JP2009532959A - Communication method and communication system in user network - Google Patents

Communication method and communication system in user network Download PDF

Info

Publication number
JP2009532959A
JP2009532959A JP2009503394A JP2009503394A JP2009532959A JP 2009532959 A JP2009532959 A JP 2009532959A JP 2009503394 A JP2009503394 A JP 2009503394A JP 2009503394 A JP2009503394 A JP 2009503394A JP 2009532959 A JP2009532959 A JP 2009532959A
Authority
JP
Japan
Prior art keywords
user
management entity
user device
communication
point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009503394A
Other languages
Japanese (ja)
Inventor
チョン、ヨンフェン
チャン、リン
リウ、リン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2009532959A publication Critical patent/JP2009532959A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ユーザネットワークにおける通信方法と通信システムは、ポイントツーポイント接続を形成する前に、ユーザネットワークにある2台のUEがアクセスネットワークを介して該当するUEのセキュリティ認証を管理エンティティに要求し、該当するUEの認証をパスしてからポイントツーポイント接続を形成する。管理エンティティは認証されたUEに鍵を提供し、データ伝送のセキュリティを保証することができる。2台のUEが同じパーソナルエリアネットワークにあるならば、ポイントツーポイント接続はパーソナルエリアネットワーク範囲における直接接続となる。2台のUEが同じパーソナルエリアネットワークになければ、ポイントツーポイント接続はそれぞれのアクセスネットワークによって形成される遠隔接続となる。本発明を使用することで、ユーザネットワークにおけるUE間のデータ伝送のセキュリティが保証される。  In the communication method and communication system in a user network, before forming a point-to-point connection, two UEs in the user network request security authentication of the corresponding UE via the access network from the management entity, and the corresponding UE After passing the authentication, a point-to-point connection is formed. The management entity can provide keys to authenticated UEs to ensure the security of data transmission. If the two UEs are in the same personal area network, the point-to-point connection is a direct connection in the personal area network range. If the two UEs are not in the same personal area network, the point-to-point connection is a remote connection formed by the respective access network. By using the present invention, the security of data transmission between UEs in the user network is guaranteed.

Description

本発明は通信分野に関し、特にユーザネットワークのユーザ装置間の通信技術に関する。   The present invention relates to the communication field, and in particular, to a communication technique between user devices of a user network.

近年、科学技術の発展とハイテク製品の要求の高まりに伴い、ますます多くの周辺装置が所有されている。ユーザは複数のラップトップや携帯電話を持っているだけでなく、プリンタ、スキャナ、モデムといった周辺装置をPCに接続しなければならない。ユーザは、USBインタフェースを使用してデジタルカメラの画像を転送し、その画像をハードディスクに保存する必要が生じる場合もあるだろう。インタフェース、またPCにからみつくようにあるワイヤーやケーブルのプラグを頻繁に抜き差しすることは、ユーザにとっては新しい技術を享受しつつも不便を感じさせられる。さらに、企業における種々の部署のスタッフ間の情報通信も、現代企業における情報通信の可動化に対して高い要求を課する。制限されたオフィス環境に構築されたローカルエリアネットワークは情報と装置(例えば、プリンタやスキャナ)の共有を実現できるが、複雑な配線によって不便が生じる。   In recent years, with the development of science and technology and the increasing demand for high-tech products, more and more peripheral devices are owned. In addition to having multiple laptops and mobile phones, users must connect peripheral devices such as printers, scanners, and modems to the PC. The user may need to transfer an image from the digital camera using the USB interface and save the image to a hard disk. Frequently plugging and unplugging wires and cable plugs that entangle with the interface and PC can be inconvenient for the user while enjoying the new technology. In addition, information communication between staff in various departments in a company imposes high demands on the mobility of information communication in modern companies. A local area network built in a restricted office environment can share information and devices (eg, printers and scanners), but inconvenience arises due to complex wiring.

このような事態を考慮し、パーソナルエリアネットワーク(PAN)という新しいコンセプトが提案された。PANとは、サービスが豊富な狭い範囲内の特定のグループのために無線接続を実現するモバイル通信ネットワークである。これは、広域ネットワークとローカルエリアネットワークに匹敵するワイヤレスネットワークであるが、狭い範囲内のものである。   In consideration of this situation, a new concept called personal area network (PAN) has been proposed. A PAN is a mobile communication network that provides wireless connectivity for a specific group within a narrow range that is rich in services. This is a wireless network comparable to a wide area network and a local area network, but within a narrow range.

PANのコンセプトは、これまでの有線ケーブルを無線または赤外線に代え、個人的な情報端末間のインテリジェントな相互接続を実現し個別の情報ネットワークを構築することである。コンピュータネットワークの観点からいうとPANはローカルエリアネットワークであり、テレコミュニケーションネットワークの観点からいうとPANはアクセスネットワークである。したがって、PANはテレコミュニケーションネットワークの「最後の1メートル」のためのソリューションと呼ばれている。PANは、音声通信ゲートウェイ、データ通信ゲートウェイ、情報機器の相互接続手段、自動情報交換手段などを主に含む家庭や小さなオフィスにおけるアプリケーション用である。   The concept of PAN is to replace the conventional wired cable with wireless or infrared, and realize intelligent interconnection between personal information terminals and construct individual information networks. From a computer network perspective, PAN is a local area network, and from a telecommunications network perspective, PAN is an access network. PAN is therefore called the solution for the “last meter” of a telecommunications network. PAN is for applications in homes and small offices mainly including voice communication gateways, data communication gateways, information device interconnection means, automatic information exchange means, and the like.

PANのための技術は主にブルートゥースや赤外線データ通信協会(IRDA)の赤外線通信技術を含む。   Technologies for PAN mainly include the infrared communication technology of Bluetooth and Infrared Data Communication Association (IRDA).

PANによると、同じユーザに近接するユーザ装置(UE)全てに対して管理と情報交換をうまく行うことができる。しかしPANのネットワーク範囲は狭く、携帯電話のように移動性の高いUEは1つのPAN内に限定できそうにない。ユーザが所有するUE全てを管理しやすくするために、同じユーザに属するUEでユーザネットワークを構築する。このネットワークは、複数の物理的に離れたUEまたはUEからなる複数のPANを含むことができる。   According to PAN, management and information exchange can be successfully performed for all user equipments (UEs) close to the same user. However, the network range of the PAN is narrow, and it is unlikely that a highly mobile UE such as a mobile phone can be limited to one PAN. In order to easily manage all UEs owned by the user, a user network is constructed with UEs belonging to the same user. The network may include multiple physically separated UEs or multiple PANs consisting of UEs.

先行技術では、同じユーザネットワークのUE間の通信には2つのケースがある。第1は、通信するUEが両方とも同じユーザネットワークの同じPANにあるケース、すなわち2台の近接したUE間の通信というケースである。この場合、2台のUE間のポイントツーポイント通信は、ブルートゥース、赤外通信などの無線技術またはUSBケーブルを含めた有線技術によって、ネットワークプロバイダーの管理なしで直接実行できる。すなわち2台のUEは、図1に示すように、コアネットワークを通らずにPAN内の近接した接続によって互いに直接通信する。図1では、UE1とUE2がこの通信モードを採用している。   In the prior art, there are two cases for communication between UEs in the same user network. The first is the case where both communicating UEs are in the same PAN of the same user network, i.e. communication between two adjacent UEs. In this case, the point-to-point communication between the two UEs can be directly performed without the management of the network provider by a wireless technology such as Bluetooth or infrared communication or a wired technology including a USB cable. That is, as shown in FIG. 1, the two UEs communicate directly with each other through a close connection in the PAN without passing through the core network. In FIG. 1, UE1 and UE2 adopt this communication mode.

第2のケースでは、同じアクセスネットワークにない、すなわち図1のUE1とUE3のように同じPANにないUEについては、これらの間の通信は遠隔通信が必要なためにネットワークプロバイダーによって提供されるスイッチセンターによって切り替えなければならない。換言すると、UE1とUE2が通信しなければならないとき、UE1はアクセスネットワークAを通じて要求を発し、スイッチセンターとアクセスネットワークBを通じてUE3に到達する。若干の制御信号伝達を除けば、UE1のデータもUE3に到達するまでにアクセスネットワークA、スイッチセンター、アクセスネットワークBを通過しなければならない。   In the second case, for UEs that are not in the same access network, ie not in the same PAN, such as UE1 and UE3 in FIG. 1, the communication between them is a switch provided by the network provider because it requires remote communication It must be switched by the center. In other words, when UE1 and UE2 have to communicate, UE1 issues a request through access network A and reaches UE3 through the switch center and access network B. With the exception of some control signaling, UE1 data must also pass through access network A, switch center, and access network B before reaching UE3.

実際のアプリケーションでは、同じユーザネットワークにあるUE間の通信のセキュリティを上述の解決策で保証することはできず、UE間の通信がスイッチセンターのリソースをかなりの程度占有している。   In actual applications, the security of communication between UEs in the same user network cannot be guaranteed with the above solution, and communication between UEs occupies a considerable amount of switch center resources.

同じユーザネットワーク内の同じPANにあるUEはポイントツーポイント通信を採用している、すなわちUEは両方ともコアネットワークを通さずにPAN内で直接通信しているので、セキュリティ認証手段を持たないという理由で通信セキュリティを保証できない。同じユーザネットワークで通信するUEが同じPANになければ、この両者はかなりのリソースが占有されているスイッチセンターを通じて通信しなければならない。   Reasons that UEs in the same PAN in the same user network employ point-to-point communication, i.e. both UEs communicate directly in the PAN without going through the core network, so they do not have security authentication means Cannot guarantee communication security. If no UEs communicating in the same user network are in the same PAN, they must communicate through a switch center where considerable resources are occupied.

本発明の実施形態は、ユーザネットワークにおけるUE間の通信セキュリティを保証できる、ユーザネットワークにおけるユーザ装置の通信システムおよび方法を提供する。   Embodiments of the present invention provide a communication system and method for a user equipment in a user network, which can guarantee communication security between UEs in the user network.

本発明の実施形態は、ユーザネットワークで使用するための通信方法を提供し、この方法は、同じユーザに属する第1のユーザ装置と第2のユーザ装置が通信を必要とする場合、第1のユーザ装置はユーザ装置の登録情報を保存している管理エンティティに通信要求を送信し、第2のユーザ装置との接続を確立し、管理エンティティは通信要求と保存されている登録情報に基づいて第1および第2のユーザ装置のセキュリティ認証を行い、認証の成功後に、第1のユーザ装置と第2のユーザ装置はポイントツーポイント接続を確立する。   Embodiments of the present invention provide a communication method for use in a user network, where the first user device and the second user device belonging to the same user need to communicate with each other. The user device transmits a communication request to the management entity that stores the registration information of the user device and establishes a connection with the second user device, and the management entity sets the connection based on the communication request and the stored registration information. Security authentication of the first and second user devices is performed, and after successful authentication, the first user device and the second user device establish a point-to-point connection.

本発明の実施形態は、同じユーザに属する少なくとも2台のユーザ装置とアクセスネットワークを有するユーザネットワーク通信システムを提供し、このシステムは、ユーザ装置の登録情報を保存し、ユーザ装置のセキュリティ認証を行うように構成された管理エンティティを含み、第1のユーザ装置が第2のユーザ装置と通信する必要が生じた場合、第1のユーザ装置は管理エンティティに通信要求を送信し、管理エンティティは通信要求と保存されている登録情報にしたがって第1および第2のユーザ装置のセキュリティ認証を行い、認証の成功後に第1のユーザ装置と第2のユーザ装置はポイントツーポイント接続を直接確立する。   Embodiments of the present invention provide a user network communication system having an access network and at least two user devices belonging to the same user, the system stores registration information of the user device and performs security authentication of the user device When the first user equipment needs to communicate with the second user equipment, the first user equipment sends a communication request to the management entity, and the management entity sends a communication request According to the stored registration information, security authentication of the first and second user devices is performed, and after successful authentication, the first user device and the second user device directly establish a point-to-point connection.

要約すると、本発明の実施形態では、ユーザネットワークにある2台のUEがポイントツーポイント接続を確立する前に、まず該当するUEのセキュリティ認証をアクセスネットワークを介して管理エンティティに要求し、該当するUEが認証をパスしたときだけポイントツーポイント接続が確立される。接続を確立する前にセキュリティ認証を付加することで、無効なUEがユーザネットワーク内のUEに無許可のアクセスを行うことを回避できる。管理エンティティは、承認に成功したUEに鍵を提供することで、データ伝送のセキュリティを向上させることもできる。   In summary, according to an embodiment of the present invention, before two UEs in a user network establish a point-to-point connection, first request the security authentication of the corresponding UE to the management entity via the access network, and A point-to-point connection is established only when the UE passes authentication. By adding the security authentication before establishing the connection, it is possible to prevent an invalid UE from performing unauthorized access to the UE in the user network. The management entity can also improve the security of data transmission by providing a key to a UE that has been successfully authorized.

同じユーザに属する2台のUEが通信を必要とする場合、管理エンティティがこの2台のUEに対してユーザネットワークにおいてセキュリティ認証を行い、両方のUEの有効性を保証する。認証をパスした後、さらに管理エンティティによって鍵が両方のUEに与えられ、通信当事者間のデータ伝送のセキュリティが保証される。   When two UEs belonging to the same user require communication, the management entity performs security authentication in the user network for the two UEs and guarantees the validity of both UEs. After passing the authentication, a key is also given to both UEs by the management entity to ensure the security of data transmission between the communicating parties.

2台のUEが同じパーソナルエリアネットワークになければ、ポイントツーポイント接続は各アクセスネットワークを介して確立された遠隔接続となる。2台のUE間のポイントツーポイント接続はスイッチセンターを通らないため、スイッチセンターのリソースを遠隔通信のために取っておける。   If the two UEs are not in the same personal area network, the point-to-point connection is a remote connection established via each access network. Since the point-to-point connection between two UEs does not go through the switch center, the switch center resources can be reserved for remote communication.

本発明の目的、技術的な解決策、利点を明確にするために、本発明についてのさらに詳細な説明を、図面を参照して以下で行う。   In order to clarify the objects, technical solutions and advantages of the present invention, a more detailed description of the present invention will be given below with reference to the drawings.

本発明の第1の実施形態に係る、ユーザネットワークにおけるUEの通信システムについて以下に説明する。   A UE communication system in a user network according to the first embodiment of the present invention will be described below.

図2に示すように、ユーザネットワークにおけるUEの通信システムは、同じユーザに属する少なくとも2台のUE、アクセスネットワーク、管理エンティティを含み、この管理エンティティはUEの登録情報を保存するように構成され、UEのセキュリティ認証を実行する。同じユーザに属するUEはそれぞれ同じPANに配置され、同じアクセスネットワークを通じて管理エンティティと情報のやりとりをする。   As shown in FIG. 2, the communication system of the UE in the user network includes at least two UEs belonging to the same user, an access network, a management entity, which management entity is configured to store registration information of the UE, Perform UE security authentication. UEs belonging to the same user are arranged in the same PAN and exchange information with the management entity through the same access network.

具体的にいうと、通信システムにおいて同じユーザに属する複数のUEが通信を確立する前に、この複数のUEは事前に管理エンティティに登録し、これと同時に管理エンティティは複数のUEの登録情報を保存する。ユーザのUE1が同じユーザに属するUE2と通信する必要が生じたときは、UE1はまずUE2との通信要求を共通のアクセスネットワークAを介して管理エンティティに送信する。この通信要求は、UE1の登録情報とUE2の装置識別番号を含む。通信要求の受信後、管理エンティティは既に保存されている登録情報にしたがってUE1とUE2のセキュリティ認証を行う。例えば、管理エンティティは通信要求に含まれるUE1の登録情報と保存されている登録情報が一致するかどうか比較して通信要求の発信元であるUE1が有効であるかどうかを判定し、UE2がUE2の装置識別番号にしたがって登録されているかどうかを判定することで、UE1とUE2のセキュリティ認証を行う。認証に成功した場合、管理エンティティはUE1の装置識別番号を含む通信要求メッセージをUE2に送信する。要求メッセージの受信後、UE2はUE1と通信するかどうかを決め、この決定結果にしたがって対応するフィードバック情報を管理エンティティに送信する。管理エンティティはフィードバック情報を解析し、UE2がUE1との通信に同意すれば、さらに管理エンティティはUE1とUE2に一時的な秘密鍵を作成し、この秘密鍵をUE1とUE2のそれぞれに送信する。同時に、管理エンティティはUE2が通信に同意したことを示す確認応答メッセージをUE1に送信する。鍵の受信後、UE1とUE2はPANの範囲内で直接接続を確立し、確立された接続を介して秘密鍵によって互いに通信する。   Specifically, before a plurality of UEs belonging to the same user establish communication in the communication system, the plurality of UEs register with the management entity in advance, and at the same time, the management entity registers registration information of the plurality of UEs. save. When the user UE1 needs to communicate with the UE2 belonging to the same user, the UE1 first transmits a communication request with the UE2 to the management entity via the common access network A. This communication request includes registration information of UE1 and a device identification number of UE2. After receiving the communication request, the management entity performs security authentication of UE1 and UE2 according to the stored registration information. For example, the management entity compares the registration information of UE1 included in the communication request with the stored registration information to determine whether UE1 that is the source of the communication request is valid. UE1 and UE2 are subjected to security authentication by determining whether they are registered according to the device identification number. When the authentication is successful, the management entity transmits a communication request message including the device identification number of UE1 to UE2. After receiving the request message, UE2 decides whether to communicate with UE1 and sends corresponding feedback information to the management entity according to the decision result. The management entity analyzes the feedback information, and if UE2 agrees to communicate with UE1, the management entity further creates temporary secret keys for UE1 and UE2, and transmits this secret key to each of UE1 and UE2. At the same time, the management entity sends an acknowledgment message to UE1 indicating that UE2 has agreed to communicate. After receiving the key, UE1 and UE2 establish a direct connection within the PAN and communicate with each other via a secret key over the established connection.

本発明の第2の実施形態は、基本的には第1の実施形態と同じである。図3に示すように、第2の実施形態の、ユーザネットワークにおけるUEの通信システムは同じユーザに属する少なくとも2台のUE、アクセスネットワーク、管理エンティティを含む。管理エンティティはUEの登録情報を保存するように構成されており、UEのセキュリティ認証を行う。唯一の違いは、第2の実施形態の通信システムでは、同じユーザに属する各UEが同じPANになく、各UEはそれぞれのアクセスネットワークを介して管理エンティティと情報のやりとりをする点である。通信を必要とするUEは、セキュリティ認証をパスした後に各アクセスネットワークを介して遠隔接続を確立する。   The second embodiment of the present invention is basically the same as the first embodiment. As shown in FIG. 3, the communication system of the UE in the user network of the second embodiment includes at least two UEs belonging to the same user, an access network, and a management entity. The management entity is configured to store UE registration information and performs security authentication of the UE. The only difference is that in the communication system of the second embodiment, each UE belonging to the same user is not in the same PAN, and each UE exchanges information with the management entity via the respective access network. A UE that requires communication establishes a remote connection through each access network after passing security authentication.

例えば、同じユーザが複数のUEを持っており、UE1とUE3は同じPANになく、UE1がアクセスネットワークAに接続し、UE3がアクセスネットワークBに接続している。UE1がUE3と通信する必要が生じた場合、UE1はUE3と通信するための通信要求をアクセスネットワークAを介して管理エンティティに送信する。この通信要求は、UE1の登録情報とUE3の装置識別番号を含む。管理エンティティは、受信した要求メッセージと保存されている登録情報にしたがってUE1とUE3のセキュリティ認証を行う。セキュリティ認証に成功した場合、エンティティはUE1の装置識別番号を含む通信要求メッセージをUE3に送信する。UE3はアクセスネットワークBを介して管理エンティティからこの要求メッセージを受信し、UE1との通信に同意するかどうかを決め、この決定にしたがって対応するフィードバック情報を管理エンティティに送信する。管理エンティティが、UE3がこの通信に同意することを示すフィードバック情報を受信すると、さらにUE1とUE3のために一時的な鍵を作成し、この鍵をUE1とUE3のそれぞれに送信する。これと同時に、管理エンティティはUE2がこの通信を受け入れたことを示す確認応答メッセージをUE1に送信する。鍵の受信後、UE1とUE3はアクセスネットワークAとアクセスネットワークBのそれぞれを通じて遠隔接続を確立し、接続の確立後に一時的な鍵によって互いに通信する。   For example, the same user has a plurality of UEs, UE1 and UE3 are not in the same PAN, UE1 is connected to access network A, and UE3 is connected to access network B. When the UE1 needs to communicate with the UE3, the UE1 transmits a communication request for communicating with the UE3 to the management entity via the access network A. This communication request includes registration information of UE1 and a device identification number of UE3. The management entity performs security authentication of UE1 and UE3 according to the received request message and stored registration information. When the security authentication is successful, the entity transmits a communication request message including the device identification number of UE1 to UE3. The UE 3 receives this request message from the management entity via the access network B, decides whether to agree to the communication with the UE 1, and sends corresponding feedback information to the management entity according to this decision. When the management entity receives feedback information indicating that UE3 agrees to this communication, it further creates temporary keys for UE1 and UE3, and transmits this key to each of UE1 and UE3. At the same time, the management entity sends an acknowledgment message to UE1 indicating that UE2 has accepted this communication. After receiving the key, UE1 and UE3 establish a remote connection through each of access network A and access network B, and communicate with each other with a temporary key after the connection is established.

本発明の第3の実施形態に係る、ユーザネットワークにおけるUEの通信方法が図4に示されている。ステップ410では、UE1が同じユーザに属するUE2と通信する必要が生じたときに、UE1はUE2と通信するための通信要求を管理エンティティに送信する。具体的にいうと、同じユーザに属するUE1とUE2は、同じPANにあっても違うPANにあってもよい。UE1とUE2が同じPANにあるならば、UE1がUE2と通信する必要が生じた場合に、UE1はUE2と通信するための通信要求を共通のアクセスネットワークを介して管理エンティティに送信する。UE1とUE2が違うPANにあるならば、UE1がUE2と通信する必要が生じた場合に、UE1はUE2と通信するための通信要求を自身が属するアクセスネットワークを介して管理エンティティに送信する。この通信要求は、UE1の登録情報とUE2の装置識別番号を含む。   A UE communication method in a user network according to the third embodiment of the present invention is shown in FIG. In step 410, when UE1 needs to communicate with UE2 belonging to the same user, UE1 transmits a communication request for communicating with UE2 to the management entity. Specifically, UE1 and UE2 belonging to the same user may be in the same PAN or in different PANs. If UE1 and UE2 are in the same PAN, when UE1 needs to communicate with UE2, UE1 sends a communication request to communicate with UE2 to the management entity via the common access network. If UE1 and UE2 are in different PANs, when UE1 needs to communicate with UE2, UE1 transmits a communication request for communicating with UE2 to the management entity via the access network to which UE1 belongs. This communication request includes registration information of UE1 and a device identification number of UE2.

ステップ420では、UE1からの通信要求の受信後に、管理エンティティは通信要求の中にある情報にしたがってUE1とUE2のセキュリティ認証を行う。   In step 420, after receiving the communication request from UE1, the management entity performs security authentication of UE1 and UE2 according to the information in the communication request.

具体的にいうと、同じユーザに属するUEはそれぞれ最初に管理エンティティに登録する必要があり、管理エンティティは登録されたUEの登録情報も保存する必要がある。したがって管理エンティティがUE1から通信要求を受信すると、通信要求の情報と自身が保存している登録情報とにしたがってUE1とUE2のセキュリティ認証を行うことができる。   Specifically, each UE belonging to the same user must first register with the management entity, and the management entity also needs to store registration information of the registered UE. Therefore, when the management entity receives a communication request from UE1, security authentication of UE1 and UE2 can be performed according to the information of the communication request and the registration information stored by itself.

ステップ430では、管理エンティティはUE1とUE2がセキュリティ認証をパスしたかを判定し、パスしたならばステップ450に進み、パスしなければステップ440に進む。   In step 430, the management entity determines whether UE1 and UE2 pass the security authentication. If they pass, the process proceeds to step 450; otherwise, the process proceeds to step 440.

ステップ440では、管理エンティティはこの通信要求が失敗したことを示すメッセージをUE1に戻す。通信を必要とするUEが両方ともセキュリティ認証をパスしたときだけ管理エンティティはこの通信要求を継続するため、無効なUEからのユーザネットワーク内のUEへの無許可のアクセスが有効に回避され、そのために通信している当事者のセキュリティが保証される。   In step 440, the management entity returns a message to UE1 indicating that this communication request has failed. The management entity continues this communication request only when both UEs that require communication pass the security authentication, thus effectively avoiding unauthorized access to UEs in the user network from invalid UEs. The security of the party communicating with is guaranteed.

ステップ450では、UE1とUE2はセキュリティ認証をパスし、管理エンティティはUE1の装置識別番号を含む通信要求メッセージをUE2に送信する。   In step 450, UE1 and UE2 pass the security authentication, and the management entity sends a communication request message including the device identification number of UE1 to UE2.

ステップ460では、UE2は管理エンティティから要求メッセージを受信し、メッセージ中のUE1の装置識別番号にしたがってこの通信に同意するかどうかを決める。ここでもUE1とUE2が同じPANにあるならば、UE2は共通のアクセスネットワークを介して管理エンティティから要求メッセージを受信し、この通信に同意するかどうかを決める。UE1とUE2が違うPANにあるならば、UE2は自身が属するアクセスネットワークを介して管理エンティティから要求メッセージを受信し、この通信に同意するかどうかを決める。UE2がこの通信に同意するならば、UE2はこの通信に同意することを示すフィードバックメッセージを管理エンティティに送信してステップ480に進む。同意しないならば、ステップ470に進む。   In step 460, UE2 receives the request message from the management entity and decides whether to agree to this communication according to the device identification number of UE1 in the message. Again, if UE1 and UE2 are in the same PAN, UE2 receives a request message from the management entity via a common access network and decides whether to agree to this communication. If UE1 and UE2 are in different PANs, UE2 receives a request message from the management entity via the access network to which it belongs and decides whether to agree to this communication. If UE2 agrees to this communication, UE2 sends a feedback message indicating that it agrees to this communication to the management entity and proceeds to step 480. If not, go to step 470.

ステップ470では、UE2はこの通信を拒否するフィードバックメッセージを管理エンティティに送信し、管理エンティティは拒否メッセージの受信後にこの通信要求の失敗をUE1に知らせる。   In step 470, UE2 sends a feedback message rejecting this communication to the management entity, which informs UE1 of the failure of this communication request after receiving the reject message.

ステップ480では、UE2がUE1との通信に同意したため、管理エンティティはこの通信のための一時的な鍵を作成し、それをUE1とUE2のそれぞれに送信する。これと同時に、管理エンティティはUE2がこの通信を受け入れたことを示す確認応答メッセージをUE1に送信する。一時的な鍵は両方のUEが通信を必要とする場合に一時的に作成されるため、ランダムでリアルタイムなものであり、無効ユーザには獲得できないであろう。通信時のデータ伝送のセキュリティが、一時的な鍵を用いて通信する両方の当事者に保証される。   In step 480, since UE2 has agreed to communicate with UE1, the management entity creates a temporary key for this communication and sends it to each of UE1 and UE2. At the same time, the management entity sends an acknowledgment message to UE1 indicating that UE2 has accepted this communication. Since the temporary key is temporarily created when both UEs need to communicate, it is random and real-time and may not be acquired by invalid users. The security of data transmission during communication is guaranteed to both parties that communicate using a temporary key.

ステップ490では、一時的な鍵の受信後にUE1とUE2は通信のためのポイントツーポイント接続を確立する。具体的にいうと、UE1とUE2が同じPANにあれば、これらのUEはPANの範囲内で直接接続を確立し、この接続の確立後に管理エンティティによって提供される一時的な鍵によって通信する。UE1とUE2が同じPANになければ、UE1とUE2は自身のアクセスネットワークをそれぞれ介して遠隔接続を確立し、この接続の確立後に一時的な鍵によって通信する。   In step 490, UE1 and UE2 establish a point-to-point connection for communication after receiving the temporary key. Specifically, if UE1 and UE2 are in the same PAN, these UEs establish a direct connection within the PAN and communicate with a temporary key provided by the management entity after the establishment of this connection. If UE1 and UE2 are not in the same PAN, UE1 and UE2 establish a remote connection via their access networks, respectively, and communicate with a temporary key after this connection is established.

通信するUEはスイッチセンターを通さずに遠隔通信を行うため、スイッチセンターのリソースをかなりの程度取っておくことができ、このことによってリソースをより合理的に利用することができる。   Since the communicating UE performs remote communication without passing through the switch center, a considerable amount of resources of the switch center can be reserved, thereby making it possible to use resources more reasonably.

本発明の幾つかの好適な実施例を参照して本発明を例示し説明してきたが、当業者ならば、本発明の趣旨や範囲から逸脱することなく形式や詳細において種々の改変や同等の入れ替えを行えることを理解するであろう。   While the invention has been illustrated and described with reference to certain preferred embodiments thereof, those skilled in the art will recognize that various modifications and equivalents may be made in form and detail without departing from the spirit or scope of the invention. You will understand that they can be replaced.

本願は、2006年4月4日に中国特許庁に出願された「ユーザネットワークにおけるユーザ装置の通信のためのシステムおよび方法(System and Method for Communication of User Device in User Network)」というタイトルの中国特許出願番号第200610025438.0号の優先権を主張し、この開示物全てが参照として本明細書中に援用されている。   This application is a Chinese patent entitled “System and Method for Communication of User Device in User Network” filed with the Chinese Patent Office on April 4, 2006. Claiming priority of application number 200610025438.0, the entire disclosure of which is hereby incorporated by reference.

先行技術における同じユーザネットワークにあるUE間の通信を示す概略図である。FIG. 2 is a schematic diagram illustrating communication between UEs in the same user network in the prior art. 本発明の第1の実施形態に係る、ユーザネットワークにおけるUEの通信システムを示す概略図である。It is the schematic which shows the communication system of UE in the user network based on the 1st Embodiment of this invention. 本発明の第2の実施形態に係る、ユーザネットワークにおけるUEの通信システムを示す概略図である。It is the schematic which shows the communication system of UE in the user network based on the 2nd Embodiment of this invention. 本発明の第3の実施形態に係る、ユーザネットワークにおけるUEの通信方法を示すフローチャートである。It is a flowchart which shows the communication method of UE in the user network based on the 3rd Embodiment of this invention.

Claims (10)

同じユーザに属する少なくとも2台のユーザ装置とアクセスネットワークを有するユーザネットワーク通信システムであって、
前記ユーザ装置の登録情報を保存し、前記ユーザ装置のセキュリティ認証を行うように構成された管理エンティティを含み、
第1のユーザ装置が第2のユーザ装置と通信する必要が生じた場合、前記第1のユーザ装置は前記アクセスネットワークを介して前記管理エンティティに通信要求を送信し、前記管理エンティティは前記通信要求と保存されている登録情報に基づいて前記第1および第2のユーザ装置のセキュリティ認証を行い、前記第1のユーザ装置と第2のユーザ装置は認証後にポイントツーポイント接続を直接確立する、
通信システム。 A user network communication system having an access network and at least two user devices belonging to the same user,
A management entity configured to store registration information of the user device and to perform security authentication of the user device;
When the first user equipment needs to communicate with the second user equipment, the first user equipment sends a communication request to the management entity via the access network, and the management entity sends the communication request. And security authentication of the first and second user devices based on the stored registration information, and the first user device and the second user device establish a point-to-point connection directly after authentication,
Communications system. 前記通信要求が前記第1のユーザ装置の登録情報と前記第2のユーザ装置の装置識別番号を含む、請求項1に記載の通信システム。   The communication system according to claim 1, wherein the communication request includes registration information of the first user device and a device identification number of the second user device. 前記管理エンティティは、前記認証の成功後に、前記第1のユーザ装置の識別番号を含む通信要求メッセージを前記第2のユーザ装置に送信し、前記第2のユーザ装置が前記通信要求に同意することを決定すると前記第2のユーザ装置からのフィードバック情報に基づいて一時的な秘密鍵を作成し、前記秘密鍵を前記第1および第2のユーザ装置に送信する、請求項1に記載の通信システム。   The management entity transmits a communication request message including an identification number of the first user device to the second user device after the authentication is successful, and the second user device agrees with the communication request. 2. The communication system according to claim 1, wherein upon determination, a temporary secret key is created based on feedback information from the second user apparatus, and the secret key is transmitted to the first and second user apparatuses. . 前記管理エンティティは、前記第2のユーザ装置からのフィードバック情報に基づいて前記第1のユーザ装置に通知メッセージを送信し、前記第2のユーザ装置が通信要求に同意したならば、前記管理エンティティは通信要求に同意した確認応答メッセージを前記第1のユーザ装置に送信し、前記第1および第2のユーザ装置は前記秘密鍵によってポイントツーポイント接続を確立する、請求項3に記載の通信システム。   The management entity sends a notification message to the first user device based on feedback information from the second user device, and if the second user device agrees to a communication request, the management entity 4. The communication system according to claim 3, wherein an acknowledgment message agreeing to a communication request is transmitted to the first user device, and the first and second user devices establish a point-to-point connection with the secret key. 前記第1および第2のユーザ装置が同じパーソナルエリアネットワークにあり、単一のアクセスネットワークを介して前記管理エンティティと情報のやりとりを行い、前記ポイントツーポイント接続が前記パーソナルエリアネットワーク内の直接接続である、請求項1〜4のいずれか1項に記載の通信システム。   The first and second user equipment are in the same personal area network and exchange information with the management entity via a single access network, and the point-to-point connection is a direct connection within the personal area network The communication system according to any one of claims 1 to 4. 前記第1および第2のユーザ装置が異なるパーソナルエリアネットワークにあるかまたは別個のアクセスネットワークに接続されており、別個のアクセスネットワークを介して前記管理エンティティと情報のやりとりを行い、前記ポイントツーポイント接続が前記別個のアクセスネットワークを介して確立された遠隔接続である、請求項1〜4のいずれか1項に記載の通信システム。   The point-to-point connection wherein the first and second user equipment are in different personal area networks or are connected to separate access networks and exchange information with the management entity via separate access networks The communication system according to any one of claims 1 to 4, wherein is a remote connection established via the separate access network. ユーザネットワークで使用する通信方法であって、
第1のユーザ装置と第2のユーザ装置が同じユーザに属し、前記第1のユーザ装置が前記第2のユーザ装置と通信する必要がある場合、前記第1のユーザ装置が、前記第2のユーザ装置との接続を確立するための通信要求を、アクセスネットワークを介して前記第1のユーザ装置の登録情報を保存する管理エンティティに送信し、
前記管理エンティティが通信要求と保存されている登録情報に基づいて前記第1および第2のユーザ装置のセキュリティ認証を行い、
セキュリティ認証の後に、前記第1のユーザ装置と前記第2のユーザ装置との間にポイントツーポイント接続を確立する、
通信方法。 A communication method used in a user network,
When the first user device and the second user device belong to the same user, and the first user device needs to communicate with the second user device, the first user device Sending a communication request for establishing a connection with the user equipment to a management entity storing registration information of the first user equipment via an access network;
The management entity performs security authentication of the first and second user devices based on a communication request and stored registration information;
Establishing a point-to-point connection between the first user device and the second user device after security authentication;
Communication method. 前記通信要求が前記第1のユーザ装置の登録情報と前記第2のユーザ装置の装置識別番号を含む、請求項7に記載の通信方法。   The communication method according to claim 7, wherein the communication request includes registration information of the first user device and a device identification number of the second user device. 前記第1および第2のユーザ装置が前記管理エンティティに事前に登録し、
前記管理エンティティが前記第1および第2のユーザ装置の登録情報を保存する、
ことをさらに含む、請求項7に記載の通信方法。 The first and second user devices pre-register with the management entity;
The management entity stores registration information of the first and second user devices;
The communication method according to claim 7, further comprising: 前記ポイントツーポイント接続を確立することが、
認証の成功後に、前記第2のユーザ装置が前記第1のユーザ装置の識別番号を含む要求メッセージを前記管理エンティティから受信し、前記通信要求を受け入れるかどうかを示すフィードバックメッセージを前記管理エンティティに戻し、
前記管理エンティティが、前記第2のユーザ装置が前記通信要求を受け入れたことを示すフィードバックメッセージを受信したならば、一時的な秘密鍵を作成し、前記秘密鍵を前記第1および第2のユーザ装置に送信し、前記通信要求を受け入れたという確認応答メッセージを前記第1のユーザ装置に送信し、
前記第1および第2のユーザ装置間に前記秘密鍵によってポイントツーポイント接続を確立する、
ことを含む、
請求項7に記載の通信方法。 Establishing the point-to-point connection;
After successful authentication, the second user equipment receives a request message including the identification number of the first user equipment from the management entity and returns a feedback message indicating whether to accept the communication request to the management entity. ,
If the management entity receives a feedback message indicating that the second user equipment has accepted the communication request, it creates a temporary secret key and uses the secret key as the first and second users. Transmitting to the first user device an acknowledgment message that the communication request has been accepted,
Establishing a point-to-point connection between the first and second user equipment with the secret key;
Including that,
The communication method according to claim 7.
JP2009503394A 2006-04-04 2007-04-03 Communication method and communication system in user network Pending JP2009532959A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNA2006100254380A CN101051967A (en) 2006-04-04 2006-04-04 Communication system and its method for user's device in user's network
PCT/CN2007/001074 WO2007112692A1 (en) 2006-04-04 2007-04-03 A communication method in the user network and a system thereof

Publications (1)

Publication Number Publication Date
JP2009532959A true JP2009532959A (en) 2009-09-10

Family

ID=38563114

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009503394A Pending JP2009532959A (en) 2006-04-04 2007-04-03 Communication method and communication system in user network

Country Status (4)

Country Link
JP (1) JP2009532959A (en)
KR (1) KR101076332B1 (en)
CN (2) CN101051967A (en)
WO (1) WO2007112692A1 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8196186B2 (en) 2008-05-20 2012-06-05 Microsoft Corporation Security architecture for peer-to-peer storage system
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
CN101772199A (en) * 2008-11-24 2010-07-07 华为终端有限公司 Method and device for establishing D2D network
WO2010102668A1 (en) 2009-03-12 2010-09-16 Nokia Siemens Networks Oy Device-to-device communication
WO2013027916A1 (en) * 2011-08-24 2013-02-28 에스케이플래닛 주식회사 System and method for providing a cpns service
US9848453B2 (en) 2012-09-28 2017-12-19 Avago Technologies General Ip (Singapore) Pte. Ltd. Methods, devices and computer program products improving device-to-device communication
CN108650090B (en) * 2018-07-17 2024-05-03 江苏亨通问天量子信息研究院有限公司 Quantum security fax machine and quantum security fax system
CN111711522A (en) * 2020-05-13 2020-09-25 刘中恕 Multi-region entity identity authentication system based on cloud sharing mechanism

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002335263A (en) * 2001-05-08 2002-11-22 Olympus Optical Co Ltd Information terminal communication system
WO2004071037A1 (en) * 2003-02-04 2004-08-19 Matsushita Electric Industrial Co., Ltd. Communication system, and communication control server and communication terminals constituting that communication system
JP2005229597A (en) * 2001-08-09 2005-08-25 Taiko Denki Co Ltd Communication authenticating method
US20050232186A1 (en) * 2004-04-16 2005-10-20 Jeyhan Karaoguz Method and system for extended network access services advertising via a broadband access gateway
JP2005341575A (en) * 2004-05-25 2005-12-08 Samsung Electronics Co Ltd Method for communication in coordinator-based wireless network, method for communication between coordinator-based wireless networks connected through backbone network, and recording medium for program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4018584B2 (en) * 2003-04-01 2007-12-05 キヤノン株式会社 Wireless connection device authentication method and wireless connection device
US20050239445A1 (en) * 2004-04-16 2005-10-27 Jeyhan Karaoguz Method and system for providing registration, authentication and access via broadband access gateway
EP1686444A1 (en) * 2005-01-27 2006-08-02 Research In Motion Limited Wireless personal area network having authentication and associated methods

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002335263A (en) * 2001-05-08 2002-11-22 Olympus Optical Co Ltd Information terminal communication system
JP2005229597A (en) * 2001-08-09 2005-08-25 Taiko Denki Co Ltd Communication authenticating method
WO2004071037A1 (en) * 2003-02-04 2004-08-19 Matsushita Electric Industrial Co., Ltd. Communication system, and communication control server and communication terminals constituting that communication system
US20050232186A1 (en) * 2004-04-16 2005-10-20 Jeyhan Karaoguz Method and system for extended network access services advertising via a broadband access gateway
JP2005341575A (en) * 2004-05-25 2005-12-08 Samsung Electronics Co Ltd Method for communication in coordinator-based wireless network, method for communication between coordinator-based wireless networks connected through backbone network, and recording medium for program

Also Published As

Publication number Publication date
KR20090006110A (en) 2009-01-14
CN101317390A (en) 2008-12-03
CN101051967A (en) 2007-10-10
WO2007112692A1 (en) 2007-10-11
KR101076332B1 (en) 2011-10-26
WO2007112692A8 (en) 2007-12-06

Similar Documents

Publication Publication Date Title
JP2009532959A (en) Communication method and communication system in user network
US8464322B2 (en) Secure device introduction with capabilities assessment
JP4401849B2 (en) System and method for establishing a secondary channel
JP3544918B2 (en) Wireless communication device and user authentication method
WO2020048512A1 (en) Communication method and apparatus
CN101068196B (en) Bluetooth mobile telephone switch-in bluetooth gateway service insertion controlling method
JP2020527914A (en) Network security management methods and equipment
US20220070309A1 (en) System and method for remote fax interconnect
CN102823228A (en) Communication using user terminal
EP2234438B1 (en) Wireless personal area network accessing method
US20050111388A1 (en) Video-conferencing system using mobile terminal device and method for implementing the same
JP2005020545A (en) Ip telephone system
CN110519750A (en) Message processing method, equipment and system
CN105451368B (en) Communication method and device
US20090044258A1 (en) Communication method and service in personal area network
WO2007004623A1 (en) Group network forming method and group network system
US20090063626A1 (en) Call management system, call management method, management server, client server, client terminal, and call device
JP2003338785A (en) Terminal to terminal communication system
WO2000076128A1 (en) A system enabling a user to select information networks and a method thereof
KR100649680B1 (en) Method for solving pan id conflict in personal area network
CN116684216B (en) Communication method, readable medium and electronic equipment
US8284762B2 (en) Telephone system
CN104185172A (en) Wireless communication method and electronic system
KR20000031066A (en) Integration service system and method of electronic and phonic chatting
JP2010154000A (en) Telephone system, telephone control method, cordless slave unit, and management device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110517

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110817

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110916

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111025