JP2012010254A - Communication device, communication method and communication system - Google Patents

Communication device, communication method and communication system Download PDF

Info

Publication number
JP2012010254A
JP2012010254A JP2010146308A JP2010146308A JP2012010254A JP 2012010254 A JP2012010254 A JP 2012010254A JP 2010146308 A JP2010146308 A JP 2010146308A JP 2010146308 A JP2010146308 A JP 2010146308A JP 2012010254 A JP2012010254 A JP 2012010254A
Authority
JP
Japan
Prior art keywords
encryption
data
packet
communication
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010146308A
Other languages
Japanese (ja)
Inventor
Akihiro Kameda
章浩 亀田
Isamu Fukuda
勇 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010146308A priority Critical patent/JP2012010254A/en
Publication of JP2012010254A publication Critical patent/JP2012010254A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To decrease an encryption processing amount in an encryption communication and ensure a preferable security.SOLUTION: A communication device 100 comprises: encryption means 116 encrypting a predetermined region determined according to a kind of data in packets in order to communicate with a counter device 200 via a network; transmission means 118 transmitting the packets to the counter device; and notification means 115 and 118 notifying the counter device of positional information of the predetermined region in the packets to be encrypted.

Description

本発明は、暗号化通信を行う通信装置、通信方法及び通信システムに関する。   The present invention relates to a communication apparatus, a communication method, and a communication system that perform encrypted communication.

移動通信システムとして、LTE(Long Tern Evolution)、SAE(System Architecture Evolution)やECN(Evolved Core Network)などの次世代の規格が現在知られている。次世代の規格の多くでは、ネットワーク機器間の接続回線にIPネットワークが用いられることが検討されている。IPネットワークを用いた通信システムにおいては、従来のように比較的データ量の小さいデータについての通信だけでなく、例えば音声や動画のように、大容量のデータを少ない遅延で通信することが求められる場合がある。一方で、通信データの安全性もまた同時に要求される。例えば、IPネットワーク通信システムにおいては、通信システム上のアプリケーションとは独立して、自動的に通信を暗号化可能とするIPsec(IP security Protocol)と呼ばれる技術の適用が検討されている。   As mobile communication systems, next-generation standards such as LTE (Long Tern Evolution), SAE (System Architecture Evolution), and ECN (Evolved Core Network) are currently known. In many of the next generation standards, it is considered that an IP network is used as a connection line between network devices. In a communication system using an IP network, it is required not only to communicate data with a relatively small amount of data as in the past, but also to communicate large volumes of data with a small delay, such as voice and moving images. There is a case. On the other hand, safety of communication data is also required at the same time. For example, in an IP network communication system, application of a technique called IPsec (IP security Protocol) that enables automatic communication encryption independently of an application on the communication system is being studied.

国際公開第2006/35501号パンフレットInternational Publication No. 2006/35501 Pamphlet 特表2007−513539号公報JP-T-2007-513539

しかしながら、データの暗号化と送受信を逐次行う場合、ネットワーク機器における処理量が増大し、データ通信時の処理に遅延が生じる場合がある。かかる処理の遅延によりIPネットワークにおける伝送効率の低下に繋がる可能性もあり、特に音楽や動画などの大容量データの通信を行うにあたり、効率の低下は顕著なものとなることが考えられる。   However, when data encryption and transmission / reception are performed sequentially, the amount of processing in the network device increases, and processing may be delayed during data communication. Such processing delay may lead to a decrease in transmission efficiency in the IP network, and it is conceivable that the decrease in efficiency becomes remarkable particularly when large-capacity data such as music and moving images is communicated.

上述した先行技術文献には、CDMAシステムにおける無線ネットワーク制御装置について、基地局と移動機の間の通信を秘匿化する秘匿通信システムにおいて送受信するデータの部分暗号手段が開示されている。しかしながら、かかる手法によれば、IPsecが適用されるペイロードの通信においては全パケットに対して従来と同様に暗号化が行われるため、上述した処理遅延の課題を完全に解消することが出来ない。   The above-described prior art documents disclose a partial encryption unit for data transmitted and received in a secret communication system that conceals communication between a base station and a mobile device for a radio network control device in a CDMA system. However, according to such a method, in payload communication to which IPsec is applied, all packets are encrypted in the same manner as in the past, and thus the above-described processing delay problem cannot be completely solved.

本発明は、上述した問題点に鑑み為されたものであり、IPネットワークを用いた通信システムにおいて、暗号化通信の安全性を低下させることなく、処理遅延の軽減による伝送効率の向上を実現可能な通信装置、通信方法及び通信システムを提供することを課題とする。   The present invention has been made in view of the above-described problems, and in a communication system using an IP network, it is possible to improve transmission efficiency by reducing processing delay without reducing the security of encrypted communication. An object is to provide a communication device, a communication method, and a communication system.

上記課題を解決するために、開示の第1の通信装置は、ネットワークを介して対向装置との間でパケット通信を行う通信装置であって、暗号化手段と、送信手段と、通知手段とを備える。暗号化手段は、送信手段より送信されるパケットの内、所定の領域について部分的に暗号化処理を行う。該所定の領域は、例えば、パケット内に含まれるデータの種類などに応じて決定される。送信手段は、部分的に暗号化されたパケットを対向装置に送信する。通知手段は、パケット内の暗号化部分(つまり、所定の領域)を示す位置情報を対向装置に対して通知する。   In order to solve the above-described problem, a first communication device disclosed is a communication device that performs packet communication with an opposite device via a network, and includes an encryption unit, a transmission unit, and a notification unit. Prepare. The encryption unit partially performs encryption processing on a predetermined area in the packet transmitted from the transmission unit. The predetermined area is determined according to, for example, the type of data included in the packet. The transmission means transmits the partially encrypted packet to the opposite device. The notifying means notifies the opposite device of position information indicating an encrypted portion (that is, a predetermined area) in the packet.

第1の通信システムは、ネットワークを介してパケットの送受信を行う通信システムであって、上述した通信装置と、通知される位置情報に応じて受信したパケットの復号化を行う復号化手段を備える対向装置とを備える。   A first communication system is a communication system that transmits and receives packets via a network, and is provided with the above-described communication device and a decoding unit that decodes a received packet according to notified position information. Device.

第1の通信方法は、暗号化工程と、送信工程と、通知工程とを備える。暗号化工程では、上述した暗号化手段が行う動作と同様の動作が行われる。送信工程では、上述した送信手段が行う動作と同様の動作が行われる。通知工程では、上述した通知手段が行う動作と同様の動作が行われる。   The first communication method includes an encryption step, a transmission step, and a notification step. In the encryption process, an operation similar to the operation performed by the encryption means described above is performed. In the transmission step, an operation similar to the operation performed by the transmission means described above is performed. In the notification step, an operation similar to the operation performed by the notification means described above is performed.

上記課題を解決するために、開示の第2の通信装置は、ネットワークを介して対向装置との間で通信を行う通信装置であって、構築手段と、分割手段と、第1暗号化手段と、第2暗号化手段と、送信手段とを備える。構築手段は、対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の暗号化トンネルを構築する。分割手段は、対向装置に対して送信するパケットを、例えば内部のデータフィールド毎のデータの種別などに応じて複数のフラグメントに分割する。第1暗号化手段は、複数のフラグメントのうちの一部のフラグメントについて、第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する。第2暗号化手段は、一部のフラグメント以外のフラグメントについて、第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する。送信手段は、一部のフラグメント一部のフラグメントを第1の暗号化トンネルを介して送信し、一部のフラグメント以外のフラグメントを第2の暗号化トンネルを介して送信する。   In order to solve the above-described problem, a second communication device disclosed is a communication device that performs communication with a counter device via a network, and includes a construction unit, a division unit, a first encryption unit, , Second encryption means, and transmission means. The constructing means constructs a plurality of encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device. The dividing unit divides a packet to be transmitted to the opposite device into a plurality of fragments according to, for example, the type of data for each internal data field. The first encryption means encrypts some of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel. The second encryption means encrypts fragments other than some of the fragments using an encryption algorithm corresponding to the second encryption tunnel. The transmission means transmits a part of the fragment, a part of the fragment via the first encryption tunnel, and transmits a fragment other than the part of the fragment via the second encryption tunnel.

第2の通信システムは、ネットワークを介してパケットの送受信を行う通信システムであって、上述した通信装置と、対向装置とを備える。対向装置は、一部のフラグメント一部のフラグメントを第1の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第1復号化手段、及び第2の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第2復号化手段を備える対向装置とを備える。   The second communication system is a communication system that transmits and receives packets via a network, and includes the communication device described above and a counter device. The opposite apparatus uses the first decryption means for decrypting the partial fragment using the encryption algorithm corresponding to the first encryption tunnel and the encryption algorithm corresponding to the second encryption tunnel. And a counter device including second decoding means for decoding.

第2の通信方法は、構築工程と、分割工程と、第1暗号化工程と、第2暗号化工程と、送信工程とを備える。構築工程では、上述した構築手段が行う動作と同様の動作が行われる。分割工程では、上述した分割手段が行う動作と同様の動作が行われる。第1暗号化工程では、上述した第1暗号化手段が行う動作と同様の動作が行われる。第2暗号化工程では、上述した第2暗号化手段が行う動作と同様の動作が行われる。送信工程では、上述した送信手段が行う動作と同様の動作が行われる。   The second communication method includes a construction step, a division step, a first encryption step, a second encryption step, and a transmission step. In the construction process, an operation similar to the operation performed by the construction means described above is performed. In the dividing step, an operation similar to the operation performed by the dividing means described above is performed. In the first encryption step, an operation similar to the operation performed by the first encryption means described above is performed. In the second encryption step, an operation similar to the operation performed by the second encryption means described above is performed. In the transmission step, an operation similar to the operation performed by the transmission means described above is performed.

上述の構成によれば、通信装置から対向装置に送信される各パケットについて、パケット内の一部の領域である所定の領域に対する部分暗号化が行われる。一方で、該所定の領域以外の領域については暗号化が行われない。   According to the above-described configuration, partial encryption is performed on a predetermined area, which is a partial area in the packet, for each packet transmitted from the communication apparatus to the opposite apparatus. On the other hand, encryption is not performed for areas other than the predetermined area.

或いは、通信装置から対向装置に送信される各パケットについて、該パケットを分割した一部のフラグメントについて、他のフラグメントとは異なる暗号アルゴリズムを用いて暗号化が行われる。尚、他のフラグメント部分については、相対的に暗号強度が低く暗号化処理量が少ない暗号アルゴリズムを適用することが好ましい。このため、パケット全てを暗号化して送信する場合又はパケット全てに同一の暗号アルゴリズムを適用する場合と比較して、暗号化が行われるデータ量が低減され、暗号化処理のための処理量の低減を実現することが出来る。   Alternatively, for each packet transmitted from the communication device to the opposite device, a part of the fragment obtained by dividing the packet is encrypted using an encryption algorithm different from that for other fragments. For other fragment portions, it is preferable to apply an encryption algorithm having a relatively low encryption strength and a small amount of encryption processing. For this reason, the amount of data to be encrypted is reduced and the amount of processing for encryption processing is reduced compared to the case where all packets are transmitted after being encrypted or the same encryption algorithm is applied to all packets. Can be realized.

IPsec通信におけるSA(Security Association)を介した通信のイメージ図である。It is an image figure of communication via SA (Security Association) in IPsec communication. IPsec通信における通信システムの構成例を示す図である。It is a figure which shows the structural example of the communication system in IPsec communication. 通信装置のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of a communication apparatus. 通信装置のネットワークプロセッサ内の機能部の構成を示すブロック図である。It is a block diagram which shows the structure of the function part in the network processor of a communication apparatus. IPsec通信におけるパケットの暗号化の例を示す図である。It is a figure which shows the example of the encryption of the packet in IPsec communication. 暗号化通信処理の第1実施形態の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a process of 1st Embodiment of an encryption communication process. 暗号化通信処理の第2実施形態の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a process of 2nd Embodiment of an encryption communication process. 暗号化通信処理の第3実施形態の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a process of 3rd Embodiment of an encryption communication process. 変形例における通信装置と対向装置との間でのIPsec通信の態様を示すブロック図である。It is a block diagram which shows the aspect of the IPsec communication between the communication apparatus and opposing apparatus in a modification. SPD検索及びSA検索を行う機能部の構成を示すブロック図である。It is a block diagram which shows the structure of the function part which performs SPD search and SA search. 変形例の暗号化通信処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the encryption communication process of a modification. 変形例の暗号化通信処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the encryption communication process of a modification. 変形例におけるパケット送信の流れを示す図である。It is a figure which shows the flow of the packet transmission in a modification.

(1)IPsec通信について
図1を参照して、IPsec通信における暗号鍵を用いたSA(Security Association)について説明を行う。図1は、通信装置NodeAと通信装置NodeBとの間にIPsecを使用したIPトンネルであるSAが設けられる状態で暗号化通信を行っている状態を示す概略図である。 (1) About IPsec Communication With reference to FIG. 1, SA (Security Association) using an encryption key in IPsec communication will be described. FIG. 1 is a schematic diagram illustrating a state where encrypted communication is performed in a state where an SA, which is an IP tunnel using IPsec, is provided between the communication device NodeA and the communication device NodeB.

図1に示されるように、通信装置NodeAから送信されるパケットは、通信装置NodeAと通信装置NodeBとの間に設けられるSAを介して通信装置NodeBへと送信される。SAを利用するための暗号鍵はRekey処理により適宜更新され、更新後の暗号鍵に応じた新SAが順次用いられる。通信装置NodeA及び通信装置NodeBは、例えば後述するeNB100やセキュリティゲートウェイ(セキュリティGW)GW200などである。   As shown in FIG. 1, the packet transmitted from the communication device NodeA is transmitted to the communication device NodeB via the SA provided between the communication device NodeA and the communication device NodeB. The encryption key for using the SA is appropriately updated by the rekey process, and new SAs corresponding to the updated encryption key are sequentially used. The communication device NodeA and the communication device NodeB are, for example, an eNB 100 and a security gateway (security GW) GW 200 described later.

尚、図1に示されるようにSAが設けられる通信装置NodeA及び通信装置NodeBは、夫々SPI(Security Parameter Index)、シーケンスナンバ(Sequence Number)等をペイロードデータの中に含める。SPIは、SAを識別するための識別番号であり、特に暗号鍵の更新前後における新旧SAの識別を可能とする情報である。また、シーケンスナンバは、SAを用いて送信されるデータパケットを識別するための識別番号である。   As shown in FIG. 1, the communication device NodeA and the communication device NodeB provided with the SA include an SPI (Security Parameter Index), a sequence number (Sequence Number), and the like in the payload data. The SPI is an identification number for identifying the SA, and is information that makes it possible to identify the old and new SA before and after the encryption key is updated. The sequence number is an identification number for identifying a data packet transmitted using SA.

図1に示されるようなIPsec通信技術は、例えば、LTE(Long Term Evolution)などの無線ネットワークシステムにおいて用いられる。   The IPsec communication technique as shown in FIG. 1 is used in a wireless network system such as LTE (Long Term Evolution), for example.

図2は、開示の通信装置及び対向装置を含む通信システム1の構成を示すブロック図である。図2に示されるように、通信システム1は、無線通信の基地局であるeNB100(eNodeB:evolved NodeB)、ルータ、セキュリティGW200及びサービングゲートウェイ(サ−ビングGW)300を備える。無線基地局eNB100は、アンテナを介して移動端末(UE:User Equipment)との間でユーザパケットの送受信を行う。   FIG. 2 is a block diagram illustrating a configuration of the communication system 1 including the disclosed communication device and the opposite device. As shown in FIG. 2, the communication system 1 includes an eNB 100 (eNodeB: evolved NodeB), a router, a security GW 200, and a serving gateway (serving GW) 300, which are base stations for wireless communication. The radio base station eNB100 transmits and receives user packets to and from a mobile terminal (UE: User Equipment) via an antenna.

LTE無線ネットワークでは、eNB100と、サービングGWやMME(Mobility Managing Entity)などの対向装置との間は、例えば、公衆IP網などが使用される場合もある。このため、安全な通信を確立するためには、IPsec通信が用いられることが好ましい。図2の例では、eNB100とセキュリティGW200、又はeNB100同士の間にIPsecのSAが設けられている(点線部参照)。図2の例では、IPsecは点線部に示されるeNB100とセキュリティGW200との間、または2つのeNB100間のパケット信号を暗号化するものである。   In the LTE wireless network, for example, a public IP network or the like may be used between the eNB 100 and a counterpart device such as a serving GW or an MME (Mobility Managing Entity). For this reason, in order to establish safe communication, it is preferable to use IPsec communication. In the example of FIG. 2, an IPsec SA is provided between the eNB 100 and the security GW 200 or between the eNBs 100 (see dotted lines). In the example of FIG. 2, IPsec encrypts a packet signal between the eNB 100 and the security GW 200 indicated by the dotted line part or between the two eNBs 100.

(2)構成例
図3を参照して、開示の通信装置及び該通信装置により実施される暗号化通信の変形例について説明する。図3は、通信装置の一例であるeNB100のハードウェア構成について説明する。eNB100は、L2スイッチ101と、イーサネット(登録商標)用の通信インタフェース(PHY)102と、レシーバ103と、トランスレータ104と、ネットワークプロセッサ105と、ネットワークプロセッサメモリ106と、メモリ107と、メモリコントローラ108と、CPU(Central Processing Unit)109と、PCIインタフェース110とを備える。 (2) Configuration Example With reference to FIG. 3, a communication device according to the disclosure and a modified example of encrypted communication performed by the communication device will be described. FIG. 3 illustrates a hardware configuration of the eNB 100 that is an example of a communication device. The eNB 100 includes an L2 switch 101, a communication interface (PHY) 102 for Ethernet (registered trademark), a receiver 103, a translator 104, a network processor 105, a network processor memory 106, a memory 107, and a memory controller 108. A CPU (Central Processing Unit) 109 and a PCI interface 110.

上述した構成の内、L2スイッチ101は、イーサネット(登録商標)におけるデータ送信を行うためのブリッジであり、PHY102との間で送信用データ及び受信用データのやり取りを行う。レシーバ103は、PHY102のうちのデータ受信用のインタフェースを制御する装置であって、トランスレータ104は、PHY102のうちのデータ送信用のインタフェースを制御する装置である。ネットワークプロセッサ105は、対向装置の一例であるセキュリティGW200との通信において用いられるIPsec及び、各種プロトコルを終端し、レシーバ103及びトランスレータ104を介してデータの送受信の制御を行う。CPU109は、eNB100全体の動作の制御を行うホスト用のプロセッサである。ネットワークプロセッサ105により送受信されるデータは、メモリコントローラ108及びCPU109の制御のもと、PCIインタフェース110を介して外部の処理装置との間でやりとりされる。   Of the above-described configuration, the L2 switch 101 is a bridge for performing data transmission on the Ethernet (registered trademark), and exchanges transmission data and reception data with the PHY 102. The receiver 103 is a device that controls an interface for data reception in the PHY 102, and the translator 104 is a device that controls an interface for data transmission in the PHY 102. The network processor 105 terminates IPsec and various protocols used in communication with the security GW 200 that is an example of the opposite apparatus, and controls data transmission / reception via the receiver 103 and the translator 104. The CPU 109 is a host processor that controls the operation of the entire eNB 100. Data transmitted and received by the network processor 105 is exchanged with an external processing device via the PCI interface 110 under the control of the memory controller 108 and the CPU 109.

尚、開示の対向装置の一例であるセキュリティGW200は、特に説明しない部分においては例えば公知のセキュリティGW装置と同様の構成であってよく、また上述したeNB100と同様の構成であってよい。   Note that the security GW 200 as an example of the disclosed opposite device may have a configuration similar to that of a known security GW device, for example, in a portion not particularly described, or may be the same configuration as the eNB 100 described above.

図4を参照して、eNB100のネットワークプロセッサ105における、IPsecプロトコルを用いたデータの暗号化通信を行う機能部の構成について説明する。   With reference to FIG. 4, a configuration of a functional unit that performs encrypted communication of data using the IPsec protocol in the network processor 105 of the eNB 100 will be described.

eNB100のネットワークプロセッサ105は、データの暗号化通信を行うために以下に説明する各機能部を有する。尚、以下に説明する各機能部は、ネットワークプロセッサ105が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。また、以下の構成は、暗号化通信の送信側と受信側で共通の構成であってよく、例えばセキュリティGW200が備えるネットワークプロセッサが同様の機能部を有していてもよい。   The network processor 105 of the eNB 100 includes functional units described below in order to perform encrypted communication of data. Note that each functional unit described below is divided and shown for convenience regarding the functions of the network processor 105, and is not limited to a mode in which each functional unit actually exists as an independent entity. It may be a function in a section or software. The following configuration may be a configuration common to the transmission side and the reception side of encrypted communication. For example, a network processor included in the security GW 200 may have the same function unit.

受信処理部111は、L2スイッチ101・PHY102経由でレシーバ103より送信用のパケットを受信を行う。また、パケットを所定のデータ長にフラグメント化する。   The reception processing unit 111 receives a transmission packet from the receiver 103 via the L2 switch 101 and the PHY 102. Further, the packet is fragmented to a predetermined data length.

鍵交換処理部112は、SPD情報及び対応するSA情報に基づいてセキュリティGW200との間でIKEプロトコルによる暗号鍵の交換を行い、SAの確立を行う。   Based on the SPD information and the corresponding SA information, the key exchange processing unit 112 exchanges an encryption key with the security GW 200 using the IKE protocol to establish the SA.

SPD検索処理部113は、入力されるパケット(フラグメントされたパケットも同様)に付される識別フラグやIPヘッダなどの情報に基づいて、暗号対象パケットを判断するセレクタ情報や暗号アルゴリズムを指定するSPD情報を検索して割り当てる。   The SPD search processing unit 113 specifies selector information for determining a packet to be encrypted and an encryption algorithm based on information such as an identification flag and an IP header attached to an input packet (same as a fragmented packet). Search and assign information.

SA検索処理部114は、入力されるパケットに付されるSPD識別子に基づいて、パケットに対して割り当てるSAを検索し、SA識別子を付加する。   The SA search processing unit 114 searches for the SA assigned to the packet based on the SPD identifier attached to the input packet, and adds the SA identifier.

暗号化位置抽出部115は、SAに規定される暗号化位置情報、パケットのデータ種別、又は予め設定される位置情報などに応じて、パケット内において暗号化する部分を決定し、該暗号化部分のオフセットやデータサイズなどの位置情報を取得する。   The encrypted position extracting unit 115 determines a part to be encrypted in the packet according to the encrypted position information defined in SA, the data type of the packet, or preset position information, and the encrypted part. Get position information such as offset and data size.

暗号化処理部116は、IPsec通信により送信するパケットの暗号化を行う機能部であって、SAに規定される暗号アルゴリズムを用いて、パケットの暗号化を行う。暗号処理部116は、暗号化位置抽出部115より通知される位置情報に指定される部分について選択的に暗号化を行う。   The encryption processing unit 116 is a functional unit that encrypts a packet to be transmitted by IPsec communication, and encrypts the packet by using an encryption algorithm defined in SA. The encryption processing unit 116 selectively encrypts the portion specified in the position information notified from the encrypted position extraction unit 115.

復号処理部117は、送信側より受信したパケットについて復号を行う機能部であって、SAに規定される暗号アルゴリズムを用いて、受信したパケットの復号化を行う。復号処理部117は、送信側、又は暗号化位置抽出部115より通知される位置情報に指定される部分について選択的に復号化を行う。   The decryption processing unit 117 is a functional unit that decrypts a packet received from the transmission side, and decrypts the received packet using an encryption algorithm defined in SA. The decryption processing unit 117 selectively performs decryption on the part specified in the position information notified from the transmission side or the encrypted position extraction unit 115.

送信処理部118は、暗号処理部116において暗号化されたパケットを、SAを介して受信側であるセキュリティGW200に対して送信する。   The transmission processing unit 118 transmits the packet encrypted by the encryption processing unit 116 to the security GW 200 on the receiving side via the SA.

図5を参照して、暗号処理部116によるパケットの暗号化の例について説明する。オリジナルのIPヘッダ、UDPヘッダ及びペイロードデータを有するパケットAを暗号化する際の暗号化部位について説明する。パケットAを暗号化する際は、ESPヘッダBとESPトレーラCとがパケットAに付加される。ESPトレーラCは、パディングデータ、パディング長及び次ヘッダなどのデータフィールドを含む。従来の暗号処理によれば、パケットAとESPトレーラCを含む範囲全体が暗号化の対象となる部分Dに指定され、暗号化が行われる。更に、暗号化されたパケットをSAを介して送信するための新しいIPヘッダEと、認証用のトレーラである認証データFが付加される。   An example of packet encryption by the encryption processing unit 116 will be described with reference to FIG. The encryption part when encrypting the packet A having the original IP header, UDP header, and payload data will be described. When the packet A is encrypted, the ESP header B and the ESP trailer C are added to the packet A. The ESP trailer C includes data fields such as padding data, padding length, and next header. According to the conventional encryption processing, the entire range including the packet A and the ESP trailer C is designated as the portion D to be encrypted, and encryption is performed. Furthermore, a new IP header E for transmitting the encrypted packet via the SA and authentication data F as an authentication trailer are added.

他方で、開示の通信システムにおける暗号化処理においては、パケットAを暗号化するに当たって、暗号化の対象となる部分Dの内、データ種別に応じて選択された部位Gが暗号化される。言い換えれば、暗号化の対象となる部分Dの内、データ種別に応じて選択された部位G以外の部位は暗号化されなくともよい。
(3)暗号化位置の通知処理
以下に、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理について第1から第3までの実施形態を説明する。 On the other hand, in the encryption process in the disclosed communication system, when the packet A is encrypted, the part G selected according to the data type is encrypted in the part D to be encrypted. In other words, the part other than the part G selected according to the data type in the part D to be encrypted may not be encrypted.
(3) Encrypted Location Notification Processing First to third embodiments of encrypted location notification processing in IPsec communication performed between the eNB 100 and the security GW 200 will be described below.

上述したように、eNB100よりセキュリティGW200に対して送信されるパケット内のペイロードデータには、暗号化部分と、非暗号化部分とが混在することとなる。然るにこれら暗号化部分と非暗号化部分とが混在するデータを復号化及びリアセンブルするためには、少なくとも元データ内における暗号化部分の位置を送信側と受信側とで共有することが求められる。例えば、暗号化通信の送信側及び受信側がネゴシエーションにより暗号化部分の位置決めを行うことで好適に暗号化部分の位置情報を共有することが出来る。また、部分的に暗号化を行った送信側が、受信側に対して暗号化部分の位置情報を通知することでも、暗号化部分の位置情報の共有が実現出来る。   As described above, in the payload data in the packet transmitted from the eNB 100 to the security GW 200, the encrypted part and the non-encrypted part are mixed. However, in order to decrypt and reassemble data in which these encrypted parts and non-encrypted parts are mixed, at least the position of the encrypted part in the original data must be shared between the transmitting side and the receiving side. . For example, the transmission side and the reception side of the encrypted communication can appropriately share the position information of the encrypted part by positioning the encrypted part by negotiation. In addition, sharing of the position information of the encrypted portion can also be realized by the transmission side that has partially encrypted notifying the reception side of the position information of the encrypted portion.

(3−1)第1実施形態
図6を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第1実施形態について説明する。図6は、IKE(Internet Key Exchange)を例としたeNB100とセキュリティGW200との間で行われるSA確立のための暗号鍵の交換処理シーケンスを示す図である。 (3-1) 1st Embodiment With reference to FIG. 6, 1st Embodiment of the notification process of the encryption position in IPsec communication performed between eNB100 and security GW200 is described. FIG. 6 is a diagram illustrating an encryption key exchange processing sequence for SA establishment performed between the eNB 100 and the security GW 200, taking IKE (Internet Key Exchange) as an example.

第1実施形態では、eNB100とセキュリティGW200との間にデータ通信用のSA(Child SA)が構築される。該SAの構築のために、eNB100とセキュリティGW200との間では、IKEプロトコルによる鍵交換のネゴシエーションを行うための、該ネゴシエーションを暗号化するSAであるIKE_SAの構築が行われる。   In the first embodiment, an SA for data communication (Child SA) is established between the eNB 100 and the security GW 200. In order to construct the SA, an IKE_SA, which is an SA that encrypts the negotiation, is established between the eNB 100 and the security GW 200 in order to negotiate key exchange using the IKE protocol.

具体的には、先ずIPsec通信の送信側であるeNB100は、受信側であるセキュリティGW200に対して、IKE_SAの情報と、暗号鍵を生成するためのパラメータとを交換するためのメッセージであるIKE_SA_INITリクエストを送信する。このメッセージ内には、確立するIKE_SAのパラメータ及び暗号鍵生成用のパラメータが含まれる。IKE_SA_INITリクエストを受信したセキュリティGW200は、同様にSAのパラメータ及び暗号鍵生成用のパラメータが含まれるメッセージであるIKE_SA_INITレスポンスをeNB100に送信する。   Specifically, first, the eNB 100 that is the transmission side of the IPsec communication sends an IKE_SA_INIT request that is a message for exchanging IKE_SA information and a parameter for generating an encryption key to the security GW 200 that is the reception side. Send. This message includes IKE_SA parameters to be established and encryption key generation parameters. Similarly, the security GW 200 that has received the IKE_SA_INIT request transmits to the eNB 100 an IKE_SA_INIT response that is a message including the SA parameters and the encryption key generation parameters.

続いて、eNB100は、セキュリティGW200に対して認証を要求するためのメッセージであるIKE_AUTH_リクエストに、SAを確立するためのパラメータを含めて送信する。セキュリティGW200は、認証に対する応答として、IKE_AUTH_レスポンスに、SAを確立するためのパラメータを含めて送信する。   Subsequently, the eNB 100 transmits an IKE_AUTH_ request, which is a message for requesting authentication to the security GW 200, including a parameter for establishing the SA. The security GW 200 transmits an IKE_AUTH_response including a parameter for establishing an SA as a response to the authentication.

このとき、SAを確立するためのパラメータには、暗号鍵生成用のパラメータと共に、パケットのうちの暗号化部分を特定する位置情報が含まれ、eNB100とセキュリティGW200との間で暗号化部分の位置決めが行われる。例えば、図4に示されるeNB100の鍵交換処理部112は、セキュリティGW200に対して、SAを確立するためのパラメータに、パケット内の制御データが含まれる領域などの暗号化部分を特定する位置情報を付加して通信することで暗号化部分の位置決めを行う。このように、eNB100の鍵交換処理部112は、第1実施形態における通知手段としての機能を有する。   At this time, the parameters for establishing the SA include the position information for specifying the encrypted part of the packet together with the parameter for generating the encryption key, and positioning of the encrypted part between the eNB 100 and the security GW 200. Is done. For example, the key exchange processing unit 112 of the eNB 100 illustrated in FIG. 4 specifies position information for specifying an encrypted part such as an area including control data in a packet as a parameter for establishing an SA with respect to the security GW 200. The encrypted part is positioned by adding and communicating. Thus, the key exchange processing unit 112 of the eNB 100 has a function as a notification unit in the first embodiment.

また、IKE_SAやChild SAのリキー時に行うCREATE_CHILD_SAについても上述したように、SAを確立するためのパラメータには、暗号鍵生成用のパラメータと共に、パケットのうちの暗号化部分を特定する位置情報が含まれる。かかる位置情報を用いることで、eNB100とセキュリティGW200との間で暗号化部分の位置決めが行われる。   In addition, as described above with respect to CREATE_CHILD_SA performed when IKE_SA or Child SA is rekeyed, the parameters for establishing the SA include the position information for specifying the encrypted portion of the packet together with the parameters for generating the encryption key. It is. By using such position information, the encrypted part is positioned between the eNB 100 and the security GW 200.

eNB100は、SAを確立するためのパラメータを用いて、セキュリティGW200との間にSAを確立する。SAの確立後、eNB100は、図5に示されるようにペイロードデータが部分的に暗号化されたパケットをセキュリティGW200に対して送信する。パケットを受信したセキュリティGW200は、位置決めにより決定された位置情報に基づいて該パケット内の暗号化部分の位置を特定し、復号化を行うことで元データの復元を行う。   The eNB 100 establishes an SA with the security GW 200 using parameters for establishing the SA. After establishing the SA, the eNB 100 transmits, to the security GW 200, a packet in which payload data is partially encrypted as shown in FIG. The security GW 200 that has received the packet specifies the position of the encrypted portion in the packet based on the position information determined by positioning, and restores the original data by performing decryption.

以上、説明したように第1実施形態における暗号化通信においては、IKE_SA確立後のネゴシエーション時に、暗号化部分の位置がeNB100とセキュリティGW200との間で共有される。位置情報には、例えば、ISAKMPメッセージ上に夫々の暗号化部分の開始位置及び開始位置からのデータサイズが記載され、SAの生成時にSA毎に暗号化位置情報が反映される。その位置情報に基づいて、eNB100及びセキュリティGW200は、パケット送信時の暗号化及び受信時の複合化を行なうための開始位置とデータサイズとを認識し、部分的な暗号化及び復号化処理を行なう。   As described above, in the encrypted communication according to the first embodiment, the position of the encrypted part is shared between the eNB 100 and the security GW 200 during the negotiation after the IKE_SA is established. In the position information, for example, the start position of each encrypted portion and the data size from the start position are described on the ISAKMP message, and the encrypted position information is reflected for each SA when the SA is generated. Based on the position information, the eNB 100 and the security GW 200 recognize the start position and data size for performing encryption at the time of packet transmission and decryption at the time of reception, and perform partial encryption and decryption processing. .

第1実施形態の暗号化通信によれば、暗号化通信により送受信されるパケットについて、選択された部分に対して選択的に暗号化が行われる。このため、パケットの全部分を暗号化する場合と比較して処理量を低減させることが出来、パケットスループットを高速化することが出来る。特に、複数のパケットを同時に通信するマルチタスク時には、データの待ち時間の短縮化にも繋がり、システム処理の大幅な高速化が実現出来る。   According to the encrypted communication of the first embodiment, the selected portion is selectively encrypted with respect to the packet transmitted / received by the encrypted communication. For this reason, the amount of processing can be reduced as compared with the case where all parts of the packet are encrypted, and the packet throughput can be increased. In particular, in multitasking in which a plurality of packets are communicated simultaneously, the data waiting time can be shortened, and the system processing can be significantly speeded up.

第1実施形態では、例えば、制御データについては暗号化を行い、ユーザデータについては非暗号化のまま通信を行っている。制御データとは、例えばUDPヘッダやGTPUヘッダなど、その他のデータを利用する上で重要なデータを示し、ユーザデータとは、圧縮データなど制御データを用いることで利用可能となるデータを示す趣旨である。このため、データの利用のために相対的に重要度の高い制御データについては、SAの認証及び暗号化によって高いセキュリティを確保することが出来るため、データの不正な利用から好適に保護することが可能となる。一方で、ユーザデータ部分についてもSAの認証による保護が行われるため、セキュリティを確保することが可能となる。尚、各SAにおいて用いられる暗号アルゴリズムは、IPsecにおいて通常用いられるものを適宜採用することが出来る。   In the first embodiment, for example, control data is encrypted and user data is communicated while being unencrypted. Control data refers to data that is important in using other data such as a UDP header and a GTPU header, and user data refers to data that can be used by using control data such as compressed data. is there. For this reason, control data that is relatively important for the use of data can be secured appropriately from unauthorized use of data because high security can be secured by authentication and encryption of SA. It becomes possible. On the other hand, since the user data portion is also protected by SA authentication, security can be ensured. In addition, the encryption algorithm normally used in IPsec can be suitably employ | adopted for the encryption algorithm used in each SA.

(3−2)第2実施形態
図7を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第2実施形態について説明する。図7は、eNB100とセキュリティGW200との間で行われる暗号化通信の態様と、該暗号化通信において送受信されるESPパケットの構成を示す図である。 (3-2) Second Embodiment With reference to FIG. 7, a second embodiment of the encryption position notification process in IPsec communication performed between the eNB 100 and the security GW 200 will be described. FIG. 7 is a diagram illustrating an aspect of encrypted communication performed between the eNB 100 and the security GW 200 and a configuration of an ESP packet transmitted and received in the encrypted communication.

第2実施形態では、eNB100とセキュリティGW200との間でSAを介して通信されるESPパケットのペイロード部分に暗号化部分が含まれ、且つ該暗号化部分を示す位置情報が該ESPパケット内に付加される。   In the second embodiment, an encrypted portion is included in the payload portion of the ESP packet communicated between the eNB 100 and the security GW 200 via the SA, and location information indicating the encrypted portion is added to the ESP packet. Is done.

図7(b)は、ESPパケットの構成を示す図である。図7(b)に示されるように、ESPパケットは、SPI(Security Parameters Index)、SN(Sequence Number)、ペイロードデータ、パディングデータ及び認証データ(Authentication Data)の夫々のデータフィールドを含む。   FIG. 7B is a diagram showing the configuration of the ESP packet. As shown in FIG. 7B, the ESP packet includes data fields of SPI (Security Parameters Index), SN (Sequence Number), payload data, padding data, and authentication data (Authentication Data).

SPIは、当該ESPパケットの通信に用いられるSAを示す情報が含まれるデータフィールドである。SNは、例えば、Window制御を行いパケットリプレイなどを防止するための各ESPパケットに対して個別に割り当てられる連続的な識別番号である。ペイロードデータは、制御データ及びユーザデータなどを含む可変長のデータフィールドである。パディングデータは、ペイロードデータを暗号アルゴリズムにより要求されるデータサイズに調節するための調整用のデータフィールドである。パディングデータの後には、夫々固定サイズのパディングデータのデータサイズを示すパディング長フィールドと、ペイロードデータに含まれるデータ種別を示す次ヘッダフィールドとが設けられる。認証データは、パケットの改竄の検出などに用いられるICV(Integrity Check Value)と呼ばれる情報などを含む。   The SPI is a data field that includes information indicating the SA used for communication of the ESP packet. The SN is, for example, a continuous identification number assigned individually to each ESP packet for performing window control and preventing packet replay and the like. The payload data is a variable-length data field including control data and user data. The padding data is an adjustment data field for adjusting the payload data to the data size required by the encryption algorithm. After the padding data, a padding length field indicating the data size of the fixed-size padding data and a next header field indicating the data type included in the payload data are provided. The authentication data includes information called ICV (Integrity Check Value) used for detecting packet tampering.

図7(b)に示されるように、第2実施形態での通信においてESPパケットのペイロードデータは部分的に暗号化される。例えば、図4に示されるeNB100の暗号処理部116は、暗号化位置抽出部115により抽出されるペイロードデータ中の暗号化部位の暗号化を行う。更にこのとき、例えば暗号処理部116は、ペイロードデータ内の暗号化部位の開始位置及びデータサイズなどを示す位置情報を、ESPパケットのパディングデータ内に付加して暗号化を行う。   As shown in FIG. 7B, the payload data of the ESP packet is partially encrypted in the communication in the second embodiment. For example, the encryption processing unit 116 of the eNB 100 illustrated in FIG. 4 performs encryption of the encrypted part in the payload data extracted by the encryption position extraction unit 115. Further, at this time, for example, the encryption processing unit 116 performs encryption by adding position information indicating the start position and data size of the encrypted portion in the payload data to the padding data of the ESP packet.

セキュリティGW200は、eNB100より送信されたESPパケットを受信した後、パディングデータに付加される位置情報を読み取ることで暗号化部位を検出する。このように、eNB100の暗号処理部116は、第2実施形態における通知手段としての機能を有する。   After receiving the ESP packet transmitted from the eNB 100, the security GW 200 detects the encrypted part by reading the position information added to the padding data. As described above, the encryption processing unit 116 of the eNB 100 has a function as a notification unit in the second embodiment.

以上、説明した第2実施形態の暗号化通信によれば、第1実施形態と同様に、通信用のデータの部分的な暗号化によって、暗号化のための処理量を低減させることが出来、パケットスループットを高速化することが実現出来る。   As described above, according to the encrypted communication of the second embodiment described above, similarly to the first embodiment, the amount of processing for encryption can be reduced by partial encryption of communication data. It is possible to increase the packet throughput.

第2実施形態の暗号化通信によれば、ESPパケット毎に暗号化部位を指定することが可能となるため、より高いセキュリティを確保することが可能となるとの利点もある。尚、第2実施形態のESPパケットにおいて、ペイロードデータ内の暗号化部位の位置情報をパディングデータ以外の他の部分に格納する構成であってもよく、かかる構成においても上述の構成と同様の効果を得ることが出来る。尚、パディングデータについては、SAによる認証が行われるため、暗号化位置情報の不正な取得に対して保護が可能となる。   According to the encrypted communication of the second embodiment, since it is possible to specify an encrypted part for each ESP packet, there is an advantage that higher security can be ensured. In the ESP packet of the second embodiment, the configuration may be such that the location information of the encrypted part in the payload data is stored in a portion other than the padding data, and this configuration also has the same effect as the above configuration. Can be obtained. Since padding data is authenticated by SA, it is possible to protect against unauthorized acquisition of encrypted position information.

(3−3)第3実施形態
図8を参照して、eNB100とセキュリティGW200との間で行われるIPsec通信における暗号化位置の通知処理の第3実施形態について説明する。図8は、eNB100とセキュリティGW200との間で行われる暗号化通信の態様と、該暗号化通信において送受信されるESPパケットの構成を示す図である。 (3-3) Third Embodiment A third embodiment of encryption position notification processing in IPsec communication performed between the eNB 100 and the security GW 200 will be described with reference to FIG. FIG. 8 is a diagram illustrating an aspect of encrypted communication performed between the eNB 100 and the security GW 200 and a configuration of an ESP packet transmitted and received in the encrypted communication.

第3実施形態では、eNB100とセキュリティGW200との間でSAを介した暗号化通信を行う以前に、両者の間でESPパケット内の暗号化部分の位置情報をネゴシエーションにより決定し、共有している。暗号化通信時には、送信側は、該位置情報に基づく、例えばESPパケットの特定部位を暗号化して送信し、受信側は、該位置情報に基づくデータ部位を復号化して元データを取得する。   In the third embodiment, before performing encrypted communication via the SA between the eNB 100 and the security GW 200, the position information of the encrypted part in the ESP packet is determined and shared between the two. . At the time of encrypted communication, the transmitting side encrypts and transmits, for example, a specific part of the ESP packet based on the position information, and the receiving side decrypts the data part based on the position information and acquires original data.

以上、説明した第3実施形態の暗号化通信によれば、第1実施形態と同様に、通信用のデータの部分的な暗号化によって、暗号化のための処理量を低減させることが出来、パケットスループットを高速化することが実現出来る。   As described above, according to the encrypted communication of the third embodiment described above, as in the first embodiment, the amount of processing for encryption can be reduced by partial encryption of communication data. It is possible to increase the packet throughput.

尚、第3実施形態では、暗号化通信を行うeNB100及びセキュリティGW200が暗号化部分を例えばメモリ内に格納しているため、暗号化通信時に改めて暗号化部分の通知を行わなくともよい。このため、第1実施形態で説明した暗号鍵交換用のIKEプロトコルによるSAの確立後のネゴシエーションにおける位置情報の交換や、第2実施形態で説明したパディングデータに位置情報を含めるなどの追加の処理を行わなくとも、例えば従来型の暗号化通信と同様のインタフェースにより第3実施形態に係る暗号化通信を実現可能となる。   In the third embodiment, since the eNB 100 and the security GW 200 that perform encrypted communication store the encrypted part in, for example, a memory, it is not necessary to notify the encrypted part again during the encrypted communication. For this reason, additional processing such as exchanging position information in negotiation after establishment of SA by the IKE protocol for encryption key exchange described in the first embodiment and including position information in the padding data described in the second embodiment For example, the encrypted communication according to the third embodiment can be realized by the same interface as that of the conventional encrypted communication.

尚、以上説明した例においては、eNB100からセキュリティGW200に対するデータ送信のための構成及び処理について説明しているが、セキュリティGW200からeNB100に対するデータの送信についても同様の構成及び処理を適用してもよい。また、図2に示されるように、eNB100と他のeNBとの間でのデータの送受信においても、上述の構成及び処理が適用されてよい。   In the example described above, the configuration and processing for data transmission from the eNB 100 to the security GW 200 are described. However, the same configuration and processing may be applied to data transmission from the security GW 200 to the eNB 100. . In addition, as illustrated in FIG. 2, the above-described configuration and processing may be applied also in data transmission / reception between the eNB 100 and another eNB.

(4)変形例
暗号化通信処理を実施するための通信システムの変形例及び該変形例による動作の例について、以下に説明する。 (4) Modified Example A modified example of the communication system for performing the encrypted communication process and an example of the operation according to the modified example will be described below.

(4−1)装置構成例
IPsecプロトコルを用いたeNB150によるデータの送信を行うネットワークプロセッサ105、セキュリティGW250及びサービングGW350の各構成内部の機能部について図9を参照して説明する。尚、eNB150のハードウェア構成は、上述したeNB100のハードウェアの構成と同様であってよく、各部について同一の番号を用いて説明することがある。尚、セキュリティGW250の構成も上述したセキュリティGW200と同様のものであってよい。 (4-1) Device Configuration Example Functional units inside each configuration of the network processor 105, the security GW 250, and the serving GW 350 that transmit data by the eNB 150 using the IPsec protocol will be described with reference to FIG. Note that the hardware configuration of the eNB 150 may be the same as the hardware configuration of the eNB 100 described above, and each unit may be described using the same number. The configuration of the security GW 250 may be the same as that of the security GW 200 described above.

eNB150のネットワークプロセッサ105は、データの暗号化通信を行うために以下に説明する各機能部を有して構成される。尚、以下に説明する各機能部は、ネットワークプロセッサ105が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。   The network processor 105 of the eNB 150 includes each functional unit described below in order to perform encrypted data communication. Note that each functional unit described below is divided and shown for convenience regarding the functions of the network processor 105, and is not limited to a mode in which each functional unit actually exists as an independent entity. It may be a function in a section or software.

受信処理部151は、レシーバ103からの送信データを受信して、パケット毎に解析処理部152に入力するネットワークプロセッサ105内のインタフェースである。   The reception processing unit 151 is an interface in the network processor 105 that receives transmission data from the receiver 103 and inputs the transmission data to the analysis processing unit 152 for each packet.

解析処理部152は、受信処理部151より入力されるパケットに含まれる各データフィールドの解析を行い、夫々のデータフィールドについて、例えばUDPヘッダやGTPUヘッダなどデータを利用する上で相対的に重要度の高い制御データと、その他相対的に重要度の低いユーザデータとの判別を行う。解析処理部152は、パケット内の各データフィールドについて、判別結果に基づきデータの種別を表す識別フラグと、各データの開始位置情報を付加して、フラグメント処理部153に入力する。   The analysis processing unit 152 analyzes each data field included in the packet input from the reception processing unit 151, and uses the data such as a UDP header and a GTPU header for each data field, for example, relatively important. Discriminating between high control data and other relatively less important user data. For each data field in the packet, the analysis processing unit 152 adds an identification flag indicating the type of data based on the determination result and start position information of each data, and inputs the data to the fragment processing unit 153.

フラグメント処理部153は、入力されるパケットを予め指定されたサイズのフラグメントに分割し、各フラグメントに対してIPヘッダを付加して、データ判定部154に入力する。   The fragment processing unit 153 divides an input packet into fragments having a predetermined size, adds an IP header to each fragment, and inputs the fragment to the data determination unit 154.

データ判定部154は、入力される各フラグメントのデータについて、各データが相対的に重要度の低いユーザデータであるか、該ユーザデータを利用するための相対的に重要度の高い制御データであるかの判定を行う。データ判定部154は、フラグメントに対して判定結果に応じた識別用のフラグを付して、SPD検索処理部155に入力する。   The data determination unit 154 is, for each piece of input fragment data, each piece of user data having relatively low importance or control data having relatively high importance for using the user data. Judgment is made. The data determination unit 154 adds an identification flag corresponding to the determination result to the fragment and inputs the fragment to the SPD search processing unit 155.

SPD検索処理部155は、入力されるフラグメントに付される識別フラグやIPヘッダなどの情報に基づいて、暗号対象パケットを判断するセレクタ情報や暗号アルゴリズムを指定するSPD情報を検索して割り当てる。例えば、SPD検索処理部155は、ネットワークプロセッサメモリ106内に格納されるSPDデータベースなどを参照することで、上述した検索を行う。また、SPD検索処理部155は、検索結果に係るSPD情報を示すSPD識別子をSA検索処理部156及び鍵交換処理部157に通知する。   The SPD search processing unit 155 searches for and assigns selector information for determining a packet to be encrypted and SPD information for specifying an encryption algorithm based on information such as an identification flag and an IP header attached to an input fragment. For example, the SPD search processing unit 155 performs the above-described search by referring to an SPD database or the like stored in the network processor memory 106. Further, the SPD search processing unit 155 notifies the SA search processing unit 156 and the key exchange processing unit 157 of the SPD identifier indicating the SPD information related to the search result.

SA検索処理部156は、入力されるフラグメントに付されるSPD識別子に基づいて、各フラグメントに対して割り当てるSAを検索し、SA識別子を付加する。例えば、SA検索処理部156は、ネットワークプロセッサメモリ106内に格納されるSAデータベースなどを参照することで、上述した検索を行う。各SAは、夫々特定の暗号アルゴリズム、該暗号アルゴリズムを用いてセキュリティGW250との間で暗号化通信を行うための暗号鍵、及びSPIパラメータが指定されている。   The SA search processing unit 156 searches for the SA assigned to each fragment based on the SPD identifier attached to the input fragment, and adds the SA identifier. For example, the SA search processing unit 156 performs the above-described search by referring to an SA database or the like stored in the network processor memory 106. Each SA is designated with a specific encryption algorithm, an encryption key for performing encrypted communication with the security GW 250 using the encryption algorithm, and an SPI parameter.

SPD検索処理部155及びSA検索処理部156の具体的な構成について、図10を参照して説明する。図10(a)は、SPD検索処理部155及びSA検索処理部156における検索動作を行う機能部についてのイメージ図である。図10(a)では、SPD検索処理部155及びSA検索処理部156は共同の機能的な構成を有し、SPD情報が格納されるSPDデータベース162、SA情報が格納されるSAデータベース163及びセレクタ161を備えて構成される。   Specific configurations of the SPD search processing unit 155 and the SA search processing unit 156 will be described with reference to FIG. FIG. 10A is an image diagram of functional units that perform a search operation in the SPD search processing unit 155 and the SA search processing unit 156. In FIG. 10A, the SPD search processing unit 155 and the SA search processing unit 156 have a joint functional configuration, and an SPD database 162 in which SPD information is stored, an SA database 163 in which SA information is stored, and a selector. 161.

例えば、図9及び図10に示される例では、相対的に暗号強度の高いAESやKASUMIなどの通常暗号アルゴリズムを指定するSAであるSA1と、相対的に暗号強度の低いNULL暗号アルゴリズムを指定するSAであるSA2とが利用可能である。このため、図10(b)に示されるSPDデータベース162には、SA1を指定するSPD1と、SA2を指定するSPD2との二つのSPD情報が格納されている。SPDデータベース162には、各SPDについて、使用する暗号アルゴリズムや、IP、プロトコル、ポートなどのセレクタ情報や、指定するSAのIPヘッダパラメータなどの情報や、該SAを適用するデータ種別を識別するフラグや、SPD識別子などの情報が格納される。セレクタは、適切なSPD情報をSPDデータベースから検索して、各フラグメントに対して付す。   For example, in the examples shown in FIG. 9 and FIG. 10, SA1, which is a SA that specifies a normal encryption algorithm such as AES or KASUMI, which has a relatively high encryption strength, and a NULL encryption algorithm that has a relatively low encryption strength are specified. SA2 which is SA can be used. For this reason, the SPD database 162 shown in FIG. 10B stores two pieces of SPD information, that is, SPD1 that specifies SA1 and SPD2 that specifies SA2. In the SPD database 162, for each SPD, flags such as encryption algorithm to be used, selector information such as IP, protocol, and port, information such as the IP header parameter of the designated SA, and a data type to which the SA is applied And information such as an SPD identifier is stored. The selector searches the SPD database for appropriate SPD information and attaches it to each fragment.

セレクタは、各フラグメントに付されたSPD情報に対応するSA情報をSAデータベース163から検索する。図10(c)に示されるSAデータベース163には、各SAについて、SPI(Security Policy Index)と呼ばれるSAの識別子や、当該SAが使用する暗号アルゴリズムや、暗号種別や、対応するSPD識別子、及び当該SAによる暗号化が適用されるパケット内のデータ又はフラグメントを特定する位置情報などの情報が格納される。SA検索処理部156は、SA1及びSA2の確立時に、SAデータベース163の構成内容に、該SAによる暗号化が適用されるパケット内のデータ位置情報、又はフラグメントの情報を設定する。   The selector searches the SA database 163 for SA information corresponding to the SPD information attached to each fragment. In the SA database 163 shown in FIG. 10C, for each SA, an SA identifier called SPI (Security Policy Index), an encryption algorithm used by the SA, an encryption type, a corresponding SPD identifier, and Information such as position information specifying data or fragments in a packet to which encryption by the SA is applied is stored. When SA1 and SA2 are established, the SA search processing unit 156 sets data position information or fragment information in a packet to which encryption by the SA is applied, in the configuration contents of the SA database 163.

図9に戻り、説明を続ける。フラグメントは、SPD検索処理部155及びSA検索処理部156の動作により割り当てられたSAに応じて、通常暗号処理部158と、NULL暗号処理部159とに入力される。通常暗号処理部158及びNULL暗号処理部159は、夫々入力されるフラグメントに対して、指定された暗号アルゴリズムで暗号化を行う。   Returning to FIG. 9, the description will be continued. The fragment is input to the normal encryption processing unit 158 and the NULL encryption processing unit 159 according to the SA assigned by the operations of the SPD search processing unit 155 and the SA search processing unit 156. The normal encryption processing unit 158 and the NULL encryption processing unit 159 encrypt each input fragment using a specified encryption algorithm.

鍵交換処理部157は、SPD情報及び対応するSA情報に基づいてセキュリティGW250との間でIKEプロトコルによる暗号鍵の交換を行い、SAの確立を行う。鍵交換処理部157は、SPD識別子に応じて、複数のSAについて夫々異なる暗号アルゴリズムの暗号鍵についてセキュリティGW250との間で鍵交換を行うことで、SA1及びSA2の2つのSAを確立する。   The key exchange processing unit 157 exchanges an encryption key using the IKE protocol with the security GW 250 based on the SPD information and the corresponding SA information, and establishes the SA. The key exchange processing unit 157 establishes two SAs SA1 and SA2 by exchanging keys with the security GW 250 for encryption keys having different encryption algorithms for a plurality of SAs according to the SPD identifier.

通常暗号処理部158は、eNB150のネットワークプロセッサ105に複数備えられる暗号処理部の一つであり、相対的に暗号強度の高いAESやKASUMIなどの暗号アルゴリズムを用いるSAをセキュリティGW250との間で確立し、データの暗号化通信を行う。NULL暗号処理部159は、相対的に暗号強度の低いNULL暗号アルゴリズムを用いるSAをセキュリティGW250との間で確立し、データの暗号化通信を行う。尚、図9の例では、SA1に対応する通常暗号処理部158及びSA2に対応するNULL暗号処理部159の二つの暗号処理部が備えられているが、用いられるSAに応じてより多くの暗号処理部を備えていてもよい。   The normal cryptographic processing unit 158 is one of a plurality of cryptographic processing units provided in the network processor 105 of the eNB 150, and establishes SA using the cryptographic algorithm such as AES or KASUMI having relatively high cryptographic strength with the security GW 250. And perform encrypted communication of data. The NULL encryption processing unit 159 establishes an SA using the NULL encryption algorithm having a relatively low encryption strength with the security GW 250, and performs encrypted communication of data. In the example of FIG. 9, two cipher processing units, a normal cipher processing unit 158 corresponding to SA1 and a NULL cipher processing unit 159 corresponding to SA2, are provided, but more ciphers are used depending on the SA used. A processing unit may be provided.

セキュリティGW250は、データの暗号化通信を行うために以下に説明する各機能部を有して構成される。尚、以下に説明する各機能部は、セキュリティGW250が有する機能について便宜上分割して示すものであって、実際に各機能部が独立した実体として存在する態様に限られず、ハードウェア構成の一部又はソフトウェアにおける一機能であってもよい。   The security GW 250 is configured to include each functional unit described below in order to perform encrypted communication of data. Note that each functional unit described below is shown separately for the convenience of the functions of the security GW 250, and is not limited to a mode in which each functional unit actually exists as an independent entity. Alternatively, it may be a function in software.

鍵交換処理部251は、eNB150の鍵交換処理部157との間でIKEプロトコルによる暗号鍵の交換を行う。SA検索処理部252は、eNB150の通常暗号処理部158やNULL暗号処理部159などの暗号処理部との間でSAを確立して暗号化通信によるデータの送受信を行う。SA検索処理部252は、受信したデータのうち、eNB150の通常暗号処理部158において暗号化された制御データのフラグメントは、通常復号処理部253に入力し、eNB150のNULL暗号処理部159において暗号化されたユーザデータのフラグメントは、NULL復号処理部254に入力する。   The key exchange processing unit 251 exchanges encryption keys with the key exchange processing unit 157 of the eNB 150 using the IKE protocol. The SA search processing unit 252 establishes an SA with an encryption processing unit such as the normal encryption processing unit 158 or the NULL encryption processing unit 159 of the eNB 150 and transmits / receives data by encrypted communication. Among the received data, the SA search processing unit 252 inputs the control data fragment encrypted by the normal encryption processing unit 158 of the eNB 150 to the normal decryption processing unit 253 and encrypts it in the NULL encryption processing unit 159 of the eNB 150. The obtained user data fragment is input to the NULL decoding processing unit 254.

通常復号処理部253は、暗号化された制御データのフラグメントの入力を受けて、該フラグメントを復号化して、SPD検索処理部255に入力する。NULL復号処理部254は、暗号化されたユーザデータのフラグメントの入力を受けて、該フラグメントを復号化して、SPD検索処理部255に入力する。   The normal decryption processing unit 253 receives the input of the encrypted control data fragment, decrypts the fragment, and inputs the decrypted fragment to the SPD search processing unit 255. The NULL decryption processing unit 254 receives an input of the encrypted user data fragment, decrypts the fragment, and inputs the decrypted fragment to the SPD search processing unit 255.

SPD検索処理部255は、入力されるデータのフラグメントに付されるヘッダを参照して、各フラグメントがSPDに記述される規定を満たしているかの判定を行う。判定の後、SPD検索処理部255は、SPDに記述される規定を満たす適切なフラグメントについて、送信処理部256に送信する。   The SPD search processing unit 255 refers to the header attached to the fragment of the input data, and determines whether each fragment satisfies the rules described in the SPD. After the determination, the SPD search processing unit 255 transmits to the transmission processing unit 256 an appropriate fragment that satisfies the rules described in the SPD.

送信処理部256は、セキュリティGW250のコアネットワーク上の上位ノードであるサービングGW350又はMMEとの間でデータの送受信を行うためのインタフェースである。送信処理部256は、eNB150から送信された後に復号化されたデータのフラグメントをサービングGW350又はMMEに送信する。尚、図9には、上位ノードとしてサービングGW350を有するコアネットワークの例が記載されており、セキュリティGW250の送信制御部は、サービングGW350に対してデータのフラグメントを送信する。   The transmission processing unit 256 is an interface for transmitting and receiving data to and from the serving GW 350 or MME, which is an upper node on the core network of the security GW 250. The transmission processing unit 256 transmits a fragment of data that has been transmitted after being transmitted from the eNB 150 to the serving GW 350 or the MME. 9 illustrates an example of a core network having the serving GW 350 as an upper node, and the transmission control unit of the security GW 250 transmits data fragments to the serving GW 350.

サービングGW350における、セキュリティGW250から送信されるデータの受信及びリアセンブルを行う機能部について図9に図示されている。   FIG. 9 shows functional units that receive and reassemble data transmitted from the security GW 250 in the serving GW 350.

受信処理部351は、セキュリティGW250との間でデータの送受信を行うためのインタフェースであり、セキュリティGW250より送信されるデータのフラグメントを受信してリアセンブル処理部352に入力する。リアセンブル処理部352は、入力されるデータのフラグメントを結合して元のデータを復元する。   The reception processing unit 351 is an interface for transmitting / receiving data to / from the security GW 250, receives a data fragment transmitted from the security GW 250, and inputs the data fragment to the reassembly processing unit 352. The reassembling processing unit 352 restores original data by combining fragments of input data.

また、サービングGW350は、コアネットワーク上の上位のプロトコルに対してデータの送受信を行う不図示のインタフェースなどを有し、リアセンブル後のデータを上位プロトコルに送信する。   In addition, the serving GW 350 has an interface (not shown) that transmits / receives data to / from an upper protocol on the core network, and transmits the reassembled data to the upper protocol.

(4−2)動作例
通信システム1において行われるIPsec通信における暗号化通信処理の基本的な動作例について図11から図13を参照して説明する。図11は、暗号化通信処理における各装置でのシーケンスを示す図であり、図12は、暗号化通信処理の基本的な動作の流れを示すフローチャートであり、図13は、暗号化通信処理により送信されるデータのイメージを示す図である。 (4-2) Operation Example A basic operation example of encrypted communication processing in IPsec communication performed in the communication system 1 will be described with reference to FIGS. FIG. 11 is a diagram showing a sequence in each device in the encrypted communication process, FIG. 12 is a flowchart showing a basic operation flow of the encrypted communication process, and FIG. It is a figure which shows the image of the data transmitted.

図11のシーケンス図に示されるように、通信システム1においては、暗号化通信を行うeNB150とセキュリティGW250との間に形成されるSAを介して、ユーザの移動端末からのデータが、GTPU終端よりeNB150に送信される。移動端末からのデータは、eNB150により暗号化されてセキュリティGW250に送信される。セキュリティGW250は、受信した暗号化データを復号化し、コアネットワーク上の上位ノードであるサービングGW350に対して送信する。サービングGW350は、受信したデータをリアセンブル処理して、GTPU終端に送信する。以下に、具体的な処理の流れについて説明する。   As shown in the sequence diagram of FIG. 11, in the communication system 1, data from the user's mobile terminal is transmitted from the end of the GTPU via the SA formed between the eNB 150 that performs encrypted communication and the security GW 250. transmitted to the eNB 150. Data from the mobile terminal is encrypted by the eNB 150 and transmitted to the security GW 250. The security GW 250 decrypts the received encrypted data and transmits it to the serving GW 350, which is an upper node on the core network. The serving GW 350 reassembles the received data and transmits it to the GTPU end. Hereinafter, a specific processing flow will be described.

暗号化通信処理の開始時にeNB150とセキュリティGW250とは、SAの暗号鍵の交換の交渉を行い、暗号鍵に基づいてSAの設定を行う。具体例としては、eNB150は、セキュリティGW250に対して、AES暗号アルゴリズム等を用いるSA1を設定するための暗号鍵の交換要求を送信する。該交換要求に対して、セキュリティGW250が認証を行った後、規定を満たす適切な要求であれば、セキュリティGW250はeNB150に対してSA1の暗号鍵交換要求に対する応答を送信する(図12:ステップS101)。以上の動作により、相対的に暗号強度の高いSA1が確立される(図12:ステップS102)。   At the start of the encrypted communication process, the eNB 150 and the security GW 250 negotiate the exchange of the SA encryption key, and set the SA based on the encryption key. As a specific example, the eNB 150 transmits to the security GW 250 an encryption key exchange request for setting SA1 using an AES encryption algorithm or the like. In response to the exchange request, if the security GW 250 authenticates after the authentication, the security GW 250 transmits a response to the SA1 encryption key exchange request to the eNB 150 (FIG. 12: Step S101). ). With the above operation, SA1 having relatively high encryption strength is established (FIG. 12: Step S102).

SA1の設定と同時に、又は相前後して、eNB150は、セキュリティGW250に対して、NULL暗号アルゴリズムを用いるSA2を設定するための暗号鍵の交換要求を送信する。該交換要求に対して、セキュリティGW250が認証を行った後、規定を満たす適切な要求であれば、セキュリティGW250はeNB150に対してSA2の暗号鍵交換要求に対する応答を送信する(図12:ステップS103)。以上の動作により、相対的に暗号強度の低いSA2が確立される(図12:ステップS104)。   At the same time as or after the setting of SA1, the eNB 150 transmits, to the security GW 250, an encryption key exchange request for setting the SA2 using the NULL encryption algorithm. If the security GW 250 authenticates the exchange request after the authentication, the security GW 250 transmits a response to the SA2 encryption key exchange request to the eNB 150 (FIG. 12: Step S103). ). With the above operation, SA2 having relatively low encryption strength is established (FIG. 12: Step S104).

続いて、eNB150は、ユーザの移動端末などから送信されるデータをGTPU終端を介して受信し、受信したデータのパケットのプロトコルの判別を行う(図12:ステップS105)。図13に示されるように、eNB150がGTPU終端より受信するIPパケットは、IPヘッダと、UDPヘッダと、GTPUヘッダと、GTPUデータ1乃至6とのデータフィールドを含んで構成される。eNB150は、受信したデータの内、GTPUパケットについてはGTPUプロトコルフォーマットに基づいてデータフィールドを解析し、各データフィールドについて制御データやユーザデータなどのデータ種別の識別を行う(図12:ステップS106)。該解析により、eNB150は、各データフィールドのデータ種別、開始位置を示すオフセット及びデータサイズを取得する。他方で、eNB150は、GTPU以外のプロトコルの受信パケットについては、MTU(Maximum Transmission Unit)に基づいて、各データフィールドのオフセットやデータサイズの配列を取得する(図12:ステップS107)。   Subsequently, the eNB 150 receives data transmitted from the user's mobile terminal or the like via the GTPU termination, and determines the protocol of the packet of the received data (FIG. 12: step S105). As illustrated in FIG. 13, the IP packet received by the eNB 150 from the GTPU end is configured to include data fields of an IP header, a UDP header, a GTPU header, and GTPU data 1 to 6. The eNB 150 analyzes the data field based on the GTPU protocol format for the GTPU packet in the received data, and identifies the data type such as control data and user data for each data field (FIG. 12: step S106). Through the analysis, the eNB 150 acquires the data type, the offset indicating the start position, and the data size of each data field. On the other hand, the eNB 150 obtains an offset of each data field and an array of data sizes based on an MTU (Maximum Transmission Unit) for a received packet of a protocol other than GTPU (FIG. 12: step S107).

具体的には、eNB150は、受信したIPパケットの各データフィールドに対して解析を行った結果、相対的に重要度の高い制御データであると判定されるUDPヘッダと、GTPUヘッダと、GTPUデータ1及び6とに対して制御データであることを示すフラグを付加する。一方で、相対的に重要度の低いユーザデータであると判定されるGTPUデータ2乃至5に対してユーザデータであることを示すフラグを付加する。   Specifically, as a result of analyzing each data field of the received IP packet, the eNB 150 determines that the control data is relatively highly important control data, a GTPU header, and GTPU data. A flag indicating control data is added to 1 and 6. On the other hand, a flag indicating user data is added to GTPU data 2 to 5 that are determined to be user data with relatively low importance.

eNB150は、パケットの解析後に、解析結果に基づき、該パケットをデータフィールド毎にフラグメント化するフラグメント処理を行う(図12:ステップS108)。フラグメント処理により断片化された各データフィールドについて、eNB150は、図13に示されるように、UDPヘッダ、GTPUヘッダ及びGTPUデータ1を一のフラグメントとしてIPヘッダを付加すると共に、GTPUデータ6を一のフラグメントとしてIPヘッダを付加する。また、GTPUデータ2乃至5を一のフラグメントとしてIPヘッダを付加する。   After analyzing the packet, the eNB 150 performs fragment processing for fragmenting the packet for each data field based on the analysis result (FIG. 12: step S108). For each data field fragmented by fragment processing, as shown in FIG. 13, the eNB 150 adds an IP header with the UDP header, GTPU header, and GTPU data 1 as one fragment and also sets GTPU data 6 as one fragment. An IP header is added as a fragment. Further, an IP header is added with GTPU data 2 to 5 as one fragment.

続いて、eNB150は、各フラグメントについて、データ種別を示すフラグをキーとしてSPDの検索を行い、条件に応じたSPDを割り当てる(図12:ステップS109)。eNB150は、先ず一のフラグメントについて、データ種別を示すフラグを確認し、該フラグが識別データを示している場合、該フラグメントに対してSPD1を割り当てる(図12:ステップS110)。他方で、該フラグメントのフラグがユーザデータを示す場合、SPD2を割り当てる(図12:ステップS111)。   Subsequently, the eNB 150 searches the SPD for each fragment using a flag indicating the data type as a key, and assigns an SPD corresponding to the condition (FIG. 12: step S109). The eNB 150 first confirms a flag indicating the data type for one fragment, and if the flag indicates identification data, assigns SPD 1 to the fragment (FIG. 12: step S110). On the other hand, when the flag of the fragment indicates user data, SPD2 is assigned (FIG. 12: step S111).

続いて、eNB150は、各フラグメントについて、割り当てられたSPDに対応するSAを検索する(図12:ステップS112)。eNB150は、先ず一のフラグメントについて、割り当てられたSPD識別子を確認し(図12:ステップS113)、該SPD識別子がSPD1である場合、SA1を割り当てる(図12:ステップS114)。SA1は、AES暗号アルゴリズムを用いるSAであるため、eNB150は、該フラグメントについてAES暗号処理を行う。   Subsequently, the eNB 150 searches the SA corresponding to the assigned SPD for each fragment (FIG. 12: step S112). The eNB 150 first confirms the assigned SPD identifier for one fragment (FIG. 12: step S113), and if the SPD identifier is SPD1, assigns SA1 (FIG. 12: step S114). Since SA1 is an SA that uses the AES encryption algorithm, the eNB 150 performs AES encryption processing on the fragment.

他方で、該フラグメントのSPD識別子がSPD2である場合、SA2を割り当てる(図12:ステップS115)。SA2は、NULL暗号アルゴリズムを用いるSAであるため、eNB150は、該フラグメントについて実質的には暗号化を行わないNULL暗号処理を行う。   On the other hand, when the SPD identifier of the fragment is SPD2, SA2 is assigned (FIG. 12: step S115). Since SA2 is an SA that uses a NULL encryption algorithm, the eNB 150 performs a NULL encryption process that substantially does not encrypt the fragment.

暗号処理の後、eNB150は、暗号化されたフラグメントをセキュリティGW250に対して送信する(図12:ステップS116)。具体的には、UDPヘッダ、GTPUヘッダ及びGTPUデータ1から成るフラグメントと、GTPUデータ6から成るフラグメントとに対してASE暗号処理を行い、SA1を介してセキュリティGW250に送信する。また、GTPUデータ2乃至5から成るフラグメントに対してNULL暗号処理を行い、SA2を介してセキュリティGW250に送信する。   After the encryption process, the eNB 150 transmits the encrypted fragment to the security GW 250 (FIG. 12: step S116). Specifically, the ASE encryption process is performed on the fragment composed of the UDP header, the GTPU header, and the GTPU data 1 and the fragment composed of the GTPU data 6, and is transmitted to the security GW 250 via SA1. Also, a NULL encryption process is performed on the fragment consisting of GTPU data 2 to 5, and the fragment is transmitted to the security GW 250 via SA2.

eNB150は、受信したパケット内から生成される全フラグメントに対して、SPD検索及びSA検索による暗号送信(図12:ステップS109乃至ステップS116)の一連の処理を繰り返し実施し、パケット内の全フラグメントについて送信を終えた後に、次のパケットに対して、データの解析及び一連の暗号送信処理(図12:ステップS105乃至ステップS116)を繰り返し実施する。   The eNB 150 repeatedly performs a series of processes of encryption transmission by SPD search and SA search (FIG. 12: step S109 to step S116) for all fragments generated from the received packet, and for all fragments in the packet After the transmission is completed, data analysis and a series of encryption transmission processes (FIG. 12: Steps S105 to S116) are repeatedly performed on the next packet.

図11に示されるように、データを受信したセキュリティGW250は、暗号化されたフラグメントを復号化してサービングGW350に対して送信する。サービングGW350は、受信したフラグメントをリアセンブルし、元のデータを復元する。復元されたデータは、サービングGW350によりコアネットワーク内の上位プロトコルにおけるGTPU終端に送信され、データの通信が行われる。   As shown in FIG. 11, the security GW 250 that has received the data decrypts the encrypted fragment and transmits it to the serving GW 350. The serving GW 350 reassembles the received fragment and restores the original data. The restored data is transmitted by the serving GW 350 to the GTPU end in the upper protocol in the core network, and data communication is performed.

以上、説明した変形例の構成及び動作によれば、eNB150からセキュリティGW250に送信されるパケットの内、制御データとユーザデータとを別々のフラグメントに切り出し、夫々異なるSAを用いる暗号化通信を適用することが出来る。例えば、制御データを通信するためのSAについて、相対的に暗号強度の高い暗号アルゴリズムを適用することで、重要な制御データについて高いセキュリティを確保することが可能となる。他方で、ユーザデータ通信用のSAについて、相対的に暗号強度が低く、暗号処理のための処理量が少ない暗号アルゴリズムを適用することで、暗号化のための処理量を軽減することが出来る。尚、ユーザデータの暗号化において、実質的な暗号化を行わないNULL暗号アルゴリズムを適用する場合、暗号処理のための処理量を大きく低減出来る。この場合でも、ユーザデータについてはSAによる認証アルゴリズムによる保護が適用されるため、仮にユーザデータが不正に取得される場合であっても、復号化を行なわずにデータを利用することや改竄することからデータを保護することが出来る。   As described above, according to the configuration and operation of the modified example described above, control data and user data are cut out into separate fragments from packets transmitted from the eNB 150 to the security GW 250, and encrypted communication using different SAs is applied. I can do it. For example, by applying a cryptographic algorithm having a relatively high cryptographic strength to the SA for communicating control data, it is possible to ensure high security for important control data. On the other hand, with respect to SA for user data communication, the processing amount for encryption can be reduced by applying an encryption algorithm having a relatively low encryption strength and a small processing amount for encryption processing. In addition, when applying a NULL encryption algorithm that does not perform substantial encryption in user data encryption, the amount of processing for encryption processing can be greatly reduced. Even in this case, since the user data is protected by the authentication algorithm by the SA, even if the user data is illegally acquired, the data is used without being decrypted or falsified. Can protect your data.

また、ユーザデータ部分の暗号化のために、NULL暗号アルゴリズムの代わりに、例えばDES(Data Encryption Standard)暗号アルゴリズムなど、制御データ部分の暗号化に用いられるものと比較して相対的に処理負荷が低い暗号アルゴリズムを適用してもよい。このように構成することで、ユーザデータ部分のセキュリティの向上と共に、全体的な暗号化処理量の低減を両方実現させることが可能となる。   Further, in order to encrypt the user data portion, the processing load is relatively smaller than that used for encryption of the control data portion, such as DES (Data Encryption Standard) encryption algorithm, instead of the NULL encryption algorithm. Low cryptographic algorithms may be applied. With this configuration, it is possible to improve both the security of the user data portion and reduce the overall encryption processing amount.

本発明は、上述した実施例に限られるものではなく、請求の範囲及び明細書全体から読み取れる発明の要旨或いは思想に反しない範囲で適宜変更可能であり、そのような変更を伴う通信装置、通信方法及び通信システムなどもまた本発明の技術的範囲に含まれるものである。   The present invention is not limited to the above-described embodiments, and can be appropriately changed without departing from the gist or concept of the invention that can be read from the claims and the entire specification. A method, a communication system, and the like are also included in the technical scope of the present invention.

以上、本明細書で説明した実施形態について、以下の付記にまとめる。
(付記1)
ネットワークを介して対向装置との間で通信を行う通信装置であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備えることを特徴とする通信装置。
(付記2)
前記対向装置との間で暗号鍵を交換して暗号化トンネルを構築する構築手段を更に備え、
前記通知手段は、前記暗号鍵の交換のネゴシエーション処理時に前記位置情報を前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記3)
前記通知手段は、前記パケットに前記位置情報を含めて前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記4)
ネットワークを介して対向装置との間で通信を行う通信装置であって、
前記対向装置との間に相異なる暗号化アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを構築する構築手段と、
パケットを複数のフラグメントに分割する分割手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備えることを特徴とする通信装置。
(付記5)
前記第2の暗号化トンネルに対応する暗号アルゴリズムは、前記第1の暗号化トンネルに対応する暗号アルゴリズムよりも暗号強度が低いことを特徴とする付記6に記載の通信装置。
(付記6)
ネットワークを介してパケットの送受信を行う通信装置と対向装置とを備える通信システムであって、
前記通信装置は、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備え、
前記対向装置は、
前記位置情報に基づいて、受信した前記パケットを復号化してデータを復元する復元手段を備えることを特徴とする通信システム。
(付記7)
ネットワークを介して対向装置との間で通信を行う通信方法であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化工程と、
前記パケットを前記対向装置に送信する送信工程と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知工程と
を備えることを特徴とする通信方法。
(付記8)
前記暗号化手段は、前記パケットの暗号化以前に、暗号化する前記所定の領域を決定し、
前記通知手段は、前記所定の領域の位置情報を前記パケット内に含めて前記対向装置に通知することを特徴とする付記1に記載の通信装置。
(付記9)
前記暗号化手段は、前記パケットの内、他の領域のデータを管理又は制御するためのデータを含む領域を暗号化することを特徴とする付記1から4のいずれか一項に記載の通信装置。
(付記10)
前記第2の暗号化トンネルに対応する暗号アルゴリズムは、NULL暗号アルゴリズムであることを特徴とする付記4又は5に記載の通信装置。
(付記11)
前記パケットに対して、前記対向装置の間で通信を行うための認証データの付加を行う認証手段を更に備えることを特徴とする付記1から5のいずれか一項に記載の通信装置。
(付記12)
ネットワークを介してパケットの送受信を行う通信装置と対向装置とを備える通信システムであって、
前記通信装置は、
前記対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の前記暗号化トンネルを構築する構築手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備え、
前記対向装置は、
受信した前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第1復号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて復号化する第2復号化手段と
を備えることを特徴とする通信システム。
(付記13)
ネットワークを介して対向装置との間で通信を行う通信方法であって、
前記対向装置との間に相異なる暗号アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを含む複数の前記暗号化トンネルを構築する構築工程と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第1暗号化工程と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号アルゴリズムを用いて暗号化する第2暗号化工程と、
前記一部のフラグメント一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信工程と
を備えることを特徴とする通信方法。 The embodiments described in this specification are summarized in the following supplementary notes.
(Appendix 1)
A communication device that communicates with an opposite device via a network,
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
A communication device comprising: notification means for notifying the opposite device of position information of the predetermined area in the packet.
(Appendix 2)
Further comprising construction means for exchanging encryption keys with the opposing device to construct an encrypted tunnel;
2. The communication apparatus according to appendix 1, wherein the notifying unit notifies the opposite apparatus of the position information during the encryption key exchange negotiation process.
(Appendix 3)
The communication apparatus according to appendix 1, wherein the notifying unit includes the position information in the packet and notifies the opposite apparatus.
(Appendix 4)
A communication device that communicates with an opposite device via a network,
Construction means for constructing a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
A dividing means for dividing the packet into a plurality of fragments;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
Transmission means for transmitting the partial fragment to the opposing device via the first encrypted tunnel and transmitting fragments other than the partial fragment to the opposing device via the second encrypted tunnel A communication apparatus comprising:
(Appendix 5)
The communication apparatus according to appendix 6, wherein the encryption algorithm corresponding to the second encryption tunnel has lower encryption strength than the encryption algorithm corresponding to the first encryption tunnel.
(Appendix 6)
A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
Notification means for notifying the opposing device of the position information of the predetermined area in the packet,
The opposing device is
A communication system, comprising: restoration means for decoding the received packet and restoring data based on the position information.
(Appendix 7)
A communication method for communicating with an opposite device via a network,
An encryption step for encrypting a predetermined area determined according to the type of data in the packet;
A transmission step of transmitting the packet to the opposite device;
A notification step of notifying the opposing device of positional information of the predetermined area in the packet.
(Appendix 8)
The encryption means determines the predetermined area to be encrypted before the packet is encrypted,
2. The communication apparatus according to appendix 1, wherein the notifying unit notifies the opposite apparatus by including position information of the predetermined area in the packet.
(Appendix 9)
The communication apparatus according to any one of appendices 1 to 4, wherein the encryption unit encrypts an area including data for managing or controlling data in another area in the packet. .
(Appendix 10)
The communication apparatus according to appendix 4 or 5, wherein an encryption algorithm corresponding to the second encryption tunnel is a NULL encryption algorithm.
(Appendix 11)
The communication apparatus according to any one of appendices 1 to 5, further comprising an authentication unit that adds authentication data for performing communication between the opposite apparatuses to the packet.
(Appendix 12)
A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Construction means for constructing a plurality of the encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encrypted tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
The partial fragment is transmitted to the opposite device via the first encrypted tunnel, and the fragment other than the partial fragment is transmitted to the opposite device via the second encrypted tunnel. A transmission means for transmitting, and
The opposing device is
First decryption means for decrypting the received partial fragment using a cryptographic algorithm corresponding to the first encrypted tunnel;
And a second decryption means for decrypting a fragment other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel.
(Appendix 13)
A communication method for communicating with an opposite device via a network,
Constructing a plurality of the encrypted tunnels including a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device; and
A first encryption step of encrypting some of the plurality of fragments using an encryption algorithm corresponding to the first encrypted tunnel;
A second encryption step of encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
The partial fragment is transmitted to the opposite device via the first encrypted tunnel, and the fragment other than the partial fragment is transmitted to the opposite device via the second encrypted tunnel. A communication method comprising: a transmission step of transmitting.

100、150 無線基地局(eNB)、
101 L2スイッチ、
102 PHY、
103 レシーバ、
104 トランスレータ、
105 ネットワークプロセッサ、
106 ネットワークプロセッサメモリ、
107 メモリ、
108 メモリコントローラ、
109 CPU、
110 PCIインタフェース、
111 受信処理部、
112 鍵交換処理部、
113 SPD検索処理部、
114 SA検索処理部、
115 暗号化位置抽出部、
116 暗号処理部、
117 復号処理部、
118 送信処理部、
200、250 セキュリティGW、
300、350 サービングGW。 100, 150 radio base station (eNB),
101 L2 switch,
102 PHY,
103 receiver,
104 translator,
105 network processor,
106 network processor memory,
107 memory,
108 memory controller,
109 CPU,
110 PCI interface,
111 reception processing unit,
112 Key exchange processing unit,
113 SPD search processing unit,
114 SA search processing unit,
115 encrypted position extraction unit,
116 cryptographic processing unit,
117 decryption processing unit,
118 transmission processing unit,
200, 250 Security GW,
300, 350 Serving GW.

Claims (7)

ネットワークを介して対向装置との間で通信を行う通信装置であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備えることを特徴とする通信装置。 A communication device that communicates with an opposite device via a network,
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
A communication device comprising: notification means for notifying the opposite device of position information of the predetermined area in the packet. 前記対向装置との間で暗号鍵を交換して暗号化トンネルを構築する構築手段を更に備え、
前記通知手段は、前記暗号鍵の交換のネゴシエーション処理時に前記位置情報を前記対向装置に通知することを特徴とする請求項1に記載の通信装置。 Further comprising construction means for exchanging encryption keys with the opposing device to construct an encrypted tunnel;
The communication device according to claim 1, wherein the notification unit notifies the opposite device of the position information during negotiation processing for exchanging the encryption key. 前記通知手段は、前記パケットに前記位置情報を含めて前記対向装置に通知することを特徴とする請求項1に記載の通信装置。   The communication device according to claim 1, wherein the notification unit notifies the opposite device of the packet including the position information. ネットワークを介して対向装置との間で通信を行う通信装置であって、
前記対向装置との間に相異なる暗号化アルゴリズムを用いる第1の暗号化トンネル及び第2の暗号化トンネルを構築する構築手段と、
パケットを複数のフラグメントに分割する分割手段と、
前記複数のフラグメントのうちの一部のフラグメントについて、前記第1の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第1暗号化手段と、
前記一部のフラグメント以外のフラグメントについて、前記第2の暗号化トンネルに対応する暗号化アルゴリズムを用いて暗号化する第2暗号化手段と、
前記一部のフラグメントを前記第1の暗号化トンネルを介して前記対向装置に送信し、前記一部のフラグメント以外のフラグメントを前記第2の暗号化トンネルを介して前記対向装置に送信する送信手段と
を備えることを特徴とする通信装置。 A communication device that communicates with an opposite device via a network,
Construction means for constructing a first encrypted tunnel and a second encrypted tunnel using different encryption algorithms with the opposite device;
A dividing means for dividing the packet into a plurality of fragments;
First encryption means for encrypting a part of the plurality of fragments using an encryption algorithm corresponding to the first encryption tunnel;
Second encryption means for encrypting fragments other than the partial fragment using an encryption algorithm corresponding to the second encrypted tunnel;
Transmission means for transmitting the partial fragment to the opposing device via the first encrypted tunnel and transmitting fragments other than the partial fragment to the opposing device via the second encrypted tunnel A communication apparatus comprising: 前記第2の暗号化トンネルに対応する暗号アルゴリズムは、前記第1の暗号化トンネルに対応する暗号アルゴリズムよりも暗号強度が低いことを特徴とする請求項6に記載の通信装置。   The communication apparatus according to claim 6, wherein an encryption algorithm corresponding to the second encryption tunnel has lower encryption strength than an encryption algorithm corresponding to the first encryption tunnel. ネットワークを介してパケットの送受信を行う通信装置と対向装置とを備える通信システムであって、
前記通信装置は、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化手段と、
前記パケットを前記対向装置に送信する送信手段と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知手段と
を備え、
前記対向装置は、
前記位置情報に基づいて、受信した前記パケットを復号化してデータを復元する復元手段を備えることを特徴とする通信システム。 A communication system comprising a communication device that transmits and receives packets via a network and an opposite device,
The communication device
Encryption means for encrypting a predetermined area determined according to the type of data in the packet;
Transmitting means for transmitting the packet to the opposite device;
Notification means for notifying the opposing device of the position information of the predetermined area in the packet,
The opposing device is
A communication system, comprising: restoration means for decoding the received packet and restoring data based on the position information. ネットワークを介して対向装置との間で通信を行う通信方法であって、
パケット中のデータの種類に応じて決定される所定の領域を暗号化する暗号化工程と、
前記パケットを前記対向装置に送信する送信工程と、
前記パケットにおける前記所定の領域の位置情報を前記対向装置に通知する通知工程と
を備えることを特徴とする通信方法。 A communication method for communicating with an opposite device via a network,
An encryption step for encrypting a predetermined area determined according to the type of data in the packet;
A transmission step of transmitting the packet to the opposite device;
A notification step of notifying the opposing device of positional information of the predetermined area in the packet.
JP2010146308A 2010-06-28 2010-06-28 Communication device, communication method and communication system Pending JP2012010254A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010146308A JP2012010254A (en) 2010-06-28 2010-06-28 Communication device, communication method and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010146308A JP2012010254A (en) 2010-06-28 2010-06-28 Communication device, communication method and communication system

Publications (1)

Publication Number Publication Date
JP2012010254A true JP2012010254A (en) 2012-01-12

Family

ID=45540258

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010146308A Pending JP2012010254A (en) 2010-06-28 2010-06-28 Communication device, communication method and communication system

Country Status (1)

Country Link
JP (1) JP2012010254A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013179551A1 (en) * 2012-05-29 2013-12-05 パナソニック株式会社 Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
JP2014078830A (en) * 2012-10-10 2014-05-01 Softbank Mobile Corp Analysis device, analysis method, and analysis program
JP2015097423A (en) * 2015-01-21 2015-05-21 株式会社東芝 Communication device, key generating device, communication method, program, and communication system
JP2015515210A (en) * 2012-03-30 2015-05-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Improved IPsec communication performance and security against eavesdropping
WO2016028140A1 (en) * 2014-08-18 2016-02-25 Mimos Berhad System and method for adaptive protocol data unit management for secure network communication
JP2017038413A (en) * 2016-11-24 2017-02-16 株式会社東芝 Communication device, key generating device, communication method, program, and communication system
EP4020915A4 (en) * 2019-08-29 2022-09-28 Huawei Technologies Co., Ltd. Message transmission method and device, and computer storage medium
US11743240B2 (en) * 2019-03-08 2023-08-29 Intel Corporation Secure stream protocol for serial interconnect

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11344925A (en) * 1998-05-29 1999-12-14 Nec Corp Partial ciphering device and recording medium readable by computer
JP2002319936A (en) * 2001-04-20 2002-10-31 Ntt Docomo Inc Apparatus and method for communication for making data safe
JP2003204349A (en) * 2001-12-28 2003-07-18 Toshiba Corp Node device and communication control method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11344925A (en) * 1998-05-29 1999-12-14 Nec Corp Partial ciphering device and recording medium readable by computer
JP2002319936A (en) * 2001-04-20 2002-10-31 Ntt Docomo Inc Apparatus and method for communication for making data safe
JP2003204349A (en) * 2001-12-28 2003-07-18 Toshiba Corp Node device and communication control method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6014022867; Zhang, Y. and Singh, B.: 'A Multi-Layer IPsec Protocol' Proceedings of the 9th USENIX Security Symposium , 200808, The Internet *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015515210A (en) * 2012-03-30 2015-05-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Improved IPsec communication performance and security against eavesdropping
WO2013179551A1 (en) * 2012-05-29 2013-12-05 パナソニック株式会社 Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
US9185130B2 (en) 2012-05-29 2015-11-10 Panasonic Intellectual Property Management Co., Ltd. Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
JPWO2013179551A1 (en) * 2012-05-29 2016-01-18 パナソニックIpマネジメント株式会社 TRANSMISSION DEVICE, RECEPTION DEVICE, COMMUNICATION SYSTEM, TRANSMISSION METHOD, AND RECEPTION METHOD
JP2014078830A (en) * 2012-10-10 2014-05-01 Softbank Mobile Corp Analysis device, analysis method, and analysis program
WO2016028140A1 (en) * 2014-08-18 2016-02-25 Mimos Berhad System and method for adaptive protocol data unit management for secure network communication
JP2015097423A (en) * 2015-01-21 2015-05-21 株式会社東芝 Communication device, key generating device, communication method, program, and communication system
JP2017038413A (en) * 2016-11-24 2017-02-16 株式会社東芝 Communication device, key generating device, communication method, program, and communication system
US11743240B2 (en) * 2019-03-08 2023-08-29 Intel Corporation Secure stream protocol for serial interconnect
EP4020915A4 (en) * 2019-08-29 2022-09-28 Huawei Technologies Co., Ltd. Message transmission method and device, and computer storage medium

Similar Documents

Publication Publication Date Title
KR101421399B1 (en) Terminal apparatus having link layer encryption and decryption capabilities and method for processing data thereof
US6970446B2 (en) Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network
EP2309698B1 (en) Exchange of key material
JP5625703B2 (en) Mobile communication system, communication control method, and radio base station
KR101507482B1 (en) Methods and apparatuses for enabling non-access stratum(nas) security in lte mobile units
JP2012010254A (en) Communication device, communication method and communication system
US7548532B2 (en) Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
US20180176230A1 (en) Data packet transmission method, apparatus, and system, and node device
CN108966217B (en) Secret communication method, mobile terminal and secret gateway
US20040029562A1 (en) System and method for securing communications over cellular networks
Yang et al. An improved security scheme in WMAN based on IEEE standard 802.16
KR20050060636A (en) System and method for generating encryption key of wireless device in wireless local area network secure system
WO2021152349A1 (en) Ipsec privacy protection
JP2005223838A (en) Communications system and relay device
JP2015149580A (en) Transmission system and transmission method
CN110650476B (en) Management frame encryption and decryption
Roepke et al. A Survey on Protocols securing the Internet of Things: DTLS, IPSec and IEEE 802.11 i
CN115765979A (en) Communication method and communication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130507

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140514

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140603