IPアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
【解決手段】いくつかの例示的な実施例では、IP層ベースのネットワーク選択及びマルチホーミング方法が提供される。これは、クライアントノードによる使用のために1つ又は複数のサービスネットワークの柔軟で安全な動的選択を可能にする。本方法は、いかなるリンク層技術にも依存しない。サービスネットワークは、ISPネットワーク、NAPネットワーク交換設備、VLAN等でありうる。ネットワーク情報が、クライアントノードに広告される。クライアントノードが、アクセスルータの使用のために認証され、認可される。また安全なトンネルが、クライアントノードとアクセスルータとの間で確立される。この方法は、標準的なプロトコルの使用により実施することができ、修正なしで、IPデータグラムを伝送可能なあらゆる既存のリンク層技術、又は将来のリンク層技術を用いて動作可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、ネットワーク通信に関し、好適な実施例は、更に、利用可能な多くの異なるプロバイダからの、単一のクライアント位置における通信ネットワークサービスプロバイダ選択に関する。いくつかの好適な実施例に従うと、本発明は、アクセスネットワーク上のクライアントノードにおける、ユーザによる、インターネットサービスプロバイダ(ISP)選択とマルチホーミングとに関する。
【背景技術】
【0002】
マルチホーミングは、同時にあるいは動的に2つ以上のISPによってインターネットに接続する技術である。マルチホーミングは、ISPに欠陥がある場合に公共のインターネットへの実質的なバックアップ接続を準備すること、地方の及びローカルの改良された接続を準備すること、増大した帯域幅を準備すること、性能を改良することができる負荷共有の利用を準備することを含む多くの利点を持つ。現在、単一のユーザ位置において、複数のISPが利用可能な多くの状況がある。例えば、ホームユーザは、ダイアルアップ接続によって1つのISPを選択し、ケーブルあるいはDSL(デジタル加入者回線)モデム接続によって別のISPを選択することができる。
【0003】
IPカプセル化のためにPPPoE(イーサネット(登録商標)によるポイントトゥポイントプロトコル)を用いるDSLプロバイダは、加入者が、初期サインアップの間に静的に、あるいは、PPP認証フェーズの間に加入者によって準備されるNAI(ネットワークアクセス識別子)を用いて、又は発見処理段階においてISP情報を伝送することによって動的に、接続している多くのISPの中から1つを選択することを可能にする。
【0004】
IEEE 802 LAN(ローカルエリアネットワーク)では、VLAN(仮想LAN)が、LANを多くの小さなLANへ分割するために使用される。VLANは、たとえ実際には、異なるLANのセグメントに物理的に配置されていても、それらがあたかも同じワイヤに接続されているかのように振舞うコンピュータネットワークである。VLANは、ハードウェアではなくソフトウェアによって構成することができる。これは、VLANの柔軟性を究極的に高める。クライアントノードが、ワイヤによるイーサネット接続を通じてVLANに接続される場合、クライアントノードのイーサネットポートと、VLANとの間のマッピングは、ほとんどの場合静的に形成される。公共の無線LAN環境では、アクセスポイントによって広告されたIEEE 802.11 SSID(サービスセットID)が、サービスプロバイダ情報を含むことができる。SSIDは、さらに、SSIDとVLANの間の静的なマッピングの作成により動的にVLANを選択するために使用される。その結果、特定のSSIDの指定により、アクセスポイントに関係している局が、そのSSIDにマップされた特定のVLANに接続される。
【0005】
ISPまたはVLANを選択する現在の方法は、特定のリンク層技術(つまりPPPおよびIEEE 802.11)に緊密に結び付けられており、すべてのリンク層技術にわたって適用するのが難しい。そのため、アクセスネットワークが異種混合か、又はクライアントノードへのVLAN割り当てにおいてより柔軟性が必要な環境では、どのリンク層技術にも依存しないIP(インターネットプロトコル)層ソリューションを持つことが望ましいだろう。
【0006】
単純なIP層ソリューションとして、アクセスルータがそれぞれ特定のISPあるいはVLANに接続されるアクセスネットワークにマルチアクセスルータを置くことが可能である。これによって、データパケットを送受信するために、アクセスネットワーク上のクライアントノードが特定のアクセスルータを選択することができる。しかしながら、この単純なソリューションは2つの問題を持っている。第1に、特にアクセスネットワークがマルチアクセス技術を使用する場合、複数のISPあるいはVLANの間のアクセスネットワークにおいて情報漏洩が生じるかもしれない。第2に、入口フィルタリングがアクセスルータにおいて行なわれる場合、1つの物理的なインタフェースを備えたクライアントノードが、2つ以上のISPあるいはVLANへの同時接続が許される場合には、単純なソリューションを実現するのは困難である。入口フィルタリングは、あたかもそれらが、アクセスルータが付いているアクセスネットワークとは異なるネットワーク内で生成されたかのように、攻撃者が、偽造されたソースIPアドレスをパケットに入れるのを防ぐための技術である。入口フィルタリングが使用されるアクセスネットワークでは、アクセスネットワーク内で生成されたパケットは、パケットが受信されたネットワークインタフェースにルータによって割り当てられたネットワークプレフィックスを備えたソースアドレスを持っている場合に限り、アクセスルータを通じて渡すことができる。しかしながら、ほとんどのホスト実装は、異なるISPあるいはVLANへの同時接続が可能となる場合となるであろうが、異なるネットワークプレフィックスを備えた複数のルータブルなIPアドレスが、与えられたインタフェースに割り当てられる場合に適切なソースアドレスを選択するいかなる方法をも提供しない。
【0007】
従って、特に、あらゆる情報漏洩の発生を阻止し、IPアドレススプーフィング攻撃に対し防御するソリューションに対するニーズが当該技術分野において存在する。
【発明の開示】
【0008】
本発明の好適な実施例は、既存の方法及び/又は装置を、顕著に改良することができる。いくつかの実施例では、本発明は、前述の方法に関する本質的な改良を提供する。
【0009】
発明の1つの局面によれば、マルチホーミング及びネットワーク選択のための新しいIP層ベースのモデルが提供される。これは、使用する1つ又は複数のサービスネットワークの柔軟で安全な動的選択を可能とする。またここでは、サービスネットワークは、ISPネットワーク、NAP(ネットワークアクセスポイント)ネットワーク交換設備、VLAN等である。1つの好適な実施例によるIP層ベースのモデルは、3つのフェーズから成る。第1フェーズでは、ネットワーク情報がクライアントノードに広告される。第2フェーズでは、クライアントノードが、アクセスルータの使用のために認証され認可される。第3フェーズでは、安全なトンネルが、クライアントノードとアクセスルータとの間に確立される。この発明的なモデルは、変更せずに標準的なプロトコルを用いて実施することができ、IPデータグラムを伝送可能なあらゆる既存の又は将来のリンク層技術にわたって動作することができる。
【0010】
特に、1つの好適な実施例によれば、本発明は、クライアントノードをサービスネットワークに動的に接続する方法を提供する。この方法は、クライアントノードがネットワーク接続を持つアクセスネットワークを準備することと、アクセスネットワークに対するネットワーク接続を持ち、少なくとも1つのサービスネットワークに対するネットワーク接続を持つ少なくとも1つのアクセスルータを準備することと、クライアントノードからの要求メッセージに応じて、サービスネットワークプロバイダ広告情報をクライアントノードに送信することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワークプロバイダ情報を、クライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
【0011】
第2の局面によれば、本発明は、複数のインターネットサービスプロバイダにクライアントノードを接続する方法を提供する。この方法は、クライアントノードが、複数のインターネットサービスプロバイダと通信しうるアクセスネットワークを準備することと、複数のインターネットサービスプロバイダの各々について、アクセスネットワーク内に、個別の安全な通信トンネルを確立し、アクセスネットワークを経由して、個別の安全な通信トンネル内で、インターネットサービスプロバイダの各々と、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
【0012】
第3の局面によれば、本発明は、サービスネットワークにクライアントノードを接続する方法を提供する。この発明は、少なくとも2つのサービスネットワークに対するネットワーク接続を持つアクセスルータを準備することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワーク情報をクライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることと、安全な通信トンネルのセキュリティ関連識別子として、指定されたサービスネットワークのサービスネットワーク情報を使用することにより、安全な通信トンネルを、指定されたサービスネットワークに結び付けることとの各ステップを含んでいる。
【0013】
様々な実施例の上述した及び/又はその他の局面、特徴、及び/又は利点は、添付図面と組み合わせた以下の記述を参照して更に理解されるであろう。適用可能なところで、様々な実施例が、異なる局面、特徴、及び/又は利点を含むか、あるいは限定可能である。更に、適用可能なところで、様々な実施例は、他の実施例の1つ又は複数の局面あるいは特徴を組み合わせることができる。特定実施例の局面、特徴、及び又は利点の説明は、他の実施例あるいは請求項の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための最良の形態】
【0014】
本発明の好適な実施例は、添付図面において、限定ではなく、一例として示される。
【0015】
本発明は、多くの様々な形式で具体化されうる一方、多くの例示的な実施例が、本開示は、本発明の原理の一例を提供するものとして考慮されるべきであることと、そのような例は、ここで記載及び/又は例示された好適な実施例に限定されるようには意図されないことという理解のうえで記述される。
【0016】
本発明の好適な実施例に従って提案されたIP層モデルの一例の物理的なトポロジが、図1に例示される。図示するように、IPアクセスネットワーク101は、アクセスルータAR1,AR2、およびクライアントノード103を含んでいる。このアクセスネットワーク上の更なるノードは、単純化の目的のために示さない。アクセスルータAR1はサービスネットワークN1に接続される。また、アクセスルータAR2はサービスネットワークN2,N3に接続される。IPアクセスネットワーク101では、クライアントノード103は、アクセスネットワーク内の通信のために有効であるルータブルな、又は非ルータブルなIPアドレスを用いることによって、他のノード(図示せず)と同様に、アクセスルータとも通信することができる。クライアントノード103が、サービスネットワークを経由してデータパケットを送受信する必要がある場合、IPセキュリティプロトコル(IPSecトンネル)を用いて、IPアクセスネットワークを経由してそのサービスネットワークのアクセスルータへの安全なトンネル(論理インタフェース)を確立する。トンネリングは、1つのネットワークが別のネットワークの接続を通じてそのデータを送ることを可能にし、第2のネットワークによって伝送されたパケット内のネットワークプロトコルをカプセル化することにより機能する。例えば、VPN(仮想プライベートネットワーク)を介してデータを送信するために、PPTP(ポイントトゥポイントトンネリングプロトコル)技術によってインターネットを使用することができる。それは、インターネットによって伝送されたTCP/IPパケット内にそれ自身のネットワークプロトコルを埋め込むことにより行う。
【0017】
確立されたIPSecトンネルは、アクセスルータを通るパケットに対する機密性、完全性、及び反復操作保護を提供する安全な論理インタフェースである。これはまた、パケットが他のサービスネットワークに漏洩するのを阻止する。更に、IPSecトンネルは、ノードの物理的なインタフェースをオーバレイする論理的なトンネルインタフェースを確立する。これは、対応するアクセスルータへ転送されたパケットのソースアドレスとして、特定のインタフェースアドレス(つまり、特定の論理的なトンネルインタフェースに割り当てられたアドレス)が使用されることを保証する。入口フィルタリングを使用するアクセスルータは、アクセスルータによって論理的なインタフェースに割り当てられたネットワークプレフィックスを含むので、そのようなソースアドレスを持つパケットを見落とさないだろう。
【0018】
図1の物理的なトポロジをオーバレイする論理的なトポロジの一例が図2に例示されている。図示するように、クライアントノード103は、別個の論理インタフェースL1,L2,L3に各々関連した3つのIPSecトンネル201,202,203を持っている。論理インタフェースL1,L2,L3は、特定のサービスネットワークN1,N2,N3を通じてデータパケットを送受信するためにそれぞれ使用される。サービスネットワークN1,N2,N3は、ISP、NAP、VLAN、あるいは同様のサービスネットワークでありうる。論理インタフェースL1に対応するIPSecトンネル201は、アクセスルータAR1において終了する。論理インタフェースL2,L3に対応するIPSecトンネル202,203は、アクセスルータAR2において終了する。
【0019】
クライアントノード103の各々の論理インタフェースL1,L2,L3のインタフェースアドレスは、対応するサービスネットワークのアドレスブロックから割り当てられる。図示する例において、クライアントノード103は、3つのサービスネットワークN1,N2,N3のうちの何れかを経由してデータパケットを送受信することができる。もちろん、クライアントノードが、3つ全てのサービスネットワークの代わりに、サービスネットワークのうちの1つのみ、あるいは2つへの接続を確立することも可能である。アクセスネットワークに対してオンリンク接続を持っているクライアントノードは、ワークステーションまたはルータでありうる。
【0020】
クライアントノード103は、アクセスネットワーク101内の他のノードと通信するために、ルータブルアドレス、又は非ルータブルアドレスであるアドレスを使用することができる。非ルータブルアドレスは、ルータによる転送が許可されない。一方、ルータブルアドレスは、ルータによって転送される。クライアントノード103が自律的にアドレスを生成するための非ルータブルアドレスの一例は、IPv4リンク−ローカルアドレス、あるいはIPv6リンク−ローカルアドレスである。特に、IPv6リンク−ローカルアドレスが使用される場合、SEND(SEcure Neighbor Discovery)は、ネイバーディスカバリエクスチェンジ(Neighbor Discovery exchanges)を保護するために使用することができる。ルータブルアドレスが使用される場合、DHCP(Dynamic Host Configuration Protocol)、DHCPv6、あるいはIPv6アドレス自動設定を含む任意の方法を用いて、静的、あるいは動的に設定される。
【0021】
セキュリティが、例えば公共サービスアクセスネットワークのためのようなサービスを提供するサービスネットワークに重要ではない場合には、トンネルを確立するためにIPSecキー管理プロトコルを使用する必要はない。そのような場合、例えば、IP−in−IP、又はGRE(Generic Routing Encapsulation)のような、その他のIPトンネリングスキームが使用されうる。
【0022】
(サービスネットワーク情報広告)
多くの無線LANホットスポットサービスプロバイダは、無線クライアントに対してサービスプロバイダ情報を広告するために、ブロードキャストビーコンフレーム内に含まれる802.11 SSIDを現在使用している。1つの物理的なアクセスポイントを、複数の仮想アクセスポイントに分割できるように、仮想アクセスポイント(VAP:virtual access point)と呼ばれる技術が、この使用法を拡張することができる。それらの各々は、各VLANのために別個のSSIDを広告することによって、あたかもそれが別個の物理的なアクセスポイントであるかのように動作する。VAPの不利な点は、特定のアクセス技術と緊密に関係しており、その他のアクセス技術に適用するのが難しいことである。別の不利な点は、より多くの帯域幅がビーコンフレームによって占有されるので、データトラフィック全体のスループットが減少することである。例えば、10の仮想アクセスポイントがあり、各仮想アクセスポイントがそれぞれビーコンフレームを100ミリ秒毎に生成すれば、局は、ビーコンフレームを10ミリ秒毎に受信するであろう。その場合、IEEE 802.11bのリンク帯域幅の30%以上は、ビーコンフレームによって占有される。
【0023】
本発明によれば、対照的に、ネットワーク層プロトコルが、アクセスネットワーク101上のクライアントノードへ、サービスネットワーク情報を広告するために使用される。ルータブルネットワークがISP又はNAPネットワークである場合、プロバイダ識別子及びプロバイダ名データのペアが、各サービスプロバイダ毎に広告されうる。ここでは、プロバイダ識別子は、プロバイダを識別するために使用されるユニークな識別子であり、プロバイダ名は、プロバイダの名前を表す文字列である。サービスネットワークがVLANである場合、VLAN識別子およびVLAN名が、VLAN毎に広告されうる。ここで、VLAN識別子は、VLANを識別するために使用されるユニークな識別子であり、VLAN名は、VLANの名前を表わす文字列である。VLAN広告情報は、アクセスネットワークがVLANではない場合に、IPによって送られうる。
【0024】
本発明の1つの好適な実施例によれば、サービスネットワークに関する情報は、PANA(Protocol for carrying Authentication information for Network Access:ネットワークアクセスのための認証情報を伝えるプロトコル)の使用により広告される。いくつかのシナリオでは、IPベースのデバイスは、その使用を認められる前に、ネットワークに対して自己を認証することが要求される。この認証は、様々な認証方法をサポートできるプロトコルを通常必要とする。ほとんどのリンク層について、そのような認証プロトコルがない状態で、アーキテクチャは多くの不適当な認証方法の使用をたびたび行ってきた。PANAは、クライアントが、サイトで使用されている特定のAAA(認証、認可、および会計)インフラストラクチャプロトコルを理解する必要なしに、アクセスを獲得するサイトのバックエンドAAAのインフラストラクチャーと対話することを可能にするIPプロトコルを使用して、アクセスネットワークにそれら自身を認証することを可能にするプロトコルを定義する。さらに、そのような相互作用が、リンク層の特定のメカニズムなしになされる。PANAは、マルチアクセス及びポイントトゥポイントの両方のリンクに適用可能である。本発明は、アクセスネットワーク上のクライアントノードに、サービスネットワーク情報を提供するためにPANAプロトコルを利用する。
【0025】
PANAは、クライアント−サーバタイプのプロトコルである。ここでは、クライアント及びサーバが、それぞれPaC(PANAクライアント)及びPAA(PANA認証エージェント)と称される。本発明では、クライアントノード103はPaCである。PAAはアクセスネットワーク内に配置され、アクセスルータと同一場所に配置される場合も、そうでない場合もある。PAAがアクセスルータと同一場所に配置されない場合、例えばSNMP(Simple Network Management Protocol)又はDiameterのような他のプロトコルを用いて、認可されたクライアントに関する認可情報を、PAAによって広告されるサービスネットワークに接続されたアクセスルータの幾つか又は全てに送る。
【0026】
広告シーケンスは、以下の通り実行される。
1.PaCが、アクセスネットワーク内でマルチキャスト又はユニキャストされるPANA−PAA−Discoverメッセージを、特定のPAAに送信する。
2.PANA−PAA−Discoverメッセージを受信した各PAAは、PaCにPANA−Start−Requestメッセージを送り戻す。PANA−Start−Requestメッセージは、PAAに関連したサービスネットワークについての情報を含んでいる。
3.PANA−Start−Requestメッセージを受信したPaCは、受信したメッセージから、サービスネットワーク情報を抽出する。
【0027】
PANAを使用して、サービスネットワーク情報を受信するために無指定のIPアドレスを使用する場合、PaCが、IPアドレスを設定する必要がない場合もあることが注目される。そのような場合、PAAは、レイヤ2特有のパケット配信メカニズムを用い、規則的なIPスタック実装を回避することにより、IPパケット内にカプセル化された情報をPaCに送るだろう。
【0028】
本発明の代替実施例によれば、サービスネットワーク情報は、IPv4またはIPv6のルータディスカバリメカニズムを用いることにより、クライアントに広告されるかもしれない。クライアントノードは、ルータディスカバリを使用してサービスネットワーク情報を得るためにアドレスを設定する必要がある。広告シーケンスは、以下のように実行される。
1.クライアントノードが、特定のルータへユニキャスト、又はアクセスネットワーク内でマルチキャストされるルータ懇請(Solicitation)メッセージを送る。
2.このルータ懇請メッセージを受信した各ルータはそれぞれ、クライアントノードにルータ広告メッセージを送り返す。このルータ広告メッセージは、ルータに接続されたサービスネットワークについての情報を含んでいる。
3.ルータ広告メッセージを受信するクライアントノードは、受信メッセージから、サービスネットワーク情報を抽出する。
【0029】
(認証)
PANAが、サービスネットワークについての情報の広告のために使用される場合、それは元々の目的、つまり、クライアントの認証および認可のために使用することができる。IKE(Internet Key Exchange:インターネットキー交換)も、クライアントの認証のために使用することができる。IKEがクライアント認証に使用される場合、クライアントノードは、直ちに安全なトンネルを確立することができる。IKEは、IPSec規格と共に使用される重要な管理プロトコル規格である。IPSecは、IPパケットのロバストな認証および暗号化を提供するIPセキュリティ機能である。
【0030】
一方、PAAがアクセスルータと同一場所に配置されない場合、PANAはクライアントの認証のために常に使用される。PANAがクライアント認証に使用される場合、認証手続きは前のセクション中のステップ3から継続する。
【0031】
4.PaCは、PANA−Start−Requestメッセージに応答してPAAにPANA−Start−Answerメッセージを送る。PaCは、PANA−Start−Answerメッセージ内に所望のサービスネットワークについての情報を挿入することにより、それがアクセスしたい1つ又は複数のサービスネットワークを指定しうる。
5.PAAは、PANA−Auth−Requestメッセージを送り、EAP(Extensible Authentication Protocol:拡張認証プロトコル)メッセージおよびPANAセッション識別子を送る。PANA−Auth−Requestメッセージは、進行中の認証に関係しているサービスネットワークについての情報を含むことができる。EAPは、トークンカード、ワンタイムパスワード、証明書、公開鍵認証、およびスマートカードのような複数の認証方法をサポートする認証用の一般的なプロトコルである。認証の目的は、クライアント又はユーザの身元を確認することである。
6.PaCは、PANA−Auth−Requestメッセージに応答してPANA−Auth−Answerメッセージを返し、EAPメッセージを伝える。
7.EAP認証処理が終了するまで、必要な場合には、ステップ5および6が繰り返される。
8.EAP認証処理が終了した場合、PAAは、EAP成功/失敗メッセージを含むPANA−Bind−RequestメッセージをPaCに送る。EAP認証が成功して終了する場合、PAAに関連したアクセスルータのIPアドレスのリストが、メッセージ内に追加されて含まれる。PAAがアクセスルータと同一場所に配置されていない場合、PAAに関連し、サービスネットワークに接続されたアクセスルータ名のリストが、メッセージ内に追加されて含まれる。PANA−Bind−Requestは、PAAがPaCへのアクセスを認可したサービスネットワークに関する情報を含んでいる。クライアント認証が失敗すれば、クライアントノードは、どのサービスネットワークへのアクセスも与えられない。
9.PaCは、PANA−Bind−AnswerメッセージをPAAに返す。
10.EAP認証が1つ又は複数のサービスネットワークのために必要とされる場合、ステップ5乃至9が、各サービスネットワークのために繰り返される。
【0032】
上記シーケンスでは、EAPマスタセッションキー(MSK)を導出可能な少なくとも1つのEAP認証方法が使用されると仮定する。導出されたMSKは、PaCとPAAの間で共有される。導出したMSKを用いたEAP認証処理が成功して終了すると、PaCが、サービスネットワークにアクセスを持つことを認可できるように、PAAは、PAAに関連し、ステップ4においてPaCによって指定されたサービスネットワークに接続された各アクセスルータに、少なくとも以下の情報を送る。
・PANAセッション識別子。
・MSKから導出されIKEが予め共有された秘密データ。
【0033】
(アクセスルータへの安全なトンネルを確立すること)
サービスネットワーク広告情報およびクライアントノード認証(広告及び認証のためにPANAを使用した場合)の受信に成功するか、又はサービスネットワーク広告情報(ルータディスカバリを用いた場合)を受信すると、クライアントは、PAAに関連したどのアクセスルータが、どのサービスネットワークに接続されているのかを知る。そして、クライアントは、IPSecトンネルを確立するために、任意のアクセスルータを用いてIKEを実行することができる。
【0034】
IKEは、インターネットセキュリティアソシエーションおよびキーマネジメントプロトコル(ISAKMP:Internet Security Association and Key Management Protocol)フレームワーク内で、Oakleyキー交換(Oakley key exchange)及びSkemeキー交換(Skeme key exchange)を実施するハイブリッドプロトコルである(ISAKMP、Oakley及びSkemeは、IKEによって実施されるセキュリティプロトコルである)。IPSecは、参加するピア間のデータ機密性、データ完全性、およびデータ認証を提供するオープンスタンダードなフレームワークである。IPSecは、IP層において、これらセキュリティサービスを提供する。それは、ローカルポリシーに基づいたプロトコルとアルゴリズムの交渉を取り扱い、かつIPSecによって使用される暗号化と認証のキーを生成するためにIKEを使用する。IPSecは1ペアのホスト間の、1ペアのセキュリティゲートウェイ間の、あるいはセキュリティゲートウェイとホストとの間の、1つ又は複数のデータフローを保護するために使用することができる。
【0035】
認証が、安全なトンネルの確立段階に入る前に行なわれた場合、認証手続きで導出されたIKEが予め共有されたキーは、IKEが、IKEエンドポイントを認証するために使用される(したがって、交渉中には、他のクライアント認証は行なわれない)。クライアントは、IKEv1内のISAKMPセキュリティアソシエーション(ISAMKP SA)識別子、あるいはIKEv2内のIKE_SA識別子として、アクセスネットワーク内のPANAセッション識別子あるいは有効なIPアドレスを使用することができる。IPアドレスがIKEv1内のISAKMP SA識別子として使用される場合、IKEv1メインモードを使用する必要がある。
【0036】
あるいは、クライアント認証が、安全なトンネルの確立段階に入る前に行なわれなかった場合、IKEが予め共有されたキーを用いる以外の認証手続きは、IKE交渉内に行なわれねばならない。この場合、認証手続きに特有の識別子が使用される。
【0037】
アクセスルータが、複数のサービスネットワーク(例えば、図1に示すアクセスルータAR2)に接続される場合、IPSecトンネルを特定のサービスネットワークに結び付けるためのメカニズムが必要である。これによって、アクセスルータは、(1)サービスネットワークのアドレスブロックからIPSecトンネル内部アドレスを割り当て、(2)クライアントとサービスネットワークとの間でパケットを転送することができる。その結び付けは、IPSec SA識別子信用証書として、サービスネットワークについての情報を使用することにより、IKE交渉内で作成することができる。このように、図2に示すように、クライアントノードとアクセスルータとの間に、それぞれが、別個のサービスネットワークに向かう複数のIPSecトンネルを確立することが可能である。例えば、アクセスネットワーク全体に対する単一のPANA認証及びセッション識別子、各アクセスルータに対する単一のPANA認証及び識別子、各サービスネットワークに対する単一のPANA認証及び識別子のような複数のスキームを使用することができる。各サービスネットワークに対する認証があるところでは、PANAセッション識別子は、IKEのための識別子として使用されてもよい。しかし、他の場合では、クライアントは、特定のサービスネットワークに対するIKEのためのユニークな識別子を使用/生成しなければならない。あるいは、他の情報/識別子 交換/交渉が、IKEの間必要かもしれない。
【0038】
IKEv2がIPSecトンネルの確立のために使用される場合、クライアントノードとアクセスルータとの間で、それぞれがサービスネットワークに向かう複数のIPSecトンネルを確立することも可能である。アクセスルータが1つのみのサービスネットワークに接続される場合、1つのみの結び付けが存在し、別の識別子が使用されうる。
【0039】
IPSecトンネルSAの内部アドレスは、トンネルを終了するアクセスルータによって、IKE交渉の間に割り当てられるかもしれない。例えば、IKEv2は、IPSecトンネル内部アドレスを割り当てるために、設定ペイロード交換を定義する。内部アドレスがIKE交渉内に割り当てられていない場合、DHCPは、確立されたIPSecトンネルを通じて行なわれるかもしれない。いずれにせよ、割り当てられたIPSec内部アドレスは、IPSec SAへ向けられたサービスネットワークに有効であるに違いない。例えばサブネットプレフィックス(あるいはネットマスク)、DNS(ドメインネームシステム)サーバアドレス、あるいはDHCPサーバアドレスのようなその他の設定情報が、IKE交渉内で割り当てられるかもしれない。更に、クライアントノードがルータである場合、サービスネットワークから委任されたIPv6プレフィクスは、確立されたIPSecトンネルを経由して、プレフィックス委任オプションを持つDHCPv6を実行することにより割り当てることができる。この場合、委任されたプレフィクスは、クライアントルータが、サービスネットワークへのクライアント−サイドゲートウェイとして役立つ他のクライアントノード内で共有することができる。
【0040】
アクセスルータは、異なるクライアントノードからのIPSecトンネル、及び/又は同じクライアントノードからのトンネルの間で、差別化されたサービスを提供するために、それが終端するIPSecトンネル上でサービス品質(QoS)制御を実行することができる。クライアントノードがIKE内のIPSec SA交渉の間にQoS情報を指定できるように、サービスネットワークについての広告情報は、QoS情報をも含むことができる。
【0041】
本発明は、同じアクセスネットワーク上のマルチアクセスルータが、同じサービスネットワークに接続することを可能にする。すなわち、アクセスルータ間の負荷平準が可能である。PANAがネットワーク広告と認証とを提供するのに使用される場合、認証過程中に、PANA−Bind−Requestメッセージに含まれていたアクセスルータのリストは、どのアクセスルータが、どのサービスネットワークに接続されるのかを識別するために使用することができる。
【0042】
ブロードキャスト及び/又はマルチキャストされたトラフィックは、IPSecトンネルを経由しても送信される。アクセスルータは、IPSecトンネルを経由してブロードキャスト/マルチキャストされたトラッフィックの送信を許可及び禁止するための設定オプションを持つこともできる。
【0043】
アクセスルータに対するIPSecトンネルを持っているクライアントノードは、アクセスネットワーク内の他のノードへのパケットの送受信のためにIPSecトンネルを使用しないかもしれない。そのようなパケットは、アクセスネットワーク内のローカルプリンタへの印刷データのようなアプリケーショントラッフィックを含んでいる。
【0044】
(使用法シナリオ)
本発明がDSLまたは無線LANホットスポット中で使用される場合、サービスネットワークは、ISPネットワークあるいはNAP交換ネットワークになりえる。アクセスネットワークは、一般に、単一のNAPによって所有される。しかし、複数のNAPが、同じアクセスネットワークを共有することも可能である。単一のNAP301がアクセスネットワーク101を所有する場合における物理的トポロジの例が、図3に示される。
【0045】
この例では、クライアントノード103は、ISP1,ISP2,ISP3、あるいはNAP301によって所有されたサービスネットワークのうちの1つ、幾つか、又は全てに対する接続を選択的に確立することができる。PANAがクライアントノードを認証するために使用される場合、恐らく異なるクライアント識別子を使用することによって、単一のPANAセッションにおいて、1つはISPに対する、もう1つはNAPに対する2つのEAP認証を実行することが可能である。クライアントノード103が、異なるISPへの複数のIPSecトンネルを生成する場合、マルチホーミングが達成される。各プロバイダ(ISPまたはNAPかの何れか)のために、プロバイダの識別子および名前は、サービスネットワーク情報として使用されてもよい。
【0046】
VLAN用途のための物理的なトポロジの例が、図4乃至図8に示される。VLANトポロジは主として企業ネットワーク設定に使用される。図4に示す例では、ネットワーク内に形成された4つのVLANがある。アクセスVLAN401は、クライアントノード103のためのアクセスネットワークとして使用される。サービスVLAN402乃至404は、サービスネットワークとして使用されるVLANである。サービスVLANへの接続は、クライアントノード103と、アクセスルータAR1,AR2との間で確立されたIPSecトンネルのみを通ってなされる(VLANが同じ物理的なネットワーク内に構成される場合、アクセスルータは仮想ルータかもしれない)。各サービスVLANについて、VLANの識別子および名前は、サービスネットワーク情報として使用される。
【0047】
更に、アクセスネットワークが、図5に示すようなマルチアクセスVLAN 501,502からなることが可能である。この構成は、アクセスネットワーク内のトラフィックを分割するのに役立つ(レガシー(legacy)VLANネットワークが行うように)。これによって、クライアントノードによるサービスVLANへの動的な結び付け生成を可能にしながら、クライアントノード103は、アクセスVLAN501を経由してサービスVLAN402乃至404への接続を確立することができる。また、クライアントノード104は、アクセスVLAN502を経由してサービスVLAN402乃至404への接続を確立することができる。
【0048】
本発明が、仮想アクセスポイント(VAP)に基づいたレイヤ2動的VLANモデルと共にどのように使用されるかを、図6および図7を参照して説明する。仮想アクセスポイントは物理的なアクセスポイント(AP)内に存在する論理的な実体である。単一の物理的APが複数の仮想APをサポートする場合、たとえ単一の物理的APだけが存在しても、仮想APは、クライアント局に対して、それぞれ独立した物理的APとして見える。例えば、単一の物理的APの中に複数の仮想APが存在し、それぞれが、別個のSSIDおよび機能セットを広告しうる。VLANを識別するための情報として、IEEE 802.11 SSIDが使用されると仮定される。以下に説明するように、本発明の場合、2つの代替構成がある。これら2つの構成は組み合わせることもできる。
【0049】
APがIPSec(又はIEEE 802.11i)ほど強い安全なアクセスメカニズムと、動的なVLAN(すなわち、複数のVLANを取り扱う能力)との両方をサポートする場合、図6に示すように、別個のSSIDが各サービスVLANに関係しているサービスVLANに、APを直接(仮想的に)接続することが可能である。クライアントノード103は、有線イーサネット接続601を経由してサービスVLAN1乃至3に接続するために、本発明を使用する。一方、無線クライアントノード104(IEEE 802.11iをサポートする)は、仮想AP3への無線接続602を経由して、サービスネットワークへ直接接続することができる。しかしながら、無線クライアントは、複数の無線LANカードを持っていないのであれば、(あるいは単一の物理層上のある種の「仮想局」インタフェースをサポートしていないのであれば)、複数のサービスVLANに同時に接続することはできないだろう。
【0050】
APが動的なVLAN機能をサポートするが、IPSecほど強い安全なアクセスメカニズムをサポートしない場合、ネットワークアドミニストレータは、APが、サービスVLANへ直接接続されることを許可しないだろうが、図7に示すように、アクセスVLANには接続されうる。この場合、クライアントノード103(104)は、先ず、仮想AP701(702)を経由してアクセスVLAN501(502)に接続し、次に、サービスVLAN402乃至404への接続を確立するために本発明を使用する。
【0051】
図8に示すように、クライアントノード103は、遠隔ネットワークサイト801からサービスVLAN402乃至404に接続したい場合もある。もしもクライアントノード103が、サービスプロバイダ広告情報を受信できるように、PAA又はアクセスルータAR1,AR2のIPアドレスを知っていれば、本発明は、そのような状況をサポートすることができる。これは、アクセスルータもPAAも、遠隔ネットワークへプロバイダ情報をブロードキャストできないからである。クライアントノードが、DMZ(デミリタライズドゾーン。例えば企業プライベートLANのような信頼されたネットワークと、公共のインターネットのような信頼されていない外部ネットワークとの間に位置するコンピュータ又は小さなサブネットワーク)内のファイアウォールを経由して外部ネットワークから内部ネットワークに接続される場合、次のシナリオが示される。
【0052】
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、DMZ(例えば、サービスVLANのアクセスルータが内部ネットワーク内に配置されている所)内のIPSecゲートウェイを経由してIPSecを用いて保護されるべきであると命じる場合。この場合、サービスVLANのアクセスルータとクライアントノードとの間に確立されたIPSecトンネルを経由して送信されたパケットは、クライアントノードとIPSecVPNゲートウェイとの間で確立された別のIPSecトンネルで保護される(二重のIPSec)。
【0053】
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、IPSecで保護されるべきであると命ずるが、IPSecゲートウェイは、DMZにある必要がない場合。この場合、追加のIPSecトンネルは必要ではない。
【0054】
また、本発明は、次の方法でモバイルIP(例えばMIPv4)と共に使用することができる。第1に、本発明によって、クライアントノードは、1つのサービスネットワークから別のサービスネットワークへと動的に切り換えることができるので、切り換えが生じる場合、対応するノードへの継続的な接続を必要とするアプリケーションのために安定したIPアドレスが必要とされる(この切り換えは、物理的に移動しないモバイルクライアントノードにおいて生じうることが注目されよう)。モバイルIPの使用によって、ホームアドレスはそのような安定したIPアドレスとして使用することができる。
【0055】
第2に、サービスネットワークに接続されたモバイルクライアントノードは、1つのアクセスネットワークによってカバーされたエリアから、別のアクセスネットワークによってカバーされたエリアへと物理的に移動するかもしれない。ここでは、アクセスネットワークは、サービスネットワークのアクセスネットワーク、あるいは遠隔ネットワーク内のアクセスネットワークかもしれない。モバイルIPを使用することによって、クライアントノードは、アプリケーション接続を失わずに、異なるアクセスネットワーク間をシームレスに移動することができる。
【0056】
何れの場合でも、パケット内にホームアドレスを含んでいるIPヘッダは、IPSecトンネルヘッダー内に見える。DMZを経由して外部サイトから内部サービスネットワークにクライアントノードが接続される場合には、外部移動をサポートするために追加のモバイルIPが使用されてもよい。
【0057】
VLANシナリオでは、モバイルクライアントノードが、複数のサービスVLANへの接続を確立し、各サービスVLANが、自身のホームエージェントを使用する場合、クライアントノードは、複数のホームアドレスを使用して、並列して2つのモバイルIPを実行するかもしれない。上記議論は、モバイルIPv6がモバイルIPの代わりに使用される場合にも当てはまる。
【0058】
(本発明の広い範囲)
本発明の例示的な実施例がここに記載されたが、本発明は、ここに記載された種々の好適な実施例に制限されず、本開示に基づいて当該技術分野における者によって理解されるであろう変形、省略、組み合わせ(例えば様々な実施例にわたった局面の)、適用、及び/又は変更を有する任意及び全ての実施例を含んでいる。請求項における制限は、請求項で使用された文言に基づいて広く解釈されるべきであり、本明細書で記載された例、又は応用の実施内に限定されない。これら例は、非限定的であると解釈されるべきである。例えば、本開示において、用語「好適に(preferably)」は、非限定的であり、「好適であるが、それに限定されない」ことを意味する。ミーンズ・プラス・ファンクション又はステップ・プラス・ファンクション限定は、その限定の中に以下の全ての条件が存在する特定の請求項に限って適用される。a)「〜する手段(means for)」又は「〜するステップ(step for)」(すなわち、〜のステップではない)が明示的に列挙されている。b)対応する機能が明示的に列挙されている。c)構造、材料、又はその構造をサポートする動作が列挙されていない。本開示、および出願の実施において、用語「本発明」あるいは「発明」は、本開示内の1つ又は複数の局面に対する参照として使用される。本発明あるいは発明という用語は、重大場面の見出しとして不適切に解釈されるべきではなく、全ての局面又は実施例にわたって適用されると不適切に解釈されるべきではなく(すなわち、本発明は多くの局面及び実施例を持つと解釈されるべきであり)、出願又は請求項の範囲を限定するものとして不適当に解釈されるべきではない。本開示、および出願の実施において、用語「実施例」は、いかなる局面、特徴、プロセス又はステップ、それらの任意の組み合わせ、及び/又はそれらの任意の部分等を記述するために使用することができる。いくつかの例では、様々な実施例が、重複した特徴を含んでいるかもしれない。
【図面の簡単な説明】
【0059】
【図1】図1は、本発明の1つの好適な実施例による物理的なネットワークトポロジの図である。
【図2】図2は、図1のトポロジをオーバレイする本発明の1つの好適な実施例による論理的なネットワークトポロジの図である。
【図3】図3は、ISPとNAPを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図4】図4は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図5】図5は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図6】図6は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図7】図7は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図8】図8は、遠隔ネットワークを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【技術分野】
【0001】
本発明は、一般に、ネットワーク通信に関し、好適な実施例は、更に、利用可能な多くの異なるプロバイダからの、単一のクライアント位置における通信ネットワークサービスプロバイダ選択に関する。いくつかの好適な実施例に従うと、本発明は、アクセスネットワーク上のクライアントノードにおける、ユーザによる、インターネットサービスプロバイダ(ISP)選択とマルチホーミングとに関する。
【背景技術】
【0002】
マルチホーミングは、同時にあるいは動的に2つ以上のISPによってインターネットに接続する技術である。マルチホーミングは、ISPに欠陥がある場合に公共のインターネットへの実質的なバックアップ接続を準備すること、地方の及びローカルの改良された接続を準備すること、増大した帯域幅を準備すること、性能を改良することができる負荷共有の利用を準備することを含む多くの利点を持つ。現在、単一のユーザ位置において、複数のISPが利用可能な多くの状況がある。例えば、ホームユーザは、ダイアルアップ接続によって1つのISPを選択し、ケーブルあるいはDSL(デジタル加入者回線)モデム接続によって別のISPを選択することができる。
【0003】
IPカプセル化のためにPPPoE(イーサネット(登録商標)によるポイントトゥポイントプロトコル)を用いるDSLプロバイダは、加入者が、初期サインアップの間に静的に、あるいは、PPP認証フェーズの間に加入者によって準備されるNAI(ネットワークアクセス識別子)を用いて、又は発見処理段階においてISP情報を伝送することによって動的に、接続している多くのISPの中から1つを選択することを可能にする。
【0004】
IEEE 802 LAN(ローカルエリアネットワーク)では、VLAN(仮想LAN)が、LANを多くの小さなLANへ分割するために使用される。VLANは、たとえ実際には、異なるLANのセグメントに物理的に配置されていても、それらがあたかも同じワイヤに接続されているかのように振舞うコンピュータネットワークである。VLANは、ハードウェアではなくソフトウェアによって構成することができる。これは、VLANの柔軟性を究極的に高める。クライアントノードが、ワイヤによるイーサネット接続を通じてVLANに接続される場合、クライアントノードのイーサネットポートと、VLANとの間のマッピングは、ほとんどの場合静的に形成される。公共の無線LAN環境では、アクセスポイントによって広告されたIEEE 802.11 SSID(サービスセットID)が、サービスプロバイダ情報を含むことができる。SSIDは、さらに、SSIDとVLANの間の静的なマッピングの作成により動的にVLANを選択するために使用される。その結果、特定のSSIDの指定により、アクセスポイントに関係している局が、そのSSIDにマップされた特定のVLANに接続される。
【0005】
ISPまたはVLANを選択する現在の方法は、特定のリンク層技術(つまりPPPおよびIEEE 802.11)に緊密に結び付けられており、すべてのリンク層技術にわたって適用するのが難しい。そのため、アクセスネットワークが異種混合か、又はクライアントノードへのVLAN割り当てにおいてより柔軟性が必要な環境では、どのリンク層技術にも依存しないIP(インターネットプロトコル)層ソリューションを持つことが望ましいだろう。
【0006】
単純なIP層ソリューションとして、アクセスルータがそれぞれ特定のISPあるいはVLANに接続されるアクセスネットワークにマルチアクセスルータを置くことが可能である。これによって、データパケットを送受信するために、アクセスネットワーク上のクライアントノードが特定のアクセスルータを選択することができる。しかしながら、この単純なソリューションは2つの問題を持っている。第1に、特にアクセスネットワークがマルチアクセス技術を使用する場合、複数のISPあるいはVLANの間のアクセスネットワークにおいて情報漏洩が生じるかもしれない。第2に、入口フィルタリングがアクセスルータにおいて行なわれる場合、1つの物理的なインタフェースを備えたクライアントノードが、2つ以上のISPあるいはVLANへの同時接続が許される場合には、単純なソリューションを実現するのは困難である。入口フィルタリングは、あたかもそれらが、アクセスルータが付いているアクセスネットワークとは異なるネットワーク内で生成されたかのように、攻撃者が、偽造されたソースIPアドレスをパケットに入れるのを防ぐための技術である。入口フィルタリングが使用されるアクセスネットワークでは、アクセスネットワーク内で生成されたパケットは、パケットが受信されたネットワークインタフェースにルータによって割り当てられたネットワークプレフィックスを備えたソースアドレスを持っている場合に限り、アクセスルータを通じて渡すことができる。しかしながら、ほとんどのホスト実装は、異なるISPあるいはVLANへの同時接続が可能となる場合となるであろうが、異なるネットワークプレフィックスを備えた複数のルータブルなIPアドレスが、与えられたインタフェースに割り当てられる場合に適切なソースアドレスを選択するいかなる方法をも提供しない。
【0007】
従って、特に、あらゆる情報漏洩の発生を阻止し、IPアドレススプーフィング攻撃に対し防御するソリューションに対するニーズが当該技術分野において存在する。
【発明の開示】
【0008】
本発明の好適な実施例は、既存の方法及び/又は装置を、顕著に改良することができる。いくつかの実施例では、本発明は、前述の方法に関する本質的な改良を提供する。
【0009】
発明の1つの局面によれば、マルチホーミング及びネットワーク選択のための新しいIP層ベースのモデルが提供される。これは、使用する1つ又は複数のサービスネットワークの柔軟で安全な動的選択を可能とする。またここでは、サービスネットワークは、ISPネットワーク、NAP(ネットワークアクセスポイント)ネットワーク交換設備、VLAN等である。1つの好適な実施例によるIP層ベースのモデルは、3つのフェーズから成る。第1フェーズでは、ネットワーク情報がクライアントノードに広告される。第2フェーズでは、クライアントノードが、アクセスルータの使用のために認証され認可される。第3フェーズでは、安全なトンネルが、クライアントノードとアクセスルータとの間に確立される。この発明的なモデルは、変更せずに標準的なプロトコルを用いて実施することができ、IPデータグラムを伝送可能なあらゆる既存の又は将来のリンク層技術にわたって動作することができる。
【0010】
特に、1つの好適な実施例によれば、本発明は、クライアントノードをサービスネットワークに動的に接続する方法を提供する。この方法は、クライアントノードがネットワーク接続を持つアクセスネットワークを準備することと、アクセスネットワークに対するネットワーク接続を持ち、少なくとも1つのサービスネットワークに対するネットワーク接続を持つ少なくとも1つのアクセスルータを準備することと、クライアントノードからの要求メッセージに応じて、サービスネットワークプロバイダ広告情報をクライアントノードに送信することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワークプロバイダ情報を、クライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
【0011】
第2の局面によれば、本発明は、複数のインターネットサービスプロバイダにクライアントノードを接続する方法を提供する。この方法は、クライアントノードが、複数のインターネットサービスプロバイダと通信しうるアクセスネットワークを準備することと、複数のインターネットサービスプロバイダの各々について、アクセスネットワーク内に、個別の安全な通信トンネルを確立し、アクセスネットワークを経由して、個別の安全な通信トンネル内で、インターネットサービスプロバイダの各々と、クライアントノードとがデータパケットを送受信できるようにすることとの各ステップを含む。
【0012】
第3の局面によれば、本発明は、サービスネットワークにクライアントノードを接続する方法を提供する。この発明は、少なくとも2つのサービスネットワークに対するネットワーク接続を持つアクセスルータを準備することと、クライアントノードがアクセスを望むサービスネットワークを指定するサービスネットワーク情報をクライアントノードから受信することと、アクセスネットワークを経由して、クライアントノードとアクセスルータとの間の安全な通信トンネルを確立し、アクセスネットワークを経由して、安全な通信トンネル内で、クライアントノードによって指定されたサービスネットワークと、クライアントノードとがデータパケットを送受信できるようにすることと、安全な通信トンネルのセキュリティ関連識別子として、指定されたサービスネットワークのサービスネットワーク情報を使用することにより、安全な通信トンネルを、指定されたサービスネットワークに結び付けることとの各ステップを含んでいる。
【0013】
様々な実施例の上述した及び/又はその他の局面、特徴、及び/又は利点は、添付図面と組み合わせた以下の記述を参照して更に理解されるであろう。適用可能なところで、様々な実施例が、異なる局面、特徴、及び/又は利点を含むか、あるいは限定可能である。更に、適用可能なところで、様々な実施例は、他の実施例の1つ又は複数の局面あるいは特徴を組み合わせることができる。特定実施例の局面、特徴、及び又は利点の説明は、他の実施例あるいは請求項の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための最良の形態】
【0014】
本発明の好適な実施例は、添付図面において、限定ではなく、一例として示される。
【0015】
本発明は、多くの様々な形式で具体化されうる一方、多くの例示的な実施例が、本開示は、本発明の原理の一例を提供するものとして考慮されるべきであることと、そのような例は、ここで記載及び/又は例示された好適な実施例に限定されるようには意図されないことという理解のうえで記述される。
【0016】
本発明の好適な実施例に従って提案されたIP層モデルの一例の物理的なトポロジが、図1に例示される。図示するように、IPアクセスネットワーク101は、アクセスルータAR1,AR2、およびクライアントノード103を含んでいる。このアクセスネットワーク上の更なるノードは、単純化の目的のために示さない。アクセスルータAR1はサービスネットワークN1に接続される。また、アクセスルータAR2はサービスネットワークN2,N3に接続される。IPアクセスネットワーク101では、クライアントノード103は、アクセスネットワーク内の通信のために有効であるルータブルな、又は非ルータブルなIPアドレスを用いることによって、他のノード(図示せず)と同様に、アクセスルータとも通信することができる。クライアントノード103が、サービスネットワークを経由してデータパケットを送受信する必要がある場合、IPセキュリティプロトコル(IPSecトンネル)を用いて、IPアクセスネットワークを経由してそのサービスネットワークのアクセスルータへの安全なトンネル(論理インタフェース)を確立する。トンネリングは、1つのネットワークが別のネットワークの接続を通じてそのデータを送ることを可能にし、第2のネットワークによって伝送されたパケット内のネットワークプロトコルをカプセル化することにより機能する。例えば、VPN(仮想プライベートネットワーク)を介してデータを送信するために、PPTP(ポイントトゥポイントトンネリングプロトコル)技術によってインターネットを使用することができる。それは、インターネットによって伝送されたTCP/IPパケット内にそれ自身のネットワークプロトコルを埋め込むことにより行う。
【0017】
確立されたIPSecトンネルは、アクセスルータを通るパケットに対する機密性、完全性、及び反復操作保護を提供する安全な論理インタフェースである。これはまた、パケットが他のサービスネットワークに漏洩するのを阻止する。更に、IPSecトンネルは、ノードの物理的なインタフェースをオーバレイする論理的なトンネルインタフェースを確立する。これは、対応するアクセスルータへ転送されたパケットのソースアドレスとして、特定のインタフェースアドレス(つまり、特定の論理的なトンネルインタフェースに割り当てられたアドレス)が使用されることを保証する。入口フィルタリングを使用するアクセスルータは、アクセスルータによって論理的なインタフェースに割り当てられたネットワークプレフィックスを含むので、そのようなソースアドレスを持つパケットを見落とさないだろう。
【0018】
図1の物理的なトポロジをオーバレイする論理的なトポロジの一例が図2に例示されている。図示するように、クライアントノード103は、別個の論理インタフェースL1,L2,L3に各々関連した3つのIPSecトンネル201,202,203を持っている。論理インタフェースL1,L2,L3は、特定のサービスネットワークN1,N2,N3を通じてデータパケットを送受信するためにそれぞれ使用される。サービスネットワークN1,N2,N3は、ISP、NAP、VLAN、あるいは同様のサービスネットワークでありうる。論理インタフェースL1に対応するIPSecトンネル201は、アクセスルータAR1において終了する。論理インタフェースL2,L3に対応するIPSecトンネル202,203は、アクセスルータAR2において終了する。
【0019】
クライアントノード103の各々の論理インタフェースL1,L2,L3のインタフェースアドレスは、対応するサービスネットワークのアドレスブロックから割り当てられる。図示する例において、クライアントノード103は、3つのサービスネットワークN1,N2,N3のうちの何れかを経由してデータパケットを送受信することができる。もちろん、クライアントノードが、3つ全てのサービスネットワークの代わりに、サービスネットワークのうちの1つのみ、あるいは2つへの接続を確立することも可能である。アクセスネットワークに対してオンリンク接続を持っているクライアントノードは、ワークステーションまたはルータでありうる。
【0020】
クライアントノード103は、アクセスネットワーク101内の他のノードと通信するために、ルータブルアドレス、又は非ルータブルアドレスであるアドレスを使用することができる。非ルータブルアドレスは、ルータによる転送が許可されない。一方、ルータブルアドレスは、ルータによって転送される。クライアントノード103が自律的にアドレスを生成するための非ルータブルアドレスの一例は、IPv4リンク−ローカルアドレス、あるいはIPv6リンク−ローカルアドレスである。特に、IPv6リンク−ローカルアドレスが使用される場合、SEND(SEcure Neighbor Discovery)は、ネイバーディスカバリエクスチェンジ(Neighbor Discovery exchanges)を保護するために使用することができる。ルータブルアドレスが使用される場合、DHCP(Dynamic Host Configuration Protocol)、DHCPv6、あるいはIPv6アドレス自動設定を含む任意の方法を用いて、静的、あるいは動的に設定される。
【0021】
セキュリティが、例えば公共サービスアクセスネットワークのためのようなサービスを提供するサービスネットワークに重要ではない場合には、トンネルを確立するためにIPSecキー管理プロトコルを使用する必要はない。そのような場合、例えば、IP−in−IP、又はGRE(Generic Routing Encapsulation)のような、その他のIPトンネリングスキームが使用されうる。
【0022】
(サービスネットワーク情報広告)
多くの無線LANホットスポットサービスプロバイダは、無線クライアントに対してサービスプロバイダ情報を広告するために、ブロードキャストビーコンフレーム内に含まれる802.11 SSIDを現在使用している。1つの物理的なアクセスポイントを、複数の仮想アクセスポイントに分割できるように、仮想アクセスポイント(VAP:virtual access point)と呼ばれる技術が、この使用法を拡張することができる。それらの各々は、各VLANのために別個のSSIDを広告することによって、あたかもそれが別個の物理的なアクセスポイントであるかのように動作する。VAPの不利な点は、特定のアクセス技術と緊密に関係しており、その他のアクセス技術に適用するのが難しいことである。別の不利な点は、より多くの帯域幅がビーコンフレームによって占有されるので、データトラフィック全体のスループットが減少することである。例えば、10の仮想アクセスポイントがあり、各仮想アクセスポイントがそれぞれビーコンフレームを100ミリ秒毎に生成すれば、局は、ビーコンフレームを10ミリ秒毎に受信するであろう。その場合、IEEE 802.11bのリンク帯域幅の30%以上は、ビーコンフレームによって占有される。
【0023】
本発明によれば、対照的に、ネットワーク層プロトコルが、アクセスネットワーク101上のクライアントノードへ、サービスネットワーク情報を広告するために使用される。ルータブルネットワークがISP又はNAPネットワークである場合、プロバイダ識別子及びプロバイダ名データのペアが、各サービスプロバイダ毎に広告されうる。ここでは、プロバイダ識別子は、プロバイダを識別するために使用されるユニークな識別子であり、プロバイダ名は、プロバイダの名前を表す文字列である。サービスネットワークがVLANである場合、VLAN識別子およびVLAN名が、VLAN毎に広告されうる。ここで、VLAN識別子は、VLANを識別するために使用されるユニークな識別子であり、VLAN名は、VLANの名前を表わす文字列である。VLAN広告情報は、アクセスネットワークがVLANではない場合に、IPによって送られうる。
【0024】
本発明の1つの好適な実施例によれば、サービスネットワークに関する情報は、PANA(Protocol for carrying Authentication information for Network Access:ネットワークアクセスのための認証情報を伝えるプロトコル)の使用により広告される。いくつかのシナリオでは、IPベースのデバイスは、その使用を認められる前に、ネットワークに対して自己を認証することが要求される。この認証は、様々な認証方法をサポートできるプロトコルを通常必要とする。ほとんどのリンク層について、そのような認証プロトコルがない状態で、アーキテクチャは多くの不適当な認証方法の使用をたびたび行ってきた。PANAは、クライアントが、サイトで使用されている特定のAAA(認証、認可、および会計)インフラストラクチャプロトコルを理解する必要なしに、アクセスを獲得するサイトのバックエンドAAAのインフラストラクチャーと対話することを可能にするIPプロトコルを使用して、アクセスネットワークにそれら自身を認証することを可能にするプロトコルを定義する。さらに、そのような相互作用が、リンク層の特定のメカニズムなしになされる。PANAは、マルチアクセス及びポイントトゥポイントの両方のリンクに適用可能である。本発明は、アクセスネットワーク上のクライアントノードに、サービスネットワーク情報を提供するためにPANAプロトコルを利用する。
【0025】
PANAは、クライアント−サーバタイプのプロトコルである。ここでは、クライアント及びサーバが、それぞれPaC(PANAクライアント)及びPAA(PANA認証エージェント)と称される。本発明では、クライアントノード103はPaCである。PAAはアクセスネットワーク内に配置され、アクセスルータと同一場所に配置される場合も、そうでない場合もある。PAAがアクセスルータと同一場所に配置されない場合、例えばSNMP(Simple Network Management Protocol)又はDiameterのような他のプロトコルを用いて、認可されたクライアントに関する認可情報を、PAAによって広告されるサービスネットワークに接続されたアクセスルータの幾つか又は全てに送る。
【0026】
広告シーケンスは、以下の通り実行される。
1.PaCが、アクセスネットワーク内でマルチキャスト又はユニキャストされるPANA−PAA−Discoverメッセージを、特定のPAAに送信する。
2.PANA−PAA−Discoverメッセージを受信した各PAAは、PaCにPANA−Start−Requestメッセージを送り戻す。PANA−Start−Requestメッセージは、PAAに関連したサービスネットワークについての情報を含んでいる。
3.PANA−Start−Requestメッセージを受信したPaCは、受信したメッセージから、サービスネットワーク情報を抽出する。
【0027】
PANAを使用して、サービスネットワーク情報を受信するために無指定のIPアドレスを使用する場合、PaCが、IPアドレスを設定する必要がない場合もあることが注目される。そのような場合、PAAは、レイヤ2特有のパケット配信メカニズムを用い、規則的なIPスタック実装を回避することにより、IPパケット内にカプセル化された情報をPaCに送るだろう。
【0028】
本発明の代替実施例によれば、サービスネットワーク情報は、IPv4またはIPv6のルータディスカバリメカニズムを用いることにより、クライアントに広告されるかもしれない。クライアントノードは、ルータディスカバリを使用してサービスネットワーク情報を得るためにアドレスを設定する必要がある。広告シーケンスは、以下のように実行される。
1.クライアントノードが、特定のルータへユニキャスト、又はアクセスネットワーク内でマルチキャストされるルータ懇請(Solicitation)メッセージを送る。
2.このルータ懇請メッセージを受信した各ルータはそれぞれ、クライアントノードにルータ広告メッセージを送り返す。このルータ広告メッセージは、ルータに接続されたサービスネットワークについての情報を含んでいる。
3.ルータ広告メッセージを受信するクライアントノードは、受信メッセージから、サービスネットワーク情報を抽出する。
【0029】
(認証)
PANAが、サービスネットワークについての情報の広告のために使用される場合、それは元々の目的、つまり、クライアントの認証および認可のために使用することができる。IKE(Internet Key Exchange:インターネットキー交換)も、クライアントの認証のために使用することができる。IKEがクライアント認証に使用される場合、クライアントノードは、直ちに安全なトンネルを確立することができる。IKEは、IPSec規格と共に使用される重要な管理プロトコル規格である。IPSecは、IPパケットのロバストな認証および暗号化を提供するIPセキュリティ機能である。
【0030】
一方、PAAがアクセスルータと同一場所に配置されない場合、PANAはクライアントの認証のために常に使用される。PANAがクライアント認証に使用される場合、認証手続きは前のセクション中のステップ3から継続する。
【0031】
4.PaCは、PANA−Start−Requestメッセージに応答してPAAにPANA−Start−Answerメッセージを送る。PaCは、PANA−Start−Answerメッセージ内に所望のサービスネットワークについての情報を挿入することにより、それがアクセスしたい1つ又は複数のサービスネットワークを指定しうる。
5.PAAは、PANA−Auth−Requestメッセージを送り、EAP(Extensible Authentication Protocol:拡張認証プロトコル)メッセージおよびPANAセッション識別子を送る。PANA−Auth−Requestメッセージは、進行中の認証に関係しているサービスネットワークについての情報を含むことができる。EAPは、トークンカード、ワンタイムパスワード、証明書、公開鍵認証、およびスマートカードのような複数の認証方法をサポートする認証用の一般的なプロトコルである。認証の目的は、クライアント又はユーザの身元を確認することである。
6.PaCは、PANA−Auth−Requestメッセージに応答してPANA−Auth−Answerメッセージを返し、EAPメッセージを伝える。
7.EAP認証処理が終了するまで、必要な場合には、ステップ5および6が繰り返される。
8.EAP認証処理が終了した場合、PAAは、EAP成功/失敗メッセージを含むPANA−Bind−RequestメッセージをPaCに送る。EAP認証が成功して終了する場合、PAAに関連したアクセスルータのIPアドレスのリストが、メッセージ内に追加されて含まれる。PAAがアクセスルータと同一場所に配置されていない場合、PAAに関連し、サービスネットワークに接続されたアクセスルータ名のリストが、メッセージ内に追加されて含まれる。PANA−Bind−Requestは、PAAがPaCへのアクセスを認可したサービスネットワークに関する情報を含んでいる。クライアント認証が失敗すれば、クライアントノードは、どのサービスネットワークへのアクセスも与えられない。
9.PaCは、PANA−Bind−AnswerメッセージをPAAに返す。
10.EAP認証が1つ又は複数のサービスネットワークのために必要とされる場合、ステップ5乃至9が、各サービスネットワークのために繰り返される。
【0032】
上記シーケンスでは、EAPマスタセッションキー(MSK)を導出可能な少なくとも1つのEAP認証方法が使用されると仮定する。導出されたMSKは、PaCとPAAの間で共有される。導出したMSKを用いたEAP認証処理が成功して終了すると、PaCが、サービスネットワークにアクセスを持つことを認可できるように、PAAは、PAAに関連し、ステップ4においてPaCによって指定されたサービスネットワークに接続された各アクセスルータに、少なくとも以下の情報を送る。
・PANAセッション識別子。
・MSKから導出されIKEが予め共有された秘密データ。
【0033】
(アクセスルータへの安全なトンネルを確立すること)
サービスネットワーク広告情報およびクライアントノード認証(広告及び認証のためにPANAを使用した場合)の受信に成功するか、又はサービスネットワーク広告情報(ルータディスカバリを用いた場合)を受信すると、クライアントは、PAAに関連したどのアクセスルータが、どのサービスネットワークに接続されているのかを知る。そして、クライアントは、IPSecトンネルを確立するために、任意のアクセスルータを用いてIKEを実行することができる。
【0034】
IKEは、インターネットセキュリティアソシエーションおよびキーマネジメントプロトコル(ISAKMP:Internet Security Association and Key Management Protocol)フレームワーク内で、Oakleyキー交換(Oakley key exchange)及びSkemeキー交換(Skeme key exchange)を実施するハイブリッドプロトコルである(ISAKMP、Oakley及びSkemeは、IKEによって実施されるセキュリティプロトコルである)。IPSecは、参加するピア間のデータ機密性、データ完全性、およびデータ認証を提供するオープンスタンダードなフレームワークである。IPSecは、IP層において、これらセキュリティサービスを提供する。それは、ローカルポリシーに基づいたプロトコルとアルゴリズムの交渉を取り扱い、かつIPSecによって使用される暗号化と認証のキーを生成するためにIKEを使用する。IPSecは1ペアのホスト間の、1ペアのセキュリティゲートウェイ間の、あるいはセキュリティゲートウェイとホストとの間の、1つ又は複数のデータフローを保護するために使用することができる。
【0035】
認証が、安全なトンネルの確立段階に入る前に行なわれた場合、認証手続きで導出されたIKEが予め共有されたキーは、IKEが、IKEエンドポイントを認証するために使用される(したがって、交渉中には、他のクライアント認証は行なわれない)。クライアントは、IKEv1内のISAKMPセキュリティアソシエーション(ISAMKP SA)識別子、あるいはIKEv2内のIKE_SA識別子として、アクセスネットワーク内のPANAセッション識別子あるいは有効なIPアドレスを使用することができる。IPアドレスがIKEv1内のISAKMP SA識別子として使用される場合、IKEv1メインモードを使用する必要がある。
【0036】
あるいは、クライアント認証が、安全なトンネルの確立段階に入る前に行なわれなかった場合、IKEが予め共有されたキーを用いる以外の認証手続きは、IKE交渉内に行なわれねばならない。この場合、認証手続きに特有の識別子が使用される。
【0037】
アクセスルータが、複数のサービスネットワーク(例えば、図1に示すアクセスルータAR2)に接続される場合、IPSecトンネルを特定のサービスネットワークに結び付けるためのメカニズムが必要である。これによって、アクセスルータは、(1)サービスネットワークのアドレスブロックからIPSecトンネル内部アドレスを割り当て、(2)クライアントとサービスネットワークとの間でパケットを転送することができる。その結び付けは、IPSec SA識別子信用証書として、サービスネットワークについての情報を使用することにより、IKE交渉内で作成することができる。このように、図2に示すように、クライアントノードとアクセスルータとの間に、それぞれが、別個のサービスネットワークに向かう複数のIPSecトンネルを確立することが可能である。例えば、アクセスネットワーク全体に対する単一のPANA認証及びセッション識別子、各アクセスルータに対する単一のPANA認証及び識別子、各サービスネットワークに対する単一のPANA認証及び識別子のような複数のスキームを使用することができる。各サービスネットワークに対する認証があるところでは、PANAセッション識別子は、IKEのための識別子として使用されてもよい。しかし、他の場合では、クライアントは、特定のサービスネットワークに対するIKEのためのユニークな識別子を使用/生成しなければならない。あるいは、他の情報/識別子 交換/交渉が、IKEの間必要かもしれない。
【0038】
IKEv2がIPSecトンネルの確立のために使用される場合、クライアントノードとアクセスルータとの間で、それぞれがサービスネットワークに向かう複数のIPSecトンネルを確立することも可能である。アクセスルータが1つのみのサービスネットワークに接続される場合、1つのみの結び付けが存在し、別の識別子が使用されうる。
【0039】
IPSecトンネルSAの内部アドレスは、トンネルを終了するアクセスルータによって、IKE交渉の間に割り当てられるかもしれない。例えば、IKEv2は、IPSecトンネル内部アドレスを割り当てるために、設定ペイロード交換を定義する。内部アドレスがIKE交渉内に割り当てられていない場合、DHCPは、確立されたIPSecトンネルを通じて行なわれるかもしれない。いずれにせよ、割り当てられたIPSec内部アドレスは、IPSec SAへ向けられたサービスネットワークに有効であるに違いない。例えばサブネットプレフィックス(あるいはネットマスク)、DNS(ドメインネームシステム)サーバアドレス、あるいはDHCPサーバアドレスのようなその他の設定情報が、IKE交渉内で割り当てられるかもしれない。更に、クライアントノードがルータである場合、サービスネットワークから委任されたIPv6プレフィクスは、確立されたIPSecトンネルを経由して、プレフィックス委任オプションを持つDHCPv6を実行することにより割り当てることができる。この場合、委任されたプレフィクスは、クライアントルータが、サービスネットワークへのクライアント−サイドゲートウェイとして役立つ他のクライアントノード内で共有することができる。
【0040】
アクセスルータは、異なるクライアントノードからのIPSecトンネル、及び/又は同じクライアントノードからのトンネルの間で、差別化されたサービスを提供するために、それが終端するIPSecトンネル上でサービス品質(QoS)制御を実行することができる。クライアントノードがIKE内のIPSec SA交渉の間にQoS情報を指定できるように、サービスネットワークについての広告情報は、QoS情報をも含むことができる。
【0041】
本発明は、同じアクセスネットワーク上のマルチアクセスルータが、同じサービスネットワークに接続することを可能にする。すなわち、アクセスルータ間の負荷平準が可能である。PANAがネットワーク広告と認証とを提供するのに使用される場合、認証過程中に、PANA−Bind−Requestメッセージに含まれていたアクセスルータのリストは、どのアクセスルータが、どのサービスネットワークに接続されるのかを識別するために使用することができる。
【0042】
ブロードキャスト及び/又はマルチキャストされたトラフィックは、IPSecトンネルを経由しても送信される。アクセスルータは、IPSecトンネルを経由してブロードキャスト/マルチキャストされたトラッフィックの送信を許可及び禁止するための設定オプションを持つこともできる。
【0043】
アクセスルータに対するIPSecトンネルを持っているクライアントノードは、アクセスネットワーク内の他のノードへのパケットの送受信のためにIPSecトンネルを使用しないかもしれない。そのようなパケットは、アクセスネットワーク内のローカルプリンタへの印刷データのようなアプリケーショントラッフィックを含んでいる。
【0044】
(使用法シナリオ)
本発明がDSLまたは無線LANホットスポット中で使用される場合、サービスネットワークは、ISPネットワークあるいはNAP交換ネットワークになりえる。アクセスネットワークは、一般に、単一のNAPによって所有される。しかし、複数のNAPが、同じアクセスネットワークを共有することも可能である。単一のNAP301がアクセスネットワーク101を所有する場合における物理的トポロジの例が、図3に示される。
【0045】
この例では、クライアントノード103は、ISP1,ISP2,ISP3、あるいはNAP301によって所有されたサービスネットワークのうちの1つ、幾つか、又は全てに対する接続を選択的に確立することができる。PANAがクライアントノードを認証するために使用される場合、恐らく異なるクライアント識別子を使用することによって、単一のPANAセッションにおいて、1つはISPに対する、もう1つはNAPに対する2つのEAP認証を実行することが可能である。クライアントノード103が、異なるISPへの複数のIPSecトンネルを生成する場合、マルチホーミングが達成される。各プロバイダ(ISPまたはNAPかの何れか)のために、プロバイダの識別子および名前は、サービスネットワーク情報として使用されてもよい。
【0046】
VLAN用途のための物理的なトポロジの例が、図4乃至図8に示される。VLANトポロジは主として企業ネットワーク設定に使用される。図4に示す例では、ネットワーク内に形成された4つのVLANがある。アクセスVLAN401は、クライアントノード103のためのアクセスネットワークとして使用される。サービスVLAN402乃至404は、サービスネットワークとして使用されるVLANである。サービスVLANへの接続は、クライアントノード103と、アクセスルータAR1,AR2との間で確立されたIPSecトンネルのみを通ってなされる(VLANが同じ物理的なネットワーク内に構成される場合、アクセスルータは仮想ルータかもしれない)。各サービスVLANについて、VLANの識別子および名前は、サービスネットワーク情報として使用される。
【0047】
更に、アクセスネットワークが、図5に示すようなマルチアクセスVLAN 501,502からなることが可能である。この構成は、アクセスネットワーク内のトラフィックを分割するのに役立つ(レガシー(legacy)VLANネットワークが行うように)。これによって、クライアントノードによるサービスVLANへの動的な結び付け生成を可能にしながら、クライアントノード103は、アクセスVLAN501を経由してサービスVLAN402乃至404への接続を確立することができる。また、クライアントノード104は、アクセスVLAN502を経由してサービスVLAN402乃至404への接続を確立することができる。
【0048】
本発明が、仮想アクセスポイント(VAP)に基づいたレイヤ2動的VLANモデルと共にどのように使用されるかを、図6および図7を参照して説明する。仮想アクセスポイントは物理的なアクセスポイント(AP)内に存在する論理的な実体である。単一の物理的APが複数の仮想APをサポートする場合、たとえ単一の物理的APだけが存在しても、仮想APは、クライアント局に対して、それぞれ独立した物理的APとして見える。例えば、単一の物理的APの中に複数の仮想APが存在し、それぞれが、別個のSSIDおよび機能セットを広告しうる。VLANを識別するための情報として、IEEE 802.11 SSIDが使用されると仮定される。以下に説明するように、本発明の場合、2つの代替構成がある。これら2つの構成は組み合わせることもできる。
【0049】
APがIPSec(又はIEEE 802.11i)ほど強い安全なアクセスメカニズムと、動的なVLAN(すなわち、複数のVLANを取り扱う能力)との両方をサポートする場合、図6に示すように、別個のSSIDが各サービスVLANに関係しているサービスVLANに、APを直接(仮想的に)接続することが可能である。クライアントノード103は、有線イーサネット接続601を経由してサービスVLAN1乃至3に接続するために、本発明を使用する。一方、無線クライアントノード104(IEEE 802.11iをサポートする)は、仮想AP3への無線接続602を経由して、サービスネットワークへ直接接続することができる。しかしながら、無線クライアントは、複数の無線LANカードを持っていないのであれば、(あるいは単一の物理層上のある種の「仮想局」インタフェースをサポートしていないのであれば)、複数のサービスVLANに同時に接続することはできないだろう。
【0050】
APが動的なVLAN機能をサポートするが、IPSecほど強い安全なアクセスメカニズムをサポートしない場合、ネットワークアドミニストレータは、APが、サービスVLANへ直接接続されることを許可しないだろうが、図7に示すように、アクセスVLANには接続されうる。この場合、クライアントノード103(104)は、先ず、仮想AP701(702)を経由してアクセスVLAN501(502)に接続し、次に、サービスVLAN402乃至404への接続を確立するために本発明を使用する。
【0051】
図8に示すように、クライアントノード103は、遠隔ネットワークサイト801からサービスVLAN402乃至404に接続したい場合もある。もしもクライアントノード103が、サービスプロバイダ広告情報を受信できるように、PAA又はアクセスルータAR1,AR2のIPアドレスを知っていれば、本発明は、そのような状況をサポートすることができる。これは、アクセスルータもPAAも、遠隔ネットワークへプロバイダ情報をブロードキャストできないからである。クライアントノードが、DMZ(デミリタライズドゾーン。例えば企業プライベートLANのような信頼されたネットワークと、公共のインターネットのような信頼されていない外部ネットワークとの間に位置するコンピュータ又は小さなサブネットワーク)内のファイアウォールを経由して外部ネットワークから内部ネットワークに接続される場合、次のシナリオが示される。
【0052】
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、DMZ(例えば、サービスVLANのアクセスルータが内部ネットワーク内に配置されている所)内のIPSecゲートウェイを経由してIPSecを用いて保護されるべきであると命じる場合。この場合、サービスVLANのアクセスルータとクライアントノードとの間に確立されたIPSecトンネルを経由して送信されたパケットは、クライアントノードとIPSecVPNゲートウェイとの間で確立された別のIPSecトンネルで保護される(二重のIPSec)。
【0053】
・内部ネットワーク管理ポリシーが、外部ネットワークからの全てのアクセスは、IPSecで保護されるべきであると命ずるが、IPSecゲートウェイは、DMZにある必要がない場合。この場合、追加のIPSecトンネルは必要ではない。
【0054】
また、本発明は、次の方法でモバイルIP(例えばMIPv4)と共に使用することができる。第1に、本発明によって、クライアントノードは、1つのサービスネットワークから別のサービスネットワークへと動的に切り換えることができるので、切り換えが生じる場合、対応するノードへの継続的な接続を必要とするアプリケーションのために安定したIPアドレスが必要とされる(この切り換えは、物理的に移動しないモバイルクライアントノードにおいて生じうることが注目されよう)。モバイルIPの使用によって、ホームアドレスはそのような安定したIPアドレスとして使用することができる。
【0055】
第2に、サービスネットワークに接続されたモバイルクライアントノードは、1つのアクセスネットワークによってカバーされたエリアから、別のアクセスネットワークによってカバーされたエリアへと物理的に移動するかもしれない。ここでは、アクセスネットワークは、サービスネットワークのアクセスネットワーク、あるいは遠隔ネットワーク内のアクセスネットワークかもしれない。モバイルIPを使用することによって、クライアントノードは、アプリケーション接続を失わずに、異なるアクセスネットワーク間をシームレスに移動することができる。
【0056】
何れの場合でも、パケット内にホームアドレスを含んでいるIPヘッダは、IPSecトンネルヘッダー内に見える。DMZを経由して外部サイトから内部サービスネットワークにクライアントノードが接続される場合には、外部移動をサポートするために追加のモバイルIPが使用されてもよい。
【0057】
VLANシナリオでは、モバイルクライアントノードが、複数のサービスVLANへの接続を確立し、各サービスVLANが、自身のホームエージェントを使用する場合、クライアントノードは、複数のホームアドレスを使用して、並列して2つのモバイルIPを実行するかもしれない。上記議論は、モバイルIPv6がモバイルIPの代わりに使用される場合にも当てはまる。
【0058】
(本発明の広い範囲)
本発明の例示的な実施例がここに記載されたが、本発明は、ここに記載された種々の好適な実施例に制限されず、本開示に基づいて当該技術分野における者によって理解されるであろう変形、省略、組み合わせ(例えば様々な実施例にわたった局面の)、適用、及び/又は変更を有する任意及び全ての実施例を含んでいる。請求項における制限は、請求項で使用された文言に基づいて広く解釈されるべきであり、本明細書で記載された例、又は応用の実施内に限定されない。これら例は、非限定的であると解釈されるべきである。例えば、本開示において、用語「好適に(preferably)」は、非限定的であり、「好適であるが、それに限定されない」ことを意味する。ミーンズ・プラス・ファンクション又はステップ・プラス・ファンクション限定は、その限定の中に以下の全ての条件が存在する特定の請求項に限って適用される。a)「〜する手段(means for)」又は「〜するステップ(step for)」(すなわち、〜のステップではない)が明示的に列挙されている。b)対応する機能が明示的に列挙されている。c)構造、材料、又はその構造をサポートする動作が列挙されていない。本開示、および出願の実施において、用語「本発明」あるいは「発明」は、本開示内の1つ又は複数の局面に対する参照として使用される。本発明あるいは発明という用語は、重大場面の見出しとして不適切に解釈されるべきではなく、全ての局面又は実施例にわたって適用されると不適切に解釈されるべきではなく(すなわち、本発明は多くの局面及び実施例を持つと解釈されるべきであり)、出願又は請求項の範囲を限定するものとして不適当に解釈されるべきではない。本開示、および出願の実施において、用語「実施例」は、いかなる局面、特徴、プロセス又はステップ、それらの任意の組み合わせ、及び/又はそれらの任意の部分等を記述するために使用することができる。いくつかの例では、様々な実施例が、重複した特徴を含んでいるかもしれない。
【図面の簡単な説明】
【0059】
【図1】図1は、本発明の1つの好適な実施例による物理的なネットワークトポロジの図である。
【図2】図2は、図1のトポロジをオーバレイする本発明の1つの好適な実施例による論理的なネットワークトポロジの図である。
【図3】図3は、ISPとNAPを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図4】図4は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図5】図5は、アクセスVLANとサービスVLANとを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図6】図6は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図7】図7は、仮想アクセスポイントを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【図8】図8は、遠隔ネットワークを使用した本発明の1つの好適な実施例によるネットワークトポロジの図である。
【特許請求の範囲】
【請求項1】
クライアントノードをサービスネットワークに動的に接続する方法であって、
クライアントノードがネットワーク接続をしているアクセスネットワークを準備することと、
前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している少なくとも1つのアクセスルータを準備することと、
サービスネットワークプロバイダ広告情報を、前記クライアントノードに送信することと、
前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
前記アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと
の各ステップを含んでなる方法。
【請求項2】
前記通信トンネルを確立する前に、前記クライアントノードを認証するステップを更に含む請求項1に記載の方法。
【請求項3】
前記アクセスネットワークに対してネットワーク接続しており、少なくとも2つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含んでなる請求項1に記載の方法。
【請求項4】
前記クライアントノードによって指定されたサービスネットワークが、前記第2のアクセスルータに関連している場合、前記確立するステップは更に、前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記第2のアクセスルータによって関連付けられた前記指定されたサービスネットワークへ前記通信トンネルを結び付けるステップを含む請求項3に記載の方法。
【請求項5】
前記アクセスルータは、少なくとも2つのサービスネットワークに対してネットワーク接続をしており、前記方法は更に、前記アクセスネットワークを経由して、前記クライアントノードと前記アクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記2つのサービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを含む請求項1に記載の方法。
【請求項6】
前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含み、前記アクセスネットワークを経由して、前記クライアントノードと前記第2のアクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記通信トンネルを経由して、前記アクセスルータに関連する前記サービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを更に含む請求項1に記載の方法。
【請求項7】
前記サービスネットワークプロバイダ広告情報を送信するステップは、PANAプロトコルを使用するステップを含む請求項1に記載の方法。
【請求項8】
前記サービスネットワークプロバイダ広告情報を送信するステップは、ルータディスカバリメカニズムを使用するステップを含む請求項1に記載の方法。
【請求項9】
前記少なくとも1つのサービスネットワークは、サービスプロバイダネットワークを含む請求項1に記載の方法。
【請求項10】
前記少なくとも1つのサービスネットワークは、ネットワークアクセスプロバイダネットワークを含む請求項1に記載の方法。
【請求項11】
前記少なくとも1つのサービスネットワークは、VLANサービスネットワークを含む請求項1に記載の方法。
【請求項12】
クライアントノードが経由して前記VLANサービスネットワークに直接接続する仮想アクセスポイントを、前記VLANサービスネットワーク内に準備するステップを更に含む請求項11に記載の方法。
【請求項13】
前記アクセスネットワークは、IPアクセスネットワークを含む請求項1に記載の方法。
【請求項14】
前記アクセスネットワークは、VLANアクセスネットワークを含む請求項1に記載の方法。
【請求項15】
前記VLANアクセスネットワークは、複数のVLANアクセスサブネットワークへ分割される請求項14に記載の方法。
【請求項16】
クライアントノードが経由して前記VLANアクセスネットワークに接続する仮想アクセスポイントを、前記VLANアクセスネットワーク内に準備するステップを更に含む請求項14に記載の方法。
【請求項17】
前記クライアントノードは、遠隔ネットワークを経由して、前記アクセスネットワークに接続する請求項1に記載の方法。
【請求項18】
前記通信トンネルを確立するステップは、IPSecキー管理プロトコルを使用するステップを含む請求項1に記載の方法。
【請求項19】
前記クライアントノードは、モバイルノードであり、前記アクセスネットワークへの前記クライアントノードのネットワーク接続は、無線接続である請求項1に記載の方法。
【請求項20】
前記通信トンネルは、安全な通信トンネルである請求項1に記載の方法。
【請求項21】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項20に記載の方法。
【請求項22】
複数のインターネットサービスプロバイダにクライアントノードを接続する方法であって、
前記クライアントノードが、前記複数のインターネットサービスプロバイダと通信するアクセスネットワークを準備することと、
前記複数のインターネットサービスプロバイダの各々に対して、前記アクセスネットワーク内で、個別の通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記個別の通信トンネル内で、前記インターネットサービスプロバイダの各々との間でデータパケットを送受信できるようにすることと
の各ステップを含んでなる方法。
【請求項23】
前記通信トンネルは安全な通信トンネルである請求項22に記載の方法。
【請求項24】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項23に記載の方法。
【請求項25】
サービスネットワークにクライアントノードを接続する方法であって、
少なくとも2つのサービスネットワークに対するネットワーク接続を有するアクセスルータを準備することと、
前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと、
前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記指定されたサービスネットワークへ前記通信トンネルを結び付けることと
の各ステップを含んでなる方法。
【請求項26】
前記通信トンネルは安全な通信トンネルである請求項25に記載の方法。
【請求項27】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項26に記載の方法。
【請求項1】
クライアントノードをサービスネットワークに動的に接続する方法であって、
クライアントノードがネットワーク接続をしているアクセスネットワークを準備することと、
前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している少なくとも1つのアクセスルータを準備することと、
サービスネットワークプロバイダ広告情報を、前記クライアントノードに送信することと、
前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
前記アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと
の各ステップを含んでなる方法。
【請求項2】
前記通信トンネルを確立する前に、前記クライアントノードを認証するステップを更に含む請求項1に記載の方法。
【請求項3】
前記アクセスネットワークに対してネットワーク接続しており、少なくとも2つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含んでなる請求項1に記載の方法。
【請求項4】
前記クライアントノードによって指定されたサービスネットワークが、前記第2のアクセスルータに関連している場合、前記確立するステップは更に、前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記第2のアクセスルータによって関連付けられた前記指定されたサービスネットワークへ前記通信トンネルを結び付けるステップを含む請求項3に記載の方法。
【請求項5】
前記アクセスルータは、少なくとも2つのサービスネットワークに対してネットワーク接続をしており、前記方法は更に、前記アクセスネットワークを経由して、前記クライアントノードと前記アクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記2つのサービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを含む請求項1に記載の方法。
【請求項6】
前記アクセスネットワークに対してネットワーク接続しており、少なくとも1つのサービスネットワークに対してネットワーク接続している第2のアクセスルータを準備するステップを更に含み、前記アクセスネットワークを経由して、前記クライアントノードと前記第2のアクセスルータとの間に第2の通信トンネルを確立し、前記クライアントノードが、前記通信トンネルを経由して、前記アクセスルータに関連する前記サービスネットワークの各々と、データパケットを選択的に送受信できるようにするステップを更に含む請求項1に記載の方法。
【請求項7】
前記サービスネットワークプロバイダ広告情報を送信するステップは、PANAプロトコルを使用するステップを含む請求項1に記載の方法。
【請求項8】
前記サービスネットワークプロバイダ広告情報を送信するステップは、ルータディスカバリメカニズムを使用するステップを含む請求項1に記載の方法。
【請求項9】
前記少なくとも1つのサービスネットワークは、サービスプロバイダネットワークを含む請求項1に記載の方法。
【請求項10】
前記少なくとも1つのサービスネットワークは、ネットワークアクセスプロバイダネットワークを含む請求項1に記載の方法。
【請求項11】
前記少なくとも1つのサービスネットワークは、VLANサービスネットワークを含む請求項1に記載の方法。
【請求項12】
クライアントノードが経由して前記VLANサービスネットワークに直接接続する仮想アクセスポイントを、前記VLANサービスネットワーク内に準備するステップを更に含む請求項11に記載の方法。
【請求項13】
前記アクセスネットワークは、IPアクセスネットワークを含む請求項1に記載の方法。
【請求項14】
前記アクセスネットワークは、VLANアクセスネットワークを含む請求項1に記載の方法。
【請求項15】
前記VLANアクセスネットワークは、複数のVLANアクセスサブネットワークへ分割される請求項14に記載の方法。
【請求項16】
クライアントノードが経由して前記VLANアクセスネットワークに接続する仮想アクセスポイントを、前記VLANアクセスネットワーク内に準備するステップを更に含む請求項14に記載の方法。
【請求項17】
前記クライアントノードは、遠隔ネットワークを経由して、前記アクセスネットワークに接続する請求項1に記載の方法。
【請求項18】
前記通信トンネルを確立するステップは、IPSecキー管理プロトコルを使用するステップを含む請求項1に記載の方法。
【請求項19】
前記クライアントノードは、モバイルノードであり、前記アクセスネットワークへの前記クライアントノードのネットワーク接続は、無線接続である請求項1に記載の方法。
【請求項20】
前記通信トンネルは、安全な通信トンネルである請求項1に記載の方法。
【請求項21】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項20に記載の方法。
【請求項22】
複数のインターネットサービスプロバイダにクライアントノードを接続する方法であって、
前記クライアントノードが、前記複数のインターネットサービスプロバイダと通信するアクセスネットワークを準備することと、
前記複数のインターネットサービスプロバイダの各々に対して、前記アクセスネットワーク内で、個別の通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記個別の通信トンネル内で、前記インターネットサービスプロバイダの各々との間でデータパケットを送受信できるようにすることと
の各ステップを含んでなる方法。
【請求項23】
前記通信トンネルは安全な通信トンネルである請求項22に記載の方法。
【請求項24】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項23に記載の方法。
【請求項25】
サービスネットワークにクライアントノードを接続する方法であって、
少なくとも2つのサービスネットワークに対するネットワーク接続を有するアクセスルータを準備することと、
前記クライアントノードがアクセスを希望するサービスネットワークを指定するサービスネットワークプロバイダ情報を、前記クライアントノードから受信することと、
アクセスネットワークを経由して、前記クライアントノードと、前記アクセスルータとの間に通信トンネルを確立し、前記クライアントノードが、前記アクセスネットワークを経由して、前記通信トンネル内で、前記クライアントノードによって指定されたサービスネットワークとデータパケットを送受信できるようにすることと、
前記通信トンネルのセキュリティ関連識別子として、前記指定されたサービスネットワークのサービスネットワーク情報を用いることによって、前記指定されたサービスネットワークへ前記通信トンネルを結び付けることと
の各ステップを含んでなる方法。
【請求項26】
前記通信トンネルは安全な通信トンネルである請求項25に記載の方法。
【請求項27】
IPSecキー管理プロトコルを使用して、前記安全な通信トンネルを確立するステップを更に含む請求項26に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2007−519379(P2007−519379A)
【公表日】平成19年7月12日(2007.7.12)
【国際特許分類】
【出願番号】特願2006−551325(P2006−551325)
【出願日】平成17年1月21日(2005.1.21)
【国際出願番号】PCT/US2005/002040
【国際公開番号】WO2005/072276
【国際公開日】平成17年8月11日(2005.8.11)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
【公表日】平成19年7月12日(2007.7.12)
【国際特許分類】
【出願日】平成17年1月21日(2005.1.21)
【国際出願番号】PCT/US2005/002040
【国際公開番号】WO2005/072276
【国際公開日】平成17年8月11日(2005.8.11)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
[ Back to top ]