無線電気通信における暗号化
【課題】 本発明の一例は、無線電気通信ネットワークにおいて、暗号化されたユーザデータをモバイル端末に伝送する方法である。
【解決手段】 本方法は、モバイル端末にデータパケットを送信するステップを備える。該データパケットは、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備える。
【解決手段】 本方法は、モバイル端末にデータパケットを送信するステップを備える。該データパケットは、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電気通信に関し、より詳細には、無線電気通信に関する。
【背景技術】
【0002】
知られているシステム(Universal Mobile Telecommunications System)(UMTS)では、暗号化されるメッセージもある。暗号化は、UTRAN(UMTS terrestrial radio access network)を介してコアネットワークから送信され、モバイル端末によって受信されるセキュリティ・モード・コマンドによって開始される。これに続いて、セキュリティ・モード応答がモバイル端末から送信され、コアネットワークによって受信される。
【0003】
例えば、図1に示されているように、コアネットワーク(CN)2は、セッションまたはベアラ確立要求1を受信したとき、セキュリティ・モード・コマンド4をUTRAN6に送信する。これは、UTRAN6に、セキュリティ・モード・コマンド4をモバイル端末(ユーザ機器、UE8)に転送させる。モバイル端末8は、セキュリティ・コンテキストと呼ばれることもある特定のパラメータ値を使用してその暗号化アルゴリズムを初期化することにより反応し、次いで、UTRAN6にセキュリティ・モード応答10を送信することにより確認応答し、UTRAN6は応答10をコアネットワーク2に転送する。その後、セッション確立応答12などの暗号化されたNAS(Non Access Stratum)メッセージがコアネットワーク2からUTRAN6を介してモバイル端末8に送信される。
【0004】
この知られている手法では、セキュリティ・モード・メッセージは、後に続くメッセージを暗号化するために必要な暗号化情報を提供するので、暗号化されない。
【0005】
背景技術の別の分野は、LTE(Long Term Evolution)ネットワークである。いわゆるLTE(Long Term Evolution)ネットワークは、現在、UMTSネットワークから発展させられているところである。Long Term Evolutionネットワークの背景技術に関しては、読者は3GPP TS(Third Generation Partnership Project Technical Specification)23.882を参照されたい。
【発明の概要】
【課題を解決するための手段】
【0006】
読者は添付の特許請求の範囲の独立請求項を参照されたい。いくつかの好ましい特徴は、従属請求項に記載されている。
【0007】
本発明の一例は、無線電気通信ネットワークにおいて、暗号化されたユーザデータをモバイル端末に伝送する方法である。本方法は、モバイル端末にデータパケットを送信するステップを備える。データパケットは、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、上記暗号化情報を使用して暗号化されたユーザデータとの両方を備える。
【0008】
本発明者らは、知られている手法では、セキュリティ・モード・コマンドおよび応答シグナリングがセッション確立手順において遅延を生じさせることが分かった。例えば、モバイル端末が別の基地局のカバレッジエリアに移動する場合、使用される暗号化鍵の変更があり得る。これは、新しい鍵を使用して暗号化されたデータが送信される前に、モバイル端末に新しい鍵を通知するためにセキュリティ・モード・コマンドおよび応答シグナリングを必要とする。この追加のシグナリングは、追加の遅延を生じさせる可能性がある。そのような遅延は、加入者にとっては厄介である可能性があり、プッシュ・トゥ・トークなど、コールセットアップ遅延に敏感なアプリケーションに問題を生じさせる可能性がある。
【0009】
本発明のいくつかの実施形態では、そのような遅延を低減することができる。
【0010】
次に、本発明の諸実施形態が、例として、添付の図面を参照しながら説明される。
【図面の簡単な説明】
【0011】
【図1】セッション確立の一部分として暗号化を起動する知られている手法を示す図である(従来技術)。
【図2】本発明の第1の実施形態によるLTE(Long Term Evolution)ネットワークを示す図である。
【図3】図2に示されているネットワークにおけるセッション確立の一部分として暗号化を起動する手法を示す図である。
【図4】セッション確立時に送信されるNASメッセージの構造を示す図である。
【図5】NASシグナリングメッセージがどのように暗号化されるかを示す図である。
【図6】LTEネットワークにおけるコアネットワークCNノード間のハンドオーバを示す図である。
【図7】LTEネットワークにおいて、RRC(Radio resource control)接続確立の一部分として暗号化を起動することを示す図である。
【図8】本発明の第2の実施形態によるUMTS(Universal Mobile Telecommunications System)ネットワークを示す図である。
【図9】図8に示されているネットワークにおいてセッション確立の一部分として暗号化を起動する手法を示す図である。
【発明を実施するための形態】
【0012】
最初に例示的LTEネットワークが説明され、次いで、結合メッセージを使用してセッション確立時に暗号化がどのように開始されるかが説明される。次いで、1つのネットワークノードとの接続から別のネットワークノードとの接続へのモバイル端末のハンドオーバ時に暗号化がどのように処理されるかが説明される。
【0013】
次いで、代替の結合メッセージが説明される。
【0014】
次いで、UMTSネットワークである代替のネットワークが説明され、次いで、そのネットワークにおいて暗号化がどのように開始されるかが説明される。
【0015】
Long Term Evolutionネットワーク
UMTS(Universal Mobile Telecommunications System)ネットワークに基づくLTEネットワーク14は、基本的には図2に示されているとおりである。コアネットワークは、MME(Mobile Management Entities)を含む。各MME16は、NASメッセージ暗号化段階26を含む。図2では、簡単にするために、コアネットワーク18の1つのモバイル管理エンティティ(MME)16、およびLTEネットワーク14の1つの基地局20だけが示されている。LTEネットワークは複数の基地局を含む。図では、基地局はLTE専門用語によって「eノードB」としても示されている。セクタとも呼ばれるセルは、基地局の対応するアンテナによってサービスされる無線カバレッジエリアである。基地局20は、通常、3つのセル22を有し、各セルは、相互に120度の方位角で配置された3本の指向性アンテナ24のうちの1本によってカバーされる。
【0016】
使用時には、モバイルユーザ端末28(しばしばLTE/UMTS専門用語でユーザ機器(UE)と呼ばれる)は、少なくとも1つの基地局20の少なくとも1つのセル22を介してモバイル管理エンティティ16と通信する。そのようにして、モバイルユーザ端末はUTRANネットワーク2と通信する。
【0017】
セッション確立時に暗号化を起動すること
本発明者らは、セキュリティ・モード・コマンドおよびNAS(Non Access Stratum)メッセージ(セッション確立応答など)を単一の結合メッセージに結合することが可能であることが分かった。メッセージの第1の部分は、セキュリティ・モード・コマンドであり、この部分は暗号化されない。メッセージの第2の部分は、NASメッセージであり、この部分は暗号化される。
【0018】
図3に示されているように、セッション確立要求30を受信したとき、モバイル管理エンティティ16は、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたNASシグナリングメッセージからなる結合メッセージ32を基地局20に送信する。これは、基地局20に、結合メッセージ32をモバイル端末(ユーザ機器、UE28)に転送させる。モバイル端末28は、そのセキュリティ・コンテキストの初期化を実行し、次いで、基地局20にセキュリティ・モード応答34を送信することにより確認応答し、応答34は基地局20からモバイル管理エンティティ16に転送される。その後、セッション確立応答36などの暗号化されたNAS(Non Access Stratum)メッセージがMME16から基地局20を介してモバイル端末28に送信される。
【0019】
上記で言及された結合メッセージ32は、図4に示されているとおりであり、暗号化されていないセキュリティ・コマンド38および暗号化されたNASメッセージ40からなる。セキュリティ・コマンド38は、使用されるべき暗号化鍵の識別子、および、例えば暗号化の開始時間の識別子など、セキュリティ・コンテキスト情報を定義する情報要素からなる。NASメッセージ40は、セッション確立応答を構成する情報要素からなる。
【0020】
結合メッセージの生成
LTEネットワーク14では、NASメッセージの暗号化は、コアネットワーク18のそれぞれのノードにおいて暗号化段階26によって行われる。NASメッセージの暗号化は、ユーザデータの暗号化から独立している。
【0021】
図5に示されているように、暗号化鍵など暗号化を実行するための情報と共に暗号化のためのNASメッセージが暗号化段階26に入力され、そこから暗号化されたNASメッセージ40が提供される。暗号化されたNASメッセージ40は、暗号化されていないヘッダ情報38に連結される。これは、MME16が、一般に、別の暗号化されていないメッセージ部分との連結の前にNASメッセージの少なくとも一部分の暗号化を可能にするので、可能である。
【0022】
ハンドオーバ時に暗号化を処理すること
ハンドオーバは、モバイル端末28を、1つの基地局20、したがってコアネットワーク・ノード18との接続から、別の基地局(図示されていない)、したがって別のコアネットワーク・ノード(図示されていない)へ移すプロセスである。ハンドオーバは、ハンドオフとして知られている場合もある。
【0023】
ハンドオーバ手順の一例が図6に示されている。最初、接続は基地局20に対してであり、第1の暗号化鍵を使用することを必要とする。コアネットワーク・ノード18が基地局20を介してモバイル端末28にハンドオーバ・コマンド42を送信し、その後、別の基地局20’、したがってコアネットワーク・ノード20’への呼接続のハンドオーバ44が実行される。次いで、「ハンドオーバ完了」メッセージ46がモバイル端末28から新しい基地局18’、したがってコアネットワーク・ノード18’に送信される。その後、コアネットワーク・ノードは、上記で論じられたように、暗号化鍵識別子を含む暗号化されていないセキュリティ・モード・コマンド50と、その後に続くNASシグナリングメッセージなどのユーザデータの暗号化された部分52とからなる結合メッセージ48を送信する。したがって、例えば、コアネットワーク・ノードが暗号化変更を行う場合、新しいコアネットワーク・ノード18’からの第1の結合メッセージ50は、使用されるべき新しいセキュリティ・パラメータ値をセキュリティ・モード・コマンドで示し、暗号化されたフォームでNASシグナリングメッセージを含む。
【0024】
他の同様の実施形態では、そうではなく、暗号化および暗号化構成がユーザ・プレーンで行われる場合は、ユーザ・プレーンにおける結合パケットは、ユーザデータに連結された暗号化されていないセキュリティ・モード・コマンドからなる。
【0025】
もちろん、いくつかの実施形態では、暗号化鍵識別子を含む暗号化されていないセキュリティ・モード・コマンドと、その後に続く新しい暗号化鍵を使用して暗号化されたユーザデータの暗号化された部分とからなる結合メッセージを送信することによりその新しい暗号化鍵に交換することは、セル間のハンドオーバ以外の時に行われることもできる。例えば、他の実施形態では、古いセルおよび新しいセルは、同一のセルでもよい。
【0026】
この例では、セルは、最初、古い暗号化パラメータを使用してモバイル端末と通信する。セルは、セッションの途中で、新しい暗号化パラメータおよび追加のユーザデータを含むパケットを送信する。モバイル端末が新しい暗号化パラメータを受信する。モバイル端末は、新しい暗号化パラメータを使用して、パケットの暗号化された部分を復号する。モバイル端末はまた、新しい暗号化パラメータを使用して暗号化されるその後のパケットを暗号化する際に後で使用するために、新しい暗号化パラメータを記憶する。
【0027】
無線リソース制御
図7に示されているように、同様に、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたユーザデータ部分からなる結合メッセージが送信されてもよく、この場合、ユーザデータ部分は無線リソース制御(RRC)メッセージからなる。図7に示されているように、RRC接続要求54が基地局20”に送信され、それに応答して基地局によって、結合メッセージ56、より詳細には、暗号化されていないセキュリティ・モード・コマンドとその後に続く(新しい鍵を用いて)暗号化されたRRC接続応答とを備える結合メッセージ56が、基地局によってモバイル端末28’に送信される。次いで、ユーザ端末28’から、セキュリティ・モード応答が送信される。
【0028】
別の例示的システム:UMTS
ネットワークは、モバイル電気通信のための広帯域CDMA(code division multiple access)ネットワークの1つのタイプであるUTRAN(UMTS(Universal Mobile Telecommunications System)terrestrial access network)である。UTRANネットワークは、基本的には図8に示されているとおりである。簡単にするために、UTRANネットワーク62の1つの無線ネットワークコントローラおよび2つの基地局だけが示されている。この図に示されているように、UTRANネットワーク62は基地局64を含む。図では、各基地局64はUMTS専門用語によって「ノードB」としても示されている。セクタとも呼ばれるセルは、基地局の対応するアンテナによってサービスされる無線カバレッジエリアである。各基地局は、通常、3つのセル66を有し、各セルは、相互に120度の方位角で配置された3本の指向性アンテナ67のうちの1本によってカバーされる。各RNC(radio network controller)68は、通常、いくつかの基地局64、したがっていくつかのセル66を制御する。基地局64は、IuBインターフェースとして知られているそれぞれのインターフェース69を介して、その基地局を制御するRNC(radio network controller)68に接続される。使用時には、モバイルユーザ端末70(しばしばUMTS専門用語でユーザ機器(UE)と呼ばれる)は、少なくとも1つの基地局64の少なくとも1つのセル66を介して、サービングRNC(radio network controller)68と通信する。そのようにして、モバイルユーザ端末はUTRANネットワーク62と通信する。
【0029】
RNCは、コアネットワーク74のSGSN(Serving Gateway Support Node)72に接続される。SGSN72は、以下でさらに詳細に説明されるように、NASメッセージ暗号化段階76を含む。
【0030】
セッション確立時に暗号化を起動すること:UMTSの例
本発明者らは、セキュリティ・モード・コマンドおよびNAS(Non Access Stratum)メッセージ(セッション確立応答など)を単一の結合メッセージに結合することが可能であることが分かった。メッセージの第1の部分は、セキュリティ・モード・コマンドであり、この部分は、暗号化されない。メッセージの第2の部分は、NASメッセージであり、この部分は、暗号化される。
【0031】
図9に示されているように、セッション確立要求78を受信したとき、SGSN72は、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたNASシグナリングメッセージからなる結合メッセージ80をRNC68、したがって基地局64に送信する。これは、基地局64に、結合メッセージ80をモバイル端末(ユーザ機器、UE70)に転送させる。
【0032】
結合メッセージ80は、暗号化されていないセキュリティ・コマンドおよび暗号化されたNASメッセージからなる。セキュリティ・コマンドは、使用されるべき暗号化鍵の識別子、および、例えば暗号化のための開始時間の識別子などのセキュリティ・コンテキスト情報を定義する情報要素からなる。メッセージ80の暗号化されたNASメッセージ部分は、セッション確立応答を構成する情報要素からなる。
【0033】
モバイル端末70は、そのセキュリティ・コンテキストの初期化を実行し、次いで、セキュリティ・モード応答82を基地局64、したがってRNC68に送信することにより確認応答し、応答82はRNC68からSGSN72に転送される。
【0034】
一般
本発明は、本発明の本質的特徴から逸脱することなく、他の特定の形態で実施することができる。説明された諸実施形態は、全ての点で例示としてだけであり、制限的ではないと考えられるべきである。したがって、本発明の範囲は、上記の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲の同等物の意味および範囲に含まれる全ての変更形態は、特許請求の範囲に含まれるものとする。
【0035】
いくつかの略語
CN:コアネットワーク
UMTS:Universal Mobile Telecommunications System
UE:ユーザ機器
NAS:Non Access Stratum(コアネットワーク・プロトコルとしも知られている)
MME:Mobility Management Entity
LTE:Long Term Evolution、UMTSの後で標準化されるシステムのために3GPPで使用される用語
IE:情報要素
RRC:Radio Resource Control(制御プロトコルのRadio部分、あるいは制御プロトコルのAccess Stratum部分とも呼ばれる)
SGSN:Signalling Gateway Support Node
【技術分野】
【0001】
本発明は、電気通信に関し、より詳細には、無線電気通信に関する。
【背景技術】
【0002】
知られているシステム(Universal Mobile Telecommunications System)(UMTS)では、暗号化されるメッセージもある。暗号化は、UTRAN(UMTS terrestrial radio access network)を介してコアネットワークから送信され、モバイル端末によって受信されるセキュリティ・モード・コマンドによって開始される。これに続いて、セキュリティ・モード応答がモバイル端末から送信され、コアネットワークによって受信される。
【0003】
例えば、図1に示されているように、コアネットワーク(CN)2は、セッションまたはベアラ確立要求1を受信したとき、セキュリティ・モード・コマンド4をUTRAN6に送信する。これは、UTRAN6に、セキュリティ・モード・コマンド4をモバイル端末(ユーザ機器、UE8)に転送させる。モバイル端末8は、セキュリティ・コンテキストと呼ばれることもある特定のパラメータ値を使用してその暗号化アルゴリズムを初期化することにより反応し、次いで、UTRAN6にセキュリティ・モード応答10を送信することにより確認応答し、UTRAN6は応答10をコアネットワーク2に転送する。その後、セッション確立応答12などの暗号化されたNAS(Non Access Stratum)メッセージがコアネットワーク2からUTRAN6を介してモバイル端末8に送信される。
【0004】
この知られている手法では、セキュリティ・モード・メッセージは、後に続くメッセージを暗号化するために必要な暗号化情報を提供するので、暗号化されない。
【0005】
背景技術の別の分野は、LTE(Long Term Evolution)ネットワークである。いわゆるLTE(Long Term Evolution)ネットワークは、現在、UMTSネットワークから発展させられているところである。Long Term Evolutionネットワークの背景技術に関しては、読者は3GPP TS(Third Generation Partnership Project Technical Specification)23.882を参照されたい。
【発明の概要】
【課題を解決するための手段】
【0006】
読者は添付の特許請求の範囲の独立請求項を参照されたい。いくつかの好ましい特徴は、従属請求項に記載されている。
【0007】
本発明の一例は、無線電気通信ネットワークにおいて、暗号化されたユーザデータをモバイル端末に伝送する方法である。本方法は、モバイル端末にデータパケットを送信するステップを備える。データパケットは、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、上記暗号化情報を使用して暗号化されたユーザデータとの両方を備える。
【0008】
本発明者らは、知られている手法では、セキュリティ・モード・コマンドおよび応答シグナリングがセッション確立手順において遅延を生じさせることが分かった。例えば、モバイル端末が別の基地局のカバレッジエリアに移動する場合、使用される暗号化鍵の変更があり得る。これは、新しい鍵を使用して暗号化されたデータが送信される前に、モバイル端末に新しい鍵を通知するためにセキュリティ・モード・コマンドおよび応答シグナリングを必要とする。この追加のシグナリングは、追加の遅延を生じさせる可能性がある。そのような遅延は、加入者にとっては厄介である可能性があり、プッシュ・トゥ・トークなど、コールセットアップ遅延に敏感なアプリケーションに問題を生じさせる可能性がある。
【0009】
本発明のいくつかの実施形態では、そのような遅延を低減することができる。
【0010】
次に、本発明の諸実施形態が、例として、添付の図面を参照しながら説明される。
【図面の簡単な説明】
【0011】
【図1】セッション確立の一部分として暗号化を起動する知られている手法を示す図である(従来技術)。
【図2】本発明の第1の実施形態によるLTE(Long Term Evolution)ネットワークを示す図である。
【図3】図2に示されているネットワークにおけるセッション確立の一部分として暗号化を起動する手法を示す図である。
【図4】セッション確立時に送信されるNASメッセージの構造を示す図である。
【図5】NASシグナリングメッセージがどのように暗号化されるかを示す図である。
【図6】LTEネットワークにおけるコアネットワークCNノード間のハンドオーバを示す図である。
【図7】LTEネットワークにおいて、RRC(Radio resource control)接続確立の一部分として暗号化を起動することを示す図である。
【図8】本発明の第2の実施形態によるUMTS(Universal Mobile Telecommunications System)ネットワークを示す図である。
【図9】図8に示されているネットワークにおいてセッション確立の一部分として暗号化を起動する手法を示す図である。
【発明を実施するための形態】
【0012】
最初に例示的LTEネットワークが説明され、次いで、結合メッセージを使用してセッション確立時に暗号化がどのように開始されるかが説明される。次いで、1つのネットワークノードとの接続から別のネットワークノードとの接続へのモバイル端末のハンドオーバ時に暗号化がどのように処理されるかが説明される。
【0013】
次いで、代替の結合メッセージが説明される。
【0014】
次いで、UMTSネットワークである代替のネットワークが説明され、次いで、そのネットワークにおいて暗号化がどのように開始されるかが説明される。
【0015】
Long Term Evolutionネットワーク
UMTS(Universal Mobile Telecommunications System)ネットワークに基づくLTEネットワーク14は、基本的には図2に示されているとおりである。コアネットワークは、MME(Mobile Management Entities)を含む。各MME16は、NASメッセージ暗号化段階26を含む。図2では、簡単にするために、コアネットワーク18の1つのモバイル管理エンティティ(MME)16、およびLTEネットワーク14の1つの基地局20だけが示されている。LTEネットワークは複数の基地局を含む。図では、基地局はLTE専門用語によって「eノードB」としても示されている。セクタとも呼ばれるセルは、基地局の対応するアンテナによってサービスされる無線カバレッジエリアである。基地局20は、通常、3つのセル22を有し、各セルは、相互に120度の方位角で配置された3本の指向性アンテナ24のうちの1本によってカバーされる。
【0016】
使用時には、モバイルユーザ端末28(しばしばLTE/UMTS専門用語でユーザ機器(UE)と呼ばれる)は、少なくとも1つの基地局20の少なくとも1つのセル22を介してモバイル管理エンティティ16と通信する。そのようにして、モバイルユーザ端末はUTRANネットワーク2と通信する。
【0017】
セッション確立時に暗号化を起動すること
本発明者らは、セキュリティ・モード・コマンドおよびNAS(Non Access Stratum)メッセージ(セッション確立応答など)を単一の結合メッセージに結合することが可能であることが分かった。メッセージの第1の部分は、セキュリティ・モード・コマンドであり、この部分は暗号化されない。メッセージの第2の部分は、NASメッセージであり、この部分は暗号化される。
【0018】
図3に示されているように、セッション確立要求30を受信したとき、モバイル管理エンティティ16は、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたNASシグナリングメッセージからなる結合メッセージ32を基地局20に送信する。これは、基地局20に、結合メッセージ32をモバイル端末(ユーザ機器、UE28)に転送させる。モバイル端末28は、そのセキュリティ・コンテキストの初期化を実行し、次いで、基地局20にセキュリティ・モード応答34を送信することにより確認応答し、応答34は基地局20からモバイル管理エンティティ16に転送される。その後、セッション確立応答36などの暗号化されたNAS(Non Access Stratum)メッセージがMME16から基地局20を介してモバイル端末28に送信される。
【0019】
上記で言及された結合メッセージ32は、図4に示されているとおりであり、暗号化されていないセキュリティ・コマンド38および暗号化されたNASメッセージ40からなる。セキュリティ・コマンド38は、使用されるべき暗号化鍵の識別子、および、例えば暗号化の開始時間の識別子など、セキュリティ・コンテキスト情報を定義する情報要素からなる。NASメッセージ40は、セッション確立応答を構成する情報要素からなる。
【0020】
結合メッセージの生成
LTEネットワーク14では、NASメッセージの暗号化は、コアネットワーク18のそれぞれのノードにおいて暗号化段階26によって行われる。NASメッセージの暗号化は、ユーザデータの暗号化から独立している。
【0021】
図5に示されているように、暗号化鍵など暗号化を実行するための情報と共に暗号化のためのNASメッセージが暗号化段階26に入力され、そこから暗号化されたNASメッセージ40が提供される。暗号化されたNASメッセージ40は、暗号化されていないヘッダ情報38に連結される。これは、MME16が、一般に、別の暗号化されていないメッセージ部分との連結の前にNASメッセージの少なくとも一部分の暗号化を可能にするので、可能である。
【0022】
ハンドオーバ時に暗号化を処理すること
ハンドオーバは、モバイル端末28を、1つの基地局20、したがってコアネットワーク・ノード18との接続から、別の基地局(図示されていない)、したがって別のコアネットワーク・ノード(図示されていない)へ移すプロセスである。ハンドオーバは、ハンドオフとして知られている場合もある。
【0023】
ハンドオーバ手順の一例が図6に示されている。最初、接続は基地局20に対してであり、第1の暗号化鍵を使用することを必要とする。コアネットワーク・ノード18が基地局20を介してモバイル端末28にハンドオーバ・コマンド42を送信し、その後、別の基地局20’、したがってコアネットワーク・ノード20’への呼接続のハンドオーバ44が実行される。次いで、「ハンドオーバ完了」メッセージ46がモバイル端末28から新しい基地局18’、したがってコアネットワーク・ノード18’に送信される。その後、コアネットワーク・ノードは、上記で論じられたように、暗号化鍵識別子を含む暗号化されていないセキュリティ・モード・コマンド50と、その後に続くNASシグナリングメッセージなどのユーザデータの暗号化された部分52とからなる結合メッセージ48を送信する。したがって、例えば、コアネットワーク・ノードが暗号化変更を行う場合、新しいコアネットワーク・ノード18’からの第1の結合メッセージ50は、使用されるべき新しいセキュリティ・パラメータ値をセキュリティ・モード・コマンドで示し、暗号化されたフォームでNASシグナリングメッセージを含む。
【0024】
他の同様の実施形態では、そうではなく、暗号化および暗号化構成がユーザ・プレーンで行われる場合は、ユーザ・プレーンにおける結合パケットは、ユーザデータに連結された暗号化されていないセキュリティ・モード・コマンドからなる。
【0025】
もちろん、いくつかの実施形態では、暗号化鍵識別子を含む暗号化されていないセキュリティ・モード・コマンドと、その後に続く新しい暗号化鍵を使用して暗号化されたユーザデータの暗号化された部分とからなる結合メッセージを送信することによりその新しい暗号化鍵に交換することは、セル間のハンドオーバ以外の時に行われることもできる。例えば、他の実施形態では、古いセルおよび新しいセルは、同一のセルでもよい。
【0026】
この例では、セルは、最初、古い暗号化パラメータを使用してモバイル端末と通信する。セルは、セッションの途中で、新しい暗号化パラメータおよび追加のユーザデータを含むパケットを送信する。モバイル端末が新しい暗号化パラメータを受信する。モバイル端末は、新しい暗号化パラメータを使用して、パケットの暗号化された部分を復号する。モバイル端末はまた、新しい暗号化パラメータを使用して暗号化されるその後のパケットを暗号化する際に後で使用するために、新しい暗号化パラメータを記憶する。
【0027】
無線リソース制御
図7に示されているように、同様に、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたユーザデータ部分からなる結合メッセージが送信されてもよく、この場合、ユーザデータ部分は無線リソース制御(RRC)メッセージからなる。図7に示されているように、RRC接続要求54が基地局20”に送信され、それに応答して基地局によって、結合メッセージ56、より詳細には、暗号化されていないセキュリティ・モード・コマンドとその後に続く(新しい鍵を用いて)暗号化されたRRC接続応答とを備える結合メッセージ56が、基地局によってモバイル端末28’に送信される。次いで、ユーザ端末28’から、セキュリティ・モード応答が送信される。
【0028】
別の例示的システム:UMTS
ネットワークは、モバイル電気通信のための広帯域CDMA(code division multiple access)ネットワークの1つのタイプであるUTRAN(UMTS(Universal Mobile Telecommunications System)terrestrial access network)である。UTRANネットワークは、基本的には図8に示されているとおりである。簡単にするために、UTRANネットワーク62の1つの無線ネットワークコントローラおよび2つの基地局だけが示されている。この図に示されているように、UTRANネットワーク62は基地局64を含む。図では、各基地局64はUMTS専門用語によって「ノードB」としても示されている。セクタとも呼ばれるセルは、基地局の対応するアンテナによってサービスされる無線カバレッジエリアである。各基地局は、通常、3つのセル66を有し、各セルは、相互に120度の方位角で配置された3本の指向性アンテナ67のうちの1本によってカバーされる。各RNC(radio network controller)68は、通常、いくつかの基地局64、したがっていくつかのセル66を制御する。基地局64は、IuBインターフェースとして知られているそれぞれのインターフェース69を介して、その基地局を制御するRNC(radio network controller)68に接続される。使用時には、モバイルユーザ端末70(しばしばUMTS専門用語でユーザ機器(UE)と呼ばれる)は、少なくとも1つの基地局64の少なくとも1つのセル66を介して、サービングRNC(radio network controller)68と通信する。そのようにして、モバイルユーザ端末はUTRANネットワーク62と通信する。
【0029】
RNCは、コアネットワーク74のSGSN(Serving Gateway Support Node)72に接続される。SGSN72は、以下でさらに詳細に説明されるように、NASメッセージ暗号化段階76を含む。
【0030】
セッション確立時に暗号化を起動すること:UMTSの例
本発明者らは、セキュリティ・モード・コマンドおよびNAS(Non Access Stratum)メッセージ(セッション確立応答など)を単一の結合メッセージに結合することが可能であることが分かった。メッセージの第1の部分は、セキュリティ・モード・コマンドであり、この部分は、暗号化されない。メッセージの第2の部分は、NASメッセージであり、この部分は、暗号化される。
【0031】
図9に示されているように、セッション確立要求78を受信したとき、SGSN72は、暗号化されていないセキュリティ・モード・コマンドおよび暗号化されたNASシグナリングメッセージからなる結合メッセージ80をRNC68、したがって基地局64に送信する。これは、基地局64に、結合メッセージ80をモバイル端末(ユーザ機器、UE70)に転送させる。
【0032】
結合メッセージ80は、暗号化されていないセキュリティ・コマンドおよび暗号化されたNASメッセージからなる。セキュリティ・コマンドは、使用されるべき暗号化鍵の識別子、および、例えば暗号化のための開始時間の識別子などのセキュリティ・コンテキスト情報を定義する情報要素からなる。メッセージ80の暗号化されたNASメッセージ部分は、セッション確立応答を構成する情報要素からなる。
【0033】
モバイル端末70は、そのセキュリティ・コンテキストの初期化を実行し、次いで、セキュリティ・モード応答82を基地局64、したがってRNC68に送信することにより確認応答し、応答82はRNC68からSGSN72に転送される。
【0034】
一般
本発明は、本発明の本質的特徴から逸脱することなく、他の特定の形態で実施することができる。説明された諸実施形態は、全ての点で例示としてだけであり、制限的ではないと考えられるべきである。したがって、本発明の範囲は、上記の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲の同等物の意味および範囲に含まれる全ての変更形態は、特許請求の範囲に含まれるものとする。
【0035】
いくつかの略語
CN:コアネットワーク
UMTS:Universal Mobile Telecommunications System
UE:ユーザ機器
NAS:Non Access Stratum(コアネットワーク・プロトコルとしも知られている)
MME:Mobility Management Entity
LTE:Long Term Evolution、UMTSの後で標準化されるシステムのために3GPPで使用される用語
IE:情報要素
RRC:Radio Resource Control(制御プロトコルのRadio部分、あるいは制御プロトコルのAccess Stratum部分とも呼ばれる)
SGSN:Signalling Gateway Support Node
【特許請求の範囲】
【請求項1】
無線電気通信ネットワークにおいて、暗号化されたユーザデータをモバイル端末に伝送する方法であって、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備えるデータパケットを前記モバイル端末に送信するステップを備え、
前記デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記ネットワークがUMTSまたはLTEネットワークを備え、
前記モバイル端末が前記識別された暗号化情報を使用して前記ユーザデータを復元するステップと、
前記モバイル端末が後で受信されるデータパケット内の暗号化されたユーザデータを復元する際の使用のために前記識別された暗号化情報を記憶するステップをさらに備える、
方法。
【請求項2】
前記暗号化情報が暗号化アルゴリズムを備える、請求項1に記載の方法。
【請求項3】
前記暗号化情報が暗号化鍵を備える、請求項1または2に記載の方法。
【請求項4】
前記ユーザデータがユーザ・シグナリング・データを備える、請求項1〜3のいずれか1項に記載の方法。
【請求項5】
前記ユーザ・シグナリング・データがNASメッセージまたはRRCメッセージを備える、請求項4に記載の方法。
【請求項6】
前記ユーザデータがユーザ・トラフィック・データを備える、請求項1〜3のいずれか1項に記載の方法。
【請求項7】
前記データパケットがセキュリティ・モード・コマンドを備え、前記セキュリティ・モード・コマンドが前記暗号化情報の前記識別子を備える請求項1に記載の方法。
【請求項8】
暗号化されたユーザデータを復元する受信機において使用されるために適合され、第1の時間間隔で伝送される暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備える、データパケット内の暗号化されたユーザデータを伝送するように動作可能なUMTSまたはLTE無線電気通信基地局であって、
前記受信器が前記識別された暗号化情報を使用して前記ユーザデータを復元し、
前記受信器が後で受信されるデータパケット内の暗号化されたユーザデータを復元する際の使用のために前記識別された暗号化情報を記憶する、UMTSまたはLTE無線電気通信基地局。
【請求項9】
受信機およびプロセッサを備える無線電気通信端末であって、
前記受信機が、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備えるデータパケットを受信するように動作可能であり、
デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記プロセッサが、前記暗号化情報を使用して、前記暗号化情報を使用して暗号化された前記ユーザデータを復元するように動作可能であり、前記モバイル端末が、後での使用のために前記暗号化情報を記憶するように動作可能であり、
前記端末がUMTSまたはLTE無線電気通信端末である無線電気通信端末。
【請求項10】
モバイル端末が、無線電気通信ネットワークにおいて、暗号化されたユーザデータを受信する方法であって、
前記モバイル端末が、第1の暗号化情報を使用して暗号化されたユーザデータを備える第1のデータパケットを受信するステップと、
前記モバイル端末に記憶されている第1の暗号化情報を使用して前記モバイル端末において前記ユーザデータを復元するステップと、
前記モバイル端末が、暗号化されたユーザデータを復元する際に使用されるべき更新された暗号化情報の識別子と、前記更新された暗号化情報を使用して暗号化されたユーザデータとの両方を備える次のデータパケットを受信するステップとを備え、
デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記モバイル端末が、前記更新された暗号化情報を使用して暗号化された前記ユーザデータを復元するための前記暗号化情報を使用し、後でのパケットを復号するときの後での使用のために前記更新された暗号化情報を記憶する方法。
【請求項1】
無線電気通信ネットワークにおいて、暗号化されたユーザデータをモバイル端末に伝送する方法であって、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備えるデータパケットを前記モバイル端末に送信するステップを備え、
前記デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記ネットワークがUMTSまたはLTEネットワークを備え、
前記モバイル端末が前記識別された暗号化情報を使用して前記ユーザデータを復元するステップと、
前記モバイル端末が後で受信されるデータパケット内の暗号化されたユーザデータを復元する際の使用のために前記識別された暗号化情報を記憶するステップをさらに備える、
方法。
【請求項2】
前記暗号化情報が暗号化アルゴリズムを備える、請求項1に記載の方法。
【請求項3】
前記暗号化情報が暗号化鍵を備える、請求項1または2に記載の方法。
【請求項4】
前記ユーザデータがユーザ・シグナリング・データを備える、請求項1〜3のいずれか1項に記載の方法。
【請求項5】
前記ユーザ・シグナリング・データがNASメッセージまたはRRCメッセージを備える、請求項4に記載の方法。
【請求項6】
前記ユーザデータがユーザ・トラフィック・データを備える、請求項1〜3のいずれか1項に記載の方法。
【請求項7】
前記データパケットがセキュリティ・モード・コマンドを備え、前記セキュリティ・モード・コマンドが前記暗号化情報の前記識別子を備える請求項1に記載の方法。
【請求項8】
暗号化されたユーザデータを復元する受信機において使用されるために適合され、第1の時間間隔で伝送される暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備える、データパケット内の暗号化されたユーザデータを伝送するように動作可能なUMTSまたはLTE無線電気通信基地局であって、
前記受信器が前記識別された暗号化情報を使用して前記ユーザデータを復元し、
前記受信器が後で受信されるデータパケット内の暗号化されたユーザデータを復元する際の使用のために前記識別された暗号化情報を記憶する、UMTSまたはLTE無線電気通信基地局。
【請求項9】
受信機およびプロセッサを備える無線電気通信端末であって、
前記受信機が、暗号化されたユーザデータを復元する際に使用されるべき暗号化情報の識別子と、前記暗号化情報を使用して暗号化されたユーザデータとの両方を備えるデータパケットを受信するように動作可能であり、
デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記プロセッサが、前記暗号化情報を使用して、前記暗号化情報を使用して暗号化された前記ユーザデータを復元するように動作可能であり、前記モバイル端末が、後での使用のために前記暗号化情報を記憶するように動作可能であり、
前記端末がUMTSまたはLTE無線電気通信端末である無線電気通信端末。
【請求項10】
モバイル端末が、無線電気通信ネットワークにおいて、暗号化されたユーザデータを受信する方法であって、
前記モバイル端末が、第1の暗号化情報を使用して暗号化されたユーザデータを備える第1のデータパケットを受信するステップと、
前記モバイル端末に記憶されている第1の暗号化情報を使用して前記モバイル端末において前記ユーザデータを復元するステップと、
前記モバイル端末が、暗号化されたユーザデータを復元する際に使用されるべき更新された暗号化情報の識別子と、前記更新された暗号化情報を使用して暗号化されたユーザデータとの両方を備える次のデータパケットを受信するステップとを備え、
デ−タパケットの受信に応じて、前記モバイル端末が前記識別された暗号化情報を使用してセキュリティ・コンテキストを初期化し、
前記モバイル端末が、前記更新された暗号化情報を使用して暗号化された前記ユーザデータを復元するための前記暗号化情報を使用し、後でのパケットを復号するときの後での使用のために前記更新された暗号化情報を記憶する方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−81252(P2013−81252A)
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願番号】特願2013−495(P2013−495)
【出願日】平成25年1月7日(2013.1.7)
【分割の表示】特願2009−530766(P2009−530766)の分割
【原出願日】平成19年8月6日(2007.8.6)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願日】平成25年1月7日(2013.1.7)
【分割の表示】特願2009−530766(P2009−530766)の分割
【原出願日】平成19年8月6日(2007.8.6)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
[ Back to top ]