CoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法及びそのシステム
【課題】 モバイルIPv6ホストのCoAバインディングプロトコルを利用した認証方法とシステムを提供する。
【解決手段】 移動端末(MN)10がCoAを登録すべき対応ノード(CN)40のリストをホームエージェント30に伝送し(S13)、ホームエージェント(HA)30が乱数(RN)を生成し秘密キー(SS(HN))で暗号化して移動端末10に伝送する段階(S14)と、ホームエージェント30が対応ノード40のリストに基づき公開キー(PK(CN))を獲得し移動端末10の認証に必要な第1の情報を暗号化して対応ノード40に伝送する段階(S16)と、移動端末10がCoAオーナーシップの認証に必要な第2の情報をピギーバックして対応ノード40に伝送し(S18)、対応ノード40がホームエージェント30から受信した第1の情報を自機の秘密キーにより復号化し第2の情報と比較して該移動端末10のオーナーシップを認証する段階(S19)と、を含む。
【解決手段】 移動端末(MN)10がCoAを登録すべき対応ノード(CN)40のリストをホームエージェント30に伝送し(S13)、ホームエージェント(HA)30が乱数(RN)を生成し秘密キー(SS(HN))で暗号化して移動端末10に伝送する段階(S14)と、ホームエージェント30が対応ノード40のリストに基づき公開キー(PK(CN))を獲得し移動端末10の認証に必要な第1の情報を暗号化して対応ノード40に伝送する段階(S16)と、移動端末10がCoAオーナーシップの認証に必要な第2の情報をピギーバックして対応ノード40に伝送し(S18)、対応ノード40がホームエージェント30から受信した第1の情報を自機の秘密キーにより復号化し第2の情報と比較して該移動端末10のオーナーシップを認証する段階(S19)と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、移動通信システムでアドレスのオーナーシップ認証方法に関し、より詳しくは、モバイルIPv6(Internet Protocol version 6)ホストのCoA(Care of Address)バインディングプロトコルを利用したアドレスオーナーシップ認証方法及びそのシステムに関する。
【背景技術】
【0002】
アドレスオーナーシップ(address ownership)は、IPv6アドレスを有するホストが、自らが使用するアドレスが、悪意的に変造あるいは偽造されたものではなく、承認された或いは正当な使用者であることを証明する手続きである。
【0003】
特に、このようなIPv6アドレスのオーナーシップ問題は、モバイルIPv6ホストのようにネットワーク間を移動しながらCoA(Care of Address)を使用するホストには一層脆弱であり、モバイルIPv6ホストのIPv6アドレスについてのオーナーシップを証明するためには、対応ノード(CN:Correspondent Node)とホームエージェント(HA:Home Agent)との追加的なメッセージ交換とオーバーヘッド(overhead)が不可避となる。
【0004】
モバイルIPv6ホストが自機のホームネットワーク(Home network)から外部ネットワーク(Foreign network)に移動する場合に、該モバイルIPv6ホストは、RS(Router Solicitation)、RA(Router Advertisement)メッセージを通じて外部ネットワークのネットワークプレフィックス(network prefix)を獲得する。モバイルIPv6ホストは、自動環境設定(Auto−configuration)を通じてCoAを生成してモバイルIPv4から問題になっているトライアングルルート問題(triangle route problem)を解決するために、CoAをホームエージェント(HA)と対応ノード(CN)に登録(binding update)する。CoAが登録されると、モバイルIPv6ホストは、ホームエージェント(HA)のデータトンネリング(data tunneling)機能なしに直ちに対応ノードとデータを交換する。
【0005】
図1は、従来技術による移動端末が外部リンクに移動してCoAをバインディングして通信を実行する手続きを示す全体的なフローチャートである。
【0006】
図1に示したように、任意の対応ノード(CN)4と通信を実行した移動端末(MN)1が自らのホームネットワークから任意の外部リンク(FL:Foreign Link)2に移動する場合に、該移動端末(MN)1は、外部リンク(FL)2にRSメッセージを伝送する(ステップS1)。これに応答して、外部リンク(FL)2は、移動端末(MN)1にRAメッセージを伝送する(ステップS2)。移動端末(MN)1は、このRAメッセージから外部リンク(FL)2のネットワークプレフィックスを獲得し、自動環境設定を通じて外部リンク(FL)2の中で使用されるCoAを生成する。
【0007】
以後、移動端末(MN)1は、自機が外部リンク(FL)2に移動したことを知らせるために、ホームエージェント(HA)3にバインディングアップデートメッセージを伝送する(ステップS3)。
【0008】
ホームエージェント(HA)3は、移動端末(MN)1が外部リンク(FL)2に移動することによって外部リンク(FL)2から割り当されたCoAを知らせるバインディングメッセージを、当該移動端末(MN)1から受信すると、移動端末(MN)1から受信したバインディングメッセージに含まれているCoAを当該移動端末(MN)1のホームアドレスとともに保存し、当該移動端末(MN)1についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを当該移動端末(MN)1に伝送する(ステップS4)。
【0009】
以後、ホームエージェント(HA)3は移動端末(MN)1が対応ノード(CN)4にCoAをバインディングする前に、該移動端末(MN)1から伝送されたデータを対応ノード(CN)4にトンネリングし(ステップS5)、対応ノード(CN)4から伝送されるデータを移動端末(MN)1にトンネリングする(ステップS6)。
【0010】
そして、移動端末(MN)1は、対応ノード(CN)4にCoAをバインディングアップデートするために、バインディングアップデートメッセージを伝送する(ステップS7)。
【0011】
これによって、対応ノード(CN)4は、移動端末(MN)1からバインディングアップデートメッセージを受信してバインディングを実行し、当該移動端末(MN)1にバインディング確認メッセージを伝送する(ステップS8)。
【0012】
そして、対応ノード(CN)4から伝送されるバインディング確認メッセージを受信した移動端末(MN)1と対応ノード(CN)4は、トンネルを形成し、そのトンネルを通じてデータを交換する(ステップS9)。
【0013】
しかしながら、従来は、IPv6ホストである移動端末(MN)1がCoAを生成してこれをホームエージェント(HA)に登録する過程中に、悪意的なモバイルIPv6ホストが不当なCoAを対応ノードにバインディング(binding)した場合には、悪意的なモバイルIPv6ホストが変造(あるいは偽造)したホームネットワークアドレスを有する正当なIPv6ホストは、対応ノードとの通信をすることが不可能になってしまう、という問題点があった。
【0014】
その理由は、モバイルIPv6ホストがCoAをHAと対応ノードに登録する過程で自機が使用するIPv6アドレスのオーナーシップを証明することができないからである。
【発明の開示】
【発明が解決しようとする課題】
【0015】
したがって、本発明は上述したような従来技術の問題点を解決するためになされたもので、その目的は、モバイルIPv6ホストがCoAを生成してその生成されたCoAをホームエージェントに登録する過程中に、ホームエージェントが実行するデータトンネリング機能を利用して対応ノードが新たに登録されるモバイルIPv6ホストのCoAオーナーシップを証明することにより、不適切なホストがホストアドレスを盗用することを防止したCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法及びそのシステムを提供することにある。
【課題を解決するための手段】
【0016】
前記目的を達成するための本発明の一側面によれば、移動端末が、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバック(piggy−back)し、該対応ノードリストを有するバインディングアップデートメッセージをホームエージェントに伝送することにより、該ホームエージェントが、乱数を生成し、該ホームエージェントと当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを移動端末に伝送する段階と、ホームエージェントが、対応ノードのリストに基づく該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を該獲得した公開キーにより暗号化し、該暗号化された第1の情報を対応ノードにトンネリングされるデータにピギーバックし、該暗号化された第1の情報を有する前記データを、対応ノードに伝送する段階と、移動端末が、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックし、該第2の情報を有するバインディングアップデートメッセージを対応ノードに伝送することにより、対応ノードが、ホームエージェントから受信された前記第1の情報を自機の秘密キーにより復号化し、該復号化した情報を前記移動端末から受信された第2の情報と比較することで、当該移動端末のオーナーシップを認証する段階と、を含むCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法が提供される。
【0017】
本発明の他の側面によれば、CoA(Care of Address)をホームエージェントに登録するためにホームエージェントに伝送するバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバックして伝送する段階と、ホームエージェントから、該ホームエージェントと自機とで共有している秘密キーにより暗号化された乱数情報がバインディング確認メッセージにピギーバック(piggy−back)されているピギーバック情報を受信する段階と、CoAを対応ノードに登録するために対応ノードに伝送するバインディングアップデートメッセージに、CoAと乱数と秘密キーのハッシュ処理結果値をピギーバックして伝送することで、ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように要請する段階と、を含むCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法が提供される。
【0018】
本発明の他の側面によれば、移動端末から、CoA(Care of Address)を登録するためのバインディングアップデートメッセージ内にピギーバックされた、対応ノードのリストを受信する段階と、乱数を生成し、該乱数を、移動端末と自機とで共有している秘密キーにより暗号化し、バインディング確認メッセージにピギーバック(piggy−back)し、移動端末に伝送する段階と、移動端末がCoAを対応ノードに登録するためのバインディングアップデートメッセージにオーナーシップの認証に必要な情報をピギーバックして対応ノードに伝送することにより、対応ノードが移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な情報を、該公開キーにより暗号化し、対応ノードにトンネリングされるデータにピギーバックして伝送する段階と、を含む移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法が提供される。
【0019】
本発明の他の側面によれば、任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーをホームエージェントに伝送する段階と、移動端末のホームエージェントから、トンネリングされる移動端末のデータとともに自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末から、バインディングアップデートメッセージにピギーバックされて伝送された、ハッシュ関数処理された結果値を受信する段階と、移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含む移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法が提供される。
【0020】
本発明の他の側面によれば、移動端末と、該移動端末のホームエージェントと、前記移動端末との通信を実行できるように適合された少なくとも一の対応ノードと、を備えた通信システムであって、移動端末は、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージにCoAを登録する必要がある対応ノードのリストをピギーバックしてホームエージェントに伝送し、ホームエージェントは、乱数を生成してホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送し、ホームエージェントは、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバック(piggy−back)して伝送し、移動端末は、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックして対応ノードに伝送し、対応ノードは、ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化し、該復号化した第1の情報を、移動端末から受信された第2の情報と比較して、該当移動端末のオーナーシップを認証する通信システムが提供される。
【0021】
本発明の他の側面によれば、移動端末がCoA(Care of Address)を登録する必要のある対応ノードのリストをホームエージェントに伝送すると、該ホームエージェントが、乱数を生成し、該乱数を、ホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数を前記移動端末に伝送する段階と、ホームエージェントが、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を前記公開キーを用いて暗号化し、該暗号化された第1の情報を対応ノードに伝送する段階と、移動端末がCoAオーナーシップの認証に必要な第2の情報を前記対応ノードに伝送すると、対応ノードが、ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化して移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する段階と、を含むCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法が提供される。
【0022】
本発明の他の側面によれば、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送する段階と、ホームエージェントから、該ホームエージェントと自機とで共有される秘密キーにより暗号化された乱数情報を受信する段階と、対応ノードにCoAと乱数と秘密キーのハッシュ処理結果値を伝送し、ホームエージェントからハッシュ処理結果値を暗号化して受信した対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように、対応ノードに要請する段階と、を含むCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法が提供される。
【0023】
本発明の他の側面によれば、移動端末から、該移動端末がCoA(Care of Address)を登録する必要がある対応ノードのリストを受信する段階と、乱数を生成し、当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数を該移動端末に伝送する段階と、移動端末がCoAオーナーシップの認証に必要な情報を対応ノードに伝送すると、対応ノードが移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な情報を該公開キーにより暗号化し、該暗号化した情報を対応ノードに伝送する段階と、を含む移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法が提供される。
【0024】
本発明の他の側面によれば、任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーをホームエージェントに伝送する段階と、移動端末のホームエージェントから、自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末から、CoA(Care of Address)認証のためのハッシュ関数処理された結果値を受信する段階と、CoAを含むバインディングメッセージを受信すると、前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、移動端末から受信されたハッシュ関数処理の結果値と、を比較して、移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含む移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法が提供される。
【0025】
また、本発明の他の側面によれば、移動端末と、該移動端末のホームエージェントと、前記移動端末と通信を実行する対応ノードからなる通信システムであって、移動端末は、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送し、ホームエージェントは、乱数を生成し、該乱数を、ホームエージェントと移動端末とで共有している秘密キーにより暗号化して前記移動端末に伝送し、ホームエージェントは、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化して対応ノードに伝送し、移動端末は、CoAオーナーシップ認証に必要な第2の情報を前記対応ノードに伝送し、対応ノードは、ホームエージェントから受信された第1の情報を、自機の秘密キーにより復号化して移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する通信システムが提供される。
【発明の効果】
【0026】
本発明によれば、一次的な過程で、移動端末がCoAを載せたバインドアップデートメッセージに対応ノード(CN)のリストをピギーバックしてホームエージェントに伝送し、ホームエージェントはバインド確認メッセージに乱数(RN)を移動端末とホームエージェントが共有している秘密キー(SS)により暗号化してピギーバックして移動端末に伝送する。
【0027】
次の過程で、ホームエージェントは、当該対応ノードのリストに基づいて該当する対応ノードら(CNs)から各々の公開キーを獲得してその公開キーにより移動端末から受けたCoA、移動端末に伝送した乱数(RN)、移動端末とホームエージェントが共有している秘密キー(SS)のハッシュ処理結果値を暗号化して伝送する。
【0028】
最後の過程で、移動端末は、対応ノードにCoAを含むバインドメッセージを伝送する際に、CoA、乱数(RN)、移動端末とホームエージェントが共有している秘密キー(SS)のハッシュ処理結果値をピギーバックして対応ノードに伝送すると、対応ノードは、ホームエージェントから自機の公開キーにより伝送されたハッシュ結果値と移動端末から伝送されたバインドアップデートメッセージにピギーバックされたハッシュ結果値とを比較して当該移動端末がCoAについての正当なオーナーシップを有していることが認証できるようになる。
【0029】
即ち、移動端末が対応ノードにバインドアップデートを要請する場合に、CoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値を対応ノードにピギーバックして伝送すると、対応ノードは、ホームエージェントから前もって受けたCoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値と比較して当該移動端末のオーナーシップを認証することにより、当該移動端末とホームエージェントだけが共有している秘密キー(SS)が分からない不法的なホストが該移動端末のホームアドレスが分かる状態で任意のCoAについて対応ノードにバインドアップデートを試みてもバインドアップデートにピギーバックされるハッシュ処理結果値を作ることができないので、不法的なホストにより正当なホストのアドレスが侵害されることが防止できる。
【0030】
これによって、モバイルIPv6ホストの移動性特性によって変更されるCoAのアドレスオーナーシップを証明することができるので、ネットワーク保安性が保証できる。
【0031】
また、アドレスオーナーシップ問題の解決のために使用されるメッセージがモバイルIPv6基本メッセージにピギーバックされるので、メッセージ伝送と処理についてのオーバーヘッド(overhead)を少なくすることがが可能となる。
【0032】
また、モバイルIPv6のホームエージェント(HA)がルータに基本機能として提供される際、保安チップを利用したハードウェア的な支援が可能である場合には、高速の処理速度を期待することができる。
【発明を実施するための最良の形態】
【0033】
以下、本発明の好ましい実施形態について、添付した図面を参照して詳細に説明する。
【0034】
図2は、本発明の一実施形態による通信システムの構成図である。
【0035】
図2に示したように、本発明の一実施形態による通信システムは、移動端末(MN;Mobile Node)10と、当該移動端末10のホームエージェント(HA;Home Agent)30と、移動端末10と通信を実行する少なくとも一つ以上の対応ノード(CN;Correspondent Node)40と、を含む。
【0036】
移動端末10は、複数の対応ノード(CNs)40の内の任意の一つとの通信中に任意の外部リンク20に移動する場合に、外部リンク20にRS(Router Solicitation)メッセージを伝送して、外部リンク20からのRA(Router Advertisement)メッセージを誘導する。移動端末10は、RAメッセージから外部リンク20のネットワークプレフィックス(network prefix)を獲得して、自動環境設定を通じて外部リンク20で使用するCoAを生成する。
【0037】
次に、移動端末10は、自機が外部リンク20に移動したことをホームエージェント30に知らせるために、自機が外部リンク20から得たCoAをバインドアップデートメッセージを通じてホームエージェント30に伝送する。このとき、移動端末10は、自機が外部リンク20に移動する前に互いに通信した対応ノード(CNs)40のリストを、バインドアップデートメッセージにピギーバック(piggy−back)してホームエージェント30に伝送する。
【0038】
これによって、移動端末10は、ホームエージェント30からバインディング確認メッセージを受信することになる。そのバインディング確認メッセージには、移動端末がCoAをバインディングするために使用する臨時的な秘密キーの役割をする乱数(RN;Random Number)が、移動端末10とホームエージェント30とで互いに共有している秘密キー(SS(HN))により暗号化されて、ピギーバックされている。
【0039】
したがって、移動端末10は、自機が有している秘密キー(SS(HN))を使用して、バインディング確認メッセージにピギーバックされた乱数(RN)を獲得する。
【0040】
次に、移動端末10は、CoAを自機が外部リンク20に移動する前に通信した対応ノード40にバインディングする前に伝送されるデータを、ホームエージェント30によりトンネリングする。
【0041】
これによって、ホームエージェント30は、移動端末10のデータを対応ノード40にトンネリングする。この過程において、ホームエージェント30は、対応ノード40にトンネリングする前に、移動端末10が対応ノード40にCoAをバインディングする際に対応ノード40が移動端末10のCoAオーナーシップを証明するために必要なデータを、トンネリングするデータパケットにピギーバックして伝送する。
【0042】
このとき、ホームエージェント30から対応ノード40にピギーバックされるデータは、ホームエージェント30が移動端末10から受信したCoAと、乱数(RN)と、ホームエージェント30と移動端末10が互いに共有している秘密キー(SS)のハッシュ関数による結果値と、を含んでいる。
【0043】
次に、移動端末10は、CoAをバインディングアップデートするために、対応ノード40に対してバインディングアップデートメッセージを伝送する。このとき、移動端末10は、バインディングアップデートメッセージに、CoAと、乱数(RN)と、秘密キー(SS)についての偏方向ハッシュ関数の結果値をピギーバックして対応ノード40に伝送(送信)する。
【0044】
この後、移動端末10は、自機が送信した対応ノード40から、伝送したハッシュ結果値が適当(すなわち正規)な値であるか否かについての認証を受け、かかる認証により移動端末10がCoAについてのオーナーシップを有していると証明されると、対応ノード40からバインディングアップデートの確認メッセージを受信する。
【0045】
一方、ホームエージェント30は、任意の移動端末10から、当該移動端末10が外部リンク20に移動することによって外部リンク20から割り当てられたCoAを知らせるバインディングメッセージを受信する場合には、そのバインディングメッセージ内から、ピギーバックされた対応ノードのリストを抽出する。
【0046】
そして、ホームエージェント30は、移動端末10から受信したバインディングメッセージに含まれているCoAを、当該移動端末のホームアドレスとともに保存(すなわち所定メモリに格納)し、当該移動端末10についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを、当該移動端末10に伝送する。
【0047】
このとき、ホームエージェント30は、当該移動端末10がCoAをバインディングするために使用する臨時的な秘密キーとしての役割をする乱数(RN)を、当該ホームエージェント30と当該移動端末10とが互いに共有する秘密キー(SS(HN))により暗号化(encryption)してバインディング確認メッセージ(binding acknowledgement)にピギーバックして伝送する。
【0048】
ここで、乱数(RN)を伝送する理由は、当該移動端末10のホームネットワークアドレス(home network address)とCoAを利用して当該移動端末10を仮装する悪意的なホストの侵入を防止するためである。
【0049】
また、乱数(RN)の安全な伝送のために、ホームエージェント30と移動端末10とが互いに共有する秘密キー(SS(HN))を使用して暗号化を実行する。本実施の形態で用いる暗号化キーと復号化キーのような秘密キー暗号化技法は、暗号化/復号過程において速度が速く、かつ計算が容易である。一方、移動端末の場合には、その制限された電力供給などの理由により、暗号化/復号化過程において多くの計算を実行させるのは得策ではない。
【0050】
その後、ホームエージェント30は、当該移動端末10が対応ノード40にCoAをバインディングする前に、該移動端末10から伝送されるデータを対応ノード40にトンネリングする。このとき、ホームエージェント30は、当該移動端末10のデータを対応ノード40にトンネリングする前に、該移動端末10がCoAをバインディングする際に対応ノード40が該移動端末10のCoAオーナーシップを証明するのに必要とされるデータを、トンネリングするデータパケットにピギーバックして伝送する。
【0051】
ホームエージェント30は、ピギーバックするデータを安全に伝送するために、当該移動端末10が外部リンク20に移動する前に該移動端末10が通信した対応ノード40の公開キー(PK;Public Key)を獲得するために、付加的なメッセージ交換を要求する。具体的には、ホームエージェント30は、移動端末10から受信されたバインドアップデートメッセージにピギーバックされた対応ノードのリストを参照し、該当する対応ノード40に対してその対応ノードの公開キー(PK)を要請して取得する。
【0052】
ホームエージェント30は、任意の対応ノードら(CNs)40から該当する対応ノードの公開キーを一回取得すれば、対応ノード40とのデータトンネリング機能以外のどのような秘密キーも、事前に共有する可能性はほとんど無い。この理由で、移動端末10が同一の対応ノード40にCoAを変更して登録する場合には、追加的な公開キー(PK)の獲得に必要なメッセージ交換のためのオーバーヘッド(overhead)は生じない。
【0053】
移動端末10から伝送された対応ノードのリストに基づいて各々の対応ノードら(CNs)40から該当する対応ノードの公開キーを獲得したホームエージェント30は、対応ノードに提供される移動端末のアドレスオーナーシップ証明に使用される情報を該当公開キーにより暗号化して、該暗号化した情報を該当する対応ノード40に伝送する。このとき、ホームエージェント30が対応ノード40に伝送する情報としては、当該移動端末10がバインディングするCoAと乱数(RN)、移動端末とホームエージェントが共有する秘密キー(SS)の値を偏方向ハッシュ関数(one−way hash function)に入力データとして使用して算出した結果値、を伝送する。このとき、ホームエージェント30は、任意の対応ノード40によって秘密キー(SS)と乱数(RN)のような情報の露出なしに証明することが可能な、ゼロ知識(Zero knowledge)技法を使用する。ホームエージェント30が対応ノード40に伝送するピギーバックされたメッセージは、対応ノード40の公開キー(PK)により暗号化されるので、その対応ノード40だけがこれを復号化できる。
【0054】
次に、対応ノード40は、任意の移動端末10からCoAについてのバインディングメッセージが受信された場合には、ホームエージェント30から伝送を受けた偏方向ハッシュ値を使用して、当該移動端末10にそのCoAについてのオーナーシップがあるか否かを判断する。
【0055】
一方、対応ノード40は、任意の移動端末10と通信を実行している最中にホームエージェント30から自機(該ノード)の公開キーを要請された場合には、自機の公開キー(PK)を該当のホームエージェント30に伝送する。
【0056】
次に、対応ノード40は、ホームエージェント30からトンネリングされる移動端末10のデータとともに自機の公開キー(PK)により暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有していた秘密キーを使用してその暗号化された値を復号化する。
【0057】
さらに、対応ノード40は、自機と通信を実行した移動端末10から、バインディングアップデートメッセージを受信する。このとき、対応ノード40は、そのバインディングアップデートメッセージにピギーバックされて伝送されたハッシュ関数処理された結果値を受信する。
【0058】
次に、対応ノード40は、ホームエージェント30から自機の公開キーにより暗号化されて受信された後に自機の秘密キーにより復号化されたハッシュ関数処理結果値と、移動端末10から受信されたハッシュ関数処理結果値と、を比較して、CoAを含むバインディングメッセージを伝送した移動端末10が該当CoAについての正当なオーナーシップを有しているか否かを判断する。
【0059】
該判断の結果、当該移動端末10が該当CoAについての正当なオーナーシップを有している場合には、 対応ノード40は、当該移動端末10にバインディング確認メッセージを伝送し、一方、該移動端末10は、トンネルを形成してそのトンネルを通じてデータを交換する。
【0060】
図3は、本発明の一実施形態によるアドレスオーナーシップの認証手続きを示す全体的なフローチャートである。
【0061】
図3に示したように、任意の対応ノード40と通信を実行した移動端末(MN)10が自機のホームネットワークから任意の外部リンク20に移動する場合に、当該移動端末10は、外部リンク20にRSメッセージを伝送する(ステップS11)。これに応答して、外部リンク20は、該移動端末10にRAメッセージを伝送する(ステップS12)。そして、移動端末10は、このRAメッセージから外部リンク20のネットワークプレフィックスを獲得し、自動環境設定を通じて外部リンク20で使用するCoAを生成する。
【0062】
次に、移動端末10は、自機が外部リンク20に移動したことを知らせるために、ホームエージェント30にバインディングアップデートメッセージを伝送する。このとき、移動端末10は、自機が外部リンク20に移動する前に互いに通信した対応ノードら(CNs)40のリストを、バインドアップデートメッセージにピギーバックしてホームエージェント30に伝送する(ステップS13)。
【0063】
ホームエージェント30は、移動端末10から、該移動端末(10)が外部リンク20に移動することによって外部リンク20から割り当てられたCoAを知らせるバインディングメッセージを受信すると、バインディングメッセージにピギーバックされた対応ノードのリストを抽出する。
【0064】
次に、ホームエージェント30は、移動端末10から受信したバインディングメッセージに含まれているCoAを当該移動端末のホームアドレスとともに保存し、該移動端末10についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを当該移動端末10に伝送する。
【0065】
ここで、ホームエージェント30は、当該移動端末10がCoAをバインディングするために使用される臨時的な秘密キーの役割をする乱数(RN)を、該ホームエージェント30と該移動端末10とが互いに共有する秘密キー(SS(HN))により暗号化し、該暗号化後の乱数を、バインディング確認メッセージにピギーバックして伝送する(ステップS14)。
【0066】
ホームエージェント30は、当該移動端末10から受信されたバインドアップデートメッセージにピギーバックされた対応ノードリストを参照して、該当対応ノード40にその対応ノードの公開キー(PK)を要請(要求)して、該公開キーを取得する(ステップS15)。
【0067】
次に、ホームエージェント30は、当該移動端末10が対応ノード40にCoAをバインディングする前に、該移動端末10から伝送されるデータを対応ノード40にトンネリングする。
【0068】
ここで、ホームエージェント30は、当該移動端末10のデータを対応ノード40にトンネリングする前に、該移動端末10がCoAをバインディングする際に対応ノード40が当該移動端末10のCoAオーナーシップを証明するために必要なデータを、該移動端末10が伝送した対応ノードのリストに基づく各々の対応ノードら(CNs)40から獲得した該当公開キーにより暗号化し、該暗号化したデータを、トンネリングするデータパケットにピギーバックし、当該ピギーバックされたデータを該当する対応ノード40に伝送し(ステップS16)、そしてその後に、対応ノード(CN)40から伝送されるデータを当該移動端末(MN)10にトンネリングする(ステップS17)。
【0069】
このとき、ホームエージェント30が対応ノード40に伝送する情報は、当該移動端末10がバインディングするCoAと乱数(RN)、移動端末とホームエージェントが共有する秘密キー(SS)の値を含んでいる。ホームエージェント30は、これらの値を偏方向ハッシュ関数に入力データとして使用して計算し、該計算結果値を、対応ノード40に伝送する。
【0070】
対応ノード40は、トンネリングされる当該移動端末10のデータとともに自機のPKにより暗号化されて伝送されるハッシュ関数による処理結果値をホームエージェント30から受信すると、自機が有する(該対応ノード自身の)秘密キーを使用して、当該受信した暗号化された処理結果値を復号化する。
【0071】
その後、当該移動端末10は、対応ノード40にCoAをバインディングアップデートするために、バインディングアップデートメッセージを伝送する。ここで、移動端末10は、バインディングアップデートメッセージに、CoAと、乱数(RN)と、秘密キー(SS)についての偏方向ハッシュ関数の結果値とをピギーバックして対応ノード40に伝送する(ステップS18)。
【0072】
これにより、対応ノード40は、当該移動端末10からバインディングアップデートメッセージを受信し、また、当該バインディングアップデートメッセージにピギーバックされている、ハッシュ関数処理された結果値を受信する。
【0073】
そして、対応ノード40は、ホームエージェント30から自機の公開キーにより暗号化されて受信された後に自機の秘密キーにより復号化したハッシュ関数処理結果値と、移動端末10から受信されたバインディングメッセージにピギーバックされたハッシュ関数処理結果値と、を比較する。対応ノード40は、かかる比較の処理において、二つの結果値が一致するか否かによって、CoAを含むバインディングメッセージを伝送した移動端末10が該当CoAについての正当なオーナーシップを有しているか否か、を判断する。
【0074】
該判断の結果、その移動端末10が該当CoAについての正当なオーナーシップを有している場合には、対応ノード40は、該移動端末10にバインディング確認メッセージを伝送する(ステップS19)。
【0075】
したがって、対応ノード40から伝送されるバインディング確認メッセージを通じて自機が対応ノード40に伝送したバインディングメッセージに載せたCoAについてのオーナーシップが認定された移動端末10は、対応ノード40とトンネルを形成し、そのトンネルを通じてデータの送受信を遂行する(ステップS20)。
【0076】
以上の実施形態では、移動端末10がホームエージェント30に伝送する対応ノードのリスト情報と、ホームエージェント30が移動端末10に伝送する乱数(RN)を秘密キーにより暗号化した情報と、ホームエージェント30が対応ノード40に伝送するCoA、乱数(RN)、秘密キー(SS)を公開キーにより暗号化した情報と、移動端末10が対応ノード40に伝送するCoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値は、当該移動端末10とホームエージェント30と対応ノード40との間で交換されるメッセージにピギーバックして伝送(送信)或いは受信している。
【0077】
この場合に、ピギーバックは、IPv6のオプションヘッダーである認証ヘッダー(AH:Authentication Header)の使用により、必要なデータを伝送する。
【0078】
図4は、本発明の一実施形態による認証ヘッダーのフォーマット図である。図4に示すように、本実施形態では、認証データ(Authentication Data )フィールドと残り5つのフィールドを含んで認証ヘッダーを構成する。そして、認証データ(Authentication Data)フィールドには、移動端末10がホームエージェント30に伝送する対応ノードのリスト情報と、ホームエージェント30が移動端末10に伝送する乱数(RN)を秘密キーにより暗号化した情報と、ホームエージェント30が対応ノード40に伝送するCoA,乱数(RN),秘密キー(SS)を公開キーにより暗号化した情報と、移動端末10が対応ノード40に伝送するCoA,乱数(RN),秘密キー(SS)のハッシュ処理結果値と、を設定して、移動端末10とホームエージェント30と対応ノード40との間でデータを交換することができる。
【0079】
但し、本発明は、移動端末10とホームエージェント30と対応ノード40との間で交換するメッセージにピギーバックして送受信することに限定されない。即ち、移動端末10とホームエージェント30と対応ノード40との間の標準により送受信するメッセージにかかわらず、個別のメッセージ形態で各々の情報を伝送することもできる。
【0080】
したがって、本発明は、上述のような実施形態以外にも多様な形態にて実施することができる。
【0081】
例えば、本発明の他の実施形態によるCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法は、移動端末10がCoAを登録する必要のある対応ノードら(CNs)のリストをホームエージェント30に伝送すると、ホームエージェント30が、乱数(RN)を生成し、該乱数を、ホームエージェント30と移動端末10との間で共有している秘密キー(SS)により暗号化し、該暗号化された乱数を前記移動端末10に伝送する段階と、ホームエージェント30が、対応ノード40のリストに基づいて該当する対応ノードら(CNs)の公開キーを獲得し、前記移動端末10の認証に必要な第1の情報をその公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノード40に伝送する段階と、移動端末10がCoAオーナーシップの認証に必要な第2の情報をピギーバックして対応ノード40に伝送すると、対応ノード40が、ホームエージェント30から受信された第1の情報を自機の秘密キーにより復号化して移動端末10から受信された第2の情報と比較することで、該当移動端末10のオーナーシップを認証する段階と、を含むこともできる。
【0082】
ここで、第1の情報及び第2の情報は、ゼロ知識技法を利用して移動端末10のオーナーシップを証明するためにハッシュ関数処理した結果値であり、そのハッシュ関数処理した結果値は、CoAと乱数(RN)と秘密キー(SS)とをハッシュ処理した結果値である。
【0083】
また、本発明の他の実施形態によるCoAバインディングプロトコルを利用した移動端末10のアドレスオーナーシップ認証方法は、CoA(Care of Address)を登録する必要がある対応ノード40のリストをホームエージェント30に伝送する段階と、ホームエージェント30から、該ホームエージェント30と自機とで共有される秘密キー(SS)により暗号化された乱数(RN)情報を受信する段階と、対応ノード40にCoAと乱数(RN)と秘密キー(SS)のハッシュ処理結果値を伝送し、ホームエージェント30からハッシュ処理結果値を暗号化して受信した該対応ノード40がゼロ知識技法により該当移動端末10のアドレスオーナーシップについての認証手続きを実行するように、対応ノード40に要請する段階と、を含むこと、を含むことができる。
【0084】
また、本発明の他の実施形態による移動端末のアドレスオーナーシップの認証のためのホームエージェント30のデータ処理方法は、移動端末10から、該移動端末10がCoAを登録する必要がある対応ノードら(CNs)のリストを受信する段階と、乱数(RN)を生成し、移動端末10との間で共有している秘密キー(SS)により当該乱数を暗号化し、該暗号化された乱数を該移動端末10に伝送する段階と、移動端末10がCoAオーナーシップの認証に必要な情報を対応ノード40に伝送すると、対応ノード40が移動端末10から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キー(PK)を獲得し、移動端末10の認証に必要な情報をその公開キー(PK)により暗号化し、該暗号化した情報を対応ノード40に伝送する段階と、を含むこともできる。
【0085】
また、本発明の他の実施形態による移動端末のアドレスオーナーシップの認証のための対応ノード40のデータ処理方法は、任意の移動端末10との通信の実行中に、その移動端末10のホームエージェント30から自機の公開キー(PK)を要求された場合に、自機の公開キー(PK)を前記ホームエージェント30に伝送する段階と、移動端末10のホームエージェント30から、トンネリングされる移動端末10のデータとともに自機の公開キー(PK)により暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キー(SS)を使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末10から、バインディングアップデートメッセージにピギーバックされて伝送された、CoA認証のためのハッシュ関数処理された結果値を受信する段階と、移動端末10のホームエージェント30から受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キー(SS)を用いて復号化し、該復号化されたハッシュ関数処理の結果値と、移動端末10から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末10の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むことができる。
【0086】
また、本発明の他の実施形態による通信システムは、移動端末10と、該移動端末10のホームエージェント30と、移動端末10と通信を実行する対応ノード40からなる通信システムであって、移動端末10は、CoAを登録する必要がある対応ノードら(CNs)のリストをホームエージェント30に伝送し、ホームエージェント30は、乱数(RN)を生成してホームエージェント30と移動端末10とで共有している秘密キー(SS)により暗号化して移動端末10に伝送し、ホームエージェント30は、対応ノードのリストに基づいて該当対応ノードの公開キー(PK)を獲得して移動端末10の認証に必要な第1の情報をその公開キー(PK)により暗号化して対応ノード(CNs)に伝送し、移動端末10は、CoAオーナーシップ認証に必要な第2の情報を対応ノード(CNs)に伝送し、対応ノード40は、ホームエージェント30から受信された第1の情報を、自機の秘密キー(SS)により復号化して移動端末10から受信された第2の情報と比較することで該当移動端末10のオーナーシップを認証することもできる。
【0087】
ここで、第1の情報及び第2の情報は、ゼロ知識技法を利用して移動端末のオーナーシップを証明するためにハッシュ関数処理した結果値であり、そのハッシュ関数処理した結果値は、CoAと乱数と秘密キーをハッシュ処理した結果値である。
【図面の簡単な説明】
【0088】
【図1】従来技術による移動端末が外部リンクに移動してCoAをバインディングして通信を実行する手続きを示す全体的なフローチャートである。
【図2】本発明の一実施形態による通信システムの構成図である。
【図3】本発明の一実施形態によるアドレスオーナーシップの認証手続きを示す全体的なフローチャートである。
【図4】本発明の一実施形態による認証ヘッダーのフォーマット図である。
【符号の説明】
【0089】
10 移動端末(MN;Mobile Node)
20 外部リンク(FL;foreign Link)
30 ホームエージェント(HA;Home Agent)
40 対応ノード(CN;Correspondent Node)
【技術分野】
【0001】
本発明は、移動通信システムでアドレスのオーナーシップ認証方法に関し、より詳しくは、モバイルIPv6(Internet Protocol version 6)ホストのCoA(Care of Address)バインディングプロトコルを利用したアドレスオーナーシップ認証方法及びそのシステムに関する。
【背景技術】
【0002】
アドレスオーナーシップ(address ownership)は、IPv6アドレスを有するホストが、自らが使用するアドレスが、悪意的に変造あるいは偽造されたものではなく、承認された或いは正当な使用者であることを証明する手続きである。
【0003】
特に、このようなIPv6アドレスのオーナーシップ問題は、モバイルIPv6ホストのようにネットワーク間を移動しながらCoA(Care of Address)を使用するホストには一層脆弱であり、モバイルIPv6ホストのIPv6アドレスについてのオーナーシップを証明するためには、対応ノード(CN:Correspondent Node)とホームエージェント(HA:Home Agent)との追加的なメッセージ交換とオーバーヘッド(overhead)が不可避となる。
【0004】
モバイルIPv6ホストが自機のホームネットワーク(Home network)から外部ネットワーク(Foreign network)に移動する場合に、該モバイルIPv6ホストは、RS(Router Solicitation)、RA(Router Advertisement)メッセージを通じて外部ネットワークのネットワークプレフィックス(network prefix)を獲得する。モバイルIPv6ホストは、自動環境設定(Auto−configuration)を通じてCoAを生成してモバイルIPv4から問題になっているトライアングルルート問題(triangle route problem)を解決するために、CoAをホームエージェント(HA)と対応ノード(CN)に登録(binding update)する。CoAが登録されると、モバイルIPv6ホストは、ホームエージェント(HA)のデータトンネリング(data tunneling)機能なしに直ちに対応ノードとデータを交換する。
【0005】
図1は、従来技術による移動端末が外部リンクに移動してCoAをバインディングして通信を実行する手続きを示す全体的なフローチャートである。
【0006】
図1に示したように、任意の対応ノード(CN)4と通信を実行した移動端末(MN)1が自らのホームネットワークから任意の外部リンク(FL:Foreign Link)2に移動する場合に、該移動端末(MN)1は、外部リンク(FL)2にRSメッセージを伝送する(ステップS1)。これに応答して、外部リンク(FL)2は、移動端末(MN)1にRAメッセージを伝送する(ステップS2)。移動端末(MN)1は、このRAメッセージから外部リンク(FL)2のネットワークプレフィックスを獲得し、自動環境設定を通じて外部リンク(FL)2の中で使用されるCoAを生成する。
【0007】
以後、移動端末(MN)1は、自機が外部リンク(FL)2に移動したことを知らせるために、ホームエージェント(HA)3にバインディングアップデートメッセージを伝送する(ステップS3)。
【0008】
ホームエージェント(HA)3は、移動端末(MN)1が外部リンク(FL)2に移動することによって外部リンク(FL)2から割り当されたCoAを知らせるバインディングメッセージを、当該移動端末(MN)1から受信すると、移動端末(MN)1から受信したバインディングメッセージに含まれているCoAを当該移動端末(MN)1のホームアドレスとともに保存し、当該移動端末(MN)1についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを当該移動端末(MN)1に伝送する(ステップS4)。
【0009】
以後、ホームエージェント(HA)3は移動端末(MN)1が対応ノード(CN)4にCoAをバインディングする前に、該移動端末(MN)1から伝送されたデータを対応ノード(CN)4にトンネリングし(ステップS5)、対応ノード(CN)4から伝送されるデータを移動端末(MN)1にトンネリングする(ステップS6)。
【0010】
そして、移動端末(MN)1は、対応ノード(CN)4にCoAをバインディングアップデートするために、バインディングアップデートメッセージを伝送する(ステップS7)。
【0011】
これによって、対応ノード(CN)4は、移動端末(MN)1からバインディングアップデートメッセージを受信してバインディングを実行し、当該移動端末(MN)1にバインディング確認メッセージを伝送する(ステップS8)。
【0012】
そして、対応ノード(CN)4から伝送されるバインディング確認メッセージを受信した移動端末(MN)1と対応ノード(CN)4は、トンネルを形成し、そのトンネルを通じてデータを交換する(ステップS9)。
【0013】
しかしながら、従来は、IPv6ホストである移動端末(MN)1がCoAを生成してこれをホームエージェント(HA)に登録する過程中に、悪意的なモバイルIPv6ホストが不当なCoAを対応ノードにバインディング(binding)した場合には、悪意的なモバイルIPv6ホストが変造(あるいは偽造)したホームネットワークアドレスを有する正当なIPv6ホストは、対応ノードとの通信をすることが不可能になってしまう、という問題点があった。
【0014】
その理由は、モバイルIPv6ホストがCoAをHAと対応ノードに登録する過程で自機が使用するIPv6アドレスのオーナーシップを証明することができないからである。
【発明の開示】
【発明が解決しようとする課題】
【0015】
したがって、本発明は上述したような従来技術の問題点を解決するためになされたもので、その目的は、モバイルIPv6ホストがCoAを生成してその生成されたCoAをホームエージェントに登録する過程中に、ホームエージェントが実行するデータトンネリング機能を利用して対応ノードが新たに登録されるモバイルIPv6ホストのCoAオーナーシップを証明することにより、不適切なホストがホストアドレスを盗用することを防止したCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法及びそのシステムを提供することにある。
【課題を解決するための手段】
【0016】
前記目的を達成するための本発明の一側面によれば、移動端末が、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバック(piggy−back)し、該対応ノードリストを有するバインディングアップデートメッセージをホームエージェントに伝送することにより、該ホームエージェントが、乱数を生成し、該ホームエージェントと当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを移動端末に伝送する段階と、ホームエージェントが、対応ノードのリストに基づく該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を該獲得した公開キーにより暗号化し、該暗号化された第1の情報を対応ノードにトンネリングされるデータにピギーバックし、該暗号化された第1の情報を有する前記データを、対応ノードに伝送する段階と、移動端末が、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックし、該第2の情報を有するバインディングアップデートメッセージを対応ノードに伝送することにより、対応ノードが、ホームエージェントから受信された前記第1の情報を自機の秘密キーにより復号化し、該復号化した情報を前記移動端末から受信された第2の情報と比較することで、当該移動端末のオーナーシップを認証する段階と、を含むCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法が提供される。
【0017】
本発明の他の側面によれば、CoA(Care of Address)をホームエージェントに登録するためにホームエージェントに伝送するバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバックして伝送する段階と、ホームエージェントから、該ホームエージェントと自機とで共有している秘密キーにより暗号化された乱数情報がバインディング確認メッセージにピギーバック(piggy−back)されているピギーバック情報を受信する段階と、CoAを対応ノードに登録するために対応ノードに伝送するバインディングアップデートメッセージに、CoAと乱数と秘密キーのハッシュ処理結果値をピギーバックして伝送することで、ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように要請する段階と、を含むCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法が提供される。
【0018】
本発明の他の側面によれば、移動端末から、CoA(Care of Address)を登録するためのバインディングアップデートメッセージ内にピギーバックされた、対応ノードのリストを受信する段階と、乱数を生成し、該乱数を、移動端末と自機とで共有している秘密キーにより暗号化し、バインディング確認メッセージにピギーバック(piggy−back)し、移動端末に伝送する段階と、移動端末がCoAを対応ノードに登録するためのバインディングアップデートメッセージにオーナーシップの認証に必要な情報をピギーバックして対応ノードに伝送することにより、対応ノードが移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な情報を、該公開キーにより暗号化し、対応ノードにトンネリングされるデータにピギーバックして伝送する段階と、を含む移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法が提供される。
【0019】
本発明の他の側面によれば、任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーをホームエージェントに伝送する段階と、移動端末のホームエージェントから、トンネリングされる移動端末のデータとともに自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末から、バインディングアップデートメッセージにピギーバックされて伝送された、ハッシュ関数処理された結果値を受信する段階と、移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含む移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法が提供される。
【0020】
本発明の他の側面によれば、移動端末と、該移動端末のホームエージェントと、前記移動端末との通信を実行できるように適合された少なくとも一の対応ノードと、を備えた通信システムであって、移動端末は、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージにCoAを登録する必要がある対応ノードのリストをピギーバックしてホームエージェントに伝送し、ホームエージェントは、乱数を生成してホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送し、ホームエージェントは、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバック(piggy−back)して伝送し、移動端末は、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックして対応ノードに伝送し、対応ノードは、ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化し、該復号化した第1の情報を、移動端末から受信された第2の情報と比較して、該当移動端末のオーナーシップを認証する通信システムが提供される。
【0021】
本発明の他の側面によれば、移動端末がCoA(Care of Address)を登録する必要のある対応ノードのリストをホームエージェントに伝送すると、該ホームエージェントが、乱数を生成し、該乱数を、ホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数を前記移動端末に伝送する段階と、ホームエージェントが、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を前記公開キーを用いて暗号化し、該暗号化された第1の情報を対応ノードに伝送する段階と、移動端末がCoAオーナーシップの認証に必要な第2の情報を前記対応ノードに伝送すると、対応ノードが、ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化して移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する段階と、を含むCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法が提供される。
【0022】
本発明の他の側面によれば、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送する段階と、ホームエージェントから、該ホームエージェントと自機とで共有される秘密キーにより暗号化された乱数情報を受信する段階と、対応ノードにCoAと乱数と秘密キーのハッシュ処理結果値を伝送し、ホームエージェントからハッシュ処理結果値を暗号化して受信した対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように、対応ノードに要請する段階と、を含むCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法が提供される。
【0023】
本発明の他の側面によれば、移動端末から、該移動端末がCoA(Care of Address)を登録する必要がある対応ノードのリストを受信する段階と、乱数を生成し、当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数を該移動端末に伝送する段階と、移動端末がCoAオーナーシップの認証に必要な情報を対応ノードに伝送すると、対応ノードが移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な情報を該公開キーにより暗号化し、該暗号化した情報を対応ノードに伝送する段階と、を含む移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法が提供される。
【0024】
本発明の他の側面によれば、任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーをホームエージェントに伝送する段階と、移動端末のホームエージェントから、自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末から、CoA(Care of Address)認証のためのハッシュ関数処理された結果値を受信する段階と、CoAを含むバインディングメッセージを受信すると、前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、移動端末から受信されたハッシュ関数処理の結果値と、を比較して、移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含む移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法が提供される。
【0025】
また、本発明の他の側面によれば、移動端末と、該移動端末のホームエージェントと、前記移動端末と通信を実行する対応ノードからなる通信システムであって、移動端末は、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送し、ホームエージェントは、乱数を生成し、該乱数を、ホームエージェントと移動端末とで共有している秘密キーにより暗号化して前記移動端末に伝送し、ホームエージェントは、対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化して対応ノードに伝送し、移動端末は、CoAオーナーシップ認証に必要な第2の情報を前記対応ノードに伝送し、対応ノードは、ホームエージェントから受信された第1の情報を、自機の秘密キーにより復号化して移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する通信システムが提供される。
【発明の効果】
【0026】
本発明によれば、一次的な過程で、移動端末がCoAを載せたバインドアップデートメッセージに対応ノード(CN)のリストをピギーバックしてホームエージェントに伝送し、ホームエージェントはバインド確認メッセージに乱数(RN)を移動端末とホームエージェントが共有している秘密キー(SS)により暗号化してピギーバックして移動端末に伝送する。
【0027】
次の過程で、ホームエージェントは、当該対応ノードのリストに基づいて該当する対応ノードら(CNs)から各々の公開キーを獲得してその公開キーにより移動端末から受けたCoA、移動端末に伝送した乱数(RN)、移動端末とホームエージェントが共有している秘密キー(SS)のハッシュ処理結果値を暗号化して伝送する。
【0028】
最後の過程で、移動端末は、対応ノードにCoAを含むバインドメッセージを伝送する際に、CoA、乱数(RN)、移動端末とホームエージェントが共有している秘密キー(SS)のハッシュ処理結果値をピギーバックして対応ノードに伝送すると、対応ノードは、ホームエージェントから自機の公開キーにより伝送されたハッシュ結果値と移動端末から伝送されたバインドアップデートメッセージにピギーバックされたハッシュ結果値とを比較して当該移動端末がCoAについての正当なオーナーシップを有していることが認証できるようになる。
【0029】
即ち、移動端末が対応ノードにバインドアップデートを要請する場合に、CoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値を対応ノードにピギーバックして伝送すると、対応ノードは、ホームエージェントから前もって受けたCoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値と比較して当該移動端末のオーナーシップを認証することにより、当該移動端末とホームエージェントだけが共有している秘密キー(SS)が分からない不法的なホストが該移動端末のホームアドレスが分かる状態で任意のCoAについて対応ノードにバインドアップデートを試みてもバインドアップデートにピギーバックされるハッシュ処理結果値を作ることができないので、不法的なホストにより正当なホストのアドレスが侵害されることが防止できる。
【0030】
これによって、モバイルIPv6ホストの移動性特性によって変更されるCoAのアドレスオーナーシップを証明することができるので、ネットワーク保安性が保証できる。
【0031】
また、アドレスオーナーシップ問題の解決のために使用されるメッセージがモバイルIPv6基本メッセージにピギーバックされるので、メッセージ伝送と処理についてのオーバーヘッド(overhead)を少なくすることがが可能となる。
【0032】
また、モバイルIPv6のホームエージェント(HA)がルータに基本機能として提供される際、保安チップを利用したハードウェア的な支援が可能である場合には、高速の処理速度を期待することができる。
【発明を実施するための最良の形態】
【0033】
以下、本発明の好ましい実施形態について、添付した図面を参照して詳細に説明する。
【0034】
図2は、本発明の一実施形態による通信システムの構成図である。
【0035】
図2に示したように、本発明の一実施形態による通信システムは、移動端末(MN;Mobile Node)10と、当該移動端末10のホームエージェント(HA;Home Agent)30と、移動端末10と通信を実行する少なくとも一つ以上の対応ノード(CN;Correspondent Node)40と、を含む。
【0036】
移動端末10は、複数の対応ノード(CNs)40の内の任意の一つとの通信中に任意の外部リンク20に移動する場合に、外部リンク20にRS(Router Solicitation)メッセージを伝送して、外部リンク20からのRA(Router Advertisement)メッセージを誘導する。移動端末10は、RAメッセージから外部リンク20のネットワークプレフィックス(network prefix)を獲得して、自動環境設定を通じて外部リンク20で使用するCoAを生成する。
【0037】
次に、移動端末10は、自機が外部リンク20に移動したことをホームエージェント30に知らせるために、自機が外部リンク20から得たCoAをバインドアップデートメッセージを通じてホームエージェント30に伝送する。このとき、移動端末10は、自機が外部リンク20に移動する前に互いに通信した対応ノード(CNs)40のリストを、バインドアップデートメッセージにピギーバック(piggy−back)してホームエージェント30に伝送する。
【0038】
これによって、移動端末10は、ホームエージェント30からバインディング確認メッセージを受信することになる。そのバインディング確認メッセージには、移動端末がCoAをバインディングするために使用する臨時的な秘密キーの役割をする乱数(RN;Random Number)が、移動端末10とホームエージェント30とで互いに共有している秘密キー(SS(HN))により暗号化されて、ピギーバックされている。
【0039】
したがって、移動端末10は、自機が有している秘密キー(SS(HN))を使用して、バインディング確認メッセージにピギーバックされた乱数(RN)を獲得する。
【0040】
次に、移動端末10は、CoAを自機が外部リンク20に移動する前に通信した対応ノード40にバインディングする前に伝送されるデータを、ホームエージェント30によりトンネリングする。
【0041】
これによって、ホームエージェント30は、移動端末10のデータを対応ノード40にトンネリングする。この過程において、ホームエージェント30は、対応ノード40にトンネリングする前に、移動端末10が対応ノード40にCoAをバインディングする際に対応ノード40が移動端末10のCoAオーナーシップを証明するために必要なデータを、トンネリングするデータパケットにピギーバックして伝送する。
【0042】
このとき、ホームエージェント30から対応ノード40にピギーバックされるデータは、ホームエージェント30が移動端末10から受信したCoAと、乱数(RN)と、ホームエージェント30と移動端末10が互いに共有している秘密キー(SS)のハッシュ関数による結果値と、を含んでいる。
【0043】
次に、移動端末10は、CoAをバインディングアップデートするために、対応ノード40に対してバインディングアップデートメッセージを伝送する。このとき、移動端末10は、バインディングアップデートメッセージに、CoAと、乱数(RN)と、秘密キー(SS)についての偏方向ハッシュ関数の結果値をピギーバックして対応ノード40に伝送(送信)する。
【0044】
この後、移動端末10は、自機が送信した対応ノード40から、伝送したハッシュ結果値が適当(すなわち正規)な値であるか否かについての認証を受け、かかる認証により移動端末10がCoAについてのオーナーシップを有していると証明されると、対応ノード40からバインディングアップデートの確認メッセージを受信する。
【0045】
一方、ホームエージェント30は、任意の移動端末10から、当該移動端末10が外部リンク20に移動することによって外部リンク20から割り当てられたCoAを知らせるバインディングメッセージを受信する場合には、そのバインディングメッセージ内から、ピギーバックされた対応ノードのリストを抽出する。
【0046】
そして、ホームエージェント30は、移動端末10から受信したバインディングメッセージに含まれているCoAを、当該移動端末のホームアドレスとともに保存(すなわち所定メモリに格納)し、当該移動端末10についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを、当該移動端末10に伝送する。
【0047】
このとき、ホームエージェント30は、当該移動端末10がCoAをバインディングするために使用する臨時的な秘密キーとしての役割をする乱数(RN)を、当該ホームエージェント30と当該移動端末10とが互いに共有する秘密キー(SS(HN))により暗号化(encryption)してバインディング確認メッセージ(binding acknowledgement)にピギーバックして伝送する。
【0048】
ここで、乱数(RN)を伝送する理由は、当該移動端末10のホームネットワークアドレス(home network address)とCoAを利用して当該移動端末10を仮装する悪意的なホストの侵入を防止するためである。
【0049】
また、乱数(RN)の安全な伝送のために、ホームエージェント30と移動端末10とが互いに共有する秘密キー(SS(HN))を使用して暗号化を実行する。本実施の形態で用いる暗号化キーと復号化キーのような秘密キー暗号化技法は、暗号化/復号過程において速度が速く、かつ計算が容易である。一方、移動端末の場合には、その制限された電力供給などの理由により、暗号化/復号化過程において多くの計算を実行させるのは得策ではない。
【0050】
その後、ホームエージェント30は、当該移動端末10が対応ノード40にCoAをバインディングする前に、該移動端末10から伝送されるデータを対応ノード40にトンネリングする。このとき、ホームエージェント30は、当該移動端末10のデータを対応ノード40にトンネリングする前に、該移動端末10がCoAをバインディングする際に対応ノード40が該移動端末10のCoAオーナーシップを証明するのに必要とされるデータを、トンネリングするデータパケットにピギーバックして伝送する。
【0051】
ホームエージェント30は、ピギーバックするデータを安全に伝送するために、当該移動端末10が外部リンク20に移動する前に該移動端末10が通信した対応ノード40の公開キー(PK;Public Key)を獲得するために、付加的なメッセージ交換を要求する。具体的には、ホームエージェント30は、移動端末10から受信されたバインドアップデートメッセージにピギーバックされた対応ノードのリストを参照し、該当する対応ノード40に対してその対応ノードの公開キー(PK)を要請して取得する。
【0052】
ホームエージェント30は、任意の対応ノードら(CNs)40から該当する対応ノードの公開キーを一回取得すれば、対応ノード40とのデータトンネリング機能以外のどのような秘密キーも、事前に共有する可能性はほとんど無い。この理由で、移動端末10が同一の対応ノード40にCoAを変更して登録する場合には、追加的な公開キー(PK)の獲得に必要なメッセージ交換のためのオーバーヘッド(overhead)は生じない。
【0053】
移動端末10から伝送された対応ノードのリストに基づいて各々の対応ノードら(CNs)40から該当する対応ノードの公開キーを獲得したホームエージェント30は、対応ノードに提供される移動端末のアドレスオーナーシップ証明に使用される情報を該当公開キーにより暗号化して、該暗号化した情報を該当する対応ノード40に伝送する。このとき、ホームエージェント30が対応ノード40に伝送する情報としては、当該移動端末10がバインディングするCoAと乱数(RN)、移動端末とホームエージェントが共有する秘密キー(SS)の値を偏方向ハッシュ関数(one−way hash function)に入力データとして使用して算出した結果値、を伝送する。このとき、ホームエージェント30は、任意の対応ノード40によって秘密キー(SS)と乱数(RN)のような情報の露出なしに証明することが可能な、ゼロ知識(Zero knowledge)技法を使用する。ホームエージェント30が対応ノード40に伝送するピギーバックされたメッセージは、対応ノード40の公開キー(PK)により暗号化されるので、その対応ノード40だけがこれを復号化できる。
【0054】
次に、対応ノード40は、任意の移動端末10からCoAについてのバインディングメッセージが受信された場合には、ホームエージェント30から伝送を受けた偏方向ハッシュ値を使用して、当該移動端末10にそのCoAについてのオーナーシップがあるか否かを判断する。
【0055】
一方、対応ノード40は、任意の移動端末10と通信を実行している最中にホームエージェント30から自機(該ノード)の公開キーを要請された場合には、自機の公開キー(PK)を該当のホームエージェント30に伝送する。
【0056】
次に、対応ノード40は、ホームエージェント30からトンネリングされる移動端末10のデータとともに自機の公開キー(PK)により暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有していた秘密キーを使用してその暗号化された値を復号化する。
【0057】
さらに、対応ノード40は、自機と通信を実行した移動端末10から、バインディングアップデートメッセージを受信する。このとき、対応ノード40は、そのバインディングアップデートメッセージにピギーバックされて伝送されたハッシュ関数処理された結果値を受信する。
【0058】
次に、対応ノード40は、ホームエージェント30から自機の公開キーにより暗号化されて受信された後に自機の秘密キーにより復号化されたハッシュ関数処理結果値と、移動端末10から受信されたハッシュ関数処理結果値と、を比較して、CoAを含むバインディングメッセージを伝送した移動端末10が該当CoAについての正当なオーナーシップを有しているか否かを判断する。
【0059】
該判断の結果、当該移動端末10が該当CoAについての正当なオーナーシップを有している場合には、 対応ノード40は、当該移動端末10にバインディング確認メッセージを伝送し、一方、該移動端末10は、トンネルを形成してそのトンネルを通じてデータを交換する。
【0060】
図3は、本発明の一実施形態によるアドレスオーナーシップの認証手続きを示す全体的なフローチャートである。
【0061】
図3に示したように、任意の対応ノード40と通信を実行した移動端末(MN)10が自機のホームネットワークから任意の外部リンク20に移動する場合に、当該移動端末10は、外部リンク20にRSメッセージを伝送する(ステップS11)。これに応答して、外部リンク20は、該移動端末10にRAメッセージを伝送する(ステップS12)。そして、移動端末10は、このRAメッセージから外部リンク20のネットワークプレフィックスを獲得し、自動環境設定を通じて外部リンク20で使用するCoAを生成する。
【0062】
次に、移動端末10は、自機が外部リンク20に移動したことを知らせるために、ホームエージェント30にバインディングアップデートメッセージを伝送する。このとき、移動端末10は、自機が外部リンク20に移動する前に互いに通信した対応ノードら(CNs)40のリストを、バインドアップデートメッセージにピギーバックしてホームエージェント30に伝送する(ステップS13)。
【0063】
ホームエージェント30は、移動端末10から、該移動端末(10)が外部リンク20に移動することによって外部リンク20から割り当てられたCoAを知らせるバインディングメッセージを受信すると、バインディングメッセージにピギーバックされた対応ノードのリストを抽出する。
【0064】
次に、ホームエージェント30は、移動端末10から受信したバインディングメッセージに含まれているCoAを当該移動端末のホームアドレスとともに保存し、該移動端末10についてのCoAのバインディングが正常に行われたことを知らせるバインディング確認メッセージを当該移動端末10に伝送する。
【0065】
ここで、ホームエージェント30は、当該移動端末10がCoAをバインディングするために使用される臨時的な秘密キーの役割をする乱数(RN)を、該ホームエージェント30と該移動端末10とが互いに共有する秘密キー(SS(HN))により暗号化し、該暗号化後の乱数を、バインディング確認メッセージにピギーバックして伝送する(ステップS14)。
【0066】
ホームエージェント30は、当該移動端末10から受信されたバインドアップデートメッセージにピギーバックされた対応ノードリストを参照して、該当対応ノード40にその対応ノードの公開キー(PK)を要請(要求)して、該公開キーを取得する(ステップS15)。
【0067】
次に、ホームエージェント30は、当該移動端末10が対応ノード40にCoAをバインディングする前に、該移動端末10から伝送されるデータを対応ノード40にトンネリングする。
【0068】
ここで、ホームエージェント30は、当該移動端末10のデータを対応ノード40にトンネリングする前に、該移動端末10がCoAをバインディングする際に対応ノード40が当該移動端末10のCoAオーナーシップを証明するために必要なデータを、該移動端末10が伝送した対応ノードのリストに基づく各々の対応ノードら(CNs)40から獲得した該当公開キーにより暗号化し、該暗号化したデータを、トンネリングするデータパケットにピギーバックし、当該ピギーバックされたデータを該当する対応ノード40に伝送し(ステップS16)、そしてその後に、対応ノード(CN)40から伝送されるデータを当該移動端末(MN)10にトンネリングする(ステップS17)。
【0069】
このとき、ホームエージェント30が対応ノード40に伝送する情報は、当該移動端末10がバインディングするCoAと乱数(RN)、移動端末とホームエージェントが共有する秘密キー(SS)の値を含んでいる。ホームエージェント30は、これらの値を偏方向ハッシュ関数に入力データとして使用して計算し、該計算結果値を、対応ノード40に伝送する。
【0070】
対応ノード40は、トンネリングされる当該移動端末10のデータとともに自機のPKにより暗号化されて伝送されるハッシュ関数による処理結果値をホームエージェント30から受信すると、自機が有する(該対応ノード自身の)秘密キーを使用して、当該受信した暗号化された処理結果値を復号化する。
【0071】
その後、当該移動端末10は、対応ノード40にCoAをバインディングアップデートするために、バインディングアップデートメッセージを伝送する。ここで、移動端末10は、バインディングアップデートメッセージに、CoAと、乱数(RN)と、秘密キー(SS)についての偏方向ハッシュ関数の結果値とをピギーバックして対応ノード40に伝送する(ステップS18)。
【0072】
これにより、対応ノード40は、当該移動端末10からバインディングアップデートメッセージを受信し、また、当該バインディングアップデートメッセージにピギーバックされている、ハッシュ関数処理された結果値を受信する。
【0073】
そして、対応ノード40は、ホームエージェント30から自機の公開キーにより暗号化されて受信された後に自機の秘密キーにより復号化したハッシュ関数処理結果値と、移動端末10から受信されたバインディングメッセージにピギーバックされたハッシュ関数処理結果値と、を比較する。対応ノード40は、かかる比較の処理において、二つの結果値が一致するか否かによって、CoAを含むバインディングメッセージを伝送した移動端末10が該当CoAについての正当なオーナーシップを有しているか否か、を判断する。
【0074】
該判断の結果、その移動端末10が該当CoAについての正当なオーナーシップを有している場合には、対応ノード40は、該移動端末10にバインディング確認メッセージを伝送する(ステップS19)。
【0075】
したがって、対応ノード40から伝送されるバインディング確認メッセージを通じて自機が対応ノード40に伝送したバインディングメッセージに載せたCoAについてのオーナーシップが認定された移動端末10は、対応ノード40とトンネルを形成し、そのトンネルを通じてデータの送受信を遂行する(ステップS20)。
【0076】
以上の実施形態では、移動端末10がホームエージェント30に伝送する対応ノードのリスト情報と、ホームエージェント30が移動端末10に伝送する乱数(RN)を秘密キーにより暗号化した情報と、ホームエージェント30が対応ノード40に伝送するCoA、乱数(RN)、秘密キー(SS)を公開キーにより暗号化した情報と、移動端末10が対応ノード40に伝送するCoA、乱数(RN)、秘密キー(SS)のハッシュ処理結果値は、当該移動端末10とホームエージェント30と対応ノード40との間で交換されるメッセージにピギーバックして伝送(送信)或いは受信している。
【0077】
この場合に、ピギーバックは、IPv6のオプションヘッダーである認証ヘッダー(AH:Authentication Header)の使用により、必要なデータを伝送する。
【0078】
図4は、本発明の一実施形態による認証ヘッダーのフォーマット図である。図4に示すように、本実施形態では、認証データ(Authentication Data )フィールドと残り5つのフィールドを含んで認証ヘッダーを構成する。そして、認証データ(Authentication Data)フィールドには、移動端末10がホームエージェント30に伝送する対応ノードのリスト情報と、ホームエージェント30が移動端末10に伝送する乱数(RN)を秘密キーにより暗号化した情報と、ホームエージェント30が対応ノード40に伝送するCoA,乱数(RN),秘密キー(SS)を公開キーにより暗号化した情報と、移動端末10が対応ノード40に伝送するCoA,乱数(RN),秘密キー(SS)のハッシュ処理結果値と、を設定して、移動端末10とホームエージェント30と対応ノード40との間でデータを交換することができる。
【0079】
但し、本発明は、移動端末10とホームエージェント30と対応ノード40との間で交換するメッセージにピギーバックして送受信することに限定されない。即ち、移動端末10とホームエージェント30と対応ノード40との間の標準により送受信するメッセージにかかわらず、個別のメッセージ形態で各々の情報を伝送することもできる。
【0080】
したがって、本発明は、上述のような実施形態以外にも多様な形態にて実施することができる。
【0081】
例えば、本発明の他の実施形態によるCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法は、移動端末10がCoAを登録する必要のある対応ノードら(CNs)のリストをホームエージェント30に伝送すると、ホームエージェント30が、乱数(RN)を生成し、該乱数を、ホームエージェント30と移動端末10との間で共有している秘密キー(SS)により暗号化し、該暗号化された乱数を前記移動端末10に伝送する段階と、ホームエージェント30が、対応ノード40のリストに基づいて該当する対応ノードら(CNs)の公開キーを獲得し、前記移動端末10の認証に必要な第1の情報をその公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノード40に伝送する段階と、移動端末10がCoAオーナーシップの認証に必要な第2の情報をピギーバックして対応ノード40に伝送すると、対応ノード40が、ホームエージェント30から受信された第1の情報を自機の秘密キーにより復号化して移動端末10から受信された第2の情報と比較することで、該当移動端末10のオーナーシップを認証する段階と、を含むこともできる。
【0082】
ここで、第1の情報及び第2の情報は、ゼロ知識技法を利用して移動端末10のオーナーシップを証明するためにハッシュ関数処理した結果値であり、そのハッシュ関数処理した結果値は、CoAと乱数(RN)と秘密キー(SS)とをハッシュ処理した結果値である。
【0083】
また、本発明の他の実施形態によるCoAバインディングプロトコルを利用した移動端末10のアドレスオーナーシップ認証方法は、CoA(Care of Address)を登録する必要がある対応ノード40のリストをホームエージェント30に伝送する段階と、ホームエージェント30から、該ホームエージェント30と自機とで共有される秘密キー(SS)により暗号化された乱数(RN)情報を受信する段階と、対応ノード40にCoAと乱数(RN)と秘密キー(SS)のハッシュ処理結果値を伝送し、ホームエージェント30からハッシュ処理結果値を暗号化して受信した該対応ノード40がゼロ知識技法により該当移動端末10のアドレスオーナーシップについての認証手続きを実行するように、対応ノード40に要請する段階と、を含むこと、を含むことができる。
【0084】
また、本発明の他の実施形態による移動端末のアドレスオーナーシップの認証のためのホームエージェント30のデータ処理方法は、移動端末10から、該移動端末10がCoAを登録する必要がある対応ノードら(CNs)のリストを受信する段階と、乱数(RN)を生成し、移動端末10との間で共有している秘密キー(SS)により当該乱数を暗号化し、該暗号化された乱数を該移動端末10に伝送する段階と、移動端末10がCoAオーナーシップの認証に必要な情報を対応ノード40に伝送すると、対応ノード40が移動端末10から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、対応ノードのリストに基づいて該当対応ノードの公開キー(PK)を獲得し、移動端末10の認証に必要な情報をその公開キー(PK)により暗号化し、該暗号化した情報を対応ノード40に伝送する段階と、を含むこともできる。
【0085】
また、本発明の他の実施形態による移動端末のアドレスオーナーシップの認証のための対応ノード40のデータ処理方法は、任意の移動端末10との通信の実行中に、その移動端末10のホームエージェント30から自機の公開キー(PK)を要求された場合に、自機の公開キー(PK)を前記ホームエージェント30に伝送する段階と、移動端末10のホームエージェント30から、トンネリングされる移動端末10のデータとともに自機の公開キー(PK)により暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キー(SS)を使用して当該暗号化された値を復号化する段階と、自機と通信を実行した移動端末10から、バインディングアップデートメッセージにピギーバックされて伝送された、CoA認証のためのハッシュ関数処理された結果値を受信する段階と、移動端末10のホームエージェント30から受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キー(SS)を用いて復号化し、該復号化されたハッシュ関数処理の結果値と、移動端末10から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末10の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むことができる。
【0086】
また、本発明の他の実施形態による通信システムは、移動端末10と、該移動端末10のホームエージェント30と、移動端末10と通信を実行する対応ノード40からなる通信システムであって、移動端末10は、CoAを登録する必要がある対応ノードら(CNs)のリストをホームエージェント30に伝送し、ホームエージェント30は、乱数(RN)を生成してホームエージェント30と移動端末10とで共有している秘密キー(SS)により暗号化して移動端末10に伝送し、ホームエージェント30は、対応ノードのリストに基づいて該当対応ノードの公開キー(PK)を獲得して移動端末10の認証に必要な第1の情報をその公開キー(PK)により暗号化して対応ノード(CNs)に伝送し、移動端末10は、CoAオーナーシップ認証に必要な第2の情報を対応ノード(CNs)に伝送し、対応ノード40は、ホームエージェント30から受信された第1の情報を、自機の秘密キー(SS)により復号化して移動端末10から受信された第2の情報と比較することで該当移動端末10のオーナーシップを認証することもできる。
【0087】
ここで、第1の情報及び第2の情報は、ゼロ知識技法を利用して移動端末のオーナーシップを証明するためにハッシュ関数処理した結果値であり、そのハッシュ関数処理した結果値は、CoAと乱数と秘密キーをハッシュ処理した結果値である。
【図面の簡単な説明】
【0088】
【図1】従来技術による移動端末が外部リンクに移動してCoAをバインディングして通信を実行する手続きを示す全体的なフローチャートである。
【図2】本発明の一実施形態による通信システムの構成図である。
【図3】本発明の一実施形態によるアドレスオーナーシップの認証手続きを示す全体的なフローチャートである。
【図4】本発明の一実施形態による認証ヘッダーのフォーマット図である。
【符号の説明】
【0089】
10 移動端末(MN;Mobile Node)
20 外部リンク(FL;foreign Link)
30 ホームエージェント(HA;Home Agent)
40 対応ノード(CN;Correspondent Node)
【特許請求の範囲】
【請求項1】
移動端末が、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバック(piggy−back)し、該対応ノードリストを有するバインディングアップデートメッセージをホームエージェントに伝送することにより、該ホームエージェントが、乱数を生成し、該ホームエージェントと当該移動端末とで互いに共有している秘密キーを用いて当該乱数を暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送する段階と、
前記ホームエージェントが、前記対応ノードのリストに基づく該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を当該公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバックし、該暗号化された第1の情報を有する前記データを、対応ノードに伝送する段階と、
前記移動端末が、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックし、該第2の情報を有するバインディングアップデートメッセージを前記対応ノードに伝送することにより、前記対応ノードが、前記ホームエージェントから受信された前記第1の情報を自機の秘密キーを用いて復号化し、該復号化した情報を前記移動端末から受信された第2の情報と比較することで、当該移動端末のオーナーシップを認証する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項2】
前記第1の情報及び第2の情報は、ゼロ知識(Zero knowledge)技法を用いて、前記移動端末のオーナーシップを証明するためにハッシュ関数により処理された結果値を含むこと
を特徴とする請求項1に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法 。
【請求項3】
前記ハッシュ関数により処理された結果値は、前記CoAと前記乱数と前記秘密キーとをハッシュ関数処理した結果値であること
を特徴とする請求項2に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項4】
前記ホームエージェントが任意の移動端末から受信した前記対応ノードのリストに、既に公開キー情報を保存している対応ノードがある場合には、該ホームエージェントは該当対応ノードについては既保存された公開キー情報を使用する段階をさらに含むこと
を特徴とする請求項1に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項5】
CoA(Care of Address)をホームエージェントに登録するためにホームエージェントに伝送するバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバックして伝送する段階と、
前記ホームエージェントから、該ホームエージェントと自機とで共有している秘密キーにより暗号化された乱数情報がバインディング確認メッセージにピギーバック(piggy−back)されているピギーバック情報を受信する段階と、
CoAを対応ノードに登録するために対応ノードに伝送するバインディングアップデートメッセージに、前記CoAと前記乱数と前記秘密キーのハッシュ処理結果値をピギーバックして伝送することで、前記ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように要請する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法。
【請求項6】
移動端末から、CoA(Care of Address)を登録するためのバインディングアップデートメッセージ内にピギーバックされた、対応ノードのリストを受信する段階と、
乱数を生成し、該乱数を、前記移動端末と自機とで共有している秘密キーにより暗号化し、バインディング確認メッセージにピギーバック(piggy−back)し、前記移動端末に伝送する段階と、
前記移動端末がCoAを対応ノードに登録するためのバインディングアップデートメッセージにオーナーシップの認証に必要な情報をピギーバックして前記対応ノードに伝送することにより、前記対応ノードが前記移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な情報を、該公開キーにより暗号化し、前記対応ノードにトンネリングされるデータにピギーバックして伝送する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法。
【請求項7】
任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーを前記ホームエージェントに伝送する段階と、
前記移動端末のホームエージェントから、トンネリングされる移動端末のデータとともに自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、
自機と通信を実行した移動端末から、バインディングアップデートメッセージにピギーバックされて伝送された、ハッシュ関数処理された結果値を受信する段階と、
前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むこと
を特徴とする 移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法。
【請求項8】
移動端末がCoA(Care of Address)を登録する必要のある対応ノードのリストをホームエージェントに伝送すると、該ホームエージェントが、乱数を生成し、該乱数を、ホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数を前記移動端末に伝送する段階と、
前記ホームエージェントが、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を前記公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノードに伝送する段階と、
前記移動端末がCoAオーナーシップの認証に必要な第2の情報を前記対応ノードに伝送すると、前記対応ノードが、前記ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化して前記移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項9】
前記第1の情報及び第2の情報は、ゼロ知識技法を利用して前記移動端末のオーナーシップを証明するためにハッシュ関数処理した結果値であること
を特徴とする請求項8に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項10】
前記ハッシュ関数処理した結果値は、前記CoAと前記乱数と前記秘密キーとをハッシュ処理した結果値であること
を特徴とする請求項9に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項11】
CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送する段階と、
前記ホームエージェントから、該ホームエージェントと自機とで共有される秘密キーにより暗号化された乱数情報を受信する段階と、
前記対応ノードに前記CoAと前記乱数と前記秘密キーのハッシュ処理結果値を伝送し、前記ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように、前記対応ノードに要請する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法。
【請求項12】
移動端末から、該移動端末がCoA(Care of Address)を登録する必要がある対応ノードのリストを受信する段階と、
乱数を生成し、当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数を該移動端末に伝送する段階と、
前記移動端末がCoAオーナーシップの認証に必要な情報を前記対応ノードに伝送すると、前記対応ノードが前記移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な情報を該公開キーにより暗号化し、該暗号化した情報を前記対応ノードに伝送する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法。
【請求項13】
任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーを前記ホームエージェントに伝送する段階と、
前記移動端末のホームエージェントから、自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、
自機と通信を実行した移動端末から、CoA(Care of Address)認証のためのハッシュ関数処理された結果値を受信する段階と、
CoAを含むバインディングメッセージを受信すると、前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較して、移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法。
【請求項14】
移動端末と、該移動端末のホームエージェントと、前記移動端末との通信を実行できるように適合された少なくとも一の対応ノードと、を備えた通信システムであって、
前記移動端末は、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに前記CoAを登録する必要がある対応ノードのリストをピギーバックしてホームエージェントに伝送し、前記ホームエージェントは、乱数を生成してホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送し、
前記ホームエージェントは、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバック(piggy−back)して伝送し、
前記移動端末は、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックして前記対応ノードに伝送し、前記対応ノードは、前記ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化し、該復号化した第1の情報を、前記移動端末から受信された第2の情報と比較して、該当移動端末のオーナーシップを認証すること
を特徴とする通信システム。
【請求項15】
移動端末と、該移動端末のホームエージェントと、前記移動端末と通信を実行する対応ノードからなる通信システムであって、
前記移動端末は、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送し、前記ホームエージェントは、乱数を生成し、該乱数を、ホームエージェントと移動端末とで共有している秘密キーにより暗号化して前記移動端末に伝送し、
前記ホームエージェントは、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化して前記対応ノードに伝送し、
前記移動端末は、CoAオーナーシップ認証に必要な第2の情報を前記対応ノードに伝送し、前記対応ノードは、前記ホームエージェントから受信された第1の情報を、自機の秘密キーにより復号化して前記移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証すること
を特徴とする通信システム。
【請求項1】
移動端末が、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバック(piggy−back)し、該対応ノードリストを有するバインディングアップデートメッセージをホームエージェントに伝送することにより、該ホームエージェントが、乱数を生成し、該ホームエージェントと当該移動端末とで互いに共有している秘密キーを用いて当該乱数を暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送する段階と、
前記ホームエージェントが、前記対応ノードのリストに基づく該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を当該公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバックし、該暗号化された第1の情報を有する前記データを、対応ノードに伝送する段階と、
前記移動端末が、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックし、該第2の情報を有するバインディングアップデートメッセージを前記対応ノードに伝送することにより、前記対応ノードが、前記ホームエージェントから受信された前記第1の情報を自機の秘密キーを用いて復号化し、該復号化した情報を前記移動端末から受信された第2の情報と比較することで、当該移動端末のオーナーシップを認証する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項2】
前記第1の情報及び第2の情報は、ゼロ知識(Zero knowledge)技法を用いて、前記移動端末のオーナーシップを証明するためにハッシュ関数により処理された結果値を含むこと
を特徴とする請求項1に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法 。
【請求項3】
前記ハッシュ関数により処理された結果値は、前記CoAと前記乱数と前記秘密キーとをハッシュ関数処理した結果値であること
を特徴とする請求項2に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項4】
前記ホームエージェントが任意の移動端末から受信した前記対応ノードのリストに、既に公開キー情報を保存している対応ノードがある場合には、該ホームエージェントは該当対応ノードについては既保存された公開キー情報を使用する段階をさらに含むこと
を特徴とする請求項1に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項5】
CoA(Care of Address)をホームエージェントに登録するためにホームエージェントに伝送するバインディングアップデートメッセージに、CoAを登録する必要がある対応ノードのリストをピギーバックして伝送する段階と、
前記ホームエージェントから、該ホームエージェントと自機とで共有している秘密キーにより暗号化された乱数情報がバインディング確認メッセージにピギーバック(piggy−back)されているピギーバック情報を受信する段階と、
CoAを対応ノードに登録するために対応ノードに伝送するバインディングアップデートメッセージに、前記CoAと前記乱数と前記秘密キーのハッシュ処理結果値をピギーバックして伝送することで、前記ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように要請する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法。
【請求項6】
移動端末から、CoA(Care of Address)を登録するためのバインディングアップデートメッセージ内にピギーバックされた、対応ノードのリストを受信する段階と、
乱数を生成し、該乱数を、前記移動端末と自機とで共有している秘密キーにより暗号化し、バインディング確認メッセージにピギーバック(piggy−back)し、前記移動端末に伝送する段階と、
前記移動端末がCoAを対応ノードに登録するためのバインディングアップデートメッセージにオーナーシップの認証に必要な情報をピギーバックして前記対応ノードに伝送することにより、前記対応ノードが前記移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な情報を、該公開キーにより暗号化し、前記対応ノードにトンネリングされるデータにピギーバックして伝送する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法。
【請求項7】
任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーを前記ホームエージェントに伝送する段階と、
前記移動端末のホームエージェントから、トンネリングされる移動端末のデータとともに自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、
自機と通信を実行した移動端末から、バインディングアップデートメッセージにピギーバックされて伝送された、ハッシュ関数処理された結果値を受信する段階と、
前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較することで、CoA(Care of Address)を含むバインディングメッセージを伝送した移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むこと
を特徴とする 移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法。
【請求項8】
移動端末がCoA(Care of Address)を登録する必要のある対応ノードのリストをホームエージェントに伝送すると、該ホームエージェントが、乱数を生成し、該乱数を、ホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数を前記移動端末に伝送する段階と、
前記ホームエージェントが、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を前記公開キーを用いて暗号化し、該暗号化された第1の情報を前記対応ノードに伝送する段階と、
前記移動端末がCoAオーナーシップの認証に必要な第2の情報を前記対応ノードに伝送すると、前記対応ノードが、前記ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化して前記移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項9】
前記第1の情報及び第2の情報は、ゼロ知識技法を利用して前記移動端末のオーナーシップを証明するためにハッシュ関数処理した結果値であること
を特徴とする請求項8に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項10】
前記ハッシュ関数処理した結果値は、前記CoAと前記乱数と前記秘密キーとをハッシュ処理した結果値であること
を特徴とする請求項9に記載のCoAバインディングプロトコルを利用したアドレスオーナーシップ認証方法。
【請求項11】
CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送する段階と、
前記ホームエージェントから、該ホームエージェントと自機とで共有される秘密キーにより暗号化された乱数情報を受信する段階と、
前記対応ノードに前記CoAと前記乱数と前記秘密キーのハッシュ処理結果値を伝送し、前記ホームエージェントから前記ハッシュ処理結果値を暗号化して受信した前記対応ノードがゼロ知識技法により該当移動端末のアドレスオーナーシップについての認証手続きを実行するように、前記対応ノードに要請する段階と、を含むこと
を特徴とするCoAバインディングプロトコルを利用した移動端末のアドレスオーナーシップ認証方法。
【請求項12】
移動端末から、該移動端末がCoA(Care of Address)を登録する必要がある対応ノードのリストを受信する段階と、
乱数を生成し、当該移動端末との間で共有している秘密キーにより当該乱数を暗号化し、該暗号化された乱数を該移動端末に伝送する段階と、
前記移動端末がCoAオーナーシップの認証に必要な情報を前記対応ノードに伝送すると、前記対応ノードが前記移動端末から受信された情報と比較して該当移動端末のオーナーシップを認証することができるように、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な情報を該公開キーにより暗号化し、該暗号化した情報を前記対応ノードに伝送する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のためのホームエージェントのデータ処理方法。
【請求項13】
任意の移動端末との通信の実行中に、該当移動端末のホームエージェントから自機の公開キーを要求された場合に、自機の公開キーを前記ホームエージェントに伝送する段階と、
前記移動端末のホームエージェントから、自機の公開キーにより暗号化されて伝送されるハッシュ関数処理の結果値を受信すると、自機が有する秘密キーを使用して当該暗号化された値を復号化する段階と、
自機と通信を実行した移動端末から、CoA(Care of Address)認証のためのハッシュ関数処理された結果値を受信する段階と、
CoAを含むバインディングメッセージを受信すると、前記移動端末のホームエージェントから受信された前記暗号化されたハッシュ関数処理の結果値を、自機の秘密キーを用いて復号化し、該復号化されたハッシュ関数処理の結果値と、前記移動端末から受信されたハッシュ関数処理の結果値と、を比較して、移動端末の該当CoAについてのオーナーシップを認証する手続きを実行する段階と、を含むこと
を特徴とする移動端末のアドレスオーナーシップ認証のための対応ノードのデータ処理方法。
【請求項14】
移動端末と、該移動端末のホームエージェントと、前記移動端末との通信を実行できるように適合された少なくとも一の対応ノードと、を備えた通信システムであって、
前記移動端末は、CoA(Care of Address)をホームエージェントに登録するためのバインディングアップデートメッセージに前記CoAを登録する必要がある対応ノードのリストをピギーバックしてホームエージェントに伝送し、前記ホームエージェントは、乱数を生成してホームエージェントと移動端末との間で共有している秘密キーにより暗号化し、該暗号化された乱数をバインディング確認メッセージにピギーバックし、該暗号化された乱数を有するバインディング確認メッセージを前記移動端末に伝送し、
前記ホームエージェントは、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化し、該暗号化された第1の情報を前記対応ノードにトンネリングされるデータにピギーバック(piggy−back)して伝送し、
前記移動端末は、CoAを対応ノードに登録するためのバインディングアップデートメッセージに、オーナーシップの認証に必要な第2の情報をピギーバックして前記対応ノードに伝送し、前記対応ノードは、前記ホームエージェントから受信された第1の情報を自機の秘密キーにより復号化し、該復号化した第1の情報を、前記移動端末から受信された第2の情報と比較して、該当移動端末のオーナーシップを認証すること
を特徴とする通信システム。
【請求項15】
移動端末と、該移動端末のホームエージェントと、前記移動端末と通信を実行する対応ノードからなる通信システムであって、
前記移動端末は、CoA(Care of Address)を登録する必要がある対応ノードのリストをホームエージェントに伝送し、前記ホームエージェントは、乱数を生成し、該乱数を、ホームエージェントと移動端末とで共有している秘密キーにより暗号化して前記移動端末に伝送し、
前記ホームエージェントは、前記対応ノードのリストに基づいて該当対応ノードの公開キーを獲得し、前記移動端末の認証に必要な第1の情報を、前記公開キーにより暗号化して前記対応ノードに伝送し、
前記移動端末は、CoAオーナーシップ認証に必要な第2の情報を前記対応ノードに伝送し、前記対応ノードは、前記ホームエージェントから受信された第1の情報を、自機の秘密キーにより復号化して前記移動端末から受信された第2の情報と比較することで、該当移動端末のオーナーシップを認証すること
を特徴とする通信システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−121662(P2006−121662A)
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願番号】特願2005−256363(P2005−256363)
【出願日】平成17年9月5日(2005.9.5)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si Gyeonggi−do,Republic of Korea
【Fターム(参考)】
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願日】平成17年9月5日(2005.9.5)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】Samsung Electronics Co.,Ltd.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si Gyeonggi−do,Republic of Korea
【Fターム(参考)】
[ Back to top ]