JP7246430B2 - ネットワークセキュリティアーキテクチャ - Google Patents
ネットワークセキュリティアーキテクチャ Download PDFInfo
- Publication number
- JP7246430B2 JP7246430B2 JP2021078681A JP2021078681A JP7246430B2 JP 7246430 B2 JP7246430 B2 JP 7246430B2 JP 2021078681 A JP2021078681 A JP 2021078681A JP 2021078681 A JP2021078681 A JP 2021078681A JP 7246430 B2 JP7246430 B2 JP 7246430B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- client device
- iotf
- context
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 105
- 238000012545 processing Methods 0.000 claims description 94
- 238000012546 transfer Methods 0.000 claims description 50
- 235000008694 Humulus lupulus Nutrition 0.000 claims 1
- 230000006870 function Effects 0.000 description 194
- 238000003860 storage Methods 0.000 description 107
- 238000004891 communication Methods 0.000 description 77
- 238000010586 diagram Methods 0.000 description 41
- 230000005540 biological transmission Effects 0.000 description 30
- 230000011664 signaling Effects 0.000 description 25
- 230000008569 process Effects 0.000 description 23
- 238000007726 management method Methods 0.000 description 19
- 230000032258 transport Effects 0.000 description 15
- 230000004044 response Effects 0.000 description 8
- 230000007704 transition Effects 0.000 description 8
- 238000013461 design Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 238000011112 process operation Methods 0.000 description 6
- 238000007792 addition Methods 0.000 description 5
- 230000005641 tunneling Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000013524 data verification Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000003116 impacting effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000005022 packaging material Substances 0.000 description 2
- 101150083807 HSD17B10 gene Proteins 0.000 description 1
- 108091005487 SCARB1 Proteins 0.000 description 1
- 102100037118 Scavenger receptor class B member 1 Human genes 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本特許出願は、2015年7月12日に米国特許商標庁に出願された仮出願第62/191,459号、および2016年5月20日に米国特許商標庁に出願された非仮出願第15/160,326号に対する優先権を主張し、これらの出願の内容全体が、参照により本明細書に組み込まれる。
図1は、本開示の様々な態様による、IoTネットワークアーキテクチャ100のブロック図である。図1に示されるように、IoTネットワークアーキテクチャ100は、クライアントデバイス102(IoTデバイスとも呼ばれる)、ネットワークアクセスノード104、ネットワークデバイス105、サービスネットワーク110、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ112を含む。一態様では、ネットワークアクセスノード104は、eNB、基地局、またはネットワークアクセスポイントであり得る。一態様では、ネットワークデバイス105は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。本開示の一態様では、IoTFは、制御プレーンIoT機能(IoTF-C)106およびユーザプレーンIoT機能(IoTF-U)108を含み得る。たとえば、IoTF-C106は第1のネットワークノード107において実装されることがあり、IoTF-U108は第2のネットワークノード109において実装されることがある。本明細書において開示される様々な態様によれば、「ノード」という用語は、処理回路、デバイス、サーバ、またはネットワークエンティティなどの、ネットワークデバイス105に含まれる物理エンティティを表し得る。したがって、たとえば、ネットワークノードはネットワークノードデバイスと呼ばれ得る。
図2は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)の鍵階層200を示す図である。図2では、鍵KIOT202は、クライアントデバイス(たとえば、クライアントデバイス102)のUniversal Mobile Telecommunications System(UMTS)加入者識別モジュール(USIM)およびネットワークの認証センター(AuC)において永続的に記憶される秘密鍵であり得る。完全性鍵(IK)および暗号鍵(CK)(図2においてIK、CK204として示されている)は、AKA手順の間にAuCおよびUSIMにおいて導出される一対の鍵である。図1を参照すると、AKA手順の間、IoTF-C106は、HSS/AAAサーバ112から認証ベクトル(AV)を受信することができ、認証ベクトルはアクセスセキュリティ管理エンティティ(ASME)からの鍵(KASME206として図2に示されている)を含む。IoTF-C106は、鍵KASME206から制御プレーン鍵(KCP)208およびユーザプレーン鍵(KUP)214を導出することができる。IoTF-C106は、鍵KUP214をIoTF-U108に提供することができる。IoTF-C106は、鍵KCP208から暗号鍵KIoT-CPenc210および完全性保護鍵KIoT-CPint212を導出することができる。IoTF-U108は、鍵KUP214から暗号鍵KIoT-UPenc216および完全性保護鍵KIoT-UPint218を導出することができる。
ワイヤレス通信システム(たとえば、LTEネットワーク)において、ネットワーク状態は、モビリティ管理(たとえば、発展型パケットシステムモビリティ管理(EMM))のためにクライアントデバイスに対して定義される。そのようなネットワーク状態は、クライアントデバイスとネットワークの中の他のエンティティとの間の効率的な通信を可能にする。本開示のある態様では、クライアントデバイス(たとえば、図1のクライアントデバイス102)は、未登録状態または登録状態にあり得る。
本開示のある態様では、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキストが、クライアントデバイスのために生成され得る。たとえば、図1を参照すると、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、アップリンク(UL)データ送信のためにIoTF-U108において使用され得る。本開示のある態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーンの汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子(TEID)、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、および/またはセキュリティコンテキスト(たとえば、選択された暗号化アルゴリズムおよびユーザプレーン(UP)鍵128)を含み得る。他の態様では、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、クライアントデバイスにサービスを提供するためにネットワークにより必要とされ得る、他のパラメータ、値、設定、または特徴を含み得る。一例では、UL鍵128は鍵KUP214であることがあり、鍵KIoT-UPenc216および鍵KIoT-UPint218は鍵KUP214から導出され得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-U306などの、IoTF-U108の秘密鍵を使用してクライアントデバイスのユーザプレーンコンテキストを暗号化することによって、生成され得る。本開示のある態様では、鍵KCDC-IoTF-U306などのIoTF-U108の秘密鍵は、IoTF-C106によってプロビジョニングされ得る。ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-U306)を有するIoTFによって復号され得る。したがって、ユーザプレーンの暗号化されたクライアントデバイスコンテキストは、ユーザプレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
制御プレーン(CP)の暗号化されたクライアントデバイスコンテキストは、制御メッセージ(たとえば、制御パケットまたは制御パケットを含むメッセージ)のための制御プレーンクライアントデバイスコンテキストを暗号化することによって、生成され得る。ある態様では、制御プレーンの暗号化されたクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT(KASMEと等価)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA:Evolved Packet System Encryption Algorithm)、発展型パケットシステム完全性アルゴリズム(EIA:Evolved Packet System Integrity Algorithm))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。たとえば、図1を参照すると、制御メッセージのための制御プレーンクライアントデバイスコンテキストは、図3に示される鍵KCDC-IoTF-C304などの、IoTF-C106の秘密鍵を用いて暗号化され得る。制御プレーンの暗号化されたクライアントデバイスコンテキストは、秘密鍵(たとえば、鍵KCDC-IoTF-C304)を有するIoTFによって復号され得る。したがって、暗号化されたクライアントデバイスコンテキストは、制御プレーンの暗号化されたクライアントデバイスコンテキストを生成したIoTFによって復号され得る。
クライアントデバイスのネットワーク到達可能性コンテキスト(NRC)は、クライアントデバイスへのダウンリンク(DL)送信のための暗号化されたネットワーク到達可能性コンテキストを生成するために(たとえば、IoTFによって)暗号化され得る。暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイスがアイドル状態になるときにIoTF(たとえば、IoTF-C106、IoTF-U108)がクライアントデバイスコンテキストを除去することを可能にする。たとえば、図1を参照すると、暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイス102と通信することを望むIoTサーバ122またはP-GW124に提供され得る。したがって、この例では、IoTネットワークアーキテクチャ100は、クライアントデバイス102のネットワーク状態情報を維持する必要がなく、または、クライアントデバイス102のために維持されるネットワーク状態情報の量を減らすことができる。IoTサーバ122またはP-GW124は、DLデータパケットをクライアントデバイス102に送信するときに暗号化されたネットワーク到達可能性コンテキストを提供して、IoTネットワークアーキテクチャ100の中の1つまたは複数のノードまたはエンティティ(たとえば、ネットワークアクセスノード104)がネットワーク到達可能性コンテキストを再構築することを可能にし得る。
図5は、本開示の様々な態様による、IoTネットワークアーキテクチャ500におけるクライアントデバイスによる初期接続手順を示すブロック図である。いくつかの態様では、本明細書において説明されるような接続手順は、ネットワーク接続手順または登録手順とも呼ばれる。
図7は、本開示の様々な態様による、IoTネットワークアーキテクチャ700におけるクライアントデバイスによって開始されるデータ送信を示すブロック図である。図7に示されるように、IoTネットワークアーキテクチャ700は、クライアントデバイス702(IoTデバイスとも呼ばれる)、ネットワークアクセスノード704(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークデバイス705、サービスネットワーク710、およびホーム加入者サーバ(HSS)/認証、認可、課金(AAA)サーバ712を含む。一態様では、ネットワークデバイス705は、IoTFを実装するように構成される1つまたは複数の処理回路および/または他の適切なハードウェアを含み得る。たとえば、IoTFは、制御プレーンIoT機能(IoTF-C)706およびユーザプレーンIoT機能(IoTF-U)708を含み得る。そのような態様では、IoTF-C706はネットワークノード707において実装されることがあり、IoTF-U708はネットワークノード709において実装されることがある。一態様では、IoTF-C706およびIoTF-U708は同じハードウェアプラットフォームにおいて実装され得るので、IoTF-C706およびIoTF-U708は各々、アーキテクチャ700の中の独立したノードを表す。そのような態様では、たとえば、IoTF-C706はハードウェアプラットフォーム(たとえば、ネットワークデバイス705)上で提供される第1の仮想機械(たとえば、第1のオペレーティングシステム)において実装されることがあり、IoTF-U708はハードウェアプラットフォーム上で提供される第2の仮想機械(たとえば、第2のオペレーティングシステム)において実装されることがある。
図9は、本開示の様々な態様による、IoTネットワークアーキテクチャ(たとえば、IoTネットワークアーキテクチャ100)における例示的なクライアントデバイスで終端するデータ送信の信号フロー図900である。図9に示されるように、信号フロー図900は、クライアントデバイス902(IoTデバイスとも呼ばれる)、ネットワークアクセスノード904(たとえば、eNB、基地局、ネットワークアクセスポイント)、ネットワークノード905において実装されるIoTF-C906、ネットワークノード907において実装されるIoTF-U908、P-GW910、およびIoTサーバ912を含む。
図10は、本開示の様々な態様による、IoTデータ送信のための制御プレーンプロトコルスタック1000を示す図である。図10に示されるように、プロトコルスタック1000は、クライアントデバイスプロトコルスタック1002(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1004、ネットワークノード1005において実装されるIoTFプロトコルスタック1006、およびサービスネットワークプロトコルスタック1008を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1004は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1008は、P-GWにおいて実装され得る。図10に示されるように、クライアントデバイスプロトコルスタック1002は、物理(PHY)層1010、媒体アクセス制御(MAC)層1012、無線リンク制御(RLC)層1014、パケットデータコンバージェンスプロトコル(PDCP)層1016、および制御(Ctrl)層1020を含み得る。図10にさらに示されるように、クライアントデバイスプロトコルスタック1002は、制御プレーンの暗号化されたクライアントデバイスコンテキスト(図10では「CDCCP」と省略される)を通信するためのコンテキストプロトコル層1018を実装し得る。コンテキストプロトコル層1018はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図10では「Sec」と省略される)の通信を可能にし得る。
図11は、本開示の様々な態様による、IoTデータ送信のためのユーザプレーンプロトコルスタック1100を示す図である。図11に示されるように、プロトコルスタック1100は、クライアントデバイスプロトコルスタック1102(IoTデバイスプロトコルスタックとも呼ばれる)、ネットワークアクセスノードプロトコルスタック1104、ネットワークノード1105において実装されるIoTFプロトコルスタック1106、およびサービスネットワークプロトコルスタック1108を含み得る。たとえば、ネットワークアクセスノードプロトコルスタック1104は、eNB、基地局、またはネットワークアクセスポイントにおいて実装され得る。別の例として、サービスネットワークプロトコルスタック1108は、P-GWにおいて実装され得る。図11に示されるように、クライアントデバイスプロトコルスタック1102は、物理(PHY)層1110、媒体アクセス制御(MAC)層1112、無線リンク制御(RLC)層1114、パケットデータコンバージェンスプロトコル(PDCP)層1116、およびユーザプレーン(UP)層1120を含み得る。図11にさらに示されるように、クライアントデバイスプロトコルスタック1102は、ユーザプレーンの暗号化されたクライアントデバイスコンテキスト(図11では「CDCUP」と省略される)を通信するためのコンテキストプロトコル層1118を実装し得る。コンテキストプロトコル層1118はさらに、暗号化されたクライアントデバイスコンテキストの存在を示すIoTF ID(IID)および/またはセキュリティヘッダ(図101では「Sec」と省略される)の通信を可能にし得る。
図12は、本開示の様々な態様による、IoTネットワークアーキテクチャにおける送信のためのパケットフォーマット1200の図である。図12を参照すると、一時識別子(TID)フィールド1202は、クライアントデバイス(IoTデバイスとも呼ばれる)をローカルに識別するために、ネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)によって使用され得る。たとえば、クライアントデバイスを識別するためのTIDフィールド1202へネットワークアクセスノードにより割り当てられる値は、C-RNTIまたはその等価物であり得る。本開示のある態様では、IoTF ID(IID)フィールド1504は、グローバルに固有の一時識別子(GUTI:globally unique temporary identifier)を含み得る。たとえば、GUTIは、IoTFと関連付けられる識別子およびクライアントデバイスと関連付けられる識別子(たとえば、モビリティ管理エンティティ(MME)一時モバイル加入者識別情報(M-TMSI)などの一時識別子)を含み得る。たとえば、GUTIはIoTFを識別するためにネットワークアクセスノードにより使用されることがあり、GUTIはクライアントデバイスを識別するためにIoTFにより使用されることがある。別の態様では、IIDフィールド1204は、グローバルIoTF識別子(GIOTFI)およびクライアントデバイスと関連付けられる識別子(たとえば、M-TMSIなどの一時識別子)を含み得る。たとえば、GIOTFIは、IoTFのグローバルに固有のモビリティ管理エンティティ識別子(GUMMEI:globally unique mobility management entity identifier)の等価物であり得る。本開示のある態様では、M-TMSIは、クライアントデバイスのプライバシーのために暗号化され得る。IoTF IPアドレスを使用することは、ネットワークトポロジーを公開し得ることに留意されたい。
本開示のある態様では、暗号化されたクライアントデバイスコンテキストは、AKA手順の間に確立されるクライアントデバイスコンテキストを含み得る。たとえば、クライアントデバイスコンテキストは、セキュリティコンテキスト、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)およびS5-TEID、ならびに/または、サービスをクライアントデバイスに提供するためにネットワークによって必要とされ得る他のサービス、パラメータ、値、設定、もしくは特徴を含み得る。
本開示のある態様では、IoTF(たとえば、図1のIoTF-C106)は、1つまたは複数の情報の項目を連結することによって、暗号化されたクライアントデバイスコンテキストを生成し得る。たとえば、制御プレーン(CP)の暗号化されたクライアントデバイスコンテキスト(CDCCP)は、式KeyID||Enc_KCDC-IoTF-C(CDCCP)||MACに基づいて生成され得る。本開示のある態様では、鍵KCDC-IoTF-C(たとえば、図3の鍵KCDC-IoTF-C304)は、鍵KCDC-IoTF(たとえば、図3の鍵KCDC-IoTF302)と同じであることがあり、または鍵KCDC-IoTFから導出されることがある。項KeyIDは、(暗号化されたクライアントデバイスコンテキストを生成するために使用される)鍵インデックスを表し得る。
別の例として、ユーザプレーン(UP)の暗号化されたクライアントデバイスコンテキスト(CDCUP)は、式KeyID||Enc_KCDC-IoTF-U(CDCUP)||MACに基づいて生成され得る。項CDCUPは、ユーザプレーンクライアントデバイスコンテキストを表し得る。たとえば、ユーザプレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーン汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、クライアントデバイスのセキュリティコンテキスト(たとえば、鍵KIoT-UPenc216、鍵KIoT-UPint218などの選択された暗号化アルゴリズムおよびユーザプレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。したがって、項Enc_KCDC-IoTF-U(CDCUP)は、鍵KCDC-IoTF-Uを使用してユーザプレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。本開示のある態様では、暗号化されたクライアントデバイスコンテキストは、クライアントデバイスが接続される/関連付けられるIoTF(たとえば、IoTF-C106および/またはIoTF-U108)のみによって復号され得る。本開示のある態様では、クライアントデバイスコンテキストは、暗号化される前に圧縮され得る。
a)制御プレーンの暗号化されたネットワーク到達可能性コンテキスト
本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、1つまたは複数の情報の項目を連結することによって生成され得る。たとえば、制御プレーン(CP)の暗号化されたネットワーク到達可能性コンテキストは、式KeyID||Enc_KNRC-IoTF-C(CDCCP)||MACに基づいて生成され得る。本開示のある態様では、鍵KNRC-IoTF-C(たとえば、図3の鍵KNRC-IoTF-C310)は、鍵KNRC-IoTF(たとえば、図3の鍵KNRC-IoTF308)と同じであることがあり、または鍵KNRC-IoTFから導出されることがある。項KeyIDは、(ネットワーク到達可能性コンテキストを生成するために使用される)鍵インデックスを表し得る。項CDCCPは、制御プレーンクライアントデバイスコンテキストを表し得る。たとえば、制御プレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、クライアントデバイスセキュリティコンテキスト(たとえば、鍵KIoT202(KASMEの等価物)、鍵KIoT-CPenc210、鍵KIoT-CPint212などの制御プレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。項MACは、暗号化モードおよび/またはメッセージ認証符号生成アルゴリズム(MACアルゴリズムとも呼ばれる)を示すことができ、これは、移動体通信事業者(MNO)により選ばれ、IoTFに対して構成され得る。したがって、項Enc_KNRC-IoTF-C(CDCCP)は、鍵KNRC-IoTF-C(たとえば、図3の鍵KNRC-IoTF-C310)を使用して制御プレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。
別の例として、ユーザプレーン(UP)の暗号化されたネットワーク到達可能性コンテキストは、式KeyID||Enc_KNRC-IoTF-U(CDCUP)||MACに基づいて生成され得る。項CDCUPは、ユーザプレーンクライアントデバイスコンテキストを表し得る。たとえば、ユーザプレーンクライアントデバイスコンテキストは、クライアントデバイス識別子、ベアラID、発展型パケットシステム(EPS)ベアラサービス品質(QoS)、ユーザプレーン汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP-U)のS5トンネルエンドポイント識別子(TEID)、IoTF-U108がULデータを転送するP-GWインターネットプロトコル(IP)アドレス(または等価な情報)、クライアントデバイスのセキュリティコンテキスト(たとえば、鍵KIoT-UPenc216、鍵KIoT-UPint218などの選択された暗号化アルゴリズムおよびユーザプレーン鍵)、クライアントデバイスのセキュリティ能力(たとえば、発展型パケットシステム暗号化アルゴリズム(EEA)、発展型パケットシステム完全性アルゴリズム(EIA))、および/または次のホップ(S5/S8)の構成情報を含み得る。たとえば、次のホップの構成情報は、IoTサーバアドレス、P-GWアドレス、および/またはTEIDを含み得る。したがって、項Enc_KNRC-IoTF-U(CDCUP)は、鍵KNRC-IoTF-U(たとえば、図3の鍵KNRC-IoTF-U312)を使用してユーザプレーンクライアントデバイスコンテキストに対して実行される暗号化動作の結果を表し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、クライアントデバイスが接続される/関連付けられるIoTF(たとえば、IoTF-C106および/またはIoTF-U108)のみによって復号され得る。本開示のある態様では、ネットワーク到達可能性コンテキストは、暗号化の前に圧縮され得る。
クライアントデバイスは、アイドルモードの間に新しいトラッキングエリアに入るとき、トラッキングエリア更新(TAU)手順を実行し得る。TAUメッセージは、ソースIoTF-Cの現在のトラッキングエリアid(TAI)およびGIOTFIまたは等価物(たとえば、グローバルに固有なモバイル管理エンティティ識別子(GUMMEI))を含み得る。ターゲットIoTF-Cは、クライアントデバイスの位置および1つまたは複数のネットワークエンティティ(たとえば、P-GW)に対するモビリティアンカー(たとえば、IoTF-U ID)を、暗号化されたネットワーク到達可能性コンテキストとともに更新し得る。本開示のある態様では、暗号化されたネットワーク到達可能性コンテキストは、IoTF-Uがダウンリンクパケットを検証することを可能にし得る。本開示のある態様では、アプリケーションサーバ(たとえば、IoTサーバ)および/またはP-GWは、暗号化されたネットワーク到達可能性コンテキストを有するダウンリンク(DL)パケットをIoTF-U/C(GIOTFIによって識別される)に送信し得る。
図15は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図16の方法に関する態様)による、IoTネットワークアーキテクチャに基づいてネットワークと通信するように構成される装置1500の図である。ある態様では、装置1500はクライアントデバイス(たとえば、IoTデバイス)であり得る。装置1500は、通信インターフェース(たとえば、少なくとも1つの送受信機)1502、記憶媒体1504、ユーザインターフェース1506、メモリデバイス1508、および処理回路1510を含む。
図17は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図18の方法に関する態様)による、IoTネットワークアーキテクチャに基づいてネットワークと通信するように構成される装置1700の図である。ある態様では、装置1700はネットワークアクセスノード(たとえば、eNB、基地局、またはネットワークアクセスポイント)であり得る。装置1700は、通信インターフェース(たとえば、少なくとも1つのトランシーバ)1702と、ネットワーク通信インターフェース1703と、記憶媒体1704と、ユーザインターフェース1706と、メモリデバイス1708と、処理回路1710とを含む。
図19は、本開示の1つまたは複数の態様(たとえば、以下で説明される、図20~図22の方法に関する態様)による、装置1900の図である。ある態様では、装置1900は、モノのインターネット(IoT)機能を実装するネットワークデバイス(たとえば、ネットワークデバイス105、505)であり得る。たとえば、IoT機能は、以前に論じられたような、制御プレーンIoT機能(たとえば、IoTF-C106、506、706、606、906、1406)、および/またはユーザプレーンIoT機能(たとえば、IoTF-U108、508、608、708、806、908)を含み得る。いくつかの態様では、装置1900は、図1のIoTF-C106を実装するネットワークノード107または図1のIoTF-U108を実装するネットワークノード109などの、IoT機能を実装するネットワークノードであり得る。装置1900は、ネットワーク通信インターフェース(たとえば、少なくとも1つのトランシーバ)1902と、記憶媒体1904と、ユーザインターフェース1906と、メモリデバイス1908と、処理回路1910とを含む。
102 クライアントデバイス
104 ネットワークアクセスノード
105 ネットワークデバイス
106 制御プレーンIoT機能、IoTF-C
107 ネットワークノード
108 ユーザプレーンIoT機能、IoTF-U
109 ネットワークノード
110 サービスネットワーク
112 HSS/AAAサーバ
114 第2のS1接続
116 第1のS1接続
118 SME
120 MTC-IWF
122 IoTサーバ
124 P-GW
126 CP鍵
128 UP鍵
130 コンテキスト鍵
131 コンテキスト鍵
200 鍵階層
202 KIOT
204 IK、CK
206 KASME
208 KCP
210 KIoT-CPenc
212 KIoT-CPint
214 KUP
216 KIoT-UPenc
218 KIoT-UPint
300 鍵階層
302 KCDC-IoTF
304 KCDC-IoTF-C
306 KCDC-IoTF-U
308 KNRC-IoTF
310 KNRC-IoTF-C
312 KNRC-IoTF-U
400 ネットワーク
402 クライアントデバイス
404 ネットワークアクセスノード
406 EPC
408 モビリティ管理エンティティ
410 P-GW/S-GW
412 ホーム加入者サーバ
414 コンテキスト
416 コンテキスト
418 コンテキスト
420 コンテキスト
422 コンテキスト
424 コンテキスト
426 コンテキスト
428 コンテキスト
500 IoTネットワークアーキテクチャ
502 クライアントデバイス
504 ネットワークアクセスノード
505 ネットワークデバイス
506 制御プレーンIoT機能、IoTF-C
507 第1のネットワークノード
508 ユーザプレーンIoT機能、IoTF-U
509 第2のネットワークノード
510 サービスネットワーク
512 HSS/AAAサーバ
514 第2のS1接続
516 第1のS1接続
518 SME
520 MTC-IWF
522 IoTサーバ
524 P-GW
526 CP鍵
528 UP鍵
530 コンテキスト鍵
531 コンテキスト鍵
532 接続要求
534 要求
535 認証情報
536 信号
538 メッセージ
600 信号フロー図
602 クライアントデバイス
604 ネットワークアクセスノード
605 ネットワークノード
606 IoTF-C
607 ネットワークノード
608 IoTF-U
609 サービスネットワーク
610 HSS
612 RRC接続要求
614 RRC接続セットアップメッセージ
616 RRC接続セットアップ完了メッセージ
618 初期クライアントデバイスメッセージ
620 AKA手順
622 鍵移送
624 初期コンテキストセットアップ要求メッセージ
625 メッセージ
626 RRC接続再構成メッセージ
628 RRC接続再構成完了メッセージ
630 ULデータパケット
632 ULデータパケット
634 DLデータパケット
700 IoTネットワークアーキテクチャ
702 クライアントデバイス
704 ネットワークアクセスノード
705 ネットワークデバイス
706 制御プレーンIoT機能、IoTF-C
707 ネットワークノード
708 ユーザプレーンIoT機能、IoTF-U
709 ネットワークノード
710 サービスネットワーク
712 HSS/AAAサーバ
714 第2のS1接続
718 SME
720 MTC-IWF
722 IoTサーバ
724 P-GW
726 CP鍵
728 UP鍵
730 コンテキスト鍵
731 コンテキスト鍵
732 接続要求
734 第2のメッセージ
800 信号フロー図
802 クライアントデバイス
804 ネットワークアクセスノード
805 ネットワークノード
806 IoTF-U
808 サービスネットワーク
810 データ移送要求メッセージ
814 第1のメッセージ
818 第2のメッセージ
820 第3のメッセージ
822 第4のメッセージ
824 第5のメッセージ
900 信号フロー図
902 クライアントデバイス
904 ネットワークアクセスノード
905 ネットワークノード
906 IoTF-C
907 ネットワークノード
908 IoTF-U
910 P-GW
912 IoTサーバ
914 DLメッセージ
916 転送メッセージ
918 DLデータ通知メッセージ
920 ページングメッセージ
922 ページングメッセージ
924 RRC接続要求メッセージ
928 転送メッセージ
932 クライアントデバイス応答通知メッセージ
934 メッセージ
936 転送メッセージ
1000 制御プレーンプロトコルスタック
1002 クライアントデバイス
1004 ネットワークアクセスノード
1005 ネットワークノード
1006 IoTFプロトコルスタック
1008 サービスネットワーク
1010 PHY層
1012 MAC層
1014 RLC層
1016 PDCP層
1018 コンテキストプロトコル層
1020 Ctrl層
1022 PHY層
1024 MAC層
1026 RLC層
1028 PDCP層
1030 イーサネット層
1032 MAC層
1034 IP層
1036 UDP層
1038 GTP-C層
1040 イーサネット層
1042 MAC層
1044 IP層
1046 UDP層
1048 GTP-C層
1050 コンテキストプロトコル層
1052 Ctrl層
1054 IP層
1056 UDP層
1058 GTP-C層
1060 Ctrl層
1062 領域
1064 IPプロトコル
1066 領域
1100 プロトコルスタック
1102 クライアントデバイス
1104 ネットワークアクセスノード
1105 ネットワークノード
1106 IoTFプロトコルスタック
1108 サービスネットワーク
1110 PHY層
1112 MAC層
1114 RLC層
1116 PDCP層
1118 コンテキストプロトコル層
1120 UP層
1122 PHY層
1124 MAC層
1126 RLC層
1128 PDCP層
1130 イーサネット層
1132 MAC層
1134 IP層
1136 UDP層
1138 GTP-U層
1140 イーサネット層
1142 MAC層
1144 IP層
1146 UDP層
1148 GTP-U層
1150 コンテキストプロトコル層
1152 UP層
1154 IP層
1156 UDP層
1158 GTP-U層
1160 UP層
1162 領域
1164 IPプロトコル
1166 領域
1200 パケットフォーマット
1202 TIDフィールド
1204 IIDフィールド
1206 セキュリティヘッダフィールド
1208 クライアントデバイスコンテキストフィールド
1210 ペイロードフィールド
1212 MACフィールド
1300 パケットフォーマット
1302 TIDフィールド
1304 IIDフィールド
1306 セキュリティヘッダフィールド
1308 ネットワーク到達可能性コンテキストフィールド
1310 ペイロードフィールド
1312 メッセージ認証符号(MAC)フィールド
1400 信号フロー図
1402 クライアントデバイス
1404 ネットワークアクセスノード
1405 ターゲットネットワークデバイス
1406 ターゲットIoTF-C
1407 ソースネットワークデバイス
1408 ソースIoTF-C
1410 P-GW
1412 IoTサーバ
1414 データ移送要求メッセージ
1418 メッセージ
1420 メッセージ
1422 メッセージ
1426 メッセージ
1428 メッセージ
1430 メッセージ
1500 装置
1502 通信インターフェース
1504 記憶媒体
1506 ユーザインターフェース
1508 メモリデバイス
1510 処理回路
1512 アンテナ
1514 送信機
1516 受信機
1518 ネットワーク関連情報
1520 送信回路/モジュール
1522 受信回路/モジュール
1524 セキュリティコンテキスト取得回路/モジュール
1526 鍵取得回路/モジュール
1528 データパケット保護回路/モジュール
1530 パケット決定回路/モジュール
1532 パケット復号回路/モジュール
1534 ネットワーク登録回路/モジュール
1540 送信命令
1542 受信命令
1544 セキュリティコンテキスト取得命令
1546 鍵取得命令
1548 データパケット保護命令
1550 パケット決定命令
1552 パケット復号命令
1554 ネットワーク登録命令
1600 フローチャート
1700 装置
1702 通信インターフェース
1703 ネットワーク通信インターフェース
1704 記憶媒体
1706 ユーザインターフェース
1708 メモリデバイス
1710 処理回路
1712 アンテナ
1714 送信機
1716 受信機
1718 ネットワーク関連情報
1720 受信回路/モジュール
1722 パケット転送回路/モジュール
1724 一時識別子追加回路/モジュール
1726 記憶回路/モジュール
1728 次ホップ決定回路/モジュール
1730 クライアントデバイス識別回路/モジュール
1732 一時識別子除去回路/モジュール
1740 受信命令
1742 パケット転送命令
1744 一時識別子追加命令
1746 記憶命令
1748 次ホップ決定命令
1750 クライアントデバイス識別命令
1752 一時識別子除去命令
1800 フローチャート
1900 装置
1902 ネットワーク通信インターフェース
1904 記憶媒体
1906 ユーザインターフェース
1908 メモリデバイス
1910 処理回路
1918 ネットワーク関連情報
1920 セキュリティコンテキスト確立回路/モジュール
1922 制御プレーン鍵およびユーザプレーン鍵取得回路/モジュール
1924 鍵移送回路/モジュール
1926 セキュリティコンテキスト取得回路/モジュール
1928 ユーザプレーン鍵決定回路/モジュール
1930 パケット受信回路/モジュール
1932 パケット復号および認証回路/モジュール
1934 パケット保護回路/モジュール
1936 パケット送信回路/モジュール
1940 セキュリティコンテキスト確立命令
1942 制御プレーン鍵およびユーザプレーン鍵取得命令
1944 鍵移送命令
1946 セキュリティコンテキスト取得命令
1948 ユーザプレーン鍵決定命令
1950 パケット受信命令
1952 パケット復号および認証命令
1954 パケット保護命令
1956 パケット送信命令
2000 フローチャート
2100 フローチャート
2200 フローチャート
Claims (4)
- ネットワークアクセスノードのための方法であって、
クライアントデバイスから第1のパケットと暗号化されたクライアントデバイスコンテキストを受信するステップであって、前記第1のパケットは、ユーザプレーン鍵または制御プレーン鍵により保護され、前記暗号化されたクライアントデバイスコンテキストは、少なくとも前記ユーザプレーン鍵または前記制御プレーン鍵を含み、前記クライアントデバイスの少なくともセキュリティコンテキストの再構築を可能にし、前記セキュリティコンテキストは、前記第1のパケットの処理を可能にする、ステップと、
前記クライアントデバイスのネットワーク接続モードに基づいて、次のホップのネットワークノードを決定するステップと、
前記ネットワーク接続モードが減らされたデータ移送モードであるとき、前記クライアントデバイスから受信された前記第1のパケットを検証することなく、前記第1のパケットと前記暗号化されたクライアントデバイスコンテキストを前記次のホップのネットワークノードに転送するステップと
を備える、方法。 - ネットワークノードから第2のパケットを受信するステップと、
前記クライアントデバイスの前記ネットワーク接続モードが前記減らされたデータ移送モードであるとき、前記ネットワークノードから受信された前記第2のパケットを、保護することなく前記クライアントデバイスに転送するステップと
をさらに備える、請求項1に記載の方法。 - 前記クライアントデバイスから、前記ネットワーク接続モードを示すものとともにネットワークに接続するための要求を受信するステップをさらに備え、前記ネットワーク接続モードが前記減らされたデータ移送モードである、請求項1に記載の方法。
- ネットワークアクセスノードであって、
クライアントデバイスから第1のパケットと暗号化されたクライアントデバイスコンテキストを受信する手段と、
前記クライアントデバイスのネットワーク接続モードに基づいて、次のホップのネットワークノードを決定する手段であって、前記第1のパケットは、ユーザプレーン鍵または制御プレーン鍵により保護され、前記暗号化されたクライアントデバイスコンテキストは、少なくとも前記ユーザプレーン鍵または前記制御プレーン鍵を含み、前記クライアントデバイスの少なくともセキュリティコンテキストの再構築を可能にし、前記セキュリティコンテキストは、前記第1のパケットの処理を可能にする、手段と、
前記ネットワーク接続モードが減らされたデータ移送モードであるとき、前記クライアントデバイスから受信された前記第1のパケットを検証することなく、前記第1のパケット前記暗号化されたクライアントデバイスコンテキストを前記次のホップのネットワークノードに転送する手段と
を具備する、ネットワークアクセスノード。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562191459P | 2015-07-12 | 2015-07-12 | |
US62/191,459 | 2015-07-12 | ||
US15/160,326 | 2016-05-20 | ||
US15/160,326 US10362011B2 (en) | 2015-07-12 | 2016-05-20 | Network security architecture |
JP2018500695A JP6882255B2 (ja) | 2015-07-12 | 2016-06-10 | ネットワークセキュリティアーキテクチャ |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018500695A Division JP6882255B2 (ja) | 2015-07-12 | 2016-06-10 | ネットワークセキュリティアーキテクチャ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021145342A JP2021145342A (ja) | 2021-09-24 |
JP7246430B2 true JP7246430B2 (ja) | 2023-03-27 |
Family
ID=57731536
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018500695A Active JP6882255B2 (ja) | 2015-07-12 | 2016-06-10 | ネットワークセキュリティアーキテクチャ |
JP2021078681A Active JP7246430B2 (ja) | 2015-07-12 | 2021-05-06 | ネットワークセキュリティアーキテクチャ |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018500695A Active JP6882255B2 (ja) | 2015-07-12 | 2016-06-10 | ネットワークセキュリティアーキテクチャ |
Country Status (8)
Country | Link |
---|---|
US (4) | US10362011B2 (ja) |
EP (2) | EP3905744A1 (ja) |
JP (2) | JP6882255B2 (ja) |
KR (1) | KR102447299B1 (ja) |
CN (2) | CN113329006B (ja) |
BR (1) | BR112018000644A2 (ja) |
TW (1) | TWI708513B (ja) |
WO (1) | WO2017011114A1 (ja) |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10505850B2 (en) | 2015-02-24 | 2019-12-10 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services—user-plane approach |
US10362011B2 (en) | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
TWI562661B (en) * | 2015-08-27 | 2016-12-11 | Ind Tech Res Inst | Cell and method and system for bandwidth management of backhaul network of cell |
CN106961722B (zh) * | 2016-01-12 | 2018-09-11 | 展讯通信(上海)有限公司 | 数据的传输方法及基站 |
CN107666667B (zh) * | 2016-07-29 | 2019-09-17 | 电信科学技术研究院 | 一种数据传输方法、第一设备及第二设备 |
CN109791590A (zh) * | 2016-08-22 | 2019-05-21 | 诺基亚技术有限公司 | 安全性过程 |
US20180097807A1 (en) * | 2016-09-30 | 2018-04-05 | Lg Electronics Inc. | Method and apparatus for performing initial access procedure based on authentication in wireless communication system |
EP3531619B1 (en) * | 2016-11-04 | 2022-01-19 | Huawei Technologies Co., Ltd. | Method, device and system for function scheduling |
CN108347416B (zh) | 2017-01-24 | 2021-06-29 | 华为技术有限公司 | 一种安全保护协商方法及网元 |
US11316678B2 (en) * | 2017-01-27 | 2022-04-26 | Samsung Electronics Co., Ltd. | Method for providing end-to-end security over signaling plane in mission critical data communication system |
RU2744323C2 (ru) | 2017-01-30 | 2021-03-05 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способы для защиты целостности данных пользовательской плоскости |
EP3596953B1 (en) | 2017-03-17 | 2023-05-31 | Telefonaktiebolaget LM Ericsson (Publ) | Security solution for switching on and off security for up data between ue and ran in 5g |
DE102017208735A1 (de) * | 2017-05-23 | 2018-11-29 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung |
CN110896683A (zh) * | 2017-06-01 | 2020-03-20 | 华为国际有限公司 | 数据保护方法、装置以及系统 |
US10470042B2 (en) * | 2017-07-27 | 2019-11-05 | Nokia Technologies Oy | Secure short message service over non-access stratum |
US20190089592A1 (en) * | 2017-09-20 | 2019-03-21 | Quanta Computer Inc. | Role-based automatic configuration system and method for ethernet switches |
US11277745B2 (en) | 2017-11-08 | 2022-03-15 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Integrity protection control method, network device and computer storage medium |
US10771450B2 (en) * | 2018-01-12 | 2020-09-08 | Blackberry Limited | Method and system for securely provisioning a remote device |
AU2019249939B2 (en) * | 2018-04-06 | 2021-09-30 | Telefonaktiebolaget Lm Ericsson (Publ) | UE controlled handling of the security policy for user plane protection in 5G systems |
CN108833340A (zh) * | 2018-04-26 | 2018-11-16 | 浙江麦知网络科技有限公司 | 一种室内网络通信安全保护系统 |
EP3565191B1 (en) * | 2018-04-30 | 2021-07-07 | Hewlett Packard Enterprise Development LP | Provisioning and managing internet-of-thing devices over a network |
CN113039765B (zh) * | 2018-09-21 | 2023-09-12 | 诺基亚技术有限公司 | 用于网络功能之间的安全消息收发的方法和装置 |
US20210400475A1 (en) * | 2018-11-12 | 2021-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of a Communications Device |
ES2885801T3 (es) | 2018-11-14 | 2021-12-15 | Ericsson Telefon Ab L M | Detección de reinicio de consumidor de servicios de NF utilizando señalización directa entre NF |
EP3788773B1 (en) | 2019-04-08 | 2021-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for handling telescopic fqdns |
US11533613B2 (en) | 2019-08-16 | 2022-12-20 | Qualcomm Incorporated | Providing secure communications between computing devices |
KR102119257B1 (ko) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
WO2021060855A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법 |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US20220255906A1 (en) * | 2019-09-24 | 2022-08-11 | Pribit Technology, Inc. | System For Protecting Control Data Packet And Method Pertaining To Same |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
TWI754950B (zh) * | 2020-06-02 | 2022-02-11 | 鴻海精密工業股份有限公司 | 物聯網設備、伺服器及軟體更新方法 |
CN112188447B (zh) * | 2020-08-26 | 2021-09-14 | 江苏龙睿物联网科技有限公司 | 一种物联网移动基站通信保护系统及保护方法 |
US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
US11902260B2 (en) * | 2021-08-02 | 2024-02-13 | Cisco Technology, Inc. | Securing control/user plane traffic |
US11570180B1 (en) * | 2021-12-23 | 2023-01-31 | Eque Corporation | Systems configured for validation with a dynamic cryptographic code and methods thereof |
US11928039B1 (en) * | 2022-11-01 | 2024-03-12 | Micron Technologies, Inc. | Data-transfer test mode |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014522207A (ja) | 2011-08-16 | 2014-08-28 | サムスン エレクトロニクス カンパニー リミテッド | 移動通信システムで小さいサイズのデータパケットを効果的に伝送するための方法及び装置 |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002096151A1 (en) | 2001-05-22 | 2002-11-28 | Flarion Technologies, Inc. | Authentication system for mobile entities |
WO2007108651A1 (en) * | 2006-03-22 | 2007-09-27 | Lg Electronics Inc. | Security considerations for the lte of umts |
US20080181411A1 (en) | 2007-01-26 | 2008-07-31 | Karl Norrman | Method and system for protecting signaling information |
US8855138B2 (en) * | 2008-08-25 | 2014-10-07 | Qualcomm Incorporated | Relay architecture framework |
WO2010124474A1 (zh) | 2009-04-30 | 2010-11-04 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
CN102036256B (zh) * | 2009-09-28 | 2013-03-20 | 华为技术有限公司 | 数据传输方法、装置及系统 |
US8477724B2 (en) | 2010-01-11 | 2013-07-02 | Research In Motion Limited | System and method for enabling session context continuity of local service availability in local cellular coverage |
US9021072B2 (en) * | 2010-01-28 | 2015-04-28 | Verizon Patent And Licensing Inc. | Localized media offload |
GB201008633D0 (en) * | 2010-05-24 | 2010-07-07 | Gigle Networks Iberia Sl | Communications apparatus |
KR20130089662A (ko) | 2010-11-15 | 2013-08-12 | 인터디지탈 패튼 홀딩스, 인크 | 인증서 검증 및 채널 바인딩 |
US20120252481A1 (en) * | 2011-04-01 | 2012-10-04 | Cisco Technology, Inc. | Machine to machine communication in a communication network |
CA2832067C (en) * | 2011-04-01 | 2019-10-01 | Interdigital Patent Holdings, Inc. | Method and apparatus for controlling connectivity to a network |
WO2012175664A2 (en) | 2011-06-22 | 2012-12-27 | Nec Europe Ltd. | Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression |
WO2013006193A1 (en) * | 2011-07-01 | 2013-01-10 | Intel Corporation | Layer shifting in open loop multiple-input, multiple-output communications |
US20130046821A1 (en) * | 2011-08-15 | 2013-02-21 | Renasas Mobile Corporation | Advanced Machine-To-Machine Communications |
CN103002428B (zh) * | 2011-09-15 | 2016-08-03 | 华为技术有限公司 | 一种物联网终端网络附着的方法及系统 |
CN104025475B (zh) * | 2011-10-03 | 2018-04-13 | 英特尔公司 | 装置到装置(d2d)通信机制 |
KR20130037481A (ko) * | 2011-10-06 | 2013-04-16 | 주식회사 케이티 | 통신망, 개체 및 트리거링 제어 방법 |
WO2013065996A1 (ko) * | 2011-11-03 | 2013-05-10 | 주식회사 케이티 | 기계 형태 통신 단말의 트리거링을 위한 서버 및 방법 |
EP2847947B1 (en) * | 2012-05-10 | 2020-12-23 | Samsung Electronics Co., Ltd. | Method and system for connectionless transmission during uplink and downlink of data packets |
EP2693800A1 (en) * | 2012-08-03 | 2014-02-05 | Panasonic Corporation | Radio Resource Managment for Dual Priority Access |
CN103686708B (zh) | 2012-09-13 | 2018-01-19 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
US20150319620A1 (en) | 2012-11-30 | 2015-11-05 | Sharp Kabushiki Kaisha | Base station device, terminal device, communication system, transmission method, reception method, communication method and integrated circuit |
US9913136B2 (en) | 2013-01-11 | 2018-03-06 | Lg Electronics Inc. | Method and apparatus for applying security information in wireless communication system |
GB201306350D0 (en) | 2013-04-08 | 2013-05-22 | Gen Dynamics Broadband Inc | Apparatus and methods for key generation |
WO2014182339A1 (en) * | 2013-05-09 | 2014-11-13 | Intel IP Corporation | Small data communications |
CN104620660B (zh) * | 2013-08-02 | 2019-04-12 | 华为技术有限公司 | 空闲状态随机接入方法及设备 |
IN2013MU02890A (ja) * | 2013-09-05 | 2015-07-03 | Tata Consultancy Services Ltd | |
US9497673B2 (en) * | 2013-11-01 | 2016-11-15 | Blackberry Limited | Method and apparatus to enable multiple wireless connections |
US10129802B2 (en) * | 2013-12-06 | 2018-11-13 | Idac Holdings, Inc. | Layered connectivity in wireless systems |
CN104540107A (zh) * | 2014-12-03 | 2015-04-22 | 东莞宇龙通信科技有限公司 | Mtc终端群组的管理方法、管理系统和网络侧设备 |
WO2016162502A1 (en) | 2015-04-08 | 2016-10-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network |
CN117835198A (zh) * | 2015-04-22 | 2024-04-05 | 交互数字专利控股公司 | 用于3gpp网络中的小数据使用使能的设备和方法 |
US10362011B2 (en) | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
-
2016
- 2016-05-20 US US15/160,326 patent/US10362011B2/en active Active
- 2016-06-10 BR BR112018000644A patent/BR112018000644A2/pt not_active IP Right Cessation
- 2016-06-10 EP EP21180895.1A patent/EP3905744A1/en active Pending
- 2016-06-10 WO PCT/US2016/037068 patent/WO2017011114A1/en active Application Filing
- 2016-06-10 KR KR1020187000632A patent/KR102447299B1/ko active IP Right Grant
- 2016-06-10 JP JP2018500695A patent/JP6882255B2/ja active Active
- 2016-06-10 EP EP16730995.4A patent/EP3320707B1/en active Active
- 2016-06-10 CN CN202110576514.1A patent/CN113329006B/zh active Active
- 2016-06-10 CN CN201680039877.9A patent/CN107736047B/zh active Active
- 2016-06-13 TW TW105118428A patent/TWI708513B/zh not_active IP Right Cessation
-
2019
- 2019-06-18 US US16/445,059 patent/US11329969B2/en active Active
- 2019-06-18 US US16/445,072 patent/US20190306141A1/en not_active Abandoned
-
2021
- 2021-05-06 JP JP2021078681A patent/JP7246430B2/ja active Active
-
2022
- 2022-05-03 US US17/736,044 patent/US12010107B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014522207A (ja) | 2011-08-16 | 2014-08-28 | サムスン エレクトロニクス カンパニー リミテッド | 移動通信システムで小さいサイズのデータパケットを効果的に伝送するための方法及び装置 |
Non-Patent Citations (2)
Title |
---|
Efficient small data transmission with S1-based architecture,SA WG2 Meeting #110 S2-152664,2015年07月10日 |
More details on fast path security protocol,3GPP TSG SA WG3 #72 S3-130848,2013年07月12日 |
Also Published As
Publication number | Publication date |
---|---|
CN113329006B (zh) | 2023-05-26 |
TW201703556A (zh) | 2017-01-16 |
BR112018000644A2 (pt) | 2018-09-18 |
CN107736047B (zh) | 2021-06-08 |
US11329969B2 (en) | 2022-05-10 |
JP6882255B2 (ja) | 2021-06-02 |
CN113329006A (zh) | 2021-08-31 |
US20190306141A1 (en) | 2019-10-03 |
US20220263812A1 (en) | 2022-08-18 |
EP3320707A1 (en) | 2018-05-16 |
TWI708513B (zh) | 2020-10-21 |
EP3905744A1 (en) | 2021-11-03 |
KR20180030023A (ko) | 2018-03-21 |
WO2017011114A1 (en) | 2017-01-19 |
US20190306140A1 (en) | 2019-10-03 |
KR102447299B1 (ko) | 2022-09-23 |
JP2018528647A (ja) | 2018-09-27 |
US12010107B2 (en) | 2024-06-11 |
US10362011B2 (en) | 2019-07-23 |
CN107736047A (zh) | 2018-02-23 |
JP2021145342A (ja) | 2021-09-24 |
EP3320707B1 (en) | 2021-11-17 |
US20170012956A1 (en) | 2017-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7246430B2 (ja) | ネットワークセキュリティアーキテクチャ | |
JP6928143B2 (ja) | 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ | |
US11716615B2 (en) | Network architecture and security with simplified mobility procedure | |
US10097995B2 (en) | Network architecture and security with encrypted network reachability contexts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210607 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210607 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220712 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221019 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7246430 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |