JP2011501479A - セキュリティアルゴリズムを選択するためのシステム及び方法 - Google Patents

セキュリティアルゴリズムを選択するためのシステム及び方法 Download PDF

Info

Publication number
JP2011501479A
JP2011501479A JP2010513552A JP2010513552A JP2011501479A JP 2011501479 A JP2011501479 A JP 2011501479A JP 2010513552 A JP2010513552 A JP 2010513552A JP 2010513552 A JP2010513552 A JP 2010513552A JP 2011501479 A JP2011501479 A JP 2011501479A
Authority
JP
Japan
Prior art keywords
base station
security
security policy
capability information
user device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010513552A
Other languages
English (en)
Other versions
JP5273406B2 (ja
Inventor
アーノット,ロバート
セッラヴァッレ,フランチェスカ
シン オールワリア,ジャグディープ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2011501479A publication Critical patent/JP2011501479A/ja
Application granted granted Critical
Publication of JP5273406B2 publication Critical patent/JP5273406B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理する方法及び装置が記載される。一実施の形態では、該方法は、コアネットワークにおいて、通信ネットワークに接続するユーザデバイスのためのセキュリティ能力情報を受信することを含む。次いで、基地局のためのセキュリティ能力情報は、メモリ又はその基地局自体から入手される。次いで、ユーザデバイスのためのセキュリティ能力情報及び基地局のためのセキュリティ能力情報をコアネットワークにおいて処理して、ユーザデバイスと基地局との間の接続のためのセキュリティポリシーを選択する。選択されたセキュリティポリシーは基地局に送信される。

Description

本発明は、通信ネットワーク、限定はしないが、特に3GPP標準規格、或いは3GPP標準規格と同等の規格又は3GPP標準規格から派生した規格に従って動作するネットワークにおけるセキュリティアルゴリズムの選択に関する。
通信ネットワークでは、ネットワーク内の構成要素又はノード間に接続が確立される。詳細には、少なくとも部分的に無線インタフェースを介して、移動通信デバイスのようなユーザ装置(UE)と、基地局(eNodeB)構成要素との間に接続が確立される。
無線接続は特に傍受されやすく、敵対する可能性がある第三者が、これらの接続を介して送信される通信から情報を入手しようとする場合がある。無線接続による通信は、合意されたアルゴリズムを用いて保護される。特定の接続を介して通信するために使用するアルゴリズムは、その接続が確立されるときに、eNodeB及びUE構成要素のような、その接続の当事者間で合意される。
アタッチメント過程においてUEがeNodeBに接続するとき、たとえば、移動デバイスの電源が入れられるとき、又はハンドオーバ過程においてUEがネットワーク内の1つのeNodeBから異なるeNodeBに移動するときに、接続が確立される場合がある。
アタッチメント又はハンドオーバ中に、UEが接続しているeNodeBは、そのUEのセキュリティ能力を判断する。この情報と、自らのセキュリティ能力に基づいて、eNodeBは、その接続上のトラフィックのためのセキュリティアルゴリズムを選択し、規定する。しかしながら、このためには、eNodeB構成要素が、ネットワークから且つ接続中のユーザから高い信頼を得る必要があり、これは特にローミング中のユーザにとって問題になる場合がある。eNodeBによって不適当な又は不十分なセキュリティアルゴリズムが選択されると、結果として、接続中のユーザのためのセキュリティが乏しい場合があり、全体としてネットワークのセキュリティに関して弱点が生じるおそれがある。
通信ネットワークにおいて適用することができる種々の頭字語は、当然、当業者には既知であるが、一般の読者の便宜を図るために用語辞典が添付される。当業者が効率的に理解できるようにするために、本発明をE−UTRANシステムとの関連で詳細に説明するが、識別子システムの原理は、他のシステム、たとえば、eNodeB構成要素のような基地局構成要素が互いに又は通信ネットワーク内のゲートウェイデバイスのような他のデバイスと通信する3G CDMA又は他の無線システムであって、必要に応じて該システムの対応する構成要素が変更されている、システムにも適用することができる。また、本発明の方法及びシステムは、無線ローカルエリアネットワーク(WLAN)又は他のローカルネットワーク(LAN)若しくはワイドエリアネットワーク(WAN)において実現することもできる。
ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理する方法であって、
コアネットワークにおいて、通信ネットワークに接続するユーザデバイスにためのセキュリティ能力情報を受信すること、
基地局にためのセキュリティ能力情報を入手すること、
コアネットワークにおいて、ユーザデバイスにためのセキュリティ能力情報及び基地局にためのセキュリティ能力情報を処理することであって、ユーザデバイスと基地局との間の接続にためのセキュリティポリシーを選択する、処理すること、及び
選択されたセキュリティポリシーを基地局に送信することを含む、方法が提供される。
有利には、該方法によれば、セキュリティポリシーの選択をコアネットワークによって制御できるようになる。基地局のためのセキュリティ能力情報を受信することによって、その基地局の能力を考慮に入れて、この選択を行うことができるようになる。
上記で言及されたように、UEと通信するためのセキュリティアルゴリズムをeNodeBが選択するのが効率的である可能性が高いが、この方法には短所がある。詳細には、eNodeBは、利用可能な最も安全性の高いアルゴリズムを選択しない場合があるか、又は選択されたアルゴリズムが、コアネットワークのセキュリティポリシーと一致しない場合がある。それゆえ、接続中のユーザは、eNodeBを信頼して、適当なセキュリティポリシーを実現しなければならない。
特許請求されるように、コアネットワークによってセキュリティポリシーを選択することによって、接続中のユーザから得られる信頼がさらに高くなり、ネットワークにわたってセキュリティを最適にできる場合がある。
好ましい実施の形態では、該方法は、コアネットワークのためのセキュリティポリシー情報を入手すること、及びコアネットワークのためのセキュリティポリシー情報に基づいて、セキュリティポリシーを選択することをさらに含む。それゆえ、該方法によれば、セキュリティポリシーの選択は、コアネットワークの任意の要件及び優先度を考慮に入れることができるようになる。たとえば、コアネットワークは、限られた数のセキュリティポリシーを用いる接続を許す場合があるか、或いは1つ又は複数の好ましいセキュリティポリシーを有する場合がある。
セキュリティポリシーは、セキュリティポリシーの優先順位付きのリストから選択される場合があり、そのリストは、コアネットワークによって規定される場合があるか、又は、たとえば、ネットワーク内の基地局によって用いられたセキュリティポリシーの先行経験に基づいて、セキュリティポリシー選択をハンドリングしているデバイスによって構成される場合がある。
一実施の形態では、ユーザデバイスのためのセキュリティ能力情報を受信する前に、コアネットワークは、コアネットワーク内の複数の基地局それぞれのためのセキュリティ能力情報を受信する。
基地局とコアネットワークとの間の接続を確立した後に、セキュリティ能力情報が受信されることが好ましい。それゆえ、eNodeBのような新たな基地局が、ゲートウェイのようなコアネットワーク構成要素に接続するとき、基地局は、基地局のセキュリティ能力情報の詳細をコアネットワークに送信する。その後、その情報は、たとえば、各基地局に関連付けられるコンテキストにおいて、コアネットワーク内のデータベースに格納される場合がある。このようにして、ユーザが基地局を介して接続を設定しようとする前に、コアネットワークは、そのコアネットワークに接続される各構成要素のセキュリティ能力に関連する情報を入手することができる。その後、この情報は、メモリから入手することができ、要求される接続のためのセキュリティポリシーを判断する際に用いることができる。
有利には、コアネットワークは基地局のセキュリティ能力を既に知っているので、この方法によれば、ユーザへの接続が設定されるときに課せられるシグナリングオーバーヘッドが最小限に抑えられる。それゆえ、この時点において基地局のセキュリティ能力を判断するために、さらなるメッセージは不要であるので、より迅速に接続を設定できるようになる。
この実施の形態において、該方法は、基地局のためのセキュリティ能力情報を受信すること、及びデータベースを更新することであって、そのセキュリティ能力情報を格納する、更新することをさらに含む場合がある。それゆえ、ユーザ装置がその基地局への接続を要求する場合に使用するために、セキュリティ能力情報が格納される。
該方法は、ソース基地局からターゲット基地局へのユーザデバイスの移動に関する通知を受信すること、
ターゲット基地局のためのセキュリティ能力情報を入手すること、
ターゲット基地局に接続するために、セキュリティポリシーの変更が必要とされるか否かを判断すること、及び
選択されたセキュリティポリシーをターゲット基地局に送信することをさらに含む場合がある。
代替的な実施の形態では、該方法は、基地局からセキュリティ能力情報を受信することをさらに含む。その情報は、アタッチメント要求メッセージの一部として受信される場合があるか、又はコアネットワーク構成要素からの要求時に受信される場合がある。
この実施の形態は、コアネットワークが各基地局構成要素のセキュリティ能力のデータベースを保守する必要がないという利点を提供する。むしろ、コアネットワークは、この情報を使用する必要があるときにのみ、必要な情報を入手する。
この実施の形態では、ユーザが基地局を介して接続の確立を要求した後に、その基地局からセキュリティ能力情報が入手される。この実施の形態では、コアネットワーク構成要素がセキュリティ能力情報を格納する必要はなく、後に第2のユーザがその基地局を介して接続を要求する場合に使用するために、基地局から受信された情報をキャッシュすることができる。上記で説明されたように、その情報もデータベースに格納される場合がある。
さらなる態様によれば、ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続を提供する方法であって、
基地局からコアネットワークに該基地局のためのセキュリティ能力情報を送信すること、
コアネットワークから、ユーザデバイスと基地局との間の接続のための選択されたセキュリティポリシーを受信すること、及び
選択されたセキュリティポリシーを用いて、ユーザデバイスと基地局との間の接続を確立することを含む、方法が提供される。
さらなる態様によれば、ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理する方法であって、
コアネットワークにおいて、ユーザデバイスと基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを選択すること、
少なくとも1つの好ましいセキュリティポリシーを基地局に送信すること、
基地局から、選択されたセキュリティポリシーを特定する情報を受信すること、
選択されたセキュリティポリシーを少なくとも1つの好ましいセキュリティポリシーと比較すること、及び
選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、基地局にメッセージを送信することを含む、方法が提供される。
この態様では、コアネットワーク構成要素は、許容可能な、又は好ましいセキュリティポリシーのリストを有し、それは接続確立要求の受信時に基地局に送信される。有利には、この実施の形態は、基地局とコアネットワークとの間で送信されることになる、新たな付加的なメッセージをいずれも必要とすることなく実施することができる。さらに、コアネットワークは、ネットワーク構成要素のためのセキュリティ能力情報をいずれも格納する必要はない。
一実施の形態において、該方法は、少なくとも1つの好ましいセキュリティポリシーを選択する前に、コアネットワークのためのセキュリティポリシー情報を入手することをさらに含む。
選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致する場合には、ユーザデバイスと基地局との間に接続が確立されることが好ましい。そのメッセージは、選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合に、基地局が接続を確立すべきでないことを指示する場合がある。
一実施の形態では、そのメッセージは、基地局が接続を確立すべきでないことを指示する。それゆえ、選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、接続は確立されない。代替的には、基地局は、許容可能なセキュリティポリシーを選択するさらなる機会を与えられることもできる。
さらなる態様によれば、ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続を提供する方法であって、
基地局において、ユーザデバイスと該基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを受信すること、
接続のためのセキュリティポリシーを選択すること、
選択されたセキュリティポリシーをコアネットワークに送信すること、及び
選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、基地局において、コアネットワークからメッセージを受信することを含む、方法が提供される。
本発明の態様が独立請求項において詳述されている。それらの態様の好ましい特徴が従属請求項において詳述されている。本発明は、開示される全ての方法に対して、対応する装置上で実行するための対応するコンピュータプログラム又はコンピュータプログラム製品と、装置そのもの(記載の方法を実行するためのゲートウェイ及び基地局ノードを含む、ユーザ装置、ノード、ネットワーク又はその構成要素)と、その装置を構成し、更新する方法とを提供する。1つの態様の特徴は、他の態様にも当てはまることができる。
ここで、本明細書において特許請求される方法及びシステムの実施形態が、一例として、添付の図面を参照して説明される。
実施形態が適用可能であるタイプの移動通信システムの概略図である。 図1に示されるシステムの一部を形成する基地局の概略図である。 図1に示されるシステムの一部を形成するゲートウェイデバイスの概略図である。 一実施形態によるセキュリティ管理システムを実装するネットワークを示す図である。 一実施形態によるアタッチ手順の概略図である。 一実施形態によるハンドオーバ又はリロケーション手順の概略図である。 さらなる実施形態によるアタッチ手順の概略図である。 さらなる別の実施形態によるハンドオーバ又はリロケーション手順の概略図である。 さらなる別の実施形態によるハンドオーバ又はリロケーション手順の概略図である。
概説
以下の説明は、本明細書において特許請求される方法及びシステムの複数の具体的な実施形態を詳述する。それらの特徴及び方法ステップの変形形態を与えることができること、及び説明される特徴のうちの多くが本発明にとって不可欠ではないことは当業者には明らかである。
図1は、移動(セルラー)通信システム1を概略的に示しており、そのシステムでは、移動(又はセルラー)電話(MT)3−0、3−1及び3−2のユーザが、基地局5−1、5−2又は5−3の1つ及び電話網7を介して、他のユーザ(図示せず)と通信することができる。電話網7は、ゲートウェイ構成要素9−1、9−2を含む複数の構成要素を含む。各基地局5−1、5−2、5−3がいずれかのゲートウェイ9−1、9−2を介して電話網7に接続する場合があること、及び全ての基地局5−1、5−2、5−3が同じゲートウェイ9−1、9−2を介して接続する場合があることは当業者には理解されよう。同様に、各移動電話3はいずれかの基地局5を介して電話網7に接続する場合があり、全ての移動電話3が同じ基地局5を介して接続する場合もある。1つ又は複数の基地局5は、無線ネットワークコントローラ(RNC)によって制御される無線アクセスネットワーク(RAN)内に構成される場合があり、無線ネットワークコントローラは、RAN内の基地局5の一部として実装される場合があるか、又は別個の構成要素(図示せず)として実装される場合がある。
移動電話3が、たとえば、電源を入れることによって網7に入ると、移動電話3と基地局5との間に、且つ基地局5とゲートウェイデバイス9との間に接続が確立される。これにより、移動電話3と網7内の他の構成要素との間での通信ができるようになる。
また、移動電話3がソース基地局(たとえば、基地局5−1)のセルから、ターゲット基地局(たとえば、基地局5−2)に移動すると、ソース基地局及びターゲット基地局5において、且つ移動電話3においてハンドオーバ手順(プロトコル)が実行され、ハンドオーバ過程が制御される。ハンドオーバは、ソース基地局とターゲット基地局5との間に接続を確立することによって実施できるようになる。ハンドオーバ過程の一部として、移動電話3からの通信が電話網に送信されるために経由するゲートウェイデバイス9−1、9−2が変化する場合がある。代替的には、通信が送信されるために経由するゲートウェイデバイス9−1、9−2は同じままであり得るが、移動デバイスが接続される基地局5−1、5−2が変化する場合がある。これらの移動は、基地局5とゲートウェイ9との間の接続の確立によっても実施できるようになる。
基地局
図2は、この実施形態において用いられる各基地局5の主要構成要素を示すブロック図である。図に示されるように、各基地局5は、トランシーバ回路21を含み、トランシーバ回路は、1つ又は複数のアンテナ23を介して、移動電話3に対し信号を送受信するように動作することができ、且つネットワークインタフェース25を介して、電話網7に対し信号を送受信するように動作することができる。ネットワークインタフェース25は、S1プロトコルを用いて、ゲートウェイ9のようなネットワーク構成要素と通信するためのS1ネットワークインタフェースを備える。ネットワークインタフェース25は、X2プロトコルを用いて、他の基地局構成要素と通信するためのX2インタフェースも備える。コントローラ27は、メモリ29に格納されるソフトウエアに従って、トランシーバ回路21の動作を制御する。ソフトウエアは、特に、オペレーティングシステム211、基地局のセキュリティ能力に関連する情報を格納するためのセキュリティデータベース213、及びセキュリティ能力に関連する情報を他のネットワーク構成要素に通信するためのセキュリティモジュール215を含む。セキュリティデータベース213及びセキュリティモジュール215の動作は以下に説明される。
ゲートウェイ
図3は、この実施形態において用いられる各ゲートウェイ構成要素9の主要構成要素を示すブロック図である。図に示されるように、各ゲートウェイ9は、トランシーバ回路31を備えており、トランシーバ回路は、基地局インタフェース33を介して、少なくとも1つの基地局5に対し信号を送受信するように動作することができ、且つネットワークインタフェース35を介して、電話網7の他の部分に対し信号を送受信するように動作することができる。コントローラ37は、メモリ39に格納されるソフトウエアに従って、トランシーバ回路31の動作を制御する。ソフトウエアは、特に、オペレーティングシステム311、ネットワーク構成要素のセキュリティ能力に関連する情報を格納するためのセキュリティデータベース313、及びネットワーク内のセキュリティポリシーを管理するためのセキュリティコントローラ315を含む。データベース313及びセキュリティコントローラ315の動作は以下に説明される。
上記の説明では、理解するのを容易にするために、基地局5及びゲートウェイ9がいずれも、本明細書において記載される方法に従って動作するそれぞれの個別のモジュールを有するように説明される。このようにして、或る特定の応用形態に関して、たとえば、本発明を実施するように既存のシステムが変更された場合に複数の特徴が与えられる場合があるが、他の応用形態、たとえば、始めから本発明の特徴に留意して設計されるシステムでは、これらの特徴は、全体のオペレーティングシステム又はコードに組み込まれる場合があるので、上記のモジュールは、個別のエンティティとして区別されない場合がある。
以下の説明は、UTRANのロングタームエボリューション(LTE)において用いられる用語を用いる。それゆえ、移動電話3はUEと呼ばれることになり、各基地局5はeNodeB(又はeNB)と呼ばれることになり、各ゲートウェイ構成要素はMMEと呼ばれることになる。LTEにおいて用いられるプロトコルエンティティは、LTEでは外部ARQ(自動再送要求)エンティティと呼ばれる無線リンク制御(RLC)エンティティを除いて、UMTSにおいて用いられるのと同じ名称を有する。LTEの外部ARQエンティティは、UMTSのRLCエンティティと(全く同じではないが)概ね同じ機能を有する。
本明細書において用いられるときに、用語「専用メッセージ」は、特定のUEに関して送信されるメッセージを指す。専用メッセージは、特定のUEへの接続の識別子を含む。用語「共通メッセージ」は、ネットワーク内の2つの構成要素間、たとえば、2つのeNodeB間で送信されるメッセージを指しており、そのメッセージは、UEの特定の接続との関連はなく、それゆえ、UE接続識別子を有しない。
動作
ここで、通信ネットワーク内の通信のためのセキュリティアルゴリズムを選択するための方法の3つの実施態様が、さらに詳しく説明される。
第1の実施態様
図4を参照して第1の実施形態を説明する。図4に示されるように、複数のeNodeB41−1、41−2、41−3が各MME構成要素43に接続される。この実施形態では、各eNodeBは、そのセキュリティ能力をMME43にシグナリングする。これは、ストリーム制御伝送プロトコルSCTP接続の初期化後に、S1共通メッセージ45を用いて行なわれる。MME43は、eNodeBのセキュリティ能力を含む、MME43に接続されるeNodeB41−1、41−2、41−3毎のeNodeBコンテキスト49−1、49−2、49−3をデータベース47に格納する。MME43は、eNodeBからS1共通メッセージ45を受信すると、セキュリティ能力情報を用いてeNodeBコンテキストを更新するか、又はそのeNodeBのためのコンテキストがまだ存在しない場合には、新たなコンテキストを作成する。eNodeB毎のeNodeBコンテキスト49−1、49−2、49−3は、そのeNodeBのための他の関連情報、たとえば、そのeNodeBの接続ステータスも格納する場合がある。
この実施形態によるアタッチ手順のさらなる詳細が図5に示される。上記のように、各eNodeBは、S1共通メッセージ51を用いて、そのセキュリティ能力をMMEにシグナリングし、これは、MME内のeNodeBコンテキストに格納される。その後、たとえば、S1:初期UEメッセージ53を介して、ユーザ装置のアタッチメント要求を受信すると、MMEは、そのeNodeBのためのセキュリティコンテキストにアクセスし、そのセキュリティ能力を判断する。MMEは、一部eNodeB能力に基づいて、アルゴリズム55を選択し、S1専用メッセージ57を介して、選択されたアルゴリズムを用いるようeNodeBに指示する。
ここで、図6を参照し、ハンドオーバ手順をさらに詳しく説明する。UEがeNodeB41−1から移動するとき、eNodeBは、MME43に、S1:ハンドオーバ必要(Handover Required)メッセージ61を送信する。MME43は、UEが移動しつつあるターゲットeNodeB41−2を判断する。MME43は、各eNodeBのセキュリティ能力を特定する、eNodeB49−1、49−2毎のコンテキストを、そのデータベース47に既に格納しているので、MME43は、その移動によって、セキュリティアルゴリズムの変更が必要とされるか否かを判断することができる。変更が必要とされる場合には、MME43は、ターゲットeNodeBにS1:ハンドオーバ要求メッセージ63を送信するときに、ターゲットeNodeB41−2に新たなセキュリティアルゴリズムを通知する。新たなセキュリティアルゴリズムは、ソースeNodeBのために用いられるセキュリティアルゴリズムと同じであっても、同じでなくてもよい。
第2の実施態様
第2の実施形態では、eNodeBセキュリティ能力が、UEアタッチ又はハンドオーバ手順の一部としてMMEに送信される。本実施形態によるアタッチ手順が図7に示される。
アタッチ手順の一部として、UEは、eNodeBを介してMMEに、S1:初期UEメッセージ71を送信する。この初期UEメッセージ71を転送する際に、eNodeBは、自らのセキュリティ能力に関連する情報を組み込み、これをS1:初期UEメッセージ71の一部としてMMEに送信する。MMEは、そのメッセージを受信すると、その接続のためのセキュリティアルゴリズム73を選択し、S1専用メッセージ75を用いて、eNodeBに通知する。
ここで、本実施形態によるハンドオーバ方法を、図8を参照しつつ説明する。ハンドオーバが起動されるとき(81)、ソースeNodeBは、S1:ハンドオーバ必要メッセージ83をMMEに送信する。セキュリティアルゴリズムの変更が必要とされるか否かを判断するために、MMEは、ターゲットeNodeBのセキュリティ能力を知る必要がある。これは別個のS1:セキュリティ能力要求/応答手順85を用いて果たされ、その手順は、特定のUE接続のための専用手順として、又は共通手順として実施される場合がある。
ターゲットeNodeBのセキュリティ能力が判断されると、MMEからターゲットeNodeBにS1:ハンドオーバ要求メッセージ87が送信され、そのメッセージは、ターゲットeNodeBに、選択されたセキュリティアルゴリズムを通知する。そのハンドオーバ要求は、ターゲットeNodeBによって肯定応答され(89)、MMEは、ソースeNodeBにS1:ハンドオーバ命令811を発行する。
第3の実施態様
本明細書において記載されるシステム及び方法の第3の実施形態が図9において示される。
この実施形態では、アタッチ手順は、第2の実施形態に関して既に説明され、図7において示されるのと同じようにして機能する。すなわち、セキュリティ能力が、専用S1:初期UEメッセージを用いて、MMEに転送される。
S1リロケーション又はハンドオーバ手順が図9において示される。この実施形態では、ハンドオーバが起動されるとき(91)、MMEはターゲットeNodeBにS1:ハンドオーバ要求メッセージ93を送信する。S1:ハンドオーバ要求メッセージ93は、好ましいセキュリティアルゴリズムのリストを組み込む。ターゲットeNodeBは、そのリストから1つのアルゴリズムを選択し、S1:ハンドオーバ要求肯定応答メッセージ95において、その選択をMMEに通知する。
MMEは、ターゲットeNodeB選択97を確認し、その際、好ましいリストに属さないアルゴリズムが選択される場合には、ターゲットeNodeB決定を拒否する権限を有する。そのアルゴリズムが拒否される場合には、MMEは、ターゲットeNodeBに資源解放メッセージを送信し、ソースeNodeBに対してハンドオーバを拒否する。
MMEがeNodeBのアルゴリズム選択を容認する場合には、通常の手順に従って、そのeNodeBとユーザデバイスとの間に接続が確立される。
3GPP用語の用語集
LTE − (UTRANの)ロングタームエボリューション
eNodeB − E−UTRANノードB
AGW − アクセスゲートウェイ
UE − ユーザ装置 − 移動通信デバイス
DL − ダウンリンク − 基地局から移動局へのリンク
UL − アップリンク − 移動局から基地局へのリンク
AM − 肯定応答モード
UM − 否定応答モード
MME − 移動管理エンティティ
UPE − ユーザプレーンエンティティ
CN − コアネットワーク
HO − ハンドオーバ
RAN − 無線アクセスネットワーク
RANAP − 無線アクセスネットワークアプリケーションプロトコル
RLC − 無線リンク制御
RNC − 無線ネットワークコントローラ
RRC − 無線資源制御
RRM − 無線資源管理
SDU − サービスデータユニット
SRNC − サービング無線ネットワークコントローラ
PDU − プロトコルデータユニット
NAS − 非アクセス層(Non Access Stratum)
ROHC − ロバストヘッダ圧縮
TA − トラッキングエリア
Uプレーン又はUP − ユーザプレーン
TNL − トランスポートネットワーク層
S1インタフェース − アクセスゲートウェイとeNodeBとの間のインタフェース
X2インタフェース − 2つのeNodeBの間のインタフェース
MMES/SAEゲートウェイ − MMEエンティティ及びUPEエンティティの双方を有するアクセスゲートウェイ
以下において、現在提案されている3GPP LTE標準規格において本発明を実施することができる方法を詳細に説明する。種々の特徴が不可欠であるか又は必要であるように説明されるが、これは、たとえばその標準規格によって課せられる他の要件に起因して、提案されている3GPP LTE標準規格の場合にのみ当てはまり得る。それゆえ、これらの記載は、決して本発明を制限するものと解釈されるべきではない。
タイトル:eNBセキュリティ能力のシグナリング
1 序論
おそらくホームeNBにセキュリティアルゴリズム選択を委ねることはできないので、NAS、RRC及びUPトラフィックのためのセキュリティアルゴリズムをMMEが選択することが、より安全である。結果として、MMEは、アルゴリズム選択が行われる時点までに、eNBセキュリティ能力を知る必要がある。本稿は、アタッチ手順中に、そして必要な場合には、S1リロケーション中に、MMEがアルゴリズム選択を実行できるようにするための3つの取り得る方法を提案する。
2 背景
UMTS背景
UMTSでは、SRNCは、そのセキュリティ能力、UEセキュリティ能力、及びCNからもたらされる許容アルゴリズム情報に基づいて、セキュリティアルゴリズムを選択する。
SRNSリロケーション中に、TRNCは、必要に応じて、その能力(そのデータベースに格納される)、使用されている現在のアルゴリズム(ソースRNCから与えられる情報)及び許容セキュリティアルゴリズム(RANAPにおいてCNによって与えられる情報:リロケーション要求)に基づいて別のアルゴリズムを選択する。
提案
・MMEが、NAS、RRC及びUPトラフィックのためのセキュリティアルゴリズムを選択する。
・RAN2及びRAN3がMMEに必要な情報を与えるべきである。
・セキュリティアルゴリズム選択は以下の手順中に行なわれる。
◎アタッチ手順
◎X2又はS1のいずれを介した、eNB間ハンドオーバ
3 提案
以下に、セキュリティアルゴリズム選択のための3つの提案が列挙される。
3.1 提案1
その提案は、セキュリティアルゴリズムを決定するために、MMEに対するeNBセキュリティ能力のシグナリングメカニズム、MME内のeNBコンテキストにおけるこれらのセキュリティ能力の格納、及びアタッチ手順及びS1リロケーション手順中のeNBコンテキストの問い合わせに重点を置く。
3.1.1 シグナリングメカニズム
MMEがアタッチ及びS1リロケーションの双方の手順中にセキュリティアルゴリズムを選択できるようにするには、以下のことが必要とされる。
・MMEとS1接続される全てのeNBが、そのセキュリティ能力をMMEにシグナリングする。
・MMEが、eNBセキュリティ能力を含むeNBコンテキストを保持し、この場合、そのコンテキストは、アタッチ及びS1リロケーションの双方の手順中に問い合わせられることになる。
3.1.1.1 MMEにおけるeNBコンテキスト更新
SCTP接続の初期化後に、eNBは、S1共通メッセージによって、そのセキュリティ能力をMMEに通知する。その後、MMEは、eNBコンテキストを更新し、その能力情報を格納する。
3.1.1.2 アタッチ手順
S1:初期UEメッセージの受信時に、MMEは、UE能力、MME内のeNBコンテキストに格納されるeNB能力、及びMMEにも知られている許容RRC/UPセキュリティアルゴリズムに基づいて、セキュリティアルゴリズムを選択する。
その後、選択されたアルゴリズムは、適当なS1メッセージによって、eNBに通知される。
3.1.1.3 S1リロケーション手順
S1:リロケーション処理を要求する情報(Relocation Required)の受信時に、MMEは、アルゴリズム変更が必要とされるか否かを評価できるべきであり、変更が必要とされる場合には、S1:リロケーション要求メッセージにおいて、ターゲットeNBに新たなアルゴリズムを通知すべきである。
MMEがS1リロケーション手順中に新たなアルゴリズムを選択できるようにするには、上記で提案されたようなeNBコンテキストの保守が必要とされる。
3.2 提案2
以下のS1メッセージ、すなわち、
・アタッチ手順中のS1初期UEメッセージ
・S1リロケーション(共通又は専用)中の新たなS1手順
によって、MMEにeNBセキュリティ能力が送信される。
3.2.1.1 アタッチ手順
MMEは、S1:初期UEメッセージにおいてeNB能力を受信し、セキュリティアルゴリズムを選択し、専用S1メッセージによってeNBに通知する。
3.2.1.2 S1リロケーション
S1リロケーション処理を要求する情報を受信する時点までに、MMEは、アルゴリズム変更が必要とされるか否かを判断しなければならず、すなわち、ターゲットeNB能力を知る必要がある。MMEは、新たなS1:セキュリティ能力要求/応答手順によって、ターゲットeNB能力を知るようになる。この手順は、専用手順であっても、共通手順であってもよい。
3.3 提案3
アタッチ手順中に、MMEは、専用S1メッセージ、すなわちS1:初期UEメッセージ(提案2と同じ)によってセキュリティ能力を得る。
S1リロケーション中に、MMEは、ターゲットeNBに、セキュリティアルゴリズムの好ましいリストを通知する。eNBは1つのアルゴリズムを選択し、それをS1:リロケーション要求肯定応答において、MMEに通知する。
その際、好ましいリストに属さないアルゴリズムが選択される場合には、MMEは、ターゲットeNB決定を拒否する権限を有する。その後、MMEは、
・ターゲットeNBに資源を解放するように命令し、
・ソースeNBに対してハンドオーバを拒否する。
3.4 提案比較
提案1−シグナリングオーバーヘッドを最小限に抑えるが、MMEは、eNodeBコンテキスト内のセキュリティ情報を保守する必要がある。
提案2−MMEはeNodeBコンテキストを保守する必要はないが、eNodeB能力を通知するためにUE専用メッセージが用いられるため、本提案は関連付けられるシグナリングオーバーヘッドを有し、ハンドオーバ準備手順において遅延がある。
提案3−新たなメッセージは不要であり、MMEはeNodeBコンテキストを保守する必要はない。ターゲットeNodeBが資源を割り当てた後に、ハンドオーバ手順が失敗する場合がある。これは異常な場合であり、たとえば、ターゲットeNodeBが信頼できるeNodeBでない(すなわち、事業者の制御下にないeNodeBである)場合である。
4 結論
本発明者らは、アタッチ及びS1リロケーションの双方の手順中に、MMEにセキュリティアルゴリズムを変更させるための3つの取り得る方法を提案する。表1に列挙される提案を比較すると、何らかの他の理由から、いずれにしてもeNBコンテキストが保守される必要がある場合には、本発明者らは提案1に同意することを選び、そうでない場合には、本発明者らは、提案3が最も簡単な解決策であると考える。RAN3が好ましいメカニズムを検討し、ステージ2仕様に取り入れるのに同意することを提案する。
本出願は、2007年10月31日に出願の英国特許出願第0721337.4号に基づいており、その特許出願からの優先権の利益を主張し、その特許出願の開示は参照によりその全体が本明細書に援用される。

Claims (55)

  1. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理する方法であって、
    前記コアネットワークにおいて、前記通信ネットワークに接続する前記ユーザデバイスのためのセキュリティ能力情報を受信すること、
    前記基地局のためのセキュリティ能力情報を入手すること、
    前記コアネットワークにおいて、前記ユーザデバイスにための前記セキュリティ能力情報及び前記基地局にための前記セキュリティ能力情報を処理することであって、前記ユーザデバイスと前記基地局との間の接続のためのセキュリティポリシーを選択する、処理すること、及び
    前記選択されたセキュリティポリシーを前記基地局に送信することを含む、方法。
  2. 前記コアネットワークのためのセキュリティポリシー情報を入手すること、及び
    前記コアネットワークにための前記セキュリティポリシー情報に基づいて、セキュリティポリシーを選択することをさらに含む、請求項1に記載の方法。
  3. 前記セキュリティ能力情報を処理することであって、セキュリティポリシーを選択する、処理することは、セキュリティポリシーの優先順位付きのリストから1つのポリシーを選択することを含む、請求項1又は2に記載の方法。
  4. 前記ユーザデバイスのためのセキュリティ能力情報を受信する前に、前記コアネットワークにおいて、前記通信ネットワーク内の複数の基地局それぞれのためのセキュリティ能力情報を受信することをさらに含む、請求項1、2又は3に記載の方法。
  5. 前記コアネットワークにおいて前記各基地局にための前記セキュリティ能力情報を格納することをさらに含む、請求項1〜4のいずれか一項に記載の方法。
  6. 前記セキュリティ能力情報を格納することは、前記基地局に関連付けられるコンテキストにおいてセキュリティ能力情報を格納することを含む、請求項5に記載の方法。
  7. 前記基地局のためのセキュリティ能力情報を入手することは、メモリからセキュリティ能力情報を検索することを含む、請求項1〜6のいずれか一項に記載の方法。
  8. 基地局と前記コアネットワークとの間で接続を確立した後に、該基地局のためのセキュリティ能力情報を受信することをさらに含む、請求項1〜7のいずれか一項に記載の方法。
  9. 前記セキュリティ能力情報は、S1共通メッセージにおいて受信される、請求項1〜8のいずれか一項に記載の方法。
  10. 基地局のためのセキュリティ能力情報を受信すること、及びデータベースを更新することであって該セキュリティ能力情報を格納する、更新することをさらに含む、請求項1〜9のいずれか一項に記載の方法。
  11. ユーザデバイスからのアタッチメント要求の受信時に、前記セキュリティポリシーを選択することをさらに含む、請求項1〜10のいずれか一項に記載の方法。
  12. S1専用メッセージを用いて、前記選択されたセキュリティポリシーを前記基地局に送信することをさらに含む、請求項1〜11のいずれか一項に記載の方法。
  13. ソース基地局からターゲット基地局への前記ユーザデバイスの移動に関する通知を受信すること、
    前記ターゲット基地局のためのセキュリティ能力情報を入手すること、
    前記ターゲット基地局に接続するために、前記セキュリティポリシーの変更が必要とされるか否かを判断すること、及び
    前記選択されたセキュリティポリシーを前記ターゲット基地局に送信することをさらに含む、請求項1〜12のいずれか一項に記載の方法。
  14. 前記ターゲット基地局に接続するために、前記セキュリティポリシーの変更が必要とされるか否かを判断することは、前記ターゲット基地局のための格納されているセキュリティ能力情報を検索することを含む、請求項13に記載の方法。
  15. 前記基地局のためのセキュリティ能力情報を入手することは、前記基地局からセキュリティ能力情報を受信することを含む、請求項1に記載の方法。
  16. 前記セキュリティ能力情報は、アタッチメント要求メッセージの一部として受信される、請求項15に記載の方法。
  17. 前記ターゲット基地局に接続するために、前記セキュリティポリシーの変更が必要とされるか否かを判断することは、セキュリティ能力情報要求を第2の構成要素に送信することを含む、請求項1に従属する場合の請求項13に記載の方法。
  18. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続を提供する方法であって、
    前記基地局から前記コアネットワークに該基地局のためのセキュリティ能力情報を送信すること、
    前記コアネットワークから、前記ユーザデバイスと前記基地局との間の接続のための選択されたセキュリティポリシーを受信すること、及び
    前記選択されたセキュリティポリシーを用いて、前記ユーザデバイスと前記基地局との間の接続を確立することを含む、方法。
  19. セキュリティ能力情報を送信した後に、ユーザデバイスと前記基地局との間の接続の確立の通知を送信することをさらに含む、請求項18に記載の方法。
  20. 前記セキュリティ能力情報は、前記基地局と前記コアネットワークとの間の接続を確立した後に送信される、請求項18又は19に記載の方法。
  21. 前記セキュリティ能力情報は、S1共通メッセージにおいて送信される、請求項18〜20のいずれか一項に記載の方法。
  22. 前記選択されたセキュリティポリシーは、S1専用メッセージを用いて、前記コアネットワークから受信される、請求項18〜21のいずれか一項に記載の方法。
  23. ユーザデバイスと前記基地局との間の接続の確立の通知の送信時に、前記セキュリティ能力情報を送信することをさらに含む、請求項18に記載の方法。
  24. セキュリティ能力情報を送信する前に、
    前記基地局において、前記コアネットワークからセキュリティ能力情報要求を受信することをさらに含む、請求項18に記載の方法。
  25. アタッチメント要求メッセージの一部として前記セキュリティ能力情報を送信することをさらに含む、請求項18に記載の方法。
  26. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理する方法であって、
    前記コアネットワークにおいて、前記ユーザデバイスと基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを選択すること、
    前記少なくとも1つの好ましいセキュリティポリシーを前記基地局に送信すること、
    前記基地局から、選択されたセキュリティポリシーを特定する情報を受信すること、
    前記選択されたセキュリティポリシーを前記少なくとも1つの好ましいセキュリティポリシーと比較すること、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局にメッセージを送信することを含む、方法。
  27. 少なくとも1つの好ましいセキュリティポリシーを選択する前に、前記コアネットワークのためのセキュリティポリシー情報を入手することをさらに含む、請求項26に記載の方法。
  28. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続を提供する方法であって、
    前記基地局において、前記ユーザデバイスと該基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを受信すること、
    前記接続のためのセキュリティポリシーを選択すること、
    前記選択されたセキュリティポリシーを前記コアネットワークに送信すること、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局において、前記コアネットワークからメッセージを受信することを含む、方法。
  29. 前記少なくとも1つの好ましいセキュリティポリシーは、前記コアネットワークが許容できるセキュリティポリシーのリストを含む、請求項26〜28のいずれか一項に記載の方法。
  30. 前記リストは優先順位付きのリストである、請求項26〜29のいずれか一項に記載の方法。
  31. 前記選択されたセキュリティポリシーは、前記リスト化されたセキュリティポリシーの個々の優先順位に基づいて選択される、請求項26〜30のいずれか一項に記載の方法。
  32. 前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致する場合には、前記ユーザデバイスと前記基地局との間に接続を確立することをさらに含む、請求項26〜31のいずれか一項に記載の方法。
  33. 前記メッセージは、前記基地局が前記接続を確立すべきないことを指示する、請求項26〜32のいずれか一項に記載の方法。
  34. 前記コアネットワークにための前記セキュリティポリシー情報は、少なくとも1つの好ましいセキュリティポリシーを含む、請求項2に記載の方法。
  35. 前記セキュリティポリシー情報は、セキュリティポリシーの優先順位付きのリストを含む、請求項2又は34に記載の方法。
  36. 前記コアネットワークは、少なくとも1つのゲートウェイ構成要素、好ましくはMMEを含む、請求項1〜35のいずれか一項に記載の方法。
  37. 前記セキュリティ能力情報は、前記ネットワーク構成要素によって実施される少なくとも1つのセキュリティアルゴリズムの識別子を含む、請求項1〜36のいずれか一項に記載の方法。
  38. 前記セキュリティポリシーは、前記ユーザデバイスと前記基地局との間の接続において用いるためのセキュリティアルゴリズムの識別子を含む、請求項1〜37のいずれか一項に記載の方法。
  39. 前記セキュリティアルゴリズムは、UEA1、UIA1、UEA2及びUIA2のうちの少なくとも1つを含む、請求項37又は38に記載の方法。
  40. ユーザデバイスと前記基地局との間の接続の確立の通知は、アタッチメント要求の通知を含む、請求項23に記載の方法。
  41. ユーザデバイスと前記基地局との間の接続の確立の通知は、ハンドオーバ要求の通知を含む、請求項23に記載の方法。
  42. セキュリティポリシーを選択することは、前記コアネットワークのためのセキュリティ能力情報及びセキュリティポリシー情報を評価することを含む、請求項1〜41のいずれか一項に記載の方法。
  43. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理するゲートウェイであって、
    前記通信ネットワークに接続する前記ユーザデバイスのためのセキュリティ能力情報を受信する手段、
    前記基地局のためのセキュリティ能力情報を入手する手段、
    前記ユーザデバイスにための前記セキュリティ能力情報及び前記基地局にための前記セキュリティ能力情報を処理する手段であって、ユーザデバイスと前記基地局との間の接続のためのセキュリティポリシーを選択する、処理する手段、及び
    前記選択されたセキュリティポリシーを前記基地局に送信する手段を備える、ゲートウェイ。
  44. 前記通信ネットワーク内の複数の基地局それぞれのためのセキュリティ能力情報を受信する手段をさらに備える、請求項43に記載のゲートウェイ。
  45. 前記コアネットワークにおいて前記各基地局にための前記セキュリティ能力情報を格納する手段をさらに備える、請求項43又は44に記載のゲートウェイ。
  46. 前記基地局のためのセキュリティ能力方法を入手する手段は、メモリからセキュリティ能力情報を検索する手段を含む、請求項43〜45のいずれか一項に記載のゲートウェイ。
  47. 前記基地局のためのセキュリティ能力情報を入手する手段は、前記基地局からセキュリティ能力情報を受信する手段を含む、請求項43に記載のゲートウェイ。
  48. ユーザデバイスと、コアネットワークとの間の接続を提供する基地局であって、
    前記コアネットワークに前記基地局のためのセキュリティ能力情報を送信する手段、
    前記コアネットワークから、前記ユーザデバイスへの接続のための選択されたセキュリティポリシーを受信する手段、及び
    前記選択されたセキュリティポリシーを用いて、前記ユーザデバイスへの接続を確立する手段を備える、基地局。
  49. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理するゲートウェイであって、
    前記ユーザデバイスと基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを選択する手段、
    前記少なくとも1つの好ましいセキュリティポリシーを前記基地局に送信する手段、
    前記基地局から、選択されたセキュリティポリシーを特定する情報を受信する手段、
    前記選択されたセキュリティポリシーを前記少なくとも1つの好ましいセキュリティポリシーと比較する手段、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局にメッセージを送信する手段を備える、ゲートウェイ。
  50. ユーザデバイスと、コアネットワークとの間の接続を提供する基地局であって、
    前記ユーザデバイスと前記基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを受信する手段、
    前記接続のためのセキュリティポリシーを選択する手段、
    前記選択されたセキュリティポリシーを前記コアネットワークに送信する手段、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局において、前記コアネットワークからメッセージを受信する手段を備える、基地局。
  51. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理するためのゲートウェイであって、
    前記通信ネットワークに接続する前記ユーザデバイスのためのセキュリティ能力情報を受信する受信機と、
    前記基地局のためのセキュリティ能力情報を入手するデバイスと、
    前記ユーザデバイスにための前記セキュリティ能力情報及び前記基地局にための前記セキュリティ能力情報を処理するプロセッサであって、ユーザデバイスと前記基地局との間の接続のためのセキュリティポリシーが選択される、プロセッサと、
    前記選択されたセキュリティポリシーを前記基地局に送信する送信機とを備える、ゲートウェイ。
  52. ユーザデバイスと、コアネットワークとの間の接続を提供する基地局であって、
    前記コアネットワークに前記基地局のためのセキュリティ能力情報を送信する送信機、
    前記コアネットワークから、前記ユーザデバイスへの接続のための選択されたセキュリティポリシーを受信する受信機、及び
    前記選択されたセキュリティポリシーを用いて、前記ユーザデバイスへの接続を確立するデバイスを備える、基地局。
  53. ユーザデバイスと、少なくとも1つの基地局及びコアネットワークを含む通信ネットワークとの間の接続のためのセキュリティを管理するゲートウェイであって、
    前記ユーザデバイスと基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを選択するプロセッサ、
    前記少なくとも1つの好ましいセキュリティポリシーを前記基地局に送信する送信機、
    前記基地局から、選択されたセキュリティポリシーを特定する情報を受信する受信機、
    前記選択されたセキュリティポリシーを前記少なくとも1つの好ましいセキュリティポリシーと比較するプロセッサ、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局にメッセージを送信する送信機を備える、ゲートウェイ。
  54. ユーザデバイスと、コアネットワークとの間の接続を提供する基地局であって、
    前記ユーザデバイスと前記基地局との間の接続のための少なくとも1つの好ましいセキュリティポリシーを受信する受信機、
    前記接続のためのセキュリティポリシーを選択するプロセッサ、
    前記選択されたセキュリティポリシーを前記コアネットワークに送信する送信機、及び
    前記選択されたセキュリティポリシーが好ましいセキュリティポリシーと一致しない場合には、前記基地局において、前記コアネットワークからメッセージを受信する受信機を備える、基地局。
  55. 請求項1〜42のいずれか一項に記載の方法を実行するための命令を含む、コンピュータプログラム、コンピュータプログラム製品又はコンピュータ読取り可能媒体。
JP2010513552A 2007-10-31 2008-10-27 セキュリティアルゴリズムを選択するためのシステム及び方法 Expired - Fee Related JP5273406B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0721337.4 2007-10-31
GB0721337A GB2454204A (en) 2007-10-31 2007-10-31 Core network selecting security algorithms for use between a base station and a user device
PCT/JP2008/069834 WO2009057730A2 (en) 2007-10-31 2008-10-27 System and method for selection of security algorithms

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2012153489A Division JP5578335B2 (ja) 2007-10-31 2012-07-09 セキュリティアルゴリズムを選択するためのシステム及び方法

Publications (2)

Publication Number Publication Date
JP2011501479A true JP2011501479A (ja) 2011-01-06
JP5273406B2 JP5273406B2 (ja) 2013-08-28

Family

ID=38834568

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2010513552A Expired - Fee Related JP5273406B2 (ja) 2007-10-31 2008-10-27 セキュリティアルゴリズムを選択するためのシステム及び方法
JP2012153489A Expired - Fee Related JP5578335B2 (ja) 2007-10-31 2012-07-09 セキュリティアルゴリズムを選択するためのシステム及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2012153489A Expired - Fee Related JP5578335B2 (ja) 2007-10-31 2012-07-09 セキュリティアルゴリズムを選択するためのシステム及び方法

Country Status (7)

Country Link
US (2) US8949927B2 (ja)
EP (2) EP2213115B1 (ja)
JP (2) JP5273406B2 (ja)
KR (2) KR101260567B1 (ja)
CN (1) CN101953193A (ja)
GB (1) GB2454204A (ja)
WO (1) WO2009057730A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531792A (ja) * 2009-06-29 2012-12-10 日本電気株式会社 適切なセキュリティアルゴリズムの選択を可能にするセキュアネットワーク接続
WO2015125717A1 (ja) * 2014-02-21 2015-08-27 京セラ株式会社 移動体通信システム、特定基地局、及びユーザ端末
JP2015181317A (ja) * 2010-10-01 2015-10-15 三菱電機株式会社 通信システム
KR20210040125A (ko) * 2018-08-13 2021-04-12 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 통신 네트워크에서 비-액세스 계층 통신의 보호
JP7157176B2 (ja) 2018-05-11 2022-10-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 無線接続を安全にする方法、装置、およびシステム

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5492218B2 (ja) 2008-10-29 2014-05-14 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 隣接基地局間でのセルタイプ情報共有
GB2471454A (en) * 2009-06-29 2011-01-05 Nec Corp Secure network connection
US8594014B2 (en) * 2009-10-22 2013-11-26 Cisco Technology, Inc. Systems and methods for selecting tracking areas and reducing paging
US8417236B2 (en) 2009-10-22 2013-04-09 Cisco Technology, Inc. Systems and methods for classifying user equipment and selecting tracking areas
US9872269B2 (en) * 2009-10-22 2018-01-16 Cisco Technology, Inc. Systems and methods for reduced latency tracking area selection
US8358593B2 (en) * 2009-10-22 2013-01-22 Cisco Technology, Inc. Systems and methods for selecting serving gateways to service user equipment
US8307097B2 (en) * 2009-12-18 2012-11-06 Tektronix, Inc. System and method for automatic discovery of topology in an LTE/SAE network
GB2477781A (en) * 2010-02-15 2011-08-17 Nec Corp Location area-based update procedure in a mobile radio network
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
CN102045721B (zh) * 2010-12-28 2014-03-05 广州杰赛科技股份有限公司 一种安全的无线城域网的用户终端切换方法
CN102833742B (zh) * 2011-06-17 2016-03-30 华为技术有限公司 机器类通信设备组算法的协商方法和设备
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
WO2013110351A1 (en) * 2012-01-26 2013-08-01 Telefonaktiebolaget L M Ericsson (Publ) Operation of a serving node in a network
PL2813098T3 (pl) 2012-02-06 2019-09-30 Nokia Technologies Oy Sposób i urządzenie szybkiego dostępu
EP2952027B1 (en) * 2013-01-30 2017-03-29 Telefonaktiebolaget LM Ericsson (publ) Security activation for dual connectivity
US8893230B2 (en) 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
CN104618089B (zh) * 2013-11-04 2019-05-10 华为技术有限公司 安全算法的协商处理方法、控制网元和系统
JP6296578B2 (ja) * 2013-12-24 2018-03-20 ホアウェイ・テクノロジーズ・カンパニー・リミテッド アクセスノード、移動性管理ネットワーク要素、およびページングメッセージ処理方法
CN104936171B (zh) * 2014-03-21 2019-07-16 中兴通讯股份有限公司 安全算法的确定方法及装置
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
CN105637935B (zh) * 2014-07-10 2019-09-20 华为技术有限公司 一种数据的传输方法、系统及相关装置
CN105323231B (zh) * 2014-07-31 2019-04-23 中兴通讯股份有限公司 安全算法选择方法、装置及系统
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
ES2758755T3 (es) 2015-06-01 2020-05-06 Duo Security Inc Método para aplicar normas de salud de punto final
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
CN109560929B (zh) 2016-07-01 2020-06-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
US20190174368A1 (en) * 2016-07-22 2019-06-06 Nokia Technologies Oy Security handling for network slices in cellular networks
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
WO2018083151A1 (en) * 2016-11-07 2018-05-11 Telefonaktiebolaget Lm Ericsson (Publ) Handling radio link failure in a narrow bandwidth internet of things control plane
CN108632909B (zh) * 2017-03-24 2019-08-23 电信科学技术研究院 一种QoS处理方法和装置
CN109863772B (zh) * 2017-04-12 2021-06-01 华为技术有限公司 一种安全策略的处理方法和相关设备
CN109511113B (zh) * 2017-07-28 2020-04-14 华为技术有限公司 安全实现方法、相关装置以及系统
CN109429283B (zh) * 2017-08-31 2021-07-20 华为技术有限公司 通信方法、装置和系统
CN117979378A (zh) * 2017-09-30 2024-05-03 华为技术有限公司 一种安全保护的方法、装置和系统
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11632676B2 (en) 2018-01-09 2023-04-18 Qualcomm Incorporated Service-based access stratum (AS) security configuration
EP3902302B1 (en) * 2018-02-19 2022-06-15 Telefonaktiebolaget Lm Ericsson (Publ) Supporting interworking and/or mobility between different wireless communication systems
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11539752B2 (en) * 2020-04-28 2022-12-27 Bank Of America Corporation Selective security regulation for network communication
CN114760623A (zh) * 2021-01-10 2022-07-15 华为技术有限公司 安全策略处理方法以及通信设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030033518A1 (en) * 2001-08-08 2003-02-13 Faccin Stefano M. Efficient security association establishment negotiation technique

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69841773D1 (de) * 1997-04-24 2010-09-02 Nippon Telegraph & Telephone Mobiles kommunikationsverfahren und anordnung
US6466779B1 (en) * 2000-03-07 2002-10-15 Samsung Electronics Co., Ltd. System and method for secure provisioning of a mobile station from a provisioning server using IWF-based firewall
DE10039080A1 (de) * 2000-08-10 2002-02-21 Bosch Gmbh Robert Brennstoffeinspritzventil und Verfahren zum Betrieb eines Brennstoffeinspritzventils
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US8776230B1 (en) 2001-10-02 2014-07-08 Mcafee, Inc. Master security policy server
GB2370732B (en) * 2001-10-17 2003-12-10 Ericsson Telefon Ab L M Security in communications networks
US7571317B1 (en) * 2002-09-11 2009-08-04 Cisco Technology, Inc. Providing user notification signals in phones that use encryption
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
JP4688808B2 (ja) * 2003-09-26 2011-05-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動体通信システムにおける暗号化の強化セキュリティ構成
US20050262569A1 (en) * 2004-05-10 2005-11-24 Trusted Network Technologies, Inc. System, apparatuses, methods and computer-readable media for determining security status of computer before establishing connection thereto first group of embodiments-claim set II
WO2005111841A2 (en) * 2004-05-10 2005-11-24 Trusted Network Technologies, Inc. System, apparatuses, methods and computer-readable media for determining security status of computer before establishing connection thereto
US7333442B2 (en) * 2004-07-30 2008-02-19 M-Stack Limited Apparatus and method for applying ciphering in universal mobile telecommunications system
US7272123B2 (en) * 2004-09-13 2007-09-18 Nextel Communications, Inc. System and method for handoff processing
US20060059551A1 (en) * 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways
CN101444119A (zh) 2006-03-27 2009-05-27 意大利电信股份公司 在移动通信设备上实施安全策略的系统
KR101123993B1 (ko) * 2006-04-18 2012-04-16 인터디지탈 테크날러지 코포레이션 무선 통신 보호 방법 및 시스템
US20070281680A1 (en) * 2006-06-05 2007-12-06 Vish Raju Method and system for extending services to cellular devices
JP4850610B2 (ja) * 2006-07-31 2012-01-11 キヤノン株式会社 通信装置及びその制御方法
EP1895706B1 (en) * 2006-08-31 2018-10-31 Apple Inc. Method for securing an interaction between a first node and a second node, first node arranged for interacting with a second node and computer program
WO2008041089A2 (en) * 2006-10-02 2008-04-10 Nokia Corporation Adaptive scheme for lowering uplink control overhead
CN101170811B (zh) * 2006-10-24 2010-09-01 中兴通讯股份有限公司 通用引导体系中安全等级的协商方法
FI20070094A0 (fi) * 2007-02-02 2007-02-02 Nokia Corp Radiopäällysverkon turvallisuusalgoritmin vaihtaminen handoverin aikana
US20090016334A1 (en) * 2007-07-09 2009-01-15 Nokia Corporation Secured transmission with low overhead
WO2009020789A2 (en) * 2007-08-03 2009-02-12 Interdigital Patent Holdings, Inc. Security procedure and apparatus for handover in a 3gpp long term evolution system
CN101207479A (zh) * 2007-12-07 2008-06-25 中兴通讯股份有限公司 一种密钥长度协商方法
CN102017681B (zh) * 2008-03-28 2015-05-06 爱立信电话股份有限公司 切换期间被操纵或有缺陷基站的识别
CN101854625B (zh) * 2009-04-03 2014-12-03 华为技术有限公司 安全算法选择处理方法与装置、网络实体及通信系统
US8019886B2 (en) * 2009-08-19 2011-09-13 Opanga Networks Inc. Systems and methods for enhanced data delivery based on real time analysis of network communications quality and traffic

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030033518A1 (en) * 2001-08-08 2003-02-13 Faccin Stefano M. Efficient security association establishment negotiation technique

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6012052515; 3GPP TR 33.821 V0.3.0, 200705, p.65-71 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531792A (ja) * 2009-06-29 2012-12-10 日本電気株式会社 適切なセキュリティアルゴリズムの選択を可能にするセキュアネットワーク接続
JP2015181317A (ja) * 2010-10-01 2015-10-15 三菱電機株式会社 通信システム
WO2015125717A1 (ja) * 2014-02-21 2015-08-27 京セラ株式会社 移動体通信システム、特定基地局、及びユーザ端末
US9991997B2 (en) 2014-02-21 2018-06-05 Kyocera Corporation Mobile communication system, specific base station, and user terminal
JP7157176B2 (ja) 2018-05-11 2022-10-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 無線接続を安全にする方法、装置、およびシステム
KR20210040125A (ko) * 2018-08-13 2021-04-12 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 통신 네트워크에서 비-액세스 계층 통신의 보호
KR102406871B1 (ko) 2018-08-13 2022-06-08 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 통신 네트워크에서 비-액세스 계층 통신의 보호
US11974122B2 (en) 2018-08-13 2024-04-30 Telefonaktiebolaget Lm Ericsson (Publ) Protection of non-access stratum communication in a wireless communication network

Also Published As

Publication number Publication date
KR20100086016A (ko) 2010-07-29
KR20130016382A (ko) 2013-02-14
EP3301961A1 (en) 2018-04-04
US20100263021A1 (en) 2010-10-14
JP2012195969A (ja) 2012-10-11
WO2009057730A3 (en) 2009-06-25
CN101953193A (zh) 2011-01-19
JP5578335B2 (ja) 2014-08-27
EP2213115A2 (en) 2010-08-04
US20130014210A1 (en) 2013-01-10
GB2454204A (en) 2009-05-06
EP2213115B1 (en) 2018-01-03
KR101260567B1 (ko) 2013-05-06
WO2009057730A2 (en) 2009-05-07
KR101355735B1 (ko) 2014-01-27
JP5273406B2 (ja) 2013-08-28
US8949927B2 (en) 2015-02-03
GB0721337D0 (en) 2007-12-12
US9661498B2 (en) 2017-05-23

Similar Documents

Publication Publication Date Title
JP5578335B2 (ja) セキュリティアルゴリズムを選択するためのシステム及び方法
US11464067B2 (en) Core network awareness of user equipment, UE, state
JP5787971B2 (ja) 移動電気通信ネットワークにおけるue能力情報の更新方法
JP5234297B2 (ja) 接続確立システム及び接続確立方法
US8855606B2 (en) Integrated circuit for radio communication mobile station device and call connection method
KR102188484B1 (ko) Dc (이중 접속성) 를 위한 장치, 시스템 및 방법
US10863569B2 (en) RRC connection re-establishment method for data transmission
JP7287534B2 (ja) Mmeデバイスにおいて実行される方法及びmmeデバイス
KR20160110974A (ko) 이중 연결에서의 특별한 Scell 선택의 처리를 위한 방법 및 시스템
KR20090045200A (ko) 네트워크 선택
EP3909388A1 (en) Terminal device, infrastructure equipment and methods
EP3790352B1 (en) Communication method, apparatus, computer-readable storage medium and system
US20220030474A1 (en) Communications device, infrastructure equipment, core network equipment and methods
US20220070952A1 (en) Telecommunications apparatus and methods
CN116097761A (zh) QoS信息的发送方法、接收方法、装置、设备及介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120709

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121221

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20130109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130321

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130417

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130430

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5273406

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees