安全なドメイン内およびドメイン間ハンドオーバ
分散モバイル通信環境(10)において安全で且つ高速のハンドオーバを行なうため、制御機能は、無線・有線境界通信ネットワーク要素間の境界線に位置しており、また、新たなアクセスポイントに対して予め送信されたセキュリティコンテキスト情報を使用して、モバイル機器(26)と新たなアクセスポイント(14)との間で相互認証を最初に実行することを提案する。その後、相互認証が成功すると、現在のアクセスポイント(12)から新たなアクセスポイント(14)へハンドオーバが実行される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分散モバイル通信環境内でのハンドオーバの方法に関し、特に、分散モバイル通信環境のための安全なドメイン内およびドメイン間ハンドオーバに関するものである。
【背景技術】
【0002】
次世代モバイル通信ネットワークは、無線インフラ要素と有線インフラ要素との間のエッジに対して分配(分散)される制御インテリジェンスを有している。したがって、モバイル通信環境のエッジに対するインテリジェンスの分配(分散)を、以下では、分散モバイル通信環境と称する。以下では、そのような分散モバイル通信環境の特定の実施例について言及するが、任意のタイプの分散モバイル通信環境、例えば、GSM、UMTS/IMT2000、PDC、AMPS、DAMPS、IS−95、WLAN.....,およびその任意のハイブリッド形式が、以下で説明する技術的教示内容によって網羅されると見なされることは言うまでもない。
【0003】
今日では、例えばドメイン内ハンドオーバ、すなわち、同じモバイル通信環境のアクセスポイント及び/又は基地局との間のハンドオーバに関して問題が生じている。特に、既存の解決策では、高速で安全なシームレスなハンドオーバを支持して、第1のネットワークアクセスポイントと第2のネットワークアクセスポイントとの間で、認証されたハンドオーバを高速に行なうことはできない。実際に、これは、分散ネットワークを使用する次世代モバイル通信においては大きな問題である。
【0004】
既存の解決策は、「IEEE 802.11f,IEEE,Draft Recommended Practice for Multi−Vendor Access Point Interoperability via an Inter−Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation,IEEE 802.11f,January 2003」から周知であり、これは、コンテキスト情報を使用し、アクセスポイントでコンテキスト情報をキャッシュするモバイル通信環境の1つのドメイン内での高速ハンドオーバのための解決策を与えている。一般に、アクセスポイントは、現在のアクセスポイントのマルチキャストドメインとも称される現在起動されているアクセスポイントAPの所謂近隣関係グラフ内にある。この規格は、新たなアクセスポイントへのコンテキスト情報の安全な転送のための解決策を与えるが、それにもかかわらず、コンテキスト情報が実際に含むべきものを規定していない。また、規格IEEE 802.11fは、相互認証が新たなアクセスポイントでどのように行なわれるべきかを規定していない。
【0005】
更に、規格IEEE 802.11i、「Medium Access Control Security Enhancements,IEEE 802.11i,September 2003」は、事前認証のための解決策について検討しているが、高速ハンドオーバのサポートがない。事前認証は、基本的に、キャッシュ内の鍵を使用してそれ自体を現在のアクセスポイントに対して特定するモバイル通信環境における移動局ローミングによって行なわれる。ここで、現在のアクセスポイントは古いアクセスポイントと一致する。鍵は、AAAサーバとも称される認証サーバおよびモバイル機器を用いて記憶されるマスター鍵から得られる。認証サーバは、得られた認証鍵を1つのアクセスポイントに対して送る。
【0006】
高速ハンドオーバのセキュリティは、IEEE 802.11iにおいて考慮中であるが、未だ何も決定されていない。キーイング機構および高速ハンドオーバ解決策が提案されているが、ローミングのための認証サーバにおいては前述した手法が使用されている。これについては、「N.Cam−Winget etal.,Keying for Fast Roaming,IEEE 802.11−02/241r2,May 2003」を参照されたい。認証サーバは、各アクセスポイント毎にローミング鍵を得てそれをアクセスポイントへ送り、また、モバイル機器もそのローミング鍵を得る。したがって、これらの2つは互いに認証することができる。そのため、特にバックボーンネットワーク内に多くのトラフィックが存在し且つアクセスサーバがアクセスポイントから離れて位置し或いはホットスポットにほぼ位置している場合、IEEE 802.11iにおいて前述した手法は、高速ローミングに全く適していない。更にまた、この規格IEEE 802.11iは、コンテキスト転送に関して検討していない。
【0007】
要するに、IEEE本体によって提案された手法は未だ予備段階にあり、高速ハンドオーバに関して何ら規定されていない。また、ハンドオーバ中のセキュリティ問題については大部分が棚上げされているが、IEEE LinkSec http://qrouper.ieee.orq/qroups/802/linksec//は、IEEE装置のための共通のセキュリティ解決策に向けて努力している。ここでは、主に、有線通信に注目が向けられている。
【0008】
したがって、欠けているものは、ドメイン間ハンドオーバ、すなわち、異なるステークホルダによって動作される分散無線通信環境間でのハンドオーバのための解決策、および、ハンドオーバ中の効率的な再認証のための解決策である。
【0009】
また、同じことが3G標準化提案にも当てはまる。これについては、3GPP技術仕様33.102、「3Gsecurity; Security Architecture,V5.1.0,December 2002」による。UMTSおよびGSM無線通信ネットワークにおいては、コンテキスト転送の手続きが提案されている。しかしながら、異なるステークホルダを用いてコンテキスト情報を送る問題については検討されておらず、技術は異なる無線通信ネットワークにわたって広がっている。
【0010】
「B.Aboba,and T.Moore,A Model for Context Transfer in IEEE 802,Internet Draft,expired,draft−aboba−802−context−02.txt,April 2002,and IETF Seamoby WG」によるほかの提案:http://www.ietf.orq/html.charters/seamoby−charter.htmlは、IETF Seamoby WGに関するものであり、シームレスな移動性の解決策に向けて努力している。ここで、コンテキスト転送要件に関する草案<draft−ietf−seamoby−ct−reqs−o5.txt>は、コンテキスト情報転送が優先順位に基づかなければならないことを提示する要件を有している。しかしながら、コンテキスト情報に優先順位をつける方法については検討されていない。また、<draft−ietf−seamoby−ctp−reqs−o1.txt>は、IP層のためのコンテキスト情報転送プロトコルを規定している。
【0011】
それにもかかわらず、このプロトコルは、分散モバイル通信環境およびドメイン間ハンドオーバに関連しておらず、また、ハンドオーバ中の再認証および相互認証に関連する問題、特に異なるステークホルダに関する問題について検討していない。
【0012】
更に他の提案は、異なるアクセス技術間での高速で且つシームレスなハンドオーバに照準を定めるIST Moby Diskである。ここで、提案されたハンドオーバ技術の大部分は、セキュリティ問題に焦点を合わせておらず、高速ハンドオーバを行なうことに照準を定めている(Hasan,J.Jahnert,S.Zander,and B.Stiller,Authentication,Authorization,Accounting,and Charging for the Mobile Internet,TIK−Report No.114,version 1,June 2001)。
【0013】
異種モバイル通信環境間のハンドオーバに対する更に他の手法は、「H.Wang,and A.R.Prasad,Security Context Transfer in Vertical Handover,in Proc.Of the14th International Symposium on Personal,Indoor,Mobile Radio Communication (PIMRC 2003),Beijing,China,September 2003」で検討されたが、この手法は、以下で説明する意味における分散モバイル通信環境のための高速で且つ安全なハンドオーバについて検討していない。
【発明の開示】
【発明が解決しようとする課題】
【0014】
以上に鑑みて、本発明の目的は、分散モバイル通信環境において安全で且つ高速のハンドオーバを達成することである。
【課題を解決するための手段】
【0015】
本発明によれば、この目的は、分散モバイル通信環境内における安全なハンドオーバの方法により達成される。安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器において実行される。最初に、新たなアクセス装置で予め形成されたセキュリティコンテキスト情報を使用して、モバイル機器と新たなアクセス装置との間で相互認証が実行される。その後、相互認証が成功した場合にのみ、現在のアクセス装置から新たなアクセス装置へのハンドオーバが実行される。
【0016】
したがって、本発明によれば、安全で且つ高速なハンドオーバのための全ての要件を満たすことができるとともに、コンテキスト情報転送がハンドオーバ前に利用できると仮定すると、既存の解決策に僅かな変更を加えるだけで済む。
【0017】
また、モバイル機器と新たなアクセス装置との間の相互認証により、ハンドオーバ中のサービスの質QoSの状態を向上させることができる。
【0018】
更にまた、既存の規格に最小限の変更を加えるだけで、ハンドオーバ機構に再認証を組み入れることができ、それにより、配置オプションが速くなり、関連してサービスの質QoSのレベルが高まることにより顧客の満足度が高まる。
【0019】
すなわち、本発明において、相互認証は、現在のアクセスポイントとモバイル通信環境内の新たなアクセスポイントとの間のハンドオーバの開始前に前記新たなアクセスポイントへ送られるセキュリティコンテキスト情報に依存しているため、安全で且つシームレスなハンドオーバを提供することができる。
【0020】
また、本発明の重要な利点は、ドメイン内ハンドオーバとも称される1つの通信ドメイン内でのハンドオーバに本発明が限定されず、以下においてドメイン間ハンドオーバとも称される異なる通信ドメイン間でのハンドオーバにも本発明を適用できるという点である。
【0021】
したがって、本発明によってはじめて、モバイル通信ネットワーク内でのドメイン内/ドメイン間ハンドオーバのシナリオにおいて高速で且つ安全なハンドオーバが可能になる。この場合、インテリジェンス(知能)、すなわち、ハンドオーバ制御関連機能は、通信環境内の無線・有線境界通信間の境界線で与えられる。
【0022】
本発明の好ましい実施形態において、安全なハンドオーバは、同じ通信ドメインのアクセス装置間で実行され、すなわち、ドメイン内ハンドオーバとして実行される。
【0023】
ここで、以下において認証値とも称される異なる安全鍵を使用することを提案する。そのような第1の鍵は、認証サーバでのモバイル機器のログオン中に生成されるマスター鍵である。このマスター鍵またはマスター秘密認証値は、その後、異なるアクセスポイントへと送られる。
【0024】
好ましくは、異なるアクセスポイントおよび認証サーバが安全な接続を有し、モバイル機器と関連するアクセスポイントとの間の相互認証に基づいてログインが行なわれる。
【0025】
本発明においては、アクセス装置およびモバイル機器が、アクセスポイントとモバイル機器との間の通信のための通信鍵を得るとともに、更なる第3の所謂ローミング鍵を得ることを提案する。
【0026】
本発明においては、初めて、好ましくはマスター鍵から生成され且つモバイル機器と新たなアクセス装置との間の相互再認証のために任意のタイプのハンドオーバ中に使用されるローミング鍵を使用することを提案する。
【0027】
また、本発明においては、好ましくはマスター鍵から生成され且つモバイル通信環境のアクセスポイント/基地局と移動局との間の通信の暗号化のために使用されても良い通信鍵を使用することを提案する。ここで、異なる通信鍵は、アップリンクおよびダウンリンクのため、すなわち、暗号化および復号化のために使用されても良い。
【0028】
また、強調すべき点は、本発明が、例えばTKIPやMBMS等の鍵生成方法及び/又は例えばハッシュ機能に基づく認証方法等の認証方法の特定のタイプの暗号化アルゴリズム、例えばDISやAIS等に限定されないという点である。
【0029】
更に他の好ましい実施形態においては、異なる暗号鍵のうちの少なくとも1つに対して更新時間が割り当てられることを提案する。時間の実際の長さは、暗号化アルゴリズムに応じて、鍵更新にとって最も良い時間に基づくことができる。そのような1つの例は、鍵更新時間をパケットナンバリングリミット(パケット数制限)に基づかせることである。例えば32ビットでは、232個のデータパケット後に鍵更新が引き起こされる。この目的は、完全性関連の問題が生じることを防止することである。更に他の解決策は、タイムスタンプだけを使用すること、あるいは、鍵更新前に送られるパケットの数に関する制限と組み合わせてタイムスタンプを使用することである。更に他の選択肢は、完全性ベクトルが使用される場合には、鍵更新を完全性ベクトルの長さに基づかせることである。
【0030】
本発明の更に他の好ましい実施形態においては、ドメイン内において或いはドメイン間ハンドオーバにおいては異なる通信ドメインにわたって各アクセス装置毎に近隣関係を維持し、それにより、ハンドオーバのための可能な新たなアクセス装置を特定することが提案される。
【0031】
近隣関係を維持する利点は、それにより、ハンドオーバの時間に拘束されることなく、セキュリティコンテキスト転送に適した任意の時間に近隣関係で特定された全てのアクセスポイントでセキュリティ関連のコンテキストを予め簡単に形成することができるという点である。
【0032】
ドメイン内ハンドオーバに関連する、すなわち、異なる通信ドメイン間でのハンドオーバに関連する本発明の更に他の好ましい実施形態においては、基本的にハンドオーバを2つの異なる段階に分割することが提案される。
【0033】
最初の段階は、ハンドオーバの準備、すなわち、現在の通信ドメイン内の認証サーバと新たな通信ドメイン内の関連する認証サーバおよびアクセス装置との間で信頼できる通信を構築すること、また、新たな通信ドメイン内の可能な新たなアクセス装置を用いて第1の通信ドメインから見られるマルチキャストドメインを拡張すること、更には、現在の通信ドメイン内のアクセス装置と新たな通信ドメイン内の認証サーバとの間で信頼できる関係を形成することに関連している。
【0034】
この後、実際のハンドオーバの実施は、同様に、再認証が成功した場合、再認証およびハンドオーバの実行に依存する。
【0035】
通信ドメイン境界にわたるハンドオーバに関連する更に他の好ましい実施形態は、新たな通信ドメイン内で開始されるモバイル機器の準備に関連している。
【0036】
特に、この好ましい実施形態においては、新たな通信ドメイン内のアクセスポイントに送られるセキュリティコンテキスト情報に加えて、セキュリティ情報をダウンロードすることが提案される。このセキュリティ情報により、モバイル機器は、新たな通信ドメイン内で最初の通信プロセスを開始することができる。
【0037】
一般に、セキュリティ情報は、少なくとも、第2の通信ドメインの識別情報、任意選択的には第2の通信ドメイン内のフォーリンエージェントのIPアドレス、関連する通信ドメインが現在の通信ドメインから送られると仮定する場合には新たな通信ドメインで通信を始めるための通信鍵、第2の通信ドメインで使用される暗号化アルゴリズムの表示を含んでいても良い。第2の通信ドメインで使用される暗号化アルゴリズムの前記表示は、第1および第2の通信ドメインが異なる暗号化アルゴリズムを使用する場合に好ましく、これにより、モバイル機器は、第2の通信ドメイン内でも適切な暗号化を使用して直ちに開始することができる。
【0038】
この好ましい実施形態の利点は、モバイル機器が、この新たな第2の通信ドメインで通信を開始するために、第2の通信ドメイン内のアクセス装置からのセキュリティ関連情報の供給に依存しなくて済むという点である。
【0039】
本発明の更に他の好ましい実施形態においては、第1の通信ドメイン内で通信およびローミング鍵に対して割り当てられたタイムアウト時間が、第2の通信ドメイン内の適切な装置によって延ばされても良いということを提案する。
【0040】
この好ましい実施形態の利点は、制御装置および第2の通信ドメインによるタイムアウト時間の延長により、関連するセキュリティ関連の暗号鍵が生成され及び/又は第2の通信ドメインで利用可能になり且つ第1の通信ドメインによって与えられるセキュリティ関連の暗号鍵がもはや必要なくなるまで、ハンドオーバ関連情報のやりとりを維持できるという点である。
【0041】
また、本発明の好ましい実施形態において、ドメイン内ハンドオーバのケースまたはドメイン間ハンドオーバのケースにおける通信の再開は、関連する通信関連鍵が利用できない場合あるいはもはや有効でない場合には、セキュリティ関連の暗号鍵を使用して行なわれても良い。
【0042】
すなわち、本発明によれば、通信のために異なるタイプの暗号鍵を使用することができ、それにより、ハンドオーバ中であってもシステム全体の操作性および自由度を高めることができる。
【0043】
本発明の他の好ましい実施形態においては、アクセス装置及び/又はモバイル機器の内部メモリへ直接にロードできるコンピュータプログラムプロダクトであって、当該プロダクトがアクセス装置及び/又はモバイル機器のプロセッサで実行される際に前述したような本発明のプロセスステップを行なうためのソフトウェアコード部分を含むコンピュータプログラムプロダクトが提供される。
【0044】
したがって、本発明は、また、本発明の方法ステップの実施をコンピュータまたはプロセッサシステム上で達成するために与えられる。結論として、そのような実施により、コンピュータシステムまたは更に具体的には例えば分散モバイル通信環境のアクセス装置及び/又はモバイル機器に備えられるプロセッサと共に使用できるコンピュータプログラムプロダクトが与えられる。
【0045】
本発明の機能を規定するこのプログラムは、多くの形式のコンピュータ/プロセッサに対して供給することができ、書き込み不可能な記憶媒体、例えばプロセッサまたはコンピュータI/Oアタッチメントによって読み取り可能なROMまたはCD ROMディスク等の読み出し専用メモリ装置に永久的に記憶された情報や、書き込み可能な記憶媒体、すなわち、フロッピー(登録商標)ディスクやハードドライブに記憶された情報、または、モデムまたは他のインタフェース装置を介してネットワーク及び/又はインターネット及び/又は電話機回路網等の通信媒体によりコンピュータ/プロセッサに伝えられる情報を含んでいるが、これらに限定されない。そのような媒体は、本発明の概念を実施するプロセッサ可読命令を保持する場合には、本発明の他の実施形態を表わすことは言うまでもない。
【0046】
以下、図面を参照しながら、本発明の最良の形態および好ましい実施形態について説明する。
【発明を実施するための最良の形態】
【0047】
以下、添付図面を参照しながら、本発明の最良の形態および好ましい実施形態について説明する。構造図またはフローチャートに関して関連する機能を説明する限りにおいては、当業者であれば容易に分かるように、そのような任意のタイプの機能がソフトウェアで実施されても良く或いはハードフェアで実施されても良く及び/又はそれらの任意の組み合わせを使用して実施されても良い。
【0048】
また、モバイル通信環境に言及する限りにおいては、当業者であれば容易に分かるように、モバイル通信環境のタイプには特定の制限が何ら課されない。したがって、本発明の意味におけるモバイル通信環境は、単独で行なわれ或いはその任意のハイブリッド形式で行なわれる、内在する技術、例えばモバイル通信技術、モバイル通信データサービス、無線ローカルエリアネットワーク、無線インターネットアクセス、無線衛星通信システム、有線通信環境と組み合わされた無線通信環境等とは関係なく、広義に理解されるべきである。そのような一般的な例は、GSM、UMTS/IMT2000、PDC、AMPS、D−AMPS、IS−95、WLAN、好ましくはIEEE 802.11シリーズである。
【0049】
更にまた、本発明の意味におけるアクセス装置は、無線通信環境の現在のネットワーク境界に設けられる任意のタイプのアクセスポイント、例えば一般的には無線ローカルエリアネットワークの基地局またはアクセスポイントとして理解されなければならない。
【0050】
更にまた、モバイル機器は、データ交換能力を有するモバイル機器、例えば、携帯電話、無線アクセスを持つPDA、ノートパソコン、ページ、回路切換接続またはパケット切換接続を使用する無線装置等として理解されなければならない。
【0051】
基本的なハンドオーバ手続き
図1は、分散通信環境における本発明に係る安全なハンドオーバの典型的な実施例を示す概略図を示している。特に、この実施例は、同じ通信ドメインの異なるアクセスポイント間でハンドオーバが達成される、いわゆるドメイン内ハンドオーバに関するものである。
【0052】
図1に示されるように、一般に、通信ドメイン10は、例えばハンドオーバに関し、無線通信と有線通信との間の境界線すなわちアクセスポイントとアクセスポイント14との間に位置する装置に対して制御論理が分配される分散型のものである。
【0053】
図1に示されるように、本発明の一般的な適用性を損なうことなく、少なくとも異なるアクセスポイント12,14が例えばローカルエリアネット等のワークバックボーンネットワーク16を介して接続されているとしても良い。
【0054】
また、更なるコンピュータ装置、例えばパーソナルコンピュータ18が同じバックボーンネットワーク16に対して接続されていても良い。また、無線通信環境内には、モバイルユーザのログオンのための認証サーバ20が設けられていなければならない。
【0055】
図1に示されるように、認証サーバは、例えばIEEE 802.11シリーズに従う認証サーバ、すなわち、AAAタイプのものであっても良い。
【0056】
更にまた、モバイル通信環境10の外側に位置する通信環境との更なるデータ交換のため、例えば認証サーバおよび広域ネットワーク24へのルータ22を介して、モバイル通信環境がフックされても良い。
【0057】
また、図1に示されるように、モバイル分散通信環境10内において、モバイル機器26は最初にアクセスポイント12への無線接続を有していても良く、その後、モバイル機器の移動中に、アクセスポイント14に対する無線通信に変わっても良い。以下、第1のアクセスポイントから第2のアクセスポイント14への無線接続のこのような変更をハンドオーバと称する。
【0058】
また、ハンドオーバは、1つの通信ドメインのアクセスポイント間で達成されるだけでなく、以下で詳細に説明するように、異なる通信ドメインのアクセスポイント間で達成されても良い。
【0059】
図2は、図1に示されるアクセスポイント12,14の概略図を示している。
【0060】
図2に示されるように、各アクセスポイントは、認証ユニット28と、ハンドオーバ制御ユニット30と、通信ユニット32とを有している。また、認証ユニット28は、セキュリティコンテキスト情報ユニット34と、暗号鍵ユニット36と、近隣関係ユニット38とを備えていても良い。任意選択的に、ハンドオーバ制御ユニット30が移動予測ユニットを備えていても良い。
【0061】
以下で説明する更なる内容にしたがって、認証ユニット28の機能は、移動局26とアクセスポイント12,14との間での全ての種類のセキュリティ関連のデータ交換および処理に関与している。これは、セキュリティコンテキスト情報ユニット34における所謂セキュリティコンテキストの処理と、暗号鍵ユニット36での暗号鍵の生成と、近隣関係ユニット38でのハンドオーバ候補の識別のための異なるアクセスポイント間の近隣関係を表わすデータのセットアップ、維持、記憶とに関与していても良い。
【0062】
また、ハンドオーバ制御ユニット30は、異なるアクセスポイント間でハンドオーバを実現するために必要な全ての種類の機能を動作可能に達成するとともに、任意選択的に、ハンドオーバのための可能な新たなアクセスポイントの識別のための移動予測を行なう。
【0063】
更にまた、例えば図1に示されるように、通信ユニット32は、一方では、アクセスポイントと移動局との間で全てのタイプのデータ交換を動作可能に達成し、また、アクセスポイントとモバイル通信環境10の全ての更なるネットワーク要素との間で全てのタイプのデータ交換を動作可能に達成する。
【0064】
図3は、本発明にしたがってハンドオーバを実行する移動局26または図1に示されていないが任意の他のタイプの移動局の概略図を示している。
【0065】
図3に示されるように、移動局26は、認証ユニット42と、ハンドオーバ制御ユニット44と、通信制御ユニット46とを備えている。なお、これらの異なるユニットは、アクセスポイントにおける関連するユニットに機能的に対応している。
【0066】
したがって、移動局26の認証ユニット42は、セキュリティ関連機能のための実施ユニットを備えている。第1のそのようなユニットは、特に移動局が新たな通信ドメインへローミングする際にセキュリティ関連の問題に関する情報を記憶して処理するようになっているセキュリティ情報ユニット48である。また、ログインユニット50は、特に各モバイル通信環境中に設けられる認証サーバを用いて、ログイン関連の機能を動作可能に達成する。更にまた、暗号鍵ユニット52は、移動局26と関連するアクセスポイント12,14との間での通信を暗号化するために様々な暗号鍵を生成し或いは処理して使用する働きをする。
【0067】
更にまた、ハンドオーバ制御ユニット44は、ハンドオーバ中に移動局側で要求される全ての制御機能を動作可能に達成する。任意選択的に、ハンドオーバ制御ユニットは、移動局のハンドオーバのための次のアクセスポイントを予測する移動予測ユニット54を備えていても良い。
【0068】
更にまた、移動局26の通信ユニット46は、移動局26とアクセスポイント12,14との間の任意のタイプの通信のやりとり、特に、ペイロードデータに関する通信のやりとり、および、制御データ、例えば以下に説明するような本発明の意味においてはハンドオーバおよびセキュリティ関連の情報に関する通信のやりとりに必要な全ての機能を果たす。
【0069】
また、本発明の範囲を限定することなく、以下では、ハンドオーバの開始前に以下の条件が満たされると仮定することができる。すなわち、
ネットワーク要素間の通信は安全(secure)であること。例えば、IEEE 802.11WLANにおいて、アクセスポイント間プロトコルは、アクセスポイント間で安全な通信を行なう。
移動局/ユーザのログイン又は最初の認証、あるいはその両方は、安全であること。
移動局がそれ自体を認証する或いは同等にログオンするための認証サーバ26およびネットワーク要素は、例えばバックボーンネットワーク16により安全な接続を有する。また、アクセスポイント間プロトコルも、異なるアクセスポイントの認証サーバ間で安全な接続を行なうこと。
異なる通信ドメインまたは異なるモバイル無線通信環境の認証サーバが信頼関係を有していること。
ネットワーク自体がサービスプロバイダであり、あるいは、サービスは、現在使用されているモバイル通信環境/ネットワークと信頼関係がある第三者コンテンツプロバイダによって提供されること。
【0070】
図4は、本発明に係る分散モバイル通信環境における安全なハンドオーバのための動作のフローチャートを示している。
【0071】
図4に示されるように、動作410では、最初に認証が実行され、任意選択的に、ネットワーク要素は、認証が成功するまでハンドオーバを遅らせるように通知される。ここで、認証は、新たなアクセスポイントで実行される。
【0072】
その後、動作420において、認証プロセスの成功が評価される。動作430で認証が成功した場合、ハンドオーバ手続きが実行される。任意選択的に、新たなアクセスポイントにおける近隣関係にしたがって、以下で詳細に説明するセキュリティコンテキスト情報が転送されてアクセスポイントで更新される。
【0073】
また、認証が成功しなかった場合には、プロセスが動作440へ移行し、前のアクセスポイントとの通信を再開する。認証およびハンドオーバがうまく実行されると、動作440にしたがって、新たなアクセスポイントと移動局との間で通信が再開される。
【0074】
ここで、言及しなければならないことは、移動局、現在のアクセス局、新たなアクセス局、または、モバイル通信環境中の任意のネットワーク要素のいずれかで、相互認証の動作410が実行されても良いということである。すなわち、認証は、専用の単一装置で達成されても良く、あるいは、モバイル通信環境にわたって分配されても良い。
【0075】
また、任意選択的に、動作410において、ハンドオーバの実行に関与している任意の装置は、認証の成功が実際に確認されるまでハンドオーバを遅らせるように通知される。それまでに、移動局と新たなアクセスポイントとの間での相互認証が終了し且つ成功していなければならない。
【0076】
また、図4に示されるように、通信を再開する動作440は、認証ハンドオーバ後、いわゆるセキュリティコンテキスト情報の使用に関して本発明にしたがって実行される。以下で説明するように、それは、第1に事前準備により通信機能を促進することができ且つ第2に第2のアクセスポイントの利用可能性によりハンドオーバのセキュリティを高めることができるハンドオーバの前に新たなアクセスポイントに移動されるこのセキュリティコンテキスト情報の使用である。
【0077】
したがって、ハンドオーバの自由度を高めるため、このセキュリティコンテキスト情報は、ハンドオーバのための1つの目標アクセスポイントで与えられるだけでなく、現在の通信ドメイン内、または、以下で説明するドメイン間ハンドオーバにおける通信ドメイン境界にわたって、現在起動されているアクセスポイントにおける近隣関係で識別された複数の可能なハンドオーバアクセスで与えられても良い。
【0078】
[メイン機構 − イントラドメイン]
図1に関する一般的な適用のシナリオは、同じモバイル通信環境のアクセス装置間でのハンドオーバの実行である。
【0079】
ここで、図5は、そのようなハンドオーバに対応するための動作のフローチャートを示している。
【0080】
図5に示されるように、動作510において、ユーザ/モバイル局はモバイル通信ネットワークにログインする。このログイン手続き中、動作510においては、ユーザがモバイル通信環境内で通信を実行する権限を与えられていることが認証サーバで検証される。
【0081】
その後、マスター鍵MKを生成するための動作520が続く。そのようなマスター鍵の生成の根底にある1つの一般的な例は、例えば移動局のうちの任意の1つ又はモバイル通信環境内の任意の他のネットワーク装置によって送られても良い2つのパブリック値を使用するディフィーヘルマン方法の適用である。また、ディフィーヘルマン方法の適用は、明らかに単なる一例として見なすことができ、また、本発明の範囲に関して拘束力がない。
【0082】
動作520でのマスター鍵の導出において適用される方法とは無関係に、マスター鍵は、適していると見なされさえすれば、認証サーバで得られても良く、アクセスポイントと認証サーバとの間で得られても良く、あるいは、アクセスポイントとモバイル機器との間で得られても良い。
【0083】
図5に示されるように、その後、動作530においては、生成されたマスター鍵が現在起動されているアクセスポイントへと送られる。また、任意選択的に、このマスター鍵は移動局にも送られる。
【0084】
図5に示されるように、動作540においては、移動局と現在のアクセスポイントとの間の通信の保護のため、生成されたマスター鍵が、いわゆるローミング鍵RKおよび通信鍵ASKの形成のための基準としての機能を果たす。すなわち、移動局でのアクセスにより、アクセスポイントと移動局との間での安全な通信のために使用される、いわゆる通信鍵ASKが得られる。また、このマスター鍵からは、1つのアクセスポイントから他のアクセスポイントへのハンドオーバ中に使用されるローミング鍵も与えられる。マスター鍵MKからの通信鍵ASKおよびローミング鍵RKの導出は、本発明の範囲を限定することなく、WPAおよびIEEE802.11iによって使用されるTKIPを含む文献における幾つかの任意の周知の方法を使用して行なうことができる。
【0085】
図5に示されるように、その後、動作550において、生成されたローミング鍵および通信鍵は、その後の通信ハンドオーバ中にこれらの鍵を使用する装置、特に移動局へと送られる。
【0086】
[セキュリティコンテキスト情報 − イントラドメイン]
前述したように、本発明の重要な態様は、安全なハンドオーバをサポートするセキュリティコンテキスト情報の生成に関するものである。
【0087】
本発明において、このセキュリティコンテキスト情報は、ハンドオーバを準備する前に少なくとも現在のアクセスポイントと新たなアクセスポイントとの間でやりとりされるとともに、以下の要素のうちの少なくとも1つの要素を含んでいる。すなわち、
マスター鍵MKと、
モバイル機器と新たなアクセスポイントとの間での相互の認証のためのローミング鍵RKと、
移動局と現在のアクセスポイント及び/又は新たなアクセスポイントとの間での相互の通信のための通信鍵ASKと、
移動局によって使用される暗号化のタイプの表示と、
マスター鍵のためのタイムアウト時間TO−MKと、
通信鍵のためのタイムアウト時間TO−ASKと、
ローミング鍵のためのタイムアウト時間TO−RKと、
セキュリティコンテキスト情報自体のためのタイムアウト時間TO−CIと、
タイムスタンプと、
現在のアクセス局の識別情報と、
仮の識別情報であっても良い、モバイル機器の識別情報と
のうちの少なくとも一つの要素である。
【0088】
本発明において、以下の関係は、異なるタイムアウト時間同士の間で保たれる。すなわち、セキュリティコンテキスト情報のためのタイムアウト時間TO−CIは、マスター鍵のためのタイムアウト時間TO−MK以上でなければならず、また、マスター鍵のためのタイムアウト時間TO−MKは、通信鍵のためのタイムアウト時間TO−ASK以上でなければならず、また、通信鍵のためのタイムアウト時間TO−ASKは、ローミング鍵のためのタイムアウト時間TO−RK以上でなければならない。
【0089】
一般に、異なるタイムアウト時間は、それに対する関係において与えられる値の更新のための上限時間としての機能を果たし、それにより、例えば、関連するタイムアウト時間の満了前に通信鍵が更新されるようになる。同様のことが、ローミング鍵、マスター鍵、あるいは、セキュリティコンテキスト情報に対しても適用される。
【0090】
タイムアウト時間の満了による異なる暗号鍵およびセキュリティコンテキスト情報の更新のトリガの他、他の可能性は、例えば、ローミング鍵または通信鍵が現在のアクセスポイントで得られ且つハンドオーバ中に新たなアクセスポイントへ送られるということである。
【0091】
第3の可能性は、例えば、移動局がハンドオーバを行なう度に、通信鍵が移動局および現在及び/又は新たなアクセスポイントによって得られるということである。更にまた、前述した3つの可能性に係る複合型の更新の使用も考え得る。
【0092】
タイムアウト時間を使用した場合、第1の選択肢は、タイムアウト時間の満了時に関連する通信鍵を更新することである。そうでない場合、すなわち、新たなアクセスポイントに送る場合、あるいは、ハンドオーバ中に得る場合には、現在のアクセスポイントがそれに関して知らなくても、移動局が現在のアクセスポイントに知らせることなくハンドオーバを行なうことを決定すると、ハンドオーバが生じる可能性がある。その後、新たなアクセスポイントで新たな通信鍵が生成されても良い。
【0093】
前述したように、アクセスポイントは、暗号鍵に加えて、移動局のためのセキュリティコンテキスト情報を形成しても良く、また、このセキュリティコンテキスト情報を、その隣りのアクセスポイント、特に例えばIEEE 802.11fに係るIAPP等のアクセスポイント間通信プロトコルにおける近隣関係グラフで特定されたアクセスポイントへ送っても良い。ここで、前記グラフは、グラフの構成要素によって動的に変えられても良く、あるいは、アクセスポイントの位置が変更されない場合には、ネットワーク管理者によって静的なグラフが形成されても良い。
【0094】
セキュリティコンテキスト情報を広げるため、第1のケースは、セキュリティコンテキスト情報が1つのアクセスポイントから他のアクセスポイントのみへと送られるユニキャストのケースであり、さもなければ、セキュリティコンテキスト情報が1つのアクセスポイントから近隣関係グラフで特定された複数の可能なハンドオーバアクセスポイントへと送られるマルチキャストのケースである。ユニキャストのケースの場合には、現在のアクセスポイントに現在接続され且つ新たなアクセスポイントへのハンドオーバを望んでいる移動局の位置、速度、方向等に基づいて、予測が行なわれても良い。任意選択的に、セキュリティコンテキスト情報は、ハンドオーバプロセスそれ自体の間にわたって或いはハンドオーバが行われた後に送られても良い。
【0095】
以上を考慮すると、本発明に係るドメイン内ハンドオーバのための提案された解決策は、アクセスポイントのサブステージスタートアップ、認証サーバを用いた移動局のログオン、セキュリティ関連の暗号鍵の生成、前述した意味でのハンドオーバの実行に依存している。
【0096】
一例として、アクセスポイントスイッチオンプロセスおよびWLAN規格下での認証サーバに対するログオンにより、IPSトンネルが生成されても良く、また、IPプロトコル下での1対1および1対多数の安全な関連付けは、現在のアクセスポイントからその後のハンドオーバにおいて考慮されるアクセスポイントまで存在していても良い。
【0097】
また、ハンドオーバの実行前においては、認証サーバに対するログオン中に暗号化方法が決定されなければならない。これが成されると仮定すると、本発明に係るドメイン内ハンドオーバを実行するための幾つかの異なる可能性が以下のように与えられても良い。なお、これらの可能性は、単なる一例と見なされる。
【0098】
ドメイン内(イントラドメイン)ハンドオーバ−ケースI
図6は、本発明に係るドメイン内ハンドオーバの第1の実施例における動作のフローチャートを示している。
【0099】
基本的に、図6に示されるハンドオーバの実施例は、同じ通信ドメイン内の1つのアクセスポイントへのハンドオーバに関するものである。この場合、新たなアクセスポイントは近隣関係グラフで特定される。このことは、ハンドオーバの実行前にセキュリティコンテキスト情報が近隣関係グラフ内のアクセスポイントへ転送されることを意味している。
【0100】
また、ハンドオーバにおける条件は、現在のアクセスポイントに対して新たなアクセスポイントを知らせる移動局を用いて、あるいは、移動局から通信の質等を判断して新たなアクセスポイントを移動局に知らせる現在のアクセスポイントを用いてハンドオーバが行なわれるということである。
【0101】
更にまた、移動局は、例えばセキュリティコンテキスト情報等のハンドオーバ関連情報のやりとりに関する現在のアクセスポイントと新たなアクセスポイントとの間の全ての通信が完了した後においてのみ、ハンドオーバを行なう。
【0102】
条件が満たされると仮定すると、動作610では、現在のアクセスポイントにおいて近隣関係にある少なくとも1つの新たなアクセスポイントが特定される。
【0103】
その後、動作620において、新たなアクセスポイントでのセキュリティコンテキストの利用可能性が評価される。
【0104】
そのようなセキュリティコンテキストが利用可能である場合、現在のアクセスポイントは、動作630において、ハンドオーバの実行を移動局に知らせるとともに、任意選択的に、ハンドオーバ手続きをトリガし、その後、図4に示される基本的な方式に従う。
【0105】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースII]
更なる実施例も、先と同様に、現在の通信ドメイン内の1つのアクセスポイントへのハンドオーバに関するものである。この場合、新たなアクセスポイントは、現在のアクセスポイントの近隣関係グラフで特定される。図6に示され且つ図6に関して説明した実施例とは異なり、ここでは、ハンドオーバのための条件は、移動局が現在のアクセスポイントに知らせることなくハンドオーバに関して知らせることであると仮定する。
【0106】
図7に示されるように、これは動作710において達成される。移動局によるハンドオーバのトリガ後、動作720では、図4に示される基本的な方式にしたがってハンドオーバ手続きが実行される。
【0107】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースIII]
ドメイン内ハンドオーバ、すなわち、同じ通信ドメイン内の1つのアクセスポイントへのハンドオーバの更なるケースは、新たなアクセスポイントが現在のアクセス局の近隣関係グラフで特定されないケース、すなわち、セキュリティコンテキスト情報がハンドオーバの実行へ移されないケースに関するものである。
【0108】
ここで、ハンドオーバにおける条件は、現在のアクセスポイントに対して新たなアクセスポイントを知らせる移動局を用いて、あるいは、移動局から通信の質等を判断して新たなアクセスポイントを移動局に知らせる現在のアクセスポイントを用いてハンドオーバが行なわれるということである。移動局は、セキュリティ関連情報のやりとりに関する現在のアクセスポイントと新たなアクセスポイントとの間の全ての通信が完了した後においてのみ、ハンドオーバを行なう。
【0109】
図8は、ドメイン内ハンドオーバのこの第3のタイプに係る安全なハンドオーバのための動作のフローチャートを示している。
【0110】
図8に示されるように、動作810において、移動局は、新たなアクセスへのハンドオーバに関して現在のアクセスポイントに知らせても良く、あるいは、現在のアクセスポイントは、同じハンドオーバに関して移動局に知らせても良い。ここで、動作810では、新たなアクセスポイントが現在のアクセスポイントの近隣関係で反映されないと仮定する。
【0111】
図8に示されるように、その後、動作820においては、任意選択的にネットワークオペレータの仲介により、ハンドオーバ実行前に新たなアクセスポイントでセキュリティコンテキスト情報が受けられる。
【0112】
図8に示されるように、最終的に、ハンドオーバは、図4に関して前述した原理に沿って、動作830で実行される。
【0113】
また、現在のアクセスポイントが新たなアクセスポイントと通信しなくても良いシナリオも想定できる。この場合、移動局は、セキュリティの理由により新たなアクセスポイントへのハンドオーバを行なわないことを知らされる。その後、ネットワーク管理者は新たなアクセスポイントに関して知らされ、これに続き、セキュリティコンテキスト情報が、前述した動作を担うこれらの新たなアクセスポイントに対して送られる。
【0114】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースIV]
このタイプのドメイン内ハンドオーバにおける動作のフローチャートを示す図9に関して例示されたドメイン内ハンドオーバの更なる拘束力がない例は、この場合も同様に、セキュリティコンテキスト情報が新たなアクセスポイントで利用できない状況に関するものである。ここでのハンドオーバにおける条件は、移動局がそれにおける現在のアクセスポイントに知らせることなくハンドオーバを行なうということである。
【0115】
図9に示されるように、このタイプのドメイン内ハンドオーバの場合、最初に、動作910において、移動局と新たなアクセスポイントとの間で認証が実行される。動作920において認証の失敗に関する問い合わせがなされた後、認証が成功した場合には、動作930において、新たなアクセスポイントへのハンドオーバが実行される。そうでない場合には、動作940において、セキュリティコンテキスト情報が新たなアクセスポイントに対して送られ、動作950において、移動局の再認証が新たなアクセスポイントで行なわれた後、動作930にしたがって新たなアクセスポイントへのハンドオーバが実行される。
【0116】
以上から明らかなように、本発明においては、プロトコルセキュリティレベルが暗号化アルゴリズムの要素および関連するレベルに対してもたらされる。ユーザは、プロセス全体および鍵生成に関して介入し/予想することが妨げられ、したがって、変異要素/アクセスポイントへのハンドオーバが妨げられる。セキュリティレベルが高まるが、これにより、ドメイン内ハンドオーバまたはドメイン間ハンドオーバとは無関係にハンドオーバ中の遅延が最小限に抑えられ、同時に、セキュリティレベルが維持される。
【0117】
[ドメイン間ハンドオーバ]
これまでは、図6〜図9に関してドメイン内ハンドオーバの特定の実施例について説明してきたが、以下では、図10〜図14に関してドメイン間ハンドオーバの詳細について説明する。
【0118】
ドメイン内ハンドオーバの場合と同様に、ドメイン間ハンドオーバの場合においても、対象は、継続中のサービスを中断することがない、通信ドメインの境界にわたってシームレスで、安全な、高速のハンドオーバである。
【0119】
ここで、図10は、ドメイン間ハンドオーバの典型的な実施例を示す概略図を表わしている。
【0120】
図10に示されるように、第1の通信ネットワークドメイン10および関連する接続された有線エリアネットワーク24に加えて、ドメイン間ハンドオーバ中には、第2の通信ネットワークドメイン56と、サービスプロバイダネットワークと、コンテンツプロバイダネットワーク58と、ルータ62を介して第2の通信ドメイン56の認証サーバ64に接続された更なる有線エリアネットワーク60とが含まれていても良い。
【0121】
また、図10は、第2の通信ネットワークにアクセスポイント66が同様にして設けられ且つバックボーンネットワーク16により少なくとも第1の通信ネットワークおよび第2の通信ネットワークにおけるネットワーク要素同士を結合することができることを示している。
【0122】
なお、図10に示される特定のネットワークセットアップは、単なる例示であり、本発明の範囲を限定するものと見なされるべきではない。本発明の一般的な適用のシナリオを説明するために無線ローカルエリアネットワークWLANが使用されているが、関連する全ての考え方は、任意の他のタイプのモバイル通信システム、すなわち、第2世代のモバイル通信電話ネットワーク、第2世代のモバイル通信電話ネットワーク、第3世代のモバイル通信電話ネットワーク、及び/又は、任意のハイブリッド形式等に関して同様に使用できることは言うまでもない。
【0123】
また、異なるタイプのネットワーク間のハンドオーバに関して、当該ハンドオーバは、現在のネットワークCNまたは同様に現在の通信ドメイン、更なる新たなネットワークまたは新たな通信ドメインNNと、ホームネットワークまたはホーム通信ドメインHNとの間で異なっていても良い。更に、サービスプロバイダネットワークSPNおよびコンテンツプロバイダネットワークCPNが含まれていても良い。
【0124】
これらの全てのネットワーク間では、信頼関係が存在するかどうか、すなわち、関連するネットワーク間の通信が保護されて安全であると見なされるかどうかを識別することができる。あるいは、信頼関係が要求されている場合には、通信のセットアップ前に適切な手段を講じて、2つのネットワーク間でのデータ交換中に通信に関して不正行為が生じないようにしなければならない。
【0125】
また、ホームネットワークHNが現在のネットワークCNに対して信頼関係を有し、更に、現在のネットワークCNが新たなネットワークNNに対して信頼関係を有しているとすると、ホームネットワークHNと現在のネットワークCNとの間の信頼関係および現在のネットワークCNと新たなネットワークNNとの間の信頼関係は、ホームネットワークHNと新たなネットワークNNとの間の通信において委譲されても良い。
【0126】
ドメインハンドオーバにおける基本的なシナリオは、現在のネットワークからのハンドオーバである。この場合、現在のネットワークは、新たなネットワークに対するホームネットワークである。ここで、新たなネットワークNNは、現在のネットワークCNとの以前の信頼関係を有していても良く、あるいは、現在のネットワークとの信頼関係を有していなくても良い。
【0127】
現在のネットワークと新たなネットワークとの間に信頼関係が存在する場合には、新たなネットワークの適用ポイントは、現在のネットワークのマルチキャストドメインの一部になり、逆もまた同様である。現在のネットワークが全てのセキュリティコンテキスト情報を新たなネットワークへ転送する必要はない。例えば、マスター鍵または通信鍵を送る必要はない。現在のネットワークCNのアクセスポイントは、そのウェイクアップにおいて、隣の異なるネットワークとの信頼関係に関して知らされ、また、この情報は、認証サーバによって定期的に更新される。情報が特定のタイムアウト時間TO−TRUST内に更新されない場合、アクセスポイントは、更新を要求する認証サーバとコンタクトをとっても良い。
【0128】
すなわち、ドメイン間ハンドオーバにおいても、セキュリティコンテキスト情報が維持されるとともに、このセキュリティコンテキスト情報は、例えばこれを現在のアクセスポイントの近隣グラフへ送ることにより、現在のネットワークCNと新たなネットワークNNとの間でやりとりされる。
【0129】
ここで、前述したドメイン内ハンドオーバのシナリオに加えて、セキュリティコンテキスト情報の一部は、現在のネットワークCNと新たなネットワークNNとの間の信頼関係のタイプまたは程度に依存している。
【0130】
一般に、セキュリティコンテキスト情報は、少なくとも以下のものを含んでいる。すなわち、
移動局のために使用される暗号化アルゴリズムと、
移動局サポートの暗号化アルゴリズムと、
マスター鍵と(このマスター鍵の転送は、異なるネットワーク間の信頼関係のレベルに依存している。)、
マスター鍵のためのタイムアウト時間TO−MKと、
ローミング鍵RKと、
ローミング鍵のためのタイムアウト時間TO−RKと、
通信鍵ASKと(この通信鍵は、ハンドオーバ期間の度に通信鍵ASKが得られない場合にのみ送られる。更に、通信鍵ASKの転送は、現在のネットワークと新たなネットワークとの間の信頼関係のレベルに依存している。)、
通信鍵のためのタイムアウト時間TO−ASKと、
セキュリティコンテキスト情報タイムアウト時間TO−CIと、
タイムスタンプと
アクセスポイントの識別情報と
移動局の識別情報と(この識別情報は、MACアドレスまたはIPアドレスを含んでいても良く、また、例えば最初のログイン手続き中に、周知のIDから、UMTSで使用される仮IDが生成されても良い。)、
現在のネットワークの識別情報と
である。
【0131】
また、ドメイン内ハンドオーバに関して前述したように、ドメイン間ハンドオーバにおいても、ローミング鍵および通信鍵のタイムアウト時間は、必要に応じて、モバイル機器と関連するネットワーク要素との間での最初の通信のため、新たな通信ドメイン内で広げられても良い。
【0132】
ドメイン間ハンドオーバにおいては、スムーズなハンドオーバを促進させるために、ハンドオーバが現在のネットワークCNから新たなネットワークNNへと行なわれると、セキュリティコンテキスト情報に加えて、セキュリティ情報も移動局へと送られる。
【0133】
特に、このセキュリティ情報は、更なる通信関連情報が関連するアクセスポイント間でやりとりされているか否かにかかわらず、移動局が新たなネットワークに備えられるように与えられる。
【0134】
ここで、移動局に対して与えられるセキュリティ情報の内容は、少なくとも次を含んでいる。すなわち、
新たなネットワークの識別情報と、
モバイルIPv4が使用される場合に好ましくは与えられる新たなネットワークのためのフォーリンエージェントのIPアドレスと、
現在のネットワークを介して新たなネットワークから予め得られ且つ使用されるネットワークの種類に依存しているIPアドレスと、例えば、WLANの例において使用されるインターネットプロトコルIPのバージョン(これは、MIPが使用される場合には必要とされないかもしれない。)と、
暗号鍵と(ここで、暗号鍵は、移動局および新たなネットワークにおける新たなアクセスポイントのための新たな通信鍵である。この暗号鍵は、通信鍵が現在のアクセスポイントを介して新たなネットワークの新たなアクセスポイントへ送られない場合には、セキュリティ情報内に含まれる。さもなければ、以下の場合には、暗号鍵がセキュリティ情報内に含まれる。すなわち、
(i)通信鍵ASKが現在のアクセスポイントにより新たなネットワーク内の新たなアクセスポイントへ送られない場合。
(ii)更に新たなマスター鍵MKを新たなネットワークで形成できる前に通信鍵ASKがタイムアウトする場合、マスター鍵MKが新たなネットワークへ送られず、移動局が新たな通信鍵ASKを得ることができず、あるいは、古いマスター鍵に基づいて誤った通信鍵ASKを得る場合、マスター鍵MKは新たなネットワーク内の新たなアクセスポイントへ送られないが、通信鍵ASKは送られる。したがって、「タイムアウト ≧ 残されたASKまたはRK ≧ T−MK」の条件が成り立つ場合には、新たな通信鍵ASKが、新たなネットワーク内の新たなアクセスポイントによって送られる。ここで、残されたTO−ASKまたはRKは、通信鍵ASKまたはローミング鍵RKにおいて残された時間である。すなわち、この時間の満了後、通信鍵ASKは、タイムアウトすると共に、無効になる。また、T−MKは、新たなネットワーク内の認証サーバおよび移動局によって新たなマスター鍵を生成するために必要な時間である。また、通信鍵が現在のネットワークによって新たなネットワークへ送信されない可能性、あるいは、新たなネットワークによって現在のネットワークへ送信されない可能性もある。)、
【0135】
暗号鍵のためのタイムアウト時間と、
暗号化アルゴリズムと(新たなネットワークのアクセスポイントが現在のネットワークで使用された暗号化アルゴリズムと比べて異なる暗号化アルゴリズムを使用する可能性がある。そのような場合、現在のアクセスポイントは、移動局および新たなアクセスポイントによって使用される最良の期間および暗号化アルゴリズムを選択することができるとともに、これについて移動局に知らせることができる。最良の可能な暗号化アルゴリズムは、移動局のやり方および新たなネットワークで使用されるやり方に基づいて選択することができる。新たなネットワークはハンドオーバ後に常に制御可能であり、これにより、現在のネットワークは、必要に応じて常に、ジョブを行なうことができ、すなわち、実施策に基づいて暗号化アルゴリズムを選択することができる。新たなネットワーク内の新たなアクセスポイントは、移動局がサポートする暗号化アルゴリズムを知っているため、選択した暗号化アルゴリズムを現在のアクセスポイントに知らせることができる。)
である。
【0136】
[ドメイン間 − 準備的セットアップ]
以下に説明するドメイン間ハンドオーバに関する異なる適用のシナリオは、以下の拘束力のない前提に基づいている。すなわち、
ネットワーク要素間の通信は安全(secure)であること。
IEEE 802.11 WLANについて、アクセスポイント間プロトコルは、アクセスポイント間で安全な通信を行なうことが仮定できること。
モバイル機器のログインまたは最初の認証は、IEEE 802.11 WLANが移動局である場合、ユーザに安全であること。
モバイル機器がそれ自体を認証またはログオンするための認証サーバおよびネットワーク要素は、安全な接続を有していること。アクセスポイント間プロトコルは、認証サーバとアクセスポイントとの間で安全な接続を行なう。
異なる通信ドメインまたはネットワーク間の認証サーバは、先に概略的に説明したハンドオーバ状況に依存する信頼関係を有していること。
ネットワーク自体は、サービスプロバイダ、または、現在の全てのネットワークドメインと信頼関係を有する第三者コンテンツプロバイダによって提供されるサービスであること。
【0137】
図11は、本発明に係るドメイン間ハンドオーバを準備する動作のフローチャートを示している。
【0138】
最初に、動作1110においては、通信ネットワーク間の信頼できる通信が利用できるように備える。その後、動作1120において、現在の通信ネットワークのマルチキャストドメイン、特に現在のアクセスポイントが拡張される。このステップは任意である。その後、動作1130において、現在のアクセスポイントと現在の認証サーバとの間で信頼できる通信が形成される。この動作も任意である。
【0139】
図11に示されるように、ドメイン間ハンドオーバの準備においては、動作1140で、前述したセキュリティ情報が移動局に対して送信される。また、任意選択的に、ローミング鍵RK、通信鍵ASK及び/又はマスター鍵MKも送信される。
【0140】
また、図11に示されるように、動作1150では、移動局に対して与えられるセキュリティ情報以外に、アクセスポイントに関するセキュリティコンテキスト情報の少なくとも一部も、新たなアクセスポイントへ送信される。
【0141】
その後、図11に示されるように、動作1160に移行してハンドオーバが実行され、動作1170で通信が再開される。
【0142】
図11に示されるように、任意選択的に動作1180では、前のアクセスポイントにハンドオーバが知らされる。動作1190においては、セキュリティ関連情報に関して、特にセキュリティコンテキスト情報に関して、新たなアクセスポイントに隣接する全てのアクセスポイントが更新される。
【0143】
[ドメイン間 − 基本的なハンドオーバ]
以下では、現在のネットワークから新たなネットワークへの基本的なハンドオーバ手続きに関して、図11に示されるハンドオーバを実行するための動作1160の詳細を説明する。なお、この場合、前述したように信頼通信リンクが構築されると仮定し、また、図11に示されるようにセキュリティ情報がモバイル機器へダウンロードされると仮定する。
【0144】
一般に、基本的なハンドオーバ手続きにおいては、ハンドオーバが実行されると、移動局と新たなアクセスポイントとの間で相互認証が行なわれる。この場合、この目的のためにローミング鍵が使用されることが好ましい。ここでは、任意の周知の相互認証方法が使用されても良い。
【0145】
相互認証が行なわれると、通信を続行して再開することができる。これは、移動局におけるコンテキスト情報を新たなアクセスポイントを用いて利用できるからである。したがって、基本的なハンドオーバ手続きは、図4におけるドメイン内ハンドオーバに関して前述したそれと類似している。
【0146】
通信鍵が新たなネットワーク内の新たなアクセスに対して通信されない場合あるいは新たなアクセスポイントによって移動局へ通信されない場合には、最初に、ローミング鍵RKを使用して通信が行なわれる。
【0147】
また、新たなアクセスポイントは、その近隣関係グラフ内の全てのアクセスポイントに対してコンテキスト情報を送る。新たなアクセスポイントは、新たなネットワーク内の関連する認証サーバにハンドオーバ手続きを知らせ、また、新たなネットワーク内の認証サーバも同様に現在のネットワーク内の認証サーバに知らせる。
【0148】
また、移動局および新たな認証サーバは、現在使用されている通信鍵ASKおよびローミング鍵がタイムアウトする前に新たなマスター鍵を生成する。なお、ここでは、これは、マスター鍵が現在のネットワークから新たなネットワークへ送られない場合にのみ行なわれる。
【0149】
更に、移動局および新たなアクセスポイントは通信鍵ASKを生成する。通信鍵ASKが無く且つ通信のためにローミング鍵RMが使用される場合には、前の通信鍵が満了した後においてのみ新たな通信鍵ASKが生成されても良い。
【0150】
以上を考慮すると、移動局が現在のネットワークから新たなネットワークへローミングする際には、最初に、移動局が始めるために、あるいは、すなわち予備通信のためにローミング鍵およびセキュリティ情報が使用されるのは明らかである。
【0151】
したがって、ローミング鍵は、新たなネットワーク内のマスター鍵を生成できる十分に長い寿命(存続期間)を有していなければならない。通信鍵が現在のネットワークから新たなネットワークへ送られる場合には、同じことが通信鍵ASKにも当てはまる。
【0152】
マスター鍵が新たなネットワークで生成されると、これにより、前述した意味におけるその後の更なるハンドオーバのために、関連する通信鍵ASKおよびローミング鍵RKを新たなネットワークでも生成することができる。関連する生成された通信鍵およびローミング鍵は、現在起動されている新たなアクセスポイントの近隣関係の一部である新たなネットワーク内のアクセスポイントのその後の更新のため、セキュリティコンテキスト情報中に組み入れられる。
【0153】
以下、現在のネットワークから新たなネットワークへの基本的なハンドオーバ手続きが、異なる一群、すなわち、現在のネットワークおよび新たなネットワークが信頼関係を有する或いは有さない一群に対して適用される方法について説明する。
【0154】
[ドメイン間 − ケースI]
第1のそのような関係は、現在のネットワークおよび新たなネットワークが信頼関係を有しているケースである。このタイプのドメイン間ハンドオーバにおける動作の関連するフローチャートが図12に示されている。
【0155】
図12に示されるように、ハンドオーバが信頼関係をもって新たなネットワークに対して達成されるとともに、新たなアクセスポイントが現在のアクセスポイントに対する近隣関係で特定され、すなわち、動作1210においてセキュリティコンテキスト情報がこの新たなアクセスポイントへ転送されるものと仮定する。
【0156】
ここで、ハンドオーバのための条件は、現在のアクセスポイントに新たなアクセスポイントを知らせる移動局を用いてハンドオーバが行なわれるということであり、あるいは、通信の質のような基準から判断する現在のアクセスポイントが移動局に対して新たなアクセスポイントを知らせるということである。また、他の基準は、現在のアクセスポイントと新たなアクセスポイントとの間の通信の全てが完了した後においてのみ移動局がハンドオーバを行なうということである。
【0157】
図12に示されるように、動作1220では、ハンドオーバ前に新たなアクセスポイントにハンドオーバが知らされ、同じことが移動局にも適用される。
【0158】
図12に示されるように、その後、動作1230において、ハンドオーバを実行するようにモバイル機器に指示する現在のアクセスポイントにより、ハンドオーバ自体の実行がなされる。
【0159】
[ドメイン間 − ケースII]
ドメイン間ハンドオーバの更なるタイプを図13に関して説明する。
【0160】
ここで、ハンドオーバは、例えば共に信頼関係を有する現在のネットワーク内の1つのアクセスポイントから新たなネットワークへと行なわれるとする。
【0161】
図13に示されるように、ここでは、ハンドオーバのための条件は、動作1310において新たなアクセスポイントだけにハンドオーバが知らされ、その後、動作1320において、新たなアクセスポイントに知らせることなくハンドオーバが実行されるということである。
【0162】
[ドメイン間 − ケースIII]
更なるハンドオーバの状況および手続きは、信頼関係を有さない現在のネットワークおよび新たなネットワークに関するものである。関連するタイプのハンドオーバが図14に示されている。
【0163】
現在のネットワークおよび新たなネットワークが互いに信頼関係を有しておらず且つ移動局が新たなネットワークへのハンドオーバを要求し或いは新たなネットワークへ引き渡された場合には、現在のアクセスポイントが知らされた状態で或いは現在のアクセスポイントが知らされない状態で、新たなネットワーク内のアクセスポイントへのハンドオーバが起こるという選択肢が生じる。
【0164】
最初のケースにおいて、現在のアクセスポイントが知らされるということは、図14に示されるように現在のアクセスポイントが全ての必要な手続きを処理した後にハンドオーバが行なわれることを意味している。
【0165】
ここで、第1の動作1410は、第1および第2のネットワーク間で信頼関係を生成する。したがって、動作1410,1420において、現在のアクセスポイントは、認証サーバとコンタクトをとるとともに、要求されたハンドオーバに関して認証サーバおよび現在のネットワークに知らせた後、新たなネットワーク内の認証サーバとコンタクトをとって、信頼関係を形成する。
【0166】
その後、動作1430において、セキュリティコンテキスト情報が新たなネットワーク内の新たなアクセスポイントへ送られ、また、ハンドオーバ手続きは、前述した基本的なハンドオーバ手続きと同じである。
【0167】
なお、ここでは、現在のネットワークと新たなネットワークとの間の通信の遅れに起因して、移動局は、現在のネットワークと新たなネットワークとの間に信頼関係が形成される前にハンドオーバを行なうことができる。
【0168】
現在のアクセスポイントが知らされないことを前提とし、移動局は、現在のアクセスポイントに知らせることなく新たなアクセスポイントへ移動するものとする。通信は、現在の通信ネットワーク内で、すなわち、認証サーバ増進策またはハンドオーバ前のように通信を再開するための同様の手法を使用して、中断されるとともに再び確立される。
【0169】
これまで、基本的な手続きに関して、ドメイン間ハンドオーバの状況、すなわち、現在のネットワークおよび新たなネットワークが信頼関係を有する状況、および、現在のネットワークおよび新たなネットワークが信頼関係を有さない状況を説明してきた。
【0170】
これに加え、ハンドオーバの状況および手続きは、現在のネットワークおよび新たなネットワークのタイプによって、すなわち、現在のネットワークがホームネットワークであるか否かによって、また、新たなネットワークがホームネットワークであるか否かによって分類されても良く、更には、新たなネットワークとホームネットワークとの間の信頼関係に関して分類されても良い。
【0171】
これまでは、移動局がそのホームネットワークではない新たなネットワークからそのホームネットワークではない他の新たなネットワークへのハンドオーバを行なう状況が存在する。なお、ここでは、いずれにせよ、ホームネットワーク内の認証サーバにハンドオーバ手続きが知らされなければならない。
【0172】
最初のケースは、信頼関係を有する新たなネットワークおよび現在のネットワークに関するものである。このケースでは、新たなネットワークがホームネットワークとの信頼関係を有していない場合であっても、信頼関係を現在のネットワークから新たなネットワークへ委譲することができる。信頼関係を委譲する部分以外、ハンドオーバ手続きは、図12および図13に関して前述した手続きと同じである。
【0173】
新たなネットワークがホームネットワークとの信頼関係も有していないことを考慮すると、第2の状況は、現在のネットワークおよび新たなネットワークが信頼関係を有していない場合に生じる。このことは、図14で説明した手続きにしたがってホームネットワークと新たなネットワークとの間でとにかく信頼関係が形成されなければならないことを意味している。
【0174】
第3の状況は、新たなネットワークがホームネットワークとの信頼関係を有している場合に生じる。ここで、現在のネットワークも新たなネットワークとの信頼関係を有している場合には、信頼関係だけがチェックされ、その後、図12および図13に係る手続きが行なわれる。
【0175】
あるいは、現在のネットワークが新たなネットワークとの信頼関係を有していない場合には、現在のネットワークは、ホームネットワークが新たなネットワークとの信頼関係を有しているかどうかをチェックする。ここで、ホームネットワークは、信頼関係を委譲しても良く、その後、図12および図13に関して前述したような手続きが行なわれる。
【0176】
最後に、他のハンドオーバの状況は、新たなネットワークがホームネットワークである場合、あるいは、言い換えると、移動局が元のホームネットワークへローミングしている場合に生じる。ここで、通常は、現在のネットワークとホームネットワークである新たなネットワークとの間に信頼関係が存在していなければならず、それにより、その後、図12および図13に関して前述したような手続きが行なわれる。
【図面の簡単な説明】
【0177】
【図1】本発明に係るドメイン内ハンドオーバの典型例に関する概略図を示している。
【図2】本発明に係るアクセス装置の概略図を示している。
【図3】本発明に係るモバイル機器の概略図を示している。
【図4】本発明に係る分散モバイル通信環境内での安全なハンドオーバにおける動作のフローチャートを示している。
【図5】本発明に係る分散モバイル通信環境内での安全なハンドオーバの準備における動作のフローチャートを示している。
【図6】本発明に係るドメイン内ハンドオーバの第1のタイプにおける動作のフローチャートを示している。
【図7】本発明に係るドメイン内ハンドオーバの第2のタイプにおける動作のフローチャートを示している。
【図8】本発明に係るドメイン内ハンドオーバの第3のタイプにおける動作のフローチャートを示している。
【図9】本発明に係るドメイン内ハンドオーバの第4のタイプにおける動作のフローチャートを示している。
【図10】本発明に係るドメイン間ハンドオーバの典型例を説明する概略図を示している。
【図11】本発明に係るドメイン間ハンドオーバの準備における動作のフローチャートを示している。
【図12】本発明に係るドメイン間ハンドオーバの第1のタイプにおける動作のフローチャートを示している。
【図13】本発明に係るドメイン間ハンドオーバの第2のタイプにおける動作のフローチャートを示している。
【図14】本発明に係るドメイン間ハンドオーバの第3のタイプにおける動作のフローチャートを示している。
【技術分野】
【0001】
本発明は、分散モバイル通信環境内でのハンドオーバの方法に関し、特に、分散モバイル通信環境のための安全なドメイン内およびドメイン間ハンドオーバに関するものである。
【背景技術】
【0002】
次世代モバイル通信ネットワークは、無線インフラ要素と有線インフラ要素との間のエッジに対して分配(分散)される制御インテリジェンスを有している。したがって、モバイル通信環境のエッジに対するインテリジェンスの分配(分散)を、以下では、分散モバイル通信環境と称する。以下では、そのような分散モバイル通信環境の特定の実施例について言及するが、任意のタイプの分散モバイル通信環境、例えば、GSM、UMTS/IMT2000、PDC、AMPS、DAMPS、IS−95、WLAN.....,およびその任意のハイブリッド形式が、以下で説明する技術的教示内容によって網羅されると見なされることは言うまでもない。
【0003】
今日では、例えばドメイン内ハンドオーバ、すなわち、同じモバイル通信環境のアクセスポイント及び/又は基地局との間のハンドオーバに関して問題が生じている。特に、既存の解決策では、高速で安全なシームレスなハンドオーバを支持して、第1のネットワークアクセスポイントと第2のネットワークアクセスポイントとの間で、認証されたハンドオーバを高速に行なうことはできない。実際に、これは、分散ネットワークを使用する次世代モバイル通信においては大きな問題である。
【0004】
既存の解決策は、「IEEE 802.11f,IEEE,Draft Recommended Practice for Multi−Vendor Access Point Interoperability via an Inter−Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation,IEEE 802.11f,January 2003」から周知であり、これは、コンテキスト情報を使用し、アクセスポイントでコンテキスト情報をキャッシュするモバイル通信環境の1つのドメイン内での高速ハンドオーバのための解決策を与えている。一般に、アクセスポイントは、現在のアクセスポイントのマルチキャストドメインとも称される現在起動されているアクセスポイントAPの所謂近隣関係グラフ内にある。この規格は、新たなアクセスポイントへのコンテキスト情報の安全な転送のための解決策を与えるが、それにもかかわらず、コンテキスト情報が実際に含むべきものを規定していない。また、規格IEEE 802.11fは、相互認証が新たなアクセスポイントでどのように行なわれるべきかを規定していない。
【0005】
更に、規格IEEE 802.11i、「Medium Access Control Security Enhancements,IEEE 802.11i,September 2003」は、事前認証のための解決策について検討しているが、高速ハンドオーバのサポートがない。事前認証は、基本的に、キャッシュ内の鍵を使用してそれ自体を現在のアクセスポイントに対して特定するモバイル通信環境における移動局ローミングによって行なわれる。ここで、現在のアクセスポイントは古いアクセスポイントと一致する。鍵は、AAAサーバとも称される認証サーバおよびモバイル機器を用いて記憶されるマスター鍵から得られる。認証サーバは、得られた認証鍵を1つのアクセスポイントに対して送る。
【0006】
高速ハンドオーバのセキュリティは、IEEE 802.11iにおいて考慮中であるが、未だ何も決定されていない。キーイング機構および高速ハンドオーバ解決策が提案されているが、ローミングのための認証サーバにおいては前述した手法が使用されている。これについては、「N.Cam−Winget etal.,Keying for Fast Roaming,IEEE 802.11−02/241r2,May 2003」を参照されたい。認証サーバは、各アクセスポイント毎にローミング鍵を得てそれをアクセスポイントへ送り、また、モバイル機器もそのローミング鍵を得る。したがって、これらの2つは互いに認証することができる。そのため、特にバックボーンネットワーク内に多くのトラフィックが存在し且つアクセスサーバがアクセスポイントから離れて位置し或いはホットスポットにほぼ位置している場合、IEEE 802.11iにおいて前述した手法は、高速ローミングに全く適していない。更にまた、この規格IEEE 802.11iは、コンテキスト転送に関して検討していない。
【0007】
要するに、IEEE本体によって提案された手法は未だ予備段階にあり、高速ハンドオーバに関して何ら規定されていない。また、ハンドオーバ中のセキュリティ問題については大部分が棚上げされているが、IEEE LinkSec http://qrouper.ieee.orq/qroups/802/linksec//は、IEEE装置のための共通のセキュリティ解決策に向けて努力している。ここでは、主に、有線通信に注目が向けられている。
【0008】
したがって、欠けているものは、ドメイン間ハンドオーバ、すなわち、異なるステークホルダによって動作される分散無線通信環境間でのハンドオーバのための解決策、および、ハンドオーバ中の効率的な再認証のための解決策である。
【0009】
また、同じことが3G標準化提案にも当てはまる。これについては、3GPP技術仕様33.102、「3Gsecurity; Security Architecture,V5.1.0,December 2002」による。UMTSおよびGSM無線通信ネットワークにおいては、コンテキスト転送の手続きが提案されている。しかしながら、異なるステークホルダを用いてコンテキスト情報を送る問題については検討されておらず、技術は異なる無線通信ネットワークにわたって広がっている。
【0010】
「B.Aboba,and T.Moore,A Model for Context Transfer in IEEE 802,Internet Draft,expired,draft−aboba−802−context−02.txt,April 2002,and IETF Seamoby WG」によるほかの提案:http://www.ietf.orq/html.charters/seamoby−charter.htmlは、IETF Seamoby WGに関するものであり、シームレスな移動性の解決策に向けて努力している。ここで、コンテキスト転送要件に関する草案<draft−ietf−seamoby−ct−reqs−o5.txt>は、コンテキスト情報転送が優先順位に基づかなければならないことを提示する要件を有している。しかしながら、コンテキスト情報に優先順位をつける方法については検討されていない。また、<draft−ietf−seamoby−ctp−reqs−o1.txt>は、IP層のためのコンテキスト情報転送プロトコルを規定している。
【0011】
それにもかかわらず、このプロトコルは、分散モバイル通信環境およびドメイン間ハンドオーバに関連しておらず、また、ハンドオーバ中の再認証および相互認証に関連する問題、特に異なるステークホルダに関する問題について検討していない。
【0012】
更に他の提案は、異なるアクセス技術間での高速で且つシームレスなハンドオーバに照準を定めるIST Moby Diskである。ここで、提案されたハンドオーバ技術の大部分は、セキュリティ問題に焦点を合わせておらず、高速ハンドオーバを行なうことに照準を定めている(Hasan,J.Jahnert,S.Zander,and B.Stiller,Authentication,Authorization,Accounting,and Charging for the Mobile Internet,TIK−Report No.114,version 1,June 2001)。
【0013】
異種モバイル通信環境間のハンドオーバに対する更に他の手法は、「H.Wang,and A.R.Prasad,Security Context Transfer in Vertical Handover,in Proc.Of the14th International Symposium on Personal,Indoor,Mobile Radio Communication (PIMRC 2003),Beijing,China,September 2003」で検討されたが、この手法は、以下で説明する意味における分散モバイル通信環境のための高速で且つ安全なハンドオーバについて検討していない。
【発明の開示】
【発明が解決しようとする課題】
【0014】
以上に鑑みて、本発明の目的は、分散モバイル通信環境において安全で且つ高速のハンドオーバを達成することである。
【課題を解決するための手段】
【0015】
本発明によれば、この目的は、分散モバイル通信環境内における安全なハンドオーバの方法により達成される。安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器において実行される。最初に、新たなアクセス装置で予め形成されたセキュリティコンテキスト情報を使用して、モバイル機器と新たなアクセス装置との間で相互認証が実行される。その後、相互認証が成功した場合にのみ、現在のアクセス装置から新たなアクセス装置へのハンドオーバが実行される。
【0016】
したがって、本発明によれば、安全で且つ高速なハンドオーバのための全ての要件を満たすことができるとともに、コンテキスト情報転送がハンドオーバ前に利用できると仮定すると、既存の解決策に僅かな変更を加えるだけで済む。
【0017】
また、モバイル機器と新たなアクセス装置との間の相互認証により、ハンドオーバ中のサービスの質QoSの状態を向上させることができる。
【0018】
更にまた、既存の規格に最小限の変更を加えるだけで、ハンドオーバ機構に再認証を組み入れることができ、それにより、配置オプションが速くなり、関連してサービスの質QoSのレベルが高まることにより顧客の満足度が高まる。
【0019】
すなわち、本発明において、相互認証は、現在のアクセスポイントとモバイル通信環境内の新たなアクセスポイントとの間のハンドオーバの開始前に前記新たなアクセスポイントへ送られるセキュリティコンテキスト情報に依存しているため、安全で且つシームレスなハンドオーバを提供することができる。
【0020】
また、本発明の重要な利点は、ドメイン内ハンドオーバとも称される1つの通信ドメイン内でのハンドオーバに本発明が限定されず、以下においてドメイン間ハンドオーバとも称される異なる通信ドメイン間でのハンドオーバにも本発明を適用できるという点である。
【0021】
したがって、本発明によってはじめて、モバイル通信ネットワーク内でのドメイン内/ドメイン間ハンドオーバのシナリオにおいて高速で且つ安全なハンドオーバが可能になる。この場合、インテリジェンス(知能)、すなわち、ハンドオーバ制御関連機能は、通信環境内の無線・有線境界通信間の境界線で与えられる。
【0022】
本発明の好ましい実施形態において、安全なハンドオーバは、同じ通信ドメインのアクセス装置間で実行され、すなわち、ドメイン内ハンドオーバとして実行される。
【0023】
ここで、以下において認証値とも称される異なる安全鍵を使用することを提案する。そのような第1の鍵は、認証サーバでのモバイル機器のログオン中に生成されるマスター鍵である。このマスター鍵またはマスター秘密認証値は、その後、異なるアクセスポイントへと送られる。
【0024】
好ましくは、異なるアクセスポイントおよび認証サーバが安全な接続を有し、モバイル機器と関連するアクセスポイントとの間の相互認証に基づいてログインが行なわれる。
【0025】
本発明においては、アクセス装置およびモバイル機器が、アクセスポイントとモバイル機器との間の通信のための通信鍵を得るとともに、更なる第3の所謂ローミング鍵を得ることを提案する。
【0026】
本発明においては、初めて、好ましくはマスター鍵から生成され且つモバイル機器と新たなアクセス装置との間の相互再認証のために任意のタイプのハンドオーバ中に使用されるローミング鍵を使用することを提案する。
【0027】
また、本発明においては、好ましくはマスター鍵から生成され且つモバイル通信環境のアクセスポイント/基地局と移動局との間の通信の暗号化のために使用されても良い通信鍵を使用することを提案する。ここで、異なる通信鍵は、アップリンクおよびダウンリンクのため、すなわち、暗号化および復号化のために使用されても良い。
【0028】
また、強調すべき点は、本発明が、例えばTKIPやMBMS等の鍵生成方法及び/又は例えばハッシュ機能に基づく認証方法等の認証方法の特定のタイプの暗号化アルゴリズム、例えばDISやAIS等に限定されないという点である。
【0029】
更に他の好ましい実施形態においては、異なる暗号鍵のうちの少なくとも1つに対して更新時間が割り当てられることを提案する。時間の実際の長さは、暗号化アルゴリズムに応じて、鍵更新にとって最も良い時間に基づくことができる。そのような1つの例は、鍵更新時間をパケットナンバリングリミット(パケット数制限)に基づかせることである。例えば32ビットでは、232個のデータパケット後に鍵更新が引き起こされる。この目的は、完全性関連の問題が生じることを防止することである。更に他の解決策は、タイムスタンプだけを使用すること、あるいは、鍵更新前に送られるパケットの数に関する制限と組み合わせてタイムスタンプを使用することである。更に他の選択肢は、完全性ベクトルが使用される場合には、鍵更新を完全性ベクトルの長さに基づかせることである。
【0030】
本発明の更に他の好ましい実施形態においては、ドメイン内において或いはドメイン間ハンドオーバにおいては異なる通信ドメインにわたって各アクセス装置毎に近隣関係を維持し、それにより、ハンドオーバのための可能な新たなアクセス装置を特定することが提案される。
【0031】
近隣関係を維持する利点は、それにより、ハンドオーバの時間に拘束されることなく、セキュリティコンテキスト転送に適した任意の時間に近隣関係で特定された全てのアクセスポイントでセキュリティ関連のコンテキストを予め簡単に形成することができるという点である。
【0032】
ドメイン内ハンドオーバに関連する、すなわち、異なる通信ドメイン間でのハンドオーバに関連する本発明の更に他の好ましい実施形態においては、基本的にハンドオーバを2つの異なる段階に分割することが提案される。
【0033】
最初の段階は、ハンドオーバの準備、すなわち、現在の通信ドメイン内の認証サーバと新たな通信ドメイン内の関連する認証サーバおよびアクセス装置との間で信頼できる通信を構築すること、また、新たな通信ドメイン内の可能な新たなアクセス装置を用いて第1の通信ドメインから見られるマルチキャストドメインを拡張すること、更には、現在の通信ドメイン内のアクセス装置と新たな通信ドメイン内の認証サーバとの間で信頼できる関係を形成することに関連している。
【0034】
この後、実際のハンドオーバの実施は、同様に、再認証が成功した場合、再認証およびハンドオーバの実行に依存する。
【0035】
通信ドメイン境界にわたるハンドオーバに関連する更に他の好ましい実施形態は、新たな通信ドメイン内で開始されるモバイル機器の準備に関連している。
【0036】
特に、この好ましい実施形態においては、新たな通信ドメイン内のアクセスポイントに送られるセキュリティコンテキスト情報に加えて、セキュリティ情報をダウンロードすることが提案される。このセキュリティ情報により、モバイル機器は、新たな通信ドメイン内で最初の通信プロセスを開始することができる。
【0037】
一般に、セキュリティ情報は、少なくとも、第2の通信ドメインの識別情報、任意選択的には第2の通信ドメイン内のフォーリンエージェントのIPアドレス、関連する通信ドメインが現在の通信ドメインから送られると仮定する場合には新たな通信ドメインで通信を始めるための通信鍵、第2の通信ドメインで使用される暗号化アルゴリズムの表示を含んでいても良い。第2の通信ドメインで使用される暗号化アルゴリズムの前記表示は、第1および第2の通信ドメインが異なる暗号化アルゴリズムを使用する場合に好ましく、これにより、モバイル機器は、第2の通信ドメイン内でも適切な暗号化を使用して直ちに開始することができる。
【0038】
この好ましい実施形態の利点は、モバイル機器が、この新たな第2の通信ドメインで通信を開始するために、第2の通信ドメイン内のアクセス装置からのセキュリティ関連情報の供給に依存しなくて済むという点である。
【0039】
本発明の更に他の好ましい実施形態においては、第1の通信ドメイン内で通信およびローミング鍵に対して割り当てられたタイムアウト時間が、第2の通信ドメイン内の適切な装置によって延ばされても良いということを提案する。
【0040】
この好ましい実施形態の利点は、制御装置および第2の通信ドメインによるタイムアウト時間の延長により、関連するセキュリティ関連の暗号鍵が生成され及び/又は第2の通信ドメインで利用可能になり且つ第1の通信ドメインによって与えられるセキュリティ関連の暗号鍵がもはや必要なくなるまで、ハンドオーバ関連情報のやりとりを維持できるという点である。
【0041】
また、本発明の好ましい実施形態において、ドメイン内ハンドオーバのケースまたはドメイン間ハンドオーバのケースにおける通信の再開は、関連する通信関連鍵が利用できない場合あるいはもはや有効でない場合には、セキュリティ関連の暗号鍵を使用して行なわれても良い。
【0042】
すなわち、本発明によれば、通信のために異なるタイプの暗号鍵を使用することができ、それにより、ハンドオーバ中であってもシステム全体の操作性および自由度を高めることができる。
【0043】
本発明の他の好ましい実施形態においては、アクセス装置及び/又はモバイル機器の内部メモリへ直接にロードできるコンピュータプログラムプロダクトであって、当該プロダクトがアクセス装置及び/又はモバイル機器のプロセッサで実行される際に前述したような本発明のプロセスステップを行なうためのソフトウェアコード部分を含むコンピュータプログラムプロダクトが提供される。
【0044】
したがって、本発明は、また、本発明の方法ステップの実施をコンピュータまたはプロセッサシステム上で達成するために与えられる。結論として、そのような実施により、コンピュータシステムまたは更に具体的には例えば分散モバイル通信環境のアクセス装置及び/又はモバイル機器に備えられるプロセッサと共に使用できるコンピュータプログラムプロダクトが与えられる。
【0045】
本発明の機能を規定するこのプログラムは、多くの形式のコンピュータ/プロセッサに対して供給することができ、書き込み不可能な記憶媒体、例えばプロセッサまたはコンピュータI/Oアタッチメントによって読み取り可能なROMまたはCD ROMディスク等の読み出し専用メモリ装置に永久的に記憶された情報や、書き込み可能な記憶媒体、すなわち、フロッピー(登録商標)ディスクやハードドライブに記憶された情報、または、モデムまたは他のインタフェース装置を介してネットワーク及び/又はインターネット及び/又は電話機回路網等の通信媒体によりコンピュータ/プロセッサに伝えられる情報を含んでいるが、これらに限定されない。そのような媒体は、本発明の概念を実施するプロセッサ可読命令を保持する場合には、本発明の他の実施形態を表わすことは言うまでもない。
【0046】
以下、図面を参照しながら、本発明の最良の形態および好ましい実施形態について説明する。
【発明を実施するための最良の形態】
【0047】
以下、添付図面を参照しながら、本発明の最良の形態および好ましい実施形態について説明する。構造図またはフローチャートに関して関連する機能を説明する限りにおいては、当業者であれば容易に分かるように、そのような任意のタイプの機能がソフトウェアで実施されても良く或いはハードフェアで実施されても良く及び/又はそれらの任意の組み合わせを使用して実施されても良い。
【0048】
また、モバイル通信環境に言及する限りにおいては、当業者であれば容易に分かるように、モバイル通信環境のタイプには特定の制限が何ら課されない。したがって、本発明の意味におけるモバイル通信環境は、単独で行なわれ或いはその任意のハイブリッド形式で行なわれる、内在する技術、例えばモバイル通信技術、モバイル通信データサービス、無線ローカルエリアネットワーク、無線インターネットアクセス、無線衛星通信システム、有線通信環境と組み合わされた無線通信環境等とは関係なく、広義に理解されるべきである。そのような一般的な例は、GSM、UMTS/IMT2000、PDC、AMPS、D−AMPS、IS−95、WLAN、好ましくはIEEE 802.11シリーズである。
【0049】
更にまた、本発明の意味におけるアクセス装置は、無線通信環境の現在のネットワーク境界に設けられる任意のタイプのアクセスポイント、例えば一般的には無線ローカルエリアネットワークの基地局またはアクセスポイントとして理解されなければならない。
【0050】
更にまた、モバイル機器は、データ交換能力を有するモバイル機器、例えば、携帯電話、無線アクセスを持つPDA、ノートパソコン、ページ、回路切換接続またはパケット切換接続を使用する無線装置等として理解されなければならない。
【0051】
基本的なハンドオーバ手続き
図1は、分散通信環境における本発明に係る安全なハンドオーバの典型的な実施例を示す概略図を示している。特に、この実施例は、同じ通信ドメインの異なるアクセスポイント間でハンドオーバが達成される、いわゆるドメイン内ハンドオーバに関するものである。
【0052】
図1に示されるように、一般に、通信ドメイン10は、例えばハンドオーバに関し、無線通信と有線通信との間の境界線すなわちアクセスポイントとアクセスポイント14との間に位置する装置に対して制御論理が分配される分散型のものである。
【0053】
図1に示されるように、本発明の一般的な適用性を損なうことなく、少なくとも異なるアクセスポイント12,14が例えばローカルエリアネット等のワークバックボーンネットワーク16を介して接続されているとしても良い。
【0054】
また、更なるコンピュータ装置、例えばパーソナルコンピュータ18が同じバックボーンネットワーク16に対して接続されていても良い。また、無線通信環境内には、モバイルユーザのログオンのための認証サーバ20が設けられていなければならない。
【0055】
図1に示されるように、認証サーバは、例えばIEEE 802.11シリーズに従う認証サーバ、すなわち、AAAタイプのものであっても良い。
【0056】
更にまた、モバイル通信環境10の外側に位置する通信環境との更なるデータ交換のため、例えば認証サーバおよび広域ネットワーク24へのルータ22を介して、モバイル通信環境がフックされても良い。
【0057】
また、図1に示されるように、モバイル分散通信環境10内において、モバイル機器26は最初にアクセスポイント12への無線接続を有していても良く、その後、モバイル機器の移動中に、アクセスポイント14に対する無線通信に変わっても良い。以下、第1のアクセスポイントから第2のアクセスポイント14への無線接続のこのような変更をハンドオーバと称する。
【0058】
また、ハンドオーバは、1つの通信ドメインのアクセスポイント間で達成されるだけでなく、以下で詳細に説明するように、異なる通信ドメインのアクセスポイント間で達成されても良い。
【0059】
図2は、図1に示されるアクセスポイント12,14の概略図を示している。
【0060】
図2に示されるように、各アクセスポイントは、認証ユニット28と、ハンドオーバ制御ユニット30と、通信ユニット32とを有している。また、認証ユニット28は、セキュリティコンテキスト情報ユニット34と、暗号鍵ユニット36と、近隣関係ユニット38とを備えていても良い。任意選択的に、ハンドオーバ制御ユニット30が移動予測ユニットを備えていても良い。
【0061】
以下で説明する更なる内容にしたがって、認証ユニット28の機能は、移動局26とアクセスポイント12,14との間での全ての種類のセキュリティ関連のデータ交換および処理に関与している。これは、セキュリティコンテキスト情報ユニット34における所謂セキュリティコンテキストの処理と、暗号鍵ユニット36での暗号鍵の生成と、近隣関係ユニット38でのハンドオーバ候補の識別のための異なるアクセスポイント間の近隣関係を表わすデータのセットアップ、維持、記憶とに関与していても良い。
【0062】
また、ハンドオーバ制御ユニット30は、異なるアクセスポイント間でハンドオーバを実現するために必要な全ての種類の機能を動作可能に達成するとともに、任意選択的に、ハンドオーバのための可能な新たなアクセスポイントの識別のための移動予測を行なう。
【0063】
更にまた、例えば図1に示されるように、通信ユニット32は、一方では、アクセスポイントと移動局との間で全てのタイプのデータ交換を動作可能に達成し、また、アクセスポイントとモバイル通信環境10の全ての更なるネットワーク要素との間で全てのタイプのデータ交換を動作可能に達成する。
【0064】
図3は、本発明にしたがってハンドオーバを実行する移動局26または図1に示されていないが任意の他のタイプの移動局の概略図を示している。
【0065】
図3に示されるように、移動局26は、認証ユニット42と、ハンドオーバ制御ユニット44と、通信制御ユニット46とを備えている。なお、これらの異なるユニットは、アクセスポイントにおける関連するユニットに機能的に対応している。
【0066】
したがって、移動局26の認証ユニット42は、セキュリティ関連機能のための実施ユニットを備えている。第1のそのようなユニットは、特に移動局が新たな通信ドメインへローミングする際にセキュリティ関連の問題に関する情報を記憶して処理するようになっているセキュリティ情報ユニット48である。また、ログインユニット50は、特に各モバイル通信環境中に設けられる認証サーバを用いて、ログイン関連の機能を動作可能に達成する。更にまた、暗号鍵ユニット52は、移動局26と関連するアクセスポイント12,14との間での通信を暗号化するために様々な暗号鍵を生成し或いは処理して使用する働きをする。
【0067】
更にまた、ハンドオーバ制御ユニット44は、ハンドオーバ中に移動局側で要求される全ての制御機能を動作可能に達成する。任意選択的に、ハンドオーバ制御ユニットは、移動局のハンドオーバのための次のアクセスポイントを予測する移動予測ユニット54を備えていても良い。
【0068】
更にまた、移動局26の通信ユニット46は、移動局26とアクセスポイント12,14との間の任意のタイプの通信のやりとり、特に、ペイロードデータに関する通信のやりとり、および、制御データ、例えば以下に説明するような本発明の意味においてはハンドオーバおよびセキュリティ関連の情報に関する通信のやりとりに必要な全ての機能を果たす。
【0069】
また、本発明の範囲を限定することなく、以下では、ハンドオーバの開始前に以下の条件が満たされると仮定することができる。すなわち、
ネットワーク要素間の通信は安全(secure)であること。例えば、IEEE 802.11WLANにおいて、アクセスポイント間プロトコルは、アクセスポイント間で安全な通信を行なう。
移動局/ユーザのログイン又は最初の認証、あるいはその両方は、安全であること。
移動局がそれ自体を認証する或いは同等にログオンするための認証サーバ26およびネットワーク要素は、例えばバックボーンネットワーク16により安全な接続を有する。また、アクセスポイント間プロトコルも、異なるアクセスポイントの認証サーバ間で安全な接続を行なうこと。
異なる通信ドメインまたは異なるモバイル無線通信環境の認証サーバが信頼関係を有していること。
ネットワーク自体がサービスプロバイダであり、あるいは、サービスは、現在使用されているモバイル通信環境/ネットワークと信頼関係がある第三者コンテンツプロバイダによって提供されること。
【0070】
図4は、本発明に係る分散モバイル通信環境における安全なハンドオーバのための動作のフローチャートを示している。
【0071】
図4に示されるように、動作410では、最初に認証が実行され、任意選択的に、ネットワーク要素は、認証が成功するまでハンドオーバを遅らせるように通知される。ここで、認証は、新たなアクセスポイントで実行される。
【0072】
その後、動作420において、認証プロセスの成功が評価される。動作430で認証が成功した場合、ハンドオーバ手続きが実行される。任意選択的に、新たなアクセスポイントにおける近隣関係にしたがって、以下で詳細に説明するセキュリティコンテキスト情報が転送されてアクセスポイントで更新される。
【0073】
また、認証が成功しなかった場合には、プロセスが動作440へ移行し、前のアクセスポイントとの通信を再開する。認証およびハンドオーバがうまく実行されると、動作440にしたがって、新たなアクセスポイントと移動局との間で通信が再開される。
【0074】
ここで、言及しなければならないことは、移動局、現在のアクセス局、新たなアクセス局、または、モバイル通信環境中の任意のネットワーク要素のいずれかで、相互認証の動作410が実行されても良いということである。すなわち、認証は、専用の単一装置で達成されても良く、あるいは、モバイル通信環境にわたって分配されても良い。
【0075】
また、任意選択的に、動作410において、ハンドオーバの実行に関与している任意の装置は、認証の成功が実際に確認されるまでハンドオーバを遅らせるように通知される。それまでに、移動局と新たなアクセスポイントとの間での相互認証が終了し且つ成功していなければならない。
【0076】
また、図4に示されるように、通信を再開する動作440は、認証ハンドオーバ後、いわゆるセキュリティコンテキスト情報の使用に関して本発明にしたがって実行される。以下で説明するように、それは、第1に事前準備により通信機能を促進することができ且つ第2に第2のアクセスポイントの利用可能性によりハンドオーバのセキュリティを高めることができるハンドオーバの前に新たなアクセスポイントに移動されるこのセキュリティコンテキスト情報の使用である。
【0077】
したがって、ハンドオーバの自由度を高めるため、このセキュリティコンテキスト情報は、ハンドオーバのための1つの目標アクセスポイントで与えられるだけでなく、現在の通信ドメイン内、または、以下で説明するドメイン間ハンドオーバにおける通信ドメイン境界にわたって、現在起動されているアクセスポイントにおける近隣関係で識別された複数の可能なハンドオーバアクセスで与えられても良い。
【0078】
[メイン機構 − イントラドメイン]
図1に関する一般的な適用のシナリオは、同じモバイル通信環境のアクセス装置間でのハンドオーバの実行である。
【0079】
ここで、図5は、そのようなハンドオーバに対応するための動作のフローチャートを示している。
【0080】
図5に示されるように、動作510において、ユーザ/モバイル局はモバイル通信ネットワークにログインする。このログイン手続き中、動作510においては、ユーザがモバイル通信環境内で通信を実行する権限を与えられていることが認証サーバで検証される。
【0081】
その後、マスター鍵MKを生成するための動作520が続く。そのようなマスター鍵の生成の根底にある1つの一般的な例は、例えば移動局のうちの任意の1つ又はモバイル通信環境内の任意の他のネットワーク装置によって送られても良い2つのパブリック値を使用するディフィーヘルマン方法の適用である。また、ディフィーヘルマン方法の適用は、明らかに単なる一例として見なすことができ、また、本発明の範囲に関して拘束力がない。
【0082】
動作520でのマスター鍵の導出において適用される方法とは無関係に、マスター鍵は、適していると見なされさえすれば、認証サーバで得られても良く、アクセスポイントと認証サーバとの間で得られても良く、あるいは、アクセスポイントとモバイル機器との間で得られても良い。
【0083】
図5に示されるように、その後、動作530においては、生成されたマスター鍵が現在起動されているアクセスポイントへと送られる。また、任意選択的に、このマスター鍵は移動局にも送られる。
【0084】
図5に示されるように、動作540においては、移動局と現在のアクセスポイントとの間の通信の保護のため、生成されたマスター鍵が、いわゆるローミング鍵RKおよび通信鍵ASKの形成のための基準としての機能を果たす。すなわち、移動局でのアクセスにより、アクセスポイントと移動局との間での安全な通信のために使用される、いわゆる通信鍵ASKが得られる。また、このマスター鍵からは、1つのアクセスポイントから他のアクセスポイントへのハンドオーバ中に使用されるローミング鍵も与えられる。マスター鍵MKからの通信鍵ASKおよびローミング鍵RKの導出は、本発明の範囲を限定することなく、WPAおよびIEEE802.11iによって使用されるTKIPを含む文献における幾つかの任意の周知の方法を使用して行なうことができる。
【0085】
図5に示されるように、その後、動作550において、生成されたローミング鍵および通信鍵は、その後の通信ハンドオーバ中にこれらの鍵を使用する装置、特に移動局へと送られる。
【0086】
[セキュリティコンテキスト情報 − イントラドメイン]
前述したように、本発明の重要な態様は、安全なハンドオーバをサポートするセキュリティコンテキスト情報の生成に関するものである。
【0087】
本発明において、このセキュリティコンテキスト情報は、ハンドオーバを準備する前に少なくとも現在のアクセスポイントと新たなアクセスポイントとの間でやりとりされるとともに、以下の要素のうちの少なくとも1つの要素を含んでいる。すなわち、
マスター鍵MKと、
モバイル機器と新たなアクセスポイントとの間での相互の認証のためのローミング鍵RKと、
移動局と現在のアクセスポイント及び/又は新たなアクセスポイントとの間での相互の通信のための通信鍵ASKと、
移動局によって使用される暗号化のタイプの表示と、
マスター鍵のためのタイムアウト時間TO−MKと、
通信鍵のためのタイムアウト時間TO−ASKと、
ローミング鍵のためのタイムアウト時間TO−RKと、
セキュリティコンテキスト情報自体のためのタイムアウト時間TO−CIと、
タイムスタンプと、
現在のアクセス局の識別情報と、
仮の識別情報であっても良い、モバイル機器の識別情報と
のうちの少なくとも一つの要素である。
【0088】
本発明において、以下の関係は、異なるタイムアウト時間同士の間で保たれる。すなわち、セキュリティコンテキスト情報のためのタイムアウト時間TO−CIは、マスター鍵のためのタイムアウト時間TO−MK以上でなければならず、また、マスター鍵のためのタイムアウト時間TO−MKは、通信鍵のためのタイムアウト時間TO−ASK以上でなければならず、また、通信鍵のためのタイムアウト時間TO−ASKは、ローミング鍵のためのタイムアウト時間TO−RK以上でなければならない。
【0089】
一般に、異なるタイムアウト時間は、それに対する関係において与えられる値の更新のための上限時間としての機能を果たし、それにより、例えば、関連するタイムアウト時間の満了前に通信鍵が更新されるようになる。同様のことが、ローミング鍵、マスター鍵、あるいは、セキュリティコンテキスト情報に対しても適用される。
【0090】
タイムアウト時間の満了による異なる暗号鍵およびセキュリティコンテキスト情報の更新のトリガの他、他の可能性は、例えば、ローミング鍵または通信鍵が現在のアクセスポイントで得られ且つハンドオーバ中に新たなアクセスポイントへ送られるということである。
【0091】
第3の可能性は、例えば、移動局がハンドオーバを行なう度に、通信鍵が移動局および現在及び/又は新たなアクセスポイントによって得られるということである。更にまた、前述した3つの可能性に係る複合型の更新の使用も考え得る。
【0092】
タイムアウト時間を使用した場合、第1の選択肢は、タイムアウト時間の満了時に関連する通信鍵を更新することである。そうでない場合、すなわち、新たなアクセスポイントに送る場合、あるいは、ハンドオーバ中に得る場合には、現在のアクセスポイントがそれに関して知らなくても、移動局が現在のアクセスポイントに知らせることなくハンドオーバを行なうことを決定すると、ハンドオーバが生じる可能性がある。その後、新たなアクセスポイントで新たな通信鍵が生成されても良い。
【0093】
前述したように、アクセスポイントは、暗号鍵に加えて、移動局のためのセキュリティコンテキスト情報を形成しても良く、また、このセキュリティコンテキスト情報を、その隣りのアクセスポイント、特に例えばIEEE 802.11fに係るIAPP等のアクセスポイント間通信プロトコルにおける近隣関係グラフで特定されたアクセスポイントへ送っても良い。ここで、前記グラフは、グラフの構成要素によって動的に変えられても良く、あるいは、アクセスポイントの位置が変更されない場合には、ネットワーク管理者によって静的なグラフが形成されても良い。
【0094】
セキュリティコンテキスト情報を広げるため、第1のケースは、セキュリティコンテキスト情報が1つのアクセスポイントから他のアクセスポイントのみへと送られるユニキャストのケースであり、さもなければ、セキュリティコンテキスト情報が1つのアクセスポイントから近隣関係グラフで特定された複数の可能なハンドオーバアクセスポイントへと送られるマルチキャストのケースである。ユニキャストのケースの場合には、現在のアクセスポイントに現在接続され且つ新たなアクセスポイントへのハンドオーバを望んでいる移動局の位置、速度、方向等に基づいて、予測が行なわれても良い。任意選択的に、セキュリティコンテキスト情報は、ハンドオーバプロセスそれ自体の間にわたって或いはハンドオーバが行われた後に送られても良い。
【0095】
以上を考慮すると、本発明に係るドメイン内ハンドオーバのための提案された解決策は、アクセスポイントのサブステージスタートアップ、認証サーバを用いた移動局のログオン、セキュリティ関連の暗号鍵の生成、前述した意味でのハンドオーバの実行に依存している。
【0096】
一例として、アクセスポイントスイッチオンプロセスおよびWLAN規格下での認証サーバに対するログオンにより、IPSトンネルが生成されても良く、また、IPプロトコル下での1対1および1対多数の安全な関連付けは、現在のアクセスポイントからその後のハンドオーバにおいて考慮されるアクセスポイントまで存在していても良い。
【0097】
また、ハンドオーバの実行前においては、認証サーバに対するログオン中に暗号化方法が決定されなければならない。これが成されると仮定すると、本発明に係るドメイン内ハンドオーバを実行するための幾つかの異なる可能性が以下のように与えられても良い。なお、これらの可能性は、単なる一例と見なされる。
【0098】
ドメイン内(イントラドメイン)ハンドオーバ−ケースI
図6は、本発明に係るドメイン内ハンドオーバの第1の実施例における動作のフローチャートを示している。
【0099】
基本的に、図6に示されるハンドオーバの実施例は、同じ通信ドメイン内の1つのアクセスポイントへのハンドオーバに関するものである。この場合、新たなアクセスポイントは近隣関係グラフで特定される。このことは、ハンドオーバの実行前にセキュリティコンテキスト情報が近隣関係グラフ内のアクセスポイントへ転送されることを意味している。
【0100】
また、ハンドオーバにおける条件は、現在のアクセスポイントに対して新たなアクセスポイントを知らせる移動局を用いて、あるいは、移動局から通信の質等を判断して新たなアクセスポイントを移動局に知らせる現在のアクセスポイントを用いてハンドオーバが行なわれるということである。
【0101】
更にまた、移動局は、例えばセキュリティコンテキスト情報等のハンドオーバ関連情報のやりとりに関する現在のアクセスポイントと新たなアクセスポイントとの間の全ての通信が完了した後においてのみ、ハンドオーバを行なう。
【0102】
条件が満たされると仮定すると、動作610では、現在のアクセスポイントにおいて近隣関係にある少なくとも1つの新たなアクセスポイントが特定される。
【0103】
その後、動作620において、新たなアクセスポイントでのセキュリティコンテキストの利用可能性が評価される。
【0104】
そのようなセキュリティコンテキストが利用可能である場合、現在のアクセスポイントは、動作630において、ハンドオーバの実行を移動局に知らせるとともに、任意選択的に、ハンドオーバ手続きをトリガし、その後、図4に示される基本的な方式に従う。
【0105】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースII]
更なる実施例も、先と同様に、現在の通信ドメイン内の1つのアクセスポイントへのハンドオーバに関するものである。この場合、新たなアクセスポイントは、現在のアクセスポイントの近隣関係グラフで特定される。図6に示され且つ図6に関して説明した実施例とは異なり、ここでは、ハンドオーバのための条件は、移動局が現在のアクセスポイントに知らせることなくハンドオーバに関して知らせることであると仮定する。
【0106】
図7に示されるように、これは動作710において達成される。移動局によるハンドオーバのトリガ後、動作720では、図4に示される基本的な方式にしたがってハンドオーバ手続きが実行される。
【0107】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースIII]
ドメイン内ハンドオーバ、すなわち、同じ通信ドメイン内の1つのアクセスポイントへのハンドオーバの更なるケースは、新たなアクセスポイントが現在のアクセス局の近隣関係グラフで特定されないケース、すなわち、セキュリティコンテキスト情報がハンドオーバの実行へ移されないケースに関するものである。
【0108】
ここで、ハンドオーバにおける条件は、現在のアクセスポイントに対して新たなアクセスポイントを知らせる移動局を用いて、あるいは、移動局から通信の質等を判断して新たなアクセスポイントを移動局に知らせる現在のアクセスポイントを用いてハンドオーバが行なわれるということである。移動局は、セキュリティ関連情報のやりとりに関する現在のアクセスポイントと新たなアクセスポイントとの間の全ての通信が完了した後においてのみ、ハンドオーバを行なう。
【0109】
図8は、ドメイン内ハンドオーバのこの第3のタイプに係る安全なハンドオーバのための動作のフローチャートを示している。
【0110】
図8に示されるように、動作810において、移動局は、新たなアクセスへのハンドオーバに関して現在のアクセスポイントに知らせても良く、あるいは、現在のアクセスポイントは、同じハンドオーバに関して移動局に知らせても良い。ここで、動作810では、新たなアクセスポイントが現在のアクセスポイントの近隣関係で反映されないと仮定する。
【0111】
図8に示されるように、その後、動作820においては、任意選択的にネットワークオペレータの仲介により、ハンドオーバ実行前に新たなアクセスポイントでセキュリティコンテキスト情報が受けられる。
【0112】
図8に示されるように、最終的に、ハンドオーバは、図4に関して前述した原理に沿って、動作830で実行される。
【0113】
また、現在のアクセスポイントが新たなアクセスポイントと通信しなくても良いシナリオも想定できる。この場合、移動局は、セキュリティの理由により新たなアクセスポイントへのハンドオーバを行なわないことを知らされる。その後、ネットワーク管理者は新たなアクセスポイントに関して知らされ、これに続き、セキュリティコンテキスト情報が、前述した動作を担うこれらの新たなアクセスポイントに対して送られる。
【0114】
[ドメイン内(イントラドメイン)ハンドオーバ−ケースIV]
このタイプのドメイン内ハンドオーバにおける動作のフローチャートを示す図9に関して例示されたドメイン内ハンドオーバの更なる拘束力がない例は、この場合も同様に、セキュリティコンテキスト情報が新たなアクセスポイントで利用できない状況に関するものである。ここでのハンドオーバにおける条件は、移動局がそれにおける現在のアクセスポイントに知らせることなくハンドオーバを行なうということである。
【0115】
図9に示されるように、このタイプのドメイン内ハンドオーバの場合、最初に、動作910において、移動局と新たなアクセスポイントとの間で認証が実行される。動作920において認証の失敗に関する問い合わせがなされた後、認証が成功した場合には、動作930において、新たなアクセスポイントへのハンドオーバが実行される。そうでない場合には、動作940において、セキュリティコンテキスト情報が新たなアクセスポイントに対して送られ、動作950において、移動局の再認証が新たなアクセスポイントで行なわれた後、動作930にしたがって新たなアクセスポイントへのハンドオーバが実行される。
【0116】
以上から明らかなように、本発明においては、プロトコルセキュリティレベルが暗号化アルゴリズムの要素および関連するレベルに対してもたらされる。ユーザは、プロセス全体および鍵生成に関して介入し/予想することが妨げられ、したがって、変異要素/アクセスポイントへのハンドオーバが妨げられる。セキュリティレベルが高まるが、これにより、ドメイン内ハンドオーバまたはドメイン間ハンドオーバとは無関係にハンドオーバ中の遅延が最小限に抑えられ、同時に、セキュリティレベルが維持される。
【0117】
[ドメイン間ハンドオーバ]
これまでは、図6〜図9に関してドメイン内ハンドオーバの特定の実施例について説明してきたが、以下では、図10〜図14に関してドメイン間ハンドオーバの詳細について説明する。
【0118】
ドメイン内ハンドオーバの場合と同様に、ドメイン間ハンドオーバの場合においても、対象は、継続中のサービスを中断することがない、通信ドメインの境界にわたってシームレスで、安全な、高速のハンドオーバである。
【0119】
ここで、図10は、ドメイン間ハンドオーバの典型的な実施例を示す概略図を表わしている。
【0120】
図10に示されるように、第1の通信ネットワークドメイン10および関連する接続された有線エリアネットワーク24に加えて、ドメイン間ハンドオーバ中には、第2の通信ネットワークドメイン56と、サービスプロバイダネットワークと、コンテンツプロバイダネットワーク58と、ルータ62を介して第2の通信ドメイン56の認証サーバ64に接続された更なる有線エリアネットワーク60とが含まれていても良い。
【0121】
また、図10は、第2の通信ネットワークにアクセスポイント66が同様にして設けられ且つバックボーンネットワーク16により少なくとも第1の通信ネットワークおよび第2の通信ネットワークにおけるネットワーク要素同士を結合することができることを示している。
【0122】
なお、図10に示される特定のネットワークセットアップは、単なる例示であり、本発明の範囲を限定するものと見なされるべきではない。本発明の一般的な適用のシナリオを説明するために無線ローカルエリアネットワークWLANが使用されているが、関連する全ての考え方は、任意の他のタイプのモバイル通信システム、すなわち、第2世代のモバイル通信電話ネットワーク、第2世代のモバイル通信電話ネットワーク、第3世代のモバイル通信電話ネットワーク、及び/又は、任意のハイブリッド形式等に関して同様に使用できることは言うまでもない。
【0123】
また、異なるタイプのネットワーク間のハンドオーバに関して、当該ハンドオーバは、現在のネットワークCNまたは同様に現在の通信ドメイン、更なる新たなネットワークまたは新たな通信ドメインNNと、ホームネットワークまたはホーム通信ドメインHNとの間で異なっていても良い。更に、サービスプロバイダネットワークSPNおよびコンテンツプロバイダネットワークCPNが含まれていても良い。
【0124】
これらの全てのネットワーク間では、信頼関係が存在するかどうか、すなわち、関連するネットワーク間の通信が保護されて安全であると見なされるかどうかを識別することができる。あるいは、信頼関係が要求されている場合には、通信のセットアップ前に適切な手段を講じて、2つのネットワーク間でのデータ交換中に通信に関して不正行為が生じないようにしなければならない。
【0125】
また、ホームネットワークHNが現在のネットワークCNに対して信頼関係を有し、更に、現在のネットワークCNが新たなネットワークNNに対して信頼関係を有しているとすると、ホームネットワークHNと現在のネットワークCNとの間の信頼関係および現在のネットワークCNと新たなネットワークNNとの間の信頼関係は、ホームネットワークHNと新たなネットワークNNとの間の通信において委譲されても良い。
【0126】
ドメインハンドオーバにおける基本的なシナリオは、現在のネットワークからのハンドオーバである。この場合、現在のネットワークは、新たなネットワークに対するホームネットワークである。ここで、新たなネットワークNNは、現在のネットワークCNとの以前の信頼関係を有していても良く、あるいは、現在のネットワークとの信頼関係を有していなくても良い。
【0127】
現在のネットワークと新たなネットワークとの間に信頼関係が存在する場合には、新たなネットワークの適用ポイントは、現在のネットワークのマルチキャストドメインの一部になり、逆もまた同様である。現在のネットワークが全てのセキュリティコンテキスト情報を新たなネットワークへ転送する必要はない。例えば、マスター鍵または通信鍵を送る必要はない。現在のネットワークCNのアクセスポイントは、そのウェイクアップにおいて、隣の異なるネットワークとの信頼関係に関して知らされ、また、この情報は、認証サーバによって定期的に更新される。情報が特定のタイムアウト時間TO−TRUST内に更新されない場合、アクセスポイントは、更新を要求する認証サーバとコンタクトをとっても良い。
【0128】
すなわち、ドメイン間ハンドオーバにおいても、セキュリティコンテキスト情報が維持されるとともに、このセキュリティコンテキスト情報は、例えばこれを現在のアクセスポイントの近隣グラフへ送ることにより、現在のネットワークCNと新たなネットワークNNとの間でやりとりされる。
【0129】
ここで、前述したドメイン内ハンドオーバのシナリオに加えて、セキュリティコンテキスト情報の一部は、現在のネットワークCNと新たなネットワークNNとの間の信頼関係のタイプまたは程度に依存している。
【0130】
一般に、セキュリティコンテキスト情報は、少なくとも以下のものを含んでいる。すなわち、
移動局のために使用される暗号化アルゴリズムと、
移動局サポートの暗号化アルゴリズムと、
マスター鍵と(このマスター鍵の転送は、異なるネットワーク間の信頼関係のレベルに依存している。)、
マスター鍵のためのタイムアウト時間TO−MKと、
ローミング鍵RKと、
ローミング鍵のためのタイムアウト時間TO−RKと、
通信鍵ASKと(この通信鍵は、ハンドオーバ期間の度に通信鍵ASKが得られない場合にのみ送られる。更に、通信鍵ASKの転送は、現在のネットワークと新たなネットワークとの間の信頼関係のレベルに依存している。)、
通信鍵のためのタイムアウト時間TO−ASKと、
セキュリティコンテキスト情報タイムアウト時間TO−CIと、
タイムスタンプと
アクセスポイントの識別情報と
移動局の識別情報と(この識別情報は、MACアドレスまたはIPアドレスを含んでいても良く、また、例えば最初のログイン手続き中に、周知のIDから、UMTSで使用される仮IDが生成されても良い。)、
現在のネットワークの識別情報と
である。
【0131】
また、ドメイン内ハンドオーバに関して前述したように、ドメイン間ハンドオーバにおいても、ローミング鍵および通信鍵のタイムアウト時間は、必要に応じて、モバイル機器と関連するネットワーク要素との間での最初の通信のため、新たな通信ドメイン内で広げられても良い。
【0132】
ドメイン間ハンドオーバにおいては、スムーズなハンドオーバを促進させるために、ハンドオーバが現在のネットワークCNから新たなネットワークNNへと行なわれると、セキュリティコンテキスト情報に加えて、セキュリティ情報も移動局へと送られる。
【0133】
特に、このセキュリティ情報は、更なる通信関連情報が関連するアクセスポイント間でやりとりされているか否かにかかわらず、移動局が新たなネットワークに備えられるように与えられる。
【0134】
ここで、移動局に対して与えられるセキュリティ情報の内容は、少なくとも次を含んでいる。すなわち、
新たなネットワークの識別情報と、
モバイルIPv4が使用される場合に好ましくは与えられる新たなネットワークのためのフォーリンエージェントのIPアドレスと、
現在のネットワークを介して新たなネットワークから予め得られ且つ使用されるネットワークの種類に依存しているIPアドレスと、例えば、WLANの例において使用されるインターネットプロトコルIPのバージョン(これは、MIPが使用される場合には必要とされないかもしれない。)と、
暗号鍵と(ここで、暗号鍵は、移動局および新たなネットワークにおける新たなアクセスポイントのための新たな通信鍵である。この暗号鍵は、通信鍵が現在のアクセスポイントを介して新たなネットワークの新たなアクセスポイントへ送られない場合には、セキュリティ情報内に含まれる。さもなければ、以下の場合には、暗号鍵がセキュリティ情報内に含まれる。すなわち、
(i)通信鍵ASKが現在のアクセスポイントにより新たなネットワーク内の新たなアクセスポイントへ送られない場合。
(ii)更に新たなマスター鍵MKを新たなネットワークで形成できる前に通信鍵ASKがタイムアウトする場合、マスター鍵MKが新たなネットワークへ送られず、移動局が新たな通信鍵ASKを得ることができず、あるいは、古いマスター鍵に基づいて誤った通信鍵ASKを得る場合、マスター鍵MKは新たなネットワーク内の新たなアクセスポイントへ送られないが、通信鍵ASKは送られる。したがって、「タイムアウト ≧ 残されたASKまたはRK ≧ T−MK」の条件が成り立つ場合には、新たな通信鍵ASKが、新たなネットワーク内の新たなアクセスポイントによって送られる。ここで、残されたTO−ASKまたはRKは、通信鍵ASKまたはローミング鍵RKにおいて残された時間である。すなわち、この時間の満了後、通信鍵ASKは、タイムアウトすると共に、無効になる。また、T−MKは、新たなネットワーク内の認証サーバおよび移動局によって新たなマスター鍵を生成するために必要な時間である。また、通信鍵が現在のネットワークによって新たなネットワークへ送信されない可能性、あるいは、新たなネットワークによって現在のネットワークへ送信されない可能性もある。)、
【0135】
暗号鍵のためのタイムアウト時間と、
暗号化アルゴリズムと(新たなネットワークのアクセスポイントが現在のネットワークで使用された暗号化アルゴリズムと比べて異なる暗号化アルゴリズムを使用する可能性がある。そのような場合、現在のアクセスポイントは、移動局および新たなアクセスポイントによって使用される最良の期間および暗号化アルゴリズムを選択することができるとともに、これについて移動局に知らせることができる。最良の可能な暗号化アルゴリズムは、移動局のやり方および新たなネットワークで使用されるやり方に基づいて選択することができる。新たなネットワークはハンドオーバ後に常に制御可能であり、これにより、現在のネットワークは、必要に応じて常に、ジョブを行なうことができ、すなわち、実施策に基づいて暗号化アルゴリズムを選択することができる。新たなネットワーク内の新たなアクセスポイントは、移動局がサポートする暗号化アルゴリズムを知っているため、選択した暗号化アルゴリズムを現在のアクセスポイントに知らせることができる。)
である。
【0136】
[ドメイン間 − 準備的セットアップ]
以下に説明するドメイン間ハンドオーバに関する異なる適用のシナリオは、以下の拘束力のない前提に基づいている。すなわち、
ネットワーク要素間の通信は安全(secure)であること。
IEEE 802.11 WLANについて、アクセスポイント間プロトコルは、アクセスポイント間で安全な通信を行なうことが仮定できること。
モバイル機器のログインまたは最初の認証は、IEEE 802.11 WLANが移動局である場合、ユーザに安全であること。
モバイル機器がそれ自体を認証またはログオンするための認証サーバおよびネットワーク要素は、安全な接続を有していること。アクセスポイント間プロトコルは、認証サーバとアクセスポイントとの間で安全な接続を行なう。
異なる通信ドメインまたはネットワーク間の認証サーバは、先に概略的に説明したハンドオーバ状況に依存する信頼関係を有していること。
ネットワーク自体は、サービスプロバイダ、または、現在の全てのネットワークドメインと信頼関係を有する第三者コンテンツプロバイダによって提供されるサービスであること。
【0137】
図11は、本発明に係るドメイン間ハンドオーバを準備する動作のフローチャートを示している。
【0138】
最初に、動作1110においては、通信ネットワーク間の信頼できる通信が利用できるように備える。その後、動作1120において、現在の通信ネットワークのマルチキャストドメイン、特に現在のアクセスポイントが拡張される。このステップは任意である。その後、動作1130において、現在のアクセスポイントと現在の認証サーバとの間で信頼できる通信が形成される。この動作も任意である。
【0139】
図11に示されるように、ドメイン間ハンドオーバの準備においては、動作1140で、前述したセキュリティ情報が移動局に対して送信される。また、任意選択的に、ローミング鍵RK、通信鍵ASK及び/又はマスター鍵MKも送信される。
【0140】
また、図11に示されるように、動作1150では、移動局に対して与えられるセキュリティ情報以外に、アクセスポイントに関するセキュリティコンテキスト情報の少なくとも一部も、新たなアクセスポイントへ送信される。
【0141】
その後、図11に示されるように、動作1160に移行してハンドオーバが実行され、動作1170で通信が再開される。
【0142】
図11に示されるように、任意選択的に動作1180では、前のアクセスポイントにハンドオーバが知らされる。動作1190においては、セキュリティ関連情報に関して、特にセキュリティコンテキスト情報に関して、新たなアクセスポイントに隣接する全てのアクセスポイントが更新される。
【0143】
[ドメイン間 − 基本的なハンドオーバ]
以下では、現在のネットワークから新たなネットワークへの基本的なハンドオーバ手続きに関して、図11に示されるハンドオーバを実行するための動作1160の詳細を説明する。なお、この場合、前述したように信頼通信リンクが構築されると仮定し、また、図11に示されるようにセキュリティ情報がモバイル機器へダウンロードされると仮定する。
【0144】
一般に、基本的なハンドオーバ手続きにおいては、ハンドオーバが実行されると、移動局と新たなアクセスポイントとの間で相互認証が行なわれる。この場合、この目的のためにローミング鍵が使用されることが好ましい。ここでは、任意の周知の相互認証方法が使用されても良い。
【0145】
相互認証が行なわれると、通信を続行して再開することができる。これは、移動局におけるコンテキスト情報を新たなアクセスポイントを用いて利用できるからである。したがって、基本的なハンドオーバ手続きは、図4におけるドメイン内ハンドオーバに関して前述したそれと類似している。
【0146】
通信鍵が新たなネットワーク内の新たなアクセスに対して通信されない場合あるいは新たなアクセスポイントによって移動局へ通信されない場合には、最初に、ローミング鍵RKを使用して通信が行なわれる。
【0147】
また、新たなアクセスポイントは、その近隣関係グラフ内の全てのアクセスポイントに対してコンテキスト情報を送る。新たなアクセスポイントは、新たなネットワーク内の関連する認証サーバにハンドオーバ手続きを知らせ、また、新たなネットワーク内の認証サーバも同様に現在のネットワーク内の認証サーバに知らせる。
【0148】
また、移動局および新たな認証サーバは、現在使用されている通信鍵ASKおよびローミング鍵がタイムアウトする前に新たなマスター鍵を生成する。なお、ここでは、これは、マスター鍵が現在のネットワークから新たなネットワークへ送られない場合にのみ行なわれる。
【0149】
更に、移動局および新たなアクセスポイントは通信鍵ASKを生成する。通信鍵ASKが無く且つ通信のためにローミング鍵RMが使用される場合には、前の通信鍵が満了した後においてのみ新たな通信鍵ASKが生成されても良い。
【0150】
以上を考慮すると、移動局が現在のネットワークから新たなネットワークへローミングする際には、最初に、移動局が始めるために、あるいは、すなわち予備通信のためにローミング鍵およびセキュリティ情報が使用されるのは明らかである。
【0151】
したがって、ローミング鍵は、新たなネットワーク内のマスター鍵を生成できる十分に長い寿命(存続期間)を有していなければならない。通信鍵が現在のネットワークから新たなネットワークへ送られる場合には、同じことが通信鍵ASKにも当てはまる。
【0152】
マスター鍵が新たなネットワークで生成されると、これにより、前述した意味におけるその後の更なるハンドオーバのために、関連する通信鍵ASKおよびローミング鍵RKを新たなネットワークでも生成することができる。関連する生成された通信鍵およびローミング鍵は、現在起動されている新たなアクセスポイントの近隣関係の一部である新たなネットワーク内のアクセスポイントのその後の更新のため、セキュリティコンテキスト情報中に組み入れられる。
【0153】
以下、現在のネットワークから新たなネットワークへの基本的なハンドオーバ手続きが、異なる一群、すなわち、現在のネットワークおよび新たなネットワークが信頼関係を有する或いは有さない一群に対して適用される方法について説明する。
【0154】
[ドメイン間 − ケースI]
第1のそのような関係は、現在のネットワークおよび新たなネットワークが信頼関係を有しているケースである。このタイプのドメイン間ハンドオーバにおける動作の関連するフローチャートが図12に示されている。
【0155】
図12に示されるように、ハンドオーバが信頼関係をもって新たなネットワークに対して達成されるとともに、新たなアクセスポイントが現在のアクセスポイントに対する近隣関係で特定され、すなわち、動作1210においてセキュリティコンテキスト情報がこの新たなアクセスポイントへ転送されるものと仮定する。
【0156】
ここで、ハンドオーバのための条件は、現在のアクセスポイントに新たなアクセスポイントを知らせる移動局を用いてハンドオーバが行なわれるということであり、あるいは、通信の質のような基準から判断する現在のアクセスポイントが移動局に対して新たなアクセスポイントを知らせるということである。また、他の基準は、現在のアクセスポイントと新たなアクセスポイントとの間の通信の全てが完了した後においてのみ移動局がハンドオーバを行なうということである。
【0157】
図12に示されるように、動作1220では、ハンドオーバ前に新たなアクセスポイントにハンドオーバが知らされ、同じことが移動局にも適用される。
【0158】
図12に示されるように、その後、動作1230において、ハンドオーバを実行するようにモバイル機器に指示する現在のアクセスポイントにより、ハンドオーバ自体の実行がなされる。
【0159】
[ドメイン間 − ケースII]
ドメイン間ハンドオーバの更なるタイプを図13に関して説明する。
【0160】
ここで、ハンドオーバは、例えば共に信頼関係を有する現在のネットワーク内の1つのアクセスポイントから新たなネットワークへと行なわれるとする。
【0161】
図13に示されるように、ここでは、ハンドオーバのための条件は、動作1310において新たなアクセスポイントだけにハンドオーバが知らされ、その後、動作1320において、新たなアクセスポイントに知らせることなくハンドオーバが実行されるということである。
【0162】
[ドメイン間 − ケースIII]
更なるハンドオーバの状況および手続きは、信頼関係を有さない現在のネットワークおよび新たなネットワークに関するものである。関連するタイプのハンドオーバが図14に示されている。
【0163】
現在のネットワークおよび新たなネットワークが互いに信頼関係を有しておらず且つ移動局が新たなネットワークへのハンドオーバを要求し或いは新たなネットワークへ引き渡された場合には、現在のアクセスポイントが知らされた状態で或いは現在のアクセスポイントが知らされない状態で、新たなネットワーク内のアクセスポイントへのハンドオーバが起こるという選択肢が生じる。
【0164】
最初のケースにおいて、現在のアクセスポイントが知らされるということは、図14に示されるように現在のアクセスポイントが全ての必要な手続きを処理した後にハンドオーバが行なわれることを意味している。
【0165】
ここで、第1の動作1410は、第1および第2のネットワーク間で信頼関係を生成する。したがって、動作1410,1420において、現在のアクセスポイントは、認証サーバとコンタクトをとるとともに、要求されたハンドオーバに関して認証サーバおよび現在のネットワークに知らせた後、新たなネットワーク内の認証サーバとコンタクトをとって、信頼関係を形成する。
【0166】
その後、動作1430において、セキュリティコンテキスト情報が新たなネットワーク内の新たなアクセスポイントへ送られ、また、ハンドオーバ手続きは、前述した基本的なハンドオーバ手続きと同じである。
【0167】
なお、ここでは、現在のネットワークと新たなネットワークとの間の通信の遅れに起因して、移動局は、現在のネットワークと新たなネットワークとの間に信頼関係が形成される前にハンドオーバを行なうことができる。
【0168】
現在のアクセスポイントが知らされないことを前提とし、移動局は、現在のアクセスポイントに知らせることなく新たなアクセスポイントへ移動するものとする。通信は、現在の通信ネットワーク内で、すなわち、認証サーバ増進策またはハンドオーバ前のように通信を再開するための同様の手法を使用して、中断されるとともに再び確立される。
【0169】
これまで、基本的な手続きに関して、ドメイン間ハンドオーバの状況、すなわち、現在のネットワークおよび新たなネットワークが信頼関係を有する状況、および、現在のネットワークおよび新たなネットワークが信頼関係を有さない状況を説明してきた。
【0170】
これに加え、ハンドオーバの状況および手続きは、現在のネットワークおよび新たなネットワークのタイプによって、すなわち、現在のネットワークがホームネットワークであるか否かによって、また、新たなネットワークがホームネットワークであるか否かによって分類されても良く、更には、新たなネットワークとホームネットワークとの間の信頼関係に関して分類されても良い。
【0171】
これまでは、移動局がそのホームネットワークではない新たなネットワークからそのホームネットワークではない他の新たなネットワークへのハンドオーバを行なう状況が存在する。なお、ここでは、いずれにせよ、ホームネットワーク内の認証サーバにハンドオーバ手続きが知らされなければならない。
【0172】
最初のケースは、信頼関係を有する新たなネットワークおよび現在のネットワークに関するものである。このケースでは、新たなネットワークがホームネットワークとの信頼関係を有していない場合であっても、信頼関係を現在のネットワークから新たなネットワークへ委譲することができる。信頼関係を委譲する部分以外、ハンドオーバ手続きは、図12および図13に関して前述した手続きと同じである。
【0173】
新たなネットワークがホームネットワークとの信頼関係も有していないことを考慮すると、第2の状況は、現在のネットワークおよび新たなネットワークが信頼関係を有していない場合に生じる。このことは、図14で説明した手続きにしたがってホームネットワークと新たなネットワークとの間でとにかく信頼関係が形成されなければならないことを意味している。
【0174】
第3の状況は、新たなネットワークがホームネットワークとの信頼関係を有している場合に生じる。ここで、現在のネットワークも新たなネットワークとの信頼関係を有している場合には、信頼関係だけがチェックされ、その後、図12および図13に係る手続きが行なわれる。
【0175】
あるいは、現在のネットワークが新たなネットワークとの信頼関係を有していない場合には、現在のネットワークは、ホームネットワークが新たなネットワークとの信頼関係を有しているかどうかをチェックする。ここで、ホームネットワークは、信頼関係を委譲しても良く、その後、図12および図13に関して前述したような手続きが行なわれる。
【0176】
最後に、他のハンドオーバの状況は、新たなネットワークがホームネットワークである場合、あるいは、言い換えると、移動局が元のホームネットワークへローミングしている場合に生じる。ここで、通常は、現在のネットワークとホームネットワークである新たなネットワークとの間に信頼関係が存在していなければならず、それにより、その後、図12および図13に関して前述したような手続きが行なわれる。
【図面の簡単な説明】
【0177】
【図1】本発明に係るドメイン内ハンドオーバの典型例に関する概略図を示している。
【図2】本発明に係るアクセス装置の概略図を示している。
【図3】本発明に係るモバイル機器の概略図を示している。
【図4】本発明に係る分散モバイル通信環境内での安全なハンドオーバにおける動作のフローチャートを示している。
【図5】本発明に係る分散モバイル通信環境内での安全なハンドオーバの準備における動作のフローチャートを示している。
【図6】本発明に係るドメイン内ハンドオーバの第1のタイプにおける動作のフローチャートを示している。
【図7】本発明に係るドメイン内ハンドオーバの第2のタイプにおける動作のフローチャートを示している。
【図8】本発明に係るドメイン内ハンドオーバの第3のタイプにおける動作のフローチャートを示している。
【図9】本発明に係るドメイン内ハンドオーバの第4のタイプにおける動作のフローチャートを示している。
【図10】本発明に係るドメイン間ハンドオーバの典型例を説明する概略図を示している。
【図11】本発明に係るドメイン間ハンドオーバの準備における動作のフローチャートを示している。
【図12】本発明に係るドメイン間ハンドオーバの第1のタイプにおける動作のフローチャートを示している。
【図13】本発明に係るドメイン間ハンドオーバの第2のタイプにおける動作のフローチャートを示している。
【図14】本発明に係るドメイン間ハンドオーバの第3のタイプにおける動作のフローチャートを示している。
【特許請求の範囲】
【請求項1】
方法クレーム
基本的なハンドオーバ手続き
分散モバイル通信環境における安全なハンドオーバの方法であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器のために実行され、
セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するステップと、
前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するステップと
を含む方法。
【請求項2】
前記相互認証は、前記モバイル機器、前記現在のアクセス装置、前記新たなアクセス装置、少なくとも1つの遠隔ネットワーク装置、あるいは、これらの任意の組み合わせにおいて実行されることを特徴とする請求項1に記載の方法。
【請求項3】
前記相互認証が終了するまでハンドオーバを実行しないように、前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器に通知するステップを更に含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器に通知するステップを更に含むことを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器でハンドオーバを実行する通知を受けるステップを更に含むことを特徴とする請求項4に記載の方法。
【請求項6】
セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で安全な通信を再開するステップを含むことを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行した後、前記新たなアクセス装置から、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へと、セキュリティコンテキスト情報を送るステップを含むことを特徴とする請求項6に記載の方法。
メイン機構−イントラドメイン
【請求項8】
同じ通信ドメインのアクセス装置間でハンドオーバが実行されることを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項9】
認証サーバ(AAA)でのモバイル機器のログオン中にマスター秘密認証値が生成されることを特徴とする請求項8に記載の方法。
【請求項10】
前記マスター秘密認証値は、前記認証サーバから少なくとも前記現在のアクセス装置へと送られることを特徴とする請求項8または9に記載の方法。
【請求項11】
前記マスター秘密認証値(MK)は、前記モバイル機器のログオンが成功した後に送られることを特徴とする請求項8から10のいずれか1項に記載の方法。
【請求項12】
前記マスター秘密認証値が更に前記モバイル機器へと送られることを特徴とする請求項11に記載の方法。
【請求項13】
前記マスター秘密認証値(MK)は、前記現在のアクセス装置と前記モバイル機器との間で生成されることを特徴とする請求項8に記載の方法。
【請求項14】
前記マスター秘密認証値(MK)は、前記現在のアクセス装置と認証サーバ(AAA)との間で生成されることを特徴とする請求項8に記載の方法。
【請求項15】
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)が前記マスター秘密認証値から得られることを特徴とする請求項9から14のいずれか1項に記載の方法。
【請求項16】
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)が前記マスター秘密認証値から得られることを特徴とする請求項9から15のいずれか1項に記載の方法。
【請求項17】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)が前記現在のアクセス装置で得られることを特徴とする請求項15または16に記載の方法。
【請求項18】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)が前記モバイル機器へ送られることを特徴とする請求項17に記載の方法。
セキュリティコンテキスト情報−イントラドメイン
【請求項19】
前記セキュリティコンテキスト情報が前記現在のアクセス装置で生成されることを特徴とする請求項1から18のいずれか1項に記載の方法。
【請求項20】
前記セキュリティコンテキスト情報は、前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を少なくとも含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記現在のアクセス装置の識別情報;
前記モバイル機器の識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項20に記載の方法。
【請求項22】
モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項21に記載の方法。
【請求項23】
以下の関係が異なるタイムアウト時間同士の間で保たれる、すなわち、前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI)≧前記マスター秘密認証値のためのタイムアウト時間(TO−MK)≧前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK)≧前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK)となっていることを特徴とする請求項21または22に記載の方法。
【請求項24】
前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)は、タイムアウト時間の満了時に前記現在のアクセス装置で更新されることを特徴とする請求項21から23のいずれか1項に記載の方法。
【請求項25】
前記現在のアクセス装置の近隣関係で特定されるアクセス装置においてセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項19から24のいずれか1項に記載の方法。
【請求項26】
ハンドオーバアクセス装置になると予期されるアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項19から24のいずれか1項に記載の方法。
【請求項27】
前記予期されるハンドオーバ装置は、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがって予測されることを特徴とする請求項26に記載の方法。
ドメイン内ハンドオーバ
ドメイン内ハンドオーバ−ケースI
【請求項28】
ハンドオーバが前記新たなアクセス装置に対して実行され、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されることを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項29】
少なくとも前記現在のアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することを特徴とする請求項28に記載の方法。
【請求項30】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記現在のアクセス装置に知らせる前記モバイル機器によってトリガされることを特徴とする請求項28または29に記載の方法。
【請求項31】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記モバイル機器に知らせる前記現在のアクセス装置によってトリガされることを特徴とする請求項28または29に記載の方法。
ドメイン内ハンドオーバ−ケースII
【請求項32】
少なくとも前記新たなアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することなく、ハンドオーバが前記新たなアクセス装置に対して実行されることを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項33】
ハンドオーバの実行は、ハンドオーバを前記現在のアクセス装置に知らせることなく前記新たなアクセス装置へのハンドオーバを開始する前記モバイル機器によってトリガされることを特徴とする請求項32に記載の方法。
ドメイン内ハンドオーバ−ケースIII
【請求項34】
ハンドオーバが前記新たなアクセス装置に対して実行され、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されないことを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項35】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記現在のアクセス装置に知らせる前記モバイル機器によってトリガされることを特徴とする請求項34に記載の方法。
【請求項36】
ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項34または35に記載の方法。
【請求項37】
セキュリティコンテキスト情報は、前記現在のアクセス装置と前記新たなアクセス装置との間でやりとりされることを特徴とする請求項36に記載の方法。
【請求項38】
ネットワークオペレータの制御下でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項37に記載の方法。
ドメイン内ハンドオーバ−ケースIV
【請求項39】
前記モバイル機器と前記新たなアクセス装置との間の相互認証の失敗時に、前記新たなアクセス装置でのセキュリティコンテキスト情報の非利用可能性に関して判断を下すステップを含むことを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項40】
ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項39に記載の方法。
【請求項41】
セキュリティコンテキスト情報は、前記現在のアクセス装置と前記新たなアクセス装置との間でやりとりされることを特徴とする請求項40に記載の方法。
【請求項42】
ネットワークオペレータの制御下でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項41に記載の方法。
ドメイン間−予備セットアップ
【請求項43】
異なる通信ドメインのアクセス装置間でハンドオーバが実行され、前記現在のアクセス装置が現在の通信ドメイン内で動作され、前記新たなアクセス装置が新たな通信ドメイン内で動作されることを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項44】
前記現在の通信ドメインの認証サーバと前記新たなドメイン内の少なくとも1つのアクセス装置との間で信頼できる通信を形成するステップを含むことを特徴とする請求項43に記載の方法。
【請求項45】
前記信頼できる通信は、前記現在の通信ドメイン内の少なくとも前記認証サーバと前記新たな通信ドメイン内の少なくとも1つのアクセス装置との間でセキュリティ関連付けリンクを構築することにより達成されることを特徴とする請求項44に記載の方法。
【請求項46】
前記新たな通信ドメインの可能な新たなアクセス装置を、前記現在の通信ドメインの前記認証サーバのマルチキャストドメインに対して付加するステップを含むことを特徴とする請求項43から45のいずれか1項に記載の方法。
【請求項47】
前記現在の通信ドメイン内の前記現在のアクセス装置と前記現在の通信ドメイン内の前記認証アクセスサーバとの間で通信リンクを構築するステップを含むことを特徴とする請求項43から46のいずれか1項に記載の方法。
【請求項48】
前記通信リンクは、前記現在の通信ドメイン内の前記現在のアクセス装置と前記現在の通信ドメイン内の前記認証アクセスサーバとの間で信頼できる関係として構築されることを特徴とする請求項47に記載の方法。
【請求項49】
ハンドオーバのための可能なアクセス装置を特定するために、前記現在の通信ドメイン内の前記現在のアクセス装置のための近隣関係を形成するステップを更に含むことを特徴とする請求項43から48のいずれか1項に記載の方法。
ドメイン間−基本的なハンドオーバ
【請求項50】
第2の通信ドメインに関するセキュリティ情報を前記現在のアクセス装置から前記モバイル機器へ送信するステップを含むことを特徴とする請求項43から49のいずれか1項に記載の方法。
【請求項51】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項50に記載の方法。
【請求項52】
前記現在の通信ドメインおよび前記新たな通信ドメインが異なる認証機構を使用する場合には、前記モバイル機器において、前記新たな通信ドメインからユーザ認証のためのマスター秘密認証値(MK)を受けるステップを含むことを特徴とする請求項50または51に記載の方法。
【請求項53】
前記新たなアクセス装置と前記モバイル機器との間の相互認証は、相互認証のための前記共有秘密認証値(RK)を使用して達成されることを特徴とする請求項50から52のいずれか1項に記載の方法。
【請求項54】
セキュリティコンテキスト情報の少なくとも一部を前記新たな通信ドメインへ送信するステップを含むことを特徴とする請求項50から53のいずれか1項に記載の方法。
【請求項55】
セキュリティコンテキスト情報の少なくとも一部の送信は、前記現在の通信ドメインの認証サーバによって行なわれることを特徴とする請求項54に記載の方法。
【請求項56】
セキュリティコンテキスト情報の少なくとも一部の送信がルータによって行なわれることを特徴とする請求項55に記載の方法。
【請求項57】
セキュリティコンテキスト情報は、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へ送られることを特徴とする請求項55または56に記載の方法。
【請求項58】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記モバイル機器によってサポートされる暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記モバイル機器の識別情報;
前記現在のアクセス装置の識別情報;
前記第1の通信ドメインの識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項55から57のいずれか1項に記載の方法。
【請求項59】
前記モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項58に記載の方法。
【請求項60】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は相互通信のための前記共有秘密認証値(ASK)のタイムアウト時間は、前記新たな通信ドメインにおいて延ばされることを特徴とする請求項58または59に記載の方法。
【請求項61】
相互通信のための前記共有秘密認証値(ASK)が前記第2の通信ドメイン内の前記新たなアクセス装置に対して通信されず或いは前記新たなアクセス装置から前記モバイル機器へ通信されない場合には、前記モバイル機器と前記新たなアクセス装置との間での安全な通信の再開が、相互認証のための前記共有秘密認証値(RK)を使用して行なわれることを特徴とする請求項50から60のいずれか1項に記載の方法。
【請求項62】
前記モバイル機器と前記新たなアクセス装置との間での安全な通信の再開は、前記第1の通信ドメインから送られる前記モバイル機器と前記新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)の使用により行なわれることを特徴とする請求項50から60のいずれか1項に記載の方法。
【請求項63】
前記現在のアクセス装置には、前記新たなアクセス装置へのハンドオーバが知らされることを特徴とする請求項50から62のいずれか1項に記載の方法。
【請求項64】
ハンドオーバの実行に関して前記現在の通信ドメイン内の前記認証サーバに知らせるステップを含むことを特徴とする請求項50から63のいずれか1項に記載の方法。
【請求項65】
ハンドオーバ実行後に通信に影響を与えることなく、前記第2の通信ドメイン(STA,AAAF)において更なるマスター秘密認証値(MK)を生成するステップを含むことを特徴とする請求項50から64のいずれか1項に記載の方法。
【請求項66】
ハンドオーバの実行のために相互認証のための前記共有秘密認証値(RK)が前記新たな通信ドメインへ送られる場合には、相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)が生成されることを特徴とする請求項65に記載の方法。
【請求項67】
ハンドオーバの実行のために相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインへ送られる場合には、相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)が生成されることを特徴とする請求項65に記載の方法。
【請求項68】
前記新たな通信ドメイン内で新たなセキュリティコンテキスト情報を利用できるときに、前記新たなアクセス装置の近隣関係で特定されるアクセス装置でセキュリティコンテキスト情報を更新するステップを更に含むことを特徴とする請求項50から67のいずれか1項に記載の方法。
ドメイン間−ケースI
【請求項69】
前記新たなアクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記新たなアクセス装置にはハンドオーバが知らされ、前記現在のアクセス装置は、前記新たなアクセス装置によってセキュリティ関連の問題をチェックした後にのみハンドオーバを実行するように前記モバイル機器に指示することを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項70】
前記新たなアクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記新たなアクセス装置にはハンドオーバが知らされ、ハンドオーバは、前記現在のアクセス装置に知らせることなく前記モバイル機器によって実行されることを特徴とする請求項50から68のいずれか1項に記載の方法。
ドメイン間−ケースII
【請求項71】
前記現在のアクセス装置にはハンドオーバの実行が知らされ、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有しておらず、前記現在のアクセス装置は、前記第1の通信ドメイン内の前記認証サーバ(AAAH)にハンドオーバ要求を知らせることを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項72】
前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を形成するステップを含むことを特徴とする請求項71に記載の方法。
【請求項73】
前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を構築した後、セキュリティコンテキスト情報の少なくとも一部を前記第2の通信ドメインへ送るステップを含むことを特徴とする請求項71または72に記載の方法。
【請求項74】
前記現在のアクセス装置にはハンドオーバの実行が知らされず、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有さず、前記第1の通信ドメインと前記第2の通信ドメインとの間の通信が中断されることを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項75】
ユーザの再認証後に前記第1の通信ドメインで通信を再開するステップを含むことを特徴とする請求項74に記載の方法。
装置クレーム−アクセス装置
基本的なハンドオーバ手続き
【請求項76】
分散モバイル通信環境において安全なハンドオーバを実行するためのアクセス装置であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器において実行され、
− セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するようになっている認証ユニットと、
− 前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するようになっているハンドオーバ制御ユニットと、
を備えるアクセス装置。
【請求項77】
前記相互認証が終了するまでハンドオーバを実行しないように、前記新たなアクセス装置及び/又は前記モバイル機器に通知するようになっている通信ユニットを備えていることを特徴とする請求項76に記載のアクセス装置。
【請求項78】
前記通信装置は、更に、前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記新たなアクセス装置及び/又は前記モバイル機器に通知するようになっていることを特徴とする請求項76または77に記載のアクセス装置。
【請求項79】
前記通信装置は、更に、前記新たなアクセス装置及び/又は前記モバイル機器から、ハンドオーバを実行する通知を受けるようになっていることを特徴とする請求項78に記載のアクセス装置。
【請求項80】
前記通信ユニットは、セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で安全な通信を再開するようになっていることを特徴とする請求項76から79のいずれか1項に記載のアクセス装置。
【請求項81】
前記通信ユニットは、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行した後、前記アクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項80に記載のアクセス装置。
メイン機構−イントラドメイン
【請求項82】
同じ通信ドメインのアクセス装置間でハンドオーバが実行されるようになっていることを特徴とする請求項76から81のいずれか1項に記載のアクセス装置。
【請求項83】
認証サーバ(AAA)での前記モバイル機器のログオン中にマスター秘密認証値を生成するようになっている暗号鍵ユニットを備えていることを特徴とする請求項82に記載のアクセス装置。
【請求項84】
前記通信ユニットは、認証サーバから前記マスター秘密認証値を受けるようになっていることを特徴とする請求項82または83に記載のアクセス装置。
【請求項85】
前記通信ユニットは、前記モバイル機器のログオンが成功した後に前記マスター秘密認証値(MK)を受けるようになっていることを特徴とする請求項82から84のいずれか1項に記載のアクセス装置。
【請求項86】
前記通信ユニットは、前記マスター秘密認証値をモバイル機器へ送るようになっていることを特徴とする請求項85に記載のアクセス装置。
【請求項87】
前記暗号鍵ユニットは、前記モバイル機器と協働して、前記マスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項82に記載のアクセス装置。
【請求項88】
前記暗号鍵ユニットは、認証サーバ(AAA)と協働して、前記マスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項82に記載のアクセス装置。
【請求項89】
前記暗号鍵ユニットは、前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項83から88のいずれか1項に記載のアクセス装置。
【請求項90】
前記暗号鍵ユニットは、前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項83から88のいずれか1項に記載のアクセス装置。
【請求項91】
前記通信装置は、前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)を前記モバイル機器に対して送るようになっていることを特徴とする請求項89または90に記載のアクセス装置。
セキュリティコンテキスト情報−イントラドメイン
【請求項92】
セキュリティコンテキスト情報を生成するようになっているセキュリティコンテキスト情報ユニットを備えていることを特徴とする請求項76から91のいずれか1項に記載のアクセス装置。
【請求項93】
セキュリティコンテキスト情報ユニットは、少なくとも前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を前記セキュリティコンテキスト情報中に含めるようになっていることを特徴とする請求項92に記載のアクセス装置。
【請求項94】
前記セキュリティコンテキスト情報ユニットは、
マスター秘密認証値(MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記現在のアクセス装置の識別情報;
前記モバイル機器の識別情報;
のうちの少なくとも1つを前記セキュリティコンテキスト情報中に更に含めるようになっていることを特徴とする請求項93に記載のアクセス装置。
【請求項95】
以下の関係が異なるタイムアウト時間同士の間で保たれる、すなわち、前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI)≧前記マスター秘密認証値のためのタイムアウト時間(TO−MK)≧前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK)≧前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK)となっていることを特徴とする請求項94に記載のアクセス装置。
【請求項96】
前記暗号鍵ユニットは、タイムアウト時間の満了時に、前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)を更新するようになっていることを特徴とする請求項94または95に記載のアクセス装置。
【請求項97】
前記現在のアクセス装置からのハンドオーバ候補として隣接するアクセス装置に適合される近隣関係ユニットを備えていることを特徴とする請求項92から96のいずれか1項に記載のアクセス装置。
【請求項98】
前記ハンドオーバ制御ユニットは、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがってハンドオーバ対象アクセス装置を予測するようになっていることを特徴とする請求項76から97のいずれか1項に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースI
【請求項99】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置に対してハンドオーバを実行するようになっており、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されることを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項100】
前記セキュリティコンテキスト情報ユニットは、前記アクセス装置へのハンドオーバを可能にする前に、セキュリティコンテキスト情報の利用可能性を評価するようになっていることを特徴とする請求項99に記載のアクセス装置。
【請求項101】
前記ハンドオーバ制御ユニットは、前記モバイル機器からトリガハンドオーバを受けるようになっていることを特徴とする請求項99または100に記載のアクセス装置。
【請求項102】
前記ハンドオーバ制御ユニットは、ハンドオーバをトリガするとともに、ハンドオーバの実行を前記モバイル機器に知らせるようになっていることを特徴とする請求項99または100に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースII
【請求項103】
前記ハンドオーバ制御ユニットは、少なくとも前記新たなアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することなく、前記新たなアクセス装置へのハンドオーバを実行するようになっていることを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースIII
【請求項104】
前記ハンドオーバ制御ユニットが前記新たなアクセス装置へのハンドオーバを実行するようになっており、前記新たなアクセス装置は前記アクセス装置の近隣関係で特定されないことを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項105】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項104に記載のアクセス装置。
【請求項106】
前記ハンドオーバ制御ユニットは、ネットワークオペレータの制御下でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項105に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースIV
【請求項107】
前記モバイル機器と前記新たなアクセス装置との間の相互認証の失敗時に、前記新たなアクセス装置でのセキュリティコンテキスト情報の非利用可能性に関して判断を下すことを含むことを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項108】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行前に少なくとも対象のアクセス装置でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項107に記載のアクセス装置。
【請求項109】
前記ハンドオーバ制御ユニットは、ネットワークオペレータの制御下で、少なくとも前記対象のアクセス装置においてセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項108に記載のアクセス装置。
ドメイン間−予備セットアップ
【請求項110】
前記ハンドオーバ制御ユニットは、異なる通信ドメインのアクセス装置間でハンドオーバを実行するようになっており、前記アクセス装置が現在の通信ドメイン内で動作され、前記対象のアクセス装置が新たな通信ドメイン内で動作されることを特徴とする請求項76から81のいずれか1項に記載のアクセス装置。
【請求項111】
前記通信ユニットは、前記現在の通信ドメインの認証サーバと前記新たな通信ドメイン内の少なくとも1つのハンドオーバ対象アクセス装置との間で信頼できる通信を形成するようになっていることを特徴とする請求項110に記載のアクセス装置。
【請求項112】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証サーバと前記新たな通信ドメイン内の少なくとも1つのハンドオーバ対象アクセス装置との間でセキュリティ関連付けリンクを構築することにより前記信頼できる通信を形成するようになっていることを特徴とする請求項111に記載のアクセス装置。
【請求項113】
前記通信ユニットは、前記新たな通信ドメインの可能な新たなハンドオーバアクセス装置を、前記現在の通信ドメインの前記認証サーバのマルチキャストドメインに対して付加するようになっていることを特徴とする請求項110から112のいずれか1項に記載のアクセス装置。
【請求項114】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証アクセスサーバへの通信リンクを構築するようになっていることを特徴とする請求項110から113のいずれか1項に記載のアクセス装置。
【請求項115】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証アクセスサーバへの通信リンクを信頼できる関係として構築するようになっていることを特徴とする請求項114に記載のアクセス装置。
【請求項116】
前記近隣関係ユニットは、ハンドオーバのための可能なアクセス装置を特定するために、前記現在の通信ドメイン内で近隣関係を形成するようになっていることを特徴とする請求項110から110のいずれか1項に記載のアクセス装置。
ドメイン間−基本的なハンドオーバ
【請求項117】
前記通信ユニットは、第2の通信ドメインに関するセキュリティ情報を前記モバイル機器へ送信するようになっていることを特徴とする請求項110から116のいずれか1項に記載のアクセス装置。
【請求項118】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項117に記載のアクセス装置。
【請求項119】
前記認証ユニットは、前記共有秘密認証値(RK)を使用して、前記新たな通信ドメイン内で前記アクセス装置と前記モバイル機器との間での相互認証を行なうようになっていることを特徴とする請求項117または118に記載のアクセス装置。
【請求項120】
前記通信ユニットは、セキュリティコンテキスト情報の少なくとも一部を前記新たな通信ドメインへ送信するようになっていることを特徴とする請求項117から119のいずれか1項に記載のアクセス装置。
【請求項121】
前記通信ユニットは、前記現在の通信ドメインの認証サーバによって或いはルータによって、セキュリティコンテキスト情報の少なくとも一部を送信するようになっていることを特徴とする請求項120に記載のアクセス装置。
【請求項122】
前記通信ユニットは、前記ハンドオーバ対象アクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項120または121に記載のアクセス装置。
【請求項123】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記モバイル機器によってサポートされる暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記モバイル機器の識別情報;
前記現在のアクセス装置の識別情報;
前記第1の通信ドメインの識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項120から122のいずれか1項に記載のアクセス装置。
【請求項124】
前記モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項123に記載のアクセス装置。
【請求項125】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は相互通信のための前記共有秘密認証値(ASK)のタイムアウト時間は、新たな通信ドメインにおいて延ばされることを特徴とする請求項123または124に記載のアクセス装置。
【請求項126】
前記通信ユニットは、相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインに対して通信されず或いは前記モバイル機器へ通信されない場合には、相互認証のための前記共有秘密認証値(RK)を使用して、前記モバイル機器への安全な通信を再開するようになっていることを特徴とする請求項117から125のいずれか1項に記載のアクセス装置。
【請求項127】
前記通信ユニットは、前記第1の通信ドメインから送られる前記モバイル機器への相互通信のための前記共有秘密認証値(ASK)を使用することにより、前記モバイル機器への安全な通信を再開するようになっていることを特徴とする請求項117から125のいずれか1項に記載のアクセス装置。
【請求項128】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバに関する情報を受けるようになっていることを特徴とする請求項117から127のいずれか1項に記載のアクセス装置。
【請求項129】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行に関して前記現在の通信ドメイン内の前記認証サーバに知らせるようになっていることを特徴とする請求項117から128のいずれか1項に記載のアクセス装置。
【請求項130】
前記暗号鍵ユニットは、ハンドオーバ実行後に通信に影響を与えることなく前記第2の通信ドメイン(STA,AAAF)において更なるマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項117から129のいずれか1項に記載のアクセス装置。
【請求項131】
前記暗号鍵ユニットは、ハンドオーバの実行のために相互認証のための前記共有秘密認証値(RK)が前記新たな通信ドメインへ送られる場合には、相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項130に記載のアクセス装置。
【請求項132】
前記暗号鍵ユニットは、ハンドオーバの実行のために相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインへ送られる場合には、相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項130に記載のアクセス装置。
【請求項133】
前記セキュリティコンテキスト情報ユニットは、前記新たな通信ドメイン内で新たなセキュリティコンテキスト情報を利用できるときに、近隣関係で特定されるアクセス装置でセキュリティコンテキスト情報を更新するようになっていることを特徴とする請求項117から132のいずれか1項に記載のアクセス装置。
ドメイン間−ケースI
【請求項134】
前記ハンドオーバ対象アクセス装置はハンドオーバのための近隣関係に含まれ、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置にハンドオーバを知らせるようになっており、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置でセキュリティ関連の問題をチェックした後にハンドオーバを実行するように前記モバイル機器に指示するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項135】
前記ハンドオーバ対象アクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置にハンドオーバを知らせるようになっており、前記ハンドオーバ制御ユニットは、前記現在のアクセス装置に知らせることなく前記モバイル機器によるハンドオーバの実行を開始するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
ドメイン間−ケースII
【請求項136】
前記ハンドオーバ制御ユニットにはハンドオーバの実行が知らされるようになっており、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有しておらず、前記ハンドオーバ制御ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)にハンドオーバ要求を知らせるようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項137】
前記通信ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を形成するようになっていることを特徴とする請求項136に記載のアクセス装置。
【請求項138】
前記通信ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を構築した後、セキュリティコンテキスト情報の少なくとも一部を前記第2の通信ドメインへ送るようになっていることを特徴とする請求項136または137に記載のアクセス装置。
【請求項139】
ハンドオーバの実行が知らされず、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有さず、前記通信ユニットは、前記第1の通信ドメインと前記第2の通信ドメインとの間の通信を中断するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項140】
前記通信ユニットは、ユーザの再認証後に前記第1の通信ドメインで通信を再開するようになっていることを特徴とする請求項139に記載のアクセス装置。
装置クレーム−モバイル機器
【請求項141】
分散モバイル通信環境において安全なハンドオーバを実行するためのモバイル機器であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間で実行され、
− セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するようになっている認証ユニットと、
− 前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するようになっているハンドオーバ制御ユニットと、
を備えるモバイル機器。
【請求項142】
前記相互認証が終了するまでハンドオーバを実行しないように、前記現在のアクセス装置及び/又は前記新たなアクセス装置に通知するようになっている通信ユニットを備えていることを特徴とする請求項141に記載のモバイル機器。
【請求項143】
前記通信ユニットは、更に、前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記現在のアクセス装置及び/又は前記新たなアクセス装置に通知するようになっていることを特徴とする請求項141または142に記載のモバイル機器。
【請求項144】
前記通信ユニットは、更に、前記新たなアクセス装置から、ハンドオーバを実行する通知を受けるようになっていることを特徴とする請求項143に記載のモバイル機器。
【請求項145】
前記通信ユニットは、セキュリティコンテキスト情報を使用して、前記新たなアクセス装置への安全な通信を再開するようになっていることを特徴とする請求項141から144のいずれか1項に記載のモバイル機器。
【請求項146】
前記通信ユニットは、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項145に記載のモバイル機器。
【請求項147】
前記通信ユニットは、暗号鍵処理のためにマスター秘密認証値を受けるようになっていることを特徴とする請求項11に記載のモバイル機器。
【請求項148】
暗号鍵処理のために前記マスター秘密認証値(MK)を生成するようになっている暗号鍵ユニットを備えていることを特徴とする請求項82に記載のモバイル機器。
【請求項149】
前記暗号鍵ユニットは、前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項147または148に記載のモバイル機器。
【請求項150】
前記ハンドオーバ制御ユニットは、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがってハンドオーバ対象アクセス装置を予測するようになっていることを特徴とする請求項141から149のいずれか1項に記載のモバイル機器。
【請求項151】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバを前記現在のアクセス装置に知らせることにより、ハンドオーバの実行をトリガするようになっていることを特徴とする請求項141から151のいずれか1項に記載のモバイル機器。
【請求項152】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバを前記現在のアクセス装置に知らせることなく、ハンドオーバの実行をトリガするようになっていることを特徴とする請求項141から150のいずれか1項に記載のモバイル機器。
【請求項153】
前記通信ユニットは、前記第2の通信ドメインに関するセキュリティ情報を受けるようになっていることを特徴とする請求項141から152のいずれか1項に記載のモバイル機器。
【請求項154】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項153に記載のモバイル機器。
【請求項155】
前記現在の通信ドメインおよび前記新たな通信ドメインが異なる認証機構を使用するときに、前記モバイル機器において、前記新たな通信ドメインからユーザ認証のためのマスター秘密認証値(MK)を受けることを特徴とする請求項153または154に記載のモバイル機器。
【請求項156】
アクセス装置及び/又はモバイル機器の内部メモリへ直接にロード可能なコンピュータプログラムプロダクトであって、当該プロダクトが前記アクセス装置及び/又は前記モバイル機器のプロセッサで実行される際に請求項1から75のいずれか1項に記載のステップを行なうためのソフトウェアコード部を含んでいるコンピュータプログラムプロダクト。
【請求項1】
方法クレーム
基本的なハンドオーバ手続き
分散モバイル通信環境における安全なハンドオーバの方法であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器のために実行され、
セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するステップと、
前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するステップと
を含む方法。
【請求項2】
前記相互認証は、前記モバイル機器、前記現在のアクセス装置、前記新たなアクセス装置、少なくとも1つの遠隔ネットワーク装置、あるいは、これらの任意の組み合わせにおいて実行されることを特徴とする請求項1に記載の方法。
【請求項3】
前記相互認証が終了するまでハンドオーバを実行しないように、前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器に通知するステップを更に含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器に通知するステップを更に含むことを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
前記現在のアクセス装置、前記新たなアクセス装置及び/又は前記モバイル機器でハンドオーバを実行する通知を受けるステップを更に含むことを特徴とする請求項4に記載の方法。
【請求項6】
セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で安全な通信を再開するステップを含むことを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行した後、前記新たなアクセス装置から、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へと、セキュリティコンテキスト情報を送るステップを含むことを特徴とする請求項6に記載の方法。
メイン機構−イントラドメイン
【請求項8】
同じ通信ドメインのアクセス装置間でハンドオーバが実行されることを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項9】
認証サーバ(AAA)でのモバイル機器のログオン中にマスター秘密認証値が生成されることを特徴とする請求項8に記載の方法。
【請求項10】
前記マスター秘密認証値は、前記認証サーバから少なくとも前記現在のアクセス装置へと送られることを特徴とする請求項8または9に記載の方法。
【請求項11】
前記マスター秘密認証値(MK)は、前記モバイル機器のログオンが成功した後に送られることを特徴とする請求項8から10のいずれか1項に記載の方法。
【請求項12】
前記マスター秘密認証値が更に前記モバイル機器へと送られることを特徴とする請求項11に記載の方法。
【請求項13】
前記マスター秘密認証値(MK)は、前記現在のアクセス装置と前記モバイル機器との間で生成されることを特徴とする請求項8に記載の方法。
【請求項14】
前記マスター秘密認証値(MK)は、前記現在のアクセス装置と認証サーバ(AAA)との間で生成されることを特徴とする請求項8に記載の方法。
【請求項15】
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)が前記マスター秘密認証値から得られることを特徴とする請求項9から14のいずれか1項に記載の方法。
【請求項16】
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)が前記マスター秘密認証値から得られることを特徴とする請求項9から15のいずれか1項に記載の方法。
【請求項17】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)が前記現在のアクセス装置で得られることを特徴とする請求項15または16に記載の方法。
【請求項18】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)が前記モバイル機器へ送られることを特徴とする請求項17に記載の方法。
セキュリティコンテキスト情報−イントラドメイン
【請求項19】
前記セキュリティコンテキスト情報が前記現在のアクセス装置で生成されることを特徴とする請求項1から18のいずれか1項に記載の方法。
【請求項20】
前記セキュリティコンテキスト情報は、前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を少なくとも含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記現在のアクセス装置の識別情報;
前記モバイル機器の識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項20に記載の方法。
【請求項22】
モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項21に記載の方法。
【請求項23】
以下の関係が異なるタイムアウト時間同士の間で保たれる、すなわち、前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI)≧前記マスター秘密認証値のためのタイムアウト時間(TO−MK)≧前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK)≧前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK)となっていることを特徴とする請求項21または22に記載の方法。
【請求項24】
前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)は、タイムアウト時間の満了時に前記現在のアクセス装置で更新されることを特徴とする請求項21から23のいずれか1項に記載の方法。
【請求項25】
前記現在のアクセス装置の近隣関係で特定されるアクセス装置においてセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項19から24のいずれか1項に記載の方法。
【請求項26】
ハンドオーバアクセス装置になると予期されるアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項19から24のいずれか1項に記載の方法。
【請求項27】
前記予期されるハンドオーバ装置は、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがって予測されることを特徴とする請求項26に記載の方法。
ドメイン内ハンドオーバ
ドメイン内ハンドオーバ−ケースI
【請求項28】
ハンドオーバが前記新たなアクセス装置に対して実行され、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されることを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項29】
少なくとも前記現在のアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することを特徴とする請求項28に記載の方法。
【請求項30】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記現在のアクセス装置に知らせる前記モバイル機器によってトリガされることを特徴とする請求項28または29に記載の方法。
【請求項31】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記モバイル機器に知らせる前記現在のアクセス装置によってトリガされることを特徴とする請求項28または29に記載の方法。
ドメイン内ハンドオーバ−ケースII
【請求項32】
少なくとも前記新たなアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することなく、ハンドオーバが前記新たなアクセス装置に対して実行されることを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項33】
ハンドオーバの実行は、ハンドオーバを前記現在のアクセス装置に知らせることなく前記新たなアクセス装置へのハンドオーバを開始する前記モバイル機器によってトリガされることを特徴とする請求項32に記載の方法。
ドメイン内ハンドオーバ−ケースIII
【請求項34】
ハンドオーバが前記新たなアクセス装置に対して実行され、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されないことを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項35】
ハンドオーバの実行は、前記新たなアクセス装置へのハンドオーバに関して前記現在のアクセス装置に知らせる前記モバイル機器によってトリガされることを特徴とする請求項34に記載の方法。
【請求項36】
ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項34または35に記載の方法。
【請求項37】
セキュリティコンテキスト情報は、前記現在のアクセス装置と前記新たなアクセス装置との間でやりとりされることを特徴とする請求項36に記載の方法。
【請求項38】
ネットワークオペレータの制御下でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項37に記載の方法。
ドメイン内ハンドオーバ−ケースIV
【請求項39】
前記モバイル機器と前記新たなアクセス装置との間の相互認証の失敗時に、前記新たなアクセス装置でのセキュリティコンテキスト情報の非利用可能性に関して判断を下すステップを含むことを特徴とする請求項8から27のいずれか1項に記載の方法。
【請求項40】
ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項39に記載の方法。
【請求項41】
セキュリティコンテキスト情報は、前記現在のアクセス装置と前記新たなアクセス装置との間でやりとりされることを特徴とする請求項40に記載の方法。
【請求項42】
ネットワークオペレータの制御下でセキュリティコンテキスト情報を受けるステップを含むことを特徴とする請求項41に記載の方法。
ドメイン間−予備セットアップ
【請求項43】
異なる通信ドメインのアクセス装置間でハンドオーバが実行され、前記現在のアクセス装置が現在の通信ドメイン内で動作され、前記新たなアクセス装置が新たな通信ドメイン内で動作されることを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項44】
前記現在の通信ドメインの認証サーバと前記新たなドメイン内の少なくとも1つのアクセス装置との間で信頼できる通信を形成するステップを含むことを特徴とする請求項43に記載の方法。
【請求項45】
前記信頼できる通信は、前記現在の通信ドメイン内の少なくとも前記認証サーバと前記新たな通信ドメイン内の少なくとも1つのアクセス装置との間でセキュリティ関連付けリンクを構築することにより達成されることを特徴とする請求項44に記載の方法。
【請求項46】
前記新たな通信ドメインの可能な新たなアクセス装置を、前記現在の通信ドメインの前記認証サーバのマルチキャストドメインに対して付加するステップを含むことを特徴とする請求項43から45のいずれか1項に記載の方法。
【請求項47】
前記現在の通信ドメイン内の前記現在のアクセス装置と前記現在の通信ドメイン内の前記認証アクセスサーバとの間で通信リンクを構築するステップを含むことを特徴とする請求項43から46のいずれか1項に記載の方法。
【請求項48】
前記通信リンクは、前記現在の通信ドメイン内の前記現在のアクセス装置と前記現在の通信ドメイン内の前記認証アクセスサーバとの間で信頼できる関係として構築されることを特徴とする請求項47に記載の方法。
【請求項49】
ハンドオーバのための可能なアクセス装置を特定するために、前記現在の通信ドメイン内の前記現在のアクセス装置のための近隣関係を形成するステップを更に含むことを特徴とする請求項43から48のいずれか1項に記載の方法。
ドメイン間−基本的なハンドオーバ
【請求項50】
第2の通信ドメインに関するセキュリティ情報を前記現在のアクセス装置から前記モバイル機器へ送信するステップを含むことを特徴とする請求項43から49のいずれか1項に記載の方法。
【請求項51】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項50に記載の方法。
【請求項52】
前記現在の通信ドメインおよび前記新たな通信ドメインが異なる認証機構を使用する場合には、前記モバイル機器において、前記新たな通信ドメインからユーザ認証のためのマスター秘密認証値(MK)を受けるステップを含むことを特徴とする請求項50または51に記載の方法。
【請求項53】
前記新たなアクセス装置と前記モバイル機器との間の相互認証は、相互認証のための前記共有秘密認証値(RK)を使用して達成されることを特徴とする請求項50から52のいずれか1項に記載の方法。
【請求項54】
セキュリティコンテキスト情報の少なくとも一部を前記新たな通信ドメインへ送信するステップを含むことを特徴とする請求項50から53のいずれか1項に記載の方法。
【請求項55】
セキュリティコンテキスト情報の少なくとも一部の送信は、前記現在の通信ドメインの認証サーバによって行なわれることを特徴とする請求項54に記載の方法。
【請求項56】
セキュリティコンテキスト情報の少なくとも一部の送信がルータによって行なわれることを特徴とする請求項55に記載の方法。
【請求項57】
セキュリティコンテキスト情報は、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へ送られることを特徴とする請求項55または56に記載の方法。
【請求項58】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記モバイル機器によってサポートされる暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記モバイル機器の識別情報;
前記現在のアクセス装置の識別情報;
前記第1の通信ドメインの識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項55から57のいずれか1項に記載の方法。
【請求項59】
前記モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項58に記載の方法。
【請求項60】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は相互通信のための前記共有秘密認証値(ASK)のタイムアウト時間は、前記新たな通信ドメインにおいて延ばされることを特徴とする請求項58または59に記載の方法。
【請求項61】
相互通信のための前記共有秘密認証値(ASK)が前記第2の通信ドメイン内の前記新たなアクセス装置に対して通信されず或いは前記新たなアクセス装置から前記モバイル機器へ通信されない場合には、前記モバイル機器と前記新たなアクセス装置との間での安全な通信の再開が、相互認証のための前記共有秘密認証値(RK)を使用して行なわれることを特徴とする請求項50から60のいずれか1項に記載の方法。
【請求項62】
前記モバイル機器と前記新たなアクセス装置との間での安全な通信の再開は、前記第1の通信ドメインから送られる前記モバイル機器と前記新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)の使用により行なわれることを特徴とする請求項50から60のいずれか1項に記載の方法。
【請求項63】
前記現在のアクセス装置には、前記新たなアクセス装置へのハンドオーバが知らされることを特徴とする請求項50から62のいずれか1項に記載の方法。
【請求項64】
ハンドオーバの実行に関して前記現在の通信ドメイン内の前記認証サーバに知らせるステップを含むことを特徴とする請求項50から63のいずれか1項に記載の方法。
【請求項65】
ハンドオーバ実行後に通信に影響を与えることなく、前記第2の通信ドメイン(STA,AAAF)において更なるマスター秘密認証値(MK)を生成するステップを含むことを特徴とする請求項50から64のいずれか1項に記載の方法。
【請求項66】
ハンドオーバの実行のために相互認証のための前記共有秘密認証値(RK)が前記新たな通信ドメインへ送られる場合には、相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)が生成されることを特徴とする請求項65に記載の方法。
【請求項67】
ハンドオーバの実行のために相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインへ送られる場合には、相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)が生成されることを特徴とする請求項65に記載の方法。
【請求項68】
前記新たな通信ドメイン内で新たなセキュリティコンテキスト情報を利用できるときに、前記新たなアクセス装置の近隣関係で特定されるアクセス装置でセキュリティコンテキスト情報を更新するステップを更に含むことを特徴とする請求項50から67のいずれか1項に記載の方法。
ドメイン間−ケースI
【請求項69】
前記新たなアクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記新たなアクセス装置にはハンドオーバが知らされ、前記現在のアクセス装置は、前記新たなアクセス装置によってセキュリティ関連の問題をチェックした後にのみハンドオーバを実行するように前記モバイル機器に指示することを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項70】
前記新たなアクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記新たなアクセス装置にはハンドオーバが知らされ、ハンドオーバは、前記現在のアクセス装置に知らせることなく前記モバイル機器によって実行されることを特徴とする請求項50から68のいずれか1項に記載の方法。
ドメイン間−ケースII
【請求項71】
前記現在のアクセス装置にはハンドオーバの実行が知らされ、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有しておらず、前記現在のアクセス装置は、前記第1の通信ドメイン内の前記認証サーバ(AAAH)にハンドオーバ要求を知らせることを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項72】
前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を形成するステップを含むことを特徴とする請求項71に記載の方法。
【請求項73】
前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を構築した後、セキュリティコンテキスト情報の少なくとも一部を前記第2の通信ドメインへ送るステップを含むことを特徴とする請求項71または72に記載の方法。
【請求項74】
前記現在のアクセス装置にはハンドオーバの実行が知らされず、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有さず、前記第1の通信ドメインと前記第2の通信ドメインとの間の通信が中断されることを特徴とする請求項50から68のいずれか1項に記載の方法。
【請求項75】
ユーザの再認証後に前記第1の通信ドメインで通信を再開するステップを含むことを特徴とする請求項74に記載の方法。
装置クレーム−アクセス装置
基本的なハンドオーバ手続き
【請求項76】
分散モバイル通信環境において安全なハンドオーバを実行するためのアクセス装置であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間でモバイル機器において実行され、
− セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するようになっている認証ユニットと、
− 前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するようになっているハンドオーバ制御ユニットと、
を備えるアクセス装置。
【請求項77】
前記相互認証が終了するまでハンドオーバを実行しないように、前記新たなアクセス装置及び/又は前記モバイル機器に通知するようになっている通信ユニットを備えていることを特徴とする請求項76に記載のアクセス装置。
【請求項78】
前記通信装置は、更に、前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記新たなアクセス装置及び/又は前記モバイル機器に通知するようになっていることを特徴とする請求項76または77に記載のアクセス装置。
【請求項79】
前記通信装置は、更に、前記新たなアクセス装置及び/又は前記モバイル機器から、ハンドオーバを実行する通知を受けるようになっていることを特徴とする請求項78に記載のアクセス装置。
【請求項80】
前記通信ユニットは、セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で安全な通信を再開するようになっていることを特徴とする請求項76から79のいずれか1項に記載のアクセス装置。
【請求項81】
前記通信ユニットは、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行した後、前記アクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項80に記載のアクセス装置。
メイン機構−イントラドメイン
【請求項82】
同じ通信ドメインのアクセス装置間でハンドオーバが実行されるようになっていることを特徴とする請求項76から81のいずれか1項に記載のアクセス装置。
【請求項83】
認証サーバ(AAA)での前記モバイル機器のログオン中にマスター秘密認証値を生成するようになっている暗号鍵ユニットを備えていることを特徴とする請求項82に記載のアクセス装置。
【請求項84】
前記通信ユニットは、認証サーバから前記マスター秘密認証値を受けるようになっていることを特徴とする請求項82または83に記載のアクセス装置。
【請求項85】
前記通信ユニットは、前記モバイル機器のログオンが成功した後に前記マスター秘密認証値(MK)を受けるようになっていることを特徴とする請求項82から84のいずれか1項に記載のアクセス装置。
【請求項86】
前記通信ユニットは、前記マスター秘密認証値をモバイル機器へ送るようになっていることを特徴とする請求項85に記載のアクセス装置。
【請求項87】
前記暗号鍵ユニットは、前記モバイル機器と協働して、前記マスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項82に記載のアクセス装置。
【請求項88】
前記暗号鍵ユニットは、認証サーバ(AAA)と協働して、前記マスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項82に記載のアクセス装置。
【請求項89】
前記暗号鍵ユニットは、前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項83から88のいずれか1項に記載のアクセス装置。
【請求項90】
前記暗号鍵ユニットは、前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項83から88のいずれか1項に記載のアクセス装置。
【請求項91】
前記通信装置は、前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は前記モバイル機器とアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)を前記モバイル機器に対して送るようになっていることを特徴とする請求項89または90に記載のアクセス装置。
セキュリティコンテキスト情報−イントラドメイン
【請求項92】
セキュリティコンテキスト情報を生成するようになっているセキュリティコンテキスト情報ユニットを備えていることを特徴とする請求項76から91のいずれか1項に記載のアクセス装置。
【請求項93】
セキュリティコンテキスト情報ユニットは、少なくとも前記モバイル機器と前記新たなアクセス装置との間の相互認証のための共有秘密認証値(RK)を前記セキュリティコンテキスト情報中に含めるようになっていることを特徴とする請求項92に記載のアクセス装置。
【請求項94】
前記セキュリティコンテキスト情報ユニットは、
マスター秘密認証値(MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記現在のアクセス装置の識別情報;
前記モバイル機器の識別情報;
のうちの少なくとも1つを前記セキュリティコンテキスト情報中に更に含めるようになっていることを特徴とする請求項93に記載のアクセス装置。
【請求項95】
以下の関係が異なるタイムアウト時間同士の間で保たれる、すなわち、前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI)≧前記マスター秘密認証値のためのタイムアウト時間(TO−MK)≧前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK)≧前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK)となっていることを特徴とする請求項94に記載のアクセス装置。
【請求項96】
前記暗号鍵ユニットは、タイムアウト時間の満了時に、前記モバイル機器と前記現在のアクセス装置との間の相互認証のための前記共有秘密認証値(ASK)を更新するようになっていることを特徴とする請求項94または95に記載のアクセス装置。
【請求項97】
前記現在のアクセス装置からのハンドオーバ候補として隣接するアクセス装置に適合される近隣関係ユニットを備えていることを特徴とする請求項92から96のいずれか1項に記載のアクセス装置。
【請求項98】
前記ハンドオーバ制御ユニットは、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがってハンドオーバ対象アクセス装置を予測するようになっていることを特徴とする請求項76から97のいずれか1項に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースI
【請求項99】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置に対してハンドオーバを実行するようになっており、前記新たなアクセス装置は、前記現在のアクセス装置の近隣関係で特定されることを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項100】
前記セキュリティコンテキスト情報ユニットは、前記アクセス装置へのハンドオーバを可能にする前に、セキュリティコンテキスト情報の利用可能性を評価するようになっていることを特徴とする請求項99に記載のアクセス装置。
【請求項101】
前記ハンドオーバ制御ユニットは、前記モバイル機器からトリガハンドオーバを受けるようになっていることを特徴とする請求項99または100に記載のアクセス装置。
【請求項102】
前記ハンドオーバ制御ユニットは、ハンドオーバをトリガするとともに、ハンドオーバの実行を前記モバイル機器に知らせるようになっていることを特徴とする請求項99または100に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースII
【請求項103】
前記ハンドオーバ制御ユニットは、少なくとも前記新たなアクセス装置でのセキュリティコンテキスト情報の利用可能性を評価することなく、前記新たなアクセス装置へのハンドオーバを実行するようになっていることを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースIII
【請求項104】
前記ハンドオーバ制御ユニットが前記新たなアクセス装置へのハンドオーバを実行するようになっており、前記新たなアクセス装置は前記アクセス装置の近隣関係で特定されないことを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項105】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行前に少なくとも前記新たなアクセス装置でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項104に記載のアクセス装置。
【請求項106】
前記ハンドオーバ制御ユニットは、ネットワークオペレータの制御下でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項105に記載のアクセス装置。
ドメイン内ハンドオーバ−ケースIV
【請求項107】
前記モバイル機器と前記新たなアクセス装置との間の相互認証の失敗時に、前記新たなアクセス装置でのセキュリティコンテキスト情報の非利用可能性に関して判断を下すことを含むことを特徴とする請求項82から98のいずれか1項に記載のアクセス装置。
【請求項108】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行前に少なくとも対象のアクセス装置でセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項107に記載のアクセス装置。
【請求項109】
前記ハンドオーバ制御ユニットは、ネットワークオペレータの制御下で、少なくとも前記対象のアクセス装置においてセキュリティコンテキスト情報の受信を開始するようになっていることを特徴とする請求項108に記載のアクセス装置。
ドメイン間−予備セットアップ
【請求項110】
前記ハンドオーバ制御ユニットは、異なる通信ドメインのアクセス装置間でハンドオーバを実行するようになっており、前記アクセス装置が現在の通信ドメイン内で動作され、前記対象のアクセス装置が新たな通信ドメイン内で動作されることを特徴とする請求項76から81のいずれか1項に記載のアクセス装置。
【請求項111】
前記通信ユニットは、前記現在の通信ドメインの認証サーバと前記新たな通信ドメイン内の少なくとも1つのハンドオーバ対象アクセス装置との間で信頼できる通信を形成するようになっていることを特徴とする請求項110に記載のアクセス装置。
【請求項112】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証サーバと前記新たな通信ドメイン内の少なくとも1つのハンドオーバ対象アクセス装置との間でセキュリティ関連付けリンクを構築することにより前記信頼できる通信を形成するようになっていることを特徴とする請求項111に記載のアクセス装置。
【請求項113】
前記通信ユニットは、前記新たな通信ドメインの可能な新たなハンドオーバアクセス装置を、前記現在の通信ドメインの前記認証サーバのマルチキャストドメインに対して付加するようになっていることを特徴とする請求項110から112のいずれか1項に記載のアクセス装置。
【請求項114】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証アクセスサーバへの通信リンクを構築するようになっていることを特徴とする請求項110から113のいずれか1項に記載のアクセス装置。
【請求項115】
前記通信ユニットは、前記現在の通信ドメイン内の前記認証アクセスサーバへの通信リンクを信頼できる関係として構築するようになっていることを特徴とする請求項114に記載のアクセス装置。
【請求項116】
前記近隣関係ユニットは、ハンドオーバのための可能なアクセス装置を特定するために、前記現在の通信ドメイン内で近隣関係を形成するようになっていることを特徴とする請求項110から110のいずれか1項に記載のアクセス装置。
ドメイン間−基本的なハンドオーバ
【請求項117】
前記通信ユニットは、第2の通信ドメインに関するセキュリティ情報を前記モバイル機器へ送信するようになっていることを特徴とする請求項110から116のいずれか1項に記載のアクセス装置。
【請求項118】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項117に記載のアクセス装置。
【請求項119】
前記認証ユニットは、前記共有秘密認証値(RK)を使用して、前記新たな通信ドメイン内で前記アクセス装置と前記モバイル機器との間での相互認証を行なうようになっていることを特徴とする請求項117または118に記載のアクセス装置。
【請求項120】
前記通信ユニットは、セキュリティコンテキスト情報の少なくとも一部を前記新たな通信ドメインへ送信するようになっていることを特徴とする請求項117から119のいずれか1項に記載のアクセス装置。
【請求項121】
前記通信ユニットは、前記現在の通信ドメインの認証サーバによって或いはルータによって、セキュリティコンテキスト情報の少なくとも一部を送信するようになっていることを特徴とする請求項120に記載のアクセス装置。
【請求項122】
前記通信ユニットは、前記ハンドオーバ対象アクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項120または121に記載のアクセス装置。
【請求項123】
前記セキュリティコンテキスト情報は、
マスター秘密認証値(MK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互認証のための共有秘密認証値(RK);
前記モバイル機器と前記現在の/新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK);
前記モバイル機器によって使用される暗号化のタイプの表示;
前記モバイル機器によってサポートされる暗号化のタイプの表示;
前記マスター秘密認証値のためのタイムアウト時間(TO−MK);
前記モバイル機器と前記現在のアクセス装置との間の相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間(TO−ASK);
前記モバイル機器と前記新たなアクセス装置との間の相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間(TO−RK);
前記セキュリティコンテキスト情報のためのタイムアウト時間(TO−CI);
タイムスタンプ;
前記モバイル機器の識別情報;
前記現在のアクセス装置の識別情報;
前記第1の通信ドメインの識別情報;
のうちの少なくとも1つを含むことを特徴とする請求項120から122のいずれか1項に記載のアクセス装置。
【請求項124】
前記モバイル機器の前記識別情報が仮の識別情報であることを特徴とする請求項123に記載のアクセス装置。
【請求項125】
前記モバイル機器とアクセス装置との間の相互認証のための前記共有秘密認証値(RK)及び/又は相互通信のための前記共有秘密認証値(ASK)のタイムアウト時間は、新たな通信ドメインにおいて延ばされることを特徴とする請求項123または124に記載のアクセス装置。
【請求項126】
前記通信ユニットは、相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインに対して通信されず或いは前記モバイル機器へ通信されない場合には、相互認証のための前記共有秘密認証値(RK)を使用して、前記モバイル機器への安全な通信を再開するようになっていることを特徴とする請求項117から125のいずれか1項に記載のアクセス装置。
【請求項127】
前記通信ユニットは、前記第1の通信ドメインから送られる前記モバイル機器への相互通信のための前記共有秘密認証値(ASK)を使用することにより、前記モバイル機器への安全な通信を再開するようになっていることを特徴とする請求項117から125のいずれか1項に記載のアクセス装置。
【請求項128】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバに関する情報を受けるようになっていることを特徴とする請求項117から127のいずれか1項に記載のアクセス装置。
【請求項129】
前記ハンドオーバ制御ユニットは、ハンドオーバの実行に関して前記現在の通信ドメイン内の前記認証サーバに知らせるようになっていることを特徴とする請求項117から128のいずれか1項に記載のアクセス装置。
【請求項130】
前記暗号鍵ユニットは、ハンドオーバ実行後に通信に影響を与えることなく前記第2の通信ドメイン(STA,AAAF)において更なるマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項117から129のいずれか1項に記載のアクセス装置。
【請求項131】
前記暗号鍵ユニットは、ハンドオーバの実行のために相互認証のための前記共有秘密認証値(RK)が前記新たな通信ドメインへ送られる場合には、相互認証のための前記共有秘密認証値(RK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項130に記載のアクセス装置。
【請求項132】
前記暗号鍵ユニットは、ハンドオーバの実行のために相互通信のための前記共有秘密認証値(ASK)が前記新たな通信ドメインへ送られる場合には、相互通信のための前記共有秘密認証値(ASK)のためのタイムアウト時間満了前に、前記新たなマスター秘密認証値(MK)を生成するようになっていることを特徴とする請求項130に記載のアクセス装置。
【請求項133】
前記セキュリティコンテキスト情報ユニットは、前記新たな通信ドメイン内で新たなセキュリティコンテキスト情報を利用できるときに、近隣関係で特定されるアクセス装置でセキュリティコンテキスト情報を更新するようになっていることを特徴とする請求項117から132のいずれか1項に記載のアクセス装置。
ドメイン間−ケースI
【請求項134】
前記ハンドオーバ対象アクセス装置はハンドオーバのための近隣関係に含まれ、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置にハンドオーバを知らせるようになっており、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置でセキュリティ関連の問題をチェックした後にハンドオーバを実行するように前記モバイル機器に指示するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項135】
前記ハンドオーバ対象アクセス装置は前記現在のアクセス装置の近隣関係に含まれ、前記ハンドオーバ制御ユニットは、前記ハンドオーバ対象アクセス装置にハンドオーバを知らせるようになっており、前記ハンドオーバ制御ユニットは、前記現在のアクセス装置に知らせることなく前記モバイル機器によるハンドオーバの実行を開始するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
ドメイン間−ケースII
【請求項136】
前記ハンドオーバ制御ユニットにはハンドオーバの実行が知らされるようになっており、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有しておらず、前記ハンドオーバ制御ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)にハンドオーバ要求を知らせるようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項137】
前記通信ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を形成するようになっていることを特徴とする請求項136に記載のアクセス装置。
【請求項138】
前記通信ユニットは、前記第1の通信ドメイン内の前記認証サーバ(AAAH)と前記第2の通信ドメイン内の前記認証サーバ(AAAF)との間で信頼通信関係を構築した後、セキュリティコンテキスト情報の少なくとも一部を前記第2の通信ドメインへ送るようになっていることを特徴とする請求項136または137に記載のアクセス装置。
【請求項139】
ハンドオーバの実行が知らされず、前記第1の通信ドメインおよび前記第2の通信ドメインはハンドオーバの実行前に信頼関係を有さず、前記通信ユニットは、前記第1の通信ドメインと前記第2の通信ドメインとの間の通信を中断するようになっていることを特徴とする請求項117から133のいずれか1項に記載のアクセス装置。
【請求項140】
前記通信ユニットは、ユーザの再認証後に前記第1の通信ドメインで通信を再開するようになっていることを特徴とする請求項139に記載のアクセス装置。
装置クレーム−モバイル機器
【請求項141】
分散モバイル通信環境において安全なハンドオーバを実行するためのモバイル機器であって、前記安全なハンドオーバは、現在のアクセス装置と新たなアクセス装置との間で実行され、
− セキュリティコンテキスト情報を使用して、前記モバイル機器と前記新たなアクセス装置との間で相互認証を実行するようになっている認証ユニットと、
− 前記相互認証が成功すると、前記現在のアクセス装置から前記新たなアクセス装置へのハンドオーバを実行するようになっているハンドオーバ制御ユニットと、
を備えるモバイル機器。
【請求項142】
前記相互認証が終了するまでハンドオーバを実行しないように、前記現在のアクセス装置及び/又は前記新たなアクセス装置に通知するようになっている通信ユニットを備えていることを特徴とする請求項141に記載のモバイル機器。
【請求項143】
前記通信ユニットは、更に、前記相互認証が成功しない場合にはハンドオーバを実行しないように、前記現在のアクセス装置及び/又は前記新たなアクセス装置に通知するようになっていることを特徴とする請求項141または142に記載のモバイル機器。
【請求項144】
前記通信ユニットは、更に、前記新たなアクセス装置から、ハンドオーバを実行する通知を受けるようになっていることを特徴とする請求項143に記載のモバイル機器。
【請求項145】
前記通信ユニットは、セキュリティコンテキスト情報を使用して、前記新たなアクセス装置への安全な通信を再開するようになっていることを特徴とする請求項141から144のいずれか1項に記載のモバイル機器。
【請求項146】
前記通信ユニットは、前記新たなアクセス装置の近隣関係で特定されたアクセス装置へセキュリティコンテキスト情報を送るようになっていることを特徴とする請求項145に記載のモバイル機器。
【請求項147】
前記通信ユニットは、暗号鍵処理のためにマスター秘密認証値を受けるようになっていることを特徴とする請求項11に記載のモバイル機器。
【請求項148】
暗号鍵処理のために前記マスター秘密認証値(MK)を生成するようになっている暗号鍵ユニットを備えていることを特徴とする請求項82に記載のモバイル機器。
【請求項149】
前記暗号鍵ユニットは、前記モバイル機器と前記現在のアクセス装置及び/又は新たなアクセス装置との間の相互通信のための共有秘密認証値(ASK)を、前記マスター秘密認証値から生成するようになっていることを特徴とする請求項147または148に記載のモバイル機器。
【請求項150】
前記ハンドオーバ制御ユニットは、少なくとも、ハンドオーバ時の前記モバイル機器の位置、移動速度、及び/又は、移動方向にしたがってハンドオーバ対象アクセス装置を予測するようになっていることを特徴とする請求項141から149のいずれか1項に記載のモバイル機器。
【請求項151】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバを前記現在のアクセス装置に知らせることにより、ハンドオーバの実行をトリガするようになっていることを特徴とする請求項141から151のいずれか1項に記載のモバイル機器。
【請求項152】
前記ハンドオーバ制御ユニットは、前記新たなアクセス装置へのハンドオーバを前記現在のアクセス装置に知らせることなく、ハンドオーバの実行をトリガするようになっていることを特徴とする請求項141から150のいずれか1項に記載のモバイル機器。
【請求項153】
前記通信ユニットは、前記第2の通信ドメインに関するセキュリティ情報を受けるようになっていることを特徴とする請求項141から152のいずれか1項に記載のモバイル機器。
【請求項154】
前記セキュリティ情報は、
前記第2の通信ドメインの識別情報;
任意選択的に、前記第2の通信ドメイン内のフォーリンエージェントのケアオブアドレス;
(i)前記モバイル機器と第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための現在の共有秘密認証値(ASK)が前記第2の通信ドメインに対して通信されない場合及び/又は(ii)前記第1の通信ドメインで使用されたマスター秘密認証値(MK)が前記第2の通信ドメインに対して通信されず且つ前記第2の通信ドメインで使用される新たなマスター秘密認証値(MK)の生成前に前記モバイル機器と前記第1の通信ドメイン内の前記現在のアクセス装置との間の相互通信のための前記現在の共有秘密認証値(ASK)がタイムアウトする場合には、前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための新たな共有秘密認証値(ASK);
前記モバイル機器と前記第2の通信ドメイン内の前記新たなアクセス装置との間の相互通信のための前記新たな共有秘密認証値(ASK)のためのタイムアウト時間;
前記第2の通信ドメインで使用される暗号化アルゴリズム;
のうちの少なくとも1つの項目を含むことを特徴とする請求項153に記載のモバイル機器。
【請求項155】
前記現在の通信ドメインおよび前記新たな通信ドメインが異なる認証機構を使用するときに、前記モバイル機器において、前記新たな通信ドメインからユーザ認証のためのマスター秘密認証値(MK)を受けることを特徴とする請求項153または154に記載のモバイル機器。
【請求項156】
アクセス装置及び/又はモバイル機器の内部メモリへ直接にロード可能なコンピュータプログラムプロダクトであって、当該プロダクトが前記アクセス装置及び/又は前記モバイル機器のプロセッサで実行される際に請求項1から75のいずれか1項に記載のステップを行なうためのソフトウェアコード部を含んでいるコンピュータプログラムプロダクト。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2007−505531(P2007−505531A)
【公表日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願番号】特願2006−525634(P2006−525634)
【出願日】平成16年1月23日(2004.1.23)
【国際出願番号】PCT/EP2004/000562
【国際公開番号】WO2005/027560
【国際公開日】平成17年3月24日(2005.3.24)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公表日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願日】平成16年1月23日(2004.1.23)
【国際出願番号】PCT/EP2004/000562
【国際公開番号】WO2005/027560
【国際公開日】平成17年3月24日(2005.3.24)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]