動的かつ安全なトンネル確立方法
【課題】動的かつ安全なトンネル確立方法を提供すること。
【解決手段】モバイル機器のための動的かつ安全にトンネルを確立するシステム及び方法が開示される。好ましい実施形態においては、該システム及び方法は、コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てるよう動作する。
【解決手段】モバイル機器のための動的かつ安全にトンネルを確立するシステム及び方法が開示される。好ましい実施形態においては、該システム及び方法は、コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てるよう動作する。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、とりわけ、コンピュータネットワークにおける動的かつ安全なトンネル確立方法に関する。
【背景技術】
【0002】
本出願は、2004年8月17日に提出された仮出願第60/601,980号(発明の名称“動的かつ安全なトンネル確立方法(A METHOD FOR DYNAMICALLY AND SECURELY ESTABLISHING A TUNNEL)”)に対して優先権を主張している。
【0003】
本願は、とりわけ、コンピュータネットワークにおける動的かつ安全なトンネル確立方法に関する。下記に示す現在の譲受人の同時継続特許出願それぞれの全開示は、背景技術のために参照してここに組み込まれる。1)2004年1月22日に提出された米国特許出願第10/761,243号(発明の名称“事前認証、事前コンフィグレーション及び/又は仮想ソフトハンドオフを用いた移動性アーキテクチャー(Mobility Architecture Using Pre-Authentication, Pre-Configuration And/Or Virtual Soft-Handoff)”と、2)2004年10月29日に提出された米国特許出願第10/908,199号(発明の名称“隔離ネットワーキング(Quarantine Networking)”と、3)2004年10月29日に提出された米国特許出願第10/975,497号(発明の名称“動的ホストコンフィグレーション及びネットワークアクセス認証(Dynamic Host Configuration And Network Access Authentication)”
ネットワークとインターネットプロトコル:
最も有名なインターネットとともに多様な種類のコンピュータネットワークがある。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは何百万ものユーザが使用できる公開された自立したネットワークである。インターネットはTCP/IP(つまり伝送制御プロトコル/インターネットプロトコル)と呼ばれている一式の通信プロトコルを使用して、ホストを接続する。インターネットはインターネットバックボーンとして公知の通信インフラストラクチャを有する。インターネットバックボーンに対するアクセスは、主として企業及び個人のアクセスをリセールするインターネットサービスプロバイダ(ISP)によって制御されている。
【0004】
IP(インターネットプロトコル)に関して、これは、あるデバイス(例えば、電話、PDA[パーソナルデジタルアシスタント]、コンピュータ等)からネットワーク上の別のデバイスにデータを送信できるプロトコルである。今日では、IPv4、IPv6等を含む種々のバージョンのIPがある。ネットワーク上の各ホストデバイスは、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
【0005】
IPはコネクションレスプロトコルである。通信中のエンドポイント間の接続は連続ではない。ユーザがデータ又はメッセージを送信又は受信すると、このデータ又はメッセージはパケットとして知られているコンポーネントに分割される。あらゆるパケットはデータの独立した単位として取り扱われる。
【0006】
インターネット又は類似するネットワーク上でポイント間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワークの中の2つのポイントの間の通信プロセスを7つの積み重ねられた層に切り離し、それぞれの層が独自の機能のセットを追加する。各デバイスは、送信側エンドポイントにある各層を通る下降流と、受信側エンドポイントにある層を通る上昇流が存在するようにメッセージを処理する。機能の7つの層を提供するプログラミング及び/又はハードウェアは、通常は、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポートプロトコル及びネットワークプロトコル、ならびに他のソフトウェアとハードウェアの組み合わせである。
【0007】
通常、メッセージがユーザから又はユーザに渡されるときには上部4つの層が使用され、メッセージがデバイス(例えばIPホストデバイス)を通過するときには下部の3つの層が使用される。IPホストは、サーバ、ルータ、又はワークステーション等の、IPパケットを送信及び受信できるネットワーク上の任意のデバイスである。なんらかの他のホストに向けられるメッセージは上位層まで渡されないが、他のホストに転送される。OSIモデルの層は以下に一覧表示される。第7層(つまり、アプリケーション層)は、例えば通信パートナーが特定され、サービスの質が特定され、ユーザ認証とプライバシーが考慮され、データ構文に対する制約が特定される等の層である。第6層(つまり、プレゼンテーション層)は、例えば入信データと発信データをあるプレゼンテーションフォーマットから別のプレゼンテーションフォーマットに変換する等の層である。第5層(つまり、セッション層)は、例えばアプリケーション間の会話、交換及びダイアログをセットアップし、調整し、終了する等の層である。第4層(つまり、トランスポート層)は、例えばエンドツーエンド制御及びエラーチェックを管理する等の層である。第3層(つまり、ネットワーク層)は、例えばルーティングと転送を処理する等の層である。第2層(つまり、データリンク層)は、例えば物理レベルに同期を提供し、ビットスタッフィングを行い、伝送プロトコルの知識と管理を提供する等の層である。電気電子技術者協会(IEEE)は、データリンク層を2つの追加の副層、つまり物理層への及び物理層からのデータ転送を制御するMAC(媒体アクセス制御)層と、ネットワーク層と接続し、コマンドを解釈し、エラー回復を実行するLLC(論理リンク制御)層に再分割する。第1層(つまり、物理層)は、物理レベルでネットワークを通してビットストリームを伝達する等の層である。IEEEは、物理層をPLCP(物理層収束手順)副層と、PMD(物理媒体依存)副層に再分割する。
【0008】
無線ネットワーク:
無線ネットワークは、例えばセルラー電話と無線電話、PC(パソコン)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレスフォン、ページャ、ヘッドホン、プリンタ、PDA等の種々のタイプのモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するためにデジタルシステムを含んでよい。典型的なモバイル機器は、以下の構成要素のいくつか又はすべてを含む。つまり、トランシーバ(つまり、例えば送信機、受信機、及び所望される場合他の機能が統合されたシングルチップトランシーバ等を含む送信機と受信機)、アンテナ、プロセッサ、1台又は複数台の音声トランスデューサ(例えば、音声通信用のデバイスにおいてのようなスピーカ又はマイク)、(例えば、ROM、RAM、データ処理が提供されるデバイスにおいてのようなデジタルデータ記憶装置等の)電磁データ記憶装置、メモリ、フラッシュメモリ、フルチップセット又は集積回路、(例えばUSB、CODEC、UART、PCM等の)インタフェース、及び/又は類似物である。
【0009】
携帯電話利用者が無線接続を通してローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)は、無線通信のために利用されてよい。無線通信は、例えば、光、赤外線、無線、マイクロ波等の電磁波を介して伝搬する通信を含むことができる。ブルートゥース(登録商標)、IEEE802.11、及びHomeRF等、現在存在する種々のWLAN規格がある。
【0010】
一例として、ブルートゥース製品は、モバイルコンピュータ、携帯電話、ポータブル携帯端末、パーソナルデジタルアシスタント(PDA)及び他のモバイル機器の間にリンクを、インターネットに接続性を提供するために使用されてよい。ブルートゥースは、モバイル機器が短距離無線接続を使用して互いに、及び非モバイル機器とどのように容易に相互接続できるのかを詳説するコンピュータ電気通信業界の仕様である。ブルートゥースは、ある装置から別の装置でデータを同期及び一貫させる必要がある多様なモバイル機器の拡散から生じるエンドユーザ問題に対処するためにデジタル無線プロトコルを作成し、それにより様々なベンダの装置がともにシームレスに動作できるようにする。ブルートゥースデバイスは共通の命名概念に従って名前が付けられてよい。例えば、ブルートゥースデバイスはブルートゥースデバイス名(BDN)又は一意のブルートゥースデバイスアドレス(BDA)と関連付けられた名称を持つことができる。また、ブルートゥースデバイスは、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥースデバイスがIPネットワーク上で機能する場合、それにはIPアドレスとIP(ネットワーク)名が与えられてよい。したがって、IPネットワーク上で参加するように構成されたブルートゥースデバイスは、例えばBDN、BDA、IPアドレス、及びIP名を含んでよい。用語「IP名」はインタフェースのIPアドレスに対応する名称を指す。
【0011】
IEE規格であるIEEE802.11は、無線LANとデバイスのための技術を規定する。802.11を使用して、複数のデバイスをサポートしているそれぞれ単一の基地局との無線ネットワーキングが達成されてよい。いくつかの例では、デバイスは無線ハードウェアを事前に装備して納品されてよい、又はユーザがアンテナを含んでよいカード等の別個のハードウェアをインストールしてよい。一例として、802.11で使用されるデバイスは、通常、デバイスがアクセスポイント(AP)であるのか、移動局(STA)であるのか、ブリッジであるのか、PCMCIAカードであるのか、又は別のデバイス、つまり無線トランシーバ、アンテナ及びネットワーク内のポイントの間のパケットの流れを制御するMAC(媒体アクセス制御)層であるのかに関係なく3つの注目すべき要素を含む。
【0012】
更に、いくつかの無線ネットワークではマルチプルインタフェースデバイス(MIDs)が活用されることがある。MIDはブルートゥースインタフェースと802.11インタフェース等の2つの独立したネットワークインタフェースを含んでよく、このようにしてMIDはブルートゥースデバイスと接続するだけではなく2つの別々のネットワークで参加することもできるようになる。MIDはIPアドレスと、このIPアドレスと関連付けられた共通IP(ネットワーク)名を有してよい。
【0013】
無線ネットワークデバイスは、ブルートゥースデバイス、マルチプルインタフェースデバイス(MID)、802.11xデバイス(例えば802.11a、802.11b及び802.11gのデバイスを含むIEEE 802.11デバイス)、HomeRF(ホーム無線周波数)デバイス、Wi−Fi(ワイヤレスフィディリティー)デバイス、GPRS(ジェネラルパケットラジオサービス)デバイス、3Gセルラーデバイス、2.5Gセルラーデバイス、GSM(グローバルシステムフォーモバイルコミュニケーションズ)デバイス、EDGE(Enhanced Data for GSM Evolution)デバイス、TDMAタイプ(時分割多元接続)デバイス、又はCDMA2000を含むCDMAタイプ(符号分割多元接続)デバイスを含んでよいが、これらに限定されない。それぞれのネットワークデバイスは、IPアドレス、ブルートゥースデバイスアドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、又はIEEE MACアドレスを含むが、これらに限定されない様々なタイプのアドレスを含んでよい。
【0014】
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムにおいて、PCSシステムにおいて、及び他の携帯電話ネットワークシステムにおいて見られる方法及びプロトコルも含むことがある。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)により作成された標準通信プロトコルを含む。モバイルIPを使用すると、モバイル機器ユーザは、一度割り当てられた自分のIPアドレスを維持しながらネットワーク全体で移動することができる。リクエストフォーコメント(RFC)3344を参照されたい。注意:RFCはインターネットエンジニアリングタスクフォース(IETF)の公式文書である。モバイルIPはインターネットプロトコル(IP)を強化し、自らのホームネットワークの外部で接続するときにインターネットトラフィックをモバイル機器に転送する手段を追加する。モバイルIPは、各モバイルノードに、そのホームネットワークでのホームアドレスと、ネットワーク及びそのサブネットの中でのデバイスの現在位置を特定する気付アドレス(CoA)とを割り当てる。デバイスは別のネットワークに移動すると、それは新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは各ホームアドレスをその気付アドレスと関連付けることができる。モバイルノードは、それがその気付アドレスを例えばインターネットコントロールメッセージプロトコル(ICMP)を使用して変更するたびにホームエージェントにバインディングアップデートを送信できる。
【0015】
基本IPルーティング(例えば、モバイルIP外部)では、ルーティング機構は、各ネットワークノードが常に、例えばインターネットに対する一定の接続点を有し、それぞれのノードのIPアドレスが、それが接続されるネットワークリンクを特定するという仮定に依存している。本明細書では、用語「ノード」は、例えばデータ伝送のための再分布点又はエンドポイントを含むことがあり、他のノードへの通信を認識する、処理する、及び/又は転送することができる接続点を含む。例えば、インターネットルータは、デバイスのネットワークを特定する、例えばIPアドレスプレフィクス等を見ることができる。次にルータは、ネットワークレベルで、特定のサブネットを特定するビットのセットを見ることができる。次にルータは、サブネットレベルで、特定のデバイスを特定するビットのセットを見ることができる。典型的なモバイルIP通信を用いる場合、ユーザが例えばインターネットからモバイル機器を切断し、新しいサブネットでそれを再接続しようと試みる場合、デバイスは新しいIPアドレス、適切なネットマスク及びデフォルトルータで再構成されなければならない。それ以外の場合、ルーティングプロトコルはパケットを適切に配信できないであろう。
【0016】
好ましい実施形態は、その参考文献の全体的な開示が参照してここに組み込まれる、とりわけ以下の参考文献に説明される技術の改良を提供する。
・[RFC2003] C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月.
・[RFC2004] C.Perkins, “Minimal Encapsulation within IP”, RFC2004, 1996年10月.
・[RFC2784] D.Farinacciら, “Generic Routing Encapsulation (GRE)”, RFC2784, 2000年3月.
・[RFC2401] S.Kent and R.Atkins, “Security Architecture for the Internet Protocol”, RFC2401, 1998年11月.
・[RFC3344] C.Perkins, “IP Mobility Support for IPv4”, RFC3344, 2002年8月.
・[RFC3775] C.Perkinsら, “IP Mobility Support for IPv6”, 2004年6月.
・[RFC2409] D.Harkins and D.Carrel, “The Internet Key Exchange (IKE)”, RFC2409, 1998年11月.
・[IKEv2] C.Kaufman, “Internet Key Exchange (IKEv2) Protocol”, Internet-Draft, draft-ietf-ipsec-ikev2-14.txt, work in progress, 2004年11月.
・[RFC3748] B.Abobaら, “Extensible Authentication Protocol (EAP)”, RFC3748, 2004年6月.
・[PANA−FRWK] P.Jayaraman, “PANA Framework”, Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, 2004年7月.
・[PANA] D.Forsbergら, “Protocol for Carrying Authentication for Network Access (PANA)”, Internet-Draft, draft-ietf-pana-pana-05.txt, work in progress, 2004年7月.
・[PANA−IPSEC] M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet-Draft, draft-ietf-pana-ipsec-03.txt, 2004年5月.
インターネットプロトコルは、イーサネット(登録商標)及びPPP(Point-to-Point Protocol)を含む様々なリンク層上でネットワークレイヤ・パケット(すなわち、インターネットプロトコルにおけるIPデータグラム)を運ぶ方法を定義する。IPデータグラムは、“IPリンク”上で運ばれることも可能であり、そこでは、他のIPデータグラムのペイロードにカプセル化されて伝送される。この技術は、“IPトンネリング”又は“トンネリング”と呼ばれる。トンネリングは、データグラムを、最初のIPヘッダにおけるIP宛先アドレス・フィールド(のネットワークパート)に基づいては選択されないであろう中間の宛先へ伝えることによって、データグラムのための通常のルーティングを変更する手段として使用される[C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月を参照]。カプセル化されたデータグラムがこの中間の宛先ノードへ到着すると、それはデカプセル化されて、最初のIPデータグラムが生成され、これが、最初の宛先アドレス・フィールドにより指示される宛先へ伝えられる。トンネリングの機能性を提供するIPリンクは、“トンネル”と呼ばれる。そして、トンネリングにおけるIPリンクのエンカプシュレータ及びデカプシュレータは、トンネルの“エンドポイント”に存在するように考慮される。
【0017】
トンネルは、例えば、IP−in−IPエンカプシュレーション[C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月を参照]、ミニマルエンカプシュレーション[C.Perkins, “Minimal Encapsulation within IP”, RFC2004, 1996年10月を参照]、ジェネリックルーティングエンカプシュレーション(GRE)[D.Farinacciら, “Generic Routing Encapsulation(GRE)”, RFC2784, 2000年3月を参照]、IPsecトンネルモードエンカプシュレーション[S.Kent and R.Atkins, “Security Architecture for the Internet Protocol”, RFC 2401, 1998年11月を参照]に基づいてもよい。トンネルは、静的にも動的にも作成される。トンネルが、IP−in−IPエンカプシュレーション、ミニマルエンカプシュレーション又はGREに基づき、また、このトンネルが、ホームエージェントからモバイルノードへのIPデータグラムのトンネリングのためのIP移動プロトコルにより使用される場合には、このトンネルは、モバイルIPv4[C.Perkins, “IP Mobility Support for IPv4”, RFC3344, 2002年8月を参照]又はモバイルIPv6[C.Perkinsら, “IP Mobility Support for IPv6”, RFC3775, 2004年6月を参照]を用いて動的に作成される。トンネルが、IPsecトンネルモードエンカプシュレーションに基づく場合には、このトンネルは、IKEv1[D.Harkins and D.Carrel, “The Internet Key Exchange (IKE)”, RFC2409, 1998年11月を参照]又はIKEv2[C.Kaufman, “Internet Key Exchange (IKEv2) Protocol”, Internet−Draft, draft−ietf−ipsec−ikev2−14.txt, work in progress, 2004年11月を参照]を用いて動的に作成されてもよい。適切な認証方法は、動的にトンネルを作成するための上記方法のいずれにも関係する。
【0018】
参考のために、モバイルステーションは、異なるネットワーク(例えば、LAN)上のアクセスポイントと通信できる必要がある。したがって、APのIPアドレスとMACアドレスとの間のマッピングが解決される必要がある。2つの好ましいAP解決のためのアプローチがある。すなわち、事前に設定された解決(例えば、静的解決)と動的解決である。静的解決においては、モバイルステーションは、例えば、APからのビーコンフレームを受信する前に、近くのAPそれぞれのIPアドレス及びMACアドレスのペアのリストを得ることができる。動的解決においては、APのためのマッピングは、例えば、APからのビーコンフレーム又はこれに類するものをモバイルステーションが受信した場合に、解決することができる。
【0019】
参考のために、例えば、モバイルインターネットプロトコル(モバイルIP)においては、ホームエージェントは、モバイルノードのホームネットワーク上にある、例えばその気付アドレス(CoA)において特定されるような、例えばそのデバイスの現在の位置に関する情報を維持するルータを含むことができ、ホームエージェントは、例えば異なる位置から接続してもその都度デバイスのIPアドレスが変わらないようにするために、例えばインターネットトラフィックを転送するためのトンネリング機構を使用することができる。いくつかの場合、ホームエージェントは、移動先のネットワーク上にあるルータを含むことのできるフォーリンエージェントと協調して動作してもよい。フォーリンエージェントとホームエージェントは、(例えばインターネットエンジニアリングタスクフォース(IETF)におけるR.F.C.2002仕様書において定義された)二つのタイプの移動エージェントである.
PANA:
参考のために、「P.Jayaraman、 “PANA Framework”、Internet-Draft、draft-ietf-pana-framework-01.txt、work in progress、2004年7月」からのPANAに関する情報が本明細書の本項に組み込まれている。この点で、PANAは、ネットワークにアクセスを希望するノードとネットワーク側のサーバの間で実行するリンク層にとらわれないネットワークアクセス認証プロトコルである。PANAは、新しいEAP[B.Abobaら, “Extensible Authentication Protool(EAP)”, RFC3748, 2004年6月を参照]を定義し、下位層ではプロトコルエンドポイント間でIPを使用する。
【0020】
このようなプロトコルと要件を定義するための動機は、「Yegin,A.及びY.Ohba, Protocol for Carrying Authentication for Network Access(PANA)Requirements, draft-ietf-pana-requirements-08(work in progress), 2004年6月」に説明されている。プロトコルの詳細は、「Forsberg,D., Ohba,Y., Patil,B., Tschofenig,H.及びA.Yegin, Protocol for Carrying Authentication for Network Access(PANA), draft-ietf-pana-pana-04(work in progress)、2004年5月」に文書化されている。「Parthasarathy,M., PANA Enabling IPsec Based Access Control, draft-ietf-pana-ipsec-03(work in progress), 2004年5月」は、PANAをベースにした認証に続くアクセス制御のためのIPsecの使用を説明する。IPsecは、パケット単位のアクセス制御に使用できるが、それにも関わらずそれはこの機能性を達成する唯一の方法ではない。代替策は物理的セキュリティ及びリンク層暗号化を信頼することを含む。アクセス制御を施行しているエンティティからPANAサーバを分離することは、オプションの配備の選択肢として想定されてきた。SNMP[Mghazli,Y., Ohba,Y.及びJ.Bournelle, SNMPUsage for PAA-2-EP Interface, draft-ietf-pana-snmp-00(work in progress), 2004年4月を参照]が、別々のノードの間で関連した情報を伝搬するためのプロトコルとして選ばれた。
PANA設計は、多様なタイプの配備にサポートを提供する。アクセスネットワークは、より下位の層のセキュリティの可用性、PANAエンティティの設置、クライアントIP構成の選択、及び認証方法等に基づいて異なることがある。
【0021】
PANAは根本的なセキュリティに関わりなく任意のアクセスネットワークで使用できる。例えば、ネットワークは物理的に保護される、つまりクライアント−ネットワークの認証が成功した後に暗号機構によって保護される可能性がある。
【0022】
PANAクライアント、PANA認証エージェント、認証サーバ、及び施行ポイントはこの設計では機能上のエンティティであった。PANA認証エージェント及び施行ポイントは、アクセスネットワーク内の多様な要素(例えば、アクセスポイント、アクセスルータ、専用ホスト等)に対して設置できる。
【0023】
IPアドレス構成機構も変化する。静的構成、DHCP、ステートレスアドレス自動構成が選ぶために考えられる機構である。クライアントがパケット単位のセキュリティを可能にするためにIPsecトンネルを構成する場合、該トンネルの内部でIPアドレスを構成することに意味があるようになり、これらに対してIKE等の追加の選択肢が存在する。
【0024】
PANAプロトコルはアクセスネットワークにおけるクライアントの認証と承認を容易にすることを目的としている。PANAは、EAP[Aboba,B., Blunk,L., Vollbrecht,J., Carlson,J.及びH.Levkowetz, Extensible Authentication Protocol(EAP), 2004年6月を参照]の一つであり、下位層では、アクセスネットワークにおけるクライアントホストとエージェントとの間でEAPの内部にカプセル化されるEAP認証メソッドを搬送する。PANAはこの2つのエンティティの間で認証プロセスを可能にするが、それは全体的なAAA及びアクセス制御フレームワークの一部にすぎない。PANAを使用するAAAとアクセス制御フレームワークは、後述されるように、及び図1(A)〜図1(C)に概略で描かれている4つの機能エンティティを含む。
【0025】
第1の機能エンティティは、PANAプロトコルのクライアントのインプリメンテーションである、PANAクライアント(PaC)である。このエンティティは、ネットワークアクセスを要求しているエンドホスト上に常駐する。エンドホストは、例えば、ラップトップコンピュータ、PDA、携帯電話、デスクトップPC、及び/又は有線インタフェース又は無線インタフェースを介してネットワークに接続される類似物を含むことがある。PaCは、ネットワークアクセスを要求し、PANAプロトコルを使用して認証プロセスに従事することに関与する。
【0026】
第2の機能エンティティは、PANAプロトコルのサーバのインプリメンテーションである、PANA認証エージェント(PAA)である。PAAはネットワークアクセスサービスについてそれらを認証し、承認するためにPaCと接続することを担当する。PAAはPaCの信用証明書(クレデンシャル)及び権利を検証するために認証サーバに相談する。認証サーバがPAAと同じホストに常駐する場合は、アプリケーションプログラムインタフェース(API)がこの相互作用に十分である。それらが分離されると(パブリックアクセスネットワークではより一般的な場合)、プロトコルがこの2つの間で実行するために使用される。LDAP[Hodges,J.及びR.Morgan, Lightweight Directory Access Protocol(v3):Technical Specification, RFC3377, 2002年9月を参照]及びRADIUS[Rigney,C., Willens,S., Rubens,A.及びW.Simpson, Remote Authentication Dial In User Service(RADIUS), RFC2865, 2000年6月を参照]のようなAAAプロトコル、及びDiameter[Calhoun,P., Loughney,J., Guttman,E., Zorn,G.及びJ.Arkko, Diameter Base Protcol, 2003年9月を参照]が、この目的に一般的に使用されている。
【0027】
PAAは、認証状態の作成及び削除に応じてアクセス制御状態(つまり、フィルタ)を更新することにも関与する。PAAは更新された状態をネットワーク内の施行ポイントに通信する。PAAとEPが同じホスト上に常駐している場合、APIがこの通信にとって十分である。それ以外の場合、プロトコルはPAAからEPに承認されたクライアント属性を搬送するために使用される。他のプロトコルを禁止していないが、現在のSNMP[Mghazli,Y., Ohba,Y.及びJ.Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana-snmp-00(work in progress), 2004年4月を参照]がこのタスクに提案されていた。
【0028】
PAAは、ローカルエリアネットワークの中のネットワークアクセスサーバ(NAS)と通常呼ばれるノードに常駐する。PAAはPaCと同じIPサブネット上の任意のIPによって可能にされたノード上で動作できる。例えば、DSLネットワークのBAS(ブロードバンドアクセスサーバ)で、又は3GPP2ネットワークのPDSNで等で動作できる。
【0029】
第3の機能エンティティは、ネットワークアクセスサービスを要求しているPaCのクレデンシャルの検証を担当するサーバのインプリメンテーションである、認証サーバ(AS)である。ASはPaCの代わりにPAAから要求を受け取り、認証パラメータ(例えば、許可された帯域幅、IP構成等)とともに検証の結果をもって応答する。ASはPAAと同じホストで、アクセスネットワーク上の専用ホストで、あるいはインターネット上のどこかのセントラルサーバで動作できる可能性がある。
【0030】
第4の機能エンティティは、他者によるアクセスを妨げる一方で承認されたクライアントへのアクセスを許可することを担当するアクセス制御のインプリメンテーションである、施行ポイント(EP)である。EPはPAAから承認されたクライアントの属性を学習する。EPは、非暗号フィルタ又は暗号フィルタを使用して選択的にデータパケットを許可し、廃棄する。これらのフィルタはリンク層又はIP層で適用されてよい。暗号アクセス制御を使用する場合、セキュアアソシエーションプロトコルがPaCとEPの間で実行する必要がある。セキュアアソシエーションプロトコルが完全性保護、データ発信元認証、再生保護及び任意に機密性保護を可能にするために必要なセキュリティアソシエーション(security association)を確立した後、リンク又はネットワーク層保護(例えば、TKIP、IPsec ESP)が使用される。EPは、承認されていないクライアントのネットワークへのアクセスを最小限に抑えるためにローカルエリアネットワーク内に戦略的に配置されなければならない。例えば、EPは、有線ネットワーク内のクライアントに直接的に接続されているスイッチ上で動作できる。そのようにして、EPは、それらが他のクライアントホストに到達する前に、又はローカルエリアネットワークを越える前に承認されていないパケットを削除できる。
【0031】
エンティティのいくつかは、配備シナリオに応じて同一位置に配置されてよい。例えば、PAAとEPは、DSLネットワーク内の同じノード(BAS)上にある可能性がある。その場合、PAAとEPの間では単一APIで十分である。小企業の配備ではPAAとASは、この2つの間で実行されるプロトコルに対する必要性を排除する同じノード(例えば、アクセスルータ)の上で動作してよい。これらのエンティティを同一位置に配置するかそうしないかの決定、及びネットワークトポロジーの中のそれらの正確な位置が、配備の決定である。
【0032】
セキュアアソシエーションのためのIKE又は4ウェイハンドシェイクプロトコルの使用は、PANAを実行する前に任意の下位層セキュリティがない場合にだけ必要とされていた。(例えば、DSL等の)物理的に保護されたネットワーク又はPANAの前にリンク層ですでに暗号により保護されているネットワーク(例えば、cdma2000)は、追加のセキュアアソシエーション及びパケット単位の暗号化を必要としない。これらのネットワークはPANAの認証と承認を、すでに使用できる下位層の安全なチャネルに結び付けることができる。
【0033】
アクセスネットワーク上のEPが任意の承認されたPaCからの一般的なデータトラフィックを可能にするのに対し、それは承認されていないPaCのための限られたタイプのトラフィック(例えば、PANA、DHCP、ルータ発見)だけを可能にする。これにより、新規に接続されたクライアントがPANAに従事するための最小のアクセスサービスを有し、無制限のサービスに対して承認されることが確実になる。
【0034】
PaCはPANAを実行する前にIPアドレスを構成する必要がある。PANA認証が成功した後、配備シナリオに応じて、PaCはそのIPアドレスを構成し直す、又は追加のIPアドレス(複数の場合がある)を構成する必要がある場合がある。追加のアドレス構成は、セキュアアソシエーションプロトコル実行の一部として実行されてよい。
【0035】
最初に承認されていないPaCは、アクセスネットワーク上でPAAを発見し、後にPANA上でのEAPの交換が続くことによってPANA認証を開始する。PAAはこのプロセスの間にASと相互に作用する。認証及び承認の結果をASから受信すると、PAAはPaCにそのネットワークアクセス要求の結果について知らせる。
【0036】
PaCがネットワークにアクセスすることを承認されている場合、PAAはSNMPを使用することによりEPにPaC特有の属性(例えば、IPアドレス、暗号キー等)も送信する。EPはPaCから及びPaCへのデータトラフィックが通過できるようにするためにそのフィルタを改変するためにこの情報を使用する。
【0037】
PANA認証後に暗号アクセス制御が可能にされる必要がある場合、セキュアアソシエーションプロトコルがPaCとEPの間で実行する。PaCはPANA交換が成功した結果としてすでにこのプロセスに対する入力パラメータを持っているはずである。同様に、EPはSNMPを介してPAAからそれらを取得するはずである。セキュアアソシエーション交換により、PaCとEPとの間に必要とされるセキュリティアソシエーションが生じ、暗号データトラフィック保護が可能になる。パケット単位の暗号データトラフィック保護が追加のパケット単位のオーバヘッドを導入するが、オーバヘッドはPaCとEPの間だけに存在し、EPを超えて通信に影響を及ぼさないであろう。この意味で、ネットワークの端の可能な限り近くにEPを配置することが重要である。
【0038】
最後に、データトラフィックが新規に承認されたPaCから及びPaCに流れ始めることができる。
【0039】
IPsecのブートストラッピングによるPANA
「P.Jayaraman, “PANA Framework”, Internet−Draft, draft−ietf−pana−framework−01.txt, work in progress, 2004年7月」にて議論されているように、このモデルにおいて、データトラフィックは、IPsecトンネルモードのSAを用いることによって保護され、IPアドレスは、PaCのデバイス識別子として使用される。APのいくつか又は全て、DHCPv4サーバ(PRPAのDHCPv4サーバ及びIPsec−TIAのDHCPv4サーバを含む)、DHCPv6サーバ、PAA及びEPは、単一の機器に配置されてもよい。EPは、AR(アクセスルータ)と同一位置に配置される。また、EPは、PAAと同一位置に配置されてもよい。EP及びPAAが同一位置に配置されない場合、PAA−EPプロトコルは、PAAとEPとの間の通信のために使用される。
【0040】
PANAデバイス識別子
参考のために、現在のPANAの仕様書(http://www.ietf.org/internet−drafst/draft−ietf−pana−pana−10.txt)において、“デバイス識別子”(DI)は、デバイスのネットワークアクセスを制御し及び取り締まるためのハンドルとしてネットワークにより使用される識別子として定義されている。アクセス技術に応じて、この識別子は、プロトコルヘッダにより伝送されるアドレス(例えば、IP層又はリンク層のアドレス)、又は接続された機器のローカルプロトコルスタックにより利用できるように作成された、ローカルに重要な識別子(例えば、回路ID、PPPインタフェースID)を含んでもよい。
【0041】
PANA移動操作
PANA移動操作(PANA Mobility Operations)というタイトルのPANAワーキンググループのドキュメント(draft−ietf−pana−mobopts−00.txt 1で見つけられる)の全開示は参照してここに組み込まれる。このドキュメントは、PANAを用いたPANA認証クライアント(PaC)は、サブネット間(例えば、PAA間)移動においてEAP/PANAを完全に実行することが要求されることを説明し、及びシームレスな移動が要求される場合に、AAAサーバによる完全なEAP認証を実行する必要のあることが、望ましくないレイテンシを引き起こすであろうことを説明する。それゆえに、PaCがPAA間のハンドオーバーを遂行する毎にEAPを実行する必要を除去するために、このドキュメントのアウトラインは、ベースのPANAの仕様書を拡張する。このスキームは、実在している他のPAAとのセッションに基づく新たなPAAとの新たなPANAセッションの作成を許容する。このドキュメントは、新たなPANAセッションの生成は、EAPベースの認証の実行を要求しないが、その代わりに、前のPAAから新たなPAAへ適切な状態情報を届けるために、コンテキスト転送ベースのスキームが使用される。参考のために、移動性を最適化したPANAの実行を描写したコールフローは、前記ドキュメントに示されている。前記ドキュメントは、次のフローを説明している。すなわち、PaCが既に承認されサブネット1に接続され、ここに前PAAが存在し、そして、PaCがサブネット1からサブネット2へのハンドオーバーを遂行し、そして、PANAディスカバリーとハンドシェイクのフェイズが実行され、そして、PSAに含まれるパラメータに応答して、PANAセッションのコンテキストが前PAAから新PAAへ転送され、最後に、PANAバインドが、PANA認証の成功の信号を交換する。EAP認証は発生しない。結果として、モバイルPaCのネットワークアクセス認証の遂行は、コンテキスト転送ベースの機構を配置することによって、強化することができ、ここで、いくつかのセッション属性は、完全なEAP認証を遂行することを避けるために、前PAAから新PAAへ転送される。
【発明の開示】
【発明が解決しようとする課題】
【0042】
本発明は、前記及び/又は他の背景技術及び/又はその中の課題を改良する。
【課題を解決するための手段】
【0043】
本発明の好ましい実施形態は、前記現存する技術に見られる欠点を克服する。
【0044】
いくつかの実施形態に従って、モバイル機器のための動的かつ安全なトンネル確立方法は、コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含んで提供される。
【0045】
いくつかの例において、前記方法は、同一のIPリンク上に存在しないクライアントと認証エージェントとの間でプロトコルが動作することを許容するために、該クライアント又は認証エージェントのIPアドレスだけでなく、該クライアント又は認証エージェントから送信されたメッセージのソースポート番号も、該クライアント又は認証エージェントのデバイス識別子として使用されることを更に含む。
【0046】
いくつかの例において、前記方法は、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンクには存在しないPANAクライアントに動的に割り当てることを含む。
【0047】
いくつかの例において、前記方法は、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のクライアントを識別できるように、前記クライアントのIPアドレス及び該記クライアントから送信された認証メッセージのUDPソースポート番号を、該クライアントのデバイス識別子として使用することを更に含む。
【0048】
いくつかの例において、前記方法は、同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、前記PANAクライアント又はPANA認証エージェントのIPアドレスだけでなく、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のPANAクライアントを識別できるように該PANAクライアント又はPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号も、該PANAクライアント又はPANA認証エージェントのデバイス識別子として使用されることを更に含む。
【0049】
いくつかの例において、前記方法は、クライアントは、認証セッションを開始させる最初のディスカバーメッセージ及びこれに続く認証メッセージを、UDP宛先ポートとして認証プロトコルのために割り当てられたUDPポート番号を指定して、前記認証エージェントに送信し、該認証エージェントは、認証メッセージを、UDP宛先ポートとして前記最初のディスカバーメッセージのUDPソースポートを指定して、該クライアントへ送信することを更に含む。
【0050】
いくつかの例において、前記方法は、PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANA認証メッセージを、UDP宛先ポートとしてPANAのために割り当てられたUDPポート番号を指定して、前記PANA認証エージェントに送信することによってPANAセッションを開始し、該PANA認証エージェントは、PANA−Start−Request及びこれに続くPANA認証メッセージを、UDP宛先ポートとして前記PDIのUDPソースポートを指定して、該PANAクライアントへ送信することを更に含む。
【0051】
いくつかの例において、前記方法は、ネットワークアドレスルータがクライアントと認証エージェントとの間に存在する場合に、前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む。いくつかの例において、前記方法は、前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止するように、ピアライブネステストのために定義されたPANAメッセージ変換を遂行することを更に含む。
【0052】
いくつかの例において、前記方法は、同一のIPリンク上に存在しない認証エージェントとのセッションを確立したクライアントが、それが新たなIPリンクに移動することを知っている場合に、移動ハンドリング手順を行うことを更に含む。
【0053】
多様な実施形態の前記の及び/又は他の態様、特長及び/又は利点は、添付図面に関連して以下の説明を鑑みるとさらに理解されるであろう。多様な実施形態は、当てはまる場合、様々な態様、特長、及び/又は利点を含む、及び/又は除くことができる。加えて、多様な実施形態は、当てはまる場合、他の実施形態の1つ又は複数の態様又は特長を組み合わせることができる。特定の実施形態の態様、特長、及び/又は利点の説明は、他の実施形態又は請求項を制限するとして解釈されてはならない。
【発明を実施するための最良の形態】
【0054】
本発明の好ましい実施形態は、制限ではなく一例として添付図に示されている。
【0055】
本発明は多くの異なる形式で具現化されてよいが、多くの例示的な実施形態は、本開示が本発明の原則の例を提供すると見なされるべきである旨、及びこのような例が、本明細書に説明されている、及び/又は本明細書に描かれている好ましい実施形態に本発明を制限することを目的としていない旨を理解した上で本明細書に説明されている。
【0056】
現存する方法に関する問題点:
動的にトンネルを確立するための現存する方法は、例えば以下に示すような様々な問題を有する。
【0057】
・モバイルIPv4及びモバイルIPv6のようなIP移動性管理プロトコルは、動的にトンネルを確立するために、必ずしも常に必要ではない。
【0058】
・モバイルIPv4及びIKEv1は、多数の認証メソッドがサポートされているEAP(Extensible Authentication Protocol)[RFC3748参照]をサポートしない。EAPの最近の激増を考慮すると、EAP認証を含む安全なトンネル確立方法が必要である。
【0059】
・現存する方法は、トンネルのエンドポイントを、他のエンドポイントへ(例えば、新たなエンドポイントへ)、該他のエンドポイントの認証結果に応じて、動的に割り当てることをサポートしない。
【0060】
・IKEv2はEAP認証をサポートするが、IKEv2シグナリング及びAP認証は、とても固く連結されているので、IKE_SA(IKE Security Association)が確立された場合、EAP再認証が遂行される必要があり、これは、一つのエンドポイントから異なる複数のエンドポイントへ複数のトンネルが確立された場合に、能率が悪い。PANA(Protocol for Carrying Authentication for Network Access)フレームワーク[P.Jayaraman, “PANA Framework”, Internet−Draft, draft−ietf−pana−framework−01.txt, work in progress, 2004月を参照]は、PANAクライアントが、異なるIPsecゲートウェイにより、複数のIPsecトンネルモードのSAを確立することを許容する。しかしながら、現在のPANAフレームワークは、PANAクライアントがPANA認証エージェントから1より多いIPホップだけ離れているケースを、完全にはサポートしない。この点で、一つのIPホップは、ネットワークにおいてデータパケットが一つのルータ又は中間のポイントから他のルータ又は中間のポイントへ進むという移動に関連し、“ホップカウント”は、パケットがその宛先へ向けて取るホップ数である。
【0061】
総論:
図1(A)、図1(B)、図1(C)及び図2は、本発明のいくつかの実施形態で採用されてもよい、いくつかの例示的なアーキテクチャー要素を描いている。この点で、図1(A)は、PANAを用いたいくつかの例示的な実施に従って4つの基本的な機能要素、すなわち、PANAクライアント(PaC)、PANA認証エージェント(PAA)、認証サーバ(AS)及び施行ポイント(EP)を例示する概略図である。図1(B)は、いくつかの例示的な実施に従って第1のアクセスポイント(AP)及び第2のアクセスポイント(AP)と通信するモバイルクライアントを描いた概略図である。図1(C)は、いくつかの例示的な実施に従って採用されてもよいオーセンティケータ及びクライアントの機能要素を例示する概略図であり、ここで、オーセンティケータは、とりわけEAPサーバ及びPANAサーバ(PAA)の機能を含み、一方、クライアントは、とりわけEAPクライアント及びPANAクライアント(PaC)の機能を含む。図2は、IPsecトンネリングによって、同時に複数のVPNを確立するような方法で、第1のアクセスルータ(pAR)及び第2のアクセスルータ(nAR)と通信するモバイルクライアントを描いた概略図である。
【0062】
好ましい実施形態は、PANA認証に含まれるEAPにより、動的かつ安全にトンネルを確立するための方法を提供することができる、提案された解決策を提供する。好ましい実施形態において、提案された解決策は、PANAプロトコル[D.Forsbergら, Protocol for Carrying Authentication for Network Access(PANA), Internet−Draft, draft−ietf−pana−pana−05.txt, work in progress, 2004年7月を参照]を、PANA認証エージェントと同一のIPリンク上に位置することが必要ないPANAクライアントへ、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを動的に割り当てることができるようなプロトコルに拡張して使用する。PANAプロトコルに対する次の拡張が、この提案において定義される。
【0063】
好ましい実施形態において、同一のIPリンク上に位置しないPANAクライアント(PaC)とPANA認証エージェント(PAA)との間でPANAプロトコルを動作することを許容するために、例えば同一のネットワークアドレス変換(NAT)ルータ又はこれに類するものの背後にさえ存在するであろう複数のPANAクライアントを識別できるように、PaCからPAAへ送信されるメッセージについては、好ましくは、PANAクライアントのIPアドレスだけでなく、PANAクライアントから送信されるPANAメッセージのUDP(User Datagram Protocol)ソースポート番号も、PANAクライアントのデバイス識別子として使用される(及び、PAAからPaCへ逆方向に送信されるメッセージについては、好ましくは、PAAのIPアドレスだけでなく、PANA認証エージェントから送信されるPANAメッセージのUDPソースポート番号も、PANAのデバイス識別子として使用される)。PANAは、そのトランスポートレイヤプロトコルとしてUDPを使用することに注意する。また、NATは、一般的に、パブリックネットワーク(例えば、インターネット)とプライベートネットワーク(例えば、ローカルエリアネットワーク)との間のエージェントとして動作するルータのような単一デバイスを含むこと、及び、例えば、単一固有のIPアドレスが、そのプライベートネットワークの外側にあるエンティティに対するコンピュータ又はデバイスのグループを表すことを可能にすることに注意する。NATルータは、本質的に、前記プライベートネットワークへ入って行く及びそこから出て行くトラフィックを変換する。
【0064】
好ましい実施形態において、NATの環境下で動作するPANAを作るために、PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くすべてのPANAメッセージを、UDP宛先ポートとしてPANAに割り当てられたUDPポート番号を指定して、PANA認証エージェントへ送信することによって、常に、PANAセッションの開始者になることができ(注意(NB):好ましい実施形態において、このUDPポート番号は、予め割り当てられたポート番号であろう)、及び、PANA認証エージェントは、PANA−Start−Request及びこれに続くすべてのPANAメッセージを、該メッセージのUDP宛先ポートとしてPDIのUDPソースポート番号を指定して、PANAクライアントへ送信することができる(注意(NB):好ましい実施形態において、このUDPポート番号は、NATによって割り当てられるであろう)。参考のために、PANA−PAA−Discover(PDI)メッセージは、PaCによりPAAへ送信され、PAAのアドレスを発見するために使用され、一方、PANA−Start−Request(PSR)は、PAAによりPaCへ送信されることに注意する。
【0065】
また、参考のために、PANA−Bind−Request及びPANA−Bind−Answerメッセージの交換は、PaC及びEPのデバイス識別子と、PANA SAに対するPAAのIPアドレスとのバインドのために用いられてきた。IPsecベースのセキュリティがアクセス制御の選択であったときは、PAAは、EPのデバイスIDとしてIPアドレスを提供したであろうし、また、PaCが代わりにIPアドレスを提供することを予期したであろう。しかしながら、例えば、デバイス識別子の一部としてソースポート番号を更に含むことによって、前述のように、十分な利点が得られる。
【0066】
前述のように、現在のPANAの仕様書における“デバイス識別子”の定義(http://www.ietf.org/internet−drafst/draft−ietf−pana−pana−10.txt)は、デバイス識別子の内部で使用されるUDPポート番号を収容しない定義を意味する。言い換えると、好ましい実施形態において、デバイス識別子の現在の定義は、前述のような方法においてUDPポート番号を含むように再定義される。好ましい実施形態において、デバイス識別子は、そのように、複数のクライアント又は認証エージェントを識別できる能力を含むように再定義される。よって、好ましい実施形態において、デバイス識別子は、複数のクライアント又は認証エージェントを識別できるように、該クライアント又は該認証エージェントの“識別ID(distinguishment identifier)”としても作用する。
【0067】
図3は、本発明のいくつかの好ましい実施形態に従っていくつかの特徴を描くのを助ける概略的なダイアグラムである。
【0068】
この点で、110に示されるように、好ましい実施形態は、有益に“PANAクライアントのIPアドレス及びPANAクライアントから送信されたPANAメッセージのUDPソースポート番号をデバイス識別子として使用する”。加えて、115に示されるように、好ましくは、“PANAクライアントは、PANA−PAA−Discover(PDI)と、これに続く全てのメッセージを、UDP宛先ポートとしてPANAに割り当てられたUDPポート番号を指定して、PANA認証エージェントへ送信することによって、PANAセッションの開始者になる”。
【0069】
更に、120に示されるように、好ましい実施形態は、有益に“PANA認証エージェントのIPアドレス及びPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号をデバイス識別子として使用する”。加えて、125に示されるように、好ましくは、“PANA認証エージェントは、PANA−Start−Requestと、これに続く全てのメッセージを、該メッセージのUDP宛先ポートとして前記PDIのUDPソースポート番号を指定して、前記PANAクライアントへ送信する”。
【0070】
そこで、130に示されるように、好ましい実施形態は、それによって、“NAT(ネットワークアドレス変換)ルータの背後に存在するであろう複数のPANAクライアントの識別”を可能にする。
【0071】
さらに、140に示されるように、好ましい実施形態は、それによって、”一つのエンドポイントから異なる複数のエンドポイントへの複数のトンネルの確立(例えば、異なるIPsecゲートウェイとの複数のIPsecトンネルモードのSAの確立)”を可能にする。
【0072】
さて、図4を参照すると、この図は、本発明のいくつかの例示的な実施形態に従ってメッセージフローを例示するダイアグラムである。特に、図4は、NATを通したPaCとPAAとの間のメッセージフローを、図4に示されるように、PANA−PAA−Discoverメッセージで始まり、複数のIPsecゲートウェイのためのIPsecトンネルの確立まで描いている。
【0073】
さて、図5を参照すると、この図は、本発明のいくつかの例示的な実施形態に従ってクライアント(PaC)と認証エージェント(PAA)との間のメッセージの転送におけるメッセージ情報を例示するダイアグラムである。特に、示されるように、PaCからPAAへのメッセージについては、最初に、ソースIPアドレスは、NAT通過前については、PaCのアドレスであり、NAT通過後については、NATのアドレスである。加えて、宛先IPアドレスは、最初のPANA−PAA−Discoverメッセージについては、マルチキャストアドレスであり、後の全てのメッセージについては、PAAのIPアドレスである。加えて、ソースポートは、示されるように、NAT通過前については、(一例として)P1であり、NAT通過後については、(一例として)P2である。そして、宛先ポートは、PANAポートである。
【0074】
他方、PAAからPaCへの逆方向のメッセージについては、ソースIPアドレスは、PAAのIPアドレスである。加えて、宛先IPアドレスは、NAT通過前については、NATのアドレスであり、NAT通過後については、PaCのアドレスである。加えて、ソースポートは、PANAポートである。そして、宛先ポートは、示されるように、NAT通過前については、P2であり、NAT通過後については、P1である。
【0075】
トンネルのエンドポイントの割り当て:
好ましい実施形態は、動的にトンネルを確立するために、PANAの仕様書で既に定義されているメソッドを使用することができる。すなわち、IPsecトンネルモードは、トンネリングメソッドとして使用することができ、1以上のトンネルのエンドポイントは、PANA−Bind−Requestメッセージにおいて運ばれるEP−Device−Id AVP(属性値ペア)を通したPANAシグナリングにおいて特定することができる。提案されたスキームは、好ましくは、IPsecトンネルモードを使用する。なぜならば、それは、安全なトンネルを提供し、また、NATの環境下においてさえ動作するからである。IPsecトンネルは、好ましくは、IKEv1又はIKEv2を用いて確立される。ここで、要求されたIKEクレデンシャルは、[M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet−Draft, draft−ietf−pana−ipsec−03.txt, 2004年5月]で詳述された方法を用いることによって、PANAからブートストラップされる。
【0076】
NAT状態の保持:
いくつかの場合、NATルータは、あるNAT状態を維持される。例として、NATルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、NATがそのアドレス変換状態を消去することを阻止するようにするために、ピアライブネステストのために定義されたPANAメッセージ交換(例えば、PANA−Reauth−Request/Answer)が、ある頻度(例えば、ある時間間隔で)遂行されることができる。
【0077】
移動ハンドリング:
いくつかの例では、PaCは、あるPAAからもう一つのPAAへ移動するモバイルPaCであってもよい。いくつかの実施形態では、PANAクライアントが、同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立した場合、それが新たなIPリンクへ移動することを知っていれば、同一のPANA移動ハンドリング手順を遂行することができる。
【0078】
この点で、ある現存するPANA移動ハンドリング手順は、PANAワーキンググループの次のドキュメント、(1)PANA Mobility Operations found at draft−ietf−pana−mobopts−00.txt及び(2)Preauthentication Support For PANA by Y.Ohba(http://www.ietf.org/internet−drafts/draft−bournelle−pana−ctp−03.txtで見つけられる)、において見つけることができる。これらドキュメントは、コンテント転送プロトコル(CTP)に基づく移動性最適化メソッドを記述している。上記ドキュメント(1)は、CTPのためのPANAプロトコルの拡張を記述し、(2)は、PANAへのCTPの拡張を記述する。ドキュメント(1)及び(2)の全開示は、参照してここに組み込まれる。更なる参考のために、次の米国仮特許出願の全開示も、参照してここに組み込まれる。(1)2005年6月13日出願のY.Ohbaの米国特許出願第60/595,169号明細書(発明の名称“Framework of Media Independent Pre-Authentication Support for PANA”)及び(2)2005年2月4日出願の米国特許出願第60/649,554号明細書(発明の名称“Framework of Media Independent Pre-Authentication filed”)
本発明の幅広い範囲:
本発明の例示的な実施形態を本明細書に説明してきたが、本開示に基づいて当業者により理解されるように、本発明は本明細書に説明されている多様な好ましい実施形態に限定されるのではなく、同等な要素、変型、省略、(例えば、多様な実施形態全体での態様の)組み合わせ、適応、及び/又は改変を有するあらゆるすべての実施形態を含む。(例えば、後に加えられるものを含む)請求項における制限は請求項で利用される言語に基づいて幅広く解釈されるべきであり、本明細書に、あるいは出願の手続き追行の間に説明される例に限定されず、その例は包括的と解釈されるべきである。例えば、本開示では、用語「好ましくは」は包括的であり、「好ましいが、限定されない」を意味する。本開示では、及び本開示の手続き追行中、手段プラス機能(means-plus-function)又はステッププラス機能(step-plus-function)の制限は、特定の請求項の制限について、以下の条件のすべてがその制限内に存在する場合にだけ利用される。つまりa)「のための手段」又は「のためのステップ」は、明示的に列挙され、b)対応する機能は明示的に列挙され、及びc)その構造をサポートする構造、材料又は行為が列挙される。本開示において、及び本出願の手続き追行中、用語「本発明」又は「発明」は、本開示の中で1つ又は複数の態様に対する参照として使用されてよい。言語本発明又は発明は、臨界の識別として理解されてはならず、すべての態様又は実施形態全体で当てはまると不適切に解釈されてはならず(つまり、本発明は多数の態様と実施形態を有することが理解されるべきである)、出願つまり請求項の範囲を制限すると不適切に解釈されてはならない。本開示では、及び本願の手続き追行の間、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、その組み合わせ、及び/又はその任意の部分等を説明するために使用できる。いくつかの例では、多様な実施形態は重複する特長を含むことがある。本開示では、以下の省略された用語、つまり「例えば」を意味する「e.g.」が利用されてよい。
【図面の簡単な説明】
【0079】
【図1(A)】いくつかの例示的な実施に従ってオーセンティケータ及びクライアントの機能要素を例示する概略図である。
【図1(B)】PANAを用いたいくつかの例示的な実施に従って基本的な機能要素を例示する概略図である。
【図1(C)】いくつかの例示的な実施に従って第1のアクセスポイント(AP)及び第2のアクセスポイント(AP)と通信するモバイルクライアントを描いた概略図である。
【図2】IPsecトンネリングによって、同時に複数のVPNを確立するような方法で、第1のアクセスルータ(pAR)及び第2のアクセスルータ(nAR)と通信するモバイルクライアントを描いた概略図である。
【図3】本発明のいくつかの好ましい実施形態に従っていくつかの特徴を描くのを助ける概略的なダイアグラムである。
【図4】本発明のいくつかの例示的な実施形態に従ってメッセージフロー例を例示するダイアグラムである。
【図5】本発明のいくつかの例示的な実施形態に従ってクライアント(PaC)と認証エージェント(PAA)との間のメッセージの転送におけるメッセージヘッダ情報の例を例示するダイアグラムである。
【技術分野】
【0001】
本願は、とりわけ、コンピュータネットワークにおける動的かつ安全なトンネル確立方法に関する。
【背景技術】
【0002】
本出願は、2004年8月17日に提出された仮出願第60/601,980号(発明の名称“動的かつ安全なトンネル確立方法(A METHOD FOR DYNAMICALLY AND SECURELY ESTABLISHING A TUNNEL)”)に対して優先権を主張している。
【0003】
本願は、とりわけ、コンピュータネットワークにおける動的かつ安全なトンネル確立方法に関する。下記に示す現在の譲受人の同時継続特許出願それぞれの全開示は、背景技術のために参照してここに組み込まれる。1)2004年1月22日に提出された米国特許出願第10/761,243号(発明の名称“事前認証、事前コンフィグレーション及び/又は仮想ソフトハンドオフを用いた移動性アーキテクチャー(Mobility Architecture Using Pre-Authentication, Pre-Configuration And/Or Virtual Soft-Handoff)”と、2)2004年10月29日に提出された米国特許出願第10/908,199号(発明の名称“隔離ネットワーキング(Quarantine Networking)”と、3)2004年10月29日に提出された米国特許出願第10/975,497号(発明の名称“動的ホストコンフィグレーション及びネットワークアクセス認証(Dynamic Host Configuration And Network Access Authentication)”
ネットワークとインターネットプロトコル:
最も有名なインターネットとともに多様な種類のコンピュータネットワークがある。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは何百万ものユーザが使用できる公開された自立したネットワークである。インターネットはTCP/IP(つまり伝送制御プロトコル/インターネットプロトコル)と呼ばれている一式の通信プロトコルを使用して、ホストを接続する。インターネットはインターネットバックボーンとして公知の通信インフラストラクチャを有する。インターネットバックボーンに対するアクセスは、主として企業及び個人のアクセスをリセールするインターネットサービスプロバイダ(ISP)によって制御されている。
【0004】
IP(インターネットプロトコル)に関して、これは、あるデバイス(例えば、電話、PDA[パーソナルデジタルアシスタント]、コンピュータ等)からネットワーク上の別のデバイスにデータを送信できるプロトコルである。今日では、IPv4、IPv6等を含む種々のバージョンのIPがある。ネットワーク上の各ホストデバイスは、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
【0005】
IPはコネクションレスプロトコルである。通信中のエンドポイント間の接続は連続ではない。ユーザがデータ又はメッセージを送信又は受信すると、このデータ又はメッセージはパケットとして知られているコンポーネントに分割される。あらゆるパケットはデータの独立した単位として取り扱われる。
【0006】
インターネット又は類似するネットワーク上でポイント間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワークの中の2つのポイントの間の通信プロセスを7つの積み重ねられた層に切り離し、それぞれの層が独自の機能のセットを追加する。各デバイスは、送信側エンドポイントにある各層を通る下降流と、受信側エンドポイントにある層を通る上昇流が存在するようにメッセージを処理する。機能の7つの層を提供するプログラミング及び/又はハードウェアは、通常は、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポートプロトコル及びネットワークプロトコル、ならびに他のソフトウェアとハードウェアの組み合わせである。
【0007】
通常、メッセージがユーザから又はユーザに渡されるときには上部4つの層が使用され、メッセージがデバイス(例えばIPホストデバイス)を通過するときには下部の3つの層が使用される。IPホストは、サーバ、ルータ、又はワークステーション等の、IPパケットを送信及び受信できるネットワーク上の任意のデバイスである。なんらかの他のホストに向けられるメッセージは上位層まで渡されないが、他のホストに転送される。OSIモデルの層は以下に一覧表示される。第7層(つまり、アプリケーション層)は、例えば通信パートナーが特定され、サービスの質が特定され、ユーザ認証とプライバシーが考慮され、データ構文に対する制約が特定される等の層である。第6層(つまり、プレゼンテーション層)は、例えば入信データと発信データをあるプレゼンテーションフォーマットから別のプレゼンテーションフォーマットに変換する等の層である。第5層(つまり、セッション層)は、例えばアプリケーション間の会話、交換及びダイアログをセットアップし、調整し、終了する等の層である。第4層(つまり、トランスポート層)は、例えばエンドツーエンド制御及びエラーチェックを管理する等の層である。第3層(つまり、ネットワーク層)は、例えばルーティングと転送を処理する等の層である。第2層(つまり、データリンク層)は、例えば物理レベルに同期を提供し、ビットスタッフィングを行い、伝送プロトコルの知識と管理を提供する等の層である。電気電子技術者協会(IEEE)は、データリンク層を2つの追加の副層、つまり物理層への及び物理層からのデータ転送を制御するMAC(媒体アクセス制御)層と、ネットワーク層と接続し、コマンドを解釈し、エラー回復を実行するLLC(論理リンク制御)層に再分割する。第1層(つまり、物理層)は、物理レベルでネットワークを通してビットストリームを伝達する等の層である。IEEEは、物理層をPLCP(物理層収束手順)副層と、PMD(物理媒体依存)副層に再分割する。
【0008】
無線ネットワーク:
無線ネットワークは、例えばセルラー電話と無線電話、PC(パソコン)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレスフォン、ページャ、ヘッドホン、プリンタ、PDA等の種々のタイプのモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するためにデジタルシステムを含んでよい。典型的なモバイル機器は、以下の構成要素のいくつか又はすべてを含む。つまり、トランシーバ(つまり、例えば送信機、受信機、及び所望される場合他の機能が統合されたシングルチップトランシーバ等を含む送信機と受信機)、アンテナ、プロセッサ、1台又は複数台の音声トランスデューサ(例えば、音声通信用のデバイスにおいてのようなスピーカ又はマイク)、(例えば、ROM、RAM、データ処理が提供されるデバイスにおいてのようなデジタルデータ記憶装置等の)電磁データ記憶装置、メモリ、フラッシュメモリ、フルチップセット又は集積回路、(例えばUSB、CODEC、UART、PCM等の)インタフェース、及び/又は類似物である。
【0009】
携帯電話利用者が無線接続を通してローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)は、無線通信のために利用されてよい。無線通信は、例えば、光、赤外線、無線、マイクロ波等の電磁波を介して伝搬する通信を含むことができる。ブルートゥース(登録商標)、IEEE802.11、及びHomeRF等、現在存在する種々のWLAN規格がある。
【0010】
一例として、ブルートゥース製品は、モバイルコンピュータ、携帯電話、ポータブル携帯端末、パーソナルデジタルアシスタント(PDA)及び他のモバイル機器の間にリンクを、インターネットに接続性を提供するために使用されてよい。ブルートゥースは、モバイル機器が短距離無線接続を使用して互いに、及び非モバイル機器とどのように容易に相互接続できるのかを詳説するコンピュータ電気通信業界の仕様である。ブルートゥースは、ある装置から別の装置でデータを同期及び一貫させる必要がある多様なモバイル機器の拡散から生じるエンドユーザ問題に対処するためにデジタル無線プロトコルを作成し、それにより様々なベンダの装置がともにシームレスに動作できるようにする。ブルートゥースデバイスは共通の命名概念に従って名前が付けられてよい。例えば、ブルートゥースデバイスはブルートゥースデバイス名(BDN)又は一意のブルートゥースデバイスアドレス(BDA)と関連付けられた名称を持つことができる。また、ブルートゥースデバイスは、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥースデバイスがIPネットワーク上で機能する場合、それにはIPアドレスとIP(ネットワーク)名が与えられてよい。したがって、IPネットワーク上で参加するように構成されたブルートゥースデバイスは、例えばBDN、BDA、IPアドレス、及びIP名を含んでよい。用語「IP名」はインタフェースのIPアドレスに対応する名称を指す。
【0011】
IEE規格であるIEEE802.11は、無線LANとデバイスのための技術を規定する。802.11を使用して、複数のデバイスをサポートしているそれぞれ単一の基地局との無線ネットワーキングが達成されてよい。いくつかの例では、デバイスは無線ハードウェアを事前に装備して納品されてよい、又はユーザがアンテナを含んでよいカード等の別個のハードウェアをインストールしてよい。一例として、802.11で使用されるデバイスは、通常、デバイスがアクセスポイント(AP)であるのか、移動局(STA)であるのか、ブリッジであるのか、PCMCIAカードであるのか、又は別のデバイス、つまり無線トランシーバ、アンテナ及びネットワーク内のポイントの間のパケットの流れを制御するMAC(媒体アクセス制御)層であるのかに関係なく3つの注目すべき要素を含む。
【0012】
更に、いくつかの無線ネットワークではマルチプルインタフェースデバイス(MIDs)が活用されることがある。MIDはブルートゥースインタフェースと802.11インタフェース等の2つの独立したネットワークインタフェースを含んでよく、このようにしてMIDはブルートゥースデバイスと接続するだけではなく2つの別々のネットワークで参加することもできるようになる。MIDはIPアドレスと、このIPアドレスと関連付けられた共通IP(ネットワーク)名を有してよい。
【0013】
無線ネットワークデバイスは、ブルートゥースデバイス、マルチプルインタフェースデバイス(MID)、802.11xデバイス(例えば802.11a、802.11b及び802.11gのデバイスを含むIEEE 802.11デバイス)、HomeRF(ホーム無線周波数)デバイス、Wi−Fi(ワイヤレスフィディリティー)デバイス、GPRS(ジェネラルパケットラジオサービス)デバイス、3Gセルラーデバイス、2.5Gセルラーデバイス、GSM(グローバルシステムフォーモバイルコミュニケーションズ)デバイス、EDGE(Enhanced Data for GSM Evolution)デバイス、TDMAタイプ(時分割多元接続)デバイス、又はCDMA2000を含むCDMAタイプ(符号分割多元接続)デバイスを含んでよいが、これらに限定されない。それぞれのネットワークデバイスは、IPアドレス、ブルートゥースデバイスアドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、又はIEEE MACアドレスを含むが、これらに限定されない様々なタイプのアドレスを含んでよい。
【0014】
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムにおいて、PCSシステムにおいて、及び他の携帯電話ネットワークシステムにおいて見られる方法及びプロトコルも含むことがある。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)により作成された標準通信プロトコルを含む。モバイルIPを使用すると、モバイル機器ユーザは、一度割り当てられた自分のIPアドレスを維持しながらネットワーク全体で移動することができる。リクエストフォーコメント(RFC)3344を参照されたい。注意:RFCはインターネットエンジニアリングタスクフォース(IETF)の公式文書である。モバイルIPはインターネットプロトコル(IP)を強化し、自らのホームネットワークの外部で接続するときにインターネットトラフィックをモバイル機器に転送する手段を追加する。モバイルIPは、各モバイルノードに、そのホームネットワークでのホームアドレスと、ネットワーク及びそのサブネットの中でのデバイスの現在位置を特定する気付アドレス(CoA)とを割り当てる。デバイスは別のネットワークに移動すると、それは新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは各ホームアドレスをその気付アドレスと関連付けることができる。モバイルノードは、それがその気付アドレスを例えばインターネットコントロールメッセージプロトコル(ICMP)を使用して変更するたびにホームエージェントにバインディングアップデートを送信できる。
【0015】
基本IPルーティング(例えば、モバイルIP外部)では、ルーティング機構は、各ネットワークノードが常に、例えばインターネットに対する一定の接続点を有し、それぞれのノードのIPアドレスが、それが接続されるネットワークリンクを特定するという仮定に依存している。本明細書では、用語「ノード」は、例えばデータ伝送のための再分布点又はエンドポイントを含むことがあり、他のノードへの通信を認識する、処理する、及び/又は転送することができる接続点を含む。例えば、インターネットルータは、デバイスのネットワークを特定する、例えばIPアドレスプレフィクス等を見ることができる。次にルータは、ネットワークレベルで、特定のサブネットを特定するビットのセットを見ることができる。次にルータは、サブネットレベルで、特定のデバイスを特定するビットのセットを見ることができる。典型的なモバイルIP通信を用いる場合、ユーザが例えばインターネットからモバイル機器を切断し、新しいサブネットでそれを再接続しようと試みる場合、デバイスは新しいIPアドレス、適切なネットマスク及びデフォルトルータで再構成されなければならない。それ以外の場合、ルーティングプロトコルはパケットを適切に配信できないであろう。
【0016】
好ましい実施形態は、その参考文献の全体的な開示が参照してここに組み込まれる、とりわけ以下の参考文献に説明される技術の改良を提供する。
・[RFC2003] C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月.
・[RFC2004] C.Perkins, “Minimal Encapsulation within IP”, RFC2004, 1996年10月.
・[RFC2784] D.Farinacciら, “Generic Routing Encapsulation (GRE)”, RFC2784, 2000年3月.
・[RFC2401] S.Kent and R.Atkins, “Security Architecture for the Internet Protocol”, RFC2401, 1998年11月.
・[RFC3344] C.Perkins, “IP Mobility Support for IPv4”, RFC3344, 2002年8月.
・[RFC3775] C.Perkinsら, “IP Mobility Support for IPv6”, 2004年6月.
・[RFC2409] D.Harkins and D.Carrel, “The Internet Key Exchange (IKE)”, RFC2409, 1998年11月.
・[IKEv2] C.Kaufman, “Internet Key Exchange (IKEv2) Protocol”, Internet-Draft, draft-ietf-ipsec-ikev2-14.txt, work in progress, 2004年11月.
・[RFC3748] B.Abobaら, “Extensible Authentication Protocol (EAP)”, RFC3748, 2004年6月.
・[PANA−FRWK] P.Jayaraman, “PANA Framework”, Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, 2004年7月.
・[PANA] D.Forsbergら, “Protocol for Carrying Authentication for Network Access (PANA)”, Internet-Draft, draft-ietf-pana-pana-05.txt, work in progress, 2004年7月.
・[PANA−IPSEC] M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet-Draft, draft-ietf-pana-ipsec-03.txt, 2004年5月.
インターネットプロトコルは、イーサネット(登録商標)及びPPP(Point-to-Point Protocol)を含む様々なリンク層上でネットワークレイヤ・パケット(すなわち、インターネットプロトコルにおけるIPデータグラム)を運ぶ方法を定義する。IPデータグラムは、“IPリンク”上で運ばれることも可能であり、そこでは、他のIPデータグラムのペイロードにカプセル化されて伝送される。この技術は、“IPトンネリング”又は“トンネリング”と呼ばれる。トンネリングは、データグラムを、最初のIPヘッダにおけるIP宛先アドレス・フィールド(のネットワークパート)に基づいては選択されないであろう中間の宛先へ伝えることによって、データグラムのための通常のルーティングを変更する手段として使用される[C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月を参照]。カプセル化されたデータグラムがこの中間の宛先ノードへ到着すると、それはデカプセル化されて、最初のIPデータグラムが生成され、これが、最初の宛先アドレス・フィールドにより指示される宛先へ伝えられる。トンネリングの機能性を提供するIPリンクは、“トンネル”と呼ばれる。そして、トンネリングにおけるIPリンクのエンカプシュレータ及びデカプシュレータは、トンネルの“エンドポイント”に存在するように考慮される。
【0017】
トンネルは、例えば、IP−in−IPエンカプシュレーション[C.Perkins, “IP Encapsulation within IP”, RFC2003, 1996年10月を参照]、ミニマルエンカプシュレーション[C.Perkins, “Minimal Encapsulation within IP”, RFC2004, 1996年10月を参照]、ジェネリックルーティングエンカプシュレーション(GRE)[D.Farinacciら, “Generic Routing Encapsulation(GRE)”, RFC2784, 2000年3月を参照]、IPsecトンネルモードエンカプシュレーション[S.Kent and R.Atkins, “Security Architecture for the Internet Protocol”, RFC 2401, 1998年11月を参照]に基づいてもよい。トンネルは、静的にも動的にも作成される。トンネルが、IP−in−IPエンカプシュレーション、ミニマルエンカプシュレーション又はGREに基づき、また、このトンネルが、ホームエージェントからモバイルノードへのIPデータグラムのトンネリングのためのIP移動プロトコルにより使用される場合には、このトンネルは、モバイルIPv4[C.Perkins, “IP Mobility Support for IPv4”, RFC3344, 2002年8月を参照]又はモバイルIPv6[C.Perkinsら, “IP Mobility Support for IPv6”, RFC3775, 2004年6月を参照]を用いて動的に作成される。トンネルが、IPsecトンネルモードエンカプシュレーションに基づく場合には、このトンネルは、IKEv1[D.Harkins and D.Carrel, “The Internet Key Exchange (IKE)”, RFC2409, 1998年11月を参照]又はIKEv2[C.Kaufman, “Internet Key Exchange (IKEv2) Protocol”, Internet−Draft, draft−ietf−ipsec−ikev2−14.txt, work in progress, 2004年11月を参照]を用いて動的に作成されてもよい。適切な認証方法は、動的にトンネルを作成するための上記方法のいずれにも関係する。
【0018】
参考のために、モバイルステーションは、異なるネットワーク(例えば、LAN)上のアクセスポイントと通信できる必要がある。したがって、APのIPアドレスとMACアドレスとの間のマッピングが解決される必要がある。2つの好ましいAP解決のためのアプローチがある。すなわち、事前に設定された解決(例えば、静的解決)と動的解決である。静的解決においては、モバイルステーションは、例えば、APからのビーコンフレームを受信する前に、近くのAPそれぞれのIPアドレス及びMACアドレスのペアのリストを得ることができる。動的解決においては、APのためのマッピングは、例えば、APからのビーコンフレーム又はこれに類するものをモバイルステーションが受信した場合に、解決することができる。
【0019】
参考のために、例えば、モバイルインターネットプロトコル(モバイルIP)においては、ホームエージェントは、モバイルノードのホームネットワーク上にある、例えばその気付アドレス(CoA)において特定されるような、例えばそのデバイスの現在の位置に関する情報を維持するルータを含むことができ、ホームエージェントは、例えば異なる位置から接続してもその都度デバイスのIPアドレスが変わらないようにするために、例えばインターネットトラフィックを転送するためのトンネリング機構を使用することができる。いくつかの場合、ホームエージェントは、移動先のネットワーク上にあるルータを含むことのできるフォーリンエージェントと協調して動作してもよい。フォーリンエージェントとホームエージェントは、(例えばインターネットエンジニアリングタスクフォース(IETF)におけるR.F.C.2002仕様書において定義された)二つのタイプの移動エージェントである.
PANA:
参考のために、「P.Jayaraman、 “PANA Framework”、Internet-Draft、draft-ietf-pana-framework-01.txt、work in progress、2004年7月」からのPANAに関する情報が本明細書の本項に組み込まれている。この点で、PANAは、ネットワークにアクセスを希望するノードとネットワーク側のサーバの間で実行するリンク層にとらわれないネットワークアクセス認証プロトコルである。PANAは、新しいEAP[B.Abobaら, “Extensible Authentication Protool(EAP)”, RFC3748, 2004年6月を参照]を定義し、下位層ではプロトコルエンドポイント間でIPを使用する。
【0020】
このようなプロトコルと要件を定義するための動機は、「Yegin,A.及びY.Ohba, Protocol for Carrying Authentication for Network Access(PANA)Requirements, draft-ietf-pana-requirements-08(work in progress), 2004年6月」に説明されている。プロトコルの詳細は、「Forsberg,D., Ohba,Y., Patil,B., Tschofenig,H.及びA.Yegin, Protocol for Carrying Authentication for Network Access(PANA), draft-ietf-pana-pana-04(work in progress)、2004年5月」に文書化されている。「Parthasarathy,M., PANA Enabling IPsec Based Access Control, draft-ietf-pana-ipsec-03(work in progress), 2004年5月」は、PANAをベースにした認証に続くアクセス制御のためのIPsecの使用を説明する。IPsecは、パケット単位のアクセス制御に使用できるが、それにも関わらずそれはこの機能性を達成する唯一の方法ではない。代替策は物理的セキュリティ及びリンク層暗号化を信頼することを含む。アクセス制御を施行しているエンティティからPANAサーバを分離することは、オプションの配備の選択肢として想定されてきた。SNMP[Mghazli,Y., Ohba,Y.及びJ.Bournelle, SNMPUsage for PAA-2-EP Interface, draft-ietf-pana-snmp-00(work in progress), 2004年4月を参照]が、別々のノードの間で関連した情報を伝搬するためのプロトコルとして選ばれた。
PANA設計は、多様なタイプの配備にサポートを提供する。アクセスネットワークは、より下位の層のセキュリティの可用性、PANAエンティティの設置、クライアントIP構成の選択、及び認証方法等に基づいて異なることがある。
【0021】
PANAは根本的なセキュリティに関わりなく任意のアクセスネットワークで使用できる。例えば、ネットワークは物理的に保護される、つまりクライアント−ネットワークの認証が成功した後に暗号機構によって保護される可能性がある。
【0022】
PANAクライアント、PANA認証エージェント、認証サーバ、及び施行ポイントはこの設計では機能上のエンティティであった。PANA認証エージェント及び施行ポイントは、アクセスネットワーク内の多様な要素(例えば、アクセスポイント、アクセスルータ、専用ホスト等)に対して設置できる。
【0023】
IPアドレス構成機構も変化する。静的構成、DHCP、ステートレスアドレス自動構成が選ぶために考えられる機構である。クライアントがパケット単位のセキュリティを可能にするためにIPsecトンネルを構成する場合、該トンネルの内部でIPアドレスを構成することに意味があるようになり、これらに対してIKE等の追加の選択肢が存在する。
【0024】
PANAプロトコルはアクセスネットワークにおけるクライアントの認証と承認を容易にすることを目的としている。PANAは、EAP[Aboba,B., Blunk,L., Vollbrecht,J., Carlson,J.及びH.Levkowetz, Extensible Authentication Protocol(EAP), 2004年6月を参照]の一つであり、下位層では、アクセスネットワークにおけるクライアントホストとエージェントとの間でEAPの内部にカプセル化されるEAP認証メソッドを搬送する。PANAはこの2つのエンティティの間で認証プロセスを可能にするが、それは全体的なAAA及びアクセス制御フレームワークの一部にすぎない。PANAを使用するAAAとアクセス制御フレームワークは、後述されるように、及び図1(A)〜図1(C)に概略で描かれている4つの機能エンティティを含む。
【0025】
第1の機能エンティティは、PANAプロトコルのクライアントのインプリメンテーションである、PANAクライアント(PaC)である。このエンティティは、ネットワークアクセスを要求しているエンドホスト上に常駐する。エンドホストは、例えば、ラップトップコンピュータ、PDA、携帯電話、デスクトップPC、及び/又は有線インタフェース又は無線インタフェースを介してネットワークに接続される類似物を含むことがある。PaCは、ネットワークアクセスを要求し、PANAプロトコルを使用して認証プロセスに従事することに関与する。
【0026】
第2の機能エンティティは、PANAプロトコルのサーバのインプリメンテーションである、PANA認証エージェント(PAA)である。PAAはネットワークアクセスサービスについてそれらを認証し、承認するためにPaCと接続することを担当する。PAAはPaCの信用証明書(クレデンシャル)及び権利を検証するために認証サーバに相談する。認証サーバがPAAと同じホストに常駐する場合は、アプリケーションプログラムインタフェース(API)がこの相互作用に十分である。それらが分離されると(パブリックアクセスネットワークではより一般的な場合)、プロトコルがこの2つの間で実行するために使用される。LDAP[Hodges,J.及びR.Morgan, Lightweight Directory Access Protocol(v3):Technical Specification, RFC3377, 2002年9月を参照]及びRADIUS[Rigney,C., Willens,S., Rubens,A.及びW.Simpson, Remote Authentication Dial In User Service(RADIUS), RFC2865, 2000年6月を参照]のようなAAAプロトコル、及びDiameter[Calhoun,P., Loughney,J., Guttman,E., Zorn,G.及びJ.Arkko, Diameter Base Protcol, 2003年9月を参照]が、この目的に一般的に使用されている。
【0027】
PAAは、認証状態の作成及び削除に応じてアクセス制御状態(つまり、フィルタ)を更新することにも関与する。PAAは更新された状態をネットワーク内の施行ポイントに通信する。PAAとEPが同じホスト上に常駐している場合、APIがこの通信にとって十分である。それ以外の場合、プロトコルはPAAからEPに承認されたクライアント属性を搬送するために使用される。他のプロトコルを禁止していないが、現在のSNMP[Mghazli,Y., Ohba,Y.及びJ.Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana-snmp-00(work in progress), 2004年4月を参照]がこのタスクに提案されていた。
【0028】
PAAは、ローカルエリアネットワークの中のネットワークアクセスサーバ(NAS)と通常呼ばれるノードに常駐する。PAAはPaCと同じIPサブネット上の任意のIPによって可能にされたノード上で動作できる。例えば、DSLネットワークのBAS(ブロードバンドアクセスサーバ)で、又は3GPP2ネットワークのPDSNで等で動作できる。
【0029】
第3の機能エンティティは、ネットワークアクセスサービスを要求しているPaCのクレデンシャルの検証を担当するサーバのインプリメンテーションである、認証サーバ(AS)である。ASはPaCの代わりにPAAから要求を受け取り、認証パラメータ(例えば、許可された帯域幅、IP構成等)とともに検証の結果をもって応答する。ASはPAAと同じホストで、アクセスネットワーク上の専用ホストで、あるいはインターネット上のどこかのセントラルサーバで動作できる可能性がある。
【0030】
第4の機能エンティティは、他者によるアクセスを妨げる一方で承認されたクライアントへのアクセスを許可することを担当するアクセス制御のインプリメンテーションである、施行ポイント(EP)である。EPはPAAから承認されたクライアントの属性を学習する。EPは、非暗号フィルタ又は暗号フィルタを使用して選択的にデータパケットを許可し、廃棄する。これらのフィルタはリンク層又はIP層で適用されてよい。暗号アクセス制御を使用する場合、セキュアアソシエーションプロトコルがPaCとEPの間で実行する必要がある。セキュアアソシエーションプロトコルが完全性保護、データ発信元認証、再生保護及び任意に機密性保護を可能にするために必要なセキュリティアソシエーション(security association)を確立した後、リンク又はネットワーク層保護(例えば、TKIP、IPsec ESP)が使用される。EPは、承認されていないクライアントのネットワークへのアクセスを最小限に抑えるためにローカルエリアネットワーク内に戦略的に配置されなければならない。例えば、EPは、有線ネットワーク内のクライアントに直接的に接続されているスイッチ上で動作できる。そのようにして、EPは、それらが他のクライアントホストに到達する前に、又はローカルエリアネットワークを越える前に承認されていないパケットを削除できる。
【0031】
エンティティのいくつかは、配備シナリオに応じて同一位置に配置されてよい。例えば、PAAとEPは、DSLネットワーク内の同じノード(BAS)上にある可能性がある。その場合、PAAとEPの間では単一APIで十分である。小企業の配備ではPAAとASは、この2つの間で実行されるプロトコルに対する必要性を排除する同じノード(例えば、アクセスルータ)の上で動作してよい。これらのエンティティを同一位置に配置するかそうしないかの決定、及びネットワークトポロジーの中のそれらの正確な位置が、配備の決定である。
【0032】
セキュアアソシエーションのためのIKE又は4ウェイハンドシェイクプロトコルの使用は、PANAを実行する前に任意の下位層セキュリティがない場合にだけ必要とされていた。(例えば、DSL等の)物理的に保護されたネットワーク又はPANAの前にリンク層ですでに暗号により保護されているネットワーク(例えば、cdma2000)は、追加のセキュアアソシエーション及びパケット単位の暗号化を必要としない。これらのネットワークはPANAの認証と承認を、すでに使用できる下位層の安全なチャネルに結び付けることができる。
【0033】
アクセスネットワーク上のEPが任意の承認されたPaCからの一般的なデータトラフィックを可能にするのに対し、それは承認されていないPaCのための限られたタイプのトラフィック(例えば、PANA、DHCP、ルータ発見)だけを可能にする。これにより、新規に接続されたクライアントがPANAに従事するための最小のアクセスサービスを有し、無制限のサービスに対して承認されることが確実になる。
【0034】
PaCはPANAを実行する前にIPアドレスを構成する必要がある。PANA認証が成功した後、配備シナリオに応じて、PaCはそのIPアドレスを構成し直す、又は追加のIPアドレス(複数の場合がある)を構成する必要がある場合がある。追加のアドレス構成は、セキュアアソシエーションプロトコル実行の一部として実行されてよい。
【0035】
最初に承認されていないPaCは、アクセスネットワーク上でPAAを発見し、後にPANA上でのEAPの交換が続くことによってPANA認証を開始する。PAAはこのプロセスの間にASと相互に作用する。認証及び承認の結果をASから受信すると、PAAはPaCにそのネットワークアクセス要求の結果について知らせる。
【0036】
PaCがネットワークにアクセスすることを承認されている場合、PAAはSNMPを使用することによりEPにPaC特有の属性(例えば、IPアドレス、暗号キー等)も送信する。EPはPaCから及びPaCへのデータトラフィックが通過できるようにするためにそのフィルタを改変するためにこの情報を使用する。
【0037】
PANA認証後に暗号アクセス制御が可能にされる必要がある場合、セキュアアソシエーションプロトコルがPaCとEPの間で実行する。PaCはPANA交換が成功した結果としてすでにこのプロセスに対する入力パラメータを持っているはずである。同様に、EPはSNMPを介してPAAからそれらを取得するはずである。セキュアアソシエーション交換により、PaCとEPとの間に必要とされるセキュリティアソシエーションが生じ、暗号データトラフィック保護が可能になる。パケット単位の暗号データトラフィック保護が追加のパケット単位のオーバヘッドを導入するが、オーバヘッドはPaCとEPの間だけに存在し、EPを超えて通信に影響を及ぼさないであろう。この意味で、ネットワークの端の可能な限り近くにEPを配置することが重要である。
【0038】
最後に、データトラフィックが新規に承認されたPaCから及びPaCに流れ始めることができる。
【0039】
IPsecのブートストラッピングによるPANA
「P.Jayaraman, “PANA Framework”, Internet−Draft, draft−ietf−pana−framework−01.txt, work in progress, 2004年7月」にて議論されているように、このモデルにおいて、データトラフィックは、IPsecトンネルモードのSAを用いることによって保護され、IPアドレスは、PaCのデバイス識別子として使用される。APのいくつか又は全て、DHCPv4サーバ(PRPAのDHCPv4サーバ及びIPsec−TIAのDHCPv4サーバを含む)、DHCPv6サーバ、PAA及びEPは、単一の機器に配置されてもよい。EPは、AR(アクセスルータ)と同一位置に配置される。また、EPは、PAAと同一位置に配置されてもよい。EP及びPAAが同一位置に配置されない場合、PAA−EPプロトコルは、PAAとEPとの間の通信のために使用される。
【0040】
PANAデバイス識別子
参考のために、現在のPANAの仕様書(http://www.ietf.org/internet−drafst/draft−ietf−pana−pana−10.txt)において、“デバイス識別子”(DI)は、デバイスのネットワークアクセスを制御し及び取り締まるためのハンドルとしてネットワークにより使用される識別子として定義されている。アクセス技術に応じて、この識別子は、プロトコルヘッダにより伝送されるアドレス(例えば、IP層又はリンク層のアドレス)、又は接続された機器のローカルプロトコルスタックにより利用できるように作成された、ローカルに重要な識別子(例えば、回路ID、PPPインタフェースID)を含んでもよい。
【0041】
PANA移動操作
PANA移動操作(PANA Mobility Operations)というタイトルのPANAワーキンググループのドキュメント(draft−ietf−pana−mobopts−00.txt 1で見つけられる)の全開示は参照してここに組み込まれる。このドキュメントは、PANAを用いたPANA認証クライアント(PaC)は、サブネット間(例えば、PAA間)移動においてEAP/PANAを完全に実行することが要求されることを説明し、及びシームレスな移動が要求される場合に、AAAサーバによる完全なEAP認証を実行する必要のあることが、望ましくないレイテンシを引き起こすであろうことを説明する。それゆえに、PaCがPAA間のハンドオーバーを遂行する毎にEAPを実行する必要を除去するために、このドキュメントのアウトラインは、ベースのPANAの仕様書を拡張する。このスキームは、実在している他のPAAとのセッションに基づく新たなPAAとの新たなPANAセッションの作成を許容する。このドキュメントは、新たなPANAセッションの生成は、EAPベースの認証の実行を要求しないが、その代わりに、前のPAAから新たなPAAへ適切な状態情報を届けるために、コンテキスト転送ベースのスキームが使用される。参考のために、移動性を最適化したPANAの実行を描写したコールフローは、前記ドキュメントに示されている。前記ドキュメントは、次のフローを説明している。すなわち、PaCが既に承認されサブネット1に接続され、ここに前PAAが存在し、そして、PaCがサブネット1からサブネット2へのハンドオーバーを遂行し、そして、PANAディスカバリーとハンドシェイクのフェイズが実行され、そして、PSAに含まれるパラメータに応答して、PANAセッションのコンテキストが前PAAから新PAAへ転送され、最後に、PANAバインドが、PANA認証の成功の信号を交換する。EAP認証は発生しない。結果として、モバイルPaCのネットワークアクセス認証の遂行は、コンテキスト転送ベースの機構を配置することによって、強化することができ、ここで、いくつかのセッション属性は、完全なEAP認証を遂行することを避けるために、前PAAから新PAAへ転送される。
【発明の開示】
【発明が解決しようとする課題】
【0042】
本発明は、前記及び/又は他の背景技術及び/又はその中の課題を改良する。
【課題を解決するための手段】
【0043】
本発明の好ましい実施形態は、前記現存する技術に見られる欠点を克服する。
【0044】
いくつかの実施形態に従って、モバイル機器のための動的かつ安全なトンネル確立方法は、コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含んで提供される。
【0045】
いくつかの例において、前記方法は、同一のIPリンク上に存在しないクライアントと認証エージェントとの間でプロトコルが動作することを許容するために、該クライアント又は認証エージェントのIPアドレスだけでなく、該クライアント又は認証エージェントから送信されたメッセージのソースポート番号も、該クライアント又は認証エージェントのデバイス識別子として使用されることを更に含む。
【0046】
いくつかの例において、前記方法は、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンクには存在しないPANAクライアントに動的に割り当てることを含む。
【0047】
いくつかの例において、前記方法は、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のクライアントを識別できるように、前記クライアントのIPアドレス及び該記クライアントから送信された認証メッセージのUDPソースポート番号を、該クライアントのデバイス識別子として使用することを更に含む。
【0048】
いくつかの例において、前記方法は、同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、前記PANAクライアント又はPANA認証エージェントのIPアドレスだけでなく、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のPANAクライアントを識別できるように該PANAクライアント又はPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号も、該PANAクライアント又はPANA認証エージェントのデバイス識別子として使用されることを更に含む。
【0049】
いくつかの例において、前記方法は、クライアントは、認証セッションを開始させる最初のディスカバーメッセージ及びこれに続く認証メッセージを、UDP宛先ポートとして認証プロトコルのために割り当てられたUDPポート番号を指定して、前記認証エージェントに送信し、該認証エージェントは、認証メッセージを、UDP宛先ポートとして前記最初のディスカバーメッセージのUDPソースポートを指定して、該クライアントへ送信することを更に含む。
【0050】
いくつかの例において、前記方法は、PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANA認証メッセージを、UDP宛先ポートとしてPANAのために割り当てられたUDPポート番号を指定して、前記PANA認証エージェントに送信することによってPANAセッションを開始し、該PANA認証エージェントは、PANA−Start−Request及びこれに続くPANA認証メッセージを、UDP宛先ポートとして前記PDIのUDPソースポートを指定して、該PANAクライアントへ送信することを更に含む。
【0051】
いくつかの例において、前記方法は、ネットワークアドレスルータがクライアントと認証エージェントとの間に存在する場合に、前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む。いくつかの例において、前記方法は、前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止するように、ピアライブネステストのために定義されたPANAメッセージ変換を遂行することを更に含む。
【0052】
いくつかの例において、前記方法は、同一のIPリンク上に存在しない認証エージェントとのセッションを確立したクライアントが、それが新たなIPリンクに移動することを知っている場合に、移動ハンドリング手順を行うことを更に含む。
【0053】
多様な実施形態の前記の及び/又は他の態様、特長及び/又は利点は、添付図面に関連して以下の説明を鑑みるとさらに理解されるであろう。多様な実施形態は、当てはまる場合、様々な態様、特長、及び/又は利点を含む、及び/又は除くことができる。加えて、多様な実施形態は、当てはまる場合、他の実施形態の1つ又は複数の態様又は特長を組み合わせることができる。特定の実施形態の態様、特長、及び/又は利点の説明は、他の実施形態又は請求項を制限するとして解釈されてはならない。
【発明を実施するための最良の形態】
【0054】
本発明の好ましい実施形態は、制限ではなく一例として添付図に示されている。
【0055】
本発明は多くの異なる形式で具現化されてよいが、多くの例示的な実施形態は、本開示が本発明の原則の例を提供すると見なされるべきである旨、及びこのような例が、本明細書に説明されている、及び/又は本明細書に描かれている好ましい実施形態に本発明を制限することを目的としていない旨を理解した上で本明細書に説明されている。
【0056】
現存する方法に関する問題点:
動的にトンネルを確立するための現存する方法は、例えば以下に示すような様々な問題を有する。
【0057】
・モバイルIPv4及びモバイルIPv6のようなIP移動性管理プロトコルは、動的にトンネルを確立するために、必ずしも常に必要ではない。
【0058】
・モバイルIPv4及びIKEv1は、多数の認証メソッドがサポートされているEAP(Extensible Authentication Protocol)[RFC3748参照]をサポートしない。EAPの最近の激増を考慮すると、EAP認証を含む安全なトンネル確立方法が必要である。
【0059】
・現存する方法は、トンネルのエンドポイントを、他のエンドポイントへ(例えば、新たなエンドポイントへ)、該他のエンドポイントの認証結果に応じて、動的に割り当てることをサポートしない。
【0060】
・IKEv2はEAP認証をサポートするが、IKEv2シグナリング及びAP認証は、とても固く連結されているので、IKE_SA(IKE Security Association)が確立された場合、EAP再認証が遂行される必要があり、これは、一つのエンドポイントから異なる複数のエンドポイントへ複数のトンネルが確立された場合に、能率が悪い。PANA(Protocol for Carrying Authentication for Network Access)フレームワーク[P.Jayaraman, “PANA Framework”, Internet−Draft, draft−ietf−pana−framework−01.txt, work in progress, 2004月を参照]は、PANAクライアントが、異なるIPsecゲートウェイにより、複数のIPsecトンネルモードのSAを確立することを許容する。しかしながら、現在のPANAフレームワークは、PANAクライアントがPANA認証エージェントから1より多いIPホップだけ離れているケースを、完全にはサポートしない。この点で、一つのIPホップは、ネットワークにおいてデータパケットが一つのルータ又は中間のポイントから他のルータ又は中間のポイントへ進むという移動に関連し、“ホップカウント”は、パケットがその宛先へ向けて取るホップ数である。
【0061】
総論:
図1(A)、図1(B)、図1(C)及び図2は、本発明のいくつかの実施形態で採用されてもよい、いくつかの例示的なアーキテクチャー要素を描いている。この点で、図1(A)は、PANAを用いたいくつかの例示的な実施に従って4つの基本的な機能要素、すなわち、PANAクライアント(PaC)、PANA認証エージェント(PAA)、認証サーバ(AS)及び施行ポイント(EP)を例示する概略図である。図1(B)は、いくつかの例示的な実施に従って第1のアクセスポイント(AP)及び第2のアクセスポイント(AP)と通信するモバイルクライアントを描いた概略図である。図1(C)は、いくつかの例示的な実施に従って採用されてもよいオーセンティケータ及びクライアントの機能要素を例示する概略図であり、ここで、オーセンティケータは、とりわけEAPサーバ及びPANAサーバ(PAA)の機能を含み、一方、クライアントは、とりわけEAPクライアント及びPANAクライアント(PaC)の機能を含む。図2は、IPsecトンネリングによって、同時に複数のVPNを確立するような方法で、第1のアクセスルータ(pAR)及び第2のアクセスルータ(nAR)と通信するモバイルクライアントを描いた概略図である。
【0062】
好ましい実施形態は、PANA認証に含まれるEAPにより、動的かつ安全にトンネルを確立するための方法を提供することができる、提案された解決策を提供する。好ましい実施形態において、提案された解決策は、PANAプロトコル[D.Forsbergら, Protocol for Carrying Authentication for Network Access(PANA), Internet−Draft, draft−ietf−pana−pana−05.txt, work in progress, 2004年7月を参照]を、PANA認証エージェントと同一のIPリンク上に位置することが必要ないPANAクライアントへ、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを動的に割り当てることができるようなプロトコルに拡張して使用する。PANAプロトコルに対する次の拡張が、この提案において定義される。
【0063】
好ましい実施形態において、同一のIPリンク上に位置しないPANAクライアント(PaC)とPANA認証エージェント(PAA)との間でPANAプロトコルを動作することを許容するために、例えば同一のネットワークアドレス変換(NAT)ルータ又はこれに類するものの背後にさえ存在するであろう複数のPANAクライアントを識別できるように、PaCからPAAへ送信されるメッセージについては、好ましくは、PANAクライアントのIPアドレスだけでなく、PANAクライアントから送信されるPANAメッセージのUDP(User Datagram Protocol)ソースポート番号も、PANAクライアントのデバイス識別子として使用される(及び、PAAからPaCへ逆方向に送信されるメッセージについては、好ましくは、PAAのIPアドレスだけでなく、PANA認証エージェントから送信されるPANAメッセージのUDPソースポート番号も、PANAのデバイス識別子として使用される)。PANAは、そのトランスポートレイヤプロトコルとしてUDPを使用することに注意する。また、NATは、一般的に、パブリックネットワーク(例えば、インターネット)とプライベートネットワーク(例えば、ローカルエリアネットワーク)との間のエージェントとして動作するルータのような単一デバイスを含むこと、及び、例えば、単一固有のIPアドレスが、そのプライベートネットワークの外側にあるエンティティに対するコンピュータ又はデバイスのグループを表すことを可能にすることに注意する。NATルータは、本質的に、前記プライベートネットワークへ入って行く及びそこから出て行くトラフィックを変換する。
【0064】
好ましい実施形態において、NATの環境下で動作するPANAを作るために、PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くすべてのPANAメッセージを、UDP宛先ポートとしてPANAに割り当てられたUDPポート番号を指定して、PANA認証エージェントへ送信することによって、常に、PANAセッションの開始者になることができ(注意(NB):好ましい実施形態において、このUDPポート番号は、予め割り当てられたポート番号であろう)、及び、PANA認証エージェントは、PANA−Start−Request及びこれに続くすべてのPANAメッセージを、該メッセージのUDP宛先ポートとしてPDIのUDPソースポート番号を指定して、PANAクライアントへ送信することができる(注意(NB):好ましい実施形態において、このUDPポート番号は、NATによって割り当てられるであろう)。参考のために、PANA−PAA−Discover(PDI)メッセージは、PaCによりPAAへ送信され、PAAのアドレスを発見するために使用され、一方、PANA−Start−Request(PSR)は、PAAによりPaCへ送信されることに注意する。
【0065】
また、参考のために、PANA−Bind−Request及びPANA−Bind−Answerメッセージの交換は、PaC及びEPのデバイス識別子と、PANA SAに対するPAAのIPアドレスとのバインドのために用いられてきた。IPsecベースのセキュリティがアクセス制御の選択であったときは、PAAは、EPのデバイスIDとしてIPアドレスを提供したであろうし、また、PaCが代わりにIPアドレスを提供することを予期したであろう。しかしながら、例えば、デバイス識別子の一部としてソースポート番号を更に含むことによって、前述のように、十分な利点が得られる。
【0066】
前述のように、現在のPANAの仕様書における“デバイス識別子”の定義(http://www.ietf.org/internet−drafst/draft−ietf−pana−pana−10.txt)は、デバイス識別子の内部で使用されるUDPポート番号を収容しない定義を意味する。言い換えると、好ましい実施形態において、デバイス識別子の現在の定義は、前述のような方法においてUDPポート番号を含むように再定義される。好ましい実施形態において、デバイス識別子は、そのように、複数のクライアント又は認証エージェントを識別できる能力を含むように再定義される。よって、好ましい実施形態において、デバイス識別子は、複数のクライアント又は認証エージェントを識別できるように、該クライアント又は該認証エージェントの“識別ID(distinguishment identifier)”としても作用する。
【0067】
図3は、本発明のいくつかの好ましい実施形態に従っていくつかの特徴を描くのを助ける概略的なダイアグラムである。
【0068】
この点で、110に示されるように、好ましい実施形態は、有益に“PANAクライアントのIPアドレス及びPANAクライアントから送信されたPANAメッセージのUDPソースポート番号をデバイス識別子として使用する”。加えて、115に示されるように、好ましくは、“PANAクライアントは、PANA−PAA−Discover(PDI)と、これに続く全てのメッセージを、UDP宛先ポートとしてPANAに割り当てられたUDPポート番号を指定して、PANA認証エージェントへ送信することによって、PANAセッションの開始者になる”。
【0069】
更に、120に示されるように、好ましい実施形態は、有益に“PANA認証エージェントのIPアドレス及びPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号をデバイス識別子として使用する”。加えて、125に示されるように、好ましくは、“PANA認証エージェントは、PANA−Start−Requestと、これに続く全てのメッセージを、該メッセージのUDP宛先ポートとして前記PDIのUDPソースポート番号を指定して、前記PANAクライアントへ送信する”。
【0070】
そこで、130に示されるように、好ましい実施形態は、それによって、“NAT(ネットワークアドレス変換)ルータの背後に存在するであろう複数のPANAクライアントの識別”を可能にする。
【0071】
さらに、140に示されるように、好ましい実施形態は、それによって、”一つのエンドポイントから異なる複数のエンドポイントへの複数のトンネルの確立(例えば、異なるIPsecゲートウェイとの複数のIPsecトンネルモードのSAの確立)”を可能にする。
【0072】
さて、図4を参照すると、この図は、本発明のいくつかの例示的な実施形態に従ってメッセージフローを例示するダイアグラムである。特に、図4は、NATを通したPaCとPAAとの間のメッセージフローを、図4に示されるように、PANA−PAA−Discoverメッセージで始まり、複数のIPsecゲートウェイのためのIPsecトンネルの確立まで描いている。
【0073】
さて、図5を参照すると、この図は、本発明のいくつかの例示的な実施形態に従ってクライアント(PaC)と認証エージェント(PAA)との間のメッセージの転送におけるメッセージ情報を例示するダイアグラムである。特に、示されるように、PaCからPAAへのメッセージについては、最初に、ソースIPアドレスは、NAT通過前については、PaCのアドレスであり、NAT通過後については、NATのアドレスである。加えて、宛先IPアドレスは、最初のPANA−PAA−Discoverメッセージについては、マルチキャストアドレスであり、後の全てのメッセージについては、PAAのIPアドレスである。加えて、ソースポートは、示されるように、NAT通過前については、(一例として)P1であり、NAT通過後については、(一例として)P2である。そして、宛先ポートは、PANAポートである。
【0074】
他方、PAAからPaCへの逆方向のメッセージについては、ソースIPアドレスは、PAAのIPアドレスである。加えて、宛先IPアドレスは、NAT通過前については、NATのアドレスであり、NAT通過後については、PaCのアドレスである。加えて、ソースポートは、PANAポートである。そして、宛先ポートは、示されるように、NAT通過前については、P2であり、NAT通過後については、P1である。
【0075】
トンネルのエンドポイントの割り当て:
好ましい実施形態は、動的にトンネルを確立するために、PANAの仕様書で既に定義されているメソッドを使用することができる。すなわち、IPsecトンネルモードは、トンネリングメソッドとして使用することができ、1以上のトンネルのエンドポイントは、PANA−Bind−Requestメッセージにおいて運ばれるEP−Device−Id AVP(属性値ペア)を通したPANAシグナリングにおいて特定することができる。提案されたスキームは、好ましくは、IPsecトンネルモードを使用する。なぜならば、それは、安全なトンネルを提供し、また、NATの環境下においてさえ動作するからである。IPsecトンネルは、好ましくは、IKEv1又はIKEv2を用いて確立される。ここで、要求されたIKEクレデンシャルは、[M.Parthasarathy, “PANA Enabling IPsec Based Access Control”, Internet−Draft, draft−ietf−pana−ipsec−03.txt, 2004年5月]で詳述された方法を用いることによって、PANAからブートストラップされる。
【0076】
NAT状態の保持:
いくつかの場合、NATルータは、あるNAT状態を維持される。例として、NATルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、NATがそのアドレス変換状態を消去することを阻止するようにするために、ピアライブネステストのために定義されたPANAメッセージ交換(例えば、PANA−Reauth−Request/Answer)が、ある頻度(例えば、ある時間間隔で)遂行されることができる。
【0077】
移動ハンドリング:
いくつかの例では、PaCは、あるPAAからもう一つのPAAへ移動するモバイルPaCであってもよい。いくつかの実施形態では、PANAクライアントが、同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立した場合、それが新たなIPリンクへ移動することを知っていれば、同一のPANA移動ハンドリング手順を遂行することができる。
【0078】
この点で、ある現存するPANA移動ハンドリング手順は、PANAワーキンググループの次のドキュメント、(1)PANA Mobility Operations found at draft−ietf−pana−mobopts−00.txt及び(2)Preauthentication Support For PANA by Y.Ohba(http://www.ietf.org/internet−drafts/draft−bournelle−pana−ctp−03.txtで見つけられる)、において見つけることができる。これらドキュメントは、コンテント転送プロトコル(CTP)に基づく移動性最適化メソッドを記述している。上記ドキュメント(1)は、CTPのためのPANAプロトコルの拡張を記述し、(2)は、PANAへのCTPの拡張を記述する。ドキュメント(1)及び(2)の全開示は、参照してここに組み込まれる。更なる参考のために、次の米国仮特許出願の全開示も、参照してここに組み込まれる。(1)2005年6月13日出願のY.Ohbaの米国特許出願第60/595,169号明細書(発明の名称“Framework of Media Independent Pre-Authentication Support for PANA”)及び(2)2005年2月4日出願の米国特許出願第60/649,554号明細書(発明の名称“Framework of Media Independent Pre-Authentication filed”)
本発明の幅広い範囲:
本発明の例示的な実施形態を本明細書に説明してきたが、本開示に基づいて当業者により理解されるように、本発明は本明細書に説明されている多様な好ましい実施形態に限定されるのではなく、同等な要素、変型、省略、(例えば、多様な実施形態全体での態様の)組み合わせ、適応、及び/又は改変を有するあらゆるすべての実施形態を含む。(例えば、後に加えられるものを含む)請求項における制限は請求項で利用される言語に基づいて幅広く解釈されるべきであり、本明細書に、あるいは出願の手続き追行の間に説明される例に限定されず、その例は包括的と解釈されるべきである。例えば、本開示では、用語「好ましくは」は包括的であり、「好ましいが、限定されない」を意味する。本開示では、及び本開示の手続き追行中、手段プラス機能(means-plus-function)又はステッププラス機能(step-plus-function)の制限は、特定の請求項の制限について、以下の条件のすべてがその制限内に存在する場合にだけ利用される。つまりa)「のための手段」又は「のためのステップ」は、明示的に列挙され、b)対応する機能は明示的に列挙され、及びc)その構造をサポートする構造、材料又は行為が列挙される。本開示において、及び本出願の手続き追行中、用語「本発明」又は「発明」は、本開示の中で1つ又は複数の態様に対する参照として使用されてよい。言語本発明又は発明は、臨界の識別として理解されてはならず、すべての態様又は実施形態全体で当てはまると不適切に解釈されてはならず(つまり、本発明は多数の態様と実施形態を有することが理解されるべきである)、出願つまり請求項の範囲を制限すると不適切に解釈されてはならない。本開示では、及び本願の手続き追行の間、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、その組み合わせ、及び/又はその任意の部分等を説明するために使用できる。いくつかの例では、多様な実施形態は重複する特長を含むことがある。本開示では、以下の省略された用語、つまり「例えば」を意味する「e.g.」が利用されてよい。
【図面の簡単な説明】
【0079】
【図1(A)】いくつかの例示的な実施に従ってオーセンティケータ及びクライアントの機能要素を例示する概略図である。
【図1(B)】PANAを用いたいくつかの例示的な実施に従って基本的な機能要素を例示する概略図である。
【図1(C)】いくつかの例示的な実施に従って第1のアクセスポイント(AP)及び第2のアクセスポイント(AP)と通信するモバイルクライアントを描いた概略図である。
【図2】IPsecトンネリングによって、同時に複数のVPNを確立するような方法で、第1のアクセスルータ(pAR)及び第2のアクセスルータ(nAR)と通信するモバイルクライアントを描いた概略図である。
【図3】本発明のいくつかの好ましい実施形態に従っていくつかの特徴を描くのを助ける概略的なダイアグラムである。
【図4】本発明のいくつかの例示的な実施形態に従ってメッセージフロー例を例示するダイアグラムである。
【図5】本発明のいくつかの例示的な実施形態に従ってクライアント(PaC)と認証エージェント(PAA)との間のメッセージの転送におけるメッセージヘッダ情報の例を例示するダイアグラムである。
【特許請求の範囲】
【請求項1】
モバイル機器のための動的かつ安全なトンネル確立方法であって、
コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含む方法。
【請求項2】
同一のIPリンク上に存在しないクライアントと認証エージェントとの間でプロトコルが動作することを許容するために、該クライアントのIPアドレスだけでなく、複数のクライアントを識別できるように該クライアントから送信されたメッセージのソースポート番号も、該クライアントのデバイス識別子として使用されることを更に含む請求項1に記載の方法。
【請求項3】
前記認証エージェントのIPアドレスだけでなく、該認証エージェントから送信されたメッセージのソースポート番号も、該認証エージェントのデバイス識別子として使用されることを更に含む請求項2に記載の方法。
【請求項4】
前記方法は、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンクには存在しないPANAクライアントに動的に割り当てることを含む請求項1に記載の方法。
【請求項5】
同一のネットワークアドレス変換ルータの背後に存在するであろう複数のクライアントを識別できるように、前記クライアントのIPアドレス及び該クライアントから送信された認証メッセージのUDPソースポート番号を、該クライアントのデバイス識別子として使用することを更に含む請求項4に記載の方法。
【請求項6】
同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、前記PANAクライアント又はPANA認証エージェントのIPアドレスだけでなく、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のPANAクライアントを識別できるように該PANAクライアント又はPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号も、該PANAクライアント又はPANA認証エージェントのデバイス識別子として使用されることを更に含む請求項4に記載の方法。
【請求項7】
前記クライアントは、認証セッションを開始させる最初のディスカバーメッセージ及びこれに続く認証メッセージを、UDP宛先ポートとして認証プロトコルのために割り当てられたUDPポート番号を指定して、前記認証エージェントに送信し、該認証エージェントは、認証メッセージを、UDP宛先ポートとして前記最初のディスカバーメッセージのUDPソースポートを指定して、該クライアントへ送信することを更に含む請求項1に記載の方法。
【請求項8】
前記PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANA認証メッセージを、UDP宛先ポートとしてPANAのために割り当てられたUDPポート番号を指定して、前記PANA認証エージェントに送信することによってPANAセッションを開始し、該PANA認証エージェントは、PANA−Start−Request及びこれに続くPANA認証メッセージを、UDP宛先ポートとして前記PDIのUDPソースポートを指定して、該PANAクライアントへ送信することを更に含む請求項6に記載の方法。
【請求項9】
IPsecトンネルを確立することを更に含む請求項1に記載の方法。
【請求項10】
IPsecトンネルを確立することを更に含む請求項7に記載の方法。
【請求項11】
IKEのあるバージョンを用いてIPsecトンネルを確立することを更に含む請求項9に記載の方法。
【請求項12】
EAP認証によって安全なトンネルを確立することを更に含む請求項1に記載の方法。
【請求項13】
EAP認証によって安全なトンネルを確立することを更に含む請求項7に記載の方法。
【請求項14】
ネットワークアドレスルータがクライアントと認証エージェントとの間に存在する場合に、該ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項1に記載の方法。
【請求項15】
ネットワークアドレスルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、該ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項6に記載の方法。
【請求項16】
前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止するように、ピアライブネステストのために定義されたPANAメッセージ変換を遂行することを更に含む請求項15に記載の方法。
【請求項17】
同一のIPリンク上に存在しない認証エージェントとのセッションを確立したクライアントが、それが新たなIPリンクに移動することを知っている場合に、移動ハンドリング手順を行うことを更に含む請求項1に記載の方法。
【請求項18】
前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項17に記載の方法。
【請求項19】
同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立したPANAクライアントが、それが新たなIPリンクに移動することを知っている場合に、PANA移動ハンドリング手順を行うことを更に含む請求項6に記載の方法。
【請求項20】
前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項20に記載の方法。
【請求項1】
モバイル機器のための動的かつ安全なトンネル確立方法であって、
コミュニケーションのアドレスのために、認証プロトコルのソースポート番号の使用に基づく認証結果に応じて、1以上のトンネルのエンドポイントのアドレスを、認証エージェントと同一のIPリンク上には存在しないクライアントに動的に割り当てることを含む方法。
【請求項2】
同一のIPリンク上に存在しないクライアントと認証エージェントとの間でプロトコルが動作することを許容するために、該クライアントのIPアドレスだけでなく、複数のクライアントを識別できるように該クライアントから送信されたメッセージのソースポート番号も、該クライアントのデバイス識別子として使用されることを更に含む請求項1に記載の方法。
【請求項3】
前記認証エージェントのIPアドレスだけでなく、該認証エージェントから送信されたメッセージのソースポート番号も、該認証エージェントのデバイス識別子として使用されることを更に含む請求項2に記載の方法。
【請求項4】
前記方法は、PANA認証の結果に応じて、1以上のトンネルのエンドポイントのアドレスを、PANA認証エージェントと同一のIPリンクには存在しないPANAクライアントに動的に割り当てることを含む請求項1に記載の方法。
【請求項5】
同一のネットワークアドレス変換ルータの背後に存在するであろう複数のクライアントを識別できるように、前記クライアントのIPアドレス及び該クライアントから送信された認証メッセージのUDPソースポート番号を、該クライアントのデバイス識別子として使用することを更に含む請求項4に記載の方法。
【請求項6】
同一のIPリンク上に存在しないPANAクライアントとPANA認証エージェントとの間でPANAプロトコルが動作することを許容するために、前記PANAクライアント又はPANA認証エージェントのIPアドレスだけでなく、同一のネットワークアドレス変換ルータの背後に存在するであろう複数のPANAクライアントを識別できるように該PANAクライアント又はPANA認証エージェントから送信されたPANAメッセージのUDPソースポート番号も、該PANAクライアント又はPANA認証エージェントのデバイス識別子として使用されることを更に含む請求項4に記載の方法。
【請求項7】
前記クライアントは、認証セッションを開始させる最初のディスカバーメッセージ及びこれに続く認証メッセージを、UDP宛先ポートとして認証プロトコルのために割り当てられたUDPポート番号を指定して、前記認証エージェントに送信し、該認証エージェントは、認証メッセージを、UDP宛先ポートとして前記最初のディスカバーメッセージのUDPソースポートを指定して、該クライアントへ送信することを更に含む請求項1に記載の方法。
【請求項8】
前記PANAクライアントは、PANA−PAA−Discover(PDI)及びこれに続くPANA認証メッセージを、UDP宛先ポートとしてPANAのために割り当てられたUDPポート番号を指定して、前記PANA認証エージェントに送信することによってPANAセッションを開始し、該PANA認証エージェントは、PANA−Start−Request及びこれに続くPANA認証メッセージを、UDP宛先ポートとして前記PDIのUDPソースポートを指定して、該PANAクライアントへ送信することを更に含む請求項6に記載の方法。
【請求項9】
IPsecトンネルを確立することを更に含む請求項1に記載の方法。
【請求項10】
IPsecトンネルを確立することを更に含む請求項7に記載の方法。
【請求項11】
IKEのあるバージョンを用いてIPsecトンネルを確立することを更に含む請求項9に記載の方法。
【請求項12】
EAP認証によって安全なトンネルを確立することを更に含む請求項1に記載の方法。
【請求項13】
EAP認証によって安全なトンネルを確立することを更に含む請求項7に記載の方法。
【請求項14】
ネットワークアドレスルータがクライアントと認証エージェントとの間に存在する場合に、該ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項1に記載の方法。
【請求項15】
ネットワークアドレスルータがPANAクライアントとPANA認証エージェントとの間に存在する場合に、該ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止することを更に含む請求項6に記載の方法。
【請求項16】
前記ネットワークアドレスルータがそのアドレス変換状態を消去することを阻止するように、ピアライブネステストのために定義されたPANAメッセージ変換を遂行することを更に含む請求項15に記載の方法。
【請求項17】
同一のIPリンク上に存在しない認証エージェントとのセッションを確立したクライアントが、それが新たなIPリンクに移動することを知っている場合に、移動ハンドリング手順を行うことを更に含む請求項1に記載の方法。
【請求項18】
前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項17に記載の方法。
【請求項19】
同一のIPリンク上に存在しないPANA認証エージェントとのPANAセッションを確立したPANAクライアントが、それが新たなIPリンクに移動することを知っている場合に、PANA移動ハンドリング手順を行うことを更に含む請求項6に記載の方法。
【請求項20】
前記移動ハンドリング手順は、コンテキスト転送プロトコルに基づく移動性最適化を含む請求項20に記載の方法。
【図1(A)】
【図1(B)】
【図1(C)】
【図2】
【図3】
【図4】
【図5】
【図1(B)】
【図1(C)】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2008−512010(P2008−512010A)
【公表日】平成20年4月17日(2008.4.17)
【国際特許分類】
【出願番号】特願2007−527946(P2007−527946)
【出願日】平成17年8月16日(2005.8.16)
【国際出願番号】PCT/US2005/029120
【国際公開番号】WO2006/023494
【国際公開日】平成18年3月2日(2006.3.2)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
【公表日】平成20年4月17日(2008.4.17)
【国際特許分類】
【出願日】平成17年8月16日(2005.8.16)
【国際出願番号】PCT/US2005/029120
【国際公開番号】WO2006/023494
【国際公開日】平成18年3月2日(2006.3.2)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
[ Back to top ]