JP2013512631A - Service flow encryption processing method and system - Google Patents

Service flow encryption processing method and system Download PDF

Info

Publication number
JP2013512631A
JP2013512631A JP2012541306A JP2012541306A JP2013512631A JP 2013512631 A JP2013512631 A JP 2013512631A JP 2012541306 A JP2012541306 A JP 2012541306A JP 2012541306 A JP2012541306 A JP 2012541306A JP 2013512631 A JP2013512631 A JP 2013512631A
Authority
JP
Japan
Prior art keywords
service flow
instruction information
base station
aaa
encryption processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012541306A
Other languages
Japanese (ja)
Other versions
JP5795591B2 (en
Inventor
文 波 顔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2013512631A publication Critical patent/JP2013512631A/en
Application granted granted Critical
Publication of JP5795591B2 publication Critical patent/JP5795591B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Abstract

【課題】サービスフローの暗号化処理方法及びシステムを提供する。
【解決手段】該方法は、認証・認可・アカウンティング(AAA)サーバがAAAクライアント側に、サービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信し(S102)、AAAクライアント側が、サービスフロー認可アンカー(アンカーSFA)に指示情報を送信し(S104)、アンカーSFAが、指示情報を基地局に送信し(S106)、基地局が、指示情報に基づいてサービスフローに暗号化処理を行うか、又は非暗号化処理を行う(S108)ステップを含む。本発明の方法及びシステムによると、ユーザ情報及びQoS属性に基づくサービスフローのセキュリティ要請の配置を実現できる。
【選択図】図1
A service flow encryption processing method and system are provided.
In this method, an authentication / authorization / accounting (AAA) server sends instruction information indicating whether or not it is necessary to perform encryption processing on a service flow to an AAA client side (S102). The client side transmits instruction information to the service flow authorization anchor (anchor SFA) (S104), the anchor SFA transmits the instruction information to the base station (S106), and the base station encrypts the service flow based on the instruction information. Including a step of performing an encryption process or a non-encryption process (S108). According to the method and system of the present invention, it is possible to realize the arrangement of security requests for service flows based on user information and QoS attributes.
[Selection] Figure 1

Description

本発明は、通信分野に関し、具体的には、サービスフローの暗号化処理方法及びシステムに関する。   The present invention relates to the communication field, and more particularly, to a service flow encryption processing method and system.

ワイマックス(Worldwide Interoperability for Microwave Access、以下WiMAXと略称)は、新時代のブロードバンド無線アクセス技術として完全なセキュリティメカニズムを提供して経営者(プロバイダ)とユーザの利益を保証している。例えば、802.16eプロトコルは、エアーによるデータ暗号化伝送メカニズムを提供し、開放式の無線環境でのデータ伝送の秘密性を保証し、敏感な情報の違法盗用を防止できる。   WiMAX (Worldwide Interoperability for Microwave Access, hereinafter abbreviated as WiMAX) provides a complete security mechanism as a new era of broadband wireless access technology, guaranteeing the interests of managers (providers) and users. For example, the 802.16e protocol provides a data encryption transmission mechanism by air, guarantees confidentiality of data transmission in an open wireless environment, and can prevent illegal theft of sensitive information.

WiMAXシステムにおけるデータのエアーにおける伝送は、接続に基づくもので、各接続は特定のサービス品質(Quality of Service、以下QoSと略称)属性を有している。各アクティブのサービスフローとサービス伝送接続は逐一対応する。サービスフローのQoS属性は、アクセスする際に、認証・認可・アカウンティング(Authentication Authorization Accounting、以下AAAと略称)サーバ(Server)によって割り当てられて基地局(Base Station、以下BSと略称)に送信され、BSがサービスフローを構築する際に用いられる。
ユーザの或るサービスフローに対するセキュリティ要求が高い場合、データを暗号化して伝送しなければならず、例えば、予め二つのベストエフォート(Best Effort、以下BEと略称)サービスフローが配置されたユーザAと、予め二つのアンソリシテッドグラントサービス(Unsolicited Grant Service、以下UGSと略称)サービスフローが配置されたユーザBの場合、ユーザAの方のデータのエアー伝送におけるセキュリティ要求が高く、ユーザBは要求がない。又は、予め複数のサービスフローが配置されたユーザC(BEとUGSを含む)の場合、そのUGSサービスを伝送するデータに高いセキュリティが要求され、BEサービスフローで伝送するデータについてはセキュリティ要求がない。 Transmission of data in the air in the WiMAX system is based on connections, and each connection has a specific quality of service (hereinafter referred to as QoS) attribute. Each active service flow and service transmission connection correspond one by one. The QoS attribute of the service flow is assigned by an authentication / authorization / accounting (hereinafter referred to as AAA) server (Server) and transmitted to a base station (Base Station). Used when the BS constructs a service flow.
When a user has a high security requirement for a certain service flow, data must be encrypted and transmitted. For example, a user A in which two best effort (hereinafter referred to as BE) service flows are arranged in advance. In the case of user B in which two unsolicited grant services (hereinafter abbreviated as UGS) service flows are arranged in advance, there is a high security requirement in the air transmission of data of user A, and user B has a request Absent. Alternatively, in the case of user C (including BE and UGS) in which a plurality of service flows are arranged in advance, high security is required for data transmitted through the UGS service, and there is no security requirement for data transmitted through the BE service flow. .

既存のNWGネットワークプロトコルにおいて、R3とR6メッセージインターフェースにおいてサービスフローのセキュリティ要求を説明しないので、接続に基づき暗号化データ伝送需要を実現するのに不便である。サービスフロー(接続)のセキュリティ要求がBSに説明又は配置されている場合、BSは分布式のアクセス点として、ユーザ情報及びその接続のQoS属性を把握していないので、基地局はユーザの情報及びQoS属性に基づいて特定のユーザの特定のサービスフローのセキュリティ要求を配置することができない。   In the existing NWG network protocol, the security requirements of the service flow are not explained in the R3 and R6 message interfaces, which is inconvenient for realizing the encrypted data transmission demand based on the connection. When the service flow (connection) security request is explained or arranged in the BS, the BS does not grasp the user information and the QoS attribute of the connection as a distributed access point. A security request for a specific service flow of a specific user cannot be placed based on the QoS attribute.

本発明は、従来の関連技術において基地局がユーザの情報及びQoS属性に基づいてサービスセキュリティ要求を配置できないという問題に鑑みなされたものであり、このような問題を解決できるサービスフローの暗号化処理方法を提供することを目的とする。   The present invention has been made in view of the problem that a base station cannot place a service security request on the basis of user information and QoS attributes in the related art, and a service flow encryption process that can solve such a problem. It aims to provide a method.

上記目的を実現するために、本発明の一態様によると、サービスフローの暗号化処理方法を提供する。
本発明によるサービスフローの暗号化処理方法は、AAAサーバがAAAクライアントに、サービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信し、AAAクライアントが、アンカーSFAに指示情報を送信し、アンカーSFAが、指示情報を基地局に送信し、基地局が、指示情報に基づいてサービスフローに暗号化処理を行うか、又は非暗号化処理を行うステップを含む。 To achieve the above object, according to an aspect of the present invention, a service flow encryption processing method is provided.
In the service flow encryption processing method according to the present invention, the AAA server transmits to the AAA client instruction information indicating whether or not the service flow needs to be encrypted, and the AAA client instructs the anchor SFA. The information is transmitted, and the anchor SFA transmits the instruction information to the base station, and the base station performs encryption processing or non-encryption processing on the service flow based on the instruction information.

AAAサーバがAAAクライアントに指示情報を送信するステップは、AAAサーバがアクセス許可(Access Accept)メッセージに指示情報を含ませるステップと、AAAサーバがアクセス許可メッセージをAAAクライアントに送信するステップと、を含むことが好ましい。   The step in which the AAA server transmits the instruction information to the AAA client includes a step in which the AAA server includes the instruction information in an access permission message, and a step in which the AAA server transmits an access permission message to the AAA client. It is preferable.

AAAサーバがアクセス許可メッセージに指示情報を含ませるステップは、アクセス許可メッセージのサービス品質記述子(QoS−Descriptor)の「タイプ/長さ/数値」フォーマットのサブTLVに、サービスフローに暗号化処理を行う必要があるか否かを指示するTLVを追加するステップを含むことが好ましい。   The step in which the AAA server includes the instruction information in the access permission message includes performing encryption processing on the service flow in the sub-type TLV of the “type / length / number” format of the quality of service descriptor (QoS-Descriptor) of the access permission message. Preferably it includes the step of adding a TLV indicating whether it needs to be done or not.

AAAクライアントがアンカーSFAに指示情報を送信するステップは、AAAクライアントがリソース予約要請(RR−Req)メッセージのサービスフローパラメータに指示情報を含ませるステップと、AAAクライアントがRR−ReqメッセージをアンカーSFAに送信するステップと、を含むことが好ましい。   The AAA client transmits the instruction information to the anchor SFA. The AAA client includes the instruction information in the service flow parameter of the resource reservation request (RR-Req) message, and the AAA client transmits the RR-Req message to the anchor SFA. Preferably including the step of transmitting.

アンカーSFAが指示情報を基地局に送信するステップは、アンカーSFAが基地局に送信するデータルート登録要請(Path_Reg_Req)メッセージのサービスフローパラメータに指示情報を含ませるステップを含むことが好ましい。   The step in which the anchor SFA transmits the instruction information to the base station preferably includes the step of including the instruction information in the service flow parameter of the data route registration request (Path_Reg_Req) message transmitted from the anchor SFA to the base station.

基地局が指示情報に基づいてサービスフローに暗号化処理を行うステップは、基地局が一つのセキュリティアライアンス(SA)を確定し、基地局がSAのマークID(SA−ID)とサービスフローを関連付け、サービスフローに関連付けられたSAのSA−IDを移動局に送信し、基地局及び/又は移動局がIDに対応するSAを用いてサービスフローのデータストリームに暗号化処理及び/又は解読処理を行うステップを含むことが好ましい。   The base station encrypts the service flow based on the instruction information. The base station determines one security alliance (SA), and the base station associates the SA mark ID (SA-ID) with the service flow. The SA-ID of the SA associated with the service flow is transmitted to the mobile station, and the base station and / or the mobile station performs an encryption process and / or a decryption process on the data stream of the service flow using the SA corresponding to the ID. Preferably, the step of performing is included.

上記目的を実現するため、本発明の他の一態様によると、サービスフローの暗号化処理システムを提供する。
本発明によるサービスフロー暗号化処理システムは、AAAクライアントにサービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信するAAAサーバと、アンカーSFAに指示情報を送信するAAAクライアントと、指示情報を基地局に送信するアンカーSFAと、指示情報に基づいてサービスフローに暗号化処理を行うか、又は非暗号化処理を行う基地局と、を有する。 In order to achieve the above object, according to another aspect of the present invention, a service flow encryption processing system is provided.
The service flow encryption processing system according to the present invention includes an AAA server that transmits instruction information indicating whether or not it is necessary to perform encryption processing on a service flow to an AAA client, and an AAA client that transmits instruction information to an anchor SFA. And an anchor SFA that transmits instruction information to the base station, and a base station that performs encryption processing or non-encryption processing on the service flow based on the instruction information.

AAAサーバが、アクセス許可メッセージに指示情報を設定する第1の設定ブロックと、アクセス許可メッセージをAAAクライアントに送信する第1の送信ブロックと、を有することが好ましい。   Preferably, the AAA server has a first setting block for setting instruction information in the access permission message and a first transmission block for transmitting the access permission message to the AAA client.

第1の設定ブロックが、アクセス許可メッセージのサービス品質記述子のサブTLVに、サービスフローに暗号化処理を行う必要があるか否かを指示するTLVを追加することが好ましい。   Preferably, the first setting block adds a TLV indicating whether or not the service flow needs to be encrypted to the sub-TLV of the service quality descriptor of the access permission message.

AAAクライアントが、RR−Reqメッセージのサービスフローパラメータに指示情報を含ませる第2の設定ブロックと、RR−ReqメッセージをアンカーSFAに送信する第2の送信ブロックと、を有することが好ましい。   Preferably, the AAA client has a second setting block that includes the instruction information in the service flow parameter of the RR-Req message, and a second transmission block that transmits the RR-Req message to the anchor SFA.

本発明によると、従来関連技術において基地局がユーザの情報及びQoS属性に基づいてサービスフローセキュリティ要求を配置できないという問題を解決し、ユーザ情報及びQoS属性に基づくサービスフローのセキュリティ要求の配置を実現できる。
本発明の他の特徴及びメリットは明細書における説明からさらに明確になり、又は本発明を実施することによって把握できるであろう。本発明の目的及び他のメリットは、明細書、特許請求の範囲、図面に特別に指摘された構造によって実現できる。 According to the present invention, in the related art, the problem that the base station cannot arrange the service flow security request based on the user information and the QoS attribute is solved, and the arrangement of the service flow security request based on the user information and the QoS attribute is realized. it can.
Other features and advantages of the invention will become more apparent from the description in the specification, or may be learned by practice of the invention. The objectives and other advantages of the invention may be realized by the structure particularly pointed out in the written description, claims and drawings.

ここで説明する図面は、本発明を理解させるためのものであり、本発明の一部を構成し、本発明における実施例と共に本発明を解釈するためのものであって、本発明を不当に限定するものではない。図面において、
は、本発明の実施例に係るサービスフローの暗号化処理方法を示すフローチャートである。 は、本発明の実施例に係る暗号化されたサービスフローの構築を示すフローチャートである。 は、本発明の実施例に係るサービスフローの暗号化処理システムの構造を示すブロック図である。 The drawings described herein are for understanding the present invention, constitute part of the present invention, and are for interpreting the present invention together with embodiments in the present invention. It is not limited. In the drawing
These are the flowcharts which show the encryption processing method of the service flow based on the Example of this invention. These are the flowcharts which show the construction | assembly of the encrypted service flow based on the Example of this invention. These are block diagrams which show the structure of the encryption processing system of the service flow which concerns on the Example of this invention.

ここで、互いに矛盾しない限り、本願に記載の実施例及び実施例に記載の特徴を互いに組み合わせることができる。以下、図面を参照しつつ実施例を結合して本発明を詳しく説明する。   Here, as long as there is no contradiction, the embodiments described in the present application and the features described in the embodiments can be combined with each other. Hereinafter, the present invention will be described in detail with reference to the drawings and embodiments.

以下の実施例において、図面におけるフローチャートに示すステップを例えばコンピューターによりコマンドの実行可能な1セットのコンピューターシステムにおいて実行でき、また、フローチャートには或るロジック順を示しているが、場合によっては他の順で図面に示した、又は説明したステップを実行できる。   In the following embodiments, the steps shown in the flowcharts in the drawings can be performed in a set of computer systems capable of executing commands by, for example, a computer, and the flowcharts show some logic order, but in some cases other The steps shown or described in the drawing in sequence can be performed.

本実施例において、サービスフローの暗号化方法を提供し、図1は、本発明の実施例に係るサービスフローの暗号化方法を示すフローチャートであり、図1に示すように、以下のステップS102〜ステップS108を含む。   In this embodiment, a service flow encryption method is provided, and FIG. 1 is a flowchart showing a service flow encryption method according to an embodiment of the present invention. As shown in FIG. Step S108 is included.

AAAサーバは、AAAクライアントにサービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信する(ステップS102)。   The AAA server transmits instruction information indicating whether or not it is necessary to perform encryption processing on the service flow to the AAA client (step S102).

AAAサーバ自体がユーザのQoS情報を記録する集中点であるので、ここで、AAAサーバに記録された情報に基づいてサービスに暗号化処理を行う必要があるか否かを設定できる。なお、AAAクライアントは、AAAサーバと相互に作用するブロックを、サービスフロー認可アンカー(Anchor Service Flow Authorization、以下、アンカーSFAと略称)の内部に設定できるが、他のネットワーク要素に設定することもできる。   Since the AAA server itself is a centralized point for recording the user's QoS information, it can be set here whether the service needs to be encrypted based on the information recorded in the AAA server. The AAA client can set a block that interacts with the AAA server inside a service flow authorization anchor (Anchor Service Flow Authorization, hereinafter abbreviated as an anchor SFA), but can also be set in another network element. .

AAAクライアントは、アンカーSFA(又は、アンカーデータルート機能エンティティ、略して、アンカーDPFとも呼ばれる)に指示情報を送信する(ステップS104)。   The AAA client transmits the instruction information to the anchor SFA (or anchor data route functional entity, also referred to as “anchor DPF” for short) (step S104).

アンカーSFAは、当該指示情報を基地局に送信する(ステップS106)。   The anchor SFA transmits the instruction information to the base station (step S106).

基地局は、当該指示情報に基づいて、サービスフローに暗号化処理を行うか、又は非暗号化処理を行う(ステップS108)。   Based on the instruction information, the base station performs encryption processing or non-encryption processing on the service flow (step S108).

上記ステップによって、AAAサーバにてサービスフローのセキュリティ要求を配置して基地局に送信することによって、従来関連技術において基地局がユーザの情報とQoS属性に基づいてサービスフローのセキュリティ要求を配置することができないという問題を解決した。   By arranging the service flow security request in the AAA server and transmitting it to the base station through the above steps, the base station arranges the service flow security request based on the user information and the QoS attribute in the related art. Solved the problem of not being able to.

以下、サービスフローに暗号化処理を行う必要がある場合を例に、サービスフローの構築フローを結合して上記ステップを説明するが、以下の実施例は好適の実施例に過ぎない。   In the following, the above steps will be described by combining the service flow construction flow, taking as an example the case where the service flow needs to be encrypted. However, the following embodiments are only preferred embodiments.

図2は、本発明の実施例に係る暗号化したサービスフローの構築を示すフローチャートで、図2に示すように、以下のステップを含む。   FIG. 2 is a flowchart showing the construction of an encrypted service flow according to an embodiment of the present invention, and includes the following steps as shown in FIG.

初期の拡張認証プロトコル(Extensible Authentication Protocol、以下EAPと略称)の認証に成功した後、AAAサーバはAAAクライアントにR3アクセス許可(Access Accept)メッセージを送信し(ステップS201)、該メッセージはサービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を含み、その中、AAAクライアントを認証者(Authenticator)とも呼ぶ。   After successful authentication of the initial extended authentication protocol (Extensible Authentication Protocol, hereinafter referred to as EAP), the AAA server sends an R3 access permission (Access Accept) message to the AAA client (step S201), and the message is sent to the service flow. It includes instruction information for instructing whether or not it is necessary to perform encryption processing. Among them, the AAA client is also called an authenticator.

AAAサーバがアクセス許可メッセージを介してAAAクライアントにサービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信することができれば、他のメッセージ、例えば、新規に定義されたメッセージを介して該指示情報を送信できることが好ましい。ここで、アクセス許可メッセージは指示情報を含むことの可能のメッセージの例であり、これに限定されず、サービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を含むことのできるメッセージであれば、いずれも同じ作用は果たす。アクセス許可メッセージを用いるとさらに容易である。   If the AAA server can send instruction information indicating whether or not it is necessary to perform encryption processing on the service flow to the AAA client via the access permission message, another message, for example, a newly defined message can be transmitted. It is preferable that the instruction information can be transmitted via the Internet. Here, the access permission message is an example of a message that can include instruction information, and is not limited to this. The access permission message includes instruction information that indicates whether the service flow needs to be encrypted. Any message that can do the same thing. It is even easier to use an access permission message.

アクセス許可メッセージが上記指示情報を含む場合、アクセス許可メッセージのサービス品質記述子(QoS−Descriptor)のサブTLVに新しいTLVセキュリティ・レベル(Security Level)(通信分野において、「データタイプ、データ長さ、データ数値」の形にデータ形式をフォーマット化したものを英語で「Type、Length、Value」と表し、TLVフォーマットと略称する)を追加でき、そのサイズは1ビットである。セキュリティ・レベルの意味は表1を参照することができ、0はユーザが当該サービスフローにて伝送するデータにセキュリティ要求がないことを示し、1はユーザが当該サービスフローにて伝送するデータにセキュリティ要求があることを示す。なお、当該メッセージにおける他のビットによってサービスフローに暗号化処理を行う必要があるか否かを指示することができる。以下、TLVセキュリティ・レベルを例に説明する。   When the access permission message includes the instruction information, a new TLV security level (Security Level) (in the communication field, “data type, data length, data quality descriptor (QoS-Descriptor)) sub-TLV A data format formatted in the form of “data numerical value” is expressed in English as “Type, Length, Value” and abbreviated as TLV format), and its size is 1 bit. The meaning of the security level can be referred to Table 1. 0 indicates that there is no security request for data transmitted by the user in the service flow, and 1 indicates security for data transmitted by the user in the service flow. Indicates that there is a request. Note that it is possible to instruct whether or not it is necessary to perform encryption processing on the service flow with another bit in the message. Hereinafter, the TLV security level will be described as an example.

Figure 2013512631
Figure 2013512631

本実施例をさらに説明するため、まず、セキュリティアライアンス(Security Alliance、以下SAと略称)トラフィック暗号化キー(Traffic Encryption Key、以下TEKと略称)について説明する。   In order to further describe the present embodiment, first, a security alliance (hereinafter abbreviated as SA) traffic encryption key (Traffic Encryption Key, hereinafter abbreviated as TEK) will be described.

SA−TEKの3ウェイハンドシェイク段階において、移動局(Mobile Station、以下MSと略称)とBSは協議して暗号化属性を有するセキュリティアライアンスSAを生成し、その中、データ暗号化タイプ(data crypt Type)において暗号化・復号化メカニズムを説明している。MSはキー要請(Key−Request)、キー応答(Key−Reply)メッセージを介して当該SAのTEK交換を完成し、成功した後、MSとBSは同一のTEKキーを有する。TEKは、サービスフローデータを暗号化・復号化するキーである。   In the SA-TEK three-way handshake stage, a mobile station (hereinafter abbreviated as MS) and a BS negotiate to generate a security alliance SA having an encryption attribute, among which a data encryption type (data cryptot). Type) describes the encryption / decryption mechanism. The MS completes the TEK exchange of the SA via a key request (Key-Request) and key response (Key-Reply) message, and after successful completion, the MS and BS have the same TEK key. TEK is a key for encrypting / decrypting service flow data.

サービスフローの構築段階において、認証者(AAAクライアント)はRR_Req(リソース予約要請)メッセージをアンカーSFA(以下、単にSFAともいう)に送信し(ステップS202)、RR_Reqの各サービスフローパラメータは新しく追加されたTLVセキュリティ・レベルを含む。ここで、該ステップにおいて、認証者は、RR_Reqメッセージに各サービスフローに暗号化処理を行う必要があるか否かを指示する指示情報(TLVセキュリティ・レベルは当該指示情報の例に過ぎない)を含めることができるが、他のメッセージに上記指示情報を含めることもできる。   In the service flow construction stage, the authenticator (AAA client) transmits an RR_Req (resource reservation request) message to the anchor SFA (hereinafter also simply referred to as SFA) (step S202), and each service flow parameter of RR_Req is newly added. TLV security level. Here, in this step, the authenticator uses the RR_Req message to indicate instruction information indicating whether or not each service flow needs to be encrypted (the TLV security level is only an example of the instruction information). The instruction information can be included in another message.

SFAはデータルート登録要請(Path_Reg_Req)メッセージをBSに送信し(ステップS203)、Path_Reg_Reqにおける各サービスフローパラメータにTLVセキュリティ・レベルが新しく追加される。該ステップにおいて、SFAはPath_Reg_Reqメッセージに上記指示情報を含めることができるが、他のメッセージに上記指示情報を含めることもでき、本実施例において、Path_Reg_Reqメッセージはその解釈例に過ぎない。   The SFA transmits a data route registration request (Path_Reg_Req) message to the BS (step S203), and a new TLV security level is added to each service flow parameter in Path_Reg_Req. In this step, the SFA can include the instruction information in the Path_Reg_Req message, but the instruction information can also be included in other messages. In this embodiment, the Path_Reg_Req message is merely an example of the interpretation.

各サービスフローにおけるセキュリティ・レベル値について、セキュリティ・レベルが0である場合、該サービスフローにて伝送するデータに暗号化処理を行う必要がないことを示すので、該サービスフローに暗号化属性のセキュリティアライアンスSAを関連つける必要がなく、BSからMSに向けて発信するDSA_ReqにおけるSAのマークID(SA−ID)が0xFFFF(暗号化されたSAと関連つけないことを示す)である。一方、セキュリティ・レベルが1である場合、該サービスフローにて伝送するデータに対するセキュリティ要求があることを示すので、暗号化して伝送しなければならない(ステップS204)。BSは対策に基づいて、3ウェイハンドシェイク段階から協議して生成したSAからデータ暗号化タイプ(Date Crypt Type)が0ではないSAを選択し、そのSA−IDを該サービスフローと関連付け、DSA_Reqメッセージを介してMSに知らせる。   As for the security level value in each service flow, when the security level is 0, it indicates that it is not necessary to perform encryption processing on the data transmitted in the service flow. It is not necessary to associate the alliance SA, and the SA mark ID (SA-ID) in DSA_Req transmitted from the BS to the MS is 0xFFFF (indicating that the SA is not associated with the encrypted SA). On the other hand, when the security level is 1, it indicates that there is a security request for the data to be transmitted in the service flow, so it must be encrypted and transmitted (step S204). Based on the countermeasure, the BS selects an SA whose data encryption type (Date Crypt Type) is not 0 from the SAs generated by discussion from the three-way handshake stage, associates the SA-ID with the service flow, and DSA_Req Inform the MS via a message.

セキュリティ属性のあるサービスフローを構築する他のステップは、既存のサービスフローの構築過程と一致するので、説明を省略する。その後、BSがセキュリティ要求のある(即ち、暗号化処理が必要な)サービスフローのデータストリームを受信すると、当該サービスフローに関連付けられたSA(対応するTEKを含む)を調査し、その後、該SAにおけるデータ暗号化タイプ(data crypt type)により指定された暗号化アルゴリズムを用い、TEK暗号化媒体データを採用し、MAC PDUを組み込み、PDUヘッドにおけるECのビットを1に設定して該MAC PDUが暗号化後のものであることを示し、エアーを介してMSに送信する。MSはMAC PDUを受信した後、ECのビットが1であると認識し、暗号化されたパケットであると判定する。PDUヘッドにおける接続情報に基づいて対応するSAを調査し、SAにおけるデータ暗号化タイプによって指定される解読アルゴリズムによって、TEK復号媒体データを用いる。同じ理由で、MSはセキュリティ要求のあるサービスフローのデータストリームを受信した場合、類似の処理を行うことができるので、説明を省略する。   The other steps for constructing a service flow with a security attribute coincide with the construction process of an existing service flow, and a description thereof will be omitted. After that, when the BS receives a data stream of a service flow with a security request (that is, encryption processing is required), it examines the SA (including the corresponding TEK) associated with the service flow, and then the SA. Using the encryption algorithm specified by the data encryption type (data crypto type) in the data, adopting TEK encrypted media data, incorporating the MAC PDU, setting the EC bit in the PDU head to 1, and the MAC PDU Indicates that the data is encrypted, and sends it to the MS via air. After receiving the MAC PDU, the MS recognizes that the EC bit is 1, and determines that the packet is an encrypted packet. Based on the connection information in the PDU head, the corresponding SA is examined and the TEK decryption media data is used according to the decryption algorithm specified by the data encryption type in the SA. For the same reason, when the MS receives a data stream of a service flow with a security request, similar processing can be performed, and thus the description thereof is omitted.

上記ステップS201〜ステップS204によって、ネットワーク要素AAAサーバにおいて、各サービスフローパラメータに配置されるセキュリティ・レベルによって、エアー伝送するデータに暗号化方式で伝送する必要があるか否かが決められる。AAAサーバにおいて、経営者はユーザに対して特定のQoS属性を配置することができ、同様にユーザの接続に基づいて特定のセキュリティ属性を配置することができる。   From step S201 to step S204, it is determined in the network element AAA server whether or not it is necessary to transmit the data to be transmitted by the encryption method according to the security level arranged in each service flow parameter. In the AAA server, the manager can place a specific QoS attribute for the user, and similarly, can place a specific security attribute based on the connection of the user.

上記実施例に対応し、サービスフローの暗号化処理システムを提供し、上述において説明した内容の説明は省略する。該システムは、AAAサーバと、AAAクライアントと、アンカーSFAと、基地局とを有し、該システムにおいて、AAAサーバはAAAクライアントに、サービスフローに対する暗号化処理を行う必要があるか否かを指示する指示情報を送信する。AAAクライアントは、アンカーSFAに指示情報を送信する。アンカーSFAは、指示情報を基地局に送信する。基地局は、指示情報に基づいて、サービスフローに暗号化処理を行う、又は非暗号化処理を行う。   Corresponding to the above embodiment, a service flow encryption processing system is provided, and the description of the contents described above is omitted. The system includes an AAA server, an AAA client, an anchor SFA, and a base station. In the system, the AAA server instructs the AAA client whether or not it is necessary to perform encryption processing on the service flow. Send instruction information. The AAA client transmits instruction information to the anchor SFA. The anchor SFA transmits instruction information to the base station. The base station performs encryption processing or non-encryption processing on the service flow based on the instruction information.

図3は、本発明の実施例に係るサービスフローの暗号化処理システムの構造を示すブロック図で、図3に示すように、AAAサーバは、アクセス許可メッセージに指示情報を設定する第1の設定ブロック32と、アクセス許可メッセージをAAAクライアントに送信する第1の送信ブロック34と、を有する。   FIG. 3 is a block diagram showing the structure of the service flow encryption processing system according to the embodiment of the present invention. As shown in FIG. 3, the AAA server sets the instruction information in the access permission message. Block 32 and a first transmission block 34 for transmitting an access grant message to the AAA client.

第1の設定ブロック32が、アクセス許可メッセージのQoS−DescriptorのサブTLVに、サービスフローに暗号化を行う必要があるか否かを指示するTLVを追加することが好ましい。   The first setting block 32 preferably adds a TLV that indicates whether or not the service flow needs to be encrypted to the sub-TLV of the QoS-Descriptor of the access permission message.

図3に示すように、AAAクライアントは、リソース予約要請RR−Reqメッセージのサービスフローパラメータに指示情報を含む第2の設定ブロック36と、RR−ReqメッセージをアンカーSFAに送信する第2の送信ブロック38とを有する。該システムにおいて、AAAサーバと、AAAクライアントと、アンカーSFAと、基地局との間の処理フローは上記実施例にて詳しく説明したので、ここでは省略する。   As shown in FIG. 3, the AAA client has a second configuration block 36 in which the service flow parameter of the resource reservation request RR-Req message includes instruction information, and a second transmission block that transmits the RR-Req message to the anchor SFA. 38. In this system, the processing flow among the AAA server, the AAA client, the anchor SFA, and the base station has been described in detail in the above embodiment, and is omitted here.

本実施例において、AAAサーバにより送信されるアクセス許可メッセージにおけるQoSプロファイル(Profile)パラメータにセキュリティ・レベルパラメータを含めることができる。従って、サービスフローを構築中に、ユーザの各サービスフローはいずれも一つのセキュリティ・レベル値を有する。基地局はセキュリティ・レベル値に基づいて、対応するサービス伝送接続におけるデータを暗号化方式で伝送する必要があるか否かを決める。通常、QoSプロファイルeをAAAサーバにてユーザ及び接続に基づいて配置できるので、サービスフローを暗号化処理して伝送する必要があるか否かについてもユーザ及び接続に基づいて配置できる。   In the present embodiment, the security level parameter can be included in the QoS profile (Profile) parameter in the access permission message transmitted by the AAA server. Thus, during construction of a service flow, each user service flow has a single security level value. Based on the security level value, the base station determines whether the data in the corresponding service transmission connection needs to be transmitted in an encrypted manner. Normally, since the QoS profile e can be arranged on the AAA server based on the user and connection, whether or not the service flow needs to be encrypted and transmitted can be arranged based on the user and connection.

上述のように、上記実施例によると、従来関連技術において基地局がユーザの情報及びQoS属性に基づいてサービスフローセキュリティ要求を配置できないという問題を解決し、ユーザ情報及びQoS属性に基づくサービスフローのセキュリティ要求の配置を実現できる。   As described above, according to the above embodiment, the problem that the base station cannot place the service flow security request based on the user information and the QoS attribute in the related art is solved, and the service flow based on the user information and the QoS attribute is solved. Security request arrangement can be realized.

当業者にとって、上記の本発明の各ブロック又は各ステップは共通の計算装置によって実現でき、単独の計算装置に集中させること、又は複数の計算装置から構成されるネットワークに分布させることができ、さらに計算装置が実行可能なプログラムのコードによって実現できるので、それらを記憶装置に記憶させて計算装置によって実行でき、又は夫々集積回路ブロックに製作し、又はそれらにおける複数のブロック又はステップを単独の集積回路ブロックに製作して実現できることは明らかであろう。このように、本発明は如何なる特定のハードウェアとソフトウェアの組み合わせにも限定されない。   For those skilled in the art, each block or step of the present invention described above can be implemented by a common computing device, concentrated on a single computing device, or distributed over a network composed of multiple computing devices, and Since they can be realized by code of a program executable by a computing device, they can be stored in a storage device and executed by the computing device, or each can be fabricated in an integrated circuit block, or a plurality of blocks or steps in them can be a single integrated circuit It will be clear that this can be achieved by building blocks. Thus, the present invention is not limited to any particular hardware and software combination.

以上は、本発明の好適な実施例に過ぎず、本発明を限定するものではない。当業者であれば本発明に様々な修正や変形が可能であり、本発明の精神や主旨内での如何なる修正、置換、改良などは本発明の保護範囲内に含まれる。
The above are only preferred embodiments of the present invention, and do not limit the present invention. Those skilled in the art can make various modifications and variations to the present invention, and any modifications, substitutions, improvements and the like within the spirit and scope of the present invention are included in the protection scope of the present invention.

Claims (10)

認証・認可・アカウンティング(Authentication Authorization Accounting Server、以下、AAAと略称)サーバが、AAAクライアントに、サービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信し、
前記AAAクライアントが、サービスフロー認可アンカー(Anchor Service Flow Authorization、以下、アンカーSFAと略称)に前記指示情報を送信し、
前記アンカーSFAが、前記指示情報を基地局に送信し、
前記基地局が、前記指示情報に基づいて前記サービスフローに暗号化処理を行うか、又は非暗号化処理を行うステップを含むことを特徴とするサービスフローの暗号化処理方法。 Authentication / Authorization / Accounting (Authentication Authorization Server (hereinafter abbreviated as AAA) server sends instruction information to AAA client indicating whether or not it is necessary to perform encryption processing on the service flow,
The AAA client sends the instruction information to a service flow authorization anchor (Anchor Service Flow Authorization, hereinafter abbreviated as an anchor SFA).
The anchor SFA sends the indication information to a base station;
A service flow encryption processing method comprising: a step in which the base station performs encryption processing or non-encryption processing on the service flow based on the instruction information. 前記AAAサーバが前記AAAクライアントに前記指示情報を送信するステップは、
前記AAAサーバがアクセス許可(Access Accept)メッセージに前記指示情報を含ませるステップと、
前記AAAサーバが前記アクセス許可メッセージを前記AAAクライアントに送信するステップと、を含むことを特徴とする請求項1に記載の方法。 The AAA server transmits the instruction information to the AAA client,
The AAA server including the instruction information in an access permission message;
The method of claim 1, comprising: the AAA server sending the access grant message to the AAA client. 前記AAAサーバが前記アクセス許可メッセージに前記指示情報を含ませるステップは、
前記アクセス許可メッセージのサービス品質記述子(QoS−Descriptor)の「タイプ/長さ/数値」フォーマットのサブTLVに、前記サービスフローに暗号化処理を行う必要があるか否かを指示するTLVを追加するステップを含むことを特徴とする請求項2に記載の方法。 The AAA server includes the instruction information in the access permission message,
Added TLV indicating whether or not encryption processing needs to be performed on the service flow in the subtype TLV of “type / length / numeric” format of the quality of service descriptor (QoS-Descriptor) of the access permission message The method of claim 2 including the step of: 前記AAAクライアントが前記アンカーSFAに前記指示情報を送信するステップは、
前記AAAクライアントがリソース予約要請(RR−Req)メッセージのサービスフローパラメータに前記指示情報を含ませるステップと、
前記AAAクライアントが前記RR−Reqメッセージを前記アンカーSFAに送信するステップと、を含むことを特徴とする請求項1又は3に記載の方法。 The AAA client sends the instruction information to the anchor SFA,
The AAA client including the instruction information in a service flow parameter of a resource reservation request (RR-Req) message;
The method according to claim 1 or 3, comprising the step of the AAA client sending the RR-Req message to the anchor SFA. 前記アンカーSFAが前記指示情報を前記基地局に送信するステップは、
前記アンカーSFAが前記基地局に送信するデータルート登録要請(Path_Reg_Req)メッセージのサービスフローパラメータに前記指示情報を含ませるステップを含むことを特徴とする請求項1又は3に記載の方法。 The anchor SFA transmitting the indication information to the base station comprises:
4. The method according to claim 1, further comprising the step of including the indication information in a service flow parameter of a data route registration request (Path_Reg_Req) message transmitted from the anchor SFA to the base station. 前記基地局が前記指示情報に基づいて前記サービスフローに暗号化処理を行うステップは、
前記基地局が一つのセキュリティアライアンス(SA)を確定し、
前記基地局が前記SAのマークID(SA−ID)と前記サービスフローを関連付け、前記サービスフローに関連付けられたSAのSA−IDを移動局に送信し、
前記基地局及び/又は移動局が前記SA−IDに対応するSAを用いて前記サービスフローのデータストリームに暗号化処理及び/又は復号化処理を行うステップを含むことを特徴とする請求項1に記載の方法。 The base station performing an encryption process on the service flow based on the instruction information,
The base station establishes one security alliance (SA),
The base station associates the SA mark ID (SA-ID) with the service flow, and transmits the SA SA-ID associated with the service flow to the mobile station;
The base station and / or the mobile station includes a step of performing an encryption process and / or a decryption process on a data stream of the service flow using an SA corresponding to the SA-ID. The method described. AAAクライアントにサービスフローに暗号化処理を行う必要があるか否かを指示する指示情報を送信するAAAサーバと、
アンカーSFAに前記指示情報を送信する前記AAAクライアントと、
前記指示情報を基地局に送信する前記アンカーSFAと、
前記指示情報に基づいてサービスフローに暗号化処理を行うか、又は非暗号化処理を行う前記基地局と、を有することを特徴とするサービスフロー暗号化処理システム。 An AAA server that transmits instruction information indicating whether or not it is necessary to perform encryption processing on the service flow to the AAA client;
The AAA client transmitting the instruction information to an anchor SFA;
The anchor SFA for transmitting the indication information to a base station;
A service flow encryption processing system comprising: the base station performing encryption processing on the service flow based on the instruction information or performing non-encryption processing. 前記AAAサーバが、
アクセス許可メッセージに前記指示情報を設定する第1の設定ブロックと、
前記アクセス許可メッセージを前記AAAクライアントに送信する第1の送信ブロックと、を有することを特徴とする請求項7に記載のシステム。 The AAA server is
A first setting block for setting the instruction information in an access permission message;
The system according to claim 7, further comprising: a first transmission block that transmits the access permission message to the AAA client. 前記第1の設定ブロックが、
前記アクセス許可メッセージのサービス品質記述子のサブTLVに、前記サービスフローに暗号化処理を行う必要があるか否かを指示するTLVを追加することを特徴とする請求項8に記載のシステム。 The first setting block is:
9. The system according to claim 8, wherein a TLV indicating whether or not an encryption process needs to be performed on the service flow is added to a sub-TLV of a service quality descriptor of the access permission message. 前記AAAクライアントが、
リソース予約要請メッセージのサービスフローパラメータに前記指示情報を含ませる第2の設定ブロックと、
前記リソース予約要請メッセージを前記アンカーSFAに送信する第2の送信ブロックと、を有することを特徴とする請求項7又は9に記載のシステム。
The AAA client
A second setting block for including the instruction information in a service flow parameter of the resource reservation request message;
The system according to claim 7, further comprising: a second transmission block that transmits the resource reservation request message to the anchor SFA.
JP2012541306A 2009-12-01 2010-11-24 Service flow encryption processing method and system Expired - Fee Related JP5795591B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910246244.7A CN102083062B (en) 2009-12-01 2009-12-01 Method and system for encrypting service flow
CN200910246244.7 2009-12-01
PCT/CN2010/079093 WO2011066779A1 (en) 2009-12-01 2010-11-24 Method and system for service flow encrypton processing

Publications (2)

Publication Number Publication Date
JP2013512631A true JP2013512631A (en) 2013-04-11
JP5795591B2 JP5795591B2 (en) 2015-10-14

Family

ID=44088777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012541306A Expired - Fee Related JP5795591B2 (en) 2009-12-01 2010-11-24 Service flow encryption processing method and system

Country Status (4)

Country Link
JP (1) JP5795591B2 (en)
KR (1) KR101695050B1 (en)
CN (1) CN102083062B (en)
WO (1) WO2011066779A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209402B (en) 2012-01-17 2018-03-23 中兴通讯股份有限公司 Set of terminal accessibility determines method and system
JP6335516B2 (en) * 2014-01-15 2018-05-30 キヤノン株式会社 COMMUNICATION DEVICE, ITS CONTROL METHOD, AND PROGRAM
WO2019174015A1 (en) 2018-03-15 2019-09-19 Oppo广东移动通信有限公司 Data processing method, access network device, and core network device
JP2021503743A (en) * 2017-11-07 2021-02-12 オッポ広東移動通信有限公司Guangdong Oppo Mobile Telecommunications Corp., Ltd. Data processing method and network equipment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101128061B (en) * 2007-09-27 2013-02-27 中兴通讯股份有限公司 Method and system for mobile management unit, evolving base station and identifying whether UI is encrypted
CN101488847B (en) * 2008-01-18 2011-09-14 华为技术有限公司 Method, apparatus and system for data ciphering
EP2101526A1 (en) * 2008-03-10 2009-09-16 Nokia Siemens Networks Oy Indication of entry decisions to local networks
CN101345679B (en) * 2008-08-21 2013-01-16 中兴通讯股份有限公司 QoS guarantee method and system of dynamic business, AAA and Anchor SFA

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6014009324; An Nguyen, Arnaud Tonnerre, Djamal-Eddine Meddour, Sheng Sun, Carlos de Segovia, Richard Li, Bong Ho: 'Priority Access System Architecture for IEEE 802.16m' IEEE S802.16m-07/253r3 , 20080116, p.12-18, IEEE 802.16 Task Group m (TGm) *
JPN6014009330; 'WiMAX Forum Network Architecture' WMF-T32-003-R010v04 Release 1.0, Version 4, 20090203, paragraph 7.6, 7.7, WiMAX FORUM *

Also Published As

Publication number Publication date
JP5795591B2 (en) 2015-10-14
WO2011066779A1 (en) 2011-06-09
CN102083062A (en) 2011-06-01
CN102083062B (en) 2015-05-20
KR101695050B1 (en) 2017-01-10
KR20120117731A (en) 2012-10-24

Similar Documents

Publication Publication Date Title
US10785653B2 (en) Secure short message service over non-access stratum
JP4649513B2 (en) Authentication method for wireless portable internet system and related key generation method
JP4619788B2 (en) Method for protecting identification information in WLAN interconnection
JP5043006B2 (en) Method for distributing security keys during handoff in a wireless communication system
JP5123209B2 (en) Method, system, and authentication center for authentication in end-to-end communication based on a mobile network
US8107630B2 (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
KR20190102068A (en) Security implementation methods, devices, and systems
US11736304B2 (en) Secure authentication of remote equipment
JP2009500913A (en) How to update a pairwise master key
KR100707805B1 (en) Authentication system being capable of controlling authority based of user and authenticator
JP2011512052A (en) Integrated handover authentication method for next-generation network environment to which radio access technology and mobile IP-based mobility control technology are applied
WO2023020164A1 (en) Method and apparatus for managing communication channel
JP5795591B2 (en) Service flow encryption processing method and system
CN112738800A (en) Method for realizing data security transmission of network slice
WO2020087286A1 (en) Key generation method, device, and system
WO2021208644A1 (en) Inter-node privacy communication method and network node
Fernandez et al. Patterns for WiMax security.
JP2005242547A (en) Remote service execution method, remote client, and remote service server
CN115037504A (en) Communication method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140304

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150106

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150501

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150728

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150813

R150 Certificate of patent or registration of utility model

Ref document number: 5795591

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees