アクセスネットワークへの接続又はハンドオーバの後のセキュアトンネルの確立
本発明は、モバイルノードの別のアクセスネットワークへの接続又はハンドオーバに備えるために、ePDGへのセキュアトンネルを確立する(又は事前に確立する)ための方法、モバイルノード及びコンピュータで読み取り可能な媒体に関する。ハンドオーバ、又は、ePDGを発見するメカニズムによって示されたアクセスネットワークへのモバイルノードの接続の後の、又は、ハンドオーバの遅延を縮小することで、モバイルノードは、標的アクセスネットワーク内において到達可能な、すなわち,モバイルノードがセキュアトンネルを確立できるように、1個又は複数のePDGを識別するために参照できる到達可能性リストを維持する。モバイルノードが、所定のアクセスネットワークに対する到達可能なePDGを到達可能性リストから識別することができる場合は、モバイルノードは、当該所定のアクセスネットワークに接続した後にePDGへのセキュアトンネルを(事前に)確立する。代替的なソリューションでは、DNS、DHCP又は他のメカニズムが、モバイルノードに自己の近隣のePDG(複数個)についての情報を提供するために用いることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モバイルノードの別のアクセスネットワークへの接続又はハンドオーバに備えるために、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する(又は事前に確立する)ための方法、モバイルノード、及びコンピュータで読み取り可能な媒体に関する。さらに、本発明は、当該方法及びモバイルノードが用いられることができる移動体通信システムにも関する。本発明はまた、例えば、モバイルノードの近隣にある到達可能なePDG(複数個)についての情報を提供すること、又は、新規のアクセスに接続する時に、モバイルノードをサポートすることによって、モバイルノードをサポートするコアネットワーク(PLMN)内のノードにも関連する。
【背景技術】
【0002】
UMTS(ユニバーサル移動体通信システム)は、3GPP(第3世代共同プロジェクト)によって標準化された3G(第3世代)移動体通信システムである。3GPPは、「ロングタームエボルーション(LTE)」という名のほうがより知られている研究「進化型(evolved)UTRA及びUTRAN」を開始した。この研究は、サービスの提供を改善するとともに、ユーザ及び事業者の費用を低減するためのパフォーマンスの大幅な向上を達成する手段を検討している。これらの研究に考慮し、かつ、他の無線アクセス技術と連携して動作することを可能にするために、新規の進化型(evolved)パケットコア(EPC)ネットワークを定義する必要性が生じた。より詳細には、参照により本明細書に組み込まれており、かつ、http://www.ietf.orgにて利用可能である文書である、3GPP TS23.401「進化型(evolved)ユニバーサル地上波無線アクセスネットワーク(E−UTRAN)アクセスのための一般パケット無線サービス(GPRS)の向上」第8.3.0版及び3GPP TS23.402、「非3GPPアクセス(複数個)のためのアーキテクチャの向上」第8.3.0版を参照してください。
【0003】
LTEのE−UTRANアーキテクチャの代表的な図示が図1に示されている。以下では、本明細書中に記載された本発明のより良い理解を促進するために、このアーキテクチャの最も重要ないくつかのエンティティが説明されている。
【0004】
E−UTRANは、進化型(evolved)Node B(複数個)(eNB(複数個)又はeNode B(複数個))から成り、E−UTRAユーザプレーン(PDCP/RLC/MAC/PHY)と制御プレーン(RRC)のプロトコル終端をモバイルノードに提供している。eNodeBは、ユーザプレーンのヘッダ圧縮及び暗号化の機能を含む、物理(PHY)層、媒体アクセス制御(MAC)層、無線リンク制御(RLC)層、及びパケットデータ制御プロトコル(PDCP)層を含んでいる(host)。また、それは、制御プレーンに対応する無線リソース制御(RRC)機能を提供する。それは、無線リソースマネジメント、許可制御、スケジューリング、ネゴシエートされたUL QoSの実行、セル情報ブロードキャスト、ユーザ及び制御プレーンデータの暗号化/暗号解読、DL/ULユーザプレーンパケットのヘッダ(複数個)の圧縮/解凍を含む多くの機能を実行する。
【0005】
eNode B(複数個)は、X2インタフェイスによって互いに接続されている。また、eNode B(複数個)は、S1インタフェイスによってEPC(進化型(evolved)パケットコア)に、より明確には、S1−MMEによってMME(モビリティマネジメントエンティティ)に、及び、S1−Uによってサービングゲートウェイ(S−GW)に、接続されている。S1インタフェイスは、MME(複数個)/サービングゲートウェイ(複数個)とeNode B(複数個)との間の多対多対応をサポートしている。
【0006】
サービングゲートウェイはユーザのデータパケットを経路設定し、及び転送する一方、また、eNode B(複数個)同士のハンドオーバ中にはユーザプレーンのモビリティアンカとして、及び、LTEと他の3GPP技術との間のモビリティのアンカとしての機能を果たしている(S4インタフェイスを終端させ、かつ、2G/3GシステムとPDN−GWとの間のトラフィックを中継する)。アイドル状態のUE(複数個)の場合、サービングゲートウェイは、ダウンリンクデータ経路を終端させ、ダウンリンクデータがUEに到達した時にページング(paging)をトリガする。それは、UEのコンテクスト、例えばIPベアラサービスのパラメータ、ネットワークの内部経路設定情報、を管理し、保存する。また、それは、合法的な傍受の場合には、ユーザトラフィックの複製を実行する。
【0007】
MMEは、LTEアクセスネットワークに対する主要な制御ノードである。それは、再送信を含むアイドルモードのUEの追跡及びページング(paging)手順に対して責任を負う。それは、ベアラの起動/起動停止プロセスに関与するとともに、初期接続時及びコアネットワーク(CN)ノードの再配置を伴うLTE内ハンドオーバ時に、UEに対するサービングゲートウェイを選択する責任も負っている。MMEは、(ホーム加入者サーバ、HSSと相互交信することによって)ユーザを認証する責任を負う。それは、サービスプロバイダの公衆地上移動体ネットワーク(PLMN)内をローミングすることへのUEの認証を確認するとともに、UEのローミング制限を実行する。MMEは、非アクセス層(NAS)シグナリングに対する暗号化/完全性の保護のためのネットワーク内の終端点であり、かつ、セキュリティキーマネジメントを取り扱う。MMEは、SGSN(サービングGPRSサポートノード)からMMEで終端とするS3インタフェイスをLTEと2G/3Gアクセスネットワーク(複数個)との間のモビリティに対する制御プレーン機能に提供する。MMEを起点とし、また、MMEは、UE(複数個)をローミングさせるために、ホームHSSへと向かうS6aインタフェイスを終端させる。
【0008】
パケットデータネットワークゲートウェイ(PDN−GW)は、当該UEに対するトラフィックの出口及び入口のポイントであることにより、外部パケットデータネットワーク(複数個)への当該UEの接続性を提供する。1個のUEは、多数のパケットデータネットワーク(複数個)(PDN(複数個))にアクセスするために、1個以上のパケットデータネットワークゲートウェイとの同時の接続性を備えてもよい。パケットデータネットワークゲートウェイは、方針実施、ユーザごとのパケットのフィルタリング、課金サポート、合法的な傍受、及びパケットスクリーニングを実行する。パケットデータネットワークゲートウェイのもう1つの主要な役割は、3GPP技術と非3GPP技術との間のモビリティに対してアンカとしての働きをすることである。
【0009】
図1に描かれたアーキテクチャを要約すると、新規の3GPPコアネットワークは、新規のE−UTRANアクセスをサポートするために主として3個の論理エンティティに分割される。ユーザプレーンにおいて、パケットデータネットワークゲートウェイ(PDN−GW)は、外部ネットワーク(複数個)に対するゲートウェイであるとともに、3GPPアクセス技術と非3GPPアクセス技術(例えば、CDMA2000、WiMAX又はWIFI)との間のモビリティに対するグローバルモビリティアンカである。また、ユーザプレーンでは、サービングゲートウェイは、3GPPアクセス(複数個)(E−UTRAN、UTRAN、GERAN)間のモビリティに対するモビリティアンカとしても考慮することができる。モビリティマネジメントエンティティ(MME)は、異なるE−UTRAN基地局(eNode B(複数個))間を移動するUE(複数個)(以下、移動性端末、モバイルノードもしくはMNとも呼ばれる)のモビリティマネジメントと、セッションマネジメントに対しても責任を負う制御プレーンエンティティである。
【0010】
LTEの別の態様は、3GPPアクセス(複数個)(例:GERAN、UTRAN、E−UTRAN)、非3GPPアクセス(複数個)(例:WLAN、WiMAX、3GPP2等)及び、それらの異なる種類のアクセス間の、すなわち異機種ネットワークにおける、モビリティのサポートである。3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティに対するアンカは、このゲートウェイは、外部パケットデータネットワーク(複数個)へのインタフェイスをも提供するパケットデータネットワークゲートウェイである。3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティは、モバイルIPに基づいており、使用されるプロトコルは、クライアントモバイルIP(Johnsonらの「IPv6内のモビリティサポート」、IETF RFC 3775、2004年6月、及び、Solimanらの「デュアルスタックホスト及びルータ用のモバイルIPv6サポート」、IETFインターネットドラフト、draft−ietf−mext−nemo−v4traversal−06.txt、2008年11月を参照のこと。両文書ともhttp://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)、又は、プロキシモバイルIP(Gundavelliらの「プロキシモバイルIPv6」、IETF RFC 5213、2008年8月、及び、Leungらの「WiMAXフォーラム/3GPP2プロキシモバイルIPv4」、IETFインターネットドラフト、draft−leung−mip4−proxy−mode−09.txt、2008年7月を参照のこと。両文書ともhttp://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)をどちらかにすることができる。
【0011】
非3GPPアクセス(複数個)(アクセスネットワーク(複数個))は、信頼できるアクセスネットワーク(複数個)と信頼できないアクセスネットワーク(複数個)とに分類できる。信頼できないアクセスネットワーク(複数個)の想定は、信頼できないアクセスネットワーク内のUEが、事業者サービス、すなわちPDNにアクセスできるようになる前に、まず、進化型(evolved)パケットデータゲートウェイ(ePDG)へのセキュアトンネルを確立する必要がある(IPsecに基づく−Kentらの「インターネットプロトコルのセキュリティアーキテクチャ」、IETF RFC 4301、2005年12月、http://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)ということである。ePDGは、相互交信WLANに用いられるPDGと類似している(3GPP TS23.234、「無線ローカルエリアネットワーク(WLAN)の相互交信のための3GPPシステム;システム記述」、第7.7.0版を参照のこと、http://www.ietf.orgにて利用可能であり、参照により本明細書に組み込まれる)。信頼できるアクセス(複数個)内では、セキュアトンネルは必要とされないが、その代わりに、PDN−GWはUEから直接的に評価されることもありうる。
【0012】
同一又は異なる非3GPPアクセス(複数個)内におけるモビリティの場合、類似のメカニズムが、3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティ、すなわち、クライアントモバイルIP又はプロキシモバイルIPとして用いられることができる。
【0013】
UEがネットワークに接続される時には、それは少なくとも1個のパケットデータネットワークへの接続性を備えており、同時に、多数のパケットデータネットワーク(複数個)にも接続されてもよい。接続可能なPDN(複数個)は、例えば、公衆インターネット、企業内ネットワーク、IMS/SMSネットワークである。
【0014】
少なくとも1個のパケットデータネットワークに接続されたUEが、信頼できない非3GPPアクセスネットワークへのハンドオーバを実行したい場合は、UEはまず、割り当てられたローカルIPアドレスを用いて非3GPPアクセスからePDGを発見しなければならない。このためには、UEは、UE中の静的構成によってもしくは動的によって、ePDGを発見/選択する。動的な発見を用いると、UEがVPLMN(移動先の公衆地上移動体ネットワーク)内でローミングする場合には、それは、VPLMNのIDを用いてFQDN(完全修飾ドメイン名)を構築し、DNSシステムを要求する。そうでない場合は、UEは、HPLMNのID(HPLMN:ホーム公衆地上移動体ネットワーク)を用いてFQDNを構築し、ePDGアドレスを解決するためにDNSクエリーを用いる。引き続いて、UEは、返却されたリストからePDGアドレスを選択し、このePDGへのIKE/IPSecトンネル確立を開始する(Kaufmanの「インターネットキー交換(IKEv2)プロトコル」、IETF RFC 4306、2005年12月;http://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)。IKE/IPsecトンネルが設定される場合は、UEはPDN接続のためのユーザデータを送受信することができる。しかしながら、キーを作成することから、IKEv2/IPsecトンネルの確立には多くの時間がかかる。したがって、信頼できない非3GPPアクセス(複数個)へのより高速なハンドオーバを許容するためには、UEは、パケットデータネットワーク及び関連付けられたホームIPアドレスへの既存接続を用いたハンドオーバを行う前に、ePDGを発見し、セキュアトンネルを確立するべきである。
【0015】
ネットワーク構成に依存して、UEが事前に接続しうるいくつかのePDG(複数個)候補があるはずである。しかし、そのうちのいくつかは新規のアクセスからは到達可能でないかもしれず、又は、経路設定の効率の点で最適でないかもしれない。したがって、いくつかのePDG(複数個)に対して状態を長時間維持することを回避するためには、UEは、信頼できない非3GPPアクセスへのハンドオーバが開始されるとすぐに、ePDGとのIKE/IPSecトンネルを事前に確立するべきである。
【0016】
UEが標的ePDGにおいて事前確立を実行したい場合に発生しうる1つの問題は、PDN−GW、もしくは、パケットデータネットワークのいずれかを経ても(via)、ePDGが既存のPDN接続からは到達可能でない(図2を参照のこと)ことである。このことは、例えば、パケットデータネットワーク(例:企業内ネットワーク又はIMS/SMSネットワーク)が、外部ネットワークすなわちePDGへの接続を許容しないということ、又は、PDN/PDN−GW/IPのアドレス変化によるハンドオーバの場合には、ePDGが新規の接続から到達可能でないということでのアクセス制限を理由に起こりうる。
【0017】
さらに、UEは、自己が接続しているPDN(複数個)のいずれかから当該ePDGが到達可能であるか否かを知らないかもしれず、かつ、ePDGの到達不可能性の検出は、(例:到達可能性試験のベアラ作成のための)信号負荷を増加させ、時間をかけ、ひいては、ハンドオーバ遅延を増大させるかもしれない。
【0018】
この遅延は数分かかることすらあり、その理由は、3GPP TS23.402の第7.2.1節及び第7.3節に記載された手順によると、UEは、ePDGへとIKE_SA_INITメッセージを送信し、当該ePDGに到達可能でない場合は、いかなる応答も受信されないか、又は、ICMP宛先到達不可能が受信されてもよいとなっているからである。IKEv2規格は、数分間をかけて要求を再送信すること、及び、「[略]エンドポイントは、いかなる経路設定情報(例、ICMPメッセージ)に基づいても、他方のエンドポイントが失敗したと結論付けてはならない。[略] エンドポイントは、それに接続するための反復の試みがタイムアウト時間にわたり返答なく過ぎた場合にのみ、他方のエンドポイントが失敗したと結論付けなければならない。[略]ある1つのSAに見切りを付ける前に、メッセージが少なくとも数分間、少なくとも12回再送信されることが提言される」ことを示唆している(IETF RFC 4306のセクション2.4を参照のこと)。
【発明の概要】
【0019】
本発明の1つの目的は、例えばePDGといった信頼できるパケットデータゲートウェイを発見するメカニズムによって示されたアクセスネットワークへのモバイルノードの接続の後の、又は、ハンドオーバ手順の遅延を縮小することである。
【0020】
本目的は、独立請求項の主題によって解決される。本発明の有利な実施形態は従属請求項の主題である。
【0021】
本発明の1つの態様は、モバイルノードが標的アクセスネットワークに接続又はハンドオーバした後に、信頼できるパケットデータゲートウェイへのセキュアトンネルの高速の確立を促進することである。この目的のために、モバイルノードは、標的アクセスネットワーク内において到達可能である、すなわち、モバイルノードがセキュアトンネルを確立してもよい信頼できるパケットデータゲートウェイ(例:ePDG)、又は、信頼できるパケットデータゲートウェイ(複数個)を識別するために参照できる到達可能性リストを維持している。モバイルノードが、所定のアクセスネットワークに対する到達可能な信頼できるパケットデータゲートウェイを到達可能性リストから識別できる場合は、モバイルノードは、当該所定のアクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する。いくつかの変形例においては、セキュアトンネルは、標的アクセスネットワークへの接続の前に、事前に確立されてもよい。このトンネルは暫定的に事前に確立されてもよく、すなわち、それは、セキュアトンネルが起動される前には、データの経路設定のためには用いられない。したがって、モバイルノードが標的アクセスネットワークに接続した後に、モバイルノードは事前に確立されたトンネルを起動してもよい。
【0022】
発明のこの態様によると、本発明の1つの例示的な実施形態は、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供する。この方法によると、モバイルノードは、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って(through)到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定し、及び、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する。
【0023】
モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するための本明細書中に記載された様々な方法は、標的アクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスが、ソースアクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスと異なっている場合、もしくはモバイルノードがソースアクセスリストによってトンネルを確立した信頼できるパケットデータゲートウェイは、到達可能性リストによって、標的アクセスネットワークを通って到達可能でない場合に、モバイルノードにより実行のみされてもよいことに更に留意するべきである。言い換えれば、この様々な方法は、標的アクセスネットワークを通っても当該信頼できるパケットデータゲートウェイが到達できない場合にのみ、実行される必要がある。
【0024】
これは、セキュリティアソシエーション(例:IPsecアソシエーション)それぞれのセキュアトンネルが、典型的には、モバイルノードの特定のIPアドレスに結合されていることを理由としている。モバイルノードのIPアドレスが変更されない限り、かつ、セキュリティアソシエーションの片方の信頼できるパケットデータゲートウェイが到達可能である限り、新規の信頼できるパケットデータゲートウェイへの新規のセキュアトンネルそれぞれに対して、いかなる新規のセキュリティアソシエーションも(他の理由により所望されない限り)確立される必要はない。
【0025】
本発明の他の実施形態では、到達可能性リストは、データセットをリストアップしている。データセットは、データ経路、及び、データ経路それぞれに対する既知の信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスを示す。それぞれのデータ経路が到達可能性リスト中に表示される態様は、実装ごとに特有である。例えば、データ経路は、アクセスネットワーク識別子(複数個)、コアネットワーク識別子(複数個)及びアクセスポイント名(複数個)の組み合わせ、コアネットワーク識別子(複数個)とアクセスポイント名(複数個)の組み合わせ、又は、単にアクセスポイント名(複数個)によって指示されうる。
【0026】
本発明のさらなる実施形態では、信頼できるパケットデータゲートウェイが到達できる保存されたリストから、パケットデータネットワークのいかなるアクセスポイント名が決定されなかった場合には、モバイルノードが標的アクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイ(すなわち、任意の信頼できるパケットデータゲートウェイ)へのセキュアトンネルを確立するよう、更に試みる。モバイルノードがセキュアトンネルを確立するよう試みる信頼できるパケットデータゲートウェイは、例えば、モバイルノード内に事前に構成されていてもよく、もしくは、モバイルノードによって標的アクセスネットワークへと送信されたDNSクエリーからモバイルノードによって学習されうる。
【0027】
(信頼できるパケットデータゲートウェイが到達できる保存されたリストからのパケットデータネットワークのいかなるアクセスポイント名が、到達可能性リストにリストアップされていないことを理由に)モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するよう試みるときで、信頼できるパケットデータゲートウェイに到達不可能であることを理由に信頼できるパケットデータゲートウェイへのいかなるセキュアトンネルが確立できない場合には、モバイルノードは、到達不可能な信頼できるパケットデータゲートウェイが当該データ経路を通って到達可能でない旨の指示、並びに、前記到達不可能な信頼できるパケットデータゲートウェイへのデータ経路を到達可能性リストに表示するデータセットを更に任意で追加してもよい。同じように、セキュアトンネルが信頼できるパケットデータゲートウェイに確立できる場合には、モバイルノードは、到達可能な信頼できるパケットデータゲートウェイがデータ経路を通って到達可能であること、並びに、前記到達可能な信頼できるパケットデータゲートウェイへのデータ経路を示すデータセットを、到達可能性リストに任意で追加してもよい。
【0028】
したがって、本発明の他の実施形態では、モバイルノードは、データ経路それぞれを通って到達できるか又は到達できない信頼できるパケットデータゲートウェイ(複数個)についての情報を動的に学習し、維持する。同様に、信頼できるパケットデータゲートウェイの到達可能性ステータスが所定のデータ経路に対して変化した場合には、モバイルノードは到達可能性リストを更新してもよい。
【0029】
上記に論じた例示的な実施形態のうちのいくつかにおいて、モバイルノードは、信頼できるパケットデータゲートウェイ(複数個)への接続の試みの成功や失敗に基づいて、自己の到達可能性リストを更新及び構築してきた。他の実施形態では、モバイルノードの到達可能性リストは、アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから受信されてもよい。受信した到達可能性リストは、モバイルノードの既存の「ローカルな」到達可能性リストを更新するために、又はそのリストの代替として用いられうる。
【0030】
したがって、このような到達可能性リスト又はそのリスト入力事項が最新であるか否かの確認を可能にするために、リスト又はその入力事項それぞれは、モバイルノードが到達可能性リスト又はその入力事項それぞれを更新するように、情報がいつ最後に更新されたかを確認してもよいことに基づいて、タイムスタンプ(又は個別のリスト入力事項に対するタイムスタンプ)を含んでいてもよい。明らかに、モバイルノードは、信頼できるパケットデータゲートウェイ(複数個)への到達可能性のステータスについての最新情報を維持するよう試みるべきである。
【0031】
1つの例示的な実施例では、到達可能性リストは、データ経路それぞれ及び信頼できるパケットデータゲートウェイそれぞれを通って到達可能である信頼できるパケットデータゲートウェイのデータ経路をリストアップしたホワイトリストと、データ経路それぞれ及び信頼できるパケットデータゲートウェイそれぞれを通って到達可能でない信頼できるパケットデータゲートウェイのデータ経路をリストアップしたブラックリストとの2個のリストから成りうる。
【0032】
上記に記載された例示的な実施形態では、モバイルノードは、標的アクセスネットワークへとハンドオーバした後に、すなわち、標的アクセスネットワークを通って、信頼できるパケットデータゲートウェイへのセキュアトンネルをすでに確立済であった。本発明の他の実施形態による別の代替的なオプションは、モバイルノードがソースアクセスネットワーク内に位置している時に、モバイルノードがセキュアトンネルをすでに維持している信頼できるパケットデータゲートウェイへの接続を維持するよう試行させることである。
【0033】
したがって、本発明のさらなる例示的な実施形態では、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供しており、そこで、モバイルノードは、まず、別のアクセスネットワーク、すなわち標的アクセスネットワークへのハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立した。標的アクセスネットワークへの接続の前に、モバイルノードは、信頼できるパケットデータゲートウェイが標的アクセスネットワークを通って到達できるか否かを確認するであろう。これは、例えば、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、行うことができる。信頼できるパケットデータゲートウェイが標的アクセスネットワークを通っても到達できる場合は、モバイルノードは、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークに接続したコアネットワーク(PLMN)のコアネットワークノード(例AAA、HSS)に(ソースアクセスネットワークを経て)要求してもよい。このソリューションは例えば、モバイルノードの加入プロファイルが、PLMN間のハンドオーバに対するローカルモビリティアンカ(LMA)の変化(例えば、PDN−GW内で実装することができる機能)を必要とするが、モバイルノードが、自己の現在のローカルモビリティアンカ(例:PDN−GW)への接続を維持することを所望する状況において、有利であってもよい。
【0034】
また、本発明は、信頼できるパケットデータゲートウェイへのセキュアトンネルを(事前に)確立するための異なる方法のうち1つを実行することが可能であることをモバイルノードに提供する。したがって、さらなる実施形態による本発明は、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定する演算装置(例えば、処理装置、デジタル信号処理装置(DSP)、又は、適切であるか又は適切にプログラムされた他の専用ハードウェアもしくは電気回路)を構成するモバイルノードを提供する。モバイルノードは、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置(例えば、送信装置及び受信装置)を更に構成する。
【0035】
本発明の他の実施形態は、ハンドオーバの前に、ソースアクセスゲートウェイを通って、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置(例えば、送信装置及び受信装置)と、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、標的アクセスネットワークを通って信頼できるパケットデータゲートウェイに到達できるか否かを、標的アクセスネットワークへの接続の前に確認する処理装置を含むモバイルノードを提供している。モバイルノードの通信装置は更に、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークに接続されたコアネットワークのコアネットワークノードに、ソースアクセスネットワークを経て要求するよう、適応されうるか、又は、処理装置によって適切に制御されうる。
【0036】
本発明のさらなる実施形態によるモバイルノードは、本明細書中に記載された本発明の様々な実施形態によるいくつかの方法のステップを実行することをモバイルノードが許容する手段(メモリ、特別に専門の又はプログラムされたハードウェア又は電気回路など)を含んでもよい。
【0037】
本発明のさらなる実施形態は、ソフトウェア/コンピュータプログラムによる手段によって、本明細書中に記載された方法の実施に関する。したがって、本発明の他の実施形態は、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定し、並びに、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立することによって、モバイルノードの処理装置によって実行された場合には、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体を提供する。
【0038】
本発明の他の実施形態は、モバイルノードの処理装置によって実行された場合には、ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立し、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、標的アクセスネットワークを通って信頼できるパケットデータゲートウェイが到達できるか否かを、標的アクセスネットワークへの接続の前に確認し、並びに、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークを経て、標的アクセスネットワークに接続されたコアネットワークのコアネットワークノードに要求することによって、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体を提供する。
【0039】
上記に記載された本発明のほとんどの例示的な実施形態において、モバイルノードは、所定のアクセスネットワーク内でいずれの信頼できるパケットデータゲートウェイが到達できるかを決定するために、到達可能性リストを用いてきた。以下の例示的な実施形態は、代替的なアプローチに関し、それで、ネットワークがモバイルノードに到達可能な信頼できるパケットデータゲートウェイ(複数個)についての情報を提供する。このアプローチもまた、到達可能性リストを維持するモバイルノードと協力して、任意で用いられてもよく、例えば、ネットワークから受信された情報は、モバイルノードによって維持されたローカルな到達可能性リストを更新するのに用いられてもよい。
【0040】
この代替的なアプローチによると、本発明の他の実施形態は、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供する。モバイルノードは、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、又は、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、メッセージ(例:接続メッセージ又は追跡エリア更新メッセージ)を第1のアクセスネットワークへと送信する。このメッセージに応答して、モバイルノードは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示す応答メッセージを受信する。もし可能である場合は、モバイルノードは、モバイルノードが第2のアクセスネットワークに接続するか又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立する。この実施形態では、セキュアトンネルが事前に確立された信頼できるパケットデータゲートウェイがモバイルノードに対して第2のアクセスネットワークを通って到達可能であることが、実現可能であるかもしれない。第1のアクセスネットワークは、例えば、3GPPベースのネットワークであってもよい。
【0041】
モバイルノードによって第1のアクセスネットワークへと送信されたメッセージは、例えば、モバイルノードの現在位置についての位置情報のうち少なくとも1つ、モバイルノードが接続を所望する信頼できるパケットデータゲートウェイのIPアドレス(複数個)、1個以上のアクセスネットワーク識別子(複数個)、1個以上のコアネットワーク識別子(複数個)及び1個以上のアクセスポイント名(複数個)を含むことができる。
【0042】
本発明のさらなる実施形態では、パケットデータゲートウェイは、モバイルノードによって第1のアクセスネットワークへと送信されたメッセージにモバイルノードによって含められた情報に基づいて、応答メッセージを用いたモバイルノードへの送信用の情報を、コンパイルしうる。このパケットデータゲートウェイは、例えば、モバイルノードのホーム3GPPネットワーク内に位置しうる。
【0043】
本発明の他の実施形態によると、応答メッセージは、信頼できるパケットデータゲートウェイ(複数個)の1個以上のアドレス(複数個)を含み、かつ、任意で、標的アクセスネットワーク(複数個)それぞれを通った信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスの指示、及び/又は、信頼できるパケットデータゲートウェイ(複数個)の優先順位を更に含む。前述のとおり、かかるリストがモバイルノードによって維持されている場合には、この情報は、到達可能性リストを更新するべく任意で用いられうる。
【0044】
このネットワークベースのアプローチに即して、本発明の他の実施形態は、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するモバイルノードを提供している。当該モバイルノードは、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、もしくは、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、第1のアクセスネットワークへと接続メッセージ(又は追跡エリア更新メッセージ)を送信する送信機と、モバイルノードにおいて、接続メッセージ(又は追跡エリア更新メッセージ)への応答メッセージを受信する受信機とを構成し、そこで、その応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示す。さらに、モバイルノードは、モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立するよう、モバイルノードを制御するよう構成された処理装置を含める。
【0045】
同様に、本発明の他の実施形態は、モバイルノードの処理装置によって実行された場合には、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、もしくは、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、モバイルノードから第1のアクセスネットワークへとメッセージを送信し、モバイルノードにおいて、接続メッセージ(又は追跡エリア更新メッセージ)への応答メッセージを受信し、そこで、その応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示し、並びに、モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、モバイルノードによって事前に確立することによって、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立される指示を保存する、コンピュータで読み取り可能な媒体に関連している。
【図面の簡単な説明】
【0046】
以下、本発明は、添付図面を参照してより詳細に説明される。図面中の類似又は対応する詳細事項には、同一の参照番号が付けられている。
【0047】
【図1】LTE 3GPPシステムの例示的なアーキテクチャを示す
【図2】ePDG(複数個)の変化する到達可能性を強調するために、異なるアクセスネットワーク、PLMN(複数個)及びPDN(複数個)との例示的な通信ネットワーク(複数個)を示す
【図3】本発明の例示的な実施形態による、モバイルノードが信頼性できないアクセスに接続した後に、セキュアトンネルの事前確立の例示的な確立及びその起動を示す
【図4】本発明の例示的な実施形態による、モバイルノードが信頼できないアクセスに接続した後に、セキュアトンネルの事前確立の例示的な確立及びその起動を示す
【図5】本発明の他の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここで、モバイルノードは、新規のアクセスネットワークに接続した時にPDN−GWへの自己の接続を維持するよう試みる
【図6】本発明の他の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、モバイルノードは、新規のアクセスネットワークに接続した時にPDN−GWへの自己の接続を維持するよう試みる
【図7】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、信頼できないアクセスネットワークへのハンドオーバの後に、モバイルノードは事前に確立されたセキュアトンネルを用いている
【図8】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、信頼できないアクセスネットワークへのハンドオーバの後に、モバイルノードは事前に確立されたセキュアトンネルを用いている
【図9】本発明の他の実施形態による図8及び図9の通信ネットワーク内の例示的なメッセージフローを示す
【図10】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、モバイルノードが信頼できるアクセスネットワークへのハンドオーバを実行している
【図11】本発明の他の実施形態による例示的なメッセージフローを示し、ここでは、モバイルノードは、自己の近隣のePDG(複数個)についての情報を取得するために、DNSクエリーを用いる
【図12】本発明の他の実施形態による、改善されたIKE2シグナリングのフローを示す、ここでは、認証されたICMP宛先到達不可能メッセージを用いる
【図13】本発明の実施形態による、例示的な通信ネットワークを示す、ここでは、PMIPがモバイルノードに提供される
【図14】本発明の他の実施形態による図14の通信ネットワーク内における例示的なメッセージフローを示し、ここでは、モバイルノードが、自己の近隣に位置しているePDG(複数個)についての情報を、モバイルアクセスゲートウェイによって提供される
【発明を実施するための形態】
【0048】
以下の段落は本発明の様々な実施形態を記載する。例示的目的のみのために、大部分の実施形態は、上記の背景技術のセクションに論じられたLTEに応じた(進化型)通信システムに関連して概説される。用語「モバイルノード(MN)」及び「ユーザ装置(UE)」は取り替えて使うことが可能な用語であることに留意していただきたい。
【0049】
本発明の1つの態様は、モバイルノードが標的アクセスネットワークへの接続又はハンドオーバした後に、信頼できるパケットデータゲートウェイへのセキュアトンネルの高速な確立を促進することである。また、セキュアトンネルの高速な確立は、暫定的なセキュアトンネルの事前確立を含んでおり、それは、後になって、例えば、ソースアクセスネットワークから標的アクセスネットワークへのハンドオーバの1部として、標的アクセスネットワークに接続した時にモバイルノードによって起動される。本発明のいくつかの実施形態では、モバイルノードは、標的アクセスネットワーク内において到達可能である信頼できるパケットデータゲートウェイ(例:ePDG)又は信頼できるパケットデータゲートウェイ(複数個)を識別するために参照できる到達可能性リストを維持している。「到達可能な」とは、モバイルノードが、所定のアクセスネットワークを通って、所定の信頼できるパケットデータゲートウェイへのセキュアトンネルを確立できることを意味する。
【0050】
到達可能性リストの維持に関して、モバイルノードは、例えば、所定のアクセスポイント名(又はデータ経路)の信頼できるパケットデータゲートウェイの到達可能性を調査してもよく、かつ、この情報を到達可能性リスト中に保存してもよい。したがって、モバイルノードがさらに遅い時点でこのアクセスネットワークに再度接続する場合には、それは、維持された到達可能性リストから、(到達可能性ステータスがしばらくの間は変更されていない場合は)所定のアクセスポイント名に対していずれの信頼できるパケットデータゲートウェイが到達可能であるべきかを学習することができ、ひいては、到達不可能な信頼できるパケットデータゲートウェイへのセキュアトンネルの設定を試みたことに起因しうる到達可能性の検出の遅延を回避してもよい。
【0051】
以下に更に説明されるように、到達可能性リストが実装される方法、すなわち、その中にいずれの情報が維持されるかについては様々な可能性がある。最も単純な実装において、到達可能性リストは、アクセスポイント名(複数個)それぞれに対する1個以上の信頼できるパケットデータゲートウェイ(複数個)、及び、信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータス(所定のアクセスポイント名に対して到達可能/到達不可能)を示す。
【0052】
より高度な実装では、到達可能性リストは、データ経路ごとにいずれの信頼できるパケットデータゲートウェイ(複数個)が到達可能であるか否かを示してもよい。データ経路の最も単純な表示はアクセスポイント名で、この場合には、実装は、上記に論じられた最も単純な実装と対応している。他の例では、データ経路は、アクセスポイント名と所定のPLMN識別子の組み合わせ、又は、アクセスポイント名と、所定のPLMN識別子と、及び所定のアクセスネットワーク識別子との組み合わせによって、形成されうる。アクセスネットワーク識別子の例は、WLANアクセスポイントのSSID(サービス設定識別子)、アクセスポイント識別子、追跡エリア識別子、3GPPベースのシステム内のNode Bの識別子等である。
【0053】
一般に、到達可能性リストの内容及び設計は実装ごとに特有であり、かつ、到達可能性ステータスに依存しうることに留意されるべきである。大部分において、到達可能性リストは、信頼できるパケットデータゲートウェイのアクセスポイント名及び識別子を示すべきである。信頼できないアクセスの場合、信頼できないアクセスネットワークの識別子及び信頼できるパケットデータゲートウェイを自己の到達可能性ステータスとともに保存することもまた実現可能であろう。信頼できないアクセスでは、モバイルノードは、PDN−GW又はAPNについての情報を保存することは必要とされないこととなるよう、PDN−GWを経て信頼できるパケットデータゲートウェイに接続されない。
【0054】
本発明の1つの例示的な実施形態では、到達可能性リストはホワイトリスト及びブラックリストの2個のリストから成り、両方ともモバイルノードによって維持されている。モバイルノードが、アクセスネットワークへの初期接続、又は、アクセスネットワーク及び/又はPLMNの変化をもたらすハンドオーバを実行した時は、それは、ハンドオーバの後に信頼できるパケットデータゲートウェイ(例、ePDG)が到達可能であるか否か及びいずれのパケットデータゲートウェイが到達可能であるかを決定するために、ホワイトリスト及びブラックリストを活用する。
【0055】
例えば、信頼できる動作、例えば、信頼できない非3GPPアクセスへの次の着信ハンドオーバがない段階において、モバイルノードは、異なるPDN接続(複数個)を確立し、かつ、それらのPDN接続(複数個)を通って異なるePDG(複数個)に到達するよう試みることができる。ePDG(複数個)の到達可能性は、例えば、IKE/IPSecアソシエーション/トンネルを事前に確立するためのIKE/IPSecシグナリング手順を開始することによって、試験されうる。(所定のアクセスポイント名によって識別された)所定のPDN接続に対してセキュアトンネルが事前に確立できる場合には、モバイルノードは、PDN接続のそれぞれの所定のデータ経路を通って到達可能である信頼できるパケットデータゲートウェイ(例:ePDG)それぞれを示すために、ホワイトリストを追加又は更新してもよい。不成功のトンネル確立は、ブラックリスト内に追加される。ePDG(複数個)の到達可能性を確認する時にモバイルノードが信頼できるアクセスネットワーク内に位置している場合には、セキュアトンネルは、暫定的にのみ、確立されてもよく、以下に更に概説されるだろう。
【0056】
本発明の1つの例示的な実施形態では、ホワイトリストは、ePDGが到達可能となるアクセスポイント名(複数個)及び関連のアクセスネットワークのID(複数個)及びPLMNのID(複数個)のリストを含む。ホワイトリストの例が、表1に示される。
【0057】
【表1】
【0058】
この実施形態によると、ブラックリストは、ePDGが到達可能でないアクセスポイント名(複数個)及び関連のアクセスネットワークID(複数個)及びPLMNのID(複数個)のリストを含む。ブラックリストの例は、以下の表2に提供される。
【0059】
【表2】
【0060】
以下において、本発明の例示的な実施形態が図3及び図4を参照して説明されており、これらにおいて、ホワイトリスト及びブラックリストは、信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立するのに用いられる。アクセスネットワークへの初期接続の場合には、モバイルノード(UE301)はまず、自己が接続しているアクセスネットワーク及びPLMNを確認する。アクセスネットワークは例えば、アクセスネットワークの無線セル内で一般的にブロードキャストされるアクセスネットワーク識別子によって識別できる。例えば、WLAN内では、WLANアクセスポイント(AP)は典型的には、受信可能エリア内にある自己のSSIDをブロードキャストする。3GPPベースのアクセスでは、Node B(複数個)は典型的には追跡エリアコード及びセル識別をブロードキャストする。他のオプションは、アクセスポイント名(複数個)が、モバイルノード内で事前に構成されており、かつ、モバイルノードによってインターネットからダウンロードされることであり、ユーザ等によって移動性端末に手動で入力されてもよいことである。言い換えれば、モバイルノードに異なるアクセスポイント名(複数個)を提供する方法に関して、様々な可能性がある。さらに、PLMN識別子は、また、典型的に、自己に接続したアクセスネットワーク内でブロードキャストされる。アクセスネットワークに接続したPMLNを識別するための他のオプションは、本質的には、以前のアクセスネットワークの識別のために同定されたものと同じである。
【0061】
図3に示されるように、モバイルノードが3GPPアクセスネットワーク(すなわち、信頼できるアクセスネットワーク)に初期接続すること、及び、PLMNがモバイルノードのホームPLMN(HPLMN)であることが例示的に想定されてもよい。このように、モバイルノードは、自己が3GPPアクセスネットワークに接続されているので、自己が3GPPサービスを用いるePDG302へのセキュアトンネルを用いる必要はないことを認識するであろう。
【0062】
モバイルノードが自己のHPLMNに(又は任意の他のPLMNに)接続した時は、その中のサービングPDN−GW203は、モバイルノードによってIP通信(303)のために用いられるモバイルノードに対し、IPアドレスを割り当てる。アクセスネットワーク、又はむしろPLMNへのIP接続性を確立した時には、モバイルノードは、PLMN内で到達可能である信頼できるパケットデータゲートウェイ、ePDG302を、ホワイトリスト及びブラックリストを用いて、参照してもよい。この目的のために、モバイルノードは、ePDGが到達可能であると示されているホワイトリスト中のAPN(複数個)のうち1個(ここではAPN:IMS)を選択する。ePDGの外部IPアドレスがホワイトリストからか又はブラックリストからかがわからない場合には、モバイルノードは、到達可能なePDGの外部IPアドレスを解決するために、DNSサービスを用いることができるであろう。この接続において、外部IPアドレスは、選択されたAPNと一致するPDNから到達可能なePDGのIPアドレスを示す。図3の例では、ePDGの外部IPアドレスは、PDN#2(APN:IMS)から到達可能な自己のインタフェイス上に構成されたIPアドレスである。
【0063】
モバイルノードによって識別できる到達可能なePDG302が存在する場合は、モバイルノードは、信頼されていないアクセスネットワークへと移動する時に使用する可能性があるため、セキュアトンネルに事前確立するよう試みる(304)。しかしながら、この事前に確立されたセキュアトンネル(306)は、暫定的にのみ確立され、すなわち、以下に記載されるように、起動されていない限り、セキュアトンネルはデータ通信には用いられない。この理由のため、モバイルノードは、ePDGを選択するためにホワイトリスト中に掲載された任意のAPNを用いることができ、すなわち、ePDGの選択は、モバイルノードが現在使用している実際のAPNに依存していない。好ましくは、選択されたePDG302は、モバイルノードが移動する可能性がある信頼できないアクセスネットワークから、到達可能であるべきであるので、モバイルノードは、新規のアクセスネットワークへと移動した時にePDG302を用いる(すなわち、暫定的な事前確立されたセキュアトンネルを起動する)ことができる。
【0064】
さらに、任意で、ePDG302は、モバイルノードがePDG302への自己の暫定的なセキュアトンネルを起動している時に用いてもよい、PDN−GW203への暫定的なトンネルを事前に確立してもよい。ePDG302とPDN−GW203の間のこの暫定的なトンネルもまたアクティブではない、すなわち、ePDG302及びPDN−GW203は、起動されるまではこのトンネルを通ったモバイルノードに対する/からのデータを経路設定しない。ePDG302とPDN−GW203の間のトンネルが事前に確立されていない場合は、信頼できないアクセスへと移動する時にモバイルノードで用いたePDGも、モバイルノードに応答して、ePDGへの事前に確立されたセキュアトンネルを起動するトンネルを確立することもできるし、もしくは、最初にePDGへのセキュアトンネルを確立する。
【0065】
セキュアトンネルを(事前に)確立するために、モバイルノードは例えば、最初にePDGへのIKEv2セキュリティアソシエーションを確立するために、上記に言及したIKEv2プロトコルを用いてもよい。IKEセキュリティアソシエーションは、本質的に、IPsecセキュリティアソシエーションを確立するために後に用いられてもよく、通信パートナー間の1組の共有鍵を提供している。
【0066】
IPsecセキュリティアソシエーションは、関連部分において、通信パートナー、すなわち、いずれのデータパケットがいずれのIPアドレスに送信されることとなること、及び、前記パケットの送信に用いられる暗号化等を定義している。したがって、IPsecセキュリティアソシエーションは、IPsecトンネルを参照してもよい。IPsecトンネルが事前に確立されているにもかかわらず、IPsecトンネルが起動されていないこと、すなわち、ePDGとモバイルノードは、「暫定的」又は「起動停止した」状態でIPsecトンネルを維持しており、IPsecトンネルを通ってIPsecセキュリティアソシエーションが結合されているIPアドレスそれぞれに設定されたデータパケットを経路設定しないことを留意すべきである。
【0067】
さらに、モバイルノードは、サービングPDN−GWによってモバイルノードに割り当てられたIPアドレスを、暫定的なIPsecトンネルを確立するために用いることに留意するべきである。それゆえに、IPsecトンネルのセキュリティアソシエーションは、モバイルノードのこのIPアドレス及びePDGの外部IPアドレスと結合されている。この接続において、さらに、モバイルノードが、IPsecトンネルの事前確立のためにePDGの外部IPアドレスを用いることを留意すべきである。例えば、ePDGがPDN−GWと同じPLMNに位置している場合は、暫定的なIPsecトンネルを確立するための制御シグナリングは、PLMN内に内部的に経路設定されていないが、「外部」PDNを通って、ePDGの外部IPアドレスへと経路設定される。ePDGの外部IPアドレスの外部IPアドレスへのデータの経路設定は、実装に依存していてもよい。例えば、サービングゲートウェイ又はPDN−GWもまた、そのシグナリングをアドレス指定するために用いたIPアドレスはePDGの外部IPアドレスであるものの、例えば、PLMNを通ってePDGへの静的経路を確立することによって、外部IPアドレスへの内部経路設定を可能にしうる。
【0068】
モバイルノードが(例えば、ハンドオーバによって)次のアクセスネットワークへと移動した後の状況が、例示的に図4に示される。モバイルノード(UE301)が別の3GPPアクセスネットワークに移動した後に、モバイルノードは自己が接続しているアクセスネットワーク及びPLMNを再度確認する。この場合には、モバイルノードは、自己が別のアクセスネットワークに移動したこと、及び、PLMN及びPDN−GWを変更したことを検出中であるので、モバイルノードはePDGへの事前に確立されたトンネルを更新する必要がある。図3における状況と類似して、ここではサービングPDN−GW307は、新規の信頼できるアクセスネットワークへの接続の後に、IP通信のためにモバイルノードによって用いられるIPアドレスをモバイルノードに割り当てるものとする(例えば、新規のPLMNが同一のPMIPドメインに属していない場合)。モバイルノードは、ePDG302への事前に確立された暫定的なトンネル(305)がホワイトリスト及びブラックリストを参照することによって新規のアクセスネットワーク内で用いられることができるか否かを確認する。
【0069】
この例では、ホワイトリストは、モバイルノードに対して、ePDG302がPDN#3(APN:インターネット)を通って到達可能であることを示す。新規の3GPPアクセスネットワークへと移動する時にモバイルノードのIPアドレスが変更したと想定されるので、ePDG302へのIPsecセキュリティアソシエーションは、モバイルノードがもはや使用していないIPアドレスに結合されている。したがって、ePDG302への暫定的なセキュアトンネルを更新するために、以下にさらに詳細に記載されるように、モバイルノード401は、ePDG302へのセキュリティアソシエーションの自己のIPアドレスを更新する。
【0070】
モバイルノードが、新規のアクセスネットワークへの接続の後に、ePDG302への暫定的なセキュアトンネルが新規のアクセスネットワーク内において用いられることができないことを万が一に検出したときで、すなわち、ブラックリスト及びホワイトリストの確認が、新規のデータ経路(すなわち、新規のアクセスネットワークのID、PLMNのID及びAPN)に対するホワイトリスト中にePDG302のいかなる入力も存在しないことを明らかにした場合には、モバイルノードは、到達可能なePDGがわかっている別のAPNをホワイトリストから選択し、PDNそれぞれに選択されたAPNに接続し、及び、図3に関するePDGに対して記載された類似の形態において、このePDGへのセキュアトンネルを確立するよう試みる。
【0071】
さらに、上記の図3及び図4に関して記載された例では、同じものを確立するために用いたIPアドレスへのセキュリティアソシエーションのバインディングは、モバイルノードのIPアドレスが変化中である場合には、モバイルノードとePDG302の間のシグナリングによって更新できると想定されてきたことに留意するべきである。しかしながら、このことはすべてのシナリオでは可能でない可能性がある。例えば、セキュリティアソシエーションのバインディングが更新できない場合は、モバイルノードは、新規の信頼できるアクセスネットワークへと移動する時に、到達可能なePDGへの新規のセキュアトンネルを確立するする必要があるかもしれない。このことは、モバイルノードが、自己が接続しているアクセスネットワーク及びPLMNを検出し、かつ、上記に記載された形態と類似の形態において、所定のAPNに対して到達できるePDGのホワイトリスト及びブラックリストを確認することによって、達成することができる。
【0072】
図4に関連して上記に例示されるように、UEが別のアクセスネットワーク及び別のPLMNへのハンドオーバを実行する場合には、PDNネットワーク及びIPアドレスが変更していること、ひいては、ePDGにはもはや到達可能でないことから、事前に確立されたセッションが遮断されていることが起こりうる。この問題を克服するための1つの可能性は、両方のアクセスネットワーク(複数個)からのマルチホーミングを行うことである。しかしながら、移動の場合には、モバイルノードは、この古いアクセスネットワークからはすぐに断線される可能性があり、電力消費が増大し、最終的には、様々なアクセスネットワーク(複数個)からのマルチホーミングは単一の無線モバイルノードとして機能しない。
【0073】
本発明の例示的な実施形態による事前に確立されたセッションの遮断を回避するための別のソリューションは、古いPDNへの接続、ひいては、ePDGへの到達可能性を維持することである。この例示的な実施形態は図5を参照して説明される。
【0074】
考慮するべき1つの潜在的なさらなる問題は、ハンドオーバの場合には、ハンドオーバの後に新規の3GPPアクセスに接続した時に、ネットワーク(例:MME又はAAA又はHSS)がモバイルノード(UE501)に対し、別のデフォルトPDN−GWを選択しうることである。このことは、例えば、HPLMN又はVPLMN内に利用可能である手数料方針にあてはまるかもしれない。
【0075】
新規のPLMN、又はより厳密には新規のPLMN内のS−GWから、古いPDN−GWに到達可能である限りは、たとえモバイルノードの加入コンテクスト又は新規のMMEにおけるローカル事業者の方針が新規のPDN−GWを選択することを許容される場合であっても、古いPDNへの接続を維持することが可能であるべきである。次いで、ハンドオーバの前にモバイルノード(UE501)が、セッション(例:暫定的なセキュアトンネル)が事前に確立されたePDGについて新規の3GPPアクセスネットワークがブラックリスト中にあることを発見した場合に、モバイルノード(UE501)が、新規の3GPPアクセスネットワークへのハンドオーバが実行された時に、PDN−GWを変更しないようソースネットワーク(例:HSS508又はAAAサーバ)に要求する場合には、古いPDN−GW503の使用及び事前に確立されたセッションのePDGへのセッション継続性が達成できる。モバイルノード(UE501)は、例えば、標的アクセスネットワークへのハンドオーバの後にPDN−GWを変更しないようHPLMNに要求するために、測定報告を使用できる。
【0076】
測定報告からの情報、すなわち、PDN−GWを変更しないようにとの要求もまた、例えばハンドオーバがトリガされた時に、モバイルノード(UE501)から3GPPアクセスを経てモビリティ管理エンティティ(MME507)へと転送される。この要求に基づいて、モビリティマネジメントエンティティ(MME507)は、HSS(又は代替的にはAAAサーバ)に、保存された方針を適用しないよう、及び、ハンドオーバ中にPDN−GWを変更しないよう要求する。新規3GPPアクセスへのモバイルノードのハンドオーバ中には、標的モビリティマネジメントエンティティ(MME509)はモバイルノード(UE501)に対する加入コンテクストを受信し、及び、古いPDN−GW(PDN−GW503)への接続を維持するものとする。
【0077】
モバイルノード(UE501)が新規の3GPPアクセスネットワークへと移動し、かつ、接続した時は、モバイルノード(UE501)は、PDN−GWが変更中であるか否かを通知される。このことは例えば、PDNへの接続性を提供するPDN−GWのPLMNを指示するハンドオーバ手順中(例:追跡エリア更新中)にモバイルノード(UE501)にシグナリングされる特有のAPNによって実現されうる。PDN−GWが変更された、例えば、データがVPMLN内のサービングゲートウェイ(S−GW505)によってPDN−GW506へと経路設定された場合、モバイルノード(UE501)は、暫定的なセキュアトンネルを事前に確立できるePDGを見出すべく、別の到達可能なAPNへ接続するよう試みる。PDN−GWが変更されない、すなわち、サービングゲートウェイがHPLMNのPDN−GW503へとデータを経路設定するようネットワーク内の経路設定が更新された場合は、モバイルノード(UE501)は、たとえ到達可能性リストにおけるブラックリストに掲載されている場合であっても同一のAPNに接続される。
【0078】
すでに上記に示したように、モバイルノードが信頼できないアクセスへと移動した時に、ePDGへのセキュアトンネルの確立が迅速化されるべく、所定のアクセスに対する到達可能なePDG(複数個)を識別するために使用できる到達可能性リストもしくは到達可能性情報をモバイルノードが維持又は取得できる方法について様々な可能性がある。モバイルノードが到達可能性リストを動的に作成する代わりに、ePDG(又は別のエンティティ)が、ホワイトリストを作成及び保存しており、かつ、モバイルノードとともにそれを共有することも可能である。このことは、モバイルノード内のホワイトリストの作成を加速するであろう。例えば、ePDGが到達可能性リストを作成できるようにするために、モバイルノードは、APN、アクセスネットワーク等についての情報を、暫定的なセキュアトンネルの事前確立のためのシグナリング中に入れて、ePDGへと提供しうる。次いでこのリストは、モバイルノードによる暫定的なセキュアトンネルの事前確立中に、ePDGからダウンロードされうる。
【0079】
本発明の代替的又は補完的な態様は、到達可能性リストの維持を必要としない(が、任意でそれを活用してもよい)。発明の本態様によると、モバイルノードは、現在のアクセスネットワークの近隣にある信頼できないアクセスへと移動した時に用いられることができた可能性のある信頼できるパケットデータゲートウェイ(複数個)に、自己の現在のアクセスネットワークが接続されているPLMNに問い合わせを行うことができる。モバイルノードは、かかるクエリーに応答して、信頼できるパケットデータゲートウェイ(複数個)についての情報を受信する。例えば、アクセスネットワークへの初期接続の後に、モバイルノードがPDNへの接続を設定する時に、モバイルノードは、PLMN内のいくつかのエンティティによって、現在のアクセスネットワークの近隣にあり、それゆえモバイルノードが移動した場合に標的アクセスネットワーク(複数個)候補である信頼できるパケットデータゲートウェイ(単数又は複数)について通知される。さらに、現在のアクセスネットワークの近隣にあるパケットデータゲートウェイ(単数又は複数)についての情報は、パケットデータゲートウェイ(単数又は複数)それぞれが現在のアクセスネットワークを通っている場合でも、到達可能性ステータスを示すことができた。この情報は、例えば、モバイルノードによって、暫定的なセキュアトンネルを信頼できるパケットデータゲートウェイ(複数個)のうち1つに事前に確立するために、用いられることができる。
【0080】
PLMNが大きな地理的区域(例:市又は州)にかかるいくつかのアクセスネットワーク(複数個)を潜在的に管理(serve)することを考慮して、モバイルノードが、アクセスネットワークに接続した時に、「クエリー」メッセージ、例えば、接続メッセージ中の自己の現在位置又はアクセスネットワーク(複数個)候補(例:標識信号の受信先)のいくつかの指示をPLMNに提供する場合は、有利であるかもしれない。この位置は、例えば、いくつかの追跡エリア識別子によって指示されてもよく、又は、アクセスネットワーク内の現在のアクセスノードについての、基地局ID又はIPアドレス、WLAN等内にあるアクセスノードのSSIDといったいくつかの情報を示しうる。クエリー(又は接続メッセージ)中のこの追加情報に基づいて、クエリー(又は接続メッセージ)に応答しているPLMNノード、例えばPDN−GWは、指示された信頼できないネットワーク(単数又は複数)を通って到達できるePDGのリストをコンパイルしてもよい。さらに、ePDG(単数又は複数)の到達可能性ステータスは、クエリーに応答して指示されてもよいので、モバイルノードが、1個以上の指示されたePDG(複数個)への暫定的なセキュアトンネルの事前確立を実行するようにしてもよい。
【0081】
1つの例示的な実施形態では、モバイルノードは、自己の到達可能性リストを更新するために、PLMNから取得される情報を用いうる。信頼できるパケットデータゲートウェイ(1個又は複数個)の到達可能性ステータスがPLMNによって指示される場合は、モバイルノードは到達可能性リストを即座に更新することができる。そうでなければ、モバイルノードは、到達可能であるか否かを見出すために、指示された信頼できるパケットデータゲートウェイ(1個又は複数個)へのセキュアトンネルを確立するようにまず試みてもよい。
【0082】
上記に指示されたとおり、到達可能な信頼できるパケットデータゲートウェイ(複数個)に対するクエリーは、アクセスネットワークへの接続手順中にモバイルノードによって送信されうる。図7は、1つの本発明の例示的な実施形態による信頼できるアクセスネットワークへのモバイルノード(UE701)の接続の例示的なシグナリング手順を示す。例示的には、モバイルノード(UE701)が自己のホームネットワークのローミングパートナーのネットワークに接続したことを、ローミングシナリオが想定される。したがって、例示的な目的として、モバイルノード(UE701)が、いくつかのサービス(複数個)/PDN(複数個)がアクセスできる(PDN#1、PDN#2)ことによって自己のホームネットワーク(HPLMN)に順番に接続されることを経て、ローミングパートナー(3GPPアクセス#1)のアクセスネットワークを経て、ローミングパートナーの移動先のPLMN(VPLMN#1)に接続されることが想定される。
【0083】
図9に示されるように、3GPPアクセスの基地局(eNode B(複数個))のうち1つへの初期接続(709)の場合には、モバイルノード(UE701)は接続要求メッセージをネットワークへと送信する(901)。接続要求メッセージは、移動先のPLMN(VPLMN#1)のモビリティマネジメントエンティティ(MME702)へと経路設定される。例えば、接続要求メッセージは、サービスが確立されるAPN又はPDN(例:PDN#1/APN:インターネット)を示してもよい。モビリティマネジメントエンティティ(MME702)及びモバイルノード(UE701)は、HSS/AAAサーバによるシグナリングも伴いうる認証手順902を実行する。
【0084】
モビリティマネジメントエンティティ(MME702)は、移動先のPLMN(VPLMN#1)のサービングゲートウェイ(S−GW703)を経て、モバイルノード(UE701)を管理(serve)するパケットデータネットワークゲートウェイ(PDN−GW704)へと送信される(903、904)デフォルトベアラ作成要求メッセージ(Create Default Bearer Request Message)を形成する。パケットデータネットワークゲートウェイ(PDN−GW704)は、モバイルノード(UE701)のHPLMN内に位置していてもよい。
【0085】
デフォルトベアラ作成要求メッセージを受信するパケットデータネットワークゲートウェイ(PDN−GW704)は、ePDGの到達可能性を示すために、デフォルトベアラ作成要求メッセージに応答して生成されるデフォルトベアラ作成応答メッセージ(Create Default Bearer Response Message)のプロトコル構成オプション(PCO)中に1ビットを設定されてもよい。本発明の1つの実施形態によるこの例示的なソリューションでは、モバイルノード(UE701)は、デフォルトベアラ作成応答メッセージ中にビットを設定することによって、ePDGが到達可能であることのみが通知される。しかしながら、モバイルノード(UE701)は、自己が暫定的なセキュアトンネルを事前に確立しようと試みてもよいePDGのIPアドレスを取得するために、(到達可能性リスト、修正されたDNS又はDHCPクエリーのような)他のメカニズムを用いることが必要となるかもしれない。
【0086】
本発明の他の実施形態によると、モバイルノードは、自己の近隣にあるePDG(1個又は複数個)についてのより詳細な情報を提供される。デフォルトベアラ作成要求メッセージを受信した時に、パケットデータネットワークゲートウェイ(PDN−GW704)は、信頼できないネットワークへと移動した時にモバイルノード(UE701)によっていずれのePDGが用いられるか、及び、この具体的なePDGが信頼できないネットワークを通って到達可能であるか否かを(前もって)知らない可能性がある。このように、モバイルノード(UE701)は、パケットデータネットワークゲートウェイ(PDN−GW704)にヒントを与えてもよい。例えば、モバイルノード(UE701)は、当該接続要求メッセージは、パケットデータネットワークゲートウェイ(PDN−GW704)へと送信されるデフォルトベアラ作成要求メッセージへと、モビリティマネジメントエンティティ(MME702)によってコピーされる接続要求メッセージをPCOに含めてもよい。例えば、モバイルノード(UE701)は、(例えば、事前構成を理由に、到達可能性リストから、もしくは以前のDNS要求から)すでに利用可能であれば、信頼できないネットワーク内での使用を自らが意図するePDGのIPアドレスをPCOに含めてもよい。
【0087】
また、モバイルノード(UE701)は、ePDGのIPアドレスを発見するためにパケットデータネットワークゲートウェイ(PDN−GW704)によるDNS要求のためのFQDNの構築を可能にするパラメータ(例:APN及びPLMNのID)も、接続要求メッセージのPCOに含めることができる。加えて又は代替的には、モバイルノード(UE701)は、デフォルトePDGとは異なるePDGが望ましい場合には、現在位置についての情報も含めてもよい(モバイルノード(UE701)は例えば、自己の近隣のPLMN(複数個)候補のPLMNのID(複数個)を含んでもよい)。図7に示される例では、モバイルノード(UE701)は、信頼できないアクセス(WLAN)のSSID、及び、自己の近隣にある3GPPアクセス#2の他のVPLMN#2のVPLMNのIDを示しうる。
【0088】
モバイルノード(UE701)によって提供されるこの情報に基づいて、パケットデータネットワークゲートウェイ(PDN−GW704)は、ノード(UE701)に返送される情報、例えば、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置されているePDGのリストを、デフォルトベアラ作成応答メッセージのPCO中にコンパイルしてもよい。図7に示される例では、コンパイルされた情報は、ePDG705、ePDG706 及びePDG707のIPアドレス及び現在のアクセスネットワーク(3GPPアクセス#1)を通った到達可能性を示しうる。
【0089】
図7の例では、デフォルトベアラ作成応答中のPCOは、HPLMN内のePDG705、ローミングパートナーのVPLMN#1内のePDG706、及び、別のローミングパートナーのVPLMN(VPLMN#2)内のePDG707をリストアップしうる。リストアップされたePDGの到達可能性ステータスが、パケットデータネットワークゲートウェイ(PDN−GW704)に知られている場合は、当該ステータスは、任意で、PCO中に指示されてもよく、又は、モビリティマネジメントエンティティ(MME702)によるモバイルノード(UE701)への転送の前に追加/更新されてもよい。
【0090】
パケットデータネットワークゲートウェイ(PDN−GW704)は、デフォルトベアラ作成応答メッセージを、ePDG(1個又は複数個)についての情報を含むPCO(ePDGに到達可能なPCO)とともに、サービングゲートウェイ(S−GW703)を経て、モビリティマネジメントエンティティ(MME702)へと送信する(905、906)。デフォルトベアラ作成応答メッセージ中のPCOは、モビリティマネジメントエンティティ(MME702)によって、接続応答メッセージ中のモバイルノード(UE701)へと転送される(907)。任意で、モビリティマネジメントエンティティ(MME702)は、転送の前にPCOをフィルタリング又は更新してもよい。例えば、モビリティマネジメントエンティティ(MME702)は、パケットデータネットワークゲートウェイ(PDN−GW704)によってPCOに含まれていない場合には、PCO上にリストアップされたePDG(1個又は複数個)の到達可能性ステータスを追加してもよく、又は、情報をモバイルノード(UE701)へと転送する前にPCO上にリストアップされたePDG(1個又は複数個)の到達可能性ステータスを修正/更新してもよい。モバイルノード(UE701)は、PCOからePDGのIPアドレスをすでに学習済であるので、ePDG(複数個)を発見するためのDNS要求を省略してもよい。
【0091】
モバイルノード(UE701)は、無線ベアラを確立し、接続完了をモビリティマネジメントエンティティ(MME702)へと送信する(908)。接続完了を受信した時には、モビリティマネジメントエンティティ(MME702)は、サービングゲートウェイ(S−GW702)に、ダウンリンクパケットが送信できることを示すベアラ更新要求メッセージ(Update Bearer Request message)を送信し(909)、サービングゲートウェイ(S−GW702)は、ベアラ更新応答メッセージを送信する(910)ことによってメッセージを受信確認する。
【0092】
図7に戻ると、モバイルノード(UE701)の近隣のePDG(1個又は複数個)候補についての情報を受信した(709)後に、及び、アクセスネットワーク(3GPPアクセス#1)への接続に成功した後に、モバイルノード(UE701)は、接続要求メッセージ中に指示されたPDNそれぞれに対するAPNへの接続性(710)を備え、かつ、データをPDN(PDN#1)へと/から送受信できる。さらに、モバイルノード(UE701)は、暫定的なセキュアトンネルを、接続応答メッセージのPCO中に指示されたePDGのうち1つへと事前に確立してもよい(711)。図7に示された例では、モバイルノード(UE701)は、ローミングパートナーのVPLMN(VPLMN#1)内のePDG706への暫定的なセキュアトンネルを事前に確立されている。ePDG706への暫定的なセキュアトンネルの事前確立は、接続応答メッセージに応答して、又は、信頼できないアクセスへの自己の来るべき又は潜在的なハンドオーバ/接続をモバイルノード(UE701)が認識した後に行われてもよい。しかしながら、暫定的なセキュアトンネルの事前確立は義務的ではなく、すなわち、いくつかの他の実装では、以下に詳細に説明されるように、モバイルノード(UE701)は、信頼できないアクセスへと接続した時には、自己の近隣で利用可能なePDG(複数個)についての情報を用いる。
【0093】
図8は、本発明の他の実施形態による、モバイルノードが信頼できないアクセスへと接続した時に自己の近隣で利用可能なePDG(複数個)の情報を活用しうる方法についての例示的なシナリオを示している。図示された例では、モバイルノード(UE701)がePDG706への暫定的なセキュアトンネルを事前に確立したと想定されている(図7を参照のこと)。したがって、ネットワークアクセスポイント(AP708)を通って信頼できないアクセスへと接続した時に、モバイルノード(UE701)は事前に確立された暫定的なトンネルを起動するよう試みる(801)。例えば、モバイルノード(UE701)のIPアドレスは、信頼できないアクセスへと接続した時に変更済であるので、事前に確立された暫定的なセキュアトンネルのセキュリティアソシエーションが、モバイルノード(UE701)の誤ったIPアドレスに結合されていることも想定されうる。したがって、モバイルノード(UE701)は、事前に確立された暫定的なセキュアトンネルのセキュリティアソシエーションを更新し、かつ、セキュアトンネルを起動するePDG706によっていくつかのシグナリングを実行してもよい。セキュアトンネルの起動(802)に成功する場合には、モバイルノード(UE701)は、信頼できないアクセスへの移動前に接続した(信頼できる)移動先のPLMN(VPLMN#1)を通って以前に用いられたPDN(PDN#1)それぞれのサービス(APN:インターネット)にアクセスする(803)ために、ePDG706へのセキュアトンネルを活用することができる。
【0094】
モバイルノード(UE701)は、もちろんHPLMN内のePDG705又は他の移動先のPLMN(VPLMN#2)内のePDG707を選択することができ、かつ、(それらがAPN/PDNへのアクセスをサポートし、信頼できないアクセスを通って到達可能であれば)同様にこれらのePDG(複数個)を通ってPDN(PDN#1)それぞれのサービス(APN:インターネット)に接続することができることを留意するべきである。
【0095】
本発明の代替的な実施形態では、モバイルノード(UE701)は、信頼できないアクセスに接続する前に、ePDGへの暫定的なトンネルを事前に確立していない。この場合には、モバイルノード(UE701)は、信頼できないアクセスへのIP接続性を取得した後にePDG(複数個)のうち1つへのセキュアトンネルを確立するために、接続応答のPCOから学習したePDG(複数個)候補についての情報を用いる。
【0096】
発生しうる別の論点は、別のアクセスが今やモバイルノードの近隣にあるので、UEが別の信頼できるアクセスへと移動する可能性があること、及び、別のePDGへの接続を所望する可能性があることである。図10は、例えば、3GPPアクセス#1等、別のアクセスネットワークからのハンドオーバの後に、3GPPアクセス(3GPPアクセス#2)に接続するモバイルノード(UE701)を図示している。モバイルノード(UE701)は、3GPPアクセス(例:VPLMN#2のVPLMNのIDによって)を発見し、自己の現在位置をネットワークに登録するために追跡エリア更新(TAU)を送信する。典型的には、追跡エリア更新要求メッセージが、新規のPLMN内のモバイルノード(UE701)を管理(serve)するモビリティマネジメントエンティティ(MME708)へと送信される。
【0097】
上記の初期接続の場合に関しては、モバイルノード(UE701)は、追跡エリア更新要求メッセージのPCOを含めることによって、PDN−GWにヒントを与えてもよい。このPCO情報は、ハンドオーバの前に送信された接続要求メッセージ中のPCOとは異なってもよい(図9を参照のこと)。追跡エリア更新要求メッセージに含められたPCO情報は、図7、図8及び図9に関連して上記に論じられた接続要求メッセージのPCOと同じ種類の情報を含んでもよい。モビリティマネジメントエンティティ(MME708)は、移動先のPLMN(VPLMN#2)のサービングゲートウェイ(S−GW709)へと送信されるベアラ作成要求メッセージを形成してもよく、サービングゲートウェイは、モバイルノード(UE701)を管理(serve)するパケットデータネットワークゲートウェイ(PDN−GW704)へと、ベアラ更新要求メッセージを送信する。再度、モバイルノード(UE701)からのPCO情報に基づいて、PDN−GW704は、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置しているePDGのリストといった情報をコンパイルしてもよく、それは、追跡エリア更新要求メッセージに応答してモバイルノード(UE701)に提供された追跡エリア更新受信メッセージに含められたPCOとして、モバイルノード(UE701)へと返信される。
【0098】
このシグナリング手順は例示的には矢印1001で図10に示される。さらに、別のローミングパートナーのVPLMN(VPLMN#2)へのモバイルノードの移動の後に、データ経路は、モバイルノード(UE701)のデータがサービングゲートウェイ(S−GW709)を経てHPLMN内のPDN−GW704へと経路設定されるよう更新される。
【0099】
図10では、例として、モバイルノード(UE701)の新規のVPLMN(VPLMN#2)が、別の3GPPアクセス(3GPPアクセス#3)及びVPLMN(VPLMN#3)の近隣にあり、モバイルノードの近隣にある別のePDG1005を提供していると想定する。したがって、モバイルノード(UE701)に対するPCOをコンパイルするPDN−GW(PDN−GW704)は、例えば、ePDG706、ePDG707、ePDG1005、並びに、現在のアクセスネットワーク(3GPPアクセス#2)を通ったそれらの到達可能性を示してもよい。
【0100】
上記に論じられた前の実施形態では、特に、接続手順及び追跡エリア更新手順が、利用可能であれば、自己の近隣の信頼できるパケットデータゲートウェイ(複数個)についての情報及びそれらの到達可能性ステータスをモバイルノードに提供するのに用いられている。自己の近隣の信頼できるパケットデータゲートウェイ(複数個)についての情報をモバイルノードに提供するための本発明の他の実施形態による別のオプションは、DNSの使用である。例えば、モバイルノードは、自己の近隣にあるePDG、及び、DNS要求中の到達可能性を検出してもよい。この例示的な実施形態による修正されたDNS要求手順の例示的なシグナリングフローは、図11に示されている。
【0101】
図11では、モバイルノード(UE701)が3GPPアクセス#1に位置しており、VPLMN#1へのIP接続を確立したと例示的に想定される。この例示的シナリオでは、モバイルノード(UE701)は、接続手順中に、自己の近隣のePDGについてのいかなる情報も受信しなかった。モバイルノード(UE701)は、自己の近隣のePDG(1個又は複数個)のIPアドレス(1個又は複数個)を問い合わせるためにFQDN(epdg.vplm−operator.com)を構築し(1101)、FQDNを含むDNSクエリーメッセージを、(PDN#GW704)を経てDNSサーバへと当該要求を転送する(1103、1104)サービングゲートウェイ(S−GW703)へと送信する(1102)。DNSサーバは、ePDGのリストをコンパイルし、及び、PDN−GW704へと送信される(1105)DNS応答メッセージ内にコンパイルした情報を返信する。PDN−GW704は、DNS要求を「監視し」、DNSサーバからのDNS応答を修正又はフィルタリング(1106)する。図11に示された例では、PDN−GW704は、現在のアクセスネットワーク(3GPPアクセス#1)内に到達可能なePDG(1個又は複数個)のモバイルノード(UE701)を示すように、DNS応答メッセージ中にリストアップされたePDGのそれぞれの到達可能性ステータスを追加する。別のオプションは、PDN−GW704が、DNS応答中にリストアップされたePDG(複数個)をフィルタリングするので、アクセスネットワーク(3GPPアクセス#1)内に到達可能なePDG(1個又は複数個)のみが、サービングゲートウェイ(S−GW703)を経てモバイルノード(UE701)へと転送される(1107、1108)DNS応答中に残存する。
【0102】
PDN−GWは、例えば、事前構成又は動的学習によって、UEがPDN−GWを経て接続される外部PDNから、ePDG(複数個)が到達可能であるかを知っていてもよい。このためには、PDN−GWは、モバイルノードの代わりに到達可能性を確認してもよい。DNSサーバからDNS応答を利用可能なePDG(1個又は複数個)のリストとともに受信した時に、PDN−GWが、それらの利用可能性を確認することができように、DNS応答中に指示されたePDG(複数個)へのIKEトンネルのネットワークにピングを送り(ping)、又は確立し、引き続いて、修正されたDNS応答によってePDG(複数個)の到達可能性についてモバイルノードに通知することができる。
【0103】
PDN−GWがモバイルノードの近隣にあるePDG(複数個)についての情報をコンパイルする場合には、上記の図7から図10に関連した例に記載されたように、PDN−GWはePDG(複数個)が外部PDNから到達可能か否かを知らない可能性がある。PDN−GWは、必要な情報によって事前に構成されてもよく、もしくは、例えばDNS要求及びその後のそれらの到達可能性の確認によって、利用可能なePDG(複数個)を積極的に学習してもよい。PDN−GWは、例えばePDG発見のためのFQDNを構築してもよく、上記に記載されたDNS要求を実行してもよい。次いで、DNSサーバからSND応答を受信した時には、PDN−GWは、DNS応答中にリストアップされたePDG(1個又は複数個)へのIKEトンネルにピングを送り(ping)、又は確立するよう試み、最終的には、ePDG(複数個)及びそれらの到達可能性ステータスについてモバイルノードに通知する。
【0104】
上記の技術分野のセクションにすでに示されたように、信頼できないアクセスにおけるePDGの接続確立の遅延の主な理由の1つは、モバイルノードは、任意の経路設定情報(例:ICMPメッセージ)に基づいて他方のエンドポイントが失敗したと結論付けるべきでないので、ePDGの到達不可能性検出の遅延である。本発明の別の態様によると、信頼できるエンティティによって完全性が保護されている完全性保護ICMP宛先到達不可能メッセージを用いているePDG到達不可能性検出に起因した、遅延を縮小するための別のソリューションが提案されている。IETF RFC 4306のセクション2.4における要件とは対称的に、モバイルノードが、ePDGへのセキュアトンネルを確立することを試みた時に、完全性保護ICMP宛先到達不可能メッセージが受信される場合は(すなわち再送信を全く行わなければ)、ePDGは到達可能でないと結論付けている。
【0105】
この代替的なソリューションは、上記に記載された本発明の他の思想及び概念とも組み合わせてもよいことに留意するべきである。例えば、完全性保護ICMP宛先到達不可能メッセージは、出来る限り、到達不可能なePDGへのセキュアトンネルを確立するための不必要で時間のかかる試みを回避するために、モバイルノードに自己の近隣のePDG(1個又は複数個)及び到達可能性ステータスを提供するという概念と組み合わせて用いることも可能である。
【0106】
完全性保護ICMP宛先到達不可能メッセージの使用は、図12に関連してさらに詳細に説明され、それは、到達不可能なePDGとのIKE2セキュリティアソシエーションを確立するためのモバイルノードの例示的な試行を示している。手短に言うと、モバイルノード(UE)は、まずIKE_SA_INITメッセージをePDGへと送信し(1201)、モバイルノード(UE)は、例えば、PDNネットワークによりICMP宛先到達不可能メッセージをトリガする。IKE_SA_INITメッセージは、モバイルノードからサービングゲートウェイ(S_GW)を経て、PDN−GWへと経路設定される(1202)。さらに、PDN−GWは、IKE_SA_INITメッセージ中のePDGの外部IPアドレスの経路設定表中に構成されたルートにしたがって、IKE_SA_INITメッセージを適切なPDNへと経路設定する(1204)。PDNを通ってePDGが到達できないことから、PDN内のルータはICMP宛先到達不可能メッセージをPDN−GWへと返信する(1204)。さらに、PDN−GWは、PDNネットワークとの信頼関係があると想定され、ICMP宛先到達不可能メッセージをサービングゲートウェイ(S−GW)へと転送する(1205)。S−GWは、ICMP宛先到達不可能メッセージをモビリティマネジメントエンティティ(MME)へと転送する(1206)。
【0107】
モビリティマネジメントエンティティ(MME)は、モバイルノード(UE)と共用の秘密鍵、及び、ICMPメッセージを用いてメッセージ認証コード(MAC)を計算する(1207)。モビリティマネジメントエンティティ(MME)の完全性は、計算したMACをICMP宛先到達不可能メッセージのIPヘッダ(例:フローIDフィールド)中に含めることによって、ICMP宛先到達不可能メッセージを保護し、サービングゲートウェイ(S−GW)に戻るように、メッセージを転送する(1208)。サービングゲートウェイ(S−GW)は、モバイルノード(UE)へとメッセージを転送する(1209)。モバイルノード(UE)は、完全性保護のMACを含むICMP宛先到達不可能メッセージに基づいて、ePDGが何らかの再送信なしには到達可能でないと即座に結論付けることができる。
【0108】
次に、上記に記載されたPCOを用いるメカニズムに関してのいくつかのさらなる考察は、以下に提供される。一般に、アクセスネットワークがこのようなパラメータの転送をサポートする場合、シグナリングメッセージへのPCOの使用及びインクルード(inclusion)のみが可能である。このことは、本発明の上記の例示的な実施形態において想定されている。しかしながら、非3GPPベースのアクセスネットワーク(複数個)において、このことは、常にあてはまらない可能性がある。例えば、非3GPPアクセス(複数個)からの初期接続又はハンドオーバ接続の場合には、PCOの転送はサポートされないかもしれない。
【0109】
本発明の1つの例示的な実施形態では、PCOの代わりに、DHCPが、到達可能なePDG(複数個)を要求するために用いられている。例えば、モバイルノードは、DHCP要求メッセージをDHCPサーバへと送信し、及び、DHCPメッセージのDHCPオプションにePDG情報を要求する。このオプションは、上記のPCOに記載されたものと同一のパラメータ、例えば、APN又はFQDN又はモバイルノードが使用を意図するePDGのIPアドレスを含んでもよい。モバイルノードによって提供されたこの情報に基づいて、DHCPサーバは、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置しているePDG(複数個)のリスト等の、モバイルノードに返送される情報をDHCP応答メッセージ中にコンパイルしてもよい。
【0110】
本発明の他の実施形態では、信頼できない非3GPPアクセスへの初期接続の場合、及び、クライアントモバイルIP(CMIP)を備えた信頼できる非3GPPアクセス又は信頼できない非3GPPアクセスからの初期接続の場合において、IKEの情報交換は、PCOの使用と類似の態様で、所定のPDN接続からの他のePDG(複数個)への到達可能性について、モバイルノードに通知することに用いられることができる。プロキシモバイルIP(PMIP)及び信頼できる非3GPPアクセスへの初期接続の場合には、AAAシグナリングは、例えば、EAP拡張又は具体的で一時的な識別子(複数個)によって、所望の追加情報を運搬するために修正することができる。他の可能性は、PCOの追加情報がIPv6プレフィクス(1個又は複数個)内にコード化され、及び、そのプレフィクス(1個又は複数個)が信頼できる非3GPPアクセス内で寿命Oとともに広告されるので、それは、いかなるセッションに対してもUEによって用いることはできない。
【0111】
例示的な実施例が、図13に関連して以下に論じられる。図13では、PMIPが信頼できる非3GPPアクセスネットワーク内で活用されていると想定される。したがって、PMIPのモバイルアクセスゲートウェイ(MAG)は、信頼できる非3GPPアクセスネットワーク内に位置している。PLMN内のPDN−GWは、PMIPのローカルモビリティアンカ(LMA)の機能を実装すると想定される。図13に示されるネットワーク内のメッセージフローは、図14に関連してさらに詳細に説明される。信頼できる非3GPPアクセス内のアクセス認証手順(1401)において、モバイルノード1301は、例えば、修正されたユーザアイデンティティ(例えば「user@realm!ePDGrequest」のような修飾されたNAIが用いられる)を介して、ePDGトンネルの事前確立を示してもよい。MAG1302は、ePDG(複数個)のリストがプロキシバインディング更新(PBU)中に所望されるという指示をPDN−GW1304へと送信する(1402)。PDN−GW1304は、モバイルノード1301に対する情報(例:好適なePDG、IPアドレス(1個又は複数個)、ePDG到達可能性ステータス)をコンパイルし(1403)、その情報をIPv6プレフィクス(1個又は複数個)内へコード化し(1404)、及び、プロキシバインディング受信確認(PBA)内のそれらをMAG1302に戻るように送信する(1405)。MAG1302は、2地点間リンク上にあるモバイルノード1301へと、モバイルノード1301にIPv6プレフィクス(1個又は複数個)を通知するルータ広告(RA)を送信する(1406)。ルータ広告中のプレフィクス情報が有効寿命(VL)>0を持つ場合は、プレフィクス情報は、セッションのモバイルノード1301によって用いられることができるIPプレフィクスを含む。他方、ルータ広告中のプレフィクス情報が有効寿命(VL)=0(及びプレフィクス長さ(PL)=0)を持つ場合は、プレフィクス情報はePDG到達可能性についての要求されたコード化された情報を含んでいる。
【0112】
本発明の様々な実施形態の記載は、主として、モバイルノードが自己の近隣の信頼できるパケットデータゲートウェイ(複数個)に通知できる方法、又は、モバイルノードがかかる情報を取得及び維持できる方法の態様について集中的に述べてきた。例えば、ePDG、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立又は事前に確立する方法、信頼できるパケットデータゲートウェイへの暫定的なセキュアトンネルを事前に確立する方法、及び、かかる暫定的なセキュアトンネルを起動する方法の手順上のより詳細については、われわれの同時継続出願EP 08016714.1(代理人整理番号EP60405)、「信頼できない非3GPPネットワーク(複数個)へのハンドオーバの最適化」が参照され、それは参照によって本明細書中に包含される。
【0113】
本発明の他の実施形態は、ハードウェア並びにソフトウェアを用いる上記の様々な実施形態の実装に関する。本発明の様々な実施形態は、本明細書中に記載された本発明の異なる実施形態による機能を演算装置に実行させる実現可能な指示によって適切に制御される、演算装置(処理装置)を用いて実装又は実行してもよいことが認識されている。演算装置又は処理装置は例えば、汎用目的の処理装置、デジタル信号処理装置(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又は他のプログラム可能な論理デバイス等であってもよい。本発明の様々な実施形態は、また、これらデバイスの組み合わせによって実行又は具現化してもよい。
【0114】
さらに、本発明の様々な実施形態はまた、ソフトウェアモジュールの手段によって実装されてもよく、それは、処理装置によって又は直接的にハードウェア内で実行される。ソフトウェアモジュールとハードウェア実装の組み合わせもまた可能であろう。ソフトウェアモジュールは、任意の種類のコンピュータで読み取り可能な記憶媒体、例えばRAM、EPROM、EEPROM、フラッシュメモリ、レジスタ、ハードディスク、CD−ROM、DVD等に格納されてもよい。
【0115】
実施形態の大部分は、3GPPベースの通信システムに関して概説されており、前のセクションで用いられた用語は主として3GPPの用語に関連する。しかしながら、3GPPベースのアーキテクチャに関する用語及び様々な実施形態の記載は、本発明の原理及び思想をかかるシステムに限定するよう意図されていない。
【0116】
また、上記の技術分野のセクションに記載された詳細な説明は、本明細書中に記載された大部分の3GPPに特有の例示的な実施形態をよりよく理解することを目的としており、本発明を移動体通信ネットワーク内のプロセス及び機能の記載された具体的な実装に限定されるよう理解されるべきでない。これにもかかわらず、本明細書中において提案された改善は、技術分野のセクション中に記載されたアーキテクチャ内に容易に適用されてもよい。さらに、本発明の概念は、3GPPによって現在論じられたLTE RAN中に容易に用いられてもよい。
【0117】
前の段落では、本発明の様々な実施形態及びその変形が記載されてきた。多数の変形例及び/又は修正が、広範に記載された本発明の精神又は範囲から逸脱することなく、具体的な実施形態に示すような本発明に対してなされうることを、当業者によって理解されるであろう。
【技術分野】
【0001】
本発明は、モバイルノードの別のアクセスネットワークへの接続又はハンドオーバに備えるために、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する(又は事前に確立する)ための方法、モバイルノード、及びコンピュータで読み取り可能な媒体に関する。さらに、本発明は、当該方法及びモバイルノードが用いられることができる移動体通信システムにも関する。本発明はまた、例えば、モバイルノードの近隣にある到達可能なePDG(複数個)についての情報を提供すること、又は、新規のアクセスに接続する時に、モバイルノードをサポートすることによって、モバイルノードをサポートするコアネットワーク(PLMN)内のノードにも関連する。
【背景技術】
【0002】
UMTS(ユニバーサル移動体通信システム)は、3GPP(第3世代共同プロジェクト)によって標準化された3G(第3世代)移動体通信システムである。3GPPは、「ロングタームエボルーション(LTE)」という名のほうがより知られている研究「進化型(evolved)UTRA及びUTRAN」を開始した。この研究は、サービスの提供を改善するとともに、ユーザ及び事業者の費用を低減するためのパフォーマンスの大幅な向上を達成する手段を検討している。これらの研究に考慮し、かつ、他の無線アクセス技術と連携して動作することを可能にするために、新規の進化型(evolved)パケットコア(EPC)ネットワークを定義する必要性が生じた。より詳細には、参照により本明細書に組み込まれており、かつ、http://www.ietf.orgにて利用可能である文書である、3GPP TS23.401「進化型(evolved)ユニバーサル地上波無線アクセスネットワーク(E−UTRAN)アクセスのための一般パケット無線サービス(GPRS)の向上」第8.3.0版及び3GPP TS23.402、「非3GPPアクセス(複数個)のためのアーキテクチャの向上」第8.3.0版を参照してください。
【0003】
LTEのE−UTRANアーキテクチャの代表的な図示が図1に示されている。以下では、本明細書中に記載された本発明のより良い理解を促進するために、このアーキテクチャの最も重要ないくつかのエンティティが説明されている。
【0004】
E−UTRANは、進化型(evolved)Node B(複数個)(eNB(複数個)又はeNode B(複数個))から成り、E−UTRAユーザプレーン(PDCP/RLC/MAC/PHY)と制御プレーン(RRC)のプロトコル終端をモバイルノードに提供している。eNodeBは、ユーザプレーンのヘッダ圧縮及び暗号化の機能を含む、物理(PHY)層、媒体アクセス制御(MAC)層、無線リンク制御(RLC)層、及びパケットデータ制御プロトコル(PDCP)層を含んでいる(host)。また、それは、制御プレーンに対応する無線リソース制御(RRC)機能を提供する。それは、無線リソースマネジメント、許可制御、スケジューリング、ネゴシエートされたUL QoSの実行、セル情報ブロードキャスト、ユーザ及び制御プレーンデータの暗号化/暗号解読、DL/ULユーザプレーンパケットのヘッダ(複数個)の圧縮/解凍を含む多くの機能を実行する。
【0005】
eNode B(複数個)は、X2インタフェイスによって互いに接続されている。また、eNode B(複数個)は、S1インタフェイスによってEPC(進化型(evolved)パケットコア)に、より明確には、S1−MMEによってMME(モビリティマネジメントエンティティ)に、及び、S1−Uによってサービングゲートウェイ(S−GW)に、接続されている。S1インタフェイスは、MME(複数個)/サービングゲートウェイ(複数個)とeNode B(複数個)との間の多対多対応をサポートしている。
【0006】
サービングゲートウェイはユーザのデータパケットを経路設定し、及び転送する一方、また、eNode B(複数個)同士のハンドオーバ中にはユーザプレーンのモビリティアンカとして、及び、LTEと他の3GPP技術との間のモビリティのアンカとしての機能を果たしている(S4インタフェイスを終端させ、かつ、2G/3GシステムとPDN−GWとの間のトラフィックを中継する)。アイドル状態のUE(複数個)の場合、サービングゲートウェイは、ダウンリンクデータ経路を終端させ、ダウンリンクデータがUEに到達した時にページング(paging)をトリガする。それは、UEのコンテクスト、例えばIPベアラサービスのパラメータ、ネットワークの内部経路設定情報、を管理し、保存する。また、それは、合法的な傍受の場合には、ユーザトラフィックの複製を実行する。
【0007】
MMEは、LTEアクセスネットワークに対する主要な制御ノードである。それは、再送信を含むアイドルモードのUEの追跡及びページング(paging)手順に対して責任を負う。それは、ベアラの起動/起動停止プロセスに関与するとともに、初期接続時及びコアネットワーク(CN)ノードの再配置を伴うLTE内ハンドオーバ時に、UEに対するサービングゲートウェイを選択する責任も負っている。MMEは、(ホーム加入者サーバ、HSSと相互交信することによって)ユーザを認証する責任を負う。それは、サービスプロバイダの公衆地上移動体ネットワーク(PLMN)内をローミングすることへのUEの認証を確認するとともに、UEのローミング制限を実行する。MMEは、非アクセス層(NAS)シグナリングに対する暗号化/完全性の保護のためのネットワーク内の終端点であり、かつ、セキュリティキーマネジメントを取り扱う。MMEは、SGSN(サービングGPRSサポートノード)からMMEで終端とするS3インタフェイスをLTEと2G/3Gアクセスネットワーク(複数個)との間のモビリティに対する制御プレーン機能に提供する。MMEを起点とし、また、MMEは、UE(複数個)をローミングさせるために、ホームHSSへと向かうS6aインタフェイスを終端させる。
【0008】
パケットデータネットワークゲートウェイ(PDN−GW)は、当該UEに対するトラフィックの出口及び入口のポイントであることにより、外部パケットデータネットワーク(複数個)への当該UEの接続性を提供する。1個のUEは、多数のパケットデータネットワーク(複数個)(PDN(複数個))にアクセスするために、1個以上のパケットデータネットワークゲートウェイとの同時の接続性を備えてもよい。パケットデータネットワークゲートウェイは、方針実施、ユーザごとのパケットのフィルタリング、課金サポート、合法的な傍受、及びパケットスクリーニングを実行する。パケットデータネットワークゲートウェイのもう1つの主要な役割は、3GPP技術と非3GPP技術との間のモビリティに対してアンカとしての働きをすることである。
【0009】
図1に描かれたアーキテクチャを要約すると、新規の3GPPコアネットワークは、新規のE−UTRANアクセスをサポートするために主として3個の論理エンティティに分割される。ユーザプレーンにおいて、パケットデータネットワークゲートウェイ(PDN−GW)は、外部ネットワーク(複数個)に対するゲートウェイであるとともに、3GPPアクセス技術と非3GPPアクセス技術(例えば、CDMA2000、WiMAX又はWIFI)との間のモビリティに対するグローバルモビリティアンカである。また、ユーザプレーンでは、サービングゲートウェイは、3GPPアクセス(複数個)(E−UTRAN、UTRAN、GERAN)間のモビリティに対するモビリティアンカとしても考慮することができる。モビリティマネジメントエンティティ(MME)は、異なるE−UTRAN基地局(eNode B(複数個))間を移動するUE(複数個)(以下、移動性端末、モバイルノードもしくはMNとも呼ばれる)のモビリティマネジメントと、セッションマネジメントに対しても責任を負う制御プレーンエンティティである。
【0010】
LTEの別の態様は、3GPPアクセス(複数個)(例:GERAN、UTRAN、E−UTRAN)、非3GPPアクセス(複数個)(例:WLAN、WiMAX、3GPP2等)及び、それらの異なる種類のアクセス間の、すなわち異機種ネットワークにおける、モビリティのサポートである。3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティに対するアンカは、このゲートウェイは、外部パケットデータネットワーク(複数個)へのインタフェイスをも提供するパケットデータネットワークゲートウェイである。3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティは、モバイルIPに基づいており、使用されるプロトコルは、クライアントモバイルIP(Johnsonらの「IPv6内のモビリティサポート」、IETF RFC 3775、2004年6月、及び、Solimanらの「デュアルスタックホスト及びルータ用のモバイルIPv6サポート」、IETFインターネットドラフト、draft−ietf−mext−nemo−v4traversal−06.txt、2008年11月を参照のこと。両文書ともhttp://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)、又は、プロキシモバイルIP(Gundavelliらの「プロキシモバイルIPv6」、IETF RFC 5213、2008年8月、及び、Leungらの「WiMAXフォーラム/3GPP2プロキシモバイルIPv4」、IETFインターネットドラフト、draft−leung−mip4−proxy−mode−09.txt、2008年7月を参照のこと。両文書ともhttp://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)をどちらかにすることができる。
【0011】
非3GPPアクセス(複数個)(アクセスネットワーク(複数個))は、信頼できるアクセスネットワーク(複数個)と信頼できないアクセスネットワーク(複数個)とに分類できる。信頼できないアクセスネットワーク(複数個)の想定は、信頼できないアクセスネットワーク内のUEが、事業者サービス、すなわちPDNにアクセスできるようになる前に、まず、進化型(evolved)パケットデータゲートウェイ(ePDG)へのセキュアトンネルを確立する必要がある(IPsecに基づく−Kentらの「インターネットプロトコルのセキュリティアーキテクチャ」、IETF RFC 4301、2005年12月、http://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)ということである。ePDGは、相互交信WLANに用いられるPDGと類似している(3GPP TS23.234、「無線ローカルエリアネットワーク(WLAN)の相互交信のための3GPPシステム;システム記述」、第7.7.0版を参照のこと、http://www.ietf.orgにて利用可能であり、参照により本明細書に組み込まれる)。信頼できるアクセス(複数個)内では、セキュアトンネルは必要とされないが、その代わりに、PDN−GWはUEから直接的に評価されることもありうる。
【0012】
同一又は異なる非3GPPアクセス(複数個)内におけるモビリティの場合、類似のメカニズムが、3GPPアクセス(複数個)と非3GPPアクセス(複数個)の間のモビリティ、すなわち、クライアントモバイルIP又はプロキシモバイルIPとして用いられることができる。
【0013】
UEがネットワークに接続される時には、それは少なくとも1個のパケットデータネットワークへの接続性を備えており、同時に、多数のパケットデータネットワーク(複数個)にも接続されてもよい。接続可能なPDN(複数個)は、例えば、公衆インターネット、企業内ネットワーク、IMS/SMSネットワークである。
【0014】
少なくとも1個のパケットデータネットワークに接続されたUEが、信頼できない非3GPPアクセスネットワークへのハンドオーバを実行したい場合は、UEはまず、割り当てられたローカルIPアドレスを用いて非3GPPアクセスからePDGを発見しなければならない。このためには、UEは、UE中の静的構成によってもしくは動的によって、ePDGを発見/選択する。動的な発見を用いると、UEがVPLMN(移動先の公衆地上移動体ネットワーク)内でローミングする場合には、それは、VPLMNのIDを用いてFQDN(完全修飾ドメイン名)を構築し、DNSシステムを要求する。そうでない場合は、UEは、HPLMNのID(HPLMN:ホーム公衆地上移動体ネットワーク)を用いてFQDNを構築し、ePDGアドレスを解決するためにDNSクエリーを用いる。引き続いて、UEは、返却されたリストからePDGアドレスを選択し、このePDGへのIKE/IPSecトンネル確立を開始する(Kaufmanの「インターネットキー交換(IKEv2)プロトコル」、IETF RFC 4306、2005年12月;http://www.ietf.orgより入手可能であり、参照によって本明細書に包含される)。IKE/IPsecトンネルが設定される場合は、UEはPDN接続のためのユーザデータを送受信することができる。しかしながら、キーを作成することから、IKEv2/IPsecトンネルの確立には多くの時間がかかる。したがって、信頼できない非3GPPアクセス(複数個)へのより高速なハンドオーバを許容するためには、UEは、パケットデータネットワーク及び関連付けられたホームIPアドレスへの既存接続を用いたハンドオーバを行う前に、ePDGを発見し、セキュアトンネルを確立するべきである。
【0015】
ネットワーク構成に依存して、UEが事前に接続しうるいくつかのePDG(複数個)候補があるはずである。しかし、そのうちのいくつかは新規のアクセスからは到達可能でないかもしれず、又は、経路設定の効率の点で最適でないかもしれない。したがって、いくつかのePDG(複数個)に対して状態を長時間維持することを回避するためには、UEは、信頼できない非3GPPアクセスへのハンドオーバが開始されるとすぐに、ePDGとのIKE/IPSecトンネルを事前に確立するべきである。
【0016】
UEが標的ePDGにおいて事前確立を実行したい場合に発生しうる1つの問題は、PDN−GW、もしくは、パケットデータネットワークのいずれかを経ても(via)、ePDGが既存のPDN接続からは到達可能でない(図2を参照のこと)ことである。このことは、例えば、パケットデータネットワーク(例:企業内ネットワーク又はIMS/SMSネットワーク)が、外部ネットワークすなわちePDGへの接続を許容しないということ、又は、PDN/PDN−GW/IPのアドレス変化によるハンドオーバの場合には、ePDGが新規の接続から到達可能でないということでのアクセス制限を理由に起こりうる。
【0017】
さらに、UEは、自己が接続しているPDN(複数個)のいずれかから当該ePDGが到達可能であるか否かを知らないかもしれず、かつ、ePDGの到達不可能性の検出は、(例:到達可能性試験のベアラ作成のための)信号負荷を増加させ、時間をかけ、ひいては、ハンドオーバ遅延を増大させるかもしれない。
【0018】
この遅延は数分かかることすらあり、その理由は、3GPP TS23.402の第7.2.1節及び第7.3節に記載された手順によると、UEは、ePDGへとIKE_SA_INITメッセージを送信し、当該ePDGに到達可能でない場合は、いかなる応答も受信されないか、又は、ICMP宛先到達不可能が受信されてもよいとなっているからである。IKEv2規格は、数分間をかけて要求を再送信すること、及び、「[略]エンドポイントは、いかなる経路設定情報(例、ICMPメッセージ)に基づいても、他方のエンドポイントが失敗したと結論付けてはならない。[略] エンドポイントは、それに接続するための反復の試みがタイムアウト時間にわたり返答なく過ぎた場合にのみ、他方のエンドポイントが失敗したと結論付けなければならない。[略]ある1つのSAに見切りを付ける前に、メッセージが少なくとも数分間、少なくとも12回再送信されることが提言される」ことを示唆している(IETF RFC 4306のセクション2.4を参照のこと)。
【発明の概要】
【0019】
本発明の1つの目的は、例えばePDGといった信頼できるパケットデータゲートウェイを発見するメカニズムによって示されたアクセスネットワークへのモバイルノードの接続の後の、又は、ハンドオーバ手順の遅延を縮小することである。
【0020】
本目的は、独立請求項の主題によって解決される。本発明の有利な実施形態は従属請求項の主題である。
【0021】
本発明の1つの態様は、モバイルノードが標的アクセスネットワークに接続又はハンドオーバした後に、信頼できるパケットデータゲートウェイへのセキュアトンネルの高速の確立を促進することである。この目的のために、モバイルノードは、標的アクセスネットワーク内において到達可能である、すなわち、モバイルノードがセキュアトンネルを確立してもよい信頼できるパケットデータゲートウェイ(例:ePDG)、又は、信頼できるパケットデータゲートウェイ(複数個)を識別するために参照できる到達可能性リストを維持している。モバイルノードが、所定のアクセスネットワークに対する到達可能な信頼できるパケットデータゲートウェイを到達可能性リストから識別できる場合は、モバイルノードは、当該所定のアクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する。いくつかの変形例においては、セキュアトンネルは、標的アクセスネットワークへの接続の前に、事前に確立されてもよい。このトンネルは暫定的に事前に確立されてもよく、すなわち、それは、セキュアトンネルが起動される前には、データの経路設定のためには用いられない。したがって、モバイルノードが標的アクセスネットワークに接続した後に、モバイルノードは事前に確立されたトンネルを起動してもよい。
【0022】
発明のこの態様によると、本発明の1つの例示的な実施形態は、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供する。この方法によると、モバイルノードは、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って(through)到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定し、及び、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する。
【0023】
モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するための本明細書中に記載された様々な方法は、標的アクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスが、ソースアクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスと異なっている場合、もしくはモバイルノードがソースアクセスリストによってトンネルを確立した信頼できるパケットデータゲートウェイは、到達可能性リストによって、標的アクセスネットワークを通って到達可能でない場合に、モバイルノードにより実行のみされてもよいことに更に留意するべきである。言い換えれば、この様々な方法は、標的アクセスネットワークを通っても当該信頼できるパケットデータゲートウェイが到達できない場合にのみ、実行される必要がある。
【0024】
これは、セキュリティアソシエーション(例:IPsecアソシエーション)それぞれのセキュアトンネルが、典型的には、モバイルノードの特定のIPアドレスに結合されていることを理由としている。モバイルノードのIPアドレスが変更されない限り、かつ、セキュリティアソシエーションの片方の信頼できるパケットデータゲートウェイが到達可能である限り、新規の信頼できるパケットデータゲートウェイへの新規のセキュアトンネルそれぞれに対して、いかなる新規のセキュリティアソシエーションも(他の理由により所望されない限り)確立される必要はない。
【0025】
本発明の他の実施形態では、到達可能性リストは、データセットをリストアップしている。データセットは、データ経路、及び、データ経路それぞれに対する既知の信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスを示す。それぞれのデータ経路が到達可能性リスト中に表示される態様は、実装ごとに特有である。例えば、データ経路は、アクセスネットワーク識別子(複数個)、コアネットワーク識別子(複数個)及びアクセスポイント名(複数個)の組み合わせ、コアネットワーク識別子(複数個)とアクセスポイント名(複数個)の組み合わせ、又は、単にアクセスポイント名(複数個)によって指示されうる。
【0026】
本発明のさらなる実施形態では、信頼できるパケットデータゲートウェイが到達できる保存されたリストから、パケットデータネットワークのいかなるアクセスポイント名が決定されなかった場合には、モバイルノードが標的アクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイ(すなわち、任意の信頼できるパケットデータゲートウェイ)へのセキュアトンネルを確立するよう、更に試みる。モバイルノードがセキュアトンネルを確立するよう試みる信頼できるパケットデータゲートウェイは、例えば、モバイルノード内に事前に構成されていてもよく、もしくは、モバイルノードによって標的アクセスネットワークへと送信されたDNSクエリーからモバイルノードによって学習されうる。
【0027】
(信頼できるパケットデータゲートウェイが到達できる保存されたリストからのパケットデータネットワークのいかなるアクセスポイント名が、到達可能性リストにリストアップされていないことを理由に)モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するよう試みるときで、信頼できるパケットデータゲートウェイに到達不可能であることを理由に信頼できるパケットデータゲートウェイへのいかなるセキュアトンネルが確立できない場合には、モバイルノードは、到達不可能な信頼できるパケットデータゲートウェイが当該データ経路を通って到達可能でない旨の指示、並びに、前記到達不可能な信頼できるパケットデータゲートウェイへのデータ経路を到達可能性リストに表示するデータセットを更に任意で追加してもよい。同じように、セキュアトンネルが信頼できるパケットデータゲートウェイに確立できる場合には、モバイルノードは、到達可能な信頼できるパケットデータゲートウェイがデータ経路を通って到達可能であること、並びに、前記到達可能な信頼できるパケットデータゲートウェイへのデータ経路を示すデータセットを、到達可能性リストに任意で追加してもよい。
【0028】
したがって、本発明の他の実施形態では、モバイルノードは、データ経路それぞれを通って到達できるか又は到達できない信頼できるパケットデータゲートウェイ(複数個)についての情報を動的に学習し、維持する。同様に、信頼できるパケットデータゲートウェイの到達可能性ステータスが所定のデータ経路に対して変化した場合には、モバイルノードは到達可能性リストを更新してもよい。
【0029】
上記に論じた例示的な実施形態のうちのいくつかにおいて、モバイルノードは、信頼できるパケットデータゲートウェイ(複数個)への接続の試みの成功や失敗に基づいて、自己の到達可能性リストを更新及び構築してきた。他の実施形態では、モバイルノードの到達可能性リストは、アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから受信されてもよい。受信した到達可能性リストは、モバイルノードの既存の「ローカルな」到達可能性リストを更新するために、又はそのリストの代替として用いられうる。
【0030】
したがって、このような到達可能性リスト又はそのリスト入力事項が最新であるか否かの確認を可能にするために、リスト又はその入力事項それぞれは、モバイルノードが到達可能性リスト又はその入力事項それぞれを更新するように、情報がいつ最後に更新されたかを確認してもよいことに基づいて、タイムスタンプ(又は個別のリスト入力事項に対するタイムスタンプ)を含んでいてもよい。明らかに、モバイルノードは、信頼できるパケットデータゲートウェイ(複数個)への到達可能性のステータスについての最新情報を維持するよう試みるべきである。
【0031】
1つの例示的な実施例では、到達可能性リストは、データ経路それぞれ及び信頼できるパケットデータゲートウェイそれぞれを通って到達可能である信頼できるパケットデータゲートウェイのデータ経路をリストアップしたホワイトリストと、データ経路それぞれ及び信頼できるパケットデータゲートウェイそれぞれを通って到達可能でない信頼できるパケットデータゲートウェイのデータ経路をリストアップしたブラックリストとの2個のリストから成りうる。
【0032】
上記に記載された例示的な実施形態では、モバイルノードは、標的アクセスネットワークへとハンドオーバした後に、すなわち、標的アクセスネットワークを通って、信頼できるパケットデータゲートウェイへのセキュアトンネルをすでに確立済であった。本発明の他の実施形態による別の代替的なオプションは、モバイルノードがソースアクセスネットワーク内に位置している時に、モバイルノードがセキュアトンネルをすでに維持している信頼できるパケットデータゲートウェイへの接続を維持するよう試行させることである。
【0033】
したがって、本発明のさらなる例示的な実施形態では、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供しており、そこで、モバイルノードは、まず、別のアクセスネットワーク、すなわち標的アクセスネットワークへのハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立した。標的アクセスネットワークへの接続の前に、モバイルノードは、信頼できるパケットデータゲートウェイが標的アクセスネットワークを通って到達できるか否かを確認するであろう。これは、例えば、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、行うことができる。信頼できるパケットデータゲートウェイが標的アクセスネットワークを通っても到達できる場合は、モバイルノードは、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークに接続したコアネットワーク(PLMN)のコアネットワークノード(例AAA、HSS)に(ソースアクセスネットワークを経て)要求してもよい。このソリューションは例えば、モバイルノードの加入プロファイルが、PLMN間のハンドオーバに対するローカルモビリティアンカ(LMA)の変化(例えば、PDN−GW内で実装することができる機能)を必要とするが、モバイルノードが、自己の現在のローカルモビリティアンカ(例:PDN−GW)への接続を維持することを所望する状況において、有利であってもよい。
【0034】
また、本発明は、信頼できるパケットデータゲートウェイへのセキュアトンネルを(事前に)確立するための異なる方法のうち1つを実行することが可能であることをモバイルノードに提供する。したがって、さらなる実施形態による本発明は、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定する演算装置(例えば、処理装置、デジタル信号処理装置(DSP)、又は、適切であるか又は適切にプログラムされた他の専用ハードウェアもしくは電気回路)を構成するモバイルノードを提供する。モバイルノードは、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置(例えば、送信装置及び受信装置)を更に構成する。
【0035】
本発明の他の実施形態は、ハンドオーバの前に、ソースアクセスゲートウェイを通って、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置(例えば、送信装置及び受信装置)と、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、標的アクセスネットワークを通って信頼できるパケットデータゲートウェイに到達できるか否かを、標的アクセスネットワークへの接続の前に確認する処理装置を含むモバイルノードを提供している。モバイルノードの通信装置は更に、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークに接続されたコアネットワークのコアネットワークノードに、ソースアクセスネットワークを経て要求するよう、適応されうるか、又は、処理装置によって適切に制御されうる。
【0036】
本発明のさらなる実施形態によるモバイルノードは、本明細書中に記載された本発明の様々な実施形態によるいくつかの方法のステップを実行することをモバイルノードが許容する手段(メモリ、特別に専門の又はプログラムされたハードウェア又は電気回路など)を含んでもよい。
【0037】
本発明のさらなる実施形態は、ソフトウェア/コンピュータプログラムによる手段によって、本明細書中に記載された方法の実施に関する。したがって、本発明の他の実施形態は、モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定し、並びに、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立することによって、モバイルノードの処理装置によって実行された場合には、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体を提供する。
【0038】
本発明の他の実施形態は、モバイルノードの処理装置によって実行された場合には、ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立し、モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、標的アクセスネットワークを通って信頼できるパケットデータゲートウェイが到達できるか否かを、標的アクセスネットワークへの接続の前に確認し、並びに、モバイルノードが標的アクセスネットワークに接続した後に、パケットデータネットワークゲートウェイを経た信頼できるパケットデータゲートウェイへの接続を維持するよう、ソースアクセスネットワークを経て、標的アクセスネットワークに接続されたコアネットワークのコアネットワークノードに要求することによって、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体を提供する。
【0039】
上記に記載された本発明のほとんどの例示的な実施形態において、モバイルノードは、所定のアクセスネットワーク内でいずれの信頼できるパケットデータゲートウェイが到達できるかを決定するために、到達可能性リストを用いてきた。以下の例示的な実施形態は、代替的なアプローチに関し、それで、ネットワークがモバイルノードに到達可能な信頼できるパケットデータゲートウェイ(複数個)についての情報を提供する。このアプローチもまた、到達可能性リストを維持するモバイルノードと協力して、任意で用いられてもよく、例えば、ネットワークから受信された情報は、モバイルノードによって維持されたローカルな到達可能性リストを更新するのに用いられてもよい。
【0040】
この代替的なアプローチによると、本発明の他の実施形態は、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法を提供する。モバイルノードは、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、又は、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、メッセージ(例:接続メッセージ又は追跡エリア更新メッセージ)を第1のアクセスネットワークへと送信する。このメッセージに応答して、モバイルノードは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示す応答メッセージを受信する。もし可能である場合は、モバイルノードは、モバイルノードが第2のアクセスネットワークに接続するか又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立する。この実施形態では、セキュアトンネルが事前に確立された信頼できるパケットデータゲートウェイがモバイルノードに対して第2のアクセスネットワークを通って到達可能であることが、実現可能であるかもしれない。第1のアクセスネットワークは、例えば、3GPPベースのネットワークであってもよい。
【0041】
モバイルノードによって第1のアクセスネットワークへと送信されたメッセージは、例えば、モバイルノードの現在位置についての位置情報のうち少なくとも1つ、モバイルノードが接続を所望する信頼できるパケットデータゲートウェイのIPアドレス(複数個)、1個以上のアクセスネットワーク識別子(複数個)、1個以上のコアネットワーク識別子(複数個)及び1個以上のアクセスポイント名(複数個)を含むことができる。
【0042】
本発明のさらなる実施形態では、パケットデータゲートウェイは、モバイルノードによって第1のアクセスネットワークへと送信されたメッセージにモバイルノードによって含められた情報に基づいて、応答メッセージを用いたモバイルノードへの送信用の情報を、コンパイルしうる。このパケットデータゲートウェイは、例えば、モバイルノードのホーム3GPPネットワーク内に位置しうる。
【0043】
本発明の他の実施形態によると、応答メッセージは、信頼できるパケットデータゲートウェイ(複数個)の1個以上のアドレス(複数個)を含み、かつ、任意で、標的アクセスネットワーク(複数個)それぞれを通った信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスの指示、及び/又は、信頼できるパケットデータゲートウェイ(複数個)の優先順位を更に含む。前述のとおり、かかるリストがモバイルノードによって維持されている場合には、この情報は、到達可能性リストを更新するべく任意で用いられうる。
【0044】
このネットワークベースのアプローチに即して、本発明の他の実施形態は、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するモバイルノードを提供している。当該モバイルノードは、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、もしくは、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、第1のアクセスネットワークへと接続メッセージ(又は追跡エリア更新メッセージ)を送信する送信機と、モバイルノードにおいて、接続メッセージ(又は追跡エリア更新メッセージ)への応答メッセージを受信する受信機とを構成し、そこで、その応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示す。さらに、モバイルノードは、モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立するよう、モバイルノードを制御するよう構成された処理装置を含める。
【0045】
同様に、本発明の他の実施形態は、モバイルノードの処理装置によって実行された場合には、モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、もしくは、モバイルノードが第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、モバイルノードから第1のアクセスネットワークへとメッセージを送信し、モバイルノードにおいて、接続メッセージ(又は追跡エリア更新メッセージ)への応答メッセージを受信し、そこで、その応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が第1のアクセスネットワークを通って可能であるか否かを示し、並びに、モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、モバイルノードによって事前に確立することによって、モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立される指示を保存する、コンピュータで読み取り可能な媒体に関連している。
【図面の簡単な説明】
【0046】
以下、本発明は、添付図面を参照してより詳細に説明される。図面中の類似又は対応する詳細事項には、同一の参照番号が付けられている。
【0047】
【図1】LTE 3GPPシステムの例示的なアーキテクチャを示す
【図2】ePDG(複数個)の変化する到達可能性を強調するために、異なるアクセスネットワーク、PLMN(複数個)及びPDN(複数個)との例示的な通信ネットワーク(複数個)を示す
【図3】本発明の例示的な実施形態による、モバイルノードが信頼性できないアクセスに接続した後に、セキュアトンネルの事前確立の例示的な確立及びその起動を示す
【図4】本発明の例示的な実施形態による、モバイルノードが信頼できないアクセスに接続した後に、セキュアトンネルの事前確立の例示的な確立及びその起動を示す
【図5】本発明の他の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここで、モバイルノードは、新規のアクセスネットワークに接続した時にPDN−GWへの自己の接続を維持するよう試みる
【図6】本発明の他の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、モバイルノードは、新規のアクセスネットワークに接続した時にPDN−GWへの自己の接続を維持するよう試みる
【図7】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、信頼できないアクセスネットワークへのハンドオーバの後に、モバイルノードは事前に確立されたセキュアトンネルを用いている
【図8】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、信頼できないアクセスネットワークへのハンドオーバの後に、モバイルノードは事前に確立されたセキュアトンネルを用いている
【図9】本発明の他の実施形態による図8及び図9の通信ネットワーク内の例示的なメッセージフローを示す
【図10】本発明の実施形態による例示的な通信ネットワーク及びシグナリングのフローを示し、ここでは、モバイルノードが信頼できるアクセスネットワークへのハンドオーバを実行している
【図11】本発明の他の実施形態による例示的なメッセージフローを示し、ここでは、モバイルノードは、自己の近隣のePDG(複数個)についての情報を取得するために、DNSクエリーを用いる
【図12】本発明の他の実施形態による、改善されたIKE2シグナリングのフローを示す、ここでは、認証されたICMP宛先到達不可能メッセージを用いる
【図13】本発明の実施形態による、例示的な通信ネットワークを示す、ここでは、PMIPがモバイルノードに提供される
【図14】本発明の他の実施形態による図14の通信ネットワーク内における例示的なメッセージフローを示し、ここでは、モバイルノードが、自己の近隣に位置しているePDG(複数個)についての情報を、モバイルアクセスゲートウェイによって提供される
【発明を実施するための形態】
【0048】
以下の段落は本発明の様々な実施形態を記載する。例示的目的のみのために、大部分の実施形態は、上記の背景技術のセクションに論じられたLTEに応じた(進化型)通信システムに関連して概説される。用語「モバイルノード(MN)」及び「ユーザ装置(UE)」は取り替えて使うことが可能な用語であることに留意していただきたい。
【0049】
本発明の1つの態様は、モバイルノードが標的アクセスネットワークへの接続又はハンドオーバした後に、信頼できるパケットデータゲートウェイへのセキュアトンネルの高速な確立を促進することである。また、セキュアトンネルの高速な確立は、暫定的なセキュアトンネルの事前確立を含んでおり、それは、後になって、例えば、ソースアクセスネットワークから標的アクセスネットワークへのハンドオーバの1部として、標的アクセスネットワークに接続した時にモバイルノードによって起動される。本発明のいくつかの実施形態では、モバイルノードは、標的アクセスネットワーク内において到達可能である信頼できるパケットデータゲートウェイ(例:ePDG)又は信頼できるパケットデータゲートウェイ(複数個)を識別するために参照できる到達可能性リストを維持している。「到達可能な」とは、モバイルノードが、所定のアクセスネットワークを通って、所定の信頼できるパケットデータゲートウェイへのセキュアトンネルを確立できることを意味する。
【0050】
到達可能性リストの維持に関して、モバイルノードは、例えば、所定のアクセスポイント名(又はデータ経路)の信頼できるパケットデータゲートウェイの到達可能性を調査してもよく、かつ、この情報を到達可能性リスト中に保存してもよい。したがって、モバイルノードがさらに遅い時点でこのアクセスネットワークに再度接続する場合には、それは、維持された到達可能性リストから、(到達可能性ステータスがしばらくの間は変更されていない場合は)所定のアクセスポイント名に対していずれの信頼できるパケットデータゲートウェイが到達可能であるべきかを学習することができ、ひいては、到達不可能な信頼できるパケットデータゲートウェイへのセキュアトンネルの設定を試みたことに起因しうる到達可能性の検出の遅延を回避してもよい。
【0051】
以下に更に説明されるように、到達可能性リストが実装される方法、すなわち、その中にいずれの情報が維持されるかについては様々な可能性がある。最も単純な実装において、到達可能性リストは、アクセスポイント名(複数個)それぞれに対する1個以上の信頼できるパケットデータゲートウェイ(複数個)、及び、信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータス(所定のアクセスポイント名に対して到達可能/到達不可能)を示す。
【0052】
より高度な実装では、到達可能性リストは、データ経路ごとにいずれの信頼できるパケットデータゲートウェイ(複数個)が到達可能であるか否かを示してもよい。データ経路の最も単純な表示はアクセスポイント名で、この場合には、実装は、上記に論じられた最も単純な実装と対応している。他の例では、データ経路は、アクセスポイント名と所定のPLMN識別子の組み合わせ、又は、アクセスポイント名と、所定のPLMN識別子と、及び所定のアクセスネットワーク識別子との組み合わせによって、形成されうる。アクセスネットワーク識別子の例は、WLANアクセスポイントのSSID(サービス設定識別子)、アクセスポイント識別子、追跡エリア識別子、3GPPベースのシステム内のNode Bの識別子等である。
【0053】
一般に、到達可能性リストの内容及び設計は実装ごとに特有であり、かつ、到達可能性ステータスに依存しうることに留意されるべきである。大部分において、到達可能性リストは、信頼できるパケットデータゲートウェイのアクセスポイント名及び識別子を示すべきである。信頼できないアクセスの場合、信頼できないアクセスネットワークの識別子及び信頼できるパケットデータゲートウェイを自己の到達可能性ステータスとともに保存することもまた実現可能であろう。信頼できないアクセスでは、モバイルノードは、PDN−GW又はAPNについての情報を保存することは必要とされないこととなるよう、PDN−GWを経て信頼できるパケットデータゲートウェイに接続されない。
【0054】
本発明の1つの例示的な実施形態では、到達可能性リストはホワイトリスト及びブラックリストの2個のリストから成り、両方ともモバイルノードによって維持されている。モバイルノードが、アクセスネットワークへの初期接続、又は、アクセスネットワーク及び/又はPLMNの変化をもたらすハンドオーバを実行した時は、それは、ハンドオーバの後に信頼できるパケットデータゲートウェイ(例、ePDG)が到達可能であるか否か及びいずれのパケットデータゲートウェイが到達可能であるかを決定するために、ホワイトリスト及びブラックリストを活用する。
【0055】
例えば、信頼できる動作、例えば、信頼できない非3GPPアクセスへの次の着信ハンドオーバがない段階において、モバイルノードは、異なるPDN接続(複数個)を確立し、かつ、それらのPDN接続(複数個)を通って異なるePDG(複数個)に到達するよう試みることができる。ePDG(複数個)の到達可能性は、例えば、IKE/IPSecアソシエーション/トンネルを事前に確立するためのIKE/IPSecシグナリング手順を開始することによって、試験されうる。(所定のアクセスポイント名によって識別された)所定のPDN接続に対してセキュアトンネルが事前に確立できる場合には、モバイルノードは、PDN接続のそれぞれの所定のデータ経路を通って到達可能である信頼できるパケットデータゲートウェイ(例:ePDG)それぞれを示すために、ホワイトリストを追加又は更新してもよい。不成功のトンネル確立は、ブラックリスト内に追加される。ePDG(複数個)の到達可能性を確認する時にモバイルノードが信頼できるアクセスネットワーク内に位置している場合には、セキュアトンネルは、暫定的にのみ、確立されてもよく、以下に更に概説されるだろう。
【0056】
本発明の1つの例示的な実施形態では、ホワイトリストは、ePDGが到達可能となるアクセスポイント名(複数個)及び関連のアクセスネットワークのID(複数個)及びPLMNのID(複数個)のリストを含む。ホワイトリストの例が、表1に示される。
【0057】
【表1】
【0058】
この実施形態によると、ブラックリストは、ePDGが到達可能でないアクセスポイント名(複数個)及び関連のアクセスネットワークID(複数個)及びPLMNのID(複数個)のリストを含む。ブラックリストの例は、以下の表2に提供される。
【0059】
【表2】
【0060】
以下において、本発明の例示的な実施形態が図3及び図4を参照して説明されており、これらにおいて、ホワイトリスト及びブラックリストは、信頼できるパケットデータゲートウェイへのセキュアトンネルを事前に確立するのに用いられる。アクセスネットワークへの初期接続の場合には、モバイルノード(UE301)はまず、自己が接続しているアクセスネットワーク及びPLMNを確認する。アクセスネットワークは例えば、アクセスネットワークの無線セル内で一般的にブロードキャストされるアクセスネットワーク識別子によって識別できる。例えば、WLAN内では、WLANアクセスポイント(AP)は典型的には、受信可能エリア内にある自己のSSIDをブロードキャストする。3GPPベースのアクセスでは、Node B(複数個)は典型的には追跡エリアコード及びセル識別をブロードキャストする。他のオプションは、アクセスポイント名(複数個)が、モバイルノード内で事前に構成されており、かつ、モバイルノードによってインターネットからダウンロードされることであり、ユーザ等によって移動性端末に手動で入力されてもよいことである。言い換えれば、モバイルノードに異なるアクセスポイント名(複数個)を提供する方法に関して、様々な可能性がある。さらに、PLMN識別子は、また、典型的に、自己に接続したアクセスネットワーク内でブロードキャストされる。アクセスネットワークに接続したPMLNを識別するための他のオプションは、本質的には、以前のアクセスネットワークの識別のために同定されたものと同じである。
【0061】
図3に示されるように、モバイルノードが3GPPアクセスネットワーク(すなわち、信頼できるアクセスネットワーク)に初期接続すること、及び、PLMNがモバイルノードのホームPLMN(HPLMN)であることが例示的に想定されてもよい。このように、モバイルノードは、自己が3GPPアクセスネットワークに接続されているので、自己が3GPPサービスを用いるePDG302へのセキュアトンネルを用いる必要はないことを認識するであろう。
【0062】
モバイルノードが自己のHPLMNに(又は任意の他のPLMNに)接続した時は、その中のサービングPDN−GW203は、モバイルノードによってIP通信(303)のために用いられるモバイルノードに対し、IPアドレスを割り当てる。アクセスネットワーク、又はむしろPLMNへのIP接続性を確立した時には、モバイルノードは、PLMN内で到達可能である信頼できるパケットデータゲートウェイ、ePDG302を、ホワイトリスト及びブラックリストを用いて、参照してもよい。この目的のために、モバイルノードは、ePDGが到達可能であると示されているホワイトリスト中のAPN(複数個)のうち1個(ここではAPN:IMS)を選択する。ePDGの外部IPアドレスがホワイトリストからか又はブラックリストからかがわからない場合には、モバイルノードは、到達可能なePDGの外部IPアドレスを解決するために、DNSサービスを用いることができるであろう。この接続において、外部IPアドレスは、選択されたAPNと一致するPDNから到達可能なePDGのIPアドレスを示す。図3の例では、ePDGの外部IPアドレスは、PDN#2(APN:IMS)から到達可能な自己のインタフェイス上に構成されたIPアドレスである。
【0063】
モバイルノードによって識別できる到達可能なePDG302が存在する場合は、モバイルノードは、信頼されていないアクセスネットワークへと移動する時に使用する可能性があるため、セキュアトンネルに事前確立するよう試みる(304)。しかしながら、この事前に確立されたセキュアトンネル(306)は、暫定的にのみ確立され、すなわち、以下に記載されるように、起動されていない限り、セキュアトンネルはデータ通信には用いられない。この理由のため、モバイルノードは、ePDGを選択するためにホワイトリスト中に掲載された任意のAPNを用いることができ、すなわち、ePDGの選択は、モバイルノードが現在使用している実際のAPNに依存していない。好ましくは、選択されたePDG302は、モバイルノードが移動する可能性がある信頼できないアクセスネットワークから、到達可能であるべきであるので、モバイルノードは、新規のアクセスネットワークへと移動した時にePDG302を用いる(すなわち、暫定的な事前確立されたセキュアトンネルを起動する)ことができる。
【0064】
さらに、任意で、ePDG302は、モバイルノードがePDG302への自己の暫定的なセキュアトンネルを起動している時に用いてもよい、PDN−GW203への暫定的なトンネルを事前に確立してもよい。ePDG302とPDN−GW203の間のこの暫定的なトンネルもまたアクティブではない、すなわち、ePDG302及びPDN−GW203は、起動されるまではこのトンネルを通ったモバイルノードに対する/からのデータを経路設定しない。ePDG302とPDN−GW203の間のトンネルが事前に確立されていない場合は、信頼できないアクセスへと移動する時にモバイルノードで用いたePDGも、モバイルノードに応答して、ePDGへの事前に確立されたセキュアトンネルを起動するトンネルを確立することもできるし、もしくは、最初にePDGへのセキュアトンネルを確立する。
【0065】
セキュアトンネルを(事前に)確立するために、モバイルノードは例えば、最初にePDGへのIKEv2セキュリティアソシエーションを確立するために、上記に言及したIKEv2プロトコルを用いてもよい。IKEセキュリティアソシエーションは、本質的に、IPsecセキュリティアソシエーションを確立するために後に用いられてもよく、通信パートナー間の1組の共有鍵を提供している。
【0066】
IPsecセキュリティアソシエーションは、関連部分において、通信パートナー、すなわち、いずれのデータパケットがいずれのIPアドレスに送信されることとなること、及び、前記パケットの送信に用いられる暗号化等を定義している。したがって、IPsecセキュリティアソシエーションは、IPsecトンネルを参照してもよい。IPsecトンネルが事前に確立されているにもかかわらず、IPsecトンネルが起動されていないこと、すなわち、ePDGとモバイルノードは、「暫定的」又は「起動停止した」状態でIPsecトンネルを維持しており、IPsecトンネルを通ってIPsecセキュリティアソシエーションが結合されているIPアドレスそれぞれに設定されたデータパケットを経路設定しないことを留意すべきである。
【0067】
さらに、モバイルノードは、サービングPDN−GWによってモバイルノードに割り当てられたIPアドレスを、暫定的なIPsecトンネルを確立するために用いることに留意するべきである。それゆえに、IPsecトンネルのセキュリティアソシエーションは、モバイルノードのこのIPアドレス及びePDGの外部IPアドレスと結合されている。この接続において、さらに、モバイルノードが、IPsecトンネルの事前確立のためにePDGの外部IPアドレスを用いることを留意すべきである。例えば、ePDGがPDN−GWと同じPLMNに位置している場合は、暫定的なIPsecトンネルを確立するための制御シグナリングは、PLMN内に内部的に経路設定されていないが、「外部」PDNを通って、ePDGの外部IPアドレスへと経路設定される。ePDGの外部IPアドレスの外部IPアドレスへのデータの経路設定は、実装に依存していてもよい。例えば、サービングゲートウェイ又はPDN−GWもまた、そのシグナリングをアドレス指定するために用いたIPアドレスはePDGの外部IPアドレスであるものの、例えば、PLMNを通ってePDGへの静的経路を確立することによって、外部IPアドレスへの内部経路設定を可能にしうる。
【0068】
モバイルノードが(例えば、ハンドオーバによって)次のアクセスネットワークへと移動した後の状況が、例示的に図4に示される。モバイルノード(UE301)が別の3GPPアクセスネットワークに移動した後に、モバイルノードは自己が接続しているアクセスネットワーク及びPLMNを再度確認する。この場合には、モバイルノードは、自己が別のアクセスネットワークに移動したこと、及び、PLMN及びPDN−GWを変更したことを検出中であるので、モバイルノードはePDGへの事前に確立されたトンネルを更新する必要がある。図3における状況と類似して、ここではサービングPDN−GW307は、新規の信頼できるアクセスネットワークへの接続の後に、IP通信のためにモバイルノードによって用いられるIPアドレスをモバイルノードに割り当てるものとする(例えば、新規のPLMNが同一のPMIPドメインに属していない場合)。モバイルノードは、ePDG302への事前に確立された暫定的なトンネル(305)がホワイトリスト及びブラックリストを参照することによって新規のアクセスネットワーク内で用いられることができるか否かを確認する。
【0069】
この例では、ホワイトリストは、モバイルノードに対して、ePDG302がPDN#3(APN:インターネット)を通って到達可能であることを示す。新規の3GPPアクセスネットワークへと移動する時にモバイルノードのIPアドレスが変更したと想定されるので、ePDG302へのIPsecセキュリティアソシエーションは、モバイルノードがもはや使用していないIPアドレスに結合されている。したがって、ePDG302への暫定的なセキュアトンネルを更新するために、以下にさらに詳細に記載されるように、モバイルノード401は、ePDG302へのセキュリティアソシエーションの自己のIPアドレスを更新する。
【0070】
モバイルノードが、新規のアクセスネットワークへの接続の後に、ePDG302への暫定的なセキュアトンネルが新規のアクセスネットワーク内において用いられることができないことを万が一に検出したときで、すなわち、ブラックリスト及びホワイトリストの確認が、新規のデータ経路(すなわち、新規のアクセスネットワークのID、PLMNのID及びAPN)に対するホワイトリスト中にePDG302のいかなる入力も存在しないことを明らかにした場合には、モバイルノードは、到達可能なePDGがわかっている別のAPNをホワイトリストから選択し、PDNそれぞれに選択されたAPNに接続し、及び、図3に関するePDGに対して記載された類似の形態において、このePDGへのセキュアトンネルを確立するよう試みる。
【0071】
さらに、上記の図3及び図4に関して記載された例では、同じものを確立するために用いたIPアドレスへのセキュリティアソシエーションのバインディングは、モバイルノードのIPアドレスが変化中である場合には、モバイルノードとePDG302の間のシグナリングによって更新できると想定されてきたことに留意するべきである。しかしながら、このことはすべてのシナリオでは可能でない可能性がある。例えば、セキュリティアソシエーションのバインディングが更新できない場合は、モバイルノードは、新規の信頼できるアクセスネットワークへと移動する時に、到達可能なePDGへの新規のセキュアトンネルを確立するする必要があるかもしれない。このことは、モバイルノードが、自己が接続しているアクセスネットワーク及びPLMNを検出し、かつ、上記に記載された形態と類似の形態において、所定のAPNに対して到達できるePDGのホワイトリスト及びブラックリストを確認することによって、達成することができる。
【0072】
図4に関連して上記に例示されるように、UEが別のアクセスネットワーク及び別のPLMNへのハンドオーバを実行する場合には、PDNネットワーク及びIPアドレスが変更していること、ひいては、ePDGにはもはや到達可能でないことから、事前に確立されたセッションが遮断されていることが起こりうる。この問題を克服するための1つの可能性は、両方のアクセスネットワーク(複数個)からのマルチホーミングを行うことである。しかしながら、移動の場合には、モバイルノードは、この古いアクセスネットワークからはすぐに断線される可能性があり、電力消費が増大し、最終的には、様々なアクセスネットワーク(複数個)からのマルチホーミングは単一の無線モバイルノードとして機能しない。
【0073】
本発明の例示的な実施形態による事前に確立されたセッションの遮断を回避するための別のソリューションは、古いPDNへの接続、ひいては、ePDGへの到達可能性を維持することである。この例示的な実施形態は図5を参照して説明される。
【0074】
考慮するべき1つの潜在的なさらなる問題は、ハンドオーバの場合には、ハンドオーバの後に新規の3GPPアクセスに接続した時に、ネットワーク(例:MME又はAAA又はHSS)がモバイルノード(UE501)に対し、別のデフォルトPDN−GWを選択しうることである。このことは、例えば、HPLMN又はVPLMN内に利用可能である手数料方針にあてはまるかもしれない。
【0075】
新規のPLMN、又はより厳密には新規のPLMN内のS−GWから、古いPDN−GWに到達可能である限りは、たとえモバイルノードの加入コンテクスト又は新規のMMEにおけるローカル事業者の方針が新規のPDN−GWを選択することを許容される場合であっても、古いPDNへの接続を維持することが可能であるべきである。次いで、ハンドオーバの前にモバイルノード(UE501)が、セッション(例:暫定的なセキュアトンネル)が事前に確立されたePDGについて新規の3GPPアクセスネットワークがブラックリスト中にあることを発見した場合に、モバイルノード(UE501)が、新規の3GPPアクセスネットワークへのハンドオーバが実行された時に、PDN−GWを変更しないようソースネットワーク(例:HSS508又はAAAサーバ)に要求する場合には、古いPDN−GW503の使用及び事前に確立されたセッションのePDGへのセッション継続性が達成できる。モバイルノード(UE501)は、例えば、標的アクセスネットワークへのハンドオーバの後にPDN−GWを変更しないようHPLMNに要求するために、測定報告を使用できる。
【0076】
測定報告からの情報、すなわち、PDN−GWを変更しないようにとの要求もまた、例えばハンドオーバがトリガされた時に、モバイルノード(UE501)から3GPPアクセスを経てモビリティ管理エンティティ(MME507)へと転送される。この要求に基づいて、モビリティマネジメントエンティティ(MME507)は、HSS(又は代替的にはAAAサーバ)に、保存された方針を適用しないよう、及び、ハンドオーバ中にPDN−GWを変更しないよう要求する。新規3GPPアクセスへのモバイルノードのハンドオーバ中には、標的モビリティマネジメントエンティティ(MME509)はモバイルノード(UE501)に対する加入コンテクストを受信し、及び、古いPDN−GW(PDN−GW503)への接続を維持するものとする。
【0077】
モバイルノード(UE501)が新規の3GPPアクセスネットワークへと移動し、かつ、接続した時は、モバイルノード(UE501)は、PDN−GWが変更中であるか否かを通知される。このことは例えば、PDNへの接続性を提供するPDN−GWのPLMNを指示するハンドオーバ手順中(例:追跡エリア更新中)にモバイルノード(UE501)にシグナリングされる特有のAPNによって実現されうる。PDN−GWが変更された、例えば、データがVPMLN内のサービングゲートウェイ(S−GW505)によってPDN−GW506へと経路設定された場合、モバイルノード(UE501)は、暫定的なセキュアトンネルを事前に確立できるePDGを見出すべく、別の到達可能なAPNへ接続するよう試みる。PDN−GWが変更されない、すなわち、サービングゲートウェイがHPLMNのPDN−GW503へとデータを経路設定するようネットワーク内の経路設定が更新された場合は、モバイルノード(UE501)は、たとえ到達可能性リストにおけるブラックリストに掲載されている場合であっても同一のAPNに接続される。
【0078】
すでに上記に示したように、モバイルノードが信頼できないアクセスへと移動した時に、ePDGへのセキュアトンネルの確立が迅速化されるべく、所定のアクセスに対する到達可能なePDG(複数個)を識別するために使用できる到達可能性リストもしくは到達可能性情報をモバイルノードが維持又は取得できる方法について様々な可能性がある。モバイルノードが到達可能性リストを動的に作成する代わりに、ePDG(又は別のエンティティ)が、ホワイトリストを作成及び保存しており、かつ、モバイルノードとともにそれを共有することも可能である。このことは、モバイルノード内のホワイトリストの作成を加速するであろう。例えば、ePDGが到達可能性リストを作成できるようにするために、モバイルノードは、APN、アクセスネットワーク等についての情報を、暫定的なセキュアトンネルの事前確立のためのシグナリング中に入れて、ePDGへと提供しうる。次いでこのリストは、モバイルノードによる暫定的なセキュアトンネルの事前確立中に、ePDGからダウンロードされうる。
【0079】
本発明の代替的又は補完的な態様は、到達可能性リストの維持を必要としない(が、任意でそれを活用してもよい)。発明の本態様によると、モバイルノードは、現在のアクセスネットワークの近隣にある信頼できないアクセスへと移動した時に用いられることができた可能性のある信頼できるパケットデータゲートウェイ(複数個)に、自己の現在のアクセスネットワークが接続されているPLMNに問い合わせを行うことができる。モバイルノードは、かかるクエリーに応答して、信頼できるパケットデータゲートウェイ(複数個)についての情報を受信する。例えば、アクセスネットワークへの初期接続の後に、モバイルノードがPDNへの接続を設定する時に、モバイルノードは、PLMN内のいくつかのエンティティによって、現在のアクセスネットワークの近隣にあり、それゆえモバイルノードが移動した場合に標的アクセスネットワーク(複数個)候補である信頼できるパケットデータゲートウェイ(単数又は複数)について通知される。さらに、現在のアクセスネットワークの近隣にあるパケットデータゲートウェイ(単数又は複数)についての情報は、パケットデータゲートウェイ(単数又は複数)それぞれが現在のアクセスネットワークを通っている場合でも、到達可能性ステータスを示すことができた。この情報は、例えば、モバイルノードによって、暫定的なセキュアトンネルを信頼できるパケットデータゲートウェイ(複数個)のうち1つに事前に確立するために、用いられることができる。
【0080】
PLMNが大きな地理的区域(例:市又は州)にかかるいくつかのアクセスネットワーク(複数個)を潜在的に管理(serve)することを考慮して、モバイルノードが、アクセスネットワークに接続した時に、「クエリー」メッセージ、例えば、接続メッセージ中の自己の現在位置又はアクセスネットワーク(複数個)候補(例:標識信号の受信先)のいくつかの指示をPLMNに提供する場合は、有利であるかもしれない。この位置は、例えば、いくつかの追跡エリア識別子によって指示されてもよく、又は、アクセスネットワーク内の現在のアクセスノードについての、基地局ID又はIPアドレス、WLAN等内にあるアクセスノードのSSIDといったいくつかの情報を示しうる。クエリー(又は接続メッセージ)中のこの追加情報に基づいて、クエリー(又は接続メッセージ)に応答しているPLMNノード、例えばPDN−GWは、指示された信頼できないネットワーク(単数又は複数)を通って到達できるePDGのリストをコンパイルしてもよい。さらに、ePDG(単数又は複数)の到達可能性ステータスは、クエリーに応答して指示されてもよいので、モバイルノードが、1個以上の指示されたePDG(複数個)への暫定的なセキュアトンネルの事前確立を実行するようにしてもよい。
【0081】
1つの例示的な実施形態では、モバイルノードは、自己の到達可能性リストを更新するために、PLMNから取得される情報を用いうる。信頼できるパケットデータゲートウェイ(1個又は複数個)の到達可能性ステータスがPLMNによって指示される場合は、モバイルノードは到達可能性リストを即座に更新することができる。そうでなければ、モバイルノードは、到達可能であるか否かを見出すために、指示された信頼できるパケットデータゲートウェイ(1個又は複数個)へのセキュアトンネルを確立するようにまず試みてもよい。
【0082】
上記に指示されたとおり、到達可能な信頼できるパケットデータゲートウェイ(複数個)に対するクエリーは、アクセスネットワークへの接続手順中にモバイルノードによって送信されうる。図7は、1つの本発明の例示的な実施形態による信頼できるアクセスネットワークへのモバイルノード(UE701)の接続の例示的なシグナリング手順を示す。例示的には、モバイルノード(UE701)が自己のホームネットワークのローミングパートナーのネットワークに接続したことを、ローミングシナリオが想定される。したがって、例示的な目的として、モバイルノード(UE701)が、いくつかのサービス(複数個)/PDN(複数個)がアクセスできる(PDN#1、PDN#2)ことによって自己のホームネットワーク(HPLMN)に順番に接続されることを経て、ローミングパートナー(3GPPアクセス#1)のアクセスネットワークを経て、ローミングパートナーの移動先のPLMN(VPLMN#1)に接続されることが想定される。
【0083】
図9に示されるように、3GPPアクセスの基地局(eNode B(複数個))のうち1つへの初期接続(709)の場合には、モバイルノード(UE701)は接続要求メッセージをネットワークへと送信する(901)。接続要求メッセージは、移動先のPLMN(VPLMN#1)のモビリティマネジメントエンティティ(MME702)へと経路設定される。例えば、接続要求メッセージは、サービスが確立されるAPN又はPDN(例:PDN#1/APN:インターネット)を示してもよい。モビリティマネジメントエンティティ(MME702)及びモバイルノード(UE701)は、HSS/AAAサーバによるシグナリングも伴いうる認証手順902を実行する。
【0084】
モビリティマネジメントエンティティ(MME702)は、移動先のPLMN(VPLMN#1)のサービングゲートウェイ(S−GW703)を経て、モバイルノード(UE701)を管理(serve)するパケットデータネットワークゲートウェイ(PDN−GW704)へと送信される(903、904)デフォルトベアラ作成要求メッセージ(Create Default Bearer Request Message)を形成する。パケットデータネットワークゲートウェイ(PDN−GW704)は、モバイルノード(UE701)のHPLMN内に位置していてもよい。
【0085】
デフォルトベアラ作成要求メッセージを受信するパケットデータネットワークゲートウェイ(PDN−GW704)は、ePDGの到達可能性を示すために、デフォルトベアラ作成要求メッセージに応答して生成されるデフォルトベアラ作成応答メッセージ(Create Default Bearer Response Message)のプロトコル構成オプション(PCO)中に1ビットを設定されてもよい。本発明の1つの実施形態によるこの例示的なソリューションでは、モバイルノード(UE701)は、デフォルトベアラ作成応答メッセージ中にビットを設定することによって、ePDGが到達可能であることのみが通知される。しかしながら、モバイルノード(UE701)は、自己が暫定的なセキュアトンネルを事前に確立しようと試みてもよいePDGのIPアドレスを取得するために、(到達可能性リスト、修正されたDNS又はDHCPクエリーのような)他のメカニズムを用いることが必要となるかもしれない。
【0086】
本発明の他の実施形態によると、モバイルノードは、自己の近隣にあるePDG(1個又は複数個)についてのより詳細な情報を提供される。デフォルトベアラ作成要求メッセージを受信した時に、パケットデータネットワークゲートウェイ(PDN−GW704)は、信頼できないネットワークへと移動した時にモバイルノード(UE701)によっていずれのePDGが用いられるか、及び、この具体的なePDGが信頼できないネットワークを通って到達可能であるか否かを(前もって)知らない可能性がある。このように、モバイルノード(UE701)は、パケットデータネットワークゲートウェイ(PDN−GW704)にヒントを与えてもよい。例えば、モバイルノード(UE701)は、当該接続要求メッセージは、パケットデータネットワークゲートウェイ(PDN−GW704)へと送信されるデフォルトベアラ作成要求メッセージへと、モビリティマネジメントエンティティ(MME702)によってコピーされる接続要求メッセージをPCOに含めてもよい。例えば、モバイルノード(UE701)は、(例えば、事前構成を理由に、到達可能性リストから、もしくは以前のDNS要求から)すでに利用可能であれば、信頼できないネットワーク内での使用を自らが意図するePDGのIPアドレスをPCOに含めてもよい。
【0087】
また、モバイルノード(UE701)は、ePDGのIPアドレスを発見するためにパケットデータネットワークゲートウェイ(PDN−GW704)によるDNS要求のためのFQDNの構築を可能にするパラメータ(例:APN及びPLMNのID)も、接続要求メッセージのPCOに含めることができる。加えて又は代替的には、モバイルノード(UE701)は、デフォルトePDGとは異なるePDGが望ましい場合には、現在位置についての情報も含めてもよい(モバイルノード(UE701)は例えば、自己の近隣のPLMN(複数個)候補のPLMNのID(複数個)を含んでもよい)。図7に示される例では、モバイルノード(UE701)は、信頼できないアクセス(WLAN)のSSID、及び、自己の近隣にある3GPPアクセス#2の他のVPLMN#2のVPLMNのIDを示しうる。
【0088】
モバイルノード(UE701)によって提供されるこの情報に基づいて、パケットデータネットワークゲートウェイ(PDN−GW704)は、ノード(UE701)に返送される情報、例えば、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置されているePDGのリストを、デフォルトベアラ作成応答メッセージのPCO中にコンパイルしてもよい。図7に示される例では、コンパイルされた情報は、ePDG705、ePDG706 及びePDG707のIPアドレス及び現在のアクセスネットワーク(3GPPアクセス#1)を通った到達可能性を示しうる。
【0089】
図7の例では、デフォルトベアラ作成応答中のPCOは、HPLMN内のePDG705、ローミングパートナーのVPLMN#1内のePDG706、及び、別のローミングパートナーのVPLMN(VPLMN#2)内のePDG707をリストアップしうる。リストアップされたePDGの到達可能性ステータスが、パケットデータネットワークゲートウェイ(PDN−GW704)に知られている場合は、当該ステータスは、任意で、PCO中に指示されてもよく、又は、モビリティマネジメントエンティティ(MME702)によるモバイルノード(UE701)への転送の前に追加/更新されてもよい。
【0090】
パケットデータネットワークゲートウェイ(PDN−GW704)は、デフォルトベアラ作成応答メッセージを、ePDG(1個又は複数個)についての情報を含むPCO(ePDGに到達可能なPCO)とともに、サービングゲートウェイ(S−GW703)を経て、モビリティマネジメントエンティティ(MME702)へと送信する(905、906)。デフォルトベアラ作成応答メッセージ中のPCOは、モビリティマネジメントエンティティ(MME702)によって、接続応答メッセージ中のモバイルノード(UE701)へと転送される(907)。任意で、モビリティマネジメントエンティティ(MME702)は、転送の前にPCOをフィルタリング又は更新してもよい。例えば、モビリティマネジメントエンティティ(MME702)は、パケットデータネットワークゲートウェイ(PDN−GW704)によってPCOに含まれていない場合には、PCO上にリストアップされたePDG(1個又は複数個)の到達可能性ステータスを追加してもよく、又は、情報をモバイルノード(UE701)へと転送する前にPCO上にリストアップされたePDG(1個又は複数個)の到達可能性ステータスを修正/更新してもよい。モバイルノード(UE701)は、PCOからePDGのIPアドレスをすでに学習済であるので、ePDG(複数個)を発見するためのDNS要求を省略してもよい。
【0091】
モバイルノード(UE701)は、無線ベアラを確立し、接続完了をモビリティマネジメントエンティティ(MME702)へと送信する(908)。接続完了を受信した時には、モビリティマネジメントエンティティ(MME702)は、サービングゲートウェイ(S−GW702)に、ダウンリンクパケットが送信できることを示すベアラ更新要求メッセージ(Update Bearer Request message)を送信し(909)、サービングゲートウェイ(S−GW702)は、ベアラ更新応答メッセージを送信する(910)ことによってメッセージを受信確認する。
【0092】
図7に戻ると、モバイルノード(UE701)の近隣のePDG(1個又は複数個)候補についての情報を受信した(709)後に、及び、アクセスネットワーク(3GPPアクセス#1)への接続に成功した後に、モバイルノード(UE701)は、接続要求メッセージ中に指示されたPDNそれぞれに対するAPNへの接続性(710)を備え、かつ、データをPDN(PDN#1)へと/から送受信できる。さらに、モバイルノード(UE701)は、暫定的なセキュアトンネルを、接続応答メッセージのPCO中に指示されたePDGのうち1つへと事前に確立してもよい(711)。図7に示された例では、モバイルノード(UE701)は、ローミングパートナーのVPLMN(VPLMN#1)内のePDG706への暫定的なセキュアトンネルを事前に確立されている。ePDG706への暫定的なセキュアトンネルの事前確立は、接続応答メッセージに応答して、又は、信頼できないアクセスへの自己の来るべき又は潜在的なハンドオーバ/接続をモバイルノード(UE701)が認識した後に行われてもよい。しかしながら、暫定的なセキュアトンネルの事前確立は義務的ではなく、すなわち、いくつかの他の実装では、以下に詳細に説明されるように、モバイルノード(UE701)は、信頼できないアクセスへと接続した時には、自己の近隣で利用可能なePDG(複数個)についての情報を用いる。
【0093】
図8は、本発明の他の実施形態による、モバイルノードが信頼できないアクセスへと接続した時に自己の近隣で利用可能なePDG(複数個)の情報を活用しうる方法についての例示的なシナリオを示している。図示された例では、モバイルノード(UE701)がePDG706への暫定的なセキュアトンネルを事前に確立したと想定されている(図7を参照のこと)。したがって、ネットワークアクセスポイント(AP708)を通って信頼できないアクセスへと接続した時に、モバイルノード(UE701)は事前に確立された暫定的なトンネルを起動するよう試みる(801)。例えば、モバイルノード(UE701)のIPアドレスは、信頼できないアクセスへと接続した時に変更済であるので、事前に確立された暫定的なセキュアトンネルのセキュリティアソシエーションが、モバイルノード(UE701)の誤ったIPアドレスに結合されていることも想定されうる。したがって、モバイルノード(UE701)は、事前に確立された暫定的なセキュアトンネルのセキュリティアソシエーションを更新し、かつ、セキュアトンネルを起動するePDG706によっていくつかのシグナリングを実行してもよい。セキュアトンネルの起動(802)に成功する場合には、モバイルノード(UE701)は、信頼できないアクセスへの移動前に接続した(信頼できる)移動先のPLMN(VPLMN#1)を通って以前に用いられたPDN(PDN#1)それぞれのサービス(APN:インターネット)にアクセスする(803)ために、ePDG706へのセキュアトンネルを活用することができる。
【0094】
モバイルノード(UE701)は、もちろんHPLMN内のePDG705又は他の移動先のPLMN(VPLMN#2)内のePDG707を選択することができ、かつ、(それらがAPN/PDNへのアクセスをサポートし、信頼できないアクセスを通って到達可能であれば)同様にこれらのePDG(複数個)を通ってPDN(PDN#1)それぞれのサービス(APN:インターネット)に接続することができることを留意するべきである。
【0095】
本発明の代替的な実施形態では、モバイルノード(UE701)は、信頼できないアクセスに接続する前に、ePDGへの暫定的なトンネルを事前に確立していない。この場合には、モバイルノード(UE701)は、信頼できないアクセスへのIP接続性を取得した後にePDG(複数個)のうち1つへのセキュアトンネルを確立するために、接続応答のPCOから学習したePDG(複数個)候補についての情報を用いる。
【0096】
発生しうる別の論点は、別のアクセスが今やモバイルノードの近隣にあるので、UEが別の信頼できるアクセスへと移動する可能性があること、及び、別のePDGへの接続を所望する可能性があることである。図10は、例えば、3GPPアクセス#1等、別のアクセスネットワークからのハンドオーバの後に、3GPPアクセス(3GPPアクセス#2)に接続するモバイルノード(UE701)を図示している。モバイルノード(UE701)は、3GPPアクセス(例:VPLMN#2のVPLMNのIDによって)を発見し、自己の現在位置をネットワークに登録するために追跡エリア更新(TAU)を送信する。典型的には、追跡エリア更新要求メッセージが、新規のPLMN内のモバイルノード(UE701)を管理(serve)するモビリティマネジメントエンティティ(MME708)へと送信される。
【0097】
上記の初期接続の場合に関しては、モバイルノード(UE701)は、追跡エリア更新要求メッセージのPCOを含めることによって、PDN−GWにヒントを与えてもよい。このPCO情報は、ハンドオーバの前に送信された接続要求メッセージ中のPCOとは異なってもよい(図9を参照のこと)。追跡エリア更新要求メッセージに含められたPCO情報は、図7、図8及び図9に関連して上記に論じられた接続要求メッセージのPCOと同じ種類の情報を含んでもよい。モビリティマネジメントエンティティ(MME708)は、移動先のPLMN(VPLMN#2)のサービングゲートウェイ(S−GW709)へと送信されるベアラ作成要求メッセージを形成してもよく、サービングゲートウェイは、モバイルノード(UE701)を管理(serve)するパケットデータネットワークゲートウェイ(PDN−GW704)へと、ベアラ更新要求メッセージを送信する。再度、モバイルノード(UE701)からのPCO情報に基づいて、PDN−GW704は、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置しているePDGのリストといった情報をコンパイルしてもよく、それは、追跡エリア更新要求メッセージに応答してモバイルノード(UE701)に提供された追跡エリア更新受信メッセージに含められたPCOとして、モバイルノード(UE701)へと返信される。
【0098】
このシグナリング手順は例示的には矢印1001で図10に示される。さらに、別のローミングパートナーのVPLMN(VPLMN#2)へのモバイルノードの移動の後に、データ経路は、モバイルノード(UE701)のデータがサービングゲートウェイ(S−GW709)を経てHPLMN内のPDN−GW704へと経路設定されるよう更新される。
【0099】
図10では、例として、モバイルノード(UE701)の新規のVPLMN(VPLMN#2)が、別の3GPPアクセス(3GPPアクセス#3)及びVPLMN(VPLMN#3)の近隣にあり、モバイルノードの近隣にある別のePDG1005を提供していると想定する。したがって、モバイルノード(UE701)に対するPCOをコンパイルするPDN−GW(PDN−GW704)は、例えば、ePDG706、ePDG707、ePDG1005、並びに、現在のアクセスネットワーク(3GPPアクセス#2)を通ったそれらの到達可能性を示してもよい。
【0100】
上記に論じられた前の実施形態では、特に、接続手順及び追跡エリア更新手順が、利用可能であれば、自己の近隣の信頼できるパケットデータゲートウェイ(複数個)についての情報及びそれらの到達可能性ステータスをモバイルノードに提供するのに用いられている。自己の近隣の信頼できるパケットデータゲートウェイ(複数個)についての情報をモバイルノードに提供するための本発明の他の実施形態による別のオプションは、DNSの使用である。例えば、モバイルノードは、自己の近隣にあるePDG、及び、DNS要求中の到達可能性を検出してもよい。この例示的な実施形態による修正されたDNS要求手順の例示的なシグナリングフローは、図11に示されている。
【0101】
図11では、モバイルノード(UE701)が3GPPアクセス#1に位置しており、VPLMN#1へのIP接続を確立したと例示的に想定される。この例示的シナリオでは、モバイルノード(UE701)は、接続手順中に、自己の近隣のePDGについてのいかなる情報も受信しなかった。モバイルノード(UE701)は、自己の近隣のePDG(1個又は複数個)のIPアドレス(1個又は複数個)を問い合わせるためにFQDN(epdg.vplm−operator.com)を構築し(1101)、FQDNを含むDNSクエリーメッセージを、(PDN#GW704)を経てDNSサーバへと当該要求を転送する(1103、1104)サービングゲートウェイ(S−GW703)へと送信する(1102)。DNSサーバは、ePDGのリストをコンパイルし、及び、PDN−GW704へと送信される(1105)DNS応答メッセージ内にコンパイルした情報を返信する。PDN−GW704は、DNS要求を「監視し」、DNSサーバからのDNS応答を修正又はフィルタリング(1106)する。図11に示された例では、PDN−GW704は、現在のアクセスネットワーク(3GPPアクセス#1)内に到達可能なePDG(1個又は複数個)のモバイルノード(UE701)を示すように、DNS応答メッセージ中にリストアップされたePDGのそれぞれの到達可能性ステータスを追加する。別のオプションは、PDN−GW704が、DNS応答中にリストアップされたePDG(複数個)をフィルタリングするので、アクセスネットワーク(3GPPアクセス#1)内に到達可能なePDG(1個又は複数個)のみが、サービングゲートウェイ(S−GW703)を経てモバイルノード(UE701)へと転送される(1107、1108)DNS応答中に残存する。
【0102】
PDN−GWは、例えば、事前構成又は動的学習によって、UEがPDN−GWを経て接続される外部PDNから、ePDG(複数個)が到達可能であるかを知っていてもよい。このためには、PDN−GWは、モバイルノードの代わりに到達可能性を確認してもよい。DNSサーバからDNS応答を利用可能なePDG(1個又は複数個)のリストとともに受信した時に、PDN−GWが、それらの利用可能性を確認することができように、DNS応答中に指示されたePDG(複数個)へのIKEトンネルのネットワークにピングを送り(ping)、又は確立し、引き続いて、修正されたDNS応答によってePDG(複数個)の到達可能性についてモバイルノードに通知することができる。
【0103】
PDN−GWがモバイルノードの近隣にあるePDG(複数個)についての情報をコンパイルする場合には、上記の図7から図10に関連した例に記載されたように、PDN−GWはePDG(複数個)が外部PDNから到達可能か否かを知らない可能性がある。PDN−GWは、必要な情報によって事前に構成されてもよく、もしくは、例えばDNS要求及びその後のそれらの到達可能性の確認によって、利用可能なePDG(複数個)を積極的に学習してもよい。PDN−GWは、例えばePDG発見のためのFQDNを構築してもよく、上記に記載されたDNS要求を実行してもよい。次いで、DNSサーバからSND応答を受信した時には、PDN−GWは、DNS応答中にリストアップされたePDG(1個又は複数個)へのIKEトンネルにピングを送り(ping)、又は確立するよう試み、最終的には、ePDG(複数個)及びそれらの到達可能性ステータスについてモバイルノードに通知する。
【0104】
上記の技術分野のセクションにすでに示されたように、信頼できないアクセスにおけるePDGの接続確立の遅延の主な理由の1つは、モバイルノードは、任意の経路設定情報(例:ICMPメッセージ)に基づいて他方のエンドポイントが失敗したと結論付けるべきでないので、ePDGの到達不可能性検出の遅延である。本発明の別の態様によると、信頼できるエンティティによって完全性が保護されている完全性保護ICMP宛先到達不可能メッセージを用いているePDG到達不可能性検出に起因した、遅延を縮小するための別のソリューションが提案されている。IETF RFC 4306のセクション2.4における要件とは対称的に、モバイルノードが、ePDGへのセキュアトンネルを確立することを試みた時に、完全性保護ICMP宛先到達不可能メッセージが受信される場合は(すなわち再送信を全く行わなければ)、ePDGは到達可能でないと結論付けている。
【0105】
この代替的なソリューションは、上記に記載された本発明の他の思想及び概念とも組み合わせてもよいことに留意するべきである。例えば、完全性保護ICMP宛先到達不可能メッセージは、出来る限り、到達不可能なePDGへのセキュアトンネルを確立するための不必要で時間のかかる試みを回避するために、モバイルノードに自己の近隣のePDG(1個又は複数個)及び到達可能性ステータスを提供するという概念と組み合わせて用いることも可能である。
【0106】
完全性保護ICMP宛先到達不可能メッセージの使用は、図12に関連してさらに詳細に説明され、それは、到達不可能なePDGとのIKE2セキュリティアソシエーションを確立するためのモバイルノードの例示的な試行を示している。手短に言うと、モバイルノード(UE)は、まずIKE_SA_INITメッセージをePDGへと送信し(1201)、モバイルノード(UE)は、例えば、PDNネットワークによりICMP宛先到達不可能メッセージをトリガする。IKE_SA_INITメッセージは、モバイルノードからサービングゲートウェイ(S_GW)を経て、PDN−GWへと経路設定される(1202)。さらに、PDN−GWは、IKE_SA_INITメッセージ中のePDGの外部IPアドレスの経路設定表中に構成されたルートにしたがって、IKE_SA_INITメッセージを適切なPDNへと経路設定する(1204)。PDNを通ってePDGが到達できないことから、PDN内のルータはICMP宛先到達不可能メッセージをPDN−GWへと返信する(1204)。さらに、PDN−GWは、PDNネットワークとの信頼関係があると想定され、ICMP宛先到達不可能メッセージをサービングゲートウェイ(S−GW)へと転送する(1205)。S−GWは、ICMP宛先到達不可能メッセージをモビリティマネジメントエンティティ(MME)へと転送する(1206)。
【0107】
モビリティマネジメントエンティティ(MME)は、モバイルノード(UE)と共用の秘密鍵、及び、ICMPメッセージを用いてメッセージ認証コード(MAC)を計算する(1207)。モビリティマネジメントエンティティ(MME)の完全性は、計算したMACをICMP宛先到達不可能メッセージのIPヘッダ(例:フローIDフィールド)中に含めることによって、ICMP宛先到達不可能メッセージを保護し、サービングゲートウェイ(S−GW)に戻るように、メッセージを転送する(1208)。サービングゲートウェイ(S−GW)は、モバイルノード(UE)へとメッセージを転送する(1209)。モバイルノード(UE)は、完全性保護のMACを含むICMP宛先到達不可能メッセージに基づいて、ePDGが何らかの再送信なしには到達可能でないと即座に結論付けることができる。
【0108】
次に、上記に記載されたPCOを用いるメカニズムに関してのいくつかのさらなる考察は、以下に提供される。一般に、アクセスネットワークがこのようなパラメータの転送をサポートする場合、シグナリングメッセージへのPCOの使用及びインクルード(inclusion)のみが可能である。このことは、本発明の上記の例示的な実施形態において想定されている。しかしながら、非3GPPベースのアクセスネットワーク(複数個)において、このことは、常にあてはまらない可能性がある。例えば、非3GPPアクセス(複数個)からの初期接続又はハンドオーバ接続の場合には、PCOの転送はサポートされないかもしれない。
【0109】
本発明の1つの例示的な実施形態では、PCOの代わりに、DHCPが、到達可能なePDG(複数個)を要求するために用いられている。例えば、モバイルノードは、DHCP要求メッセージをDHCPサーバへと送信し、及び、DHCPメッセージのDHCPオプションにePDG情報を要求する。このオプションは、上記のPCOに記載されたものと同一のパラメータ、例えば、APN又はFQDN又はモバイルノードが使用を意図するePDGのIPアドレスを含んでもよい。モバイルノードによって提供されたこの情報に基づいて、DHCPサーバは、好適なePDGのIPアドレス(単数又は複数)、又はモバイルノードの近隣に位置しているePDG(複数個)のリスト等の、モバイルノードに返送される情報をDHCP応答メッセージ中にコンパイルしてもよい。
【0110】
本発明の他の実施形態では、信頼できない非3GPPアクセスへの初期接続の場合、及び、クライアントモバイルIP(CMIP)を備えた信頼できる非3GPPアクセス又は信頼できない非3GPPアクセスからの初期接続の場合において、IKEの情報交換は、PCOの使用と類似の態様で、所定のPDN接続からの他のePDG(複数個)への到達可能性について、モバイルノードに通知することに用いられることができる。プロキシモバイルIP(PMIP)及び信頼できる非3GPPアクセスへの初期接続の場合には、AAAシグナリングは、例えば、EAP拡張又は具体的で一時的な識別子(複数個)によって、所望の追加情報を運搬するために修正することができる。他の可能性は、PCOの追加情報がIPv6プレフィクス(1個又は複数個)内にコード化され、及び、そのプレフィクス(1個又は複数個)が信頼できる非3GPPアクセス内で寿命Oとともに広告されるので、それは、いかなるセッションに対してもUEによって用いることはできない。
【0111】
例示的な実施例が、図13に関連して以下に論じられる。図13では、PMIPが信頼できる非3GPPアクセスネットワーク内で活用されていると想定される。したがって、PMIPのモバイルアクセスゲートウェイ(MAG)は、信頼できる非3GPPアクセスネットワーク内に位置している。PLMN内のPDN−GWは、PMIPのローカルモビリティアンカ(LMA)の機能を実装すると想定される。図13に示されるネットワーク内のメッセージフローは、図14に関連してさらに詳細に説明される。信頼できる非3GPPアクセス内のアクセス認証手順(1401)において、モバイルノード1301は、例えば、修正されたユーザアイデンティティ(例えば「user@realm!ePDGrequest」のような修飾されたNAIが用いられる)を介して、ePDGトンネルの事前確立を示してもよい。MAG1302は、ePDG(複数個)のリストがプロキシバインディング更新(PBU)中に所望されるという指示をPDN−GW1304へと送信する(1402)。PDN−GW1304は、モバイルノード1301に対する情報(例:好適なePDG、IPアドレス(1個又は複数個)、ePDG到達可能性ステータス)をコンパイルし(1403)、その情報をIPv6プレフィクス(1個又は複数個)内へコード化し(1404)、及び、プロキシバインディング受信確認(PBA)内のそれらをMAG1302に戻るように送信する(1405)。MAG1302は、2地点間リンク上にあるモバイルノード1301へと、モバイルノード1301にIPv6プレフィクス(1個又は複数個)を通知するルータ広告(RA)を送信する(1406)。ルータ広告中のプレフィクス情報が有効寿命(VL)>0を持つ場合は、プレフィクス情報は、セッションのモバイルノード1301によって用いられることができるIPプレフィクスを含む。他方、ルータ広告中のプレフィクス情報が有効寿命(VL)=0(及びプレフィクス長さ(PL)=0)を持つ場合は、プレフィクス情報はePDG到達可能性についての要求されたコード化された情報を含んでいる。
【0112】
本発明の様々な実施形態の記載は、主として、モバイルノードが自己の近隣の信頼できるパケットデータゲートウェイ(複数個)に通知できる方法、又は、モバイルノードがかかる情報を取得及び維持できる方法の態様について集中的に述べてきた。例えば、ePDG、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立又は事前に確立する方法、信頼できるパケットデータゲートウェイへの暫定的なセキュアトンネルを事前に確立する方法、及び、かかる暫定的なセキュアトンネルを起動する方法の手順上のより詳細については、われわれの同時継続出願EP 08016714.1(代理人整理番号EP60405)、「信頼できない非3GPPネットワーク(複数個)へのハンドオーバの最適化」が参照され、それは参照によって本明細書中に包含される。
【0113】
本発明の他の実施形態は、ハードウェア並びにソフトウェアを用いる上記の様々な実施形態の実装に関する。本発明の様々な実施形態は、本明細書中に記載された本発明の異なる実施形態による機能を演算装置に実行させる実現可能な指示によって適切に制御される、演算装置(処理装置)を用いて実装又は実行してもよいことが認識されている。演算装置又は処理装置は例えば、汎用目的の処理装置、デジタル信号処理装置(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又は他のプログラム可能な論理デバイス等であってもよい。本発明の様々な実施形態は、また、これらデバイスの組み合わせによって実行又は具現化してもよい。
【0114】
さらに、本発明の様々な実施形態はまた、ソフトウェアモジュールの手段によって実装されてもよく、それは、処理装置によって又は直接的にハードウェア内で実行される。ソフトウェアモジュールとハードウェア実装の組み合わせもまた可能であろう。ソフトウェアモジュールは、任意の種類のコンピュータで読み取り可能な記憶媒体、例えばRAM、EPROM、EEPROM、フラッシュメモリ、レジスタ、ハードディスク、CD−ROM、DVD等に格納されてもよい。
【0115】
実施形態の大部分は、3GPPベースの通信システムに関して概説されており、前のセクションで用いられた用語は主として3GPPの用語に関連する。しかしながら、3GPPベースのアーキテクチャに関する用語及び様々な実施形態の記載は、本発明の原理及び思想をかかるシステムに限定するよう意図されていない。
【0116】
また、上記の技術分野のセクションに記載された詳細な説明は、本明細書中に記載された大部分の3GPPに特有の例示的な実施形態をよりよく理解することを目的としており、本発明を移動体通信ネットワーク内のプロセス及び機能の記載された具体的な実装に限定されるよう理解されるべきでない。これにもかかわらず、本明細書中において提案された改善は、技術分野のセクション中に記載されたアーキテクチャ内に容易に適用されてもよい。さらに、本発明の概念は、3GPPによって現在論じられたLTE RAN中に容易に用いられてもよい。
【0117】
前の段落では、本発明の様々な実施形態及びその変形が記載されてきた。多数の変形例及び/又は修正が、広範に記載された本発明の精神又は範囲から逸脱することなく、具体的な実施形態に示すような本発明に対してなされうることを、当業者によって理解されるであろう。
【特許請求の範囲】
【請求項1】
モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法であって、
前記モバイルノード内で維持された到達可能性リストより、前記標的アクセスネットワークを通って到達可能である少なくとも1つの信頼できるパケットデータゲートウェイを決定するステップと、
前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するステップと、
を含む方法。
【請求項2】
前記到達可能性リストは、データ経路、及び、データ経路それぞれに対する既知の信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスを示すデータセットをリストアップしており、前記データ経路は
−アクセスネットワーク識別子(複数個)、コアネットワーク識別子(複数個)及びアクセスポイント名(複数個)の組み合わせ、又は
−コアネットワーク識別子(複数個)とアクセスポイント名(複数個)の組み合わせ、又は
−アクセスポイント名(複数個)
によって指示されている、請求項1に記載の方法。
【請求項3】
信頼できるパケットデータゲートウェイが到達できる保存されたリストから、パケットデータネットワークのいかなるアクセスポイント名が決定できない場合には、前記モバイルノードが前記標的アクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立することを試みるステップを更に含み、
前記モバイルノードがセキュアトンネルを確立するよう試みる前記信頼できるパケットデータゲートウェイが、前記モバイルノード内に事前に構成されているか、又は、DNSクエリーから学習される、請求項1又は2に記載の方法。
【請求項4】
信頼できるパケットデータゲートウェイに到達不可能であることを理由に、前記信頼できるパケットデータゲートウェイへのいかなるセキュアトンネルが確立できない場合には、前記到達不可能な信頼できるパケットデータゲートウェイは、前記データ経路を通って到達可能でないことを示すこと、並びに、前記到達不可能な信頼できるパケットデータゲートウェイへの前記データ経路を示すデータセットを、前記到達可能性リストに追加するステップを更に含む、請求項3に記載の方法。
【請求項5】
セキュアトンネルが信頼できるパケットデータゲートウェイに確立できる場合には、前記到達可能な信頼できるパケットデータゲートウェイが前記データ経路を通って到達可能であること、並びに、前記到達可能な信頼できるパケットデータゲートウェイへの前記データ経路を示すデータセットを、前記到達可能性リストに追加するステップを更に含む、請求項3又は4に記載の方法。
【請求項6】
信頼できるパケットデータゲートウェイの前記到達可能性ステータスが、所定のデータ経路に移行する場合には、前記到達可能性リストを更新するステップを更に含む、請求項1から5のいずれか1つに記載の方法。
【請求項7】
前記アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから、到達可能性リストを受信するステップを更に含む、請求項1から6のいずれか1つに記載の方法。
【請求項8】
前記アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから受信した前記到達可能性リストに基づいて前記維持された到達可能性リストを更新するステップを更に含む、請求項7に記載の方法。
【請求項9】
前記到達可能性リストが、前記データ経路それぞれ及び前記信頼できるパケットデータゲートウェイそれぞれを通って到達可能である信頼できるパケットデータゲートウェイの前記データ経路をリストアップしたホワイトリストと、前記データ経路それぞれ及び前記信頼できるパケットデータゲートウェイそれぞれを通って到達可能でない信頼できるパケットデータゲートウェイの前記データ経路をリストアップしたブラックリストとの2個のリストから成る、請求項1から8のいずれか1つに記載の方法。
【請求項10】
前記標的アクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスが、ソースアクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスと異なっている場合、又は、モバイルノードがソースアクセスリストを通じてトンネルを確立した前記信頼できるパケットデータゲートウェイが、前記到達可能性リストにより、前記標的アクセスネットワークを通って到達されない場合にのみ、当該方法の各ステップは前記モバイルノードによって実行される、請求項1から9のいずれか1つに記載の方法。
【請求項11】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法において、
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するステップと、
前記モバイルノードによって維持された到達可能性リストに基づいて、前記標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認するステップと、
前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経た前記信頼できるパケットデータゲートウェイへの前記接続を維持するように、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークへの前記コアネットワークの前記コアネットワークノードに要求するステップと、
を含む方法。
【請求項12】
前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できない場合には、請求項1から10のいずれか1つに記載の方法を実行するステップを更に含む、請求項11に記載の方法。
【請求項13】
モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定する処理装置と、
前記モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置と、
を構成するモバイルノード。
【請求項14】
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置と、
モバイルノードによって維持された到達可能性リストに基づいて、前記標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って、前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認する処理装置と、
を含む前記モバイルノードにおいて、
前記通信装置が、前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経た前記信頼できるパケットデータゲートウェイへの前記接続を維持するよう、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークに接続されたコアネットワークの前記コアネットワークノードに要求するよう適応されている
モバイルノード。
【請求項15】
請求項2から10のいずれか1つに記載の方法を実行するよう適応された手段を更に含む、請求項14又は15に記載のモバイルノード。
【請求項16】
モバイルノードの処理装置によって実行された場合には、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、前記モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
前記モバイルノード内で維持された到達可能性リストより、前記標的アクセスネットワークを通って到達可能である少なくとも1つの信頼できるパケットデータゲートウェイを決定し、並びに、
前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する、
コンピュータで読み取り可能な媒体。
【請求項17】
モバイルノードの処理装置によって実行された場合には、前記モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立し、
前記モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認し、並びに、
前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへの前記接続を維持するよう、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークに接続されたコアネットワークの前記コアネットワークノードに要求する、
コンピュータで読み取り可能な媒体。
【請求項18】
前記モバイルノードの前記処理装置によって実行された場合には、前記モバイルノードに請求項2から10のいずれか1つに記載の方法を実行させる指示を保存する、請求項16又は17に記載のコンピュータで読み取り可能な媒体。
【請求項19】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法において、
モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記モバイルノードから前記第1のアクセスネットワークへ要求メッセージを送信するステップと、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信するステップであって、前記応答メッセージは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示すステップと、
前記モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、前記モバイルノードによって事前に確立するステップと、
を含む方法。
【請求項20】
それぞれに、前記要求メッセージが接続メッセージ又は追跡エリア更新メッセージであり、かつ、前記応答メッセージが接続受信メッセージ又は追跡エリア更新受信メッセージである、請求項19に記載の方法。
【請求項21】
前記モバイルノードによって前記第1のアクセスネットワークへと送信された前記要求メッセージが、前記モバイルノードの現在位置についての位置情報、前記モバイルノードが接続を所望する信頼できるパケットデータゲートウェイのIPアドレス(複数個)、1個以上のアクセスネットワーク識別子(複数個)、1個以上のコアネットワーク識別子(複数個)、及び、1個以上のアクセスポイント名(複数個)のうち少なくとも1つを含む、請求項19又は20に記載の方法。
【請求項22】
前記第1のアクセスネットワークへと前記モバイルノードによって送信された前記要求メッセージに前記モバイルノードによって含められた情報に基づいて、前記応答メッセージを用いた前記モバイルノードへの送信用の前記情報を、パケットデータゲートウェイによって、コンパイルするステップを更に含む、請求項19に記載の方法。
【請求項23】
前記パケットデータゲートウェイが前記モバイルノードのホーム3GPPネットワークに位置している、請求項22に記載の方法。
【請求項24】
前記応答メッセージが、信頼できるパケットデータゲートウェイ(複数個)の1個以上のアドレスを含み、かつ、任意で、標的アクセスネットワーク(複数個)それぞれを通った信頼できるパケットデータゲートウェイ(複数個)それぞれの前記到達可能性ステータスの指示、及び/又は、前記信頼できるパケットデータゲートウェイ(複数個)の優先順位を更に含む、請求項19から23のいずれか1つに記載の方法。
【請求項25】
前記第1のアクセスネットワークが3GPPベースのネットワークである、請求項19から24のいずれか1つに記載の方法。
【請求項26】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するモバイルノードにおいて、
前記モバイルノードが第1のアクセスネットワークに接続したか又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記第1のアクセスネットワークへと要求メッセージを送信する送信機と、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信するものであって、前記応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示す受信機と、
前記モバイルノードが第2のアクセスネットワークへと接続するか又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った前記信頼できるパケットデータゲートウェイへのセキュアトンネルを、事前に確立するように前記モバイルノードを制御するよう構成された処理装置と、
を構成するモバイルノード。
【請求項27】
請求項20から25のいずれか1つに記載の方法のステップを実行するよう適応された手段を更に含む、請求項26に記載のモバイルノード。
【請求項28】
モバイルノードの処理装置によって実行された場合には、前記モバイルノードが、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
前記モバイルノードが第1のアクセスネットワークへと接続したか又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記モバイルノードから前記第1のアクセスネットワークへと要求メッセージを送信し、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信し、前記応答メッセージは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示し、並びに
前記モバイルノードが第2のアクセスネットワークへと接続するか又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、前記モバイルノードによって事前に確立する、
コンピュータで読み取り可能な媒体。
【請求項29】
前記モバイルノードの前記処理装置によって実行された場合には、前記モバイルノードが、請求項20から25のいずれか1つに記載の方法のステップを実行させる指示を更に保存する、請求項28に記載のコンピュータで読み取り可能な媒体。
【請求項1】
モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法であって、
前記モバイルノード内で維持された到達可能性リストより、前記標的アクセスネットワークを通って到達可能である少なくとも1つの信頼できるパケットデータゲートウェイを決定するステップと、
前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するステップと、
を含む方法。
【請求項2】
前記到達可能性リストは、データ経路、及び、データ経路それぞれに対する既知の信頼できるパケットデータゲートウェイ(複数個)それぞれの到達可能性ステータスを示すデータセットをリストアップしており、前記データ経路は
−アクセスネットワーク識別子(複数個)、コアネットワーク識別子(複数個)及びアクセスポイント名(複数個)の組み合わせ、又は
−コアネットワーク識別子(複数個)とアクセスポイント名(複数個)の組み合わせ、又は
−アクセスポイント名(複数個)
によって指示されている、請求項1に記載の方法。
【請求項3】
信頼できるパケットデータゲートウェイが到達できる保存されたリストから、パケットデータネットワークのいかなるアクセスポイント名が決定できない場合には、前記モバイルノードが前記標的アクセスネットワークに接続した後に、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立することを試みるステップを更に含み、
前記モバイルノードがセキュアトンネルを確立するよう試みる前記信頼できるパケットデータゲートウェイが、前記モバイルノード内に事前に構成されているか、又は、DNSクエリーから学習される、請求項1又は2に記載の方法。
【請求項4】
信頼できるパケットデータゲートウェイに到達不可能であることを理由に、前記信頼できるパケットデータゲートウェイへのいかなるセキュアトンネルが確立できない場合には、前記到達不可能な信頼できるパケットデータゲートウェイは、前記データ経路を通って到達可能でないことを示すこと、並びに、前記到達不可能な信頼できるパケットデータゲートウェイへの前記データ経路を示すデータセットを、前記到達可能性リストに追加するステップを更に含む、請求項3に記載の方法。
【請求項5】
セキュアトンネルが信頼できるパケットデータゲートウェイに確立できる場合には、前記到達可能な信頼できるパケットデータゲートウェイが前記データ経路を通って到達可能であること、並びに、前記到達可能な信頼できるパケットデータゲートウェイへの前記データ経路を示すデータセットを、前記到達可能性リストに追加するステップを更に含む、請求項3又は4に記載の方法。
【請求項6】
信頼できるパケットデータゲートウェイの前記到達可能性ステータスが、所定のデータ経路に移行する場合には、前記到達可能性リストを更新するステップを更に含む、請求項1から5のいずれか1つに記載の方法。
【請求項7】
前記アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから、到達可能性リストを受信するステップを更に含む、請求項1から6のいずれか1つに記載の方法。
【請求項8】
前記アクセスネットワーク又はそれに接続したコアネットワーク内の別のモバイルノード又はネットワークノードから受信した前記到達可能性リストに基づいて前記維持された到達可能性リストを更新するステップを更に含む、請求項7に記載の方法。
【請求項9】
前記到達可能性リストが、前記データ経路それぞれ及び前記信頼できるパケットデータゲートウェイそれぞれを通って到達可能である信頼できるパケットデータゲートウェイの前記データ経路をリストアップしたホワイトリストと、前記データ経路それぞれ及び前記信頼できるパケットデータゲートウェイそれぞれを通って到達可能でない信頼できるパケットデータゲートウェイの前記データ経路をリストアップしたブラックリストとの2個のリストから成る、請求項1から8のいずれか1つに記載の方法。
【請求項10】
前記標的アクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスが、ソースアクセスネットワークへのモバイルノードのインタフェイス上に構成されたIPアドレスと異なっている場合、又は、モバイルノードがソースアクセスリストを通じてトンネルを確立した前記信頼できるパケットデータゲートウェイが、前記到達可能性リストにより、前記標的アクセスネットワークを通って到達されない場合にのみ、当該方法の各ステップは前記モバイルノードによって実行される、請求項1から9のいずれか1つに記載の方法。
【請求項11】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法において、
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するステップと、
前記モバイルノードによって維持された到達可能性リストに基づいて、前記標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認するステップと、
前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経た前記信頼できるパケットデータゲートウェイへの前記接続を維持するように、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークへの前記コアネットワークの前記コアネットワークノードに要求するステップと、
を含む方法。
【請求項12】
前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できない場合には、請求項1から10のいずれか1つに記載の方法を実行するステップを更に含む、請求項11に記載の方法。
【請求項13】
モバイルノード内で維持された到達可能性リストより、標的アクセスネットワークを通って到達可能である少なくとも1個の信頼できるパケットデータゲートウェイを決定する処理装置と、
前記モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置と、
を構成するモバイルノード。
【請求項14】
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する通信装置と、
モバイルノードによって維持された到達可能性リストに基づいて、前記標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って、前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認する処理装置と、
を含む前記モバイルノードにおいて、
前記通信装置が、前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経た前記信頼できるパケットデータゲートウェイへの前記接続を維持するよう、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークに接続されたコアネットワークの前記コアネットワークノードに要求するよう適応されている
モバイルノード。
【請求項15】
請求項2から10のいずれか1つに記載の方法を実行するよう適応された手段を更に含む、請求項14又は15に記載のモバイルノード。
【請求項16】
モバイルノードの処理装置によって実行された場合には、モバイルノードが標的アクセスネットワークへと初期接続したか又はハンドオーバを実行した後に、前記モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
前記モバイルノード内で維持された到達可能性リストより、前記標的アクセスネットワークを通って到達可能である少なくとも1つの信頼できるパケットデータゲートウェイを決定し、並びに、
前記決定した信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する、
コンピュータで読み取り可能な媒体。
【請求項17】
モバイルノードの処理装置によって実行された場合には、前記モバイルノードが信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
ハンドオーバの前に、ソースアクセスゲートウェイを通って、かつ、パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへのセキュアトンネルを確立し、
前記モバイルノードによって維持された到達可能性リストに基づいて、標的アクセスネットワークを通った前記信頼できるパケットデータゲートウェイの到達可能性ステータスを確認することによって、前記標的アクセスネットワークを通って前記信頼できるパケットデータゲートウェイが到達できるか否かを、前記標的アクセスネットワークへの接続の前に確認し、並びに、
前記モバイルノードが前記標的アクセスネットワークに接続した後に、前記パケットデータネットワークゲートウェイを経て、前記信頼できるパケットデータゲートウェイへの前記接続を維持するよう、前記ソースアクセスネットワークを経て、前記ソースアクセスネットワークに接続されたコアネットワークの前記コアネットワークノードに要求する、
コンピュータで読み取り可能な媒体。
【請求項18】
前記モバイルノードの前記処理装置によって実行された場合には、前記モバイルノードに請求項2から10のいずれか1つに記載の方法を実行させる指示を保存する、請求項16又は17に記載のコンピュータで読み取り可能な媒体。
【請求項19】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立する方法において、
モバイルノードが第1のアクセスネットワークに接続又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記モバイルノードから前記第1のアクセスネットワークへ要求メッセージを送信するステップと、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信するステップであって、前記応答メッセージは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示すステップと、
前記モバイルノードが第2のアクセスネットワークへの接続又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、前記モバイルノードによって事前に確立するステップと、
を含む方法。
【請求項20】
それぞれに、前記要求メッセージが接続メッセージ又は追跡エリア更新メッセージであり、かつ、前記応答メッセージが接続受信メッセージ又は追跡エリア更新受信メッセージである、請求項19に記載の方法。
【請求項21】
前記モバイルノードによって前記第1のアクセスネットワークへと送信された前記要求メッセージが、前記モバイルノードの現在位置についての位置情報、前記モバイルノードが接続を所望する信頼できるパケットデータゲートウェイのIPアドレス(複数個)、1個以上のアクセスネットワーク識別子(複数個)、1個以上のコアネットワーク識別子(複数個)、及び、1個以上のアクセスポイント名(複数個)のうち少なくとも1つを含む、請求項19又は20に記載の方法。
【請求項22】
前記第1のアクセスネットワークへと前記モバイルノードによって送信された前記要求メッセージに前記モバイルノードによって含められた情報に基づいて、前記応答メッセージを用いた前記モバイルノードへの送信用の前記情報を、パケットデータゲートウェイによって、コンパイルするステップを更に含む、請求項19に記載の方法。
【請求項23】
前記パケットデータゲートウェイが前記モバイルノードのホーム3GPPネットワークに位置している、請求項22に記載の方法。
【請求項24】
前記応答メッセージが、信頼できるパケットデータゲートウェイ(複数個)の1個以上のアドレスを含み、かつ、任意で、標的アクセスネットワーク(複数個)それぞれを通った信頼できるパケットデータゲートウェイ(複数個)それぞれの前記到達可能性ステータスの指示、及び/又は、前記信頼できるパケットデータゲートウェイ(複数個)の優先順位を更に含む、請求項19から23のいずれか1つに記載の方法。
【請求項25】
前記第1のアクセスネットワークが3GPPベースのネットワークである、請求項19から24のいずれか1つに記載の方法。
【請求項26】
信頼できるパケットデータゲートウェイへのセキュアトンネルを確立するモバイルノードにおいて、
前記モバイルノードが第1のアクセスネットワークに接続したか又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記第1のアクセスネットワークへと要求メッセージを送信する送信機と、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信するものであって、前記応答メッセージが、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示す受信機と、
前記モバイルノードが第2のアクセスネットワークへと接続するか又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った前記信頼できるパケットデータゲートウェイへのセキュアトンネルを、事前に確立するように前記モバイルノードを制御するよう構成された処理装置と、
を構成するモバイルノード。
【請求項27】
請求項20から25のいずれか1つに記載の方法のステップを実行するよう適応された手段を更に含む、請求項26に記載のモバイルノード。
【請求項28】
モバイルノードの処理装置によって実行された場合には、前記モバイルノードが、信頼できるパケットデータゲートウェイへのセキュアトンネルを確立させる指示を保存するコンピュータで読み取り可能な媒体において、
前記モバイルノードが第1のアクセスネットワークへと接続したか又はハンドオーバした後に、又は、前記モバイルノードが前記第1のアクセスネットワークに追加的なパケットデータネットワーク接続を作成した後に、前記モバイルノードから前記第1のアクセスネットワークへと要求メッセージを送信し、
前記モバイルノードにおいて、前記要求メッセージへの応答メッセージを受信し、前記応答メッセージは、信頼できるパケットデータゲートウェイへのセキュアトンネルの事前確立が前記第1のアクセスネットワークを通って可能であるか否かを示し、並びに
前記モバイルノードが第2のアクセスネットワークへと接続するか又はハンドオーバを実行する前に、前記第1のアクセスネットワークを通った信頼できるパケットデータゲートウェイへのセキュアトンネルを、前記モバイルノードによって事前に確立する、
コンピュータで読み取り可能な媒体。
【請求項29】
前記モバイルノードの前記処理装置によって実行された場合には、前記モバイルノードが、請求項20から25のいずれか1つに記載の方法のステップを実行させる指示を更に保存する、請求項28に記載のコンピュータで読み取り可能な媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2012−510765(P2012−510765A)
【公表日】平成24年5月10日(2012.5.10)
【国際特許分類】
【出願番号】特願2011−538850(P2011−538850)
【出願日】平成21年10月28日(2009.10.28)
【国際出願番号】PCT/EP2009/007715
【国際公開番号】WO2010/063348
【国際公開日】平成22年6月10日(2010.6.10)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公表日】平成24年5月10日(2012.5.10)
【国際特許分類】
【出願日】平成21年10月28日(2009.10.28)
【国際出願番号】PCT/EP2009/007715
【国際公開番号】WO2010/063348
【国際公開日】平成22年6月10日(2010.6.10)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]