JP5316423B2 - 暗号化実施制御システム - Google Patents

暗号化実施制御システム Download PDF

Info

Publication number
JP5316423B2
JP5316423B2 JP2009546117A JP2009546117A JP5316423B2 JP 5316423 B2 JP5316423 B2 JP 5316423B2 JP 2009546117 A JP2009546117 A JP 2009546117A JP 2009546117 A JP2009546117 A JP 2009546117A JP 5316423 B2 JP5316423 B2 JP 5316423B2
Authority
JP
Japan
Prior art keywords
encryption
section
processing unit
communication
interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009546117A
Other languages
English (en)
Other versions
JPWO2009078103A1 (ja
Inventor
敦 篠崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2009078103A1 publication Critical patent/JPWO2009078103A1/ja
Application granted granted Critical
Publication of JP5316423B2 publication Critical patent/JP5316423B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Description

本発明は、無線構内交換網(無線LAN:IEEE802.11)やセルラ網(例えば3GPP)のような無線網(移動通信網)のエンド−トゥ−エンド(End-to-end)で実施される暗号化方法に関する。
代表的な無線ネットワークシステムとして、無線LAN(IEEE 802.11)を用いたネットワークシステム(無線LANシステム)や、セルラ網システム(3GPP)がある。
無線LANシステムは、例えば、図1に示すように、メディアサーバと、メディアサーバにリンク(ネットワーク)を介して接続された無線網ゲートウェイ(GW)と、無線網ゲートウェイにIP網(例えばインターネット)を介して収容されたアクセスポイント(AP)とからなり、APに対し、端末(PC(Personal Computer)、PDA(Personal Digital Assistant)等)が無線リンク(無線伝送路)を介して接続される。APと端末との間がデータ伝送路の無線区間を構成する。
通常、無線ネットワークでは通信のセキュリティを考慮して通信データの暗号化が実施される。図1に示したような無線LANシステムでは、図2に示すように、端末とAPとの間の無線区間において、IEEE802.11に基づく暗号化処理が行われる。無線LAN(IEEE802.11)では、暗号化方式として、例えば、WPA2(Wi-Fi Protected Access 2)による暗号化が施される(暗号化アルゴリズムは、TKIP(Temporal Key Integrity Protocol)又はAES(Advanced Encryption Standard))。
また、端末とGWとの間では、例えばIPsecによる暗号化処理が実施される。さらに、メディアサーバ(サーバ)と端末との間では、アプリケーションレベルの暗号化(例えば、SRTP(Secure Real-time Transport Protocol:RFC3771))が実施される。
セルラ網システム(携帯電話網システム)は、例えば図3に示すように、サーバと、サーバにリンクを介して接続されたゲートウェイ(GW:ルータ)と、GWにインターネットのようなIP網を介して接続される交換機(xGSN)と、交換機にリンクを介して接続される基地局制御装置(Radio Network Controller: RNC)と、基地局制御装置にリンクを介して接続される基地局装置(Node B又はBTS(Base Transceiver System))とを備える。基地局装置に対し、移動端末(User Equipment又はMobile Node)が無線リンク(無線伝送路)を介して接続される。移動端末と基地局装置との間がデータ伝送路の無線区間を構成する。
図3に示したようなセルラ網(3GPP)の場合には、図4に示すように、RNCと、移動端末(UE)との間において、例えばKASUMIアルゴリズムF8モードによる暗号化が実施される。UEとGWとの間、及びUEとサーバとの間では、図2に示した方式と同様の暗号化を実施することができる。
現状、無線ネットワークにおいて適用される暗号化方式は、無線区間の構築時に一意に決定され、通信毎に変更されるものではない。
無線ネットワークを利用した即時性を持つ(リアルタイムな)ストリーミング配信を実施する際には、一般に、通信プロトコルとしてRTP(Real-Time Transfer Protocol)が用いられる。RTPを利用する場合には、RTSP(Real-Time Transfer Streaming Protocol)による初期ネゴシエーションが実施される。加えて、通信中における受信側の情報をフィードバックするために、RTCP(RTP control protocol)が用いられる。更に、ストリーミング配信されるデータ(マルチメディアデータ:RTPパケット)に対して、SRTP/SRTCP(Secure RTP/ Secure Real-time Transport Protocol)のような暗号化処理が施される。
さらに、無線ネットワークを介して企業LANのような構内交換網内の端末装置にストリーミングデータを配信するときに、端末装置とGWとの間でセキュアな接続を提供するために、VPN(Virtual Private Network)設定を行い、IPsec(Security Architecture for Internet Protocol)による通信の秘匿化が行われることがある。
特開2005−347789号公報
図2及び図4に示したように、無線ネットワークにおける無線区間では、IEEE802.11に基づく暗号化に加えて、SRTPによる暗号化、及び/又はIPsecによる暗号化が実施される。このように、暗号化が重複して行われている。このため、暗号化処理が重複する。このような重複する暗号化処理は、暗号化処理を行う装置に無用の負荷を与え、また、暗号化処理のためにリソースを浪費することとなる。
本発明の態様の目的は、暗号化処理が冗長になる場合に、不要な暗号化処理が実施されないようにする技術を提供することである。
本発明の態様は、上述した目的を達成するために以下の手段を採用する。
第1の態様は、端末装置と第1中継装置との間の第1区間の通信に対する暗号化を実施する第1暗号化手段と、
端末装置から第1中継装置を経由して第2中継装置に至る、前記第1区間を含む第2区間の通信に対する暗号化を実施する第2暗号化手段と、
前記第2区間の暗号化が実施される場合に、前記第1区間の暗号化が実施されないように前記第1暗号化手段を制御する制御手段と
を含む暗号化実施制御システムである。
第1の態様は、前記制御手段が、前記第2区間のトラフィックを監視し、前記第2区間の暗号化を実施するためのトラフィックを検知した場合に、前記第2区間の暗号化が実施されると判定するように構成することができる。
第1の態様は、前記第1の暗号化手段は、前記第2区間の暗号化が実施される場合に前記制御手段から通知される指示に従って前記第1区間の暗号化の開始を待機する状態となるように構成することができる。
第1の態様は、前記制御手段が、前記第2区間で実施されていた暗号化の停止を検知した場合に、前記第1暗号化手段に前記第1区間の暗号化の開始指示を通知するように構成することができる。
第1の態様は、前記制御手段が、前記第1中継装置に備えられるように構成することができる。
第1の態様は、前記制御手段が、前記端末装置に備えられるように構成することができる。
第1の態様において、第1区間に対する暗号化方式は、例えばKASUMI暗号化を適用できる。第2区間に対する暗号化方式は、IPsecやSRTPを適用することができる。
第1の態様は、前記第1暗号化手段が、前記第1区間におけるユーザデータ用通信路及び制御データ用通信路を対象とする暗号化を行い、
前記第2暗号化手段は、前記第2区間を転送されるユーザデータに対する暗号化を行い、
前記第1暗号化手段は、前記第2区間の暗号化が実施される場合に、前記制御手段からの指示に従って、前記ユーザデータ用通信路に対する暗号化の開始を待機する一方で、前記制御データ用通信路に対する暗号化を実施するように構成することができる。
第2の態様は、データを中継する中継装置であって、
自装置と端末装置との間の第1区間の通信の暗号化を行う暗号化処理部と、
前記端末装置から自装置を経由して他の中継装置に至る、前記第1区間を含む第2区間の通信の暗号化が実施されるか否かを判定し、前記第2区間の暗号化が実施される場合に、前記暗号化部を前記第1区間の暗号化を実施しない状態にする制御部と
を含む中継装置である。
第3の態様は、2以上の中継装置を介して他の装置と通信する端末装置であって、
自装置と第1中継装置との間の第1区間について、前記第1中継装置との間で通信の暗号化を行う第1暗号化処理部と、
自装置から前記第1中継装置を経由して第2中継装置に至る前記第1区間を含む第2区間について前記第2中継装置との間で暗号化を行う第2暗号化処理部と、
前記第2区間の暗号化が実施される場合に、前記第1暗号化処理部を前記第1区間の暗号化を実施しない状態にする制御部と
を含む端末装置である。
第1の態様で採用可能な構成は、第2及び第3の態様においても適用が可能である。また、本発明は、第1〜第3の態様と同様の特徴を有する方法の発明として実現可能である。
本発明の態様によれば、暗号化処理が冗長になる場合に、不要な暗号化処理が実施されないようにすることができる。
無線LAN(IEEE802.11)システムの構成例を示す。 無線LANシステムにおける暗号化処理の例を示す。 セルラ網(3GPP)システムの構成例を示す。 セルラ網システムにおける暗号化処理の例を示す。 無線LANシステムにおいて、無線区間の暗号化処理が回避された状態を示す。 セルラ網システムにおいて、無線区間の暗号化処理が回避された状態を示す。 本実施形態におけるネットワークシステム(暗号化処理制御システム)の構成例を示す。 IPsecの概要を示す。 ESPブロックのデータ構造を示す。 具体例に係るネットワークシステム構成を示すとともに、網側の判断による第1の暗号化区間の暗号化処理制御の説明を示す。 RNCの暗号化処理部による処理例を示すフローチャートである。 RNCの判断部による処理例を示すフローチャートである。 第2の暗号化区間での暗号化処理の実施の有無を端末装置で判断する場合における第1の暗号化区間の暗号化処理制御の説明を示す。 第1の暗号化区間であるRNCとUEとの間にユーザチャネルとしてのDTCHと制御チャネルとしてのDCCHとが設けられている場合における、暗号化処理の概要を示す。
符号の説明
10・・・送信装置
20・・・通信装置(第2中継装置)
21・・・第2の暗号化区間の暗号化/復号化処理部
30・・・通信装置(第1中継装置)
31・・・第1の暗号化区間の暗号化/復号化処理部
32・・・第1の暗号化区間の暗号化/復号化処理の実施有無の判断部
40・・・端末装置
41・・・第1暗号化処理部
42・・・第2暗号化処理部
50・・・サーバ
60・・・ゲートウェイ(GW)
70・・・交換機(xGSN)
80・・・基地局制御装置(RNC)
90・・・基地局装置(Node B)
100・・・端末装置(UE)
以下、図面を参照して本発明の実施形態を説明する。実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
〔概要〕
上述したように、現状の無線ネットワークシステムでは、重複した暗号化が実施されていた。このような状況に鑑み、本発明の実施形態として、例えば、図1に示したような無線LANシステムにおけるアクセスポイント(AP)や、無線ネットワークゲートウェイ(GW)が、RTSP(Real Time Streaming Protocol)に従って、エンド−トゥ−エンド(End-to-End:例えば、メディアサーバと移動端末)でのSRTPネゴシエーションを観測することができる装置を備える。このとき、SRTPによる暗号化処理が或るRTPセッションについて実施される場合には、無線LAN(無線区間)での暗号化処理をそのRTPセッションについて実施しない。
但し、当該処理は、上記したRTPセッションと同時に発生している他のセッションやその他のメディアに関する通信から独立して実施される。例えば、移動端末(端末装置)が、ストリーミング配信と並列にWebアクセスを行う場合がある。このとき、このWebアクセスに関するセッションについて無線区間での暗号化処理が要求される場合には、無線区間での暗号化処理が実施される。
また、実施形態では、或るRTPセッションに係る通信についてIPsecが実施されるかどうかを監視し、実施される場合には、無線区間での暗号化処理を回避する。
図5は、図1に示したような無線LANシステムにおいて、無線区間の暗号化処理が回避された状態を示し、図6は、図3に示したようなセルラ網システムにおいて、無線区間の暗号化処理が回避された状態を示す。
図7は、本実施形態におけるネットワークシステム(暗号化処理制御システム)の構成例を示す図である。図7に示すネットワークシステムは、送受信装置10と、第2中継装置としての通信装置20と、第1中継装置としての通信装置30と、端末装置40とを備える。
端末装置40は、データの送受信機能を有しており、端末装置40と送受信装置10との間で送受信されるデータは、所定の通信経路を通る。この通信経路の一方の端点が端末装置40であり、他方が送受信装置10である。通信装置20及び通信装置30は、通信経路上に配置され、送受信装置10と端末装置40との間で送受信されるデータの中継装置として機能する。
このような通信経路に関して、端末装置40と通信装置30との間の区間は、この区間で送受信されるデータが暗号化される第1の暗号化区間(第1区間に相当)として定義されている。一方、端末装置40と通信装置20との間の区間は、この区間でデータが暗号化される第2の暗号化区間(第2区間に相当)として定義されている。
このように、第1の暗号化区間は、第2の暗号化区間に含まれている(重なっている)。従って、第1の暗号化区間と第2の暗号化区間との双方で並列に暗号化通信が実施される場合には、第1の暗号化区間を流れるデータは、第2の暗号化区間について適用される暗号化方式で暗号化された暗号化データが、さらに第1の暗号化区間について適用される暗号化方式で暗号化された状態となる。すなわち、第1の暗号化区間では、冗長な暗号化処理が実施される。
通常、第1の暗号化区間及び第2の暗号化区間の夫々には、異なるタイプの暗号化方式が適用される。但し、第1及び第2の暗号化区間に関して、同種類の暗号化方式が適用されることは妨げられない。
端末装置40は、第1の暗号化区間で暗号化通信を実施するための第1暗号化処理部41と、第2の暗号化区間で暗号化通信を実施するための第2暗号化処理部42とを備えている。
通信装置30は、第1暗号化区間で暗号化通信を行うための暗号化処理部31を備える。暗号化処理部31は、端末装置40の第1暗号化処理部41との間で、第1の暗号化区間について適用される暗号化方式(第1の暗号化方式)に関するネゴシエーション及び初期設定を行い、通信装置30を端末装置40との間(第1の暗号化区間)で第1の暗号化方式に基づく暗号化通信を実施可能な状態にする。
第1の暗号化区間での暗号化通信が実施される場合には、通信装置30と端末装置40との一方からは、第1の暗号化方式で暗号化された暗号化データが送信され、他方で暗号化データの復号化が実施される。
このように、暗号化処理部31及び第1暗号化処理部41は、第1の暗号化区間を流れるデータの暗号化を行う第1暗号化手段として機能する。
通信装置20は、第2暗号化区間で暗号化通信を実施するための暗号化処理部21を備えている。暗号化処理部21は、端末装置40の第2暗号化処理部42との間で、第2の暗号化方式に関するネゴシエーション及び初期設定を行い、第2の暗号化区間で適用される暗号化方式(第2の暗号化方式)に基づく暗号化通信を実施可能な状態にする。
第2の暗号化区間での暗号化通信が実施される場合には、通信装置20と端末装置40との一方からは、第2の暗号化方式で暗号化された暗号化データが送信され、他方で暗号化データの復号化が実施される。
また、暗号化処理部21及び第2暗号化処理部42は、第2の暗号化区間を対象とする暗号化及び復号化処理を行う第2暗号化/復号化手段として機能する。
通信装置30は、第2暗号化区間の暗号化実施有無の判断部32をさらに備える。判断部32は、第2の暗号化区間での暗号化の実施の有無に応じて第1の暗号化区間での暗号化の実施を制御する制御手段として機能する。
判断部32は、通信装置20と端末装置40との間(第2の暗号化区間)の通信(トラフィック)を監視し、第2の暗号化区間での暗号化が実施されるか否かを決定(判定)する。
第2の暗号化区間で暗号化が実施されない場合には、暗号化処理部31に対して特になにもしない。この場合、暗号化処理部31では、第1の暗号化区間の暗号化に関するネゴシエーション及び初期設定が実施され、第1の暗号化区間を送受信されるデータの暗号化/復号化処理が実施される。
これに対し、第2の暗号化方式による暗号化が実施される場合には、判断部32は、暗号化処理部31による暗号化処理(データの暗号化/復号化)を停止(中止)させることができる。
また、判断部32は、第2の暗号化区間の監視において、第2の暗号化区間の暗号化が停止されたことを検知したときに、暗号化処理部31による第1の暗号化区間の暗号化が中止状態であれば、暗号化処理部31に対して暗号化処理を開始させることができる。
このように、第1の暗号化区間に対する暗号化は、第2の暗号化区間の暗号化が実施されるか否かの判断結果に基づいて実施される。このため、通信装置30の判断部32にて、第2の暗号化区間に対する暗号化が行われるか否かがチェックされる。
第2の暗号化区間に対する暗号化が行われる場合には、第1の暗号化区間に対する暗号化を実施せず、第2の暗号化区間の暗号化が実施されない場合には、第1の暗号化区間の暗号化が実施される。さらに、第1の暗号化区間に対する暗号化が停止された後、第2の暗号化区間の暗号化が行われなくなったことが検知(検出)された場合には、第1の暗号化区間に対する暗号化が開始(再開)される。
ここで、第1の暗号化区間に対する暗号化に関して、第2の暗号化区間に対する暗号化が行われるか否かに関わらず、第1の暗号化区間の暗号化に関して必要な設定のすべてが実施され、第1の暗号化区間に対する暗号化の開始を保留させる。
また、第1の暗号化区間が、第2の暗号化区間から独立した通信路を持つ場合、例えば3GPPシステムにおいて、ユーザデータを取り扱うDTCH(Dedicated Traffic CHannel)とは独立した制御チャネルとしてのDCCH(Dedicated Control CHannel)が存在するような場合には、DTCHのみが暗号化を実施するか否かの制御対象とされ、DCCHは制御対象に含まれない(第2の暗号化区間とは無関係に暗号化が行われる)ようにすることができる。
なお、図7では、暗号化処理部31と判断部32とを通信装置30が備える例が示されている。但し、判断部32は、暗号化処理部31と物理的に離れた位置(例えば、通信装置30と異なる装置)に位置していても良い。すなわち、暗号化処理部31には、判断部32における判断結果に基づく暗号化処理の開始/停止指示が伝達され、暗号化処理部31が開始/停止指示に従って、制御対象の通信に係るデータに対する暗号化処理を実施するように構成されていれば良い。
〔具体例〕
〈IPsecの概要〉
図8は、IPsecの概要を示す。IPsecでは、通信開始前に暗号化方法に関するネゴシエーションがIKE(Internet Key Exchange:RFC2409)の手順で実施される。
フェーズ1では、通信を行うホスト(装置)間で、フェーズ2で利用する暗号方式を決定するとともに、暗号化のための暗号鍵を生成する。フェーズ1で生成された暗号鍵は装置間で共有される。
フェーズ2では、共有された鍵を用いてIPsecで使用する暗号方式や暗号鍵など(SA:security association)を決定する。この手順は特定のパケットを用いて行われる。例えば、ISAKMP(Internet Security Association and Key Management Protocol:RFC2408)のパケットがこのフェーズ2で利用される。
このため、図7に示したネットワークシステムにおいて、例えば、通信装置20と端末装置40との間で実施されるISAKMPパケットを用いたIKEシーケンスを確認することは、これらの中間に位置する通信装置30(の判断部32)で可能である。
ISAKMPは、IANA(Internet Assigned Number Authority)によってTCP/UDP(Transfer Control Protocol/User Datagram Protocol)のポート番号“500”が割り当てられている。
図9は、ESPブロックのデータ構造を示す。IKEによるネゴシエーションが完了したら、IPsecでは、ESP(Encapsulating Security Payload)と呼ばれるブロックに転送対象のデータブロック(図9の例では、TCP/UDPパケット)がカプセル化される。すなわち、カプセル化されるデータブロックがESP中のペイロードデータ格納領域にマッピングされる。
ESPブロックはIPヘッダが付与されて転送される(IPヘッダが付与されたESPブロックを「ESPパケット」と称する)。ESPパケットのペイロード、すなわちESPブロックはIPsecに基づき暗号化される。このため、ESPパケットは、セキュアな環境で転送される。なお、ESPブロックに付与されるIPヘッダの“Next Header field”には、ESP用に割り当てられた番号“50”が格納される。
IPsecには、トランスポート・モードと、トンネル・モードとがある。トランスポート・モードでは、送信ホストが送信対象の元データを暗号鍵で暗号化し、IPヘッダを付与して送信する。このIPパケットは、受信ホストで受信される。受信ホストは、IPパケットからヘッダを除去し、残ったデータ部分に対する復号化処理を行うことで、元データを得る。
このように、トランスポート・モードでは、送信ホストと受信ホストとの間で、暗号化されたデータ(ESPブロック)を有するIPパケットが送受信される。
トンネル・モードでは、送信ホストから送信側ゲートウェイにIPパケットが転送される。送信側ゲートウェイ(IPsec処理ゲートウェイ)は、送信ホストからのIPパケットを暗号化し、IPパケット中にカプセル化し、受信側ゲートウェイ(IPsec処理ゲートウェイ)へ転送する。受信側ゲートウェイでは、IPパケットからIPヘッダを除去し、残りのデータ部分を復号化して、元のIPパケットを得る。受信側ゲートウェイは、このIPパケットを暗号化することなく受信ホストへ転送する。このように、トンネル・モードでは、ゲートウェイ間の通信のみに暗号化が施される。
本実施形態では、IPsecのトランスポート・モードが使用される場合を想定する。
図10は、具体例に係るネットワークシステム構成を示すとともに、網側の判断による第1の暗号化区間の暗号化処理制御の説明を示す。
図10に示すように、具体例に係るシステムとして、セルラ網システム(3GPP)が示されている。セルラ網システムは、データ要求に応じてストリーミングデータのようなデータ配信を行うサーバ50と、サーバにリンクを介して接続されたゲートウェイ(GW)60と、GW60にIP網(例:インターネット)を介して接続される交換機(xGSN)70と、xGSN70にリンクを介して接続される基地局制御装置(RNC)80と、RNC80にリンクを介して接続される基地局装置(Node B)90とを備え、基地局装置90に対して端末装置(UE)100が無線リンク(無線伝送路)を介して接続される。
図10において、サーバ50とUE100とが通信経路の二つの端点となる。この通信経路上において、UE100とRNC80との間の区間が、図7を用いて説明した第1の暗号化区間に相当し、UE100とGW80との間の区間が、第1の暗号化区間を含む第2の暗号化区間に相当する。
UE100は、図7に示したような、第1暗号化処理部41及び第2暗号化処理部42を備えた端末装置40に相当する。また、RNC80が、暗号化処理部31及び判断部32を備えた通信装置30に相当する。また、GW60が、暗号化処理部21を備えた通信装置20に相当する。そして、サーバ50が、図7における送信装置10に相当する。
第1の暗号化区間では、RNC80とUE100との間で、例えば、KASUMIアルゴリズムF8モード(KASUMI暗号化:第1の暗号化方式)による暗号化通信を実施可能である。このため、第1の暗号化区間では、RNC80とUE100との間で通信コネクション(無線リンクを含む)の確立処理が行われる。さらに、第1の暗号化区間での暗号化を行うために、RNC80の暗号化処理部31とUE100の第1暗号化処理部41との間で行われるネゴシエーション(メッセージ交換)が実施され、このネゴシエーションの結果に応じた暗号化の初期設定がRNC80の暗号化処理部31及びUE100の第1暗号化処理部41の夫々において行われる。これによって、第1の暗号化区間において、暗号化通信が可能な状態となる(図10(1))。
第2の暗号化区間では、GW60とUE100との間で、IPsec(トランスポート・モード:第2の暗号化方式)による暗号化通信を実施可能である。この第2の暗号化方式による暗号化通信を開始するために事前に実行される初期設定は、GW60の暗号化処理部21とUE100の第2暗号化処理部42との間で行われるネゴシエーション(メッセージ交換:IKE)を通じて実施される。
RNC80における判断部32は、第2の暗号化区間の暗号化に関わるネゴシエーションを実施しているトラフィックを観測することができる。この観測結果を元に、第2の暗号化区間に対する暗号化が行われるか否かを判断することができる。
例えば、判断部32は、RNC80を通過するIPパケットのIPアドレス及びポート番号から、GW60とUE100との間の暗号化ネゴシエーションに関するトラフィックを検出することができる。トラフィックを識別するための情報(IPアドレス等)に関して、GW80のIPアドレスが予めRNC80の判断部32に設定される。また、RNC80は、例えば、UE100とのコネクション確立手順の際に、UE100からそのIPアドレスを取得することができる。
上述したように、ISAKMPには、IANAによってTCP/UDPのポート番号“500”が割り当てられている。このため、判断部32は、ポート番号“500”を有するGW60とUE100との間のトラフィック(パケット)の有無をチェックすることで、IPsecのネゴシエーションが行われているか否かを判断することができる。
また、IPsecによって暗号化されたパケットには、IPヘッダの“Next Header Field”に“50番”が割り当てられる。このため、判断部32は、GW60とUE100との間を転送されるIPパケットが上記した“50番”を有するか否かを判断することで、両者間で通信中のパケットが暗号化されているか否かを確認することができる。
判断部32は、上記トラフィック観測を通じて、GW60の暗号化処理部21とUE100の第2暗号化処理部42との間で実施されるIPsecネゴシエーション(図10(2))を確認した場合には、第1の暗号化区間の暗号化は不要と判断する(図10(3))。このような判断時における、第1の暗号化区間の状況に応じて、判断部32は以下のような処理を行う。
すなわち、第1の暗号化区間に関する暗号化が不要と判断した場合において、暗号化処理の初期設定が完了済みであるが、暗号化処理が開始されていない状況(暗号化開始待機状態)の下では、判断部32は、暗号化処理部31に対してその待機状態を維持するための指示を与える。暗号化処理部31は、指示に従って待機状態を維持する。
これに対し、暗号化処理部31が既に暗号化を開始していた場合には、判断部32は、暗号化処理部31に対して暗号化の停止指示を与える。暗号化処理部31は、停止指示に従って、暗号化/復号化処理を停止(中止)する。
また、暗号化処理部31における暗号化の初期設定が完了していない場合には、判断部32は、暗号化処理部31に対して初期設定完了後における暗号化開始を停止するための指示を与える。この場合、暗号化処理部31は、指示に従って、暗号化開始の停止状態(開始指示待ち状態)となる。
上記したいずれの場合においても、判断部32は、暗号化処理部31に対して、暗号化処理部31が暗号化の開始待機状態となるための指示(待機指示と呼ぶ)を与える。これによって、第1の暗号化区間に関する暗号化が中止された状態となる(図10(4))。暗号化処理部31で暗号化が中止される場合には、この中止がUE100に通知され、UE100の第1暗号化処理部41でも、暗号化/復号化処理が中止される。
これに対し、第2の暗号化区間では、この区間に関する初期設定完了後、GW60の暗号化処理部21とUE100の第2暗号化処理部42との間で、IPsecによる暗号化通信が実施される。例えば、UE100がサーバ50からダウンロードするストリーミングデータ(図10(5))に対し、IPsecによる暗号化処理が施される(図10(6))。暗号化処理部21で実施された暗号化は、UE100の第2暗号化処理部42で復号される。このため、無線リンクを含む第1の暗号化区間でも、IPsecによるセキュリティが確保される。このようにして、第1の暗号化区間で冗長な暗号化が実施されないようにすることができる。
その後、判断部32は、第2の暗号化区間の暗号化を監視し、暗号化が停止されたと判断すると(図10(7))、暗号化処理部31に暗号化の開始指示を与え、第1の暗号化区間の暗号化を開始(再開を含む)させることができる。このとき、暗号化の開始がUE100の第1暗号化処理部41に通知される。これによって、無線リンクを含む第1の暗号化区間でのセキュリティが確保される。
第2の暗号化区間における暗号化の停止は、例えば、UE100と網(GW60)との間における仮想閉域網(VPN)接続の終了に伴って行われる。判断部32は、GW60とUE100とのトラフィックから両者間のネゴシエーションを監視し、仮想閉域網(VPN)の解除を認識することが可能である。或いは、固定であるVPN接続に関して宛先が変更された場合でも認識が可能である。
図11は、RNC80の暗号化処理部31による処理例を示すフローチャートであり、図12は、RNC80の判断部32による処理例を示すフローチャートである。
図11に示す処理は、RNC80とUE100との間で、基地局90を介したコネクションの確立を契機に開始される。暗号化処理部31は、UE100の第1暗号化処理部41との間で、第1の暗号化区間に対する暗号化に関するネゴシエーション及び初期設定を行う(OP01)。
このネゴシエーション及び初期設定中において、暗号化処理部31は、判断部32から待機指示を受信したか否かを判定する(OP02)。待機指示が受信された場合には、暗号化処理部31は、ネゴシエーション及びネゴシエーション結果に基づく初期設定の終了後、暗号化開始を待機する状態となる(OP03)。
これに対し、待機指示がない場合には、暗号化処理部31は、ネゴシエーション及び初期設定が終了したか否かを判定し(OP04)、ネゴシエーション及び初期設定が終了していない場合には、処理をOP01に戻す。ネゴシエーション及び初期設定が終了している場合には、暗号化処理部31は、暗号化を開始するまでの間に、待機指示を判断部32から受信したか否かを判定する(OP05)。
このとき、判断部32からの待機指示を受信した場合には、暗号化処理部31は、暗号化開始の待機状態となる(OP06)。暗号化開始までに待機指示がない場合には、暗号化処理部31は、暗号化を開始する(OP07)。
暗号化の開始後、暗号化処理(暗号化/復号化)が行われている際に、判断部32から待機指示が与えられた場合には(OP08;YES)、暗号化処理部31は、暗号化処理を停止して、暗号化の開始を待機する状態となる(OP09)。
待機指示がない場合(OP08;NO)には、暗号化処理部31は、通信終了か否かを判定し(OP10)、通信終了であれば、所定の終了処理を行い、図11の処理を終了する。これに対し、通信終了でなければ、処理をOP08に戻す。
上述したOP03、OP06及びOP09の処理により、暗号化処理部31は、待機指示に従って、暗号化の開始を待機する状態(暗号化実施のサスペンド状態)となる。この場合、暗号化処理部31は、判断部32からの暗号化の開始(再開を含む)の指示を待ち受ける状態となる(OP12)。
判断部32から開始指示が与えられた場合には、処理がOP07へ進み、サスペンド状態が解除され、暗号化処理が開始される。開始指示がない場合には、通信終了か否かが判定される(OP12)。このとき、通信終了でなければ、処理がOP11に戻り、通信終了であれば、所定の終了処理が行われ、図11の処理が終了する。
図12に示す処理は、例えば、RNC80とUE100との間で、基地局90を介したコネクションの確立を契機に開始される。判断部32は、GW60とUE100との間のトラフィックを監視し(OP21)、第2の暗号化区間に関する暗号化処理が実施されるか否かを判定する(OP22)。
第2の暗号化区間に関する暗号化処理が実施される場合には、判断部32は、暗号化処理部31に対して待機指示を送信する(OP23)。これにより、暗号化処理部31が第1の暗号化区間の暗号化開始の待機状態となる。
その後、判断部32は、トラフィックの監視を継続し(OP24)、第2の暗号化区間の暗号化が停止されたか否かを判定する(OP25)。暗号化が停止された場合には、判断部32は、第1の暗号化区間に対する暗号化の開始(再開を含む)指示を暗号化処理部31に送信する(OP26)。これによって、第1の暗号化区間での暗号化処理が開始される。このような暗号化の中止は、UE100の第1暗号化処理部41にも通知される。
その後、通信終了か否かが判定され(OP27)、通信終了でなければ、処理がOP21に戻る。通信終了であれば、判断部32は、必要に応じて終了処理を行い、図12の処理を終了する。
図10〜図12に示した例では、RCE80が判断部32を備える。これに対し、判断部32は、端末装置(UE)が備えるように構成することもできる。即ち、端末装置側で、IPsecによる網との通信を実施する場合に、網側に対して第2の暗号化区間での暗号化を実施するため第1の暗号化区間での暗号化は不要である旨を通知することでも実現可能である。例えば、セルラ網システム(3GPP)の場合では、端末装置は、網側との制御リンク(制御チャネル:DCCH)を有する。この制御チャネルを用いて、第1の暗号化区間の暗号化(例えばKASUMI暗号化)を停止することを通知することが可能である。第1の暗号化処理を制御する網側装置(図7の通信装置30)に対して、第1の暗号化区間の暗号化処理を停止(中止)することを通知する手段(機構)を別途設けても良い。
図13は、第2の暗号化区間での暗号化処理の実施の有無を端末装置としてのUE100で判断する場合における第1の暗号化区間の暗号化処理制御の説明を示す。
図13におけるセルラ網システムは、図10に示したシステムとほぼ同様の構成を備える。但し、この例では、UE100が、第2の暗号化区間に関する暗号化の実施有無を判断する判断部32を備えている。
図13において、UE100は、第1の暗号化区間に関する暗号化処理を行う網側装置であるRNC80との間で、無線リンクを含むコネクションの確立処理、及び第1の暗号化区間に対する暗号化処理の初期設定が実施される(図13(1))。
その後、GW60とUE100との間で、第2の暗号化区間に対する暗号化処理(IPsec)のネゴシエーション及び初期設定が実施されたと仮定する(図13(2))。
このような初期設定は、GW60の暗号化処理部21とUE100の第2暗号化処理部42との間で実施される。このため、判断部32は、例えば、第2暗号化処理部42から、第2の暗号化区間に対する暗号化初期設定の実施の通知を受け取ることで、第2の暗号化区間の暗号化が実施されることを認識(判断)することができる(図13(3))。
すると、UE100は、RNC80に対して、第1の暗号化区間に対する暗号化開始の待機指示(暗号化処理が不要である旨)を通知する。このとき、例えば、両者間を接続する制御チャネル(DCCH)を用いることができる。これによって、第1の暗号化区間の暗号化の開始が中止される(図13(4))。
その後、例えば、UE100がサーバ50からストリーミングデータのようなデータをダウンロードする場合には、サーバ50からUE100へ転送されるデータ(図13(5))に対し、GW60の暗号化処理部21でIPsecに基づく暗号化処理が行われ、UE100まで転送される。UE100では、第2暗号化処理部42がデータの復号を行う。このような処理は、図10の例と同様である。
その後、UE100が、例えばGW60との間でのVPN解除を行うことによって、UE100の判断部32は、第2の暗号化区間に対する暗号化が停止されると認識(判断)することができる(図13(7))。
この場合、UE100は、RNC80の暗号化処理部31に対して、第1の暗号化区間に対する暗号化の開始(再開)指示を、例えば制御チャネルを介して通知することができる。これによって、第1の暗号化区間での暗号化処理が開始される(図13(8))。
このように、端末装置で第2の暗号化区間の暗号化の実施の有無が判断される場合には、端末装置(ここではUE100)は、第1の暗号化区間の暗号化処理を実施する装置(ここではRNC80)に対して、暗号化処理開始の待機指示(中止指示)や、暗号化処理の開始(再開)指示を通知する通知手段を備えた装置として機能する。
図13に示す例における、RNC80の暗号化処理部31の処理は、図11に示した処理と同様である。但し、待機指示や開始(再開)指示は、UE100からRNC80へ通知されたものを受信する。
一方、UE100における判断部32の処理は、図12に示した処理と同様である。即ち、UE100における判断部32は、OP21やOP24において、第2暗号化処理部42による第2の暗号化区間の暗号化に関するネゴシエーション(トラフィック)を監視して、第2の暗号化区間の暗号化の実施及び停止を判定することができる。
判断部32は、第2の暗号化区間の暗号化の実施を判定(検知)した場合には、第1の暗号化区間の暗号化開始の待機指示をRNC80へ送信(通知)する(OP23)。また、第2の暗号化区間の暗号化の停止を判定(検知)した場合には、第1の暗号化区間に対する暗号化開始(再開)指示をRNC80へ送信(通知)する(OP25)。これらの指示は、UE100とRNC80との間を結ぶ制御リンクを用いて通知することができる。
なお、上記の説明では、サーバ50からUE100へのデータ転送方向(下り方向)に関して説明したが、UE100からサーバ50へのデータ転送方向(上り方向)についても、同様の処理が行われる。
ところで、第1の暗号化区間における通信経路として、ユーザデータ用の通信路(DTCHのようなユーザチャネル)と制御データ用の通信路(DCCHのような制御チャネル)とが独立に存在する場合には、第1の暗号化区間に対する暗号化の中止(開始の待機)は、ユーザデータ用の通信路(DCCH)のみを対象とする。
第1の暗号化区間の暗号化(例えばKASUMI暗号化)は、DTCHとDCCHとの双方を対象として行われる。これに対し、第2の暗号化区間に対して実施されるIPsecの暗号化は、ユーザデータのみを対象とする。よって、DCCHに対する暗号化が停止されないようにすることで、DCCHのトラフィックに対するセキュリティを確保することができる。
図14は、第1の暗号化区間であるRNC80とUE100との間にユーザチャネルとしてのDTCHと制御チャネルとしてのDCCHとが設けられている場合における、暗号化処理の概要を示す。
図14に示すように、第1の暗号化区間に対する暗号化処理が実施される場合には、DTCH及びDCCHの双方のトラフィックを対象とした暗号化処理が実施される。これに対し、待機指示によって第1の暗号化区間に対する暗号化処理が中止(停止)される場合には、DTCHのみが停止の対象となり、DCCHに対する暗号化処理は停止されない。よって、図10(4)及び図13(4)の動作、及び図11に示したOP、図11のOP03、OP06及びOP09の処理は、ユーザチャネルであるDTCHのみを対象として実施される。
なお、上記した具体例では、第2の暗号化区間で実施される暗号化方式がIPsecである場合について説明したが、他の暗号化方式(例えばSRTP)であっても良い。また、第1の暗号化区間で実施される暗号化方式もKASUMI暗号化に限られない。
また、無線網制御装置と第1の暗号化区間に対する暗号化処理を行う装置とが物理的に分離されている場合で、第2の暗号化処理が行われているか否かを無線ネットワーク制御装置が観測する態様も採用することができる。例えば、RNC80が判定部32を有し、基地局装置90が暗号化処理部31を備える場合である。
この場合、RNC80は、第2の暗号化区間のトラフィックを監視することによって第1の暗号化区間の暗号化を行わないと判断した場合に、基地局装置90に、暗号化を行わないことを通知する。この場合、基地局装置90は、第1の暗号化区間の暗号化を行わないために、対向する端末装置(UE100)に対して第1の暗号化区間の暗号化を行わないように制御する。また、基地局装置90が備える暗号化処理部31は、自らの暗号化処理を実施しない。
〈実施形態の効果〉
本発明の実施形態によれば、第2の暗号化区間の暗号化の実施に応じて、第2の暗号化区間と重複する第1の暗号化区間での暗号化を中止することができる。また、第2の暗号化区間の暗号化の停止に応じて、第1の暗号化区間における暗号化を開始(再開)することもできる。
従って、第1の暗号化区間に対して不要な暗号化処理を行わずにすむ。このため、ネットワークの処理能力に対する影響を抑えることができ、システムの容量向上に繋がる。例えばセルラ網(3GPP)システムの場合において、暗号化処理を行わないことは、処理可能なコネクション数を倍増させることが可能である。また、第1の暗号化区間中の無線区間に係る暗号化処理上で暗号化の同期外れが発生して暗号化や復号化が失敗することや、この失敗に基づく通信障害を回避することが可能となる。さらに、暗号化処理を実施しないことで、暗号化処理を行う装置での消費電力低減を図ることができる。

Claims (3)

  1. 端末装置と第1中継装置との間の第1区間の通信に対する暗号化を実施する第1暗号化手段と、
    端末装置から第1中継装置を経由して第2中継装置に至る、前記第1区間を含む第2区間の通信に対する暗号化を実施する第2暗号化手段と、
    前記第2区間の暗号化が実施される場合に、前記第1区間の暗号化が実施されないように前記第1暗号化手段を制御する制御手段とを含み、
    前記制御手段は、前記第2区間のトラフィックを監視し、前記第1の区間の暗号化を実施するためのメッセージ交換の終了後に、前記第2区間の暗号化を実施するためのトラフィックを検知した場合に、前記第2区間の暗号化が実施されると判定し、第1の区間の暗号化を中断する
    む暗号化実施制御システム。
  2. データを中継する中継装置であって、
    自装置と端末装置との間の第1区間の通信の暗号化を行う暗号化処理部と、
    前記端末装置から自装置を経由して他の中継装置に至る、前記第1区間を含む第2区間の通信の暗号化が実施されるか否かを判定し、前記第2区間の暗号化が実施される場合に、前記暗号化部を前記第1区間の暗号化を実施しない状態にする制御部とを含み、
    前記制御部は、前記第2区間のトラフィックを監視し、前記第1の区間の暗号化を実施するためのメッセージ交換の終了後に、前記第2区間の暗号化を実施するためのトラフィックを検知した場合に、前記第2区間の暗号化が実施されると判定し、第1の区間の暗号化を中断する
    中継装置。
  3. 2以上の中継装置を介して他の装置と通信する端末装置であって、
    自装置と第1中継装置との間の第1区間について、前記第1中継装置との間で通信の暗号化を行う第1暗号化処理部と、
    自装置から前記第1中継装置を経由して第2中継装置に至る前記第1区間を含む第2区間について前記第2中継装置との間で暗号化を行う第2暗号化処理部と、
    前記第2区間の暗号化が実施される場合に、前記第1暗号化処理部を前記第1区間の暗
    号化を実施しない状態にする制御部とを含み、
    前記制御部は、前記第2区間のトラフィックを監視し、前記第1の区間の暗号化を実施するためのメッセージ交換の終了後に、前記第2区間の暗号化を実施するためのトラフィックを検知した場合に、前記第2区間の暗号化が実施されると判定し、第1の区間の暗号化を中断する
    端末装置。
JP2009546117A 2007-12-19 2007-12-19 暗号化実施制御システム Expired - Fee Related JP5316423B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/074439 WO2009078103A1 (ja) 2007-12-19 2007-12-19 暗号化実施制御システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2013013729A Division JP5408372B2 (ja) 2013-01-28 2013-01-28 暗号化実施制御システム

Publications (2)

Publication Number Publication Date
JPWO2009078103A1 JPWO2009078103A1 (ja) 2011-04-28
JP5316423B2 true JP5316423B2 (ja) 2013-10-16

Family

ID=40795229

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009546117A Expired - Fee Related JP5316423B2 (ja) 2007-12-19 2007-12-19 暗号化実施制御システム

Country Status (4)

Country Link
US (1) US20100257355A1 (ja)
EP (1) EP2226967B1 (ja)
JP (1) JP5316423B2 (ja)
WO (1) WO2009078103A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101562813B (zh) * 2009-05-12 2012-01-11 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端
JP4910035B2 (ja) * 2009-11-13 2012-04-04 株式会社東芝 電子機器および通信制御方法
US9179303B2 (en) * 2010-11-17 2015-11-03 Qualcomm Incorporated Methods and apparatus for transmitting and receiving secure and non-secure data
US9414223B2 (en) * 2012-02-17 2016-08-09 Nokia Technologies Oy Security solution for integrating a WiFi radio interface in LTE access network
JP6107610B2 (ja) * 2013-11-12 2017-04-05 富士通株式会社 情報処理装置、情報処理システム、情報処理方法、および情報処理プログラム
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
CN107846567B (zh) * 2017-11-02 2020-12-29 苏州科达科技股份有限公司 一种srtp能力协商方法及会议终端
JP7207445B2 (ja) * 2021-03-26 2023-01-18 株式会社富士通ゼネラル 空気調和機及び空気調和システム

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10224409A (ja) * 1997-02-07 1998-08-21 Oki Electric Ind Co Ltd 通信システム
JP2002359631A (ja) * 2001-05-24 2002-12-13 Ricoh Co Ltd コネクションセキュリティに基づいてネットワークリソースへのアクセスを制御する方法及びシステム
JP2005244379A (ja) * 2004-02-25 2005-09-08 Nec Commun Syst Ltd Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法
JP2006157454A (ja) * 2004-11-29 2006-06-15 Sharp Corp 通信装置及びゲートウェイ装置
WO2006093079A1 (ja) * 2005-02-28 2006-09-08 Nec Corporation 通信システム、通信装置、通信方法、及びプログラム
JP2007020001A (ja) * 2005-07-08 2007-01-25 Ntt Docomo Inc 通信制御装置、通信制御方法
JP2007036834A (ja) * 2005-07-28 2007-02-08 Canon Inc 暗号装置、プログラム、記録媒体、および方法
JP2007043566A (ja) * 2005-08-04 2007-02-15 Micro Research Laboratory Inc 無線lanの暗号制御装置および暗号化システム
US20070043940A1 (en) * 2005-08-22 2007-02-22 Alcatel Mechanism to avoid expensive double-encryption in mobile networks
JP2008118224A (ja) * 2006-10-31 2008-05-22 Toshiba Corp 電話システムとその暗号化処理方法
WO2008155066A2 (en) * 2007-06-19 2008-12-24 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JP2000031980A (ja) * 1998-07-10 2000-01-28 Kokusai Electric Co Ltd 無線lanシステムとその暗号化方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10224409A (ja) * 1997-02-07 1998-08-21 Oki Electric Ind Co Ltd 通信システム
JP2002359631A (ja) * 2001-05-24 2002-12-13 Ricoh Co Ltd コネクションセキュリティに基づいてネットワークリソースへのアクセスを制御する方法及びシステム
JP2005244379A (ja) * 2004-02-25 2005-09-08 Nec Commun Syst Ltd Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法
JP2006157454A (ja) * 2004-11-29 2006-06-15 Sharp Corp 通信装置及びゲートウェイ装置
WO2006093079A1 (ja) * 2005-02-28 2006-09-08 Nec Corporation 通信システム、通信装置、通信方法、及びプログラム
JP2007020001A (ja) * 2005-07-08 2007-01-25 Ntt Docomo Inc 通信制御装置、通信制御方法
JP2007036834A (ja) * 2005-07-28 2007-02-08 Canon Inc 暗号装置、プログラム、記録媒体、および方法
JP2007043566A (ja) * 2005-08-04 2007-02-15 Micro Research Laboratory Inc 無線lanの暗号制御装置および暗号化システム
US20070043940A1 (en) * 2005-08-22 2007-02-22 Alcatel Mechanism to avoid expensive double-encryption in mobile networks
JP2008118224A (ja) * 2006-10-31 2008-05-22 Toshiba Corp 電話システムとその暗号化処理方法
WO2008155066A2 (en) * 2007-06-19 2008-12-24 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network

Also Published As

Publication number Publication date
US20100257355A1 (en) 2010-10-07
JPWO2009078103A1 (ja) 2011-04-28
EP2226967A4 (en) 2014-04-30
WO2009078103A1 (ja) 2009-06-25
EP2226967A1 (en) 2010-09-08
EP2226967B1 (en) 2017-10-25

Similar Documents

Publication Publication Date Title
JP5316423B2 (ja) 暗号化実施制御システム
US7817622B2 (en) Unlicensed mobile access optimization
CA2466912C (en) Enabling secure communication in a clustered or distributed architecture
KR101213285B1 (ko) 이동통신 시스템에서 아이들모드 단말기의 세션 설정 프로토콜 데이터를 전송하는 방법 및 장치
EP2398263B1 (en) Secure and seamless WAN-LAN roaming
US8732816B2 (en) Method and apparatus for exchanging data between a user equipment and a core network via a security gateway
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
US20060230445A1 (en) Mobile VPN proxy method based on session initiation protocol
WO2012022145A1 (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
JP2008527826A (ja) 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置
JP2015525018A (ja) コール確立時間を短縮させるシステムおよび方法
EP3510803B1 (en) Secure link layer connection over wireless local area networks
US10313877B2 (en) Method and system for facilitating participation of an intermediary network device in a security gateway communication between at least one base station and a core network portion in a cellular communication network
CN101572644A (zh) 一种数据封装方法和设备
US11006346B2 (en) X2 service transmission method and network device
JP2011176395A (ja) IPsec通信方法およびIPsec通信システム
JP5408372B2 (ja) 暗号化実施制御システム
CN103023741A (zh) Vpn设备故障处理方法
EP1708449A1 (en) Mobile VPN proxy method based on session initiation protocol
KR20190074614A (ko) 동적 터널링 기반 트래픽 전송 시스템, 그리고 이의 시그널링 방법
US20240022903A1 (en) Early data communication in an inactive state
JP2011077887A (ja) パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム
WO2023133235A1 (en) Managing small data transmission in a distributed base station
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법
Alshalan MobiVPN: Towards a Reliable and Efficient Mobile VPN

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130624

R150 Certificate of patent or registration of utility model

Ref document number: 5316423

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees