JP2011216994A - Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム - Google Patents
Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム Download PDFInfo
- Publication number
- JP2011216994A JP2011216994A JP2010080950A JP2010080950A JP2011216994A JP 2011216994 A JP2011216994 A JP 2011216994A JP 2010080950 A JP2010080950 A JP 2010080950A JP 2010080950 A JP2010080950 A JP 2010080950A JP 2011216994 A JP2011216994 A JP 2011216994A
- Authority
- JP
- Japan
- Prior art keywords
- security
- unit
- nas
- security context
- handover
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】処理部13は、UE1が異種ネットワーク間ハンドオーバに成功した場合、生成部12が生成したNASセキュリティコンテキストを記憶部11に記録する。また、処理部13は、UE1が異種ネットワーク間ハンドオーバに失敗した場合、生成部12が生成したNASセキュリティコンテキストを破棄する。そして、メッセージ保護部14は、記憶部11が記憶するNASセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行う。
【選択図】図1
Description
UE及びAuC(Authentication Center)は、予め鍵情報を共有しておき、AKA(Authentication Key Agreement)を行うことによって、UEとMMEとの間で鍵が共有される。そして、UE及びMMEは、共有する鍵からNASセキュリティに用いるNASセキュリティコンテキストを生成する。次に、UE及びeNBは、UE及びMMEが保持するNASセキュリティコンテキストを用いてASセキュリティに用いるASセキュリティコンテキストを生成する。なお、NASセキュリティコンテキスト及びASセキュリティコンテキストの生成には、一方向関数が用いられるため、NASセキュリティコンテキストから鍵情報を再現することはできず、また、ASセキュリティコンテキストからNASセキュリティコンテキストを再現することはできない。
図1は、本発明の一実施形態によるNASセキュリティ処理装置を備えるUEの構成を示す概略ブロック図である。
UE1は、NASセキュリティ処理装置10と、EMM(EPS Mobility Management)20と、ESM(EPS Session Management)30とを備える。
NASセキュリティ処理装置10は、UE内部に備えられ、NAS通信におけるセキュリティの処理を行う。
EMM20、ESM30は、NASメッセージの生成及びUE1が受信したNASメッセージに対する処理を行う。
生成部12は、UE1が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなNASセキュリティコンテキストを生成する。
処理部13は、異種ネットワーク間ハンドオーバの成否に基づいて生成部12が生成したNASセキュリティコンテキストを処理する。また、処理部13は、記憶部11が記憶する保護タイプ情報及び保護状態情報を処理する。
メッセージ保護部14は、EMM20及びESM30から全てのNASメッセージを取得し、記憶部11が記憶するNASセキュリティコンテキストを用いて当該NASメッセージに対して機密保護処理を行う。
通信部15は、EPS(Evolved Packet System) ASに接続し、ASメッセージを受信する。また、通信部15は、メッセージ保護部14が機密保護処理を行ったNASメッセージをコアネットワークに送信する。
メッセージ保護部14は、NASメッセージに対する完全性保証及び/または暗号化の必要の有無を判定する。メッセージ保護部14は、NASメッセージのパラメータに関連した保護設定を行う。
さらに、NASセキュリティ処理装置10は、ASにおける潜在的な失敗、すなわち、異種ネットワーク間ハンドオーバの失敗が発生した際の処理を取り扱う。
図2は、NASセキュリティ処理装置の動作を示すフローチャートである。
ここでは、UE1がUTRANからE−UTRANへハンドオーバする場合を例に説明する。
まず、NASセキュリティ処理装置10の生成部12は、自装置を備えるUE1が異種ネットワーク間ハンドオーバを開始したか否かを判定する(ステップS1)。生成部12は、UE1が異種ネットワーク間ハンドオーバを開始していないと判定した場合(ステップS1:NO)、UE1が異種ネットワーク間ハンドオーバを開始するまで待機する。
生成部12がNASセキュリティコンテキストを生成すると、通信部15は、EPS ASから、異種ネットワーク間ハンドオーバの成否を示す通知を受信する(ステップS3)。次に、処理部13は、通信部15が受信した通知が、異種ネットワーク間ハンドオーバに成功したことを示すか否かを判定する(ステップS4)。
このように、UE1が異種ネットワーク間ハンドオーバに成功した場合、NASセキュリティ処理装置10は毎回、記憶部11が記憶する保護状態情報及び保護タイプ情報を、現在有効となっている保護状態情報及び保護タイプ情報に書き換える。
例えば、本実施形態では、UE1が異種ネットワーク間ハンドオーバに成功した場合、処理部13が、記憶部11から「現在」を示すカレントフラグを読み出し、当該カレントフラグを「非現在」に書き換え、新たなNASセキュリティコンテキストに「現在」を示すカレントフラグを関連付けて記録する例を説明したが、これに限られない。例えば、UE1が異種ネットワーク間ハンドオーバに成功した場合、処理部13は、記憶部11から全てのNASセキュリティコンテキストを破棄し、新たなNASセキュリティコンテキストに「現在」を示すカレントフラグを関連付けて記録するようにしても良い。
また例えば、ステップS6によるカレントフラグの書き換えは、NASセキュリティコンテキストがフルネイティブ(full native)である場合にのみ行うようにしても良い。
10 NASセキュリティ処理装置
11 記憶部
12 生成部
13 処理部
14 メッセージ保護部
15 通信部
20 EMM
30 ESM
Claims (5)
- 移動端末に備えられ、非アクセス層(Non−Access Stratum:NAS)の通信におけるセキュリティを処理するNASセキュリティ処理装置であって、
前記移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部と、
前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストを生成する生成部と、
前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部と、
前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部と、
前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部と
を備えることを特徴とするNASセキュリティ処理装置。 - 前記記憶部は、接続するネットワークにおける機密保護のタイプを示す保護タイプ情報を記憶し、
前記処理部は、セキュリティコンテキストを前記記憶部に記録した後、ハンドオーバ先のネットワークで用いられる機密保護のタイプを読み出し、当該機密保護のタイプを示す保護タイプ情報を前記記憶部に記録し、
前記メッセージ保護部は、前記記憶部が記憶する保護タイプ情報に基づいてNASメッセージの機密保護処理を行う
ことを特徴とする請求項1に記載のNASセキュリティ処理装置。 - 前記記憶部は、セキュリティコンテキストに関連付けて当該セキュリティコンテキストが現在のものであるか否かを示すカレントフラグを記憶し、
前記処理部は、セキュリティコンテキストを前記記憶部に記録した後、当該記録したセキュリティコンテキストに関連付けて、「現在(current)」を示すカレントフラグを前記記憶部に記録し、他のセキュリティコンテキストに関連付けられたカレントフラグを「非現在(non−current)」に書き換え、
前記メッセージ保護部は、前記記憶部が「現在」を示すカレントフラグに関連付けて記憶するセキュリティコンテキストに基づいて、NASメッセージの機密保護処理を行う
ことを特徴とする請求項1または請求項2に記載のNASセキュリティ処理装置。 - 移動端末に備えられ、当該移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部を備え、非アクセス層(Non−Access Stratum:NAS)の通信におけるセキュリティを処理するセキュリティ処理装置を用いたNASセキュリティ処理方法であって、
生成部により、前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストが生成される段階と、
処理部により、前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストが前記記憶部に記録され、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストが破棄される段階と、
メッセージ保護部により、前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理が行われる段階と、
送信部により、前記メッセージ保護部が機密保護処理を行ったNASメッセージが送信される段階と
を有することを特徴とするNASセキュリティ処理方法。 - 移動端末に備えられ、非アクセス層(Non Access Stratum:NAS)の通信におけるセキュリティを処理するNASセキュリティ処理装置を、
前記移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部、
前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストを生成する生成部、
前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部、
前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部、
前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010080950A JP5353794B2 (ja) | 2010-03-31 | 2010-03-31 | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010080950A JP5353794B2 (ja) | 2010-03-31 | 2010-03-31 | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013146603A Division JP5680149B2 (ja) | 2013-07-12 | 2013-07-12 | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011216994A true JP2011216994A (ja) | 2011-10-27 |
JP5353794B2 JP5353794B2 (ja) | 2013-11-27 |
Family
ID=44946324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010080950A Expired - Fee Related JP5353794B2 (ja) | 2010-03-31 | 2010-03-31 | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5353794B2 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013502866A (ja) * | 2009-09-29 | 2013-01-24 | ノキア コーポレイション | ハンドオーバー失敗に続くキー取り扱いのためのソース識別方法及び装置 |
-
2010
- 2010-03-31 JP JP2010080950A patent/JP5353794B2/ja not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013502866A (ja) * | 2009-09-29 | 2013-01-24 | ノキア コーポレイション | ハンドオーバー失敗に続くキー取り扱いのためのソース識別方法及び装置 |
Also Published As
Publication number | Publication date |
---|---|
JP5353794B2 (ja) | 2013-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11228905B2 (en) | Security implementation method, related apparatus, and system | |
US10595198B2 (en) | Communication method and device | |
TWI708513B (zh) | 網路安全架構 | |
CN109587688B (zh) | 系统间移动性中的安全性 | |
JP5462411B2 (ja) | セキュリティ設定の同期を支援する方法および装置 | |
EP2192804B1 (en) | Method of handling handover security configuration and related communication device | |
US8526617B2 (en) | Method of handling security configuration in wireless communications system and related communication device | |
WO2019062996A1 (zh) | 一种安全保护的方法、装置和系统 | |
JP7101775B2 (ja) | セキュリティ保護方法および装置 | |
WO2018201946A1 (zh) | 锚密钥生成方法、设备以及系统 | |
US20190253403A1 (en) | Network Authentication Triggering Method and Related Device | |
WO2020220888A1 (zh) | 切换的处理方法和装置 | |
EP2648437B1 (en) | Method, apparatus and system for key generation | |
CN113170369B (zh) | 用于在系统间改变期间的安全上下文处理的方法和装置 | |
US11751160B2 (en) | Method and apparatus for mobility registration | |
CN115915132A (zh) | 密钥管理方法、设备及系统 | |
JP5680149B2 (ja) | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム | |
WO2012155437A1 (zh) | 一种提高语音回落效率和成功率的方法及系统 | |
JP5353794B2 (ja) | Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム | |
CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
WO2024067619A1 (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130509 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130514 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130712 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130730 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130812 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
LAPS | Cancellation because of no payment of annual fees |