專利名稱:通信切換方法和通信消息處理方法以及通信控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信切換(handover)方法和通信消息處理方法以及通信控制方法�����,特別是在無線LAN系統(tǒng)中實現(xiàn)了移動終端與接入點之間的通信安全對策的通信系統(tǒng)中的通信切換方法和通信消息處理方法以及通信控制方法�����。
背景技術(shù):
近年來,通過使用無線LAN(局域網(wǎng)Local Area Network)的移動終端(移動節(jié)點Mobile Node��,以下記作MN)大大促進了網(wǎng)絡(luò)接入技術(shù)的發(fā)展����。例如,MN利用IEEE(Institute of Electrical andElectronics Engineers美國電氣電子工程師學(xué)會)802.11等無線方式與接入點(Access Point����,以下記作AP)連接�,由此,可以通過位于AP的上層的接入路由器(Access Router�����,以下記作AR)接入因特網(wǎng)等外部IP網(wǎng)絡(luò)����。
但是,這種無線LAN通信所構(gòu)建的LAN環(huán)境不使用物理布線���,因此��,是一種很容易受到第三者竊聽通信或非法接入網(wǎng)絡(luò)等侵害的環(huán)境�����。作為針對這種環(huán)境的安全對策�,已經(jīng)開發(fā)出例如IEEE802.1x(參照下述非專利文獻1)這樣的用于實現(xiàn)牢固的安全性的技術(shù)。
IEEE 802.1x是一種在MN接入AP時利用RADIUS(遠程認證撥號用戶服務(wù)Remote Authentication Dial-In User Service)或EAP(擴展認證協(xié)議Extensible Authentication Protocol)等實施端口控制(端口接入控制)的技術(shù)�。圖10是表示現(xiàn)有技術(shù)中的IEEE802.1x中端口控制的概要的圖(參照下述的非專利文獻1的第6章)。圖10中表示了客戶系統(tǒng)(Supplicant System)���、認證系統(tǒng)(Authenticator System)���、認證服務(wù)器系統(tǒng)(Authentication Sever System)。其中�,客戶系統(tǒng)、認證系統(tǒng)�、認證服務(wù)器系統(tǒng)分別對應(yīng)于作為接入客戶端的MN��、作為接入服務(wù)器的AP、以及RADIUS服務(wù)器系統(tǒng)。
客戶系統(tǒng)為了實現(xiàn)符合IEEE 802.1x的認證�,在接入客戶端中安裝了作為必要的軟件的PAE(端口接入實體Port Access Entity)。另外����,認證系統(tǒng)中安裝了認證PAE��。該認證PAE可以經(jīng)由非控制端口與通過LAN(無線LAN)接入進來的客戶系統(tǒng)進行連接并且與認證服務(wù)器系統(tǒng)的認證服務(wù)器進行通信�����。此外���,當(dāng)客戶系統(tǒng)通過了認證服務(wù)器的認證后�,認證PAE進行端口控制,使客戶系統(tǒng)通過控制端口能夠取得例如因特網(wǎng)接入服務(wù)等預(yù)定的服務(wù)�。此外�,認證系統(tǒng)也可以通過參照客戶系統(tǒng)的MAC(Media Access Control媒體接入控制)地址來進行端口控制,使客戶系統(tǒng)不能連接到控制端口和非控制端口這兩個端口�。
另外,圖11是表示在圖10的結(jié)構(gòu)中客戶系統(tǒng)通過認證取得預(yù)定的服務(wù)時的一個動作實例的順序圖。這里��,舉出使用EAP及RADIUS的認證中的一個動作實例進行說明�。
圖11所示的順序圖中的動作大致分為前半部分的MAC認證(步驟S1001~S1004)和后半部分的基于IEEE 802.1x的認證(步驟S1101~S1111)��。首先�,當(dāng)客戶系統(tǒng)已經(jīng)連接到認證系統(tǒng)的情況下(即MN已經(jīng)連接到AP的情況下),客戶系統(tǒng)向認證系統(tǒng)發(fā)送所使用的SSID(Service Set ID服務(wù)集標(biāo)識符)和通信速度作為“探測請求”(Probe Request)(步驟S1001)��,認證系統(tǒng)則向客戶系統(tǒng)發(fā)送所使用的通信速度作為其應(yīng)答即“探測響應(yīng)”(Probe Response)(步驟S1002)��。接著�,客戶系統(tǒng)向認證系統(tǒng)發(fā)送MAC地址作為“開放認證請求”(OpenAuthentication Request)(步驟S1003)���,認證系統(tǒng)在完成MAC地址的確認之后向客戶系統(tǒng)發(fā)出無線線路可以正常使用的通知作為“MAC認證應(yīng)答”(MAC Authentication Ack)(步驟S1004)。
接著�,客戶系統(tǒng)向認證系統(tǒng)發(fā)送作為EAP開始請求的“EAPOL-開始”(EAPOL-START)(步驟S1101),認證系統(tǒng)則向客戶系統(tǒng)發(fā)送“EAP-請求/身份”(EAP-Request/Identity),由此開始EAP(步驟S1102)�。EAP開始后���,客戶系統(tǒng)向認證系統(tǒng)發(fā)送包含該客戶系統(tǒng)ID(識別信息)的“EAP-響應(yīng)/身份”(EAP-Response/Identity)(步驟S1103),認證系統(tǒng)將該信息作為“Radius-接入-請求”(Radius-Access-Request)傳輸給認證服務(wù)器系統(tǒng)(步驟S1104)�����。認證服務(wù)器系統(tǒng)向認證系統(tǒng)發(fā)送客戶系統(tǒng)的證書發(fā)送要求和認證服務(wù)器系統(tǒng)的證書作為“Radius-接入-詢問”(Radius-Access-Challenge)(步驟S1105),認證系統(tǒng)則將該信息作為“EAP-請求”(EAP-Request)傳輸給客戶系統(tǒng)(步驟S1106)。
接著��,客戶系統(tǒng)向認證系統(tǒng)發(fā)送包含表示其是正式的客戶端的證書的“EAP-響應(yīng)(證書)”(EAP-Response(credentials))(步驟S1107)����,認證系統(tǒng)則將該信息作為“Radius-接入-請求”(Radius-Access-Request)傳輸給認證服務(wù)器系統(tǒng)(步驟S1108)���。認證服務(wù)器系統(tǒng)通過預(yù)定的認證處理對客戶系統(tǒng)進行認證后��,向認證系統(tǒng)發(fā)送表示認證成功的信息以及成為通信用加密解密密鑰的基礎(chǔ)的信息作為“Radius-接入-詢問”(Radius-Access-Challenge)(步驟S1109)�。認證系統(tǒng)通過“EAP-成功”(EAP-Success)通知客戶系統(tǒng)認證成功(步驟S1110)�,并且生成通信用加密解密密鑰(這里是EAPOL-密鑰(WEP)),傳給客戶系統(tǒng)(步驟S1111)�。
借助于以上動作,生成并共享客戶系統(tǒng)與認證系統(tǒng)之間的無線線路中所使用的通信用加密解密密鑰���,并且認證系統(tǒng)進行端口控制,以便向已經(jīng)完成認證的客戶系統(tǒng)提供通過控制端口的向預(yù)定服務(wù)的接入�。此外���,雖然省略了說明,但在上述動作中��,在客戶系統(tǒng)與認證服務(wù)器系統(tǒng)之間也進一步進行例如TLS(Transport Layer Security傳輸層安全)等可用加密/壓縮方式的確認等相關(guān)消息的交換���。
另一方面�,上述這種基于IEEE 802.1x等的安全保障處理在每次MN連接到AP時都進行�����。因此��,當(dāng)MN在與新的AP進行連接的情況下��,需要進行圖10所示的一系列動作����,例如,當(dāng)在不同AP之間切換連接的切換過程中(特別是當(dāng)存在需要進行實時通信并正處在進行過程中的會話等的情況下)��,每次切換時都會發(fā)生通信延遲或斷絕等���。
考慮到這種問題�����,在例如下述的專利文獻1中公開了一種技術(shù)����,其在圖12所示的網(wǎng)絡(luò)結(jié)構(gòu)中,認證服務(wù)器903向AP902發(fā)布MN900與AP901之間的通信用加密解密密鑰��,由此�,當(dāng)MN900在AP901、902之間發(fā)生切換的情況下����,在通過認證發(fā)布新的通信用加密解密密鑰之前,使用切換前所使用的通信用加密解密密鑰進行與切換目的地AP902的無線通信����。借助于該技術(shù),每當(dāng)MN900與AP901���、902連接時��,即使需要對MN900進行認證���,當(dāng)MN900在AP901、902之間發(fā)生切換時�����,也不會因認證而引起MN900與AP901��、902之間的通信發(fā)生中斷��。
另外����,在下述的非專利文獻2中描述了一種通常被稱為FMIP(FastMobile IP快速移動IP)的技術(shù),其中����,MN在進行其切換之前構(gòu)造出與切換后所連接的子網(wǎng)相適應(yīng)的CoA(Care ofAddress轉(zhuǎn)交地址),由此���,就可以在切換后立即迅速地重新開始通信��。
非專利文獻1IEEE Std 802.1X-2001����,“IEEE Standard for Localand metropolitan area networks-Port-Based Network Access Control”published 13 July 2001。
非專利文獻2Rajeev Koodli“Fast Handovers for Mobile IPv6”���,draft-ietf-mobileip-fast-mipv6-08���,October 2003專利文獻1特開平2003-259417號公報(圖1、圖14����、0074~0079段)但是,專利文獻1中公開的技術(shù)雖然在多個AP由同一認證服務(wù)器(或者是同一管理者(運營商)運營的認證服務(wù)器)進行管理的網(wǎng)絡(luò)結(jié)構(gòu)中非常有效��,但如圖13所示��,如果是由連接到IP網(wǎng)絡(luò)910的不同的認證服務(wù)器911�、912進行管理,則很難對分別位于各個認證服務(wù)器下面的AP發(fā)布同一個通信用加密解密密鑰��。尤其是�,隨著今后無線LAN的普及,各個管理者獨自配設(shè)AP����,在不同管理者所管理的AP之間進行切換的環(huán)境會越來越多。這種在不同管理者所管理的AP之間的切換即使欲采用專利文獻1中描述的技術(shù)在認證服務(wù)器911��、912之間交換通信用加密解密密鑰,一方的AP(切換前MN900所連接的AP)901的認證服務(wù)器911也無法特別指定另一方的AP(切換后MN900所連接的AP)902的認證服務(wù)器912的位置�����,就會出現(xiàn)無法交換通信用加密解密密鑰的問題��。
另外���,如果使用非專利文獻2中描述的技術(shù),在切換時雖然能夠?qū)崿F(xiàn)IP層等第3層以上的快速的處理��,但對于第2層以下的處理���,必須進行上述非專利文獻1中描述的認證處理(例如圖11所示的一系列動作)��。即�����,非專利文獻2中描述的技術(shù)中所存在的問題是無法解決在切換時因第2層以下的處理所產(chǎn)生的通信延遲或斷絕��。
發(fā)明內(nèi)容
鑒于上述問題����,本發(fā)明的目的是,即使移動節(jié)點在存在于不同接入路由器的鏈路上的接入點之間進行切換時�����,也能夠迅速地確立移動節(jié)點與接入點之間的安全性����,降低因切換而引起的通信延遲或斷絕。
為了實現(xiàn)上述目的����,本發(fā)明的通信切換方法是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的通信切換方法,其中����,上述第1接入路由器其下具有上述第1接入點,上述第2接入路由器其下具有上述第2接入點��,該方法具有以下步驟切換決定步驟�����,連接到上述第1接入點的����、在與上述第1接入點之間共享通信用加密解密密鑰并使用上述通信用加密解密密鑰來進行與上述第1接入點之間的加密通信的上述移動終端����,決定從上述第1接入點向上述第2接入點進行上述切換并且從上述第2接入點取得上述第2接入點的識別信息��;第1通知步驟����,上述移動終端經(jīng)由上述第1接入點向上述第1接入路由器通知上述第2接入點的識別信息、上述移動終端的識別信息����、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�����;第2通知步驟����,上述第1接入路由器根據(jù)從上述移動終端通知的上述第2接入點的識別信息來特別指定上述第2接入路由器,對上述第2接入路由器通知上述移動終端的識別信息��、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰����;第3通知步驟����,上述第2接入路由器對上述第2接入點通知從上述第1接入路由器通知的上述移動終端的識別信息��、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�����;比較步驟����,上述第2接入點通過上述移動終端的識別信息來識別通過上述切換與上述第2接入點連接的上述移動終端,將連接到上述第2接入點的上述移動終端的識別信息與在上述第3通知步驟中從上述第2接入路由器通知的上述移動終端的識別信息進行比較��;以及通信控制步驟�,上述第2接入點根據(jù)上述比較步驟的比較結(jié)果,在和具有與從上述第2接入路由器通知的上述移動終端的識別信息相一致的上述識別信息的上述移動終端之間����,使用在上述移動終端與上述第1接入點之間的加密通信中所使用的上述通信用加密解密密鑰來進行加密通信,并且對上述移動終端進行用于允許對上述第2接入路由器的接入的控制��。
由此���,移動終端(移動節(jié)點)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的鏈路上的接入點(第1接入點及第2接入點)之間進行切換的情況下��,也能夠在移動終端與切換后移動終端所連接的接入點(第2接入點)之間迅速地確立安全性����,降低因切換而引起的通信延遲或斷絕。
進而�����,本發(fā)明的通信切換方法具有以下步驟認證成功通信步驟�,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理,當(dāng)上述移動終端通過認證并生成了和上述移動終端與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時����,上述第2接入點在與上述移動終端之間使用上述新的通信用加密解密密鑰來進行加密通信��,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制�����;以及認證失敗通信步驟�,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理,當(dāng)上述移動終端沒有通過認證時�,上述第2接入點對上述移動終端進行用于不允許對上述第2接入路由器的接入的控制。
由此,對于通過切換而連接到接入點(第2接入點)的移動終端�,使用移動終端在切換前所使用的通信用加密解密密鑰迅速地開始臨時的通信,并且并行進行認證處理�����,這樣就能夠再次進行移動終端的認證及接入控制���。
進而��,本發(fā)明的通信切換方法在上述第1通知步驟中����,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰嵌入到FMIP的RtSolPr消息或FBU消息中并從上述移動終端發(fā)送給上述第1接入路由器�����。
由此�,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端傳輸?shù)揭苿咏K端在切換前所連接的接入路由器(第1接入路由器)。
進而�����,本發(fā)明的通信切換方法在上述第2通知步驟中����,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰嵌入到FMIP的HI消息中并從上述第1接入路由器發(fā)送給上述第2接入路由器���。
由此,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端在切換前所連接的接入路由器(第1接入路由器)傳輸?shù)揭苿咏K端在切換后所連接的接入路由器(第2接入路由器)��。
另外��,為實現(xiàn)上述目的�����,本發(fā)明的通信切換方法是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中從第1接入點向第2接入點進行切換的移動終端中的通信切換方法����,其中,上述第1接入路由器其下具有上述第1接入點���,上述第2接入路由器其下具有上述第2接入點,該方法具有以下步驟切換決定步驟����,在連接到上述第1接入點的、在與上述第1接入點之間共享通信用加密解密密鑰并使用上述通信用加密解密密鑰來進行與上述第1接入點之間的加密通信的狀態(tài)下��,決定從上述第1接入點向上述第2接入點進行上述切換并且從上述第2接入點取得上述第2接入點的識別信息;通知步驟�,經(jīng)由上述第1接入點向上述第1接入路由器通知上述第2接入點的識別信息、上述移動終端的識別信息����、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰;以及通信步驟�,當(dāng)通過上述切換而連接到上述第2接入點時,在與從上述第1接入路由器經(jīng)由上述第2接入路由器接收到上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的上述第2接入點之間���,使用和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰來進行加密通信���。
由此,移動終端(移動節(jié)點)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的鏈路上的接入點(第1接入點及第2接入點)之間進行切換的情況下����,也能夠在移動終端與切換后移動終端所連接的接入點(第2接入點)之間迅速地確立安全性,降低因切換而引起的通信延遲或斷絕��。
進而��,本發(fā)明的通信切換方法具有以下步驟認證成功通信步驟����,和上述通信步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理����,當(dāng)上述移動終端通過認證并生成了和與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時���,上述移動終端在與上述第2接入點之間使用上述新的通信用加密解密密鑰來進行加密通信��,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制�。
由此���,對于通過切換而連接到新的接入點(第2接入點)的移動終端���,使用移動終端在切換前所使用的通信用加密解密密鑰迅速地開始臨時的通信,并且并行進行認證處理��,這樣就能夠再次進行移動終端的認證及接入控制�����。
進而��,本發(fā)明的通信切換方法其具有以下步驟生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的RtSolPr消息或FBU消息����,在上述通知步驟中,將上述RtSolPr消息或FBU消息發(fā)送給上述第1接入路由器����。
由此,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的上述通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端傳輸?shù)揭苿咏K端在切換前所連接的接入路由器(第1接入路由器)����。
另外,為實現(xiàn)上述目的��,本發(fā)明的通信消息處理方法是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第1接入路由器中的通信消息處理方法�,其中,上述第1接入路由器其下具有上述第1接入點����,上述第2接入路由器其下具有上述第2接入點,該方法具有以下步驟接收步驟��,從上述移動終端接收上述第2接入點的識別信息�、上述移動終端的識別信息、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�;連接目的地特別指定步驟,根據(jù)上述第2接入點的識別信息來特別指定上述第2接入路由器�����;以及通知步驟,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰通知給在上述連接目的地特別指定步驟中所特別指定的上述第2接入路由器�����。
由此�����,移動終端(移動節(jié)點)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的鏈路上的接入點(第1接入點及第2接入點)之間進行切換的情況下��,也能夠在移動終端與切換后移動終端所連接的接入點(第2接入點)之間迅速地確立安全性�,降低因切換而引起的通信延遲或斷絕。
進而�,本發(fā)明的通信消息處理方法在上述接收步驟中,從上述移動終端接收嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的RtSolPr消息或FBU消息�����。
由此�,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的上述通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端傳輸?shù)揭苿咏K端在切換前所連接的接入路由器(第1接入路由器)。
進而����,本發(fā)明的通信消息處理方法還具有以下步驟生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的HI消息,在上述通知步驟中�,將上述HI消息發(fā)送給上述第2接入路由器���。
由此��,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的上述通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端在切換前所連接的接入路由器(第1接入路由器)傳輸?shù)揭苿咏K端在切換后所連接的接入路由器(第2接入路由器)�。
另外,為實現(xiàn)上述目的�����,本發(fā)明的通信消息處理方法是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第2接入路由器中的通信消息處理方法�,其中,上述第1接入路由器其下具有上述第1接入點��,上述第2接入路由器其下具有上述第2接入點�����,該方法具有以下步驟接收步驟����,從上述第1接入路由器接收上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰;以及通知步驟�,對上述第2接入點通知從上述第1接入路由器通知的上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰。
由此�,移動終端(移動節(jié)點)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的鏈路上的接入點(第1接入點及第2接入點)之間進行切換的情況下����,也能夠在移動終端與切換后移動終端所連接的接入點(第2接入點)之間迅速地確立安全性��,降低因切換而引起的通信延遲或斷絕����。
進而,本發(fā)明的通信消息處理方法在上述接收步驟中�,從上述第1接入路由器接收嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的HI消息。
由此����,就能夠?qū)⒁苿咏K端的識別信息以及和與切換前移動終端所連接的接入點(第1接入點)的加密通信有關(guān)的上述通信用加密解密密鑰加載到FMIP的各個消息中而高效地從移動終端在切換前所連接的接入路由器(第1接入路由器)傳輸?shù)揭苿咏K端在切換后所連接的接入路由器(第2接入路由器)。
本發(fā)明的通信消息處理方法還具有以下步驟消息生成步驟�����,生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的通知消息����,在上述通知步驟中,將上述通知消息發(fā)送給上述第2接入點�。
由此,通過從移動終端在切換后所連接的接入路由器(第2接入路由器)向移動終端在切換后所連接的接入點(第2接入點)發(fā)送通知消息,就能夠?qū)囊苿咏K端在切換前所連接的接入路由器(第1接入路由器)通知的移動終端的識別信息和通信用加密解密密鑰傳輸?shù)降?接入點�����。
另外�����,為實現(xiàn)上述目的����,本發(fā)明的通信控制方法是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第2接入點中的通信控制方法�,其中,上述第1接入路由器其下具有上述第1接入點�,上述第2接入路由器其下具有上述第2接入點,該方法具有以下步驟接收步驟�����,上述第2接入路由器從上述第2接入路由器接收從上述第1接入路由器通知的上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�;比較步驟,通過上述移動終端的識別信息來識別通過上述切換與上述第2接入點連接的上述移動終端���,將連接到上述第2接入點的上述移動終端的識別信息與在上述接收步驟中從上述第2接入路由器通知的上述移動終端的識別信息進行比較��;以及通信控制步驟���,根據(jù)上述比較步驟的比較結(jié)果�����,在和具有與從上述第2接入路由器通知的上述移動終端的識別信息相一致的上述識別信息的上述移動終端之間�����,使用在上述移動終端與上述第1接入點之間的加密通信中所使用的上述通信用加密解密密鑰來進行加密通信�,并且對上述移動終端進行用于允許對上述第2接入路由器的接入的控制����。
由此,對于通過切換而連接到新的接入點(第2接入點)的移動終端�,使用移動終端在切換前所使用的通信用加密解密密鑰迅速地開始臨時的通信,并且并行進行認證處理��,這樣就能夠再次進行移動終端的認證及接入控制�。
進而,本發(fā)明的通信控制方法具有以下步驟認證成功通信步驟����,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理�,當(dāng)上述移動終端通過認證并生成了和上述移動終端與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時���,在與上述移動終端之間使用上述新的通信用加密解密密鑰來進行加密通信���,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制;以及認證失敗通信步驟�,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理,當(dāng)上述移動終端沒有通過認證時��,對上述移動終端進行用于不允許對上述第2接入路由器的接入的控制�。
由此����,對于通過切換而連接到新的接入點(第2接入點)的移動終端,使用移動終端在切換前所使用的通信用加密解密密鑰迅速地開始臨時的通信���,并且并行進行認證處理�����,這樣就能夠再次進行移動終端的認證及接入控制���。
本發(fā)明的通信切換方法和通信消息處理方法以及通信控制方法具有上述結(jié)構(gòu),其具有的效果是即使當(dāng)移動節(jié)點在存在于不同接入路由器的鏈路上的接入點之間進行切換的情況下,也能夠在移動節(jié)點與接入點之間迅速地確立安全性�,降低因切換而引起的通信延遲或斷絕。
圖1是表示本發(fā)明的實施方式中的網(wǎng)絡(luò)結(jié)構(gòu)的一個實例的圖���。
圖2是表示本發(fā)明的實施方式中的MN的結(jié)構(gòu)的一個實例的圖����。
圖3是表示本發(fā)明的實施方式中的pAR的結(jié)構(gòu)的一個實例的圖����。
圖4是表示本發(fā)明的實施方式中的nAR的結(jié)構(gòu)的一個實例的圖。
圖5是表示本發(fā)明的實施方式中存在于nAR下面的AP的結(jié)構(gòu)的一個實例的圖����。
圖6是表示本發(fā)明的實施方式中的動作的一個實例的順序圖。
圖7A是表示本發(fā)明的實施方式中使用的與從MN向pAR通知MAC地址及通信用加密解密密鑰有關(guān)的消息的一個實例的圖�����,圖中表示嵌入了MAC地址和通信用加密解密密鑰的FBU消息���。
圖7B是表示本發(fā)明的實施方式中使用的與從MN向pAR通知MAC地址及通信用加密解密密鑰有關(guān)的消息的一個實例的圖���,圖中表示嵌入了MAC地址和通信用加密解密密鑰的RtSolPr消息�����。
圖7C是表示本發(fā)明的實施方式中使用的與從MN向pAR通知MAC地址及通信用加密解密密鑰有關(guān)的消息的一個實例的圖�����,圖中表示嵌入了MAC地址和通信用加密解密密鑰的MAC地址/密鑰通知消息��。
圖8A是表示本發(fā)明的實施方式中使用的與從pAR向nAR通知MAC地址及通信用加密解密密鑰有關(guān)的消息的一個實例的圖���,圖中表示嵌入了MAC地址和通信用加密解密密鑰的HI消息。
圖8B是表示本發(fā)明的實施方式中使用的與從pAR向nAR通知MAC地址及通信用加密解密密鑰有關(guān)的消息的一個實例的圖���,圖中表示嵌入了MAC地址和通信用加密解密密鑰的MAC地址/密鑰通知消息�����。
圖9A是表示本發(fā)明的實施方式中對將切換前所使用的通信用加密解密密鑰設(shè)定為可以在切換后使用的MN所進行的認證處理的示意圖,圖中示意性地表示了AP允許MN使用在切換前所使用的通信用加密解密密鑰的狀態(tài)�����。
圖9B是表示本發(fā)明的實施方式中對將切換前所使用的通信用加密解密密鑰設(shè)定為可以在切換后使用的MN所進行的認證處理的示意圖�,圖中示意性地表示了AP在進行了切換后MN的認證處理后的結(jié)果���、即MN已經(jīng)通過了認證的狀態(tài)。
圖9C是表示本發(fā)明的實施方式中對將切換前所使用的通信用加密解密密鑰設(shè)定為可以在切換后使用的MN所進行的認證處理的示意圖���,圖中示意性地表示了AP在進行了切換后MN的認證處理的結(jié)果����、即MN沒有通過認證的狀態(tài)��。
圖10是表示現(xiàn)有技術(shù)中的IEEE 802.1x中端口接入控制的概要的圖���。
圖11是表示在圖10的結(jié)構(gòu)中客戶系統(tǒng)通過認證取得預(yù)定的服務(wù)時的一個動作實例的順序圖���。
圖12是表示現(xiàn)有技術(shù)中的網(wǎng)絡(luò)結(jié)構(gòu)的一個實例的圖。
圖13是表示用來說明本發(fā)明試圖解決的問題的一個網(wǎng)絡(luò)結(jié)構(gòu)實例的圖�����。
具體實施例方式
下面�,參照
本發(fā)明的實施方式。本發(fā)明的基本概要是����,在存在于連接到IP網(wǎng)絡(luò)50的不同接入路由器(pAR20��、nAR30)下面的AP21����、31之間進行切換的MN10���,在該切換前發(fā)送MN10的識別信息(例如MAC地址)以及切換前在與AP21的通信中使用的通信用加密解密密鑰�����,MN10的MAC地址和通信用加密解密密鑰被提供給切換后新連接的AP31的上層的nAR30�����,進而�,從nAR30向AP31提供MN10的MAC地址和通信用加密解密密鑰��,由此���,MN10不需要與AP31之間進行與確保安全性有關(guān)的一系列動作(例如圖11的順序圖中的動作),使用切換前的通信用加密解密密鑰就能夠迅速地恢復(fù)切換前的通信狀態(tài)�。
圖1是表示本發(fā)明的實施方式中的網(wǎng)絡(luò)結(jié)構(gòu)的一個實例的圖。圖1中表示出MN10�����、pAR20、存在于pAR20下面的AP21����、存在于pAR20的鏈路中的認證服務(wù)器22、nAR30���、存在于nAR30下面的AP31����、存在于nAR30的鏈路中的認證服務(wù)器32��、CN(通信節(jié)點CorrespondentNode)40�����、IP網(wǎng)絡(luò)50���。此外����,在圖1中只表示了一個CN40���,但是MN10可以經(jīng)由IP網(wǎng)絡(luò)50與多個CN40進行通信��,即��,可以存在多個CN40���。
pAR20及nAR30是連接到IP網(wǎng)絡(luò)50的接入路由器���,分別形成了子網(wǎng)。當(dāng)MN10存在于位于pAR20下面的AP21的通信小區(qū)內(nèi)時��,可以通過AP21及pAR20接入IP網(wǎng)絡(luò)50��;當(dāng)MN10存在于位于nAR30下面的AP31的通信小區(qū)內(nèi)時�,則可以通過AP31及nAR30接入IP網(wǎng)絡(luò)50。另外����,認證服務(wù)器22、32是對分別連接到AP21�����、31的MN10進行認證的服務(wù)器���,由例如RADIUS服務(wù)器來實現(xiàn)��。此外����,雖然沒有圖示���,但認證服務(wù)器22��、32可以具有或參照用來保存認證所需的資格信息或各用戶的屬性信息等的用戶帳戶數(shù)據(jù)庫����。此外�,優(yōu)選是在pAR20與nAR30之間(或者存在于pAR20的鏈路上的任意節(jié)點與存在于nAR30的鏈路上的任意節(jié)點之間)預(yù)先設(shè)定信賴關(guān)系,對通信用加密解密密鑰進行安全的傳輸��。
另外���,MN10�����、AP21���、31����、認證服務(wù)器22���、32分別具有可以如IEEE802.1x及EAP等那樣使MN10與AP21�����、31進行相互認證��、MN10與AP21��、31之間進行加密通信的實體����。
另一方面�����,IP網(wǎng)絡(luò)50是使用例如因特網(wǎng)等IP通信的WAN(WideArea Network廣域網(wǎng))���。上述pAR20���、nAR30可以連接到IP網(wǎng)絡(luò)50��。另外,進一步在圖1中表示了可以連接到IP網(wǎng)絡(luò)50并與MN10之間進行通信的CN40�����。
這里�,假定MN10的初始狀態(tài)是連接到AP21,并通過pAR20與CN40進行通信�����。此外�,MN10通過進行從AP21到AP31的切換,在切換完成后重新通過nAR30與CN40進行通信��。
其次�,說明本發(fā)明的實施方式。在本實施方式中所說明的方法使用非專利文獻2中描述的技術(shù)���,從MN10向nAR30通知MAC地址及通信用加密解密密鑰(以下也簡稱為密鑰)��,通過從nAR30向AP31提供這些信息來迅速地開始切換后的通信����。
接著說明本發(fā)明的實施方式中的MN10、pAR20��、nAR30�����、AP31的各個結(jié)構(gòu)����。此外,圖2~圖5所示的MN10�、pAR20、nAR30�����、AP31是圖1所示的MN10���、pAR20���、nAR30�、AP31的詳細結(jié)構(gòu)�����。另外��,在圖2~圖5中�����,各功能以組塊形式圖示���,這些各功能可以利用硬件和/或軟件來實現(xiàn)。特別地�����,本發(fā)明的主要處理(例如后述的圖6所示的各步驟的處理)可以通過計算機程序來實現(xiàn)��。
圖2是表示本發(fā)明的實施方式中的MN的結(jié)構(gòu)的一個實例的圖����。圖2所示的MN10具有切換決定部1001、無線接收部1002��、無線發(fā)送部1003、解密部1004��、加密部1005����、密鑰保存部1006、MAC地址保存部1007�、MAC地址/密鑰取得部1008、FMIP處理部1009�����。
切換決定部1001是基于例如對來自多個不同的AP的電波強度進行比較后向電波強度最高的AP進行L2切換(通信目的地的AP的連接切換)等任意條件來決定切換的開始的處理部��。
另外����,無線接收部1002及無線發(fā)送部1003分別是用于通過無線通信接收數(shù)據(jù)和發(fā)送數(shù)據(jù)的處理部,其中包含了進行無線通信所需的各種功能�。
另外,解密部1004和加密部1005分別是使用密鑰保存部1006中保存的通信用加密解密密鑰對通過無線接收部1002接收的數(shù)據(jù)進行解密和對通過無線發(fā)送部1003發(fā)送的數(shù)據(jù)進行加密的處理部��。此外�����,使用該解密部1004和加密部1005的加密通信用于提高MN10與AP21、31之間的無線傳送通道中的安全性�����。
另外���,密鑰保存部1006是用來保存與AP21��、31之間的加密通信(使用解密部1004及加密部1005的加密通信)中使用的用于加強安全性的密鑰的處理部����。此外���,該通信用加密解密密鑰一直以來都是在MN10連接到各AP21、31時通過認證處理生成的����,另外,為了加強安全性�,要定期進行更新。
另外���,MAC地址保存部1007指的是用來保存可以唯一地識別網(wǎng)絡(luò)設(shè)備的MAC地址的非易失性存儲器等����。另外,MAC地址/密鑰取得部1008是用來讀取MAC地址保存部1007中保存的MAC地址和密鑰保存部1006中保存的通信用加密解密密鑰的處理部���。此外���,在本發(fā)明中,MAC地址及通信用加密解密密鑰的讀取和與FMIP有關(guān)的處理相匹配地進行�。另外,也可以采用如下結(jié)構(gòu)由MAC地址/密鑰取得部1008所取得的MAC地址及通信用加密解密密鑰被提供給FMIP處理部1009���,與FMIP相關(guān)的發(fā)送消息一起被發(fā)送到pAR20�����,或者按照與FMIP相關(guān)的發(fā)送消息的發(fā)送定時或接收消息的接收定時發(fā)送到pAR20作為固有的MAC地址/密鑰通知消息���。
另外,F(xiàn)MIP處理部1009是用來進行以下處理的處理部接收到由切換決定部1001作出的切換開始決定后��,生成與FMIP相關(guān)的發(fā)送消息(例如RtSolPr(Router Solicitation for Proxy路由器請求代理�,或Router Solicitation for Proxy Advertisement路由器請求代理公告)消息或FBU(Fast Binding Update快速綁定更新)消息)、或者處理與FMIP相關(guān)的接收消息(例如PrRtAdv(Proxy Router Advertisement代理路由器公告)消息或FBAck(Fast Binding Acknowledge快速綁定確認)消息)等與FMIP相關(guān)的處理。此外�,該FMIP處理部1009的存在也表示MN10安裝了FMIP。
如上所述���,MN10的結(jié)構(gòu)是能夠在與FMIP相關(guān)的發(fā)送消息中嵌入MN10自身的MAC地址及通信用加密解密密鑰后發(fā)送到pAR20�����,或者根據(jù)與FMIP相關(guān)的發(fā)送消息的發(fā)送定時或接收消息的接收定時���,發(fā)送包含MN10自身的MAC地址及通信用加密解密密鑰的地址/密鑰通知消息。
另外�����,圖3是表示本發(fā)明的實施方式中的pAR的結(jié)構(gòu)的一個實例的圖���。圖3所示的pAR20具有接收部2001、發(fā)送部2002�、FMIP處理部2003、MAC地址/密鑰提取部2004�。此外,pAR20也具有用來傳輸所接收到的數(shù)據(jù)包的傳輸部等�,但這里省略了其圖示。接收部2001及發(fā)送部2002連接到AP21所在的pAR20的鏈路或IP網(wǎng)絡(luò)50�����,是用來進行數(shù)據(jù)接收和數(shù)據(jù)發(fā)送的處理部。
另外��,F(xiàn)MIP處理部2003是用來進行與FMIP相關(guān)的處理的處理部��,例如探索MN10通過下一次切換而連接的連接目的地的接入路由器(nAR30)����、取得nAR30所形成的子網(wǎng)的網(wǎng)絡(luò)前綴、生成與FMIP相關(guān)的發(fā)送消息(例如HI(Handover Initiate切換開始)消息或FBAck消息)�、處理與FMIP相關(guān)的接收消息(例如FBU消息或HAck(Handover Acknowledge切換確認,切換應(yīng)答)消息)等��。此外����,該FMIP處理部2003的存在也表示pAR20安裝了FMIP。
另外�����,MAC地址/密鑰提取部2004是用來進行以下處理的處理部提取嵌入在從MN10接收到的與FMIP相關(guān)的接收消息內(nèi)的MN10自身的MAC地址及通信用加密解密密鑰�,或從由MN10接收到的固有地址/密鑰通知消息中提取MN10自身的MAC地址及通信用加密解密密鑰。另外,也可以采用如下結(jié)構(gòu)由MAC地址/密鑰提取部2004所提取的MN10自身的MAC地址及通信用加密解密密鑰被提供給FMIP處理部2003��,和與FMIP相關(guān)的發(fā)送消息一起被發(fā)送到nAR30���,或者按照與FMIP相關(guān)的發(fā)送消息的發(fā)送定時或接收消息的接收定時作為固有地址/密鑰通知消息發(fā)送到nAR30��。
如上所述�,pAR20所采用的結(jié)構(gòu)能夠在從MN10接收到MN10自身的MAC地址及通信用加密解密密鑰的通知的情況下���,在與FMIP相關(guān)的發(fā)送消息中嵌入MN10自身的MAC地址及通信用加密解密密鑰并發(fā)送到nAR30�,或者根據(jù)與FMIP相關(guān)的發(fā)送消息的發(fā)送定時或接收消息的接收定時�,將包含MN10自身的MAC地址及通信用加密解密密鑰的地址/密鑰通知消息發(fā)送到nAR30。
另外�,圖4是表示本發(fā)明的實施方式中的nAR的結(jié)構(gòu)的一個實例的圖。圖4所示的nAR30具有接收部3001�、發(fā)送部3002、FMIP處理部3003�、MAC地址/密鑰提取部3004、MAC地址/密鑰通知消息生成部3005�。此外,nAR30還具有用來傳輸所接收到的數(shù)據(jù)包的傳輸部等����,但這里省略了其圖示。接收部3001及發(fā)送部3002連接到AP31所在的nAR30的鏈路或IP網(wǎng)絡(luò)50�,是用來進行數(shù)據(jù)接收和數(shù)據(jù)發(fā)送的處理部。
另外���,F(xiàn)MIP處理部3003是用來進行與FMIP相關(guān)的處理的處理部�,例如檢驗從pAR20接收到的MN10的IP地址的妥當(dāng)性�、生成與FMIP相關(guān)的發(fā)送消息(例如HAck消息)、處理與FMIP相關(guān)的接收消息(例如HI消息或FNA(Fast Neighbor Advertisement快速鄰機公告)消息)等�。此外,該FMIP處理部3003的存在也表示nAR30安裝了FMIP��。
另外�����,MAC地址/密鑰提取部3004是用來進行以下處理的處理部提取嵌入在從pAR20接收到的與FMIP相關(guān)的接收消息內(nèi)的MN10自身的MAC地址及通信用加密解密密鑰�����,或從由pAR20接收到的固有地址/密鑰通知消息中提取MN10自身的MAC地址及通信用加密解密密鑰�����。另外��,由MAC地址/密鑰提取部3004提取的MN10的MAC地址及通信用加密解密密鑰由MAC地址/密鑰通知消息生成部3005提供。
另外�����,MAC地址/密鑰通知消息生成部3005是用來生成包含由MAC地址/密鑰提取部3004所提取的MN10自身的MAC地址及通信用加密解密密鑰的通知消息的處理部���。MAC地址/密鑰通知消息生產(chǎn)部3005所生成的通知消息通過發(fā)送部3002發(fā)送到下面的AP31�����。
如上所述�,nAR30在從pAR20接收到MN10的MAC地址及通信用加密解密密鑰的通知的情況下�����,能夠?qū)⒃揗N10的MAC地址及通信用加密解密密鑰通知給下面的AP31�����。
另外��,圖5是表示本發(fā)明的實施方式中存在于nAR下面的AP的結(jié)構(gòu)的一個實例的圖�����。圖5所示的AP31具有無線接收部3101����、無線發(fā)送部3102、接收部3103�、發(fā)送部3104、解密部3105�����、加密部3106�、MAC地址/密鑰提取部3107、密鑰保存部3108��、MAC地址確認部3109�、端口控制部3110。
無線接收部3101及無線發(fā)送部3102分別是用于通過無線通信接收數(shù)據(jù)和發(fā)送數(shù)據(jù)的處理部����,其中包含了進行無線通信所需的各種功能。此外���,這些無線接收部3101及無線發(fā)送部3102形成了與無線通信有關(guān)的電波的發(fā)送接收范圍即通信小區(qū)�����,可以與存在于該通信小區(qū)內(nèi)的MN10通信�。另外,接收部3103及發(fā)送部3104連接到nAR30的鏈路���,是用來進行數(shù)據(jù)接收和數(shù)據(jù)發(fā)送的處理部��。
另外����,解密部3105和加密部3106分別是使用密鑰保存部3108中保存的通信用加密解密密鑰對通過無線接收部3101接收的數(shù)據(jù)進行解密和對從無線發(fā)送部3102發(fā)送的數(shù)據(jù)進行加密的處理部���。此外�,通過解密部3105解密的數(shù)據(jù)由端口控制部3110通過控制端口或非控制端口發(fā)送到nAR30或認證服務(wù)器32����。另外,通過加密部3106加密的數(shù)據(jù)通過無線傳送通道發(fā)送到MN10��。
另外��,MAC地址/密鑰提取部3107是用來進行與包含從nAR30接收的MN10的MAC地址及通信用加密解密密鑰的通知消息相關(guān)的處理的處理部����。MAC地址/密鑰提取部3107從由nAR30接收到的通知消息中提取MN10的MAC地址及通信用加密解密密鑰并提供給密鑰保存部3108���。
另外,密鑰保存部3108是與MN10之間的加密通信(使用解密部3105及加密部3106的加密通信)中使用的用于加強安全性的密鑰��。此外��,本發(fā)明中���,從nAR30接收的通知消息中包含的通信用加密解密密鑰也如同通過通常的認證處理所生成的通信用加密解密密鑰一樣保存在密鑰保存部3108。
另外�,MAC地址確認部3109是用來確認從MN10通知的MAC地址或作為通過無線接收部3101從MN10接收到的數(shù)據(jù)的發(fā)送源而記載的MAC地址、與密鑰保存部3108中保存的MN10的MAC地址是否一致的處理部��。另外����,端口控制部3110是用來控制例如圖10所示的控制端口是否可用的處理部。即�����,其結(jié)構(gòu)是�,借助于MAC地址確認部3109及端口控制部3110,具有密鑰保存部3108中保存的MAC地址的MN10被看作是通過認證處理認證的MN10����,可以使用控制端口�����。
如上所述��,所采用的結(jié)構(gòu)是�����,AP31在接收到從nAR30通知的MN10的MAC地址及通信用加密解密密鑰的通知的情況下�����,基于這些消息進行端口控制��。
其次�����,說明本發(fā)明的實施方式的動作���。這里參照圖6說明在圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)中以圖2~圖5所示的MN10、pAR20、nAR30��、AP31為結(jié)構(gòu)要素的情況下的動作���。此外��,AP21既可以使用與圖5所示的AP31相同的結(jié)構(gòu)����,也可以使用現(xiàn)有的AP�����。圖6是表示本發(fā)明的實施方式中的動作的一個實例的順序圖�����。
例如����,當(dāng)MN10從pAR20的區(qū)域(AP21的通信小區(qū)范圍)開始向nAR30的區(qū)域(AP31的通信小區(qū)范圍)移動時�,由第2層檢測到該移動,以此為起點決定第3層的切換開始(步驟S101)�����。該切換開始的決定是通過例如對來自AP21的接收電場強度與來自AP31的接收電場強度進行比較等而作出的。
MN10根據(jù)來自移動目的地AP31的信標(biāo)(beacon)等從AP31取得包含AP-ID(各AP的識別信息)的信息�����,向當(dāng)前連接的pAR20發(fā)送包含AP31的AP-ID的RtSolPr消息(步驟S102)��。從MN10發(fā)送過來的RtSolPr消息被AP21轉(zhuǎn)送后到達pAR20(步驟S103)���。接收到該RtSolPr消息的pAR20根據(jù)從MN10通知的AP31的AP-ID檢索存在于附近的接入路由器并取得nAR30的信息�����,或者根據(jù)已經(jīng)檢索到的信息(保存在pAR20中的信息)取得nAR30的信息����。
此外�����,pAR20將包含nAR30信息(例如nAR30所構(gòu)成的子網(wǎng)的網(wǎng)絡(luò)前綴等的信息)的PrRtAdv消息作為RtSolPr消息的響應(yīng)發(fā)送給MN10(步驟S104)����。從pAR20發(fā)送過來的PrRtAdv消息被AP21轉(zhuǎn)送后到達MN10(步驟S105)���。接收到PrRtAdv消息的MN10利用包含在PrRtAdv消息中的nAR30所形成的子網(wǎng)的網(wǎng)絡(luò)前綴和MN10自身的鏈路層地址等生成能適合于nAR30所形成的子網(wǎng)的地址,即NCoA(New Care of Address新轉(zhuǎn)交地址)�。此外,目前為止的動作與FMIP所規(guī)定的動作相同�����。
這里��,MN10的MAC地址/密鑰取得部1008取得自身的MN10的MAC地址和與AP21之間的通信中使用的通信用加密解密密鑰�,將這些信息傳遞給FMIP處理部1009。MN10的FMIP處理部1009生成FBU(Fast Binding Update快速綁定更新)消息����,其中除了所生成的NCoA之外�,還嵌入了上述的MAC地址及通信用加密解密密鑰。此外���,MN10將嵌入了MAC地址及通信用加密解密密鑰的FBU消息(圖6中標(biāo)記為FBU(MAC�,密鑰))發(fā)送給pAR20(步驟S106)�����。嵌入了從MN10發(fā)送過來的MAC地址及通信用加密解密密鑰的FBU消息被AP21轉(zhuǎn)送后到達pAR20(步驟S107)。
接收到嵌入了MAC地址及通信用加密解密密鑰的FBU消息的pAR20通過MAC地址/密鑰提取部2004提取FBU消息內(nèi)的MAC地址及通信用加密解密密鑰���,將所提取的MAC地址及通信用加密解密密鑰通知給FMIP處理部2003����。FMIP處理部2003在生成HI消息以便用來確認在MN10中生成的NCoA是否是nAR30的子網(wǎng)中可用的地址時�����,將從MN10接收到的MAC地址及通信用加密解密密鑰嵌入到HI消息中��。此外����,pAR20將嵌入了MAC地址及通信用加密解密密鑰的HI消息(圖6中標(biāo)記為HI(MAC,密鑰))發(fā)送給nAR20(步驟S108)��。此外��,從pAR20發(fā)送到nAR30的嵌入了MAC地址及通信用加密解密密鑰的HI消息經(jīng)由構(gòu)成IP網(wǎng)絡(luò)50的許多中繼節(jié)點(未圖示)到達nAR30���。
接收到嵌入了MAC地址及通信用加密解密密鑰的HI消息的nAR30利用MAC地址/密鑰提取部3004提取HI消息中的MAC地址及通信用加密解密密鑰��,將所提取的MAC地址及通信用加密解密密鑰通知給MAC地址/密鑰通知消息生成部3005����,MAC地址/密鑰通知消息生成部3005生成包含MAC地址及通信用加密解密密鑰的地址/密鑰通知消息(圖6中標(biāo)記為通知消息(MAC,密鑰))(步驟S109)�����。接著����,nAR30將該通知消息發(fā)送到AP31(步驟S110)。由此��,AP31就能夠取得即將切換過來的MN10的MAC地址和該MN10在切換前與AP21之間使用的通信用加密解密密鑰�。
此外,nAR30對嵌入了MAC地址及通信用加密解密密鑰的HI消息中包含的NCoA是否有效進行驗證��,如果NCoA有效�,則進行發(fā)送處理,將指定了表示該結(jié)果的狀態(tài)的HAck消息發(fā)送到pAR20(通常的與FMIP相關(guān)的處理)���,或者利用pAR20進行FBAck消息的發(fā)送處理,或者進行從pAR20向nAR30的數(shù)據(jù)包傳輸處理等�;這里省略其說明。
另一方面�����,在已經(jīng)發(fā)送了嵌入了MAC地址及通信用加密解密密鑰的FBU消息的MN10中,進行從存在于pAR20下面的AP21向存在于nAR30下面的AP31的切換處理(步驟S111)����。此外,MN10向AP31發(fā)送用來進行連接請求的切換通知(步驟S112)����。此外,通過該切換通知�����,MN10向AP31通知MAC地址�。
AP31接收到切換通知后檢測到MN10欲與AP31連接。MAC地址確認部3109確認由nAR30通過通知消息通知的MAC地址之中是否存在與由MN10通過切換通知通知的MAC地址相一致的(步驟S113)����。此外,當(dāng)MAC地址確認部3109確認存在相一致的MAC地址時����,MAC地址確認部3109生成用來通知MAC地址已得到確認的信息并發(fā)送給MN10(步驟S114)。接收到該通知的MN10利用切換前與AP21之間使用的通信用加密解密密鑰來開始與AP31之間的加密通信(步驟S115)���。此外�����,AP31可以利用從nAR30接收到的與MN10相關(guān)的通信用加密解密密鑰來對從MN10接收到的數(shù)據(jù)包進行解密�����。另外����,AP31當(dāng)在步驟S113確認有相一致的MAC地址的情況下針對該MN10將控制端口設(shè)定為可用狀態(tài),MN10通過控制端口進行端口控制��,以便能夠取得例如因特網(wǎng)接入服務(wù)等預(yù)定服務(wù)�。
此外,當(dāng)MN10的切換定時較早�、MN10已經(jīng)發(fā)出了切換通知時,包含MN10的MAC地址及通信用加密解密密鑰的通知消息有時尚未從nAR30到達AP31��。在這種情況下�����,AP31在開始與步驟S116有關(guān)的現(xiàn)有的認證處理的同時�,一旦能從nAR30取得MN10的MAC地址及通信用加密解密密鑰,切換后的MN10就能夠通過允許使用切換前所使用的通信用加密解密密鑰而迅速地開始使用切換前的通信用加密解密密鑰進行通信��。
通過以上動作����,MN10在切換后所連接的AP31就能夠取得MN10的MAC地址和MN10在切換前與AP21之間使用的通信用加密解密密鑰,MN10在切換到AP31之后��,不需要進行與新的通信用加密解密密鑰生成相關(guān)的認證處理����,而是照原樣使用在切換前所使用的通信用加密解密密鑰地繼續(xù)進行通信。
另外�����,在切換前MN10所使用的通信用加密解密密鑰是在切換前通過某種認證處理發(fā)布的���,可以說它是表示MN10具有與切換前所連接的AP21進行通信的正當(dāng)資格的信息�����。因此���,MN10能夠在切換之后還使用切換前所使用的通信用加密解密密鑰的做法是妥當(dāng)?shù)摹?br>
不過���,在切換后照原樣使用切換前所使用的通信用加密解密密鑰恐怕會引起安全性下降。因此�,使切換前使用的通信用加密解密密鑰在切換之后可以使用,優(yōu)選是最終目的為防止剛剛完成切換時的通信延遲或斷絕����,對切換前所用的通信用加密解密密鑰的使用是為了暫時實現(xiàn)連續(xù)的服務(wù)提供,優(yōu)選是在盡量短的時間內(nèi)使用通過可靠的認證處理生成的新的通信用加密解密密鑰進行密鑰替換(將切換前使用的通信用加密解密密鑰替換為新生成的通信用加密解密密鑰)����。
例如,當(dāng)在步驟S113確認有相一致的MAC地址的情況下��,AP31針對該MN10將控制端口設(shè)定為可用狀態(tài)�����,使MN10在切換后仍然能夠使用切換前所使用的通信用加密解密密鑰����,并且并行進行以往的認證處理及新的通信用加密解密密鑰的生成(例如圖11的順序圖的步驟S1101~S1111的處理)(步驟S116)。
圖9是示意性地表示本發(fā)明的實施方式中針對將切換前所使用的通信用加密解密密鑰設(shè)定為可以在切換后使用的MN所進行的認證處理的圖�,圖9A是示意性地表示AP允許MN使用在切換前所使用的通信用加密解密密鑰的狀態(tài)的圖,圖9B是示意性地表示AP在進行了切換后的MN的認證處理的結(jié)果,即MN通過了認證的狀態(tài)的圖���;圖9C是示意性地表示AP在對切換后的MN進行了認證處理后的結(jié)果,即MN沒有通過認證的狀態(tài)的圖���。此外��,在該圖9A~C中�,示意性地圖示了AP31中的端口控制的狀態(tài)�。
如圖9A所示,在步驟S113對MN10的MAC地址進行確認之后的AP31使MN10能夠使用切換前所使用的通信用加密解密密鑰進行加密通信���,并且通過端口控制部3110進行控制端口的管理�,以便向MN10提供預(yù)定的服務(wù)���,例如與向因特網(wǎng)等外部IP網(wǎng)絡(luò)50進行連接(向nAR30連接)有關(guān)的服務(wù)等���。由此,MN10就能夠使用切換前所使用的通信用加密解密密鑰來迅速且臨時地繼續(xù)再開始切換前所進行的通信���。
另一方面��,在圖9A所示的臨時狀態(tài)下�,AP31進行步驟S116中MN10的以往的認證處理。如果認證處理的結(jié)果是MN10通過了認證����,則AP31向MN10發(fā)布與MN10之間使用的新的通信用加密解密密鑰。此外�,如圖9B所示,AP31可以使用新的通信用加密解密密鑰進行加密通信��,并且通過端口控制部3110繼續(xù)進行控制端口的管理�,以便向MN10提供預(yù)定的服務(wù)。
另外���,如果認證處理的結(jié)果是MN10沒有通過認證����,則如圖9C所示����,不向MN10發(fā)布新的通信用加密解密密鑰,而AP31的端口控制部3110則進行控制端口的管理����,使得不向MN10提供預(yù)定的服務(wù)(使MN10不能使用預(yù)定的服務(wù))��。
另外�����,在上述實施方式中說明的是MN10將MAC地址及通信用加密解密密鑰嵌入FBU消息中的情形��,但也可以嵌入到RtSolPr消息中,或者嵌入到和與FMIP相關(guān)的消息無關(guān)的獨立的MAC地址/密鑰通知消息中����。特別地,考慮到可能會出現(xiàn)MN10的切換定時較早����、在切換前不發(fā)送FBU消息的情形,因此這種情況下�����,在RtSolPr消息中嵌入MAC地址及通信用加密解密密鑰是非常有效的�����。在圖7A~C中圖示的上述3個實例涉及從MN10向pAR20通知MAC地址及通信用加密解密密鑰時的相關(guān)消息�。另外��,同樣也說明了pAR20將MN10的MAC地址及通信用加密解密密鑰嵌入HI消息時的情形��,但也可以嵌入到和與FMIP相關(guān)的消息無關(guān)的獨立的MAC地址/密鑰通知消息中���。在圖8A、B中圖示的上述2個實例涉及從pAR20向nAR30通知MAC地址及通信用加密解密密鑰時的相關(guān)消息��。
如上述所說明���,借助于本發(fā)明的實施方式�����,在存在于連接到IP網(wǎng)絡(luò)50的不同接入路由器(pAR20����、nAR30)下面的AP21���、31之間進行切換的MN10����,在該切換前發(fā)送MN10的MAC地址以及在切換前與AP21進行通信時所使用的通信用加密解密密鑰�����,MN10的MAC地址和通信用加密解密密鑰被提供給切換后新連接的AP31的上層的nAR30,進而����,從nAR30向AP31提供MN10的MAC地址和通信用加密解密密鑰;在MN10與AP31之間以及AP31與認證服務(wù)器32之間不需要進行與確保安全性有關(guān)的一系列動作(例如圖11的順序圖中的動作)���,使用切換前的通信用加密解密密鑰就能夠迅速地恢復(fù)切換前的通信狀態(tài)�����。
此外,在上述本發(fā)明實施方式的說明中使用的各個功能塊的典型實現(xiàn)是作為集成電路的LSI(Large Scale Integration大規(guī)模集成電路)����。它們既可以分別做成單個芯片,也可以將一部分或全部都做在一個芯片上�����。此外��,這里雖然采用了LSI����,但根據(jù)集成度的不同���,也可以稱為IC(Integrated Circuit集成電路)、系統(tǒng)LSI���、超級LSI�����、超超LSI��。
另外���,構(gòu)成集成電路的方法并不限于LSI,也可以利用專用電路或通用處理器實現(xiàn)����。也可以使用能夠在制造出LSI后進行編程的FPGA(Field Programmable Gate Array現(xiàn)場可編程門陣列)或能夠?qū)SI內(nèi)部的電路單元的連接或設(shè)定重新進行設(shè)置的可重構(gòu)處理器。
進而���,如果隨著半導(dǎo)體技術(shù)的進步或由其它派生技術(shù)實現(xiàn)能夠替代LSI的電路集成技術(shù)�,當(dāng)然也可以利用這些新技術(shù)來對功能塊進行集成����。例如��,也有可能使用生物技術(shù)����。
工業(yè)可用性本發(fā)明的通信切換方法和通信消息處理方法以及通信控制方法的效果是即使移動節(jié)點在存在于不同的接入路由器的鏈路上的接入點之間進行切換時��,也能夠迅速地確立移動節(jié)點與接入點之間的安全性���,從而降低因切換而引起的通信延遲或斷絕���;本發(fā)明可以應(yīng)用于與進行無線通信的移動節(jié)點的切換相關(guān)的技術(shù),特別是可以應(yīng)用于與使用移動IPv6進行無線通信的移動節(jié)點相關(guān)的技術(shù)中�。
權(quán)利要求
1.一種通信切換方法�����,是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的通信切換方法�����,其中����,上述第1接入路由器其下具有上述第1接入點�,上述第2接入路由器其下具有上述第2接入點����,該方法具有以下步驟切換決定步驟,連接到上述第1接入點的��、在與上述第1接入點之間共享通信用加密解密密鑰并使用上述通信用加密解密密鑰來進行與上述第1接入點之間的加密通信的上述移動終端���,決定從上述第1接入點向上述第2接入點進行上述切換并且從上述第2接入點取得上述第2接入點的識別信息����;第1通知步驟����,上述移動終端經(jīng)由上述第1接入點向上述第1接入路由器通知上述第2接入點的識別信息、上述移動終端的識別信息����、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰;第2通知步驟�,上述第1接入路由器根據(jù)從上述移動終端通知的上述第2接入點的識別信息來特別指定上述第2接入路由器,對上述第2接入路由器通知上述移動終端的識別信息、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰����;第3通知步驟,上述第2接入路由器對上述第2接入點通知從上述第1接入路由器通知的上述移動終端的識別信息��、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�;比較步驟,上述第2接入點通過上述移動終端的識別信息來識別通過上述切換與上述第2接入點連接的上述移動終端�,將連接到上述第2接入點的上述移動終端的識別信息與在上述第3通知步驟中從上述第2接入路由器通知的上述移動終端的識別信息進行比較;以及通信控制步驟��,上述第2接入點根據(jù)上述比較步驟的比較結(jié)果����,在和具有與從上述第2接入路由器通知的上述移動終端的識別信息相一致的上述識別信息的上述移動終端之間,使用在上述移動終端與上述第1接入點之間的加密通信中所使用的上述通信用加密解密密鑰來進行加密通信���,并且對上述移動終端進行用于允許對上述第2接入路由器的接入的控制��。
2.如權(quán)利要求1所述的通信切換方法���,其具有以下步驟認證成功通信步驟�,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理,當(dāng)上述移動終端通過認證并生成了和上述移動終端與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時�����,上述第2接入點在與上述移動終端之間使用上述新的通信用加密解密密鑰來進行加密通信,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制�;以及認證失敗通信步驟,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理����,當(dāng)上述移動終端沒有通過認證時,上述第2接入點對上述移動終端進行用于不允許對上述第2接入路由器的接入的控制��。
3.如權(quán)利要求1所述的通信切換方法���,在上述第1通知步驟中�,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰嵌入到FMIP的RtSolPr消息或FBU消息中并從上述移動終端發(fā)送給上述第1接入路由器�。
4.如權(quán)利要求1所述的通信切換方法,在上述第2通知步驟中����,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰嵌入到FMIP的HI消息中并從上述第1接入路由器發(fā)送給上述第2接入路由器。
5.一種通信切換方法����,是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中從第1接入點向第2接入點進行切換的移動終端中的通信切換方法,其中,上述第1接入路由器其下具有上述第1接入點�����,上述第2接入路由器其下具有上述第2接入點�,該方法具有以下步驟切換決定步驟,在連接到上述第1接入點的����、在與上述第1接入點之間共享通信用加密解密密鑰并使用上述通信用加密解密密鑰來進行與上述第1接入點之間的加密通信的狀態(tài)下,決定從上述第1接入點向上述第2接入點進行上述切換并且從上述第2接入點取得上述第2接入點的識別信息����;通知步驟,經(jīng)由上述第1接入點向上述第1接入路由器通知上述第2接入點的識別信息�、上述移動終端的識別信息、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�;以及通信步驟,當(dāng)通過上述切換而連接到上述第2接入點時��,在與從上述第1接入路由器經(jīng)由上述第2接入路由器接收到上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的上述第2接入點之間�����,使用和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰來進行加密通信��。
6.如權(quán)利要求5所述的通信切換方法�����,其具有以下步驟認證成功通信步驟���,和上述通信步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理����,當(dāng)上述移動終端通過認證并生成了和與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時���,上述移動終端在與上述第2接入點之間使用上述新的通信用加密解密密鑰來進行加密通信����,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制�����。
7.如權(quán)利要求5所述的通信切換方法����,其具有以下步驟生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的RtSolPr消息或FBU消息,在上述通知步驟中�����,將上述RtSolPr消息或FBU消息發(fā)送給上述第1接入路由器。
8.一種通信消息處理方法�����,是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第1接入路由器中的通信消息處理方法��,其中�,上述第1接入路由器其下具有上述第1接入點,上述第2接入路由器其下具有上述第2接入點��,該方法具有以下步驟接收步驟���,從上述移動終端接收上述第2接入點的識別信息��、上述移動終端的識別信息��、以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰���;連接目的地特別指定步驟,根據(jù)上述第2接入點的識別信息來特別指定上述第2接入路由器���;以及通知步驟�,將上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰通知給在上述連接目的地特別指定步驟中所特別指定的上述第2接入路由器。
9.如權(quán)利要求8所述的通信消息處理方法����,其在上述接收步驟中����,從上述移動終端接收嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的RtSolPr消息或FBU消息。
10.如權(quán)利要求8所述的通信消息處理方法��,其具有以下步驟生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的HI消息��,在上述通知步驟中�����,將上述HI消息發(fā)送給上述第2接入路由器���。
11.一種通信消息處理方法��,是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第2接入路由器中的通信消息處理方法���,其中,上述第1接入路由器其下具有上述第1接入點��,上述第2接入路由器其下具有上述第2接入點,該方法具有以下步驟接收步驟�,從上述第1接入路由器接收上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰;以及通知步驟���,對上述第2接入點通知從上述第1接入路由器通知的上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰��。
12.如權(quán)利要求11所述的通信消息處理方法����,其在上述接收步驟中��,從上述第1接入路由器接收嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的FMIP的HI消息��。
13.如權(quán)利要求11所述的通信消息處理方法�,其具有以下步驟消息生成步驟,生成嵌入了上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰的通知消息����,在上述通知步驟中,將上述通知消息發(fā)送給上述第2接入點���。
14.一種通信控制方法���,是一種在第1接入路由器與第2接入路由器經(jīng)由通信網(wǎng)絡(luò)連接起來的通信系統(tǒng)中移動終端從第1接入點向第2接入點進行切換時的上述第2接入點中的通信控制方法�����,其中��,上述第1接入路由器其下具有上述第1接入點���,上述第2接入路由器其下具有上述第2接入點���,該方法具有以下步驟接收步驟��,上述第2接入路由器從上述第2接入路由器接收從上述第1接入路由器通知的上述移動終端的識別信息以及和與上述第1接入點的加密通信有關(guān)的上述通信用加密解密密鑰�����;比較步驟����,通過上述移動終端的識別信息來識別通過上述切換與上述第2接入點連接的上述移動終端����,將連接到上述第2接入點的上述移動終端的識別信息與在上述接收步驟中從上述第2接入路由器通知的上述移動終端的識別信息進行比較;以及通信控制步驟����,根據(jù)上述比較步驟的比較結(jié)果�,在和具有與從上述第2接入路由器通知的上述移動終端的識別信息相一致的上述識別信息的上述移動終端之間���,使用在上述移動終端與上述第1接入點之間的加密通信中所使用的上述通信用加密解密密鑰來進行加密通信���,并且對上述移動終端進行用于允許對上述第2接入路由器的接入的控制。
15.如權(quán)利要求14所述的通信控制方法�����,其具有以下步驟認證成功通信步驟�����,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理�,當(dāng)上述移動終端通過認證并生成了和上述移動終端與上述第2接入點之間的加密通信有關(guān)的新的通信用加密解密密鑰時,在與上述移動終端之間使用上述新的通信用加密解密密鑰來進行加密通信���,并且對上述移動終端繼續(xù)進行用于允許對上述第2接入路由器的接入的控制�����;以及認證失敗通信步驟�,和上述通信控制步驟中的與上述移動終端之間的加密通信相并行地進行上述移動終端的認證處理,當(dāng)上述移動終端沒有通過認證時�����,對上述移動終端進行用于不允許對上述第2接入路由器的接入的控制�。
全文摘要
本發(fā)明公開了一種技術(shù),當(dāng)移動節(jié)點(MN)在存在于不同接入路由器(AR)的鏈路上的接入點(AP)之間進行切換時��,能夠迅速地確立MN與AP之間的安全性����,從而降低因切換而引起的通信延遲或斷絕��;借助于這種技術(shù)��,進行切換的MN10在該切換前將MN自身的MAC地址和切換前與AP21之間使用的通信用加密解密密鑰通知給切換后新連接的接入路由器(nAR)30����,nAR將這些信息通知給MN在切換后所連接的AP31。由此���,MN就能夠使用切換前所使用的通信用加密解密密鑰來進行與切換后的AP的通信���。另外���,也可以利用與FMIP相關(guān)的處理來向nAR通知MN的MAC地址及通信用加密解密密鑰。
文檔編號H04L12/56GK101015225SQ200580029318
公開日2007年8月8日 申請日期2005年6月27日 優(yōu)先權(quán)日2004年6月30日
發(fā)明者M·卡薩皮艾迪斯 申請人:松下電器產(chǎn)業(yè)株式會社