モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
本発明はメッセージの真正性を保証する方法に関する。本発明によれば、モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠してメッセージが交換され、メッセージの真正性を保証するために、使用される暗号化方法がモバイルノードとホームエージェントとのあいだで一致させられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法に関する。
【0002】
インタネットプロトコルIPv4は定置のコンピュータと交換ノードとのあいだの有線通信のために開発された。ラップトップコンピュータやPDAなどのモバイル機器が或るコンピュータネットワークから別のコンピュータネットワークへ移動したときに同時に固定のIPアドレスを取得できるようにするために、"インタネットエンジニアリングタスクフォース"IETFによってネットワークプロトコル"IPv4のためのIPモビリティサポート"、略称"モバイルIP"が構想されたのである。モバイルIPは"Request For Comments"RFC3344に規定されており、モバイル加入者機によるインタネットコネクションの規格として利用されている。
【0003】
モバイルIPでは、"モバイルノード"とは、或るネットワークから別のネットワークへアクセスを変更するコンピュータまたはルータを意味する。"ホームエージェント"とは、モバイルノードのホームネットワークへ接続されており、当該のモバイルノードの位置情報を管理しているルータのことである。また"外部エージェント"とは、モバイルノードに対して外部ネットワークへのルーティングサービスを行い、ホームエージェントからモバイルエージェントへのデータパケットの転送を担当しているルータのことである。
【0004】
モバイルノードが外部ネットワークに接続されたことが明らかとなると、当該のモバイルノードは外部ネットワーク内の"気付アドレス"を要求する。気付アドレスは外部エージェントの公示(外部エージェント気付アドレス)から求められるかまたはDHCP(共通気付アドレス)を介して求められる。当該のモバイルノードはホームエージェントでの新たな気付アドレスによって登録される。ホームエージェントに到来するデータパケットはIPtoIPカプセルによってモバイルホストへ転送される。ホームネットワークへ戻って来た後、当該のモバイルノードはホームエージェントへコンタクトを取ってそこで登録を行う。
【0005】
外部エージェントを利用する場合は登録のために次の各ステップが必要である。すなわち、まず、モバイルノードはホームエージェントのアドレスを付した"登録要求"を外部エージェントへ送信する。外部エージェントは当該の登録要求をホームエージェントへ転送する。その後、ホームエージェントは"登録返信"を外部エージェントへ送信し、外部エージェントは登録を許可するかまたは拒絶する。続いて、外部エージェントは登録返信をモバイルノードへ引き渡す。外部エージェントが存在しない場合、登録には2つのステップが必要なだけである。すなわち、まずモバイルノードが登録要求をホームエージェントへ送信する。続いて、ホームエージェントが登録返信によってモバイルノードへ応答するのである。
【0006】
モバイルノードは登録要求においてその時点での気付アドレス(すなわち外部ネットワークにおいて当該のモバイルノードのアドレスとして通用するアドレス)をホームエージェントに報告するので、当該の登録要求を不正操作に対して保護しなければならない。例えば攻撃者が登録要求内の気付アドレスを変更したとすると、ホームエージェントはモバイルノードにデータパケット全体を送信することができず、攻撃者の定めたアドレスへこれを送信することになる。登録メッセージの真正性は保証されなければならない。つまり、登録メッセージの内容の変更も送信者の偽装も許してはならない。
【0007】
真正性を保護するために、モバイルIPではいわゆる"モビリティセキュリティアソシエーション"MSAが通信機対ごとに設けられる。ここでの通信機対はたいていの場合ホームエージェントおよびモバイルノードから成るが、外部エージェントとホームエージェントとのあいだまたは外部エージェントとモバイルノードとのあいだにもモビリティセキュリティアソシエーションは存在しうる。通信機対のあいだでは各方向に複数の異なるモビリティセキュリティアソシエーションが存在しうる。ただしこのとき実際には2つの方向に対して唯一のモビリティセキュリティアソシエーションが用いられる。モビリティセキュリティアソシエーションMSAは通信機対のあいだのセキュリティ関係式の集合体であって、真正性を保護するために利用すべき暗号化法および鍵を表している。モビリティセキュリティアソシエーションの個々のセキュリティ関係式は"セキュリティパラメータインデクス"SPIにより特徴づけられている。
【0008】
セキュリティ関係式の暗号化法はそれぞれ1つずつ真正性確認アルゴリズムおよび"リプレイプロテクションスタイル"を含んでいる。
【0009】
標準の真正性確認アルゴリズムとしてHMAC−MD5が挙げられる。これは、MD5アルゴリズムをベースとして、"メッセージオーセンティケーションコード"MACすなわちハッシュ値を保護すべきメッセージに関する秘密鍵によって計算するアルゴリズムである。メッセージが変更されていたり他の鍵が用いられていたりする場合、メッセージオーセンティケーションコードMACを新たに計算すると不正操作ないし送信者偽装が証明される。HMAC−MD5以外の別の真正性確認アルゴリズムを用いることもできる。
【0010】
リプレイプロテクションは旧い登録要求の再使用防止に用いられる。タイムスタンプの付されたリプレイプロテクションでは送信側通信機によって時刻がメッセージに添付され、受信側通信機は当該のメッセージが所定の時刻よりも旧いものでないかどうかを検査できる。"Nonce"(ナンバーユーズドオンリーワンス)の付されたリプレイプロテクションでは、送信側通信機から受信側通信機へ送られる全てのメッセージに送信のたびに新たな乱数が添付される。このとき送信側通信機は受信側通信機が同じ数を次の連絡で返送してくるかどうかを検査する。もちろん他のリプレイプロテクションスタイルを用いることもできる。タイムスタンプ、"Nonce"その他のリプレイプロテクションスタイルによって形成された値は、送信側通信機によって登録メッセージのIDフィールドにエントリされ、受信側通信機によって検査される。
【0011】
メッセージを認証するためにモバイルIPv4が設けられており、送信側通信機はメッセージの保護すべき部分に関するセキュリティパラメータインデクスSPIおよびメッセージオーセンティケーションコードMACを含む"オーセンティケーションエクステンション"をメッセージに添付する。モバイルノードとホームエージェントとのあいだのオーセンティケーションエクステンションは"モバイルホームオーセンティケーションエクステンション"MHAEと称される。受信側通信機は、セキュリティパラメータインデクスSPIによって識別されるモビリティセキュリティアソシエーションMSAにアクセスしてそこから利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを求めることにより、真正性を検査する。その後、受信側通信機はメッセージオーセンティケーションコードMACを計算し、得られた結果と受信メッセージに含まれているメッセージオーセンティケーションコードMACとが一致するかどうかを確認する。旧いメッセージの再使用を防止するため、登録メッセージのIDフィールドに含まれるリプレイプロテクションスタイルの値も検査される。
【0012】
モバイルIPでは種々の真正性確認アルゴリズムおよびリプレイプロテクションスタイルを使用することができるので、通信機対は利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを指定しなければならない。
【0013】
このための手段として、利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを予め定めておき、モバイルノードおよびホームエージェントをこれにしたがって構成することが考えられる。ただしこの手段には次のような欠点がある。すなわち、そもそも、多数のモバイルノードおよび複数のホームエージェントを有する大きなネットワークでは全ての通信機対を手動で構成しなおすことはきわめて煩雑である。このことは最初のコンフィグレーションのケースにも当てはまるし、いちど構成された暗号化法の脆弱性が明らかとなって全ての通信機対においてこれを置換しなければならないケースにも当てはまる。しかも、モバイルノードないしホームエージェントで支援されている暗号化法が未知である場合、例えば3GPP(Third Generation Partnership Project)のワイヤレスローカルエリアネットワークWLANにおけるローミングの際には、短時間で通信機対の双方に支援されている暗号化法を求めることはできない。したがって、適切な共通の真正性確認アルゴリズムおよびリプレイプロテクションスタイルを定めることもこれにしたがって2つの通信機を構成することも不可能である。
【0014】
こうした欠点を改善するには、通信機対によって当該のネットワークで利用すべき暗号化法を選択することが挙げられる。RFC3957"Authentication, Authorization and Accounting (AAA) Registration Keys for Mobile IPv4"によれば、モバイルノード、ホームエージェントないし外部エージェント間でのモビリティセキュリティアソシエーションMSAはモバイルノードおよびホームAAAサーバ間での"AAAセキュリティアソシエーション"から導出される。真正性確認アルゴリズムおよびリプレイプロテクションスタイルは登録メッセージの"キージェネレーションエクステンション"においてホームAAAサーバからモバイルノードおよびホームエージェントへ伝送される。同様のプロセスがDiameterAAAサーバによるRFC4004の"Diameter Mobile IPv4 Application"にも記載されている。これらのプロセスによれば、ネットワークから暗号化法を求めることができる。ただし、ここには、各モバイルノードがどのような真正性確認アルゴリズムおよびリプレイプロテクションスタイルを支援しているかがネットワークにとって一般に未知であるという欠点が存在する。したがって、例えば、ネットワークの定めた最新の暗号化法を支援していない旧いモバイルノードは、確実に受け入れられる暗号化法を支援していたとしても、それが旧いものであるかぎり、当該のネットワークと通信できない。
【0015】
また別の改善手段として、暗号化法を一方側で求めるのではなく、通信機対のあいだで協議して取り決めることが考えられる。RFC3329の"Security Mechanism Agreement for the Session Initiation Protocol (SIP)"からは、支援している暗号化法のリストをサーバへ送信するプロセスが記載されている。これに応じて、サーバは、自身の支援している暗号化法のリストを含む呼びかけ(Challenge)をクライアントへ送信する。クライアントは最も高い優先順位を付して共通の暗号化法を選択する。攻撃者がリストを改ざんしたり偽装したりするのを回避するために、サーバは弱い暗号化法のみを支援し、通信機対は相応の弱い暗号化法の指定に続いて、リストをもう一度保護して伝送する。相手方通信機は選択された暗号化法を作動し、サーバによって支援されている暗号化法を含むリストをサーバへ送信する。サーバはリストの真正性を検査し、これによりオリジナルリストが改ざんされていないことが保証される。さらに別の協議メカニズムとして"インタネットキーエクスチェンジ"IKE(IPsec−IKE)も公知である。ただし、この方法では最初のメッセージが保護されずに伝送されるため、モバイルIPではそのまま利用することができず、最初のメッセージに対して別の真正性保護手段が必要となるという欠点がある。また、支援される暗号化法を含むリストを2回伝送しなければならないという欠点も存在する。
【0016】
したがって、本発明の課題は、モバイルノード、ホームエージェントないし外部エージェント間で相互に支援される暗号化法を知らせあい、共通の暗号化法を選択し、モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法を提供することである。
【0017】
この課題は、モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証するために、使用される暗号化法をモバイルノードとホームエージェントとのあいだで一致させる、本発明の方法により解決される。
【0018】
暗号化法が予め設定および構成されないことにより、モバイルノードおよびホームエージェントで支援されている種々の暗号化法によりダイナミックかつ効率的に大きなネットワークを構成することができる。また、メッセージセキュリティアソシエーションにとって最適な暗号化法が選択される。つまり、一方で双方の通信機に共通の強い暗号化法を用いることができ、他方で強い暗号化法が双方の通信機で共通に支援されていない場合には弱い暗号化法も利用可能となる。さらに、本発明の方法によれば、信用を失った暗号化法を大きなコストをかけずに置換することができる。
【0019】
本発明の実施形態によれば、モバイルインタネットプロトコルはモバイルIPv4プロトコルである。
【0020】
本発明の実施形態によれば、モバイルノードは自身の支援する暗号化法に関する情報を含む登録要求を形成する。ついで、モバイルノードは当該の登録要求の真正性を第1の暗号化法により保証する。続いて、モバイルノードは真正性の保証された登録要求をホームエージェントへ送信し、ホームエージェントは当該の登録要求の真正性を検査する。
【0021】
RFC3344に準拠したモバイルIPとは異なり、モバイルノードの形成した登録要求は当該のモバイルノードの支援する複数の暗号化法に関する情報を含んでおり、これによりホームエージェントに当該の情報が既知となる。さらに、第1の登録要求の真正性がモバイルIPと同様に保証されるので、モバイルノードの支援する複数の暗号化法に関する情報が改ざんされていたり当該の登録要求が他のソースから到来していたりしないかどうかを識別することができる。
【0022】
本発明の実施形態によれば、ホームエージェントは登録要求が真正でないことを検出した場合に登録要求を拒絶する登録返信をモバイルノードへ送信する。
【0023】
登録要求の内容が変更されていたり送信側通信機が不正に操作されていたり、または再使用が行われていたりした場合には、ホームエージェントは当該のモバイルノードの登録を許可しない。
【0024】
本発明の実施形態によれば、ホームエージェントは登録要求の真正性を確認した場合に共通の第2の暗号化法を選択しこれを報告する登録返信をモバイルノードへ送信する。
【0025】
ホームエージェントは、唯一の暗号化法を定めるのではなく、共通の暗号化法が複数利用されている場合には、有利な暗号化法を選択することができる。
【0026】
本発明の実施形態によれば、登録返信はホームエージェントの支援する暗号化法に関する情報を含む。
【0027】
ホームエージェントの支援する暗号化法に関する情報により、モバイルノードでは、あらためて登録要求するとき、当該の暗号化法のうちの1つを登録要求の真正性を保証する共通の第1の暗号化法として用いることができる。
【0028】
本発明の実施形態によれば、ホームエージェントは登録返信の真正性を自身の選択した暗号化法によって保証する。
【0029】
このようにして登録返信の内容および送信者は不正操作に対して保護される。これにより、例えば弱い暗号化法しか支援されないために攻撃者によって暗号化法に関する情報が恣意的に変更されるというおそれがなくなる。
【0030】
本発明の実施形態によれば、モバイルノードは登録返信の真正性を検査する。
【0031】
登録返信の真正性が検査されることにより、モバイルノードは登録返信に挙げられている暗号化法が第三者によって不正操作されていたり選択されていたりせず、ホームエージェントから不変のまま到来したものであることを確認することができる。
【0032】
本発明の実施形態によれば、ホームエージェントは、登録要求の真正性を確認できた場合、当該のモバイルノードを登録して登録返信により当該のモバイルノードの登録が有効になされたことを表示し、選択した暗号化法によって当該のモバイルノードとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する。
【0033】
本発明の方法によれば、2つのメッセージのやり取りのみで支援されている暗号化法に関する情報交換の真正性を保証し、最適な暗号化法を選択して相応のメッセージセキュリティアソシエーションを形成することができる。
【0034】
本発明の実施形態によれば、ホームエージェントは、共通の暗号化法を選択できなかった場合、第2の暗号化法として第1の暗号化法を選択する。
【0035】
本発明の実施形態によれば、モバイルノードは、登録返信に含まれている情報に基づいて共通の暗号化法を選択し、選択した暗号化法によってホームエージェントとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する。
【0036】
本発明の実施形態によれば、モバイルノードとホームエージェントとのあいだでの別のメッセージ交換の真正性を保証するために、共通の第2の暗号化法が用いられる。
【0037】
共通の第2の暗号化法は有利な暗号化法である。一方ではセキュリティに関して強い暗号化法を選択することができるし、他方では暗号化法としては弱いけれどもモバイルノードとホームエージェントとのあいだの確実な通信を可能にする暗号化法を選択することもできる。
【0038】
本発明の実施形態によれば、第1の暗号化法および第2の暗号化法は複数のメッセージオーセンティケーションコードMACおよび複数のリプレイプロテクションスタイルを含む。
【0039】
メッセージオーセンティケーションコードにより、登録要求ないし登録返信およびこれらに含まれる暗号化法に関する情報が不正操作されていないこと、ならびに、IDすなわち送信元アドレスおよび宛先アドレスが変更されていないことが保証される。また、タイムスタンプまたはNonceなどのリプレイプロテクションスタイルにより、登録返信が先行の登録要求に対応していること、ならびに、旧い登録メッセージの再使用が回避されていることが保証される。
【0040】
本発明の実施形態によれば、登録要求および/また登録返信は平文で伝送される。
【0041】
このようにすれば、ホームエージェントはモバイルノードで支援されている暗号化法を登録要求から読み出し、モバイルノードはホームエージェントで支援されている暗号化法を登録返信から読み出すことができる。
【0042】
本発明の実施形態によれば、登録要求および/また登録返信は第1の暗号化法に関する示唆を含む。
【0043】
登録要求ないし登録返信が平文で伝送されるので、真正性確認に用いられた第1の暗号化法についての示唆を添付することにより、モバイルノードないしホームエージェントに対して、メッセージの真正性を保証した真正性確認アルゴリズム、リプレイプロテクションスタイルおよび鍵を報告し、これらを検査することができる。
【0044】
本発明の実施形態によれば、第1の暗号化法はモバイルノードとホームエージェントとのあいだの先行のデータ交換から既知となる。
【0045】
第1の暗号化法は、登録要求および登録返信などの先行の合意または協議から既知となるか、或いは、同じネットワーク内の他のホームエージェントまたは同様の有利なアルゴリズムないしリプレイプロテクションスタイルを有するホームエージェントから取得される。このようにすれば、最初の登録要求が未知の真正性確認アルゴリズムまたは未知のリプレイプロテクションスタイルを含んでいるために拒絶されるというケースがほぼ排除される。
【0046】
本発明の実施形態によれば、モバイルノードおよびホームエージェントは共通の秘密鍵を利用する。
【0047】
真正性確認アルゴリズムに基づいてメッセージオーセンティケーションコードの計算の際に考慮される秘密鍵により、こうしたコードが対応するモバイルノードまたはホームエージェントのみで計算されることが保証される。
【0048】
本発明の実施形態によれば、ホームエージェントに代わって外部エージェントとモバイルノードとがメッセージを交換する。
【0049】
本発明の実施形態によれば、モバイルノードに代わって外部エージェントとホームエージェントとがメッセージを交換する。
【0050】
このようにすれば、本発明により、モバイルノードと外部エージェントとのあいだないしホームエージェントと外部エージェントとのあいだでメッセージの真正性が保証される。
【0051】
以下に本発明を図示の実施例に則して詳細に説明する。
【0052】
図1にはモバイルノードとホームエージェントとのあいだで暗号化法を一致させる本発明の方法の実施例のフローチャートが示されている。図2には本発明の登録要求のフィールドの実施例が示されている。
【0053】
図1には、モバイルノードとホームエージェントとのあいだでモバイルIPv4に準拠して交換されるメッセージの真正性を保証するために暗号化法を一致させる実施例のフローチャートが示されている。真正性を保証する暗号化法は真正性確認アルゴリズムおよびリプレイプロテクションスタイルから成る。真正性確認アルゴリズムは例えばHMAC−MD5であり、ここでは128bit長の対称鍵によってメッセージオーセンティケーションコードが計算される。鍵は例えばRFC3957によって交換される。また3GPPネットワークでは鍵はGBA(Generic bootstraping architecture)に基づくプロセスによって交換される。リプレイプロテクションスタイルとしては、モバイルIPに規定されているタイムスタンプまたはNonceが用いられる。もちろんメッセージの真正性を支援する他の方法を用いることもできる。
【0054】
本発明の方法は、モバイルノード、ホームエージェントないし外部エージェント間でメッセージを交換する際にメッセージの真正性を保証するために用いられる。この場合、FHAE(Foreign Home Authentication Extention)およびモバイルIPにおいて規定されFHAEに添付されたMFAE(Mobili Foreign Authentication Extention)が必要となる。本発明の方法はメッセージの真正性を保証する暗号化法を協議するためのモバイルIPとして用いることもできる。フローチャートの個々のステップは入れ替え、補充および省略が可能である。
【0055】
ステップ1でモバイルノードおよびホームエージェントはメッセージセキュリティアソシエーションの形成を開始する。本発明では、必要な情報の全て、例えば秘密鍵などが既に存在しており、メッセージセキュリティアソシエーションの完成には共通の暗号化法すなわち真正性確認アルゴリズムおよびリプレイプロテクションスタイルのみが必要であるということを前提としている。
【0056】
ステップ2では、モバイルノードは自身の支援する暗号化法に関する情報を含む登録要求を形成する。そしてモバイルノードは当該の登録要求の真正性を第1の暗号化法により保証する。当該の暗号化法は当該のモバイルノードによって相手方のホームエージェントが支援している確率が高いとして選択されたものである。この選択は例えば相手方のホームエージェントまたは同じネットワーク内の同様の暗号化法を有する他のホームエージェントとの先行の交渉から得られた情報に基づいて行われる。真正性の保証された登録要求は当該のモバイルノードから平文でホームエージェントへ送信されるので、ホームエージェントは当該の登録要求から真正性の保証に用いられた第1の暗号化法に関する示唆を取り出すことができる。
【0057】
ステップ5の問い合わせにおいて、ホームエージェントは自身が第1の暗号化法を支援しているか否かを検査する。支援していない場合には、当該のホームエージェントは登録要求の真正性を検査しない。この場合、攻撃者がモバイルノードの支援している暗号化法に関する情報を不正に操作しうる状況および/またはホームエージェントが送信者をチェックできない状況など、セキュリティにとってクリティカルな事態が生じたことになるからである。
【0058】
ステップ6では、ホームエージェントは登録要求を拒絶する旨の登録返信を形成する。この場合、拒絶はモバイルIPに準拠したエラーメッセージであってもよいし、新たに定義したエラーメッセージであってもよい。当該の登録返信はモバイルノードおよびホームエージェントが共通に支援している暗号化法によって真正性を保証され、ホームエージェントからモバイルノードへ送信される。ホームエージェントは当該の登録返信に自身の支援している暗号化法に関する情報を含めて送信し、モバイルノードはステップ2であらためて登録要求を行う際に、リストから新たな第1の暗号化法を選択し、これによって新たな登録要求を保護する。
【0059】
ステップ10の問い合わせにおいて、ホームエージェントは当該の登録要求が真正であるか否かを検査する。この検査は、モバイルノードによって選択された第1の暗号化法がホームエージェントの支援しているものであることから可能となっている。
【0060】
登録要求が真正でない場合、これは当該の登録要求が例えば攻撃者によって不正に操作されているということを意味する。このとき、ホームエージェントは、ステップ11において、登録要求を拒絶する旨の登録返信を形成する。当該の登録返信は、こうしたケースのために設けられたモバイルIPのエラーメッセージまたは新たに定義されたエラーメッセージを含むほか、さらに、当該のホームエージェントの支援している暗号化法に関する情報を含む。ホームエージェントは、第1の暗号化法で登録返信の真正性を保証した後、当該の登録返信を、ステップ2であらためて登録しようと試みているモバイルノードへ送信する。
【0061】
ホームエージェントによって登録要求が真正であると確認された場合には、ホームエージェントはステップ20において当該のモバイルノードを当該のネットワークに登録する。
【0062】
ステップ25の問い合わせにおいて、ホームエージェントはモバイルノードによって支援されている暗号化法に関する情報と自身の支援している暗号化法とを比較し、第1の暗号化法のほかに他の共通の暗号化法が存在するかどうかを求める。こうして、例えば第1の暗号化法として幾分弱くても広汎に用いられている暗号化法を登録要求の保護に選択し、その後で、モバイルノードおよびホームエージェントの双方に共通の強い別の暗号化法を選択することができる。
【0063】
共通の別の暗号化法を求めることができない場合、ステップ26において、ホームエージェントは第1の暗号化法を第2の暗号化法として選択する。
【0064】
共通の別の暗号化法を求めることができた場合、ステップ30において、ホームエージェントは自身にとって有利な共通の暗号化法を第2の暗号化法として選択する。
【0065】
ステップ31において、ホームエージェントはメッセージセキュリティアソシエーションを自身の側で選択した暗号化法によって完成させる。続いてホームエージェントは、自身の選択した暗号化法に関する情報(示唆)を含む登録返信を形成し、この東麓返信を選択した第2の共通の暗号化法によって保護し、当該の登録返信をモバイルノードへ送信する。他のエラーが発生しなければ、当該の登録返信は登録が有効に行われたことを表す。
【0066】
ステップ32では、モバイルノードが、登録要求からホームエージェントの選択した第2の共通の暗号化法を取り出し、これによって登録返信の真正性を検査する。
【0067】
ステップ40の問い合わせにおいて、モバイルノードは当該の登録返信が有効な登録を表示しているかどうかを検査する。
【0068】
登録が有効に行われなかった場合、モバイルノードはあらためて登録を試みる。ステップ41では、モバイルノードは例えば登録返信のエラーコードからエラーの原因を導き出し、これを補正する。例えば暗号化法が指定されていてエラーが発生している場合には、モバイルノードは次の登録要求において暗号化法の他のリストを提示することができる。また、拒絶は、モバイルノードの制御不能な他のエラー、例えば長すぎる登録要求による時間切れや多数の登録要求による混雑を原因としても行われうる。これらの場合には補正は必要ない。あらためての登録の試行が再びステップ2で開始される。
【0069】
ステップ50の問い合わせは、登録返信によって登録が有効に行われたことが表示された場合に行われる。ステップ50の問い合わせでは、ホームエージェントがモバイルノードに対して共通の第2の暗号化法の利用を設定したか否かが判別される。
【0070】
ホームエージェントがモバイルノードに対して自身の選択した第2の共通の暗号化法の利用を設定しなかった場合、モバイルノードはステップ51において第2の暗号化法をみずから求める。この場合モバイルノードは自身の選択した暗号化法によってメッセージセキュリティアソシエーションを完成させる。このようにすれば、ホームエージェントおよびモバイルノードがメッセージの認証に異なる暗号化法を利用しても、双方の側で互いに選択した暗号化法を利用することができる。
【0071】
ホームエージェントがモバイルノードに対して自身の選択した第2の共通の暗号化法の利用を設定した場合、モバイルノードはステップ60においてホームエージェントの選択した暗号化法によってメッセージセキュリティアソシエーションを完成させる。この場合、実際にはホームエージェントおよびモバイルノードの双方がメッセージセキュリティアソシエーションに対して同じ暗号化法を利用することになる。
【0072】
モバイルノードとホームエージェントとのあいだにメッセージセキュリティアソシエーションが形成された後、付加的にステップ61において、形成されたメッセージセキュリティアソシエーションによってただちに保護された新たな登録を行い、当該のメッセージセキュリティアソシエーションが双方の側で有効に形成されているか否かを検査してもよい。
【0073】
RFC3329に規定されたセッション開始プロトコルSIPのセキュリティメカニズムアグリーメントプロシージャなどの公知の方法とは異なり、本発明の方法では、モバイルノードの支援している暗号化法に関する情報もホームエージェントの支援している暗号化法に関する情報も送信する必要はない。なぜなら登録要求および登録返信の真正性が既に保証されており、不正操作のおそれが排除されているからである。共通に支援されている暗号化法は全部で2つのメッセージ、すなわちモバイルノードからホームエージェントへのメッセージおよびホームエージェントからモバイルノードへのメッセージのみで一致させることができる。
【0074】
図2には、本発明の方法で用いられる登録要求のフィールドの実施例が示されている。当該の登録要求はIPヘッダIP,UDPヘッダUDPおよびモバイルIPフィールドを有する。IPヘッダにはIP送信元アドレス、IP宛先アドレスおよびIPライフタイムが含まれている。UDPヘッダ(ユーザデータグラムプロトコルヘッダ)には送信元ポートおよび宛先ポートが含まれている。モバイルIPフィールドは固定長のフィールドAL,IDおよび所定の延長部(エクステンション)から成る。
【0075】
フィールドALは、タイプ、ライフタイム、モバイルノードのIPアドレス、ホームエージェントのIPアドレスおよび気付アドレスなどの登録要求の一般的な情報を含む。IDフィールドには、登録返信を登録要求に対応させる識別子が含まれており、この識別子にはリプレイプロテクションRPに対する情報が含まれる。
【0076】
延長部は、モバイルノードの支援している暗号化法をエントリする新たなフィールドKVと、使用される暗号化法に関する示唆をエントリする新たなフィールドHWと、MHAE(Mobile Home Authentication Extension)とを含み、これにより最新の登録要求の真正性が保護される。
【0077】
MHAE(Mobile Home Authentication Extension)はタイプTYP,延長部の長さLEN,セキュリティパラメータインデクスSPIおよびメッセージオーセンティケーションコードMACを含む。メッセージオーセンティケーションコードMACは、暗号化ユニットKEにおいて選択された当該のモバイルノードおよびホームエージェントのみに既知の真正性確認アルゴリズムAAおよび対称鍵KEYにより、フィールドAL,ID,KV,HW,TYP,LEN,SPIから計算される。これらのフィールドのうち1つでも変更されると、受信側通信機は他のメッセージオーセンティケーションコードを計算し、伝送されたメッセージオーセンティケーションコードMACと比較することにより不正操作の有無を識別する。登録要求は平文で送信され、ホームエージェントはモバイルノードの支援している暗号化法KVおよび示唆HWを読み出すことができる。
【0078】
本発明の方法のための登録返信は図2に示した登録要求に類似しており、新たなフィールドKV,HWを含む。
【図面の簡単な説明】
【0079】
【図1】モバイルノードとホームエージェントとのあいだで暗号化法を一致させる本発明の方法の実施例のフローチャートである。
【図2】本発明の登録要求のフィールドの実施例を示す図である。
【技術分野】
【0001】
本発明は、モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法に関する。
【0002】
インタネットプロトコルIPv4は定置のコンピュータと交換ノードとのあいだの有線通信のために開発された。ラップトップコンピュータやPDAなどのモバイル機器が或るコンピュータネットワークから別のコンピュータネットワークへ移動したときに同時に固定のIPアドレスを取得できるようにするために、"インタネットエンジニアリングタスクフォース"IETFによってネットワークプロトコル"IPv4のためのIPモビリティサポート"、略称"モバイルIP"が構想されたのである。モバイルIPは"Request For Comments"RFC3344に規定されており、モバイル加入者機によるインタネットコネクションの規格として利用されている。
【0003】
モバイルIPでは、"モバイルノード"とは、或るネットワークから別のネットワークへアクセスを変更するコンピュータまたはルータを意味する。"ホームエージェント"とは、モバイルノードのホームネットワークへ接続されており、当該のモバイルノードの位置情報を管理しているルータのことである。また"外部エージェント"とは、モバイルノードに対して外部ネットワークへのルーティングサービスを行い、ホームエージェントからモバイルエージェントへのデータパケットの転送を担当しているルータのことである。
【0004】
モバイルノードが外部ネットワークに接続されたことが明らかとなると、当該のモバイルノードは外部ネットワーク内の"気付アドレス"を要求する。気付アドレスは外部エージェントの公示(外部エージェント気付アドレス)から求められるかまたはDHCP(共通気付アドレス)を介して求められる。当該のモバイルノードはホームエージェントでの新たな気付アドレスによって登録される。ホームエージェントに到来するデータパケットはIPtoIPカプセルによってモバイルホストへ転送される。ホームネットワークへ戻って来た後、当該のモバイルノードはホームエージェントへコンタクトを取ってそこで登録を行う。
【0005】
外部エージェントを利用する場合は登録のために次の各ステップが必要である。すなわち、まず、モバイルノードはホームエージェントのアドレスを付した"登録要求"を外部エージェントへ送信する。外部エージェントは当該の登録要求をホームエージェントへ転送する。その後、ホームエージェントは"登録返信"を外部エージェントへ送信し、外部エージェントは登録を許可するかまたは拒絶する。続いて、外部エージェントは登録返信をモバイルノードへ引き渡す。外部エージェントが存在しない場合、登録には2つのステップが必要なだけである。すなわち、まずモバイルノードが登録要求をホームエージェントへ送信する。続いて、ホームエージェントが登録返信によってモバイルノードへ応答するのである。
【0006】
モバイルノードは登録要求においてその時点での気付アドレス(すなわち外部ネットワークにおいて当該のモバイルノードのアドレスとして通用するアドレス)をホームエージェントに報告するので、当該の登録要求を不正操作に対して保護しなければならない。例えば攻撃者が登録要求内の気付アドレスを変更したとすると、ホームエージェントはモバイルノードにデータパケット全体を送信することができず、攻撃者の定めたアドレスへこれを送信することになる。登録メッセージの真正性は保証されなければならない。つまり、登録メッセージの内容の変更も送信者の偽装も許してはならない。
【0007】
真正性を保護するために、モバイルIPではいわゆる"モビリティセキュリティアソシエーション"MSAが通信機対ごとに設けられる。ここでの通信機対はたいていの場合ホームエージェントおよびモバイルノードから成るが、外部エージェントとホームエージェントとのあいだまたは外部エージェントとモバイルノードとのあいだにもモビリティセキュリティアソシエーションは存在しうる。通信機対のあいだでは各方向に複数の異なるモビリティセキュリティアソシエーションが存在しうる。ただしこのとき実際には2つの方向に対して唯一のモビリティセキュリティアソシエーションが用いられる。モビリティセキュリティアソシエーションMSAは通信機対のあいだのセキュリティ関係式の集合体であって、真正性を保護するために利用すべき暗号化法および鍵を表している。モビリティセキュリティアソシエーションの個々のセキュリティ関係式は"セキュリティパラメータインデクス"SPIにより特徴づけられている。
【0008】
セキュリティ関係式の暗号化法はそれぞれ1つずつ真正性確認アルゴリズムおよび"リプレイプロテクションスタイル"を含んでいる。
【0009】
標準の真正性確認アルゴリズムとしてHMAC−MD5が挙げられる。これは、MD5アルゴリズムをベースとして、"メッセージオーセンティケーションコード"MACすなわちハッシュ値を保護すべきメッセージに関する秘密鍵によって計算するアルゴリズムである。メッセージが変更されていたり他の鍵が用いられていたりする場合、メッセージオーセンティケーションコードMACを新たに計算すると不正操作ないし送信者偽装が証明される。HMAC−MD5以外の別の真正性確認アルゴリズムを用いることもできる。
【0010】
リプレイプロテクションは旧い登録要求の再使用防止に用いられる。タイムスタンプの付されたリプレイプロテクションでは送信側通信機によって時刻がメッセージに添付され、受信側通信機は当該のメッセージが所定の時刻よりも旧いものでないかどうかを検査できる。"Nonce"(ナンバーユーズドオンリーワンス)の付されたリプレイプロテクションでは、送信側通信機から受信側通信機へ送られる全てのメッセージに送信のたびに新たな乱数が添付される。このとき送信側通信機は受信側通信機が同じ数を次の連絡で返送してくるかどうかを検査する。もちろん他のリプレイプロテクションスタイルを用いることもできる。タイムスタンプ、"Nonce"その他のリプレイプロテクションスタイルによって形成された値は、送信側通信機によって登録メッセージのIDフィールドにエントリされ、受信側通信機によって検査される。
【0011】
メッセージを認証するためにモバイルIPv4が設けられており、送信側通信機はメッセージの保護すべき部分に関するセキュリティパラメータインデクスSPIおよびメッセージオーセンティケーションコードMACを含む"オーセンティケーションエクステンション"をメッセージに添付する。モバイルノードとホームエージェントとのあいだのオーセンティケーションエクステンションは"モバイルホームオーセンティケーションエクステンション"MHAEと称される。受信側通信機は、セキュリティパラメータインデクスSPIによって識別されるモビリティセキュリティアソシエーションMSAにアクセスしてそこから利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを求めることにより、真正性を検査する。その後、受信側通信機はメッセージオーセンティケーションコードMACを計算し、得られた結果と受信メッセージに含まれているメッセージオーセンティケーションコードMACとが一致するかどうかを確認する。旧いメッセージの再使用を防止するため、登録メッセージのIDフィールドに含まれるリプレイプロテクションスタイルの値も検査される。
【0012】
モバイルIPでは種々の真正性確認アルゴリズムおよびリプレイプロテクションスタイルを使用することができるので、通信機対は利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを指定しなければならない。
【0013】
このための手段として、利用すべき真正性確認アルゴリズムおよびリプレイプロテクションスタイルを予め定めておき、モバイルノードおよびホームエージェントをこれにしたがって構成することが考えられる。ただしこの手段には次のような欠点がある。すなわち、そもそも、多数のモバイルノードおよび複数のホームエージェントを有する大きなネットワークでは全ての通信機対を手動で構成しなおすことはきわめて煩雑である。このことは最初のコンフィグレーションのケースにも当てはまるし、いちど構成された暗号化法の脆弱性が明らかとなって全ての通信機対においてこれを置換しなければならないケースにも当てはまる。しかも、モバイルノードないしホームエージェントで支援されている暗号化法が未知である場合、例えば3GPP(Third Generation Partnership Project)のワイヤレスローカルエリアネットワークWLANにおけるローミングの際には、短時間で通信機対の双方に支援されている暗号化法を求めることはできない。したがって、適切な共通の真正性確認アルゴリズムおよびリプレイプロテクションスタイルを定めることもこれにしたがって2つの通信機を構成することも不可能である。
【0014】
こうした欠点を改善するには、通信機対によって当該のネットワークで利用すべき暗号化法を選択することが挙げられる。RFC3957"Authentication, Authorization and Accounting (AAA) Registration Keys for Mobile IPv4"によれば、モバイルノード、ホームエージェントないし外部エージェント間でのモビリティセキュリティアソシエーションMSAはモバイルノードおよびホームAAAサーバ間での"AAAセキュリティアソシエーション"から導出される。真正性確認アルゴリズムおよびリプレイプロテクションスタイルは登録メッセージの"キージェネレーションエクステンション"においてホームAAAサーバからモバイルノードおよびホームエージェントへ伝送される。同様のプロセスがDiameterAAAサーバによるRFC4004の"Diameter Mobile IPv4 Application"にも記載されている。これらのプロセスによれば、ネットワークから暗号化法を求めることができる。ただし、ここには、各モバイルノードがどのような真正性確認アルゴリズムおよびリプレイプロテクションスタイルを支援しているかがネットワークにとって一般に未知であるという欠点が存在する。したがって、例えば、ネットワークの定めた最新の暗号化法を支援していない旧いモバイルノードは、確実に受け入れられる暗号化法を支援していたとしても、それが旧いものであるかぎり、当該のネットワークと通信できない。
【0015】
また別の改善手段として、暗号化法を一方側で求めるのではなく、通信機対のあいだで協議して取り決めることが考えられる。RFC3329の"Security Mechanism Agreement for the Session Initiation Protocol (SIP)"からは、支援している暗号化法のリストをサーバへ送信するプロセスが記載されている。これに応じて、サーバは、自身の支援している暗号化法のリストを含む呼びかけ(Challenge)をクライアントへ送信する。クライアントは最も高い優先順位を付して共通の暗号化法を選択する。攻撃者がリストを改ざんしたり偽装したりするのを回避するために、サーバは弱い暗号化法のみを支援し、通信機対は相応の弱い暗号化法の指定に続いて、リストをもう一度保護して伝送する。相手方通信機は選択された暗号化法を作動し、サーバによって支援されている暗号化法を含むリストをサーバへ送信する。サーバはリストの真正性を検査し、これによりオリジナルリストが改ざんされていないことが保証される。さらに別の協議メカニズムとして"インタネットキーエクスチェンジ"IKE(IPsec−IKE)も公知である。ただし、この方法では最初のメッセージが保護されずに伝送されるため、モバイルIPではそのまま利用することができず、最初のメッセージに対して別の真正性保護手段が必要となるという欠点がある。また、支援される暗号化法を含むリストを2回伝送しなければならないという欠点も存在する。
【0016】
したがって、本発明の課題は、モバイルノード、ホームエージェントないし外部エージェント間で相互に支援される暗号化法を知らせあい、共通の暗号化法を選択し、モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法を提供することである。
【0017】
この課題は、モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証するために、使用される暗号化法をモバイルノードとホームエージェントとのあいだで一致させる、本発明の方法により解決される。
【0018】
暗号化法が予め設定および構成されないことにより、モバイルノードおよびホームエージェントで支援されている種々の暗号化法によりダイナミックかつ効率的に大きなネットワークを構成することができる。また、メッセージセキュリティアソシエーションにとって最適な暗号化法が選択される。つまり、一方で双方の通信機に共通の強い暗号化法を用いることができ、他方で強い暗号化法が双方の通信機で共通に支援されていない場合には弱い暗号化法も利用可能となる。さらに、本発明の方法によれば、信用を失った暗号化法を大きなコストをかけずに置換することができる。
【0019】
本発明の実施形態によれば、モバイルインタネットプロトコルはモバイルIPv4プロトコルである。
【0020】
本発明の実施形態によれば、モバイルノードは自身の支援する暗号化法に関する情報を含む登録要求を形成する。ついで、モバイルノードは当該の登録要求の真正性を第1の暗号化法により保証する。続いて、モバイルノードは真正性の保証された登録要求をホームエージェントへ送信し、ホームエージェントは当該の登録要求の真正性を検査する。
【0021】
RFC3344に準拠したモバイルIPとは異なり、モバイルノードの形成した登録要求は当該のモバイルノードの支援する複数の暗号化法に関する情報を含んでおり、これによりホームエージェントに当該の情報が既知となる。さらに、第1の登録要求の真正性がモバイルIPと同様に保証されるので、モバイルノードの支援する複数の暗号化法に関する情報が改ざんされていたり当該の登録要求が他のソースから到来していたりしないかどうかを識別することができる。
【0022】
本発明の実施形態によれば、ホームエージェントは登録要求が真正でないことを検出した場合に登録要求を拒絶する登録返信をモバイルノードへ送信する。
【0023】
登録要求の内容が変更されていたり送信側通信機が不正に操作されていたり、または再使用が行われていたりした場合には、ホームエージェントは当該のモバイルノードの登録を許可しない。
【0024】
本発明の実施形態によれば、ホームエージェントは登録要求の真正性を確認した場合に共通の第2の暗号化法を選択しこれを報告する登録返信をモバイルノードへ送信する。
【0025】
ホームエージェントは、唯一の暗号化法を定めるのではなく、共通の暗号化法が複数利用されている場合には、有利な暗号化法を選択することができる。
【0026】
本発明の実施形態によれば、登録返信はホームエージェントの支援する暗号化法に関する情報を含む。
【0027】
ホームエージェントの支援する暗号化法に関する情報により、モバイルノードでは、あらためて登録要求するとき、当該の暗号化法のうちの1つを登録要求の真正性を保証する共通の第1の暗号化法として用いることができる。
【0028】
本発明の実施形態によれば、ホームエージェントは登録返信の真正性を自身の選択した暗号化法によって保証する。
【0029】
このようにして登録返信の内容および送信者は不正操作に対して保護される。これにより、例えば弱い暗号化法しか支援されないために攻撃者によって暗号化法に関する情報が恣意的に変更されるというおそれがなくなる。
【0030】
本発明の実施形態によれば、モバイルノードは登録返信の真正性を検査する。
【0031】
登録返信の真正性が検査されることにより、モバイルノードは登録返信に挙げられている暗号化法が第三者によって不正操作されていたり選択されていたりせず、ホームエージェントから不変のまま到来したものであることを確認することができる。
【0032】
本発明の実施形態によれば、ホームエージェントは、登録要求の真正性を確認できた場合、当該のモバイルノードを登録して登録返信により当該のモバイルノードの登録が有効になされたことを表示し、選択した暗号化法によって当該のモバイルノードとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する。
【0033】
本発明の方法によれば、2つのメッセージのやり取りのみで支援されている暗号化法に関する情報交換の真正性を保証し、最適な暗号化法を選択して相応のメッセージセキュリティアソシエーションを形成することができる。
【0034】
本発明の実施形態によれば、ホームエージェントは、共通の暗号化法を選択できなかった場合、第2の暗号化法として第1の暗号化法を選択する。
【0035】
本発明の実施形態によれば、モバイルノードは、登録返信に含まれている情報に基づいて共通の暗号化法を選択し、選択した暗号化法によってホームエージェントとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する。
【0036】
本発明の実施形態によれば、モバイルノードとホームエージェントとのあいだでの別のメッセージ交換の真正性を保証するために、共通の第2の暗号化法が用いられる。
【0037】
共通の第2の暗号化法は有利な暗号化法である。一方ではセキュリティに関して強い暗号化法を選択することができるし、他方では暗号化法としては弱いけれどもモバイルノードとホームエージェントとのあいだの確実な通信を可能にする暗号化法を選択することもできる。
【0038】
本発明の実施形態によれば、第1の暗号化法および第2の暗号化法は複数のメッセージオーセンティケーションコードMACおよび複数のリプレイプロテクションスタイルを含む。
【0039】
メッセージオーセンティケーションコードにより、登録要求ないし登録返信およびこれらに含まれる暗号化法に関する情報が不正操作されていないこと、ならびに、IDすなわち送信元アドレスおよび宛先アドレスが変更されていないことが保証される。また、タイムスタンプまたはNonceなどのリプレイプロテクションスタイルにより、登録返信が先行の登録要求に対応していること、ならびに、旧い登録メッセージの再使用が回避されていることが保証される。
【0040】
本発明の実施形態によれば、登録要求および/また登録返信は平文で伝送される。
【0041】
このようにすれば、ホームエージェントはモバイルノードで支援されている暗号化法を登録要求から読み出し、モバイルノードはホームエージェントで支援されている暗号化法を登録返信から読み出すことができる。
【0042】
本発明の実施形態によれば、登録要求および/また登録返信は第1の暗号化法に関する示唆を含む。
【0043】
登録要求ないし登録返信が平文で伝送されるので、真正性確認に用いられた第1の暗号化法についての示唆を添付することにより、モバイルノードないしホームエージェントに対して、メッセージの真正性を保証した真正性確認アルゴリズム、リプレイプロテクションスタイルおよび鍵を報告し、これらを検査することができる。
【0044】
本発明の実施形態によれば、第1の暗号化法はモバイルノードとホームエージェントとのあいだの先行のデータ交換から既知となる。
【0045】
第1の暗号化法は、登録要求および登録返信などの先行の合意または協議から既知となるか、或いは、同じネットワーク内の他のホームエージェントまたは同様の有利なアルゴリズムないしリプレイプロテクションスタイルを有するホームエージェントから取得される。このようにすれば、最初の登録要求が未知の真正性確認アルゴリズムまたは未知のリプレイプロテクションスタイルを含んでいるために拒絶されるというケースがほぼ排除される。
【0046】
本発明の実施形態によれば、モバイルノードおよびホームエージェントは共通の秘密鍵を利用する。
【0047】
真正性確認アルゴリズムに基づいてメッセージオーセンティケーションコードの計算の際に考慮される秘密鍵により、こうしたコードが対応するモバイルノードまたはホームエージェントのみで計算されることが保証される。
【0048】
本発明の実施形態によれば、ホームエージェントに代わって外部エージェントとモバイルノードとがメッセージを交換する。
【0049】
本発明の実施形態によれば、モバイルノードに代わって外部エージェントとホームエージェントとがメッセージを交換する。
【0050】
このようにすれば、本発明により、モバイルノードと外部エージェントとのあいだないしホームエージェントと外部エージェントとのあいだでメッセージの真正性が保証される。
【0051】
以下に本発明を図示の実施例に則して詳細に説明する。
【0052】
図1にはモバイルノードとホームエージェントとのあいだで暗号化法を一致させる本発明の方法の実施例のフローチャートが示されている。図2には本発明の登録要求のフィールドの実施例が示されている。
【0053】
図1には、モバイルノードとホームエージェントとのあいだでモバイルIPv4に準拠して交換されるメッセージの真正性を保証するために暗号化法を一致させる実施例のフローチャートが示されている。真正性を保証する暗号化法は真正性確認アルゴリズムおよびリプレイプロテクションスタイルから成る。真正性確認アルゴリズムは例えばHMAC−MD5であり、ここでは128bit長の対称鍵によってメッセージオーセンティケーションコードが計算される。鍵は例えばRFC3957によって交換される。また3GPPネットワークでは鍵はGBA(Generic bootstraping architecture)に基づくプロセスによって交換される。リプレイプロテクションスタイルとしては、モバイルIPに規定されているタイムスタンプまたはNonceが用いられる。もちろんメッセージの真正性を支援する他の方法を用いることもできる。
【0054】
本発明の方法は、モバイルノード、ホームエージェントないし外部エージェント間でメッセージを交換する際にメッセージの真正性を保証するために用いられる。この場合、FHAE(Foreign Home Authentication Extention)およびモバイルIPにおいて規定されFHAEに添付されたMFAE(Mobili Foreign Authentication Extention)が必要となる。本発明の方法はメッセージの真正性を保証する暗号化法を協議するためのモバイルIPとして用いることもできる。フローチャートの個々のステップは入れ替え、補充および省略が可能である。
【0055】
ステップ1でモバイルノードおよびホームエージェントはメッセージセキュリティアソシエーションの形成を開始する。本発明では、必要な情報の全て、例えば秘密鍵などが既に存在しており、メッセージセキュリティアソシエーションの完成には共通の暗号化法すなわち真正性確認アルゴリズムおよびリプレイプロテクションスタイルのみが必要であるということを前提としている。
【0056】
ステップ2では、モバイルノードは自身の支援する暗号化法に関する情報を含む登録要求を形成する。そしてモバイルノードは当該の登録要求の真正性を第1の暗号化法により保証する。当該の暗号化法は当該のモバイルノードによって相手方のホームエージェントが支援している確率が高いとして選択されたものである。この選択は例えば相手方のホームエージェントまたは同じネットワーク内の同様の暗号化法を有する他のホームエージェントとの先行の交渉から得られた情報に基づいて行われる。真正性の保証された登録要求は当該のモバイルノードから平文でホームエージェントへ送信されるので、ホームエージェントは当該の登録要求から真正性の保証に用いられた第1の暗号化法に関する示唆を取り出すことができる。
【0057】
ステップ5の問い合わせにおいて、ホームエージェントは自身が第1の暗号化法を支援しているか否かを検査する。支援していない場合には、当該のホームエージェントは登録要求の真正性を検査しない。この場合、攻撃者がモバイルノードの支援している暗号化法に関する情報を不正に操作しうる状況および/またはホームエージェントが送信者をチェックできない状況など、セキュリティにとってクリティカルな事態が生じたことになるからである。
【0058】
ステップ6では、ホームエージェントは登録要求を拒絶する旨の登録返信を形成する。この場合、拒絶はモバイルIPに準拠したエラーメッセージであってもよいし、新たに定義したエラーメッセージであってもよい。当該の登録返信はモバイルノードおよびホームエージェントが共通に支援している暗号化法によって真正性を保証され、ホームエージェントからモバイルノードへ送信される。ホームエージェントは当該の登録返信に自身の支援している暗号化法に関する情報を含めて送信し、モバイルノードはステップ2であらためて登録要求を行う際に、リストから新たな第1の暗号化法を選択し、これによって新たな登録要求を保護する。
【0059】
ステップ10の問い合わせにおいて、ホームエージェントは当該の登録要求が真正であるか否かを検査する。この検査は、モバイルノードによって選択された第1の暗号化法がホームエージェントの支援しているものであることから可能となっている。
【0060】
登録要求が真正でない場合、これは当該の登録要求が例えば攻撃者によって不正に操作されているということを意味する。このとき、ホームエージェントは、ステップ11において、登録要求を拒絶する旨の登録返信を形成する。当該の登録返信は、こうしたケースのために設けられたモバイルIPのエラーメッセージまたは新たに定義されたエラーメッセージを含むほか、さらに、当該のホームエージェントの支援している暗号化法に関する情報を含む。ホームエージェントは、第1の暗号化法で登録返信の真正性を保証した後、当該の登録返信を、ステップ2であらためて登録しようと試みているモバイルノードへ送信する。
【0061】
ホームエージェントによって登録要求が真正であると確認された場合には、ホームエージェントはステップ20において当該のモバイルノードを当該のネットワークに登録する。
【0062】
ステップ25の問い合わせにおいて、ホームエージェントはモバイルノードによって支援されている暗号化法に関する情報と自身の支援している暗号化法とを比較し、第1の暗号化法のほかに他の共通の暗号化法が存在するかどうかを求める。こうして、例えば第1の暗号化法として幾分弱くても広汎に用いられている暗号化法を登録要求の保護に選択し、その後で、モバイルノードおよびホームエージェントの双方に共通の強い別の暗号化法を選択することができる。
【0063】
共通の別の暗号化法を求めることができない場合、ステップ26において、ホームエージェントは第1の暗号化法を第2の暗号化法として選択する。
【0064】
共通の別の暗号化法を求めることができた場合、ステップ30において、ホームエージェントは自身にとって有利な共通の暗号化法を第2の暗号化法として選択する。
【0065】
ステップ31において、ホームエージェントはメッセージセキュリティアソシエーションを自身の側で選択した暗号化法によって完成させる。続いてホームエージェントは、自身の選択した暗号化法に関する情報(示唆)を含む登録返信を形成し、この東麓返信を選択した第2の共通の暗号化法によって保護し、当該の登録返信をモバイルノードへ送信する。他のエラーが発生しなければ、当該の登録返信は登録が有効に行われたことを表す。
【0066】
ステップ32では、モバイルノードが、登録要求からホームエージェントの選択した第2の共通の暗号化法を取り出し、これによって登録返信の真正性を検査する。
【0067】
ステップ40の問い合わせにおいて、モバイルノードは当該の登録返信が有効な登録を表示しているかどうかを検査する。
【0068】
登録が有効に行われなかった場合、モバイルノードはあらためて登録を試みる。ステップ41では、モバイルノードは例えば登録返信のエラーコードからエラーの原因を導き出し、これを補正する。例えば暗号化法が指定されていてエラーが発生している場合には、モバイルノードは次の登録要求において暗号化法の他のリストを提示することができる。また、拒絶は、モバイルノードの制御不能な他のエラー、例えば長すぎる登録要求による時間切れや多数の登録要求による混雑を原因としても行われうる。これらの場合には補正は必要ない。あらためての登録の試行が再びステップ2で開始される。
【0069】
ステップ50の問い合わせは、登録返信によって登録が有効に行われたことが表示された場合に行われる。ステップ50の問い合わせでは、ホームエージェントがモバイルノードに対して共通の第2の暗号化法の利用を設定したか否かが判別される。
【0070】
ホームエージェントがモバイルノードに対して自身の選択した第2の共通の暗号化法の利用を設定しなかった場合、モバイルノードはステップ51において第2の暗号化法をみずから求める。この場合モバイルノードは自身の選択した暗号化法によってメッセージセキュリティアソシエーションを完成させる。このようにすれば、ホームエージェントおよびモバイルノードがメッセージの認証に異なる暗号化法を利用しても、双方の側で互いに選択した暗号化法を利用することができる。
【0071】
ホームエージェントがモバイルノードに対して自身の選択した第2の共通の暗号化法の利用を設定した場合、モバイルノードはステップ60においてホームエージェントの選択した暗号化法によってメッセージセキュリティアソシエーションを完成させる。この場合、実際にはホームエージェントおよびモバイルノードの双方がメッセージセキュリティアソシエーションに対して同じ暗号化法を利用することになる。
【0072】
モバイルノードとホームエージェントとのあいだにメッセージセキュリティアソシエーションが形成された後、付加的にステップ61において、形成されたメッセージセキュリティアソシエーションによってただちに保護された新たな登録を行い、当該のメッセージセキュリティアソシエーションが双方の側で有効に形成されているか否かを検査してもよい。
【0073】
RFC3329に規定されたセッション開始プロトコルSIPのセキュリティメカニズムアグリーメントプロシージャなどの公知の方法とは異なり、本発明の方法では、モバイルノードの支援している暗号化法に関する情報もホームエージェントの支援している暗号化法に関する情報も送信する必要はない。なぜなら登録要求および登録返信の真正性が既に保証されており、不正操作のおそれが排除されているからである。共通に支援されている暗号化法は全部で2つのメッセージ、すなわちモバイルノードからホームエージェントへのメッセージおよびホームエージェントからモバイルノードへのメッセージのみで一致させることができる。
【0074】
図2には、本発明の方法で用いられる登録要求のフィールドの実施例が示されている。当該の登録要求はIPヘッダIP,UDPヘッダUDPおよびモバイルIPフィールドを有する。IPヘッダにはIP送信元アドレス、IP宛先アドレスおよびIPライフタイムが含まれている。UDPヘッダ(ユーザデータグラムプロトコルヘッダ)には送信元ポートおよび宛先ポートが含まれている。モバイルIPフィールドは固定長のフィールドAL,IDおよび所定の延長部(エクステンション)から成る。
【0075】
フィールドALは、タイプ、ライフタイム、モバイルノードのIPアドレス、ホームエージェントのIPアドレスおよび気付アドレスなどの登録要求の一般的な情報を含む。IDフィールドには、登録返信を登録要求に対応させる識別子が含まれており、この識別子にはリプレイプロテクションRPに対する情報が含まれる。
【0076】
延長部は、モバイルノードの支援している暗号化法をエントリする新たなフィールドKVと、使用される暗号化法に関する示唆をエントリする新たなフィールドHWと、MHAE(Mobile Home Authentication Extension)とを含み、これにより最新の登録要求の真正性が保護される。
【0077】
MHAE(Mobile Home Authentication Extension)はタイプTYP,延長部の長さLEN,セキュリティパラメータインデクスSPIおよびメッセージオーセンティケーションコードMACを含む。メッセージオーセンティケーションコードMACは、暗号化ユニットKEにおいて選択された当該のモバイルノードおよびホームエージェントのみに既知の真正性確認アルゴリズムAAおよび対称鍵KEYにより、フィールドAL,ID,KV,HW,TYP,LEN,SPIから計算される。これらのフィールドのうち1つでも変更されると、受信側通信機は他のメッセージオーセンティケーションコードを計算し、伝送されたメッセージオーセンティケーションコードMACと比較することにより不正操作の有無を識別する。登録要求は平文で送信され、ホームエージェントはモバイルノードの支援している暗号化法KVおよび示唆HWを読み出すことができる。
【0078】
本発明の方法のための登録返信は図2に示した登録要求に類似しており、新たなフィールドKV,HWを含む。
【図面の簡単な説明】
【0079】
【図1】モバイルノードとホームエージェントとのあいだで暗号化法を一致させる本発明の方法の実施例のフローチャートである。
【図2】本発明の登録要求のフィールドの実施例を示す図である。
【特許請求の範囲】
【請求項1】
モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証するために、使用される暗号化法をモバイルノードとホームエージェントとのあいだで一致させる、
メッセージの真正性を保証する方法において、
モバイルノードは、自身の支援している複数の暗号化法を含む登録要求を形成し、第1の暗号化法によって該登録要求の真正性を保証し、さらに、真正性を保証した登録要求をホームエージェントへ送信し、
ホームエージェントは送信されてきた登録要求の真正性を検査する
ことを特徴とするメッセージの真正性を保証する方法。
【請求項2】
前記ホームエージェントは、前記登録要求が真正でないことを検出した場合に、前記登録要求を拒絶する登録返信を前記モバイルノードへ送信する、請求項1記載の方法。
【請求項3】
前記ホームエージェントは、前記登録要求の真正性を確認した場合に、当該のモバイルノードと共通の第2の暗号化法を選択したことを報告する登録返信をモバイルノードへ送信する、請求項1記載の方法。
【請求項4】
前記登録返信は当該のホームエージェントの支援する暗号化法に関する情報を含む、請求項3記載の方法。
【請求項5】
前記ホームエージェントは前記登録返信の真正性を自身の選択した暗号化法によって保証する、請求項3または4記載の方法。
【請求項6】
前記モバイルノードは前記登録返信の真正性を検査する、請求項5記載の方法。
【請求項7】
前記ホームエージェントは前記モバイルノードを登録して登録返信により当該のモバイルノードの登録が有効になされたことを表示し、選択した暗号化法によって当該のモバイルノードとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する、請求項3から6までのいずれか1項記載の方法。
【請求項8】
前記ホームエージェントは、共通の暗号化法を選択できなかった場合、第2の暗号化法として前記第1の暗号化法を選択する、請求項3記載の方法。
【請求項9】
前記モバイルノードは、前記登録返信に含まれている情報に基づいて共通の暗号化法を選択し、選択した暗号化法によって前記ホームエージェントとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する、請求項8記載の方法。
【請求項10】
共通の第2の暗号化法を用いて、前記モバイルノードと前記ホームエージェントとのあいだでの別のメッセージ交換の真正性を保証する、請求項1から9までのいずれか1項記載の方法。
【請求項11】
前記第1の暗号化法および前記第2の暗号化法は複数のメッセージオーセンティケーションコードおよび複数のリプレイプロテクションスタイルを含む、請求項1から10までのいずれか1項記載の方法。
【請求項12】
前記登録要求および/または前記登録返信を平文で伝送する、請求項1から11までのいずれか1項記載の方法。
【請求項13】
前記登録要求および/または前記登録返信は前記第1の暗号化法および/または前記共通の第2の暗号化法に関する示唆を含む、請求項12記載の方法。
【請求項14】
前記第1の暗号化法は前記モバイルノードと前記ホームエージェントとのあいだの先行のデータ交換から既知となる、請求項1から13までのいずれか1項記載の方法。
【請求項15】
前記モバイルノードおよび前記ホームエージェントは共通の秘密鍵を有する、請求項1から14までのいずれか1項記載の方法。
【請求項16】
前記モバイルノードに代わって外部エージェントと前記ホームエージェントとがメッセージを交換する、請求項1から15までのいずれか1項記載の方法。
【請求項17】
前記ホームエージェントに代わって外部エージェントと前記モバイルノードとがメッセージを交換する、請求項1から15までのいずれか1項記載の方法。
【請求項1】
モバイルノードとホームエージェントとのあいだでモバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証するために、使用される暗号化法をモバイルノードとホームエージェントとのあいだで一致させる、
メッセージの真正性を保証する方法において、
モバイルノードは、自身の支援している複数の暗号化法を含む登録要求を形成し、第1の暗号化法によって該登録要求の真正性を保証し、さらに、真正性を保証した登録要求をホームエージェントへ送信し、
ホームエージェントは送信されてきた登録要求の真正性を検査する
ことを特徴とするメッセージの真正性を保証する方法。
【請求項2】
前記ホームエージェントは、前記登録要求が真正でないことを検出した場合に、前記登録要求を拒絶する登録返信を前記モバイルノードへ送信する、請求項1記載の方法。
【請求項3】
前記ホームエージェントは、前記登録要求の真正性を確認した場合に、当該のモバイルノードと共通の第2の暗号化法を選択したことを報告する登録返信をモバイルノードへ送信する、請求項1記載の方法。
【請求項4】
前記登録返信は当該のホームエージェントの支援する暗号化法に関する情報を含む、請求項3記載の方法。
【請求項5】
前記ホームエージェントは前記登録返信の真正性を自身の選択した暗号化法によって保証する、請求項3または4記載の方法。
【請求項6】
前記モバイルノードは前記登録返信の真正性を検査する、請求項5記載の方法。
【請求項7】
前記ホームエージェントは前記モバイルノードを登録して登録返信により当該のモバイルノードの登録が有効になされたことを表示し、選択した暗号化法によって当該のモバイルノードとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する、請求項3から6までのいずれか1項記載の方法。
【請求項8】
前記ホームエージェントは、共通の暗号化法を選択できなかった場合、第2の暗号化法として前記第1の暗号化法を選択する、請求項3記載の方法。
【請求項9】
前記モバイルノードは、前記登録返信に含まれている情報に基づいて共通の暗号化法を選択し、選択した暗号化法によって前記ホームエージェントとのあいだに少なくとも1つのメッセージセキュリティアソシエーションを形成する、請求項8記載の方法。
【請求項10】
共通の第2の暗号化法を用いて、前記モバイルノードと前記ホームエージェントとのあいだでの別のメッセージ交換の真正性を保証する、請求項1から9までのいずれか1項記載の方法。
【請求項11】
前記第1の暗号化法および前記第2の暗号化法は複数のメッセージオーセンティケーションコードおよび複数のリプレイプロテクションスタイルを含む、請求項1から10までのいずれか1項記載の方法。
【請求項12】
前記登録要求および/または前記登録返信を平文で伝送する、請求項1から11までのいずれか1項記載の方法。
【請求項13】
前記登録要求および/または前記登録返信は前記第1の暗号化法および/または前記共通の第2の暗号化法に関する示唆を含む、請求項12記載の方法。
【請求項14】
前記第1の暗号化法は前記モバイルノードと前記ホームエージェントとのあいだの先行のデータ交換から既知となる、請求項1から13までのいずれか1項記載の方法。
【請求項15】
前記モバイルノードおよび前記ホームエージェントは共通の秘密鍵を有する、請求項1から14までのいずれか1項記載の方法。
【請求項16】
前記モバイルノードに代わって外部エージェントと前記ホームエージェントとがメッセージを交換する、請求項1から15までのいずれか1項記載の方法。
【請求項17】
前記ホームエージェントに代わって外部エージェントと前記モバイルノードとがメッセージを交換する、請求項1から15までのいずれか1項記載の方法。
【図1】
【図2】
【図2】
【公表番号】特表2009−526455(P2009−526455A)
【公表日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2008−553725(P2008−553725)
【出願日】平成19年1月31日(2007.1.31)
【国際出願番号】PCT/EP2007/050936
【国際公開番号】WO2007/090774
【国際公開日】平成19年8月16日(2007.8.16)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
【公表日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成19年1月31日(2007.1.31)
【国際出願番号】PCT/EP2007/050936
【国際公開番号】WO2007/090774
【国際公開日】平成19年8月16日(2007.8.16)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
[ Back to top ]