移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラム
【課題】移動端末にモビリティを提供しているアンカーノードを変えることなく、異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバを実現可能な移動管理システムを提供する。
【解決手段】アンカーノードは、移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、を含む。
【解決手段】アンカーノードは、移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願についての記載)本願は、先の日本特許出願2007−031507号(2007年2月13日出願)の優先権を主張するものであり、前記先の出願の全記載内容は、本書に引用をもって繰込み記載されているものとみなされる。
本発明は移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラムに関し、特にホームエージェントによる移動端末の管理方法に関する。
【背景技術】
【0002】
従来、移動端末のモビリティを提供するサービスとしては、MIP(Mobile Internet Protocol)技術が存在する。MIP技術とは、HA(Home Agent;ホームエージェント)と呼ばれるアンカールータが、MN(Mobile Node;移動端末)が通信に使うIPアドレス[以下、HoA(Home Address)とする]と、MNが在圏するネットワークに帰属したIPアドレス[以下、CoA(Care−of Address)とする]との対応関係(バインディング情報)を管理し、MNのHoA宛のIPパケットを受信すると、CoA宛にカプセル化して転送することで、移動先のMNにパケットを受信させることができる技術である。HAがMNの移動に伴ってMNのバインディング情報を更新するため、MNは移動するたび、もしくは定期的にHAに位置登録を行う。
【0003】
しかしながら、近年、MIPをサポートしない端末へのモビリティの提供や無線帯域の有効利用の観点から、MIPのMN機能を移動端末からアクセスネットワーク側に移動させたPMIP(Proxy MIP)という技術の検討が進んでいる(例えば、非特許文献1参照)。
【0004】
従来のMIP[以下、PMIPと区別するためにCMIP(Client MIP)とする]による移動端末の移動管理を図8を参照して説明する。HA12は移動端末3の接続するアクセスネットワークに依らず、CMIPを用いて移動端末3の移動管理を行う。
尚、図8において、モバイルネットワーク105は、HA12と、AAAサーバ14と、セルラーネットワーク121,122と、WiMAXネットワーク131,132とから構成され、セルラーネットワーク121,122及びWiMAXネットワーク131,132内にはルータ251〜254を備えている。図8では、移動端末3はルータ253が広告するルータ広告(Router Advertisement)に含まれるプリフィクスを持つCoAをDHCPv6やStateless Address Auto Configuration等の手段によって取得し、そのCoAとHoAの対応関係を自分自身でHA12に登録する。
【0005】
しかしながら、従来のCMIPによる移動管理においては、CMIPをサポートしない端末へのモビリティの提供や無線帯域の有効利用の観点から、CMIPのMN機能を移動端末からアクセスネットワーク側に移動させたPMIPという技術の検討が進んでいる。
【0006】
CMIPとPMIPとでは、機能配備やアクセスネットワークのセキュリティモデル、リソースの有効利用等の観点から一長一短がある。そのため、アクセスネットワークの能力に応じて、2種類のプロトコル(CMIP及びPMIP)を使い分けて1台の移動端末を1台のHAで移動管理を行うことで、効率的な移動管理が可能と考えられる。ここで、このHAはPMIP用のHAであるLMA(Local Mobility Anchor)機能も併せて具備しているものとする。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】S.Gundavelli他、“Proxy Mobile IPv6”(IETF.draft−sgundave−mipv6−proxymipv6−01.January 5.2007)
【発明の概要】
【発明が解決しようとする課題】
【0008】
以上の非特許文献1の開示事項は、本書に引用をもって繰り込み記載されているものとする。以下に本発明による関連技術の分析を与える。
しかしながら、上述した従来の管理方法では、移動端末がCMIPを適用しているアクセスネットワークから、PMIPを適用しているネットワークにハンドオーバを行う場合(逆方向のハンドオーバの場合も同様)、HAに対してSA(Security Association:セキュリティアソシエーション)に基づいた位置登録を行うことができないという課題が存在する。これは、CMIPとPMIPとでは位置登録を行うノードが異なるため、同様に、CMIPとPMIPとではHAとSAとを構築するノードが変化するためである。
【0009】
そこで、本発明の目的は上記の問題点を解消し、移動端末にモビリティを提供しているホームエージェントを変えることなく、異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバを実現することができる移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラムを提供することにある。
【課題を解決するための手段】
【0010】
本発明の第1の視点によれば、移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、を含むことを特徴とするアンカーノードが提供される。なお、ここでいうアンカーノードには、HA機能やLMA機能を備えるモビリティアンカーが含まれるものとする。
【0011】
本発明の第2の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いられるアンカーノードであって、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する機能を備えているアンカーノードが提供される(請求項11)。
【0012】
本発明の第3の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いる移動端末管理方法であって、アンカーノードが、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する処理を実行する移動端末管理方法が提供される(請求項21)。
【0013】
本発明の第4の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いられるアンカーノードが実行するプログラムであって、コンピュータに、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する処理を実行させるプログラムが提供される。(請求項31)
【0014】
すなわち、上記した移動管理システムは、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行ない、更に、異なるモビリティプロトコルを適用するアクセス方式間のハンドオーバを可能とする。
【0015】
より具体的に説明すると、上記した移動管理システムは、HA(Home Agent:ホームエージェント)機能とLMA(Local Mobility Anchor)機能を併せ持つアンカーノードが移動端末の位置登録のメッセージ認証に使用できるMIP(Mobile Internet Protocol)用SA(Security Association:セキュリティアソシエーション)と、PMIP(Proxy MIP)用のSAとを管理している。
【0016】
CMIP(Client MIP)とPMIPとでは、機能配備やアクセスネットワークのセキュリティモデル、リソースの有効利用等の観点から一長一短がある。そのため、アクセスネットワークの能力に応じて、2種類のプロトコル(CMIP及びPMIP)を使い分けて1台の移動端末を、1台のHAにおいて移動管理を行うことで、効率的な移動管理が可能と考えられる。ここで、このHAはPMIP用のHAであるLMA(Local Mobility Anchor)機能も併せて具備しているものとする。
【0017】
しかしながら、移動端末がCMIPを適用しているアクセスネットワークからPMIPを適用しているネットワークにハンドオーバを行うと(逆方向のハンドオーバも同様)、HAに対してSAに基づいた位置登録用メッセージのメッセージ認証を行うことができないという課題が存在する。
【0018】
これは、通常、MIPにおいて、HAが移動端末と構築したSAに基づいて認証を行うが、本発明で想定している状況では、移動端末がCMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間のハンドオーバを行うと、CMIPとPMIPとでは位置登録を行うノードが異なるため、同様に、CMIPとPMIPとではHAとSAとを構築するノードが変化してしまう。そのため、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間のハンドオーバを行う場合に、メッセージ認証を適用した位置登録を実施することができない。
【0019】
そのため、本発明では、HA機能が受信した位置登録メッセージから、そのメッセージ認証に使用すべきSAを選択し、認証を行う。PMIPクライアント機能はHA機能に対して位置登録を行う場合、PMIP用位置登録であることを示す情報を位置登録メッセージに付加する。
【0020】
これによって、本発明の移動管理システムでは、HA機能がモビリティプロトコルに応じたSAを管理しているので、移動端末にモビリティを提供しているHAを変えることなく、移動端末に対して異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバが提供可能となる。
本発明の展開形態として、各従属請求項に記載の構成が具体化される。即ち、請求項2〜10(第1の視点)、請求項12〜20(第2の視点)、請求項22〜30(第3の視点)が可能である。これらの各従属請求項の記載事項は引用をもってここに繰み込み記載されているものとする。なおプログラム(第4の視点)において上記各従属請求項に対応する処理を実行させるプログラムが具体化される。
【発明の効果】
【0021】
本発明は、上記のような構成及び動作とすることで、移動端末にモビリティを提供しているホームエージェントを変えることなく、異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバを実現することができるという効果が得られる。
【図面の簡単な説明】
【0022】
【図1】本発明の第1の実施の形態による移動管理システムの構成を示すブロック図である。
【図2】図1のアンカーノード機能の位置登録処理動作を示すフローチャートである。
【図3】本発明の第3の実施の形態による移動管理システムの構成を示すブロック図である。
【図4】本発明の第1の実施例による移動管理システムの構成を示すブロック図である。
【図5】図4のアンカーノードの構成例を示すブロック図である。
【図6】本発明の第2の実施例による移動管理システムの構成を示すブロック図である。
【図7】本発明の第3の実施例による移動管理システムの構成を示すブロック図である。
【図8】従来例の移動管理システムの構成を示すブロック図である。
【発明を実施するための形態】
【0023】
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
図1は本発明の第1の実施の形態による移動管理システムの構成を示すブロック図である。図1において、本発明の第1の実施の形態による移動管理システムは、移動端末3とモバイルネットワーク100とから構成されている。モバイルネットワーク100には、アンカーノード機能(ユニット)1と、AAA(Authentication, Authorization and Accounting)機能(ユニット)4と、PMIP[Proxy MIP(Mobile Internet Protocol)]サポートアクセスネットワーク201,202と、CMIP(Client MIP)サポートアクセスネットワーク301,302とを備えている。
【0024】
アンカーノード機能1はRFC(Request For Comments)3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティアンカー機能をサポートした統合アンカーノードで、CMIPによる位置登録時のメッセージ認証用のIPsec(Internet Protocol security protocol) SA(Security Association)用データベース[CMIP用SAデータベース(DB)]5と、PMIPによる位置登録時のメッセージ認証用のIPsec SA用データベース[PMIP用SAデータベース(DB)]6とを具備している。なお、CMIP用SAデータベース5は、移動端末3が通信に使用しかつ同一のHoAへの変更が可能な1つ以上のCMIP用SAを保持する第1の保持手段に相当し、PMIP用SAデータベース6は、前記同一のHoAへの変更が可能な1つ以上のPMIP用SAを保持する第2の保持手段に相当する。
【0025】
ここで、アンカーノード機能1がCMIP用に管理しているSAは、アンカーノード機能1との間で移動端末3のHoA(Home Address:移動端末3が通信に使うIPアドレス)毎に構築されている。また、アンカーノード機能1がPMIP用に管理しているSAはアンカーノード機能1との間で移動端末3のHoA毎に構築されている。
【0026】
CMIP用SAデータベース5には、IPsecの場合、アンカーノード機能1のIPアドレス、移動端末3のHoA、IPsecのプロトコルタイプ[ESP(Encapsulating Security Payload)またはAH(Authentication Header)](MIPv6では通常、ESPを使用する)、SAのライフタイム、暗号化用のアルゴリズム及び鍵(ESPの場合のみ)、認証用のアルゴリズム及び鍵、モード(トンネルまたはトランスポート)(MIPv6では通常、トランスポートモードを使用する)、トンネルエンドポイントのIPアドレス(トンネルモードの場合のみ)等が対応付けられて蓄積されている。
【0027】
PMIP用SAデータベース6には、IPsecの場合、アンカーノード機能1のIPアドレス、PMIPクライアントのIPアドレス(PMIP用SAの構築単位がPMIPクライアント単位の場合)(PMIP用SAの構築単位がHoA単位の場合には移動端末3のHoA、PMIP用SAの構築単位が在圏網単位の場合には在圏網に存在するPMIPクライアントの属するプリフィクス)、IPsecのプロトコルタイプ(ESPまたはAH)(MIPv6では通常、ESPを使用する)、SAのライフタイム、暗号化用のアルゴリズム及び鍵(ESPの場合のみ)、認証用のアルゴリズム及び鍵、モード(トンネルまたはトランスポート)(MIPv6では通常、トランスポートモードを使用する)、トンネルエンドポイントのIPアドレス(トンネルモードの場合のみ)、PMIP用SAの構築単位等が対応付けられて蓄積されている。
【0028】
PMIPサポートアクセスネットワーク201,202は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPMIPクライアント機能21,22を具備している。図1では1つのPMIPサポートアクセスネットワークの中に1つのPMIPクライアント機能しか記していないが、1つのPMIPサポートアクセスネットワークの中に複数のPMIPクライアント機能があっても良い。
【0029】
CMIPサポートアクセスネットワーク301,302は移動端末3をCMIPで管理するアクセスネットワークである。AAA機能4は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0030】
図2は図1のアンカーノード機能1の位置登録処理動作を示すフローチャートである。これら図1及び図2を参照してアンカーノード機能1の位置登録処理動作について説明する。尚、図2に示す位置登録処理動作はアンカーノード機能1を実現するコンピュータ(図示せず)がプログラムを実行することで実現される。
【0031】
まず、アンカーノード機能1は移動端末3の位置登録用メッセージであるBU(Binding Update)を受信すると(図2ステップS1)、そのBUがCMIP用か、PMIP用かを判断する(図2ステップS2)。このプロトコル判断には次のような方法がある。
(1)PMIP用BUに含まれるPMIP情報が含まれるか否かで判断する。ここで、PMIP情報としてはPMIP用フラグやPMIP専用オプション等がある。但し、認証にIPsecのような暗号化機能も具備するプロトコルを使用する場合には、暗号化された状態でもメッセージ種別が判断できるように、非暗号化部分にPMIP情報を含める必要がある(例えば、Destination Option HeaderのOption Type番号)。
(2)(1)で判断したモビリティプロトコルに関連したSA DBからSAを検索する。PMIPと判断したら、BUに含まれるHoAとモビリティアンカーノードのアドレスとの組み合わせでPMIP用SA DBを検索する。
CMIPと判断したら、BUに含まれるHoAとモビリティアンカーノードのアドレスとの組み合わせでCMIP用SA DBを検索する。
【0032】
アンカーノード機能1は受信したBUがCMIP用であれば、CMIP用SAデータベース5から移動端末3のHoAを鍵にして、メッセージ認証用のIPsec SAを取得する(図2ステップS4)。また、アンカーノード機能1は受信したBUがPMIP用であれば、PMIP用SAデータベース6から移動端末3のHoAを鍵にして、メッセージ認証用のIPsec SAを取得する(図2ステップS3)。
【0033】
その後、アンカーノード機能1は取得したIPsec SAを使用してIPsecを利用してBUのメッセージ認証を行う(図2ステップS5)。IPsecによるメッセージ認証が成功すると、アンカーノード機能1はレジストレーション(Registration)処理を行う(図2ステップS6)。
【0034】
そして、アンカーノード機能1は位置登録応答であるBA(Binding Acknowledgement)を構築し(図2ステップS7)、現在、移動端末3を管理しているモビリティプロトコルを確認し(図2ステップS8)、そのプロトコルに応じたIPsec SAを使って(図2ステップS9,S10)、BAに認証情報を追加し(図2ステップS11)、最後に、そのBAを送信する(図2ステップS12)。
【0035】
アンカーノード機能1と移動端末3との間で構築するCMIP用IPsec SAの構築方法や、AAA機能4を介したアンカーノード機能1とPMIPクライアント機能21(もしくはPMIPクライアント機能22)との間で構築するPMIP用IPsec SAの構築方法、PMIPサポートアクセスネットワーク201,202間のハンドオーバ手順、CMIPサポートアクセスネットワーク301,302間のハンドオーバ手順はそれぞれ既知であるため、それらの説明については省略する。
【0036】
尚、本発明の第1の実施の形態では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0037】
このように、本発明の第1の実施の形態では、アンカーノードが1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のアンカーノードで継続してモビリティサービスを提供することができる。
【0038】
[第2の実施の形態]
本発明の第2の実施の形態による移動管理システムは、その基本的構成が図1に示す本発明の第1の実施の形態による移動管理システムと同様であるが、アンカーノード機能1がPMIPクライアント機能21,22との間で構築するPMIP用IPsec SAについて工夫している。
【0039】
本発明の第1の実施の形態では、PMIP用SAが移動端末3のHoA単位で構築しているが、本発明の第2の実施の形態ではアンカーノード機能1がPMIPクライアント機能単位でPMIP用IPsec SAを構築している。そのため、本発明の第2の実施の形態では、PMIP用SAデータベース6からPMIP用IPsec SAを検索する鍵としてPMIPクライアント機能のIPアドレスを使用している。
【0040】
本発明の第2の実施の形態ではメッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0041】
[第3の実施の形態]
図3は本発明の第3の実施の形態による移動管理システムの構成を示すブロック図である。図3において、本発明の第3の実施の形態による移動管理システムは、アンカーノード機能1がPMIPクライアント機能21,22との間で構築するPMIP用IPsec SAについて工夫している。
【0042】
図3において、モバイルネットワーク101はホーム網400と在圏網501〜504とから構成されており、ホーム網400はアンカーノード機能1とAAA機能4とを備えている。
【0043】
在圏網501,502はそれぞれPMIPクライアント機能21,22を持つPMIPサポートアクセスネットワーク201,202を備えている。図3では、1つの在圏網には1つのPMIPサポートアクセスネットワークしか記していないが、複数のPMIPサポートアクセスネットワークがあっても良い。
【0044】
在圏網503,504はCMIPサポートアクセスネットワーク301,302を備えている。図3では、1つの在圏網には1つのCMIPサポートアクセスネットワークしか記していないが、複数のCMIPサポートアクセスネットワークがあっても良い。
【0045】
アンカーノード機能1はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)とProxy Mobile IPv6(PMIPv6)との2種類のモビリティプロトコルをサポートした統合アンカーノードで、CMIP用SAデータベース5と、PMIPによる位置登録時のメッセージ認証用にIPsecを利用した認証用のSA用データベース[PMIP用SAデータベース(DB)]6aとを具備している。
【0046】
ここで、アンカーノード機能1がCMIP用に管理しているSAは、アンカーノード機能1と移動端末3とのHoA毎に構築されている。また、アンカーノード機能1がPMIP用に管理しているSAは、アンカーノード機能1と在圏網501〜504との間毎に構築されている。
【0047】
PMIPサポートアクセスネットワーク201,202は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPMIPクライアント機能21,22を具備している。図3においては、1つのPMIPサポートアクセスネットワークには1つのPMIPクライアント機能しか記していないが、複数のPMIPクライアント機能があっても良い。
【0048】
CMIPサポートアクセスネットワーク301,302は移動端末3をCMIPで管理するアクセスネットワークである。AAA機能4は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0049】
本発明の第3の実施の形態では、アンカーノード機能1が在圏網単位でPMIP用SAを構築している。そこで、本発明の第3の実施の形態では、PMIP用SAデータベース6aからPMIP用SAを検索する鍵としてPMIPクライアント機能のIPアドレスを使用する、もしくはPMIPクライアント機能のNAI(Network Access Identifier)を使用してもよい。その場合には、PMIPクライアント機能21,22が自身のNAIをBUに付加する。
【0050】
尚、本発明の第3の実施の形態では、CMIPのメッセージ認証の手段としてIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証を使用しても良い。また、上述した本発明の第1〜第3の実施の形態ではMIPv6に基づいた例について記載しているが、MIPv4でもMIPv6と同様である。
【実施例1】
【0051】
図4は本発明の第1の実施例による移動管理システムの構成を示すブロック図である。本発明の第1の実施例による移動管理システムは、上述した本発明の第1の実施の形態に相当する。
【0052】
図4において、モバイルネットワーク102は、PDN GW(Packet Data Network Gateway)11と、AAAサーバ14と、セルラーネットワーク121,122と、WiMAXネットワーク131,132とから構成されている。
【0053】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。
【0054】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0055】
セルラーネットワーク121,122は移動端末3をPMIPで管理するアクセスネットワークで、それぞれServing GW211,212を具備している。図4では1つのセルラーネットワークの中に1つのServing GWしか記していないが、1つのセルラーネットワークの中に複数のServing GWがあっても良い。
【0056】
Serving GW211,212はSGSN[Serving GPRS(General Packet Radio Service) Support Node]のようなセルラーネットワーク内を移動する移動端末3の在圏アンカーノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0057】
WiMAXネットワーク131,132は移動端末3をCMIPで管理するアクセスネットワークで、それぞれASN(Access Server Node) GW(GateWay)221,222を具備している。図4では1つのWiMAXネットワークの中に1つのASN GWしか記していないが、1つのWiMAXネットワークの中に複数のASN GWがあっても良い。また、AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0058】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0059】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するServing GW単位もしくは在圏網単位に構築しても良い。
さらに、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在していてもよい。
【0060】
図5は図4のPDN GW11の構成例を示すブロック図である。図5において、PDN GW11は、情報記憶部110と、判断制御部114と、MIPv6制御処理部115と、認証処理部116と、カプセル化処理部117と、デカプセル化処理部118と、ルーティング処理部119と、インタフェース部120とから構成されている。
【0061】
情報記憶部110はバインディングキャッシュ(Binding Cache)111と、CMIP用SAデータベース112と、PMIP用SAデータベース113とを備えている。バインディングキャッシュ111はMNの位置情報を管理するためのデータベースで、MNのHoAやCoA、キャッシュのライフタイム(Lifetime)等で構成されている。
【0062】
CMIP用SAデータベース112はCMIP用のシグナリングのメッセージ認証を行うために必要な情報が入ったデータベースである。認証処理部116は認証処理を行うべきメッセージがCMIP用のシグナリングと判断すると、このCMIP用SAデータベース112を検索する。尚、CMIP用SAデータベース112は上記のCMIP用SAデータベース5と同様の情報を蓄積している。
【0063】
PMIP用SAデータベース113はPMIP用のシグナリングのメッセージ認証を行うために必要な情報が入ったデータベースである。認証処理部116は認証処理を行うべきメッセージがPMIP用のシグナリングと判断すると、このPMIP用SAデータベース113を検索する。尚、PMIP用SAデータベース113は上記のPMIP用SAデータベース6と同様の情報を蓄積している。
【0064】
判断制御部114は受信したパケットを次に行うべき処理に渡す。MIPv6制御処理部115はMIPv6とPMIPv6のシグナリングの処理を行う。具体的には受信したBUからMNのHoAやCoA等を抽出し、バインディングキャッシュ111に登録する。その後、MIPv6制御処理部115はMNへ返信用のBAを作成して判断制御部114に渡す。
【0065】
認証処理部116はIPsecやRFC4285記載のAuthentication Optionを利用して、BUやBAのメッセージ認証を行う。また、認証処理部116は認証を行う際に、BUやBAのメッセージ種別(CMIPまたはPMIP)に応じて、対応したデータベースを参照する。
【0066】
カプセル化処理部117はIPパケットをカプセル化する処理を行う。PDN GW11はこのカプセル化処理部117でMNのHoA宛のIPパケットをCoA宛にカプセル化する。
デカプセル化処理部118はIPパケットをデカプセル化する処理を行う。PDN GW11はこのデカプセル化処理部118でMNのから送信されたカプセル化IPパケット(宛先IPアドレスがPDN GW11のIPアドレス)をデカプセル化して、中のIPパケット(送信元のIPアドレスがMNのHoA)を取り出す。
【0067】
ルーティング処理部119は受信したIPパケットの宛先IPアドレスを見て、そのアドレスに適した転送先にIPパケットを転送する機能である。インタフェース部120は外部ネットワークと接続するためのインタフェース部分で、IP層より下位層の処理を行う。
【0068】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
【実施例2】
【0069】
図6は本発明の第2の実施例による移動管理システムの構成を示すブロック図である。
本発明の第2の実施例による移動管理システムも、上述した本発明の第1の実施の形態に相当する。
【0070】
図6において、モバイルネットワーク103は、PDN GW11と、AAAサーバ14と、WiMAXネットワーク131,132と、WLAN(Wireless Local Area Network)ネットワーク141,142とから構成されている。
【0071】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)とProxy Mobile IPv6(PMIPv6)との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。つまり、PDN GW11は上記の図5に示すPDN GW11と同様の構成となっている。
【0072】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0073】
WiMAXネットワーク131,132は移動端末3をPMIPで管理するアクセスネットワークで、それぞれASN GW221,222を具備している。図6では1つのWiMAXネットワークの中に1つのASN GWしか記していないが、1つのWiMAXネットワークの中に複数のASN GWがあっても良い。
【0074】
ASN GW221,222はWiMAXネットワーク131,132内を移動する移動端末3にとってコアのエッジノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0075】
WLANネットワーク141,142は移動端末3をCMIPで管理するアクセスネットワークである。AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0076】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Option を利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0077】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するASN GW単位もしくは在圏網単位に構築しても良い。また、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在しても良い。
【0078】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
【実施例3】
【0079】
図7は本発明の第3の実施例による移動管理システムの構成を示すブロック図である。
本発明の第3の実施例による移動管理システムも、上述した本発明の第1の実施の形態に相当する。
【0080】
図7において、モバイルネットワーク104は、PDN GW11と、AAAサーバ14と、WiMAXネットワーク131,132と、WLANネットワーク141,142とから構成されている。
【0081】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。つまり、PDN GW11は上記の図5に示すPDN GW11と同様の構成となっている。
【0082】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0083】
WLANネットワーク141,142は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPDG(Packet Data Gateway)231,232を具備している。図7では1つのWLANネットワークの中に1つのPDGしか記していないが、1つのWLANネットワークの中に複数のPDGがあっても良い。
【0084】
PDG231,232はWLANネットワーク141,142内を移動する移動端末3とIPsecによるセキュアなトンネルを構築するノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0085】
WiMAXネットワーク131,132は移動端末3をCMIPで管理するアクセスネットワークである。AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0086】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0087】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するASN GW単位もしくは在圏網単位に構築しても良い。さらに、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在しても良い。
【0088】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。
【符号の説明】
【0089】
1 アンカーノード機能(ユニット)
3 移動端末
4 AAA機能(ユニット)
5 CMIP用SAデータベース
6,6a PMIP用SAデータベース
11 PDN GW
14 AAAサーバ
21,22 PMIPクライアント機能(ユニット)
100〜104 モバイルネットワーク
110 情報記憶部
111 バインディングキャッシュ
112 CMIP用SAデータベース
113 PMIP用SAデータベース
114 判断制御部
115 MIPv6制御処理部
116 認証処理部
117 カプセル化処理部
118 デカプセル化処理部
119 ルーティング処理部
120 インタフェース部
121,122 セルラーネットワーク
131,132 WiMAXネットワーク
141,142 WLANネットワーク
201,202 PMIPサポートアクセスネットワーク
211,212 Serving GW
221,222 ASN GW
231,232 PDG
301,302 CMIPサポートアクセスネットワーク
400 ホーム網
501〜504 在圏網
【技術分野】
【0001】
(関連出願についての記載)本願は、先の日本特許出願2007−031507号(2007年2月13日出願)の優先権を主張するものであり、前記先の出願の全記載内容は、本書に引用をもって繰込み記載されているものとみなされる。
本発明は移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラムに関し、特にホームエージェントによる移動端末の管理方法に関する。
【背景技術】
【0002】
従来、移動端末のモビリティを提供するサービスとしては、MIP(Mobile Internet Protocol)技術が存在する。MIP技術とは、HA(Home Agent;ホームエージェント)と呼ばれるアンカールータが、MN(Mobile Node;移動端末)が通信に使うIPアドレス[以下、HoA(Home Address)とする]と、MNが在圏するネットワークに帰属したIPアドレス[以下、CoA(Care−of Address)とする]との対応関係(バインディング情報)を管理し、MNのHoA宛のIPパケットを受信すると、CoA宛にカプセル化して転送することで、移動先のMNにパケットを受信させることができる技術である。HAがMNの移動に伴ってMNのバインディング情報を更新するため、MNは移動するたび、もしくは定期的にHAに位置登録を行う。
【0003】
しかしながら、近年、MIPをサポートしない端末へのモビリティの提供や無線帯域の有効利用の観点から、MIPのMN機能を移動端末からアクセスネットワーク側に移動させたPMIP(Proxy MIP)という技術の検討が進んでいる(例えば、非特許文献1参照)。
【0004】
従来のMIP[以下、PMIPと区別するためにCMIP(Client MIP)とする]による移動端末の移動管理を図8を参照して説明する。HA12は移動端末3の接続するアクセスネットワークに依らず、CMIPを用いて移動端末3の移動管理を行う。
尚、図8において、モバイルネットワーク105は、HA12と、AAAサーバ14と、セルラーネットワーク121,122と、WiMAXネットワーク131,132とから構成され、セルラーネットワーク121,122及びWiMAXネットワーク131,132内にはルータ251〜254を備えている。図8では、移動端末3はルータ253が広告するルータ広告(Router Advertisement)に含まれるプリフィクスを持つCoAをDHCPv6やStateless Address Auto Configuration等の手段によって取得し、そのCoAとHoAの対応関係を自分自身でHA12に登録する。
【0005】
しかしながら、従来のCMIPによる移動管理においては、CMIPをサポートしない端末へのモビリティの提供や無線帯域の有効利用の観点から、CMIPのMN機能を移動端末からアクセスネットワーク側に移動させたPMIPという技術の検討が進んでいる。
【0006】
CMIPとPMIPとでは、機能配備やアクセスネットワークのセキュリティモデル、リソースの有効利用等の観点から一長一短がある。そのため、アクセスネットワークの能力に応じて、2種類のプロトコル(CMIP及びPMIP)を使い分けて1台の移動端末を1台のHAで移動管理を行うことで、効率的な移動管理が可能と考えられる。ここで、このHAはPMIP用のHAであるLMA(Local Mobility Anchor)機能も併せて具備しているものとする。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】S.Gundavelli他、“Proxy Mobile IPv6”(IETF.draft−sgundave−mipv6−proxymipv6−01.January 5.2007)
【発明の概要】
【発明が解決しようとする課題】
【0008】
以上の非特許文献1の開示事項は、本書に引用をもって繰り込み記載されているものとする。以下に本発明による関連技術の分析を与える。
しかしながら、上述した従来の管理方法では、移動端末がCMIPを適用しているアクセスネットワークから、PMIPを適用しているネットワークにハンドオーバを行う場合(逆方向のハンドオーバの場合も同様)、HAに対してSA(Security Association:セキュリティアソシエーション)に基づいた位置登録を行うことができないという課題が存在する。これは、CMIPとPMIPとでは位置登録を行うノードが異なるため、同様に、CMIPとPMIPとではHAとSAとを構築するノードが変化するためである。
【0009】
そこで、本発明の目的は上記の問題点を解消し、移動端末にモビリティを提供しているホームエージェントを変えることなく、異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバを実現することができる移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラムを提供することにある。
【課題を解決するための手段】
【0010】
本発明の第1の視点によれば、移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、を含むことを特徴とするアンカーノードが提供される。なお、ここでいうアンカーノードには、HA機能やLMA機能を備えるモビリティアンカーが含まれるものとする。
【0011】
本発明の第2の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いられるアンカーノードであって、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する機能を備えているアンカーノードが提供される(請求項11)。
【0012】
本発明の第3の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いる移動端末管理方法であって、アンカーノードが、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する処理を実行する移動端末管理方法が提供される(請求項21)。
【0013】
本発明の第4の視点によれば、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行う移動管理システムに用いられるアンカーノードが実行するプログラムであって、コンピュータに、前記移動端末の位置登録メッセージの認証に使用するCMIP[Client MIP(Mobile Internet Protocol)]用SA(Security Association)及びPMIP(Proxy MIP)用SAを管理する処理を実行させるプログラムが提供される。(請求項31)
【0014】
すなわち、上記した移動管理システムは、1台の移動端末をアクセス方式に応じて異なるモビリティプロトコルで移動管理を行ない、更に、異なるモビリティプロトコルを適用するアクセス方式間のハンドオーバを可能とする。
【0015】
より具体的に説明すると、上記した移動管理システムは、HA(Home Agent:ホームエージェント)機能とLMA(Local Mobility Anchor)機能を併せ持つアンカーノードが移動端末の位置登録のメッセージ認証に使用できるMIP(Mobile Internet Protocol)用SA(Security Association:セキュリティアソシエーション)と、PMIP(Proxy MIP)用のSAとを管理している。
【0016】
CMIP(Client MIP)とPMIPとでは、機能配備やアクセスネットワークのセキュリティモデル、リソースの有効利用等の観点から一長一短がある。そのため、アクセスネットワークの能力に応じて、2種類のプロトコル(CMIP及びPMIP)を使い分けて1台の移動端末を、1台のHAにおいて移動管理を行うことで、効率的な移動管理が可能と考えられる。ここで、このHAはPMIP用のHAであるLMA(Local Mobility Anchor)機能も併せて具備しているものとする。
【0017】
しかしながら、移動端末がCMIPを適用しているアクセスネットワークからPMIPを適用しているネットワークにハンドオーバを行うと(逆方向のハンドオーバも同様)、HAに対してSAに基づいた位置登録用メッセージのメッセージ認証を行うことができないという課題が存在する。
【0018】
これは、通常、MIPにおいて、HAが移動端末と構築したSAに基づいて認証を行うが、本発明で想定している状況では、移動端末がCMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間のハンドオーバを行うと、CMIPとPMIPとでは位置登録を行うノードが異なるため、同様に、CMIPとPMIPとではHAとSAとを構築するノードが変化してしまう。そのため、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間のハンドオーバを行う場合に、メッセージ認証を適用した位置登録を実施することができない。
【0019】
そのため、本発明では、HA機能が受信した位置登録メッセージから、そのメッセージ認証に使用すべきSAを選択し、認証を行う。PMIPクライアント機能はHA機能に対して位置登録を行う場合、PMIP用位置登録であることを示す情報を位置登録メッセージに付加する。
【0020】
これによって、本発明の移動管理システムでは、HA機能がモビリティプロトコルに応じたSAを管理しているので、移動端末にモビリティを提供しているHAを変えることなく、移動端末に対して異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバが提供可能となる。
本発明の展開形態として、各従属請求項に記載の構成が具体化される。即ち、請求項2〜10(第1の視点)、請求項12〜20(第2の視点)、請求項22〜30(第3の視点)が可能である。これらの各従属請求項の記載事項は引用をもってここに繰み込み記載されているものとする。なおプログラム(第4の視点)において上記各従属請求項に対応する処理を実行させるプログラムが具体化される。
【発明の効果】
【0021】
本発明は、上記のような構成及び動作とすることで、移動端末にモビリティを提供しているホームエージェントを変えることなく、異なるモビリティプロトコルを適用したアクセス方式間のハンドオーバを実現することができるという効果が得られる。
【図面の簡単な説明】
【0022】
【図1】本発明の第1の実施の形態による移動管理システムの構成を示すブロック図である。
【図2】図1のアンカーノード機能の位置登録処理動作を示すフローチャートである。
【図3】本発明の第3の実施の形態による移動管理システムの構成を示すブロック図である。
【図4】本発明の第1の実施例による移動管理システムの構成を示すブロック図である。
【図5】図4のアンカーノードの構成例を示すブロック図である。
【図6】本発明の第2の実施例による移動管理システムの構成を示すブロック図である。
【図7】本発明の第3の実施例による移動管理システムの構成を示すブロック図である。
【図8】従来例の移動管理システムの構成を示すブロック図である。
【発明を実施するための形態】
【0023】
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
図1は本発明の第1の実施の形態による移動管理システムの構成を示すブロック図である。図1において、本発明の第1の実施の形態による移動管理システムは、移動端末3とモバイルネットワーク100とから構成されている。モバイルネットワーク100には、アンカーノード機能(ユニット)1と、AAA(Authentication, Authorization and Accounting)機能(ユニット)4と、PMIP[Proxy MIP(Mobile Internet Protocol)]サポートアクセスネットワーク201,202と、CMIP(Client MIP)サポートアクセスネットワーク301,302とを備えている。
【0024】
アンカーノード機能1はRFC(Request For Comments)3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティアンカー機能をサポートした統合アンカーノードで、CMIPによる位置登録時のメッセージ認証用のIPsec(Internet Protocol security protocol) SA(Security Association)用データベース[CMIP用SAデータベース(DB)]5と、PMIPによる位置登録時のメッセージ認証用のIPsec SA用データベース[PMIP用SAデータベース(DB)]6とを具備している。なお、CMIP用SAデータベース5は、移動端末3が通信に使用しかつ同一のHoAへの変更が可能な1つ以上のCMIP用SAを保持する第1の保持手段に相当し、PMIP用SAデータベース6は、前記同一のHoAへの変更が可能な1つ以上のPMIP用SAを保持する第2の保持手段に相当する。
【0025】
ここで、アンカーノード機能1がCMIP用に管理しているSAは、アンカーノード機能1との間で移動端末3のHoA(Home Address:移動端末3が通信に使うIPアドレス)毎に構築されている。また、アンカーノード機能1がPMIP用に管理しているSAはアンカーノード機能1との間で移動端末3のHoA毎に構築されている。
【0026】
CMIP用SAデータベース5には、IPsecの場合、アンカーノード機能1のIPアドレス、移動端末3のHoA、IPsecのプロトコルタイプ[ESP(Encapsulating Security Payload)またはAH(Authentication Header)](MIPv6では通常、ESPを使用する)、SAのライフタイム、暗号化用のアルゴリズム及び鍵(ESPの場合のみ)、認証用のアルゴリズム及び鍵、モード(トンネルまたはトランスポート)(MIPv6では通常、トランスポートモードを使用する)、トンネルエンドポイントのIPアドレス(トンネルモードの場合のみ)等が対応付けられて蓄積されている。
【0027】
PMIP用SAデータベース6には、IPsecの場合、アンカーノード機能1のIPアドレス、PMIPクライアントのIPアドレス(PMIP用SAの構築単位がPMIPクライアント単位の場合)(PMIP用SAの構築単位がHoA単位の場合には移動端末3のHoA、PMIP用SAの構築単位が在圏網単位の場合には在圏網に存在するPMIPクライアントの属するプリフィクス)、IPsecのプロトコルタイプ(ESPまたはAH)(MIPv6では通常、ESPを使用する)、SAのライフタイム、暗号化用のアルゴリズム及び鍵(ESPの場合のみ)、認証用のアルゴリズム及び鍵、モード(トンネルまたはトランスポート)(MIPv6では通常、トランスポートモードを使用する)、トンネルエンドポイントのIPアドレス(トンネルモードの場合のみ)、PMIP用SAの構築単位等が対応付けられて蓄積されている。
【0028】
PMIPサポートアクセスネットワーク201,202は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPMIPクライアント機能21,22を具備している。図1では1つのPMIPサポートアクセスネットワークの中に1つのPMIPクライアント機能しか記していないが、1つのPMIPサポートアクセスネットワークの中に複数のPMIPクライアント機能があっても良い。
【0029】
CMIPサポートアクセスネットワーク301,302は移動端末3をCMIPで管理するアクセスネットワークである。AAA機能4は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0030】
図2は図1のアンカーノード機能1の位置登録処理動作を示すフローチャートである。これら図1及び図2を参照してアンカーノード機能1の位置登録処理動作について説明する。尚、図2に示す位置登録処理動作はアンカーノード機能1を実現するコンピュータ(図示せず)がプログラムを実行することで実現される。
【0031】
まず、アンカーノード機能1は移動端末3の位置登録用メッセージであるBU(Binding Update)を受信すると(図2ステップS1)、そのBUがCMIP用か、PMIP用かを判断する(図2ステップS2)。このプロトコル判断には次のような方法がある。
(1)PMIP用BUに含まれるPMIP情報が含まれるか否かで判断する。ここで、PMIP情報としてはPMIP用フラグやPMIP専用オプション等がある。但し、認証にIPsecのような暗号化機能も具備するプロトコルを使用する場合には、暗号化された状態でもメッセージ種別が判断できるように、非暗号化部分にPMIP情報を含める必要がある(例えば、Destination Option HeaderのOption Type番号)。
(2)(1)で判断したモビリティプロトコルに関連したSA DBからSAを検索する。PMIPと判断したら、BUに含まれるHoAとモビリティアンカーノードのアドレスとの組み合わせでPMIP用SA DBを検索する。
CMIPと判断したら、BUに含まれるHoAとモビリティアンカーノードのアドレスとの組み合わせでCMIP用SA DBを検索する。
【0032】
アンカーノード機能1は受信したBUがCMIP用であれば、CMIP用SAデータベース5から移動端末3のHoAを鍵にして、メッセージ認証用のIPsec SAを取得する(図2ステップS4)。また、アンカーノード機能1は受信したBUがPMIP用であれば、PMIP用SAデータベース6から移動端末3のHoAを鍵にして、メッセージ認証用のIPsec SAを取得する(図2ステップS3)。
【0033】
その後、アンカーノード機能1は取得したIPsec SAを使用してIPsecを利用してBUのメッセージ認証を行う(図2ステップS5)。IPsecによるメッセージ認証が成功すると、アンカーノード機能1はレジストレーション(Registration)処理を行う(図2ステップS6)。
【0034】
そして、アンカーノード機能1は位置登録応答であるBA(Binding Acknowledgement)を構築し(図2ステップS7)、現在、移動端末3を管理しているモビリティプロトコルを確認し(図2ステップS8)、そのプロトコルに応じたIPsec SAを使って(図2ステップS9,S10)、BAに認証情報を追加し(図2ステップS11)、最後に、そのBAを送信する(図2ステップS12)。
【0035】
アンカーノード機能1と移動端末3との間で構築するCMIP用IPsec SAの構築方法や、AAA機能4を介したアンカーノード機能1とPMIPクライアント機能21(もしくはPMIPクライアント機能22)との間で構築するPMIP用IPsec SAの構築方法、PMIPサポートアクセスネットワーク201,202間のハンドオーバ手順、CMIPサポートアクセスネットワーク301,302間のハンドオーバ手順はそれぞれ既知であるため、それらの説明については省略する。
【0036】
尚、本発明の第1の実施の形態では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0037】
このように、本発明の第1の実施の形態では、アンカーノードが1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のアンカーノードで継続してモビリティサービスを提供することができる。
【0038】
[第2の実施の形態]
本発明の第2の実施の形態による移動管理システムは、その基本的構成が図1に示す本発明の第1の実施の形態による移動管理システムと同様であるが、アンカーノード機能1がPMIPクライアント機能21,22との間で構築するPMIP用IPsec SAについて工夫している。
【0039】
本発明の第1の実施の形態では、PMIP用SAが移動端末3のHoA単位で構築しているが、本発明の第2の実施の形態ではアンカーノード機能1がPMIPクライアント機能単位でPMIP用IPsec SAを構築している。そのため、本発明の第2の実施の形態では、PMIP用SAデータベース6からPMIP用IPsec SAを検索する鍵としてPMIPクライアント機能のIPアドレスを使用している。
【0040】
本発明の第2の実施の形態ではメッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0041】
[第3の実施の形態]
図3は本発明の第3の実施の形態による移動管理システムの構成を示すブロック図である。図3において、本発明の第3の実施の形態による移動管理システムは、アンカーノード機能1がPMIPクライアント機能21,22との間で構築するPMIP用IPsec SAについて工夫している。
【0042】
図3において、モバイルネットワーク101はホーム網400と在圏網501〜504とから構成されており、ホーム網400はアンカーノード機能1とAAA機能4とを備えている。
【0043】
在圏網501,502はそれぞれPMIPクライアント機能21,22を持つPMIPサポートアクセスネットワーク201,202を備えている。図3では、1つの在圏網には1つのPMIPサポートアクセスネットワークしか記していないが、複数のPMIPサポートアクセスネットワークがあっても良い。
【0044】
在圏網503,504はCMIPサポートアクセスネットワーク301,302を備えている。図3では、1つの在圏網には1つのCMIPサポートアクセスネットワークしか記していないが、複数のCMIPサポートアクセスネットワークがあっても良い。
【0045】
アンカーノード機能1はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)とProxy Mobile IPv6(PMIPv6)との2種類のモビリティプロトコルをサポートした統合アンカーノードで、CMIP用SAデータベース5と、PMIPによる位置登録時のメッセージ認証用にIPsecを利用した認証用のSA用データベース[PMIP用SAデータベース(DB)]6aとを具備している。
【0046】
ここで、アンカーノード機能1がCMIP用に管理しているSAは、アンカーノード機能1と移動端末3とのHoA毎に構築されている。また、アンカーノード機能1がPMIP用に管理しているSAは、アンカーノード機能1と在圏網501〜504との間毎に構築されている。
【0047】
PMIPサポートアクセスネットワーク201,202は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPMIPクライアント機能21,22を具備している。図3においては、1つのPMIPサポートアクセスネットワークには1つのPMIPクライアント機能しか記していないが、複数のPMIPクライアント機能があっても良い。
【0048】
CMIPサポートアクセスネットワーク301,302は移動端末3をCMIPで管理するアクセスネットワークである。AAA機能4は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0049】
本発明の第3の実施の形態では、アンカーノード機能1が在圏網単位でPMIP用SAを構築している。そこで、本発明の第3の実施の形態では、PMIP用SAデータベース6aからPMIP用SAを検索する鍵としてPMIPクライアント機能のIPアドレスを使用する、もしくはPMIPクライアント機能のNAI(Network Access Identifier)を使用してもよい。その場合には、PMIPクライアント機能21,22が自身のNAIをBUに付加する。
【0050】
尚、本発明の第3の実施の形態では、CMIPのメッセージ認証の手段としてIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証を使用しても良い。また、上述した本発明の第1〜第3の実施の形態ではMIPv6に基づいた例について記載しているが、MIPv4でもMIPv6と同様である。
【実施例1】
【0051】
図4は本発明の第1の実施例による移動管理システムの構成を示すブロック図である。本発明の第1の実施例による移動管理システムは、上述した本発明の第1の実施の形態に相当する。
【0052】
図4において、モバイルネットワーク102は、PDN GW(Packet Data Network Gateway)11と、AAAサーバ14と、セルラーネットワーク121,122と、WiMAXネットワーク131,132とから構成されている。
【0053】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。
【0054】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0055】
セルラーネットワーク121,122は移動端末3をPMIPで管理するアクセスネットワークで、それぞれServing GW211,212を具備している。図4では1つのセルラーネットワークの中に1つのServing GWしか記していないが、1つのセルラーネットワークの中に複数のServing GWがあっても良い。
【0056】
Serving GW211,212はSGSN[Serving GPRS(General Packet Radio Service) Support Node]のようなセルラーネットワーク内を移動する移動端末3の在圏アンカーノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0057】
WiMAXネットワーク131,132は移動端末3をCMIPで管理するアクセスネットワークで、それぞれASN(Access Server Node) GW(GateWay)221,222を具備している。図4では1つのWiMAXネットワークの中に1つのASN GWしか記していないが、1つのWiMAXネットワークの中に複数のASN GWがあっても良い。また、AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0058】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0059】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するServing GW単位もしくは在圏網単位に構築しても良い。
さらに、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在していてもよい。
【0060】
図5は図4のPDN GW11の構成例を示すブロック図である。図5において、PDN GW11は、情報記憶部110と、判断制御部114と、MIPv6制御処理部115と、認証処理部116と、カプセル化処理部117と、デカプセル化処理部118と、ルーティング処理部119と、インタフェース部120とから構成されている。
【0061】
情報記憶部110はバインディングキャッシュ(Binding Cache)111と、CMIP用SAデータベース112と、PMIP用SAデータベース113とを備えている。バインディングキャッシュ111はMNの位置情報を管理するためのデータベースで、MNのHoAやCoA、キャッシュのライフタイム(Lifetime)等で構成されている。
【0062】
CMIP用SAデータベース112はCMIP用のシグナリングのメッセージ認証を行うために必要な情報が入ったデータベースである。認証処理部116は認証処理を行うべきメッセージがCMIP用のシグナリングと判断すると、このCMIP用SAデータベース112を検索する。尚、CMIP用SAデータベース112は上記のCMIP用SAデータベース5と同様の情報を蓄積している。
【0063】
PMIP用SAデータベース113はPMIP用のシグナリングのメッセージ認証を行うために必要な情報が入ったデータベースである。認証処理部116は認証処理を行うべきメッセージがPMIP用のシグナリングと判断すると、このPMIP用SAデータベース113を検索する。尚、PMIP用SAデータベース113は上記のPMIP用SAデータベース6と同様の情報を蓄積している。
【0064】
判断制御部114は受信したパケットを次に行うべき処理に渡す。MIPv6制御処理部115はMIPv6とPMIPv6のシグナリングの処理を行う。具体的には受信したBUからMNのHoAやCoA等を抽出し、バインディングキャッシュ111に登録する。その後、MIPv6制御処理部115はMNへ返信用のBAを作成して判断制御部114に渡す。
【0065】
認証処理部116はIPsecやRFC4285記載のAuthentication Optionを利用して、BUやBAのメッセージ認証を行う。また、認証処理部116は認証を行う際に、BUやBAのメッセージ種別(CMIPまたはPMIP)に応じて、対応したデータベースを参照する。
【0066】
カプセル化処理部117はIPパケットをカプセル化する処理を行う。PDN GW11はこのカプセル化処理部117でMNのHoA宛のIPパケットをCoA宛にカプセル化する。
デカプセル化処理部118はIPパケットをデカプセル化する処理を行う。PDN GW11はこのデカプセル化処理部118でMNのから送信されたカプセル化IPパケット(宛先IPアドレスがPDN GW11のIPアドレス)をデカプセル化して、中のIPパケット(送信元のIPアドレスがMNのHoA)を取り出す。
【0067】
ルーティング処理部119は受信したIPパケットの宛先IPアドレスを見て、そのアドレスに適した転送先にIPパケットを転送する機能である。インタフェース部120は外部ネットワークと接続するためのインタフェース部分で、IP層より下位層の処理を行う。
【0068】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
【実施例2】
【0069】
図6は本発明の第2の実施例による移動管理システムの構成を示すブロック図である。
本発明の第2の実施例による移動管理システムも、上述した本発明の第1の実施の形態に相当する。
【0070】
図6において、モバイルネットワーク103は、PDN GW11と、AAAサーバ14と、WiMAXネットワーク131,132と、WLAN(Wireless Local Area Network)ネットワーク141,142とから構成されている。
【0071】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)とProxy Mobile IPv6(PMIPv6)との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。つまり、PDN GW11は上記の図5に示すPDN GW11と同様の構成となっている。
【0072】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0073】
WiMAXネットワーク131,132は移動端末3をPMIPで管理するアクセスネットワークで、それぞれASN GW221,222を具備している。図6では1つのWiMAXネットワークの中に1つのASN GWしか記していないが、1つのWiMAXネットワークの中に複数のASN GWがあっても良い。
【0074】
ASN GW221,222はWiMAXネットワーク131,132内を移動する移動端末3にとってコアのエッジノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0075】
WLANネットワーク141,142は移動端末3をCMIPで管理するアクセスネットワークである。AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0076】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Option を利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0077】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するASN GW単位もしくは在圏網単位に構築しても良い。また、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在しても良い。
【0078】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
【実施例3】
【0079】
図7は本発明の第3の実施例による移動管理システムの構成を示すブロック図である。
本発明の第3の実施例による移動管理システムも、上述した本発明の第1の実施の形態に相当する。
【0080】
図7において、モバイルネットワーク104は、PDN GW11と、AAAサーバ14と、WiMAXネットワーク131,132と、WLANネットワーク141,142とから構成されている。
【0081】
PDN GW11はRFC3775記載のMobile IPv6(Client MIPv6;CMIP)のHA機能とProxy Mobile IPv6(PMIPv6)のLMA機能との2種類のモビリティプロトコルをサポートした統合アンカーノードで、図1に示すアンカーノード機能1とCMIP用SAデータベース5とPMIP用SAデータベース6とを具備している。つまり、PDN GW11は上記の図5に示すPDN GW11と同様の構成となっている。
【0082】
ここで、PDN GW11がCMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。また、PDN GW11がPMIP用に管理しているIPsec SAは、PDN GW11と移動端末3とのHoA毎に構築されている。
【0083】
WLANネットワーク141,142は移動端末3をPMIPで管理するアクセスネットワークで、それぞれPDG(Packet Data Gateway)231,232を具備している。図7では1つのWLANネットワークの中に1つのPDGしか記していないが、1つのWLANネットワークの中に複数のPDGがあっても良い。
【0084】
PDG231,232はWLANネットワーク141,142内を移動する移動端末3とIPsecによるセキュアなトンネルを構築するノードであって、さらに図1に示すPMIPクライアント機能21,22を具備している。
【0085】
WiMAXネットワーク131,132は移動端末3をCMIPで管理するアクセスネットワークである。AAAサーバ14は端末認証用の認証情報と、PMIPのメッセージ認証用の認証情報とを具備している。
【0086】
本実施例では、メッセージ認証の手段としてCMIP、PMIP共にIPsecを使用しているが、RFC4285記載のAuthentication Optionを利用した認証をCMIP、PMIP両方、もしくはどちらか一方のみ使用しても良い。
【0087】
また、本実施例では、PDN GW11が構築するPMIP用SAを移動端末3のHoA単位で構築しているが、上述した本発明の第2及び第3の実施の形態で述べたように、PMIPクライアント機能を有するASN GW単位もしくは在圏網単位に構築しても良い。さらに、本実施例ではモビリティプロトコルとしてMIPv6を使用しているが、MIPv4でも良い。もしくは、MIPv6とMIPv4が混在しても良い。
【0088】
このように、本実施例では、PDN GW11が1つのHoAに対して変更可能なCMIP用SAとPMIP用SAとを具備しているので、1台の移動端末3をアクセス方式に合わせて管理する移動管理システムであっても、CMIPを適用したアクセスネットワークとPMIPを適用したアクセスネットワークとの間でハンドオーバが行われても、同一のPDN GW11で継続してモビリティサービスを提供することができる。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。
【符号の説明】
【0089】
1 アンカーノード機能(ユニット)
3 移動端末
4 AAA機能(ユニット)
5 CMIP用SAデータベース
6,6a PMIP用SAデータベース
11 PDN GW
14 AAAサーバ
21,22 PMIPクライアント機能(ユニット)
100〜104 モバイルネットワーク
110 情報記憶部
111 バインディングキャッシュ
112 CMIP用SAデータベース
113 PMIP用SAデータベース
114 判断制御部
115 MIPv6制御処理部
116 認証処理部
117 カプセル化処理部
118 デカプセル化処理部
119 ルーティング処理部
120 インタフェース部
121,122 セルラーネットワーク
131,132 WiMAXネットワーク
141,142 WLANネットワーク
201,202 PMIPサポートアクセスネットワーク
211,212 Serving GW
221,222 ASN GW
231,232 PDG
301,302 CMIPサポートアクセスネットワーク
400 ホーム網
501〜504 在圏網
【特許請求の範囲】
【請求項1】
移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、
前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、
を含むことを特徴とするアンカーノード。
【請求項2】
前記第1の手段は、前記プロトコルが、CMIP[Client MIP(Mobile Internet Protocol)]か、PMIP(Proxy MIP)かを判断する
ことを特徴とする請求項1に記載のアンカーノード。
【請求項3】
前記第2の手段は、前記位置登録用メッセージのプロトコル種別に対応するSA(Security Association)を用いて、前記位置登録用メッセージの認証を行う
ことを特徴とする請求項1または2に記載のアンカーノード。
【請求項1】
移動端末から受信した位置登録用メッセージのプロトコル種別を判別する第1の手段と、
前記判別したプロトコル種別に応じて、前記位置登録用メッセージの認証を行う第2の手段と、
を含むことを特徴とするアンカーノード。
【請求項2】
前記第1の手段は、前記プロトコルが、CMIP[Client MIP(Mobile Internet Protocol)]か、PMIP(Proxy MIP)かを判断する
ことを特徴とする請求項1に記載のアンカーノード。
【請求項3】
前記第2の手段は、前記位置登録用メッセージのプロトコル種別に対応するSA(Security Association)を用いて、前記位置登録用メッセージの認証を行う
ことを特徴とする請求項1または2に記載のアンカーノード。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2013−21712(P2013−21712A)
【公開日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願番号】特願2012−209586(P2012−209586)
【出願日】平成24年9月24日(2012.9.24)
【分割の表示】特願2008−558105(P2008−558105)の分割
【原出願日】平成20年2月13日(2008.2.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願日】平成24年9月24日(2012.9.24)
【分割の表示】特願2008−558105(P2008−558105)の分割
【原出願日】平成20年2月13日(2008.2.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]