JP5112864B2 - パケット・データ通信における暗号化されたデータ・フローのベアラ制御 - Google Patents

パケット・データ通信における暗号化されたデータ・フローのベアラ制御 Download PDF

Info

Publication number
JP5112864B2
JP5112864B2 JP2007521671A JP2007521671A JP5112864B2 JP 5112864 B2 JP5112864 B2 JP 5112864B2 JP 2007521671 A JP2007521671 A JP 2007521671A JP 2007521671 A JP2007521671 A JP 2007521671A JP 5112864 B2 JP5112864 B2 JP 5112864B2
Authority
JP
Japan
Prior art keywords
communication session
index
message
signaling message
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007521671A
Other languages
English (en)
Other versions
JP2008507209A (ja
Inventor
マヘンドラン、アルングンドラム・シー.
シュ、レイモンド・ター−シェン
ワン、ジュン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2008507209A publication Critical patent/JP2008507209A/ja
Application granted granted Critical
Publication of JP5112864B2 publication Critical patent/JP5112864B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

特許に関する本出願は、米国特許仮出願番号第60/588,664号、名称“移動体IPの同じ場所に配置された気付アドレスに対するベアラ制御に基づくサービス(Service Based Bearer Control for Mobile IP Co-located Care of Address)”、2004年7月15日出願、に優先権を主張し、そして本出願の譲受人に譲渡されそしてその全体が引用によってここに取り込まれている。
本発明は、一般にパケット・データ通信に係り、そして特に、パケット・データ通信の間のパケット・データ・フローをモニタすること及び制御することに関する。
ネットワークを相互接続することは、情報が地理的な距離に無関係に迅速にアクセスされることをグローバルに可能にする。図1は、ネットワークのグローバルな接続の単純化した概要図を示し、一般にインターネットと呼ばれ参照番号20によって表示されている。インターネット20は、一緒にリンクされた異なるレベルの階層を有する本質的に複数のネットワークである。インターネット20は、IETF(Internet Engineering Task Force:インターネット技術タスク・フォース)によって公表されたIP(Internet Protocol;インターネット・プロトコル)の下で運用される。IPの詳細は、IETFによって発行されたRFC(Request for Comments:コメントの要請)791の中に見つけられることができる。
インターネット20に接続されたものは、様々な独立したネットワークであり、ネットワークのサイズに応じて時にはLAN(Local Area Network:ローカル・エリア・ネットワーク)又はWAN(Wide Area Network:広域ネットワーク)と呼ばれる。図1に示されたものは、複数のそのようなネットワーク22,24及び26である。
各々のネットワーク22,24及び26の内部には、互いに接続されそして通信している装置の種々の部品がある。例は、少しだけ名前を上げると、コンピュータ、プリンタ、及びサーバである。装置の各部品は、固有のハードウェア・アドレスを有し、MAC(Media Access Control:媒体アクセス制御)アドレスと一般に呼ばれる。MACアドレスを有する装置の部品は、時にはノードと呼ばれる。ノードがインターネット20を介して自分自身のネットワークを越えて通信する場合に、IPアドレスがノードに指定される必要がある。
IPアドレスの指定は、手動で又は自動であり得る。IPアドレスの手動指定は、例えば、ネットワーク管理者によって実行されることができる。より頻繁に、IPアドレスは、自動的に指定される。例えば、LANにおいて、IPアドレスは、ノードのLANの内部に存在しているDHCP(Dynamic Host Control Protocol:ダイナミック・ホスト制御プロトコル)サーバ(図示されず)と呼ばれるサーバによって指定されることができる。その上、無線技術をサポートするWANにおいて、IPアドレスは、自動的にそして遠隔で指定されることができる。
ここで図1に戻って、一例として、ネットワーク22内のノード30がネットワーク24内の別の1つのノード34にデータ・パケットを送ろうと試みると仮定する。IPの下では、各データ・パケットは、ソース・アドレス及び宛て先アドレスを有することが必要である。このケースでは、ソース・アドレスは、ネットワーク22内のノード30のアドレスである。宛て先アドレスは、ネットワーク24内のノード34のアドレスである。その様な方法で運用されると、ノード30及び34は、単純IP搬送(Simple IP transport)モードの下で通信していると言われ、そこでは両方のノード30及び34は、IPを符合させるためにデータ・パケットの交換の際にそれら自身のIPアドレスを単純に使用する。
無線技術の到来は、ノードが最初に登録したネットワークから別の1つのネットワークにノードが動いて離れることを可能にする。例えば、図1に戻って参照すると、ネットワーク22に恒久的に配線される代わりに、ノード30は、PDA(Personal Device Assistant:個人デバイス補助装置)、セルラ電話機、又は携帯型コンピュータのような、無線デバイスであり得る。無線ノード30は、自身のホーム・ネットワーク22の境界を越えて移動できる。したがって、ノード30は、ホーム・ネットワーク22から外部のネットワーク26に移動して離れることができる。そのようなシナリオの下で、ノード30に指定された最初のアドレスは、それ以上ノード30に適用できないはずである。そのようにして、ノード30のそのアドレスに宛てられたデータ・パケットは、ノード30に到達できないことがある。
IETFによって発表された移動体IP(Mobile Internet Protocol)は、ノード可動性問題を取り扱うように意図されている。IETFによって発行されたRFC2002にしたがって、ホーム・ネットワーク22から離れてそして別の1つのネットワークに移動する時はいつでも、ノード30は、“気付アドレス”を指定され、CoA(Care-of Address)と省略される。
RFC2002の下で、2つのタイプのCoA、すなわち、FA CoA(Foreign Agent Care-of Address:外部エージェント気付けアドレス)及びCCoA(Co-located Care of Address:同じ場所に配置された気付けアドレス)、がある。
FA CoAは、本質的にFA(Foreign Agent:外部エージェント)のアドレスであり、FAは、ノード30がそこに位置している外部のネットワーク内の指定されたサーバである。FA CoAの使用は、IPv4において適用可能である。
CCoAは、固有のものであるが、外部のネットワークによってノード30に指定される臨時のアドレスである。CCoAの使用は、IPv4及びIPv6の両方に適用可能である。
いずれのケースでも、ノード30が外部の領域にいるときはいつでも、ノード30は、自分のホーム・ネットワーク22とともに、FA CoA又はCCoAであるCoAを登録する必要があり、その結果、ホーム・ネットワーク22は、ノード30の所在を常に知る。登録の後で、CoAは、ホーム・ネットワーク22のHA(Home Agent:ホーム・エージェント)25と呼ばれる指定されたサーバによって維持管理されるルーチン・テーブルの中に記憶される。
説明のために2,3の例をあげる。
FA CoAのケースに関して、ノード30が外部のネットワーク26の中へと移動すると仮定する。外部のネットワーク26の領域の境界に到達すると、ノード30は、ノード30が外部の領域にいることを知らせる外部のネットワーク26からの忠告メッセージを受け取る。忠告メッセージから、ノード30は、外部のネットワーク26のFA36のアドレスを知る。ノード30は、それからホーム・ネットワーク22内のHA25とともにFA CoAを登録する。
例えば、ネットワーク24内のノード34のアドレスを知っているネットワーク24内のノード34に、外部のネットワーク26内のノード30がデータ・パケットを送る場合に、データ・パケットは、簡単に送られることができる。すなわち、IPにしたがって、データ・パケットにおいて、ソース・アドレスは、ノード30のHoAに設定されることができ、そして宛て先アドレスは、ネットワーク24内のノード34のアドレスに設定されることができる。データ・パケットの方向は、図1に示されたデータ・パス38として示される。
逆方向データ・トラフィックに関して、簡単ではない。逆方向データ・ルートにおいて、ネットワーク24内のノード34が、上に述べたように現在は外部のネットワーク26内にいるノード30にデータ・パケットを送ろうと試みる場合に、IPにしたがって、ソース・アドレス及び宛て先アドレスの両方が、データ・パケット内に具体的に示される必要がある。このケースでは、ソース・アドレスは、ネットワーク24内のノード34のIPアドレスである。宛て先アドレスに関して、ノード30からの更新通知がなければ、ノード34は、ノード30のHoAを知るだけであり、ノード30のFA CoAを知らない。したがって、宛て先アドレスは、ノード30のHoAに設定される。それでも、ノード30のFA CoAがホーム・ネットワーク22内のHA25のルーティング・テーブル内に記憶されているので、データ・パケットがホーム・ネットワーク22に到達した時に、ネットワーク22のHA25は、記憶されているFA CoAを用いて受け取ったデータ・パケットをカプセル化し、そしてそれを外部のネットワーク26内のノード30に送る。すなわち、カプセル化されたデータ・パケットは、FA CoAを宛て先アドレスとして利用する。一旦、外部のネットワーク26がカプセル化されたデータ・パケットを受け取ると、FA36は、カプセル化されたFA CoAを単に剥ぎ取り、そして移動ノード30に本来のパケットを配信する。データ・パケットのルートは、図1にデータ・パス40として示される。
しかも、パス38及び40のような、データ・パスが実際に複数回インターネット20を通過することに注目すべきである。図1を不明確にしないために明確化の目的で、パスは、単にHA25及びFA36のような関係するサーバを通過するように示される。すなわち、データ・パス38及び40は、図1に示されたように論理パスとして示される。
上に記載されたような方法で運用されると、移動ノード30は、FA CoAを使用して移動体IPトンネル・モードの下で対応ノード34と通信していると言われる。
上記の例では、移動ノード30が対応するノード90から直接的にデータ・パケットを受け取るように見られるのではあるが、データ・トンネルは、HA25を経由してノード30と34との間に存在すると言われる。トンネリング・モードを使用することの利点は、移動ノード30がさらに別の1つの外部のネットワークに移動するときに、ホーム・ネットワーク22に更新通知をする以外は、移動ノード30が対応するノード34に同様の通知を送る必要がないことである。したがって、対応するノード34によって送られそして受け取られるデータは、連続しているように見える。
CCoAのケースに関して、ノード30がホーム・ネットワーク22から移動して離れる場合に、FA CoAを要請することの代わりに、ノード30は、外部のネットワークからCCoAを代わりに要請できる。もし、ネットワーク26が無線技術、例えば、TIA/EIA(Telecommunications Industry Associations/Electronic Industry Associations:電気通信工業協会/電子工業協会)及び3GPP2(3rd Generation Partnership Project 2:第3世代パートナーシップ・プロジェクト2)によって公表されたcdma2000規格、をサポートするWANであれば、CCoAは、例えば、PDSN(Packet Data Serving Node:パケット・データ・サービング・ノード)41と移動ノード30との間のPPP(Point-to-Point Protocol:2点間プロトコル)を介して外部のネットワーク26によって遠隔で要請されることができそして指定されることができる。PDSN41は、基本的に、ネットワーク26の無線部分におけるデータ・トラフィックを取り扱いそして処理するネットワーク36内のサーバである。しかしながら、外部のネットワーク26によるCCoAの指定以外は、ノード30は、前に述べたようにFA36のような外部のエージェントの全ての機能を実行する。再び、移動ノード30は、ホーム・ネットワーク22にCCoAを登録する必要がある。
例えば、ネットワーク24内のノード34と通信するために、ノード30は、アドレスの2つのレイヤを有するデータ・パケットを送る。外側のレイヤでは、ソース・アドレスはCCoAに設定され、そして宛て先アドレスは、HA25に設定される。内側のレイヤでは、ソース・アドレスは、ノード30のHoAであり、そして宛て先アドレスは、外部のネットワーク24内のノード34のアドレスである。動き回っているノード30からデータ・パケットを受け取ると、HA25は、外側のアドレス・レイヤを剥ぎ取り、そして内側アドレス・レイヤを用いてノード34にデータ・パケットを送る。データ・パケットの論理パスは、図1にデータ・パス42として示される。
逆方向データ・パスにおいて、すなわち、ノード34がノード30にデータ・パケットを送る場合に、データ・パケットは、ノード34に設定されたソース・アドレス及びノード30のHoAに設定された宛て先アドレスを有するただ1つのアドレス・レイヤを有する。データ・パケットを受け取ると、HA25は、宛て先アドレスとしてCCoAそしてソース・アドレスとしてHA25のアドレスを用いてデータ・パケットをカプセル化し、そしてノード30にカプセル化されたデータ・パケットを送る。ノード30は、FA36を通ることなく自分自身で逆カプセル化することを実行する。データ・パケットの方向は、図1にデータ・パス44として示される。
上に記載されたような方法で運用されることは、動き回っているノード30がCCoAを使用する移動体IPトンネリング・モードの下で対応ノード34と通信していると言われる。
非常に多くの場合、複数のノード間のデータ通信は、種々の理由のためにモニタされそして制御される必要がある。例えば、移動ノード30及び対応するノード34がVoIP(Voice over IP:IPを介した音声)セッションにある場合に、関与しているパーティ、このケースでは移動ノード30及び対応するノード34が認可されていることが確定される必要がある。他のものの中で、各データ・パケットについて、ソース・アドレス、宛て先アドレス、及び宛て先ポートが確かめられる必要がある。もし、セッションが料金ベースであるならば、トラッキングするための手段は、アカウンティングの目的のために与えられる必要がある。機密保護及びプライバシーの理由のために、複数のノード間で交換されるデータ・パケットが暗号化されることは、一般的である。トランスポート・モードとトンネリング・モードとの下でのデータ・パケットに対する暗号化体系は、異なる。暗号化されたデータ・パケットをモニタすることは、したがって、特別の課題を持つ。しかも、共有ネットワークを介した機密保護されそしてプライベートな通信に対する要望が増加している。
したがって、暗号化されたデータ・フローを用いたパケット・データ通信のための機密保護されたモニタリング体系を提供する必要性がある。
RFC(コメントの要請)791、IETF発行 "第3世代パートナーシップ・プロジェクト;技術仕様書グループ・サービス及びシステム態様、IPマルチメディア下位システム(IMS),ステージ2("3GPP TS 23.228 "第3世代パートナーシップ・プロジェクト;技術仕様書グループ・コア・ネットワーク、端から端までのサービスの品質(QoS)シグナリング・フロー"3GPP TS 29.208 "IPマルチメディア・システム、ステージ2"、3GPP2 X.S0013−002及び3GPP2 X.P0013−012 "3GPP2 MMDサービスに基づいたベアラ制御文書、進行中の作業"3GPP2 X.P0013−012 "SIP及びSDPに基づいたIPマルチメディア通話制御プロトコル、ステージ3" 3GPP2 X.P0013−0004
[サマリー]
機密保護及び機密性の理由のために、非常に多くの場合、データ・フローは、伝達するデータ・パケットを暗号化することで機密保護されて伝送される。時々、データ・フローは、データ・トラフィック制御のためのモニタリング中間手段を通してモニタされることが必要である。暗号化されたデータ・パケットは、SPI(Secured Parameter Index:機密保護されたパラメータ・インデックス)を含み、SPIは、データ逆暗号化のためのSA(Security Association:機密保護アソシエーション)を識別するために使用される。本発明の具体例の実施形態にしたがって、いずれかの正式のデータ・トラフィックを確立する前に互いに通信を得ようとしている複数のノードは、モニタの中間手段を経由してシグナリング・メッセージ中にSPIを最初に送る。その後で、モニタリング中間手段は、データ・パケットから抽出されたSPIとシグナリング・メッセージからのSPIを符合させる。データ・トラフィック制御の間に、もしSPIの符号が見出されれば、モニタリング中間手段は、データ・フローが通過することを認める。それ以外は、データ・フローは、拒絶される。
取り決められたように運用されると、モニタリング中間手段(monitoring intermediary)は、それによってデータ・トラフィック制御を比較的速やかに実施できる。
これらのそして他の特徴及び利点は、添付した図面とともに以下の詳細な説明から当業者に明確になるであろう。図面では、同じ参照符号は類似の部分を参照する。
[詳細な説明]
以下の記載は、いずれかの当業者が本発明を作成しそして使用することを可能にするために提示される。詳細は、説明の目的のために以下の記載に述べられる。当業者は、本発明がこれらの具体的な詳細を使用することなく実行できることを理解するはずである。別の事例では、周知の構造及びプロセスが、不必要な詳細を用いて本発明の記載を不明瞭にしないために詳しくは述べられない。それゆえ、本発明は、示された実施形態によって制限されることを意図したのではなく、本明細書中に開示した原理及び特徴と整合する最も広い範囲に一致すべきである。
以下に記載される実施形態は、第3世代パートナーシップ・プロジェクト(3GPP)及び第3世代パートナーシップ・プロジェクト2(3GPP2)によって公表されたIMS/MMD(IP Multimedia Subsystem/Multimedia Domain:IPマルチメディア・サブシステム/マルチメディア・ドメイン)規格にしたがって動作可能である。IMS/MMDの一般的な考察は、出版された文書、題名“第3世代パートナーシップ・プロジェクト;技術仕様グループ・サービス及びシステム態様、IPマルチメディア・サブシステム(IMS),ステージ2(3rd Generation Partnership Project: Technical Specification Group Services and System Aspects, IP Multimedia Subsystem (IMS), Stage 2)”3GPP TS 23.228、“第3世代パートナーシップ・プロジェクト;技術仕様グループ・コア・ネットワーク、端から端までのサービスの品質(QoS)シグナリング・フロー(3rd Generation Partnership Project: Technical Specification Group Core Network, End-to-End Quality of Service (QoS) Signaling Flows)”3GPP TS 29.208、及び“IPマルチメディア・システム、ステージ2(IP Multimedia System, Stage 2)”、3GPP2 X.S0013−002及び3GPP2 X.P0013−012に見出されることができる。
IMSは、多様な規格、例えば、cdma2000、WCDMA(Wideband Code Division Multiple Access:広帯域コード分割多元接続)、GPRS(General Packet Radio Service:汎用パケット無線サービス)、及び各種の他のWAN、に適用可能である。
参照は、ここで図2に向けられ、それは本発明の具体例の実施形態を概略的に示す。全体のシステムは、参照符号50によって示され、それはイントラネット又はインターネットのような、バックボーン・ネットワーク52を含む。
例として、図2に示されたように、バックボーン・ネットワーク52に接続されているものは、他のネットワークの中で、HN(Home Network:ホーム・ネットワーク)54、FN(Foreign Network;外部のネットワーク)56、及びRN(Remote Network:遠隔ネットワーク)58である。
HN54内に、HA(Home Agent:ホーム・エージェント)62があり、それはHN54内部のデータ・トラフィックを管理すること、そして同様に入ってくる経路及び出てゆく経路に関するHN54のデータ・トラフィックを制御するために管理する義務を負う。もし、HN54が無線技術をサポートするのであれば、通常、PDSN(Packet Data Serving Node:パケット・データ・サービング・ノード)64に接続されそしてインストールされたRAN(Radio Access Network:無線接続ネットワーク)55がある。例えば、RAN55がcdma2000規格の下で動作するのであれば、RAN55は、一般に少なくとも1つのBSC(Base Station Controller:基地局コントローラ)及び複数のBS(Base Station:基地局)を含む。本質的にPDSN64は、バックボーン・ネットワーク52とRAN55との間のアクセス・ゲートウェイである。
各種のIMS/MMD機能及び特徴を実行するために、サービス・プロバイダは、HN54内の異なるサーバにインストールされる。そのようなサーバの例は、P−CSCF(Proxy Call State Session Function:プロクシ呼び出し状態セッション機能)70、及びS−CSCF(Serving Call State Session Function:サービング呼び出し状態セッション機能)72を含む。これらのサーバの機能的な説明は、システム50の動作上の説明とともに後で図示される。
上に説明されたノードに加えて、HN54の内部に別のノードがあるが、明確化の目的のために示されない。そのようなノードは、種々のタイプのコンピュータ、プリンタ、移動可能である又は移動可能でないことがある任意の他のデバイスであり得る。
図2に示されたものは、バックボーン・ネットワーク52に接続されたFN56及びRN58である。さらに、説明の単純化のためにそして容易にするために、FN56及びRN58は、HN54に多少なりとも類似するように図示されている。使用に応じて、FN56及びRN58は、全く異なるように構成されることができる。したがって、このケースでは、FN56は、他のものの中で、FA(Foreign Agent:外部のエージェント)66、RAN76、PDSN68、P−CSCF71、及びPCRF(Policy and Charging Rule Function:ポリシー及びチャージング・ルール機能)75を同様に含む。同じく、RN58は、他のものの中で、PDSN78、P−CSCF80、S−CSCF82及びPCRF84を同様に含む。
図2において、FN56内のFA66及びPDSN68は、別々のエンティティとして示されている。非常に多くの場合、FA66とPDSN68は、1つのユニットとして統合される。
システム50内には、MN(Mobile Node:移動体ノード)60があり、それは、HoA(Home Address:ホーム・アドレス)を有するHN54内のHA62を用いて最初に登録される。MN60は、FN56のような他の外部のネットワークに移動することができ、そしてFN56を介してバックボーン・ネットワーク52へのアクセス又は移動体IP(Mobile Internet Protocol:移動体インターネット・プロトコル)の下で別のネットワークへのアクセスを得ることができる。実際にはMN60は、例えば、PDA(Personal Digital Assistant:個人ディジタル補助装置)、ラップトップ・コンピュータ、又は移動電話機、の形式であり得る。
MN60がFN56に移動して入ると仮定する。この具体的な例では、MN60のユーザがRN58内のCN(Corresponding Node:対応ノード)90を運用している別の1つのユーザとテレビ会議セッションを持つことを望むと仮定する。ノード90は、移動可能である又は移動しないことがある。
FNの境界に到達すると、MN60は、FN56による通知を介してFA66のアドレスを取得する。MN60は、その後、HN54内のHA62を用いてFA CoAを登録する、その結果、HA62は、MN60の所在地を追跡観測し続けることができる。代案として、MN60は、FA66からCCoAを要請できる。MN60は、その後、同じ理由のためにHA62を用いてCCoAを同様に登録する、すなわち、HA62がMN60との連絡を維持することを可能にする。
いずれかの通信トラフィックを確立する前に、MN60は、シグナリング・プロセスを通過する必要がある。この目的を達成するために、MN60は、後で説明されるように中間手段を介してCN90に勧誘メッセージを送る。同様に、CN90は、応答シグナリング・プロセスで勧誘メッセージを受領通知する必要がある。
この例では、MN60は、HN54内のHA62によって最初に指定されたHoAを使用して、HN54内のS−CSCF72を含んでいるSIP(Session Initiation Protocol:セッション開始プロトコル)のアクセスのためにHN54内のS−CSCF72を登録する。
MN60は、それからHN54内のP−CSCF70にSIP INVITEメッセージを送る。実際の動作では、全ての他のデータ・トラフィックを用いるように、SIP INVITEメッセージは、P−CSCF70に到達する前に、RAN76、PDSN68、FA66、バックボーン・ネットワーク52、及びHA62を最初に通ることに、注意すべきである。その上、同様にこの技術において周知であるように、データ・トラフィックは、システム50を通って移動する信号キャリアを介した電気信号の形式である。上に図示されたものと同様の方法で明らかにする目的のために、データ・トラフィックは、論理パスとして単純に図示される。すなわち、以下の記載では、具体的に強調しない限り、データ・トラフィックの論理パスだけが記載される。
MN60がFN56内のP−CSCF71にSIP INVITEメッセージを送ることができ、代案として会議セッションを開始できることは、さらに注目されるべきである。すなわち、シグナリングのためにHN54内のSIPネットワークを使用する代わりに、MN60は、代替物としてFN56内のSIPネットワークを使用できる。説明の整合性及び明確化のために、以下の記載では、HN54内のSIPネットワークがシグナリング・プロセスのために使用される。
テレビ会議セッションが専用のセッションであるように意図されると仮定する。それとして、MN60とCN90との間で交換されるデータ・パケットは、一般に行われるように暗号化される。
このつなぎ目で、一般的なIP機密保護を説明することそして特に暗号化されていないデータ・パケットと暗号化されたデータ・パケットとの間の相違をさらに説明する余談を行うことは有効である。
IPの下で、データ・パケットは、IPSec(Internet Protocol Security:インターネット・プロトコル機密保護)にしたがって暗号化され、IPSecは、データ機密性、完全性及び複数の関与しているパーティ間の認証に関する種々の規格を有する機密保護プロトコルである。IPSecの詳細は、RFC2401,2412、及び2451の中に見出されることができる。
IPSecにしたがって、機密保護された通信を得ようとしている通信ノードは、まず事前に、SA(Security Association:機密保護アソシエーション)と呼ばれる、機密保護パラメータのセットに合意することが必要である。SAは、他のものの中で、暗号化アルゴリズム、認証アルゴリズム、暗号化キー、及び認証キーを含むことができる。したがって、合意の後で、SAは、機密保護された通信セッションを要請する各々のノードに記憶される。一般的なSAは、各データ・パケットとともに送信されるSPI(Security Parameter Index:機密保護パラメータ・インデックス)によって識別可能である。任意の機密保護された通信セッションの間に、受け取りノードは、任意のデータ・パケットからSPIを常に抽出でき、そして逆暗号化のために記憶されたSAを呼び出すことができる。一般的な暗号化アルゴリズム及び暗号化キーを有するSAは、受け取りノードが暗号化されたデータ・パケットを逆暗号化することを可能にする。
図3に示されたものは、暗号化されたデータ・パケット及び暗号化されていないデータ・パケットの異なる形式である。
参照符号100は、一般的な暗号化される前のデータ・パケットを表す。データ・パケット100は、IPヘッダ102を含み、それは、IPの下で必要とされるように、パケット100のソース・アドレス及び宛て先アドレスのような情報を記憶する。IPヘッダ102に隣接しているものは、レイヤ−4ヘッダ104である。レイヤ4は、トランスポート・レイヤであり、それはデータ・パケット100がTCP(Transport Control Protocol:トランスポート制御プロトコル)にしたがっているかUDP(User Datagram Protocol:ユーザ・データグラム・プロトコル)にしたがっているかどうかに関する情報を含む。TCP及びUDPの詳細は、それぞれRFC793及びRFC768に見出されることができる。レイヤ−4ヘッダ104は、そのようにして最低でもパケット100がTCPパケットであるかUDPパケットであるかどうかを識別し、そしてさらにソース・ポート及び宛て先ポートの位置を含む。宛て先ポートに関する情報は、モニタリング中間手段にとって必須であり、データ・モニタリングの自身の責務を遂行する。レイヤ−4ヘッダ104に隣接するものは、データ・パケット100によって搬送されるペイロード・データ106である。
参照符号108は、トランスポート・モード下での暗号化されたデータ・パケットを表示する。ハッチングした部分は、暗号化を受けるデータ領域を示す。データ・パケット108は、暗号化されていないパケット100のそれと同じIPヘッダ102を同様に含む。しかしながら、暗号化されたパケット108のレイヤ−4ヘッダ104A及びペイロード・データ106Aは、暗号化されていないデータ・パケット100の対応するレイヤ−4ヘッダ104及びペイロード・データ106の暗号化された対応部分である。データ・パケット108の中で、IPヘッダ102とレイヤ−4ヘッダ104Aとの間に配置されたものは、ESP(Encapsulating Security Payload:カプセル化機密保護ペイロード)ヘッダ110である。ESPヘッダ110は、SPIを含み、それは前に述べたようにデータ・パケット108を逆暗号化するために事前に取り決められたアルゴリズムを用いてSAを識別するために使用されることができる。データ・パケット108の終わりにあるものは、ESPトレーラ112及び認証データ114である。ESPトレーラ112は、とりわけ、次のESPヘッダを識別するための情報を含む。もし、いずれかの認証プロトコルが実行されるのであれば、認証データ・セグメント114は、そのような目的のための情報を有する。
参照符号118は、IPSecにしたがってトンネリング・モード下での暗号化されたデータ・パケットを表示する。データ・パケット118では、基本的に、暗号化されそしてパケット118にカプセル化される暗号化される前のパケット100である。それゆえ、パケット・セグメントIPヘッダ102B、レイヤ−4ヘッダ104B,及びペイロード・データ106Bは、最初のパケット100の対応するセグメントの情報を含む。パケット118のフロントIPヘッダ102は、しかしながら、IPヘッダ102Bの内容とは異なる内容を有する。例えば、IPヘッダ102は、トンネルの外側レイヤ・アドレスを含み、そしてIPヘッダ102Bは、トンネルの内側レイヤ・アドレスを有する。IPヘッダ102に隣接するものは、ESPヘッダ110であり、それはデータ・パケット108内のESPヘッダ110のそれと本質的に同じである。すなわち、ESPヘッダ110は、データ・パケット118を逆暗号化するために事前に取り決められたアルゴリズムを有するSAを識別するためのSPIを含む。ESPトレーラ112及び認証データ114は、パケット108のそれと実質的に同じである。
IPv6の下で、各々のパケット108、100及び118内のIPヘッダ102の後に、データ・パケット108、100又は118がオーディオ・パケットであるか又はビデオ・パケットであるかどうかを識別する情報を含んでいる“フロー・ラベル”と呼ばれるオプションのヘッダがある。フロー・ラベル・ヘッダは、簡潔さ及び簡明さの理由のために図3には示されない。
図3に見られるように、データ・パケット108の中で、レイヤ−4ヘッダ104Aは、暗号化される。その意味で、モニタの中間手段は、パケット108が、例えば、TCPパケットであるか又はUDPパケットであるかどうかを識別できない。特に、レイヤ−4ヘッダ104Aは、宛て先ポートに関する情報を含み、しかも容易には利用できない。いずれかのモニタの中間手段は、宛て先ポートについてのいずれかの情報なしに、どのデータもモニタすることを実行できない。
そのうえ、データ・パケット118内で、レイヤ−4ヘッダ104Bの暗号化に加えて、IPヘッダ102Bも同様に暗号化される。レイヤ−4ヘッダ104Bからの情報なしに、モニタリング中間手段は、さらに、例えば、データ・パケット118の内側レイヤ・アドレスを知ることができない。その結果、データ・パケット118は、モニタされることが不可能である。
前に述べたように、データ・パケット108及び118に埋め込まれたものは、SPIであり、それはデータ暗号化のための関係するSAを識別するために使用されることができる。しかしながら、本実施形態では、SPIは、暗号化されたデータ・パケット108又は118に関係する固有の宛て先ポートを暗黙のうちに識別するためそして対応させるために同様に使用される。より詳しくは、暗号化されたデータ・パケット108又は118において、それぞれのESPヘッダ110内の各SPIは、固有のデータ・フローそしてさらに宛て先ポートの身元に対応する。データ・フローは、順番にフローが、例えば、オーディオ・フローであるか又はビデオ・フローであるかどうかによって特徴付けられる。具体例の実施形態にしたがって、SPIは、最初のシグナリング・プロセスの間に通過して直接送られそしてモニタリング中間手段に最終的に到着する。データ・モニタリングの間に、モニタリング中間手段は、シグナリング・プロセスの間に得られたSPIを暗号化されたデータ・パケットから抽出された対応するSPIに単に符合させる必要がある。もし、符合が見出されれば、特定のフロー、すなわち、そのフローが暗号化されたデータ・パケットの宛て先ポートに加えてオーディオであるか又はビデオであるかどうかが、そのようにして暗黙のうちに識別されることができる。
参照は、ここで図2に戻る。テレビ会議セッションを開始するために、MN60は、以前に説明されたように、SIPネットワークを経由してSIP INVITEメッセージを送る。SIP INVITEメッセージは、SDP(Session Description Protocol:セッション説明プロトコル)と呼ばれる説明部分を含み、SDPは、本質において要請されたテレビ会議セッションの適正な実行のための基本的な要求を説明する。例えば、SDP内に含まれたものは、MN60のポート番号及びIPアドレス、そしてセッションのためのコーデック仕様である。さらに重要なことに、本実施形態では、SDPは、MN60によって使用されるべきSPIを含む。通信セッションがテレビ会議セッションであるこの例では、2つのSPIが必要である、すなわち、1つはビデオ・フローに対してでありそして他はオーディオ・フローに対してである。前に述べたように、各SPIは、特定のデータ・フローに対応し、それは順番に特定の宛て先ポートに一義的に関係付けられる。繰り返すと、データ・モニタリングの間に、もし、SIP INVITEメッセージに含まれるSPIがベアラ・トラフィックのデータ・パケットから抽出されたSPIと符合するのであれば、宛て先ポートは、暗黙のうちに識別されることができる。ベアラ・トラフィックは、会議セッションのオーディオ信号及びビデオ信号の内容のフローである。ソース・アドレス及び宛て先アドレスとともに、宛て先ポート・アドレスの認識で、データ・モニタリング中間手段は、データ・モニタリングの自身の責務を果たすことができる。
ここで図2に戻って、HN54内のP−CSCF70は、コール・セッション管理の責務を引き受けるノードである。SIP INVITEメッセージを受け取ると、P−CSCF70は、SIP INVITEメッセージをHN54内のS−CSCF72に転送する。C−CSCF72は、受理を要請するためにSIP INVITEメッセージをRN58に順番に送る。
HN54内のS−CSCF72によるセッションの承認そしてRN58内のCN90による会議セッションの受理で、P−CSCF70は、次に課金ルール、認可されたQoS(Quality of Service:サービスの品質)及びHN54内のPCRF74へのフロー識別子のような、措置(policy)に関係する情報を送る。
同時に、すなわち、CN90による受理の後で、MN60は、ベアラ・トラフィックを設定するためにFN56内のPDSN68への要請されたQoSとともに、TFT(Traffic Flow Template:トラフィック・フロー・テンプレート)を送る。
PDSN68は、その後、前に述べたように同じ措置に関係する情報を要請する、すなわち、認可されたQoS、課金ルール、及びFN56内のPCRF75からの会議セッションのためのフロー識別子である。PCRF75は、その後、HN54内のPCRF74に要請を中継し、そしてフローのための前述のパラメータを取得する。PCRF75によって許可されたどのパラメータも、ある種の指示された措置に適合する必要がある。そのような措置は、IMS/MMDの下で規定された規則、複数のネットワーク間の特定の取り決め、例えば、ベアラ・トラフィックの取り扱いに関係するHN54とFN56との間の取り決め、ネットワークに固有の措置、例えば、FN56にだけ固有の措置、を含むことができる。もし、要請された会議セッションが料金ベースであれば、措置は、料金請求の目的のためにある種のトラッキング手順を含むことができる。特に、認可されていないトラフィックは、遮られる。措置の実施は、IMS/MMD規格の下でSBBC(Service Based Bearer Control:サービスに基づいたベアラ制御)と呼ばれる。
SBBCの動作上の詳細は、題名“3GPP2 MMDサービスに基づいたベアラ制御文書、進行中の作業(3GPP2 MMD Service Based Bearer Control Document, Work in Progress)”3GPP2 X.P0013−012、の文書中に見つけることができる。SDPの記載は、題名“SIP及びSDPに基づいたIPマルチメディア通話制御プロトコル、ステージ3(IP Multimedia Call Control Protocol Based on SIP and SDP, Stage3)” 3GPP2 X.P0013−0004、の文書中に見つけることができる。
FN56内のPCRF75は、全ての課せられた措置の判断のためにインストールされる。判断プロセスにおいて、PCRF75は、HN54内のPCRF74とFN56中のPDSN68との間に挿入される。その上、PDSN68とPCRF75との間に挿入されたTyインターフェース92がある。同様に、図2に示されたように、HN54内のPCRF74とP−CSCF70との間に配置されたTxインターフェース94がある。前述のTyインターフェース及びTxインターフェースは、会議セッションとベアラ・トラフィックとの間の措置制御のために使用される。Tyインターフェース及びTxインターフェースの詳細は、文書、3GPPによって発行された3GPP TS 23.107、及び3GPP2によって発行された3GPP2 X.P0013−012、の中に見つけることができる。
ここで図2に戻って、SIP INVITEメッセージ中に述べられる要請されたセッション・パラメータは、もし認可されていれば、HN54のPCRF74及びFN56のPCRF75を介してP−CSCF70からPDSN68に渡される。
この実施形態では、CN90は、RN58によって指定されるCCoAを有すると想定される。それゆえ、SIP INVITEメッセージを受け取ると、CN90は、SIP200OKメッセージで応答を返す。SIP200OKメッセージは、当初のSIP INVITEメッセージのパラメータを基本的に再確認する。その上、本実施形態では、CN90は、同様に、ベアラ・トラフィックのためにCN90によって使用されるべきSPIをSIP200OKメッセージのSDP中に含む。SIP200OKは、SIP INVITEメッセージと同じデータ・パスにしたがうが、逆の順番である。
MN60は、それから当初のSIP INVITEメッセージと同じデータ・パスに沿って受領通知メッセージ(ACK)を送り返すことによってSIP200OKメッセージの受け取りを確認する。
ベアラ・トラフィックは、その後で、SIP INVITEメッセージ中に述べられたように認可されたパラメータにしたがってFN56内のPDSN68によって設定されるように準備ができる。
上に述べたように、IMS/MMD規格の下で、ベアラ・トラフィックは、ネットワークによってSBBCを介してモニタされそして制御される必要がある。この例では、FN56内のPCRF75によって管理されるPDSN68は、SBBCが上記のように措置に適合するように実施する責務を仮定する。
SBBC実施の間に、各データ・パケットは、通過することを許可される前に選別される必要がある。ベアラ・トラフィックのデータ・パケットが前に述べたように暗号化されるので、宛て先ポートの身元のような複数の必須の情報が、容易にそして都合よく利用できないことである。本実施形態では、上に述べたように、PDSN68は、初期のシグナリング・プロセスの間にSIP INVITEメッセージ及びSIP200OKメッセージから効果的に事前にデータ・フローのSPIの情報を有する。動作の際に、PDSN68は、各データ・パケットからSBBCのために必要な本質的な情報、例えば、ソース・アドレス及び宛て先アドレス並びにデータ・フローを暗黙のうちに識別するSPIを抽出する、そしてもし、その情報がシグナリング・プロセスから得られた対応する情報と符合するのであれば、そのデータ・パケットは、SBBC実施の一部として通過することを許可される。一方で、もし符合しないのであれば、そのデータ・パケットは、SBBCに失敗したと言われそして落とされる。
上に説明されたような方法で、すなわち、シグナリング・メッセージのSDP中に含まれるSPIを用いて動作すると、PDSN68は、要請されたテレビ会議セッションの暗号化されたデータ・トラフィックのためのSBBCを迅速に実施できる。SBBCの実施は、MN60とCN90との間のセッションが終了するまで続けられる。
上に述べられたプロセスは、図4のフローチャートに示される。
図5は、本発明にしたがって参照符号121によって表示された移動体ノード装置のハードウェア・インプリメンテーションの一部を模式的に示す。装置121は、例えば、ラップトップ・コンピュータ、PDA、又はセルラ電話機のような、種々のデバイスに組み入れられそして取り込まれることができる。
装置121は、複数の回路を一緒にリンクさせる中央データ・バス122を備える。回路は、CPU(Central Processing Unit:中央処理装置)すなわちコントローラ124、受信回路126、送信回路128、及びメモリ・ユニット130を含む。
受信回路及び送信回路126及び128は、図には示されていないがRF(Radio Frequency:無線周波数)回路に接続されることができる。受信回路126は、受け取った信号をデータ・バス122に送り出す前に処理しそしてバッファする。一方で、送信回路128は、デバイス121から送られる前にデータ・バス122からのデータを処理しそしてバッファする。CPU/コントローラ124は、データ・バス122のデータ管理の機能を実行し、そしてメモリ・ユニット130内の命令的なコンテントを実行することを含む一般的なデータ処理の機能をさらに実行する。
メモリ・ユニット130は、参照符号131によって一般的に表示される命令のセットを含む。この実施形態では、命令は、他のものの中で、移動体IPクライアント132及びSIPクライアント134のような部分を含む。SIPクライアント134は、前に説明されたように本発明にしたがって命令的なセットを含む。移動体IPクライアント132は、装置121がIP及び移動体IPの下で動作することを可能にするため、これも上に説明されたように、例えば、通信の各種のモードに対する種々のタイプのアドレスを取得するための命令のセットを含む。
この実施形態では、メモリ・ユニット130は、RAM(Random Access Memory:ランダム・アクセス・メモリ)回路である。具体例の命令部分132及び134は、ソフトウェア・ルーチン又はソフトウェア・モジュールである。メモリ・ユニット130は、別の1つのメモリ・ユニット(図示せず)に結び付けられることができ、それは、揮発性タイプ又は不揮発性タイプのどちらかであり得る。代案として、メモリ・ユニット130は、別の回路タイプ、例えば、EEPROM(Electrically Erasable Programmable Read Only Memory:電気的消去プログラム可能な読み出し専用メモリ)、EPROM(Electrically Programmable Read Only Memory:電気的プログラム可能な読み出し専用メモリ)、ROM(Read Only Memory:読み出し専用メモリ)磁気ディスク、光ディスク、及びこの分野において周知の他のものからなることができる。
図6は、本発明にしたがったPDSN装置のハードウェア・インプリメンテーションの一部を模式的に示し、そして、参照符号140によって示される。PDSN装置140は、CPU(中央処理装置)すなわちコントローラ144、受信回路146、送信回路148、データベース記憶ユニット149及びメモリ・ユニット150を含む。
受信回路及び送信回路146及び148は、PDSN装置140がリンクされているネットワーク・データ・バス(図示せず)に接続されることができる。受信回路146は、内部データ・バス142に転送する前に、ネットワーク・データ・バス(図示せず)から受け取った信号を処理しそしてバッファする。送信回路148は、装置140から送り出す前にデータ・バス142からのデータを処理しそしてバッファする。CPU/コントローラ144は、データ・バス142のデータ管理及びメモリ・ユニット150の命令コンテントを実行することを含む総合的なデータ処理の機能に関する責務を実行する。データベース記憶ユニット149は、それらの種々のパラメータとともにSAのようなデータ記録を記憶する。
メモリ・ユニット150は、参照符号154によって一般的に表示された命令のセットを含む。この実施形態では、命令は、他のものの中で、PDSN機能156及びSBBC機能158の一部を含む。メモリ・ユニットは、上に述べたようなメモリ回路タイプからなることができ、そしてさらに繰り返さない。PDSN機能及びSBBC機能は156及び158は、前に説明されたように本発明にしたがった命令セットを含む。
最後に、本実施形態に記載されたものは、CCoAを使用する移動体IPの下で動作しているMN60である。前に述べられたように、MN60は、通信の別のモードの下で上手く動作することができ、そして別のタイプのアドレスを仮定することができる。例えば、複数の代案のうちの一例として、MN60は、FA CoAを使用することができ、そして移動体IPトンネリング・モードの下でCN90と通信できる。それに加えて、本実施形態に記載されたものは、暗号化がMN60とCN90との間で双方向に適用されることである。データ暗号化が、双方向の代わりに一方向だけに適用されることも可能である。その上、記載されたように、ノード60は、外部のネットワークに動き回る移動デバイスとして図示されている。ノード60が固定され得ることが理解されるはずである。それに加えて、本実施形態に関連して記載されたいずれかの論理ブロック、回路、及びアルゴリズム・ステップは、ハードウェア、ソフトウェア、ファームウェア、又はその組み合わせで与えられることができる。形状及び詳細における論理の変更及びその他の変更が本発明の範囲及び精神から逸脱することなくその中で行われ得ることが、当業者によって理解される。
[付記1]
モニタリング中間手段を経由する暗号化されたデータ・パケットを用いた通信セッションのための方法、該方法は下記を具備する:
暗号化プロセスを識別するインデックスを与えること;
シグナリング・メッセージ中に前記インデックスを含ませること;及び
前記モニタリング中間手段を経由して前記インデックスを有する前記シグナリング・メッセージを送ることによって前記通信セッションのための信号を送ること。
[付記2]
付記1の方法、ここにおいて、前記通信セッションのために前記信号を送ることは、前記通信セッションへの勧誘に前記モニタリング中間手段を経由して応答することを含む。
[付記3]
付記1の方法、該方法は、前記通信セッションの前記データ・パケット中に前記インデックスを与えることをさらに含む。
[付記4]
IP(インターネット・プロトコル)によってサポートされる通信システムにおいてモニタリング中間手段を経由する暗号化されたデータ・パケットを用いた通信セッションのための方法、該方法は下記を具備する:
SA(機密保護アソシエーション)を識別するSPI(機密保護パラメータ・インデックス)を与えること;
SIP INVITEメッセージ及びSIP200OKメッセージからなるグループから選択されたシグナリング・メッセージ中に前記SPIを含ませること;及び
前記モニタリング中間手段がパケット・データ・モニタリングのために前記SPIを使用することを可能にするために前記モニタリング中間手段を経由して前記SPIを有する前記シグナリング・メッセージを送ることによって前記通信セッションのための信号を送ること。
[付記5]
IP(インターネット・プロトコル)によってサポートされる通信システムにおいてモニタリング中間手段を経由する暗号化されたデータ・パケットを用いた通信セッションのための装置、該装置は下記を具備する:
SA(機密保護アソシエーション)を識別するSPI(機密保護パラメータ・インデックス)を与えるための手段;
SIP INVITEメッセージ及びSIP200OKメッセージからなるグループから選択されたシグナリング・メッセージ中に前記SPIを含ませるための手段;及び
前記モニタリング中間手段がパケット・データ・モニタリングのために前記SPIを使用することを認めさせるために前記モニタリング中間手段を経由して前記SPIを有する前記シグナリング・メッセージを送るための手段。
[付記5]
通信システムにおいて信号キャリアを介して伝送される電気信号、前記電気信号は、下記を実行するためのコンピュータ読み取り可能な命令を具備する:
暗号化プロセスを識別するインデックスを与えること;
シグナリング・メッセージ中に前記インデックスを含ませること;及び
モニタリング中間手段を経由して前記インデックスを有する前記シグナリング・メッセージを送ることによって通信セッションのための信号を送ること。
図1は、ネットワークのグローバル接続の概略図である。 図2は、本発明の1実施形態を示している概略図である。 図3は、暗号化されていないデータ・パケット及び暗号化されたデータ・パケットの種々のフォーマットの概略図である。 図4は、本発明の実施形態にしたがって開始シグナリングのため及びコンテント・トラフィックを確立するためのステップを示すフローチャートである。 図5は、本発明にしたがって構成された移動体ノードの回路の概略図である。 図6は、本発明にしたがったモニタリング中間手段の回路の概略図である。
符号の説明
30…移動体ノード,38,40,42,44…データ・パス,52…バックボーン・ネットワーク,60…移動体ノード,90…対応ノード,100…暗号化される前のデータ・パケット,108…暗号化されたデータ・パケット,118…暗号化されたデータ・パケット,121…移動体ノード装置,122…中央データ・バス,130…メモリ・ユニット,131…命令のセット,140…PDSN装置,142…内部データ・バス,150…メモリ・ユニット,154…命令のセット。

Claims (12)

  1. 暗号化されたデータ・パケットを用いた通信セッションをモニタするための方法、該方法は下記を具備する:
    ソース移動デバイスから宛て先移動デバイスに伝送されるシグナリング・メッセージから逆暗号化プロセスを識別する第1のインデックスをモニタリング中間手段において受け取ること;
    前記ソース及び宛て先デバイス間における前記通信セッションの前記データ・パケットから逆暗号化プロセスを識別する第2のインデックスを前記モニタリング中間手段において受け取ること;
    前記第1のインデックスと第2のインデックスとを比較することによって前記通信セッションの措置(policy)のセットを前記モニタリング中間手段によって実施すること;及び
    前記第1のインデックスと第2のインデックスとを比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容すること及び前記第1のインデックスと第2のインデックスとを比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶すること。
  2. 請求項1の方法、ここにおいて、前記シグナリング・メッセージは、第1のシグナリング・メッセージであり、前記方法は、第1のシグナリング・メッセージに代えて第2のシグナリング・メッセージから前記第1のインデックスを受け取ることをさらに含み、前記第1のシグナリング・メッセージは、前記通信セッションのための勧誘メッセージであり、そして前記第2のシグナリング・メッセージは、前記勧誘メッセージに対する応答メッセージである
  3. IP(インターネット・プロトコル)によってサポートされる通信システムにおいて暗号化されたデータ・パケットを用いた通信セッションをモニタするための方法、該方法は下記を具備する:
    SIP INVITEメッセージ及びSIP200OKメッセージからなるシグナリング・メッセージから第1のSPI(機密保護パラメータ・インデックス)を受け取ること;
    前記通信セッションの前記データ・パケットから第2のSPIを受け取ること;及び
    前記第1のSPIと第2のSPIとを比較することによって前記通信セッションの措置のセットをモニタリング中間手段によって実施すること、ここにおいて、前記実施することは、前記シグナリング・メッセージからの前記第1のSPIを前記データ・パケットからの前記第2のSPIと比較すること、及び前記比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容すること及び前記比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶することを含む。
  4. モニタリング中間手段を経由する暗号化されたデータ・パケットを用いた通信セッションのための装置、該装置は下記を具備する:
    宛て先移動デバイスへのシグナリング・メッセージ中に暗号化プロセスを識別するインデックスを含ませるための手段;及び
    前記モニタリング中間手段を経由して前記インデックスを有する前記シグナリング・メッセージを送るための手段、ここにおいて、前記モニタリング中間手段は前記インデックスに関連した措置のセットを前記通信セッションで実施するように動作可能であり、前記実施することは前記シグナリング・メッセージからの前記インデックスを前記データ・パケットからの対応するインデックスと比較すること、及び前記比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容すること及び前記比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶することを含む。
  5. 請求項4の装置、ここにおいて、前記シグナリング・メッセージは、勧誘メッセージであり、該装置は、前記勧誘メッセージに応じて応答メッセージ中に前記インデックスを含ませるため手段をさらに含む。
  6. 請求項4の装置、該装置は、前記通信セッションの前記暗号化されたデータ・パケット中に前記インデックスを含ませるための手段をさらに含む。
  7. 暗号化されたデータ・パケットを用いた通信セッションをモニタするための装置、該装置は下記を具備する:
    ソース移動デバイスから宛て先移動デバイスに伝送されるシグナリング・メッセージから逆暗号化プロセスを識別する第1のインデックスをモニタリング中間手段において受け取るための手段;
    前記ソース及び宛て先デバイス間における前記通信セッションの前記データ・パケットから逆暗号化プロセスを識別する第2のインデックスを前記モニタリング中間手段において受け取るための手段;及び
    前記第1のインデックスと第2のインデックスとを比較することによって前記通信セッションの措置のセットを前記モニタリング中間手段によって実施するための手段;及び
    前記第1のインデックスと第2のインデックスとを比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容し、前記第1のインデックスと第2のインデックスとを比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶するための手段。
  8. 請求項7の装置、ここにおいて、前記シグナリング・メッセージは、第1のシグナリング・メッセージであり、前記装置は、前記第1のシグナリング・メッセージに代えて第2のシグナリング・メッセージから前記第1のインデックスを受け取るための手段をさらに含み、前記第1のシグナリング・メッセージは、前記パケット・データ通信セッションのための勧誘メッセージであり、そして前記第2のシグナリング・メッセージは、前記勧誘メッセージに対する応答メッセージである
  9. IP(インターネット・プロトコル)によってサポートされる通信システムにおいて暗号化されたデータ・パケットを用いた通信セッションをモニタするための装置、該装置は下記を具備する:
    SIP INVITEメッセージ及びSIP200OKメッセージからなるシグナリング・メッセージから第1のSPI(機密保護パラメータ・インデックス)を受け取るための手段;
    前記通信セッションの前記データ・パケットから第2のSPIを受け取るための手段;及び
    前記第1のSPIと第2のSPIとを比較することによって前記通信セッションの措置のセットをモニタリング中間手段によって実施するための手段、ここにおいて、前記実施することは、前記シグナリング・メッセージからの前記第1のSPIを前記データ・パケットからの前記第2のSPIと比較すること、及び前記比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容すること及び前記比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶することを含む。
  10. 暗号化されたデータ・パケットを用いた通信セッションをモニタするための装置、該装置は下記を具備する:
    ソース移動デバイスから宛て先移動デバイスに伝送されるシグナリング・メッセージから逆暗号化プロセスを識別する第1のインデックスをモニタリング中間手段において受け取るため、前記ソース及び宛て先デバイス間における前記通信セッションの前記データ・パケットから逆暗号化プロセスを識別する第2のインデックスを前記モニタリング中間手段において受け取るため、及び前記第1のインデックスと第2のインデックスとを比較することによって前記通信セッションの措置のセットを実施するため、及び前記第1のインデックスと第2のインデックスとを比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容し、前記第1のインデックスと第2のインデックスとを比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶するためのコンピュータ読み取り可能な命令を有するメモリ・ユニット;
    前記コンピュータ読み取り可能な命令を処理するために前記メモリ・ユニットに接続されたプロセッサ回路。
  11. 請求項10の装置、ここにおいて、前記シグナリング・メッセージは、第1のシグナリング・メッセージであり、前記装置は、前記第1のシグナリング・メッセージに代えて第2のシグナリング・メッセージから前記第1のインデックスを受け取るためのコンピュータ読み取り可能な命令をさらに含み、前記第1のシグナリング・メッセージは、前記通信セッションのための勧誘メッセージであり、そして前記第2のシグナリング・メッセージは、前記勧誘メッセージに対する応答メッセージである
  12. IP(インターネット・プロトコル)によってサポートされる通信システムにおいて暗号化されたデータ・パケットを用いた通信セッションをモニタするための装置、該装置は下記を具備する:
    SIP INVITEメッセージ及びSIP200OKメッセージからなるシグナリング・メッセージから第1のSPI(機密保護パラメータ・インデックス)を受け取るため、前記通信セッションの前記データ・パケットから第2のSPIを受け取るため、及び前記第1のSPIと第2のSPIとを比較することによって前記通信セッションの措置のセットをモニタリング中間手段によって実施するためのコンピュータ読み取り可能な命令を有するメモリ・ユニット、ここにおいて、前記実施することは、前記シグナリング・メッセージからの前記第1のSPIを前記データ・パケットからの前記第2のSPIと比較すること、及び前記比較することが比較一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを許容すること及び前記比較することが比較不一致を生ずる場合には前記通信セッションの前記データ・パケットが前記モニタリング中間手段を通過するのを拒絶することを含む;及び
    前記コンピュータ読み取り可能な命令を処理するために前記メモリ・ユニットに接続されたプロセッサ回路。
JP2007521671A 2004-07-15 2005-07-14 パケット・データ通信における暗号化されたデータ・フローのベアラ制御 Active JP5112864B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US58866404P 2004-07-15 2004-07-15
US60/588,664 2004-07-15
US11/180,131 US8042170B2 (en) 2004-07-15 2005-07-12 Bearer control of encrypted data flows in packet data communications
US11/180,131 2005-07-12
PCT/US2005/025150 WO2006020014A1 (en) 2004-07-15 2005-07-14 Bearer control of encrypted data flows in packet data communications

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010264813A Division JP2011091833A (ja) 2004-07-15 2010-11-29 パケット・データ通信における暗号化されたデータ・フローのベアラ制御

Publications (2)

Publication Number Publication Date
JP2008507209A JP2008507209A (ja) 2008-03-06
JP5112864B2 true JP5112864B2 (ja) 2013-01-09

Family

ID=35169843

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2007521671A Active JP5112864B2 (ja) 2004-07-15 2005-07-14 パケット・データ通信における暗号化されたデータ・フローのベアラ制御
JP2010264813A Pending JP2011091833A (ja) 2004-07-15 2010-11-29 パケット・データ通信における暗号化されたデータ・フローのベアラ制御

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2010264813A Pending JP2011091833A (ja) 2004-07-15 2010-11-29 パケット・データ通信における暗号化されたデータ・フローのベアラ制御

Country Status (8)

Country Link
US (1) US8042170B2 (ja)
EP (1) EP1766496B1 (ja)
JP (2) JP5112864B2 (ja)
KR (3) KR100899960B1 (ja)
BR (1) BRPI0513342A (ja)
CA (1) CA2573917A1 (ja)
MX (1) MX2007000588A (ja)
WO (1) WO2006020014A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8265060B2 (en) 2004-07-15 2012-09-11 Qualcomm, Incorporated Packet data filtering
US8042170B2 (en) 2004-07-15 2011-10-18 Qualcomm Incorporated Bearer control of encrypted data flows in packet data communications
US20070067387A1 (en) * 2005-09-19 2007-03-22 Cisco Technology, Inc. Conferencing system and method for temporary blocking / restoring of individual participants
US8635450B2 (en) * 2005-12-28 2014-01-21 Intel Corporation IP encapsulation with exposed classifiers
KR100738567B1 (ko) * 2006-02-01 2007-07-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
JP4866802B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 セキュリティ最適化システムおよびセキュリティ最適化方法
JP4864797B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 P−cscf高速ハンドオフシステム及びp−cscf高速ハンドオフ方法
US7899161B2 (en) 2006-10-11 2011-03-01 Cisco Technology, Inc. Voicemail messaging with dynamic content
US20080109517A1 (en) * 2006-11-08 2008-05-08 Cisco Technology, Inc. Scheduling a conference in situations where a particular invitee is unavailable
US8116236B2 (en) * 2007-01-04 2012-02-14 Cisco Technology, Inc. Audio conferencing utilizing packets with unencrypted power level information
US7720919B2 (en) * 2007-02-27 2010-05-18 Cisco Technology, Inc. Automatic restriction of reply emails
US8706091B2 (en) * 2007-03-23 2014-04-22 Cisco Technology, Inc. Attachment of rich content to a unified message left as a voicemail
KR101409456B1 (ko) * 2007-06-12 2014-06-24 삼성전자주식회사 IP converged 시스템에서의 패킷 처리 방법 및그 시스템
US8620654B2 (en) * 2007-07-20 2013-12-31 Cisco Technology, Inc. Text oriented, user-friendly editing of a voicemail message
US8621573B2 (en) * 2007-08-28 2013-12-31 Cisco Technology, Inc. Highly scalable application network appliances with virtualized services
CN101505296A (zh) * 2008-02-05 2009-08-12 华为技术有限公司 隧道业务数据流的控制方法和装置
US8270404B2 (en) * 2008-02-13 2012-09-18 International Business Machines Corporation System, method, and computer program product for improved distribution of data
US20090300207A1 (en) * 2008-06-02 2009-12-03 Qualcomm Incorporated Pcc enhancements for ciphering support
US10116493B2 (en) 2014-11-21 2018-10-30 Cisco Technology, Inc. Recovering from virtual port channel peer failure
KR102240727B1 (ko) * 2015-01-28 2021-04-15 삼성전자주식회사 통신 시스템에서 보안 연계를 설정하기 위한 장치 및 방법
US10333828B2 (en) 2016-05-31 2019-06-25 Cisco Technology, Inc. Bidirectional multicasting over virtual port channel
US11509501B2 (en) * 2016-07-20 2022-11-22 Cisco Technology, Inc. Automatic port verification and policy application for rogue devices
US10193750B2 (en) 2016-09-07 2019-01-29 Cisco Technology, Inc. Managing virtual port channel switch peers from software-defined network controller
US10367752B2 (en) 2016-11-18 2019-07-30 International Business Machines Corporation Data packet management in a memory constrained environment
US10547509B2 (en) 2017-06-19 2020-01-28 Cisco Technology, Inc. Validation of a virtual port channel (VPC) endpoint in the network fabric
EP3422657A1 (de) * 2017-06-26 2019-01-02 Siemens Aktiengesellschaft Verfahren und sicherheits-steuerungseinrichtungen zum senden und empfangen kryptographisch geschützter netzwerkpakete

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5081678A (en) * 1989-06-28 1992-01-14 Digital Equipment Corporation Method for utilizing an encrypted key as a key identifier in a data packet in a computer network
JP3597756B2 (ja) * 2000-06-09 2004-12-08 日本電信電話株式会社 ネットワークアドレス変換装置およびvpnクライアント多重化システム
GB2371186A (en) 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
KR100510434B1 (ko) 2001-04-09 2005-08-26 니폰덴신뎅와 가부시키가이샤 Ofdm신호전달 시스템, ofdm신호 송신장치 및ofdm신호 수신장치
US7496748B2 (en) * 2001-07-23 2009-02-24 Itt Manufacturing Enterprises Method for establishing a security association between two or more computers communicating via an interconnected computer network
DE10142959A1 (de) * 2001-09-03 2003-04-03 Siemens Ag Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
US7580424B2 (en) * 2001-09-25 2009-08-25 Hughes Network System, Llc System and method for providing real-time and non-real-time services over a communications system
US20030097584A1 (en) * 2001-11-20 2003-05-22 Nokia Corporation SIP-level confidentiality protection
FI115687B (fi) 2002-04-09 2005-06-15 Nokia Corp Pakettidatan siirtäminen langattomaan päätelaitteeseen
US7277455B2 (en) * 2002-06-10 2007-10-02 Qualcomm Incorporated Packet flow processing in a communication system
AU2003239207A1 (en) 2002-06-10 2003-12-22 Qualcomm, Incorporated Packet flow processing in a communication system
US7120930B2 (en) * 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
GB2413248B (en) * 2002-06-13 2006-06-21 Nvidia Corp Method and apparatus for enhanced security for communication over a network
US20040109459A1 (en) * 2002-07-25 2004-06-10 Lila Madour Packet filter provisioning to a packet data access node
US7562393B2 (en) * 2002-10-21 2009-07-14 Alcatel-Lucent Usa Inc. Mobility access gateway
GB0226289D0 (en) 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
JP2004180155A (ja) 2002-11-28 2004-06-24 Ntt Docomo Inc 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
US7539186B2 (en) * 2003-03-31 2009-05-26 Motorola, Inc. Packet filtering for emergency service access in a packet data network communication system
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
JP3944182B2 (ja) * 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法
US8042170B2 (en) 2004-07-15 2011-10-18 Qualcomm Incorporated Bearer control of encrypted data flows in packet data communications

Also Published As

Publication number Publication date
BRPI0513342A (pt) 2008-05-06
CA2573917A1 (en) 2006-02-23
KR20080113092A (ko) 2008-12-26
EP1766496B1 (en) 2012-05-30
KR100899960B1 (ko) 2009-05-28
KR100996405B1 (ko) 2010-11-24
US8042170B2 (en) 2011-10-18
EP1766496A1 (en) 2007-03-28
JP2008507209A (ja) 2008-03-06
US20060078120A1 (en) 2006-04-13
WO2006020014A1 (en) 2006-02-23
KR20070030328A (ko) 2007-03-15
KR100948524B1 (ko) 2010-03-23
MX2007000588A (es) 2007-03-30
JP2011091833A (ja) 2011-05-06
KR20090125842A (ko) 2009-12-07

Similar Documents

Publication Publication Date Title
JP5112864B2 (ja) パケット・データ通信における暗号化されたデータ・フローのベアラ制御
KR100904168B1 (ko) 패킷 데이터 필터링
JP5166525B2 (ja) モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出
US7924771B2 (en) Multimedia communication using co-located care of address for bearer traffic
US20060294363A1 (en) System and method for tunnel management over a 3G-WLAN interworking system
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
JP2008527826A (ja) 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置
JPWO2011001594A1 (ja) リダイレクション方法、リダイレクションシステム、モバイルノード、ホームエージェント及び代理ノード
TWI378694B (en) Bearer control of encrypted data flows in packet data communications
Diab et al. VPN solution for securing voice over third generation networks
WG et al. Internet-Draft Kudelski Security Intended status: Informational S. Gundavelli, Ed. Expires: September 14, 2016 Cisco March 13, 2016

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100217

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101129

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101206

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20110114

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120410

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120816

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121011

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5112864

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250