JP2012508493A - 基地局間インタフェースの確立 - Google Patents

基地局間インタフェースの確立 Download PDF

Info

Publication number
JP2012508493A
JP2012508493A JP2011535080A JP2011535080A JP2012508493A JP 2012508493 A JP2012508493 A JP 2012508493A JP 2011535080 A JP2011535080 A JP 2011535080A JP 2011535080 A JP2011535080 A JP 2011535080A JP 2012508493 A JP2012508493 A JP 2012508493A
Authority
JP
Japan
Prior art keywords
peer
security
ike
security association
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011535080A
Other languages
English (en)
Other versions
JP5324661B2 (ja
Inventor
オスカー ジー,
トマス ニランデル,
ヤリ ヴィクベリ,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2012508493A publication Critical patent/JP2012508493A/ja
Application granted granted Critical
Publication of JP5324661B2 publication Critical patent/JP5324661B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Abstract

同一のあるいは異なる無線アクセスネットワーク内に配置されている1対の基地局との間のピアツーピアIPSecセキュリティアソシエーションを確立する方法である。これらの基地局は、それぞれが事前に確立されているIPSecセキュリティアソシエーションを使用して、コアネットワークの同一のあるいは異なるセキュリティゲートウェイ群を介してコアネットワークと通信する。この方法は、事前に確立されているIPSecセキュリティアソシエーションを使用して、1対の基地局との間で、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを交換することを含んでいる。
【選択図】 なし

Description

本発明は、無線通信ネットワークに関するものである。より詳しくは、制限するものでなく、本発明は、同一の無線アクセスネットワークあるいは異なる無線アクセスネットワーク内の基地局との間のインタフェースを確立するシステム及び方法に向けられている。
3GPPリリース8で導入されている、ロングタームエボリューション(LTE)技術は、移動無線通信における次なる大きな進歩である。これは、より豊かなユーザ体験を与え、かつより厳しい用途でさえもサポートすることになる。この用途には、インタラクティブTV、ユーザ生成ビデオ群、高度なゲーム、及びプロフェッショナルサービスがある。LTEは、高度アンテナ技術を伴うOFDM(直交周波数分割多重)無線アクセス技術を使用する。
LTEに加えて、3GPPは、システムアーキテクチャエボリューション(SAE)の試みの一部として、均一のIPベースネットワークアーキテクチャを規定している。LTE/SAEアーキテクチャ及び概念の目的及び設計は、任意のIPベースのサービスの大規模市場での使用を効率的にサポートすることである。このアーキテクチャは、既存のGSM/WCDMAコアと無線アクセスネットワークに基づき、かつそれから進化することで、簡略化操作及び平滑で費用効果がある配備を容易にしている。
LTE/SAEアーキテクチャは、操業費用と設備投資を削減する。この新規で、安定したアーキテクチャは、例えば、2つのノードのタイプ(基地局とゲートウェイ)だけが、データ量の大幅な増加に対応するために容量を変倍しなければならないことを意味する。加えて、3GPPと3GPP2は、CDMAとLTE/SAE間の相互作用を最適化することに同意している。CDMAオペレータは、自身のネットワークをLTE−SAEへ進化させることができるであろうし、また、大規模な経済利益と全体的なチップセット規模の恩恵を受けることができるであろう。
LTE/SAEのアーキテクチャが図1に示される。ここでは、無線アクセスネットワークにおけるトラフィックタイプのノード(eノードB)だけが、SAEコアネットワーク(SAE CN)における2つのタイプのノード、即ち、制御シグナリングを扱うモビリティ管理エンティティ(MME)、ユーザデータを扱うSAEゲートウェイ(SAE−GW)とともに存在している。SAE−GWは動作名であり、2つの異なる部分、即ち、サービングゲートウェイ(在圏ゲートウェイ)とPDNゲートウェイを構成する。これらは、例えば、3GPP TS23.401で定義されている。これらのノードのすべては、IPネットワークによって相互に接続されている。
これらのタイプのノード間には、3つの主要なプロトコルとインタフェース(図1に示される)が存在する。これらは、eノードBとMMEとの間のS1−MME、eノードBとSAE−GWとの間(あるいは、より正確には、eノードBとサービングゲートウェイとの間)のS1−U、及びeノードBとの間のX2である。これらのインタフェースで使用される対応のプロトコルは、S1AP(S1アプリケーションプロトコル)、GTP−U(GPRSトンネリングプロトコルユーザプレーン)、及びX2AP(X2アプリケーションプロトコル)である。これらのプロトコルとインタフェースのすべてがIPベースである。加えて、ネットワークは、上述のインタフェースの一部である他のノード群を含むことができ、これには、例えば、ホームeノードB(HeNB)とネットワーク内の残りのノード群との間のホームeノードBゲートウェイ(HeNB GW)がある。
オペレータにとって、LTE RANとSAE CNとを接続するための共通の状況は、ある一定のサービスレベル協定(SLA)、例えば、インターネットサービスプロバイダからの特定の帯域幅とQoSサポートを伴う、トランスポート容量の貸出を含んでいる。この借り受けのトランスポート容量は非セキュアなもの(un-secure:安全でないもの)として取り扱われる。これは、トラフィックが、他のユーザのトラフィックと混ざる可能性があり、また、例えば、インターネットの一部を経由する可能性があるからである。我々は、コアネットワークノード群がセキュア化(安全な)イントラネット(いわゆる、信頼済ドメイン)に配置されているものと想定している。eノードBとSAE CNとの間でセキュア化通信を提供するために、セキュリティゲートウェイ(SEGW)が、インターネットとイントラネットとの間のインタフェースに導入される。IPSecトンネル群は、SEGW群を介してコアネットワークイントラネットに向けてeノードB群を接続するために使用される。
図2は、eノードB群(インターネット内)が、SEGW群に向けてのIPSecトンネル群を使用してSAE CNに接続されているいくつかの例を示している。S1−MMEとS1−Uは、IPsecトンネル群を介して確立される。2つのeノードBとの間のX2インタフェースは、eノードB群が同一のあるいは異なるSEGW(群)に接続されているかどうかに依存して、1つあるいは2つのSEGW(群)を通じて横断し得ることが示されている。
貸出のトランスポート容量の値付けに影響を与える要素がいくつか存在する。これらには、例えば、帯域幅、サービス品質(QoS)、及び提供されるパブリックIPアドレスの数がある。パブリックIPアドレスに対する要件を最小化するために、eノードBは、ネットワークアドレス変換(NAT)を有するファイヤウォールの配下に配置することができる。NATは、通常、ISPによって、公的に登録されているIPアドレス群のプールから1つのIPアドレスが割り当てられる。そして、プライベートIPアドレスとパブリックIPアドレスとの間で、ソース(パケット群を発信するための)と宛先(パケット群を着信するための)アドレス変換を実行する。NATの使用は、NATをバイパスし、かつeノードB群にSEGW群とイントラネット内のノード群と通信することを可能にするために、IPSecセットアップが、例えば、以下の特性を伴うようになされても良いことを要求する。
・トンネルモード
・ESP
・IPsec ESP パケット群のUDPカプセル化(RFC3948)
・例えば、IKEv2シグナリングあるいはDHCPを介してIPsecトンネルの確立中のイントラネットIPアドレス割当
図3は、X2インタフェースの確立に関連して重要である、eノードBトポロジー位置に対する様々な可能性を示している。これには、
1.イントラネット−eノードBは、コアネットワークノード群といくつかの他のeノードB群として、同一のセキュアドメイン(即ち、イントラネット)内に配置される。
2.NATなしのインターネット−eノードBは、セキュアドメイン外、即ち、インターネットに配置される。セキュアドメインにアクセスするために、eノードBは、SEGWに向けてのIPSecトンネルを確立することを必要とする。
3.NAT付きインターネット−eノードBは、セキュアドメイン外、即ち、インターネットに配置される。パブリックIPアドレスの量を節約するため(あるいはそれ以外の理由のため)に、eノードBは、NATの配下に配置される。この場合、IPsecトンネルは、eノードBとSEGWとの間でも必要とされる。
2つのeノードBがインターネットに配置される場合に、これらの2つのeノードBとの間のX2接続を確立するための方法が2種類存在する。1つ目の方法は、eノードB群とSEGW群との間に既に確立されているIPSecトンネル群を通じてトラフィックをルーティングすることである。この方法の利点は単純なことであり、これは、eノードB群とSEGW群との間でもIPsecトンネル群が確立される場合のS1インタフェース群の初期セットアップ中にすべての必要な接続が既に確立されているからである。この方法の欠点は、X2データが少なくとも2つの暗号化/解読チェーンを通すことになり、かつX2インタフェースにおいて余計でかつ不必要な遅延を招き、かつSEGWにおいて余計な容量が必要とされることである。これは、モビリティあるいはパフォーマンスの観点から望ましくない。
少なくとも宛先eノードBがNATの配下に配置されていない場合に適用できる第2の方法は、eノードB群との間の直接のIPsecトンネルを確立することである。この方法の利点は、X2データが、単一の1つの暗号化/解読チェーンのみを通すことになることである。この方法の欠点は、各X2接続に対して、eノードB群との間の証明が必要とされることである(即ち、他のeノードBを認証し、かつeノードBがIPsecトンネルを確立することを許容されているかを検証することである)、つまり、自動近隣リレーション(ANR)がX2の確立に関与する場合にeノードBについて複雑な証明構造を要求する(これは、X2の確立は、より「アドホック」的な方法でなされることになり、かつ各eノードBが、ラインタイム中に任意の潜在的な「近隣」を認証する機能を有することを必要とするからである)。
本発明の目的は、X2接続セットアップ中にeノードB群との間での認証の必要性を最小化することである。また、2つの異なるeノードB群との間で確立されるX2インタフェースで実行される暗号化及び解読の数を最小化することが要望される。本明細書で提示される方法は、既存のセキュアな子セキュリティアソシエーション(SA)におけるIKE_SA_INITメッセージを交換することによって、eノードB群を認証するために、あるいは既存のIKE_SA上の専用のメッセージ群によって、eノードB群を証明するために、既存のセキュア化イントラネットトンネルをピギーバックする。初期の交換後は、eノードB群は、それらの直接のピアツーピア通信を開始することができる。
本発明の第1の態様に従えば、同一のあるいは異なる無線アクセスネットワーク内に配置されている1対の基地局との間のピアツーピアIPSecセキュリティアソシエーションを確立する方法が提供される。1対の基地局は、それぞれが事前に確立されているIPSecセキュリティアソシエーションを使用して、コアネットワークの同一のあるいは異なるセキュリティゲートウェイ群を介してコアネットワークと通信する。この方法は、前記事前に確立されているIPSecセキュリティアソシエーションを使用して、前記1対の基地局との間で、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを交換することを有する。
このソリューションは、セキュリティゲートウェイ(群)に対するIPsecセキュア化通信チャネル群を介して、あるいはそれらのIPsecセキュア化通信チャネル群と関連付けられている子チャネル群を介して、一対の基地局との間でピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを送信することを含んでいても良い。
前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとはそれぞれ、IKEメッセージであるIKE−SA−INITリクエストメッセージとIKE−SA−INIT応答メッセージであっても良い。
前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、この方法は、前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記1対の基地局の一方から該1対の基地局の他方へ、非セキュア化IPネットワークを介してIKE_AUTHメッセージを送信することを含んでも良い。この方法は、前記IKE_AUTHメッセージをUDPカプセル化することを含んでも良い。
前記基地局の他方は、前記ピアツーピアIPSecセキュリティアソシエーションに割り当てられるセキュリティパラメータインデックスのみを使用して、前記基地局の一方から受信するメッセージ群を、該基地局の一方と関連付けることができる。選択的には、前記基地局の他方は、前記ピアツーピアIPSecセキュリティアソシエーションに割り当てられるセキュリティパラメータインデックスと前記基地局の一方のIPアドレスとを使用して、該基地局の一方から受信するメッセージ群を、該基地局の一方と関連付けることができ、また、前記基地局の一方のIPアドレスは、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして、前記基地局の他方へ搬送される。
この方法は、前記1対の基地局との間で、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを、前記1対の基地局それぞれとセキュリティのペア群との間に存在する前記事前に確立されているIPSecセキュリティアソシエーションの暗号化された子セキュリティアソシエーション群を介して交換することを含んでも良い。そして、前記ピアツーピアIPSecセキュリティアソシエーションでセキュアにされたデータは、前記基地局それぞれと前記セキュリティゲートウェイのペア群との間での、ヌル暗号化による子セキュリティアソシエーション群を介して連続して送信されても良い。
この方法は、少なくとも前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージに、前記セキュリティゲートウェイ群の1つあるいはそれぞれを識別するフラグであって、前記ピアツーピアIPSecセキュリティアソシエーションが前記基地局の他方のIPアドレスと関連付けられた、セキュリティポリシーデータベースに追加されるべきことを示すフラグを含めても良い。次に、前記ピアツーピアIPSecセキュリティアソシエーションを使用して連続的に送信されるデータは、ペイロード暗号化あるいは解読を必要とすることなく前記セキュリティゲートウェイによって転送される。
この方法は、前記基地局の一方において、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージを送信し、前記基地局の他方がネットワークアドレストランスレータであるNATの配下に配置されているか否かを判定し、その判定結果を使用して、どのようにして、前記ピアツーピアIPSecセキュリティアソシエーションの確立を進めるかを判定しても良い。
本発明の特定の実施形態では、前記1対の基地局それぞれは、LTEベースの無線アクセスネットワーク内のeノードBであり、前記コアネットワークは、SAEベースのネットワークである。
この方法は、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの後に続くメッセージ群が、前記セキュリティゲートウェイ群を介してあるいはパブリックIPネットワークを介して交換されるべきかどうかを判定することを含んでも良い。この判定は、前記セキュリティゲートウェイ群を介して交換されるべきであると判定する場合、前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記基地局のパブリックIPアドレスを、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして含めず、また、前記パブリックIPネットワークを介して交換されるべきであると判定する場合、前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記基地局のパブリックIPアドレスを、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして含める。
本発明の第2の態様に従えば、無線アクセスネットワークに使用され、かつ事前に確立されているIPSecセキュリティアソシエーションを使用して、コアネットワークのセキュリティゲートウェイを介して前記コアネットワークと通信するように構成されている基地局が提供される。この基地局は、ピアとなる基地局とのピアツーピアセキュリティアソシエーションを確立するために、前記事前に確立されているIPSecセキュリティアソシエーションを使用して、前記ピアとなる基地局と、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを交換するためのセキュリティ処理ユニットを備える。
前記セキュリティ処理ユニットは、前記ピアとなる基地局へ、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、非セキュア化IPネットワークを介してIKE_AUTHメッセージを送信するように構成されても良い。選択的には、前記セキュリティ処理ユニットは、前記ピアとなる基地局へ、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、前記セキュリティゲートウェイ群を介してIKE_AUTHメッセージを送信するように構成されても良い。
この基地局は、更に、本発明の第1の態様に関して上述されるステップ群の方法を実現するための構成要素を更に備えても良い。例えば、この構成要素は、IKE−AUTHメッセーのUDPカプセル化に対して提供されても良く、一方で、この構成要素は、IKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして、基地局のパブリックアドレスを含めることに対してあるいは含めないことに対して提供されても良い。含めないことに対して提供される構成要素は、更なる交換がパブリックIPネットワークを介して行われるべきかどうかをピアとなる基地局へ指示するために要求されても良い。
本発明の第3の態様に従えば、無線アクセスネットワーク内の1つ以上の基地局をコアネットワークとセキュアに接続するためのセキュリティゲートウェイが提供される。このセキュリティゲートウェイは、前記無線アクセスネットワーク内の第1の基地局と前記コアネットワークとの間で交換されるトラフィックをセキュアにするために、第1のセキュリティアソシエーションを確立するためのセキュリティ処理ユニットを備える。また、前記第1の基地局と前記ピアとなる基地局との間で交換される、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージを処理するために、前記第1のセキュリティアソシエーションを使用するためのメッセージ処理ユニットが提供される。前記メッセージ交換は、前記第1の基地局と前記ピアとなる基地局との間でピアツーピアセキュリティアソシエーションの確立をもたらす。前記メッセージ処理ユニットは、更に、前記ピアツーピアセキュリティアソシエーションに対するセキュリティパラメータインデックスを、ローカルのセキュリティパラメータインデックスデータベースへ、前記第1の基地局と前記ピアとなる基地局との一方の宛先に向けて転送される前記セキュリティパラメータインデックスにパケット群を照合させるためのメッセージ処理命令とともに追加するように構成されている。
本発明の第4の態様に従えば、同一のあるいは異なる無線アクセスネットワーク内に配置されている1対の基地局として、その内の少なくとも一方がセキュリティゲートウェイを介してコアネットワークに接続されている前記基地局との間のピアツーピアIPSecセキュリティアソシエーションの確立を実現する方法が提供される。この方法は、セキュリティゲートウェイにおいて、前記無線アクセスネットワーク内の第1の基地局と前記コアネットワークとの間で交換されるトラフィックをセキュアにするために、第1のセキュリティアソシエーションを確立することを有する。この第1のセキュリティアソシエーションは、前記第1の基地局とピアとなる基地局との間で交換される、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージを処理するために使用され、前記メッセージ交換は、前記第1の基地局と前記ピアとなる基地局との間でピアツーピアセキュリティアソシエーションの確立をもたらす。前記ピアツーピアセキュリティアソシエーションに対するセキュリティパラメータインデックスが、ローカルのセキュリティパラメータインデックスデータベースへ、前記第1の基地局と前記ピアとなる基地局との一方の宛先に向けて転送される前記セキュリティパラメータインデックスにパケット群を照合させるためのメッセージ処理命令とともに追加される。
LTE/SAEネットワークのアーキテクチャのブロック図である。 SEGW群に向けてのIPSecトンネル群を使用して、インターネット内のeノードB群がSAE CNノード群に接続されている例を示すブロック図である。 X2インタフェースの確立に関連して重要であるeノードBトポロジー位置に対する様々な可能性を示すブロック図である。 ピアツーピアトンネルをセットアップするための方法の実施形態を示すシーケンス図である。 本発明の実施形態に従うIKE_SA_INITメッセージに対するパケット構造を示す図である。 ピアツーピアトンネルをセットアップするための方法の別の実施形態を示すシーケンス図である。 eノードB群間のIKEv2交換の例と、例としてIKE_SA_INIT交換を使用して、子SA確立後のIPSecメッセージ群を示すシーケンス図である。 IPSecを使用して、2つのSEGWとの間の接続を示すブロック図である。 例としてP2P_IKE_SA_INITメッセージを採用する、ネットワークのノード群との間のIKE P2P交換を示すシーケンス図である。 ソースeノードBが宛先eノードBへIPパケットを送信したい場合に実行される手順を示すシーケンス図である。 2つのeノードBとの間で確立されるエンドツーエンドセキュアチャネルを示すブロック図である。 基地局とセキュリティゲートウェイを示す図である。
本明細書で記載される方法及び装置は、特に、LTE/SAEに関するものであるが、他の場合にも適用することができる。つまり、この記載は、LTE/SAEネットワークにおけるeノードB群(改良ユニバーサル地上無線アクセスネットワーク(E−UTRAN)ノードB群)に関係し、かつeノードB群との間のX2インタフェースをどのようにして確立できるかに関係する一方で、同様の方法が、他のタイプの基地局群とインタフェース群とにも適用することができる。例えば、これらは、E−UTRANホームeノードB群(HeNB)、UTRANにおけるlurインタフェース、及びUTRANホームノードB群(HNB)にも適用することができる。現在の3GPPで策定中の仮説は、X2はHeNB群を介在するハンドオーバに対して使用されないとしているが、これは、介在するXインタフェースを有する他のHeNB機能群を除外するものではない。将来、X2がHeNB群を介在するハンドオーバに対して導入されることになる可能性を除外することはない。
X2インタフェースの確立に対する3つの方法をここで提示する。
1.非セキュアドメイン内のeノードBにおけるピアツーピアX2セットアップ
この方法の前提条件は、ソースeノードBと宛先eノードB群の両方が、非セキュアドメインあるいはドメイン群に配置され、かつIPsecトンネル(=通常SA)がSEGWとeノードBとの間で確立されなければならないことである。例えば、IPsecトンネルは、eノードBとコアネットワークとの間のS1インタフェースに対して確立されている。このソースeノードBは、少なくとも以下の情報も有することになる。
1.ソースeノードBのトポロジー位置
2.宛先eノードBのトポロジー位置
3.宛先eノードBに対するイントラネットIPアドレス
4.宛先eノードBに対するインターネットIPアドレス
この情報は、ソースeノードBにおいて事前構成設定される、あるいはいくつかのネットワークサーバからダウンロードされる、あるいは任意のいくつかの異なるシグナリングプロトコル(例えば、S1ベースのハンドオーバシグナリング)を使用して宛先eノードBから取得される。
この方法は、eノードB群の少なくとも1つがNATの配下にない場合に適用する。ここでは、ソースeノードBはNATの配下にあるが、宛先eノードBはNATの配下にないと想定する。
ピアツーピアトンネルをセットアップするための方法が、図4のシーケンス図で示され、かつこれは、以下のステップ群を備える。
1.ソースeノードBは、NATの配下に配置されるソースeノードBで、宛先eノードBへのX2接続を確立しようとする。この段階で、ソースeノードBは、自身と宛先eノードBとの両方に対するトポロジー位置を知っている。宛先eノードBに対するイントラネットアドレスとインターネットアドレスが取得される。SEGW群とeノードB群との間の通常SA群が、例えば、S1接続の初期化中に確立される。
2.IKE_SA_INITリクエストが、NATを通過させるために、UDPカプセル化を使用してソースeノードBから送信される。このメッセージは、内部IPパケットヘッダ内のソースアドレス(Source Address)と宛先アドレス(Destination Address)とするeノードBイントラネットIPアドレス(Intranet IP address)群、即ち、IPソースアドレスとしてのソースeノードBイントラネットIPアドレスとIP宛先アドレスとしての宛先eノードBイントラネットIPアドレスとを伴って、上述のステップ1(かつ、既にNATをバイパスしている)で確立されるSAを通じて送信されることになる。ソースSEGWは、UDPカプセル化ヘッダを取り除き、そして、受信したパケットを認証し、かつ解読することになる。これは、カプセル化パケットを、通常のイントラネットIPパケットとして取り扱うことになる。
3.このIKE_SA_INITリクエストメッセージは、SEGW群との間の通常のIPルーティングを使用して、ソースSEGWから宛先SEGWへ転送されることになる。宛先SEGWは、このパケットを通常のイントラネットIPパケットとして取り扱うことになる。
4.IKE_SA_INITリクエストは、宛先eノードBへ送信される。このメッセージは、宛先側のSEGWと宛先eノードBとの間で、上述のステップ1で確立されるSAを通じて転送されることになる。UDPカプセル化は要求されない。これは、宛先eノードBは、NATの配下でないからである。
5.IKE_SA_INIT応答は、宛先eノードBから宛先側のSEGWに向けて送信される。このメッセージは、上述のステップ1で確立されるSAを通じて、内部IPパケットヘッダにおけるソースアドレス(Source Address)と宛先アドレス(Destination Address)とするイントラネットIPアドレス(Intranet IP Address)を用いて送信される。このIKE_SA_INIT応答では、CERTREQパラメータに対する必要性はない。これは、IKE_SA_INITは、セキュア化チャネルを介して送信され、かつソースeノードBは「信頼された」ものとして取り扱われるからである。宛先側のSEGWは、ESPを取り除き、かつ応答を認証し、解読することになる。これは、応答パケットを通常のイントラネットIPパケットとして取り扱うことになる。宛先eノードBがIKE_SA_INIT応答を送信した後、宛先eノードBは、ピアからの更なるIKEシグナリングを受信するための適切なポートをオープンすることになる。
6.IKE_SA_INIT応答メッセージは、SEGWとの間の通常のIPルーティングを使用して、宛先SEGWからソースSEGWへ転送されることになる。ソースSEGWは、このパケットを通常のイントラネットIPパケットとして取り扱うことになる。
7.IKE_SA_INIT応答は、ソース側のSEGWからソースeノードBへと送信される。このメッセージは、上述のステップ1で確立されるSAを通じて、UDPカプセル化を使用して送信されることになる。この時点で、ソースeノードBと宛先eノードBとの両方は、IKE SPIに関連付けられている共有のシークレットを所有している。
8.ソースeノードBは、IKE_AUTHメッセージを、直接、インターネットを通じて、宛先eノードBへ、eノードBソースアドレス(Soruce Address)とeノードB宛先アドレス(Destination Address)とするインターネットIPアドレス(Internet IP Address)で、かつUDPカプセル化を使用して送信することになる。これは、ソースeノードBが、宛先eノードBがNATを持たないインターネット内に配置されていて、かつ宛先eノードBにおけるIPsec用のUDPポートがオープンされていることを知っているから可能となる。この方法から予見されるセキュリティ問題はない。これは、IKE_AUTHメッセージが、IKE SPIフィールドによって識別され、かつメッセージが、IKE_SA_INIT交換(第2ドメインで行われる)によって生成される初期キーを使用して暗号化されるからである。
ここで、この方法は、宛先eノードBにおけるIKEv2の実装における緩和を要求する場合があり、そうすることで、SPIは、ソースIPアドレス、宛先IPアドレス及びSPIの3つに代えて、IPsecSAの単独の識別子となることに注意された(ネゴシエーションフェーズ中に送信されるIKEメッセージ群は、ソースeノードBイントラネットアドレスと宛先eノードBイントラネットアドレスのみを含んでいて、かつインターネットIPアドレスを含んでいない)。代替のソリューションは、ソースeノードBに対するものとなり、これは、含んでいるNAT_DETECTION_SOURCE_IPを伴う通知ペイロードを、IKA_SA_INIT(上述のステップ2)に含めることである。NAT検出ペイロードのソースIPの値は、ソースeノードBのインターネットIPアドレスとなる。宛先eノードBは、次に、IKE_AUTHとその前方が、インターネットIPアドレスを介して送信され、かつ適切なポートをオープンすることになることが通知されることになる。
[また、ソースeノードBもNATがないインターネットに配置される場合、IKE_AUTHメッセージを、UDPカプセル化を伴ってあるいは伴わずに送信することができる。]
9.宛先eノードBは、リファレンスとしてIKE SPIフィールドを使用して、IKE_AUTHメッセージを解読し、かつ認証することになる。解読と認証が成功した後、宛先eノードBは、ソースeノードBのインターネットIPアドレス(かつUDPカプセル化の場合はポートアドレスと)を記憶することになる。UDPカプセル化IKE_AUTHの受信は、ソースeノードBに向けてのUDPカプセル化を使用することを開始するための、宛先eノードBに対するトリガーとなる。
10.宛先eノードBは、IKE_AUTHメッセージを、インターネットを介して、ソースeノードBへ応答することになる。続いて、ソースeノードBと宛先eノードBとの間のすべてのIPSec通信は、インターネットを介して送信されることになる。ソースeノードBは、宛先eノードB(前者はNATの配下に配置されていると想定する)に向けて送信されるメッセージ群のUDPカプセル化を継続することになる。同一の方法で、宛先eノードBは、ソースeノードBに向けて送信されるメッセージ群のUDPカプセル化を継続することになる。
上述の方法は、宛先eノードBがNATファイヤウォールの配下に配置されない場合にのみ動作することになる。そのような場合でなく、逆に、ソースeノードBはNATの配下にはなく、一方で、宛先eノードBはNATの配下となる場合、宛先eノードBは、ソースeノードBによって送信される任意のIKE_AUTHメッセージを受信することができなくなる。この問題を回避するために、宛先eノードBは代わりにIKEv2交換を開始することができる。
上述のステップ4を考慮して、宛先eノードBが、自身がNATの配下でインターネットに配置されていることを検出する場合、宛先eノードBは、IKE_SA_INIT信号を拒否し、かつIKE_SA_INITから取得されるイントラネットIPアドレスを使用してソースeノードBのインターネットIPアドレスのルックアップを実行することになる。このルックアップは、リバースDNSを採用することができる、即ち、ドメイン名(PTRレコード)に加えて、宛先ノードは、イントラネットIPアドレスのような別のレコードを取得することができる。宛先eノードBが、ソースeノードBに対して登録されているインターネットIPアドレスを一旦取得すると、宛先eノードBは、ソースeノードBに向けて同一のシーケンスを開始する。即ち、IKE_SA_INITメッセージの送信等を開始する。この方法の利点は、IKEv2交換の特別な取り扱いを必要としないことである。図5は、IKE_SA_INITメッセージに対するパケット構造群を示していて、ここでは、メッセージは、ソースeノードBと宛先eノードBとの間で転送される。
宛先eノードBが、自身がNATの配下でインターネットに配置されていることを検出する場合に対する代替のソリューションは、含まれているNAT_DETCTION_SOURCE_IPに伴う通知ペイロードを、ソースeノードBがIKE_SA_INIT(上述のステップ2)に含めることを要求する。NAT検出ペイロード内のソースIPの値は、ソースeノードBのインターネットIPアドレスとなる。宛先eノードBは自身がNATの配下にあることを知っているので、宛先eノードBは、IKE_SA_INIT信号を拒否して、NAT検出ペイロードから取得されるソースeノードBのインターネットIPアドレスを記憶し、そして、再度、ソースeノードBに向けてのIKE_SA_INITの送信で開始するシーケンスと同一のシーケンスを開始することになる。この方法の利点は、外部のIPアドレスルックアップが要求されないことである。この方法に関連するシグナリングフローは、図6で示される。
2.NAT配下の非セキュアドメイン内のeノードBにおけるX2セットアップ用IPsecにおけるIPsec
上述の第1の方法とは異なり、この第2の方法は、NATの配下に2つのeノードBの両方が配置されている場合に適用することができる。また、2つのeノードBの内の一方あるいは両方がNATの配下に配置されていない場合にも適用することができる。以下の説明のために、ここでは、どちらのeノードBもNATの配下にないと想定することにする。
この方法の前提条件は、各SEGWとeノードBとの間で、IKE SAが確立されなければならないことである。このようなIKE SAは、S1通信に対して確立されることになる。このソースeノードBは、少なくとも以下の情報を有することになる。
1.ソースeノードBのトポロジー位置
2.宛先eノードBのトポロジー位置
3.宛先eノードBに対するイントラネットIPアドレス
インターネットに接続されるeノードBは、eノードBとSEGWとの間で確立されているIPsecトンネル上、即ち、S1通信に対して確立されているIPsecトンネル上での認証を伴わず、かつヌル(null)暗号化(ENCR_NULL)を伴って、追加の子SA(つまり、これは、通常の子SAが、eノードBとコアネットワークとの間でデータを搬送するために確立されている)を確立すべきである。この新規のeノードBとSEGWとの間の子SAは、X2インタフェースに対して使用されることになり、かつ、例えば、S1インタフェースに対するIPsecトンネルの初期の作成時間で既に確立することができる。インターネットに接続されるeノードBは、更に、eノードBとSEGWとの間の通常の子SAについて、即ち、ESPペイロードについてのIKE接続試行を受信するための準備をすべきである。
ソースeノードBが、宛先eノードBとのX2接続を確立することを必要とし、かつソースeノードBが2つのeノードBの両方がインターネットに接続されていることを知っている場合、ソースeノードBは、新規の標準的なIKE SAと、eノードBとSEGWとの間の通常の子SAを通じて、宛先eノードBに向けての子SAを確立することになる。これらのSA群は、eノードB群との間でエンドツーエンドで確立され、かつ子SAは、トランスポートモードあるいはトンネルモードで、IPSecAHあるいはIPSecESPのどちらかで確立することができる。ESPトランスポートモードの使用は、送信されるパケット群のオーバヘッドを減少させることになる。
図7はeノードB間のIKEv2交換と、例としてIKE_SA_INIT交換を使用して子SA確立が実行された後のIPsecメッセージ群を示している。フローにおけるステップ群は以下のようになる。
1.暗号化と認証を伴う通常の子SA群と、暗号化を伴わない(かつ、認証を伴わない)別個の子SA群とは、SEGWとeノードB群との間で確立される。即ち、1つの通常の子SAと1つの「別個」の子SAとは、ソースeノードBとソースSEGWとの間で確立され、また、もう一方のペア(対)の子SA群は、宛先eノードBと宛先SEGWとの間で確立される。専用のトラフィックセレクタイニシエータ/レスポンダ(TSiとTSr)値は、これらのSA群がピアツーピアIPsecデータトランスポート、即ち、X2インタフェース/接続確立及びeノードB間の他の関連するトラフィックに対して使用されることを特定するために、別個の子SA群に対して使用される。X2インタフェース/接続確立と他の関連するトラフィックは、ESPプロトコル(エンドツーエンド)を使用して行われる。この専用TSiとTSrは、例えば、エンドエンドIKEv2シグナリング、及びエンドツーエンドESPプロトコルの少なくとも一方に対するUDPポート500と4500を示すことができる。これらの通常の子SA群と別個のSA群とは、S1インタフェースに対するIPSecトンネルの初期作成時点で既に確立されていると想定する。
eノードB群が互いに任意の認証を実行する必要がないことを強調することも重要である。これは、SEGWが、例えば、S1インタフェースに対する初期IPSecトンネル(即ち、IKE SA、通常のSAと別個のSA)の確立時にeノードBの認証を既に実行しているからである。加えて、異なるSEGWが対象のネットワーク内の同一のオペレータに属していて、かつこれらのSEGWは互いに信頼しているものと想定する。
2.IKE_SA_INITリクエストは、ソースeノードBから送信される。このメッセージは、上述のステップ1で確立される通常の子SAを通じて送信される。ソースSEGWは、そのパケットを任意の他のIPパケットとしてみなす。
3.IKE_SA_INITリクエストメッセージは、これらのSEGW群との間の通常のIPルーティングを使用して、ソースSEGWから宛先SEGWへ転送されることになる。この宛先SEGWは、このパケットを任意の他のIPパケットとしてみなす。
4.IKE_SA_INITリクエストは、宛先eノードBへ送信される。このメッセージは、上述のステップ1で確立される通常の子SAを通じて送信されることになる。
5.IKE_SA_INIT応答は、宛先eノードBから送信される。このメッセージは、ステップ1で確立される通常の子SAを通じて送信されることになる。宛先SEGWは、このパケットを任意の通常のIPパケットとして処理する。
6.IKE_SA_INIT応答メッセージは、これらのSEGW群との間の通常のIPルーティングを使用して、宛先SEGWからソースSEGWへ転送されることになる。ソースSEGWは、このパケットを任意の通常のIPパケットとしてみなす。
7.IKE_SA_INIT応答は、ソースeノードBへ送信される。このメッセージは、上述のステップ1で確立される通常のSAを通じて送信されることになる。
ここで、IKE_SA_INIT応答メッセージはCERTREQパラメータを含まないことは明らかであろう。
一旦、ソースeノードBがIKE_SA_INIT応答を受信すると、ソースeノードBは、別個の子SAを介して、IKE_AUTHメッセージと、他のピアツーピアIKE SAメッセージ、及びIPsecピアツーピアデータを送信することができる。
この時点で、エンドツーエンドIKE SAは、eノードB群との間で共有されるシークレットに基づいて、また、SEGW群を介して、ソースeノードBと宛先eノードBとの間に存在する。これは、eノードB群が、SEGW群を介してIKE_AUTHを含む暗号化IKE SAパケット群を交換できることを意味する。続いて、IKE_AUTHが交換される場合、X2データは、確立されたエンドツーエンド子SAを介して送信することができる。
このソリューションの利点は、新規の拡張したメカニズムあるいはデータベースノード群を、SEGW内にあるいはイントラネット内に導入する必要がないことである。潜在的な欠点は、SEGW群が図8に示されるようにIPSecを使用して接続される場合に、それらのSEGW群との間で、追加の暗号化及び解読が回避不能な場合があることである。しかしながら、この特定の場合の欠点は、暗号化を伴わない別個の子SAが、いくつかの予め定義されたTSiとTSrを使用して、すべてのSEGW群との間で作成される場合には回避できる。ここで、この予め定義されたTSiとTSrは、例えば、図7に関連してステップ1で記載される同様のTSi及びTSrを使用して、一意にX2インタフェースを識別する。
欠点としては、追加のヘッダ(及びそして、更なるプロトコルオーバヘッダ)が導入されることがあり、これは、新規のIPSec SAがIPSecトンネル内で実現されるからである。
パフォーマンスの観点からは、X2通信に対して使用されるSAにおいて認証が使用されないことが適切である。しかしながら、これは、正しい宛先eノードBイントラネットアドレスを有する(イントラネットアドレスは、別個の非暗号化SAにおいて傍受され得る)IPSecパケット群が、ソースeノードBとソースSEGWとの間での非暗号化SAに投入される可能性があるということによって生じ得る若干のセキュリティリスクを招く可能性がある。このリスクは、許可されているIPアドレス群/ポート群についてフィルタを通すアクセス制御リスト群(ACL群)のようなファイヤウォール機能によって、あるいは認証を使用する(かつ、結果とする処理ペナルティを受け付ける)ことによって軽減することができる。
上述の第1の方法及び第2の方法の両方が宛先eノードBで利用可能である場合、適用される方法をノードに通知するためのメカニズムが要求される場合がある。宛先eノードBでのIPsecの実行を簡略にするために、このようなメカニズムは、通知ペイロードNAT_DETECTION_SOURCE_IPがIKE_SA_INITリクエストメッセージに含まれるかをチェックするeノードBを介在させることができる。そのような場合、インターネットを介在する第1の方法が使用され、そうでなければ、IPsecX2セットアップ方法におけるIPsecが使用されることになる。
3.基地局間インタフェース確立
第2の方法と同様に、ここから説明する第3の方法は、2つのeノードBの一方あるいは両方がNATの配下に配置されている、あるいはどちらも配置されていないかどうかに関わらず適用することができる。以下の説明のために、eノードBはどちらもNATの配下に配置されていないと想定する。この例は、ソースeノードBと宛先eノードBがそれぞれ異なるSEGWに接続されていると想定するが、原理は、eノードBの両方が同一のSEGWに接続されている場合にも適用することができる。
この方法は、X2インタフェースに対して必要とされる処理時間及び処理能力を向上させるために、eノードB群に対するSEGW群を介するIPSecトンネル群の転送に依存する。IKEv2における新規のメッセージタイプ群が、通常のIKEv2交換とピアツーピアIKEv2交換との間を区別するために導入される。パラメータTSiとTSrは、新規のメッセージタイプ群とともに、ピア間でIKEv2交換メッセージを転送するためにSEGW群によって使用される。このSPIは、IPSec SAを識別するためだけではなく、ピア間でのIPSecパケット群をルーティングするために、SEGWによって使用される。
この方法の前提条件は、SEGWとeノードBとの間でIKE SAが確立されなければならないことである。例えば、このIKE SAは、S1インタフェースに対して確立され得る。ソースeノードBは、少なくとも以下の情報を有することになる。
1.ソースeノードBのトポロジー位置(即ち、ソースeノードBは、非セキュアドメイン内に配置される)
2.宛先eノードBのトポロジー位置(即ち、宛先eノードBは非セキュアドメイン内に配置される)
3.宛先eノードBに対するイントラネットIPアドレス
以下の情報は、ソースeノードBに対してオプションであり、また、後続のステップ中に取得することができる。
4.SEGWインターネットIPアドレスに関連付けられている宛先eノードB
5.SEGWイントラネットIPアドレスに関連付けられている宛先eノードB
新規の交換タイプ群のセットが、eノードB群との間でピアツーピアセキュリティアソシエーションを作成することを可能にするために作成される。これらのP2P IKEv2交換タイプ群は、通常のIKEv2交換タイプ群に類似している:
・P2P_IKE_SA_INIT
・P2P_IKE_AUTH
・P2P_CREATE_CHILD_SA
・P2PJNFORMATIONAL
ソースeノードBが宛先eノードBとのX2接続を確立することを必要とする場合(これに対する様々なトリガー群は3GPPで良く知られている)、ソースeノードBはノード群との間でIKE P2P交換を開始することになる。各交換メッセージは、例として、P2P_IKE_SA_INITメッセージ交換を採用する、図9に示される手順に従って、ネットワークを通じて送信されることになる。この図示のステップ群は以下のようになる。
1.通常のIKE SAは、ソースeノードBとソースSEGWとの間で、また、宛先eノードBと宛先SEGWとの間で確立されている。例えば、これらのIKE SA群は、eノードB群とMME群との間のS1−MMEインタフェース群に対して確立され得る。
ソースeノードBは、少なくとも以下の情報を取得する。:
・ソースeノードBトポロジー位置
・宛先eノードBトポロジー位置
・宛先eノードBイントラネットIPアドレス
ソースeノードBは、以下のオプションの情報も取得することができる。:
・ソースeノードBに関連付けられているSEGWのイントラネットIPアドレス
・ソースeノードBに関連付けられているSEGWのインターネットIPアドレス
・宛先eノードBに関連付けられているSEGWのイントラネットIPアドレス
・宛先eノードBに関連付けられているSEGWのインターネットIPアドレス
2.ソースeノードBは、通常のIKE SAを介して、P2P交換タイプメッセージを宛先eノードBへ送信することになる。ピアツーピア接続は、タイプパラメータ群P2PSA(eノードB群との間のセキュリティアソシエーション;この場合、eノードB群との間のIKE SAを識別する)、トラフィックセレクタ−イニシエータ(TSi)=ソースeノードBイントラネットIPアドレス、及びトラフィックセレクタ−レスポンダ(TSr)=宛先eノードBイントラネットIPアドレスを交換することによって識別される。
P2P_IKE_SA_INITに対して、パラメータTSiとTSrは、ソースeノードBで利用可能である場合に、以下の情報も含むことになる:ソースeノードBと宛先eノードBの両方に対する関連するSEGWインターネットIPアドレス及びイントラネットIPアドレス。これは、トラフィックセレクタインスタンス群において専用のTSタイプを有することによって可能となる。
3.ソースSEGWがこれらのP2P交換タイプメッセージ群を受信する場合、通常の交換タイプ群のようなソースeノードBに対してこのリクエストに応答する代わりに、メッセージをまず解読することになる。宛先eノードBに対して関連するSEGWインターネットIPアドレスとイントラネットIPアドレスを含むP2P_IKE_SA_INITの場合においては、ソースSEGWは、宛先eノードBイントラネットIPアドレスをキーとして使用して、宛先eノードBイントラネットIPアドレス、宛先SEGWイントラネットIPアドレス、及び宛先SEGWインターネットIPアドレスを登録することになる。[そうでなければ、ソースSEGWは、宛先eノードBのイントラネットアドレスをキーとして使用して、いくつかのデータベースからこの情報をリクエストして、そして、上述の関連するSEGWアドレス群を登録することができる。]このセッションに関連する他のP2Pメッセージ群に対して、ソースSEGWは、TSrをキーとして使用して、宛先SEGWの宛先イントラネットIPアドレスと宛先インターネットIPアドレスとをルックアップすることになる。
4.ソースSEGWは、P2P交換タイプメッセージを、宛先eノードBが接続されている宛先SEGWに転送することになる(即ち、P2P_IKE_SA_INITからの宛先SEGW IPアドレス群(インターネットあるいはイントラネット)の1つを使用して)。宛先eノードBにメッセージを直接転送しない理由は、宛先SEGWが、ユーザデータを転送するためにP2P SAについての知識を持つ必要があるからである。宛先SEGWのインターネットIPアドレスを使用することができる、これは、P2P交換タイプメッセージ群がエンドツーエンドで暗号化されるからである。しかしながら、インターネットの使用は、eノードB群への外部からの攻撃に対する潜在的なリスクを高める可能性がある。但し、この部分は、宛先SEGWのイントラネットIPアドレスを使用することによって実行することもできる。
5.宛先SEGWがこのP2P交換タイプメッセージを受信すると、宛先SEGWは、受信したメッセージ内のTSrに基づいて、宛先eノードBに向けての正しいIKW SAを検出するためのルックアップをまず実行することになる。次に、宛先SEGWは、自身のSAルーティングテーブル内の宛先eノードBとP2P SAとを関連付けることになる。
6.宛先SEGWは、通常のIKE SAを使用して、このメッセージを宛先eノードBへ転送することになる。
7.宛先eノードBは、通常のIKE SAを使用して、P2P交換タイプメッセージ群(宛先SEGWに対する)に応答することになる。
P2P_IKE_SA_INITの場合において、宛先eノードBがソースeノードBの知識を持っていない場合、宛先eノードBは、次のステップで、ソースeノードBに対するイントラネットIPアドレス、及びソースeノードBに対する関連するSEGWインターネットIPアドレスとイントラネットIPアドレスとを登録することになる。
8.このステップは、上述のステップ3と同様である。
9.このステップは、上述のステップ4と同様である。
10.このステップは、上述のステップ5と同様である。
11.このステップは、上述のステップ6と同様である。
初期のP2P IKE交換の後、P2P IKE SAとP2P子SAとは、eノードB群との間で確立される。ソースeノードBはIPパケットを宛先eノードBへ送信したい場合、図10に示されるような、以下の手順が実行されることになる。
1.ソースeノードBは、宛先eノードBに向けて新規に確立されるP2P子SAに設定されるセキュリティパラメータインデックス(SPI)を有するIPSecパケットをソースSEGWへ送信することになる。
2.ソースSEGWがこのIPSecパケットを受信する場合、ソースSEGWは、SPIフィールドを使用してそのパケットを識別することができる。このパケットは、次に、宛先SEGWへ転送されることになる。これは、インターネットを介して実行することができる(SEGWとの間のIPSecトンネル群によって結果的に生じる追加の暗号化及び解読を回避するため)。別の可能性としては、X2インタフェース群に対するSEGWとの間で確立されるNULL暗号化を伴う追加のIPSecトンネル群を通じるイントラネットを使用するトラフィックの転送が介在する。
3.宛先SEGWがこのIPSecパケット(SIPフィールドによって識別される)を受信すると、宛先SEGWはそのパケットを宛先eノードBへ転送することになる。
シークレットが、ソースeノードBと宛先eノードBとの間で共有されるので、ネットワーク内の任意の他のパーティに対しては、その内容(SEGW群を含む)を抽出することは不可能になる。図11は、eノードB群との間で確立されるエンドツーエンドセキュアチャネルを示している。
このソリューションの利点は、1つの暗号化/解読がeノード群との間で保証でき、かつヘッダのオーバヘッドを最適化でき、かつイントラネットIPアドレス群がデータメッセージ上で可視化されることがないことである。このソリューションの欠点は、拡張されたソリューションを、eノードBとSEGWとの両方で実現しなければならないことである。
図12は、基地局(BS)1とセキュリティゲートウェイ(SEGW)2を示していて、これらは、BS1とピアBS(不図示)との間のエンドツーエンドセキュリティアソシエーションの確立を容易にするように構成されている。図示のBSは、セキュリティ処理ユニット3を備え、これは、SEGW2のセキュリティ処理ユニット4との初期セキュリティアソシエーションを確立する。これの主な目的は、BSにコアネットワークとセキュアに通信することを可能にするためである。SEGW2は、更に、BS群との間でIKE開始メッセージ群を中継するためのIKEメッセージ処理ユニット5を備える。
P2P IKE交換タイプ群に対する詳細メッセージフォーマットを以下にリストする。使用される略語は、RFC4306でも使用されており、プレフィックス「P2P」は修正パラメータ群を示している。
・P2P_IKE_SA_INIT
SEGWとeノードB間
HDR, SK {P2PSAi1, KEi, Ni, TSi, TSr} →
← HDR, SK {P2PSAr1 , KEr, Nr, TSi, TSr}
SEGW間
HDR, P2PSAi1, KEi, Ni, TSi, TSr →
← HDR, P2PSAr1, KEr, Nr, TSi, TSr
・P2P_IKE_AUTH
SEGWとeノードB間
HDR, SK { P2PSAi2, TSi, TSr, P2PSK {IDi, [CERT,] [CERTREQ,]
[P2PIDr,] AUTH, P2PTSi, P2PTSr }} →
← HDR, SK { P2PSAr2, TSi, TSr, P2PSK {IDr, [CERT,] AUTH, P2PTSi,
P2PTSr }}
SEGW間
HDR, P2PSAi2, TSi, TSr, P2PSK {IDi, [CERT,] [CERTREQ,] [P2PIDr,]
AUTH, P2PTSi, P2PTSr } →
← HDR, P2PSAr2, TSi, TSr, P2PSK {IDr, [CERT,] AUTH, P2PTSi,
P2PTSr }
・P2P_CREATE_CHILD_SA
SEGWとeノードB間
HDR, SK { [P2PN], P2PSA, TSi, TSr, P2PSK { Ni, [KEi,] [P2PTSi,
P2PTSr] }} →
← HDR, SK { P2PSA, TSi, TSr, P2PSK { Nr, [KEr,] [P2PTSi, P2PTSr] }}
SEGW間
HDR, [P2PN], P2PSA, TSi, TSr, P2PSK { Ni, [KEi,] [P2PTSi, P2PTSr] } →
← HDR, P2PSA, TSi, TSr, P2PSK { Nr, [KEr,] [P2PTSi, P2PTSr] }
・P2P_INFORMATIONAL
SEGWとeノードB間
HDR, SK { TSi, TSr, [P2PN], [P2PD], P2PSK { [CP,] ...}} →
← HDR, SK { TSi, TSr, [P2PN], [P2PD], P2PSK { [CP,] ...}}
SEGW間
HDR, TSi, TSr, [P2PN], [P2PD], P2PSK { [CP,] ...} →
← HDR, TSi, TSr, [P2PN], [P2PD], P2PSK { [CP,] ...}
パラメータ群TSiとTSrはこれらのメッセージのすべてに導入されることに注意されたい。これらの2つのパラメータは、ピアツーピア接続の識別のために使用される。
ピアツーピアIKE交換は、通常のIKE交換と同一の方法で実現される。この交換は、以下の方法で実行される(RFC4306と比較して)。
・P2P初期交換(P2P Initial exchange)
P2P_IKE_SA_INIT →
← P2P_IKE_SA_INIT
P2P_IKE_AUTH →
← P2P_IKE_AUTH
・P2P作成 子SA交換(P2P Create child SA exchange)
P2P_CREATE_CHILD_SA →
← P2P_CREATE_CHILD_SA
・P2P情報交換(P2P Informational exchange)
P2P_INFORMATIONAL →
← P2P_INFORMATIONAL
P2P IKE SAは、通常のIKE SAによって作成されるので、IKE SAが解除される場合、P2P IKE SA(及び自身の関連するP2P子SA)も解除されることになる。
本明細書で記載されるX2インタフェースを確立するための方法は、eノードB群との間のX2インタフェース上の不必要な暗号化と解読を解消することができ、これによって、処理時間と処理能力の両方が向上する。また、この方法は、eノードB群との間の信頼のあるX2接続群を確立するために必要とされる複雑な認証構造の複雑度を削減する。
記載の方法群の配下にある原理は、非セキュアドメイン内の2つのノード群で接続が必要とされる、LTE以外の技術に対しても適用できる。この原理は、非セキュアドメイン内に配置される2つのクライアントが、ピアツーピア接続を確立する必要がある場合における、企業IPネットワーク群に対しても適用できる。
本発明の実施形態は図面と上述の説明によって示されているが、本発明は開示の実施形態に限定されるものではなく、本発明の範囲から逸脱しない範囲での、いくつかの再構成、変形及び置換を行うことができることが理解されるべきである。

Claims (17)

  1. 同一のあるいは異なる無線アクセスネットワーク内に配置されている1対の基地局として、それぞれが事前に確立されているIPSecセキュリティアソシエーションを使用して、コアネットワークの同一のあるいは異なるセキュリティゲートウェイ群を介して前記コアネットワークと通信する前記基地局との間のピアツーピアIPSecセキュリティアソシエーションを確立する方法であって、
    前記事前に確立されているIPSecセキュリティアソシエーションを使用して、前記1対の基地局との間で、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを交換する
    ことを特徴とする方法。
  2. 前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージはそれぞれ、IKEメッセージにおけるIKE−SA−INITリクエストメッセージとIKE−SA−INIT応答メッセージである
    ことを特徴とする請求項1に記載の方法。
  3. 前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、
    前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記1対の基地局の一方から該1対の基地局の他方へ、非セキュア化IPネットワークを介してIKE_AUTHメッセージを送信する
    ことを特徴とする請求項1または2に記載の方法。
  4. 前記IKE−SA−INIT応答メッセージを送信する前記基地局の一方において、該メッセージの送信に際して、前記基地局の他方から更なるメッセージ群を受信するための適切なポートをオープンする
    ことを特徴とする請求項3に記載の方法。
  5. 前記IKE_AUTHメッセージをUDPカプセル化する
    ことを特徴とする請求項3または4に記載の方法。
  6. 前記基地局の他方は、前記ピアツーピアIPSecセキュリティアソシエーションに割り当てられるセキュリティパラメータインデックスのみを使用して、前記基地局の一方から受信するメッセージ群を、該基地局の一方と関連付ける
    ことを特徴とする請求項3乃至5のいずれか1項に記載の方法。
  7. 前記基地局の他方は、前記ピアツーピアIPSecセキュリティアソシエーションに割り当てられるセキュリティパラメータインデックスと前記基地局の一方のIPアドレスとを使用して、該基地局の一方から受信するメッセージ群を、該基地局の一方と関連付け、
    前記基地局の一方のIPアドレスは、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして、前記基地局の他方へ搬送される
    ことを特徴とする請求項3乃至5のいずれか1項に記載の方法。
  8. 前記1対の基地局との間で、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを、前記1対の基地局それぞれとセキュリティのペア群との間に存在する前記事前に確立されているIPSecセキュリティアソシエーションの暗号化された子セキュリティアソシエーション群を介して交換し、
    前記ピアツーピアIPSecセキュリティアソシエーションでセキュアにされたデータは、前記基地局それぞれと前記セキュリティゲートウェイのペア群との間での、ヌル暗号化による子セキュリティアソシエーション群を介して連続して送信される
    ことを特徴とする請求項1または2に記載の方法。
  9. 少なくとも前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージに、前記セキュリティゲートウェイ群の1つあるいはそれぞれを識別するフラグであって、前記ピアツーピアIPSecセキュリティアソシエーションが前記基地局の他方のIPアドレスと関連付けられた、セキュリティポリシーデータベースに追加されるべきことを示すフラグを含め、
    前記ピアツーピアIPSecセキュリティアソシエーションを使用して連続して送信されるデータは、ペイロード暗号化あるいは解読を必要とすることなくセキュリティゲートウェイによって転送される
    ことを特徴とする請求項1または2に記載の方法。
  10. 前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージを送信する前記基地局の一方において、前記基地局の他方がネットワークアドレストランスレータであるNATの配下に配置されているか否かを判定し、その判定結果を使用して、どのようにして、前記ピアツーピアIPSecセキュリティアソシエーションの確立を進めるかを判定する
    ことを特徴とする請求項1乃至9のいずれか1項に記載の方法。
  11. 前記1対の基地局それぞれは、LTEベースの無線アクセスネットワーク内のeノードBであり、
    前記コアネットワークは、SAEベースのネットワークである
    ことを特徴とする請求項1乃至10のいずれか1項に記載の方法。
  12. 前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの後に続くメッセージ群が、前記セキュリティゲートウェイ群を介してあるいはパブリックIPネットワークを介して交換されるべきかどうかを判定し、
    前記セキュリティゲートウェイ群を介して交換されるべきであると判定される場合、前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記基地局のパブリックIPアドレスを、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして含めず、
    前記パブリックIPネットワークを介して交換されるべきであると判定される場合、前記ピアツーピアIPSecセキュリティアソシエーションを開始する前記基地局のパブリックIPアドレスを、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージの通知ペイロード内のNAT DETECTION SOURCE IPとして含める
    ことを特徴とする請求項1に記載の方法。
  13. 無線アクセスネットワークに使用され、かつ事前に確立されているIPSecセキュリティアソシエーションを使用して、コアネットワークのセキュリティゲートウェイを介して前記コアネットワークと通信するように構成されている基地局であって、
    ピアとなる基地局とのピアツーピアセキュリティアソシエーションを確立するために、前記事前に確立されているIPSecセキュリティアソシエーションを使用して、前記ピアとなる基地局と、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージとを交換するためのセキュリティ処理ユニットを備える
    ことを特徴とする基地局。
  14. 前記セキュリティ処理ユニットは、前記ピアとなる基地局へ、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、非セキュア化IPネットワークを介してIKE_AUTHメッセージを送信するように構成されている
    ことを特徴とする請求項13に記載の基地局。
  15. 前記セキュリティ処理ユニットは、前記ピアとなる基地局へ、前記ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージの交換に続いて、前記セキュリティゲートウェイ群を介してIKE_AUTHメッセージを送信するように構成されている
    ことを特徴とする請求項13に記載の基地局。
  16. 無線アクセスネットワーク内の1つ以上の基地局をコアネットワークとセキュアに接続するためのセキュリティゲートウェイであって、
    前記無線アクセスネットワーク内の第1の基地局と前記コアネットワークとの間で交換されるトラフィックをセキュアにするために、第1のセキュリティアソシエーションを確立するためのセキュリティ処理ユニットと、
    前記第1の基地局とピアとなる基地局との間で交換される、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージを処理するために、前記第1のセキュリティアソシエーションを使用するためのメッセージ処理ユニットとを備え、
    前記メッセージ交換は、前記第1の基地局と前記ピアとなる基地局との間でピアツーピアセキュリティアソシエーションの確立をもたらし、
    前記メッセージ処理ユニットは、前記ピアツーピアセキュリティアソシエーションに対するセキュリティパラメータインデックスを、ローカルのセキュリティパラメータインデックスデータベースへ、前記第1の基地局と前記ピアとなる基地局との一方の宛先に向けて転送される前記セキュリティパラメータインデックスにパケット群を照合させるためのメッセージ処理命令とともに追加する
    ことを特徴とするセキュリティゲートウェイ。
  17. 同一のあるいは異なる無線アクセスネットワーク内に配置されている1対の基地局として、その内の少なくとも一方がセキュリティゲートウェイを介してコアネットワークに接続されている前記1対の基地局との間のピアツーピアIPSecセキュリティアソシエーションの確立を実現する方法であって、
    前記無線アクセスネットワーク内の第1の基地局と前記コアネットワークとの間で交換されるトラフィックをセキュアにするために、第1のセキュリティアソシエーションを確立し、
    前記第1の基地局とピアとなる基地局との間で交換される、ピアツーピアIKEセキュリティアソシエーション開始リクエストメッセージと開始応答メッセージを処理するために、前記第1のセキュリティアソシエーションを使用し、かつ前記メッセージ交換により、前記第1の基地局と前記ピアとなる基地局との間でピアツーピアセキュリティアソシエーションの確立をもたらし、
    前記ピアツーピアセキュリティアソシエーションに対するセキュリティパラメータインデックスを、ローカルのセキュリティパラメータインデックスデータベースへ、前記第1の基地局と前記ピアとなる基地局との一方の宛先に向けて転送される前記セキュリティパラメータインデックスにパケット群を照合させるためのメッセージ処理命令とともに追加する
    ことを特徴とする方法。
JP2011535080A 2008-11-10 2009-10-29 基地局間インタフェースの確立 Expired - Fee Related JP5324661B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11280808P 2008-11-10 2008-11-10
US61/112,808 2008-11-10
PCT/EP2009/064317 WO2010052169A1 (en) 2008-11-10 2009-10-29 Inter base station interface establishment

Publications (2)

Publication Number Publication Date
JP2012508493A true JP2012508493A (ja) 2012-04-05
JP5324661B2 JP5324661B2 (ja) 2013-10-23

Family

ID=41347879

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011535080A Expired - Fee Related JP5324661B2 (ja) 2008-11-10 2009-10-29 基地局間インタフェースの確立

Country Status (4)

Country Link
US (1) US8484473B2 (ja)
EP (1) EP2368383B1 (ja)
JP (1) JP5324661B2 (ja)
WO (1) WO2010052169A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015534399A (ja) * 2013-01-30 2015-11-26 中▲興▼通▲訊▼股▲ふぇん▼有限公司Zte Corporation X2インタフェースIPSecトンネルの確立方法、基地局、システム及びコンピュータ記憶媒体

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8977843B2 (en) * 2008-05-30 2015-03-10 The Boeing Company Geolocating network nodes in attenuated environments for cyber and network security applications
US8769267B2 (en) * 2008-05-30 2014-07-01 The Boeing Company Geothentication based on new network packet structure
US9319865B2 (en) * 2009-07-14 2016-04-19 Nokia Solutions And Networks Oy Apparatus and method of providing end-to-end call services
CN101909053B (zh) * 2010-06-30 2014-10-08 华为技术有限公司 一种对时方法和基站
CN102347870B (zh) * 2010-07-29 2015-09-09 中国电信股份有限公司 一种流量安全检测方法、设备和系统
US8966057B2 (en) 2011-01-21 2015-02-24 At&T Intellectual Property I, L.P. Scalable policy deployment architecture in a communication network
US9515986B2 (en) 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
WO2012092858A2 (zh) * 2012-01-04 2012-07-12 华为技术有限公司 X2安全通道建立方法与系统、以及基站
CN103959834A (zh) * 2012-09-12 2014-07-30 华为技术有限公司 移动回传网络中的通信方法、设备和系统
CN103716196B (zh) * 2012-09-28 2018-10-09 新华三技术有限公司 一种网络设备及探测方法
WO2015137855A1 (en) * 2014-03-13 2015-09-17 Telefonaktiebolaget L M Ericsson (Publ) Establishment of secure connections between radio access nodes of a wireless network
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US10462837B2 (en) * 2016-11-04 2019-10-29 Qualcomm Incorporated Method, apparatus, and system for reestablishing radio communication links due to radio link failure
CN110024432B (zh) * 2016-11-29 2021-07-16 华为技术有限公司 一种x2业务传输方法及网络设备
US10659440B2 (en) * 2017-11-30 2020-05-19 Nicira, Inc. Optimizing utilization of security parameter index (SPI) space
US10749667B2 (en) * 2017-12-29 2020-08-18 Hughes Network Systems, Llc System and method for providing satellite GTP acceleration for secure cellular backhaul over satellite
US11088829B2 (en) * 2018-09-04 2021-08-10 International Business Machines Corporation Securing a path at a node
US11196726B2 (en) 2019-03-01 2021-12-07 Cisco Technology, Inc. Scalable IPSec services
US11023863B2 (en) * 2019-04-30 2021-06-01 EMC IP Holding Company LLC Machine learning risk assessment utilizing calendar data
CN113766498B (zh) * 2020-06-01 2023-03-21 中国电信股份有限公司 密钥分发方法、装置、计算机可读存储介质及基站

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008082587A1 (en) * 2006-12-27 2008-07-10 Interdigital Technology Corporation Method and apparatus for base station self configuration

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181012B2 (en) * 2000-09-11 2007-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Secured map messages for telecommunications networks
JP5088091B2 (ja) * 2007-10-29 2012-12-05 富士通株式会社 基地局装置、通信方法及び移動通信システム
EP2345277B1 (en) * 2008-09-02 2017-07-19 Telefonaktiebolaget LM Ericsson (publ) Verifying neighbor cell

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008082587A1 (en) * 2006-12-27 2008-07-10 Interdigital Technology Corporation Method and apparatus for base station self configuration
JP2010515368A (ja) * 2006-12-27 2010-05-06 インターデイジタル テクノロジー コーポレーション 基地局を自己構成する方法および装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN7013002350; 'IKEv2 Mediation Extention; draft-brunner-ikev2-med' IETF; Network Working Group; Internet-Draft , 20080416 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015534399A (ja) * 2013-01-30 2015-11-26 中▲興▼通▲訊▼股▲ふぇん▼有限公司Zte Corporation X2インタフェースIPSecトンネルの確立方法、基地局、システム及びコンピュータ記憶媒体
US9462619B2 (en) 2013-01-30 2016-10-04 Zte Corporation Method for establishing X2 interface IPSec tunnel, base station, system and computer storage medium

Also Published As

Publication number Publication date
US20110225424A1 (en) 2011-09-15
EP2368383B1 (en) 2014-05-07
US8484473B2 (en) 2013-07-09
WO2010052169A1 (en) 2010-05-14
JP5324661B2 (ja) 2013-10-23
EP2368383A1 (en) 2011-09-28

Similar Documents

Publication Publication Date Title
JP5324661B2 (ja) 基地局間インタフェースの確立
EP1896982B1 (en) Lan-based uma network controller with aggregated transport
JP5955352B2 (ja) 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
US20110176531A1 (en) Handling of Local Breakout Traffic in a Home Base Station
AU2003253587A1 (en) Method to provide dynamic internet protocol security policy services
WO2011091771A1 (zh) 中继节点的认证方法、装置及系统
CN109906625B (zh) 无线局域网上的安全链路层连接的方法
US7933253B2 (en) Return routability optimisation
EP2770778B1 (en) Method, system, and enb for establishing secure x2 channel
Namal et al. Securing the backhaul for mobile and multi-homed femtocells
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
Xu Building mobile L2TP/IPsec tunnels
Namal et al. Security and Mobility Aspects of Femtocell Networks
Main et al. Project Number: CELTIC/CP7-011 Project Title: Mobile Networks Evolution for Individual Communications Experience–MEVICO Document Type: PU (Public)
Pummill et al. WITHDRAWN APPLICATION AS PER THE LATEST USPTO WITHDRAWN LIST

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120928

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130718

R150 Certificate of patent or registration of utility model

Ref document number: 5324661

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees