JP5096588B2 - セキュリティ設定を決定するための方法及び構成 - Google Patents

セキュリティ設定を決定するための方法及び構成 Download PDF

Info

Publication number
JP5096588B2
JP5096588B2 JP2010529893A JP2010529893A JP5096588B2 JP 5096588 B2 JP5096588 B2 JP 5096588B2 JP 2010529893 A JP2010529893 A JP 2010529893A JP 2010529893 A JP2010529893 A JP 2010529893A JP 5096588 B2 JP5096588 B2 JP 5096588B2
Authority
JP
Japan
Prior art keywords
security
network
ipsec
information
bearer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010529893A
Other languages
English (en)
Other versions
JP2011504665A (ja
Inventor
ナイランデル、トマス
ヴィクベリ、ヤリ
ジー、オスカー
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011504665A publication Critical patent/JP2011504665A/ja
Application granted granted Critical
Publication of JP5096588B2 publication Critical patent/JP5096588B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、一般的に、少なくとも2つのノード間の通信ネットワークにおけるセキュリティ方法に関する。より具体的には、本発明は、セッションのベアラを確立する場合にセキュリティ設定を決定することと、ベアラが他のノードに移動される場合に、最初に決定されたセキュリティ設定が維持されることを保証することとに関する。
LTE(Long Term Evolution(ロングタームエボリューション))及びSAE(System Architecture Evolution(システムアーキテクチャエボリューション))アーキテクチャが、現在、例えば3GPP Release−8に含まれる3GPPによって仕様化されている。図1a及び1bは、例えば、非ローミングシナリオ向けの3GPP TS23.401に説明されているような3GPPのSAE/LTEの標準化対象の一部としてこれまでに合意された従来のアーキテクチャを示している。図1aは、3GPPアクセス向けの非ローミングアーキテクチャを示しており、図1bは、単一のゲートウェイオプションにおける3GPPアクセス向けの非ローミングアーキテクチャを示している。
S1インタフェース(即ち、S1−MME及びS1−U両方のインタフェース)におけるトランスポートネットワークレベルのセキュリティは、E−UTRANノードB(eNodeB)と称される単一のノードタイプを含むEvoluted UTRAN(E−UTRAN)と、コアネットワーク(CN)ノード、移動性管理エンティティ(MME)及びサービングゲートウェイとの間の多くの配置(deployment)についてのシナリオにおいて必要とされる(図1a及び1bはまたPDNゲートウェイを示しており、サービングゲートウェイとPDNゲートウェイの組み合わせは、これらのゲートウェイノードの双方についてこの用途で使用されている用語であるSAE−GWとしても知られている)。S1インタフェース(S1−MME及びS1−Uの双方のインタフェース)は、安全でないIPネットワークを横断することもある。このような配置についてのシナリオの一例は、3GPPで現在検討中のHome eNodeB(HNB)の概念である。
S1インタフェースのセキュリティは、ネットワーク側のeNodeB(即ちHNB)とセキュリティゲートウェイ(SEGW)との間に確立されるIPsecトンネルに基づいている。SEGWの機能性は、SAE−GW及びMMEの機能性に論理的に組み込まれてもよいが、IPsecに必要とされる相当に重い処理容量ゆえに専用機器によって取り扱われることになる可能性が高い。
専用SAE/LTEベアラを確立するためのシグナリングシーケンスが図3に示されている。この図は、一例として、ネットワークが開始したベアラのアクティブ化がポリシー及び課金ルール機能(Policy and Charging Rules Function)(PCRF)を介して適用される場合に、ベアラがIMS.VoIP/SIPコール/トランザクション向けに生成されることを示している。
P−CSCFとPCRF間のインタフェースは、「Rx+」インタフェースと称され、3GPP向けのRxインタフェース、例えば3GPP TS29.214のRelease−7に基づいている。PCRFとPDNゲートウェイ(及びSAE−GW)との間のインタフェースは、S7インタフェースと称され、3GPP向けのGxインタフェース、例えば3GPP TS29.212のRelease−7に基づいている。
想定されているセキュリティアーキテクチャは、eNodeBとSEGWとの間の全ての通信がIPsecを使用し、かつ暗号化される必要があることを意味している。このことは、この強力なセキュリティが全ての異なるタイプのベアラに必要とされなくても、例えば、ウェブ閲覧やビデオストリーミング用のベアラがセキュリティなどを必要としなくても、eNodeB及びSEGWに重い処理負荷をかけることになる。加えて、アプリケーション層にセキュリティを提供する用途もあり、ベアラ向けのトランスポートレベルセキュリティをこれらの場合に使用することはリソースの無駄に思われる。
本発明によって、ベアラレベルのセキュリティ設定の動的選択が可能になる。
これら及び他の利点は、少なくとも1つのアクセスポイント及び少なくとも1つのゲートウェイデバイスを含む移動体通信ネットワークで使用される方法により達成される。本方法は、ネットワークコンポーネントによって専用ベアラ信号のために必要とされるセキュリティ設定を決定するステップと、通信を確立するために必要とされるノードに決定を通信するステップと、アクセスポイントとゲートウェイデバイスとの間で必要とされるようなセキュアプロトコルをアクセスポイントによって構成し又は選択するステップとを備え、決定は、使用中のネットワークの配置及び/又はネットワークオペレータポリシーのうちの1つ又は複数に基づいている。一実施形態によると、ネットワークコンポーネントは、プロキシコールセッション制御機能(P−CSCF)、問い合わせコールセッション制御機能(I−CSCF)、サービングコールセッション制御機能(S−CSCF)又はIMSアプリケーションサーバ(AS)のうちの1つ又は複数であるアプリケーションレベルのコンポーネントである。ネットワークコンポーネントはPCRFにセキュリティニーズを送信する。好ましくは、セキュリティを必要とするセッションは、アクセスポイントとゲートウェイデバイスとの間の暗号化と共にセキュアプロトコルを用いる。一実施形態では、セキュリティの必要性が小さいセッションは、メッセージ認証及びヌル暗号化と共にセキュリティプロトコルを使用する。
一般的に、いずれのノードがセキュリティの必要性を決定するのかに応じて、種々のプロトコル及びノードが変更される。セッションが保護される必要があるか否かをネットワークコンポーネントが決定する場合、以下の情報が使用される:暗号化がアクティブ化されているか否か、暗号化レベル、メッセージ認証がアクティブ化されているか否か、メッセージ認証レベル。ネットワークコンポーネントは、セッションの確立に関連するシグナリングのセッション記述プロトコル(SDP)部分に含まれている情報に基づいてセキュリティを決定してもよい。セキュリティニーズに関する追加的な標識を含むアプリケーションサーバ(AS)に基づいて他のネットワークコンポーネントがセキュリティを判断することも可能である。S―CSCFは、AA−リクエスト(AAR)メッセージの新たなパラメータにセキュリティ情報をマッピングするP−CSCFに標識を転送する場合に、その標識を使用する。
本発明の第2の態様によると、ネットワークコンポーネントはPCRF(ポリシー制御及び課金ルール機能)である。PCRFは、Re−Auth−Request(RAR)メッセージのセキュリティ情報をSAE−GWに送信し、SAE−GWは、当該情報を移動性管理エンティティ(MME)に転送し、MMEは、最終的に、アクセスポイントとゲートウェイデバイスとの間に確立すべきベアラに関する追加的な情報と共に、リクエストされたセキュリティ設定をアクセスポイントに通知する。アクセスポイントは、リクエストされたセキュリティ設定及び確立すべきベアラ信号のために必要なトランスポートアドレス情報と、ゲートウェイデバイスのIPアドレスのアドレス情報と、任意的にベアラのユーザデータグラムプロトコル(UDP)ポートと、に関する情報を含み、この情報に基づいて、アクセスポイントは、新たなIPsecの関連性記述(relationship description)、即ちIPSecセキュリティアソシエーション(Security Association;SA)が確立される必要があるか否か、又は既存のIPsec SAが未修正のまま使用可能であるか若しくは更新される必要があるかをチェックする。本方法はさらに、異なるベアラ信号に異なるトランスポートアドレス情報を使用するステップを備えてもよい。ゲートウェイデバイスはローカルIPネットワークアドレスを選択して、これを、ベアラ確立シグナリングの一部としてアクセスポイントにシグナリングする。ゲートウェイデバイスは、マルチホーミングに局所的に基づいている個別の論理IPアドレスを有してもよく、また、リクエストされたセキュリティ設定に応じて異なるローカルIPアドレスを選択する論理ユニットを備える。好ましくは、GPRSトンネリング(GTP)プロトコルが使用されてもよい。本方法はさらに、GPRSトンネリング(GTP)プロトコルを変更するステップと、異なるベアラに使用され、かつエンドノード間にシグナリングされるUDPポートを動的に選択するステップとを備えてもよい。アクセスポイントは、生成された無線ベアラと、使用すべきGTPトンネル間のバインディングを生成するように構成されている。
ゲートウェイによりトラフィックセレクタを使用してトラフィックを異なるIPsec SAにマッピングすることで、トラフィックがダウンリンク内で異なるIPsec SAにマッピングされてもよい。PCRFは、様々なベアラについていかなるセキュリティレベルが必要であるかを決定するために必要とされるポリシーを含んでもよい。
セキュリティ設定に関する決定は、異なるタイプのアクセスポイント間を移動するユーザ機器(UE)に基づいて更新されてもよい。アクセスポイントは、ハンドオーバ及びリロケーションシグナリングの一部として新たなパラメータを受信する。アクセスポイントは、インカミングのハンドオーバリクエストの標識を受信すると、当該アクセスポイントへハンドオーバされるべきアクティブなベアラの全てについて必要とされるサービングGWアドレス及びセキュリティ設定に関する情報をさらに受信する。
一実施形態において、アプリケーションレベルのコンポーネントは、セッション記述プロトコル(SDP)におけるレベルに関する標識を含み、かつP−CSCFに送信するセキュリティレベルを選択する。当該情報又はその一部は、SDPのP−CSCFからPCRFへのRx+/Rxインタフェース、Rx+/RxインタフェースのDIAMETERプロトコル、PCRFとSAE−GW又はSAE−GWのPDNゲートウェイ部分間のS7/Gxインタフェース、SAE-GWとMME間のS11インタフェース、MMEとeNodeB間のS1−MMEインタフェースのうちの1つ又は複数で送信される。
本発明はまた、移動局及び通信ネットワークに対して信号を送受信するように適合される基盤デバイスに関し、当該デバイスは、メモリと、処理構成と、専用ベアラ信号を受信/送信するための受信機/送信機構成とを備える。受信機はさらに、決定されるセキュリティ設定を受信するように構成され、当該決定は、ネットワークにおけるネットワークコンポーネントにより、使用中のネットワークの配置及び/又は専用ベアラ信号について必要とされるネットワークオペレータポリシーのうちの1つ又は複数に基づいてなされる。また、受信機はさらに、デバイスとゲートウェイデバイスとの間で必要なセキュアプロトコル(IPsec)を構成する手段を含む。
本発明はまた、様々なアプリケーション及び現在使用中のネットワークの配置についてのオペレータポリシーに応じたセキュリティニーズリクエストの標識についての信号を受信する手段、を備える通信ネットワークにおける機能要素(PCRF)に関する。機能要素は、ネットワークノードへのベアラ確立シグナリングにこの標識を含めるための手段と、アプリケーションニーズ及び/又は現在使用中のネットワークに応じてセキュリティレベルが選択されることと、セキュリティが必要とされるか否か及び適用すべきセキュリティレベルを決定する手段を含むロジック部と、を備える。アプリケーションレベルのコンポーネントは、P−CSCF、IMS ASのうちの1つ又は複数であってもよく、セキュリティニーズがベアラに適用されるべきことを示すように構成される。ネットワークノードとは、MME、eNodeB又はSAE−GWのうちの1つ又は複数を含む。
本発明はまた、移動体通信ネットワークにおける使用のためのデータ構造に関し、ネットワークは少なくとも1つのアクセスポイントと、少なくとも1つのゲートウェイデバイスと、少なくとも1つのネットワークコンポーネントとを含み、ネットワークコンポーネントは、専用ベアラ信号のために必要とされるセキュリティ設定を決定するように構成され、データ構造は、暗号アクティブ化ステータス、暗号化レベル、メッセージ認証アクティブ化及び/又はメッセージ認証レベルに関する情報を含む。
いわゆる当業者であれば、上述したアクセスポイントが、本発明をWLANや類似のアクセスポイントに限定するものではなく、ネットワークアクセスの構成に関連するものに過ぎないことを理解するであろう。
本発明は多数の図面を参照してより詳細に説明される。
3GPPのSAE/LTE標準化対象としてこれまでに合意された従来のアーキテクチャを示している。 3GPPのSAE/LTE標準化対象としてこれまでに合意された従来のアーキテクチャを示している。 本発明によるネットワークである。 従来技術による信号フロー図である。 本発明による信号フロー図である。 本発明によるステップを図示するフロー図である。 本発明による基盤ノードデバイスを概略的に図示するブロック図である。 本発明によるアクセスポイントデバイスを概略的に図示するブロック図である。 本発明による機能要素を概略的に図示するブロック図である。
以下、本発明について、LTE及びSAEを基準にして例示される一般的な解決策を参照して説明する。しかしながら、本発明の教示が、本発明の教示を実行する能力を具備するノード及び基盤エンティティを有する任意のネットワークに適用可能であることが認識されるであろう。
概して、S1インタフェースにおける暗号化及び他のセキュリティ設定の動的制御を可能にするために必要な追加がプロトコル及びアーキテクチャになされる。
図2は、ネットワークにおける本発明を図示している。ネットワーク200は、インターネット201及びイントラネット202の部分からなる。インターネット201(又は他のパブリックかつ安全でないネットワーク)は、安全なイントラネット202におけるeNodeB203と、SAEコアネットワーク要素(即ちMME及びサービングゲートウェイ)との間の接続性の一部を提供するために使用されることができる。この場合、eNodeB203(eNB)はセキュリティゲートウェイ(SEGW)204を介してイントラネット202に接続される。IPsecトンネル205を使用して通信は可能となり、保護される。SEGW204は、SAE−GW206及びMME207に対するeNodeB203の通信を可能にし、SAE−GW206及びMME207はまた相互接続されている。SAE−GW206は、PCRF208との間で通信し、PCRF208は、P−CSCF209との間で通信し、P−CSCF209は、IPマルチメディアサブシステム(IMS)CN210との間で通信し、IPマルチメディアサブシステム(IMS)CN210は、PCRF208は1つ以上のIMSアプリケーションサーバ(AS)211と通信する。
例えば、ボイスコール向けなどの、様々なアプリケーション及び(/又は)現在使用中のネットワークの配置(deployment)についてのオペレータ(operator;運用者)のポリシーに応じて、アプリケーションレベルのコンポーネント(例えば、IMS VoIPコールの場合のP−CSCF又はIMS AS)は、セキュリティをベアラに適用する必要があることを示す(indicate)ことができる。このことは、PCRF208にシグナリングされ、MME207、eNodeB203及びSAE−GW206へのベアラ確立シグナリングに当該標識(indication)が含められる。このことは、セキュリティレベルが、アプリケーションのニーズ及び現在使用中のネットワークに応じて選択されることを意味している。このように、例えばウェブ閲覧セッションは、例えばeNodeBとSAE−GWとの間のヌル暗号化を使用することによって、処理リソースを節約することで実行可能である。もう1つの可能性は、PCRFがオペレータポリシーと、セキュリティが特定のアプリケーションに必要であるか否かを決定するために必要とされるロジックとを含むことである。ロジック部は実質的に上記と同じである、即ちPCRFは、例えばリクエストされたベアラ、ベアラ特性、及びベアラをリクエストするアプリケーションに基づいて、セキュリティが必要とされるか否かと、適用するセキュリティレベルとを判定する手段を備える。
加えて、P−CSCFは、アプリケーション機能(AF)セッションが属する特定のサービスを示す順序をAA−リクエストメッセージに含めてもよい。この情報は次いで、選択され、かつ他のノードに通信されるセキュリティレベルを決定するためにPCRFによって使用可能である。加えて、PCRFは、確立されるセッションについて記述するセッション記述プロトコル(SDP)全体を受信してもよく、SDPの一部はセキュリティレベルの選択のために使用可能である。
ポリシー及び課金制御(PCC)ルール機能(PCRF)の決定は、以下のうちの1つ以上に基づいてもよい:
−Rx+/Rxリファレンスポイントを介してAFから取得されたセッション及びメディア関連情報;
−S7/Gxリファレンスポイント上でポリシー及び課金施行機能(PCEF)から取得されたベアラ及び加入者関連情報。SAE−GWは、上記の例示的ネットワークシナリオでPCEFとして機能する;
−PCRFが、構成により、又は(SPRからの)Spリファレンスポイントを介して知り得る加入者及びサービス関連データ;
−PCRFにおける事前構成済みの情報。
これらのルール(又はサブセット)はまた、セキュリティレベルを選択する場合に使用されることができる。
より詳細には、図5に示されている、実質的に本発明の主なステップは以下のとおりである:
・501:アプリケーションレベルノード若しくはPCRFノードのうちのいずれか1つ又は複数が、専用ベアラについて必要とされるセキュリティ設定を識別する。この決定は、現在使用中のネットワークと、様々なアプリケーション向けのネットワークオペレータポリシーに基づいている、
・502:上記決定は、必要なノードの全てへ通信される、
・503:最終的に、eNodeBとSEGWとの間での必要に応じてeNodeBはこの情報を受信し、IPsecセキュリティアソシエーション(SA)を構成する。
セキュリティを必要とするセッションは、eNodeBとSEGWとの間の暗号化と共にIPsecを使用する。セキュリティの必要性が小さいセッションは、例えば、メッセージ認証及び「ヌル暗号化」と共にIPsecを使用することができる。このことは、実質的にeNodeB及びSEGWの双方における処理要件を削減することになる。
別の代替案は、IPsecトンネル外ではセキュリティを必要としないデータを送信することであるが、最も可能性の高いケースはおそらく、メッセージ認証と共に「ヌル暗号化」を使用することであろう。
このことは、(少なくとも)2つの異なるIPsecトンネル(又はIKE SA向けの2つの異なるIPsec SA)が、一方は暗号化あり、もう一方は暗号化なしで、eNodeBとSEGWとの間で確立される必要があることを意味している。IPsec SAの数は、例えば異なる暗号化レベルや異なるメッセージ認証レベルを有する必要がある場合には、2より大きくなり得る。主要なポイントは、eNodeBとSEGWとの間で必要なIPsec SAの数は、eNodeBとSEGWとの間でトランスポートされた異なるベアラに必要な異なるセキュリティ設定の数に基づいている点である。
IPsec SAの確立を取り扱う自動的な方法について以下に概説する。
本発明は、eNodeBとSEGWとの間でトランスポートされる異なるベアラの、アップリンク及びダウンリンクの双方のトラフィックについて、IPsec SAの選択を制御してeNodeBとSEGWとの間で使用するための方法、手順、プロトコル及びノード修正(node modifications)を提供する。
セキュリティが必要であるか否かをいずれのノードが決定するかに応じて、種々のプロトコル及びノードが修正される必要がある。例えば、アプリケーションレベルのコンポーネントがセキュリティレベルを選択すると、これに関する標識はSDPに含まれた上でP−CSCFに渡され、P−CSCFは例えばSDPの情報をRx+/RxインタフェースでPCRFに渡す。他の可能性は、Rx+/Rxインタフェースで、DIAMETERプロトコル自体にいくつかの情報を含めることである。別の例は、S7/Gxインタフェース及びこのインタフェースで使用されているプロトコル向けの類似のアプローチである。
次に図4を参照し、アプリケーションレベルのコンポーネント(例えば、IMS CN又はIMS ASにおけるS−CSCF)がセッションの保護が必要か否かを決定し、及び例えばSDP内でP−CSCF(図4に示されている後者)に送信されたことを示す(indicate)ことを想定すると、シーケンスにおいてハイライトされている、以下のメッセージ及び対応するノードロジックが拡張(enhance)される必要がある。図示されている「新たなパラメータ」は、示されているメッセージ及びプロトコルにおいて必要な追加である。これは、eNodeBとSEGWとの間で使用されるセキュリティに関連する様々な構成レベルを含むことができ、また、例えば以下の情報を含むことができる:
a 暗号化がアクティブ化されたか否か、
b 暗号化レベル、
c メッセージ認証がアクティブ化されたか否か、
d メッセージ認証レベル。
アプリケーションレベルのコンポーネント(例えば、S−CSCF又はAS)は、確立される(又は修正される)セッションのセッション記述プロトコル(SDP)に含まれている情報に基づいて、当該セッションおよび関連ベアラのうちの1つ以上のためにセキュリティが必要であると決定することができる。また、当該決定は、例えばSDPにおいてセキュリティが必要とされることと追加的な標識上に含むASに基づいてもよく、そして、S−CSCFはP−CSCFに当該標識を転送する際に当該標識を使用する。P−CSCFは、Rx+/Rxインタフェース上でPCRFに送信されるAAリクエスト(AAR)メッセージにおける新たなパラメータに、上記セキュリティ情報をマッピングする。PCRFは、Re−Auth−Request(RAR)メッセージ内のセキュリティ情報をS7/Gxインタフェース上でSAE−GWに送信し、SAE−GWは次いでS11インタフェース上で当該情報をMMEに転送し、最終的にMMEは、eNodeBとサービングGW(即ち、eNodeBに対して可視的なSAE−GWの一部)との間で確立すべきベアラに関する他の情報の全てと共に、リクエストされたセキュリティ設定について(S1−MMEインタフェースで)eNodeBに通知する。
この段階で、eNodeBは、確立すべきベアラに対する、リクエストされたセキュリティ設定と、必要とされるトランスポートアドレス情報とを知っている。トランスポートアドレス情報は、サービングGWのIPアドレスと、任意的にベアラのサービングGW UDPポートからなる。この情報に基づいて、eNodeBは、新たなIPsec SAが確立される必要があるか否か、又は既存のIPsec SAが未修正のまま使用可能であるか若しくは既存のIPsec SAが更新される必要があるか否か、をチェック可能である。ここでの主な問題は、確立されたベアラが、双方向に、即ちeNodeBによるアップリンクと、SEGWによるダウンリンクにおいて、正確なIPsec SAにマッピングされることを保証することである。アップリンク方向は、ここでは、UEからネットワークへの方向、即ちこの場合は、eNodeBからSEGWへの方向を意味しており、ダウンリンク方向はこれと反対方向を意味している。SEGWは、関連するシグナリングがSEGWを介して透過的に送信されたとしても、ベアラ確立の一部ではない。eNodeBは、eNodeB及びSEGWの双方におけるIPsec SAについてのトラフィックセレクタ(TS)が、確立されたベアラについてサービングGWのトランスポートアドレス情報をマッチングすることを保証する必要がある。
TSesは、(TSi(Traffic Selector initiator)(トラフィックセレクタイニシエータ)と称される)アップリンクと、(TSr(Traffic Selector responder)(トラフィックセレクタレスポンダ)と称される)ダウンリンクにおいて別個に定義される。TSeはIPsec SAごとに定義され、IPトラフィック及びIPプロトコルメッセージが異なるIPsec SAにどのようにマッピングされるかを決定するために効果的に使用される。TSesに含まれている情報は、IPアドレス(レンジ)、TCP/UDPポート(レンジ)及びプロトコル情報である。このことは、異なるセキュリティ設定を必要とする異なるベアラが異なるトランスポートアドレス情報を使用しなければならないことを意味している。これが必要とされるのは、SEGWがダウンリンクにおいて正確なセキュリティ設定によって正確なIPsec SAにトラフィックをマッピングできるようにするためである。
異なるベアラに異なるトランスポートアドレス情報を使用するという上述したニーズは、IPアドレス又はUDPポートのいずれかが、ベアラごとに異なるものである必要があることを意味している。SAEの場合、ネットワークにより開始されるベアラアクティブ化手順が使用されるという可能性が非常に高く、またローカルIPネットワークアドレスを選択して、これを、ベアラ確立シグナリングの一部としてeNodeBにシグナリングするのはサービングGWである。このことは、サービングGWは、局所的に例えばマルチホーミングに基づいた個別の論理IPアドレスを有し、かつリクエストされたセキュリティ設定に応じて異なるローカルIPアドレスを選択するためのロジックを有する必要があることを意味している。この代替案は、ある程度LTE/SAEアーキテクチャで再使用されることになる既存のGPRSトンネリングプロトコル(GTP)によって可能となるであろう。
GTPプロトコルの変更を意味するもう1つのオプションは、異なるベアラに使用されるUDPポートもまた動的に選択され、エンドポイント(即ち、サービングGW及びeNodeB)間でシグナリングされることである。現在、GTPプロトコルは、1つの固定的なUDPポートを使用するように仕様化されている。この場合、サービングGWは、リクエストされたセキュリティ設定に応じて異なるローカルUDPポートを選択するためのロジックを有することになる。
したがって、上記機構を使用して、eNodeBは、IPsec SAのTSeがeNodeB及びSEGWの双方で正確に更新されることを保証していた。次のステップは、トラフィックもまたこれらのIPsec SAに正確にマッピングされることを保証することである。eNodeBはまた、生成された無線ベアラと、使用されるGTPトンネル間のバインディングを生成する。GTPトンネル情報は、使用されるIPアドレス(及びUDPポート)を含むため、eNodeBが、特定の無線ベアラを使用してUEからトラフィックを受信する場合、これをGTPトンネルにマッピングすることができる。トラフィックがIPアドレス及びUDPポート情報によってカプセル化される場合、eNodeBにおけるIPsecの実装は、正確なIPsec SAを発見するトラフィックセレクタを使用して、SEGWに対してトラフィックを送信する。
ダウンリンクでの異なるIPsec SAへのトラフィックのマッピングはSEGWによって実行される。この場合、SEGWは、確立されたGTPトンネルに関する情報を全く有しておらず、eNodeBに対してダウンリンクトラフィックを異なるIPsec SAにマッピングするために(eNodeBによって更新されるような)トラフィックセレクタを使用する。これは標準的な機能であるが、異なるUDPポートが異なるベアラに使用される場合にのみ容易に適用される。そうでなければ、eNodeBは、(少なくとも)2つの異なるIPアドレスを有することも必要であろう。
例えば、決定を行うポイントがIMS CN(例えば、I−CSCF又はS−CSCF)であると判断される場合には、これらのノードにロジックが追加される必要があり、また送信されるSDPは、IMS CNにおけるノードによって修正される必要がある、即ち決定を行うポイントに応じて、異なるプロトコル及びノードのロジックが更新される必要がある。
上記のように、さらなる追加的なアプローチは、Rx+/Rxインタフェースを未修正のままに維持し、上述したように、異なるベアラのために必要とされるセキュリティレベルを判断するために必要なポリシーをPCRFに含有させることである。
セキュリティ設定に関する決定はその時点のネットワークの配置及び(/又は)使用中のeNodeBのタイプに基づいてもよいため、セキュリティ設定はまた、異なるタイプのeNodeB間を(即ち、ソースeNodeBからターゲットeNodeBへ)移動するUE220を理由として、更新されることもある。このことは、ターゲットeNodeBが、ハンドオーバ及びリロケーションシグナリングの一部としても上記の新たなパラメータを受信する必要があることから、同一の論理がこれらの場合にも適用可能であることを意味している。これを実行することによって、本発明は、上記以外の多数のケース、即ち初期のベアラ確立のケースもカバーすることができる。ターゲットeNodeBは、インカミングのハンドオーバリクエストの標識を受信する場合、このeNodeBへハンドオーバされるアクティブベアラの全てについて必要とされるサービングGWアドレス及びセキュリティ設定に関する情報をも受信する。ターゲットeNodeBは次いで、上記のように、即ち、新たなIPsec SAが確立される必要がある場合、又は既存のIPsec SAが未修正のまま使用可能な場合、若しくは既存のIPsec SAが更新される必要がある場合に、同じステップを実行することができる。
図6は、本発明に係る基盤ノードの概略的なブロック図を示しており、処理ユニット601は通信データ及び通信制御情報を取り扱う。基盤ノード600はさらに、揮発性メモリ(例えばRAM)602及び/又は不揮発性メモリ(例えば、ハードディスクやフラッシュメモリ)603と、インタフェースユニット604とを備える。基盤ノード600はさらに、ダウンストリーム通信ユニット605及びアップストリーム通信ユニット606を備えてもよく、各々はそれぞれの接続インタフェース(図示せず)を具備している。基盤ノードにおける全ユニットは、直接、又は処理ユニット601を介して間接的に相互に通信可能である。ネットワークに付随する移動体ユニット及び他のネットワーク要素に対する通信を取り扱うためのソフトウェアが少なくとも部分的にこのノードで実行され、ノードに記憶されてもよい。しかしながら、このソフトウェアはまた、ノードの開始時や、例えばサービスインターバル中の後段において動的にロードされてもよい。ソフトウェアは、コンピュータプログラム製品として実現され、着脱可能でコンピュータ読み取り可能な媒体、例えば、ディスケット、CD(コンパクトディスク)、DVD(ディジタルビデオディスク)、フラッシュ又は類似のリムーバブルメモリ媒体(例えば、コンパクトフラッシュ、SDセキュアディジタル、メモリスティック、ミニSD、MMCマルチメディアカード、スマートメディア、トランスフラッシュ、XD)、HD−DVD(高品位DVD)やブルーレイDVD、USB(ユニバーサルシリアルバス)ベースのリムーバブルメモリメディア、磁気テープメディア、光学記憶メディア、光磁気メディア、バブルメモリに配信及び/又は記憶され、あるいはネットワーク(例えば、イーサネット、ATM、ISDN、PSTN、X.25、インターネット、ローカルエリアネットワーク(LAN)、又は基盤ノードにデータパケットをトランスポート可能な類似のネットワーク)を介する伝搬信号として配信可能である。
図7に極めて概略的に図示されている基盤デバイス700、例えばeNodeBは、移動局及び通信ネットワークに対して信号を送受信するように適合されている。このデバイスは、プロセッサ701と、メモリユニット702と、専用ベアラ信号をそれぞれ受信/送信するための受信機及び送信機の構成、即ちインタフェース703及び704とを備える。メモリは、決定されたセキュリティ設定を受信するようにデバイスを構成するための命令セットを有する。上記のような決定は、ネットワークにおけるネットワークコンポーネントにより、使用中のネットワークの配置と、専用ベアラ信号について必要とされるネットワークオペレータポリシーのうちの1つ又は複数に基づいてなされる。プロセッサはさらに、デバイスとゲートウェイデバイスとの間で必要とされるようなセキュアプロトコル(IPsec)を構成することを命令するように構成される。
機能要素800、例えばPCRFは、図8に極めて概略的に図示されており、以下を備え得る:
・処理構成801、
・メモリユニット802、
・様々なアプリケーション及び現在使用中のネットワークの配置に対するオペレータポリシーに応じて、セキュリティ設定を示す信号を受信する受信機803、
・ネットワークノードへのベアラ確立シグナリングに標識を含めることによって、アプリケーションニーズ及び現在使用中のネットワークに応じてセキュリティレベルを選択する論理ユニット804、
・送信機部分805、並びに
・セキュリティニーズリクエストに基づいて、セキュリティが必要であるか否かと、適用すべきセキュリティレベルとを決定する手段を含むロジック部806。
当然ながら、ロジック部及びユニットは、処理回路を備えてもよい。
特殊なネットワーク基準に固有のこれらの用語は実施形態の例として付与され、同一の機能性を有するエンティティ及びアイテムに関する類似の用語は本発明から除外されるものではないことに留意すべきである。
(略語)
AF アプリケーション機能(Application Function)
AVP 属性値ペア(Attribute Value Pair CRF Charging Rules Function)
CRF 課金ルール機能(Charging Rules Function)
IP−CAN IP接続性アクセスネットワーク(IP Connectivity Access Network)
PCC ポリシー及び課金制御(Policy and Charging Control)
PCEF ポリシー及び課金施行機能(Policy and Charging Enforcement Function)
PCRF ポリシー及び課金ルール機能(Policy and Charging Rule Function)
PDF ポリシー決定機能(Policy Decision Function)
P−CSCF プロキシコールセッション制御機能(Proxy-Call Session Control Function)
QoS サービス品質(Quality of Service)
SDF サービスデータフロー(Service Data Flow)
SPR 加入者プロファイルレポジトリ(Subscriber Profile Repository)
UE ユーザ機器(User Equipment)

Claims (13)

  1. 複数のアクセスポイント(203)及び少なくとも1つのゲートウェイデバイス(204)を含む移動体通信ネットワークにおける方法であって、
    ・ネットワークコンポーネントによって、専用ベアラ信号のトランスポートレベルセキュリティのために必要とされるセキュリティの設定を決定するステップと、
    ・通信を確立するために配置されるノードに前記決定を通信するステップと、
    ・前記複数のアクセスポイント(203)の1つによって、前記複数のアクセスポイントの1つと前記ゲートウェイデバイス(204)との間で必要なセキュアプロトコル(205)を構成し又は選択するステップと、
    を備え、
    ・前記決定は、使用中の前記ネットワークの配置及び/又はネットワークオペレータポリシーのうちの1つ又は複数に基づいている、
    方法。
  2. 前記ネットワークコンポーネントは、プロキシコールセッション制御機能(P−CSCF)、問い合わせコールセッション制御機能(I−CSCF)若しくはサービングコールセッション制御機能(S−CSCF)、若しくはアプリケーションサーバ(AS)のうちの1つ又は複数であるアプリケーションレベルのコンポーネントである、請求項1に記載の方法。
  3. 前記ネットワークコンポーネントは、前記セキュリティのニーズをPCRFに送信する、請求項1に記載の方法。
  4. セキュリティを必要とするセッションは、前記アクセスポイントと前記ゲートウェイデバイスとの間の暗号化と共に前記セキュアプロトコルを用いる、請求項1に記載の方法。
  5. セキュリティの必要性が小さいセッションは、メッセージ認証及びヌル暗号化と共にセキュリティプロトコルを使用する、請求項1に記載の方法。
  6. セッションの保護が必要であるか否かを前記ネットワークコンポーネントが判断する場合に、以下の情報、即ち、暗号化がアクティブ化されたか否か、暗号化レベル、メッセージ認証がアクティブ化されたか否か、及びメッセージ認証レベル、が使用される、請求項2に記載の方法。
  7. 前記ネットワークコンポーネントは、PCRF(ポリシー制御及び課金ルール機能)である、請求項1に記載の方法。
  8. PCRFは、Re−Auth−Request(RAR)メッセージにおけるセキュリティ情報をSAE−GWに送信し、前記SAE−GWは、前記情報を移動性管理エンティティ(MME)に転送し、及び、前記MMEは、最終的に、前記アクセスポイントとゲートウェイデバイスとの間に確立すべきベアラのための追加的な情報と共にリクエストされたセキュリティ設定について前記アクセスポイントに通知する、請求項7に記載の方法。
  9. 前記アクセスポイントは、リクエストされた前記セキュリティ設定及び確立すべきベアラ信号のために必要なトランスポートアドレス情報と、前記ゲートウェイデバイスのIPアドレスのアドレス情報と、任意的に、ベアラについてのユーザデータグラムプロトコル(UDP)ポートと、に関する情報を含み、前記アクセスポイントは、当該情報に基づいて、新たなIPsec関連性記述、即ちIPSecセキュリティアソシエーション(SA)が確立される必要があるか否か、又は既存のIPsec SAが未修正のまま使用可能であるか若しくは更新される必要があるか、をチェックする、請求項7に記載の方法。
  10. 前記ゲートウェイデバイスにより、トラフィックセレクタを使用してトラフィックを異なるIPsec SAにマッピングすることによって、ダウンリンク内の前記トラフィックを異なるIPsec SAにマッピングするステップ、をさらに備える、請求項9に記載の方法。
  11. セキュリティ設定に関する決定は、現在のネットワークの配置又は使用中のアクセスポイントのタイプに基づいてなされ、前記セキュリティ設定は、異なるタイプのアクセスポイント間で移動するユーザ機器(UE)(220)に基づいて更新される、請求項1に記載の方法。
  12. 移動局及び通信ネットワークに対して信号を送受信するように適合されている基盤デバイス(203)であって、前記デバイスは、メモリと、処理構成と、専用ベアラ信号を受信/送信するための受信機/送信機構成とを備え、
    ・前記受信機は、前記専用ベアラ信号のトランスポートレベルセキュリティのために決定されるセキュリティ設定を受信するようにさらに構成され、前記決定は、使用中のネットワークの配置、及び、専用ベアラ信号について必要とされるネットワークオペレータポリシーのうちの1つ又は複数に基づいて、前記ネットワーク内のネットワークコンポーネントによってなされることと、
    ・受信される前記セキュリティ設定に基づいて、前記デバイスとゲートウェイデバイスとの間で必要なセキュアプロトコル(IPsec)を構成する手段と、
    特徴とする、基盤デバイス(203)。
  13. 様々なアプリケーションについてのオペレータポリシー及び現在使用中のネットワークの配置に応じた専用ベアラ信号のトランスポートレベルセキュリティのためのセキュリティニーズリクエストの標識についての信号を受信する手段を備える通信ネットワークにおける機能要素(PCRF)であって、
    ・ネットワークノード(207、203、206)へのベアラ確立シグナリング内に当該標識を含めるための手段と、セキュリティレベルがアプリケーションニーズ及び前記現在使用中のネットワークに応じて選択されることと、
    ・セキュリティニーズリクエストに基づいて、セキュリティが必要か否か、及び適用すべきセキュリティレベル、を決定する手段を含むロジック部と、
    を備えることを特徴とする、機能要素。
JP2010529893A 2007-10-17 2007-10-17 セキュリティ設定を決定するための方法及び構成 Expired - Fee Related JP5096588B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2007/000914 WO2009051528A1 (en) 2007-10-17 2007-10-17 Method and arragement for deciding a security setting

Publications (2)

Publication Number Publication Date
JP2011504665A JP2011504665A (ja) 2011-02-10
JP5096588B2 true JP5096588B2 (ja) 2012-12-12

Family

ID=40567618

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010529893A Expired - Fee Related JP5096588B2 (ja) 2007-10-17 2007-10-17 セキュリティ設定を決定するための方法及び構成

Country Status (4)

Country Link
US (1) US8386766B2 (ja)
EP (1) EP2201743A4 (ja)
JP (1) JP5096588B2 (ja)
WO (1) WO2009051528A1 (ja)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227391B (zh) * 2008-01-09 2012-01-11 中兴通讯股份有限公司 非漫游场景下策略和计费规则功能实体的选择方法
US20090207843A1 (en) * 2008-02-15 2009-08-20 Andreasen Flemming S System and method for providing network address translation control in a network environment
US8266694B1 (en) * 2008-08-20 2012-09-11 At&T Mobility Ii Llc Security gateway, and a related method and computer-readable medium, for neutralizing a security threat to a component of a communications network
US9712331B1 (en) 2008-08-20 2017-07-18 At&T Mobility Ii Llc Systems and methods for performing conflict resolution and rule determination in a policy realization framework
US8521775B1 (en) 2008-08-20 2013-08-27 At&T Mobility Ii Llc Systems and methods for implementing a master policy repository in a policy realization framework
US8478852B1 (en) 2008-08-20 2013-07-02 At&T Mobility Ii Llc Policy realization framework of a communications network
US9160566B2 (en) * 2009-04-10 2015-10-13 Qualcomm Incorporated QOS mapping for relay nodes
CN101932034B (zh) * 2009-06-26 2013-10-02 华为技术有限公司 提高服务质量的方法及系统和应用网网元
EP2467971B1 (en) * 2009-08-20 2017-05-24 Telefonaktiebolaget LM Ericsson (publ) Fair usage enforcement in roaming packet based access
EP2804358B1 (en) * 2009-11-02 2016-01-13 LG Electronics, Inc. Network address translation (nat) traversal for local ip access
CA2773126C (en) * 2009-11-02 2015-12-29 Lg Electronics Inc. Correlation id for local ip access
JP5287744B2 (ja) * 2010-01-25 2013-09-11 富士通株式会社 携帯端末装置、通信接続方法及び通信接続プログラム
US9504079B2 (en) 2010-02-22 2016-11-22 Huawei Technologies Co., Ltd. System and method for communications in communications systems with relay nodes
US9215588B2 (en) * 2010-04-30 2015-12-15 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment
US9515986B2 (en) 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
WO2013143564A1 (en) * 2012-03-30 2013-10-03 Telefonaktiebolaget L M Ericsson (Publ) Technique for data-over-nas signalling
US9363133B2 (en) 2012-09-28 2016-06-07 Avaya Inc. Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media
US10164929B2 (en) * 2012-09-28 2018-12-25 Avaya Inc. Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media
FR2999376A1 (fr) * 2012-12-10 2014-06-13 France Telecom Procede de communication pour router des flux ip entre des terminaux mobiles et des entites destinataires distantes
WO2014117865A1 (en) * 2013-02-01 2014-08-07 Telefonaktiebolaget L M Ericsson (Publ) Mobile gateway selection using a direct connection between a pcrf node and a mobility management node
US9294458B2 (en) 2013-03-14 2016-03-22 Avaya Inc. Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media
WO2014177170A1 (en) * 2013-04-29 2014-11-06 Nokia Solutions And Networks Oy Sctp multi homing in lte backhaul with two parallel ipsec tunnels for two different ip addresses
US10205624B2 (en) 2013-06-07 2019-02-12 Avaya Inc. Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media
US9525718B2 (en) 2013-06-30 2016-12-20 Avaya Inc. Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media
US9614890B2 (en) 2013-07-31 2017-04-04 Avaya Inc. Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media
US9531808B2 (en) 2013-08-22 2016-12-27 Avaya Inc. Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media
US10225212B2 (en) 2013-09-26 2019-03-05 Avaya Inc. Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10263952B2 (en) 2013-10-31 2019-04-16 Avaya Inc. Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media
US9769214B2 (en) 2013-11-05 2017-09-19 Avaya Inc. Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US9516061B2 (en) * 2013-11-26 2016-12-06 Cisco Technology, Inc. Smart virtual private network
US10129243B2 (en) 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
US10581927B2 (en) 2014-04-17 2020-03-03 Avaya Inc. Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media
US9749363B2 (en) 2014-04-17 2017-08-29 Avaya Inc. Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media
US9912705B2 (en) 2014-06-24 2018-03-06 Avaya Inc. Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media
US10728841B2 (en) * 2014-06-27 2020-07-28 British Telecommunications Public Limited Company Dynamic wireless network access point selection
KR102240727B1 (ko) * 2015-01-28 2021-04-15 삼성전자주식회사 통신 시스템에서 보안 연계를 설정하기 위한 장치 및 방법
US9191865B1 (en) * 2015-02-09 2015-11-17 Sprint Communications Company L.P. Long term evolution (LTE) communications over trusted hardware
JP6500302B2 (ja) * 2015-06-08 2019-04-17 株式会社タニタ 中央装置、周辺装置、通信システム、通信方法およびプログラム
US10382948B2 (en) * 2016-02-22 2019-08-13 Cisco Technology, Inc. Consolidated control plane routing agent
CN107566115B (zh) * 2016-07-01 2022-01-14 华为技术有限公司 密钥配置及安全策略确定方法、装置
US10530803B1 (en) * 2016-07-05 2020-01-07 Wells Fargo Bank, N.A. Secure online transactions
US11100457B2 (en) * 2018-05-17 2021-08-24 Here Global B.V. Venue map based security infrastructure management
CN112351431B (zh) * 2019-08-09 2023-06-30 华为技术有限公司 一种安全保护方式确定方法及装置
US11770389B2 (en) * 2020-07-16 2023-09-26 Vmware, Inc. Dynamic rekeying of IPSec security associations
US12200495B2 (en) 2022-11-18 2025-01-14 T-Mobile Usa, Inc. Integrating security and routing policies in wireless telecommunication networks
US12489789B2 (en) * 2023-07-10 2025-12-02 Cisco Technology, Inc. Eliminating double encryption in zero-trust network access authenticated sessions

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010681B1 (en) * 1999-01-29 2006-03-07 International Business Machines Corporation Method, system and apparatus for selecting encryption levels based on policy profiling
JP2002064482A (ja) 2000-08-23 2002-02-28 Matsushita Electric Works Ltd 暗号処理装置
US8020201B2 (en) * 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices
GB0216000D0 (en) * 2002-07-10 2002-08-21 Nokia Corp A method for setting up a security association
US7545941B2 (en) * 2003-09-16 2009-06-09 Nokia Corporation Method of initializing and using a security association for middleware based on physical proximity
EP1583312A1 (en) * 2004-04-02 2005-10-05 France Telecom Apparatuses and method for controlling access to an IP multimedia system from an application server
US7636841B2 (en) 2004-07-26 2009-12-22 Intercall, Inc. Systems and methods for secure data exchange in a distributed collaborative application
JP4733706B2 (ja) * 2004-10-21 2011-07-27 株式会社エヌ・ティ・ティ・ドコモ セキュアセッション転送の方法および対応するターミナルデバイス
CN100433899C (zh) 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
US20060251255A1 (en) * 2005-04-20 2006-11-09 Puneet Batta System and method for utilizing a wireless communication protocol in a communications network
GB0508057D0 (en) * 2005-04-21 2005-06-01 Nokia Corp Selection of a communication interface
JP4334531B2 (ja) * 2005-11-01 2009-09-30 株式会社エヌ・ティ・ティ・ドコモ 通信システム、移動局、交換機及び通信方法
US20070109982A1 (en) * 2005-11-11 2007-05-17 Computer Associates Think, Inc. Method and system for managing ad-hoc connections in a wireless network
US8042148B2 (en) * 2006-02-07 2011-10-18 Cisco Technology, Inc. System and method for enforcing policy in a communication network

Also Published As

Publication number Publication date
EP2201743A1 (en) 2010-06-30
WO2009051528A1 (en) 2009-04-23
US8386766B2 (en) 2013-02-26
US20100235620A1 (en) 2010-09-16
EP2201743A4 (en) 2016-01-27
JP2011504665A (ja) 2011-02-10

Similar Documents

Publication Publication Date Title
JP5096588B2 (ja) セキュリティ設定を決定するための方法及び構成
US11463863B2 (en) Network slice isolation information for session management function discovery
EP3529968B1 (en) System and method for node selection based on mid-session and end-session event information
US10492237B2 (en) Mobile gateway selection using a direct connection between a PCRF node and a mobility management node
US9787544B2 (en) Installation and enforcement of dynamic and static PCC rules in tunneling scenarios
US8824340B2 (en) Handling of policy and charging information and user profiles in a multisite communication's network
US10103896B2 (en) Method and device of a policy control and charging (PCC) system in a communication network
EP2317822A1 (en) Enhancement of the attachement procedure for re-attaching a UE to a 3GPP access network
US20150103772A1 (en) Routing of Traffic in a Multi-Domain Network
CN105592068A (zh) 用于在网络环境中提供互联网协议流移动性的系统和方法
CN105592499A (zh) 用于在网络环境中提供互联网协议流移动性的系统和方法
CN103444148A (zh) 控制部署的业务检测功能节点的路由选择或绕过的网络节点和方法
JP2009284492A (ja) 通信ネットワーク間のセキュアな通信を提供する方法及びシステム
US20100299446A1 (en) Method and apparatus for controlling service data flows transmitted in a tunnel
US10326604B2 (en) Policy and charging rules function (PCRF) selection
EP2596660B1 (en) Gating control in a telecommunications network
CN102791042A (zh) S9子会话建立方法、系统及pcrf
WO2021047785A1 (en) Methods of and devices for enabling a core network of a mobile communication network to perform mobility actions based on a radio access technology, rat, with which a user equipment, ue, connects to said core network
WO2024217102A1 (en) Method, device and computer program product for wireless communication
CN103582158B (zh) 一种直通隧道建立方法及网元及网关及系统
HK1098269B (en) Method and system for providing a secure communication between communication networks
CN106973029A (zh) 一种ip流迁移方法、装置及系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120920

R150 Certificate of patent or registration of utility model

Ref document number: 5096588

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees