本発明の実施形態は、UEとターゲットノードとの間のセッションが攻撃されるのを防止するために、データ送信方法ならびに関連デバイスおよびシステムを開示する。
第1の態様によれば、本発明の一実施形態は、通信システムを提供する。通信システムは、アクセスネットワークデバイスANおよびユーザ機器UEを含み、ANは、コアネットワーク内の鍵管理デバイスによって送信される基本鍵を受信し、基本鍵が、UEとコアネットワークとの間の双方向認証から生成される鍵、または双方向認証から生成される鍵から導出される鍵である、ように構成され、ANおよびUEは両方とも、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成され、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護し、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信し、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、ようにさらに構成され、ANは、アップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成される。
前述のシステムを動作させることによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
第1の態様に関連して、第1の態様の第1の可能な実施態様では、ANは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護し、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信するように構成され、UEは、ダウンリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成される。
第1の態様の第1の可能な実施態様に関連して、第1の態様の第2の可能な実施態様では、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、鍵の使用規則は、エアインタフェースポリシーで定義されており、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することである。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様に関連して、第1の態様の第3の可能な実施態様では、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、鍵の使用規則は、エアインタフェースポリシーで定義されており、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することである。
第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様に関連して、第1の態様の第4の可能な実施態様では、ANは、コアネットワークから初期セキュリティポリシーを受信し、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、ように構成され、ANは、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成するように構成され、ANは、エアインタフェースポリシーをUEに送信するように構成され、UEは、エアインタフェースポリシーを受信するように構成される。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様に関連して、第1の態様の第5の可能な実施態様では、UEは、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかを判定するようにさらに構成され、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットを保護するように構成され、または、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行するように構成される。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様または第1の態様の第5の可能な実施態様に関連して、第1の態様の第6の可能な実施態様では、ANは、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかを判定するようにさらに構成され、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合、ANは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットを保護するように構成され、または、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合、ANは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行するように構成される。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様または第1の態様の第5の可能な実施態様または第1の態様の第6の可能な実施態様に関連して、第1の態様の第7の可能な実施態様では、エアインタフェース保護鍵は、暗号化鍵または完全性保護鍵のうちの少なくとも一方を含む。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様または第1の態様の第5の可能な実施態様または第1の態様の第6の可能な実施態様または第1の態様の第7の可能な実施態様に関連して、第1の態様の第8の可能な実施態様では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様または第1の態様の第5の可能な実施態様または第1の態様の第6の可能な実施態様または第1の態様の第7の可能な実施態様または第1の態様の第8の可能な実施態様に関連して、第1の態様の第9の可能な実施態様では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第1の態様または第1の態様の第1の可能な実施態様または第1の態様の第2の可能な実施態様または第1の態様の第3の可能な実施態様または第1の態様の第4の可能な実施態様または第1の態様の第5の可能な実施態様または第1の態様の第6の可能な実施態様または第1の態様の第7の可能な実施態様または第1の態様の第8の可能な実施態様または第1の態様の第9の可能な実施態様に関連して、第1の態様の第10の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第2の態様によれば、本発明の一実施形態は、通信システムを提供する。このシステムは、ユーザ機器UEおよびアクセスネットワークデバイスANを含む。ANは、ターゲットセッションに対応するターゲット識別子を生成し、ターゲットセッションが、UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、ように構成され、ANは、対応情報をUEに送信し、対応情報が、ターゲットセッションとターゲット識別子との対応関係を示す、ように構成され、UEは、対応情報を受信し、対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認するように構成され、UEは、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信するように構成され、ANは、アップリンクプロトコルデータユニットを受信するように構成され、ANは、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信し、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、ように構成される。
このシステムを動作させることによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
第2の態様に関連して、第2の態様の第1の可能な実施態様では、ANは、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットを受信し、ダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、ように構成され、ANは、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するように構成され、UEは、ダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定するように構成される。
第2の態様または第2の態様の第1の可能な実施態様に関連して、第2の態様の第2の可能な実施態様では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
第2の態様または第2の態様の第1の可能な実施態様または第2の態様の第2の可能な実施態様に関連して、第2の態様の第3の可能な実施態様では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第2の態様または第2の態様の第1の可能な実施態様または第2の態様の第2の可能な実施態様または第2の態様の第3の可能な実施態様に関連して、第2の態様の第4の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第3の態様によれば、本発明の一実施形態は、ユーザ機器UEを提供する。ユーザ機器は、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される生成ユニットであって、基本鍵が、UEとコアネットワークとの間の双方向認証から生成される鍵、または双方向認証から生成される鍵から導出される鍵であり、コアネットワーク内の鍵管理デバイスが、基本鍵をアクセスネットワークデバイスANに送信し、これにより、ANが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する、ように構成される、生成ユニットと、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護するように構成される保護ユニットであって、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、保護ユニットと、送信ユニットであって、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信し、これにより、ANが、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析する、ように構成される送信ユニットとを含む。
前述のユニットを動作させることによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
第3の態様に関連して、第3の態様の第1の可能な実施態様では、ユーザ機器は、ANによって送信されるダウンリンクプロトコルデータユニットをUEによって受信し、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成される第1の受信ユニットであって、ダウンリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによって暗号化されている、第1の受信ユニットをさらに含む。
第3の態様の第1の可能な実施態様に関連して、第3の態様の第2の可能な実施態様では、第1の受信ユニットがエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、ダウンリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってANにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様に関連して、第3の態様の第3の可能な実施態様では、保護ユニットは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護するように特に構成され、ANは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様に関連して、第3の態様の第4の可能な実施態様では、ユーザ機器は、ANによって送信されるエアインタフェースポリシーを受信するように構成される第2の受信ユニットであって、エアインタフェースポリシーが、初期セキュリティポリシーに従ってANによって生成され、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、第2の受信ユニットをさらに含む。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様または第3の態様の第4の可能な実施態様に関連して、第3の態様の第5の可能な実施態様では、UEは、判定ユニットであって、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかを判定し、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットを保護するように保護ユニットをトリガし、あるいは、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合、エアインタフェース保護鍵を使用することによってUEによりアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する動作を実行するように保護ユニットをトリガするように構成される判定ユニットをさらに含む。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様または第3の態様の第4の可能な実施態様または第3の態様の第5の可能な実施態様に関連して、第3の態様の第6の可能な実施態様では、エアインタフェース保護鍵は、暗号化鍵または完全性保護鍵のうちの少なくとも一方を含む。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様または第3の態様の第4の可能な実施態様または第3の態様の第5の可能な実施態様または第3の態様の第6の可能な実施態様に関連して、第3の態様の第7の可能な実施態様では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様または第3の態様の第4の可能な実施態様または第3の態様の第5の可能な実施態様または第3の態様の第6の可能な実施態様または第3の態様の第7の可能な実施態様に関連して、第3の態様の第8の可能な実施態様では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第3の態様または第3の態様の第1の可能な実施態様または第3の態様の第2の可能な実施態様または第3の態様の第3の可能な実施態様または第3の態様の第4の可能な実施態様または第3の態様の第5の可能な実施態様または第3の態様の第6の可能な実施態様または第3の態様の第7の可能な実施態様または第3の態様の第8の可能な実施態様に関連して、第3の態様の第9の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第4の態様によれば、本発明の一実施形態は、アクセスネットワークデバイスANを提供する。アクセスネットワークデバイスは、コアネットワーク内の鍵管理デバイスによって送信される基本鍵を受信するように構成される第1の受信ユニットであって、基本鍵が、ユーザ機器UEとコアネットワークとの間の双方向認証から生成される鍵、または双方向認証から生成される鍵から導出される鍵であり、UEが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される、第1の受信ユニットと、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される生成ユニットと、UEによって送信されるアップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成される第2の受信ユニットであって、アップリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによってUEにより保護されており、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、第2の受信ユニットとを含む。
前述のユニットを動作させることによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
第4の態様に関連して、第4の態様の第1の可能な実施態様では、ANは、保護ユニットであって、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護し、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析する、ように構成される保護ユニットをさらに含む。
第4の態様の第1の可能な実施態様に関連して、第4の態様の第2の可能な実施態様では、ANは、判定ユニットであって、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかを判定し、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットを保護するように保護ユニットをトリガし、あるいは、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行するように保護ユニットをトリガするように構成される判定ユニットをさらに含む。
第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様に関連して、第4の態様の第3の可能な実施態様では、保護ユニットがエアインタフェース保護鍵を使用してダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、UEは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
第4の態様または第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様または第4の態様の第3の可能な実施態様に関連して、第4の態様の第4の可能な実施態様では、第2の受信ユニットがエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、その場合、アップリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってUEにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
第4の態様の第3の可能な実施態様または第4の態様の第4の可能な実施態様に関連して、第4の態様の第5の可能な実施態様では、ANは、コアネットワークから初期セキュリティポリシーを受信するように構成される第3の受信ユニットであって、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、第3の受信ユニットと、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、エアインタフェースポリシーをUEに送信するように構成される送信ユニットとをさらに含む。
第4の態様または第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様または第4の態様の第3の可能な実施態様または第4の態様の第4の可能な実施態様または第4の態様の第5の可能な実施態様に関連して、第4の態様の第6の可能な実施態様では、エアインタフェース保護鍵は、暗号化鍵または完全性保護鍵のうちの少なくとも一方を含む。
第4の態様または第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様または第4の態様の第3の可能な実施態様または第4の態様の第4の可能な実施態様または第4の態様の第5の可能な実施態様または第4の態様の第6の可能な実施態様に関連して、第4の態様の第7の可能な実施態様では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
第4の態様または第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様または第4の態様の第3の可能な実施態様または第4の態様の第4の可能な実施態様または第4の態様の第5の可能な実施態様または第4の態様の第6の可能な実施態様または第4の態様の第7の可能な実施態様に関連して、第4の態様の第8の可能な実施態様では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第4の態様または第4の態様の第1の可能な実施態様または第4の態様の第2の可能な実施態様または第4の態様の第3の可能な実施態様または第4の態様の第4の可能な実施態様または第4の態様の第5の可能な実施態様または第4の態様の第6の可能な実施態様または第4の態様の第7の可能な実施態様または第4の態様の第8の可能な実施態様に関連して、第4の態様の第9の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第5の態様によれば、本発明の一実施形態は、ユーザ機器UEを提供する。UEは、アクセスネットワークデバイスANによって送信される対応情報を受信し、対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認するように構成される第1の受信ユニットであって、ターゲット識別子が、ANによって生成され、ターゲットセッションが、UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、第1の受信ユニットと、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信するように構成されるカプセル化ユニットであって、ANが、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信するように構成され、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、カプセル化ユニットとを含む。
前述のユニットを動作させることによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
第5の態様に関連して、第5の態様の第1の可能な実施態様では、UEは、ANによって送信されるダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定するように構成される第2の受信ユニットであって、ANが、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが受信されたときに、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するように構成され、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、第2の受信ユニットをさらに含む。
第5の態様または第5の態様の第1の可能な実施態様に関連して、第5の態様の第2の可能な実施態様では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
第5の態様または第5の態様の第1の可能な実施態様または第5の態様の第2の可能な実施態様に関連して、第5の態様の第3の可能な実施態様では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第5の態様または第5の態様の第1の可能な実施態様または第5の態様の第2の可能な実施態様または第5の態様の第3の可能な実施態様に関連して、第5の態様の第4の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第6の態様によれば、本発明の一実施形態は、アクセスネットワークデバイスANを提供する。ANは、ターゲットセッションに対応するターゲット識別子を生成するように構成される生成ユニットであって、ターゲットセッションが、ユーザ機器UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、生成ユニットと、第1の送信ユニットであって、対応情報をUEに送信し、これにより、UEが、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、対応情報が、ターゲットセッションとターゲット識別子との対応関係を示す、ように構成される第1の送信ユニットと、UEによって送信される、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットを受信するように構成される第1の受信ユニットと、置換ユニットであって、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信し、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、ように構成される置換ユニットとを含む。
前述のユニットを動作させることによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
第6の態様に関連して、第6の態様の第1の可能な実施態様では、ANは、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットを受信するように構成される第2の受信ユニットであって、ダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、第2の受信ユニットと、第2の送信ユニットであって、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定する、ように構成される第2の送信ユニットとをさらに含む。
第6の態様または第6の態様の第1の可能な実施態様に関連して、第6の態様の第2の可能な実施態様では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
第6の態様または第6の態様の第1の可能な実施態様または第6の態様の第2の可能な実施態様に関連して、第6の態様の第3の可能な実施態様では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第6の態様または第6の態様の第1の可能な実施態様または第6の態様の第2の可能な実施態様または第6の態様の第3の可能な実施態様に関連して、第6の態様の第4の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第7の態様によれば、本発明の一実施形態は、データ送信方法を提供する。本方法は、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵をユーザ機器UEによって処理するステップであって、基本鍵が、UEとコアネットワークとの間の双方向認証から生成される鍵、または双方向認証から生成される鍵から導出される鍵であり、コアネットワーク内の鍵管理デバイスが、基本鍵をアクセスネットワークデバイスANに送信し、これにより、ANが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する、ように構成される、ステップと、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドをUEによって保護するステップであって、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、ステップと、UEによって、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信するステップであって、これにより、ANが、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析する、ステップとを含む。
前述のステップを実行することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
第7の態様に関連して、第7の態様の第1の可能な実施態様では、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵をユーザ機器UEによって処理するステップの後に、本方法は、UEによって、ANによって送信されるダウンリンクプロトコルデータユニットを受信するステップと、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するステップであって、ダウンリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによって暗号化されている、ステップとをさらに含む。
第7の態様の第1の可能な実施態様に関連して、第7の態様の第2の可能な実施態様では、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するステップは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するステップであって、ダウンリンクプロトコルデータユニット内のターゲットフィールドが、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってANにより保護されており、鍵の使用規則が、エアインタフェースポリシーで定義されている、ステップを含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様に関連して、第7の態様の第3の可能な実施態様では、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドをUEによって保護するステップは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護するステップであって、ANが、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを解析するように構成され、鍵の使用規則が、エアインタフェースポリシーで定義されている、ステップを含む。
第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様に関連して、第7の態様の第4の可能な実施態様では、本方法は、ANによって送信されるエアインタフェースポリシーをUEによって受信するステップであって、エアインタフェースポリシーが、初期セキュリティポリシーに従ってANによって生成され、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、ステップをさらに含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様または第7の態様の第4の可能な実施態様に関連して、第7の態様の第5の可能な実施態様では、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドをUEによって保護するステップの前に、本方法は、アップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかをUEによって判定するステップ、およびアップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合に、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットをUEによって保護するステップ、またはアップリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合に、UEによってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する動作をUEによって実行するステップをさらに含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様または第7の態様の第4の可能な実施態様または第7の態様の第5の可能な実施態様に関連して、第7の態様の第6の可能な実施態様では、エアインタフェース保護鍵は、暗号化鍵または完全性保護鍵のうちの少なくとも一方を含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様または第7の態様の第4の可能な実施態様または第7の態様の第5の可能な実施態様または第7の態様の第6の可能な実施態様に関連して、第7の態様の第7の可能な実施態様では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様または第7の態様の第4の可能な実施態様または第7の態様の第5の可能な実施態様または第7の態様の第6の可能な実施態様または第7の態様の第7の可能な実施態様に関連して、第7の態様の第8の可能な実施態様では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第7の態様または第7の態様の第1の可能な実施態様または第7の態様の第2の可能な実施態様または第7の態様の第3の可能な実施態様または第7の態様の第4の可能な実施態様または第7の態様の第5の可能な実施態様または第7の態様の第6の可能な実施態様または第7の態様の第7の可能な実施態様または第7の態様の第8の可能な実施態様に関連して、第7の態様の第9の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第8の態様によれば、本発明の一実施形態は、データ送信方法を提供する。本方法は、コアネットワーク内の鍵管理デバイスによって送信される基本鍵をアクセスネットワークデバイスANによって受信するステップであって、基本鍵が、ユーザ機器UEとコアネットワークとの間の双方向認証から生成される鍵、または双方向認証から生成される鍵から導出される鍵であり、UEが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される、ステップと、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵をANによって処理するステップと、ANによって、UEによって送信されるアップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析するステップであって、アップリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによってUEにより保護されており、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、ステップとを含む。
前述のステップを実行することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
第8の態様に関連して、第8の態様の第1の可能な実施態様では、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵をANによって処理するステップの後に、本方法は、ANによって、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護するステップと、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信するステップであって、これにより、UEが、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析する、ステップとをさらに含む。
第8の態様の第1の可能な実施態様に関連して、第8の態様の第2の可能な実施態様では、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドをANによって保護するステップの前に、本方法は、ダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されているかどうかをANによって判定するステップ、およびダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されていない場合に、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットをANによって保護するステップ、またはダウンリンクプロトコルデータユニット内のプロトコルデータユニットペイロードPDU payloadフィールドが保護されている場合に、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護するステップをANによって実行するステップをさらに含む。
第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様に関連して、第8の態様の第3の可能な実施態様では、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドをANによって保護するステップは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護するステップであって、UEが、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成され、鍵の使用規則が、エアインタフェースポリシーで定義されている、ステップを含む。
第8の態様または第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様または第8の態様の第3の可能な実施態様に関連して、第8の態様の第4の可能な実施態様では、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析するステップは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析するステップであって、アップリンクプロトコルデータユニット内のターゲットフィールドが、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってUEにより保護されており、鍵の使用規則が、エアインタフェースポリシーで定義されている、ステップを含む。
第8の態様の第3の可能な実施態様または第8の態様の第4の可能な実施態様に関連して、第8の態様の第5の可能な実施態様では、本方法は、コアネットワークから初期セキュリティポリシーをANによって受信するステップであって、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、ステップと、ANによって、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、エアインタフェースポリシーをUEに送信するステップとをさらに含む。
第8の態様または第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様または第8の態様の第3の可能な実施態様または第8の態様の第4の可能な実施態様または第8の態様の第5の可能な実施態様に関連して、第8の態様の第6の可能な実施態様では、エアインタフェース保護鍵は、暗号化鍵または完全性保護鍵のうちの少なくとも一方を含む。
第8の態様または第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様または第8の態様の第3の可能な実施態様または第8の態様の第4の可能な実施態様または第8の態様の第5の可能な実施態様または第8の態様の第6の可能な実施態様に関連して、第8の態様の第7の可能な実施態様では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
第8の態様または第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様または第8の態様の第3の可能な実施態様または第8の態様の第4の可能な実施態様または第8の態様の第5の可能な実施態様または第8の態様の第6の可能な実施態様または第8の態様の第7の可能な実施態様に関連して、第8の態様の第8の可能な実施態様では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第8の態様または第8の態様の第1の可能な実施態様または第8の態様の第2の可能な実施態様または第8の態様の第3の可能な実施態様または第8の態様の第4の可能な実施態様または第8の態様の第5の可能な実施態様または第8の態様の第6の可能な実施態様または第8の態様の第7の可能な実施態様または第8の態様の第8の可能な実施態様に関連して、第8の態様の第9の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第9の態様によれば、本発明の一実施形態は、データ送信方法を提供する。本方法は、ユーザ機器UEによって、アクセスネットワークデバイスANによって送信される対応情報を受信し、対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認するステップであって、ターゲット識別子が、ANによって生成され、ターゲットセッションが、UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、ステップと、UEによって、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信するステップであって、ANが、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信するように構成され、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、ステップとを含む。
前述のステップを実行することによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
第9の態様に関連して、第9の態様の第1の可能な実施態様では、ユーザ機器UEによって、アクセスネットワークデバイスANによって送信される対応情報を受信し、対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認するステップの後に、本方法は、UEによって、ANによって送信されるダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定するステップであって、ANが、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが受信されたときに、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するように構成され、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、ステップをさらに含む。
第9の態様または第9の態様の第1の可能な実施態様に関連して、第9の態様の第2の可能な実施態様では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
第9の態様または第9の態様の第1の可能な実施態様または第9の態様の第2の可能な実施態様に関連して、第9の態様の第3の可能な実施態様では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第9の態様または第9の態様の第1の可能な実施態様または第9の態様の第2の可能な実施態様または第9の態様の第3の可能な実施態様に関連して、第9の態様の第4の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第10の態様によれば、本発明の一実施形態は、データ送信方法を提供する。本方法は、アクセスネットワークデバイスANによって、ターゲットセッションに対応するターゲット識別子を生成するステップであって、ターゲットセッションが、ユーザ機器UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、ステップと、ANによって対応情報をUEに送信するステップであって、これにより、UEが、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、対応情報が、ターゲットセッションとターゲット識別子との対応関係を示す、ステップと、UEによって送信される、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANによって受信するステップと、ANによってアップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信するステップであって、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、ステップとを含む。
前述のステップを実行することによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
第10の態様に関連して、第10の態様の第1の可能な実施態様では、ANによって対応情報をUEに送信するステップの後に、本方法は、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットをANによって受信するステップであって、ダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、ステップと、ANによってダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するステップであって、これにより、UEが、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定する、ステップとをさらに含む。
第10の態様または第10の態様の第1の可能な実施態様に関連して、第10の態様の第2の可能な実施態様では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
第10の態様または第10の態様の第1の可能な実施態様または第10の態様の第2の可能な実施態様に関連して、第10の態様の第3の可能な実施態様では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
第10の態様または第10の態様の第1の可能な実施態様または第10の態様の第2の可能な実施態様または第10の態様の第3の可能な実施態様に関連して、第10の態様の第4の可能な実施態様では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
第11の態様によれば、本発明の一実施形態は、ユーザ機器を提供する。ユーザ機器は、プロセッサおよびメモリを含み、メモリは、プログラムおよびデータを記憶するように構成され、プロセッサは、第7の態様または第7の態様の任意の可能な実施態様に記載のデータ送信方法を実行するためにメモリ内のプログラムを呼び出す。
第12の態様によれば、本発明の一実施形態は、アクセスネットワークデバイスを提供する。アクセスネットワークデバイスは、プロセッサおよびメモリを含み、メモリは、プログラムおよびデータを記憶するように構成され、プロセッサは、第8の態様または第8の態様の任意の可能な実施態様に記載のデータ送信方法を実行するためにメモリ内のプログラムを呼び出す。
第13の態様によれば、本発明の一実施形態は、ユーザ機器を提供する。ユーザ機器は、プロセッサおよびメモリを含み、メモリは、プログラムおよびデータを記憶するように構成され、プロセッサは、第9の態様または第9の態様の任意の可能な実施態様に記載のデータ送信方法を実行するためにメモリ内のプログラムを呼び出す。
第14の態様によれば、本発明の一実施形態は、アクセスネットワークデバイスを提供する。アクセスネットワークデバイスは、プロセッサおよびメモリを含み、メモリは、プログラムおよびデータを記憶するように構成され、プロセッサは、第10の態様または第10の態様の任意の可能な実施態様に記載のデータ送信方法を実行するためにメモリ内のプログラムを呼び出す。
第15の態様によれば、本発明の一実施形態は、記憶媒体を提供する。記憶媒体は、命令を記憶するように構成され、この命令がプロセッサ上で実行されたときに、第7の態様もしくは第7の態様の任意の可能な実施態様または第8の態様もしくは第8の態様の任意の可能な実施態様または第9の態様もしくは第9の態様の任意の可能な実施態様または第10の態様もしくは第10の態様の任意の可能な実施態様に記載の方法が実施される。
本発明の実施形態を実施することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
以下では、背景技術または実施形態に必要な添付の図面について簡単に説明する。
以下では、本発明の実施形態の添付の図面を参照して、本発明の実施形態の技術的解決法を説明する。
エンドツーエンド保護メカニズムは、通常、UEとコアネットワーク内のデバイス(例えば、ユーザプレーンゲートウェイ)との間のエンドツーエンド保護、UEとInternetサーバとの間のエンドツーエンド保護、およびUEとネットワーク内の別のデバイスとの間のエンドツーエンドの保護を含む。エンドツーエンド保護メカニズムに従ってデータがノードとUEとの間で保護される場合、そのノードは、ターゲットノードと呼ばれる場合がある。具体的には、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、コアネットワーク内のサービスサーバ(service serverもしくはapplication server)、またはコアネットワーク内のデバイスとの通信接続を確立している、インターネット上のサーバ(インターネット上のゲートウェイコントローラを含むInternetサーバと通常は呼ばれる)などであってもよい。本発明の実施形態を説明するために、一例として、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のエンドツーエンド保護メカニズムを主に使用する。UEおよびユーザプレーンゲートウェイがエンドツーエンド保護の下にある場合、UEおよびユーザプレーンゲートウェイは、送信されるサービスデータを保護するために解決法をネゴシエートする(例えば、一部のシナリオでは、サービスデータは、プロトコルデータユニットペイロード(PDU payload)内にカプセル化される)。UEとユーザプレーンゲートウェイとの間のノードは、サービスデータがUEとユーザプレーンゲートウェイとの間でどのように保護されているかを知ることができない。しかしながら、他の何らかの情報が、サービスデータと共に送信される。情報、例えばプロトコルデータユニットヘッダ(PDU header)に対してエンドツーエンド保護を実行することは、UEおよびユーザプレーンゲートウェイにとって通常は不都合である。本発明の実施形態では、サービスデータのエンドツーエンド保護中に他の保護されていない情報を保護する方法について主に説明する。
図2は、本発明の一実施形態による通信システム20の概略アーキテクチャ図である。アーキテクチャ図は、ユーザ機器(UE)201、アクセスネットワークデバイス(AN)202、およびコアネットワーク(CN)内のデバイスを含む。実際の適用時に、通信システム20は、別のデバイスをさらに含むことができる。
UEは、携帯電話およびスマートウォッチなどのスマートデバイスであってもよいし、サーバ、ゲートウェイ、基地局、またはコントローラなどの通信デバイスであってもよいし、センサ、電力メータ、および水道メータなどのモノのインターネット(英語:Internet of thing、略してIoT)のデバイスであってもよいし、セルラーネットワークまたは有線ネットワークに接続することができる別のデバイスであってもよい。
アクセスネットワークデバイス202は、ユーザ機器201とワイヤレス通信するデバイスであってもよく、例えば、ノードB(英語:NodeB、略してNB)、eNB、ワイヤレスフィディリティ(英語:Wireless Fidelity、略してWi−Fi)におけるワイヤレスアクセスポイント、または将来の5Gネットワークにおけるワイヤレスアクセスネットワークデバイスである。代替的に、アクセスネットワークデバイス202は、ユーザ機器201と有線方法で通信するデバイスであってもよく、例えば、ゲートウェイ、サーバ、または制御ゲートウェイである。有線送信方法は、インターネットプロトコル(英語:Internet Protocol、略してIP)ベースのネットワーク、コンテンツベースのネットワーク、および識別情報ベースのネットワークを含むが、これらに限定されない。以下の実施形態を説明するために、UEがネットワークにワイヤレスで接続される例を使用する。UEとANとの間のワイヤレス送信は、エアインタフェース段階にある。本発明の実施形態では、エアインタフェース段階においてデータの安全な送信を確保する方法について主に説明する。
多くのデバイス(または「ネットワーク要素」と呼ばれる)は、CN内に存在してもよく、例えば、モビリティ管理(英語:Mobility Management、略してMM)ネットワーク要素、セッション管理(英語:Session Management、略してSM)ネットワーク要素、鍵管理センター(英語:Key Management System、略してKMS)ネットワーク要素、制御プレーン認証ユニット(英語:Control Plane−Authentication Unit、略してCP−AU)ネットワーク要素、およびユーザプレーンゲートウェイ(英語:User Plane−Gateway、UP−GW)である。MMネットワーク要素は、モビリティ管理デバイスまたはMMと呼ばれる場合がある。SMネットワーク要素は、セッション管理デバイスまたはSMと呼ばれる場合があり、セッション、スライス、フローflow、またはベアラbearerを確立および管理するように構成される。KMSネットワーク要素は、鍵管理デバイスまたはKMSと呼ばれる場合があり、鍵の生成、管理、およびネゴシエーションを担当し、合法的傍受をサポートする。KMSは、独立した論理的機能エンティティとして別個に配置されてもよいし、MMネットワーク要素、SMネットワーク要素、モビリティ管理エンティティ(英語:Mobility Management Entity、略してMME)ネットワーク要素、認証サーバ機能(英語:Authentication Server Function、略してAUSF)エンティティネットワーク要素、セキュリティアンカー機能(英語:Security Anchor Function、略してSEAF)ネットワーク要素、セキュリティコンテキスト管理機能(英語:Security Context Management Function、略してSCMF)ネットワーク要素、ブートストラッピングサーバ機能(英語:Bootstrapping Server Function、略してBSF)ネットワーク要素、およびコールセッション制御機能(英語:Call Session Control Function、略してCSCF)エンティティネットワーク要素などのネットワーク要素に統合されてもよい。一般に、KMSは、ネットワーク内の認証ユニット(英語:Control Plane−Authentication Unit、略してCP−AU)である。UP−GWは、事業者ネットワークとデータネットワーク(英語:Data Network、DN)とを接続するように構成される。UEは、UP−GWを介してインターネットに接続される。
図3は、本発明の一実施形態によるデータ送信方法の概略フローチャートである。この方法は、図2に示した通信システム20に基づいて実施することができる。具体的な手順は、以下のステップを含むが、これらに限定されない。
ステップS301:UEおよびCN内の鍵管理デバイスは、双方向認証を実行する。
詳細には、CN内の鍵管理デバイスは、通常はCP−AUである。もちろん、代替的に、鍵管理デバイスの機能は、別のネットワーク要素に統合されてもよい。共有鍵は、UEと鍵管理デバイスとが相互に認証された後に生成される。
ステップS302:CN内の鍵管理デバイスは、基本鍵をANに送信する。
詳細には、2つのケースの基本鍵があり得る。ケース1では、基本鍵は、UEと鍵管理デバイスとの間の双方向認証から生成される鍵である。ケース2では、基本鍵は、双方向認証から生成された鍵に対して導出を1回以上実行した後に取得される。導出規則は、通信プロトコルにおいて事前に定義されてもよい。UEと鍵管理デバイスとの両方が、通信プロトコルで定義された規則に従って基本鍵を導出することができる。
ステップS303:ANは、基本鍵を受信する。
ステップS304:ANは、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する。
詳細には、予め設定された規則は、鍵生成規則である。任意選択の解決法では、鍵アルゴリズム、鍵長、および鍵更新期間などの情報が、予め設定された規則で定義されてもよい。例えば、共通鍵アルゴリズムは、null、Snow 3G、ZUC、およびAESなどを含む。共通鍵の長さには、64bit、128bit、および256bitなどがある。共通鍵の更新期間には、6時間、12時間、1日、および2日などがある。予め設定された規則は、プロトコルで事前に設定されてもよいし、リアルタイムの情報に基づいて計算されてもよい。別の任意選択の解決法では、予め設定された規則に関して、第4世代移動通信(英語:the 4th Generation mobile communication、略して4G)技術におけるエアインタフェース送信で使用される鍵の生成方法を参照する。ANは、基地局のセキュリティアルゴリズムの優先順位リストと、UEによってサポートされるセキュリティアルゴリズムのリストとに基づいてANのエアインタフェース暗号化アルゴリズムおよび完全性保護アルゴリズムを決定する。ANは、エアインタフェース暗号化アルゴリズムの識別子と基本鍵とに基づいてエアインタフェース暗号化保護鍵を生成する。ANは、完全性保護アルゴリズムの識別子と基本鍵とに基づいてエアインタフェース完全性保護鍵を生成する。本明細書では、エアインタフェース暗号化保護鍵およびエアインタフェース完全性保護鍵は両方ともエアインタフェース保護鍵である。エアインタフェース暗号化アルゴリズムおよび完全性保護アルゴリズムは、複数の方法でネゴシエートされてもよい。例えば、エアインタフェース暗号化アルゴリズムおよび完全性保護アルゴリズムは、4Gにおけるアルゴリズムネゴシエート方法と同じ方法でネゴシエートされる。代替的に、保護アルゴリズムは、セッションの確立中に生成されるポリシーに従って決定される。別の任意選択の解決法では、ANは、基本鍵と、ANのデバイス識別子、セル無線ネットワーク一時識別子(英語:Cell Radio Network Temporary Identifier、略してC−RNTI)、シーケンス番号(英語:sequence number、略してSN)などの他のパラメータとからエアインタフェース保護鍵を導出し、また、UEの識別情報が、導出中にさらに使用されてもよい。
ステップS305:UEは、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する。
詳細には、UEは、ANと同じ方法でエアインタフェース保護鍵を生成する。
ステップS306:UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護する。
詳細には、本発明のこの実施形態では、対称鍵ベースのパスワード技術が、プロトコルデータユニットを保護するために使用される。保護方法は、暗号化保護および完全性保護の少なくとも一方を含む。対称鍵ベースのパスワード技術で保護するために、通信中の二者は、共有鍵Kを事前に共有する必要がある。通信中の二者がUSER1(ユーザ1)およびUSER2(ユーザ2)である例を使用して、暗号化保護および完全性保護の原理を以下に説明する。
暗号化保護:USER1およびUSER2は、共有鍵Kを共有する。User1は、共有鍵Kを使用することによってメッセージmを暗号化する。これは、ciphtext=En_K_(m)と表すことができる。次に、USER1は、暗号化されたメッセージmをUSER2に送信する。USER2は、共有鍵Kおよびciphertextを使用することによってmを復元することができる。これは、m=decrypt(K,ciphtext)と表すことができる。暗号化保護に選択することができるアルゴリズムとしては、高度暗号化標準(英語:Advanced Encryption Standard、頭字語:AES)、トリプルデータ暗号化アルゴリズム(英語:Triple Data Encryption Algorithm、略してTDEA、3DESとも呼ばれる)、Blowfish、Serpent、Snow 3G、ZUC、HC−256、およびGrainなどが挙げられる。
完全性保護:USER1およびUSER2は、共有鍵Kを共有する。USER1は、共有鍵Kを使用することによってメッセージmのメッセージ認証コード(英語:message Authentication code、略してMAC)を計算する。これは、MAC1=MAC_K_(m)と表すことができる。具体的には、メッセージmに対応するメッセージ認証コードMAC1は、共有鍵Kを使用することによって計算される。次に、USER1は、メッセージ認証コードMAC1およびメッセージmをUSER2に送信する。USER2は、MAC1およびメッセージmを受信し、次に、共有鍵Kおよびメッセージmを使用することによってMAC1の正当性を検証する。MAC1の正当性が検証されたら、それは、メッセージが改ざんされていないことを示す。完全性保護に使用されるアルゴリズムとしては、ハッシュ演算メッセージ認証コード(英語:Hash−based Message Authentication Code、略してHMAC)アルゴリズム(例えば、HMAC−sha256)、1鍵メッセージ認証コード(英語:one−key MAC、略してOMAC)、暗号ブロック連鎖メッセージ認証コード(英語:cipher block chaining message authentication code、略してCBC−MAC)、並列化可能メッセージ認証コード(英語:Parallelizable MAC、略してPMAC)、およびユニバーサルハッシングに基づくメッセージ認証コード(英語:message authentication code based on universal hashing、略してUMAC)などが挙げられる。保護方法が暗号化保護を含む場合、後続の解析方法は復号化を含む。保護方法が完全性保護を含む場合、後続の解析方法は完全性検証を含む。
本発明のこの実施形態におけるUEとANとの関係は、USER1とUSER2との関係と等しく、エアインタフェース保護鍵は、「共有鍵K」と等しい。
ターゲットフィールドは、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される参照識別子を含む。参照識別子は通常、外部IPヘッダ(outer IP header)フィールド、カプセル化ヘッダ(encapsulation header)フィールド、およびプロトコルデータユニットヘッダ(PDU header)フィールドなどに配置される。参照識別子は、通常、ベアラ識別子(bearer ID)、フロー識別子(flow ID)、ハードウェアの媒体アクセス制御(英語:Media Access Control、略してMAC)識別子、セッション識別子、UEのインターネットプロトコル(英語:Internet Protocol、略してIP)アドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークのアクセスネットワーク識別子、エンドツーエンド通信における相手方の識別子、エンドツーエンド通信における相手方のIPアドレス、サービス品質(英語:Quality of Service、略してQoS)識別子、国際モバイル加入者識別情報(英語:International Mobile Subscriber Identity、略してIMSI)、国際モバイル機器識別情報(英語:International Mobile Equipment Identity、略してIMEI)、インターネットプロトコル(英語:Internet Protocol、略してIP) マルチメディアプライベート識別情報(英語:IP Multimedia Private Identity、略してIMPI)、IPマルチメディアパブリック識別情報(英語:IP Multimedia Public Identity、略してIMPU)、一時的モバイル加入者識別情報(英語:Temporary Mobile Subscriber Identity、略してTMSI)、携帯電話番号、またはグローバルに一意の一時的UE識別情報(英語:Globally Unique Temporary UE Identity、略してGUTI)などである。UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報は、異なるセッションデータ送信モードでは異なるフィールドに配置されてもよい。いくつかのセッションデータ送信モードを例として以下に挙げる。モード1:図4に示すように、セッションは、サービス品質クラス(QoS class)に基づくクラスベースの送信を含む。プロトコルデータユニット(英語:Protocol data unit、略してPDU)は、L1/L2ヘッダ(L1/L2 header)フィールド、外部IPヘッダ(Outer IP header)フィールド、カプセル化ヘッダ(Encapsulation header)フィールド、プロトコルデータユニットヘッダ(PDU header)フィールド、およびプロトコルデータユニットペイロード(PDU payload)フィールドを含む。プロトコルデータユニットが属するセッションは、Outer IP headerフィールドおよびEncapsulation headerフィールドによって一緒に示される。具体的には、参照識別子は、Outer IP headerフィールドおよびEncapsulation headerフィールドに配置される。モード2:図5に示すように、セッションは、プロトコルデータユニットセッション(PDU session)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、Outer IP headerフィールド、Encapsulation headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、Encapsulation headerフィールドによって示される。具体的には、参照識別子は、Encapsulation headerフィールドに配置される。モード3:図6に示すように、セッションは、ノードレベルセッションごと(Per Node−level tunnel)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、Outer IP headerフィールド、Encapsulation headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、PDU headerフィールドによって示される。具体的には、参照識別子は、PDU headerに配置される。モード4:図7に示すように、セッションは、ソフトウェア定義のネットワーキングベースのアプローチ(SDN−based Approach)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、PDU headerフィールドによって示される。具体的には、参照識別子は、PDU headerに配置される。
ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含むことができる。例えば、Encapsulation headerフィールド内の情報に基づいて異なるセッションを互いに区別することができる場合、Encapsulation headerフィールドは、エアインタフェース保護鍵を使用することによって保護される。PDU headerフィールド内の情報に基づいて異なるセッションを互いに区別することができる場合、PDU headerフィールドは、エアインタフェース保護鍵を使用することによって保護される。encapsulation headerフィールドおよびPDU headerフィールド内の情報に基づいて異なるセッションを互いに区別することができる場合、encapsulation headerフィールドおよびPDU headerフィールドは、エアインタフェース保護鍵を使用することによって保護される。一般に、保護されるべき1つ以上のフィールドは標準で事前に定義されている。
ステップS307:UEは、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信する。
ステップS308:ANは、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲット情報を解析する。
詳細には、UEによってアップリンクプロトコルデータユニットを保護するプロセスが暗号化保護を含む場合、これに対応して、本明細書での解析は、復号化動作を含む。UEによってアップリンクプロトコルデータユニットを保護するプロセスが完全性保護を含む場合、これに対応して、本明細書での解析は、メッセージ認証コードの正当性を検証する動作を含む。復号化動作およびメッセージ認証コードの正当性を検証する動作の両方については、暗号化保護技術および完全性保護技術の前述の関連する説明を参照されたい。アップリンクパケットのターゲットフィールド内の情報を解析した後、ANは、アップリンクプロトコルデータユニットを再びカプセル化し、アップリンクプロトコルデータユニットをコアネットワークに送信する。
ステップS309:ANは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲット情報を保護する。
詳細には、ステップS309の原理については、ステップS306の関連する説明を参照されたい。
ステップS310:ANは、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信する。
ステップS311:UEは、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析する。
詳細には、ステップS311の原理については、ステップS308の関連する説明を参照されたい。
ステップS301〜S311は基本的に、説明した順序で実行することができることに留意されたい。しかしながら、一部のステップの位置を調整しても、解決法の実施に影響はない。例えば、ステップS305の後で、ステップS306の前に、ステップS309〜S311をまとめて実行してもよい。要するに、一部のステップの位置を調整した後に得られる解決法が論理的に有効であれば、その解決法は、依然として本発明のこの実施形態に属する。
当業者は、セッションの確立中にセッションに対応する初期セッションセキュリティポリシーを確立する傾向がある。ステップS301〜S311で説明した実施形態の枠組みにおいて、図8、図9、および図10に示されるいくつかのより具体的な実施形態を、初期セキュリティポリシーを参照して以下に説明する。
図8は、本発明の一実施形態によるデータ送信方法の概略フローチャートである。UEは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されるかどうかにかかわらず、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを直接保護する。これに対応して、ANは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されるかどうかにかかわらず、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを直接保護する。一例として図8を使用する。この方法は、以下のステップを含むが、これらに限定されない。
ステップS801:UEおよびCP−AUは、双方向認証を実行する。CP−AUは、双方向認証から取得した鍵K0をKMSに送信し、KMSは、K0を管理する。代替的に、KMSの機能は、CP−AUに統合されてもよい。この場合、CP−AUは、K0をKMSに送信する必要はない。K0は、認証が成功した後に直接取得される鍵であってもよいし、直接取得された鍵に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS802:KMSは、基本鍵K_ANをANに送信する。代替的に、KMSは、基本K_ANをMMに事前に送信し、その後、MMは、基本鍵K_ANをANに送信する。K_ANは、K0であってもよいし、K0に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS803:ANは、エアインタフェース保護鍵(例えば、暗号化鍵K_Anecまたは完全性保護鍵K_ANint)を取得するために、予め設定された規則に従ってK_ANに対して導出を実行する。
ステップS804:UEは、エアインタフェース保護鍵を取得するために、予め設定された規則に従ってK_ANに対して同様に導出を実行する。K_ANがK0から導出される鍵である場合、UEがK_ANを導出する方法は、KMSがK_ANを導出する方法と同じである。
ステップS805:UEは、セッションを確立するための要求を送信する。これに対応して、UEおよびコアネットワーク内のネットワーク要素は、一連のネゴシエーションを実行する。セッションのセッション識別子(session ID)、セッションに関連付けられた初期セキュリティポリシー、および初期セキュリティポリシーで定義された規則に従って生成されるセッション鍵(K_session)が、ネゴシエーション中に生成される。セッションで使用される一部の鍵の生成規則は、初期セキュリティポリシーで定義されている。コアネットワーク内のUP−GWは、セッション識別子、初期セキュリティポリシー、およびセッション鍵などの情報を取得する。
ステップS806:ANは、コアネットワーク内のSMによって送信されたセッション識別子および初期セキュリティポリシーを受信する。
ステップS807:ANは、セッション識別子および初期セキュリティポリシーをUEに送信する。
ステップS808:UEは、セッション識別子および初期セキュリティポリシーを受信する。UEとUP−GWとの間のセッションが正常に確立される。UEとUP−GWとの間に確立されるセッションは、ターゲットセッションと呼ばれる場合がある。
ステップS805〜S808においてターゲットセッションを確立するために使用されるもの以外の情報および動作はすべて任意選択である。
ステップS809:UEは、ターゲットセッションのアップリンクプロトコルデータユニットを生成する。アップリンクプロトコルデータユニットの生成中、ターゲットフィールドは、エアインタフェース保護鍵を使用することによって保護される。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS810:UEは、エアインタフェース送信技術を使用することによって、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信する。
ステップS811:ANは、エアインタフェース保護鍵を使用することによって、アップリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。例えば、ANは、暗号化鍵を使用することによって、暗号化保護下にあるターゲットフィールドを復号化する。別の例では、ANは、最初に、完全性保護鍵を使用することによって、暗号化されたターゲットフィールドの完全性を検証し、次に、エアインタフェース暗号化鍵を使用することによって、暗号化されたターゲットフィールドを復号化する。別の例では、ANは、最初に、暗号化されたターゲットフィールドを復号化し、次に、完全性保護鍵を使用することによってターゲットフィールドを検証し、ターゲットフィールドを取得する。ANは、解析された情報および他のフィールド内の情報を完全なプロトコルデータユニット内にカプセル化し、このプロトコルデータユニットをコアネットワークに送信することができる。
任意選択で、ANは、対応するエアインタフェース識別子をUEに事前に割り当て、このエアインタフェース識別子をUEに送信することができる。その後、デバイスが、アップリンクプロトコルデータユニットをANに送信するときに、UEに対応するエアインタフェース識別子を送信する場合、それは、アップリンクプロトコルデータユニットを送信するデバイスがUEであることを示す。ANは、異なるデバイスにそれぞれ対応する複数のエアインタフェース保護鍵を生成している場合がある。UEに対応するエアインタフェース保護鍵は、UEによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。別のデバイス(または別のUEと呼ばれる)に対応するエアインタフェース保護鍵は、別のデバイスによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。ANが、アップリンクプロトコルデータユニットを受信する間にUEに対応するエアインタフェース識別子を取得する場合、ANは、デバイスに対応する複数のエアインタフェース保護鍵のうちでUEに対応するエアインタフェース保護鍵を決定し、このエアインタフェース保護鍵を使用することによってUEのアップリンクプロトコルデータユニットを保護することができる。エアインタフェース識別子は、セル無線ネットワーク一時識別子(英語:Cell Radio Network Temporary Identifier、略してC−RNTI)またはキャリア周波数チャネル番号(例えば、4Gにおけるキャリア周波数チャネル番号は、英語:E−UTRA Absolute Radio Frequency Channel Number、略してEARFCNと表される)などであってもよい。
任意選択で、ANは、対応するエアインタフェース送信方法をUEに割り当て、UEが対応するエアインタフェース送信方法をUEに通知するために指示情報をUEに送信することができる。ANは、エアインタフェース送信方法を他のデバイスに割り当てることもできる。ANによって受信されたアップリンクプロトコルデータユニットのエアインタフェース送信方法が、UEに対応するエアインタフェース送信方法である場合、アップリンクプロトコルデータユニットはUEによって送信されたと判定される。したがって、UEに対応するエアインタフェース保護鍵は、アップリンクプロトコルデータユニットを保護するために事前に生成された複数のエアインタフェース保護鍵(複数のエアインタフェース保護鍵のそれぞれは1つのデバイスに対応する)から選択される。エアインタフェース送信方法は、符号分割多元接続(英語:Code Division Multiple Access、略してCDMA)技術における各ユーザ機器に対応する符号語またはエアインタフェースを介してデータを送信するためにUEによって使用される変調方式などを含む。
ステップS812:ANは、ターゲットセッションのダウンリンクプロトコルデータユニットを生成する。ダウンリンクプロトコルデータユニットの生成中、ターゲットフィールドは、エアインタフェース保護鍵を使用することによって保護される。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS813:ANは、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信する。
ステップS814:UEは、エアインタフェース保護鍵を使用することによって、ダウンリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。
任意選択で、エアインタフェース保護鍵は、セッションが確立された後に生成されてもよい。任意選択で、保護アルゴリズムおよびエアインタフェース保護鍵は、4Gにおけるエアインタフェース保護アルゴリズムのネゴシエーションメカニズムを使用することによって決定される。
図9は、本発明の一実施形態によるデータ送信方法の概略フローチャートである。UEは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを事前に判定し、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットを保護し、あるいは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されている場合、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行する。これに対応して、アクセスネットワークデバイスもまた、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを事前に判定し、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、アクセスネットワークデバイスは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットを保護するように構成され、あるいは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されている場合、アクセスネットワークデバイスは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲット情報を保護する動作を実行する。一例として図9を使用する。この方法は、以下のステップを含むが、これらに限定されない。
ステップS901:UEおよびCP−AUは、双方向認証を実行する。CP−AUは、双方向認証から取得した鍵K0をKMSに送信し、KMSは、K0を管理する。代替的に、KMSの機能は、CP−AUに統合されてもよい。この場合、CP−AUは、K0をKMSに送信する必要はない。K0は、認証が成功した後に直接取得される鍵であってもよいし、直接取得された鍵に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS902:KMSは、基本鍵K_ANをANに送信する。代替的に、KMSは、基本K_ANをMMに事前に送信し、その後、MMは、基本鍵K_ANをANに送信する。K_ANは、K0であってもよいし、K0に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS903:ANは、エアインタフェース保護鍵(例えば、暗号化鍵K_Anecまたは完全性保護鍵K_ANint)を取得するために、予め設定された規則に従ってK_ANに対して導出を実行する。
ステップS904:UEは、エアインタフェース保護鍵を取得するために、予め設定された規則に従ってK_ANに対して同様に導出を実行する。K_ANがK0から導出される鍵である場合、UEがK_ANを導出する方法は、KMSがK_ANを導出する方法と同じである。
ステップS905:UEは、セッションを確立するための要求を送信する。これに対応して、UEおよびコアネットワーク内のネットワーク要素は、一連のネゴシエーションを実行する。セッションのセッション識別子(session ID)、セッションに関連付けられた初期セキュリティポリシー、および初期セキュリティポリシーで定義された規則に従って生成されるセッション鍵(K_session)が、ネゴシエーション中に生成される。セッションで使用される一部の鍵の生成規則は、初期セキュリティポリシーで定義されている。コアネットワーク内のUP−GWは、セッション識別子、初期セキュリティポリシー、およびセッション鍵などの情報を取得する。
ステップS906:ANは、コアネットワーク内のSMによって送信されたセッション識別子および初期セキュリティポリシーを受信する。
ステップS907:ANは、セッション識別子および初期セキュリティポリシーをUEに送信する。
ステップS908:UEは、セッション識別子および初期セキュリティポリシーを受信する。UEとUP−GWとの間のセッションが正常に確立される。UEとUP−GWとの間に確立されるセッションは、ターゲットセッションと呼ばれる場合がある。
ステップS905〜S908においてターゲットセッションを確立するために使用されるもの以外の情報および動作はすべて任意選択である。
ステップS909:UEは、ターゲットセッションのアップリンクプロトコルデータユニットを生成する。アップリンクプロトコルデータユニットの生成中に、UEは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定する。一解決法では、UEは、ターゲットセッションに基づいて、ターゲットセッションに対応する初期セキュリティポリシーを決定し、次に、UEは、初期セキュリティポリシーに従って、payloadフィールドが初期セキュリティポリシーで定義された規則に従って保護されているかどうかを判定することができる。別の解決法では、UEは、アップリンクプロトコルデータユニットのデータフォーマットに基づいて、payloadフィールドが暗号化されているかどうかを直接判定することができる。鍵を使用することによって保護されたpayloadフィールドを有するアップリンクプロトコルデータユニットと、保護されていないpayloadフィールドを有するアップリンクプロトコルデータユニットとは、異なるフォーマットを有する。
payloadフィールドが保護されていない場合、UEは、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット全体を保護し、次に、アップリンクプロトコルデータユニット全体をANに送信する。これに対応して、ANは、アップリンクプロトコルデータユニット内の情報を取得するために、エアインタフェース保護鍵を使用することによって、暗号化されたアップリンクプロトコルデータユニットを解析する。
payloadフィールドが保護されている場合、UEは、エアインタフェース保護鍵を使用することによってターゲットフィールドを保護し、後続のステップS910およびS911を実行する。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS910:UEは、エアインタフェース送信技術を使用することによって、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信する。
ステップS911:ANは、エアインタフェース保護鍵を使用することによって、アップリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。例えば、ANは、暗号化鍵を使用することによって、暗号化保護下にあるターゲットフィールドを復号化する。別の例では、ANは、最初に、完全性保護鍵を使用することによって、暗号化されたターゲットフィールドの完全性を検証し、次に、エアインタフェース暗号化鍵を使用することによって、暗号化されたターゲットフィールドを復号化する。別の例では、ANは、最初に、暗号化されたターゲットフィールドを復号化し、次に、完全性保護鍵を使用することによってターゲットフィールドを検証し、ターゲットフィールドを取得する。ANは、解析された情報および他のフィールド内の情報を完全なプロトコルデータユニット内にカプセル化し、このプロトコルデータユニットをコアネットワークに送信することができる。
任意選択で、ANは、対応するエアインタフェース識別子をUEに事前に割り当て、このエアインタフェース識別子をUEに送信することができる。その後、デバイスが、アップリンクプロトコルデータユニットをANに送信するときに、UEに対応するエアインタフェース識別子を送信する場合、それは、アップリンクプロトコルデータユニットを送信するデバイスがUEであることを示す。ANは、異なるデバイスにそれぞれ対応する複数のエアインタフェース保護鍵を生成している場合がある。UEに対応するエアインタフェース保護鍵は、UEによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。別のデバイス(または別のUEと呼ばれる)に対応するエアインタフェース保護鍵は、別のデバイスによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。ANが、アップリンクプロトコルデータユニットを受信する間にUEに対応するエアインタフェース識別子を取得する場合、ANは、デバイスに対応する複数のエアインタフェース保護鍵のうちでUEに対応するエアインタフェース保護鍵を決定し、このエアインタフェース保護鍵を使用することによってUEのアップリンクプロトコルデータユニットを保護することができる。エアインタフェース識別子は、セル無線ネットワーク一時識別子(英語:Cell Radio Network Temporary Identifier、略してC−RNTI)またはキャリア周波数チャネル番号(例えば、4Gにおけるキャリア周波数チャネル番号は、英語:E−UTRA Absolute Radio Frequency Channel Number、略してEARFCNと表される)などであってもよい。
任意選択で、ANは、対応するエアインタフェース送信方法をUEに割り当て、UEが対応するエアインタフェース送信方法をUEに通知するために指示情報をUEに送信することができる。ANは、エアインタフェース送信方法を他のデバイスに割り当てることもできる。ANによって受信されたアップリンクプロトコルデータユニットのエアインタフェース送信方法が、UEに対応するエアインタフェース送信方法である場合、アップリンクプロトコルデータユニットはUEによって送信されたと判定される。したがって、UEに対応するエアインタフェース保護鍵は、アップリンクプロトコルデータユニットを保護するために事前に生成された複数のエアインタフェース保護鍵(複数のエアインタフェース保護鍵のそれぞれは1つのデバイスに対応する)から選択される。エアインタフェース送信方法は、CDMA技術における各ユーザ機器に対応する符号語またはエアインタフェースを介してデータを送信するためにUEによって使用される変調方式などを含む。
ステップS912:ANは、ターゲットセッションのダウンリンクプロトコルデータユニットを生成する。ダウンリンクプロトコルデータユニットの生成中に、ANは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定する。一解決法では、ANは、ターゲットセッションに基づいて、ターゲットセッションに対応する初期セキュリティポリシーを決定し、次に、ANは、初期セキュリティポリシーに従って、payloadフィールドが初期セキュリティポリシーで定義された規則に従って生成された鍵を使用することによって保護されているかどうかを検証することができる。別の解決法では、ANは、ダウンリンクプロトコルデータユニットのデータフォーマットに基づいて、payloadフィールドが暗号化されているかどうかを直接判定することができる。鍵を使用することによって保護されたpayloadフィールドを有するダウンリンクプロトコルデータユニットと、保護されていないpayloadフィールドを有するダウンリンクプロトコルデータユニットとは、異なるフォーマットを有する。
payloadフィールドが保護されていない場合、ANは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット全体を保護し、次に、アップリンクプロトコルデータユニット全体をUEに送信する。これに対応して、UEは、ダウンリンクプロトコルデータユニット内の情報を取得するために、エアインタフェース保護鍵を使用することによって、暗号化されたアップリンクプロトコルデータユニットを解析する。
payloadフィールドが保護されている場合、ANは、エアインタフェース保護鍵を使用することによってターゲットフィールドを保護し、後続のステップS913およびS914を実行する。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS913:ANは、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信する。
ステップS914:UEは、エアインタフェース保護鍵を使用することによって、ダウンリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。
任意選択で、エアインタフェース保護鍵は、セッションが確立された後に生成されてもよい。任意選択で、保護アルゴリズムおよびエアインタフェース保護鍵は、4Gにおけるエアインタフェース保護アルゴリズムのネゴシエーションメカニズムを使用することによって決定される。
図10は、本発明の一実施形態によるデータ送信方法の概略フローチャートである。UEおよびANは、エアインタフェース保護鍵を使用することによってプロトコルデータユニットを保護し、プロトコルデータユニットを解析するときに、対応する規則に従う必要がある。この規則は、エアインタフェースポリシーと呼ばれる場合がある。プロトコルデータユニットがエアインタフェースポリシーで定義された規則に従って保護されている場合、保護されているプロトコルデータユニットを正常に解析するために、エアインタフェースポリシーを参照して逆の動作を実行する必要があることが理解されよう。具体的には、ANがエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲット情報を保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、その場合、データ保護規則は、エアインタフェースポリシーで定義されている。UEがエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することである。UEがエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護することは、特に、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護することである。ANがエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲット情報を解析することは、特に、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲット情報を解析することである。
第1のケースでは、ANとUEとの両方がエアインタフェースポリシーを有することを保証するために、ANは、コアネットワークから初期セキュリティポリシーを受信し、ANが、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、ANが、エアインタフェースポリシーをUEに送信し、UEが、エアインタフェースポリシーを受信する、ように構成される。第2のケースでは、ANとUEとの両方がエアインタフェースポリシーを有することを保証するために、UEは、コアネットワークから初期セキュリティポリシーを受信し、UEが、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、UEが、エアインタフェースポリシーをANに送信し、ANが、エアインタフェースポリシーを受信する、ように構成される。第3のケースでは、ANは、コアネットワークから初期セキュリティポリシーを受信し、この初期セキュリティポリシーをUEに転送する。次に、UEおよびANは、UEとANとの両方がエアインタフェースポリシーを有することを保証するために、初期セキュリティポリシーに従ってエアインタフェースポリシーを別々に生成する。
各ネットワーク要素はそれぞれのセキュリティ要件を有し得ることに留意されたい。セキュリティ要件は、ネットワーク要素が許容することができる鍵アルゴリズム、ネットワーク要素が許容することができる鍵長、およびネットワーク要素が許容することができる鍵更新期間などを表す。初期セキュリティポリシーは、関連するネットワーク要素のセキュリティ要件に従ってコアネットワークによって取得される解決法であって、関連するネットワーク要素によって要求される鍵アルゴリズム、鍵長、および鍵更新期間を満たすことができる解決法である。関連するネットワーク要素(例えば、鍵管理ネットワーク要素およびモビリティ管理ネットワーク要素)は、特に、UEがネットワーク内でデータを送信するときに使用される少なくとも1つのネットワーク要素である。ターゲットセッションで使用される鍵の生成規則およびターゲットセッションの保護方法は、初期セキュリティポリシーで定義されている。ターゲットセッションは、UEとユーザプレーンゲートウェイとが相互に認証された後の、UEとユーザプレーンゲートウェイとの間のセッションである。エアインタフェースポリシーは、初期セキュリティポリシーを参照して生成される。参照方法に関しては、初期セキュリティポリシー内のパラメータ(例えば、鍵アルゴリズム)が継続して使用されてもよく、またはエアインタフェースポリシー内のパラメータを取得するために、初期セキュリティポリシー内のパラメータが調整されてもよよく、または別の方法が使用されてもよい。要するに、初期セキュリティポリシー内の情報は、エアインタフェースポリシーを取得するために使用される。一例として図10を使用する。この方法は、以下のステップを含むが、これらに限定されない。
ステップS1001:UEおよびCP−AUは、双方向認証を実行する。CP−AUは、双方向認証から取得した鍵K0をKMSに送信し、KMSは、K0を管理する。代替的に、KMSの機能は、CP−AUに統合されてもよい。この場合、CP−AUは、K0をKMSに送信する必要はない。K0は、認証が成功した後に直接取得される鍵であってもよいし、直接取得された鍵に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS1002:KMSは、基本鍵K_ANをANに送信する。代替的に、KMSは、基本K_ANをMMに事前に送信し、その後、MMは、基本鍵K_ANをANに送信する。K_ANは、K0であってもよいし、K0に対して導出を1回以上実行した後に取得される鍵であってもよい。
ステップS1003:ANは、エアインタフェース保護鍵(例えば、暗号化鍵K_Anecまたは完全性保護鍵K_ANint)を取得するために、予め設定された規則に従ってK_ANに対して導出を実行する。
ステップS1004:UEは、エアインタフェース保護鍵を取得するために、予め設定された規則に従ってK_ANに対して同様に導出を実行する。K_ANがK0から導出される鍵である場合、UEがK_ANを導出する方法は、KMSがK_ANを導出する方法と同じである。
ステップS1005:UEは、セッションを確立するための要求を送信する。これに対応して、UEおよびコアネットワーク内のネットワーク要素は、一連のネゴシエーションを実行する。セッションのセッション識別子(session ID)、セッションに関連付けられた初期セキュリティポリシー、および初期セキュリティポリシーで定義された規則に従って生成されるセッション鍵(K_session)が、ネゴシエーション中に生成される。セッションで使用される一部の鍵の生成規則は、初期セキュリティポリシーで定義されている。コアネットワーク内のUP−GWは、セッション識別子、初期セキュリティポリシー、およびセッション鍵などの情報を取得する。
ステップS1006:ANは、コアネットワーク内のSMによって送信されたセッション識別子および初期セキュリティポリシーを受信し、次に、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成する。
ステップS1007:ANは、セッション識別子、初期セキュリティポリシー、およびエアインタフェースポリシーをUEに送信する。
ステップS1008:UEは、セッション識別子、エアインタフェースポリシー、および初期セキュリティポリシーを受信する。UEとUP−GWとの間のセッションが正常に確立される。UEとUP−GWとの間に確立されるセッションは、ターゲットセッションと呼ばれる場合がある。
ステップS1009:UEは、ターゲットセッションのアップリンクプロトコルデータユニットを生成する。アップリンクプロトコルデータユニットの生成中に、UEは、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを保護する。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS1010:UEは、エアインタフェース送信技術を使用することによって、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信する。
ステップS1011:ANは、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。例えば、ANは、暗号化鍵を使用することによって、暗号化保護下にあるターゲットフィールドを復号化する。別の例では、ANは、最初に、完全性保護鍵を使用することによって、暗号化されたターゲットフィールドの完全性を検証し、次に、エアインタフェース暗号化鍵を使用することによって、暗号化されたターゲットフィールドを復号化する。別の例では、ANは、最初に、暗号化されたターゲットフィールドを復号化し、次に、完全性保護鍵を使用することによってターゲットフィールドを検証し、ターゲットフィールドを取得する。ANは、解析された情報および他のフィールド内の情報を完全なプロトコルデータユニット内にカプセル化し、このプロトコルデータユニットをコアネットワークに送信することができる。
任意選択で、ANは、対応するエアインタフェース識別子をUEに事前に割り当て、このエアインタフェース識別子をUEに送信することができる。その後、デバイスが、アップリンクプロトコルデータユニットをANに送信するときに、UEに対応するエアインタフェース識別子を送信する場合、それは、アップリンクプロトコルデータユニットを送信するデバイスがUEであることを示す。ANは、異なるデバイスにそれぞれ対応する複数のエアインタフェース保護鍵を生成している場合がある。UEに対応するエアインタフェース保護鍵は、UEによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。別のデバイス(または別のUEと呼ばれる)に対応するエアインタフェース保護鍵は、別のデバイスによって送信されるアップリンクプロトコルデータユニット内のデータを保護するために使用される。ANが、アップリンクプロトコルデータユニットを受信する間にUEに対応するエアインタフェース識別子を取得する場合、ANは、デバイスに対応する複数のエアインタフェース保護鍵のうちでUEに対応するエアインタフェース保護鍵を決定し、このエアインタフェース保護鍵を使用することによってUEのアップリンクプロトコルデータユニットを保護することができる。エアインタフェース識別子は、セル無線ネットワーク一時識別子(英語:Cell Radio Network Temporary Identifier、略してC−RNTI)またはキャリア周波数チャネル番号(例えば、4Gにおけるキャリア周波数チャネル番号は、英語:E−UTRA Absolute Radio Frequency Channel Number、略してEARFCNと表される)などであってもよい。
任意選択で、ANは、対応するエアインタフェース送信方法をUEに割り当て、UEが対応するエアインタフェース送信方法をUEに通知するために指示情報をUEに送信することができる。ANは、エアインタフェース送信方法を他のデバイスに割り当てることもできる。ANによって受信されたアップリンクプロトコルデータユニットのエアインタフェース送信方法が、UEに対応するエアインタフェース送信方法である場合、アップリンクプロトコルデータユニットはUEによって送信されたと判定される。したがって、UEに対応するエアインタフェース保護鍵は、アップリンクプロトコルデータユニットを保護するために事前に生成された複数のエアインタフェース保護鍵(複数のエアインタフェース保護鍵のそれぞれは1つのデバイスに対応する)から選択される。エアインタフェース送信方法は、CDMA技術における各ユーザ機器に対応する符号語またはエアインタフェースを介してデータを送信するためにUEによって使用される変調方式などを含む。
ステップS1012:ANは、ターゲットセッションのダウンリンクプロトコルデータユニットを生成する。ダウンリンクプロトコルデータユニットの生成中に、ANは、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを保護する。ターゲットフィールドは、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドのうちの少なくとも1つを含む。保護は、暗号化保護および完全性保護の少なくとも一方を含む。
ステップS1013:ANは、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信する。
ステップS1014:UEは、エアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドの情報を解析する。
プロトコルデータユニット(アップリンクプロトコルデータユニットおよびダウンリンクプロトコルデータユニットを含む)内で保護される必要があるコンテンツは、エアインタフェースポリシーでさらに定義することができることに留意されたい。定義される解決法は以下の通りであり得る。
第1の解決法:payloadフィールドが保護されているかどうかが判定される。payloadフィールドが保護されていない場合、プロトコルデータユニット全体が保護される。payloadフィールドが保護されている場合、ターゲットフィールドを保護する動作が実行される。
第2の解決法:payloadフィールドが保護されているかどうかにかかわらず、ターゲットフィールドを保護する動作が実行される。
任意選択の解決法では、エアインタフェース保護鍵は、セッションが確立された後に生成されてもよい。任意選択で、保護アルゴリズムおよびエアインタフェース保護鍵は、4Gにおけるエアインタフェース保護アルゴリズムのネゴシエーションメカニズムを使用することによって決定される。代替的に、エアインタフェースポリシーは、初期セキュリティポリシーに従って決定され、次に、エアインタフェース保護鍵は、エアインタフェースポリシーで定義されたセキュリティアルゴリズム識別子に基づいて生成される。代替的に、エアインタフェースポリシーは、初期セキュリティポリシーに従って決定され、エアインタフェース保護鍵は、基本鍵に基づいて生成される。
図3で説明した方法では、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
図11は、本発明の一実施形態による別のデータ送信方法の概略フローチャートである。この方法は、図3の通信システム30に基づいて実施することができ、以下のような手順を含む。
ステップS1101:UEおよびCN内の鍵管理デバイスは、双方向認証を実行する。UEとCN内の鍵管理デバイスとが相互に認証された後、UEとCN内のユーザプレーンゲートウェイUP−GWとの間にセッションが確立される。このセッションは、ターゲットセッションと呼ばれる場合がある。ターゲットセッションの確立中に、UEおよびコアネットワーク内のネットワーク要素は、一連のネゴシエーションを実行する。ターゲットセッションのセッション識別子(session ID)、セッションに関連付けられた初期セキュリティポリシー(任意選択)、および初期セキュリティポリシーで定義された規則に従って生成されるセッション鍵(K_session)が、ネゴシエーション中に生成される。もちろん、初期セキュリティポリシーが存在しない場合、セッション鍵は、別の規則に従って生成されてもよい。セッションで使用される一部の鍵の生成規則は、初期セキュリティポリシーで定義されている。コアネットワーク内のUP−GWは、セッション識別子、初期セキュリティポリシー(任意選択)、およびセッション鍵などの情報を取得する。CN内のネットワーク要素は、ターゲットセッションのセッション識別子(session ID)をUEにさらに送信する。CN内のネットワーク要素によってUEに送信されるセッション識別子は、ANを通過する。ANは、セッション識別子に基づいてターゲットセッションを判定する。
ステップS1102:ANは、ターゲットセッションに対応するターゲット識別子を生成する。
詳細には、ターゲット識別子を生成するために使用される規則は、ANおよびUEがターゲットセッションに一意に対応することができるならば、本明細書では限定されない。ターゲット識別子は、UEおよびUP−GWのアドレス(例えば、IPアドレスおよびMACアドレス)などの情報を示す必要はない。具体的には、AN(またはUE)とのネゴシエーションなしに、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、ターゲット識別子とターゲットセッションとの対応関係を知ることができない。したがって、このデバイスは、ターゲット識別子に基づいてターゲットセッションを判定することができない。ターゲット識別子は、ランダムに生成された乱数であってもよく、またはC−RNTIもしくはキャリア周波数チャネル番号(例えば、4Gにおけるキャリア周波数チャネル番号は、英語:E−UTRA Absolute Radio Frequency Channel Number、略してEARFCNと表される)などの既存の識別子であってもよい。
ステップS1103:ANは、対応情報をUEに送信する。ANは、CNがセッション識別子のシグナリングをUEに送信するときまたはCNがセッション識別子のシグナリングをUEに送信した後に、ターゲット識別子をUEに送信することができる。代替的に、ANは、ターゲット識別子およびセッション識別子を一緒にUEに送信することができ、これにより、UEは、対応関係を確認する。
詳細には、対応情報は、ターゲットセッションとターゲット識別子との対応関係を示す。
ステップS1104:UEは、対応情報を受信し、この対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認する。
ステップS1105:UEは、ターゲットセッションのアップリンクプロトコルデータユニット内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信する。任意選択で、プロトコルデータユニット内の、セッションを示すために使用される参照識別子が、ターゲット識別子と置き換えられる。
従来技術では、アップリンクプロトコルデータユニットを送信するとき、UEは、アップリンクプロトコルデータユニットがターゲットセッションに属することを示すために、特に、アップリンクプロトコルデータユニットがターゲットセッションに属することをUP−GWに通知するために、アップリンクプロトコルデータユニット内に参照識別子をカプセル化する。しかしながら、UEおよびANだけでなく、他のデバイスも、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定するために参照識別子を使用することができる。具体的には、UEおよびAN以外のデバイスは、このデバイスがアップリンクパケット内の参照識別子を傍受した後、アップリンクパケットがターゲットセッションに属することを判定することができる。参照識別子は通常、outer IP headerフィールド、encapsulation headerフィールド、およびPDU headerフィールドなどに配置される。参照識別子は、通常、ベアラ識別子(bearer ID)、フロー識別子(flow ID)、ハードウェアの媒体アクセス制御(英語:Media Access Control、略してMAC)識別子、セッション識別子、UEのIPアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークのアクセスネットワーク識別子、エンドツーエンド通信における相手方の識別子、エンドツーエンド通信における相手方のIPアドレス、QoS識別子、国際モバイル加入者識別情報(英語:International Mobile Subscriber Identity、略してIMSI)、国際モバイル機器識別情報(英語:International Mobile Equipment Identity、略してIMEI)、インターネットプロトコル(英語:Internet Protocol、略してIP) マルチメディアプライベート識別情報(英語:IP Multimedia Private Identity、略してIMPI)、IPマルチメディアパブリック識別情報(英語:IP Multimedia Public Identity、略してIMPU)、一時的モバイル加入者識別情報(英語:Temporary Mobile Subscriber Identity、略してTMSI)、携帯電話番号、またはグローバルに一意の一時的UE識別情報(英語:Globally Unique Temporary UE Identity、略してGUTI)などである。一方、ターゲット識別子は、パケットの送信元および送信先などを明確に示すことができる情報を含まない。さらに、従来技術と同様に、payloadフィールドが、アップリンクパケット内にさらに存在し、サービスデータをカプセル化するために使用される。本発明のこの実施形態では、サービスデータを処理する方法は変更しないでおいてもよい。
ステップS1106:ANは、アップリンクプロトコルデータユニットを受信する。
ステップS1107:ANは、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをコアネットワークに送信する。
詳細には、ANは、アップリンクプロトコルデータユニットを受信して解析する。例えば、ANは、アップリンクプロトコルデータユニット内のターゲット識別子を取得するためにプロトコルデータユニット内のパケットヘッダheaderフィールドの情報を解析し、次に、ターゲットセッションとターゲット識別子との予め記憶された対応関係に基づいて、アップリンクパケットがターゲットセッションに属することを判定する。したがって、ANが、アップリンクパケット内のターゲット識別子を参照識別子に置き換えるので、UP−GWは、参照識別子に基づいて、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定することができる。
ステップS1108:ANは、ユーザプレーンゲートウェイによって送信されたダウンリンクプロトコルデータユニットを受信する。
詳細には、現在の通信プロトコルで定義されている規則に従って、任意のデバイスは、ダウンリンクパケットがターゲットセッションに属することを示すために参照識別子を使用することができる。したがって、UP−GWは、ダウンリンクパケットがターゲットセッションに属することを示すために、一般規則に従ってダウンリンクプロトコルデータユニット内に参照識別子をカプセル化する。
ステップS1109:ANは、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信する。
詳細には、ANは、ダウンリンクプロトコルデータユニットを受信して解析する。ANは、参照識別子を解析するときに、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定することができる。ANは、参照識別子を、ターゲットセッションに対応するターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信する。
ステップS1110:UEは、ダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定する。
詳細には、UEは、ダウンリンクプロトコルデータユニットを受信して解析する。UEは、ダウンリンクプロトコルデータユニットからターゲット識別子を解析するときに、ダウンリンクパケットがターゲット識別子に対応するターゲットセッションに属することを判定することができる。ダウンリンクプロトコルデータユニットは通常payloadフィールドをさらに有する。サービスデータは、このフィールド内にカプセル化される。ユーザは、サービスデータに基づいて関連する動作を実行するためにサービスデータをさらに解析することができる。
図11で説明した方法では、セッション保護メカニズムは、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
前述の説明では、セッションsession送信方法が例として使用されている。エンドツーエンド保護メカニズムがUEとターゲットノードとの間で使用されるときにUEとANとの間で送信される情報の一部に対して追加の保護を提供するという考えは、ベアラベースの送信方法およびflowベースの送信方法などにも適用することができる。
以上、本発明の実施形態における方法について詳細に説明した。これに対応して、以下では、本発明の実施形態における前述の解決法のより良い実施を容易にするために、本発明の実施形態における装置を提供する。
図12は、本発明の一実施形態によるユーザ機器120の概略構成図である。ユーザ機器120は、生成ユニット1201、保護ユニット1202、および送信ユニット1203を含むことができる。これらのユニットについて以下で詳細に説明する。
生成ユニット1201は、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成され、その場合、基本鍵は、UEとコアネットワークとの間の双方向認証から生成される鍵、またはこの双方向認証から生成される鍵から導出される鍵であり、コアネットワーク内の鍵管理デバイスは、基本鍵をアクセスネットワークデバイスANに送信し、これにより、ANが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する、ように構成される。
保護ユニット1202は、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護し、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、ように構成される。
送信ユニット1203は、保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信し、これにより、ANが、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析する、ように構成される。
前述のユニットを動作させることによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、ユーザ機器は、第1の受信ユニットをさらに含む。第1の受信ユニットは、ANによって送信されるダウンリンクプロトコルデータユニットをUEによって受信し、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析し、ダウンリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによって暗号化されている、ように構成される。
別の任意選択の解決法では、第1の受信ユニットがエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、その場合、ダウンリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってANにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、保護ユニットは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護するように特に構成され、その場合、ANは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、ユーザ機器は、第2の受信ユニットをさらに含む。第2の受信ユニットは、ANによって送信されるエアインタフェースポリシーを受信し、エアインタフェースポリシーが、初期セキュリティポリシーに従ってANによって生成され、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、ように構成される。
別の任意選択の解決法では、ユーザ機器は、判定ユニットをさらに含む。判定ユニットは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定し、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットを保護するように保護ユニットをトリガし、あるいは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されている場合、UEによってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する動作を実行するように保護ユニットをトリガする、ように構成される。
別の任意選択の解決法では、エアインタフェース保護鍵は、暗号化鍵および完全性保護鍵のうちの少なくとも一方を含む。
別の任意選択の解決法では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
別の任意選択の解決法では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
ユニットの特定の実施態様については、図3、図8、図9、および図10に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図12で説明したユーザ機器では、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
図13は、本発明の一実施形態によるアクセスネットワークデバイス130の概略構成図である。アクセスネットワークデバイス130は、第1の受信ユニット1301、生成ユニット1302、および第2の受信ユニット1303を含むことができる。これらのユニットについて以下で詳細に説明する。
第1の受信ユニット1301は、コアネットワーク内の鍵管理デバイスによって送信される基本鍵を受信し、基本鍵が、ユーザ機器UEとコアネットワークとの間の双方向認証から生成される鍵、またはこの双方向認証から生成される鍵から導出される鍵であり、UEが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される、ように構成される。
生成ユニット1302は、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される。
第2の受信ユニット1303は、UEによって送信されるアップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析し、アップリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによってUEにより保護されており、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、ように構成される。
前述のユニットを動作させることによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、アクセスネットワークデバイスは、保護ユニットをさらに含む。保護ユニットは、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護し、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析する、ように構成される。
別の任意選択の解決法では、アクセスネットワークデバイスは、判定ユニットをさらに含む。判定ユニットは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定し、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットを保護するように保護ユニットをトリガし、あるいは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されている場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行するように保護ユニットをトリガする、ように構成される。
別の任意選択の解決法では、保護ユニットがエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、その場合、UEは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、第2の受信ユニットがエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、
事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、その場合、アップリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってUEにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、アクセスネットワークデバイスは、
コアネットワークから初期セキュリティポリシーを受信するように構成される第3の受信ユニットであって、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、第3の受信ユニットと、
初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、エアインタフェースポリシーをUEに送信するように構成される送信ユニットと
をさらに含む。
別の任意選択の解決法では、エアインタフェース保護鍵は、暗号化鍵および完全性保護鍵のうちの少なくとも一方を含む。
別の任意選択の解決法では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
別の任意選択の解決法では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
ユニットの特定の実施態様については、図3、図8、図9、および図10に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図13で説明したアクセスネットワークデバイスでは、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
図14は、本発明の一実施形態による別のユーザ機器140の概略構成図である。ユーザ機器140は、第1の受信ユニット1401およびカプセル化ユニット1402を含むことができる。これらのユニットについて以下で詳細に説明する。
第1の受信ユニット1401は、アクセスネットワークデバイスANによって送信される対応情報を受信し、この対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認し、ターゲット識別子が、ANによって生成され、ターゲットセッションが、UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、ように構成される。
カプセル化ユニット1402は、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信するように構成され、その場合、ANは、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信するように構成され、参照識別子は、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される。
前述のユニットを動作させることによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、ユーザ機器は、第2の受信ユニットをさらに含む。第2の受信ユニットは、ANによって送信されるダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定するように構成され、その場合、ANは、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが受信されたときに、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するように構成され、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットは、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む。
別の任意選択の解決法では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
別の任意選択の解決法では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
ユニットの特定の実施態様については、図11に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図14で説明したユーザ機器では、セッション保護メカニズムは、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
図15は、本発明の一実施形態による別のアクセスネットワークデバイス150の概略構成図である。アクセスネットワークデバイス150は、生成ユニット1501と、第1の送信ユニット1502と、第1の受信ユニット1503と、置換ユニット1504とを含むことができる。これらのユニットについて以下で詳細に説明する。
生成ユニット1501は、ターゲットセッションに対応するターゲット識別子を生成し、ターゲットセッションが、ユーザ機器UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、ように構成される。
第1の送信ユニット1502は、対応情報をUEに送信し、これにより、UEが、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、対応情報が、ターゲットセッションとターゲット識別子との対応関係を示す、ように構成される。
第1の受信ユニット1503は、UEによって送信される、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットを受信するように構成される。
置換ユニット1504は、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信し、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、ように構成される。
前述のユニットを動作させることによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、アクセスネットワークデバイスは、
ターゲットノードによって送信されるダウンリンクプロトコルデータユニットを受信するように構成される第2の受信ユニットであって、ダウンリンクプロトコルデータユニットが、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、第2の受信ユニットと、
第2の送信ユニットであって、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定する、ように構成される第2の送信ユニットと
をさらに含む。
別の任意選択の解決法では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
別の任意選択の解決法では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
ユニットの特定の実施態様については、図12に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図15で説明したアクセスネットワークデバイスでは、セッション保護メカニズムは、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
図16は、本発明の一実施形態によるユーザ機器160を示す。ユーザ機器160は、プロセッサ1601、メモリ1602、および送受信機1603を含む。プロセッサ1601、メモリ1602、および送受信機1603は、バスを使用することによって互いに接続される。
メモリ1602としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROMまたはフラッシュメモリ)、または持ち運びできる読み出し専用メモリ(CD−ROM)が挙げられるが、これらに限定されない。メモリ1602は、関連する命令およびデータのために使用される。
送受信機1603は、受信機および送信機、例えば無線周波数モジュールを含むことができる。プロセッサ1601が以下で説明されるプロトコルデータユニットを受信または送信することは、特に、プロセッサ1601が送受信機を使用することによってプロトコルデータユニットを受信または送信することとして理解することができる。
プロセッサ1601は、1つ以上の中央処理装置(英語:Central Processing Unit、略してCPU)であってもよい。プロセッサ1601が1つのCPUを有する場合、そのCPUは、シングルコアCPUであっても、マルチコアCPUであってもよい。
ユーザ機器160のプロセッサ1601は、以下の動作、すなわち、
エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する動作であって、基本鍵が、UEとコアネットワークとの間の双方向認証から生成される鍵、またはこの双方向認証から生成される鍵から導出される鍵であり、コアネットワーク内の鍵管理デバイスが、基本鍵をアクセスネットワークデバイスANに送信し、これにより、ANが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する、ように構成される、動作と、
エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する動作であって、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、動作と、
保護されたターゲットフィールドを有するアップリンクプロトコルデータユニットをANに送信する動作であって、これにより、ANが、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析する、動作と
を実行するために、メモリ1602に記憶されているプログラムコードを読み出すように構成される。
前述の動作を実行することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理した後に、プロセッサ1601は、ANによって送信されるダウンリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析し、ダウンリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによって暗号化されている、ようにさらに構成される。
別の任意選択の解決法では、プロセッサ1601がエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、その場合、ダウンリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってANにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、プロセッサ1601がエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護することは、特に、
事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、その場合、ANは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、プロセッサ1601は、ANによって送信されるエアインタフェースポリシーを受信し、エアインタフェースポリシーが、初期セキュリティポリシーに従ってANによって生成され、ターゲットセッションで使用される鍵の生成規則が、初期セキュリティポリシーで定義されており、ターゲットセッションが、ターゲットノードとUEとの間のセッションである、ようにさらに構成される。
別の任意選択の解決法では、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する前に、プロセッサ1601は、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定し、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニットを保護し、あるいは、アップリンクプロトコルデータユニット内のpayloadフィールドが保護されている場合、エアインタフェース保護鍵を使用することによってUEによりアップリンクプロトコルデータユニットPDU内のターゲットフィールドを保護する動作を実行するようにさらに構成される。
別の任意選択の解決法では、エアインタフェース保護鍵は、暗号化鍵および完全性保護鍵のうちの少なくとも一方を含む。
別の任意選択の解決法では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
別の任意選択の解決法では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
動作の特定の実施態様については、図3、図8、図9、および図10に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図16で説明したユーザ機器では、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
図17は、本発明の一実施形態によるアクセスネットワークデバイス170を示す。アクセスネットワークデバイス170は、プロセッサ1701、メモリ1702、および送受信機1703を含む。プロセッサ1701、メモリ1702、および送受信機1703は、バスを使用することによって互いに接続される。
メモリ1702としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROMまたはフラッシュメモリ)、または持ち運びできる読み出し専用メモリ(CD−ROM)が挙げられるが、これらに限定されない。メモリ1702は、関連する命令およびデータのために使用される。
送受信機1703は、受信機および送信機、例えば無線周波数モジュールを含むことができる。プロセッサ1701が以下で説明されるプロトコルデータユニットを受信または送信することは、特に、プロセッサ1701が送受信機を使用することによってプロトコルデータユニットを受信または送信することとして理解することができる。
プロセッサ1701は、1つ以上の中央処理装置(英語:Central Processing Unit、略してCPU)であってもよい。プロセッサ1701が1つのCPUを有する場合、そのCPUは、シングルコアCPUであっても、マルチコアCPUであってもよい。
アクセスネットワークデバイス170のプロセッサ1701は、以下の動作、すなわち、
コアネットワーク内の鍵管理デバイスによって送信される基本鍵を受信する動作であって、基本鍵が、ユーザ機器UEとコアネットワークとの間の双方向認証から生成される鍵、またはこの双方向認証から生成される鍵から導出される鍵であり、UEが、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理するように構成される、動作と、
エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理する動作と、
UEによって送信されるアップリンクプロトコルデータユニットを受信し、エアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析する動作であって、アップリンクプロトコルデータユニット内のターゲットフィールドが、エアインタフェース保護鍵を使用することによってUEにより保護されており、ターゲットフィールドが、UEとターゲットノードとの間のセッションを識別するために使用される情報を含み、ターゲットノードとUEとの間のセッションのデータは、送信中にANを通過する必要がある、動作と
を実行するために、メモリ1702に記憶されているプログラムコードを読み出すように構成される。
前述の動作を実行することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、エアインタフェース保護鍵を生成するために、予め設定された規則に従って基本鍵を処理した後に、プロセッサ1701は、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護し、保護されたターゲットフィールドを有するダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析する、ようにさらに構成される。
別の任意選択の解決法では、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護する前に、プロセッサは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されているかどうかを判定し、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニットを保護し、あるいは、ダウンリンクプロトコルデータユニット内のpayloadフィールドが保護されていない場合、エアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護する動作を実行するようにさらに構成される。
別の任意選択の解決法では、プロセッサ1701がエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを保護することであり、その場合、UEは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってダウンリンクプロトコルデータユニット内のターゲットフィールドを解析するように構成され、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、プロセッサがエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することは、特に、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってアップリンクプロトコルデータユニット内のターゲットフィールドを解析することであり、その場合、アップリンクプロトコルデータユニット内のターゲットフィールドは、事前に取得されたエアインタフェースポリシーで定義された規則に従ってエアインタフェース保護鍵を使用することによってUEにより保護されており、鍵の使用規則は、エアインタフェースポリシーで定義されている。
別の任意選択の解決法では、プロセッサは、ターゲットセッションで使用される鍵の生成規則が初期セキュリティポリシーで定義されており、ターゲットセッションがターゲットノードとUEとの間のセッションである場合において、コアネットワークから初期セキュリティポリシーを受信し、初期セキュリティポリシーに従ってエアインタフェースポリシーを生成し、エアインタフェースポリシーをUEに送信するようにさらに構成される。
別の任意選択の解決法では、エアインタフェース保護鍵は、暗号化鍵および完全性保護鍵のうちの少なくとも一方を含む。
別の任意選択の解決法では、ターゲットフィールドは、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つを含む。
別の任意選択の解決法では、UEとターゲットノードとの間のセッションを識別するために使用される情報は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
動作の特定の実施態様については、図3、図8、図9、および図10に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図17で説明したアクセスネットワークデバイスでは、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
図18は、本発明の一実施形態によるユーザ機器180を示す。ユーザ機器180は、プロセッサ1801、メモリ1802、および送受信機1803を含む。プロセッサ1801、メモリ1802、および送受信機1803は、バスを使用することによって互いに接続される。
メモリ1802としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROMまたはフラッシュメモリ)、または持ち運びできる読み出し専用メモリ(CD−ROM)が挙げられるが、これらに限定されない。メモリ1802は、関連する命令およびデータのために使用される。
送受信機1803は、受信機および送信機、例えば無線周波数モジュールを含むことができる。プロセッサ1801が以下で説明されるプロトコルデータユニットを受信または送信することは、特に、プロセッサ1801が送受信機を使用することによってプロトコルデータユニットを受信または送信することとして理解することができる。
プロセッサ1801は、1つ以上の中央処理装置(英語:Central Processing Unit、略してCPU)であってもよい。プロセッサ1801が1つのCPUを有する場合、そのCPUは、シングルコアCPUであっても、マルチコアCPUであってもよい。
ユーザ機器180のプロセッサ1801は、以下の動作、すなわち、
アクセスネットワークデバイスANによって送信される対応情報を受信し、この対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認する動作であって、ターゲット識別子が、ANによって生成され、ターゲットセッションが、UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、動作と、
ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットをANに送信する動作であって、ANが、アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信するように構成され、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、動作と
を実行するために、メモリ1802に記憶されているプログラムコードを読み出すように構成される。
前述の動作を実行することによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、アクセスネットワークデバイスANによって送信される対応情報を受信し、この対応情報に基づいて、ターゲットセッションがターゲット識別子に対応することを確認した後に、プロセッサ1801は、ANによって送信されるダウンリンクプロトコルデータユニットを受信し、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定するようにさらに構成され、その場合、ANは、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットが受信されたときに、ダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信するように構成され、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットは、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む。
別の任意選択の解決法では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
別の任意選択の解決法では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
動作の特定の実施態様については、図11に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図18で説明したユーザ機器では、セッション保護メカニズムは、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
図19は、本発明の一実施形態によるアクセスネットワークデバイス190を示す。アクセスネットワークデバイス190は、プロセッサ1901、メモリ1902、および送受信機1903を含む。プロセッサ1901、メモリ1902、および送受信機1903は、バスを使用することによって互いに接続される。
メモリ1902としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROMまたはフラッシュメモリ)、または持ち運びできる読み出し専用メモリ(CD−ROM)が挙げられるが、これらに限定されない。メモリ1902は、関連する命令およびデータのために使用される。
送受信機1903は、受信機および送信機、例えば無線周波数モジュールを含むことができる。プロセッサ1901が以下で説明されるプロトコルデータユニットを受信または送信することは、特に、プロセッサ1901が送受信機を使用することによってプロトコルデータユニットを受信または送信することとして理解することができる。
プロセッサ1901は、1つ以上の中央処理装置(英語:Central Processing Unit、略してCPU)であってもよい。プロセッサ1901が1つのCPUを有する場合、そのCPUは、シングルコアCPUであっても、マルチコアCPUであってもよい。
アクセスネットワークデバイス190のプロセッサ1901は、以下の動作、すなわち、
ターゲットセッションに対応するターゲット識別子を生成する動作であって、ターゲットセッションが、ユーザ機器UEとターゲットノードとの間のセッションであり、ターゲットセッションのデータは、送信中にANを通過する必要がある、動作と、
対応情報をUEに送信する動作であって、これにより、UEが、ターゲットセッションのアップリンクプロトコルデータユニットPDU内にターゲット識別子をカプセル化し、対応情報が、ターゲットセッションとターゲット識別子との対応関係を示す、動作と、
UEによって送信される、カプセル化されたターゲット識別子を有するアップリンクプロトコルデータユニットを受信する動作と、
アップリンクプロトコルデータユニット内のターゲット識別子を参照識別子に置き換え、置き換え後に取得されたアップリンクプロトコルデータユニットをターゲットノードに送信する動作であって、参照識別子が、アップリンクプロトコルデータユニットがターゲットセッションに属することを判定する目的でターゲットノードのために使用される、動作と
を実行するために、メモリ1902に記憶されているプログラムコードを読み出すように構成される。
前述の動作を実行することによって、セッション保護メカニズムが、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
任意選択の解決法では、対応情報をUEに送信した後に、プロセッサ1901は、
ダウンリンクプロトコルデータユニットがターゲットセッションに属することを示す参照識別子を含む、ターゲットノードによって送信されるダウンリンクプロトコルデータユニットを受信し、
ANによってダウンリンクプロトコルデータユニット内の参照識別子をターゲット識別子に置き換え、置き換え後に取得されたダウンリンクプロトコルデータユニットをUEに送信し、これにより、UEが、ターゲット識別子に基づいて、ダウンリンクプロトコルデータユニットがターゲットセッションに属することを判定する、
ようにさらに構成される。
別の任意選択の解決法では、参照識別子は、外部IPヘッダouter IP headerフィールド、カプセル化ヘッダencapsulation headerフィールド、およびプロトコルデータユニットヘッダPDU headerフィールドのうちの少なくとも1つにおいてカプセル化される。
別の任意選択の解決法では、参照識別子は、ベアラ識別子、フロー識別子、ハードウェアの媒体アクセス制御識別子、セッション識別子、UEのインターネットプロトコルアドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークデバイスが接続されるアクセスネットワークのアクセスネットワーク識別子、UEのIPアドレス、サービス品質識別子、国際モバイル加入者識別情報、国際モバイル機器識別情報、インターネットプロトコルマルチメディアプライベート識別情報、IPマルチメディアパブリック識別情報、一時的モバイル加入者識別情報、UEの携帯電話番号、およびUEのグローバルに一意の一時的ユーザ機器識別情報のうちの少なくとも1つを含む。
別の任意選択の解決法では、ターゲットノードは、コアネットワーク内のユーザプレーンゲートウェイ、またはコアネットワーク内のサービスサーバ、またはコアネットワーク内のネットワーク要素との通信接続を確立している、インターネット上のサーバを含む。
動作の特定の実施態様については、図11に対応して示されている方法の実施形態の対応する説明をさらに参照することに留意されたい。
図19で説明したアクセスネットワークデバイスでは、セッション保護メカニズムは、UEとANとの間のエアインタフェース送信段階で設定される。具体的には、UEとUP−GWとの間にターゲットセッションが確立された後に、ANおよびUEは、ターゲットセッションを識別するために使用されるターゲット識別子について合意する。エアインタフェース段階における後続のパケットの送信中に、ターゲット識別子は、パケットがターゲットセッションからのものであることを示すためにパケット内で使用される。ターゲット識別子は、コアネットワークとの通信中に参照識別子(ANおよびUE以外のデバイスも参照識別子を使用することによってターゲットセッションを判定することができる)に置き換えられる。このようにして、ANおよびUE以外のデバイスは、このデバイスがターゲット識別子を傍受したとしても、パケットがターゲットセッションに属することを推定することができないため、セッションが攻撃されるのが防止される。
最後に、本発明の実施形態を実施することによって、UEおよびANは、エアインタフェース保護鍵を事前にネゴシエートし、次に、プロトコルデータユニットに含まれるフィールドであって、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を含むフィールドを保護するためにエアインタフェース保護鍵を使用し、このため、攻撃者は、エアインタフェース段階において、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報を容易に取得することができず、攻撃者は、この情報に基づいてセッションを判定することができないため、セッションが攻撃されるのが防止される。
当業者であれば、実施形態における方法のプロセスの全部または一部が、関連するハードウェアに命令するコンピュータプログラムによって実施され得ることを理解することができる。プログラムは、コンピュータ可読記憶媒体に記憶されてもよい。プログラムが実行されると、実施形態における方法のプロセスが実行され得る。前述の記憶媒体は、ROM、RAM、磁気ディスク、または光ディスクなどの、プログラムコードを記憶することができる任意の媒体を含む。
ワイヤレス通信技術は人々の生活において不可欠なものになっている。通信が便利になる一方で、潜在的なセキュリティおよびプライバシーのリスクがある。エアインタフェース送信は、ワイヤレス通信の重要な特徴である。対応する保護メカニズムは、送信されるコンテンツを盗聴から保護するために、エアインタフェースを介して送信されるコンテンツを暗号化するように構築される必要がある。ロングタームエボリューション(Long Term Evolution、LTE)において、ユーザ機器(User Equipment、UE)からInternetへの情報のためのセキュリティ保護メカニズムは、hop−by−hopメカニズムである。具体的には、セッションのすべての情報が、保護のためにセグメントごとに暗号化される。しかしながら、中間ノードであって、これを介して情報が送信される中間ノードは、情報の平文を取得することができる。このため、中間ノードによる盗聴から情報を保護することができない。当業者は、中間ノードによる盗聴から保護するためのエンドツーエンド保護メカニズムを提案している。エンドツーエンド保護メカニズムは、例えば、UEとコアネットワーク(core network、CN)との間のエンドツーエンド保護メカニズムおよびUEとInternetサーバとの間のエンドツーエンド保護メカニズムである。
UEとCNとの間のエンドツーエンド保護メカニズムは、詳細には以下の通りである。セッションデータがUEとCN内のネットワーク要素(例えば、制御ネットワーク要素、事業者サーバ、またはユーザプレーンゲートウェイ)との間で送信されるとき、アップリンクプロトコルデータユニット(Protocol data unit、PDU)は、UEによって直接暗号化され、CN内のネットワーク要素によって直接復号化され、ダウンリンクプロトコルデータユニットは、CN内のネットワーク要素によって直接暗号化され、UEによって直接復号化される。アップリンクプロトコルデータユニットおよびダウンリンクプロトコルデータユニットは、UEとCNとの間の中間ノード(例えば、アクセスネットワーク(Access Network、AN))によって暗号化および復号化されることなく送信され得るため、中間ノードによる傍受は回避される。図1は、従来技術におけるエンドツーエンド保護メカニズムのシナリオの概略図である。図1は、UE、AN、制御プレーン認証ユニット(Control Plane−Authentication Unit、CP−AU)、ユーザプレーンゲートウェイ(User Plane−Gateway、UP−GW)、およびInternetサーバを示す。ネットワークにおけるUEの通信手順は以下の通りである。
UEは、携帯電話およびスマートウォッチなどのスマートデバイスであってもよいし、サーバ、ゲートウェイ、基地局、またはコントローラなどの通信デバイスであってもよいし、センサ、電力メータ、および水道メータなどのモノのインターネット(Internet of thing、IoT)のデバイスであってもよいし、セルラーネットワークまたは有線ネットワークに接続することができる別のデバイスであってもよい。
暗号化保護:USER1およびUSER2は、共有鍵Kを共有する。User1は、共有鍵Kを使用することによってメッセージmを暗号化する。これは、ciphtext=En_K_(m)と表すことができる。次に、USER1は、暗号化されたメッセージmをUSER2に送信する。USER2は、共有鍵Kおよびciphertextを使用することによってmを復元することができる。これは、m=decrypt(K,ciphtext)と表すことができる。暗号化保護に選択することができるアルゴリズムとしては、高度暗号化標準(Advanced Encryption Standard、AES)、トリプルデータ暗号化アルゴリズム(Triple Data Encryption Algorithm、TDEA、3DESとも呼ばれる)、Blowfish、Serpent、Snow 3G、ZUC、HC−256、およびGrainなどが挙げられる。
完全性保護:USER1およびUSER2は、共有鍵Kを共有する。USER1は、共有鍵Kを使用することによってメッセージmのメッセージ認証コード(英語:message Authentication code、略してMAC)を計算する。これは、MAC1=MAC_K_(m)と表すことができる。具体的には、メッセージmに対応するメッセージ認証コードMAC1は、共有鍵Kを使用することによって計算される。次に、USER1は、メッセージ認証コードMAC1およびメッセージmをUSER2に送信する。USER2は、MAC1およびメッセージmを受信し、次に、共有鍵Kおよびメッセージmを使用することによってMAC1の正当性を検証する。MAC1の正当性が検証されたら、それは、メッセージが改ざんされていないことを示す。完全性保護に使用されるアルゴリズムとしては、ハッシュ演算メッセージ認証コード(Hash−based Message Authentication Code、HMAC)アルゴリズム(例えば、HMAC−sha256)、1鍵メッセージ認証コード(one−key MAC、OMAC)、暗号ブロック連鎖メッセージ認証コード(cipher block chaining message authentication code、CBC−MAC)、並列化可能メッセージ認証コード(Parallelizable MAC、PMAC)、およびユニバーサルハッシングに基づくメッセージ認証コード(message authentication code based on universal hashing、UMAC)などが挙げられる。保護方法が暗号化保護を含む場合、後続の解析方法は復号化を含む。保護方法が完全性保護を含む場合、後続の解析方法は完全性検証を含む。
ターゲットフィールドは、UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される参照識別子を含む。参照識別子は通常、外部IPヘッダ(outer IP header)フィールド、カプセル化ヘッダ(encapsulation header)フィールド、およびプロトコルデータユニットヘッダ(PDU header)フィールドなどに配置される。参照識別子は、通常、ベアラ識別子(bearer ID)、フロー識別子(flow ID)、ハードウェアの媒体アクセス制御(Media Access Control、MAC)識別子、セッション識別子、UEのインターネットプロトコル(Internet Protocol、IP)アドレス、アクセスネットワークデバイスのIPアドレス、アクセスネットワークのアクセスネットワーク識別子、エンドツーエンド通信における相手方の識別子、エンドツーエンド通信における相手方のIPアドレス、サービス品質(Quality of Service、QoS)識別子、国際モバイル加入者識別情報(International Mobile Subscriber Identity、IMSI)、国際モバイル機器識別情報(International Mobile Equipment Identity、IMEI)、インターネットプロトコル(Internet Protocol、IP) マルチメディアプライベート識別情報(IP Multimedia Private Identity、IMPI)、IPマルチメディアパブリック識別情報(IP Multimedia Public Identity、IMPU)、一時的モバイル加入者識別情報(Temporary Mobile Subscriber Identity、TMSI)、携帯電話番号、またはグローバルに一意の一時的UE識別情報(Globally Unique Temporary UE Identity、GUTI)などである。UEとコアネットワーク内のユーザプレーンゲートウェイとの間のセッションを識別するために使用される情報は、異なるセッションデータ送信モードでは異なるフィールドに配置されてもよい。いくつかのセッションデータ送信モードを例として以下に挙げる。モード1:図4に示すように、セッションは、サービス品質クラス(QoS class)に基づくクラスベースの送信を含む。プロトコルデータユニット(英語:Protocol data unit、略してPDU)は、L1/L2ヘッダ(L1/L2 header)フィールド、外部IPヘッダ(Outer IP header)フィールド、カプセル化ヘッダ(Encapsulation header)フィールド、プロトコルデータユニットヘッダ(PDU header)フィールド、およびプロトコルデータユニットペイロード(PDU payload)フィールドを含む。プロトコルデータユニットが属するセッションは、Outer IP headerフィールドおよびEncapsulation headerフィールドによって一緒に示される。具体的には、参照識別子は、Outer IP headerフィールドおよびEncapsulation headerフィールドに配置される。モード2:図5に示すように、セッションは、プロトコルデータユニットセッション(PDU session)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、Outer IP headerフィールド、Encapsulation headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、Encapsulation headerフィールドによって示される。具体的には、参照識別子は、Encapsulation headerフィールドに配置される。モード3:図6に示すように、セッションは、ノードレベルセッションごと(Per Node−level tunnel)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、Outer IP headerフィールド、Encapsulation headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、PDU headerフィールドによって示される。具体的には、参照識別子は、PDU headerに配置される。モード4:図7に示すように、セッションは、ソフトウェア定義のネットワーキングベースのアプローチ(SDN−based Approach)に基づくクラスベースの送信を含む。プロトコルデータユニットは、L1/L2 headerフィールド、PDU headerフィールド、およびPDU payloadフィールドを含む。プロトコルデータユニットが属するセッションは、PDU headerフィールドによって示される。具体的には、参照識別子は、PDU headerに配置される。