[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5113717B2 - Mobile communication network system - Google Patents

Mobile communication network system Download PDF

Info

Publication number
JP5113717B2
JP5113717B2 JP2008275855A JP2008275855A JP5113717B2 JP 5113717 B2 JP5113717 B2 JP 5113717B2 JP 2008275855 A JP2008275855 A JP 2008275855A JP 2008275855 A JP2008275855 A JP 2008275855A JP 5113717 B2 JP5113717 B2 JP 5113717B2
Authority
JP
Japan
Prior art keywords
node
mobile node
content
exclusive
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008275855A
Other languages
Japanese (ja)
Other versions
JP2010103943A (en
Inventor
俊之 藤澤
勝樹 稲村
俊昭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Japan Broadcasting Corp
Original Assignee
KDDI Corp
Japan Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp, Japan Broadcasting Corp filed Critical KDDI Corp
Priority to JP2008275855A priority Critical patent/JP5113717B2/en
Publication of JP2010103943A publication Critical patent/JP2010103943A/en
Application granted granted Critical
Publication of JP5113717B2 publication Critical patent/JP5113717B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、移動ノードが通信相手である相手ノードとの通信の最中に異なるネットワーク間でハンドオーバを行うことができる移動通信ネットワークシステムに関する。   The present invention relates to a mobile communication network system in which a mobile node can perform handover between different networks during communication with a counterpart node that is a communication counterpart.

近年、携帯可能な無線通信装置(以下、携帯端末と称する)はIP(Internet Protocol)を用いたパケット通信を行うことができるものがあり、その携帯端末によればインターネット上のウェブサイトへアクセスしたり、インターネット経由でコンテンツ配信サービスを受けたりすることなどが可能である。“Mobile IPv6”は、そのような携帯端末が移動ノード(MN:mobile node)としてその移動に伴うIPネットワークへの接続点を変更するための技術として知られている(例えば、非特許文献1参照)。また、携帯端末がパケット通信中にIPネットワークへの接続点を変更する場合に、その切り替え時間を短縮し、通信の途切れを短くするための技術が、特許文献1に開示されている。特許文献1に記載の従来技術では、移動ノードと通信相手のノード(相手ノード、CN:correspondent node)は気付アドレスを用いて移動ノードのホームエージェントを経由せずに直接パケット通信を行うが、移動ノードは移動する際、相手ノードに対して、移動前の旧気付アドレスを用いて移動後の新気付アドレスを仮登録する。そして、相手ノードは、有効期限付きで新気付アドレスの仮登録を行い、新気付アドレスの本登録までの間、有効期限内に限って新気付アドレスを用いたパケット通信を許可している。   In recent years, some portable wireless communication devices (hereinafter referred to as portable terminals) can perform packet communication using IP (Internet Protocol), and the portable terminals can access websites on the Internet. Or receiving a content distribution service via the Internet. “Mobile IPv6” is known as a technique for changing the connection point to an IP network accompanying such movement as a mobile node (MN: mobile node) (for example, see Non-Patent Document 1). ). Patent Document 1 discloses a technique for shortening the switching time and shortening the communication interruption when the mobile terminal changes the connection point to the IP network during packet communication. In the prior art described in Patent Document 1, a mobile node and a communication partner node (partner node, CN: correspondent node) directly perform packet communication using a care-of address without going through the home agent of the mobile node. When the node moves, the new care-of address after movement is provisionally registered with the partner node using the old care-of address before movement. The partner node temporarily registers a new care-of address with an expiration date, and permits packet communication using the new care-of address only within the expiration date until the main registration of the new care-of address.

また、移動ノードの移動に伴う移動ノードの認証において、通信効率の低下を防止するための技術が特許文献2に開示されている。この従来技術では、移動体からの無線基地局を経由したシステム内部への接続を認証する際に、認証サーバが移動体の事前認証の成功により当該移動体の識別情報を生成し、移動体がシステム内部へ接続する際に識別情報を無線基地局へ送り、無線基地局が移動体からの識別情報と自己で予め保有する識別情報とを照合している。
D.Johnson, C.Perkins and J.Arkko, “Mobility Support in IPv6”, IETF RFC3775, Jun.2004. 特開2005−236610号公報 特開2005−252961号公報 Also, Patent Document 2 discloses a technique for preventing a reduction in communication efficiency in mobile node authentication accompanying movement of a mobile node. In this prior art, when authenticating the connection from the mobile body to the system via the radio base station, the authentication server generates identification information of the mobile body by the successful pre-authentication of the mobile body, When connecting to the inside of the system, identification information is sent to the radio base station, and the radio base station collates the identification information from the mobile unit with the identification information held in advance by itself.
D. Johnson, C. Perkins and J. Arkko, “Mobility Support in IPv6”, IETF RFC3775, Jun. 2004. JP 2005-236610 A JP 2005-252961 A

しかし、上述した従来技術では、移動ノードが接続するネットワークの認証(ネットワーク認証)については考慮されているが、移動ノードが受けているサービスの認証(サービス認証)については考慮されていない。   However, in the above-described conventional technology, the authentication of the network to which the mobile node is connected (network authentication) is considered, but the authentication of the service received by the mobile node (service authentication) is not considered.

例えば、移動ノードがコンテンツ配信サービスを受けている最中に、移動ノードが移動しネットワークのハンドオーバが発生し、ネットワークが切り替わる場合、新たに接続するネットワークの接続のための認証および当該サービスを継続して受けるための認証が必要となる。一方、配信されるコンテンツは暗号化されるが、その安全性確保の観点から、コンテンツを暗号化するための暗号鍵(コンテンツ鍵)を更新すると、その新たなコンテンツ鍵を移動ノードへ配送する処理も必要となる。このため、ネットワーク認証、サービス認証およびコンテンツ鍵配送に係る処理を効率化し、ハンドオーバ発生時の切替遅延時間を短縮することが望まれる。   For example, when a mobile node moves and a network handover occurs while the mobile node is receiving the content distribution service, the network is switched, and authentication for connection to the newly connected network and the service are continued. Authentication is required to receive. On the other hand, the content to be distributed is encrypted, but from the viewpoint of ensuring its safety, when the encryption key (content key) for encrypting the content is updated, the new content key is delivered to the mobile node. Is also required. For this reason, it is desirable to improve the efficiency of the processing related to network authentication, service authentication and content key distribution, and to shorten the switching delay time when a handover occurs.

本発明は、このような事情を考慮してなされたもので、その目的は、移動ノードの移動に伴って発生するネットワークのハンドオーバにおいて、ネットワーク認証およびサービス認証の両方を考慮し、処理の効率化を図ることのできる移動通信ネットワークシステムを提供することにある。   The present invention has been made in consideration of such circumstances, and its purpose is to improve processing efficiency in consideration of both network authentication and service authentication in network handover that occurs as a mobile node moves. It is an object of the present invention to provide a mobile communication network system capable of achieving the above.

上記の課題を解決するために、本発明に係る移動通信ネットワークシステムは、移動ノードが通信相手である相手ノードとの通信の最中に異なるネットワーク間でハンドオーバを行うことができる移動通信ネットワークシステムにおいて、前記相手ノードは、前記移動ノードへ送信する暗号化コンテンツを復号するためのコンテンツ鍵を復元するための第1のデータおよび第2のデータを生成するコンテンツ鍵復元データ生成手段と、前記第1のデータおよび第2のデータをそれぞれ前記移動ノードのハンドオーバ前後の異なるネットワーク経由で前記移動ノードへ送信するコンテンツ鍵配信手段と、前記移動ノードから受信したコンテンツ復号結果に応じて、前記移動ノードに対し、コンテンツの送信を継続するか否かを判断するコンテンツ配信手段と、を有し、前記移動ノードは、前記相手ノードから受信した第1のデータおよび第2のデータを用いて、コンテンツ鍵を復元するコンテンツ鍵復元手段と、該復元されたコンテンツ鍵を用いて、前記相手ノードから受信した暗号化コンテンツを復号するコンテンツ復号手段と、該復号結果を前記相手ノードに送信するコンテンツ復号結果送信手段と、を有し、前記移動通信ネットワークシステムは、前記移動ノードのホームエージェントと前記移動ノードのネットワーク接続点のアクセスゲートウェイを有し、前記ホームエージェントは、第1の乱数を生成する乱数生成手段と、該第1の乱数を前記相手ノードへ送信する乱数送信手段と、前記相手ノードから受信した第2の乱数と前記第1の乱数との第1の排他的論理和値を計算する排他的論理和演算手段と、該第1の排他的論理和値を前記移動ノードへ送信する排他的論理和値送信手段と、を有し、前記相手ノードは、第2の乱数を生成する乱数生成手段と、該第2の乱数を前記ホームエージェントへ送信する乱数送信手段と、前記ホームエージェントから受信した第1の乱数と前記第2の乱数との第2の排他的論理和値を計算する排他的論理和演算手段と、該第2の排他的論理和値を前記移動ノードのハンドオーバ後のアクセスゲートウェイへ送信する排他的論理和値送信手段と、を有し、前記移動ノードは、前記ホームエージェントから受信した第1の排他的論理和値をハンドオーバ後のアクセスゲートウェイへ送信する排他的論理和値送信手段を有し、前記アクセスゲートウェイは、ハンドオーバにより新たに接続を要求している移動ノードから受信した第1の排他的論理和値と、該移動ノードの通信相手である相手ノードから受信した第2の排他的論理和値との一致を検証するネットワーク検証手段を有する、ことを特徴とする。 In order to solve the above problems, a mobile communication network system according to the present invention is a mobile communication network system in which a mobile node can perform handover between different networks during communication with a counterpart node that is a communication counterpart. , The counterpart node includes first and second data for restoring a content key for decrypting the encrypted content to be transmitted to the mobile node; Content key distribution means for transmitting the data and the second data to the mobile node via different networks before and after handover of the mobile node, and for the mobile node according to the content decryption result received from the mobile node Content that determines whether to continue sending content Distribution means, and the mobile node uses the first data and the second data received from the counterpart node to restore the content key, and restores the restored content key. used, a content decryption means for decrypting the encrypted content received from the counterpart node, possess a content decryption result transmitting means for transmitting a the decoded result to the correspondent node, wherein the mobile communication network system, the mobile A home agent of a node and an access gateway of a network connection point of the mobile node, wherein the home agent generates random numbers for generating a first random number, and random number transmission for transmitting the first random number to the counterpart node And a first exclusive OR value of the second random number received from the counterpart node and the first random number. And an exclusive OR value transmitting means for transmitting the first exclusive OR value to the mobile node, and the counterpart node generates a second random number. Random number generating means, random number transmitting means for transmitting the second random number to the home agent, and calculating a second exclusive OR value of the first random number received from the home agent and the second random number And an exclusive OR value transmitting means for transmitting the second exclusive OR value to the access gateway after the handover of the mobile node, the mobile node comprising: An exclusive OR transmission means for transmitting the first exclusive OR received from the home agent to the access gateway after the handover, the access gateway newly Network verification for verifying a match between a first exclusive OR value received from a mobile node requesting connection and a second exclusive OR value received from a counterpart node that is a communication partner of the mobile node It has the means, It is characterized by the above-mentioned.

本発明によれば、移動ノードの移動に伴って発生するネットワークのハンドオーバにおいて、コンテンツ鍵を更新するためのコンテンツ鍵の配送処理を利用したネットワーク認証およびサービス認証を行うことができる。これにより、ハンドオーバ発生時の処理の効率化を図ることができ、ハンドオーバ発生時の切替遅延時間を短縮することが可能となる。   According to the present invention, it is possible to perform network authentication and service authentication using content key distribution processing for updating a content key in a network handover that occurs as a mobile node moves. As a result, it is possible to improve the efficiency of processing when a handover occurs, and to shorten the switching delay time when a handover occurs.

以下、図面を参照し、本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の一実施形態に係る移動通信ネットワークシステムの全体構成図である。図1において、ホームネットワーク1は、移動ノード(MN)10が接続可能なIPネットワークのうち、移動ノード10が管理対象として固定的に登録されるIPネットワークである。ホームネットワーク1は、ホームエージェント(HA:home agent)11を有する。ホームエージェント11は、移動ノード10を管理する。   FIG. 1 is an overall configuration diagram of a mobile communication network system according to an embodiment of the present invention. In FIG. 1, a home network 1 is an IP network in which a mobile node 10 is fixedly registered as a management target among IP networks to which a mobile node (MN) 10 can be connected. The home network 1 has a home agent (HA) 11. The home agent 11 manages the mobile node 10.

ネットワーク2−1,2−2は、移動ノード10が接続可能なIPネットワークのうち、ホームネットワーク1以外の他のIPネットワークである。ネットワーク2−1,2−2は、移動ノード10のネットワーク接続点となるアクセスゲートウェイ(AGW:access gateway)21−1,21−2を有する。アクセスゲートウェイ21−1は、ネットワーク2−1への接続点(アクセスポイント)である。アクセスゲートウェイ21−2は、ネットワーク2−2への接続点(アクセスポイント)である。移動ノード10は、アクセスゲートウェイ21−1,21−2に無線接続可能である。   The networks 2-1 and 2-2 are IP networks other than the home network 1 among IP networks to which the mobile node 10 can be connected. The networks 2-1 and 2-2 have access gateways (AGWs) 21-1 and 21-2 serving as network connection points of the mobile node 10. The access gateway 21-1 is a connection point (access point) to the network 2-1. The access gateway 21-2 is a connection point (access point) to the network 2-2. The mobile node 10 can be wirelessly connected to the access gateways 21-1 and 21-2.

ネットワーク3は、移動ノード10の通信相手である相手ノード(CN)31が接続しているIPネットワークである。   The network 3 is an IP network to which a counterpart node (CN) 31 that is a communication counterpart of the mobile node 10 is connected.

各ネットワーク1,2−1,2−2,3間は、それぞれ通信回線で接続されている。なお、必要に応じて、IPsec(security architecture for Internet Protocol)を用いた安全なパケット通信路が構成される。   Each network 1, 2-1, 2-2, 3 is connected by a communication line. A secure packet communication path using IPsec (security architecture for Internet Protocol) is configured as necessary.

ホームエージェント11は、アクセスゲートウェイ21−1,21−2、相手ノード31との間で制御情報を送受する。その制御情報は暗号鍵によって秘匿される。移動ノード10は、ネットワーク2−1圏内にあってはアクセスゲートウェイ21−1を介してホームエージェント11との間で制御情報を送受する。移動ノード10は、ネットワーク2−2圏内にあってはアクセスゲートウェイ21−2を介して、ホームエージェント11との間で制御情報を送受する。   The home agent 11 sends and receives control information to and from the access gateways 21-1 and 21-2 and the counterpart node 31. The control information is concealed by an encryption key. The mobile node 10 sends and receives control information to and from the home agent 11 via the access gateway 21-1 in the network 2-1. The mobile node 10 sends and receives control information to and from the home agent 11 via the access gateway 21-2 in the network 2-2 area.

アクセスゲートウェイ21−1,21−2(以下、特に区別しないときは「アクセスゲートウェイ21」と称する)は、移動ノード10と相手ノード31の間で送受されるIPパケットを相互に転送する。移動ノード10は、ネットワーク2−1圏内にあってはアクセスゲートウェイ21−1を介して、相手ノード31との間でIPパケットを送受する。移動ノード10は、ネットワーク2−2圏内にあってはアクセスゲートウェイ21−2を介して、相手ノード31との間でIPパケットを送受する。   Access gateways 21-1 and 21-2 (hereinafter referred to as “access gateway 21” unless otherwise distinguished) transfer IP packets transmitted and received between mobile node 10 and counterpart node 31 to each other. The mobile node 10 sends and receives IP packets to and from the partner node 31 via the access gateway 21-1 in the network 2-1. The mobile node 10 sends and receives IP packets to and from the counterpart node 31 via the access gateway 21-2 in the network 2-2 range.

図2は、図1に示す移動ノード10の装置構成を示すブロック図である。図2において、移動ノード10は、無線部101とIP通信部102とIP情報記憶部103とアプリケーション部104とコンテンツ鍵分割データ記憶部105とコンテンツ鍵復元部106を有する。無線部101は、各ネットワーク1,2−1,2−2に対応した無線インタフェースを有する。これにより、移動ノード10は、各ネットワーク1,2−1,2−2に無線接続することができる。IP通信部102は、IPを用いたパケット通信を行う。IP通信部102は、無線部101を介してIPパケットを送受する。IP情報記憶部103は、パケット通信で使用される情報を記憶する。アプリケーション部104は、各種のアプリケーションを実行する。そのアプリケーションの中にはパケット通信によってコンテンツを受信するものがある。コンテンツはコンテンツ鍵により暗号化されており、アプリケーションは受信した暗号化コンテンツをコンテンツ鍵により復号する。コンテンツとしては、テキスト、画像(静止画像、動画像)、音声などがある。   FIG. 2 is a block diagram showing a device configuration of the mobile node 10 shown in FIG. In FIG. 2, the mobile node 10 includes a wireless unit 101, an IP communication unit 102, an IP information storage unit 103, an application unit 104, a content key split data storage unit 105, and a content key restoration unit 106. The wireless unit 101 has a wireless interface corresponding to each of the networks 1, 2-1, and 2-2. As a result, the mobile node 10 can wirelessly connect to the networks 1, 2-1, and 2-2. The IP communication unit 102 performs packet communication using IP. The IP communication unit 102 transmits and receives IP packets via the wireless unit 101. The IP information storage unit 103 stores information used in packet communication. The application unit 104 executes various applications. Some of these applications receive content by packet communication. The content is encrypted with the content key, and the application decrypts the received encrypted content with the content key. The content includes text, images (still images, moving images), audio, and the like.

コンテンツ鍵分割データ記憶部105は、コンテンツ鍵の分割データを記憶する。コンテンツ鍵の分割データは、IP通信部102により受信されてコンテンツ鍵分割データ記憶部105に格納される。コンテンツ鍵復元部106は、コンテンツ鍵の分割データからコンテンツ鍵を復元する。復元されたコンテンツ鍵は、アプリケーション部104に供給される。アプリケーション部104は、復元されたコンテンツ鍵を用いて、IP通信部102により受信された暗号化コンテンツを復号する。   The content key split data storage unit 105 stores the content key split data. The content key split data is received by the IP communication unit 102 and stored in the content key split data storage unit 105. The content key restoration unit 106 restores the content key from the divided data of the content key. The restored content key is supplied to the application unit 104. The application unit 104 decrypts the encrypted content received by the IP communication unit 102 using the restored content key.

図3は、図2に示すIP情報記憶部103の構成例である。図3に示されるようにIP情報記憶部103は、自移動ノード10のホームアドレスおよび気付アドレスと、相手ノード31のIPアドレス(以下、「CNアドレス(IPA_CN、但し、IPA_XXはXXのIPアドレスを表す)」と称する)と、自移動ノード10のネットワーク接続点のアクセスゲートウェイ21のIPアドレス(以下、「AGWアドレス(IPA_AGW)」と称する)を記憶する。ホームアドレス(IPA_MN)は、ホームネットワーク1において移動ノード10に割り当てられたIPアドレスである。気付アドレス(CoA:care of address)は、ホームネットワーク1以外の他のネットワーク2−1,2−2において移動ノード10に割り当てられたIPアドレスである。   FIG. 3 is a configuration example of the IP information storage unit 103 shown in FIG. As shown in FIG. 3, the IP information storage unit 103 includes the home address and care-of address of the mobile node 10 and the IP address of the counterpart node 31 (hereinafter referred to as “CN address (IPA_CN, where IPA_XX is the IP address of XX). And the IP address of the access gateway 21 at the network connection point of the mobile node 10 (hereinafter referred to as “AGW address (IPA_AGW)”). The home address (IPA_MN) is an IP address assigned to the mobile node 10 in the home network 1. The care-of address (CoA) is an IP address assigned to the mobile node 10 in the networks 2-1 and 2-2 other than the home network 1.

図4は、図2に示すコンテンツ鍵分割データ記憶部105の構成例である。図4に示されるようにコンテンツ鍵分割データ記憶部105は、第1分割データと第2分割データを記憶する。第1分割データと第2分割データは、1つのコンテンツ鍵から生成される。   FIG. 4 is a configuration example of the content key split data storage unit 105 shown in FIG. As shown in FIG. 4, the content key split data storage unit 105 stores the first split data and the second split data. The first divided data and the second divided data are generated from one content key.

図5は、図1に示す相手ノード31の装置構成を示すブロック図である。図5において、相手ノード31は、通信部301とIP通信部302とバインディング情報記憶部303とアプリケーション部304とコンテンツ鍵生成部305とコンテンツ鍵分割部306を有する。通信部301は、ホームエージェント11との間で制御情報を送受し、またアクセスゲートウェイ21との間でIPパケットを送受する。IP通信部302は、IPを用いたパケット通信を行う。IP通信部302は、通信部301を介してIPパケットを送受する。   FIG. 5 is a block diagram showing a device configuration of the counterpart node 31 shown in FIG. 5, the counterpart node 31 includes a communication unit 301, an IP communication unit 302, a binding information storage unit 303, an application unit 304, a content key generation unit 305, and a content key division unit 306. The communication unit 301 transmits / receives control information to / from the home agent 11 and transmits / receives IP packets to / from the access gateway 21. The IP communication unit 302 performs packet communication using IP. The IP communication unit 302 transmits and receives IP packets via the communication unit 301.

バインディング情報記憶部303は、パケット通信相手のうち、移動ノード10に関する情報を記憶する。図6にバインディング情報記憶部303の構成例を示す。図6に示されるようにバインディング情報記憶部303は、移動ノード10の気付アドレスと、移動ノード10のネットワーク接続点のアクセスゲートウェイ21のIPアドレスを記憶する。ただし、移動ノード10の相手ノード31に対する匿名性が必要な場合は、移動ノード10の気付アドレスの代わりにホームエージェント11で生成される気付アドレスをハッシュ演算した値、あるいは、該気付アドレスとハンドオーバごとに生成されるセッション鍵等を連接した値をハッシュ演算した値を用いて移動ノード10の識別子としてもよい。   The binding information storage unit 303 stores information related to the mobile node 10 among packet communication partners. FIG. 6 shows a configuration example of the binding information storage unit 303. As shown in FIG. 6, the binding information storage unit 303 stores the care-of address of the mobile node 10 and the IP address of the access gateway 21 at the network connection point of the mobile node 10. However, when anonymity of the mobile node 10 with respect to the counterpart node 31 is required, a value obtained by hashing the care-of address generated by the home agent 11 instead of the care-of address of the mobile node 10, or the care-of address and each handover The identifier of the mobile node 10 may be obtained by using a value obtained by hashing a value obtained by concatenating the session key and the like generated at the same time.

アプリケーション部304は、各種のアプリケーションを実行する。そのアプリケーションの中にはパケット通信によってコンテンツを送信するものがある。アプリケーションは、コンテンツ鍵によりコンテンツを暗号化してから送信する。コンテンツとしては、テキスト、画像(静止画像、動画像)、音声などがある。   The application unit 304 executes various applications. Some of these applications transmit content by packet communication. The application transmits the content after encrypting it with the content key. The content includes text, images (still images, moving images), audio, and the like.

コンテンツ鍵生成部305は、コンテンツ鍵を生成する。生成されたコンテンツ鍵は、アプリケーション部304およびコンテンツ鍵分割部306に供給される。アプリケーション部304は、コンテンツ鍵生成部305から受け取ったコンテンツ鍵を用いてコンテンツを暗号化し、暗号化コンテンツをIP通信部302に渡す。暗号化コンテンツはIP通信部302によりパケット化されて送信される。   The content key generation unit 305 generates a content key. The generated content key is supplied to the application unit 304 and the content key dividing unit 306. The application unit 304 encrypts the content using the content key received from the content key generation unit 305 and passes the encrypted content to the IP communication unit 302. The encrypted content is packetized by the IP communication unit 302 and transmitted.

コンテンツ鍵分割部306は、コンテンツ鍵生成部305から受け取ったコンテンツ鍵から、第1分割データと第2分割データを生成する。ここで、コンテンツ鍵(Kc)の分割方法を、いくつかの実施例を挙げて説明する。   The content key dividing unit 306 generates first divided data and second divided data from the content key received from the content key generating unit 305. Here, a method for dividing the content key (Kc) will be described with reference to some embodiments.

[コンテンツ鍵の分割方法の実施例1]
コンテンツ鍵(Kc)のビット列を2つに分割し、分割された2つのビット列をそれぞれ第1分割データ(Kc−a)、第2分割データ(Kc−b)とする。第1分割データおよび第2分割データがそれぞれ送信される通信路として、通信データの暗号化が行われるものを利用すれば、第1分割データおよび第2分割データそのものの安全性は確保できる。 [Embodiment 1 of content key dividing method]
The bit string of the content key (Kc) is divided into two, and the two divided bit strings are defined as first divided data (Kc-a) and second divided data (Kc-b), respectively. If a communication path in which communication data is encrypted is used as a communication path through which each of the first divided data and the second divided data is transmitted, the safety of the first divided data and the second divided data itself can be ensured.

[コンテンツ鍵の分割方法の実施例2]
ここでは、排他的論理和(XOR)を用いる。
コンテンツ鍵(Kc)のビット列を2つに分割し、分割された2つのビット列(Kc−1,Kc−2)に対して、移動ノード10と相手ノード31が共通に所有するセッション鍵(Ks)と次式の演算を行い、第1分割データ(Kc−a)および第2分割データ(Kc−b)を生成する。
Kc−a=Kc−1 XOR Ks
Kc−b=Kc−2 XOR Ks
なお、移動ノード10における復元は、次式の演算により行う。
Kc−1=Kc−a XOR Ks
Kc−2=Kc−b XOR Ks [Example 2 of content key dividing method]
Here, exclusive OR (XOR) is used.
The bit string of the content key (Kc) is divided into two, and for the two divided bit strings (Kc-1, Kc-2), the session key (Ks) that is commonly owned by the mobile node 10 and the partner node 31 And the following equation is calculated to generate first divided data (Kc-a) and second divided data (Kc-b).
Kc-a = Kc-1 XOR Ks
Kc-b = Kc-2 XOR Ks
Note that the restoration in the mobile node 10 is performed by the calculation of the following equation.
Kc-1 = Kc-a XOR Ks
Kc-2 = Kc-b XOR Ks

[コンテンツ鍵の分割方法の実施例3]
これは、上記実施例2の変形である。
初回の分割時には、セッション鍵(Ks)を用いて、各ビット列(Kc−1,Kc−2)との排他的論理和演算を行い、第1分割データ(Kc−a)および第2分割データ(Kc−b)を生成する。2回目以降の分割時には、直前のコンテンツ鍵(Kc_0)を用いて、今回のコンテンツ鍵(Kc)の分割された2つのビット列(Kc−1,Kc−2)との排他的論理和演算を行い、第1分割データ(Kc−a)および第2分割データ(Kc−b)を生成する。移動ノード10における復元では、初回はセッション鍵(Ks)を用い、2回目以降は直前のコンテンツ鍵(Kc_0)を用いる。この方法によれば、コンテンツ鍵(Kc)のチェーンができるので、受信者の継続性を担保することができる。 [Third embodiment of content key dividing method]
This is a modification of the second embodiment.
At the time of the first division, an exclusive OR operation with each bit string (Kc-1, Kc-2) is performed using the session key (Ks), and the first divided data (Kc-a) and the second divided data ( Kc-b) is generated. In the second and subsequent divisions, an exclusive OR operation is performed on the two divided bit strings (Kc-1, Kc-2) of the current content key (Kc) using the immediately preceding content key (Kc_0). First divided data (Kc-a) and second divided data (Kc-b) are generated. In the restoration at the mobile node 10, the session key (Ks) is used for the first time, and the immediately preceding content key (Kc_0) is used for the second and subsequent times. According to this method, the content key (Kc) can be chained, so that the continuity of the recipient can be ensured.

次に、図7,図8を参照して、本実施形態に係る移動通信ネットワークシステムにおけるパケット通信手順を説明する。図7,図8は、本実施形態に係るパケット通信手順全体の流れを示すシーケンス図である。   Next, a packet communication procedure in the mobile communication network system according to the present embodiment will be described with reference to FIGS. 7 and 8 are sequence diagrams showing the flow of the entire packet communication procedure according to this embodiment.

まず、図7において、パケット通信開始前の状態として、移動ノード10は、図1のネットワーク2−1圏内にあってアクセスゲートウェイ21−1に接続している。このネットワーク2−1における移動ノード10の気付アドレスは「CoA1」である。また、移動ノード10のホームアドレスは「IPA_MN」であり、CNアドレスは「IPA_CN」である。アクセスゲートウェイ21−1のIPアドレスは「IPA_AGW1」である。このときの移動ノード10のIP情報記憶部103は、図3に例示される状態である。なお、相手ノード31のバインディング情報記憶部303は未だ移動ノード10に関する情報を何も格納していない。   First, in FIG. 7, as a state before the start of packet communication, the mobile node 10 is within the network 2-1 of FIG. 1 and is connected to the access gateway 21-1. The care-of address of the mobile node 10 in this network 2-1 is “CoA1”. The home address of the mobile node 10 is “IPA_MN”, and the CN address is “IPA_CN”. The IP address of the access gateway 21-1 is “IPA_AGW1”. The IP information storage unit 103 of the mobile node 10 at this time is in the state illustrated in FIG. Note that the binding information storage unit 303 of the counterpart node 31 has not yet stored any information regarding the mobile node 10.

図7において、移動ノード10が、アプリケーション等の起動によって相手ノード31との間のパケット通信を開始する(ステップS1)。これにより、移動ノード10とホームエージェント11間でアプリケーションのための通信初期設定が行われる(ステップS2)とともに、ホームエージェント11と相手ノード31間で通信初期設定が行われる(ステップS3)。   In FIG. 7, the mobile node 10 starts packet communication with the counterpart node 31 by starting an application or the like (step S1). Thereby, the communication initial setting for the application is performed between the mobile node 10 and the home agent 11 (step S2), and the communication initial setting is performed between the home agent 11 and the counterpart node 31 (step S3).

次いで、ホームエージェント11と相手ノード31間、ホームエージェント11とアクセスゲートウェイ21−1間で、移動ノード10のMN情報を更新する処理が行われる(ステップS4)。これにより、相手ノード31のバインディング情報記憶部303は、図6に例示される状態となる。   Next, a process of updating the MN information of the mobile node 10 is performed between the home agent 11 and the counterpart node 31 and between the home agent 11 and the access gateway 21-1 (step S4). As a result, the binding information storage unit 303 of the counterpart node 31 enters the state illustrated in FIG.

次いで、相手ノード31が、コンテンツ鍵(Kc1)を生成し(ステップS5)、該コンテンツ鍵(Kc1)から第1分割データ(Kc1−a)および第2分割データ(Kc1−b)を生成する(ステップS6)。   Next, the counterpart node 31 generates a content key (Kc1) (step S5), and generates first divided data (Kc1-a) and second divided data (Kc1-b) from the content key (Kc1) ( Step S6).

次いで、相手ノード31が、第1分割データ(Kc1−a)をホームエージェント11経由で移動ノード10へ送信する(ステップS7)。これにより、第1分割データ(Kc1−a)は、相手ノード31からホームエージェント11およびアクセスゲートウェイ21−1経由で移動ノード10へ到達する。   Next, the counterpart node 31 transmits the first divided data (Kc1-a) to the mobile node 10 via the home agent 11 (step S7). As a result, the first divided data (Kc1-a) reaches the mobile node 10 from the counterpart node 31 via the home agent 11 and the access gateway 21-1.

次いで、相手ノード31が、第2分割データ(Kc1−b)を、ホームエージェント11を介さずに、直接的にアクセスゲートウェイ21−1経由で移動ノード10へ送信する(ステップS8)。これにより、第2分割データ(Kc1−b)は、相手ノード31からアクセスゲートウェイ21−1経由で移動ノード10へ到達する。   Next, the counterpart node 31 transmits the second divided data (Kc1-b) to the mobile node 10 directly via the access gateway 21-1 without going through the home agent 11 (step S8). As a result, the second divided data (Kc1-b) reaches the mobile node 10 from the counterpart node 31 via the access gateway 21-1.

次いで、移動ノード10が、それぞれ受信した第1分割データ(Kc1−a)および第2分割データ(Kc1−b)を用いて、コンテンツ鍵を復元する(ステップS9)。相手ノード31は、コンテンツ鍵(Kc1)で暗号化した暗号化コンテンツを、ホームエージェント11を介さずに、直接的にアクセスゲートウェイ21−1経由で移動ノード10へ送信する(ステップS10)。移動ノード10は、受信した暗号化コンテンツを、復元したコンテンツ鍵で復号する(ステップS11)。次いで、移動ノード10は、その復号結果(復号の成否)を相手ノード31に通知する(ステップS12)。   Next, the mobile node 10 restores the content key using the received first divided data (Kc1-a) and second divided data (Kc1-b), respectively (step S9). The counterpart node 31 transmits the encrypted content encrypted with the content key (Kc1) directly to the mobile node 10 via the access gateway 21-1 without using the home agent 11 (step S10). The mobile node 10 decrypts the received encrypted content with the restored content key (step S11). Next, the mobile node 10 notifies the counterpart node 31 of the decoding result (decoding success / failure) (step S12).

次いで、相手ノード31が、移動ノード10から受信した復号結果に応じて、コンテンツの配信を継続するか否かを判断する。移動ノード10で復号が成功した場合、サービス認証が成功したと認められるので、コンテンツの配信を継続する。しかし、移動ノード10で復号が失敗した場合、サービス認証が成功したとは認められないので、コンテンツの配信を停止する。従って、移動ノード10で復号が成功した場合には、相手ノード31から移動ノード10へのコンテンツ配信が継続される(ステップS13)。   Next, the counterpart node 31 determines whether or not to continue content distribution according to the decryption result received from the mobile node 10. If the mobile node 10 succeeds in decryption, it is recognized that the service authentication has succeeded, so the content distribution is continued. However, if the decryption fails at the mobile node 10, it is not recognized that the service authentication has succeeded, so the content distribution is stopped. Therefore, if the decoding is successful at the mobile node 10, the content distribution from the counterpart node 31 to the mobile node 10 is continued (step S13).

次に、図8を参照して、移動ノード10がハンドオーバする場合のパケット通信手順を説明する。図8には図7から引き続いたシーケンスが示されており、移動ノード10は、アクセスゲートウェイ21−1経由で相手ノード31からコンテンツ配信を受けている最中である(ステップS13)。
図8において、移動ノード10がハンドオーバを発生する(ステップS14)。ここでは、移動ノード10がハンドオーバ先候補を探索した結果、ネットワーク2−2のアクセスゲートウェイ21−2が発見され、アクセスゲートウェイ21−2をハンドオーバ先候補に決定したとする。アクセスゲートウェイ21−2のIPアドレスは「IPA_AGW2」である。これにより、移動ノード10とアクセスゲートウェイ21−2間、アクセスゲートウェイ21−2とホームエージェント11間でそれぞれハンドオーバ設定が行われる(ステップS15,S16)。 Next, a packet communication procedure when the mobile node 10 is handed over will be described with reference to FIG. FIG. 8 shows a sequence continued from FIG. 7, and the mobile node 10 is receiving content distribution from the counterpart node 31 via the access gateway 21-1 (step S13).
In FIG. 8, the mobile node 10 generates a handover (step S14). Here, it is assumed that, as a result of the mobile node 10 searching for a handover destination candidate, the access gateway 21-2 of the network 2-2 is found, and the access gateway 21-2 is determined as the handover destination candidate. The IP address of the access gateway 21-2 is “IPA_AGW2”. Thereby, a handover setting is performed between the mobile node 10 and the access gateway 21-2, and between the access gateway 21-2 and the home agent 11 (steps S15 and S16).

次いで、移動ノード10が、ハンドオーバ後の新気付アドレス「CoA2」を生成する(ステップS17)。次いで、移動ノード10が、ホームアドレス「IPA_MN」、新気付アドレス「CoA2」およびハンドオーバ後の新AGWアドレス「IPA_AGW2」をMN情報としてハンドオーバ前のアクセスゲートウェイ21−1経由でホームエージェント11に送信する(ステップS18)。   Next, the mobile node 10 generates a new care-of address “CoA2” after the handover (step S17). Next, the mobile node 10 transmits the home address “IPA_MN”, the new care-of address “CoA2”, and the new AGW address “IPA_AGW2” after handover to the home agent 11 via the access gateway 21-1 before handover as MN information ( Step S18).

次いで、ホームエージェント11が、移動ノード10から受信したMN情報によって、自己の該当するバインディング情報を書き換えるバインディング更新を行う(ステップS19)。   Next, the home agent 11 performs binding update that rewrites the corresponding binding information of itself with the MN information received from the mobile node 10 (step S19).

次いで、ホームエージェント11と相手ノード31間、ホームエージェント11と新アクセスゲートウェイ21−2間で、移動ノード10のMN情報を更新する処理が行われる(ステップS20)。   Next, a process of updating the MN information of the mobile node 10 is performed between the home agent 11 and the counterpart node 31 and between the home agent 11 and the new access gateway 21-2 (step S20).

次いで、相手ノード31が、新コンテンツ鍵(Kc2)を生成し(ステップS21)、該新コンテンツ鍵(Kc2)から新第1分割データ(Kc2−a)および新第2分割データ(Kc2−b)を生成する(ステップS22)。   Next, the correspondent node 31 generates a new content key (Kc2) (step S21), and new first divided data (Kc2-a) and new second divided data (Kc2-b) are generated from the new content key (Kc2). Is generated (step S22).

次いで、相手ノード31が、新第1分割データ(Kc2−a)をホームエージェント11経由で移動ノード10へ送信する(ステップS23)。これにより、新第1分割データ(Kc2−a)は、相手ノード31からホームエージェント11およびアクセスゲートウェイ21−1経由で移動ノード10へ到達する。つまり、新第1分割データ(Kc2−a)は、ハンドオーバ前のネットワーク2−1経由で移動ノード10へ送信される。   Next, the counterpart node 31 transmits the new first divided data (Kc2-a) to the mobile node 10 via the home agent 11 (step S23). As a result, the new first divided data (Kc2-a) reaches the mobile node 10 from the counterpart node 31 via the home agent 11 and the access gateway 21-1. That is, the new first divided data (Kc2-a) is transmitted to the mobile node 10 via the network 2-1 before the handover.

次いで、相手ノード31が、新第2分割データ(Kc2−b)を、ホームエージェント11を介さずに、直接的にハンドオーバ先候補のアクセスゲートウェイ21−2経由で移動ノード10へ送信する(ステップS24)。これにより、新第2分割データ(Kc2−b)は、相手ノード31からハンドオーバ先候補のアクセスゲートウェイ21−2経由で移動ノード10へ到達する。つまり、新第2分割データ(Kc2−b)は、ハンドオーバ後のネットワーク2−2経由で移動ノード10へ送信される。   Next, the counterpart node 31 transmits the new second divided data (Kc2-b) to the mobile node 10 directly via the access gateway 21-2 as a handover destination candidate without passing through the home agent 11 (step S24). ). As a result, the new second divided data (Kc2-b) reaches the mobile node 10 from the counterpart node 31 via the access gateway 21-2 as the handover destination candidate. That is, the new second divided data (Kc2-b) is transmitted to the mobile node 10 via the network 2-2 after the handover.

次いで、移動ノード10が、それぞれ受信した新第1分割データ(Kc2−a)および新第2分割データ(Kc2−b)を用いて、コンテンツ鍵を復元する(ステップS25)。相手ノード31は、コンテンツ鍵(Kc2)で暗号化した暗号化コンテンツを、ホームエージェント11を介さずに、直接的にハンドオーバ先候補のアクセスゲートウェイ21−2経由で移動ノード10へ送信する(ステップS26)。移動ノード10は、受信した暗号化コンテンツを、復元したコンテンツ鍵で復号する(ステップS27)。次いで、移動ノード10は、その復号結果(復号の成否)を相手ノード31に通知する(ステップS28)。   Next, the mobile node 10 restores the content key using the received new first divided data (Kc2-a) and new second divided data (Kc2-b) (step S25). The counterpart node 31 transmits the encrypted content encrypted with the content key (Kc2) to the mobile node 10 directly via the access gateway 21-2 as a handover destination candidate without using the home agent 11 (step S26). ). The mobile node 10 decrypts the received encrypted content with the restored content key (step S27). Next, the mobile node 10 notifies the counterpart node 31 of the decoding result (decoding success / failure) (step S28).

次いで、相手ノード31が、移動ノード10から受信した復号結果に応じて、コンテンツの配信を継続するか否かを判断する。移動ノード10で復号が成功した場合、ネットワーク認証およびサービス認証が成功したと認められるので、コンテンツの配信を継続する。しかし、移動ノード10で復号が失敗した場合、ネットワーク認証およびサービス認証が成功したとは認められないので、コンテンツの配信を停止する。従って、移動ノード10で復号が成功した場合には、相手ノード31から移動ノード10へのコンテンツ配信が継続される(ステップS29)。   Next, the counterpart node 31 determines whether or not to continue content distribution according to the decryption result received from the mobile node 10. If the mobile node 10 succeeds in decryption, it is recognized that network authentication and service authentication have been successful, so that content distribution is continued. However, if the decryption fails in the mobile node 10, it is not recognized that the network authentication and the service authentication are successful, so the content distribution is stopped. Therefore, if the decoding is successful at the mobile node 10, the content distribution from the counterpart node 31 to the mobile node 10 is continued (step S29).

上述したように本実施形態によれば、移動ノード10のハンドオーバが発生した場合、コンテンツ鍵を更新するためのコンテンツ鍵の配送において、コンテンツ鍵の復元に必要な第1分割データおよび第2分割データをそれぞれハンドオーバ前後の異なるネットワーク2−1,2−2経由で移動ノードへ送信し、移動ノードにおける暗号化コンテンツの復号の成否によってネットワーク認証およびサービス認証の成否を判定する。これにより、ネットワーク認証、サービス認証およびコンテンツ鍵配送に係る処理の効率化を図ることができる。この結果、ハンドオーバ発生時の切替遅延時間を短縮することが可能となるので、ハンドオーバ発生時の通信の信頼性向上に寄与することができる。   As described above, according to the present embodiment, when handover of the mobile node 10 occurs, the first divided data and the second divided data necessary for restoring the content key in the distribution of the content key for updating the content key Are transmitted to the mobile node via different networks 2-1 and 2-2 before and after the handover, and the success or failure of the network authentication and the service authentication is determined based on the success or failure of the decryption of the encrypted content in the mobile node. As a result, it is possible to improve the efficiency of processing relating to network authentication, service authentication, and content key distribution. As a result, the switching delay time when a handover occurs can be shortened, which can contribute to improving the reliability of communication when a handover occurs.

図9は、移動ノード10がハンドオーバする場合のパケット通信手順の他の実施例である。図9において図8に対応するステップには同一の符号を付している。図9には図示しないが、ハンドオーバ発生(図8のステップS14)から新気付アドレス「CoA2」生成(図8のステップS17)までは、図8と同様であり説明を省略する。   FIG. 9 shows another embodiment of the packet communication procedure when the mobile node 10 is handed over. In FIG. 9, the steps corresponding to those in FIG. Although not shown in FIG. 9, the process from the occurrence of a handover (step S14 in FIG. 8) to the generation of a new care-of address “CoA2” (step S17 in FIG. 8) is the same as in FIG.

移動ノード10は、新気付アドレス「CoA2」の生成後、ホームアドレス「IPA_MN」、新気付アドレス「CoA2」およびハンドオーバ後の新AGWアドレス「IPA_AGW2」をMN情報としてハンドオーバ前のアクセスゲートウェイ21−1経由でホームエージェント11に送信する(ステップS18)。   After generating the new care-of address “CoA2”, the mobile node 10 uses the home address “IPA_MN”, the new care-of address “CoA2”, and the new AGW address “IPA_AGW2” after handover via the access gateway 21-1 before the handover. To the home agent 11 (step S18).

次いで、ホームエージェント11が、移動ノード10から受信したMN情報によって、自己の該当するバインディング情報を書き換えるバインディング更新を行う(ステップS19)。   Next, the home agent 11 performs binding update that rewrites the corresponding binding information of itself with the MN information received from the mobile node 10 (step S19).

次いで、ホームエージェント11が、乱数(Rh)を生成する(ステップS41)。次いで、ホームエージェント11と相手ノード31間で、移動ノード10のMN情報を更新する処理と乱数(Rh)を共有する処理が行われる(ステップS42)。   Next, the home agent 11 generates a random number (Rh) (step S41). Next, a process of updating the MN information of the mobile node 10 and a process of sharing a random number (Rh) are performed between the home agent 11 and the counterpart node 31 (step S42).

次いで、相手ノード31が、新コンテンツ鍵(Kc2)を生成し(ステップS21)、該新コンテンツ鍵(Kc2)から新第1分割データ(Kc2−a)および新第2分割データ(Kc2−b)を生成する(ステップS22)。   Next, the correspondent node 31 generates a new content key (Kc2) (step S21), and new first divided data (Kc2-a) and new second divided data (Kc2-b) are generated from the new content key (Kc2). Is generated (step S22).

次いで、相手ノード31が、乱数(Rc)を生成する(ステップS43)。相手ノード31は、新第1分割データ(Kc2−a)および乱数(Rc)をホームエージェント11へ送信する(ステップS44)。   Next, the counterpart node 31 generates a random number (Rc) (step S43). The counterpart node 31 transmits the new first divided data (Kc2-a) and the random number (Rc) to the home agent 11 (step S44).

次いで、ホームエージェント11が、自己で生成した乱数(Rh)と相手ノード31から受信した乱数(Rc)との排他的論理和演算を行い、排他的論理和値(Rh XOR Rc=Rmn)を求める(ステップS45)。ホームエージェント11は、相手ノード31から受信した新第1分割データ(Kc2−a)および排他的論理和値(Rmn)を、アクセスゲートウェイ21−1経由で移動ノード10へ送信する。これにより、新第1分割データ(Kc2−a)は、相手ノード31からホームエージェント11およびアクセスゲートウェイ21−1経由で移動ノード10へ到達する。つまり、新第1分割データ(Kc2−a)は、ハンドオーバ前のネットワーク2−1経由で移動ノード10へ送信される。   Next, the home agent 11 performs an exclusive OR operation on the random number (Rh) generated by itself and the random number (Rc) received from the counterpart node 31 to obtain an exclusive OR value (Rh XOR Rc = Rmn). (Step S45). The home agent 11 transmits the new first divided data (Kc2-a) and the exclusive OR value (Rmn) received from the counterpart node 31 to the mobile node 10 via the access gateway 21-1. As a result, the new first divided data (Kc2-a) reaches the mobile node 10 from the counterpart node 31 via the home agent 11 and the access gateway 21-1. That is, the new first divided data (Kc2-a) is transmitted to the mobile node 10 via the network 2-1 before the handover.

次いで、ホームエージェント11と新アクセスゲートウェイ21−2間で、移動ノード10のMN情報を更新する処理が行われる(ステップS47)。   Next, a process for updating the MN information of the mobile node 10 is performed between the home agent 11 and the new access gateway 21-2 (step S47).

相手ノード31は、ホームエージェント11から受信した乱数(Rh)と自己で生成した乱数(Rc)との排他的論理和演算を行い、排他的論理和値(Rh XOR Rc=Rcn)を求める(ステップS48)。相手ノード31は、排他的論理和値(Rcn)を、新アクセスゲートウェイ21−2へ送信する(ステップS49)。移動ノード10は、ホームエージェント11から受信した排他的論理和値(Rmn)を新アクセスゲートウェイ21−2へ送信する(ステップS50)。新アクセスゲートウェイ21−2は、相手ノード31から受信した排他的論理和値(Rcn)と移動ノード10から受信した排他的論理和値(Rmn)を比較し、両者が一致するか検証する(ステップS51)。この排他的論理和値の検証により、ネットワーク検証が可能である。   The partner node 31 performs an exclusive OR operation between the random number (Rh) received from the home agent 11 and the random number (Rc) generated by itself, and obtains an exclusive OR value (Rh XOR Rc = Rcn) (step) S48). The counterpart node 31 transmits the exclusive OR value (Rcn) to the new access gateway 21-2 (step S49). The mobile node 10 transmits the exclusive OR value (Rmn) received from the home agent 11 to the new access gateway 21-2 (step S50). The new access gateway 21-2 compares the exclusive OR value (Rcn) received from the counterpart node 31 with the exclusive OR value (Rmn) received from the mobile node 10, and verifies whether or not they match (Step S21). S51). Network verification is possible by verifying this exclusive OR value.

上述した図9の実施例によれば、図8の実施例に比して処理が複雑化するが、ハンドオーバ先候補のアクセスゲートウェイ21−2が移動ノード10の接続確認を行うので、ネットワーク検証の信頼性を高めることができる。   According to the embodiment of FIG. 9 described above, the process is more complicated than that of the embodiment of FIG. 8, but the access gateway 21-2 as the handover destination candidate confirms the connection of the mobile node 10, so that the network verification Reliability can be increased.

図10は本発明に係る移動通信ネットワークシステムの一実施例である。図10において、携帯電話網1は、IPネットワークを有し、携帯端末10のホームネットワークとなっている。携帯端末10は、移動ノードとして携帯電話網1以外の他のIPネットワークである無線LAN(Local Area Network)2−1および無線MAN(Metropolitan Area Network)2−2にも接続可能である。携帯端末10は、携帯電話網1用の無線インタフェース、無線LAN2−1用の無線インタフェースおよび無線MAN2−2用の無線インタフェースを有する。   FIG. 10 shows an embodiment of a mobile communication network system according to the present invention. In FIG. 10, the mobile phone network 1 has an IP network and is a home network for the mobile terminal 10. The mobile terminal 10 can be connected to a wireless LAN (Local Area Network) 2-1 and a wireless MAN (Metropolitan Area Network) 2-2, which are other IP networks other than the mobile phone network 1, as mobile nodes. The mobile terminal 10 has a wireless interface for the mobile phone network 1, a wireless interface for the wireless LAN 2-1, and a wireless interface for the wireless MAN 2-2.

LAN3は、携帯端末10の相手ノードとしてのコンテンツ配信サーバ31が接続するネットワークである。コンテンツ配信サーバ31は、映像等のコンテンツをパケット通信により配信する。   The LAN 3 is a network to which the content distribution server 31 as a counterpart node of the mobile terminal 10 is connected. The content distribution server 31 distributes content such as video by packet communication.

各ネットワーク1,2−1,2−2,3間は、それぞれ通信回線で接続されている。なお、必要に応じて、IPsecを用いた安全なパケット通信路が構成される。   Each network 1, 2-1, 2-2, 3 is connected by a communication line. Note that a secure packet communication path using IPsec is configured as necessary.

携帯電話網1、無線LAN2−1および無線MAN2−2の各通信事業者は、ネットワーク接続に関して提携関係を結んでいる。これにより、携帯端末10は、携帯電話網1、無線LAN2−1および無線MAN2−2の各々の間でハンドオーバにより相互接続することができる。   The communication carriers of the cellular phone network 1, the wireless LAN 2-1 and the wireless MAN 2-2 have a partnership with respect to network connection. Thereby, the mobile terminal 10 can be interconnected by handover between the mobile phone network 1, the wireless LAN 2-1 and the wireless MAN 2-2.

携帯電話網1は、ホームエージェント11と認証課金サーバ(AAAH:homed authentication,authorization and accounting)12を有する。認証課金サーバ12は、携帯電話網1で管理する端末の認証処理および課金処理を行う。無線LAN2−1は、携帯端末10のネットワーク接続点(アクセスポイント:AP)となるアクセスゲートウェイ21−1と認証課金サーバ(AAAV:visited authentication,authorization and accounting)22−1を有する。認証課金サーバ22−1は、無線LAN2−1へ接続する端末の認証処理および課金処理を行う。無線MAN2−2は、携帯端末10のネットワーク接続点(アクセスポイント:AP)となるアクセスゲートウェイ21−2と認証課金サーバ(AAAV)22−2を有する。認証課金サーバ22−2は、無線MAN2−2へ接続する端末の認証処理および課金処理を行う。認証課金サーバ22−1,22−2は、携帯端末10に関する認証情報および課金情報を携帯電話網1の認証課金サーバ12へ送る。   The mobile phone network 1 includes a home agent 11 and an authentication / accounting server (AAAH: homed authentication, authorization and accounting) 12. The authentication billing server 12 performs authentication processing and billing processing of terminals managed by the mobile phone network 1. The wireless LAN 2-1 includes an access gateway 21-1 serving as a network connection point (access point: AP) of the mobile terminal 10 and an authentication / accounting server (AAAV) 22-1. The authentication / billing server 22-1 performs authentication processing and billing processing for a terminal connected to the wireless LAN 2-1. The wireless MAN 2-2 includes an access gateway 21-2 serving as a network connection point (access point: AP) of the mobile terminal 10 and an authentication / billing server (AAAV) 22-2. The authentication / billing server 22-2 performs authentication processing and billing processing for a terminal connected to the wireless MAN 2-2. The authentication billing servers 22-1 and 22-2 send the authentication information and billing information regarding the mobile terminal 10 to the authentication billing server 12 of the mobile phone network 1.

次に、図11,図12を参照して、図10に示す移動通信ネットワークシステムにおけるパケット通信手順を説明する。図11,図12は、本実施例に係るパケット通信手順全体の流れを示すシーケンス図である。なお、図11,図12において、図7,図8の各ステップに対応する部分には同一の符号を付している。   Next, a packet communication procedure in the mobile communication network system shown in FIG. 10 will be described with reference to FIGS. 11 and 12 are sequence diagrams showing the flow of the entire packet communication procedure according to the present embodiment. In FIG. 11 and FIG. 12, portions corresponding to the steps in FIG. 7 and FIG.

まず、図11において、携帯端末10は、図10の無線LAN2−1圏内にあってアクセスゲートウェイ21−1に接続している。この無線LAN2−1における携帯端末10の気付アドレスは「CoA1」である。また、携帯端末10のホームアドレスは「IPA_MN」であり、コンテンツ配信サーバ31のIPアドレス(CNアドレス)は「IPA_CN」である。アクセスゲートウェイ21−1のIPアドレスは「IPA_AGW1」である。   First, in FIG. 11, the mobile terminal 10 is connected to the access gateway 21-1 within the area of the wireless LAN 2-1 in FIG. 10. The care-of address of the mobile terminal 10 in this wireless LAN 2-1 is “CoA1”. The home address of the mobile terminal 10 is “IPA_MN”, and the IP address (CN address) of the content distribution server 31 is “IPA_CN”. The IP address of the access gateway 21-1 is “IPA_AGW1”.

利用者が携帯端末10を操作してコンテンツ配信サービスを起動すると、携帯端末10はコンテンツ配信サービスアプリケーションを実行し、コンテンツ配信サーバ31との間のパケット通信を開始する(ステップS1)。これにより、携帯端末10とホームエージェント11間で、アプリケーションのための通信初期設定が行われるとともに、公開鍵基盤(PKI:Public Key Infrastructure)を用いて暗号鍵「Km」が共有される(ステップS2)。また、ホームエージェント11とコンテンツ配信サーバ31間で通信初期設定が行われる(ステップS3)。   When the user operates the mobile terminal 10 to activate the content distribution service, the mobile terminal 10 executes the content distribution service application and starts packet communication with the content distribution server 31 (step S1). Thereby, the communication initial setting for the application is performed between the mobile terminal 10 and the home agent 11, and the encryption key “Km” is shared using the public key infrastructure (PKI) (step S2). ). Further, communication initial setting is performed between the home agent 11 and the content distribution server 31 (step S3).

次いで、ホームエージェント11が、セッション暗号鍵「Ksa」,「Ks1」を生成する(ステップS61)。セッション暗号鍵「Ksa」は、ホームエージェント11とコンテンツ配信サーバ31間の通信で用いられる。セッション暗号鍵「Ks1」は、携帯端末10とコンテンツ配信サーバ31間で用いられる。次いで、ホームエージェント11が、セッション暗号鍵「Ks1」を携帯端末10間で共有する(ステップS62)とともに、セッション暗号鍵「Ksa」,「Ks1」をコンテンツ配信サーバ31間で共有する(ステップS63)。   Next, the home agent 11 generates session encryption keys “Ksa” and “Ks1” (step S61). The session encryption key “Ksa” is used for communication between the home agent 11 and the content distribution server 31. The session encryption key “Ks1” is used between the mobile terminal 10 and the content distribution server 31. Next, the home agent 11 shares the session encryption key “Ks1” between the mobile terminals 10 (step S62) and also shares the session encryption keys “Ksa” and “Ks1” between the content distribution servers 31 (step S63). .

次いで、ホームエージェント11とコンテンツ配信サーバ31間、ホームエージェント11とアクセスゲートウェイ21−1間で、携帯端末10のMN情報を更新する処理が行われる(ステップS4)。   Next, a process of updating the MN information of the mobile terminal 10 is performed between the home agent 11 and the content distribution server 31 and between the home agent 11 and the access gateway 21-1 (step S4).

次いで、コンテンツ配信サーバ31と携帯端末10間で、コンテンツ鍵(Kc1)を分割し、該分割データをそれぞれ異なる通信路で送信することにより共有する処理(コンテンツ鍵分割送信共有処理)が行われる(ステップS5〜S9)。このコンテンツ鍵分割送信共有処理は、図7のステップS5〜S9と同様である。   Next, the content distribution server 31 and the mobile terminal 10 divide the content key (Kc1) and share the divided data by transmitting them through different communication paths (content key split transmission sharing processing) ( Steps S5 to S9). This content key split transmission sharing process is the same as steps S5 to S9 in FIG.

次いで、コンテンツ配信サーバ31と携帯端末10間で、コンテンツをコンテンツ鍵(Kc1)で暗号化して配信する処理(コンテンツ配信処理)が行われる(ステップS10〜S13)。このコンテンツ配信処理は、図7のステップS10〜S13と同様である。携帯端末10は、受信した暗号化コンテンツを復元したコンテンツ鍵で復号してコンテンツを再生する。   Next, processing (content distribution processing) for encrypting and distributing the content with the content key (Kc1) is performed between the content distribution server 31 and the mobile terminal 10 (steps S10 to S13). This content distribution processing is the same as steps S10 to S13 in FIG. The mobile terminal 10 decrypts the received encrypted content with the restored content key and reproduces the content.

次に、図12を参照して、携帯端末10がハンドオーバする場合のパケット通信手順を説明する。図12には図11から引き続いたシーケンスが示されており、携帯端末10は、アクセスゲートウェイ21−1経由でコンテンツ配信サーバ31とパケット通信中であり、コンテンツ配信サーバ31からコンテンツを受信している(ステップS13)。   Next, a packet communication procedure when the mobile terminal 10 is handed over will be described with reference to FIG. FIG. 12 shows a sequence continued from FIG. 11. The mobile terminal 10 is in packet communication with the content distribution server 31 via the access gateway 21-1 and receives content from the content distribution server 31. (Step S13).

図12において、携帯端末10がハンドオーバを発生する(ステップS14)。ここでは、携帯端末10がハンドオーバ先候補を探索した結果、無線MAN2−2のアクセスゲートウェイ21−2が発見され、アクセスゲートウェイ21−2をハンドオーバ先候補に決定したとする。アクセスゲートウェイ21−2のIPアドレスは「IPA_AGW2」である。これにより、携帯端末10とアクセスゲートウェイ21−2間、アクセスゲートウェイ21−2とホームエージェント11間でそれぞれハンドオーバ設定が行われる(ステップS15,S16)。   In FIG. 12, the mobile terminal 10 generates a handover (step S14). Here, as a result of the mobile terminal 10 searching for a handover destination candidate, it is assumed that the access gateway 21-2 of the wireless MAN 2-2 is found and the access gateway 21-2 is determined as the handover destination candidate. The IP address of the access gateway 21-2 is “IPA_AGW2”. Thereby, a handover setting is performed between the portable terminal 10 and the access gateway 21-2, and between the access gateway 21-2 and the home agent 11 (steps S15 and S16).

次いで、ホームエージェント11が、ハンドオーバ後の携帯端末10とコンテンツ配信サーバ31間で用いられる新セッション暗号鍵「Ks2」を生成し(ステップS61’)、新セッション暗号鍵「Ks2」をハンドオーバ前のアクセスゲートウェイ21−1経由により携帯端末10間で共有する(ステップS62’)とともに、新セッション暗号鍵「Ks2」をコンテンツ配信サーバ31間で共有する(ステップS63’)。   Next, the home agent 11 generates a new session encryption key “Ks2” used between the mobile terminal 10 after handover and the content distribution server 31 (step S61 ′), and accesses the new session encryption key “Ks2” before the handover. The new session encryption key “Ks2” is shared between the content distribution servers 31 (step S63 ′) while being shared between the portable terminals 10 via the gateway 21-1 (step S62 ′).

次いで、携帯端末10が、ハンドオーバ後の新気付アドレス「CoA2」を生成する(ステップS17)。次いで、携帯端末10が、ホームアドレス「IPA_MN」、新気付アドレス「CoA2」およびハンドオーバ先の新AGWアドレス「IPA_AGW2」をMN情報としてハンドオーバ前のアクセスゲートウェイ21−1経由でホームエージェント11に送信する(ステップS18)。   Next, the mobile terminal 10 generates a new care-of address “CoA2” after the handover (step S17). Next, the mobile terminal 10 transmits the home address “IPA_MN”, the new care-of address “CoA2”, and the new AGW address “IPA_AGW2” of the handover destination as MN information to the home agent 11 via the access gateway 21-1 before the handover ( Step S18).

次いで、ホームエージェント11が、携帯端末10から受信したMN情報によって、該当するバインディング情報を書き換えるバインディング更新を行う(ステップS19)。このバインディング情報更新では、気付アドレスが旧気付アドレス「CoA1」から新気付アドレス「CoA2」に、AGWアドレスが旧AGWアドレス「IPA_AGW1」から新AGWアドレス「IPA_AGW2」に、それぞれ書き換えられる。   Next, the home agent 11 performs binding update that rewrites the corresponding binding information with the MN information received from the mobile terminal 10 (step S19). In this binding information update, the care-of address is rewritten from the old care-of address “CoA1” to the new care-of address “CoA2”, and the AGW address is rewritten from the old AGW address “IPA_AGW1” to the new AGW address “IPA_AGW2”.

次いで、ホームエージェント11とコンテンツ配信サーバ31間、ホームエージェント11と新アクセスゲートウェイ21−2間で、携帯端末10のMN情報を更新する処理が行われる(ステップS20)。   Next, a process of updating the MN information of the mobile terminal 10 is performed between the home agent 11 and the content distribution server 31, and between the home agent 11 and the new access gateway 21-2 (step S20).

次いで、コンテンツ配信サーバ31と携帯端末10間で、新コンテンツ鍵(Kc2)を分割し、該分割データをそれぞれハンドオーバ前後の異なるネットワーク2−1,2−2経由で送信することにより共有する処理(コンテンツ鍵分割送信共有処理)が行われる(ステップS21〜S25)。このコンテンツ鍵分割送信共有処理は、図8のステップS21〜S25と同様である。   Next, a new content key (Kc2) is divided between the content distribution server 31 and the mobile terminal 10, and the divided data is shared by transmitting the divided data via different networks 2-1 and 2-2 before and after the handover ( Content key division transmission sharing processing) is performed (steps S21 to S25). This content key division transmission sharing process is the same as steps S21 to S25 in FIG.

次いで、コンテンツ配信サーバ31と携帯端末10間で、コンテンツをコンテンツ鍵(Kc2)で暗号化して配信する処理(コンテンツ配信処理)が行われる(ステップS26〜S29)。このコンテンツ配信処理は、図8のステップS26〜S29と同様である。携帯端末10は、受信した暗号化コンテンツを復元したコンテンツ鍵で復号してコンテンツを再生する。   Next, processing (content distribution processing) is performed between the content distribution server 31 and the mobile terminal 10 to encrypt and distribute the content with the content key (Kc2) (steps S26 to S29). This content distribution processing is the same as steps S26 to S29 in FIG. The mobile terminal 10 decrypts the received encrypted content with the restored content key and reproduces the content.

なお、図9のように、ハンドオーバ先候補のアクセスゲートウェイ21−2が携帯端末10の接続確認を行うようにしてもよい。   Note that, as shown in FIG. 9, the handover destination candidate access gateway 21-2 may confirm the connection of the mobile terminal 10.

上述した実施例によれば、利用者が携帯端末10によりコンテンツ配信サーバ31から配信されるコンテンツを受信して視聴している最中に移動し、ハンドオーバが発生した場合、コンテンツ鍵を更新するためのコンテンツ鍵の配送において、コンテンツ鍵を分割し、該分割データをそれぞれハンドオーバ前後の異なるネットワーク2−1,2−2経由で送信し、携帯端末10における暗号化コンテンツの復号の成否によってネットワーク認証およびサービス認証の成否を判定する。これにより、ネットワーク認証、サービス認証およびコンテンツ鍵配送に係る処理の効率化を図ることができる。この結果、ハンドオーバ発生時の切替遅延時間を短縮することが可能となるので、ハンドオーバ発生時の通信の信頼性向上に寄与することができる。これにより、利用者に対してよりよいコンテンツ視聴環境を提供することが期待できるので、映像等のコンテンツ配信サービスの信頼性向上に貢献することが可能となる。   According to the above-described embodiment, when the user moves while receiving and viewing the content distributed from the content distribution server 31 by the mobile terminal 10, and the handover occurs, the content key is updated. In the distribution of the content key, the content key is divided, the divided data is transmitted via different networks 2-1 and 2-2 before and after the handover, respectively, and the network authentication and the decryption of the encrypted content in the portable terminal 10 are performed. Determine success or failure of service authentication. As a result, it is possible to improve the efficiency of processing relating to network authentication, service authentication, and content key distribution. As a result, the switching delay time when a handover occurs can be shortened, which can contribute to improving the reliability of communication when a handover occurs. Thereby, since it can be expected to provide a better content viewing environment to the user, it is possible to contribute to improving the reliability of content distribution services such as video.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.

本発明の一実施形態に係る移動通信ネットワークシステムの全体構成図である。1 is an overall configuration diagram of a mobile communication network system according to an embodiment of the present invention. 図1に示す移動ノード10の装置構成を示すブロック図である。It is a block diagram which shows the apparatus structure of the mobile node 10 shown in FIG. 図2に示すIP情報記憶部103の構成例である。It is an example of a structure of the IP information storage part 103 shown in FIG. 図2に示すコンテンツ鍵分割データ記憶部105の構成例である。It is an example of a structure of the content key division | segmentation data storage part 105 shown in FIG. 図1に示す相手ノード31の装置構成を示すブロック図である。It is a block diagram which shows the apparatus structure of the other party node 31 shown in FIG. 図5に示すバインディング情報記憶部303の構成例である。It is an example of a structure of the binding information storage part 303 shown in FIG. 本発明の一実施形態に係るパケット通信手順全体の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the whole packet communication procedure which concerns on one Embodiment of this invention. 本発明の一実施形態に係るパケット通信手順全体の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the whole packet communication procedure which concerns on one Embodiment of this invention. 移動ノード10がハンドオーバする場合のパケット通信手順の他の実施例である。It is another Example of the packet communication procedure in case the mobile node 10 hands over. 本発明に係る移動通信ネットワークシステムの一実施例である。1 is an example of a mobile communication network system according to the present invention. 同実施例に係るパケット通信手順全体の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the whole packet communication procedure based on the Example. 同実施例に係るパケット通信手順全体の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the whole packet communication procedure based on the Example.

符号の説明Explanation of symbols

1…ホームネットワーク、10…移動ノード、2−1,2−2,3…ネットワーク、21−1,21−2…アクセスゲートウェイ、31…相手ノード、101…無線部、102…IP通信部(コンテンツ復号結果送信手段)、103…IP情報記憶部、104…アプリケーション部(コンテンツ復号手段)、105…コンテンツ鍵分割データ記憶部、106…コンテンツ鍵復元部、301…通信部、302…IP通信部(コンテンツ鍵配信手段)、303…バインディング情報記憶部、305…コンテンツ鍵生成部、306…コンテンツ鍵分割部(コンテンツ鍵復元データ生成手段)、304…アプリケーション部(コンテンツ配信手段) DESCRIPTION OF SYMBOLS 1 ... Home network, 10 ... Mobile node, 2-1, 2-2, 3 ... Network, 21-1, 21-2 ... Access gateway, 31 ... Remote node, 101 ... Radio | wireless part, 102 ... IP communication part (content (Decryption result transmission means), 103 ... IP information storage section, 104 ... application section (content decryption means), 105 ... content key split data storage section, 106 ... content key restoration section, 301 ... communication section, 302 ... IP communication section ( Content key distribution unit), 303 ... Binding information storage unit, 305 ... Content key generation unit, 306 ... Content key division unit (content key recovery data generation unit), 304 ... Application unit (content distribution unit)

Claims (1)

移動ノードが通信相手である相手ノードとの通信の最中に異なるネットワーク間でハンドオーバを行うことができる移動通信ネットワークシステムにおいて、
前記相手ノードは、
前記移動ノードへ送信する暗号化コンテンツを復号するためのコンテンツ鍵を復元するための第1のデータおよび第2のデータを生成するコンテンツ鍵復元データ生成手段と、
前記第1のデータおよび第2のデータをそれぞれ前記移動ノードのハンドオーバ前後の異なるネットワーク経由で前記移動ノードへ送信するコンテンツ鍵配信手段と、
前記移動ノードから受信したコンテンツ復号結果に応じて、前記移動ノードに対し、コンテンツの送信を継続するか否かを判断するコンテンツ配信手段と、を有し、
前記移動ノードは、
前記相手ノードから受信した第1のデータおよび第2のデータを用いて、コンテンツ鍵を復元するコンテンツ鍵復元手段と、
該復元されたコンテンツ鍵を用いて、前記相手ノードから受信した暗号化コンテンツを復号するコンテンツ復号手段と、
該復号結果を前記相手ノードに送信するコンテンツ復号結果送信手段と、を有し、
前記移動通信ネットワークシステムは、前記移動ノードのホームエージェントと前記移動ノードのネットワーク接続点のアクセスゲートウェイを有し、
前記ホームエージェントは、
第1の乱数を生成する乱数生成手段と、
該第1の乱数を前記相手ノードへ送信する乱数送信手段と、
前記相手ノードから受信した第2の乱数と前記第1の乱数との第1の排他的論理和値を計算する排他的論理和演算手段と、
該第1の排他的論理和値を前記移動ノードへ送信する排他的論理和値送信手段と、を有し、
前記相手ノードは、
第2の乱数を生成する乱数生成手段と、
該第2の乱数を前記ホームエージェントへ送信する乱数送信手段と、
前記ホームエージェントから受信した第1の乱数と前記第2の乱数との第2の排他的論理和値を計算する排他的論理和演算手段と、
該第2の排他的論理和値を前記移動ノードのハンドオーバ後のアクセスゲートウェイへ送信する排他的論理和値送信手段と、を有し、
前記移動ノードは、前記ホームエージェントから受信した第1の排他的論理和値をハンドオーバ後のアクセスゲートウェイへ送信する排他的論理和値送信手段を有し、
前記アクセスゲートウェイは、ハンドオーバにより新たに接続を要求している移動ノードから受信した第1の排他的論理和値と、該移動ノードの通信相手である相手ノードから受信した第2の排他的論理和値との一致を検証するネットワーク検証手段を有する、
ことを特徴とする移動通信ネットワークシステム。 In a mobile communication network system in which a mobile node can perform handover between different networks during communication with a counterpart node that is a communication counterpart,
The partner node is
Content key recovery data generating means for generating first data and second data for recovering a content key for decrypting encrypted content to be transmitted to the mobile node;
Content key distribution means for transmitting the first data and the second data to the mobile node via different networks before and after handover of the mobile node;
Content distribution means for determining whether to continue transmission of content to the mobile node according to the content decryption result received from the mobile node;
The mobile node is
Content key restoring means for restoring the content key using the first data and the second data received from the counterpart node;
Content decrypting means for decrypting the encrypted content received from the counterpart node using the restored content key;
It possesses a content decryption result transmitting means for transmitting a the decoded result to the correspondent node, and
The mobile communication network system includes a home agent of the mobile node and an access gateway of a network connection point of the mobile node,
The home agent
Random number generating means for generating a first random number;
Random number transmitting means for transmitting the first random number to the counterpart node;
Exclusive OR operation means for calculating a first exclusive OR value of the second random number received from the counterpart node and the first random number;
And an exclusive OR value transmission means for transmitting the first exclusive OR value to the mobile node,
The partner node is
Random number generating means for generating a second random number;
Random number transmitting means for transmitting the second random number to the home agent;
An exclusive OR operation means for calculating a second exclusive OR value of the first random number and the second random number received from the home agent;
An exclusive OR value transmitting means for transmitting the second exclusive OR value to the access gateway after the handover of the mobile node;
The mobile node has an exclusive OR transmission means for transmitting the first exclusive OR received from the home agent to the access gateway after the handover,
The access gateway receives a first exclusive OR value received from a mobile node newly requesting connection by handover and a second exclusive OR received from a counterpart node that is a communication partner of the mobile node. Having network verification means for verifying a match with the value;
A mobile communication network system characterized by the above.
JP2008275855A 2008-10-27 2008-10-27 Mobile communication network system Expired - Fee Related JP5113717B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008275855A JP5113717B2 (en) 2008-10-27 2008-10-27 Mobile communication network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008275855A JP5113717B2 (en) 2008-10-27 2008-10-27 Mobile communication network system

Publications (2)

Publication Number Publication Date
JP2010103943A JP2010103943A (en) 2010-05-06
JP5113717B2 true JP5113717B2 (en) 2013-01-09

Family

ID=42294133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008275855A Expired - Fee Related JP5113717B2 (en) 2008-10-27 2008-10-27 Mobile communication network system

Country Status (1)

Country Link
JP (1) JP5113717B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5275050B2 (en) * 2009-01-06 2013-08-28 Kddi株式会社 Authentication method and system in handover between terminals
EP2912800B1 (en) * 2012-10-26 2019-04-10 Nokia Technologies Oy Methods and apparatus for data access control
CN107113314B (en) 2015-01-19 2020-06-19 诺基亚技术有限公司 Method and device for heterogeneous data storage management in cloud computing
US10136246B2 (en) * 2015-07-21 2018-11-20 Vitanet Japan, Inc. Selective pairing of wireless devices using shared keys
JP6408180B1 (en) * 2018-03-20 2018-10-17 ヤフー株式会社 Terminal control program, terminal device, and terminal control method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11298470A (en) * 1998-04-16 1999-10-29 Hitachi Ltd Key distribution method and system
US6857075B2 (en) * 2000-12-11 2005-02-15 Lucent Technologies Inc. Key conversion system and method
JP2002261746A (en) * 2000-12-28 2002-09-13 Sony Corp Data distribution method and distribution system
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
JP4630951B2 (en) * 2008-11-14 2011-02-09 Okiセミコンダクタ株式会社 Secret information transmission method, secret information transmission system, and secret information transmission apparatus

Also Published As

Publication number Publication date
JP2010103943A (en) 2010-05-06

Similar Documents

Publication Publication Date Title
US9197615B2 (en) Method and system for providing access-specific key
JP5004037B2 (en) Method for creating a security association in a mobile IP network
US7475241B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
JP4965671B2 (en) Distribution of user profiles, policies and PMIP keys in wireless communication networks
JP5204219B2 (en) Method and apparatus for providing a proxy mobile key hierarchy in a wireless communication network
JP2003051818A (en) Method for implementing ip security in mobile ip networks
JP5119242B2 (en) Method and system for providing a mobile IP key
US9043599B2 (en) Method and server for providing a mobility key
US20080291885A1 (en) METHOD FOR COMMUNICATION OF MIPv6 MOBILE NODES
JP2008537398A (en) Using Generic Authentication Architecture for Mobile Internet Protocol Key Distribution
WO2002067495A2 (en) Method and apparatus for providing authentication in a communication system
WO2002068418A2 (en) Authentication and distribution of keys in mobile ip network
WO2019137030A1 (en) Safety certification method, related device and system
KR100636318B1 (en) Method and system for authentication of address ownership using care of address binding protocol
WO2008040178A1 (en) Method and device for binding update between mobile node and correspondent node
JP5159878B2 (en) Method and apparatus for combining internet protocol authentication and mobility signaling
JP5113717B2 (en) Mobile communication network system
WO2009012676A1 (en) A method and equipment for generating care of address and a method and system for improving route optimization security
WO2008052470A1 (en) Method for establishing mobile ip security mechanism, security system and the relevant device
WO2009094939A1 (en) Method for protecting mobile ip route optimization signaling, the system, node, and home agent thereof
JP5193797B2 (en) Mobile communication network system, home agent, access gateway and partner node
JP2010161448A (en) Authentication method and system in negotiation between terminals
JP2011504319A (en) Protection method and apparatus during mobile IPV6 fast handover
Kim et al. Secure and low latency handoff scheme for proxy mobile ipv6
Zubair et al. SIDP: a secure inter-domain distributed PMIPv6

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120914

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121002

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121012

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5113717

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees