特許第5955352号(P5955352)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社東芝

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社東芝の特許一覧 ▶ テルコーディア・テクノロジーズ・インコーポレーテッドの特許一覧

特許5955352事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5955352
(24)【登録日】2016年6月24日
(45)【発行日】2016年7月20日
(54)【発明の名称】事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
(51)【国際特許分類】
   H04W 12/06 20090101AFI20160707BHJP
   H04W 36/08 20090101ALI20160707BHJP
   H04W 84/12 20090101ALI20160707BHJP
【FI】
   H04W12/06
   H04W36/08
   H04W84/12
【請求項の数】7
【全頁数】31
(21)【出願番号】特願2014-148275(P2014-148275)
(22)【出願日】2014年7月18日
(62)【分割の表示】特願2012-26495(P2012-26495)の分割
【原出願日】2005年1月21日
(65)【公開番号】特開2014-222934(P2014-222934A)
(43)【公開日】2014年11月27日
【審査請求日】2014年7月18日
(31)【優先権主張番号】10/761,243
(32)【優先日】2004年1月22日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】504473670
【氏名又は名称】テルコーディア・テクノロジーズ・インコーポレーテッド
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100109830
【弁理士】
【氏名又は名称】福原 淑弘
(74)【代理人】
【識別番号】100103034
【弁理士】
【氏名又は名称】野河 信久
(74)【代理人】
【識別番号】100075672
【弁理士】
【氏名又は名称】峰 隆司
(74)【代理人】
【識別番号】100140176
【弁理士】
【氏名又は名称】砂川 克
(72)【発明者】
【氏名】大場 義洋
(72)【発明者】
【氏名】馬場 伸一
【審査官】 桑江 晃
(56)【参考文献】
【文献】 特開2003−333639(JP,A)
【文献】 P. McCann,"Mobile IPv6 Fast Handovers for 802.11 Networks",draft-mccann-mobileip-80211fh-01.txt,2002年10月,1-14 pages,URL,https://tools.ietf.org/pdf/draft-mccann-mobileip-80211fh-01.pdf
【文献】 H. Tschofenig et al.2,Bootstrapping RFC3118 Delayed authentication using PANA,draft-tschofenig-pana-bootstrap-rfc3118-01.txt,2003年10月,1,2,11,12 pages,URL,https://tools.ietf.org/pdf/draft-tschofenig-pana-bootstrap-rfc3118-01.pdf
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00−99/00
3GPP TSG RAN WG1−4
SA WG1−2
CT WG1
(57)【特許請求の範囲】
【請求項1】
移動局が現サブネットワークにあるときに新サブネットワークにおいてアクセスポイントのIPアドレスを決定するステップと、
前記IPアドレスを使用して前記現及び新サブネットワーク上で作業するために事前認証を得るステップと、
を含み、前記事前認証を得るステップは、ハンドオフ前に前記移動局が前記現サブネットワークにあるときに、前記新サブネットワークの前記アクセスポイントは上位層事前認証を支援し、前記移動局と通信することを含む方法。
【請求項2】
前記新サブネットワークの前記アクセスポイントは、802.1Xフレームを搬送する上位層プロトコルを使用して前記移動局と通信する、請求項1に記載の方法。
【請求項3】
ハンドオフ前に802.1Xフレームを搬送すること及びEAPメッセージの順序の不変性を維持することをさらに含む、請求項2に記載の方法。
【請求項4】
ハンドオフ前にEAPメッセージを搬送するためにPANAを使用することをさらに含む、請求項2に記載の方法。
【請求項5】
ハンドオフ前にEAPメッセージを搬送するためにIKEv2を使用することをさらに含む、請求項2に記載の方法。
【請求項6】
信頼できるトランスポート上で802.1xフレームを搬送するために、新規に定義されるプロトコルを使用することをさらに含む、請求項1に記載の方法。
【請求項7】
前記信頼できるトランスポートはTCPを使用する、請求項6に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、携帯電話ネットワーク通信に関し、いくつかの好ましい実施形態では、一般的に携帯電話分野において一例として「ハンドオフ」と呼ばれている、モバイルノード、移動局、又はモバイルデバイスの移動中のネットワーク接続ポイントの変更に関する。本発明の好ましい実施形態は、例えば、インターネット(登録商標)への、又は別のネットワークへの無線アクセスポイント接続での変更に対する等、ネットワークに対するモバイル機器接続ポイントにおける変更用のモビリティアーキテクチャを提供する。
【背景技術】
【0002】
(ネットワーク及びインターネットプロトコル)
多種類のコンピュータネットワークがあり、インターネットは最も悪評を有している。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは、数百万人のユーザが利用できる公衆の自立したネットワークである。インターネットは、ホストに接続するためにTCP/IP(つまり、伝送制御プロトコル/インターネットプロトコル)と呼ばれている一式の通信プロトコルを使用する。インターネットは、インターネット基幹として公知の通信インフラストラクチャを有する。インターネット基幹に対するアクセスは、主として企業及び個人のアクセスを転売するインターネットサービスプロバイダ(ISP)によって管理されている。
【0003】
IP(インターネットプロトコル)に関して、これは(例えば、電話、PDA(パーソナルデジタルアシスタント)、コンピュータ等の)ある機器から、ネットワーク上の別の機器へデータを送信できるようにするプロトコルである。今日では、例えばIPv4、IPv6等を含む種々のIPのバージョンがある。ネットワーク上の各ホスト機器は、専用の一意の識別子である、少なくとも1つのIPアドレスを有する。
【0004】
IPとはコネクションレスプロトコルである。通信中のエンドポイント間の接続は連続ではない。ユーザがデータ又はメッセージを送信又は受信すると、前記データ又はメッセージはパケットとして知られている構成要素に分割される。あらゆるパケットは独立したデータ単位として処理される。
【0005】
インターネット又は類似するネットワーク上でポイント間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルはネットワーク内の2つのポイントの間の通信プロセスを7つの積層層に分離し、各層は専用の機能を追加する。各機器は、送信エンドポイント(送信端点)で各層を通る下方への流れがあり、及び受信エンドポイント(受信端点)で前記層を通る上方への流れがあるように、メッセージを処理する。機能の前記7つの層を提供するプログラミング及び/又はハードウェアは、通常、機器オペレーティングシステム、アプリケーションソフトウェア、TCP/IP、及び/又は他のトランスポートプロトコルとネットワークプロトコル、及び他のソフトウェアとハードウェアの組み合わせである。
【0006】
通常、メッセージがユーザから、又はユーザに渡るときには上位4層が使用され、下位の3層は、メッセージが(例えばIPホスト機器等の)機器を通過するときに使用される。IPホストは、サーバ、ルータ又はワークステーション等のIPパケットを送受できる、ネットワーク上の任意の機器である。何らかの他のホストに向けられるメッセージは上位層まで渡されないが、他のホストに転送される。OSI及び他の類似したモデルでは、IPは第3層、つまりネットワーク層にある。OSIモデルの層は以下に一覧表示される。
【0007】
第7層(つまり、アプリケーション層)は、例えば、通信パートナが識別され、サービス品質が特定され、ユーザ認証及びプライバシーが考慮され、データ構文に対する制約が特定される等の層である。
【0008】
第6層(つまり、プレゼンテーション層)は、例えば、あるプレゼンテーションフォーマットから別のプレゼンテーションフォーマットへ等、入信データ及び発信データを変換する層である。
【0009】
第5層(つまり、セッション層)は、例えば、会話をセットアップし、調整し、終了し、アプリケーション間で交換し、対話する層である。
【0010】
第4層(つまり、トランスポート層)は、例えばエンドツーエンド制御及びエラーチェック等を管理する層である。
【0011】
第3層(つまり、ネットワーク層)は、例えばルーティング及び転送等を処理する層である。
【0012】
第2層(つまり、データリンク層)は、例えば、物理レベルに同期を提供する、ビットスタッフィングを行う、及び伝送プロトコル知識及び管理を提供する等の層である。電気電子技術者協会(IEEE)はデータリンク層を2つの追加の副層、つまり物理層への及び物理層からのデータ転送を制御するMAC(媒体アクセス制御)層と、ネットワーク層と接続し、コマンドを解釈し、エラー回復を実行するLLC(論理リンク制御)層とに、再分割する。
【0013】
第1層(つまり、物理層)は、物理レベルでネットワークを介してビットストリームを伝達する等の層である。IEEEは物理層をPLCP(物理層収束手順)副層と、PMD(物理媒体依存)副層に再分割する。
【0014】
本書では、第2層より高い層(例えば、OSIモデル等でネットワーク層又は第3層を含む層)は上位層と呼ばれている。
【0015】
(無線ネットワーク)
無線ネットワークは、例えばセルラー電話と無線電話、PC(パーソナルコンピュータ)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレス電話、ポケットベル、ヘッドセット、プリンタ、PDA等の種々のタイプのモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するためにデジタルシステムを含んでよい。典型的なモバイル機器は、以下の構成要素のいくつか又は全てを含む。つまり、トランシーバ(つまり、例えば統合された送信機、受信機、及び所望される場合他の機能の付いた、単一チップトランシーバ等を含む、送信機と受信機)、アンテナ、プロセッサ、1台以上の音声変換器(例えば、音声通信用機器においてのようにスピーカ又はマイク)、電磁データ記憶装置(例えば、データ処理が提供される機器においてのように、ROM、RAM、デジタルデータ記憶装置等)、メモリ、フラッシュメモリ、フルチップセット、又は集積回路、インタフェース(例えば、USB、CODEC、UART、PCM等)等を含む。
【0016】
携帯電話利用者が無線接続を通してローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)が、無線通信のために利用されてよい。無線通信は、例えば、光、赤外線、無線通信、マイクロ波等の電磁波を介して伝搬する通信等を含むことができる。例えばブルートゥース(登録商標)、IEEE802.11及びHomeRF等の、現存する種々のWLAN規格がある。
【0017】
例によって、ブルートゥース製品は、モバイルコンピュータ、携帯電話、携帯端末、パーソナルデジタルアシスタント(PDA)、及び他のモバイル機器の間のリンク、及びインターネットへの接続性を提供するために使用されてよい。ブルートゥースは、モバイル機器が短距離無線接続を使用して互いに、及び非モバイル機器に、どのようにして容易に相互接続できるのかを詳説する、コンピューティング及び電気通信業界の仕様である。ブルートゥースは、データを同期させ、ある機器から別の機器で一貫させ、それにより様々なベンダの装置が継ぎ目なく一緒に機能することができるようにする必要がある、多様なモバイル機器の拡散から生じるエンドユーザの問題に対処するための、デジタル無線プロトコルを作成する。ブルートゥース機器は1つの共通した命名概念に従って命名されてよい。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)、つまり一意のブルートゥース機器アドレス(BDA)に関連付けられた名称を所有してよい。ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに関与してもよい。ブルートゥース機器がIPネットワーク上で機能する場合、それにはIPアドレス及びIP(ネットワーク)名が与えられてよい。したがって、IPネットワークで関与するように構成されるブルートゥース機器は、例えばBDN、BDA、IPアドレス及びIP名を含んでよい。用語「IP名」は、インタフェースのIPアドレスに対応する名称を指す。
【0018】
IEEE規格、IEEE802.11は、無線LAN及び機器のための技術を指定する。802.11を使用すると、無線ネットワーキングは、単一の基地局が複数の機器をサポートする状態で達成されてよい。いくつかの例では、機器は無線ハードウェアを事前に装備された状態で納品されてよい、あるいはユーザは、アンテナを含んでよい、カード等の別個のハードウェアをインスールしてよい。一例として、802.11で使用される機器は、機器がアクセスポイント(AP)であるのか、移動局(STA)であるのか、ブリッジであるのか、PCMCIAカードであるのか、あるいは無線トランシーバ、アンテナ及び、ネットワーク内のポイント間のパケットの流れを制御するMCA(媒体アクセス制御)層であるのかに関係なく、通常、3つの顕著な要素を含んでいる。
【0019】
加えて、複数インタフェース機器(MID)は、いくつかの無線ネットワークで活用されてよい。MIDは、ブルートゥースインタフェースと802.11インタフェース等の、2つの独立したネットワークインタフェースを含んでよく、このようにしてMIDがブルートゥース機器と接続するだけではなく、2つの別々のネットワークで参加できるようにする。MIDは、IPアドレス、及び前記IPアドレスと関連付けられた共通のIP(ネットワーク)名を有してよい。
【0020】
無線ネットワーク機器は、ブルートゥース機器、複数インタフェース機器(MID)、802.11x機器(例えば802.11a、802.11b及び802.11gの機器を含む、IEEE802.11機器)、HomeRF(家庭用ラジオ周波数)機器、Wi-Fi(ワイヤレスフィディリティ)機器、GPRS(ジェネラルパケットラジオサービス)機器、3Gセルラー機器、2.5Gセルラー機器、GSM(登録商標)(グローバルシステムフォーモバイルコミュニケーションズ)機器、EDGE(GSM進化用機能強化データ(Enhanced Data for GSM Evolution)機器、TDMAタイプ(時分割多元接続)機器、又はCDMA2000を含むCDMAタイプ(符号分割多元接続)機器を含んでよいが、これらに限定されない。各ネットワーク機器は、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名又はIEEE MACアドレスを含むが、これらに限定されない様々なタイプのアドレスを含んでよい。
【0021】
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムで、PCSシステムで、及び他の携帯電話ネットワークシステムで検出される、方法及びプロトコルを含むこともできる。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)によって作成される標準通信プロトコルを含む。モバイルIPを用いて、モバイル機器ユーザは一度割り当てられた自分のIPアドレスを維持しながら、ネットワーク全体で移動できる。コメント要求(RFC)3344を参照されたい。RFCがインターネットエンジニアリングタスクフォース(IETF)の公文書であることに注意する。モバイルIPはインターネットプロトコル(IP)を機能強化し、それらの家庭用ネットワーク外部で接続するときにモバイル機器にインターネットトラフィックを転送するための手段を加える。モバイルIPは各モバイルノードに、その家庭用ネットワークでの家庭用アドレス、及びネットワークとそのサブネット内での機器の現在位置を特定する気付アドレス(CoA)を割り当てる。機器が別のネットワークに移動すると、それは新しい気付アドレスを受け取る。家庭用ネットワーク上のモビリティエージェントは、各家庭用アドレスをその気付アドレスと関連付けることができる。モバイルノードは家庭用エージェントに、例えばインターネット制御メッセージプロトコル(ICMP)を使用して、その気付アドレスを変更するたびに拘束力のある更新を送信できる。
【0022】
基本的なIPルーティング(つまり、モバイルIP外部)では、ルーティング機構は、各ネットワークノードが、例えばインターネットに常に一定の接続ポイントを有し、各ノードのIPアドレスがそれが接続されているネットワークリンクを特定するという仮定に依存する。本書では、専門用語「ノード」は、例えば再配分ポイント又はデータ伝送用のエンドポイント等を含むことができ、伝送を認識し、処理し、及び/又は他のノードに転送できる接続ポイントを含む。例えば、インターネットルータは、機器のネットワークを特定する、例えばIPアドレス接頭語等を見ることができる。その結果、ネットワークレベルで、ルータは特定のサブネットを特定するビットの集合等を見ることができる。次にルータはサブネットレベルで、特定の機器を識別するビットのセット等を見ることができる。典型的なモバイルIP通信を用いる場合、ユーザが例えばインターネットからモバイル機器を切断し、それを新しいサブネットで接続し直そうとすると、機器は新しいIPアドレス、適切なネットマスク、及びデフォルトルータで再構成されなければならない。それ以外の場合、ルーティングプロトコルはパケットを適切に配信できないと考えられる。
【0023】
(ハンドオフ及び変化するネットワーク接続ポイント)
ハンドオフとは、移動局がそのネットワーク接続ポイントをあるポイントから別のポイントに変化する行為であり、ネットワーク接続ポイントは、例えば基地局とIP(インターネットプロトコル)ルータを含むことがある。ハンドオフが、例えば基地局及びIPルータを接続する際の変化で発生すると、それは通常それぞれ第2層ハンドオフと第3層ハンドオフを含む。第2層ハンドオフ及び第3層ハンドオフはほぼ同時に発生する。任意のハンドオフの間、システムは移動局と新しいネットワーク接続ポイントの間で維持される状態を確立し直す。ハンドオフに関係するこれらの状態は、ハンドオフコンテキスト又は単に「コンテキスト」と呼ばれることもある。
【0024】
転送可能コンテキストと転送不可コンテキストの2種類のコンテキストがある。転送不可コンテキストはゼロから始めて、あるいは転送可能コンテキストを使用することによってのどちらかで確立される必要があるが、転送可能コンテキストは、旧接続ポイントと新接続ポイントの間で転送可能である。例示的な転送可能なコンテキストは、例えば、携帯電話に特定のグレードのサービスを提供するほど十分にネットワークリソースを割り当てるために使用される、携帯電話及びQoS(サービス品質)コンテキストを再認証するために使用される、例えば認証コンテキストを含むことがある。携帯電話の動的に割り当てられているIPアドレスは、例示的な転送不可コンテキストである。802.11i(例えば、以下に本書に組み込まれている参考文献#11を参照されたい)におけるTKIP(Temporal Key Integrity Protocol)及びCCMP(Counter mode with CBC-MAC Protocol)暗号鍵等の第2層及び第3層の暗号鍵、及び移動局とアクセスポイント(AP)又はルータの間で送信されるデータパケットを保護するために使用されるIPsecAH(認証ヘッダ)及びESP(Encapsulation Security Payload)暗号鍵(例えば、以下に本書に組み込まれている参考文献#15、#16、#17を参照されたい)は、それらの鍵は2つのエンティティの1組のMAC(Media Access control)又はIPアドレスに関連付けられており、それらの間の交渉に基づいて確立し直される必要があるため、他の例示的な転送不可コンテキストである。
【0025】
前述されたように参考のために、802.11は経路共用のためにイーサネット(登録商標)プロトコル及びCSMA/CA(carrier sense multiple access with collision avoidance:キャリア検知多重アクセス/衝突回避)を使用する、例えば同族802.11、802.11a、802.11b及び802.11gの中の仕様を含むIEEE(Institute of Electrical and Electronics Engineers)の作業グループによって開発される、無線ローカルエリアネットワーク(WLAN)のための一族の仕様である。例えば、以下に本書に組み込まれている参考文献#13を参照されたい。さらに、802.11iはWLANにおけるセキュリティのための、開発中のIEEE規格である。さらに、IPsec(インターネットプロトコルセキュリティ)は、ネットワークにおけるセキュリティのためのプロトコルのセット又はネットワーク通信のパケット処理層のためのフレームワークである。さらに、IPアドレスは例えば機器特定ハードウエアアドレスを含み、データリンク層媒体アクセス制御サブ層によって使用でき、更にIPアドレスは例えばインターネットを介してパケットで送られる情報の各送信機又は受信機を認識する例えば番号(例えば、インターネットプロトコル(IP)の最も幅広くインストールされているレベルの32ビット番号、IPv6の128ビット番号、クラスレスドメイン間経路指定(CIDR)ネットワークアドレス等)を含んでいる。
【0026】
ハンドオフの前又は後に、転送可能なコンテキストを一ネットワーク接続ポイントから別のネットワーク接続ポイントに転送すると、ハンドオフの遅延を削減できる。例えばIEEE802.11fプロトコル(つまり、802.11fは、アクセスポイント間の移動局に関連する情報等の、802.11アクセスポイントの間での情報の交換のためのAP間プロトコルである-以下に本書に組み込まれている参考文献#12を参照されたい)及びIP層コンテキスト転送プロトコル(例えば、以下に本書に組み込まれている参考文献#14を参照されたい)等の多くのプロトコルがこの目的に使用できる。他方、転送不可コンテキストのいくつかは平行して交渉されてよいが、転送不可コンテキストを再設定するための遅延は各コンテキストでの一連の交渉に渡って蓄積される。とりわけ、この遅延は問題となり得る。
【0027】
転送不可コンテキストを交渉するためのこの遅延が問題にならない可能性がある、2つのケースがある。第1のケースは、根本的な無線リンク層がCDMA(Code Division Multiple Access:符号分割多元接続)を使用するケースである。この第1のケースでは、移動局は、重複する無線カバレージ内の異なる基地局と通信するために同時に異なるCDMAコードを携帯電話が使用できる、いわゆるソフトハンドオフ機構を使用することにより、旧い基地局を介して依然として通信しながら新しい基地局との特定のコンテキストを確立できる。第2のケースは、移動局が複数のインタフェースを有し、ハンドオフが前記インタフェース全体で発生する場合である。この第2のケースでは、基本的にCDMAソフトハンドオフと同じ効果が、これらのインタフェースを同時に動作できるようにすることによって達成できる。
【0028】
転送不可コンテキストは、前記2つの方式のどちらも使用できない環境で最も問題がある。例えば、単一のIEEE802.11無線LANインタフェース付きの移動局は、CDMAソフトハンドオフ方式又はインタフェース切り替え方式を使用できない。
【0029】
この問題を鑑みて、IEEE802.11TGiは、アクセスポイント(AP)に対して認証され、アクセスポイントと関連付けられているIEEE802.11i局(STA)が、それがそれらと関連する前に、現在関連付けられているアクセスポイントを通して他のアクセスポイントとIEEE802.1X認証を実行できるようにしてある、事前認証と名付けられた新しい方式を開発している。IEEE802.11i事前認証は、802.11i暗号鍵も前記局と非関連APの間で確立できるようにする。
【0030】
しかしながら、IEEE802.1XはLANの中で動作するように定義されているため、IEEE802.11i事前認証の適用性は同じLANの中の移動局及びアクセスポイントに限られている。元の802.11i事前認証文書(例えば、以下に本書に組み込まれている参考文献#1を参照されたい)は、移動局が様々なLANでAPに事前認証できるように、IEEE802.11i事前認証をIP層上での動作に拡張するための詳細を述べていない。
【0031】
参考までに802.11iは802.11の中のいくつかの安全性の問題に対処する無線ネットワーキング規格であり、802.1Xは全体的なIEEE802.11WLANサポートの一部として開発されたWLAN規格のグループである(例えば、以下に本書に組み込まれている参考文献#1及び#10を参照されたい)。802.11の元では、他のアクセスポイントの存在はアクティブスキャニング又はパッシブスキャニングを通して検出できる。アクティブスキャニングでは移動局はAPからのプローブ応答を引き出すためにプローブフレームを送信するが、パッシブスキャニングでは、移動局は(例えばサービスセット識別子(SSID)及び他の鍵情報を含む)APからの無線標識信号がないかどうか走査する。さらに参考までに、802.11i事前認証は、アクセスを許可する前に認証を施行する認証者エンティティ、(アクセスポイント等の)認証者を介して利用可能なサービスへのアクセスを要求する(移動局等の)要求者機器、及び認証機能を実行し(つまり、要求者の信用証明書を調べ)、要求者が許可されるかどうかを特定するために認証者に応答する(例えば、遠隔認証ダイヤルインユーザサービスサーバ等の)認証サーバを必要とする。いくつかの実施形態では、認証者及び認証者サーバは一緒に配置できるが、それらは別々とすることもできる。
【0032】
種々のシステム及び方法が公知であるが、改善されたシステム及び方法に対するニーズは残る。好ましい実施形態は、参考文献の全体的な開示がそれぞれ参照して本書に組み込まれている、例えば以下の参考文献に説明されているシステム及び方法等を含む、前記及び/又は他のシステム及び方法に優る及び/又は超える、実質的な改善策を提供する。
【0033】
・参考文献#1:B.Aboba、「IEEE802.1X Pre-Authentication」、IEEE802.11-02/389r1、2002年6月
・参考文献#2:B.Aboba及びD.Simon、「PPP EAP TLS Authentication Protocol」、RFC2716、1999年10月
・参考文献#3:L. Blunk, J. B. Aboba, J. and H. Levkowetz, "Extensible Authentication Protocol (EAP), Internet-Draft, Work in progress (to obsolete RFC 2284)、2003年5月(例えば、2003年11月の文書も参照されたい。)
・参考文献#4:R.Droms及びW.Arbaugh、「Authentication for DHCP Messages」、RFC3118、2001年6月
・参考文献#5:R.Droms、「Dynamic Host Configuration Protocol」、RFC2131、1997年3月
・参考文献#6:P. Funk, S. Blake-Wilson,"EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", Internet-Draft, Work in progress、2002年11月(例えば、2003年8月の文書も参照されたい。)
・参考文献#7:D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", Internet- Draft, Work in progress,、2003年3月(例えば、2003年10月の文書も参照されたい。)
・参考文献#8:R.Glenn及びS.Kent、「The Null Encryption Algorithm and Its Use With IPsec」、RFC2410、1998年11月
・参考文献#9:D.Harkins及びD.Carrel、「The Internet Key Exchange(IKE)」、RFC2409、1998年11月
・参考文献#10:IEEE Standard for Local and Metropolitan Area Networks, "Port-Based Network Access Control"、IEEE規格802.1X-2001
・参考文献#11:Standard for Local and Metropolitan Area Networks, 'Wireless Medium Access Control (MAC) and physical layer (PHY) specifications: Medium Access Control (MAC) Security Enhancements, "、IEEE規格802.11i/D4.0、2003年5月(例えば、IEEE規格802.11i/D7.0、2003年10月の文書も参照されたい。)
・参考文献#12:IEEE Standard for Local and Metropolitan Area Networks, "Draft Recommended Practice for Multi-Vendor Access Point via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation,"IEEE P802.11F/D5、2003年1月
・参考文献#13:IEEE Standard for Local and Metropolitan Area Networks, "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications” , ANSI/IEEE規格802.11、1999年版、1999年
・参考文献#14:JJ. Loughney, M. Nakhjiri, C. Perkins and R. Koodli,"Context Transfer Protocol", Internet-Draft, Work in progress、2003年6月(例えば、2003年10月の文書も参照されたい。)
・参考文献#15:C. Kaufman,"Internet Key Exchange Protocol", Internet-Draft, Work in progress、2003年4月(例えば、2003年10月9日及び2004年1月の文書も参照されたい。)
・参考文献#16:S. Kent and R. Atkinson,"IP Authentication Header", RFC2402、1998年11月
・参考文献#17:S. Kent and R. Encapsulating Security (ESP) ", RFC2406、1998年11月
・参考文献#18:T. Kivinen, "DHCP over Internet-Draft, Work in progress", 2003年4月
・参考文献#20:M. Liebsch, A. Singh, H. Chaskar and D. Funato,"Candidate Access Router Discovery", Internet-Draft, work in Progress、2003年3月(例えば、2003年9月及び2003年11月の文書も参照されたい。)
・参考文献#21:A. Palekar, D. Simon, G. Zorn and S. Josefsson,"Protected EAP Protocol (PEAP)", Internet-Draft, Work in Progress、2003年3月(「Protected EAP Protocol(PEAP)/Version 2」、2003年10月も参照されたい。)
・参考文献#22:B. Patel, B. Aboba, S. Kelly and V. Gupta, "Dynamic Host Configuration Protocol (DHCPv4) Configuration of IPsec Tunnel Mode"、RFC3456、2003年1月
・参考文献#23:J. Puthenkulam, V. Lortz, A. Palekar and D. Simon,"The Compound Authentication Binding Problem", Internet-Draft, Work in Progress、インターネット草案、進行中の研究、2003年3月(例えば、2003年10月の文書も参照されたい。)
・参考文献#24:R. Seifert, "The Switch Book-The Complete Guide to LAN Switching Technology", Wiley Computer Publishing, ISBN 0-471-34586-5
・参考文献#25:Y. Sheffer, H. Krawczyk and B. Aboba,"PIC, A Pre-IKE Credential Provisioning Protocol", Internet-Draft, Work in progress,2002年10月
・参考文献#26:H. Tschofenig, A. Yegin and D. Forsburg,"Bootstrapping RFC3118 Delayed Authentication using PANA", Internet-Draft,、インターネット草案、2003年6月(例えば、2003年10月の文書も参照されたい。)
・参考文献#27:M. Kulkarni, A Patel and K. Leung,"Mobile Dynamic Home Agent Assignment", IETF Internet-Draft、2004年1月8日
【発明の概要】
【発明が解決しようとする課題】
【0034】
本発明の好ましい実施形態は、既存の方法及び/又は装置を大幅に改良することができる。
【課題を解決するための手段】
【0035】
いくつかの例示的な実施形態では、例えば、IPネットワーク又はサブネットワーク全体で動作するように(例えばIEEE802.1X事前認証のような)事前認証の概念を拡張できる、新規のシステム及び方法が提供される。いくつかの好ましい実施形態では、新規のアーキテクチャは、例えば上位層ハンドオフ性能を大幅に改善できる2つの新しい仕組みの1つ又は両方を含む。第1の仕組みは、モバイル機器がハンドオフの前に候補IPサブネット内で有効な上位層情報を事前に設定できるようにする「事前設定」と呼ばれている。第2の仕組みは、携帯電話が、それが実際に候補IPサブネット(複数の場合がある)に対してハンドオフを実行する以前にも、候補IPサブネット(複数の場合がある)を通してパケットを送信又は受信できるようにする「仮想ソフトハンドオフ」と呼ばれている。
【0036】
いくつかの実施形態に従って、移動局が現在のIPサブネットとの通信のために構成されている一方で、新しい候補IPサブネットワークのための上位層情報で移動局を事前に設定することを含む方法が提供されている。好ましくは、方法は、ハンドオフがその新しいIPサブネットワークに対して実行される前に、候補IPサブネットワークを通してパケットを送信する又は受信する移動局をさらに含む。
【0037】
いくつかの他の実施形態に従って、現在のサブネットワーク内のアクセスポイントと分離する前に新しいサブネットワーク内のアクセスポイント上で作業する単一の無線インタフェースを有する移動局について事前認証を取得することを含む、現在の及び新しいサブネットワークのアクセスポイント間での移動局のハンドオフでの中断を最小限に抑えるための方法が提供される。いくつかの実施形態では、この方法はさらに事前認証をIP層で伝搬することをさらに含む。
【0038】
さらにいくつかの他の実施形態に従って、移動局が現在のサブネットワークにあるときに新しいサブネットワーク内のアクセスポイントのIPアドレスを決定すること、及び現在のサブネットワークと新しいサブネットワーク上で作業するために移動局のための事前認証を取得することとを含む方法が提供される。いくつかの実施形態では、複数の新候補サブネットワークがある。好ましくは、移動局は、それが将来移動する又は移動しない可能性があるネットワーク内の、1つ以上のネットワークエンティティと事前認証(例えば、L2認証と上位層認証の両方)を実行できる。いくつかの実施形態では、方法は、前記決定が、IPアドレスの動的決定を含むことを含む。いくつかの実施形態では、方法は前記動的決定がアクセスポイントビーコンを有することを含むか、あるいはプローブ応答がIPアドレスを含むことを含む。いくつかの実施形態では、方法は、前記決定が前記IPアドレスの静的決定を含むことを含む。いくつかの実施形態では、新サブネットワーク内の前記アクセスポイントは上位層事前認証をサポートせず、プロキシエージェントを介して前記移動局と通信し、いくつかの実施形態では、新サブネットのアクセスポイントは上位層事前認証を支援し、移動局と通信する。好ましい実施のいくつかでは、新サブネットワーク内のアクセスポイントは、802.1Xフレームを搬送する上位層プロトコルを使用することによって移動遠隔極と通信する。
【0039】
さらにいくつかの他の実施形態に従って、上位層事前認証に基づいたハンドオフの前に上位層コンテキストを事前に確立することによって、移動局のハンドオフ遅延を削減することを含む方法が提供される。好ましくは、上位層コンテキストはクライアントネットワークアドレス(例えばクライアントIPアドレス)等を含む。いくつかの実施形態では、方法は、上位層コンテキストを事前に確立するために使用されるメッセージを確保することをさらに含む。いくつかの実施形態では、方法は、上位層事前設定メッセージを保護するための暗号鍵を引き出すための上位層認証プロトコルを使用することをさらに含む。いくつかの実施形態では、方法はIP上で802.1X事前認証と802.1Xを使用することにより、第2層事前設定を実行することをさらに含む。いくつかの実施形態では、方法は、複数の上位層コンテキストを事前に確立するための単一の上位層認証プロトコルを使用することをさらに含む。いくつかの実施形態では、方法は、複数の上位層コンテキストを事前に確立するためにIKE又はIKEv2を使用することをさらに含む。いくつかの実施形態では、方法は、複数の上位層コンテキストを事前に確立するためにPANAとIKE又はIKEv2を使用することをさらに含む。いくつかの実施形態では、方法は、移動局の事前に設定されたIPアドレスのためのトラフィックを、現在接続されているサブネットワークにリダイレクトするために、新サブネットワークで移動局とアクセスポイントの間にIPsecトンネルを確立することをさらに含む。
【0040】
さらにいくつかの他の実施形態に従って、ハンドオフの前に移動局のために上位層コンテキストを事前に確立することと、事前に確立されるIPアドレスから発生する、又は事前に確立されるIPアドレスに向けられるトラフィックを、新アクセスネットワークに安全にリダイレクトすることを含む、割り込みが最小で、安全性が維持されている様々なアクセスネットワーク内のアクセスポイント間で移動局のハンドオフを実行するための方法が提供される。いくつかの実施形態では、方法は新アクセスネットワーク内で移動局とアクセスルータの間でIPsecトンネルを確立することをさらに含み、IPsecトンネル内側アドレスは事前に確立されたIPアドレスに結び付けられている。いくつかの実施形態では、方法は、新アクセスネットワークの中のアクセスルータが、クライアント機器が家庭用アドレスとしてその事前に確立されたIPアドレスを登録する一時的な家庭用エージェントとして使用され、IPアドレスは気付アドレスとして物理的に接続されているネットワーク内で割り当てられることを、さらに含む。
【0041】
さらにいくつかの実施形態に従って、上位層ハンドオフの、アクセスネットワーク間での移動局の下位層ハンドオフに対するタイミング依存性を削減する又は排除するために、上位層事前認証、事前設定、及びデータトラフィックリダイレクトを実行することを含む、方法が提供される。多様な実施形態に従って、ハンドオフは移動IPハンドオフ、VPNハンドオフ、OSIネットワーク層ハンドオフ等である。いくつかの実施形態では、方法は、下位層ハンドオフより早期に上位層ハンドオフを開始することをさらに含む。
【0042】
いくつかの実施形態では、方法は下位層ハンドオフ前に上位層ハンドオフを完全に完了することをさらに含む。
【0043】
いくつかの他の実施形態に従って、モバイル機器がハンドオフの前にアクセスポイントの新しいものからパケットを送信し、受信することができるようにすることによって通信中断を最小限に抑えるために、近接ネットワーク又はサブネットワーク内のアクセスポイント間でモバイル機器の仮想ソフトハンドオフを実行することを含む方法が、提供される。いくつかの実施形態では、方法は、下位層ハンドオフの前に上位層ハンドオフを完全に実行することをさらに含む。いくつかの実施形態では、方法はさらに下位層CDMAソフトハンドオフを使用して通信中断をさらに削減することを含む。いくつかの実施形態では、方法は、事前認証及び事前設定が第2層ハンドオフを開始する前に完了できるように、上位層による第2層ハンドオフタイミングを制御することをさらに含む。いくつかの実施形態では、方法は仮想ハンドオフの間のトラフィックリダイレクトのためにIPsecトンネルを使用することをさらに含み、前記IPsecトンネルのための機器の外部IPアドレスと内部IPアドレスはそれぞれ、現在のサブネットの気付アドレスと新サブネットの気付アドレスである。いくつかの実施形態では、方法はIPsecトンネルを全てのトラフィックに使用することをさらに含む。
【0044】
さらにいくつかの他の実施形態に従って、a)トランシーバ、及びb)ノードが異なるネットワーク又はサブネットワークにある間に、移動通信ネットワークノードと別の移動通信ネットワークノードの間の上位層事前認証のために異なるネットワーク又はサブネットワーク内の別の移動通信ネットワークノードへ、又は別の移動通信ネットワークノードからネットワークアドレスを送信する又は受信するための手段を含む、移動通信ネットワークノードが提供される。他の実施形態では移動通信ネットワークノードはアクセスポイントであるが、いくつかの実施形態では、移動通信ネットワークノードはモバイルノードである。いくつかの実施形態では、ノードは、ノードが異なるネットワーク又はサブネットワークにある間に、さらに他の移動通信ネットワークノードとの安全性関連のために上位層コンテキストを記憶するための手段をさらに備える。いくつかの実施形態では、ノードは、ノードが異なるネットワーク又はサブネットワークにある間に、他の移動通信ネットワークノードとの安全性関連のために上位層コンテキストを確立するための手段をさらに含む。いくつかの実施形態では、ノードは、ノードの内の移動性の一方がハンドオフの前にノードの他方へのトラフィックを送信又は受信できるようにすることによって、様々なネットワーク又はサブネットワークの間で仮想ソフトハンドオフを実行するための手段をさらに含む。
【0045】
多様な実施形態の前記及び/又は他の態様、特徴及び/又は利点は、添付図と関連して以下の説明を鑑みてさらに理解されるであろう。多様な実施形態は、該当する場合は異なる態様、特徴、及び/又は利点を包含及び/又は排除できる。さらに、多様な実施形態は、該当する場合は他の実施形態の1つ以上の態様又は特徴を結合できる。特定の実施形態の態様、特徴及び/又は利点の説明は、他の実施形態又は請求項を制限すると解釈されるべきではない。
【0046】
本発明の好ましい実施形態は、添付図面の中に、限定的ではなく例証として示されている。
【図面の簡単な説明】
【0047】
図1】IEEE802.11i事前認証の例示的なシーケンスを示す概略図である。
図2A】中間プロキシエージェントの使用を立証する図である。
図2B】上位層事前認証をサポートするアクセスポイントの使用を立証する図である。
図3】PANA及びIKEの組み合わせを使用して上位層事前設定の例を示す概略フロー図であり、PANAと元のIKEの組み合わせを示す図である。
図4】PANA及びIKEの組み合わせを使用して上位層事前設定の例を示す概略フロー図であり、構成サーバがアクセスルータ内で同じ場所に配置されると仮定される例示的な条件下でのPANAとIKEv2の組み合わせを示す図である。
図5】いくつかの例示的且つ非制限的な実施形態に従って、上位層ソフトハンドオフが使用されないとき(上部タイムラインを参照されたい)と、上位層ソフトハンドオフが使用されるとき(下位タイムラインを参照されたい)の概略比較時間シーケンスを示す図である。
図6】モバイルクライアント機器が仮想ソフトハンドオフの間にトラフィックリダイレクトのためにIPsecトンネルを使用する、第1の例示的なケースを立証する概略フロー図である。
図7】仮想ソフトハンドオフが実質的に全て又は全てのトラフィックのためにIPsecトンネルを使用する、第2の例示的なケースを立証する概略フロー図である。
図8A】仮想ソフトハンドオフを利用するVPNハンドオフの例示的なシーケンスを立証する例示的な例を示す図である。
図8B】仮想ソフトハンドオフを利用するVPNハンドオフの例示的なシーケンスを立証する例示的な例を示す図である。
図8C】仮想ソフトハンドオフを利用するVPNハンドオフの例示的なシーケンスを立証する例示的な例を示す図である。
図8D】仮想ソフトハンドオフを利用するVPNハンドオフの例示的なシーケンスを立証する例示的な例を示す図である。
図8E】仮想ソフトハンドオフを利用するVPNハンドオフの例示的なシーケンスを立証する例示的な例を示す図である。
図9】そのIPsecマーキングと、及びその新しいIPヘッダとともに、例示的な元のパケットと新しいIPsecトンネルパケットを示す。
図10A】本発明の仮想ソフトハンドオフ及び/又は他の原則が、モバイルノードがその家庭用ネットワークから外部ネットワークに移動し、前記外部ネットワークの新しいCoAを得るときに利用できる、例示的なモバイルIP環境を示す図である。
図10B】仮想ソフトハンドオフ及び/又は本発明の他の原則が、クライアントが外部ネットワークに移動し、新しいCoAを得るときに利用できる、例示的なセッション開始プロトコル(SIP)ボイスオーバーIP(VOIP)環境を示す図である。
【発明を実施するための形態】
【0048】
本発明は多くの異なる形式で具現化されてよいが、本開示が本発明の原則の例を提供するとして見なされるべきであり、このような例は本発明をここに説明されている及び/又はここに図解されている好ましい実施形態に制限することを目的としていないという理解で、数多くの例示的な実施形態がここで説明されている。一例として、802.11i及び/又は他の環境の中で実現される例示的な実施形態がここで説明されているが、本発明の態様はこの開示に基づいて理解されるように種々の他の環境の中で実現できる。
【0049】
(IEEE802.11i事前認証)
図1は、IEEE802.11i事前認証の例示的なシーケンスを示している。図1は、移動局がすでに802.11i認証を実行し、第1のアクセスポイントAP1と関連していると仮定している。
【0050】
図1の(1)に示されているように、移動局はビーコンを受信することにより新しいアクセスポイントを検出する。その際、移動局(STA)は第2のアクセスポイントAP2の無線カバレージに入り、AP2からビーコンフレームを受信し、それはAP2に対して事前認証することを希望し、それはAP1にEAPOL-Start(LAN上拡張認証プロトコル[EAP])をAP1に送信することができ、宛先MACアドレスとしてビーコンフレームに含まれているAP2のMACアドレスを指定する。参考までに、ビーコンフレームにより局は無線LAN上で通信を確立、維持できる。一例として、共通ビーコンフレームは約50バイトの長さである場合がある。ビーコンフレームの約半分は、例えば、共通フレームヘッダ及びサイクリックリダンダンシーチェッキング(CRC)フィールドを含むことがある。他のフレームと同様に、ヘッダはソースMACアドレスと宛先MACアドレス、及び通信プロセスに関する他の情報も含むことができる。ビーコンフレーム本体の残りの約半分は、例えばヘッダとCRCフィールドの間に常駐し、例えばフレーム本体内で次の情報を伝搬できる。つまり(例えばビーコン伝送の間の時間量を表す)ビーコン間隔、(例えばAPと関連付けられている局の間の同期を可能にする)タイムスタンプ、(例えば特定の無線LANを識別する)サービスセット識別子(SSID)、サポートレート(例えば、特定の無線LANがサポートするレート)、パラメータセット(例えば、特定の信号伝達方法に関する情報等)、(例えば、無線LANに属することを希望する局の要件を特定する)機能情報、及び/又はトラフィック表示マップ(TIM)である。
【0051】
図1の(2)に示されているように、(EAPを伝搬する)802.1Xフレームは、現在のアクセスポイントAP1を通して、移動局と新しいアクセスポイントAP2の間で交換される。その際、現在のアクセスポイントAP1は、例えばバックエンド有線LANを通して、EAPOL-Startフレームを新しいアクセスポイントAP2に転送する。それから、新しいアクセスポイントAP2は、次にEAPOL-Startフレームを受信し、以後の802.1Xフレームは、現在のアクセスポイントAP1を通して新しいアクセスポイントAP2と移動局(STA)の間で交換される。
【0052】
図1の(3)に示されているように、移動局は、ハンドオフの間に、例えば第1のサブネットワーク等から第2のサブネットワーク等に移動できる。
【0053】
図1の(4)に示されているように、移動局が新しいアクセスポイントと関連すると、それは前述された(2)で確立された暗号鍵を使用することによって保護関連を実行できる。その際、事前認証が成功した結果、802.11i暗号鍵もAP2と携帯電話の間で確立される。802.11f又はIAPP(アクセスポイント間プロトコル)がAP1とAP2の間で使用されない限り(例えば、前記でここに組み込まれている参考文献#12を参照されたい)、AP2は、AP1を通して初期の認証の間に行われたのと同じように移動局を認証するために、認証つまりAAAサーバ(注意:AAAサーバは、コンピュータリソースへのアクセスのためのユーザ要求を処理し、認証、許可又はアカウンティング(AAA)サービスを提供するサーバプログラムを含むことがあり、機器又はアプリケーションは、例えばRADIUSクライアント/サーバプロトコル及びソフトウェアを使用してAAAサーバと通信してよい)に連絡する必要がある。しかしながら、EAP(拡張認証プロトコル-例えば、前記で本書に組み込まれている参考文献#3を参照されたい)で使用される認証方法が、PEAP(保護EAP-例えば、前記で本書に組み込まれている参考文献#21を参照されたい)、EAP-TLS(EAPトランスポート層セキュリティ-例えば、前記で本書に組み込まれている参考文献#2を参照されたい)、及びEAP-TTLS(EAPトンネル化TLS-例えば、前記で本書に組み込まれている参考文献#6を参照されたい)によってサポートされるように、高速再接続又はセッション再開をサポートする場合、再認証は初期認証より早くなる可能性がある。
【0054】
IEEE802.1XはLANの中で動作するように設計されているので、IEEE802.1X事前認証の適用は-それが後述される実施形態に従って上位層で動作するために拡張されない限り-サブネット内部のハンドオフに制限されている。これは、例えば、ネットワークがセキュリティを改善するため、あるいは放送トラフィックを削減するために、部門又は課の境界に基づいて複数のVLAN(仮想LAN)の中に区分化される可能性がある大企業では、重大な制限である。移動局が例えば複数のVLANの中で移動すると仮定される場合、サブネット間事前認証とサブネット内事前認証の両方をサポートすることは非常に有利である可能性がある。
【0055】
(上位層事前認証に関連する問題点)
本発明の多様な実施形態で考えられる多様な利点を取得するようにそれを拡張することは言うまでもなく、サブネット間事前認証をサポートするためにIEEE802.11i事前認証を拡張することは簡単ではない。例えば、IPデータグラムに802.1Xフレームを単にカプセル化することはできない(注意:データグラム、つまりパケットは、インターネットプロトコルが処理し、ネットワークが運ぶメッセージの単位である)。本発明のいくつかの好ましい実施形態では、多くの追加の問題点は、例えば以下を含む好ましい実施形態の態様を達成する際に克服される。
【0056】
・APのIPアドレス決定能力:移動局と同じLAN上にあるかもまたはないかもしれないAPを移動局が検出すると、それはAPが同じLAN上にあるかどうかを知る必要がある。そして、APが同じLAN上になければ、それは上位層のプロトコルを用いて通信するためにAPのIPアドレスを知る必要がある。
【0057】
・上位層の事前認証支援能力:上位層の事前認証を支援しないAPに対して支援が必要となることがある。その際、いくつかのAPは802.11i事前認証を支援するかもしれないが、上位層事前認証を支援しないかもしれない。このようなAPは、事前認証されている移動局が同じLAN上にあると仮定している。このようなAPが上位層事前認証から恩恵を受けることができるようにする必要があるかもしれない。
【0058】
・IPを介してメッセージを搬送する能力:EAPは規則正しい配信を提供するためにそのトランスポートプロトコルを必要とする。例えば、上文で組み込まれている参考文献#3を参照されたい。IEEE802LANスイッチは順序付けを普遍に維持することを必要とされるため、その際、IEEE802.1Xは、EAPの規則正しい配信要件を満たす。例えば、上文で組み込まれている参考文献#24を参照されたい。他方、EAPメッセージが上位層で伝搬されるとき、IP層は順序付けを不変に維持しないため、IP層上で定義されるEAPトランスポートプロトコルは規則正しい配信を実現しなければならない。
【0059】
・上位層コンテキスト事前確立能力:サブネット間ハンドオフを実行するために、移動局は第2層コンテキストを確立し直す必要があるだけではなく、移動局は、パケット保護あたりのIP層が使用されると、携帯電話と例えばアクセスルータ(AR)(複数の場合がある)の間の例えばIP気付アドレスとIPsecセキュリティ結合(SA)等を含む上位層コンテキストを確立し直す必要がある。これらの上位層コンテキストは第2層コンテキストより確立に時間を要する可能性が高い。したがって、ハンドオフ遅延及びその結果として生じるデータ損失を削減するために、ハンドオフの前にこれらのコンテキストを事前に確立させておくことが役立つ場合がある。上位層コンテキストはIEEE802.1Xを使用することによって確立されないので、それらを事前に確立するために追加の機構が上位層で定義される必要がある。
【0060】
・なおさらに性能の躍進を達成するための能力:上位層事前認証を使用することによって上位層コンテキストを事前に確立する能力は、ハンドオフ遅延及び結果として生じるデータ損失を削減するのに役立つ。しかしながら、本発明者は、移動局が、第2層ハンドオフを実行する前でも、現在のコンテキストだけではなく、事前に確立されたコンテキストにも基づいて上位層パケットを送信及び/又は受信できる場合に、なおさらに性能の改善が達成できることに気づいた。
【0061】
とりわけ前記問題点に関連する詳細な解決策は、以下の項に述べられている。
【0062】
(APのIPアドレスの分解)
前述されたように、上位層事前認証は複数のLAN全体で機能する必要があるので、移動局は異なるLANのアクセスポイントと通信できる必要がある。したがって、IPアドレスとAPのMACアドレスの間でマッピングを決定する必要がある。後述されるように、いくつかのケースでは、IPアドレスはプロキシエージェントのアドレスであってよい。AP決定のための2つの好ましい手法、つまり事前に設定される決定(例えば静的決定)と動的決定がある。静的決定では、移動局は、例えばそれがそれらのAPからビーコンフレームを受信する前に、それぞれの近傍のAPのIPアドレスとMACアドレスの組のリストを取得できる。動的決定では、APのためのマッピングは、例えば移動局がAPからビーコンフレーム等を受信すると決定できる。いくつかの実施形態では、両方の手法を結合できる。利用できる数多くの例示的な方法が以下に一覧表示される。
【0063】
・いくつかの実施形態では、802.11仕様は、ビーコンフレーム(又はプローブ応答等)がAPのMACアドレスのためのIPアドレスを含むことができるように拡張されてよい。前記に従って、これは動的決定と分類できる。
【0064】
・いくつかの実施形態では、IETF Seamoby WG(作業グループ)のCARD(候補アクセスルータ発見(Candidate Access Router Discovery))機構は、この目的のために使用できる。例えば、前記で本書に組み込まれているM.Liebsch、A.Singh、H.Chaskar及びD.Funato、「Candidate Access Router Discovery」、Internet-Draft, Work in progress、2003年3月を参照されたい。前記に従って、これは動的決定と分類できる。
【0065】
・いくつかの実施形態では、隣接APごとにMACアドレスとIPアドレスの組のリストを搬送する新しいオプションの付いたDHCP(動的ホスト構成プロトコル)が、この目的のために使用できる。例えば、上文で組み込まれているR.Droms「Dynamic Host Configuration Protocol」、RFC2131、1997年3月を参照されたい。前記に従って、これは静的決定と分類できる。
【0066】
・いくつかの実施形態では、EAP-TLV(EAPタイプ長値)方法が、所望の決定目的のために隣接APごとのMACアドレスとIPアドレスの組のリストを搬送するために使用できる。例えば、上文で組み込まれている参考文献#21を参照されたい。このEAP方法は、通常PEAP(同文献を参照されたい)等のトンネル化EAP方法で搬送され、リストは所望の決定目的のために、バックエンド認証サーバのトンネル化エンドポイントから送信される必要がある場合がある。前記に従って、この方法は静的決定と分類できる。
【0067】
・いくつかの実施形態では、PANAプロトコルは、認証結果をモバイルクライアントに知らせるために使用されるメッセージ(つまりPANA-バインド要求)で新しいAVP(属性-値組)を追加することによって、この目的のために使用できる。
【0068】
・いくつかの実施形態では、IEEE802.1X、PPP(ポイントツーポイントプロトコル)及び/又は他のリンク層認証プロトコルがこの目的のために使用できる。
【0069】
最も好ましい実施形態では、アクセスポイント決定は、異なる管理ドメインでのアクセスポイントのMACアドレスとIPアドレス間のマッピングを決定するために機能する必要がある。このようなマルチドメインシナリオを検討する際には、前記に示された第1の手法は、このようなドメイン間ハンドオフシナリオに特によく機能する。しかしながら、モバイルノードが、それが前記の手法又は他の類似した手法で新しいネットワークに接続するときに各アクセスポイントのIPアドレスとMACアドレスを記憶する場合には、他の手法は依然として有効である。これらの手法は、後述される構成サーバのIPアドレスを定義するためにも有効な場合がある。
【0070】
APのIPアドレスを決定する問題に加えて、a)APと同じ位置に配置される、あるいはAPの後ろに位置する(つまりPANA認証エージェントは上位層事前認識に使用されてよい)PANA認証エージェントのIPアドレス、b)APのIP接頭語(つまり、APのIPアドレスは、APがクライアントと同じネットワークに属するかどうかをクライアントが理解するほど十分ではない可能性がある)、及び/又はc)APのドメイン名を決定するという類似した問題点もある。
【0071】
このような類似した問題に対処するために、APのIPアドレスに加えて、APが属するサブネットワーク(複数の場合がある)の1つ以上のIP接頭語、APと同じサブネットワーク(複数の場合がある)と同じ位置に配置される、又は同じサブネットワーク(複数の場合がある)内で接続される、PANA認証エージェント(複数の場合がある)の1つ以上のIPアドレス、APのドメイン名、及び/又は上位層事前認証、上位層コンテキストの事前設定、及び/又は仮想ソフトハンドオフを実行するために必要とされる任意の他の情報も、APのIPアドレスとともに決定されてもよい。
【0072】
(IEEE802.1Xプロキシ)
前記に示されたように、いくつかのアクセスポイントは802.11i事前認証を支援する可能性があるが、上位層事前認証を支援しないことがある。図2Aに示されているように、いくつかの実施形態では、上位層事前認証を支援しないアクセスポイントは、アクセスポイントと遠隔移動局の間で802.1Xメッセージを転送するプロキシエージェントを導入することによって、遠隔LANの中の移動局STAとIEEE802.1Xフレームを通信させることができる。一例として、プロキシエージェントは、媒介として機能するプロキシサーバを含むことができる。いくつかの例では、このようなプロキシエージェントはIEEE802.1Xプロキシと呼ぶことがある。動作中、IEEE802.1Xプロキシとアクセスポイントの間のIEEE802.1Xフレーム転送は、IEEE802MAC機構だけに基づいているので、プロキシは、IEEE802.11i事前認証が変更せずに動作できるようにそれ自体のMACアドレスの代わりに遠隔移動局のMACアドレスを使用する。プロキシと移動局の間のIEEE802.1Xフレーム転送は、次の副項で説明されている上位層転送機構に基づくことができる。プロキシは移動局から受信されるMAC層フレームのヘッダ内で遠隔移動局のMACアドレスを見ないので、MACアドレスは好ましくは上位層パケットのペイロードで伝搬される。
【0073】
他方、図2Bに示されているように、アクセスポイントが上位層事前認証をサポートする場合、IEEE802.1Xプロキシは必要とされない。このようなケースでは、このようなAPは、802.1Xフレームを伝搬する上位層プロトコルを使用することによって遠隔移動局(STA)と直接的に通信できる。
【0074】
図2A及び図2Bは、2つの例示的な方法を示し、図2Aは仲介プロキシエージェントの使用を立証し、図2Bは上位層事前認証を支援するアクセスポイントの使用を立証する。したがって、これらの実施形態の例示的な実施では、移動局はプロキシエージェント又はAPのどちらかのIPアドレスを単に知る必要がある。
【0075】
(IP上のIEEE802.1X)
前述されたように、IEEE802.1Xフレームは、順序の不変性が維持される必要があるEAP(拡張認証プロトコル)メッセージを搬送するので、IP上でIEEE802.1Xフレームを単に搬送することはEAPトランスポート要件を満たさない。したがって、IP層の上で802.1Xフレームを搬送するために、以下に一覧表示される手法の内の1つ以上、あるいは他の適切な方法を利用できる。
【0076】
・いくつかの実施形態では、PANA(ネットワークアクセスのための認証を搬送するためのプロトコル)は、UDP(ユーザデータグラムプロトコル)上でEAPメッセージを搬送するために使用できる。例えば、上文で組み込まれている、D.Forsberg、Y.Ohba、B.Patil、H.Tschofenig及びA.Yegin、「Protocol for Carrying Authentication for Network Access(PANA)」、Internet-Draft, Work in progress、2003年3月を参照されたい。PANAは生来EAPメッセージを伝搬するように設計されているので、それは順序を不変に維持するための機構を有する。
【0077】
・いくつかの実施形態では、UDP上でも定義されているIKEv2(インターネットキー交換、2版)が、IKEセキュリティ結合を確立するための多様な認証方法を支援するために、EAPメッセージを搬送することを支援する。IKEv2は、IKEv2が確実なメッセージ配信機構を定義するため規則正しい配信要件を満たす。
【0078】
・いくつかの実施形態では、新しいプロトコルは、例えばTCP等の信頼できるトランスポート上で802.1Xフレームを伝搬するために定義できる。
【0079】
いくつかの好ましい実施形態では、後者の手法(つまり新しいプロトコルを定義すること)は、EAPメッセージ順序を保全しつつIEEE802.1Xフレームを搬送するに過ぎないという要件を考えると、他の2つの手法は機能的に冗長である可能性があるため、要求にさらに適切である場合がある。
【0080】
(上位層コンテキストの事前確立)
事前認証の1つの目的は、クライアント機器に、それがターゲットネットワークへのハンドオフを実行する前に、ターゲットアクセスネットワークのために使用されるコンテキストを事前に確立する手段を提供することを含む。上記のいくつかの好ましい実施形態に従って、事前に確立されるコンテキストは、下位層コンテキストだけではなく、例えばデータ暗号化鍵、802.11i暗号鍵等の、第2層コンテキスト等の下位層コンテキストと、例えばクライアントIPアドレス、IP接頭語、サブネットマスク、ルータアドレス、DNS(ドメイン名システム)サーバアドレス、IPsec暗号(IPsecがアクセスネットワークでデータパケット保護に使用される場合)等のような上位層コンテキストの両方も含む。とりわけ、上位層コンテキストのこの新規の事前確立により、詳しく後述されるようなかなりの利点が可能になる。これらのコンテキストは、移動局等の中に(例えば一時的に)、例えば電磁記憶装置、RAM、キャッシュメモリ等に記憶できる。
【0081】
本記述では、コンテキストの事前確立は、「事前設定」とも呼ばれることがある。第2層事前認証は、例えば802.1X事前認証及びIP上の802.1Xを使用することによって実行できるが、上位層事前設定には仕組みが定義される必要がある。他方、上位層事前設定に使用される信号メッセージは、未許可のクライアントが例えば事前設定を実行しないよう、あるいは事前設定メッセージ交換でDoS(サービス妨害)攻撃をしないように、クライアント機器と構成サーバの間で保護される必要がある。ローミング環境ではクライアントと構成サーバの間に過去に設定されたSA(セキュリティ結合)がない可能性があるため、上位層事前設定のために信号経路を守るためのSAは好ましくは、802.1X認証が成功した結果として、移動局とアクセスポイントの間に確立されるセッション鍵から802.11i暗号鍵を引き出すために使用されるのと同様に動的に引き出される。しかしながら、IKEv2はIKEv2サーバを動的に検出するためにクライアントを提供しない。
【0082】
クライアントIPv6アドレス及びIPv6接頭語はCARD(例えば、上文で組み込まれている参考文献#20を参照されたい。)を使用して事前に確立できるが、好ましい手法は、これらのコンテキストの実質的に全て又は全てを事前に確立するために使用できる単一のプロトコルを使用することによって、コンテキストを事前に確立することを含む。その際、IKE又はIKEv2は、それが別のネットワークに接続されている間にクライアント機器の安全な遠隔構成をサポートする例示的なプロトコルとして使用できる。例えば、上文で組み込まれている参考文献#9を参照されたい。IKEに関しては、IKEの拡張版が、クライアントホストとDHCPエージェントの間で、遠隔IPsecゲートウェイで同じ位置に配置されるDHCP(動的ホスト構成プロトコル)メッセージを搬送するために使用される、標準的な機構を定義する。例えば、上文で組み込まれている参考文献#22を参照されたい。IKEv2に関しては、IKEv2はデフォルトにより構成機構を有し、IKEv2メッセージの中でDHCPメッセージを伝搬するための拡張を可能にする。例えば、上文で組み込まれている参考文献#18を参照されたい。IKEはエンティティ認証を支援しているが、それは通信ピアが、相互認証を命じる、事前に共用されている秘密証明書又はデジタル証明書のどちらかを有していると仮定している。したがって、IKEはローミング環境には望ましくない。他方、IKEv2はローミングクライアントのための認証を支援するために、第1のCHILD_SA交換(以下を参照)の間にオプションでEAPメッセージを伝搬することによってより柔軟な認証を支援する。しかしながら、これは、つまり1回はIKE_SA(以下を参照)を確立するため、もう1回は暗号鍵バインディングの問題に対処するためにEAPマスタセッション鍵を確立するための少なくとも2回、公開鍵をベースにした重量鍵交換を必要とすると考えられる。例えば、上文で組み込まれている参考文献#23を参照されたい。
【0083】
参考までに、IPsec(IPセキュリティ)は、例えば機密性、データ完全性、アクセス制御及びデータソース認証を、IPデータグラムに提供できる。これらのサービスは、IPデータグラムのソース(例えばデータ伝送送信者)とシンク(例えばデータ伝送受信者)の間で共用される状態を維持することによって提供される。この状態は、とりわけ、サービスを提供するために暗号アルゴリズムが使用され、鍵が暗号アルゴリズムへの入力として使用される、データグラムに提供される特定のサービスを定義する。例えば、参考文献#15を参照されたい。IPsecの基本的な考え方は、送信する前にパケットにマークを付け、受信時に前記マークを使用することである。IPsecマーキングプロセスは、保護されるパケットにいくつかのフィールドが追加されることを必要とする。説明のため、図9は、そのIPsecマーキングと、その新しいIPヘッダとともに、例示的なオリジナルパケットと新しいIPsecトンネルパケットを示している。IPsecでは、2つの関係者が、使用されるアルゴリズム及び鍵に関するパラメータに合意する、セキュリティ結合(SA)と呼ばれる論理的な関係に入る。インターネット鍵交換(IKE)プロトコルはこの共用される状態を動的に確立できる。前記に示されたように現在では、IKE及びIKEv2という、IKEの2つのバージョンがある。IKEは2つの関係者の間で相互認証を実行し、ESPのためのセキュリティ結合(カプセル化セキュリティペイロード)(例えばRFC2406を参照されたい)、及び/又はAH(認証ヘッダ)(例えばRFC2402を参照されたい)を効率的に確立するために使用できる共用秘密情報、及びSAを保護するために使用される暗号アルゴリズムのセットを含む、IKEセキュリティ結合を確立する。開始プログラムは、種々なものを組み合わせてセットに結合できるサポートされているアルゴリズムを一覧表示することによって、1つ以上のセット(つまり、SAを保護するために使用されるアルゴリズムの完全なセット)を提案できる。
【0084】
さらに参考までに、IKEv2は「IKE_SA」と呼ばれるセキュリティ結合を作成する。そのIKE_SAを通してセットアップされることになるESP及び/又はAHの安全な結合は「CHILD_SA」と呼ばれる。例えば、参考文献#15を参照されたい。IKE通信は1組のメッセージ、つまり要求と応答を含む。前記組は「交換」と呼ばれる。IKEメッセージフローは応答が後に続く要求を含む。信頼性を保証することは依頼人の責任である。応答がタイムアウト間隔内に受信されない場合、依頼人は要求を再送する(あるいは、接続を中止する)。IKEセッションの第1の要求/応答はIKE_SAのためのセキュリティパラメータを交渉し、当面の目的を送信し、Diffie-Hellman値を送信する。初期交換(つまり要求と応答)はIKE_SA_INITと呼ばれている。IKE_AUTHと呼ばれている第2の要求と応答は、アイデンティティを送信し、前記2つのアイデンティティに対応する秘密の知識を証明し、第1のAH及び/又はESP CHILD_SAのためにSAをセットアップする。
【0085】
さらに参考までに、IKEは2つの異なる段階を含む。第1の段階(ph.1)は、後のデータ転送段階で使用される認証パラメータと暗号パラメータの交渉を保護するために、送信者と受信者の間に保護されている環境(つまり、セキュリティ結合)を作成することを必要とする。第2の段階(ph.2)は、後のデータ転送段階で使用される保護パラメータを交渉することを必要とする。このようにして、とりわけパラメータの交渉を保護できる。
【0086】
いくつかの実施形態では、有利な手法は、施行ポイント又は構成サーバ(又はいくつかの実施形態ではIKEv2サーバ)のリストを見つけるためにクライアントを支援する、例えばPANA(例えば、上文で組み込まれている参考文献#7を参照されたい)のような、上位層ネットワークアクセス認証プロトコルを使用することを含む。PIC(事前IKE信用証明書提供プロトコル)は、IKE信用証明書(例えば、上文で組み込まれている参考文献#25を参照されたい)を確立するために使用されるように設計されているが(例えば、上文で組み込まれている参考文献#25を参照されたい)、PICは、暗号バインディング問題を解決するための仕組みを有していない。いくつかのPANA設計では、PANA認証エージェントがクライアント機器と同じIPリンク上になければならないと仮定されてよいが、これは主にPANA認証エージェント発見を簡略化するためである。しかしながら、PANAは、例えばPANA認証エージェントとクライアント機器の間に論理的なIPリンクを構築するために、IPインIP(IP-in-IP)トンネルを複数のIPリンク上に構成する、あるいはIPインIPトンネルを使用せずにクライアントとPANA認証エージェントの間にPANAを直接的に実行することによって、複数のIPリンク全体で機能するために拡張できる。
【0087】
特に、PANAは、上位層コンテキストを事前に確立するためのIKE信用証明書を引き出すためだけではなく、DHCP認証のための信用証明書を引き出すためにも有効である。例えば、上文で組み込まれている参考文献#4を参照されたい。IKE及びIKEv2は、IPアドレスを全く有さないモバイルクライアント機器の構成に適切ではない可能性があり、通常は、モバイルクライアント機器が初期にアクセスネットワークに接続されるときのケースと考えられる。第1に、アクセスポイントと移動局の間で802.11i暗号でDHCPメッセージ交換を保護することは、実際には例えばリンク層で認証されたインサイダーが偽のDHCPメッセージを発するのを防止しない。その結果、クライアント機器が別々の層で、一方ではIEEE802.1Xを通して、他方ではPANAを通して、2回認証されることが考えられる。この場合、PEAP(例えば、上文で組み込まれている参考文献#21を参照されたい)、EAP-TLS(例えば、上文で組み込まれている参考文献#2を参照されたい)、及びEAP-TTLS(例えば、上文で組み込まれている参考文献#6を参照されたい)等のEAP認証方法に基づいて、TLS(トランスポート層セキュリティ)によってサポートされている高速再接続又はセッション再開機構は、同じTLSセッションが、認証トラフィックと遅延を削減するために、バックエンド認証サーバとモバイルクライアント機器の間で第2層認証及び上位層認証のために再利用できるように、異なる認証層全体で正常に機能できる。
【0088】
図3及び図4は、PANA及びIKEの組み合わせを使用する上位層事前設定のいくつかの例を示している。特に、図3は、PANAとオリジナルのIKEの組み合わせを示し、図4は構成サーバがアクセスルータ上の同じ位置に配置されると仮定される例示的な条件下でのPANAとIKEv2の組み合わせを示す。例示されているように、事前に設定されるIPアドレスに結び付けられているIPsecトンネルが、新しいサブネット内のモバイルクライアント機器とアクセスルータの間で確立できる。このIPsecトンネルは、(例えば次の項に説明されるような)ハンドオフ遅延及びその結果として生じるデータ損失を削減するために、例えばモバイルクライアント機器の事前に設定されたIPアドレスのためのトラフィックを、現在接続されているネットワークにリダイレクトするために使用できる。
【0089】
図3に示されている例示的な例に関して、pARは現在のアクセスルータを識別し、nAPは新しいアクセスポイントを識別し、nARは新しいアクセスルータを識別し、MNはモバイルノード(通常、例えば移動局、モバイル機器又はモバイルクライアント等と呼ぶこともできる)を示す。図3では、参照(1)は、(存在する場合はL2態様の事前設定のための)モバイルノードと新しいAPの間のIP上での802.1Xの使用を説明している。参照(2)は、そのポイントの後にモバイルノードがIKE信用証明書を確立する、IKEをブートストラップするためにPANAを使用することを説明している。参照(3)は、開始プログラムのアドレスとしてpCoAを、及び例えばクイックモードIDとして、そのポイントの後でDHCP-SAが確立される0.0.0.0を使用して、IKE段階1と2を実行することを説明している。矢印AにあるポイントでのトンネルはIPsecトンネルである。構成手順はこのIPsecトンネルA上で発生する。IPsecトンネルAは、現在のアクセスルータpARを通過する安全なトンネルを必要とする。矢印Bのポイントでは、モバイルノードは、新しいアクセスルータnARによって割り当てられるIPアドレスを有し、今は例えば新しいサブネットワークのIPアドレス及びコンテキストを知っている。その際、図3は例示的なアドレス200.1.0.100を示す。さらに、このポイントで、モバイルノードは依然として現在のサブネットワークに関するこのような情報を有する。参照(4)は次に開始プログラムのクイックモードIDとしてnCoAを使用してIKE段階2を実行することを説明している。矢印Cのポイントでは、IPsecセキュリティ結合が確立され、モバイルノードMNは、それが現在のサブネットのための構成を同時に保持している間に新しいサブネットを使用するように構成される。したがって、図示されるように、IPsecトンネルは、IPsecトンネルBによって表現されているリダイレクトされたトラフィック(nCoA-pCoA<->nAR)のために確立できる。
【0090】
図4に示される例示的な実施例に関して、pARはやはり現在のアクセスルータを識別し、nAPはやはり新しいアクセスポイントを識別し、nARはやはり新しいアクセスルータを示し、NMはやはりモバイルノードを示す。図4では、参照(1)は、(存在する場合L2態様の事前設定のための)モバイルノードと新しいAPの間のIP上での802.1Xの使用を説明する。参照(2)は、そのポイントの後でモバイルノードがIKE信用証明書を確立するIKEをブートストラップするために、PANAを使用することを説明している。参照(3)は、開始プログラムのアドレスとしてpCoAを使用し、構成ペイロード又は実行中のDHCPのどちらかをIKE_AUTH交換で使用するIKE第2版、IKE_SA_INITとIKE_AUTH交換を説明している。したがって、図示されるように、IPセキュリティ結合(SA)が確立され、新しい気付アドレスnCoAが取得される。このようにして、示されているポイントC2で、モバイルクライアント機器は、現在のサブネットのための構成を依然として保持しながら、新しいサブネットを使用するように構成されている。したがって、図示されているように、IPsecトンネルは、IPsecトンネルによって表現されているリダイレクトされたトラフィック(nCoA-pCoA<->nAR)のために確立できる。
【0091】
特に、このサブセクションにおいて前述の上位層コンテキストを事前に確立するための方法論は、802.1X及びネットワークでのその事前認証の根拠に依存もしていなければ、これを必要ともしていない。
【0092】
好ましい実施形態では、モバイルクライアントが、それが将来移動する可能性がある、あるいは移動する可能性がないネットワーク内の、1つ以上のネットワークエンティティと事前認証(例えば、L2認証と上位層認証の両方)を実行することができることは言うまでもない。他方、好ましい実施形態では、仮想ソフトハンドオフは、モバイルクライアントが移動するネットワーク内の唯一のネットワークエンティティと実行される。
【0093】
(仮想ソフトハンドオフ)
前述されたように、上位層コンテキストを事前に確立するために例えばIKE又はIKEv2等を使用すると、(移動局等の)クライアント機器の事前に確立されたIPアドレスから発する、又はこれに向けて発せられるデータトラフィックを、クライアント機器が接続されているアクセスネットワークに確実にリダイレクトできる。これは、クライアント機器とターゲットネットワーク内のAR(アクセスルータ)の間にIPsecトンネルを確立すること等によって達成でき、機器のIPsecトンネル内部アドレスは事前に確立されたIPアドレスに結び付けられている。
【0094】
これは、クライアント機器とアクセスルータの間にIPsecベースのVPN(仮想プライベートネットワーク)トンネルを有することに相当する。参考までに、VPNにより、例えばセキュリティ手順及びトンネル化プロトコルを通してプライバシーを維持しながら、インターネット等の共用パブリックインフラストラクチャの使用が可能になる。
【0095】
ターゲットネットワークのARが、モバイルクライアント機器がその事前に確立されたIPアドレスを家庭用アドレスとして、物理的に接続されているネットワーク内で割り当てられているIPアドレスを気付アドレスとして登録する、一時的な家庭用エージェントとして使用されるように、トラフィックリダイレクトのためにモバイルIP又はモバイルIPv6等を使用することも可能である。しかしながら、前述されたIPsecベースの解決策は事前設定とデータトラフィックリダイレクトの両方を行うが、この手法は、依然として例えばIKE又はIKEv2等、あるいはターゲットネットワーク内の家庭用アドレスの類似する事前設定を使用する必要がある(例えば、前記で本書に組み込まれている参考文献#27を参照されたい)。参考までに、前述されたように、モバイルIPは通常、各モバイルノードに、その家庭用ネットワーク上の家庭用アドレス、及びネットワークとそのサブネットの中での機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が別のネットワークに移動すると、それは新しい気付アドレスを受け取る。
【0096】
多様な代替実施形態では、それは例えばデータパケットのための暗号処理が懸念である場合等に再生保護で完全性保護される必要はあるが、クライアント機器とARの間のトラフィックリダイレクトに使用されるIPsecトンネルは、暗号化されたトンネルである必要はない。この場合、IPsecトンネルは、パケット単位の認証を行う、あるいは行わない、ヌル暗号化アルゴリズム等を使用できる。例えば、上文で組み込まれているR.Glenn及びS.Kent、「Null Encryption Algorithm and Its Use With IPsec」、RFC2410、1998年11月を参照されたい。
【0097】
とりわけ、事前認証、事前設定、及び以後のデータトラフィックリダイレクトの組み合わせは、下位層ハンドオフを実行する前にも上位層ハンドオフが実行できるように(例えば、モバイルIPハンドオフ、VPNハンドオフ等のケースでの)上位層ハンドオフの、下位層のハンドオフに対するタイミング依存を排除できる。上位層ハンドオフの早期性能を提供する技法により、モバイル機器がハンドオフの前に候補ネットワーク又はサブネットワークを通してパケット等を送信又は受信できる「仮想ソフトハンドオフ」が可能になる。好ましい実施形態に従って仮想ソフトハンドオフ技法を使用することにより、ハンドオフの間の通信中断を、最低レベルのハンドオフによって被られる程度まで最小限に抑えるか、あるいはいくつかのケースでは、例えば下位層がCDMAソフトハンドオフをサポートしている場合等、通信中断を排除することもできる。
【0098】
好ましい実施形態では、仮想ソフトハンドオフは、第2層ハンドオフタイミングは上位層によって制御でき、その結果事前認証及び事前設定は第2層ハンドオフを開始する前に完了できると仮定している。この際、大部分の無線LANカードドライバが、異なるSSID(サービスセット識別子)の複数のAPの中でAPを選ぶためのアプリケーションプログラムにAPI(アプリケーションプログラムインタフェース)を与える。
【0099】
前述されたように、CDMAソフトハンドオフ又は複数のインタフェース全体でのハンドオフは、仮想ソフトハンドオフと類似した機能性を提供できる。しかしながら、仮想ソフトハンドオフ機構は、実質的に全てのタイプのクライアント機器の役に立つことができる。したがって、仮想ソフトハンドオフ機構はかなりの利点を有する。
【0100】
この点で、図5は上位層ソフトハンドオフが使用されない(上部タイムラインを参照されたい)とき、及びいくつかの例示的な非制限的な実施形態に従って上位層ソフトハンドオフが使用される(下部タイムラインを参照されたい)ときに検出されることがある比較時間シーケンスを描いている。これらの概略タイムラインは例示目的のためだけであり、多様な実施形態の特定のタイミング等を制限すると解釈されてはならない。例えば、多様なステップがサブステップを有してよい、及びこのようなサブステップは必ずしも同時に発生しないことが理解されなければならない。
【0101】
上部の例示的なタイムラインに関して、図示されているように、シーケンスは、新しいAPが新しいサブネットで(例えば、ビーコン又はプローブ応答等を介して)検出されると開始する。次に、第2層事前認証及び事前設定が開始する。それから第2層事前認証及び事前設定が完了する。それから、第2層のハンドオフが開始する。次に、第2層のハンドオフが完了し、第2層結合が行われる。第2層ハンドオフの完了後のこの遅延したときに、第3層認証及び設定が開始する。それからさらなる遅延後に、第3層認証が完了する。それから、第3層/第4層ハンドオフが開始する。短時間後、第3層/第4層ハンドオフが完了する。この例示的なタイムラインに基づいて明らかとなるように、この方法論の結果、通信遅延及び通信中断が発生し得るかなりの重大な期間が生じる。
【0102】
下部の例示的なタイムラインに関して、図示されているように、シーケンスは同様に、新APが新サブネットで検出されると開始する。次に第2層及び上位層(つまり、第2層より高い層(複数の場合がある))事前認証及び事前設定が開始する。とりわけ、上位層の事前認証及び事前設定の早期開始は、時間節約及び(例えば前述されたような)他の利点をもたらすことができる。次に、第2層及び上位層の事前認証と事前設定が完了する。とりわけ、上位層事前認証と事前設定が早期完了すると、追加の時間節約及び(例えば前述されたような)利点をもたらすことができる。再度、これが例示的な概略の非制限的なタイムラインであることが理解されなければならない。とりわけ第2層と上位層の事前認証と事前設定は多様なときに発生してよい。次に第3層/第4層ハンドオフが開始する(注意:前記に示されたように、本書に説明されている他の利点を依然として取得しながら、早期第3層ハンドオフ及び類似するハンドオフを有さない多様な他の実施形態を実現できる)。とりわけ、第3層の早期開始及び類似するハンドオフは、さらに追加の時間節約及び(例えば前述されたような)他の利点を生もたらすことができる。次に、第3層及び類似するハンドオフは完了できる。第3層及び類似するハンドオフのこの早期完了は、例えば(前述されたように)仮想ソフトハンドオフ等を効果的に提供するために使用できる。とりわけ、第3層の早期完了及び類似するハンドオフは、追加の時間節約及び(例えば前述されたような)他の利点をもたらすことができる。次に、図示されているように、第2層のハンドオフが開始できる。そして短期間の後に、第2層ハンドオフを完了できる。この例示的なタイムラインに基づいて明らかになるように、この後者の方法論は最小の臨界期を生じさせる。
【0103】
いくつかの好ましい実施形態では、IPsecベースの仮想ソフトハンドオフに2つの例示的なケースがある。第1の例示的なケースは、本来(つまり、リダイレクトの間にトラフィックを保護するために)リダイレクトされたトラフィックのためにIPsec保護を使用することに基づいている。第2の例示的なケースは、(つまり、リダイレクトの間、及び新サブネットに移動後にトラフィックを保護するために)本来全てのトラフィックを保護するためにIPsec保護を使用することに基づいている。
【0104】
(リダイレクトされたトラフィック専用にIPsecを使用する仮想ソフトハンドオフ)
図6は、モバイルクライアント機器が、仮想ソフトハンドオフの間にトラフィックリダイレクトのためだけにIPsecトンネルを使用する第1の例示的なケースを示す。この例では、ハンドオフ後、所望される場合、例えば暗号化等の別の形の保護(例えば第2層保護)が使用されてよいが、IPsecトンネルはハンドオフ中の保護のために使用される。図6に示されている例では、IPsecトンネル用の機器の外部IPアドレスと内部IPアドレスは、それぞれ現在のサブネットの気付アドレス(pCoA)と、新しいサブネットの気付アドレス(nCoA)である。図6に関しては、機器が第2層ハンドオフを実行する準備を完了しているとき、それは、新しいIPアドレスのための以後のデータトラフィックが、機器が関連する新APを通して直接的に転送されるように第2層ハンドオフを実行する前に、確立されたIPsecトンネルを削除しなければならない。この動作を行わないと、nCoAに宛てられたトラフィックが、第2層ハンドオフの完了後も旧いAPを通して転送され続けることがある。さらに、新アクセスルータ(nAR)は、モバイル機器に割り当てられているnCoAを、nCoAを再利用することにより考えられるサービス盗難を回避するために、ネットワークアクセスのために未許可にならないように、あるいはトンネルの削除後も他の装置に割り当てられないようにしなければならない。これは、例えば、nCoAのための許可された状態を削除し、CoAの賃貸を解放するための手順を遅らせるための猶予期間を有することによって実行できる。
【0105】
図6の例示的な実施形態に関して、モバイルクライアント機器が現在のサブネットだけを使用できるポイントでは、参照(1)に示されているように、上位層事前認証及び事前設定が(前述されたように)実行できる。そのとき、図示されているように、IPsecトンネルによって表現されているnCoAのためのリダイレクトされたトラフィック(nCoA-pCoA<->nAR)のためにIPsecトンネルが確立できる。図示されているように、これはモバイルIPを使用するいくつかの実施形態ではモバイルIP登録のためにも使用できるであろう。このポイントでは、IPsecセキュリティ結合が確立された。それから、参照(2)で示されているように、IPsecトンネルが削除され、リダイレクトは停止される。これは、例えばIKEを使用して行うことができる。次に、第2層ハンドオフが完了される。このポイントでは、参照(3)で示されているように、モバイルクライアント機器は新サブネットだけを使用できる。次に、参照(4)で示されているように、nCoAのための直接的なトラフィックが新しいARとモバイルクライアントの間で実施される。
【0106】
(全てのトラフィックにIPsecを使用する仮想ソフトハンドオフ)
図7は、仮想ソフトハンドオフが全てのトラフィックにIPsecトンネルを使用する第2の例示的なケースを示している。このようにして、ハンドオフの間及びハンドオフの後でも、保護用のIPsecトンネルを提供することによって、より高いレベルの保護を達成できる。この第2の例では、新サブネットのためのIPsetトンネルのための機器の外部IPアドレスと内部IPアドレスの両方ともが、新サブネットのために使用される機器のIPアドレスである(例えば、図7に示されているIPsecトンネルBを参照されたい)。図7に示されているように、左右方向の円柱がIPsecトンネルを表現している。仮想ソフトハンドオフの間、(例えば、図7に図示されているような斜交平行線が付けられたIPsecトンネルAのような)別のIPsecトンネルが確立される。IPsecトンネルAのための機器の外部IPアドレスと内部IPアドレスは、前項に説明されたIPsecトンネルのためのものと同じである場合がある。好ましくは、新サブネットのためのIPsecトンネルは、後者のIPsecトンネル上でIKE又はIKEv2を実行することによって確立される。このようにして、とりわけ達成できるいくつかの考えられる利点は、(i)IPsecベースの保護が常に又は実質的に常にモバイルクライアントのために提供でき、ネットワーク層セキュリティを強化していること、及び/又は(ii)気付アドレスの寿命がIPsecトンネルの寿命と実質的に同期できることを含み得る。
【0107】
機器が第2層ハンドオフを実行する準備が完了すると、それは、新しい気付アドレス用のデータトラフィックを伝搬するIPsecトンネルBが、モバイル機器が関連付ける新しいAPを通して直接的に転送できるように、第2層のハンドオフを実行する前に後者のIPsecトンネルを削除しなければならない。
【0108】
図7に示されている例示的な実施形態では、モバイルクライアント機器がIPsecトンネルとして示されている既存のIPsecトンネルを介して(pCoA-pCoA<->pAR)現在のサブネットだけを使用できるポイントで、参照(1)で示されているように、上位層事前認証及び上位層事前設定が(前述されたように)実行できる。それから、図示されているように、IPsecトンネルAは、IPsecトンネルAによって表現されているように確立できる(nCoA-pCoA<->nAR)。ここでは、これは例えばIPsecトンネルSA上でIKEを使用すること(開始プログラムのアドレスとしてnCoAを使用すること)を含むことがある。次に、IPsecトンネルBは、IPsecトンネルBによって表現されているnCoAのためのリダイレクトされたトラフィック(nCoA-nCoA<->nAR)に確立できる。図示されているように、これはモバイルIPを含むいくつかの実施形態ではモバイルIP登録のためにも使用できるであろう。この点で、モバイルクライアントは現在のサブネットと新サブネットの両方を使用できる。次に参照(3)で示されているように、IPsecトンネルAは削除され、リダイレクトが停止される。これは、例えばIKEを使用することによって実行できる。次に第2層ハンドオフが完了される。このポイントで、参照(3)に示されているように、モバイルクライアント機器は新サブネットだけを使用できる。参照(4)に示されているように、nCoAのための直接的なトラフィックが、IPsecトンネルBを使用して新しいARとモバイルクライアントの間で実行される。次にこのプロセスは、別の新しいアクセスポイントで別のハンドオフを達成するために、後の時点で繰り返すことができる。
【0109】
(過去のアクセスポイントへの切り替え復帰)
モバイルクライアント機器がターゲットネットワークへのハンドオフを完了した後、クライアント機器が過去のネットワークに切り替え復帰する必要がある、いくつかのケースがある場合がある。過去のネットワークのためにコンテキストを確立し直すことを回避するために、クライアント機器は、好ましくは新ネットワーク接続の完了後の期間中、過去のコンテキストを記憶する又はキャッシュに入れる。いくつかの好ましい実施形態では、この切り替え復帰は以下のようにして実行できる。
【0110】
・モバイルクライアント機器が、過去のネットワークが切り替え復帰するためにコンテキストをキャッシュに入れると、それはゼロからコンテキストの事前設定を実行する必要はない。例えば、それは過去のARへのIPsecトンネルを確立でき、新IPアドレスを要求するよりむしろ、内部IPアドレスとして過去のネットワークに使用されたキャッシュに入れられたIPアドレスを指定する。それ以外の場合、それはゼロから事前認証と事前設定を実行し、それが最初に接続されたかのように仮想ソフトハンドオフを実行するであろう。
【0111】
・いったん現在のネットワークの中のモバイルクライアント機器が過去のARへのIPsecトンネルを確立すると、トラフィックは前記トンネルを通って転送される。クライアント機器は過去のARへの別のIPsecトンネルを作成し、過去のIPアドレスは外部IPアドレスとして使用される(つまり、機器がそれをまだ有していない場合)。トラフィックは後者のトンネルに最初に入れられてから、後者のトンネルは前記のトンネルに入れられる。クライアント機器が第2層ハンドオフを実行する準備が整うと、次にそれは前述されたようにリダイレクトを停止するために前者のIPsecトンネルを削除する。
【0112】
(VPNハンドオフ用の仮想ソフトハンドオフ)
いくつかの例示的な応用例では、仮想ソフトハンドオフ技法は、クライアント機器のVPNトンネルエンドポイントIPアドレスが変更できる、VPNハンドオフに適用できる。しかしながら、モバイルIPがVPN上で動作しており、VPNトンネルエンドポイントIPアドレスがクライアント機器の家庭用アドレスであるとき、エンドポイントIPアドレスに変化はなく、したがってこのケースはVPNハンドオフから排除できる。VPNハンドオフを処理するための2つの例示的な手法は後述される。
【0113】
第1の例示的な手法では、各VPN信号プロトコルは、新エンドポイントIPアドレスのために新VPNをゼロから確立せずに、VPNクライアントが自らのエンドポイントIPアドレスを更新できるように設計できる。例えば、IKEv2は、VPNトンネルのエンドポイントIPアドレスを更新するために信号経路遅延を削減するためのDiffie-Hellman指数関数の再使用を可能にする。参考までに、Diffie-Hellmanキー一致プロトコルは、Diffie及びHellmanによって1976年に開発された周知のプロトコルであり、2人のユーザが従前の秘密なしに不確かな媒体上で秘密鍵を作成、共用できるようにする。
【0114】
第2の例示的な手法では、別のVPNトンネルは、それが旧いエンドポイントIPアドレスのためのVPNトンネルのために実行されるのと同様に、新エンドポイントIPアドレスのために確立できる。仮想ソフトハンドオフ機構が使用されない場合、この手法は、新VPNトンネルの確立以後、クライアント機器が新ネットワークへのL2ハンドオフを完了し、いったんL2ハンドオフが完了するまでの大幅な通信中断期間を生じさせ、旧VPNトンネルはもはや使用できない。対照的に、仮想ソフトハンドオフが使用されるときには、クライアント機器は新VPNトンネルを確立し、それが同時に旧VPNトンネルも使用できるが新ネットワークへのL2ハンドオフを実行する前に、それを使用できる。性能という点では、この解決策は、例えばVPNハンドオフの間の通信中断を最小限に抑えるという利点等の顕著な利点を有している。加えて、解決策はVPNトンネルの外部でモバイルIPを実行する必要はない。その結果として、とりわけ、(つまり、仮想ソフトハンドオフの期間中に)データパケットカプセル化オーバヘッドを削減できる。加えて、解決策はセキュリティの妥協案を有利に回避できる。
【0115】
図8Aから図8Eは、この第2の例示的な手法の例示的な例を示し、仮想ソフトハンドオフを利用するVPNハンドオフの典型的なシーケンスを実例説明している。この際、図8Aは、(nARへのIPsecトンネルの確立を含む)事前認証と事前設定の((1)と(2)に示されている)第1のステップと第2のステップを描いている。図8Bは、((3)に示されている)nARへのIPsecトンネルを介する新しいVPN(nVPN)トンネルの確立を含む第3のステップを描いている。図8Cは、((4)、(4’)に示されている)第4のステップが(必要とされる場合、内部移動性バインディング更新を実行することを含んでよい)旧VPNトンネルの削除を含むことを描いている。図8Dは、(5)に示されているように、nARへのIPsecトンネルを削除すること、及び(6)に示されているようにpARからnARに切り替えることを含む、新サブネットへ切り替えるための第5のステップと第6のステップとを描いている。そして、図8EはVPNハンドオフの完了を示す最終段階を描いている。
【0116】
(好ましい実施形態のための多様な応用例)
本記述に基づいて言うまでもないが、好ましい実施形態の1つ以上の態様(複数の場合がある)は、種々の環境及び応用例で利用できる。例えば、1つ以上の態様(複数の場合がある)は、モバイル機器が現在のネットワーク又はサブネットワークと通信中(例えば、中に位置している)間に、モバイル機器が(IPアドレス又は気付アドレス等の)新ネットワークアドレス及び新ネットワーク又はサブネットワークのための新しい上位層コンテキストを取得できる、任意のタイプの無線適用ハンドオフ環境で利用できる。
【0117】
一例として、仮想ソフトハンドオフは、例えば無線インターネットサービスプロバイダ(WISP)環境、VPN環境、モバイルIP環境、ボイスオーバーIP(VOIP)環境等の任意の適切な応用例で利用できる。例えば、図10Aは、モバイルノードがその家庭用ネットワークから外部ネットワークに移動し、前記外部ネットワークの新しいCoAを取得するときに、本発明の仮想ソフトハンドオフ及び/又は他の原則が利用できる例示的なモバイルIP環境を示している。別の例として図10Bは、クライアントが外部ネットワークに移動し、新CoAを取得するときに本発明の仮想ソフトハンドオフ及び/又は他の原則を利用できる例示的なセッション開始プロトコル(SIP)ボイスオーバーIP(VOIP)環境を示している。このようにして、とりわけ、このようなハンドオフに関連する遅延を最小限に抑えることができる。例えば、全体的な記述を参照して本明細書に組み込まれている、Wireless IP and the Mobile Internet、S.Dixit及びR.Prasad、アーテクハウス出版社(Artech House Publishers)、2003年、362ページ(「(SIP)ハンドオフに関連する遅延は、携帯電話によるIPアドレス獲得・・・による遅延等のいくつかの要因からなると考えられる。」)を参照されたい。
【0118】
(本発明の幅広い範囲)
本発明の例示的な実施形態はここに説明されてきたが、本発明はここに説明されている多様な好ましい実施形態に制限されるのではなく、本開示に基づいて当業者により理解されるであろう同等な要素、変型、省略、(例えば、多様な実施形態全体の態様の)組み合わせ、適応、及び/又は改変を有する、あらゆる全ての実施形態を含む。請求項における制限は、請求項で利用されている言葉に基づいて幅広く解釈されるべきであり、本明細書中に、あるいは実施例が包括的と解釈されるべきである出願の遂行中に、説明される例に限定されない。例えば、本開示中、用語「好ましくは」は包括的であり、「好ましくは、しかし限定されない」を意味する。本開示中、及びこの出願の遂行中、means-plus-function又はstep-plus-function制限は、特定のクレームの制限のために以下の条件の全てがその制限に存在する場合にだけ利用されるであろう。つまり、a)「のための手段」又は「のためのステップ」が明示的に列挙される、b)対応する機能が明示的に列挙される、及びc)その構造をサポートする構造、材料、又は行為が列挙されていない。本開示中、及び本願の遂行中、専門用語「本発明」又は「発明」は、本開示の範囲内の1つ以上の態様に対する参照として使用されてよい。言葉、本発明又は発明は臨界の識別として不適切に解釈されてはならず、全ての態様又は実施形態全体に適用すると不適切に解釈されてはならず(つまり、本発明は多くの態様及び実施形態を有すると理解されるべきである)、本願又はクレームの範囲を制限すると不適切に解釈されてはならない。本開示中、及び本願の遂行中、専門用語「実施形態」は任意の態様、特徴、プロセス又はステップ、その任意の組み合わせ及び/又はその任意の部分等を記述するために使用できる。いくつかの例では、多様な実施形態は重複する特徴を含んでよい。本開示中、以下の省略された専門用語、まり「例えば」を意味する「e.g.」、及び「注意せよ」を意味する「NB:」が利用されてよい。
図1
図2A
図2B
図3
図4
図5
図6
図7
図8A
図8B
図8C
図8D
図8E
図9
図10A
図10B
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.