JP2012010254A - Communication device, communication method and communication system - Google Patents
Communication device, communication method and communication system Download PDFInfo
- Publication number
- JP2012010254A JP2012010254A JP2010146308A JP2010146308A JP2012010254A JP 2012010254 A JP2012010254 A JP 2012010254A JP 2010146308 A JP2010146308 A JP 2010146308A JP 2010146308 A JP2010146308 A JP 2010146308A JP 2012010254 A JP2012010254 A JP 2012010254A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- data
- packet
- communication
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、暗号化通信を行う通信装置、通信方法及び通信システムに関する。 The present invention relates to a communication apparatus, a communication method, and a communication system that perform encrypted communication.
移動通信システムとして、LTE(Long Tern Evolution)、SAE(System Architecture Evolution)やECN(Evolved Core Network)などの次世代の規格が現在知られている。次世代の規格の多くでは、ネットワーク機器間の接続回線にIPネットワークが用いられることが検討されている。IPネットワークを用いた通信システムにおいては、従来のように比較的データ量の小さいデータについての通信だけでなく、例えば音声や動画のように、大容量のデータを少ない遅延で通信することが求められる場合がある。一方で、通信データの安全性もまた同時に要求される。例えば、IPネットワーク通信システムにおいては、通信システム上のアプリケーションとは独立して、自動的に通信を暗号化可能とするIPsec(IP security Protocol)と呼ばれる技術の適用が検討されている。 As mobile communication systems, next-generation standards such as LTE (Long Tern Evolution), SAE (System Architecture Evolution), and ECN (Evolved Core Network) are currently known. In many of the next generation standards, it is considered that an IP network is used as a connection line between network devices. In a communication system using an IP network, it is required not only to communicate data with a relatively small amount of data as in the past, but also to communicate large volumes of data with a small delay, such as voice and moving images. There is a case. On the other hand, safety of communication data is also required at the same time. For example, in an IP network communication system, application of a technique called IPsec (IP security Protocol) that enables automatic communication encryption independently of an application on the communication system is being studied.
しかしながら、データの暗号化と送受信を逐次行う場合、ネットワーク機器における処理量が増大し、データ通信時の処理に遅延が生じる場合がある。かかる処理の遅延によりIPネットワークにおける伝送効率の低下に繋がる可能性もあり、特に音楽や動画などの大容量データの通信を行うにあたり、効率の低下は顕著なものとなることが考えられる。 However, when data encryption and transmission / reception are performed sequentially, the amount of processing in the network device increases, and processing may be delayed during data communication. Such processing delay may lead to a decrease in transmission efficiency in the IP network, and it is conceivable that the decrease in efficiency becomes remarkable particularly when large-capacity data such as music and moving images is communicated.
上述した先行技術文献には、CDMAシステムにおける無線ネットワーク制御装置について、基地局と移動機の間の通信を秘匿化する秘匿通信システムにおいて送受信するデータの部分暗号手段が開示されている。しかしながら、かかる手法によれば、IPsecが適用されるペイロードの通信においては全パケットに対して従来と同様に暗号化が行われるため、上述した処理遅延の課題を完全に解消することが出来ない。 The above-described prior art documents disclose a partial encryption unit for data transmitted and received in a secret communication system that conceals communication between a base station and a mobile device for a radio network control device in a CDMA system. However, according to such a method, in payload communication to which IPsec is applied, all packets are encrypted in the same manner as in the past, and thus the above-described processing delay problem cannot be completely solved.
本発明は、上述した問題点に鑑み為されたものであり、IPネットワークを用いた通信システムにおいて、暗号化通信の安全性を低下させることなく、処理遅延の軽減による伝送効率の向上を実現可能な通信装置、通信方法及び通信システムを提供することを課題とする。 The present invention has been made in view of the above-described problems, and in a communication system using an IP network, it is possible to improve transmission efficiency by reducing processing delay without reducing the security of encrypted communication. An object is to provide a communication device, a communication method, and a communication system.
上記課題を解決するために、開示の第1の通信装置は、ネットワークを介して対向装置との間でパケット通信を行う通信装置であって、暗号化手段と、送信手段と、通知手段とを備える。暗号化手段は、送信手段より送信されるパケットの内、所定の領域について部分的に暗号化処理を行う。該所定の領域は、例えば、パケット内に含まれるデータの種類などに応じて決定される。送信手段は、部分的に暗号化されたパケットを対向装置に送信する。通知手段は、パケット内の暗号化部分(つまり、所定の領域)を示す位置情報を対向装置に対して通知する。 In order to solve the above-described problem, a first communication device disclosed is a communication device that performs packet communication with an opposite device via a network, and includes an encryption unit, a transmission unit, and a notification unit. Prepare. The encryption unit partially performs encryption processing on a predetermined area in the packet transmitted from the transmission unit. The predetermined area is determined according to, for example, the type of data included in the packet. The transmission means transmits the partially encrypted packet to the opposite device. The notifying means notifies the opposite device of position information indicating an encrypted portion (that is, a predetermined area) in the packet.
第1の通信システムは、ネットワークを介してパケットの送受信を行う通信システムであって、上述した通信装置と、通知される位置情報に応じて受信したパケットの復号化を行う復号化手段を備える対向装置とを備える。 A first communication system is a communication system that transmits and receives packets via a network, and is provided with the above-described communication device and a decoding unit that decodes a received packet according to notified position information. Device.
第1の通信方法は、暗号化工程と、送信工程と、通知工程とを備える。暗号化工程では、上述した暗号化手段が行う動作と同様の動作が行われる。送信工程では、上述した送信手段が行う動作と同様の動作が行われる。通知工程では、上述した通知手段が行う動作と同様の動作が行われる。 The first communication method includes an encryption step, a transmission step, and a notification step. In the encryption process, an operation similar to the operation performed by the encryption means described above is performed. In the transmission step, an operation similar to the operation performed by the transmission means described above is performed. In the notification step, an operation similar to the operation performed by the notification means described above is performed.
上記課題を解決するために、開示の第2の通信装置は、ネットワークを介して対向装置との間で通信を行う通信装置であって、構築手段と、分割手段と、第1暗号化手段と、第2暗号化手段と、送信手段とを備える。構築手段は、対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の暗号化トンネルを構築する。分割手段は、対向装置に対して送信するパケットを、例えば内部のデータフィールド毎のデータの種別などに応じて複数のフラグメントに分割する。第1暗号化手段は、複数のフラグメントのうちの一部のフラグメントについて、第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する。第2暗号化手段は、一部のフラグメント以外のフラグメントについて、第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する。送信手段は、一部のフラグメント一部のフラグメントを第1の暗号化トンネルを介して送信し、一部のフラグメント以外のフラグメントを第2の暗号化トンネルを介して送信する。 In order to solve the above-described problem, a second communication device disclosed is a communication device that performs communication with a counter device via a network, and includes a construction unit, a division unit, a first encryption unit, , Second encryption means, and transmission means. The constructing means constructs a plurality of encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device. The dividing unit divides a packet to be transmitted to the opposite device into a plurality of fragments according to, for example, the type of data for each internal data field. The first encryption means encrypts some of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel. The second encryption means encrypts fragments other than some of the fragments using an encryption algorithm corresponding to the second encryption tunnel. The transmission means transmits a part of the fragment, a part of the fragment via the first encryption tunnel, and transmits a fragment other than the part of the fragment via the second encryption tunnel.
第2の通信システムは、ネットワークを介してパケットの送受信を行う通信システムであって、上述した通信装置と、対向装置とを備える。対向装置は、一部のフラグメント一部のフラグメントを第1の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第1復号化手段、及び第2の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第2復号化手段を備える対向装置とを備える。 The second communication system is a communication system that transmits and receives packets via a network, and includes the communication device described above and a counter device. The opposite apparatus uses the first decryption means for decrypting the partial fragment using the encryption algorithm corresponding to the first encryption tunnel and the encryption algorithm corresponding to the second encryption tunnel. And a counter device including second decoding means for decoding.
第2の通信方法は、構築工程と、分割工程と、第1暗号化工程と、第2暗号化工程と、送信工程とを備える。構築工程では、上述した構築手段が行う動作と同様の動作が行われる。分割工程では、上述した分割手段が行う動作と同様の動作が行われる。第1暗号化工程では、上述した第1暗号化手段が行う動作と同様の動作が行われる。第2暗号化工程では、上述した第2暗号化手段が行う動作と同様の動作が行われる。送信工程では、上述した送信手段が行う動作と同様の動作が行われる。 The second communication method includes a construction step, a division step, a first encryption step, a second encryption step, and a transmission step. In the construction process, an operation similar to the operation performed by the construction means described above is performed. In the dividing step, an operation similar to the operation performed by the dividing means described above is performed. In the first encryption step, an operation similar to the operation performed by the first encryption means described above is performed. In the second encryption step, an operation similar to the operation performed by the second encryption means described above is performed. In the transmission step, an operation similar to the operation performed by the transmission means described above is performed.
上述の構成によれば、通信装置から対向装置に送信される各パケットについて、パケット内の一部の領域である所定の領域に対する部分暗号化が行われる。一方で、該所定の領域以外の領域については暗号化が行われない。 According to the above-described configuration, partial encryption is performed on a predetermined area, which is a partial area in the packet, for each packet transmitted from the communication apparatus to the opposite apparatus. On the other hand, encryption is not performed for areas other than the predetermined area.
或いは、通信装置から対向装置に送信される各パケットについて、該パケットを分割した一部のフラグメントについて、他のフラグメントとは異なる暗号アルゴリズムを用いて暗号化が行われる。尚、他のフラグメント部分については、相対的に暗号強度が低く暗号化処理量が少ない暗号アルゴリズムを適用することが好ましい。このため、パケット全てを暗号化して送信する場合又はパケット全てに同一の暗号アルゴリズムを適用する場合と比較して、暗号化が行われるデータ量が低減され、暗号化処理のための処理量の低減を実現することが出来る。 Alternatively, for each packet transmitted from the communication device to the opposite device, a part of the fragment obtained by dividing the packet is encrypted using an encryption algorithm different from that for other fragments. For other fragment portions, it is preferable to apply an encryption algorithm having a relatively low encryption strength and a small amount of encryption processing. For this reason, the amount of data to be encrypted is reduced and the amount of processing for encryption processing is reduced compared to the case where all packets are transmitted after being encrypted or the same encryption algorithm is applied to all packets. Can be realized.
(1)IPsec通信について
図1を参照して、IPsec通信における暗号鍵を用いたSA(Security Association)について説明を行う。図1は、通信装置NodeAと通信装置NodeBとの間にIPsecを使用したIPトンネルであるSAが設けられる状態で暗号化通信を行っている状態を示す概略図である。
(1) About IPsec Communication With reference to FIG. 1, SA (Security Association) using an encryption key in IPsec communication will be described. FIG. 1 is a schematic diagram illustrating a state where encrypted communication is performed in a state where an SA, which is an IP tunnel using IPsec, is provided between the communication device NodeA and the communication device NodeB.
図1に示されるように、通信装置NodeAから送信されるパケットは、通信装置NodeAと通信装置NodeBとの間に設けられるSAを介して通信装置NodeBへと送信される。SAを利用するための暗号鍵はRekey処理により適宜更新され、更新後の暗号鍵に応じた新SAが順次用いられる。通信装置NodeA及び通信装置NodeBは、例えば後述するeNB100やセキュリティゲートウェイ(セキュリティGW)GW200などである。
As shown in FIG. 1, the packet transmitted from the communication device NodeA is transmitted to the communication device NodeB via the SA provided between the communication device NodeA and the communication device NodeB. The encryption key for using the SA is appropriately updated by the rekey process, and new SAs corresponding to the updated encryption key are sequentially used. The communication device NodeA and the communication device NodeB are, for example, an eNB 100 and a security gateway (security GW)
尚、図1に示されるようにSAが設けられる通信装置NodeA及び通信装置NodeBは、夫々SPI(Security Parameter Index)、シーケンスナンバ(Sequence Number)等をペイロードデータの中に含める。SPIは、SAを識別するための識別番号であり、特に暗号鍵の更新前後における新旧SAの識別を可能とする情報である。また、シーケンスナンバは、SAを用いて送信されるデータパケットを識別するための識別番号である。 As shown in FIG. 1, the communication device NodeA and the communication device NodeB provided with the SA include an SPI (Security Parameter Index), a sequence number (Sequence Number), and the like in the payload data. The SPI is an identification number for identifying the SA, and is information that makes it possible to identify the old and new SA before and after the encryption key is updated. The sequence number is an identification number for identifying a data packet transmitted using SA.
図1に示されるようなIPsec通信技術は、例えば、LTE(Long Term Evolution)などの無線ネットワークシステムにおいて用いられる。 The IPsec communication technique as shown in FIG. 1 is used in a wireless network system such as LTE (Long Term Evolution), for example.
図2は、開示の通信装置及び対向装置を含む通信システム1の構成を示すブロック図である。図2に示されるように、通信システム1は、無線通信の基地局であるeNB100(eNodeB:evolved NodeB)、ルータ、セキュリティGW200及びサービングゲートウェイ(サ−ビングGW)300を備える。無線基地局eNB100は、アンテナを介して移動端末(UE:User Equipment)との間でユーザパケットの送受信を行う。
FIG. 2 is a block diagram illustrating a configuration of the
LTE無線ネットワークでは、eNB100と、サービングGWやMME(Mobility Managing Entity)などの対向装置との間は、例えば、公衆IP網などが使用される場合もある。このため、安全な通信を確立するためには、IPsec通信が用いられることが好ましい。図2の例では、eNB100とセキュリティGW200、又はeNB100同士の間にIPsecのSAが設けられている(点線部参照)。図2の例では、IPsecは点線部に示されるeNB100とセキュリティGW200との間、または2つのeNB100間のパケット信号を暗号化するものである。
In the LTE wireless network, for example, a public IP network or the like may be used between the
(2)構成例
図3を参照して、開示の通信装置及び該通信装置により実施される暗号化通信の変形例について説明する。図3は、通信装置の一例であるeNB100のハードウェア構成について説明する。eNB100は、L2スイッチ101と、イーサネット(登録商標)用の通信インタフェース(PHY)102と、レシーバ103と、トランスレータ104と、ネットワークプロセッサ105と、ネットワークプロセッサメモリ106と、メモリ107と、メモリコントローラ108と、CPU(Central Processing Unit)109と、PCIインタフェース110とを備える。
(2) Configuration Example With reference to FIG. 3, a communication device according to the disclosure and a modified example of encrypted communication performed by the communication device will be described. FIG. 3 illustrates a hardware configuration of the
上述した構成の内、L2スイッチ101は、イーサネット(登録商標)におけるデータ送信を行うためのブリッジであり、PHY102との間で送信用データ及び受信用データのやり取りを行う。レシーバ103は、PHY102のうちのデータ受信用のインタフェースを制御する装置であって、トランスレータ104は、PHY102のうちのデータ送信用のインタフェースを制御する装置である。ネットワークプロセッサ105は、対向装置の一例であるセキュリティGW200との通信において用いられるIPsec及び、各種プロトコルを終端し、レシーバ103及びトランスレータ104を介してデータの送受信の制御を行う。CPU109は、eNB100全体の動作の制御を行うホスト用のプロセッサである。ネットワークプロセッサ105により送受信されるデータは、メモリコントローラ108及びCPU109の制御のもと、PCIインタフェース110を介して外部の処理装置との間でやりとりされる。
Of the above-described configuration, the
尚、開示の対向装置の一例であるセキュリティGW200は、特に説明しない部分においては例えば公知のセキュリティGW装置と同様の構成であってよく、また上述したeNB100と同様の構成であってよい。
Note that the
図4を参照して、eNB100のネットワークプロセッサ105における、IPsecプロトコルを用いたデータの暗号化通信を行う機能部の構成について説明する。
With reference to FIG. 4, a configuration of a functional unit that performs encrypted communication of data using the IPsec protocol in the
eNB100のネットワークプロセッサ105は、データの暗号化通信を行うために以下に説明する各機能部を有する。尚、以下に説明する各機能部は、ネットワークプロセッサ105が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。また、以下の構成は、暗号化通信の送信側と受信側で共通の構成であってよく、例えばセキュリティGW200が備えるネットワークプロセッサが同様の機能部を有していてもよい。
The
受信処理部111は、L2スイッチ101・PHY102経由でレシーバ103より送信用のパケットを受信を行う。また、パケットを所定のデータ長にフラグメント化する。
The reception processing unit 111 receives a transmission packet from the
鍵交換処理部112は、SPD情報及び対応するSA情報に基づいてセキュリティGW200との間でIKEプロトコルによる暗号鍵の交換を行い、SAの確立を行う。
Based on the SPD information and the corresponding SA information, the key exchange processing unit 112 exchanges an encryption key with the
SPD検索処理部113は、入力されるパケット(フラグメントされたパケットも同様)に付される識別フラグやIPヘッダなどの情報に基づいて、暗号対象パケットを判断するセレクタ情報や暗号アルゴリズムを指定するSPD情報を検索して割り当てる。 The SPD search processing unit 113 specifies selector information for determining a packet to be encrypted and an encryption algorithm based on information such as an identification flag and an IP header attached to an input packet (same as a fragmented packet). Search and assign information.
SA検索処理部114は、入力されるパケットに付されるSPD識別子に基づいて、パケットに対して割り当てるSAを検索し、SA識別子を付加する。
The SA
暗号化位置抽出部115は、SAに規定される暗号化位置情報、パケットのデータ種別、又は予め設定される位置情報などに応じて、パケット内において暗号化する部分を決定し、該暗号化部分のオフセットやデータサイズなどの位置情報を取得する。
The encrypted
暗号化処理部116は、IPsec通信により送信するパケットの暗号化を行う機能部であって、SAに規定される暗号アルゴリズムを用いて、パケットの暗号化を行う。暗号処理部116は、暗号化位置抽出部115より通知される位置情報に指定される部分について選択的に暗号化を行う。
The
復号処理部117は、送信側より受信したパケットについて復号を行う機能部であって、SAに規定される暗号アルゴリズムを用いて、受信したパケットの復号化を行う。復号処理部117は、送信側、又は暗号化位置抽出部115より通知される位置情報に指定される部分について選択的に復号化を行う。
The decryption processing unit 117 is a functional unit that decrypts a packet received from the transmission side, and decrypts the received packet using an encryption algorithm defined in SA. The decryption processing unit 117 selectively performs decryption on the part specified in the position information notified from the transmission side or the encrypted
送信処理部118は、暗号処理部116において暗号化されたパケットを、SAを介して受信側であるセキュリティGW200に対して送信する。
The transmission processing unit 118 transmits the packet encrypted by the
図5を参照して、暗号処理部116によるパケットの暗号化の例について説明する。オリジナルのIPヘッダ、UDPヘッダ及びペイロードデータを有するパケットAを暗号化する際の暗号化部位について説明する。パケットAを暗号化する際は、ESPヘッダBとESPトレーラCとがパケットAに付加される。ESPトレーラCは、パディングデータ、パディング長及び次ヘッダなどのデータフィールドを含む。従来の暗号処理によれば、パケットAとESPトレーラCを含む範囲全体が暗号化の対象となる部分Dに指定され、暗号化が行われる。更に、暗号化されたパケットをSAを介して送信するための新しいIPヘッダEと、認証用のトレーラである認証データFが付加される。
An example of packet encryption by the
他方で、開示の通信システムにおける暗号化処理においては、パケットAを暗号化するに当たって、暗号化の対象となる部分Dの内、データ種別に応じて選択された部位Gが暗号化される。言い換えれば、暗号化の対象となる部分Dの内、データ種別に応じて選択された部位G以外の部位は暗号化されなくともよい。
(3)暗号化位置の通知処理
以下に、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理について第1から第3までの実施形態を説明する。
On the other hand, in the encryption process in the disclosed communication system, when the packet A is encrypted, the part G selected according to the data type is encrypted in the part D to be encrypted. In other words, the part other than the part G selected according to the data type in the part D to be encrypted may not be encrypted.
(3) Encrypted Location Notification Processing First to third embodiments of encrypted location notification processing in IPsec communication performed between the
上述したように、eNB100よりセキュリティGW200に対して送信されるパケット内のペイロードデータには、暗号化部分と、非暗号化部分とが混在することとなる。然るにこれら暗号化部分と非暗号化部分とが混在するデータを復号化及びリアセンブルするためには、少なくとも元データ内における暗号化部分の位置を送信側と受信側とで共有することが求められる。例えば、暗号化通信の送信側及び受信側がネゴシエーションにより暗号化部分の位置決めを行うことで好適に暗号化部分の位置情報を共有することが出来る。また、部分的に暗号化を行った送信側が、受信側に対して暗号化部分の位置情報を通知することでも、暗号化部分の位置情報の共有が実現出来る。
As described above, in the payload data in the packet transmitted from the
(3−1)第1実施形態
図6を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第1実施形態について説明する。図6は、IKE(Internet Key Exchange)を例としたeNB100とセキュリティGW200との間で行われるSA確立のための暗号鍵の交換処理シーケンスを示す図である。
(3-1) 1st Embodiment With reference to FIG. 6, 1st Embodiment of the notification process of the encryption position in IPsec communication performed between eNB100 and security GW200 is described. FIG. 6 is a diagram illustrating an encryption key exchange processing sequence for SA establishment performed between the
第1実施形態では、eNB100とセキュリティGW200との間にデータ通信用のSA(Child SA)が構築される。該SAの構築のために、eNB100とセキュリティGW200との間では、IKEプロトコルによる鍵交換のネゴシエーションを行うための、該ネゴシエーションを暗号化するSAであるIKE_SAの構築が行われる。
In the first embodiment, an SA for data communication (Child SA) is established between the
具体的には、先ずIPsec通信の送信側であるeNB100は、受信側であるセキュリティGW200に対して、IKE_SAの情報と、暗号鍵を生成するためのパラメータとを交換するためのメッセージであるIKE_SA_INITリクエストを送信する。このメッセージ内には、確立するIKE_SAのパラメータ及び暗号鍵生成用のパラメータが含まれる。IKE_SA_INITリクエストを受信したセキュリティGW200は、同様にSAのパラメータ及び暗号鍵生成用のパラメータが含まれるメッセージであるIKE_SA_INITレスポンスをeNB100に送信する。
Specifically, first, the
続いて、eNB100は、セキュリティGW200に対して認証を要求するためのメッセージであるIKE_AUTH_リクエストに、SAを確立するためのパラメータを含めて送信する。セキュリティGW200は、認証に対する応答として、IKE_AUTH_レスポンスに、SAを確立するためのパラメータを含めて送信する。
Subsequently, the
このとき、SAを確立するためのパラメータには、暗号鍵生成用のパラメータと共に、パケットのうちの暗号化部分を特定する位置情報が含まれ、eNB100とセキュリティGW200との間で暗号化部分の位置決めが行われる。例えば、図4に示されるeNB100の鍵交換処理部112は、セキュリティGW200に対して、SAを確立するためのパラメータに、パケット内の制御データが含まれる領域などの暗号化部分を特定する位置情報を付加して通信することで暗号化部分の位置決めを行う。このように、eNB100の鍵交換処理部112は、第1実施形態における通知手段としての機能を有する。
At this time, the parameters for establishing the SA include the position information for specifying the encrypted part of the packet together with the parameter for generating the encryption key, and positioning of the encrypted part between the
また、IKE_SAやChild SAのリキー時に行うCREATE_CHILD_SAについても上述したように、SAを確立するためのパラメータには、暗号鍵生成用のパラメータと共に、パケットのうちの暗号化部分を特定する位置情報が含まれる。かかる位置情報を用いることで、eNB100とセキュリティGW200との間で暗号化部分の位置決めが行われる。
In addition, as described above with respect to CREATE_CHILD_SA performed when IKE_SA or Child SA is rekeyed, the parameters for establishing the SA include the position information for specifying the encrypted portion of the packet together with the parameters for generating the encryption key. It is. By using such position information, the encrypted part is positioned between the
eNB100は、SAを確立するためのパラメータを用いて、セキュリティGW200との間にSAを確立する。SAの確立後、eNB100は、図5に示されるようにペイロードデータが部分的に暗号化されたパケットをセキュリティGW200に対して送信する。パケットを受信したセキュリティGW200は、位置決めにより決定された位置情報に基づいて該パケット内の暗号化部分の位置を特定し、復号化を行うことで元データの復元を行う。
The
以上、説明したように第1実施形態における暗号化通信においては、IKE_SA確立後のネゴシエーション時に、暗号化部分の位置がeNB100とセキュリティGW200との間で共有される。位置情報には、例えば、ISAKMPメッセージ上に夫々の暗号化部分の開始位置及び開始位置からのデータサイズが記載され、SAの生成時にSA毎に暗号化位置情報が反映される。その位置情報に基づいて、eNB100及びセキュリティGW200は、パケット送信時の暗号化及び受信時の複合化を行なうための開始位置とデータサイズとを認識し、部分的な暗号化及び復号化処理を行なう。
As described above, in the encrypted communication according to the first embodiment, the position of the encrypted part is shared between the
第1実施形態の暗号化通信によれば、暗号化通信により送受信されるパケットについて、選択された部分に対して選択的に暗号化が行われる。このため、パケットの全部分を暗号化する場合と比較して処理量を低減させることが出来、パケットスループットを高速化することが出来る。特に、複数のパケットを同時に通信するマルチタスク時には、データの待ち時間の短縮化にも繋がり、システム処理の大幅な高速化が実現出来る。 According to the encrypted communication of the first embodiment, the selected portion is selectively encrypted with respect to the packet transmitted / received by the encrypted communication. For this reason, the amount of processing can be reduced as compared with the case where all parts of the packet are encrypted, and the packet throughput can be increased. In particular, in multitasking in which a plurality of packets are communicated simultaneously, the data waiting time can be shortened, and the system processing can be significantly speeded up.
第1実施形態では、例えば、制御データについては暗号化を行い、ユーザデータについては非暗号化のまま通信を行っている。制御データとは、例えばUDPヘッダやGTPUヘッダなど、その他のデータを利用する上で重要なデータを示し、ユーザデータとは、圧縮データなど制御データを用いることで利用可能となるデータを示す趣旨である。このため、データの利用のために相対的に重要度の高い制御データについては、SAの認証及び暗号化によって高いセキュリティを確保することが出来るため、データの不正な利用から好適に保護することが可能となる。一方で、ユーザデータ部分についてもSAの認証による保護が行われるため、セキュリティを確保することが可能となる。尚、各SAにおいて用いられる暗号アルゴリズムは、IPsecにおいて通常用いられるものを適宜採用することが出来る。 In the first embodiment, for example, control data is encrypted and user data is communicated while being unencrypted. Control data refers to data that is important in using other data such as a UDP header and a GTPU header, and user data refers to data that can be used by using control data such as compressed data. is there. For this reason, control data that is relatively important for the use of data can be secured appropriately from unauthorized use of data because high security can be secured by authentication and encryption of SA. It becomes possible. On the other hand, since the user data portion is also protected by SA authentication, security can be ensured. In addition, the encryption algorithm normally used in IPsec can be suitably employ | adopted for the encryption algorithm used in each SA.
(3−2)第2実施形態
図7を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第2実施形態について説明する。図7は、eNB100とセキュリティGW200との間で行われる暗号化通信の態様と、該暗号化通信において送受信されるESPパケットの構成を示す図である。
(3-2) Second Embodiment With reference to FIG. 7, a second embodiment of the encryption position notification process in IPsec communication performed between the
第2実施形態では、eNB100とセキュリティGW200との間でSAを介して通信されるESPパケットのペイロード部分に暗号化部分が含まれ、且つ該暗号化部分を示す位置情報が該ESPパケット内に付加される。
In the second embodiment, an encrypted portion is included in the payload portion of the ESP packet communicated between the
図7(b)は、ESPパケットの構成を示す図である。図7(b)に示されるように、ESPパケットは、SPI(Security Parameters Index)、SN(Sequence Number)、ペイロードデータ、パディングデータ及び認証データ(Authentication Data)の夫々のデータフィールドを含む。 FIG. 7B is a diagram showing the configuration of the ESP packet. As shown in FIG. 7B, the ESP packet includes data fields of SPI (Security Parameters Index), SN (Sequence Number), payload data, padding data, and authentication data (Authentication Data).
SPIは、当該ESPパケットの通信に用いられるSAを示す情報が含まれるデータフィールドである。SNは、例えば、Window制御を行いパケットリプレイなどを防止するための各ESPパケットに対して個別に割り当てられる連続的な識別番号である。ペイロードデータは、制御データ及びユーザデータなどを含む可変長のデータフィールドである。パディングデータは、ペイロードデータを暗号アルゴリズムにより要求されるデータサイズに調節するための調整用のデータフィールドである。パディングデータの後には、夫々固定サイズのパディングデータのデータサイズを示すパディング長フィールドと、ペイロードデータに含まれるデータ種別を示す次ヘッダフィールドとが設けられる。認証データは、パケットの改竄の検出などに用いられるICV(Integrity Check Value)と呼ばれる情報などを含む。 The SPI is a data field that includes information indicating the SA used for communication of the ESP packet. The SN is, for example, a continuous identification number assigned individually to each ESP packet for performing window control and preventing packet replay and the like. The payload data is a variable-length data field including control data and user data. The padding data is an adjustment data field for adjusting the payload data to the data size required by the encryption algorithm. After the padding data, a padding length field indicating the data size of the fixed-size padding data and a next header field indicating the data type included in the payload data are provided. The authentication data includes information called ICV (Integrity Check Value) used for detecting packet tampering.
図7(b)に示されるように、第2実施形態での通信においてESPパケットのペイロードデータは部分的に暗号化される。例えば、図4に示されるeNB100の暗号処理部116は、暗号化位置抽出部115により抽出されるペイロードデータ中の暗号化部位の暗号化を行う。更にこのとき、例えば暗号処理部116は、ペイロードデータ内の暗号化部位の開始位置及びデータサイズなどを示す位置情報を、ESPパケットのパディングデータ内に付加して暗号化を行う。
As shown in FIG. 7B, the payload data of the ESP packet is partially encrypted in the communication in the second embodiment. For example, the
セキュリティGW200は、eNB100より送信されたESPパケットを受信した後、パディングデータに付加される位置情報を読み取ることで暗号化部位を検出する。このように、eNB100の暗号処理部116は、第2実施形態における通知手段としての機能を有する。
After receiving the ESP packet transmitted from the
以上、説明した第2実施形態の暗号化通信によれば、第1実施形態と同様に、通信用のデータの部分的な暗号化によって、暗号化のための処理量を低減させることが出来、パケットスループットを高速化することが実現出来る。 As described above, according to the encrypted communication of the second embodiment described above, similarly to the first embodiment, the amount of processing for encryption can be reduced by partial encryption of communication data. It is possible to increase the packet throughput.
第2実施形態の暗号化通信によれば、ESPパケット毎に暗号化部位を指定することが可能となるため、より高いセキュリティを確保することが可能となるとの利点もある。尚、第2実施形態のESPパケットにおいて、ペイロードデータ内の暗号化部位の位置情報をパディングデータ以外の他の部分に格納する構成であってもよく、かかる構成においても上述の構成と同様の効果を得ることが出来る。尚、パディングデータについては、SAによる認証が行われるため、暗号化位置情報の不正な取得に対して保護が可能となる。 According to the encrypted communication of the second embodiment, since it is possible to specify an encrypted part for each ESP packet, there is an advantage that higher security can be ensured. In the ESP packet of the second embodiment, the configuration may be such that the location information of the encrypted part in the payload data is stored in a portion other than the padding data, and this configuration also has the same effect as the above configuration. Can be obtained. Since padding data is authenticated by SA, it is possible to protect against unauthorized acquisition of encrypted position information.
(3−3)第3実施形態
図8を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第3実施形態について説明する。図8は、eNB100とセキュリティGW200との間で行われる暗号化通信の態様と、該暗号化通信において送受信されるESPパケットの構成を示す図である。
(3-3) Third Embodiment A third embodiment of encryption position notification processing in IPsec communication performed between the
第3実施形態では、eNB100とセキュリティGW200との間でSAを介した暗号化通信を行う以前に、両者の間でESPパケット内の暗号化部分の位置情報をネゴシエーションにより決定し、共有している。暗号化通信時には、送信側は、該位置情報に基づく、例えばESPパケットの特定部位を暗号化して送信し、受信側は、該位置情報に基づくデータ部位を復号化して元データを取得する。
In the third embodiment, before performing encrypted communication via the SA between the
以上、説明した第3実施形態の暗号化通信によれば、第1実施形態と同様に、通信用のデータの部分的な暗号化によって、暗号化のための処理量を低減させることが出来、パケットスループットを高速化することが実現出来る。 As described above, according to the encrypted communication of the third embodiment described above, as in the first embodiment, the amount of processing for encryption can be reduced by partial encryption of communication data. It is possible to increase the packet throughput.
尚、第3実施形態では、暗号化通信を行うeNB100及びセキュリティGW200が暗号化部分を例えばメモリ内に格納しているため、暗号化通信時に改めて暗号化部分の通知を行わなくともよい。このため、第1実施形態で説明した暗号鍵交換用のIKEプロトコルによるSAの確立後のネゴシエーションにおける位置情報の交換や、第2実施形態で説明したパディングデータに位置情報を含めるなどの追加の処理を行わなくとも、例えば従来型の暗号化通信と同様のインタフェースにより第3実施形態に係る暗号化通信を実現可能となる。
In the third embodiment, since the
尚、以上説明した例においては、eNB100からセキュリティGW200に対するデータ送信のための構成及び処理について説明しているが、セキュリティGW200からeNB100に対するデータの送信についても同様の構成及び処理を適用してもよい。また、図2に示されるように、eNB100と他のeNBとの間でのデータの送受信においても、上述の構成及び処理が適用されてよい。
In the example described above, the configuration and processing for data transmission from the
(4)変形例
暗号化通信処理を実施するための通信システムの変形例及び該変形例による動作の例について、以下に説明する。
(4) Modified Example A modified example of the communication system for performing the encrypted communication process and an example of the operation according to the modified example will be described below.
(4−1)装置構成例
IPsecプロトコルを用いたeNB150によるデータの送信を行うネットワークプロセッサ105、セキュリティGW250及びサービングGW350の各構成内部の機能部について図9を参照して説明する。尚、eNB150のハードウェア構成は、上述したeNB100のハードウェアの構成と同様であってよく、各部について同一の番号を用いて説明することがある。尚、セキュリティGW250の構成も上述したセキュリティGW200と同様のものであってよい。
(4-1) Device Configuration Example Functional units inside each configuration of the
eNB150のネットワークプロセッサ105は、データの暗号化通信を行うために以下に説明する各機能部を有して構成される。尚、以下に説明する各機能部は、ネットワークプロセッサ105が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。
The
受信処理部151は、レシーバ103からの送信データを受信して、パケット毎に解析処理部152に入力するネットワークプロセッサ105内のインタフェースである。
The
解析処理部152は、受信処理部151より入力されるパケットに含まれる各データフィールドの解析を行い、夫々のデータフィールドについて、例えばUDPヘッダやGTPUヘッダなどデータを利用する上で相対的に重要度の高い制御データと、その他相対的に重要度の低いユーザデータとの判別を行う。解析処理部152は、パケット内の各データフィールドについて、判別結果に基づきデータの種別を表す識別フラグと、各データの開始位置情報を付加して、フラグメント処理部153に入力する。
The
フラグメント処理部153は、入力されるパケットを予め指定されたサイズのフラグメントに分割し、各フラグメントに対してIPヘッダを付加して、データ判定部154に入力する。
The
データ判定部154は、入力される各フラグメントのデータについて、各データが相対的に重要度の低いユーザデータであるか、該ユーザデータを利用するための相対的に重要度の高い制御データであるかの判定を行う。データ判定部154は、フラグメントに対して判定結果に応じた識別用のフラグを付して、SPD検索処理部155に入力する。
The
SPD検索処理部155は、入力されるフラグメントに付される識別フラグやIPヘッダなどの情報に基づいて、暗号対象パケットを判断するセレクタ情報や暗号アルゴリズムを指定するSPD情報を検索して割り当てる。例えば、SPD検索処理部155は、ネットワークプロセッサメモリ106内に格納されるSPDデータベースなどを参照することで、上述した検索を行う。また、SPD検索処理部155は、検索結果に係るSPD情報を示すSPD識別子をSA検索処理部156及び鍵交換処理部157に通知する。
The SPD
SA検索処理部156は、入力されるフラグメントに付されるSPD識別子に基づいて、各フラグメントに対して割り当てるSAを検索し、SA識別子を付加する。例えば、SA検索処理部156は、ネットワークプロセッサメモリ106内に格納されるSAデータベースなどを参照することで、上述した検索を行う。各SAは、夫々特定の暗号アルゴリズム、該暗号アルゴリズムを用いてセキュリティGW250との間で暗号化通信を行うための暗号鍵、及びSPIパラメータが指定されている。
The SA search processing unit 156 searches for the SA assigned to each fragment based on the SPD identifier attached to the input fragment, and adds the SA identifier. For example, the SA search processing unit 156 performs the above-described search by referring to an SA database or the like stored in the
SPD検索処理部155及びSA検索処理部156の具体的な構成について、図10を参照して説明する。図10(a)は、SPD検索処理部155及びSA検索処理部156における検索動作を行う機能部についてのイメージ図である。図10(a)では、SPD検索処理部155及びSA検索処理部156は共同の機能的な構成を有し、SPD情報が格納されるSPDデータベース162、SA情報が格納されるSAデータベース163及びセレクタ161を備えて構成される。
Specific configurations of the SPD
例えば、図9及び図10に示される例では、相対的に暗号強度の高いAESやKASUMIなどの通常暗号アルゴリズムを指定するSAであるSA1と、相対的に暗号強度の低いNULL暗号アルゴリズムを指定するSAであるSA2とが利用可能である。このため、図10(b)に示されるSPDデータベース162には、SA1を指定するSPD1と、SA2を指定するSPD2との二つのSPD情報が格納されている。SPDデータベース162には、各SPDについて、使用する暗号アルゴリズムや、IP、プロトコル、ポートなどのセレクタ情報や、指定するSAのIPヘッダパラメータなどの情報や、該SAを適用するデータ種別を識別するフラグや、SPD識別子などの情報が格納される。セレクタは、適切なSPD情報をSPDデータベースから検索して、各フラグメントに対して付す。
For example, in the examples shown in FIG. 9 and FIG. 10, SA1, which is a SA that specifies a normal encryption algorithm such as AES or KASUMI, which has a relatively high encryption strength, and a NULL encryption algorithm that has a relatively low encryption strength are specified. SA2 which is SA can be used. For this reason, the
セレクタは、各フラグメントに付されたSPD情報に対応するSA情報をSAデータベース163から検索する。図10(c)に示されるSAデータベース163には、各SAについて、SPI(Security Policy Index)と呼ばれるSAの識別子や、当該SAが使用する暗号アルゴリズムや、暗号種別や、対応するSPD識別子、及び当該SAによる暗号化が適用されるパケット内のデータ又はフラグメントを特定する位置情報などの情報が格納される。SA検索処理部156は、SA1及びSA2の確立時に、SAデータベース163の構成内容に、該SAによる暗号化が適用されるパケット内のデータ位置情報、又はフラグメントの情報を設定する。
The selector searches the
図9に戻り、説明を続ける。フラグメントは、SPD検索処理部155及びSA検索処理部156の動作により割り当てられたSAに応じて、通常暗号処理部158と、NULL暗号処理部159とに入力される。通常暗号処理部158及びNULL暗号処理部159は、夫々入力されるフラグメントに対して、指定された暗号アルゴリズムで暗号化を行う。
Returning to FIG. 9, the description will be continued. The fragment is input to the normal
鍵交換処理部157は、SPD情報及び対応するSA情報に基づいてセキュリティGW250との間でIKEプロトコルによる暗号鍵の交換を行い、SAの確立を行う。鍵交換処理部157は、SPD識別子に応じて、複数のSAについて夫々異なる暗号アルゴリズムの暗号鍵についてセキュリティGW250との間で鍵交換を行うことで、SA1及びSA2の2つのSAを確立する。
The key
通常暗号処理部158は、eNB150のネットワークプロセッサ105に複数備えられる暗号処理部の一つであり、相対的に暗号強度の高いAESやKASUMIなどの暗号アルゴリズムを用いるSAをセキュリティGW250との間で確立し、データの暗号化通信を行う。NULL暗号処理部159は、相対的に暗号強度の低いNULL暗号アルゴリズムを用いるSAをセキュリティGW250との間で確立し、データの暗号化通信を行う。尚、図9の例では、SA1に対応する通常暗号処理部158及びSA2に対応するNULL暗号処理部159の二つの暗号処理部が備えられているが、用いられるSAに応じてより多くの暗号処理部を備えていてもよい。
The normal
セキュリティGW250は、データの暗号化通信を行うために以下に説明する各機能部を有して構成される。尚、以下に説明する各機能部は、セキュリティGW250が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。
The
鍵交換処理部251は、eNB150の鍵交換処理部157との間でIKEプロトコルによる暗号鍵の交換を行う。SA検索処理部252は、eNB150の通常暗号処理部158やNULL暗号処理部159などの暗号処理部との間でSAを確立して暗号化通信によるデータの送受信を行う。SA検索処理部252は、受信したデータのうち、eNB150の通常暗号処理部158において暗号化された制御データのフラグメントは、通常復号処理部253に入力し、eNB150のNULL暗号処理部159において暗号化されたユーザデータのフラグメントは、NULL復号処理部254に入力する。
The key exchange processing unit 251 exchanges encryption keys with the key
通常復号処理部253は、暗号化された制御データのフラグメントの入力を受けて、該フラグメントを復号化して、SPD検索処理部255に入力する。NULL復号処理部254は、暗号化されたユーザデータのフラグメントの入力を受けて、該フラグメントを復号化して、SPD検索処理部255に入力する。
The normal
SPD検索処理部255は、入力されるデータのフラグメントに付されるヘッダを参照して、各フラグメントがSPDに記述される規定を満たしているかの判定を行う。判定の後、SPD検索処理部255は、SPDに記述される規定を満たす適切なフラグメントについて、送信処理部256に送信する。
The SPD
送信処理部256は、セキュリティGW250のコアネットワーク上の上位ノードであるサービングGW350又はMMEとの間でデータの送受信を行うためのインタフェースである。送信処理部256は、eNB150から送信された後に復号化されたデータのフラグメントをサービングGW350又はMMEに送信する。尚、図9には、上位ノードとしてサービングGW350を有するコアネットワークの例が記載されており、セキュリティGW250の送信制御部は、サービングGW350に対してデータのフラグメントを送信する。
The
サービングGW350における、セキュリティGW250から送信されるデータの受信及びリアセンブルを行う機能部について図9に図示されている。
FIG. 9 shows functional units that receive and reassemble data transmitted from the
受信処理部351は、セキュリティGW250との間でデータの送受信を行うためのインタフェースであり、セキュリティGW250より送信されるデータのフラグメントを受信してリアセンブル処理部352に入力する。リアセンブル処理部352は、入力されるデータのフラグメントを結合して元のデータを復元する。
The
また、サービングGW350は、コアネットワーク上の上位のプロトコルに対してデータの送受信を行う不図示のインタフェースなどを有し、リアセンブル後のデータを上位プロトコルに送信する。
In addition, the serving
(4−2)動作例
通信システム1において行われるIPsec通信における暗号化通信処理の基本的な動作例について図11から図13を参照して説明する。図11は、暗号化通信処理における各装置でのシーケンスを示す図であり、図12は、暗号化通信処理の基本的な動作の流れを示すフローチャートであり、図13は、暗号化通信処理により送信されるデータのイメージを示す図である。
(4-2) Operation Example A basic operation example of encrypted communication processing in IPsec communication performed in the
図11のシーケンス図に示されるように、通信システム1においては、暗号化通信を行うeNB150とセキュリティGW250との間に形成されるSAを介して、ユーザの移動端末からのデータが、GTPU終端よりeNB150に送信される。移動端末からのデータは、eNB150により暗号化されてセキュリティGW250に送信される。セキュリティGW250は、受信した暗号化データを復号化し、コアネットワーク上の上位ノードであるサービングGW350に対して送信する。サービングGW350は、受信したデータをリアセンブル処理して、GTPU終端に送信する。以下に、具体的な処理の流れについて説明する。
As shown in the sequence diagram of FIG. 11, in the
暗号化通信処理の開始時にeNB150とセキュリティGW250とは、SAの暗号鍵の交換の交渉を行い、暗号鍵に基づいてSAの設定を行う。具体例としては、eNB150は、セキュリティGW250に対して、AES暗号アルゴリズム等を用いるSA1を設定するための暗号鍵の交換要求を送信する。該交換要求に対して、セキュリティGW250が認証を行った後、規定を満たす適切な要求であれば、セキュリティGW250はeNB150に対してSA1の暗号鍵交換要求に対する応答を送信する(図12:ステップS101)。以上の動作により、相対的に暗号強度の高いSA1が確立される(図12:ステップS102)。
At the start of the encrypted communication process, the
SA1の設定と同時に、又は相前後して、eNB150は、セキュリティGW250に対して、NULL暗号アルゴリズムを用いるSA2を設定するための暗号鍵の交換要求を送信する。該交換要求に対して、セキュリティGW250が認証を行った後、規定を満たす適切な要求であれば、セキュリティGW250はeNB150に対してSA2の暗号鍵交換要求に対する応答を送信する(図12:ステップS103)。以上の動作により、相対的に暗号強度の低いSA2が確立される(図12:ステップS104)。
At the same time as or after the setting of SA1, the
続いて、eNB150は、ユーザの移動端末などから送信されるデータをGTPU終端を介して受信し、受信したデータのパケットのプロトコルの判別を行う(図12:ステップS105)。図13に示されるように、eNB150がGTPU終端より受信するIPパケットは、IPヘッダと、UDPヘッダと、GTPUヘッダと、GTPUデータ1乃至6とのデータフィールドを含んで構成される。eNB150は、受信したデータの内、GTPUパケットについてはGTPUプロトコルフォーマットに基づいてデータフィールドを解析し、各データフィールドについて制御データやユーザデータなどのデータ種別の識別を行う(図12:ステップS106)。該解析により、eNB150は、各データフィールドのデータ種別、開始位置を示すオフセット及びデータサイズを取得する。他方で、eNB150は、GTPU以外のプロトコルの受信パケットについては、MTU(Maximum Transmission Unit)に基づいて、各データフィールドのオフセットやデータサイズの配列を取得する(図12:ステップS107)。
Subsequently, the
具体的には、eNB150は、受信したIPパケットの各データフィールドに対して解析を行った結果、相対的に重要度の高い制御データであると判定されるUDPヘッダと、GTPUヘッダと、GTPUデータ1及び6とに対して制御データであることを示すフラグを付加する。一方で、相対的に重要度の低いユーザデータであると判定されるGTPUデータ2乃至5に対してユーザデータであることを示すフラグを付加する。
Specifically, as a result of analyzing each data field of the received IP packet, the
eNB150は、パケットの解析後に、解析結果に基づき、該パケットをデータフィールド毎にフラグメント化するフラグメント処理を行う(図12:ステップS108)。フラグメント処理により断片化された各データフィールドについて、eNB150は、図13に示されるように、UDPヘッダ、GTPUヘッダ及びGTPUデータ1を一のフラグメントとしてIPヘッダを付加すると共に、GTPUデータ6を一のフラグメントとしてIPヘッダを付加する。また、GTPUデータ2乃至5を一のフラグメントとしてIPヘッダを付加する。
After analyzing the packet, the
続いて、eNB150は、各フラグメントについて、データ種別を示すフラグをキーとしてSPDの検索を行い、条件に応じたSPDを割り当てる(図12:ステップS109)。eNB150は、先ず一のフラグメントについて、データ種別を示すフラグを確認し、該フラグが識別データを示している場合、該フラグメントに対してSPD1を割り当てる(図12:ステップS110)。他方で、該フラグメントのフラグがユーザデータを示す場合、SPD2を割り当てる(図12:ステップS111)。
Subsequently, the
続いて、eNB150は、各フラグメントについて、割り当てられたSPDに対応するSAを検索する(図12:ステップS112)。eNB150は、先ず一のフラグメントについて、割り当てられたSPD識別子を確認し(図12:ステップS113)、該SPD識別子がSPD1である場合、SA1を割り当てる(図12:ステップS114)。SA1は、AES暗号アルゴリズムを用いるSAであるため、eNB150は、該フラグメントについてAES暗号処理を行う。
Subsequently, the
他方で、該フラグメントのSPD識別子がSPD2である場合、SA2を割り当てる(図12:ステップS115)。SA2は、NULL暗号アルゴリズムを用いるSAであるため、eNB150は、該フラグメントについて実質的には暗号化を行わないNULL暗号処理を行う。
On the other hand, when the SPD identifier of the fragment is SPD2, SA2 is assigned (FIG. 12: step S115). Since SA2 is an SA that uses a NULL encryption algorithm, the
暗号処理の後、eNB150は、暗号化されたフラグメントをセキュリティGW250に対して送信する(図12:ステップS116)。具体的には、UDPヘッダ、GTPUヘッダ及びGTPUデータ1から成るフラグメントと、GTPUデータ6から成るフラグメントとに対してASE暗号処理を行い、SA1を介してセキュリティGW250に送信する。また、GTPUデータ2乃至5から成るフラグメントに対してNULL暗号処理を行い、SA2を介してセキュリティGW250に送信する。
After the encryption process, the
eNB150は、受信したパケット内から生成される全フラグメントに対して、SPD検索及びSA検索による暗号送信(図12:ステップS109乃至ステップS116)の一連の処理を繰り返し実施し、パケット内の全フラグメントについて送信を終えた後に、次のパケットに対して、データの解析及び一連の暗号送信処理(図12:ステップS105乃至ステップS116)を繰り返し実施する。
The
図11に示されるように、データを受信したセキュリティGW250は、暗号化されたフラグメントを復号化してサービングGW350に対して送信する。サービングGW350は、受信したフラグメントをリアセンブルし、元のデータを復元する。復元されたデータは、サービングGW350によりコアネットワーク内の上位プロトコルにおけるGTPU終端に送信され、データの通信が行われる。
As shown in FIG. 11, the
以上、説明した変形例の構成及び動作によれば、eNB150からセキュリティGW250に送信されるパケットの内、制御データとユーザデータとを別々のフラグメントに切り出し、夫々異なるSAを用いる暗号化通信を適用することが出来る。例えば、制御データを通信するためのSAについて、相対的に暗号強度の高い暗号アルゴリズムを適用することで、重要な制御データについて高いセキュリティを確保することが可能となる。他方で、ユーザデータ通信用のSAについて、相対的に暗号強度が低く、暗号処理のための処理量が少ない暗号アルゴリズムを適用することで、暗号化のための処理量を軽減することが出来る。尚、ユーザデータの暗号化において、実質的な暗号化を行わないNULL暗号アルゴリズムを適用する場合、暗号処理のための処理量を大きく低減出来る。この場合でも、ユーザデータについてはSAによる認証アルゴリズムによる保護が適用されるため、仮にユーザデータが不正に取得される場合であっても、復号化を行なわずにデータを利用することや改竄することからデータを保護することが出来る。
As described above, according to the configuration and operation of the modified example described above, control data and user data are cut out into separate fragments from packets transmitted from the
また、ユーザデータ部分の暗号化のために、NULL暗号アルゴリズムの代わりに、例えばDES(Data Encryption Standard)暗号アルゴリズムなど、制御データ部分の暗号化に用いられるものと比較して相対的に処理負荷が低い暗号アルゴリズムを適用してもよい。このように構成することで、ユーザデータ部分のセキュリティの向上と共に、全体的な暗号化処理量の低減を両方実現させることが可能となる。 Further, in order to encrypt the user data portion, the processing load is relatively smaller than that used for encryption of the control data portion, such as DES (Data Encryption Standard) encryption algorithm, instead of the NULL encryption algorithm. Low cryptographic algorithms may be applied. With this configuration, it is possible to improve both the security of the user data portion and reduce the overall encryption processing amount.
本発明は、上述した実施例に限られるものではなく、請求の範囲及び明細書全体から読み取れる発明の要旨或いは思想に反しない範囲で適宜変更可能であり、そのような変更を伴う通信装置、通信方法及び通信システムなどもまた本発明の技術的範囲に含まれるものである。 The present invention is not limited to the above-described embodiments, and can be appropriately changed without departing from the gist or concept of the invention that can be read from the claims and the entire specification. A method, a communication system, and the like are also included in the technical scope of the present invention.
以上、本明細書で説明した実施形態について、以下の付記にまとめる。
(付記1)
ネットワークを介して対向装置との間で通信を行う通信装置であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備えることを特徴とする通信装置。
(付記2)
前記対向装置との間で暗号鍵を交換して暗号化トンネルを構築する構築手段を更に備え、
前記通知手段は、前記暗号鍵の交換のネゴシエーション処理時に前記位置情報を前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記3)
前記通知手段は、前記パケットに前記位置情報を含めて前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記4)
ネットワークを介して対向装置との間で通信を行う通信装置であって、
前記対向装置との間に相異なる暗号化アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを構築する構築手段と、
パケットを複数のフラグメントに分割する分割手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備えることを特徴とする通信装置。
(付記5)
前記第2の暗号化トンネルに対応する暗号アルゴリズムは、前記第1の暗号化トンネルに対応する暗号アルゴリズムよりも暗号強度が低いことを特徴とする付記6に記載の通信装置。
(付記6)
ネットワークを介してパケットの送受信を行う通信装置と対向装置とを備える通信システムであって、
前記通信装置は、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備え、
前記対向装置は、
前記位置情報に基づいて、受信した前記パケットを復号化してデータを復元する復元手段を備えることを特徴とする通信システム。
(付記7)
ネットワークを介して対向装置との間で通信を行う通信方法であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化工程と、
前記パケットを前記対向装置に送信する送信工程と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知工程と
を備えることを特徴とする通信方法。
(付記8)
前記暗号化手段は、前記パケットの暗号化以前に、暗号化する前記所定の領域を決定し、
前記通知手段は、前記所定の領域の位置情報を前記パケット内に含めて前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記9)
前記暗号化手段は、前記パケットの内、他の領域のデータを管理又は制御するためのデータを含む領域を暗号化することを特徴とする付記1から4のいずれか一項に記載の通信装置。
(付記10)
前記第2の暗号化トンネルに対応する暗号アルゴリズムは、NULL暗号アルゴリズムであることを特徴とする付記4又は5に記載の通信装置。
(付記11)
前記パケットに対して、前記対向装置の間で通信を行うための認証データの付加を行う認証手段を更に備えることを特徴とする付記1から5のいずれか一項に記載の通信装置。
(付記12)
ネットワークを介してパケットの送受信を行う通信装置と対向装置とを備える通信システムであって、
前記通信装置は、
前記対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の前記暗号化トンネルを構築する構築手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備え、
前記対向装置は、
受信した前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第1復号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第2復号化手段と
を備えることを特徴とする通信システム。
(付記13)
ネットワークを介して対向装置との間で通信を行う通信方法であって、
前記対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の前記暗号化トンネルを構築する構築工程と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第1暗号化工程と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第2暗号化工程と、
前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信工程と
を備えることを特徴とする通信方法。
The embodiments described in this specification are summarized in the following supplementary notes.
(Appendix 1)
A communication device that communicates with an opposite device via a network,
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
A communication device comprising: notification means for notifying the opposite device of position information of the predetermined area in the packet.
(Appendix 2)
Further comprising construction means for exchanging encryption keys with the opposing device to construct an encrypted tunnel;
2. The communication apparatus according to
(Appendix 3)
The communication apparatus according to
(Appendix 4)
A communication device that communicates with an opposite device via a network,
Construction means for constructing a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
A dividing means for dividing the packet into a plurality of fragments;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
Transmission means for transmitting the partial fragment to the opposing device via the first encrypted tunnel and transmitting fragments other than the partial fragment to the opposing device via the second encrypted tunnel A communication apparatus comprising:
(Appendix 5)
The communication apparatus according to appendix 6, wherein the encryption algorithm corresponding to the second encryption tunnel has lower encryption strength than the encryption algorithm corresponding to the first encryption tunnel.
(Appendix 6)
A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
Notification means for notifying the opposing device of the position information of the predetermined area in the packet,
The opposing device is
A communication system, comprising: restoration means for decoding the received packet and restoring data based on the position information.
(Appendix 7)
A communication method for communicating with an opposite device via a network,
An encryption step for encrypting a predetermined area determined according to the type of data in the packet;
A transmission step of transmitting the packet to the opposite device;
A notification step of notifying the opposing device of positional information of the predetermined area in the packet.
(Appendix 8)
The encryption means determines the predetermined area to be encrypted before the packet is encrypted,
2. The communication apparatus according to
(Appendix 9)
The communication apparatus according to any one of
(Appendix 10)
The communication apparatus according to
(Appendix 11)
The communication apparatus according to any one of
(Appendix 12)
A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Construction means for constructing a plurality of the encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encrypted tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
The partial fragment is transmitted to the opposite device via the first encrypted tunnel, and the fragment other than the partial fragment is transmitted to the opposite device via the second encrypted tunnel. A transmission means for transmitting, and
The opposing device is
First decryption means for decrypting the received partial fragment using a cryptographic algorithm corresponding to the first encrypted tunnel;
And a second decryption means for decrypting a fragment other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel.
(Appendix 13)
A communication method for communicating with an opposite device via a network,
Constructing a plurality of the encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device; and
A first encryption step of encrypting some of the plurality of fragments using an encryption algorithm corresponding to the first encrypted tunnel;
A second encryption step of encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
The partial fragment is transmitted to the opposite device via the first encrypted tunnel, and the fragment other than the partial fragment is transmitted to the opposite device via the second encrypted tunnel. A communication method comprising: a transmission step of transmitting.
100、150 無線基地局(eNB)、
101 L2スイッチ、
102 PHY、
103 レシーバ、
104 トランスレータ、
105 ネットワークプロセッサ、
106 ネットワークプロセッサメモリ、
107 メモリ、
108 メモリコントローラ、
109 CPU、
110 PCIインタフェース、
111 受信処理部、
112 鍵交換処理部、
113 SPD検索処理部、
114 SA検索処理部、
115 暗号化位置抽出部、
116 暗号処理部、
117 復号処理部、
118 送信処理部、
200、250 セキュリティGW、
300、350 サービングGW。
100, 150 radio base station (eNB),
101 L2 switch,
102 PHY,
103 receiver,
104 translator,
105 network processor,
106 network processor memory,
107 memory,
108 memory controller,
109 CPU,
110 PCI interface,
111 reception processing unit,
112 Key exchange processing unit,
113 SPD search processing unit,
114 SA search processing unit,
115 encrypted position extraction unit,
116 cryptographic processing unit,
117 decryption processing unit,
118 transmission processing unit,
200, 250 Security GW,
300, 350 Serving GW.
Claims (7)
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備えることを特徴とする通信装置。 A communication device that communicates with an opposite device via a network,
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
A communication device comprising: notification means for notifying the opposite device of position information of the predetermined area in the packet.
前記通知手段は、前記暗号鍵の交換のネゴシエーション処理時に前記位置情報を前記対向装置に通知することを特徴とする請求項1に記載の通信装置。 Further comprising construction means for exchanging encryption keys with the opposing device to construct an encrypted tunnel;
The communication device according to claim 1, wherein the notification unit notifies the opposite device of the position information during negotiation processing for exchanging the encryption key.
前記対向装置との間に相異なる暗号化アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを構築する構築手段と、
パケットを複数のフラグメントに分割する分割手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備えることを特徴とする通信装置。 A communication device that communicates with an opposite device via a network,
Construction means for constructing a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
A dividing means for dividing the packet into a plurality of fragments;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
Transmission means for transmitting the partial fragment to the opposing device via the first encrypted tunnel and transmitting fragments other than the partial fragment to the opposing device via the second encrypted tunnel A communication apparatus comprising:
前記通信装置は、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備え、
前記対向装置は、
前記位置情報に基づいて、受信した前記パケットを復号化してデータを復元する復元手段を備えることを特徴とする通信システム。 A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
Notification means for notifying the opposing device of the position information of the predetermined area in the packet,
The opposing device is
A communication system, comprising: restoration means for decoding the received packet and restoring data based on the position information.
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化工程と、
前記パケットを前記対向装置に送信する送信工程と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知工程と
を備えることを特徴とする通信方法。 A communication method for communicating with an opposite device via a network,
An encryption step for encrypting a predetermined area determined according to the type of data in the packet;
A transmission step of transmitting the packet to the opposite device;
A notification step of notifying the opposing device of positional information of the predetermined area in the packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010146308A JP2012010254A (en) | 2010-06-28 | 2010-06-28 | Communication device, communication method and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010146308A JP2012010254A (en) | 2010-06-28 | 2010-06-28 | Communication device, communication method and communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012010254A true JP2012010254A (en) | 2012-01-12 |
Family
ID=45540258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010146308A Pending JP2012010254A (en) | 2010-06-28 | 2010-06-28 | Communication device, communication method and communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012010254A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013179551A1 (en) * | 2012-05-29 | 2013-12-05 | パナソニック株式会社 | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method |
JP2014078830A (en) * | 2012-10-10 | 2014-05-01 | Softbank Mobile Corp | Analysis device, analysis method, and analysis program |
JP2015097423A (en) * | 2015-01-21 | 2015-05-21 | 株式会社東芝 | Communication device, key generating device, communication method, program, and communication system |
JP2015515210A (en) * | 2012-03-30 | 2015-05-21 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Improved IPsec communication performance and security against eavesdropping |
WO2016028140A1 (en) * | 2014-08-18 | 2016-02-25 | Mimos Berhad | System and method for adaptive protocol data unit management for secure network communication |
JP2017038413A (en) * | 2016-11-24 | 2017-02-16 | 株式会社東芝 | Communication device, key generating device, communication method, program, and communication system |
EP4020915A4 (en) * | 2019-08-29 | 2022-09-28 | Huawei Technologies Co., Ltd. | Message transmission method and device, and computer storage medium |
US11743240B2 (en) * | 2019-03-08 | 2023-08-29 | Intel Corporation | Secure stream protocol for serial interconnect |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11344925A (en) * | 1998-05-29 | 1999-12-14 | Nec Corp | Partial ciphering device and recording medium readable by computer |
JP2002319936A (en) * | 2001-04-20 | 2002-10-31 | Ntt Docomo Inc | Apparatus and method for communication for making data safe |
JP2003204349A (en) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | Node device and communication control method |
-
2010
- 2010-06-28 JP JP2010146308A patent/JP2012010254A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11344925A (en) * | 1998-05-29 | 1999-12-14 | Nec Corp | Partial ciphering device and recording medium readable by computer |
JP2002319936A (en) * | 2001-04-20 | 2002-10-31 | Ntt Docomo Inc | Apparatus and method for communication for making data safe |
JP2003204349A (en) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | Node device and communication control method |
Non-Patent Citations (1)
Title |
---|
JPN6014022867; Zhang, Y. and Singh, B.: 'A Multi-Layer IPsec Protocol' Proceedings of the 9th USENIX Security Symposium , 200808, The Internet * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015515210A (en) * | 2012-03-30 | 2015-05-21 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Improved IPsec communication performance and security against eavesdropping |
WO2013179551A1 (en) * | 2012-05-29 | 2013-12-05 | パナソニック株式会社 | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method |
US9185130B2 (en) | 2012-05-29 | 2015-11-10 | Panasonic Intellectual Property Management Co., Ltd. | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method |
JPWO2013179551A1 (en) * | 2012-05-29 | 2016-01-18 | パナソニックIpマネジメント株式会社 | TRANSMISSION DEVICE, RECEPTION DEVICE, COMMUNICATION SYSTEM, TRANSMISSION METHOD, AND RECEPTION METHOD |
JP2014078830A (en) * | 2012-10-10 | 2014-05-01 | Softbank Mobile Corp | Analysis device, analysis method, and analysis program |
WO2016028140A1 (en) * | 2014-08-18 | 2016-02-25 | Mimos Berhad | System and method for adaptive protocol data unit management for secure network communication |
JP2015097423A (en) * | 2015-01-21 | 2015-05-21 | 株式会社東芝 | Communication device, key generating device, communication method, program, and communication system |
JP2017038413A (en) * | 2016-11-24 | 2017-02-16 | 株式会社東芝 | Communication device, key generating device, communication method, program, and communication system |
US11743240B2 (en) * | 2019-03-08 | 2023-08-29 | Intel Corporation | Secure stream protocol for serial interconnect |
EP4020915A4 (en) * | 2019-08-29 | 2022-09-28 | Huawei Technologies Co., Ltd. | Message transmission method and device, and computer storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101421399B1 (en) | Terminal apparatus having link layer encryption and decryption capabilities and method for processing data thereof | |
US6970446B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
EP2309698B1 (en) | Exchange of key material | |
JP5625703B2 (en) | Mobile communication system, communication control method, and radio base station | |
KR101507482B1 (en) | Methods and apparatuses for enabling non-access stratum(nas) security in lte mobile units | |
JP2012010254A (en) | Communication device, communication method and communication system | |
US7548532B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
US20180176230A1 (en) | Data packet transmission method, apparatus, and system, and node device | |
CN108966217B (en) | Secret communication method, mobile terminal and secret gateway | |
US20040029562A1 (en) | System and method for securing communications over cellular networks | |
Yang et al. | An improved security scheme in WMAN based on IEEE standard 802.16 | |
KR20050060636A (en) | System and method for generating encryption key of wireless device in wireless local area network secure system | |
WO2021152349A1 (en) | Ipsec privacy protection | |
JP2005223838A (en) | Communications system and relay device | |
JP2015149580A (en) | Transmission system and transmission method | |
CN110650476B (en) | Management frame encryption and decryption | |
Roepke et al. | A Survey on Protocols securing the Internet of Things: DTLS, IPSec and IEEE 802.11 i | |
CN115765979A (en) | Communication method and communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130507 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140401 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140514 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140603 |