JP2013255239A - Nas security processing apparatus, nas security processing method, and program - Google Patents
Nas security processing apparatus, nas security processing method, and program Download PDFInfo
- Publication number
- JP2013255239A JP2013255239A JP2013146603A JP2013146603A JP2013255239A JP 2013255239 A JP2013255239 A JP 2013255239A JP 2013146603 A JP2013146603 A JP 2013146603A JP 2013146603 A JP2013146603 A JP 2013146603A JP 2013255239 A JP2013255239 A JP 2013255239A
- Authority
- JP
- Japan
- Prior art keywords
- security
- unit
- nas
- handover
- security context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、移動端末に備えられ、非アクセス層(Non−Access Stratum:NAS)の通信におけるセキュリティを処理するNASセキュリティ処理装置、NASセキュリティ処理方法、及びプログラムに関する。 The present invention relates to a NAS security processing device, a NAS security processing method, and a program that are provided in a mobile terminal and process security in communication in a non-access stratum (NAS).
3GPP(Third Generation Partnership Project)では、LTE(Long Term Evolution)の規格として、周波数効率の改善、高速化及びサービスの省コスト化を提供する新たな技術、構造及び方法を検討している。そのプロセスの1つとして、LTEでは従来のネットワーク(例えば、UMTS(Universal Mobile Telecommunications System)、GSM(Global System for Mobile Communications)(登録商標)など)と異なるセキュリティ構造を用いることが検討されている。 In 3GPP (Third Generation Partnership Project), as a standard of LTE (Long Term Evolution), a new technology, structure, and method for improving frequency efficiency, speeding up, and cost reduction of services are examined. As one of the processes, LTE is considering using a different security structure from conventional networks (for example, UMTS (Universal Mobile Telecommunications System), GSM (Global System for Mobile Communications) (registered trademark)).
具体的には、LTEでは、MME(コアネットワークノード:Mobile Management Entity)とUE(移動端末:User Equipment)との間の通信におけるNASと、eNB(無線基地局:e Node B)とUEとの間の通信を処理するASとで異なるセキュリティコンテキストを用いることが検討されている。すなわち、NASセキュリティは、MMEで終端し、ASセキュリティは、eNBで終端する。 Specifically, in LTE, NAS in communication between MME (core network node: Mobile Management Entity) and UE (mobile terminal: User Equipment), and eNB (radio base station: eNode B) and UE It has been studied to use different security contexts for the AS that handles communication between them. That is, NAS security is terminated at the MME, and AS security is terminated at the eNB.
また、LTEでは、セキュリティコンテキストを階層化することが検討されている。具体的には、以下の手順でセキュリティコンテキストを階層化している。
UE及びAuC(Authentication Center)は、予め鍵情報を共有しておき、AKA(Authentication Key Agreement)を行うことによって、UEとMMEとの間で鍵が共有される。そして、UE及びMMEは、共有する鍵からNASセキュリティに用いるNASセキュリティコンテキストを生成する。次に、UE及びeNBは、UE及びMMEが保持するNASセキュリティコンテキストを用いてASセキュリティに用いるASセキュリティコンテキストを生成する。なお、NASセキュリティコンテキスト及びASセキュリティコンテキストの生成には、一方向関数が用いられるため、NASセキュリティコンテキストから鍵情報を再現することはできず、また、ASセキュリティコンテキストからNASセキュリティコンテキストを再現することはできない。
In LTE, it is considered to hierarchize security contexts. Specifically, the security context is hierarchized according to the following procedure.
The UE and AuC (Authentication Center) share key information in advance and perform AKA (Authentication Key Agreement), whereby the key is shared between the UE and the MME. And UE and MME generate | occur | produce the NAS security context used for NAS security from the shared key. Next, UE and eNB generate | occur | produce AS security context used for AS security using NAS security context which UE and MME hold | maintain. Note that since a one-way function is used to generate the NAS security context and the AS security context, the key information cannot be reproduced from the NAS security context, and the NAS security context cannot be reproduced from the AS security context. Can not.
これにより、攻撃者は、eNBからASセキュリティコンテキストを取得しても、NASセキュリティコンテキストを特定することができないため、攻撃者によるNAS通信の傍受を防ぐことができる。これは、ASセキュリティコンテキストを保持するeNBが被害を受けやすい場所(例えば、Home BSなど)に存在する可能性が高く、これがセキュリティリスクとなると考えられるからである。 Thereby, even if the attacker acquires the AS security context from the eNB, the attacker cannot identify the NAS security context, and thus can prevent the attacker from intercepting the NAS communication. This is because there is a high possibility that the eNB that holds the AS security context exists in a place that is susceptible to damage (for example, Home BS), which is considered to be a security risk.
また、非特許文献1には、異種ネットワーク間ハンドオーバ(inter RAT change)におけるNASセキュリティの連携処理について記載されている。異種ネットワーク間ハンドオーバとは、異なるRAT(Radio Access Technology)によるネットワーク間でハンドオーバする処理のことであり、例えばUTRAN(UMTS Terrestrial Radio Access Network)とE−UTRAN(Evolved UTRAN)との間でハンドオーバする処理である。 Further, Non-Patent Document 1 describes a NAS security linkage process in a handover between different networks (inter RAT change). The handover between different networks is a process of performing handover between networks using different RATs (Radio Access Technology). For example, handover is performed between UTRAN (UMTS Terrestrial Radio Access Network) and E-UTRAN (Evolved UTRAN). It is.
しかしながら、LTEでは、異種ネットワーク間ハンドオーバに失敗した場合のNASセキュリティコンテキストの取り扱いが規定されていない。 However, in LTE, handling of a NAS security context when handover between different networks fails is not stipulated.
本発明は上記の課題を解決するためになされたものである。本発明の一態様によれば、移動端末に備えられ、非アクセス層(NAS)の通信におけるセキュリティを処理するNASセキュリティ処理装置が提供される。前記NASセキュリティ処理装置は、前記移動端末が接続するネットワークにおける機密保護(security protection)に用いるセキュリティコンテキストを記憶する記憶部と、前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキスト(new security context)を生成する生成部と、前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部と、前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部と、前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部とを備えることを特徴とする。 The present invention has been made to solve the above problems. According to an aspect of the present invention, there is provided a NAS security processing apparatus that is provided in a mobile terminal and processes security in non-access layer (NAS) communication. The NAS security processing device includes a storage unit that stores a security context used for security protection in a network to which the mobile terminal is connected, and a handover destination network when the mobile terminal performs a handover between different networks. A generating unit that generates a new security context to be used in the network, and when the mobile terminal has succeeded in handover between different networks, the security context generated by the generating unit is recorded in the storage unit, and the mobile unit When a terminal fails in handover between different networks, a processing unit that discards the security context generated by the generation unit, and a security context that the storage unit stores There are a message protection unit that performs secure processing to the NAS message, the message protection unit characterized in that it comprises a transmitter which transmits the NAS message was security processing.
また、本発明の別の態様によれば、移動端末に備えられ、当該移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部を備え、非アクセス層(NAS)の通信におけるセキュリティを処理するセキュリティ処理装置を用いたNASセキュリティ処理方法が提供される。前記NASセキュリティ処理方法は、生成部により、前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストが生成される段階と、処理部により、前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストが前記記憶部に記録され、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストが破棄される段階と、メッセージ保護部により、前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理が行われる段階と、送信部により、前記メッセージ保護部が機密保護処理を行ったNASメッセージが送信される段階とを有することを特徴とする。 According to another aspect of the present invention, the mobile terminal is provided with a storage unit for storing a security context used for security protection in a network to which the mobile terminal is connected, and security in non-access layer (NAS) communication is provided. There is provided a NAS security processing method using a security processing device for processing the above. The NAS security processing method includes: a step of generating a new security context to be used in a handover destination network when the mobile terminal performs handover between different types of networks by the generation unit; When handover between different networks is successful, the security context generated by the generation unit is recorded in the storage unit, and when the mobile terminal fails in handover between different networks, the security context generated by the generation unit is discarded. The message protection unit performs security processing on the NAS message using the security context stored in the storage unit, and the message protection unit performs security processing on the transmission unit. NAS message There and having a step to be transmitted.
また、本発明のさらに別の態様によれば、移動端末に備えられ、非アクセス層(NAS)の通信におけるセキュリティを処理するNASセキュリティ処理装置を、前記移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部、前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストを生成する生成部、前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部、前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部、及び、前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部として機能させるためのプログラムが提供される。 According to still another aspect of the present invention, a NAS security processing device that is provided in a mobile terminal and processes security in non-access layer (NAS) communication is used for security protection in a network to which the mobile terminal is connected. A storage unit that stores a security context, a generation unit that generates a new security context used in a handover destination network when the mobile terminal performs a handover between different networks, and a case where the mobile terminal succeeds in a handover between different networks A processing unit that records the security context generated by the generation unit in the storage unit, and discards the security context generated by the generation unit when the mobile terminal fails in handover between different types of networks, and the storage unit Memorize A message protection unit that performs security processing on a NAS message using a utility context and a program for causing the message protection unit to function as a transmission unit that transmits a NAS message subjected to security processing are provided. .
本発明の各態様によれば、処理部は、移動端末が異種ネットワーク間ハンドオーバに成功した場合に、生成部が生成したNASセキュリティコンテキストを記憶部に記録する。
また、処理部は、移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、生成部が生成したNASセキュリティコンテキストを破棄する。また、メッセージ保護部は、記憶部が記憶するNASセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行う。これにより、NASセキュリティ処理装置は、異種ネットワーク間ハンドオーバの成否に応じてNASセキュリティコンテキストを取り扱うことができる。
According to each aspect of the present invention, the processing unit records the NAS security context generated by the generation unit in the storage unit when the mobile terminal succeeds in the handover between different networks.
Further, the processing unit discards the NAS security context generated by the generation unit when the mobile terminal fails in the handover between different networks. In addition, the message protection unit performs security protection processing on the NAS message using the NAS security context stored in the storage unit. Thereby, the NAS security processing device can handle the NAS security context according to the success or failure of the handover between different networks.
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の一実施形態によるNASセキュリティ処理装置を備えるUEの構成を示す概略ブロック図である。
UE1は、NASセキュリティ処理装置10と、EMM(EPS Mobility Management)20と、ESM(EPS Session Management)30とを備える。
NASセキュリティ処理装置10は、UE内部に備えられ、NAS通信におけるセキュリティの処理を行う。
EMM20、ESM30は、NASメッセージの生成及びUE1が受信したNASメッセージに対する処理を行う。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a schematic block diagram illustrating a configuration of a UE including a NAS security processing device according to an embodiment of the present invention.
The UE 1 includes a NAS
The NAS
The EMM 20 and the ESM 30 generate a NAS message and perform processing on the NAS message received by the UE1.
NASセキュリティ処理装置10は、記憶部11と、生成部12と、処理部13と、メッセージ保護部14と、通信部15(送信部)とを備える。
The NAS
記憶部11は、NASセキュリティコンテキストを格納するセキュリティコンテキストテーブルと、保護タイプ情報(security type IE(Information Element))と、保護状態情報(security state IE)とを記憶する。ここで、セキュリティコンテキストテーブルとは、接続するNASネットワークにおける機密保護に用いる鍵情報であるNASセキュリティコンテキストと、当該NASセキュリティコンテキストが現在のものであるか否かを示すカレントフラグとを関連付けて格納するテーブルである。また、保護タイプ情報とは、接続先のネットワークで適用する機密保護のタイプ(暗号化の有無、完全性保証の有無)を示す情報である。保護状態情報とは、現在有効化されている状態(current activated state)を示す情報である。
生成部12は、UE1が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなNASセキュリティコンテキストを生成する。
処理部13は、異種ネットワーク間ハンドオーバの成否に基づいて生成部12が生成したNASセキュリティコンテキストを処理する。また、処理部13は、記憶部11が記憶する保護タイプ情報及び保護状態情報を処理する。
メッセージ保護部14は、EMM20及びESM30から全てのNASメッセージを取得し、記憶部11が記憶するNASセキュリティコンテキストを用いて当該NASメッセージに対して機密保護処理を行う。
通信部15は、EPS(Evolved Packet System) ASに接続し、ASメッセージを受信する。また、通信部15は、メッセージ保護部14が機密保護処理を行ったNASメッセージをコアネットワークに送信する。
The
The
The
The
The
そして、このような構成を有することで、NASセキュリティ処理装置10の処理部13は、UE1が異種ネットワーク間ハンドオーバに成功した場合に、生成部12が生成したNASセキュリティコンテキストを有効化する。また、NASセキュリティ処理装置10は、異種ネットワーク間ハンドオーバの実行前及び異種ネットワーク間ハンドオーバの実行中に用いられたNASセキュリティコンテキストを取り扱う。
メッセージ保護部14は、NASメッセージに対する完全性保証及び/または暗号化の必要の有無を判定する。メッセージ保護部14は、NASメッセージのパラメータに関連した保護設定を行う。
さらに、NASセキュリティ処理装置10は、ASにおける潜在的な失敗、すなわち、異種ネットワーク間ハンドオーバの失敗が発生した際の処理を取り扱う。
With such a configuration, the
The
Further, the NAS
次に、NASセキュリティ処理装置10の動作を説明する。
図2は、NASセキュリティ処理装置の動作を示すフローチャートである。
ここでは、UE1がUTRANからE−UTRANへハンドオーバする場合を例に説明する。
まず、NASセキュリティ処理装置10の生成部12は、自装置を備えるUE1が異種ネットワーク間ハンドオーバを開始したか否かを判定する(ステップS1)。生成部12は、UE1が異種ネットワーク間ハンドオーバを開始していないと判定した場合(ステップS1:NO)、UE1が異種ネットワーク間ハンドオーバを開始するまで待機する。
Next, the operation of the NAS
FIG. 2 is a flowchart showing the operation of the NAS security processing apparatus.
Here, a case where UE1 performs handover from UTRAN to E-UTRAN will be described as an example.
First, the
生成部12は、UE1が異種ネットワーク間ハンドオーバを開始したと判定した場合(ステップS1:YES)、UMTSセキュリティコンテキストに基づいて、ハンドオーバ先のネットワークで用いる新たなNASセキュリティコンテキストを生成する(ステップS2)。
生成部12がNASセキュリティコンテキストを生成すると、通信部15は、EPS ASから、異種ネットワーク間ハンドオーバの成否を示す通知を受信する(ステップS3)。次に、処理部13は、通信部15が受信した通知が、異種ネットワーク間ハンドオーバに成功したことを示すか否かを判定する(ステップS4)。
When determining that the UE 1 has started handover between different networks (step S1: YES), the
If the production |
処理部13は、受信した通知が異種ネットワーク間ハンドオーバに成功したことを示すと判定した場合(ステップS4:YES)、生成部12が生成したNASセキュリティコンテキストを記憶部11に記録する(ステップS5)。次に、処理部13は、記憶部11から「現在(current)」を示すカレントフラグを読み出し、当該カレントフラグを「非現在(non−current)」に書き換える(ステップS6)。次に、処理部13は、ステップS5で記録したNASセキュリティコンテキストに関連付けて、「現在」を示すカレントフラグを記憶部11に記録する(ステップS7)。また、処理部13は、記憶部11の保護状態情報を「LTE−mapped−active」に書き換える(ステップS8)。
When the
処理部13は、新たなNASセキュリティコンテキストを記憶部11に記録すると、通信部15を介してコアネットワークから、以降のNASメッセージの通信において用いる保護のタイプを読み出す。そして、処理部13は、記憶部11の保護タイプ情報を、当該保護のタイプを示す情報に書き換える(ステップS9)。
このように、UE1が異種ネットワーク間ハンドオーバに成功した場合、NASセキュリティ処理装置10は毎回、記憶部11が記憶する保護状態情報及び保護タイプ情報を、現在有効となっている保護状態情報及び保護タイプ情報に書き換える。
When the
As described above, when the UE 1 succeeds in handover between different networks, the NAS
なお、UTRANからE−UTRANへのハンドオーバにおいて、UE1から送信される最初のNASメッセージは、TAU(Track Area Update)リクエストとなる。処理部13は、TAUメッセージの全てのパラメータを設定する。これにより、メッセージ保護部14は、記憶部11が「現在」を示すカレントフラグに関連付けて記憶するNASセキュリティコンテキスト、記憶部11が記憶する保護状態情報、及び記憶部11が記憶する保護タイプ情報に基づいてTAUリクエストの保護を行い、通信部15は、当該TAUリクエストを送信することとなる。
In the handover from UTRAN to E-UTRAN, the first NAS message transmitted from UE1 is a TAU (Track Area Update) request. The
他方、処理部13は、ステップS3で受信した通知が異種ネットワーク間ハンドオーバに失敗したことを示すと判定した場合(ステップS4:NO)、生成部12が生成したNAセキュリティコンテキストを記憶部11に記録せずに破棄する(ステップS10)。つまり、異種ネットワーク間ハンドオーバの実行前に用いていたNASセキュリティコンテキストを継続して用いることとなる。なお、このとき、保護状態情報及び保護タイプ情報は何れも更新されない。
On the other hand, when the
そして、処理部13は、ステップS9で保護タイプ情報を記憶部11に記録したか、またはステップS10でNASセキュリティコンテキストを破棄した場合、ユーザなどによるUE1の操作や割り込み処理などにより、外部から処理の終了要求が入力されたか否かを判定する(ステップS11)。処理部13は、外部から終了要求が入力されていないと判定した場合(ステップS11:NO)、ステップS1に戻り、異種ネットワーク間ハンドオーバの検出を開始する。他方、処理部13は、外部から終了要求が入力されたと判定した場合(ステップS11:YES)、処理を終了する。
Then, when the protection unit information is recorded in the
このように、本実施形態によれば、処理部13は、UE1が異種ネットワーク間ハンドオーバに成功した場合、生成部12が生成したNASセキュリティコンテキストを記憶部11に記録する。また、処理部13は、UE1が異種ネットワーク間ハンドオーバに失敗した場合、生成部12が生成したNASセキュリティコンテキストを破棄する。そして、メッセージ保護部14は、記憶部11が記憶するNASセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行う。これにより、NASセキュリティ処理装置10は、異種ネットワーク間ハンドオーバの成否に応じてNASセキュリティコンテキストを取り扱うことができる。つまり、3GPPで指定されていない異種ネットワーク間ハンドオーバの失敗時におけるNASセキュリティコンテキストの扱い方を明確にすることができる。
Thus, according to the present embodiment, the
なお、特殊なケースとして、ステップS3で通信部15が異種ネットワーク間ハンドオーバの成功を示す通知を受信し、その後にRRC(Radio Resource Control)コネクションを失う場合があるが、この場合は、異種ネットワーク間ハンドオーバが成功したものとみなし、ステップS2で生成部12が生成したNASセキュリティコンテキストを「現在」のものとして用いる。
As a special case, the
また、記憶部11が保護状態情報と保護タイプ情報とを記憶することで、UE1のNASがどのような状態にあるかを知ることが容易となる。UE1は、NASメッセージを送信する際に、保護のタイプが完全性保証のみか、完全性保証及び暗号化を行うか、及び平文のNASメッセージを送信するべきかを判断する必要があるが、これにより、LTEの開発においてこれらの判断を容易にすることができる。
Further, since the
以上、図面を参照してこの発明の各実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
例えば、本実施形態では、UE1が異種ネットワーク間ハンドオーバに成功した場合、処理部13が、記憶部11から「現在」を示すカレントフラグを読み出し、当該カレントフラグを「非現在」に書き換え、新たなNASセキュリティコンテキストに「現在」を示すカレントフラグを関連付けて記録する例を説明したが、これに限られない。例えば、UE1が異種ネットワーク間ハンドオーバに成功した場合、処理部13は、記憶部11から全てのNASセキュリティコンテキストを破棄し、新たなNASセキュリティコンテキストに「現在」を示すカレントフラグを関連付けて記録するようにしても良い。
また例えば、ステップS6によるカレントフラグの書き換えは、NASセキュリティコンテキストがフルネイティブ(full native)である場合にのみ行うようにしても良い。
As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to that described above, and various design changes and the like can be made without departing from the scope of the present invention. It is possible to
For example, in this embodiment, when the UE 1 succeeds in the handover between different networks, the
Further, for example, the rewriting of the current flag in step S6 may be performed only when the NAS security context is full native.
上述のNASセキュリティ処理装置10は、内部にコンピュータシステムを有している。そして、上述した各処理部の動作は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
The NAS
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, what is called a difference file (difference program) may be sufficient.
1 UE
10 NASセキュリティ処理装置
11 記憶部
12 生成部
13 処理部
14 メッセージ保護部
15 通信部
20 EMM
30 ESM
1 UE
DESCRIPTION OF
30 ESM
Claims (3)
前記移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部と、
前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストを生成する生成部と、
前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部と、
前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部と、
前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部と
を備えることを特徴とするNASセキュリティ処理装置。 A NAS security processing device that is provided in a mobile terminal and processes security in non-access stratum (NAS) communication,
A storage unit for storing a security context used for security protection in a network to which the mobile terminal is connected;
A generating unit for generating a new security context used in a handover destination network when the mobile terminal performs a handover between different networks;
When the mobile terminal succeeds in handover between different networks, the security context generated by the generation unit is recorded in the storage unit, and when the mobile terminal fails in handover between different networks, the generation unit generates A processing unit that destroys the security context;
A message protection unit that performs security processing on the NAS message using the security context stored in the storage unit;
A NAS security processing apparatus comprising: a transmission unit that transmits a NAS message on which the message protection unit has performed security processing.
生成部により、前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストが生成される段階と、
処理部により、前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストが前記記憶部に記録され、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストが破棄される段階と、
メッセージ保護部により、前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理が行われる段階と、
送信部により、前記メッセージ保護部が機密保護処理を行ったNASメッセージが送信される段階と
を有することを特徴とするNASセキュリティ処理方法。 A security processing device that is provided in a mobile terminal, includes a storage unit that stores a security context used for security protection in a network to which the mobile terminal is connected, and processes security in non-access stratum (NAS) communication. The NAS security processing method used,
A step of generating a new security context to be used in a handover destination network by the generation unit when the mobile terminal performs handover between different types of networks;
When the processing unit succeeds in handover between different types of networks, the security context generated by the generation unit is recorded in the storage unit, and when the mobile terminal fails in handover between different types of networks, the generation is performed. The security context generated by the
A security protection process performed on the NAS message by the message protection unit using the security context stored in the storage unit;
A NAS security processing method, comprising: a step of transmitting a NAS message that has been subjected to security protection processing by the message protection unit.
前記移動端末が接続するネットワークにおける機密保護に用いるセキュリティコンテキストを記憶する記憶部、
前記移動端末が異種ネットワーク間ハンドオーバを実行する際に、ハンドオーバ先のネットワークで用いる新たなセキュリティコンテキストを生成する生成部、
前記移動端末が異種ネットワーク間ハンドオーバに成功した場合に、前記生成部が生成したセキュリティコンテキストを前記記憶部に記録し、前記移動端末が異種ネットワーク間ハンドオーバに失敗した場合に、前記生成部が生成したセキュリティコンテキストを破棄する処理部、
前記記憶部が記憶するセキュリティコンテキストを用いて、NASメッセージに対して機密保護処理を行うメッセージ保護部、
前記メッセージ保護部が機密保護処理を行ったNASメッセージを送信する送信部
として機能させるためのプログラム。 A NAS security processing device that is provided in a mobile terminal and processes security in communication in a non-access stratum (NAS),
A storage unit for storing a security context used for security protection in a network to which the mobile terminal is connected;
A generating unit that generates a new security context to be used in a handover destination network when the mobile terminal performs handover between different networks;
When the mobile terminal succeeds in handover between different networks, the security context generated by the generation unit is recorded in the storage unit, and when the mobile terminal fails in handover between different networks, the generation unit generates A processing unit that destroys the security context,
A message protection unit that performs security processing on the NAS message using the security context stored in the storage unit;
A program for causing the message protection unit to function as a transmission unit that transmits a NAS message subjected to security processing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013146603A JP5680149B2 (en) | 2013-07-12 | 2013-07-12 | NAS security processing device, NAS security processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013146603A JP5680149B2 (en) | 2013-07-12 | 2013-07-12 | NAS security processing device, NAS security processing method, and program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010080950A Division JP5353794B2 (en) | 2010-03-31 | 2010-03-31 | NAS security processing device, NAS security processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013255239A true JP2013255239A (en) | 2013-12-19 |
JP5680149B2 JP5680149B2 (en) | 2015-03-04 |
Family
ID=49952360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013146603A Expired - Fee Related JP5680149B2 (en) | 2013-07-12 | 2013-07-12 | NAS security processing device, NAS security processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5680149B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020198645A (en) * | 2016-10-26 | 2020-12-10 | 日本電気株式会社 | Source core network node, terminal, and method |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011039655A1 (en) * | 2009-09-29 | 2011-04-07 | Nokia Corporation | Method and apparatus for source identification for key handling following a handover failure |
-
2013
- 2013-07-12 JP JP2013146603A patent/JP5680149B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011039655A1 (en) * | 2009-09-29 | 2011-04-07 | Nokia Corporation | Method and apparatus for source identification for key handling following a handover failure |
Non-Patent Citations (4)
Title |
---|
CSNC201218015327; 3GPP RAN WG2: 'LS to SA3 on key invalidation following SR-VCC failure' 3GPP TSG-RAN WG2♯68 R2-097508 , 20091113 * |
JPN6013012751; Nokia Corporation: 'Invalidation of security key after failed SR-VCC handover' 3GPP TSG-RAN WG2 Meeting #68 R2-096911 , 20091113, 3GPP * |
JPN6014017936; 3GPP TS 33.401 V9.2.0(2009-12) , 200912, p.48-55 * |
JPN6014017938; 3GPP RAN WG2: 'LS to SA3 on key invalidation following SR-VCC failure' 3GPP TSG-RAN WG2♯68 R2-097508 , 20091113 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020198645A (en) * | 2016-10-26 | 2020-12-10 | 日本電気株式会社 | Source core network node, terminal, and method |
JP7006742B2 (en) | 2016-10-26 | 2022-01-24 | 日本電気株式会社 | Source core network nodes and methods |
Also Published As
Publication number | Publication date |
---|---|
JP5680149B2 (en) | 2015-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11228905B2 (en) | Security implementation method, related apparatus, and system | |
TWI708513B (en) | Network security architecture | |
CN109587688B (en) | Security in inter-system mobility | |
US9538373B2 (en) | Method and device for negotiating security capability when terminal moves | |
US10911948B2 (en) | Method and system for performing network access authentication based on non-3GPP network, and related device | |
JP5462411B2 (en) | Method and apparatus for supporting synchronization of security settings | |
US8526617B2 (en) | Method of handling security configuration in wireless communications system and related communication device | |
WO2019062996A1 (en) | Method, apparatus, and system for security protection | |
WO2018201946A1 (en) | Anchor key generation method, device and system | |
JP7101775B2 (en) | Security protection methods and equipment | |
US20190253403A1 (en) | Network Authentication Triggering Method and Related Device | |
WO2020133543A1 (en) | Communication method and related product | |
WO2020220888A1 (en) | Handover processing method and apparatus | |
US20200100105A1 (en) | Network authentication method, network device, and core network device | |
EP2648437B1 (en) | Method, apparatus and system for key generation | |
US11751160B2 (en) | Method and apparatus for mobility registration | |
CN115915132A (en) | Key management method, device and system | |
JP7192107B2 (en) | Method and apparatus for handling security context during intersystem changes | |
US20210168614A1 (en) | Data Transmission Method and Device | |
WO2015081784A1 (en) | Method, device, and system for verifying security capability | |
JP5680149B2 (en) | NAS security processing device, NAS security processing method, and program | |
WO2012155437A1 (en) | Method and system for improving fallback efficiency and success rate | |
JP5353794B2 (en) | NAS security processing device, NAS security processing method, and program | |
EP3595343B1 (en) | Storing ciphered context information in a terminal device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140507 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20140918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141216 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5680149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |