図示されている。PDN−GWは、UEのLMAであることを前提とし、ePDGは、アクセスネットワークが信頼できないものである場合のUEのMAGであることを前提とする。
71.まず、ePDGとの間でIKE_SA_INITを行ってePDGへの安全な接続を確立することにより、IKEの手順がUEによって開始される。
72.開始が成功すると、IKE_AUTHのシグナリングにおいて、UEは、自身のID(NAI)をIDiペイロードに、APN情報をIDrペイロードに含める。さらに、UEは、ホームIPアドレス/プレフィックスを取得したい旨を設定ペイロードにおいて示す。
73.ePDGは、AAAサーバでUEの認証を開始する。ここでは、EAP−AKAが使用される。
74.認証後、ePDGは、プロキシバインディングアップデートメッセージをPDN−GWへ送信する。PBUメッセージは、UEのIDと要求されたAPNとを含む。本発明の有利な一実施の形態によれば、このPBUは、例えばフラグによって、仮のものであると示さなければならない。そして、PDN−GW内にバインディングキャッシュエントリ(Binding Cache Entry)が既に存在する場合には、PDN−GW(LMA)は、パスをePDGに切り替えない。このようにするのは、このIKEの手順は、アクセスネットワークの信頼関係を判定するために使用されるだけであり、UEに到達するためのIPsecトンネルを実際に確立するために使用されるわけではないからである。もしPBUが仮のもの等でなければ、PDN−GWは、ePDGを介したUEへのデータパスを確立してしまう。そうすると、UEが信頼できるアクセスネットワークにいる場合には、ePDG経由の迂回路なしでUEと直接通信することが可能になり、IPsecトンネルをまた解除しなければならなくなる。
75.PDN−GWは、プロキシバインディングアクノレッジにおいて、UEの割り当てられたホームIPアドレス/プレフィックスで応答する。
76.ePDGは、ステップ73の認証が成功したことをUEに通知する。
77.IKE_AUTH ResponseにおいてEAP successを受信すると、UEは、最初のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータと共にIKE_AUTH RequestをePDGへ送信する。
78.ePDGは、2番目のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータを含み、かつ割り当てられたホームIPアドレス/プレフィックスを設定ペイロードに含むIKE_AUTH Responseで応答する。
79.UEは、ePDGからのIKE_AUTH ResponseにおけるIPアドレス/プレフィックスを、ローカルに割り当てられたIPアドレス/プレフィックスと比較する。両IPアドレス/プレフィックスが一致する場合には、信頼できるアクセスであり、UEはePDGへのトンネルを使用する必要がない。両IPアドレス/プレフィックスが一致しない場合には、信頼できないアクセスであり、UEは、PDNにアクセスするためには、ePDGへのトンネルを使用しなければならない。
例としての上記シグナリングフローは、しかしながら、本発明の思想と原理とをどのように適用できるかということに関する、単なる一つの可能性を表わしているにすぎない。当然、いくつかの変形例があり、そのうちのいくつかを以下に述べる。
例えば、受信したホームIPアドレス/プレフィックスをIKE_AUTH Responseメッセージにてステップ78において送信する代わりに、ePDGは、このホームIPアドレス/プレフィックスをステップ76のIKE_AUTH Responseメッセージ内で既にUEに受け渡しておいてもよい。ホームIPアドレス/プレフィックスは、その時点で既にePDG内に存在するからである。
上記手順に代わる更に別の方法の1つは、PDN−GWによってUEに割り当てられたホームIPアドレス/プレフィックスをAAA(Authentication(認証)、Authorization(認可)、Accounting(アカウンティング))/HSS(Home Subscriber Service(ホーム加入者サービス))サーバに記憶することである。そのとき、ePDGがステップ73の認証の際にUEのホームIPアドレス/プレフィックスを入手できるようにしてもよい。この場合、ePDGによるPDN−GWへのPBUの送信(ステップ74参照)をIKEの手順によってトリガする必要はない。従って、ステップ75も必要なくなる。認証手順の際にUEのホームIPアドレス/プレフィックスを入手したePDGは、その後、図7のステップ76〜78で既に示したように、UEへのIKE_AUTH Responseメッセージの送信を進めることができる。
次に、図7のステップ74における仮のPDUの使用に関し、さらに別の選択肢について述べる。仮のPDUの代わりに、ePDG(MAG)は、最初に受信したUEのIPアドレス/プレフィックスをPBUに含め、さらに、Handover Indicatorを「attachment」又は「unknown」に設定してもよい。その結果、PBUは、PDN−GW(LMA)へ送信され、次に、PDN−GW(LMA)は、上記IPアドレス/プレフィックスが既にUEに割り当てられているか否かを単独で判定する。より詳細には、アクセスネットワークが信頼できるものである場合には、アクセスネットワークのアクセスポイントは、UEのホームIPアドレス/プレフィックスを入手するため、UEの接続と同時にPDN−GWとコンタクトを取る。これにより、PDN−GWは、ホームIPアドレス/プレフィックスをUEに対して生成して、対応するテーブルに格納する。
最初に割り当てられたIPアドレス/プレフィックスを含むPBUを受信したときは、PDN−GWは、受信したIPアドレス/プレフィックスが既にUEに割り当てられていると判定することができる。PDN−GWは、その判定、すなわち、アクセスネットワークは信頼できるものである旨をePDGへのProxy−BACK応答において示してもよい。逆に、アクセスネットワークが信頼できないものであるときは、PDN−GWは、最初はアクセスネットワークにおけるアクセスポイントによってコンタクトが取られていなかったので、PBUメッセージ内で受信したIPアドレス/プレフィックスは、PDN−GWにとって未知である。したがって、PDN−GWは、UEが信頼できないネットワークにいると推測する。さらに、PDN−GWは、新しいホームIPアドレス/プレフィックスをUEに割り当てて、そのホームIPアドレス/プレフィックスをProxy−BACK応答においてePDGへ送信してもよい。
上記の結果、PDN−GWは、トンネルをePDGに切り替えるべきときと、切り替えるべきでないときとを知る。詳細には、PDN−GWがアクセスネットワークは信頼できるものであると判定した場合(受信したPBUにおけるIPアドレス/プレフィックスが前に割り当てられたUEのIPアドレス/プレフィックスに一致する場合)には、トンネルのePDGへの切り替えは行われない。しかしながら、PDN−GWがアクセスネットワークは信頼できないものであると判定した場合(受信したIPアドレス/プレフィックスがPDN−GWにとって未知の場合)には、トンネルは、既にePDGに切り替えられているであろう。UEがコアネットワーク(PDN−GW)と通信するために、ePDGを使用するはずだからである。
既に先に述べたように、UE以外のエンティティがアクセスネットワークの信頼関係を判定してもよい。ePDGは、ステップ73又はステップ75の後、最初に割り当てられたIPアドレス/プレフィックスと、UEのホームIPアドレス/プレフィックスとを把握してもよい。さらに詳細には、ePDGは、最初に割り当てられたホームIPアドレス/プレフィックスをIKE_SA_INITメッセージ交換により把握する。UEは、この最初に割り当てられたホームIPアドレス/プレフィックス(例えば、UEからePDGへ送信される最初のIKE_SA_INITメッセージの送信元アドレスとして)に基づいて、ePDGと通信するからである。または、そのIPアドレス/プレフィックスは、UEからePDGへ送信されるIKE_SA_INITメッセージのペイロードフィールドに挿入することができる。さらに、ePDGは、ステップ73の認証手順の際(上記の選択可能な方法参照)、又は、図7のステップ75で、UEのホームIPアドレス/プレフィックスを知る。
そのとき、ePDGは、両IPアドレス/プレフィックス、すなわち、最初に割り当てられたものとホームIPアドレス/プレフィックスとを比較することによって、アクセスネットワークが信頼できるものなのかあるいは信頼できないものなのかを推測することができる。そして、両IPアドレス/プレフィックスが一致する場合には、ePDGは、UEにその判定結果を通知するため、またそれによってアクセスネットワークの信頼特性を通知するために、ステップ76又はステップ78のIKE_AUTH ResponseにNotify−Payloadを含めてもよい。
また、前記選択可能な方法において、アクセスネットワークが信頼できるものであるということをePDGが判定すると想定すると、そのことをePDGはUEに通知してもよく、さらに、残りの手順は、中断することができる。例えば、ステップ76においてUEがその判定をIKE_AUTH_RESPONSEメッセージで通知される場合には、ステップ77とステップ78は行われない。同様に、ホームIPアドレス/プレフィックスをAAAサーバから受信して、ePDGが、好ましくは認証手順のメッセージにおいて、MNに通知する場合には、ステップ74〜ステップ78は行われない。
しかしながら、両IPアドレス/プレフィックスが一致しない場合には、ePDGは、手順を継続し、PDN−GWによって割り当てられた新しいホームIPアドレス/プレフィックスを、最初(ステップ76)又は最後(ステップ78)のIKE_AUTH_RESPONSEメッセージを介してUEに通知する。また、この場合、PDN−GWに対して仮のPBUを使用する必要はない。アクセスネットワークは信頼できないものであり、PDN−GWはいずれにしてもePDGを介してUEと通信しなければならないからである。
ePDGへのIKEv2シグナリングの際にUEに通知する代わりに、UEは、ePDGへのトンネルのセットアップが成功した後のある時点で、例えば、PDN−GWとのシグナリング交換、又は、ePDGによりトリガされるIKE INFORMATIONAL交換によって、信頼関係を検出してもよい。この場合、UEは、上記の手順と同様に、ePDGへのIKEv2トンネルを確立し、最初は、セッション開始の際の遅延を減少させるために、非3GPPアクセスの信頼関係とは無関係に、そのトンネルを使用する(非信頼モード)。そして、UEがある時点で非3GPPアクセスが信頼できるものであるということを検出した場合には、UEは、ネットワークを(例えば、IKE INFORMATIONAL交換において)トリガしてパスを切り替え、ePDGトンネルを以後使用しないようにさせもよい(信頼モード)。
この最適化の問題の1つは、UEが、同じプレフィックスを、一方では、非3GPPアクセスにおいてローカルIPプレフィックスとして使用し、他方で、ePDGによって割り当てられた(ホーム)IPプレフィックスとしても使用する、ということができないことである。このことは、PDN−GWにおいて矛盾を引き起こす。PDN−GWは、このプレフィックスに対するパケットを、ePDG及び非3GPPアクセスにおけるMAGのどちらか一方にしかトンネリングさせることができないからである。
したがって、(ホーム)IPプレフィックスとしてePDGを介してPDN−GWによって割り当てられたIPプレフィックスは、非3GPPアクセスにおいて割り当てられたIPプレフィックスとは異なるものでなければならない。そうすると、UEは、両IPアドレス/プレフィックスを比較することによっては非3GPPアクセスの信頼関係を検出せずに、前に述べた他の方法、例えば、PDN−GWとの間の直接のシグナリング又はIKE INFORMATIONAL交換によって検出することになる。
本発明の別の実施の形態によれば、IKEv2の手順は、ePDGの代わりにPDN−GWとの間で行うことができる。この実施の形態においては、PDN−GWは、IKE_SA_INITメッセージを受け付けるように構成されていることを想定する。ただし、多くの場合はこの想定と違っている。これは、図8に示されている。図8は、シグナリングフローを表わしており、そのシグナリングフローにおいて、UEは、アクセスネットワークが信頼できるものなのかあるいは信頼できないものなのかを判定する。本発明のこの実施の形態においては、必要な情報は、以下に詳細に述べるように、PDN−GWから直接UEへ提供される。図8においてePDGは省略されているが、ePDGはこれまで通り存在している。しかしながら、メッセージはUEとPDN−GWとの間で直接交換されるので、ePDGは、図8の例としてのシグナリング手順には関与しない。
前記と同様に、UEは、非3GPPアクセスに接続するときは、まず3GPPベースのアクセス認証を行う。認証が成功すると、IPアドレス/プレフィックスがUEに割り当てられる。そのIPアドレス/プレフィックスは、ローカルに割り当てられたもの(アクセスネットワークが信頼できないものであるとき)でもよく、あるいは、PDN−GWにおいて割り当てられたもの(アクセスネットワークが信頼できるものであり、アクセスポイントがPDN−GWとコンタクトを取ることができるとき)でもよい。UEは、このIPアドレス/プレフィックスを使用して、例えば、DNSを利用し、PDN−GWのIPアドレスを発見する(例えば、このPDNのアクセスポイント名を使用してFQDNを構成することによって)。そして、UEは、以下の記載からより明らかになるように、PDN−GWとの間でIKEv2 SAの確立を開始する。
81.まず、IKE_SA_INITを行って、PDN−GWへの安全な接続を確立する。
82.その後、IKE_AUTHのシグナリングにおいて、UEは、自身のID(NAI)をIDiペイロードに、APN情報をIDrペイロードに含める。さらに、UEは、非3GPPアクセスにおいてローカルに割り当てられたIPアドレスを設定ペイロードにおいて示すことができる。
83.PDN−GWは、AAAサーバでUEの認証を開始する。EAP−AKAが使用される。
84.PDN−GWは、認証が成功したことをUEに通知する。
85.IKE_AUTH ResponseにおいてEAP successを受信すると、UEは、最初のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータと共にIKE_AUTH RequestをPDN−GWへ送信する。
86.PDN−GWは、2番目のIKE_SA_INITメッセージの認証を行うための生成されたAUTHパラメータを含み、かつ割り当てられたホームIPアドレス/プレフィックスを設定ペイロードに含むIKE_AUTH Responseで応答する。
87.UEは、PDN−GWからのIKE_AUTH ResponseにおけるIPアドレス/プレフィックスを、非3GPPアクセスにおいて割り当てられたIPアドレス/プレフィックスと比較する。両IPアドレス/プレフィックスが一致する場合には、信頼できるアクセスである。両IPアドレス/プレフィックスが一致しない場合には、信頼できないアクセスであり、UEは、PDNへの接続性を得るためにePDGへのトンネルを確立しなければならない。
上記のシグナリングフローが図7のシグナリングと異なる点は、主に、IPsecトンネル確立の手順が、ePDGではなくPDN−GWとの間で行われることである。PDN−GWはUEのLMAなので、PBUメッセージ及びP−BACKメッセージは不要になる。また、PDN−GWがUEのホームIPアドレス/プレフィックスを保持しているので、UEのホームIPアドレス/プレフィックスを入手するために追加のシグナリング(PBU及びP−BACK)は必要ない。
図7の実施の形態に関連して述べた多数の変形例及び選択可能な方法は、図8の実施の形態にも適用可能である。例えば、ステップ86の代わりにステップ84のIKE_AUTH_RESPONSEメッセージにおいてUEのホームIPアドレス/プレフィックスをUEに通知してもよい。
実際は、図9から明らかになるように、UEはアクセスネットワークの信頼特性をより早い時点で知るようにしてもよい。図9におけるシグナリングフローも、UEによって信頼関係が判定された後に行われるステップを、信頼できる場合と信頼できない場合の両方について図示する。
91.UEは、最初に割り当てられたIPアドレス/プレフィックスを(送信元アドレスに、あるいは、メッセージのペイロードに付加的に)含めて、IKE_SA_INITをPDN−GWへ送信する。
92.PDN−GWは、受信した、UEにより使用されたIPアドレス/プレフィックスに基づいて、UEが信頼できる非3GPPアクセスにいることあるいは信頼できない非3GPPアクセスにいることを検出してもよい。例えば、使用されたIPアドレス/プレフィックスがそのPDN−GWによって割り当てられたものである場合には、信頼できるアクセスのはずである。逆に、IPアドレス/プレフィックスがPDN−GWによって割り当てられたものでない場合には、そのアクセスは信頼できないものである。
93.PDN−GWは、NotifyペイロードをIKE_SA_INIT(又はIKE_AUTH)Responseメッセージに含め、アクセスが信頼できるもの(又は信頼できないもの)であるということをUEに通知してもよい。
94a.UEは、非3GPPアクセスが信頼できないものであるということを示すIKE_SA_INIT(又はIKE_AUTH)ResponseメッセージのNotifyペイロードを受信すると、ePDGへのIKEv2トンネル確立の手順を開始する。
95a.UEの認証が成功すると、ePDGは、PBUをPDN−GWへ送信し、割り当てられたIPアドレス/プレフィックスと共にPBAを受信する。
96a.IKEv2/IPsecトンネルのセットアップを完了する。
97a.ePDGは、設定ペイロードにおいて、割り当てられたIPアドレス/プレフィックスをUEに通知する。
98a.UEは、PDN−GWによって割り当てられたホームIPアドレス/プレフィックスを使用して、アプリケーション層のセッションを開始できる。
94b.UEは、非3GPPアクセスが信頼できるものであるということを示すIKE_SA_INIT(又はIKE_AUTH)ResponseメッセージのNotifyペイロードを受信すると、IKEv2の手順を中止する。そして、UEは、割り当てられたIPアドレス/プレフィックスで、アプリケーション層のセッションをすぐに開始することができる。
上記のステップ94a〜98a及び94bは、図7及び図8に示される本発明の他の実施の形態にも適宜適用することができる。
前に述べたように、UEは、最初は、PDN−GWのIPアドレスを例えばDNSを利用して発見する際に使用するIPアドレス/プレフィックスを受信する。非3GPPアクセスが信頼できるものである場合には、UEに発見されたPDN−GWは、UEにIPアドレス/プレフィックスを割り当てたPDN−GWとは異なる可能性がある。この場合、発見されたPDN−GWは、AAAサーバでの認証シグナリングの際に、別のPDN−GWが使用中であることを検出する。そしてそれにより、発見されたPDN−GWは、UEが信頼できる非3GPPアクセスにいると判定してもよい。発見されたPDN−GWは、UEが信頼できる非3GPPアクセスにいるのかあるいは信頼できない非3GPPアクセスにいるのかをIPアドレス/プレフィックスに基づいて判定できない場合には、IKEv2のシグナリングの中で、UEをトリガして、もう一方のPDN−GWとの間でIKEv2を再度確立させることができる。
本発明のさらに別の実施の形態によれば、信頼関係は、UEのホームIPアドレス/プレフィックスをPDN−GW(又はAAAサーバ)から入手することを必要とせずにUEによって判定される。UEがPDN−GWと直接コンタクトを取る上記の実施の形態では、PDN−GWがUEから送信されたIKE_SA_INITに応答することを想定している。しかしながら、PDN−GWは、IKE_SA_INITメッセージに応答しないように構成されていてもよい。この場合、PDN−GWのIPアドレスの到達不可能性についてUEに通知するか、あるいは、IKEv2 SAの確立がタイムアウト後に失敗となるようにしてもよい。その後、UEは、信頼できない非3GPPアクセスに接続されており、ePDGへのIKE/IPsecトンネルの確立を継続すると想定してもよい。
セッションセットアップの遅延を減少させるために、UEは、PDN−GWの到達不可能性が判定される前に、まず、例えば、PDN−GWへのIKEv2セットアップの試行と並行して、ePDGへのトンネルの確立を行ってもよい。UEは、PDN−GWへの最初のIKE_SA_INITの後、タイマを開始してもよく、タイマが終了する前にUEがPDN−GWから応答を受信しなかった場合には、UEは、並行してePDGとの間でIKE_SAの手順を開始してもよい。
PDN−GWへのIKEv2という形を取る実施の形態においては、IKEv2トンネルは、信頼関係の検出に使用されるだけである。すなわち、ユーザデータの転送は、そのトンネルを介さない。UEがそのトンネルを介してユーザデータを送信しようとする場合には、PDN−GWは、そのパケットをブロックしてもよい。
IPアドレスを比較するときに、含まれているローカルに割り当てられたIPアドレスのIPプレフィックスが、含まれているホームアドレスのIPプレフィックスに一致する場合もあるが、最初のIPアドレスとホームIPアドレスは一致しないので、アクセスネットワークは信頼できないものである。
本発明の別の実施の形態は、ハードウエア及びソフトウエアを使用して上記の種々の実施の形態を実現することに関する。上記の種々の方法は、例えば、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、他のプログラマブル論理装置等としてのコンピュータ機器(プロセッサ)を使用して実現し得ることが分かる。本発明の種々の実施の形態は、これらの機器の組み合わせによっても実施又は具現し得る。
また、本発明の種々の実施の形態は、プロセッサにより実行されるソフトウエアモジュールによって、あるいは、ハードウエアにおいて直接、実現することもできる。さらに、ソフトウエアモジュールとハードウエア実装とを組み合わせることも可能である。ソフトウアモジュールは、例えば、RAM、EPROM、EEPROM、フラッシュメモリ、レジスタ、ハードディスク、CD−ROM、DVDなど、あらゆる種類のコンピュータ読み取り可能媒体に格納することができる。

Claims (42)

  1. アクセスネットワークに接続するユーザ装置のために、第1のゲートウェイを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を判定する方法であって、
    前記アクセスネットワークに接続すると同時に、前記アクセスネットワークによって前記ユーザ装置に割り当てられた第1のIPアドレス/プレフィックスを前記ユーザ装置が受信するステップと、
    前記ユーザ装置と前記第1のゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージであって、前記ユーザ装置の前記第1のIPアドレス/プレフィックス及び/又はホームIPアドレス/プレフィックスの情報を含む前記メッセージを交換するステップと、
    前記第1のゲートウェイ又は前記ユーザ装置において、前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを、前記第1のIPアドレス/プレフィックスと前記ホームIPアドレス/プレフィックスとに基づいて判定するステップとを、
    備える方法。
  2. 前記セキュリティトンネル確立手順が、前記ユーザ装置と、前記第1のゲートウェイと、前記コアネットワークの認証サーバとの間で行われる認証手順を備え、
    前記第1のゲートウェイは、前記ホームIPアドレス/プレフィックスを前記認証サーバから前記認証手順のメッセージで受信する請求項1に記載の方法。
  3. 前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを前記第1のゲートウェイが判定する場合には、前記判定の結果は、前記セキュリティトンネル確立手順のメッセージで前記ユーザ装置へ伝達される請求項1又は2に記載の方法。
  4. 前記第1のゲートウェイは発展型パケット・データ・ゲートウェイであり、前記信頼できるエンティティは前記ユーザ装置に対応するパケット・データ・ネットワーク・ゲートウェイであって、
    前記ホームIPアドレス/プレフィックスは、前記パケット・データ・ネットワーク・ゲートウェイから、前記セキュリティトンネル確立手順の前記メッセージの1つを使用して前記ユーザ装置へ、及び/又は、前記セキュリティトンネル確立手順によってトリガされる他のメッセージで前記発展型パケット・データ・ゲートウェイへ、伝達される請求項1に記載の方法。
  5. 前記第1のIPアドレス/プレフィックスは、前記セキュリティトンネル確立手順の前記メッセージの1つで前記ユーザ装置から前記発展型パケット・データ・ゲートウェイへ伝達される請求項4に記載の方法。
  6. 前記セキュリティトンネル確立手順は、前記発展型パケット・データ・ゲートウェイから前記パケット・データ・ネットワーク・ゲートウェイへのモビリティメッセージの送信をトリガし、前記モビリティメッセージは前記パケット・データ・ネットワーク・ゲートウェイをトリガして前記ホームIPアドレス/プレフィックスを前記発展型パケット・データ・ゲートウェイへ返すようにさせる請求項4又は5に記載の方法。
  7. 前記パケット・データ・ネットワーク・ゲートウェイへ転送される前記モビリティメッセージは、前記第1のIPアドレス/プレフィックスを含み、前記パケット・データ・ネットワーク・ゲートウェイは、前記モビリティメッセージで受信される前記IPアドレス/プレフィックスが既に前記パケット・データ・ネットワーク・ゲートウェイによって前記ユーザ装置に割り当てられているかどうかを判定し、
    前記モビリティメッセージで受信される前記IPアドレス/プレフィックスが、前記ユーザ装置が前記アクセスネットワークに接続すると同時に前記ユーザ装置に割り当てられる前記第1のIPアドレス/プレフィックスと同一であると判定される場合には、前記パケット・データ・ネットワーク・ゲートウェイは、前記判定の結果の情報を前記発展型パケット・データ・ゲートウェイへ返し、
    前記ユーザ装置が前記アクセスネットワークに接続すると同時に、前記パケット・データ・ネットワーク・ゲートウェイによって、前記モビリティメッセージで受信される前記IPアドレス/プレフィックスが前記ユーザ装置に割り当てられなかったと判定される場合には、前記ホームIPアドレス/プレフィックスは前記パケット・データ・ネットワーク・ゲートウェイによって生成され、前記発展型パケット・データ・ゲートウェイへ送信される請求項6に記載の方法。
  8. 前記第1のゲートウェイ及び前記信頼できるエンティティは、前記ユーザ装置に対応するパケット・データ・ネットワーク・ゲートウェイであって、
    前記ホームIPアドレス/プレフィックスは、前記セキュリティトンネル確立手順の前記メッセージの1つで前記パケット・データ・ネットワーク・ゲートウェイから前記ユーザ装置へ伝達される、あるいは、
    前記第1のIPアドレス/プレフィックスは、前記セキュリティトンネル確立手順の前記メッセージの1つで前記ユーザ装置から前記パケット・データ・ネットワーク・ゲートウェイへ伝達される請求項1に記載の方法。
  9. アクセスネットワークに接続するユーザ装置のために、パケット・データ・ネットワーク・ゲートウェイを含むコアネットワークと前記アクセスネットワークとの間の信頼関係を判定する方法であって、
    開始メッセージを、前記ユーザ装置から前記パケット・データ・ネットワーク・ゲートウェイへ送信するステップを備え、
    前記開始メッセージに応じて、前記パケット・データ・ネットワーク・ゲートウェイから応答を受信しない、あるいは、エラーメッセージを受信した場合には、前記ユーザ装置は、前記アクセスネットワークが前記コアネットワークにより信頼されないものであると判定する方法。
  10. 前記開始メッセージで、前記ユーザ装置と前記パケット・データ・ネットワーク・ゲートウェイとの間でセキュリティトンネル確立手順を開始する請求項9に記載の方法。
  11. アクセスネットワークに接続され、第1のゲートウェイを含むコアネットワークと前記アクセスネットワークとの間の信頼関係が判定されるユーザ装置であって、
    前記アクセスネットワークによって前記ユーザ装置に割り当てられた第1のIPアドレス/プレフィックスを受信するように構成された受信部と、
    前記ユーザ装置と前記第1のゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージであって、前記第1のIPアドレス/プレフィックス及び/又は前記ユーザ装置のホームIPアドレス/プレフィックスの情報を含むメッセージを交換するように構成された前記受信部及び送信部と、
    前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを、前記第1のIPアドレス/プレフィックスと前記ホームIPアドレス/プレフィックスとに基づいて判定するように構成されたプロセッサとを、
    備えるユーザ装置。
  12. アクセスネットワークに接続されたユーザ装置のために、コアネットワークと前記アクセスネットワークとの間の信頼関係が判定される、前記コアネットワークにおけるゲートウェイであって、
    前記ユーザ装置と前記ゲートウェイとの間で行われるセキュリティトンネル確立手順のメッセージであって、前記アクセスネットワークに接続すると同時に前記ユーザ装置によって受信され、かつ前記アクセスネットワークによって前記ユーザ装置に割り当てられた第1のIPアドレス/プレフィックスの情報と、さらに前記ユーザ装置のホームIPアドレス/プレフィックスの情報とを含むメッセージを交換するように構成された受信部及び送信部と、
    前記アクセスネットワークが前記コアネットワークにより信頼されるものであるか否かを、前記第1のIPアドレス/プレフィックスと前記ホームIPアドレス/プレフィックスとに基づいて判定するように構成されたプロセッサとを、
    備えるゲートウェイ。
  13. 発展型パケット・データ・ゲートウェイあるいはパケット・データ・ネットワーク・ゲートウェイである請求項12に記載のゲートウェイ。
  14. 前記セキュリティトンネル確立手順が、前記ユーザ装置と、前記第1のゲートウェイと、前記コアネットワークの認証サーバとの間で行われる認証手順を備え、
    前記送信部は、前記ホームIPアドレス/プレフィックスを前記認証サーバに要求するように構成されており、
    前記受信部は、前記要求に応じて前記認証サーバから前記ホームIPアドレス/プレフィックスを受信するように構成されている請求項12又は13に記載のゲートウェイ。
  15. 前記第1のゲートウェイは発展型パケット・データ・ゲートウェイであって、
    前記受信部は、前記セキュリティトンネル確立手順のメッセージを受信するように構成されており、
    前記送信部は、パケット・データ・ネットワーク・ゲートウェイをトリガして前記ホームIPアドレス/プレフィックスを前記発展型パケット・データ・ゲートウェイへ返すようにさせるモビリティメッセージを、前記パケット・データ・ネットワーク・ゲートウェイへ送信するように構成されている請求項12から14のいずれか1つに記載のゲートウェイ。
  16. アクセスネットワークに接続されたユーザ装置のための、第1のゲートウェイと第2のゲートウェイとを含むコアネットワークと前記アクセスネットワークとの間の信頼関係検出のための方法であって、
    前記ユーザ装置が前記第2のゲートウェイを介して前記コアネットワークへメッセージを送信するステップ(33)と、
    前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断するステップ(36)と、
    前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記第2のゲートウェイと前記ユーザ装置との間を経由する前記第1のゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記第1のゲートウェイが前記ユーザ装置へメッセージを送信するステップ(37a)と、
    前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記第1のゲートウェイが前記ユーザ装置へメッセージを送信するステップ(37b)とを、
    備える方法。
  17. 前記第1のゲートウェイはパケット・データ・ネットワーク・ゲートウェイである請求項16に記載の方法。
  18. 前記第2のゲートウェイは発展型パケット・データ・ゲートウェイである請求項16又は17に記載の方法。
  19. 前記判断するステップは、前記第2のゲートウェイによって行われる請求項16から18のいずれか1つに記載の方法。
  20. 前記判断するステップは、前記第1のゲートウェイによって行われる請求項16から18のいずれか1つに記載の方法。
  21. 前記判断するステップは、認証、認可、アカウンティングサーバによって行われる請求項16から18のいずれか1つに記載の方法。
  22. 前記送信するステップにおける前記メッセージはバインディングアップデートであり、前記バインディングアップデートは、トンネリングされる、あるいは、他のメッセージに含まれる、請求項16から21のいずれか1つに記載の方法。
  23. 前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイが、前記ユーザ装置の前記アクセスネットワークにおけるインターネット・プロトコル・アドレス宛てにバインディングアクノレッジメントメッセージを送信するステップ(47b)をさらに備える請求項16から22のいずれか1つに記載の方法。
  24. 前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記第1のゲートウェイが、前記ユーザ装置の前記第2のゲートウェイにおけるインターネット・プロトコル・アドレス宛てにバインディングアクノレッジメントメッセージを送信するステップ(47a)をさらに備える請求項16から22のいずれか1つに記載の方法。
  25. 前記第2のゲートウェイにおける前記インターネット・プロトコル・アドレスは、事前に設定、あるいは、動的に決定される請求項24に記載の方法。
  26. 前記ユーザ装置が前記バインディングアクノレッジメントメッセージを受信するステップと、
    前記アクセスネットワークにおける前記インターネット・プロトコル・アドレスが使用される場合に、前記ユーザ装置が信頼できるネットワークにいると判定するステップと、
    前記第2のゲートウェイでの前記インターネット・プロトコル・アドレスが使用される場合に、前記ユーザ装置が信頼できないネットワークにいると判定するステップとを、
    さらに備える請求項23から25のいずれか1つに記載の方法。
  27. ユーザ装置(10)のために、第1のゲートウェイ(14)と第2のゲートウェイ(12)とを含むコアネットワーク(20)とアクセスネットワーク(18)との間の信頼関係が検出されるネットワークであって、
    前記ユーザ装置(10)は、前記第2のゲートウェイ(12)を介して前記コアネットワークへメッセージを送信するように構成されており、
    前記コアネットワーク(20)は、前記ユーザ装置(10)が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断するように構成されており、
    前記第1のゲートウェイ(14)は、前記ユーザ装置(10)が信頼できないアクセスネットワーク(18)にいる場合に、前記第2のゲートウェイ(12)と前記ユーザ装置との間を経由する前記第1のゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記ユーザ装置(10)へメッセージを送信するように構成されており、
    前記第1のゲートウェイ(14)は、前記ユーザ装置(10)が信頼できるアクセスネットワーク(22)にいる場合に、前記第1のゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記ユーザ装置へメッセージを送信するように構成されているネットワーク。
  28. 請求項17から26に記載の方法のステップを実行するように構成された請求項27に記載のネットワーク。
  29. アクセスネットワークに接続されたユーザ装置(10)のために、コアネットワーク(20)と前記アクセスネットワークとの間の信頼関係が検出される、前記コアネットワーク(20)におけるゲートウェイ(14)であって、
    前記ユーザ装置(10)からメッセージを受信するように構成された受信手段と、
    前記ユーザ装置(10)が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断するように構成された判断手段と、
    前記ユーザ装置(10)が信頼できないアクセスネットワーク(18)にいる場合に、他のゲートウェイ(12)と前記ユーザ装置との間を経由する前記ゲートウェイ(14)と前記ユーザ装置との間の第1のトンネルを介して、前記ユーザ装置へメッセージを送信するように構成された送信手段と、
    前記ユーザ装置(10)が信頼できるアクセスネットワーク(22)にいる場合に、前記ゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記ユーザ装置(10)へメッセージを送信するように構成された送信手段とを、
    備えるゲートウェイ(14)。
  30. 前記ゲートウェイはパケット・データ・ネットワーク・ゲートウェイである請求項29に記載のゲートウェイ(14)。
  31. 請求項22から26に記載の方法のステップを実行するように構成された請求項29又は30に記載のゲートウェイ(14)。
  32. アクセスネットワークに接続されたユーザ装置(10)のために、コアネットワーク(20)と前記アクセスネットワークとの間の信頼関係が検出される、前記コアネットワーク(20)におけるゲートウェイ(12)であって、
    前記ユーザ装置(10)からメッセージを受信するように構成された受信手段と、
    前記ユーザ装置(10)が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断するように構成された判断手段と、
    前記ユーザ装置(10)が信頼できないアクセスネットワーク(18)にいる場合に、他のゲートウェイ(14)と前記ユーザ装置(10)との間で、メッセージを搬送するように構成された通信手段とを、
    備えるゲートウェイ(12)。
  33. 発展型パケット・データ・ゲートウェイである請求項32に記載のゲートウェイ(12)。
  34. 請求項22から26に記載の方法のステップを実行するように構成された請求項32又は33に記載のゲートウェイ(12)。
  35. アクセスネットワークに接続され、第1のゲートウェイ(14)と第2のゲートウェイ(12)とを含むコアネットワーク(20)と前記アクセスネットワークとの間の信頼関係が検出されるユーザ装置(10)であって、
    前記第2のゲートウェイ(12)を介して前記コアネットワーク(20)へメッセージを送信するように構成された送信手段と、
    前記ユーザ装置(10)が信頼できないアクセスネットワーク(18)にいる場合に、前記第2のゲートウェイ(12)と前記ユーザ装置との間を経由する前記第1のゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記第1のゲートウェイ(14)からメッセージを受信するように構成された受信手段と、
    前記ユーザ装置(10)が信頼できるアクセスネットワーク(22)にいる場合に、前記第1のゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記第1のゲートウェイ(14)からメッセージを受信するように構成された受信手段とを、
    備えるユーザ装置(10)。
  36. 請求項17から26に記載の方法のステップを実行するように構成された請求項35に記載のユーザ装置(10)。
  37. ネットワークのコアネットワークにおけるゲートウェイのプロセッサによって実行されたときに、ユーザ装置のために前記コアネットワークとアクセスネットワークとの間の信頼関係を前記ゲートウェイに検出させる命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、前記ゲートウェイに、
    前記ユーザ装置からメッセージを受信させ、
    前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断させ、
    前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、他のゲートウェイと前記ユーザ装置との間を経由する前記ゲートウェイと前記ユーザ装置との間の第1のトンネルを介して、前記ユーザ装置へメッセージを送信させ、
    前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記ゲートウェイと前記ユーザ装置との間の第2のトンネルを介して、前記ユーザ装置へメッセージを送信させることによって、前記信頼関係を検出させるコンピュータ読み取り可能媒体。
  38. 請求項37に記載のコンピュータ読み取り可能媒体であって、ネットワークのコアネットワークにおけるゲートウェイのプロセッサによって実行されたときに、請求項22から26に記載の方法のステップを前記ゲートウェイに実行させることによって、ユーザ装置のために前記コアネットワークとアクセスネットワークとの間の信頼関係を検出させる命令を格納するコンピュータ読み取り可能媒体。
  39. ネットワークのコアネットワークにおけるゲートウェイのプロセッサによって実行されたときに、ユーザ装置のために前記コアネットワークとアクセスネットワークとの間の信頼関係を前記ゲートウェイに検出させる命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、前記ゲートウェイに、
    前記ユーザ装置からメッセージを受信させ、
    前記ユーザ装置が信頼できるアクセスネットワークにいるのか、あるいは、信頼できないアクセスネットワークにいるのかを判断させ、
    前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、他のゲートウェイと前記ユーザ装置との間で、メッセージを搬送させることによって、前記信頼関係を検出させるコンピュータ読み取り可能媒体。
  40. 請求項39に記載のコンピュータ読み取り可能媒体であって、ネットワークのコアネットワークにおけるゲートウェイのプロセッサによって実行されたときに、請求項22から26に記載の方法のステップを前記ゲートウェイに実行させることによって、ユーザ装置のために前記コアネットワークとアクセスネットワークとの間の信頼関係を検出させる命令を格納するコンピュータ読み取り可能媒体。
  41. ネットワークのアクセスネットワークに接続されたユーザ装置のプロセッサによって実行されたときに、前記アクセスネットワークと第1及び第2のゲートウェイを含むコアネットワークとの間の信頼関係を前記ユーザ装置に検出させる命令を格納するコンピュータ読み取り可能媒体であって、前記命令は、前記ユーザ装置に、
    前記第2のゲートウェイを介して前記コアネットワークへメッセージを送信させ、
    前記ユーザ装置が信頼できないアクセスネットワークにいる場合に、前記ユーザ装置と前記第2のゲートウェイとの間を経由する前記第1のゲートウェイへの第1のトンネルを介して、前記第1のゲートウェイからメッセージを受信させ、
    前記ユーザ装置が信頼できるアクセスネットワークにいる場合に、前記第1のゲートウェイへの第2のトンネルを介して、前記第1のゲートウェイからメッセージを受信させることによって、前記信頼関係を検出させるコンピュータ読み取り可能媒体。
  42. 請求項41に記載のコンピュータ読み取り可能媒体であって、ネットワークのアクセスネットワークにおけるユーザ装置のプロセッサによって実行されたときに、請求項22から26に記載の方法のステップを前記ユーザ装置に実行させることによって、前記アクセスネットワークと第1及び第2のゲートウェイを含むコアネットワークとの間の信頼関係を検出させる命令を格納するコンピュータ読み取り可能媒体。
JP2010512576A 2007-06-19 2008-06-12 モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出 Expired - Fee Related JP5166525B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP07011972A EP2007097A1 (en) 2007-06-19 2007-06-19 Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network
EP07011972.2 2007-06-19
EP08008131A EP2037652A3 (en) 2007-06-19 2008-04-28 Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
EP08008131.8 2008-04-28
PCT/EP2008/004731 WO2008155066A2 (en) 2007-06-19 2008-06-12 Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network

Publications (2)

Publication Number Publication Date
JP2010530680A true JP2010530680A (ja) 2010-09-09
JP5166525B2 JP5166525B2 (ja) 2013-03-21

Family

ID=40156735

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010512576A Expired - Fee Related JP5166525B2 (ja) 2007-06-19 2008-06-12 モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出

Country Status (5)

Country Link
US (1) US8688970B2 (ja)
EP (2) EP2037652A3 (ja)
JP (1) JP5166525B2 (ja)
CN (1) CN101785270A (ja)
WO (1) WO2008155066A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012182802A (ja) * 2009-03-27 2012-09-20 Sharp Corp 移動端末装置、外部ゲートウェイ装置及び通信方法
KR101338486B1 (ko) 2010-12-21 2013-12-10 주식회사 케이티 I-wlan의 게이트웨이 및 그의 호 추적 방법
JP2015501605A (ja) * 2011-11-03 2015-01-15 ▲ホア▼▲ウェイ▼技術有限公司 データセキュリティチャネル処理方法およびデバイス
JP2018516503A (ja) * 2015-04-22 2018-06-21 華為技術有限公司Huawei Technologies Co.,Ltd. サービス割り当て方法及び装置

Families Citing this family (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8150018B2 (en) 2002-12-18 2012-04-03 Cisco Technology, Inc. System and method for provisioning connections as a distributed digital cross-connect over a packet network
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US8160038B1 (en) * 2007-08-06 2012-04-17 Marvell International Ltd. Packet data network specific addressing solutions with network-based mobility
EP2068565A1 (fr) * 2007-12-07 2009-06-10 Gemplus Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée
JP5316423B2 (ja) * 2007-12-19 2013-10-16 富士通株式会社 暗号化実施制御システム
EP2091204A1 (en) * 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
US8503460B2 (en) * 2008-03-24 2013-08-06 Qualcomm Incorporated Dynamic home network assignment
CN101547383B (zh) * 2008-03-26 2013-06-05 华为技术有限公司 一种接入认证方法及接入认证系统以及相关设备
JP4966432B2 (ja) 2008-04-11 2012-07-04 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 非3gppアクセスネットワーク経由のアクセス
US8364790B2 (en) * 2008-06-13 2013-01-29 Samsung Electronics Co., Ltd. Method and apparatus for production and use of decorated networking identifier
GB0812632D0 (en) * 2008-07-10 2008-08-20 Vodafone Plc Security architecture for LTE relays
JP4371250B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
US20110202970A1 (en) * 2008-10-15 2011-08-18 Telefonakttebotaget LM Ericsson (publ) Secure Access In A Communication Network
EP2384571B1 (en) 2009-01-05 2015-09-30 Nokia Solutions and Networks Oy Trustworthiness decision making for access authentication
EP2377363B1 (en) * 2009-01-15 2016-05-04 Telefonaktiebolaget LM Ericsson (publ) PROXY MOBILE IPv6 SUPPORT IN RESIDENTIAL NETWORKS
WO2010086029A1 (en) * 2009-02-02 2010-08-05 Nokia Siemens Networks Oy Method and radio communication system for establishing an access to a mobile network domain
EP2222116A1 (en) * 2009-02-19 2010-08-25 Alcatel Lucent Exchanging signaling information between a mobile station and a pdn gateway of a 3GPP evolved packet core network
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
WO2010139058A1 (en) * 2009-06-04 2010-12-09 Research In Motion Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
EP2478719B1 (en) * 2009-09-18 2017-06-28 InterDigital Patent Holdings, Inc. Method and apparatus for multicast mobility
US20110271117A1 (en) * 2009-10-26 2011-11-03 Telefonaktiebolaget L M Ericsson (Publ) User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment
CN102056144B (zh) * 2009-10-28 2015-05-20 中兴通讯股份有限公司 多接入的处理方法、家乡代理及用户设备
EP2362688B1 (en) * 2010-02-23 2016-05-25 Alcatel Lucent Transport of multihoming service related information between user equipment and 3GPP evolved packet core
US8839397B2 (en) * 2010-08-24 2014-09-16 Verizon Patent And Licensing Inc. End point context and trust level determination
US8898759B2 (en) 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US9596597B2 (en) 2010-11-05 2017-03-14 Nokia Technologies Oy Mobile security protocol negotiation
MX2013008150A (es) * 2011-01-14 2013-09-13 Nokia Siemens Networks Oy Soporte de autenticacion externo sobre una red no confiable.
US9077730B2 (en) * 2011-02-02 2015-07-07 Cisco Technology, Inc. Restricting network access while connected to an untrusted network
WO2012110093A1 (en) * 2011-02-17 2012-08-23 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for establishing a pdn connection
US9270653B2 (en) * 2011-05-11 2016-02-23 At&T Mobility Ii Llc Carrier network security interface for fielded devices
US8706084B2 (en) 2011-06-20 2014-04-22 Telefonaktiebolaget L M Ericsson (Publ) Roaming selection of a v-ePDG
US8955078B2 (en) * 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
CN103039097B (zh) * 2011-08-05 2015-06-03 华为技术有限公司 一种隧道数据安全通道的建立方法
CN103024737B (zh) * 2011-09-23 2017-08-11 中兴通讯股份有限公司 可信任非3gpp接入网元、接入移动网络及去附着方法
US20130086218A1 (en) * 2011-09-30 2013-04-04 Corey F. Adams Proxy Server For Home Network Access
TWI428031B (zh) * 2011-10-06 2014-02-21 Ind Tech Res Inst 區域網協存取網路元件與終端設備的認證方法與裝置
US20130114463A1 (en) * 2011-11-03 2013-05-09 Futurewei Technologies, Inc. System and Method for Domain Name Resolution for Fast Link Setup
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9100940B2 (en) 2011-11-28 2015-08-04 Cisco Technology, Inc. System and method for extended wireless access gateway service provider Wi-Fi offload
EP2611228A1 (en) * 2011-12-27 2013-07-03 Alcatel Lucent Allowing access to services delivered by a service delivery platform in a 3GPP HPLM, to an user equipment connected over a trusted non-3GPP access network
US9066328B2 (en) * 2012-03-01 2015-06-23 Interdigital Patent Holdings, Inc. Method and apparatus for supporting dynamic and distributed mobility management
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US8885626B2 (en) * 2012-04-06 2014-11-11 Chris Gu Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN
US8879530B2 (en) * 2012-04-06 2014-11-04 Chris Yonghai Gu Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN
US8990916B2 (en) * 2012-07-20 2015-03-24 Cisco Technology, Inc. System and method for supporting web authentication
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
US8832433B2 (en) * 2012-08-17 2014-09-09 Cellco Partnership Methods and systems for registering a packet-based address for a mobile device using a fully-qualified domain name (FQDN) for the device in a mobile communication network
CN103716775B (zh) * 2012-09-29 2017-10-10 华为终端有限公司 数据流控制方法及相关设备和通信系统
WO2014062678A1 (en) * 2012-10-15 2014-04-24 Interdigital Patent Holdings, Inc. Failover recovery methods with an edge component
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US20140259012A1 (en) * 2013-03-06 2014-09-11 Telefonaktiebolaget L M Ericsson (Publ) Virtual machine mobility with evolved packet core
CN104427006A (zh) * 2013-08-22 2015-03-18 中兴通讯股份有限公司 网络地址的处理方法、装置、系统、wlan及ue
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US9332015B1 (en) 2014-10-30 2016-05-03 Cisco Technology, Inc. System and method for providing error handling in an untrusted network environment
WO2016072897A1 (en) * 2014-11-07 2016-05-12 Telefonaktiebolaget L M Ericsson (Publ) Selectively utilising mobility of ip flows
WO2016180865A1 (en) * 2015-05-11 2016-11-17 Telefonaktiebolaget Lm Ericsson (Publ) Methods and nodes for handling access to a service via an untrusted non-3gpp network
CN107534994B (zh) 2015-05-12 2021-09-21 瑞典爱立信有限公司 处理经由非3gpp网络到epc服务的接入的方法和节点
WO2016187871A1 (en) 2015-05-28 2016-12-01 Telefonaktiebolaget Lm Ericsson (Publ) Multiple pdn connections over untrusted wlan access
US10051059B2 (en) * 2015-06-05 2018-08-14 Fisher-Rosemount Systems, Inc. Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity
FR3039954A1 (fr) * 2015-08-05 2017-02-10 Orange Procede et dispositif d'identification de serveurs d'authentification visite et de domicile
CN106453214A (zh) * 2015-08-12 2017-02-22 中国电信股份有限公司 用于检验用户合法性的方法、装置和系统
US10057929B2 (en) 2015-08-18 2018-08-21 Samsung Electronics Co., Ltd. Enhanced hotspot 2.0 management object for trusted non-3GPP access discovery
EP3151599A1 (en) * 2015-09-30 2017-04-05 Apple Inc. Authentication failure handling for cellular network access through wlan
US10419994B2 (en) * 2016-04-08 2019-09-17 Electronics And Telecommunications Research Institute Non-access stratum based access method and terminal supporting the same
KR102088717B1 (ko) 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
US11089519B2 (en) * 2016-04-13 2021-08-10 Qualcomm Incorporated Migration of local gateway function in cellular networks
US10674346B2 (en) * 2016-10-10 2020-06-02 Qualcomm Incorporated Connectivity to a core network via an access network
US11553561B2 (en) * 2016-10-28 2023-01-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication
US10833876B2 (en) * 2016-10-28 2020-11-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication
US11258694B2 (en) * 2017-01-04 2022-02-22 Cisco Technology, Inc. Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2
EP3622670B1 (en) * 2017-05-12 2021-03-17 Nokia Solutions and Networks Oy Connectivity monitoring for data tunneling between network device and application server
JP2019033416A (ja) * 2017-08-09 2019-02-28 シャープ株式会社 端末装置、コアネットワーク内の装置、及び通信制御方法
US11968614B2 (en) * 2018-04-17 2024-04-23 Mediatek Singapore Pte. Ltd. Apparatuses and methods for handling access type restriction information
US11416620B1 (en) 2019-11-01 2022-08-16 Sprint Communications Company L.P. Data communication service in a trusted execution environment (TEE) at the network edge
US11777935B2 (en) * 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11184160B2 (en) * 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11405215B2 (en) 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
US12212603B2 (en) * 2020-09-25 2025-01-28 Fortinet, Inc. Adjusting behavior of an endpoint security agent based on network location
CN115296988B (zh) * 2022-10-09 2023-03-21 中国电子科技集团公司第三十研究所 一种实现IPSec网关动态组网的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070006295A1 (en) * 2005-06-24 2007-01-04 Henry Haverinen Adaptive IPsec processing in mobile-enhanced virtual private networks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070006295A1 (en) * 2005-06-24 2007-01-04 Henry Haverinen Adaptive IPsec processing in mobile-enhanced virtual private networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6012045818; 'Architecture Enhancements for non-3GPP accesses (Release 8)' 3GPP TS 23.402 V1.0.0, 200705 *
JPN6012062568; S. Vaarala: 'Mobile IPv4 Traversal Across IPsec-based VPN Gateways' [online] , 20030929, draft-ietf-mobileip-vpn-problem-solution-03 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012182802A (ja) * 2009-03-27 2012-09-20 Sharp Corp 移動端末装置、外部ゲートウェイ装置及び通信方法
US9137833B2 (en) 2009-03-27 2015-09-15 Sharp Kabushiki Kaisha Mobile communication system
US9743437B2 (en) 2009-03-27 2017-08-22 Sharp Kabushiki Kaisha Mobile communication system
KR101338486B1 (ko) 2010-12-21 2013-12-10 주식회사 케이티 I-wlan의 게이트웨이 및 그의 호 추적 방법
JP2015501605A (ja) * 2011-11-03 2015-01-15 ▲ホア▼▲ウェイ▼技術有限公司 データセキュリティチャネル処理方法およびデバイス
US9800563B2 (en) 2011-11-03 2017-10-24 Huawei Technologies Co., Ltd. Method and device for processing data security channel
JP2018516503A (ja) * 2015-04-22 2018-06-21 華為技術有限公司Huawei Technologies Co.,Ltd. サービス割り当て方法及び装置

Also Published As

Publication number Publication date
EP2165496B1 (en) 2012-11-21
EP2037652A2 (en) 2009-03-18
WO2008155066A2 (en) 2008-12-24
US8688970B2 (en) 2014-04-01
WO2008155066A3 (en) 2009-06-11
EP2165496A2 (en) 2010-03-24
US20100199332A1 (en) 2010-08-05
EP2037652A3 (en) 2009-05-27
CN101785270A (zh) 2010-07-21
JP5166525B2 (ja) 2013-03-21
WO2008155066A4 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
JP5166525B2 (ja) モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出
US11477634B2 (en) Home agent discovery upon changing the mobility management scheme
JP5430587B2 (ja) ネットワークベースのモビリティ管理による経路最適化のためのゲートウェイ間での情報交換
US8780800B2 (en) Optimized home link detection
US20070086382A1 (en) Methods of network access configuration in an IP network
CN102224721A (zh) 向访问网络链接或移交时的安全隧道建立
JP2012501129A (ja) ネットワークによって用いられるモビリティマネジメント機能の検出
EP2007097A1 (en) Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121220

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5166525

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees