デュアルスタック・オペレーションの認可を織り込むための方法および装置
デュアルスタック・オペレーションの織り込み認可を可能にする方法が提供される。この方法は、端末が両方のバージョンを使用することを認可されかつ認証される場合にIPv4とIPv6の両方での同時オペレーションを可能にする。この方法は次のステップを利用する:無線通信システムにおける認可実体からの認証を要求すること、および、認証が成功である場合に認可実体から認証メッセージを受け取ること、ただし、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用するための認可を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的には通信システムに関し、より具体的には、デュアルスタック・オペレーション(dual stack operation)の認可(authorization)を織り込む(interworking)方法と装置に関する。
【背景技術】
【0002】
無線通信技術は過去数年にすさまじい成長を見た。この成長は、一部分無線技術によって提供された移動の自由および無線媒体に対する音声およびデータ通信の大きく改良された品質によってあおられた。音声サービスの改良された品質は、データ・サービスの追加と相俟って、コミュニケーテイング・パブリック(communicating public)に対して重要な効果を有してきたしまた有し続けるであろう。その追加のサービスは、ローミング(roaming)中にモバイル装置を使用してインターネットにアクセスすることを含む。
【0003】
移動中にデータ・セッションを維持できることは、ユーザとシステム・オペレータの両方にとって重要である。より多くのユーザがモバイル・インターネット・プロトコル・オペレーションを利用するにつれて、ユーザは、モバイル・インターネット・プロトコルの2つのバージョンの同時の使用を可能にするデュアルスタック・オペレーションを使用して、同じパケット・データ織り込み機能(packet data interworking function)に対して同時にアクセスすることを欲することが可能である。パケット・データ織り込み機能(PDIF)は、セルラー・ネットワークを保護するセキュリティ・ゲートウェイとして働く。
【0004】
図1は、無線ローカルエリアネットワーク(WLAN)用のインターワーキング・アーキテクチャー(interworking architecture)を示す。そのネットワークは、ここで3GPP2と呼ばれる「第3世代パートナーシップ・プロジェクト2」と命名されたコンソーシアムによって提示される標準によって定義された3GPP2標準上で動作する無線通信システムの一部であってもよい。アーキテクチャー100は、WLANシステム104に接続された移動局(MS)102を含む。WLANシステム104はアクセス・ポイント(AP)106およびアクセス・ルータ(AR)108を含む。WLANシステムは3Gホームネットワーク110に接続される。WLANシステムはパケット・データ織り込み機能(PDIF)122によって3Gホームネットワーク110に接続する。PDIF 114は、ホーム認証、認可および会計(H-AAA)装置112に接続される。
【0005】
MSは、3Gホームネットワーク中のセキュリティ・ゲートウェイとして働くPDIFを備えた安全IPトンネルを確立する。トンネル確立は、H-AAA 112によって確証されかつ認可される。トンネルが確立された後、MSは3Gホームネットワーク110中のサービスにアクセスしてもよい。図1の中の点線は、認証、認可および会計情報用のための経路を示し、H-AAA 112とPDIF 114の間の情報転送を示す。実線は、利用者データ・トラヒックのための所持者経路を示し、パイプラインは、MS 102とPDIF 114の間の利用者データ・トラヒックを保護する安全トンネルを示す。
【0006】
MSは、PDIF アドレス情報、IPアドレスあるいは全指定ドメイン名(FQDN)で予備構成される。MSがPDIFのFQDNで構成されれば、FQDNに関連したIPアドレスを解決するために、MSはドメイン・ネーム・システム(DNS)上で中継するだろう。MSは、データ転送用のIPsecトンネルとして知られている安全トンネルを確立するためにPIDFと共に、インターネット鍵交換バージョン2(IKEv2)を使用する。安全トンネルを確立する部分は、MSが図1にけるH-AAA112によって認証され認可されることを必要とする。MSは、相互の認証のための多くの手順を使用してもよい。信任状およびランダムの挑戦を含む認証情報は、MSおよびH-AAAの間で交換される拡張認証プロトコル(EAP)メッセージ中で輸送される。EAPメッセージは、MSとPDIFの間のIKEv2メッセージで、そしてさらに、PDIFおよびH-AAAの間で交換されるRADIUSメッセージで搬送される。
【0007】
MSは、IPv4とIPv6の両方を使用して、同じPDIFへの同時アクセスを望んでもよい。このデュアルスタック・オペレーションは、PDIFのために認可問題を提起する、すなわち、PDIFは、MSがIPv4および(または)IPv6のために認可されるかどうか知る必要がある。さらに、PDIFは、IPv4とIPv6の両方のために認可されないデュアルスタック・オペレーションを要求するMSの場合には、IPバージョンのうちの1つのためにMSが認可されないことをMSに示す必要がある。MSへのIP認可を示し、かつMSが両方のIPバージョンのために認可されないことをMSにさらに示す方法および装置の必要がある。
【発明の概要】
【0008】
通信システムにおけるデュアルスタック認可およびオペレーションのための方法は、通信システムにおける認可実体からの認証を要求すること、そして次に、認証が成功である場合に、認可実体から認証メッセージを受け取ることを組み込み、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む。
【0009】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求すること;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取ること;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可の確立すること、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルの確立すること;および通信用の少なくとも1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンに同時にアクセスすること、を備える方法を提供する。
【0010】
さらに他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求すること;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取ること、ただし、そのメッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、そのメッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可の確立すること、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルを確立すること;および安全トンネルを使用して通信すること、を備える方法を提供する。
【0011】
他の実施形態は、次の要素、無線通信システムでの認可実体に認証を要求するための送信機;および認証が成功である場合、認証実体から認証メッセージを受け取るための受信機で構成され、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、装置を提供する。
【0012】
他の実施形態は、次の要素、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための受信機;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可を格納するためのメモリ、ただし、従属セキュリティ認可はインターネット鍵交換セキュリティ認可に従属する;送信機を使用して、通信用の少なくとも1つの安全トンネルを確立するためのプロセッサ;および通信用の少なくとも1つの安全トンネルを使用して、1つより多いインターネット・プロトコル・バージョンに同時にアクセスするための送信機で構成される装置を提供する。
【0013】
さらに他の実施形態は、次の要素、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取るための受信機と、ただし、そのメッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、そのメッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するためのプロセッサと、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を格納するためのメモリ;通信用の安全トンネルを確立するための送信機;および、安全トンネルを使用して通信するための送信機を含む装置を提供する。
【0014】
他の実施形態は、次の要素、無線通信システムにおいて認可実体からの認証を要求するための手段と;および、認証が成功である場合、認可実体から認証メッセージを受け取るための手段とで構成され、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、装置を提供する。
【0015】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求する手段;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための手段;各インターネット・プロトコル・バージョンの個別の従属セキュリティ認可を確立するための手段、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルを確立するための手段;および、通信用の1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンに同時にアクセスするための手段のステップで構成される方法を提供する。
【0016】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための手段と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取るための手段と、ただし、メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するための手段と、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルを確立するための手段と;そして、安全トンネルを使用して通信するための手段とを備える装置を提供する。
【0017】
無線通信システムにおいて認可実体からの認証をコンピュータに要求させるための命令と;そして、認証が成功である場合、認可実体からの認証メッセージをコンピュータに受け取らせるための命令を備え、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、コンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品実施態様が提供される。
【0018】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と;1つより多い超えるインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可をコンピュータに受け取らせるための命令と;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可をコンピュータに確立させるための命令と、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルをコンピュータに確立させるための命令と;そして、通信用の1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンにコンピュータを同時にアクセスさせるための命令と、を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品を提供する。
【0019】
追加の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可をコンピュータに受け取らせるための命令と、ただし、メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可をコンピュータに確立させるための命令と、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルをコンピュータに確立させるための命令と;そして、安全トンネルを使用してコンピュータに通信をさせるための命令と、を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品を提供する。
【図面の簡単な説明】
【0020】
【図1】本発明の実施形態によるデュアルスタック・オペレーションの認可を織り込むことをサポートするためのインターワーキング・アーキテクチャーを示すブロック図である。
【図2】本発明の実施形態によるCREATE_CHILD_SA要求のコンテンツを示す。
【図3】本発明の実施形態によるCREATE_CHILD_SAレスポンスのコンテンツを示す。
【図4A】本発明の実施形態によるIPsecトンネル確立を示す。
【図4B】本発明の実施形態によるトンネル確立フローを示す。
【図5】本発明の実施形態によるIPバージョン認可RADIUS VSAの構造を示す。
【図6】本発明の実施形態による認可されたIPv4IPv6デュアルスタック・オペレーションのフローチャートを例示する。
【図7】IPv4だけが本発明の実施形態に従って認可される場合におけるオペレーションのフローチャートを例示する。
【図8】IPv6だけが本発明の実施形態によって認可される場合のオペレーションのフローチャートを例示する。
【詳細な説明】
【0021】
「例示的な」("exemplary")という語は、「実例、事例または例示として役立つ」ことを意味するためにここに使用される。「例示的な」としてここに記述されるいかなる実施形態も他の実施形態よりも好ましいまたは有益であると必ずしも解釈されるべきではない。
【0022】
パケット・データサービスへのアクセスを希望するMSは、IPアクセス・ネットワークへのアクセスを獲得する必要がある。MSはアクセス・プロセスの一部としてトンネル確立を始める。これらのトンネルはMSとPDIFの間で確立され、トンネルが確立され、パケット・データサービスが始められてもよい前に、数ステップを要求する。
【0023】
MSが取る第1のステップは、認証、認可および会計プロセスを始める。認証は、多くの場合、ユーザ名とパスワードによって個人を識別するプロセスである。認証プロセスは、ユーザ名とパスワードがユニークに加入者を識別すると仮定する。
【0024】
認可は、認証の後にネットワーク資源へのユーザ・アクセスを許可する。アクセスのレベルを変化することは可能かもしれず、また、ユーザは、認可のレベルに依存してネットワーク資源へのアクセスを許可されるかもしれないし拒否されるかもしれない。
【0025】
会計はネットワーク資源にアクセスしている間のユーザの活動の追跡であり、ネットワーク上で消費される時間の量、ネットワーク上にいる間に利用されるサービス、およびネットワーク・セッションの間に転送されるデータの量を含む。
【0026】
ネットワーク資源へアクセスするための認証および認可は、MSがパケット・データサービスにアクセスすることを試みる場合に行なわれる。サービス認可は、WLAN認証および認可とは通常独立である。H-AAAサーバーは、リモート・オーセンティケイション・ダイアル・イン・ユーザー・サービス(RADIUS)、あるいはDIAMETERのようなアクセス・プロトコルを使用する認証および認可を行う。RADIUSは、多くのインターネット・サービス・プロバイダによって使用される認証および会計システムである。
【0027】
IPセキュリティ(IPsec)はIPデータグラムに機密性、データ保全性、アクセス・コントロールおよびデータ送信装置認証を提供する。これらのサービスは、IPデータグラムのソース(source)とシンク(sink)の間の共有される状態を維持することより提供される。この状態は、データグラムに提供されかつサービスを提供するために暗号アルゴリズムが用いられる特定のサービス、およびその暗号アルゴリズムの入力として使用されるキーを定義する。プロトコル、インターネット鍵交換(Internet Key Exchange )(IKE)として知られているピロトコルは、この共有される状態を確立するために使用される。
【0028】
IKEは、2つのパーティー間の相互の認証を行ない、そしてまた暗号ペイロード(ESP) および(または)認証ヘッダ(AH)のためのSAsを効率的に使用できる共有秘密情報および搬送するトラヒックを保護するためにSAsによって使用されるべき1つのセットの暗号アルゴリズムを含むIKEセキュリティ・アソシエーション(SA)をさらに設立する。イニシエータ(initiator)は、SAを保護するために使用される暗号アルゴリズムのセットを提案する。IKE SAは「IKE_SA」と呼ばれる。IKE_SAを通じて設定されるESPおよび(または)AHのためのSAsは、「CHILD_SAs」として知られている。
【0029】
すべてのIKE通信は、メッセージのペア、すなわち、要求およびレスポンスから成る。そのペアは交換として知られている。IKE_SAを確立する最初のメッセージは、最初の交換「IKE_SA_INIT」および「IKE_AUTH」である。チャイルドSAを確立する後続の交換は「CREATE_CHILD_SA」あるいは情報交換として知られている。一般的な場合には、最初に、IKE_SAおよび最初のCHILD_SAを確立するための合計4つのメッセージを使用して、単一のIKE_SA_INIT交換および単一のIKE_AUTH交換が存在する。ある場合には、1つより多いそのような交換が必要とされうる。すべての場合に、IKE_SA_INIT交換は他の交換タイプに先立って完了しなければならない。次に、すべてのIKE_AUTH交換は完了されなければならない。任意の数のCREATE_CHILD_SA交換に続いて、INFORMATIONAL交換は任意の順に続いてもよい。後の交換は、同じ確証されたペアの終了点間に追加のCHILD_SAsを確立してもよい。
【0030】
IKEメッセージ・フローはレスポンスが後続する要求から成る。信頼性を保証することは依頼人の責任である。レスポンスがタイムアウト期間内に受け取られない場合には、依頼人(requester)は要求を再送するか、あるいは接続を放棄する必要がある。
【0031】
IKEセッションの最初の要求/レスポンスは、IKE_SAのセキュリティ・パラメータを協定する、ナンス(nonces)およびデイフィー・ヘルマン(Diffie-Hellman)値を送る。
【0032】
第2の要求レスポンス(IKE_AUTH)はアイデンテイテイ(identities)を送信し、2つのアイデンテイテイに対応する秘密についての知識を証明し、最初のAHおよび(または)ESP CHILD_SAのためのSAをセット・アップする。
【0033】
後続の交換はCHILD_SAs(CREATE_CHILD_SA)およびSAを削除してもよいINFORMATIONALを作成し、そしてエラー状態あるいは他のハウスキーピング機能を報告してもよい。すべての要求はレスポンスを要求する。最初の交換の完成の後まで、後続の交換は生じなくてもよい。
【0034】
CREATE_CHILD交換は単一の要求/レスポンス・ペアから成り、最初の交換が終わった後、IKE_SAのいずれかの端までに始められてもよい。最初の交換の後のメッセージはすべて、IKE交換の最初の2つのメッセージのネゴシエートされた(negotiated)暗号セットを使用して、暗号的に保護される。一方の終了点はCREATE_CHILD_SA交換を始めてもよい。CHILD_SAはCREATE_CHILD_SA要求を送ることにより作成される。CREATE_CHILD_SA要求は、CHILD_SAのための順方向秘密(forward secrecy)のより確固たる保証を可能にするために付加的なデイフィー・ヘルマン交換用のペイロードを含んでいてもよい。CHILD_SAのキーイング材料は、IKE_SAの設立中に確立される機能、CREATE_CHILD_SA交換中に交換されるナンス、およびデイフィー・ヘルマン値である(重要な交換ペイロードがCREATE_CHILD_SA交換に含まれている場合に)。
【0035】
最初の交換中に作成されたCHILD_SAにおいては、第2の鍵交換ペイロードおよびナンスは送られてはならない最初の交換からのナンスはCHILD_SAのための鍵を計算するために使用される。
【0036】
図2は、CREATE_CHILD_SAの内容を例示する。イニシエータは、SAペイロード中のSA提示を送る。ナンスはNiペイロードで送られる。このナンス、およびIKE_SA_INITメッセージに含まれる他のナンスは、暗号機能への入力として使用される。CREATE_CHILD_SA要求およびレスポンスにおいて、ナンスは、CHILD_SAに対する鍵を得るためおよびデイフィー・ヘルマン鍵から強い偽似乱数のビット(strong pseudo-random bits)の生成を確保するための重要な派生技術に新鮮さを付加するために使用される。IKEv2の中で使用されるナンスは、無作為に選ばれ、少なくとも128ビットのサイズで、ネゴシエート(negotiatecd)された偽似乱数の機能の鍵サイズの少なくとも半分である。デイフィー・ヘルマン値はKEiペイロードで送られてもよい。提案されたトラヒック・セレクタは、TSiおよびTSrペイロードで送られる。SA提示が異なるデイフィー・ヘルマン(Diffie-Hellman)グループを含む場合には、KEiは、イニシエータがレスポンダが受理することを予期するグループのエレメントでなければならない。推測が間違っていれば、CREATE_CHILD_SA交換は失敗し、異なるKEiで再び試みられる必要があるだろう。
【0037】
ヘッダーに続くメッセージは暗号化され、そして、ヘッダーを含むメッセージはIKE_SAに対するネゴシエートされた暗号アルゴリズムを使用して保護される完全性(integrity)である。
【0038】
図3は、CREATE_CHILD_SAレスポンスのコンテンツを示す。レスポンダは、KEiが要求に含まれており、ネゴシエートされた暗号のセットがそのグループを含む場合には、SAペイロードおよびKErペイロード中のデイフィー・ヘルマン値で容認された提示と同じメッセージ識別子を使用して返答する。レスポンダが異なるグループを備えた暗号のセットを選択する場合には、それは要求を拒絶しなければならない。その後、イニシエータは要求を繰り返すべきであるが、グループからのKEiペイロードに対しては、そのレスポンダが選択される。そのSAの上で送られるべきトラヒックに対するトラヒック・セレクターは、提案されたCHILD_SAのイニシエータのサブセット(subset)であってもよいトラヒック・セレクター(TS)ペイロードにおいて指定される。CREATE_CHILD_SA要求がIKE_SAの鍵を変更するために使用されている場合には、トラヒック・セレクターは省略されてもよい。
【0039】
一旦CHILD_SAが作成されたならば、次のステップはIPsecトンネルをセット・アップすることである。トンネル確立手順が下記に詳述される。
【0040】
MSは、PDIFのIPアドレスがあらかじめ供給されていてもよいか、あるいはPDIFのIPアドレスを検索するためにDNSメカニズムを使用するものとする。DNS要求のためにFQDNを構築する場合、MSはオペレータのネットワークを識別するべ鍵である。そのネットワークへのアクセスを容易にするために、MSは、複数のPDIFsのFQDNsを予め供給されてもよい。一旦MSが1つまたは複数のPDIF IPアドレスを含むレスポンスを受け取ると、MSは成功したアソシエーション(successful association)でWLANによって割当てられたIPアドレスであるそのローカルIPアドレスと同じIPバージョンを備えたPDIF IPアドレスを選択する。この選択はユーザによって行なわれてもよいし、あるいはMSによって自動的に行なわれてもよい。いくつかのメカニズムはDIFを発見するために使用されてもよく、かつ実装依存(implementation dependent)である。
【0041】
メッセージ交換はMSとPDIFの間のIPsecトンネルをセット・アップするために使用される。図4はこのメッセージ交換を示す。ステップ1で、MSは、WLANアクセス・ネットワークに認証しかつインターネットへのアクセスを得る。これは、WLANが認可をH-AAAに確認することを含んでもよい。
【0042】
ステップ2で、MSはアクセス・ネットワークからIPアドレスを得る。MSはまた、デフォルト・ルータおよびDNSサーバー・アドレスを発見する。
【0043】
ステップ3で、MSはPDIFとのIKEv2交換を始める。この交換で送られるメッセージの最初のセットが初期交換であり、IKE_SA_INITで示される。
【0044】
ステップ4で、MSはPDIFとのIKE_AUTH交換を始める。これらのメッセージは暗号化され、そして完全性(integrity)はIKE_SA_INIT交換中に確立された鍵で保護される。
【0045】
MSは、IKE_AUTH要求にCONFIGURATIONペイロードを設定することにより、ステップ5でトンネル・インナーIPアドレス(TIA)を要求する。MSはペイロードにそれのネットワーク・アクセス識別子(NAI)を含む。MSが拡張認証プロトコル(EAP)を使用しい場合には、それはIKE_AUTHメッセージに認可(AUTH)ペイロードを含まない。
【0046】
ステップ6で、PDIFは、RADIUSアクセス要求メッセージあるいは直径EAP要求(DER)コマンドの中でEAPレスポンス/同一性メッセージを送ることにより、それがH-AAAに連絡をとるAUTHペイロードのないIKE_AUTH要求を受け取り、サービス認可およびユーザ認証情報を要求する。
【0047】
ステップ7で、EAPメッセージがMSおよびH-AAAの間で交換される。H-AAAは、PDIFにRADIUSアクセス・チャレンジ、あるいはDiameter-EAP回答(DEA)コマンドでのEAP要求メッセージを送る。PDIFは、EAP要求メッセージを含むIKE_AUTH返答メッセージをMSへ送る。
【0048】
MSは、EAPレスポンス・メッセージを含むIKE_AUTH要求メッセージに対してステップ8で応答する。PDIFは、RADIUSアクセス要求メッセージあるいはDiameter-EAP要求コマンドにおけるEAPレスポンス・メッセージをH-AAAへ送る。ステップ7および8は多数回生じてもよい。
【0049】
認証が成功した場合には、ステップ9でH-AAAがRADIUSアクセス受理メッセージ中のEAP成功、あるいは成功した認証を示すコードを備えたDEAコマンドを送る。
【0050】
ステップ10で、成功した認証を示すリザルトコードを備えた、RADIUSアクセス受理メッセージあるいはDEAコマンドを受取ると、PDIFは、EAP成功を含むIKE_AUTHレスポンス・メッセージを送る。PDIFが認可の失敗を示すリザルトコード(result code)を備えた、RADIUS拒否メッセージあるいはDEAコマンドを受け取る場合には、PDIFはMSへのトンネル確立を拒否し、「認証失敗(AUTHENTICATION FAILED)」にセットされた通知ペイロードを備えたIKE_AUTHレスポンス・メッセージを送る。
【0051】
その後、MSは、成功したEAP認証で生成されるマスター・セッション鍵(MSK)から計算されたAUTHペイロードを含んでIKE_AUTH要求メッセージをステップ11で送る。
【0052】
PDIFは、割り当てられたTIA、AUTHペイロードおよびセュリティ認可を含んでIKE_AUTHレスポンス・メッセージに対してステップ12で返答する。PDIFは、AUTHペイロードを計算するためにMSKを使用する。PDIFは、上記のステップ9でH-AAAからMSKを得る。
【0053】
ステップ13で、IKE_AUTH交換が完了すると、IPsecトンネルがMSとPDIFの間で確立される。
【0054】
図4Bは、正常なトンネル設立フローのステップを例示する。下記でさらに論述されるように、マルチプル・トンネル(multiple tunnels)を確立する場合、これが利用されてもよい。
【0055】
同じPDIFに対してマルチプル・トンネルを確立することが可能である。一旦IKEセキュリティ・アソシエーション(SA)が確証されると、1つより多いチャイルドSAはIKE SAの内でネゴシエートできる。CREATE_CHILD_SAが保護され暗号のアルゴリズムを使用し、そして、上に記述されるように、鍵がIKE交換の最初の2つのメッセージの中で交渉したとともに、その交換が知られている。その結果、MSとPDIFの間の追加のCHILD_SAsの生成は、H-AAAにメッセージするさらなる認証を引き起こさない。
【0056】
MSは同じPDIFへのIPv4およびIPv6アクセスを同時に持ちたいと欲することがありうる。IKEv2標準は同じ個別のIPsecトンネルにおけるそのような同時アクセスを許可するが、認可はアドレスされず、そして、PDIFは、デュアルスタック認可を要求するMSがIPv4およびIPv6に対して認可されるかどうか知る必要がある。
【0057】
第1の実施形態は、要求するMSがIPv4および(または)IPv6に対して認可されるかどうか知るPDIFの質問に対処する。上述のようなIPsecトンネル確立中に、EAP認可が成功する場合には、H-AAAは、IPv4および(または)IPv6が認可されたかどうかを示すためにRADIUSアクセス−受理メッセージにおけるIPバージョン認可VSAを返す。IPバージョン認可VSAがRADIUSアクセス−受理メッセージにない場合には、PDIFは、デュアルスタック動作の認可のためのそれのローカル・ポリシー(local policy)を適用するものとする。図5は、IPバージョン認可RADIUS VSAの構造を示す。
【0058】
MSがIPv4とIPv6を同時に使用することを望み、両方を使用することを認められる場合には、他の実施形態が使用される。図6は、この実施形態の方法を例示する。この方法600は、MSがステップ602でIPv4IPv6デュアルスタック・オペレーションを要求する場合に始まる。この要求は、PDIFによってAAAのサーバーのもとへ送られたメッセージの形式をしている。ステップ604で、AAAサーバーは、MSがIPv4とIPv6の両方を使用することを認められるかどうか決定する。ステップ606で、AAAのサーバーは、要求するMSがIPv4とIPv6の両方を使用することを認められるとPDIFに通知する。PDIFは、IPv4、IPv6デュアルスタック・オペレーションの要求が認可されたことをステップ608でMSに通知する。ステップ610で、MSとPDIFは、IPv4とIPv6のための同じIKE_SAの下の個別のCHILD_SAsを確立する。MSがIPv4とIPv6の両方に対して認可されない場合には、AAAサーバーはステップ612でPDIFに通知する。そして、PDIFは非認可のステップ614でMSに通知し、また、どのIPバージョンが認可されないかMSに通知する。
【0059】
MSがIPv4とIPv6の両方を同時に使用することを希望するが、IPv4だけしか認可されない場合には、さらに他の実施形態は使用される。図7は、この実施形態のオペレーションの方法を例示する。この方法700は、MSがIPv4IPv6デュアルスタック・オペレーションを要求する場合、ステップ702で始まる。ステップ704で、AAAサーバーは、MSがIPv4とIPv6の両方に対して認可されることをチェックする。MSがIPv4とIPv6の両方に対して認可される場合には、この方法は図6の方法のステップ606に戻る。MSがIPv4に対してだけ認可される場合には、AAAサーバーはMSがIPv4に対してだけ認可されることをPDIFに通知する。PDIFは、IPv4だけがステップ710で認可されることを示す特定のメッセージ・タイプにセットされた通知メッセージ・タイプを有する通知ペイロードを送る。無線通信システムが3GPP2標準を使用して作動する場合には、メッセージ・タイプはIKE_AUTHレスポンス・メッセージにおける8193にセットされる。他のオペレーティング・システムは異なるメッセージ・タイプを使用してもよいが、この実施形態のオペレーションに影響しない。この場合には、ステップ712で、IPv4のためのIPsecトンネルだけが確立されるだろう。MSがネットワークに対してIPv6セッションを確立するのを阻止するために、MSはCFG要求ペイロードにおいてIINTERNAL_IP6_ADDRESS属性t 0::0をセットする。PDIFは、CFG応答ペイロードにおいてINTERNAL_IP6_ADDRESS属性の長さをゼロにセットする。PDIFは、誤りを示す特定のメッセージ・タイプを有する通知ペイロードを送ることによって、MSがIPv6アクセスに対して認可されないことをMSに通知してもよい。MSがPDIFからのIPv6接頭辞を得ようとする場合には、PDIFはMSに通知せずに、メッセージを廃棄する。
【0060】
図8は、MSがIPv4およびIPv6デュアルスタック・オペレーションを利用することを望むが、IPv6に対してだけ認可される時に使用される実施形態を例示する。方法800は、MSがIPv4IPv6デュアルスタック・オペレーションを要求する場合には、ステップ802から始まる。AAAサーバーは、MSがIPv4およびIPv6に対して認可されるかどうかステップ804でチェックする。MSがIPv4およびIPv6の両方に対して認可される場合には、この方法は図6のステップ606に戻る。ステップ808でMSがIPv4およびIPv6に対して認可されず、IPv6に対してだけ認可される場合には、AAAサーバーは、MSがIPv6に対してだけ認可されることをPDIFに通知する。ステップ810で、PDIFは、MSが単にIKE_AUTHレスポンス・メッセージにおけるIPv6に対してだけ認可されることを示す特定のメッセージ・タイプにセットされた通知メッセージ・タイプを有する通知ペイロード・メッセージを送る。無線通信システムが3GPP2標準を使用して作動する場合には、メッセージ・タイプは8194にセットされる。ステップ812で、IPv6のためのIPsecトンネルが確立される。MSにINTERNAL_IP4_ADDRESS属性をCFG要求ペイロードにおいて0.0.0.0にセットさせることにより、MSは、ネットワークに対する内部IPv4セッションを確立することを阻止される。同様に、PDIFは、INTERNAL_IP4_ADDRESS属性の長さをCFG応答ペイロードにおいて0にセットする。PDIFは、特定のメッセージ・タイプを有する通知ペイロードを送ることによって、IPv4アクセスに対してMSが認可されないことをMSに通知してもよい。MSがPDIFからのIPv4接頭辞を得ることを試みる場合には、PDIFはMSに通知せずに、メッセージを廃棄する。
【0061】
他の実施形態では、前記の方法は、コンピュータ・プラットフォームのメモリのようなコンピュータ読取り可能な媒体上で具体化されたプログラムの実行によって実施できることを当業者は認識するであろう。その命令は、様々なタイプの信号担持あるいはデータ保存一次、二次あるいは三次の媒体に存在することができる。それらの媒体は、例えば、クライアント装置および(または)サーバーによってまたはその中に存在することによってアクセス可能なRAMを備えてもよい。RAM、ディスケットあるいは他の補助記憶装置媒体に含まれているかに関係なく、命令は、DASD記憶装置(例えば従来の「ハードドライブ」あるいはRAIDアレイ)、磁気テープ、電子の読み出し専用メモリ(例えばROMまたはEEPROM)、フラッシュ・メモリ・カー、光記憶装置(例えばCD-ROM、WORM、DVD)、ディジタル光学テープ、「パンチ」カード、あるいはディジタルとアナログ伝送の媒体を含む他の適切なデータ記憶媒体のような様々な機械可読のデータ記憶媒体上に格納されてもよい。
【0062】
前記開示は本発明の例示的な実施形態を示すが、添付された請求項によって定義される発明の範囲から逸脱することなしに、様々な変更および修正がここで行なわれうることに注目されるべきである。ここに記述された発明の実施形態による方法請求項の活動やステップはいかなる特定の順序でも実行される必要はない。更に、発明の要素は単数で記述されまたは請求されてもよいが、もし単数への限定が明示的に述べられなければ、複数は熟考されている。
【0063】
本発明の好ましい実施形態がこのように示され記述された。しかし、ここに開示された実施形態に対しては、本発明の精神又は範囲から逸脱することなしに、多数の変更がなされてもよいことが当業者には明らかであろう。したがって、本発明は、下記の請求項による以外には限定されない。
【0064】
関連出願に対する相互参照
[0001] 本出願は、2006年8月21日に申請された「WLAN-CDMA2000インターワーキング・オーソライゼーション・オブ・IPV4-IPV6デユアルスタック・オペレーション(WLAN-CDMA2000INTERWORKING AUTHORIZATION OF IPV4-IPV6 DUAL-STACK OPERATION)」というタイトルの米国仮特許出願第60/839,212号の利益を請求する。上記出願の全体が参照によりここに取り込まれる。
【技術分野】
【0001】
本発明は、一般的には通信システムに関し、より具体的には、デュアルスタック・オペレーション(dual stack operation)の認可(authorization)を織り込む(interworking)方法と装置に関する。
【背景技術】
【0002】
無線通信技術は過去数年にすさまじい成長を見た。この成長は、一部分無線技術によって提供された移動の自由および無線媒体に対する音声およびデータ通信の大きく改良された品質によってあおられた。音声サービスの改良された品質は、データ・サービスの追加と相俟って、コミュニケーテイング・パブリック(communicating public)に対して重要な効果を有してきたしまた有し続けるであろう。その追加のサービスは、ローミング(roaming)中にモバイル装置を使用してインターネットにアクセスすることを含む。
【0003】
移動中にデータ・セッションを維持できることは、ユーザとシステム・オペレータの両方にとって重要である。より多くのユーザがモバイル・インターネット・プロトコル・オペレーションを利用するにつれて、ユーザは、モバイル・インターネット・プロトコルの2つのバージョンの同時の使用を可能にするデュアルスタック・オペレーションを使用して、同じパケット・データ織り込み機能(packet data interworking function)に対して同時にアクセスすることを欲することが可能である。パケット・データ織り込み機能(PDIF)は、セルラー・ネットワークを保護するセキュリティ・ゲートウェイとして働く。
【0004】
図1は、無線ローカルエリアネットワーク(WLAN)用のインターワーキング・アーキテクチャー(interworking architecture)を示す。そのネットワークは、ここで3GPP2と呼ばれる「第3世代パートナーシップ・プロジェクト2」と命名されたコンソーシアムによって提示される標準によって定義された3GPP2標準上で動作する無線通信システムの一部であってもよい。アーキテクチャー100は、WLANシステム104に接続された移動局(MS)102を含む。WLANシステム104はアクセス・ポイント(AP)106およびアクセス・ルータ(AR)108を含む。WLANシステムは3Gホームネットワーク110に接続される。WLANシステムはパケット・データ織り込み機能(PDIF)122によって3Gホームネットワーク110に接続する。PDIF 114は、ホーム認証、認可および会計(H-AAA)装置112に接続される。
【0005】
MSは、3Gホームネットワーク中のセキュリティ・ゲートウェイとして働くPDIFを備えた安全IPトンネルを確立する。トンネル確立は、H-AAA 112によって確証されかつ認可される。トンネルが確立された後、MSは3Gホームネットワーク110中のサービスにアクセスしてもよい。図1の中の点線は、認証、認可および会計情報用のための経路を示し、H-AAA 112とPDIF 114の間の情報転送を示す。実線は、利用者データ・トラヒックのための所持者経路を示し、パイプラインは、MS 102とPDIF 114の間の利用者データ・トラヒックを保護する安全トンネルを示す。
【0006】
MSは、PDIF アドレス情報、IPアドレスあるいは全指定ドメイン名(FQDN)で予備構成される。MSがPDIFのFQDNで構成されれば、FQDNに関連したIPアドレスを解決するために、MSはドメイン・ネーム・システム(DNS)上で中継するだろう。MSは、データ転送用のIPsecトンネルとして知られている安全トンネルを確立するためにPIDFと共に、インターネット鍵交換バージョン2(IKEv2)を使用する。安全トンネルを確立する部分は、MSが図1にけるH-AAA112によって認証され認可されることを必要とする。MSは、相互の認証のための多くの手順を使用してもよい。信任状およびランダムの挑戦を含む認証情報は、MSおよびH-AAAの間で交換される拡張認証プロトコル(EAP)メッセージ中で輸送される。EAPメッセージは、MSとPDIFの間のIKEv2メッセージで、そしてさらに、PDIFおよびH-AAAの間で交換されるRADIUSメッセージで搬送される。
【0007】
MSは、IPv4とIPv6の両方を使用して、同じPDIFへの同時アクセスを望んでもよい。このデュアルスタック・オペレーションは、PDIFのために認可問題を提起する、すなわち、PDIFは、MSがIPv4および(または)IPv6のために認可されるかどうか知る必要がある。さらに、PDIFは、IPv4とIPv6の両方のために認可されないデュアルスタック・オペレーションを要求するMSの場合には、IPバージョンのうちの1つのためにMSが認可されないことをMSに示す必要がある。MSへのIP認可を示し、かつMSが両方のIPバージョンのために認可されないことをMSにさらに示す方法および装置の必要がある。
【発明の概要】
【0008】
通信システムにおけるデュアルスタック認可およびオペレーションのための方法は、通信システムにおける認可実体からの認証を要求すること、そして次に、認証が成功である場合に、認可実体から認証メッセージを受け取ることを組み込み、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む。
【0009】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求すること;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取ること;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可の確立すること、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルの確立すること;および通信用の少なくとも1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンに同時にアクセスすること、を備える方法を提供する。
【0010】
さらに他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求すること;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取ること、ただし、そのメッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、そのメッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可の確立すること、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルを確立すること;および安全トンネルを使用して通信すること、を備える方法を提供する。
【0011】
他の実施形態は、次の要素、無線通信システムでの認可実体に認証を要求するための送信機;および認証が成功である場合、認証実体から認証メッセージを受け取るための受信機で構成され、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、装置を提供する。
【0012】
他の実施形態は、次の要素、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための受信機;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可を格納するためのメモリ、ただし、従属セキュリティ認可はインターネット鍵交換セキュリティ認可に従属する;送信機を使用して、通信用の少なくとも1つの安全トンネルを確立するためのプロセッサ;および通信用の少なくとも1つの安全トンネルを使用して、1つより多いインターネット・プロトコル・バージョンに同時にアクセスするための送信機で構成される装置を提供する。
【0013】
さらに他の実施形態は、次の要素、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取るための受信機と、ただし、そのメッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、そのメッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するためのプロセッサと、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を格納するためのメモリ;通信用の安全トンネルを確立するための送信機;および、安全トンネルを使用して通信するための送信機を含む装置を提供する。
【0014】
他の実施形態は、次の要素、無線通信システムにおいて認可実体からの認証を要求するための手段と;および、認証が成功である場合、認可実体から認証メッセージを受け取るための手段とで構成され、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、装置を提供する。
【0015】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求する手段;1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための手段;各インターネット・プロトコル・バージョンの個別の従属セキュリティ認可を確立するための手段、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルを確立するための手段;および、通信用の1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンに同時にアクセスするための手段のステップで構成される方法を提供する。
【0016】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための手段と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可を受け取るための手段と、ただし、メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するための手段と、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルを確立するための手段と;そして、安全トンネルを使用して通信するための手段とを備える装置を提供する。
【0017】
無線通信システムにおいて認可実体からの認証をコンピュータに要求させるための命令と;そして、認証が成功である場合、認可実体からの認証メッセージをコンピュータに受け取らせるための命令を備え、認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、コンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品実施態様が提供される。
【0018】
他の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と;1つより多い超えるインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可をコンピュータに受け取らせるための命令と;各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可をコンピュータに確立させるための命令と、ただし、従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の少なくとも1つの安全トンネルをコンピュータに確立させるための命令と;そして、通信用の1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンにコンピュータを同時にアクセスさせるための命令と、を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品を提供する。
【0019】
追加の実施形態は、1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と;メッセージ中の1つのインターネット・プロトコル・バージョンのための認可をコンピュータに受け取らせるための命令と、ただし、メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する;認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可をコンピュータに確立させるための命令と、ただし、認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する;通信用の安全トンネルをコンピュータに確立させるための命令と;そして、安全トンネルを使用してコンピュータに通信をさせるための命令と、を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品を提供する。
【図面の簡単な説明】
【0020】
【図1】本発明の実施形態によるデュアルスタック・オペレーションの認可を織り込むことをサポートするためのインターワーキング・アーキテクチャーを示すブロック図である。
【図2】本発明の実施形態によるCREATE_CHILD_SA要求のコンテンツを示す。
【図3】本発明の実施形態によるCREATE_CHILD_SAレスポンスのコンテンツを示す。
【図4A】本発明の実施形態によるIPsecトンネル確立を示す。
【図4B】本発明の実施形態によるトンネル確立フローを示す。
【図5】本発明の実施形態によるIPバージョン認可RADIUS VSAの構造を示す。
【図6】本発明の実施形態による認可されたIPv4IPv6デュアルスタック・オペレーションのフローチャートを例示する。
【図7】IPv4だけが本発明の実施形態に従って認可される場合におけるオペレーションのフローチャートを例示する。
【図8】IPv6だけが本発明の実施形態によって認可される場合のオペレーションのフローチャートを例示する。
【詳細な説明】
【0021】
「例示的な」("exemplary")という語は、「実例、事例または例示として役立つ」ことを意味するためにここに使用される。「例示的な」としてここに記述されるいかなる実施形態も他の実施形態よりも好ましいまたは有益であると必ずしも解釈されるべきではない。
【0022】
パケット・データサービスへのアクセスを希望するMSは、IPアクセス・ネットワークへのアクセスを獲得する必要がある。MSはアクセス・プロセスの一部としてトンネル確立を始める。これらのトンネルはMSとPDIFの間で確立され、トンネルが確立され、パケット・データサービスが始められてもよい前に、数ステップを要求する。
【0023】
MSが取る第1のステップは、認証、認可および会計プロセスを始める。認証は、多くの場合、ユーザ名とパスワードによって個人を識別するプロセスである。認証プロセスは、ユーザ名とパスワードがユニークに加入者を識別すると仮定する。
【0024】
認可は、認証の後にネットワーク資源へのユーザ・アクセスを許可する。アクセスのレベルを変化することは可能かもしれず、また、ユーザは、認可のレベルに依存してネットワーク資源へのアクセスを許可されるかもしれないし拒否されるかもしれない。
【0025】
会計はネットワーク資源にアクセスしている間のユーザの活動の追跡であり、ネットワーク上で消費される時間の量、ネットワーク上にいる間に利用されるサービス、およびネットワーク・セッションの間に転送されるデータの量を含む。
【0026】
ネットワーク資源へアクセスするための認証および認可は、MSがパケット・データサービスにアクセスすることを試みる場合に行なわれる。サービス認可は、WLAN認証および認可とは通常独立である。H-AAAサーバーは、リモート・オーセンティケイション・ダイアル・イン・ユーザー・サービス(RADIUS)、あるいはDIAMETERのようなアクセス・プロトコルを使用する認証および認可を行う。RADIUSは、多くのインターネット・サービス・プロバイダによって使用される認証および会計システムである。
【0027】
IPセキュリティ(IPsec)はIPデータグラムに機密性、データ保全性、アクセス・コントロールおよびデータ送信装置認証を提供する。これらのサービスは、IPデータグラムのソース(source)とシンク(sink)の間の共有される状態を維持することより提供される。この状態は、データグラムに提供されかつサービスを提供するために暗号アルゴリズムが用いられる特定のサービス、およびその暗号アルゴリズムの入力として使用されるキーを定義する。プロトコル、インターネット鍵交換(Internet Key Exchange )(IKE)として知られているピロトコルは、この共有される状態を確立するために使用される。
【0028】
IKEは、2つのパーティー間の相互の認証を行ない、そしてまた暗号ペイロード(ESP) および(または)認証ヘッダ(AH)のためのSAsを効率的に使用できる共有秘密情報および搬送するトラヒックを保護するためにSAsによって使用されるべき1つのセットの暗号アルゴリズムを含むIKEセキュリティ・アソシエーション(SA)をさらに設立する。イニシエータ(initiator)は、SAを保護するために使用される暗号アルゴリズムのセットを提案する。IKE SAは「IKE_SA」と呼ばれる。IKE_SAを通じて設定されるESPおよび(または)AHのためのSAsは、「CHILD_SAs」として知られている。
【0029】
すべてのIKE通信は、メッセージのペア、すなわち、要求およびレスポンスから成る。そのペアは交換として知られている。IKE_SAを確立する最初のメッセージは、最初の交換「IKE_SA_INIT」および「IKE_AUTH」である。チャイルドSAを確立する後続の交換は「CREATE_CHILD_SA」あるいは情報交換として知られている。一般的な場合には、最初に、IKE_SAおよび最初のCHILD_SAを確立するための合計4つのメッセージを使用して、単一のIKE_SA_INIT交換および単一のIKE_AUTH交換が存在する。ある場合には、1つより多いそのような交換が必要とされうる。すべての場合に、IKE_SA_INIT交換は他の交換タイプに先立って完了しなければならない。次に、すべてのIKE_AUTH交換は完了されなければならない。任意の数のCREATE_CHILD_SA交換に続いて、INFORMATIONAL交換は任意の順に続いてもよい。後の交換は、同じ確証されたペアの終了点間に追加のCHILD_SAsを確立してもよい。
【0030】
IKEメッセージ・フローはレスポンスが後続する要求から成る。信頼性を保証することは依頼人の責任である。レスポンスがタイムアウト期間内に受け取られない場合には、依頼人(requester)は要求を再送するか、あるいは接続を放棄する必要がある。
【0031】
IKEセッションの最初の要求/レスポンスは、IKE_SAのセキュリティ・パラメータを協定する、ナンス(nonces)およびデイフィー・ヘルマン(Diffie-Hellman)値を送る。
【0032】
第2の要求レスポンス(IKE_AUTH)はアイデンテイテイ(identities)を送信し、2つのアイデンテイテイに対応する秘密についての知識を証明し、最初のAHおよび(または)ESP CHILD_SAのためのSAをセット・アップする。
【0033】
後続の交換はCHILD_SAs(CREATE_CHILD_SA)およびSAを削除してもよいINFORMATIONALを作成し、そしてエラー状態あるいは他のハウスキーピング機能を報告してもよい。すべての要求はレスポンスを要求する。最初の交換の完成の後まで、後続の交換は生じなくてもよい。
【0034】
CREATE_CHILD交換は単一の要求/レスポンス・ペアから成り、最初の交換が終わった後、IKE_SAのいずれかの端までに始められてもよい。最初の交換の後のメッセージはすべて、IKE交換の最初の2つのメッセージのネゴシエートされた(negotiated)暗号セットを使用して、暗号的に保護される。一方の終了点はCREATE_CHILD_SA交換を始めてもよい。CHILD_SAはCREATE_CHILD_SA要求を送ることにより作成される。CREATE_CHILD_SA要求は、CHILD_SAのための順方向秘密(forward secrecy)のより確固たる保証を可能にするために付加的なデイフィー・ヘルマン交換用のペイロードを含んでいてもよい。CHILD_SAのキーイング材料は、IKE_SAの設立中に確立される機能、CREATE_CHILD_SA交換中に交換されるナンス、およびデイフィー・ヘルマン値である(重要な交換ペイロードがCREATE_CHILD_SA交換に含まれている場合に)。
【0035】
最初の交換中に作成されたCHILD_SAにおいては、第2の鍵交換ペイロードおよびナンスは送られてはならない最初の交換からのナンスはCHILD_SAのための鍵を計算するために使用される。
【0036】
図2は、CREATE_CHILD_SAの内容を例示する。イニシエータは、SAペイロード中のSA提示を送る。ナンスはNiペイロードで送られる。このナンス、およびIKE_SA_INITメッセージに含まれる他のナンスは、暗号機能への入力として使用される。CREATE_CHILD_SA要求およびレスポンスにおいて、ナンスは、CHILD_SAに対する鍵を得るためおよびデイフィー・ヘルマン鍵から強い偽似乱数のビット(strong pseudo-random bits)の生成を確保するための重要な派生技術に新鮮さを付加するために使用される。IKEv2の中で使用されるナンスは、無作為に選ばれ、少なくとも128ビットのサイズで、ネゴシエート(negotiatecd)された偽似乱数の機能の鍵サイズの少なくとも半分である。デイフィー・ヘルマン値はKEiペイロードで送られてもよい。提案されたトラヒック・セレクタは、TSiおよびTSrペイロードで送られる。SA提示が異なるデイフィー・ヘルマン(Diffie-Hellman)グループを含む場合には、KEiは、イニシエータがレスポンダが受理することを予期するグループのエレメントでなければならない。推測が間違っていれば、CREATE_CHILD_SA交換は失敗し、異なるKEiで再び試みられる必要があるだろう。
【0037】
ヘッダーに続くメッセージは暗号化され、そして、ヘッダーを含むメッセージはIKE_SAに対するネゴシエートされた暗号アルゴリズムを使用して保護される完全性(integrity)である。
【0038】
図3は、CREATE_CHILD_SAレスポンスのコンテンツを示す。レスポンダは、KEiが要求に含まれており、ネゴシエートされた暗号のセットがそのグループを含む場合には、SAペイロードおよびKErペイロード中のデイフィー・ヘルマン値で容認された提示と同じメッセージ識別子を使用して返答する。レスポンダが異なるグループを備えた暗号のセットを選択する場合には、それは要求を拒絶しなければならない。その後、イニシエータは要求を繰り返すべきであるが、グループからのKEiペイロードに対しては、そのレスポンダが選択される。そのSAの上で送られるべきトラヒックに対するトラヒック・セレクターは、提案されたCHILD_SAのイニシエータのサブセット(subset)であってもよいトラヒック・セレクター(TS)ペイロードにおいて指定される。CREATE_CHILD_SA要求がIKE_SAの鍵を変更するために使用されている場合には、トラヒック・セレクターは省略されてもよい。
【0039】
一旦CHILD_SAが作成されたならば、次のステップはIPsecトンネルをセット・アップすることである。トンネル確立手順が下記に詳述される。
【0040】
MSは、PDIFのIPアドレスがあらかじめ供給されていてもよいか、あるいはPDIFのIPアドレスを検索するためにDNSメカニズムを使用するものとする。DNS要求のためにFQDNを構築する場合、MSはオペレータのネットワークを識別するべ鍵である。そのネットワークへのアクセスを容易にするために、MSは、複数のPDIFsのFQDNsを予め供給されてもよい。一旦MSが1つまたは複数のPDIF IPアドレスを含むレスポンスを受け取ると、MSは成功したアソシエーション(successful association)でWLANによって割当てられたIPアドレスであるそのローカルIPアドレスと同じIPバージョンを備えたPDIF IPアドレスを選択する。この選択はユーザによって行なわれてもよいし、あるいはMSによって自動的に行なわれてもよい。いくつかのメカニズムはDIFを発見するために使用されてもよく、かつ実装依存(implementation dependent)である。
【0041】
メッセージ交換はMSとPDIFの間のIPsecトンネルをセット・アップするために使用される。図4はこのメッセージ交換を示す。ステップ1で、MSは、WLANアクセス・ネットワークに認証しかつインターネットへのアクセスを得る。これは、WLANが認可をH-AAAに確認することを含んでもよい。
【0042】
ステップ2で、MSはアクセス・ネットワークからIPアドレスを得る。MSはまた、デフォルト・ルータおよびDNSサーバー・アドレスを発見する。
【0043】
ステップ3で、MSはPDIFとのIKEv2交換を始める。この交換で送られるメッセージの最初のセットが初期交換であり、IKE_SA_INITで示される。
【0044】
ステップ4で、MSはPDIFとのIKE_AUTH交換を始める。これらのメッセージは暗号化され、そして完全性(integrity)はIKE_SA_INIT交換中に確立された鍵で保護される。
【0045】
MSは、IKE_AUTH要求にCONFIGURATIONペイロードを設定することにより、ステップ5でトンネル・インナーIPアドレス(TIA)を要求する。MSはペイロードにそれのネットワーク・アクセス識別子(NAI)を含む。MSが拡張認証プロトコル(EAP)を使用しい場合には、それはIKE_AUTHメッセージに認可(AUTH)ペイロードを含まない。
【0046】
ステップ6で、PDIFは、RADIUSアクセス要求メッセージあるいは直径EAP要求(DER)コマンドの中でEAPレスポンス/同一性メッセージを送ることにより、それがH-AAAに連絡をとるAUTHペイロードのないIKE_AUTH要求を受け取り、サービス認可およびユーザ認証情報を要求する。
【0047】
ステップ7で、EAPメッセージがMSおよびH-AAAの間で交換される。H-AAAは、PDIFにRADIUSアクセス・チャレンジ、あるいはDiameter-EAP回答(DEA)コマンドでのEAP要求メッセージを送る。PDIFは、EAP要求メッセージを含むIKE_AUTH返答メッセージをMSへ送る。
【0048】
MSは、EAPレスポンス・メッセージを含むIKE_AUTH要求メッセージに対してステップ8で応答する。PDIFは、RADIUSアクセス要求メッセージあるいはDiameter-EAP要求コマンドにおけるEAPレスポンス・メッセージをH-AAAへ送る。ステップ7および8は多数回生じてもよい。
【0049】
認証が成功した場合には、ステップ9でH-AAAがRADIUSアクセス受理メッセージ中のEAP成功、あるいは成功した認証を示すコードを備えたDEAコマンドを送る。
【0050】
ステップ10で、成功した認証を示すリザルトコードを備えた、RADIUSアクセス受理メッセージあるいはDEAコマンドを受取ると、PDIFは、EAP成功を含むIKE_AUTHレスポンス・メッセージを送る。PDIFが認可の失敗を示すリザルトコード(result code)を備えた、RADIUS拒否メッセージあるいはDEAコマンドを受け取る場合には、PDIFはMSへのトンネル確立を拒否し、「認証失敗(AUTHENTICATION FAILED)」にセットされた通知ペイロードを備えたIKE_AUTHレスポンス・メッセージを送る。
【0051】
その後、MSは、成功したEAP認証で生成されるマスター・セッション鍵(MSK)から計算されたAUTHペイロードを含んでIKE_AUTH要求メッセージをステップ11で送る。
【0052】
PDIFは、割り当てられたTIA、AUTHペイロードおよびセュリティ認可を含んでIKE_AUTHレスポンス・メッセージに対してステップ12で返答する。PDIFは、AUTHペイロードを計算するためにMSKを使用する。PDIFは、上記のステップ9でH-AAAからMSKを得る。
【0053】
ステップ13で、IKE_AUTH交換が完了すると、IPsecトンネルがMSとPDIFの間で確立される。
【0054】
図4Bは、正常なトンネル設立フローのステップを例示する。下記でさらに論述されるように、マルチプル・トンネル(multiple tunnels)を確立する場合、これが利用されてもよい。
【0055】
同じPDIFに対してマルチプル・トンネルを確立することが可能である。一旦IKEセキュリティ・アソシエーション(SA)が確証されると、1つより多いチャイルドSAはIKE SAの内でネゴシエートできる。CREATE_CHILD_SAが保護され暗号のアルゴリズムを使用し、そして、上に記述されるように、鍵がIKE交換の最初の2つのメッセージの中で交渉したとともに、その交換が知られている。その結果、MSとPDIFの間の追加のCHILD_SAsの生成は、H-AAAにメッセージするさらなる認証を引き起こさない。
【0056】
MSは同じPDIFへのIPv4およびIPv6アクセスを同時に持ちたいと欲することがありうる。IKEv2標準は同じ個別のIPsecトンネルにおけるそのような同時アクセスを許可するが、認可はアドレスされず、そして、PDIFは、デュアルスタック認可を要求するMSがIPv4およびIPv6に対して認可されるかどうか知る必要がある。
【0057】
第1の実施形態は、要求するMSがIPv4および(または)IPv6に対して認可されるかどうか知るPDIFの質問に対処する。上述のようなIPsecトンネル確立中に、EAP認可が成功する場合には、H-AAAは、IPv4および(または)IPv6が認可されたかどうかを示すためにRADIUSアクセス−受理メッセージにおけるIPバージョン認可VSAを返す。IPバージョン認可VSAがRADIUSアクセス−受理メッセージにない場合には、PDIFは、デュアルスタック動作の認可のためのそれのローカル・ポリシー(local policy)を適用するものとする。図5は、IPバージョン認可RADIUS VSAの構造を示す。
【0058】
MSがIPv4とIPv6を同時に使用することを望み、両方を使用することを認められる場合には、他の実施形態が使用される。図6は、この実施形態の方法を例示する。この方法600は、MSがステップ602でIPv4IPv6デュアルスタック・オペレーションを要求する場合に始まる。この要求は、PDIFによってAAAのサーバーのもとへ送られたメッセージの形式をしている。ステップ604で、AAAサーバーは、MSがIPv4とIPv6の両方を使用することを認められるかどうか決定する。ステップ606で、AAAのサーバーは、要求するMSがIPv4とIPv6の両方を使用することを認められるとPDIFに通知する。PDIFは、IPv4、IPv6デュアルスタック・オペレーションの要求が認可されたことをステップ608でMSに通知する。ステップ610で、MSとPDIFは、IPv4とIPv6のための同じIKE_SAの下の個別のCHILD_SAsを確立する。MSがIPv4とIPv6の両方に対して認可されない場合には、AAAサーバーはステップ612でPDIFに通知する。そして、PDIFは非認可のステップ614でMSに通知し、また、どのIPバージョンが認可されないかMSに通知する。
【0059】
MSがIPv4とIPv6の両方を同時に使用することを希望するが、IPv4だけしか認可されない場合には、さらに他の実施形態は使用される。図7は、この実施形態のオペレーションの方法を例示する。この方法700は、MSがIPv4IPv6デュアルスタック・オペレーションを要求する場合、ステップ702で始まる。ステップ704で、AAAサーバーは、MSがIPv4とIPv6の両方に対して認可されることをチェックする。MSがIPv4とIPv6の両方に対して認可される場合には、この方法は図6の方法のステップ606に戻る。MSがIPv4に対してだけ認可される場合には、AAAサーバーはMSがIPv4に対してだけ認可されることをPDIFに通知する。PDIFは、IPv4だけがステップ710で認可されることを示す特定のメッセージ・タイプにセットされた通知メッセージ・タイプを有する通知ペイロードを送る。無線通信システムが3GPP2標準を使用して作動する場合には、メッセージ・タイプはIKE_AUTHレスポンス・メッセージにおける8193にセットされる。他のオペレーティング・システムは異なるメッセージ・タイプを使用してもよいが、この実施形態のオペレーションに影響しない。この場合には、ステップ712で、IPv4のためのIPsecトンネルだけが確立されるだろう。MSがネットワークに対してIPv6セッションを確立するのを阻止するために、MSはCFG要求ペイロードにおいてIINTERNAL_IP6_ADDRESS属性t 0::0をセットする。PDIFは、CFG応答ペイロードにおいてINTERNAL_IP6_ADDRESS属性の長さをゼロにセットする。PDIFは、誤りを示す特定のメッセージ・タイプを有する通知ペイロードを送ることによって、MSがIPv6アクセスに対して認可されないことをMSに通知してもよい。MSがPDIFからのIPv6接頭辞を得ようとする場合には、PDIFはMSに通知せずに、メッセージを廃棄する。
【0060】
図8は、MSがIPv4およびIPv6デュアルスタック・オペレーションを利用することを望むが、IPv6に対してだけ認可される時に使用される実施形態を例示する。方法800は、MSがIPv4IPv6デュアルスタック・オペレーションを要求する場合には、ステップ802から始まる。AAAサーバーは、MSがIPv4およびIPv6に対して認可されるかどうかステップ804でチェックする。MSがIPv4およびIPv6の両方に対して認可される場合には、この方法は図6のステップ606に戻る。ステップ808でMSがIPv4およびIPv6に対して認可されず、IPv6に対してだけ認可される場合には、AAAサーバーは、MSがIPv6に対してだけ認可されることをPDIFに通知する。ステップ810で、PDIFは、MSが単にIKE_AUTHレスポンス・メッセージにおけるIPv6に対してだけ認可されることを示す特定のメッセージ・タイプにセットされた通知メッセージ・タイプを有する通知ペイロード・メッセージを送る。無線通信システムが3GPP2標準を使用して作動する場合には、メッセージ・タイプは8194にセットされる。ステップ812で、IPv6のためのIPsecトンネルが確立される。MSにINTERNAL_IP4_ADDRESS属性をCFG要求ペイロードにおいて0.0.0.0にセットさせることにより、MSは、ネットワークに対する内部IPv4セッションを確立することを阻止される。同様に、PDIFは、INTERNAL_IP4_ADDRESS属性の長さをCFG応答ペイロードにおいて0にセットする。PDIFは、特定のメッセージ・タイプを有する通知ペイロードを送ることによって、IPv4アクセスに対してMSが認可されないことをMSに通知してもよい。MSがPDIFからのIPv4接頭辞を得ることを試みる場合には、PDIFはMSに通知せずに、メッセージを廃棄する。
【0061】
他の実施形態では、前記の方法は、コンピュータ・プラットフォームのメモリのようなコンピュータ読取り可能な媒体上で具体化されたプログラムの実行によって実施できることを当業者は認識するであろう。その命令は、様々なタイプの信号担持あるいはデータ保存一次、二次あるいは三次の媒体に存在することができる。それらの媒体は、例えば、クライアント装置および(または)サーバーによってまたはその中に存在することによってアクセス可能なRAMを備えてもよい。RAM、ディスケットあるいは他の補助記憶装置媒体に含まれているかに関係なく、命令は、DASD記憶装置(例えば従来の「ハードドライブ」あるいはRAIDアレイ)、磁気テープ、電子の読み出し専用メモリ(例えばROMまたはEEPROM)、フラッシュ・メモリ・カー、光記憶装置(例えばCD-ROM、WORM、DVD)、ディジタル光学テープ、「パンチ」カード、あるいはディジタルとアナログ伝送の媒体を含む他の適切なデータ記憶媒体のような様々な機械可読のデータ記憶媒体上に格納されてもよい。
【0062】
前記開示は本発明の例示的な実施形態を示すが、添付された請求項によって定義される発明の範囲から逸脱することなしに、様々な変更および修正がここで行なわれうることに注目されるべきである。ここに記述された発明の実施形態による方法請求項の活動やステップはいかなる特定の順序でも実行される必要はない。更に、発明の要素は単数で記述されまたは請求されてもよいが、もし単数への限定が明示的に述べられなければ、複数は熟考されている。
【0063】
本発明の好ましい実施形態がこのように示され記述された。しかし、ここに開示された実施形態に対しては、本発明の精神又は範囲から逸脱することなしに、多数の変更がなされてもよいことが当業者には明らかであろう。したがって、本発明は、下記の請求項による以外には限定されない。
【0064】
関連出願に対する相互参照
[0001] 本出願は、2006年8月21日に申請された「WLAN-CDMA2000インターワーキング・オーソライゼーション・オブ・IPV4-IPV6デユアルスタック・オペレーション(WLAN-CDMA2000INTERWORKING AUTHORIZATION OF IPV4-IPV6 DUAL-STACK OPERATION)」というタイトルの米国仮特許出願第60/839,212号の利益を請求する。上記出願の全体が参照によりここに取り込まれる。
【特許請求の範囲】
【請求項1】
無線通信システムにおける認可実体から認証を要求すること、
および前記認証が成功である場合には、前記認可実体から認証メッセージを受け取ることを備え、ただし、前記認証メッセージは、通信のための少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、方法。
【請求項2】
少なくとも1つのインターネット・プロトコルを使用する前記認可は、RADIUSアクセス受理メッセージで送られるIPバージョン認可VSAである、請求項1の方法。
【請求項3】
前記IPバージョン認可VSAが前記RADIUSアクセス−受理メッセージに存在しない場合には、無線通信ネットワーク中のパケット・データ織り込み機能はデュアルスタック・オペレーションを認可するためのローカル・ポリシーを適用する、請求項2の方法。
【請求項4】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求すること、
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションに対する認可を受け取ること、
各インターネット・プロトコル・バージョンの個別の従属セキュリティ認可の確立すること、ただし、前記従属セキュリティ認可は従属する式中、インターネット鍵交換セキュリティ認可に従属しており、
通信用の少なくとも1つの安全トンネルの確立すること、
前記通信用の少なくとも1つの安全トンネルを使用して両方のインターネット・プロトコル・バージョンに同時にアクセスすること、
を備える方法。
【請求項5】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全トンネルを使用して同時にアクセスする、請求項4の方法。
【請求項6】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルにおいて同時にアクセスする、請求項4の方法。
【請求項7】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求すること、
メッセージ中の1つのインターネット・プロトコル・バージョンに対する認可を受け取ること、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立すること、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルを確立すること、
および前記安全トンネルを使用して通信すること、
を含む方法・
【請求項8】
無線通信システムにおける認可実体からの認証を要求するための送信機と、
前記認証が成功である場合に、前記認証実体から認証メッセージを受け取るための受信機とを備え、前記認証メッセージは、通信用の少なくとも1つの安全なトンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用するための認可を含む、装置。
【請求項9】
少なくとも1つのインターネット・プロトコルを使用するための前記認可は、RADIUSアクセス受理メッセージ中で送られるIPバージョン認可VSAである、請求項8の装置。
【請求項10】
デュアルスタック・オペレーションを認可するためのローカル・ポリシーを格納するためのプロセッサをさらに備え、前記IPバージョン認可されたVSAがRADIUSアクセス受理メッセージの中に存在しない場合には、パケット・データ織り込み機能は、デュアルスタック・オペレーションを認可するためにローカル・ポリシーを適用する、請求項9の装置。
【請求項11】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求するための送信機と、
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションに対する認可を受け取るための受信機と、
各インターネット・プロトコル・バージョンのための個別の従属セキュリティ認可を格納するためのメモリと、ただし、前記従属セキュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
前記送信機を使用して通信用の少なくとも1つの安全トンネルを確立するためのプロセッサと、
前記通信用の少なくとも1つの安全トンネルを使用して、1つより多いインターネット・プロトコル・バージョンに同時にアクセスするための発信機と、を備える装置。
【請求項12】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全トンネルを使用して同時にアクセスする、請求項11の装置。
【請求項13】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルで同時にアクセスする、請求項11の装置。
【請求項14】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機と、
メッセージにおけう1つのインターネット・プロトコル・バージョンのための認可を受け取るための受信機と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するためのプロセッサと、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を格納するためのメモリと、
【請求項15】
無線通信システムにおいて認可実体からの認証を要求するための手段と、
前記認証が成功である場合には、前記認可実体から認証メッセージを受け取るための手段とを備え、前記認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用するための認可を含む、装置。
【請求項16】
少なくとも1つのインターネット・プロトコルを使用するための前記認可は、RADIUSアクセス受理メッセージで送られるIPバージョン認可VSAである、請求項15の装置。
【請求項17】
前記IPバージョン認可VSAがRADIUSアクセス受理メッセージに存在しない場合に、前記無線通信ネットワークにおけるパケット・データ織り込み機能は、デュアルスタック・オペレーションを認可するためのローカル・ポリシーを適用する、請求項16の装置。
【請求項18】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求する手段と、
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための手段と、
各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可を確立するための手段と、ただし、前記従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の少なくとも1つの安全トンネルを確立するための手段と、
前記通信用の1つの安全トンネルを用いて両方のインターネット・プロトコル・バージョンに同時にアクセスするための手段と、を備える方法。
【請求項19】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全なトンネルを使用して同時にアクセスする、請求項18の装置。
【請求項20】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルにおいて同時にアクセスする、請求項4の方法。
【請求項21】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための手段と、
メッセージにおける1つのインターネット・プロトコル・バージョンのための認可を受け取るための手段と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するための手段と、ただし、前記認可されたインターネット・プロトコル・バージョンのための前記セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルを確立するための手段と、
前記安全トンネルを使用して通信するための手段と、を備える装置。
【請求項22】
無線通信システムにおいてコンピュータに認可実体からの認証を要求させるための命令と、
前記認証が成功である場合には、コンピュータに前記認可実体から認証メッセージを受け取らせるための命令とを備え、前記認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含むコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【請求項23】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と、
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可をコンピュータに受け取らさせるための命令と、
各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可をコンピュータに確立させるための命令と、ただし、前記従属キュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
通信用の少なくとも1つの安全トンネルをコンピュータに確立させるための命令と、
通信用の少なくとも1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンにコンピュータを同時にアクセスせるための命令と、
を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【請求項24】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と、
メッセージ中の1つのインターネット・プロトコル・バージョンのための認可をコンピュータに受け取らせるための命令と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可をコンピュータに確立させるための命令と、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルをコンピュータに確立させるための命令と、
安全トンネルを使用して、コンピュータを通信させるための命令と、
を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【請求項1】
無線通信システムにおける認可実体から認証を要求すること、
および前記認証が成功である場合には、前記認可実体から認証メッセージを受け取ることを備え、ただし、前記認証メッセージは、通信のための少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含む、方法。
【請求項2】
少なくとも1つのインターネット・プロトコルを使用する前記認可は、RADIUSアクセス受理メッセージで送られるIPバージョン認可VSAである、請求項1の方法。
【請求項3】
前記IPバージョン認可VSAが前記RADIUSアクセス−受理メッセージに存在しない場合には、無線通信ネットワーク中のパケット・データ織り込み機能はデュアルスタック・オペレーションを認可するためのローカル・ポリシーを適用する、請求項2の方法。
【請求項4】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求すること、
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションに対する認可を受け取ること、
各インターネット・プロトコル・バージョンの個別の従属セキュリティ認可の確立すること、ただし、前記従属セキュリティ認可は従属する式中、インターネット鍵交換セキュリティ認可に従属しており、
通信用の少なくとも1つの安全トンネルの確立すること、
前記通信用の少なくとも1つの安全トンネルを使用して両方のインターネット・プロトコル・バージョンに同時にアクセスすること、
を備える方法。
【請求項5】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全トンネルを使用して同時にアクセスする、請求項4の方法。
【請求項6】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルにおいて同時にアクセスする、請求項4の方法。
【請求項7】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求すること、
メッセージ中の1つのインターネット・プロトコル・バージョンに対する認可を受け取ること、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立すること、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルを確立すること、
および前記安全トンネルを使用して通信すること、
を含む方法・
【請求項8】
無線通信システムにおける認可実体からの認証を要求するための送信機と、
前記認証が成功である場合に、前記認証実体から認証メッセージを受け取るための受信機とを備え、前記認証メッセージは、通信用の少なくとも1つの安全なトンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用するための認可を含む、装置。
【請求項9】
少なくとも1つのインターネット・プロトコルを使用するための前記認可は、RADIUSアクセス受理メッセージ中で送られるIPバージョン認可VSAである、請求項8の装置。
【請求項10】
デュアルスタック・オペレーションを認可するためのローカル・ポリシーを格納するためのプロセッサをさらに備え、前記IPバージョン認可されたVSAがRADIUSアクセス受理メッセージの中に存在しない場合には、パケット・データ織り込み機能は、デュアルスタック・オペレーションを認可するためにローカル・ポリシーを適用する、請求項9の装置。
【請求項11】
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションを要求するための送信機と、
1つより多いインターネット・プロトコル・バージョンを使用してデュアルスタック・オペレーションに対する認可を受け取るための受信機と、
各インターネット・プロトコル・バージョンのための個別の従属セキュリティ認可を格納するためのメモリと、ただし、前記従属セキュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
前記送信機を使用して通信用の少なくとも1つの安全トンネルを確立するためのプロセッサと、
前記通信用の少なくとも1つの安全トンネルを使用して、1つより多いインターネット・プロトコル・バージョンに同時にアクセスするための発信機と、を備える装置。
【請求項12】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全トンネルを使用して同時にアクセスする、請求項11の装置。
【請求項13】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルで同時にアクセスする、請求項11の装置。
【請求項14】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための送信機と、
メッセージにおけう1つのインターネット・プロトコル・バージョンのための認可を受け取るための受信機と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するためのプロセッサと、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を格納するためのメモリと、
【請求項15】
無線通信システムにおいて認可実体からの認証を要求するための手段と、
前記認証が成功である場合には、前記認可実体から認証メッセージを受け取るための手段とを備え、前記認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用するための認可を含む、装置。
【請求項16】
少なくとも1つのインターネット・プロトコルを使用するための前記認可は、RADIUSアクセス受理メッセージで送られるIPバージョン認可VSAである、請求項15の装置。
【請求項17】
前記IPバージョン認可VSAがRADIUSアクセス受理メッセージに存在しない場合に、前記無線通信ネットワークにおけるパケット・データ織り込み機能は、デュアルスタック・オペレーションを認可するためのローカル・ポリシーを適用する、請求項16の装置。
【請求項18】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求する手段と、
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可を受け取るための手段と、
各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可を確立するための手段と、ただし、前記従属セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の少なくとも1つの安全トンネルを確立するための手段と、
前記通信用の1つの安全トンネルを用いて両方のインターネット・プロトコル・バージョンに同時にアクセスするための手段と、を備える方法。
【請求項19】
前記1つより多いインターネット・プロトコル・バージョンは、同じ安全なトンネルを使用して同時にアクセスする、請求項18の装置。
【請求項20】
前記1つより多いインターネット・プロトコル・バージョンは、個別の安全トンネルにおいて同時にアクセスする、請求項4の方法。
【請求項21】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションを要求するための手段と、
メッセージにおける1つのインターネット・プロトコル・バージョンのための認可を受け取るための手段と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可を確立するための手段と、ただし、前記認可されたインターネット・プロトコル・バージョンのための前記セキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルを確立するための手段と、
前記安全トンネルを使用して通信するための手段と、を備える装置。
【請求項22】
無線通信システムにおいてコンピュータに認可実体からの認証を要求させるための命令と、
前記認証が成功である場合には、コンピュータに前記認可実体から認証メッセージを受け取らせるための命令とを備え、前記認証メッセージは、通信用の少なくとも1つの安全トンネルを確立するために少なくとも1つのインターネット・プロトコル・バージョンを使用する認可を含むコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【請求項23】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と、
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションのための認可をコンピュータに受け取らさせるための命令と、
各インターネット・プロトコル・バージョンに対する個別の従属セキュリティ認可をコンピュータに確立させるための命令と、ただし、前記従属キュリティ認可はインターネット鍵交換セキュリティ認可に従属する、
通信用の少なくとも1つの安全トンネルをコンピュータに確立させるための命令と、
通信用の少なくとも1つの安全トンネルを使用して、両方のインターネット・プロトコル・バージョンにコンピュータを同時にアクセスせるための命令と、
を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【請求項24】
1つより多いインターネット・プロトコル・バージョンを使用して、デュアルスタック・オペレーションをコンピュータに要求させるための命令と、
メッセージ中の1つのインターネット・プロトコル・バージョンのための認可をコンピュータに受け取らせるための命令と、ただし、前記メッセージは、認可される少なくとも1つのインターネット・プロトコル・バージョンを識別し、さらに、前記メッセージは、認可されない少なくとも1つのインターネット・プロトコル・バージョンを識別する、
前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可をコンピュータに確立させるための命令と、ただし、前記認可されたインターネット・プロトコル・バージョンのためのセキュリティ認可は、インターネット鍵交換セキュリティ認可に従属する、
通信用の安全トンネルをコンピュータに確立させるための命令と、
安全トンネルを使用して、コンピュータを通信させるための命令と、
を備えたコンピュータ読取り可能媒体を備えるコンピュータ・プログラム製品。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2010−502119(P2010−502119A)
【公表日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願番号】特願2009−525738(P2009−525738)
【出願日】平成19年8月21日(2007.8.21)
【国際出願番号】PCT/US2007/076432
【国際公開番号】WO2008/024782
【国際公開日】平成20年2月28日(2008.2.28)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公表日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願日】平成19年8月21日(2007.8.21)
【国際出願番号】PCT/US2007/076432
【国際公開番号】WO2008/024782
【国際公開日】平成20年2月28日(2008.2.28)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]