FR2999376A1 - Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes - Google Patents

Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes Download PDF

Info

Publication number
FR2999376A1
FR2999376A1 FR1261833A FR1261833A FR2999376A1 FR 2999376 A1 FR2999376 A1 FR 2999376A1 FR 1261833 A FR1261833 A FR 1261833A FR 1261833 A FR1261833 A FR 1261833A FR 2999376 A1 FR2999376 A1 FR 2999376A1
Authority
FR
France
Prior art keywords
management entity
mme
access point
enb
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1261833A
Other languages
English (en)
Inventor
Clech Fabien Le
Frederic Jounay
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR1261833A priority Critical patent/FR2999376A1/fr
Priority to PCT/FR2013/053023 priority patent/WO2014091148A1/fr
Publication of FR2999376A1 publication Critical patent/FR2999376A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé de communication mis en œuvre dans un système de télécommunication comprenant un point d'accès (eNB) et des entités de routage vers un réseau paquet pour router des flux IP entre des terminaux mobiles (UE) et des entités destinataires distantes. Le procédé comprend : - une identification d'au moins deux communautés de canaux logiques (EPS bearer) dites respectivement sécurisée et non sécurisée, - une utilisation de canaux logiques appartenant à la communauté sécurisée pour transporter des flux IP déterminés entre un terminal (UE) et une entité destinataire, - un montage et une utilisation d'un tunnel IPSec entre le point d'accès et une passerelle sécurisée (Security GW) en coupure dans le chemin de routage vers les entités de routage pour transporter le flux IP d'un canal logique (EPS bearer) uniquement si ce canal logique appartient à la communauté sécurisée.

Description

Procédé de communication pour router des flux IP entre des terminaux mobiles et des entités destinataires distantes Domaine de l'invention L'invention se situe dans le domaine des télécommunications et plus particulièrement des réseaux mobiles. La présente invention concerne de manière générale les techniques d'identification de canaux logiques utilisés dans les réseaux mobiles et de transmission mises en jeu au niveau des couches transport d'un réseau de communication.
L'invention trouve une application en particulier dans les réseaux mobiles LTE (dit 4G) puis LTE-adv qui se concrétisent par des normes élaborées par le 3GPP qui définissent en particulier l'accès radio connu sous les termes E-UTRAN. Les évolutions de l'accès radio se sont accompagnées d'évolutions de la partie non radio du système connue sous l'appellation SAE (System Architecture Evolution) ou réseau coeur EPC (Evolved Packet Core). L'EPS (Evolved Packet System) couvre les parties LTE (accès radio) et EPC. Parmi ces normes, la norme TS 23 401 spécifie les aspects liés à la connectivité IP d'un terminal connecté au réseau via un réseau d'accès mobile E-UTRAN. L'architecture de base de l'E-UTRAN est illustrée par la figure 1. Elle consiste en des points d'accès eNBs interconnectés entre eux et connectés au moyen d'une interface S1-MME à l'entité de gestion de la mobilité MME et à une passerelle serveuse S-GW au moyen d'une interface Si-U. La figure 2 est une illustration plus détaillée de l'architecture générale avec les différentes entités et les interfaces entre ces entités. On distingue le terminal UE, la passerelle serveuse S-GW, l'entité MME de gestion de la mobilité, l'entité P-GW qui est une passerelle vers le réseau de paquets PDN (Packet Data Network), l'entité PCRF qui gère les règles de taxation et de qualité de service, le serveur HSS de l'opérateur d'accès (Home Subscriber Server) qui centralise les références des clients et les services auxquels ils ont souscrits ainsi qu'éventuellement des informations de sécurité.
L'EPS utilise des canaux logiques (EPS-Bearers) pour router du trafic IP depuis une passerelle P-GW connectée au réseau PDN de données paquets jusqu'à un terminal UE et depuis le terminal jusqu'à une telle passerelle qui correspondent à une connexion logique entre deux points de terminaison. Lors du transport des paquets d'un flux entre un terminal UE et une passerelle P-GW, le canal logique (EPS-Bearer) associé traverse plusieurs interfaces comme illustré par la figure 3 : l'interface radio ou interface Uu, l'interface S1 entre le point d'accès eNB et la passerelle serveuse S-GW et l'interface S5/S8 entre la passerelle serveuse S-GW et la passerelle P-GW. A chaque interface, l'entité de transmission effectue une association entre le canal logique (EPS bearer) et un canal logique (bearer) associé à une couche plus basse et conserve les identifiants des différents tunnels GTP (bearer IDs) sur ces deux interfaces. L'identifiant d'un canal logique est attribué par la MME. L'architecture au niveau protocole distingue entre le plan utilisateur (user plane) et le plan de contrôle (control plane).
La figure 4 représente le plan de contrôle entre le terminal UE et l'entité MME. Les protocoles NAS sont utilisés pour les échanges dans le plan de contrôle concernant les fonctions de gestion de mobilité et pour l'activation, la desactivation et la modification des canaux logiques (bearer) utilisés dans le plan utilisateur. La figure 5 représente le plan utilisateur entre un terminal UE et une passerelle P- GW. La couche IP est ininterrompue et correspond à une connectivité IP entre l'UE et la P-GW. Un paquet IP est encapsulé lors du transport entre le terminal et la passerelle PGW selon un protocole qui peut varier en fonction des couches de transport disponibles sur l'entité traversée.
Au niveau du terminal et du point d'accès, les trois couches PDCP, RLC et MAC sont connues comme formant la couche 2 ou couches de transport radio entre la couche IP et la couche physique. La couche PDCP qui se termine au point d'accès eNB a pour principales fonctions la compression d'entête, la sécurité (chiffrement et protection de l'intégrité) et le support pour la retransmission durant le handover.
Au-delà du point d'accès, le protocole GTP-U est utilisé au-dessus du protocole UDP/IP pour transporter les données du plan utilisateur dans un tunnel entre le point d'accès eNB et la passerelle serveuse S-GW. L'entité MME contrôle l'établissement des tunnels utilisés dans le plan utilisateur supportant les canaux logiques (bearers) entre le point d'accès eNB et la passerelle S-GW et entre la S-GW et la P-GW. Chaque canal logique (bearer) est identifié par l'identifiant d'un tunnel GTP établit entre deux entités. Les protocoles UDP/IP sont les protocoles de base du réseau de transport utilisés pour router les données et les signaux de contrôle du réseau mobile. Un point d'accès eNB accueille plusieurs fonctions dont des fonctions de gestion des ressources radio et en particulier le contrôle des canaux radio (Radio-Bearer).
Le montage d'un canal logique (EPS-Bearer) intervient lors de la mise en route du terminal via une requête « Network attach » ou lors d'une requête de service « Service request » émanant du terminal. Ces requêtes interviennent dans le plan de contrôle et font partie de la signalisation entre le terminal UE et l'entité de gestion de la mobilité MME (signalisation NAS). Un canal logique (EPS-Bearer) transporte un flux IP entre le terminal et la passerelle P-GW, flux auquel est associée une qualité de service (QoS). On peut distinguer différents types de canaux logiques (EPS Bearer) : les canaux logiques à débit garanti (GBR EPS Bearer) et les canaux logiques à débit non garanti (non GBR EPS Bearer). Par exemple, un type de canal logique (EPS-Bearer QCI 1) est défini avec des paramètres de QoS pour supporter un service de voix sur IP (VoIP). Le LTE distingue neuf profils différents de QoS identifiés par l'identifiant QCI. Chaque profil est caractérisé par une priorité, un budget de temps de transmission (packet delay budget) et un taux de perte de paquet acceptable. L' appartenance à un même profil garantie donc un même traitement par les points d'accès eNBs entre différents flux en termes de priorité, de délai et de perte de paquet. Un canal logique (EPS-Bearer) ne peut être associé qu' à un seul et unique identifiant QCI. L'opérateur du réseau mobile décide comment utiliser les canaux logiques (EPSBearer) de types différents en fonction des différents services supportés et de leurs contraintes de QoS associées (SLA : Service Level Agreement).. Selon la norme LTE, il existe un canal logique (EPS-Bearer) par défaut avec un profil de QoS par défaut sans garantie de débit qui est celui monté lorsque le terminal s'attache au réseau. Plusieurs canaux logiques (EPS-Bearer) peuvent être montés pour un même terminal UE pour supporter des flux de différents profils de QoS associés à un ou plusieurs services ou pour supporter des connectivités avec plusieurs passerelles P-GW. Les entités qui supportent ces différents canaux logiques (EPS-bearer) appliquent donc des règles de traitement différentes en fonction uniquement des identifiants QCI de ces canaux logiques (EPS bearer). Les réseaux dits 4G, en particulier le LTE et le LTE-Adv présentent une différence notable avec un réseau UMTS dit 3G au niveau de la continuité des couches entre le réseau d'accès et le réseau de communication et des points de terminaison des fonctions. Art antérieur En comparant l'architecture du réseau d'accès d'un réseau UMTS avec celle d'un réseau LTE, il s'avère qu'il n'y a plus à partir de la version 8 (Release 8) dans un réseau d'accès LTE d'entité qui corresponde à l'entité de contrôle RNC du réseau d'accès UMTS. Cette entité RNC gère le chiffrement des données avec le terminal via la couche PDCP dans un réseau 3G. Cette entité RNC permet d' assurer la sécurité du transport des données échangées avec un terminal mobile. Dans le réseau LTE ces fonctions de sécurité ont leur point terminal dans le point d'accès eNB lui-même du réseau d'accès E-UTRAN. Or ce point d'accès eNB est localisé en un point géographique dont l'accès n'est pas toujours très contrôlé et sécurisé contrairement à l'entité RNC du réseau d'accès UMTS qui est situé dans les locaux de l'opérateur de ce réseau. Il existe donc un risque potentiel d'un acte malveillant consistant à espionner les interfaces d'un point d'accès eNB et à récupérer les données qui circulent en claire sur ces interfaces. Une solution radicale consiste à disposer les points d'accès eNB en des lieux totalement contrôlés et sécurisés hors de tout accès public. Une telle solution se heurte bien entendu au coût associé compte tenu que ces points d'accès doivent être largement déployés sur un territoire. Une telle solution peut être envisageable dans une zone de faible densité avec l'acquisition du terrain d'installation du point d'accès eNB mais dans une zone de forte densité il est difficile d'envisager d'interdire l'accès aux toits d'immeubles privatifs. La solution actuellement proposée et compatible des standards du 3GPP consiste à sécuriser toute donnée accessible en claire aux interfaces des points d'accès eNB. Une telle solution entraîne des coûts importants en termes de CAPEX et en termes d'OPEX. Le CAPEX correspond au coût de la fonction IPSec et de la passerelle Security GW et l'OPEX correspond à l'augmentation de trafic induite par la fonction IPSec du fait de l'ajout d'un entête pour encapsuler les données.
Exposé de l'invention L'invention propose un procédé de communication mis en oeuvre dans un système de télécommunication comprenant un point d'accès et des entités de routage vers un réseau paquet pour router des flux IP entre des terminaux mobiles et des entités destinataires distantes. Le procédé comprend : - une identification d' au moins deux communautés de canaux logiques dites respectivement sécurisée et non sécurisée, une utilisation de canaux logiques appartenant à la communauté sécurisée pour transporter des flux IP déterminés entre un terminal et une entité destinataire, un montage et une utilisation d'un tunnel IPSec entre le point d'accès et une passerelle sécurisée en coupure dans le chemin de routage vers les entités de routage pour transporter le flux IP d'un canal logique uniquement si ce canal logique appartient à la communauté sécurisée. Selon un mode de réalisation particulier, un même tunnel IPSec est utilisé pour transporter des flux IP déterminés de différents terminaux vers une ou plusieurs entités destinataires. Selon un mode de réalisation particulier, le procédé comprend en outre : une identification de deux autres communautés de canaux logiques dites respectivement IPv4 et IPv6.
Liste des figures D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels : la figure 1, déjà commentée en relation avec l'art antérieur, est une illustration de l'architecture de base de l'E-UTRAN et d'une partie de l'EPC, la figure 2 déjà commentée en relation avec l'art antérieur, est une illustration plus détaillée de l'architecture de base de l'E-UTRAN et de l'EPC, la figure 3 déjà commentée en relation avec l'art antérieur, est une illustration des interfaces traversées par un canal logique (EPS-Bearer), - la figure 4 déjà commentée en relation avec l'art antérieur, est une illustration du plan de contrôle entre le terminal UE et l'entité MME, la figure 5 déjà commentée en relation avec l'art antérieur, est une illustration du plan utilisateur entre un terminal UE et une passerelle P-GW, la figure 6 est un schéma du déroulement de la procédure d' attachement «Attach procedure », la figure 7 est un schéma du déroulement de la procédure de demande d'un service «Service request procedure». Description d'un mode de réalisation de l'invention Le principe général de l'invention repose sur la distinction de différentes communautés de canaux logiques (EPS bearer). Les canaux logiques sont mis en oeuvre dans le réseau mobile entre l'UE et la PGW pour transporter les données entre un utilisateur et un équipement distant mis en communication par un réseau d'accès et des entités de routage vers un réseau paquet. L'invention permet avantageusement de distinguer au moins deux communautés, une communauté de canaux logiques sécurisés et une communauté de canaux logiques non sécurisées. D' autres communautés peuvent être distinguées, par exemple une communauté de canaux logiques transportés sur le protocole IPv6 et une communauté de canaux logiques transportés sur IPv4. Dans ce cas une association entre les canaux logiques « IPv6 » et un plan de routage IPv6 est réalisée au niveau des équipements eNB, S-GW et P-GW. La communauté de canaux logiques sécurisés implique la mise en place d'un tunnel IPSec entre le point d'accès au réseau d'accès et une passerelle sécurisée SecurityGW (Security gateway). Ce type de tunnel est décrit en particulier dans le document IETF RFC2401. Il permet d'assurer un transport sécurisé entre deux entités distantes sur tout le chemin même si ce chemin passe par d'autres entités de routage. Un tel tunnel IPSec nécessite la mise en oeuvre d' algorithmes de cryptographie pour assurer l'authentification des entités, l'intégrité des données, le chiffrement des données. Ceci est très couteux particulièrement en bande passante et en ressources requises sur les deux entités. L'invention est extrêmement avantageuse car elle permet de limiter ces coûts (CAPEX et OPEX) au minimum en permettant de distinguer les canaux logiques qui nécessitent un transport sécurisé des données de ceux qui ne nécessitent pas une telle sécurité et ce, de façon très simple.
L'invention permet ainsi de marquer les canaux logiques en fonction de leur appartenance à une des communautés et d'appliquer des règles de configuration spécifiques à ces communautés dans les noeuds du système de télécommunication LTE/EPC. L'invention permet en outre d'appliquer des règles de paiement spécifiques au traitement des canaux logiques appartenant à une communauté et donc de monétiser par client un service appliqué à ses canaux logiques établis entre le terminal UE et la passerelle P-GW. Par exemple, dans le cas de la sécurisation des données, l'utilisateur peut souscrire à un service payant qui permet de supporter l'investissement supplémentaire lié à l'utilisation d'une passerelle de sécurité Security GW. Le procédé de communication selon l'invention est mis en oeuvre dans un système de télécommunication comprenant un point d' accès et des entités de routage. Lorsque le système de télécommunication correspond à un système compatible des spécifications du 3GPP concernant l'E-UTRAN et l'EPC, le point d'accès est une entité eNB, et les entités de routage comprennent une passerelle serveuse S-GW et une passerelle P-GW vers un réseau paquet. Le système de télécommunication permet de router des flux IP entre des terminaux mobiles et des entités destinataires distantes. Le procédé comprend : une identification d'au moins deux communautés de canaux logiques (EPS bearer) dites respectivement sécurisée et non sécurisée, une utilisation de canaux logiques appartenant à la communauté sécurisée pour transporter des flux IP déterminés entre un terminal et une entité destinataire, un montage d'un tunnel IPSec entre le point d'accès et une passerelle sécurisée (Security GW) en coupure dans le chemin de routage vers les entités de routage pour transporter le flux IP d'un canal logique (EPS bearer) uniquement si ce canal logique appartient à la communauté sécurisée. L'appartenance à une communauté impacte deux procédures existantes spécifiées dans le standard TS 23 401, la procédure d'attachement «Attach procedure » spécifiée au paragraphe 5.3.2 et dont le déroulement est donnée à la figure 6 et la procédure de demande d'un service «Service request procedure» spécifiée au paragraphe 5.3.4 et dont le déroulement est donnée à la figure 7. Pour ces deux procédures, les règles locales appliquées par les noeuds du système de télécommunications sont détaillées ci-après. Les procédures « Network attach » et « Service request » sont initiées par le terminal UE et adressées vers l'entité de gestion de la mobilité MME. Lors du déroulement de ces procédures, l'entité des abonnées HSS (Home Subscriber Server) informe l'entité de gestion de la mobilité MME du fait que l'utilisateur a souscrit ou non à un service « communautaire » et si par conséquent le canal logique (EPS Bearer) à établir appartient à une communauté prédéfinie. Selon l'invention, un nouveau champ est défini dans les messages de dialogue entre l'entité de gestion de la mobilité MME et l'entité des abonnées HSS de la procédure «Network Attach». Plus particulièrement, en réponse à un message «Update Location Request» envoyé par la MME au HSS, le message «Update Location Ack » envoyé par le HSS à la MME comprend un champ Subscription data qui comprend au moins un contexte de souscription PDN (PDN subscription context) qui contient un profile de QoS (EPS subscribed QoS profile) avec en particulier le paramètre QCI du canal de transport (EPS Bearer) à établir. Selon l'invention ce dernier profil est modifié par l'ajout d'un champ relatif à la communauté à laquelle appartient le canal logique. En ce qui concerne la procédure «Service request», un échange de messages est réalisé également entre l'entité de gestion de la mobilité MME et l'entité de gestion de services des abonnées HSS. Cet échange est similaire à l'échange modifié « Update Location Request / Update Location Ack » de la procédure «network attach ». Dans le déroulement des procédures «Network Attach» et «Service request», l'entité de gestion de la mobilité MME informe le point d'accès eNB du fait que l'utilisateur a souscrit ou non à un ou des services de type communautaire, c'est-à-dire si le canal logique (EPS Bearer) à établir correspondant au service demandé appartient à une communauté prédéfinie. Selon l'invention, un nouveau champ est défini dans les messages de dialogue entre l'entité de gestion de la mobilité MME et l'eNB. Plus particulièrement, le message «Initial Context Setup Request » utilisé respectivement dans les procédures «Service request» et «Network Attach» est modifié pour comprendre outre un certain nombre de champs dont le champ « EPS Bearer QoS(s) » respectivement « EPS Bearer Identity », le champ relatif à la communauté à laquelle appartient le canal logique à établir. Ce champ sert à enrichir le profil utilisateur maintenu au niveau de l'eNB. Ce nouveau champ indiquant la communauté à laquelle appartient le canal logique est ajouté au message « Initial Context Setup Response » envoyé par l'eNB à la MME.
Connaissant la communauté à laquelle appartient le canal logique, le point d'accès eNB peut alors monter un tunnel IPSec uniquement si cette communauté est la communauté sécurisée. L'utilisation du tunnel IPSec se fait avantageusement de manière dynamique à chaque demande de service se basant sur une communauté spécifique de canaux logiques par un terminal UE. Un tel procédé selon l'invention peut permettre de sécuriser des données de trafic Internet associé à une connexion à des services tels Facebook, Skype, Youtube pour lesquels les utilisateurs échangent des données personnelles en fonction des choix de l'utilisateur. Selon un mode de réalisation particulier, le procédé comprend en outre, lors de l'établissement d'un canal logique pour router un flux IP : un échange de messages entre une entité de gestion de la mobilité MME et une entité de gestion des services des abonnées HSS, l'entité de gestion de la mobilité MME et l'entité des abonnées HSS faisant partie du système de télécommunication, tel que : l'entité de gestion de la mobilité MME émet un message de requête de mise à jour de localisation «Update Location Request», l'entité de gestion des services des abonnées HSS répond avec un message de retour «Update Location Ack » qui comprend au moins un profil de QoS « EPS subscribed QoS profile » du canal logique EPS Bearer à établir, le profil comprenant un champ relatif à la communauté à laquelle appartient le canal logique à établir, et comprend en outre : un échange de messages entre l'entité de gestion de la mobilité MME et le point d'accès eNB au cours duquel l'entité de gestion de la mobilité MME informe le point d'accès eNB de la communauté à laquelle appartient le canal logique EPS Bearer à établir et de l'adresse IP de la passerelle sécurisée Security GW à utiliser dans le sens montant sur l'interface Si-U et au cours duquel le point d'accès eNB informe l'entité de gestion de la mobilité MME de la prise en compte de la communauté du canal logique avec l'adresse IP du tunnel entre le point d'accès eNB et une passerelle serveuse à utiliser dans le sens descendant sur l'interface Si-U.

Claims (7)

  1. REVENDICATIONS1. Procédé de communication mis en oeuvre dans un système de télécommunication comprenant un point d'accès (eNB) et des entités de routage vers un réseau paquet pour router des flux IP entre des terminaux mobiles (UE) et des entités destinataires distantes, caractérisé en ce que le procédé comprend : une identification d' au moins deux communautés de canaux logiques (EPS bearer) dites respectivement sécurisée et non sécurisée, une utilisation de canaux logiques appartenant à la communauté sécurisée pour transporter des flux IP déterminés entre un terminal (UE) et une entité destinataire, un montage et une utilisation d'un tunnel IPSec entre le point d'accès et une passerelle sécurisée (Security GW) en coupure dans le chemin de routage vers les entités de routage pour transporter le flux IP d'un canal logique (EPS bearer) uniquement si ce canal logique appartient à la communauté sécurisée.
  2. 2. Procédé de communication selon la revendication 1 dans lequel un même tunnel IPSec est utilisé pour transporter des flux IP déterminés de différents terminaux (UE) vers une ou plusieurs entités destinataires.
  3. 3. Procédé de communication selon la revendication 1 comprenant en outre : une identification de deux autres communautés de canaux logiques dites respectivement IPv4 et IPv6.
  4. 4. Procédé de communication selon la revendication 1 comprenant en outre, lors de l'établissement d'un canal logique pour router un flux IP: un échange de messages entre une entité de gestion de la mobilité (MME) et une entité de gestion des services des abonnées (HSS), l'entité de gestion de la mobilité (MME) et l'entité des abonnées (HSS) faisant partie du système de télécommunication, tel que : l'entité de gestion de la mobilité (MME) émet un message de requête de mise à jour de localisation («Update Location Request»), l'entité de gestion des services des abonnées (HSS) répond avec un message de retour («Update Location Ack ») qui comprend au moins un profil de QoS (« EPS subscribed QoS profile ») du canal logique (EPS Bearer) à établir, le profil comprenant un champ relatif à la communauté à laquelle appartient le canal logique à établir, et comprenant en outre un échange de messages entre l'entité de gestion de lamobilité (MME) et le point d'accès (eNB) au cours duquel l'entité de gestion de la mobilité (MME) informe le point d'accès (eNB) de la communauté à laquelle appartient le canal logique (EPS Bearer) à établir et de l'adresse IP de la passerelle sécurisée (Security GW) à utiliser dans le sens montant sur l'interface si-U et au cours duquel le point d'accès (eNB) informe l'entité de gestion de la mobilité (MME) de la prise en compte de la communauté du canal logique avec l'adresse IP du tunnel entre le point d'accès (eNB) et une passerelle serveuse à utiliser dans le sens descendant sur l'interface Sl-U.
  5. 5. Procédé de communication selon la revendication 4 dans lequel l'échange de messages entre l'entité de gestion de la mobilité (MME) et le point d'accès (eNB) intervient lors d'une procédure d'attachement d'un terminal au point d'accès (eNB).
  6. 6. Procédé de communication selon la revendication 4 dans lequel l'échange de messages entre l'entité de gestion de la mobilité (MME) et le point d'accès (eNB) intervient lors d'une demande de service par un terminal (UE) ou par le réseau (MME).
  7. 7. Utilisation d'un procédé selon l'une des revendications 1 à 6 pour protéger des données liées à un service requis à partir d'un terminal mobile (UE), le service étant identifié dans l'entité de gestion des services des abonnées (HSS) comme appartenant à la communauté sécurisée pour un abonné associé au terminal (UE).20
FR1261833A 2012-12-10 2012-12-10 Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes Pending FR2999376A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1261833A FR2999376A1 (fr) 2012-12-10 2012-12-10 Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes
PCT/FR2013/053023 WO2014091148A1 (fr) 2012-12-10 2013-12-10 Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1261833A FR2999376A1 (fr) 2012-12-10 2012-12-10 Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes

Publications (1)

Publication Number Publication Date
FR2999376A1 true FR2999376A1 (fr) 2014-06-13

Family

ID=48407622

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1261833A Pending FR2999376A1 (fr) 2012-12-10 2012-12-10 Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes

Country Status (2)

Country Link
FR (1) FR2999376A1 (fr)
WO (1) WO2014091148A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104796408B (zh) * 2015-03-25 2018-11-02 广州视睿电子科技有限公司 单点直播登录方法及单点直播登录装置
FR3093879B1 (fr) * 2019-03-15 2021-04-09 Renault Sas Réduction de la surface d’attaque dans un système de communications

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009051528A1 (fr) * 2007-10-17 2009-04-23 Telefonaktiebolaget Lm Ericsson (Publ). Procédé et agencement pour déterminer un réglage de sécurité
US20110271320A1 (en) * 2010-04-30 2011-11-03 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009051528A1 (fr) * 2007-10-17 2009-04-23 Telefonaktiebolaget Lm Ericsson (Publ). Procédé et agencement pour déterminer un réglage de sécurité
US20110271320A1 (en) * 2010-04-30 2011-11-03 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment

Also Published As

Publication number Publication date
WO2014091148A1 (fr) 2014-06-19

Similar Documents

Publication Publication Date Title
US11929977B2 (en) System, apparatus and method to support data server selection
EP2437454B1 (fr) Procédé, dispositif et système pour transmission par paquets de données de service
US20210176327A1 (en) Policy-driven local offload of selected user data traffic at a mobile edge computing platform
KR101545879B1 (ko) 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치
EP2438773B1 (fr) Commande opérateur des ressources pour abonnés itinérants
EP2441211B1 (fr) Contrôle des performances dans un réseau de communication
US9992705B2 (en) Wi-Fi calling quality of service on trusted WLAN networks
US9642032B2 (en) Third party interface for provisioning bearers according to a quality of service subscription
KR101613895B1 (ko) 신뢰된 비 3gpp 액세스 네트워크를 통해 접속된 사용자 장비에 대하여 3gpp hplmn에서 서비스 전달 플랫폼에 의해 전달된 서비스들에 대한 액세스의 허용
EP2521385B1 (fr) Procédé de commande de politique et de facturation, passerelle et terminal mobile associés
US20070287417A1 (en) Mobile Network Security System
US8862869B1 (en) Method and apparatus for providing network initiated session encryption
CN103119981B (zh) 服务质量控制方法和设备
FI124279B (fi) Suojattu datanlähetys viestintäjärjestelmässä
CN105376795A (zh) 用于无线电信道状态和基站拥塞状态的分发的系统和方法
US9647935B2 (en) Inter-layer quality of service preservation
US11463939B2 (en) Method of implementing 5G core roaming routing in an IPX network
WO2014091148A1 (fr) Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes
EP3314974B1 (fr) Établissement d'une porteuse dédiée dans un réseau de communication radio
EP3213541B1 (fr) Gestion de politique gx basée sur une authentification radius/diameter et déclenchée par un changement de localisation de l'utilisateur
US11432121B2 (en) Service function chain interworking
JP2019505123A (ja) 電気通信ネットワークとユーザ機器との間の通信を処理するための方法
JP2014036384A (ja) フロー分配システム、フロー分配装置、フロー分配方法、及びプログラム
US20230261997A1 (en) Policy provisioning to a mobile communication system
US8843128B2 (en) Roaming session termination triggered by roaming agreement/partner deletion