通信システムにおけるセキュリティ起動検出のための方法および構成
明示的なシグナリングが無いユーザ端末(12)によるセキュアモードの開始を検出するための方法および装置が提供される。ネットワーク(30)がユーザ端末に、セキュアモードに切り替え、ユーザ端末からデータパケットを受信するように命令した後で、受信側のネットワークノード(22)は、ユーザ端末によって有効なセキュリティが受信されるデータパケットに対して適用されているかどうかを判定することにより、前記ユーザ端末のセキュリティモードを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、移動体通信のためのセキュリティモードの手続きに関し、特に、ユーザ端末のセキュリティモードを検出するための手続きに関する。
【背景技術】
【0002】
移動体通信ネットワークにおいて、ユーザ端末は、セキュアモード(secure mode)または非セキュアモード(insecure mode)で作動することがある。セキュアモードでは、ユーザ端末は、アップリンク・トラフィックチャネルおよび制御チャネル上でネットワークへと転送されるデータパケットを暗号化(cipher)またはエンクリプト(encrypt)することにより、送信されるパケットに対してセキュリティを適用する。シグナリングチャネル上では、ユーザ端末がさらに、送信されるデータパケットに対して完全性保護(integrity protection)を追加する。非セキュアモードでは、暗号化および完全性保護が停止される。ネットワークノード(例えば、基地局またはMME)がユーザ端末に対してセキュアモード命令(SMC:secure mode command)を送信すると、ユーザ端末は、セキュアモードで作動し始める。
【発明の概要】
【発明が解決しようとする課題】
【0003】
現在、ユーザ端末がセキュアな(secure)送信を開始した場合に基地局が検出する方法はない。セキュアモードが開始される前に、ユーザ端末は、アップリンクで保護されていないデータパケットを送信する。基地局がSMCを送信した後に、ユーザ端末は、SMCを受信する前またはセキュアモードがユーザ端末により起動される前に、アップリンクにおいて1つ以上の保護されていないパケットを送信する可能性がある。基地局は、SMCがユーザ端末に送信された後に、保護されていないデータパケットと、保護されたデータパケットとを区別する方法がない。
【0004】
ユーザ端末によるセキュアモードの開始を検出する際の問題は、SMC(3GPP RAN2 contribution R2-073466、Section2.2、option1参照)を送信する前に、ユーザ端末からの全てのトラフィックを一時停止する(suspend)ことによって解決されることもある。従って、SMCがダウンリンクで送信される時間から、セキュアモードがアップリンクで起動される時間の間に、アップリンク上に、暗号化されておらず保護されていないシグナリングは存在しない。この場合、SMCが送信された後の最初のアップリンク・シグナリングパケットは、暗号化されており完全性が保護されていることが見込まれる。しかし、このアプローチの欠点は、アップリンク送信がしばらくの間一時停止される必要があり、従って、幾つかのシグナリングを延期する/遅延させる必要があることもあるということである。
【0005】
代替的な解決策は(3GPP RAN2 contribution R2−073466、Section2.2、option2参照)、セキュアモードがユーザ端末で開始されているかどうかを示すために、アップリンクで送信される全てのパケットについて、パケットのヘッダにフラグを含めることであろう。このフラグによって、ネットワークは、セキュリティが開始されているかを検出し、パケットを適切に処理しうる。すなわち、暗号化されていないデータと、それを伝達する前に、解読および/または完全性検査のデータと、をそれぞれ伝達する。このアプローチによる欠点は、セキュリティの起動時にのみ必要とされるフラグが、最初の幾つかのパケットのみならず、セキュリティ起動された後に送信される全てのパケットについて余分なオーバーヘッドをもたらすことである。
【0006】
同様の問題が、セキュリティが開始された後にユーザ端末がセキュリティ状態を変更する場合に発生することもある。例えば、障害イベントのために、ユーザ端末がセキュアモードを停止し、または、セキュリティ状態が無効になることがある。前者の場合には、受信機は、保護されていないデータパケットと保護されたデータとを区別することが出来できず、後者の場合には、受信機は、セキュリティ障害を検出することが出来ないであろう。ヘッダ圧縮が利用される場合には、受信機は、IPヘッダを伸張するということの失敗と、セキュリティ障害と、を区別することが出来ないであろう。
【0007】
セキュアモードが停止される場合に、この問題は、ユーザ端末からの全てのトラフィックを一時停止することにより、または、パケットのヘッド内でフラグを利用することによっても解決されうる。これら解決策は、先に述べたのと同じ欠点を持つ。セキュリティが機能しない場合、IPヘッダが不要なデータ(garbage)なのか、またはIPヘッダが意味的に正しいIPヘッダを表しているのかを検出することにより、セキュリティ障害を検出することが可能である。しかし、ヘッダ圧縮が利用される場合には、受信機は、ヘッダを伸張するということの失敗と、セキュリティ障害と、を区別することが不可能である。受信されるデータがほとんど無く、この検出を可能にするほどスタティック(static)であると考えられる、圧縮された情報の部分が無い(連続するIPヘッダ間のリダンダンシーが削除されている)。従って、伸張の失敗とセキュリティ障害とを区別するための、ヘッダ圧縮が利用される場合のための検査が存在しない。
【課題を解決するための手段】
【0008】
本発明は、セキュアモード命令(SMC)がユーザ端末に送信された後で、ユーザ端末によるセキュアモードの開始を検出するための方法および装置を提供する。セキュアモードでは、ユーザ端末は、アップリンク・トラフィックチャネルおよび制御チャネル上でネットワークへと送信されるパケットに対する暗号化および/または完全性保護の形態で、セキュリティを適用する。基地局または他のネットワークノードは、受信されるデータパケットが有効なセキュリティ(例えば、完全性保護および/または暗号化)を有するかどうかを判定することにより、ユーザ端末によるセキュアモードの開始をブラインド方式で(blindly)検出し、このようなブラインド検出(blind detection)に基づいて適切な処理を決定することが出来る。
【0009】
第1の例示的な実施形態において、ネットワークノードは、送信されるデータパケットに適用されている有効な完全性保護に基づいて、ユーザ端末がセキュリティを利用し始めたことを検出する。ネットワークがユーザ端末から送信されるアップリンク・データパケットの完全性保護を検証出来る場合には、ユーザ端末がセキュリティを利用し始めたことを推定しうる。ネットワークノードが、適用された有効な完全性保護をデータパケットが有することを検証出来ない場合には、ネットワークノードは、ユーザ端末がセキュリティを利用していないと推定しうる。保護されていないアップリンク送信の場合に、ネットワークノードは、パケットの(完全性保護のタグではない)幾つかのデータが、完全性保護のタグであると推定する可能性がある。任意のデータが、或るパケットのための完全性保護のタグであると確認される可能性は低いので、この実施形態は、ユーザ端末がセキュリティを利用し始めていないことを示すに十分に信頼性があるものと見なされうる。この手続きは、適切な長さの完全性保護のタグを選択することにより、任意の信頼度に設定されうる。
【0010】
第2の例示的な実施形態において、ネットワークノードは、アップリンクパケットが、適用された有効な完全性保護を有するかどうかに基づいて、ユーザ端末がセキュリティ状態(例えば、保護の利用)を変更したことを検出する。この場合に、有効な完全性保護の欠如は、セキュリティがユーザ端末により停止されたという標識と見なされる。この場合、完全性保護を確認する試みは、存在しないまたは誤った完全性保護のデータを用いて行なわれ、従って、高い確率で失敗する可能性がある(例えば、正しい完全性保護データと推定される情報が、実際には、他のセキュリティ構成または他の種類のデータと一致する)。
【0011】
第3の例示的な実施形態において、ネットワークノードは、ヘッダ圧縮処理の結果、または、セキュリティが解除された後に行なわれるチェックサムに基づいて、ユーザ端末がアップリンクでセキュリティを利用し始めたことを検出する。デコンプレッサ(decompressor)によるエラー回復の仕組みの初期化、および/または、スタティック・コンテキスト(static−context)破損の推定が、アップリンクでユーザ端末によりセキュリティが利用されていないことを示すために利用される。検出は、データパケットに付与されるシーケンスの番号を利用することにより改善されうる。検出は、初期の繰り返される失敗に基づいて、または、圧縮アルゴリズムによる回復の試みが失敗した数に基づいて即座に推定される。
【0012】
第4の例示的な実施形態において、ネットワークノードは、ヘッダ伸張処理の結果、または、セキュリティが解除された後に行なわれるチェックサムに基づいてセキュリティ障害を検出する。デコンプレッサによるエラー回復の仕組みの初期化、および/または、スタティック・コンテキストの被害の推定が、セキュリティ障害が起きていることを示すために利用される。検出は、データパケットに付与されるシーケンスの番号を利用することにより改善されうる。検出は、初期の繰り返される失敗に基づいて、または、圧縮アルゴリズムによる回復の試みが失敗した数に基づいて即座に推定される。
【0013】
当然のことながら、本発明は、上記の特徴および効果に限定されない。当業者は、以下の詳細な記載を読めば、追加的な特徴および効果が分かるであろう。
【図面の簡単な説明】
【0014】
【図1】例示的な通信システムを示す。
【図2】完全性保護の前に暗号化が適用される場合に、ユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図3】完全性保護の前に暗号化が適用される場合に、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図4】暗号化の前に完全性保護が適用される場合に、ユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図5】暗号化の前に完全性保護が適用される場合に、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図6】ヘッダ伸張の結果に基づいてユーザ端末によるセキュリティモードの検出するために実施される例示的な方法を示す。
【図7】エラーデコーディングの結果に基づいてユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図8】ヘッダ伸張および/または復号の結果に基づいて、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図9】セキュリティがユーザ端末により起動された後にセキュリティ障害を検出するために実施される例示的な方法を示す。
【発明を実施するための形態】
【0015】
図面を参照すると、図1は、例示的な通信システム10を示している。通信システム10は、複数のユーザ端末12と、1つ以上の基地局22を有する無線アクセスネットワーク20と、コアネットワーク30と、を含む。ユーザ端末は、例えば、携帯電話、個人用デジタル補助装置(PDA:personal digital assistant)、ラップトップコンピュータ、または、他の無線通信装置を含んでもよい。ユーザ端末12は、無線を介して、RAN20内の基地局22と通信する。基地局20は、ユーザ端末12へとデータを送信し、ユーザ端末12からデータを受信するための送受信機26と、基地局22により送信および受信されるデータを処理するためのプロセッサ24と、を含む。コアネットワーク30は、RAN20を、インターネットのような外部のパケットデータネットワーク(図示せず)と接続する。基地局22は、コアネットワーク30から受信されたデータを、無線通信チャネルを介してユーザ端末1212へと送信し、ユーザ端末12から受信されたデータを、無線通信チャネルを介してコアネットワーク30へと転送する。通信ネットワーク10は、任意の既知の通信規格、例えば、ユニバーサル移動通信システム(UMTS:Universal Mobile Telecommunication System)規格を実現しうる。
【0016】
通信ネットワーク10は、ネットワークのサービスへのセキュアなアクセスをユーザ端末12に提供するために、幾つかのネットワークアクセスのセキュリティ処置を講じる。これらのセキュリティ処置は、完全性保護と暗号化を含む。完全性保護は、進行中の通話において望まれない効果を引き起こす意図を持って不正なネットワークが不必要なシグナリングメッセージを送信することを防止する、UMTSネットワーク内の義務的なセキュリティ機能である。UMTSネットワークでは、完全性保護は義務である。暗号化は、無線を介して送信される全てのシグナリングおよびデータメッセージが暗号化またはエンクリプトされることを保証することにより、第三者によって盗聴されることを防止するための、UMTSネットワーク内の任意のセキュリティ機能である。完全性保護は、典型的に、シグナリングベアラを介して送信されるメッセージに対して行なわれ、暗号化は、シグナリングベアラとデータベアラの双方のために行なわれる。
【0017】
UMTSシステムでは、セキュアモード(完全性保護および暗号化が有効化)は、コアネットワークがセキュアモード命令(SMC)をユーザ端末に対して送信する場合に開始される。ユーザ端末12がコアネットワーク30との無線リソース制御(RRC:radio resource control)接続を確立した場合に、ユーザ端末12は、コアネットワーク30に対してユーザ端末の性能を送信する。この情報は、どのセキュリティアルゴリズムをユーザ端末12がサポートしているのかをコアネットワーク30に報知する。この交換の間に、セキュアモードは有効化されない。コアネットワーク30がユーザ端末12からベアラ確立要求を受信する場合に、コアネットワーク30およびユーザ端末12は、利用されるセキュリティパラメータ値(例えば、セキュリティ鍵)およびセキュリティアルゴリズムを交渉するために、認証および鍵照合(AKA:Authentication and Key Agreement)の手続きを行なう。AKAの手続きに続いて、コアネットワーク30は、セキュアモードを開始するために、ユーザ端末12にSMCを送信する。ユーザ端末12は、セキュリティコンテキスト(security context)と称されることもある、交渉されたセキュリティパラメータ値を用いた自身の暗号化および完全性保護アルゴリズムを初期化することにより応答し、その後、セキュリティモード応答をコアネットワーク30に送信することにより、SMCを確認する。
【0018】
セキュアモードが開始される前には、ユーザ端末12は、保護されていないデータパケットをアップリンクで送信する。本明細書では、「データパケット」は、シグナリングおよび/またはトラフィックパケットを示している。ユーザ端末12がアップリンクでセキュリティを起動する場合に、ユーザ端末12は、送信されるパケットに対して暗号化と完全性保護を適用する。SMCがコアネットワーク30により送信される時間から、ユーザ端末12がセキュアモードを開始する時間の間に幾らかの遅延がある可能性があるので、基地局22は、SMCがユーザ端末12に送信された後に保護されていないデータと保護されたデータとを区別するために、幾つかのアルゴリズムを必要とする。以下に記載される実施形態において、基地局22は、ユーザ端末12のセキュリティ状態を検出するためのセキュリティプロセッサ24を含む。
【0019】
完全性保護および暗号化の形態でのセキュリティは、以下の順序のいずれかで適用されうる。
・最初に完全性保護、続いて暗号化
・最初に暗号化、続いて完全性保護
どちらの場合でも、基地局22は、SMCの送信に続いてユーザ端末がセキュリティを開始したかどうかを検出するために、完全性保護の存在(又は不在)を利用しうる。
【0020】
図2は、完全性保護の前に暗号化が適用される場合にセキュアモードの開始を検出するための方法100を示している。方法100は、ユーザ端末12へのSMCの送信に続いて、基地局22がアップリンクでシグナリングパケットを受信する場合に開始する(ブロック102)。この場合に、受信されたシグナリングパケットを解読せずに、ユーザ端末12でのセキュリティ利用の状態を検出するために、完全性保護が基地局22によって利用されてもよい。鍵およびアルゴリズムを含む全てのセキュリティパラメータを既に有する基地局22は、少なくともダウンリンクでSMCを送信した時間から受信される、全ての受信されたアップリンクパケットの完全性を検査する(ブロック104)。セキュリティプロセッサ24は、完全性検査の結果に基づいて、パケットの次の処理を決定する(ブロック106)。シグナリングパケットが完全性検査を通った場合に、基地局22は、アップリンクでセキュリティが起動されていると推定し、パケットの解読に移る(ブロック108)。パケットが完全性検査に通らない場合には、基地局22は、パケットを暗号化されていないものとして扱い、パケットがセキュリティ無しで送信されたという任意の標識と共に伝達する(ブロック110)。セキュリティが既に開始しており、かつパケットが完全性検査に通らない場合には、ネットワーク30は、パケットを破棄し、または、パケットが完全性検査に通らなかったことを示しうる。
【0021】
図3は、完全性保護の前に暗号化が適用される状況、すなわち完全性保護が暗号化されたデータパケットに対して適用される状況においてユーザ端末12によるセキュリティの開始を検出するための、基地局22内の例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、完全性検査ユニット40と、解読ユニット42と、を含む。完全性検査ユニット40は、SMCがユーザ端末12に送信された後に受信される全てのシグナリングパケットに対して完全性検査を行なう。解読ユニット42は、完全性検査に通った、すなわち暗号化がユーザ端末12により有効化されていることを意味する受信されたシグナリングパケットを解読する。完全性検査に落ちたシグナリングパケットは、セキュリティプロセッサ24により、完全性保護が有効ではないという標識と共に出力される。図3がシグナリングパケットの処理を示すことに注意されたい。トラフィックパケットの処理は示されていない。セキュリティプロセッサ24は、先に述べたようにユーザ端末12によるセキュアモードの開始を検出した場合に、データ経路のための解読を有効化する。完全性保護は、トラフィックデータパケットに対しては行なわれない。
【0022】
図4は、完全性保護が暗号化の前に適用され場合にユーザ端末12によるセキュアモードの開始を検出するための代替的な方法150を示している。方法は、基地局22がシグナリングパケットを受信した場合に開始する(ブロック152)。この場合、基地局22は、セキュリティが開始していると推定する。基地局22は、シグナリングパケットを一時的に格納し(ブロック154)、受信されたシグナリングパケットを解読し(ブロック156)、解読されたシグナリングパケットの完全性を検査する(ブロック158)。セキュリティプロセッサ24は、完全性検査の結果に基づいて、シグナリングパケットの次の処理を決定する(ブロック160)。パケットが完全性検査に通った場合には、セキュリティが開始されていると見なされ、解読されたパケットがセキュアパケット(secure packet)として処理される(ブロック162)。パケットが完全性検査に通らない場合には、基地局22は、解読処理の前に格納された受信されたパケットの複写を呼び出し、受信されたパケットを、パケットがセキュリティ無しで送信されたという(任意の)標識と一緒に転送する(ブロック164)。この方式の欠点は、余分な記憶域を必要とし、さらに、解読が必要ではない幾つかの場合に解読のための不必要な処理を招くことである。
【0023】
図5は、完全性保護が暗号化の前に適用される状況において、ユーザ端末12によるセキュアモードの開始を検出するための、基地局22における例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、完全性検査ユニット40と、解読ユニット42と、メモリ44と、を含む。解読ユニット42は、SMCがユーザ端末12に送信された後に受信された、受信されたシグナリングパケットを解読し、解読されたシグナリングパケットを完全性検査ユニット40へと伝達する。完全性検査ユニット40は、解読されたシグナリングパケットに対して完全性検査を行なう。メモリ44は、セキュリティ処理が行なわれる間、受信されたシグナリングパケットを格納する。解読されたシグナリングパケットが完全性検査に通った場合、このことはセキュリティがユーザ端末12により有効化されていることを意味するのだが、完全性検査ユニット40は、解読されたシグナリングパケットを出力する。解読されたシグナリングパケットが完全性検査に落ちた場合には、受信されたシグナリングパケットが、シグナリングパケットが保護されていないという任意の標識と共に出力される。図5は、シグナリングパケットの処理を示すことに注意されたい。トラフィックパケットの処理は示されていない。セキュリティプロセッサ24は、先に述べたようにユーザ端末12によるセキュアモードの開始を検出する場合に、データ経路のための解読を有効化する。完全性保護は、トラフィックデータパケットに対しては行なわれない。
【0024】
本発明の他の実施形態において、ユーザ端末12によるセキュリティの開始は、アップリンクで送信されるIPパケットについてのヘッダ圧縮の結果に基づいて検出されうる。IPパケットのヘッダ圧縮は、通常、ユーザプレーンIPデータのための暗号化の前に行なわれる。完全性保護も、利用される場合には、圧縮の後に適用される。ヘッダ圧縮は、無線を介して送信されるデータの量を、情報のいかなる損失も無く低減するために有用である。
【0025】
受信側では、受信される圧縮されたヘッダの伸張が、解読と完全性保護(利用される場合)の後に行なわれる。ROHC(例えば、IETF RFC3095、RFC4995、RFC4996)のようなヘッダ圧縮アルゴリズムは、通常、圧縮されたヘッダ内のCRCを利用する。CRCにより、デコンプレッサは、伸張の試みの結果を検証し、検証が失敗した場合には、回復の仕組み(例えば、フィードバック、および、コンテキスト更新のための要求)を開始することが可能となる。
【0026】
伸張が成功するか否かは、適切で一貫した(coherent)コンテキスト状態(圧縮および伸張状態)と、圧縮された情報内にエラーが無いことに依存する。伸張中にデコンプレッサにより利用されるコンテキスト状態が、ヘッダを圧縮する際にコンプレッサにより利用されたコンテキスト状態と同じではない場合に、ヘッダの伸張は失敗する。ヘッダの伸張は、デコンプレッサに出力される圧縮されたデータに誤りがある場合(例えばデータが、エラーのある少なくとも1つのビットを有する)にも失敗する可能性がある。
【0027】
解読の試みが失敗した場合、データパケットは通常デコンプレッサにより破棄される。従って、上位層はどの有用なデータも受信しない。失敗が繰り返されると、説明がつかないエラーが頻繁に起こることは予期されないので、デコンプレッサは典型的に、自身が伸張のために利用するコンテキスト状態に問題があると推定する。デコンプレッサは、自身のコンテキストが破損していると判定する場合に、例えば、破損している可能性があるコンテキスト状態を修復するために特定のアクションを要求するコンプレッサに対してフィードバックを送信することにより、エラー回復を開始する。
【0028】
図6は、アップリンクで送信されるIPパケットのためのヘッダ伸張の結果に基づいて、ユーザ端末12によるセキュアモードの開始を判定するための、例示的な方法200を示している。本方法は、本明細書でデータパケットと総称される、シグナリングパケットとトラフィックパケットの双方のために利用されうる。ヘッダ圧縮が利用される場合には、ユーザ端末12によるセキュリティ起動の検出は、圧縮されたデータ内で伝達されるCRCを利用して伸張を成功裏に検証するということの1つ以上の失敗に基づいてもよい(IETF RFC3095、RFC4995、RFC4996参照)。先に述べたように、ヘッダ圧縮/伸張アルゴリズムは、典型的に、伸張の結果を検証するためにヘッダのCRCを利用する。圧縮されたIPパケットが受信された場合(ブロック202)、受信されたパケットはメモリに格納される(ブロック204)。受信されたパケットは、その後、ユーザ端末12がセキュリティを適用しているという推定に基づいて解読される(ブロック206)。解読に続いて、ヘッダが伸張され(ブロック208)、伸張の結果がヘッダのCRCを用いて検査される(ブロック210)。伸張が成功した場合には、ユーザ端末12がセキュリティを適用したと推定することが可能であり、解読されたパケットはセキュアデータパケット(secure data packet)として処理される(ブロック212)。伸張が失敗した場合には、ユーザ端末12がセキュリティを適用しなかったと推定することが可能であり、受信されたパケットは非セキュアデータパケット(insecure data packet)として処理される(ブロック214)。後に、セキュリティ起動が検出される前に最初に伸張に失敗したパケットについて、これらのパケットを検出処理中にバッファリングすることにより、伸張を再び試みてもよい。本実施形態では、完全性保護が利用されているか否かで違いはない。
【0029】
他の形態のチェックサム、他の誤り検出符号が、暗号化の起動を検出するために同様に利用されうる。例えば、パケットが、暗号化されたチェックサムをパケットの一部として含む場合に、解読の後のチェックサム検証の結果が、ユーザ端末12によるセキュアモード12の開始を示すために利用されてうる。解読の後でチェックサムが有効である場合には、ユーザ端末12がセキュリティを利用し始めたと推定することが可能である。反対に、解読の後にチェックサムが失敗する場合には、ユーザ端末12はセキュリティを利用し始めていないと推定しうる。
【0030】
図7は、誤り検出デコーディング(error detection decoding)の結果に基づいて、ユーザ端末12によるセキュアモードの開始を判定するための例示的な方法250を示している。CRCまたは他の誤り検出符号が利用される場合に、ユーザ端末12によるセキュリティ起動の検出は、データパケットを復号するということの1つ以上の失敗に基づいてもよい。符号化されたデータパケットが受信された場合(ブロック252)、受信されたデータパケットはメモリに格納される(ブロック254)。受信されたデータパケットは、その後、ユーザ端末12がセキュリティを適用しているという推定に基づいて解読される(ブロック256)。解読に続いて、データパケットが復号される(ブロック258)。データパケットが成功裏に復号される場合に(ブロック260)、ユーザ端末12はセキュリティを適用したと推定することが可能であり、解読されたデータパケットが処理される(ブロック262)。データパケットを成功裏に復号することに失敗した場合には、ユーザ端末12はセキュリティを適用しなかったと推定することが可能であり、受信されたデータパケットは、非セキュアデータパケットとして処理される(ブロック264)。
【0031】
図8は、IPヘッダ圧縮が利用されている状況、または、受信されるデータパケットが暗号化より先に適用されるチェックサムまたは他の誤り検出符号を含む状況において、ユーザ端末12によるセキュアモードの開始を検出するための、基地局22における例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、解読ユニット42と、セキュリティ検出ユニット46と、メモリ44と、を含む。解読ユニット42は、SMCがユーザ端末12に送信された後に受信されたデータパケットを解読し、解読されたデータパケットを、セキュリティ検出ユニット46に伝達する。セキュリティ検出ユニット46は、CRC検査または他の誤り検出処理の結果に基づいて、ユーザ端末12のセキュリティの状態を検出する。メモリ44は、セキュリティ処理が行なわれている間に、受信されたデータパケットを格納する。受信されるデータパケットが圧縮されたIPパケットを含む場合には、セキュリティ検出ユニット46は、解読されたパケットのヘッダを伸張し、伸張されたヘッダのCRCを検査する。受信されるデータパケットがCRCまたは他の誤り検出符号を含む場合には、セキュリティ検出ユニット46は、CRCの有効性を検査する。どちらの場合でも、CRCが有効である場合には、セキュリティ検出ユニット46は、解読されたパケットを出力する。一方、CRCが無効である場合には、セキュリティ検出ユニット46は、受信されたデータパケットを出力する。
【0032】
先に記載された例示的な実施形態において、完全性保護、ヘッダ伸張、チェックサム、または、他の誤り検出符号の検出は、一旦ユーザ端末12によるセキュアモードの開始が検出された場合には中止されてもよい。一旦セキュリティが検出されると、後続の送信されるパケットがセキュアに(securely)、例えば、暗号化および/または完全性保護が有効化されて送信されると推定することが可能である。他の実施形態において、完全性保護、ヘッダ伸張、チェックサム、または他の誤り検出符号の検出は、セキュアモードが開始した後にセキュリティ障害を検出するために続けられてもよい。
【0033】
一旦セキュリティがユーザ端末12により起動されると、セキュリティにおける障害が、アップリンクで送信されるデータパケットの完全性保護を検証するということの1つ以上の失敗に基づいて検出されうる。一旦完全性保護がユーザ端末12により開始されると、基地局22は、アップリンクで送信される全ての後続のデータパケットが保護されていると推定する。複数のデータパケットについて、完全性保護が検証されえない場合には、セキュリティ障害が起きていると推定することが可能である。
【0034】
IPヘッダのためのヘッダ圧縮が利用されている場合には、セキュリティ障害が、圧縮されたデータ内で伝達されるCRCを利用して伸張を成功裏に検証するということの1つ以上の失敗に基づいて検出されうる(IETF RFC3095、4995、4996参照)。受信されるデータパケットは解読され、その後、IPヘッダが伸張される。伸張は、ヘッダのCRCを利用して検証される。1つ以上のデータパケットについて伸張が失敗する場合には、セキュリティ障害が起きていると推定することが可能である。本実施形態において、完全性保護が利用されているか否かで違いはない。本技術は、基地局22によって、またはユーザ端末12によって、セキュリティ障害を検出するために利用されうる。
【0035】
データパケットが、データパケットの一部として暗号化された誤り検出符号またはチェックサムを含む場合に、アクティブ(active)から非アクティブ(inactive)へのセキュリティ状態の変化、または、セキュリティ障害が、チェックサムの検証の1つ以上の失敗に基づいて検出されうる。チェックサムの検証の失敗が繰り返されると、セキュリティ障害の兆候として捉えられる。本技術は、基地局22によって、またはユーザ端末12によって、セキュリティ障害を検出するために利用されうる。
【0036】
図9は、セキュアモードがユーザ端末12により有効化された後にセキュリティ障害を検出するための1つの例示的な方法300を示している。本方法300は、基地局22がユーザ端末12によるセキュアモードの開始を検出した後に開始する。従って、全てのデータパケッにセキュリティが適用されていると推定される。データパケットが受信される場合に(ブロック302)、基地局22は、適用されたセキュリティが有効であることを確認するためにセキュリティ検査を行なう(ブロック304)。パケットがセキュリティ検査に落ちた場合には(ブロック306)、基地局は、カウンタを増分し(ブロック310)、所定の閾値とカウント値とを比較する(ブロック312)。カウント値が閾値と等しい場合には、セキュリティ障害が示される(ブロック314)。データパケットに適用されたセキュリティが有効である場合には、基地局22は、ゼロまでカウント値をリセットする(ブロック308)。
【0037】
本明細書で記載される方法は、基地局22および/またはユーザ端末12内のプロセッサにより実行されるソフトウェアにより実施されうる。ソフトウェアは、コンピュータ読取りが可能な媒体に格納された、プロセッサにより実行可能な命令を含む。例示的なコンピュータ読取り可能な媒体は、RAM(random access memory)、ROM(read only memory)、フラッシュ(FLASH)メモリ、または他の公知のメモリ装置を含んでもよい。
【0038】
本発明の効果は、アップリンクのシグナリングがセキュアモードの起動中に一時停止される必要がないため、遅延を低減するということである。暗号化/完全性保護の状態の余分な標識がパケットのヘッダ内で必要でないため、オーバーヘッドが低減される。他の効果は、記憶域の要件が下げられること、および、処理が低減されることを含む。本発明はまた、ヘッダ圧縮が利用される場合にセキュリティ障害を検出するという問題を解決する。
【0039】
本発明は、当然のことながら、本発明の基本的な特徴から逸脱することなく、本明細書で特に記載されるものとは他のやり方でも実施されうる。本実施形態は、あらゆる点で例示的なものであって限定的なものではないと見なされ、添付の請求項の意味および均等の範囲内で生じる全ての変更が、本明細書に含まれるものとする。
【技術分野】
【0001】
本発明は、一般に、移動体通信のためのセキュリティモードの手続きに関し、特に、ユーザ端末のセキュリティモードを検出するための手続きに関する。
【背景技術】
【0002】
移動体通信ネットワークにおいて、ユーザ端末は、セキュアモード(secure mode)または非セキュアモード(insecure mode)で作動することがある。セキュアモードでは、ユーザ端末は、アップリンク・トラフィックチャネルおよび制御チャネル上でネットワークへと転送されるデータパケットを暗号化(cipher)またはエンクリプト(encrypt)することにより、送信されるパケットに対してセキュリティを適用する。シグナリングチャネル上では、ユーザ端末がさらに、送信されるデータパケットに対して完全性保護(integrity protection)を追加する。非セキュアモードでは、暗号化および完全性保護が停止される。ネットワークノード(例えば、基地局またはMME)がユーザ端末に対してセキュアモード命令(SMC:secure mode command)を送信すると、ユーザ端末は、セキュアモードで作動し始める。
【発明の概要】
【発明が解決しようとする課題】
【0003】
現在、ユーザ端末がセキュアな(secure)送信を開始した場合に基地局が検出する方法はない。セキュアモードが開始される前に、ユーザ端末は、アップリンクで保護されていないデータパケットを送信する。基地局がSMCを送信した後に、ユーザ端末は、SMCを受信する前またはセキュアモードがユーザ端末により起動される前に、アップリンクにおいて1つ以上の保護されていないパケットを送信する可能性がある。基地局は、SMCがユーザ端末に送信された後に、保護されていないデータパケットと、保護されたデータパケットとを区別する方法がない。
【0004】
ユーザ端末によるセキュアモードの開始を検出する際の問題は、SMC(3GPP RAN2 contribution R2-073466、Section2.2、option1参照)を送信する前に、ユーザ端末からの全てのトラフィックを一時停止する(suspend)ことによって解決されることもある。従って、SMCがダウンリンクで送信される時間から、セキュアモードがアップリンクで起動される時間の間に、アップリンク上に、暗号化されておらず保護されていないシグナリングは存在しない。この場合、SMCが送信された後の最初のアップリンク・シグナリングパケットは、暗号化されており完全性が保護されていることが見込まれる。しかし、このアプローチの欠点は、アップリンク送信がしばらくの間一時停止される必要があり、従って、幾つかのシグナリングを延期する/遅延させる必要があることもあるということである。
【0005】
代替的な解決策は(3GPP RAN2 contribution R2−073466、Section2.2、option2参照)、セキュアモードがユーザ端末で開始されているかどうかを示すために、アップリンクで送信される全てのパケットについて、パケットのヘッダにフラグを含めることであろう。このフラグによって、ネットワークは、セキュリティが開始されているかを検出し、パケットを適切に処理しうる。すなわち、暗号化されていないデータと、それを伝達する前に、解読および/または完全性検査のデータと、をそれぞれ伝達する。このアプローチによる欠点は、セキュリティの起動時にのみ必要とされるフラグが、最初の幾つかのパケットのみならず、セキュリティ起動された後に送信される全てのパケットについて余分なオーバーヘッドをもたらすことである。
【0006】
同様の問題が、セキュリティが開始された後にユーザ端末がセキュリティ状態を変更する場合に発生することもある。例えば、障害イベントのために、ユーザ端末がセキュアモードを停止し、または、セキュリティ状態が無効になることがある。前者の場合には、受信機は、保護されていないデータパケットと保護されたデータとを区別することが出来できず、後者の場合には、受信機は、セキュリティ障害を検出することが出来ないであろう。ヘッダ圧縮が利用される場合には、受信機は、IPヘッダを伸張するということの失敗と、セキュリティ障害と、を区別することが出来ないであろう。
【0007】
セキュアモードが停止される場合に、この問題は、ユーザ端末からの全てのトラフィックを一時停止することにより、または、パケットのヘッド内でフラグを利用することによっても解決されうる。これら解決策は、先に述べたのと同じ欠点を持つ。セキュリティが機能しない場合、IPヘッダが不要なデータ(garbage)なのか、またはIPヘッダが意味的に正しいIPヘッダを表しているのかを検出することにより、セキュリティ障害を検出することが可能である。しかし、ヘッダ圧縮が利用される場合には、受信機は、ヘッダを伸張するということの失敗と、セキュリティ障害と、を区別することが不可能である。受信されるデータがほとんど無く、この検出を可能にするほどスタティック(static)であると考えられる、圧縮された情報の部分が無い(連続するIPヘッダ間のリダンダンシーが削除されている)。従って、伸張の失敗とセキュリティ障害とを区別するための、ヘッダ圧縮が利用される場合のための検査が存在しない。
【課題を解決するための手段】
【0008】
本発明は、セキュアモード命令(SMC)がユーザ端末に送信された後で、ユーザ端末によるセキュアモードの開始を検出するための方法および装置を提供する。セキュアモードでは、ユーザ端末は、アップリンク・トラフィックチャネルおよび制御チャネル上でネットワークへと送信されるパケットに対する暗号化および/または完全性保護の形態で、セキュリティを適用する。基地局または他のネットワークノードは、受信されるデータパケットが有効なセキュリティ(例えば、完全性保護および/または暗号化)を有するかどうかを判定することにより、ユーザ端末によるセキュアモードの開始をブラインド方式で(blindly)検出し、このようなブラインド検出(blind detection)に基づいて適切な処理を決定することが出来る。
【0009】
第1の例示的な実施形態において、ネットワークノードは、送信されるデータパケットに適用されている有効な完全性保護に基づいて、ユーザ端末がセキュリティを利用し始めたことを検出する。ネットワークがユーザ端末から送信されるアップリンク・データパケットの完全性保護を検証出来る場合には、ユーザ端末がセキュリティを利用し始めたことを推定しうる。ネットワークノードが、適用された有効な完全性保護をデータパケットが有することを検証出来ない場合には、ネットワークノードは、ユーザ端末がセキュリティを利用していないと推定しうる。保護されていないアップリンク送信の場合に、ネットワークノードは、パケットの(完全性保護のタグではない)幾つかのデータが、完全性保護のタグであると推定する可能性がある。任意のデータが、或るパケットのための完全性保護のタグであると確認される可能性は低いので、この実施形態は、ユーザ端末がセキュリティを利用し始めていないことを示すに十分に信頼性があるものと見なされうる。この手続きは、適切な長さの完全性保護のタグを選択することにより、任意の信頼度に設定されうる。
【0010】
第2の例示的な実施形態において、ネットワークノードは、アップリンクパケットが、適用された有効な完全性保護を有するかどうかに基づいて、ユーザ端末がセキュリティ状態(例えば、保護の利用)を変更したことを検出する。この場合に、有効な完全性保護の欠如は、セキュリティがユーザ端末により停止されたという標識と見なされる。この場合、完全性保護を確認する試みは、存在しないまたは誤った完全性保護のデータを用いて行なわれ、従って、高い確率で失敗する可能性がある(例えば、正しい完全性保護データと推定される情報が、実際には、他のセキュリティ構成または他の種類のデータと一致する)。
【0011】
第3の例示的な実施形態において、ネットワークノードは、ヘッダ圧縮処理の結果、または、セキュリティが解除された後に行なわれるチェックサムに基づいて、ユーザ端末がアップリンクでセキュリティを利用し始めたことを検出する。デコンプレッサ(decompressor)によるエラー回復の仕組みの初期化、および/または、スタティック・コンテキスト(static−context)破損の推定が、アップリンクでユーザ端末によりセキュリティが利用されていないことを示すために利用される。検出は、データパケットに付与されるシーケンスの番号を利用することにより改善されうる。検出は、初期の繰り返される失敗に基づいて、または、圧縮アルゴリズムによる回復の試みが失敗した数に基づいて即座に推定される。
【0012】
第4の例示的な実施形態において、ネットワークノードは、ヘッダ伸張処理の結果、または、セキュリティが解除された後に行なわれるチェックサムに基づいてセキュリティ障害を検出する。デコンプレッサによるエラー回復の仕組みの初期化、および/または、スタティック・コンテキストの被害の推定が、セキュリティ障害が起きていることを示すために利用される。検出は、データパケットに付与されるシーケンスの番号を利用することにより改善されうる。検出は、初期の繰り返される失敗に基づいて、または、圧縮アルゴリズムによる回復の試みが失敗した数に基づいて即座に推定される。
【0013】
当然のことながら、本発明は、上記の特徴および効果に限定されない。当業者は、以下の詳細な記載を読めば、追加的な特徴および効果が分かるであろう。
【図面の簡単な説明】
【0014】
【図1】例示的な通信システムを示す。
【図2】完全性保護の前に暗号化が適用される場合に、ユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図3】完全性保護の前に暗号化が適用される場合に、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図4】暗号化の前に完全性保護が適用される場合に、ユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図5】暗号化の前に完全性保護が適用される場合に、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図6】ヘッダ伸張の結果に基づいてユーザ端末によるセキュリティモードの検出するために実施される例示的な方法を示す。
【図7】エラーデコーディングの結果に基づいてユーザ端末のセキュリティモードを検出するために実施される例示的な方法を示す。
【図8】ヘッダ伸張および/または復号の結果に基づいて、移動端末のセキュリティモードを検出するための基地局における例示的なプロセッサを示す。
【図9】セキュリティがユーザ端末により起動された後にセキュリティ障害を検出するために実施される例示的な方法を示す。
【発明を実施するための形態】
【0015】
図面を参照すると、図1は、例示的な通信システム10を示している。通信システム10は、複数のユーザ端末12と、1つ以上の基地局22を有する無線アクセスネットワーク20と、コアネットワーク30と、を含む。ユーザ端末は、例えば、携帯電話、個人用デジタル補助装置(PDA:personal digital assistant)、ラップトップコンピュータ、または、他の無線通信装置を含んでもよい。ユーザ端末12は、無線を介して、RAN20内の基地局22と通信する。基地局20は、ユーザ端末12へとデータを送信し、ユーザ端末12からデータを受信するための送受信機26と、基地局22により送信および受信されるデータを処理するためのプロセッサ24と、を含む。コアネットワーク30は、RAN20を、インターネットのような外部のパケットデータネットワーク(図示せず)と接続する。基地局22は、コアネットワーク30から受信されたデータを、無線通信チャネルを介してユーザ端末1212へと送信し、ユーザ端末12から受信されたデータを、無線通信チャネルを介してコアネットワーク30へと転送する。通信ネットワーク10は、任意の既知の通信規格、例えば、ユニバーサル移動通信システム(UMTS:Universal Mobile Telecommunication System)規格を実現しうる。
【0016】
通信ネットワーク10は、ネットワークのサービスへのセキュアなアクセスをユーザ端末12に提供するために、幾つかのネットワークアクセスのセキュリティ処置を講じる。これらのセキュリティ処置は、完全性保護と暗号化を含む。完全性保護は、進行中の通話において望まれない効果を引き起こす意図を持って不正なネットワークが不必要なシグナリングメッセージを送信することを防止する、UMTSネットワーク内の義務的なセキュリティ機能である。UMTSネットワークでは、完全性保護は義務である。暗号化は、無線を介して送信される全てのシグナリングおよびデータメッセージが暗号化またはエンクリプトされることを保証することにより、第三者によって盗聴されることを防止するための、UMTSネットワーク内の任意のセキュリティ機能である。完全性保護は、典型的に、シグナリングベアラを介して送信されるメッセージに対して行なわれ、暗号化は、シグナリングベアラとデータベアラの双方のために行なわれる。
【0017】
UMTSシステムでは、セキュアモード(完全性保護および暗号化が有効化)は、コアネットワークがセキュアモード命令(SMC)をユーザ端末に対して送信する場合に開始される。ユーザ端末12がコアネットワーク30との無線リソース制御(RRC:radio resource control)接続を確立した場合に、ユーザ端末12は、コアネットワーク30に対してユーザ端末の性能を送信する。この情報は、どのセキュリティアルゴリズムをユーザ端末12がサポートしているのかをコアネットワーク30に報知する。この交換の間に、セキュアモードは有効化されない。コアネットワーク30がユーザ端末12からベアラ確立要求を受信する場合に、コアネットワーク30およびユーザ端末12は、利用されるセキュリティパラメータ値(例えば、セキュリティ鍵)およびセキュリティアルゴリズムを交渉するために、認証および鍵照合(AKA:Authentication and Key Agreement)の手続きを行なう。AKAの手続きに続いて、コアネットワーク30は、セキュアモードを開始するために、ユーザ端末12にSMCを送信する。ユーザ端末12は、セキュリティコンテキスト(security context)と称されることもある、交渉されたセキュリティパラメータ値を用いた自身の暗号化および完全性保護アルゴリズムを初期化することにより応答し、その後、セキュリティモード応答をコアネットワーク30に送信することにより、SMCを確認する。
【0018】
セキュアモードが開始される前には、ユーザ端末12は、保護されていないデータパケットをアップリンクで送信する。本明細書では、「データパケット」は、シグナリングおよび/またはトラフィックパケットを示している。ユーザ端末12がアップリンクでセキュリティを起動する場合に、ユーザ端末12は、送信されるパケットに対して暗号化と完全性保護を適用する。SMCがコアネットワーク30により送信される時間から、ユーザ端末12がセキュアモードを開始する時間の間に幾らかの遅延がある可能性があるので、基地局22は、SMCがユーザ端末12に送信された後に保護されていないデータと保護されたデータとを区別するために、幾つかのアルゴリズムを必要とする。以下に記載される実施形態において、基地局22は、ユーザ端末12のセキュリティ状態を検出するためのセキュリティプロセッサ24を含む。
【0019】
完全性保護および暗号化の形態でのセキュリティは、以下の順序のいずれかで適用されうる。
・最初に完全性保護、続いて暗号化
・最初に暗号化、続いて完全性保護
どちらの場合でも、基地局22は、SMCの送信に続いてユーザ端末がセキュリティを開始したかどうかを検出するために、完全性保護の存在(又は不在)を利用しうる。
【0020】
図2は、完全性保護の前に暗号化が適用される場合にセキュアモードの開始を検出するための方法100を示している。方法100は、ユーザ端末12へのSMCの送信に続いて、基地局22がアップリンクでシグナリングパケットを受信する場合に開始する(ブロック102)。この場合に、受信されたシグナリングパケットを解読せずに、ユーザ端末12でのセキュリティ利用の状態を検出するために、完全性保護が基地局22によって利用されてもよい。鍵およびアルゴリズムを含む全てのセキュリティパラメータを既に有する基地局22は、少なくともダウンリンクでSMCを送信した時間から受信される、全ての受信されたアップリンクパケットの完全性を検査する(ブロック104)。セキュリティプロセッサ24は、完全性検査の結果に基づいて、パケットの次の処理を決定する(ブロック106)。シグナリングパケットが完全性検査を通った場合に、基地局22は、アップリンクでセキュリティが起動されていると推定し、パケットの解読に移る(ブロック108)。パケットが完全性検査に通らない場合には、基地局22は、パケットを暗号化されていないものとして扱い、パケットがセキュリティ無しで送信されたという任意の標識と共に伝達する(ブロック110)。セキュリティが既に開始しており、かつパケットが完全性検査に通らない場合には、ネットワーク30は、パケットを破棄し、または、パケットが完全性検査に通らなかったことを示しうる。
【0021】
図3は、完全性保護の前に暗号化が適用される状況、すなわち完全性保護が暗号化されたデータパケットに対して適用される状況においてユーザ端末12によるセキュリティの開始を検出するための、基地局22内の例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、完全性検査ユニット40と、解読ユニット42と、を含む。完全性検査ユニット40は、SMCがユーザ端末12に送信された後に受信される全てのシグナリングパケットに対して完全性検査を行なう。解読ユニット42は、完全性検査に通った、すなわち暗号化がユーザ端末12により有効化されていることを意味する受信されたシグナリングパケットを解読する。完全性検査に落ちたシグナリングパケットは、セキュリティプロセッサ24により、完全性保護が有効ではないという標識と共に出力される。図3がシグナリングパケットの処理を示すことに注意されたい。トラフィックパケットの処理は示されていない。セキュリティプロセッサ24は、先に述べたようにユーザ端末12によるセキュアモードの開始を検出した場合に、データ経路のための解読を有効化する。完全性保護は、トラフィックデータパケットに対しては行なわれない。
【0022】
図4は、完全性保護が暗号化の前に適用され場合にユーザ端末12によるセキュアモードの開始を検出するための代替的な方法150を示している。方法は、基地局22がシグナリングパケットを受信した場合に開始する(ブロック152)。この場合、基地局22は、セキュリティが開始していると推定する。基地局22は、シグナリングパケットを一時的に格納し(ブロック154)、受信されたシグナリングパケットを解読し(ブロック156)、解読されたシグナリングパケットの完全性を検査する(ブロック158)。セキュリティプロセッサ24は、完全性検査の結果に基づいて、シグナリングパケットの次の処理を決定する(ブロック160)。パケットが完全性検査に通った場合には、セキュリティが開始されていると見なされ、解読されたパケットがセキュアパケット(secure packet)として処理される(ブロック162)。パケットが完全性検査に通らない場合には、基地局22は、解読処理の前に格納された受信されたパケットの複写を呼び出し、受信されたパケットを、パケットがセキュリティ無しで送信されたという(任意の)標識と一緒に転送する(ブロック164)。この方式の欠点は、余分な記憶域を必要とし、さらに、解読が必要ではない幾つかの場合に解読のための不必要な処理を招くことである。
【0023】
図5は、完全性保護が暗号化の前に適用される状況において、ユーザ端末12によるセキュアモードの開始を検出するための、基地局22における例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、完全性検査ユニット40と、解読ユニット42と、メモリ44と、を含む。解読ユニット42は、SMCがユーザ端末12に送信された後に受信された、受信されたシグナリングパケットを解読し、解読されたシグナリングパケットを完全性検査ユニット40へと伝達する。完全性検査ユニット40は、解読されたシグナリングパケットに対して完全性検査を行なう。メモリ44は、セキュリティ処理が行なわれる間、受信されたシグナリングパケットを格納する。解読されたシグナリングパケットが完全性検査に通った場合、このことはセキュリティがユーザ端末12により有効化されていることを意味するのだが、完全性検査ユニット40は、解読されたシグナリングパケットを出力する。解読されたシグナリングパケットが完全性検査に落ちた場合には、受信されたシグナリングパケットが、シグナリングパケットが保護されていないという任意の標識と共に出力される。図5は、シグナリングパケットの処理を示すことに注意されたい。トラフィックパケットの処理は示されていない。セキュリティプロセッサ24は、先に述べたようにユーザ端末12によるセキュアモードの開始を検出する場合に、データ経路のための解読を有効化する。完全性保護は、トラフィックデータパケットに対しては行なわれない。
【0024】
本発明の他の実施形態において、ユーザ端末12によるセキュリティの開始は、アップリンクで送信されるIPパケットについてのヘッダ圧縮の結果に基づいて検出されうる。IPパケットのヘッダ圧縮は、通常、ユーザプレーンIPデータのための暗号化の前に行なわれる。完全性保護も、利用される場合には、圧縮の後に適用される。ヘッダ圧縮は、無線を介して送信されるデータの量を、情報のいかなる損失も無く低減するために有用である。
【0025】
受信側では、受信される圧縮されたヘッダの伸張が、解読と完全性保護(利用される場合)の後に行なわれる。ROHC(例えば、IETF RFC3095、RFC4995、RFC4996)のようなヘッダ圧縮アルゴリズムは、通常、圧縮されたヘッダ内のCRCを利用する。CRCにより、デコンプレッサは、伸張の試みの結果を検証し、検証が失敗した場合には、回復の仕組み(例えば、フィードバック、および、コンテキスト更新のための要求)を開始することが可能となる。
【0026】
伸張が成功するか否かは、適切で一貫した(coherent)コンテキスト状態(圧縮および伸張状態)と、圧縮された情報内にエラーが無いことに依存する。伸張中にデコンプレッサにより利用されるコンテキスト状態が、ヘッダを圧縮する際にコンプレッサにより利用されたコンテキスト状態と同じではない場合に、ヘッダの伸張は失敗する。ヘッダの伸張は、デコンプレッサに出力される圧縮されたデータに誤りがある場合(例えばデータが、エラーのある少なくとも1つのビットを有する)にも失敗する可能性がある。
【0027】
解読の試みが失敗した場合、データパケットは通常デコンプレッサにより破棄される。従って、上位層はどの有用なデータも受信しない。失敗が繰り返されると、説明がつかないエラーが頻繁に起こることは予期されないので、デコンプレッサは典型的に、自身が伸張のために利用するコンテキスト状態に問題があると推定する。デコンプレッサは、自身のコンテキストが破損していると判定する場合に、例えば、破損している可能性があるコンテキスト状態を修復するために特定のアクションを要求するコンプレッサに対してフィードバックを送信することにより、エラー回復を開始する。
【0028】
図6は、アップリンクで送信されるIPパケットのためのヘッダ伸張の結果に基づいて、ユーザ端末12によるセキュアモードの開始を判定するための、例示的な方法200を示している。本方法は、本明細書でデータパケットと総称される、シグナリングパケットとトラフィックパケットの双方のために利用されうる。ヘッダ圧縮が利用される場合には、ユーザ端末12によるセキュリティ起動の検出は、圧縮されたデータ内で伝達されるCRCを利用して伸張を成功裏に検証するということの1つ以上の失敗に基づいてもよい(IETF RFC3095、RFC4995、RFC4996参照)。先に述べたように、ヘッダ圧縮/伸張アルゴリズムは、典型的に、伸張の結果を検証するためにヘッダのCRCを利用する。圧縮されたIPパケットが受信された場合(ブロック202)、受信されたパケットはメモリに格納される(ブロック204)。受信されたパケットは、その後、ユーザ端末12がセキュリティを適用しているという推定に基づいて解読される(ブロック206)。解読に続いて、ヘッダが伸張され(ブロック208)、伸張の結果がヘッダのCRCを用いて検査される(ブロック210)。伸張が成功した場合には、ユーザ端末12がセキュリティを適用したと推定することが可能であり、解読されたパケットはセキュアデータパケット(secure data packet)として処理される(ブロック212)。伸張が失敗した場合には、ユーザ端末12がセキュリティを適用しなかったと推定することが可能であり、受信されたパケットは非セキュアデータパケット(insecure data packet)として処理される(ブロック214)。後に、セキュリティ起動が検出される前に最初に伸張に失敗したパケットについて、これらのパケットを検出処理中にバッファリングすることにより、伸張を再び試みてもよい。本実施形態では、完全性保護が利用されているか否かで違いはない。
【0029】
他の形態のチェックサム、他の誤り検出符号が、暗号化の起動を検出するために同様に利用されうる。例えば、パケットが、暗号化されたチェックサムをパケットの一部として含む場合に、解読の後のチェックサム検証の結果が、ユーザ端末12によるセキュアモード12の開始を示すために利用されてうる。解読の後でチェックサムが有効である場合には、ユーザ端末12がセキュリティを利用し始めたと推定することが可能である。反対に、解読の後にチェックサムが失敗する場合には、ユーザ端末12はセキュリティを利用し始めていないと推定しうる。
【0030】
図7は、誤り検出デコーディング(error detection decoding)の結果に基づいて、ユーザ端末12によるセキュアモードの開始を判定するための例示的な方法250を示している。CRCまたは他の誤り検出符号が利用される場合に、ユーザ端末12によるセキュリティ起動の検出は、データパケットを復号するということの1つ以上の失敗に基づいてもよい。符号化されたデータパケットが受信された場合(ブロック252)、受信されたデータパケットはメモリに格納される(ブロック254)。受信されたデータパケットは、その後、ユーザ端末12がセキュリティを適用しているという推定に基づいて解読される(ブロック256)。解読に続いて、データパケットが復号される(ブロック258)。データパケットが成功裏に復号される場合に(ブロック260)、ユーザ端末12はセキュリティを適用したと推定することが可能であり、解読されたデータパケットが処理される(ブロック262)。データパケットを成功裏に復号することに失敗した場合には、ユーザ端末12はセキュリティを適用しなかったと推定することが可能であり、受信されたデータパケットは、非セキュアデータパケットとして処理される(ブロック264)。
【0031】
図8は、IPヘッダ圧縮が利用されている状況、または、受信されるデータパケットが暗号化より先に適用されるチェックサムまたは他の誤り検出符号を含む状況において、ユーザ端末12によるセキュアモードの開始を検出するための、基地局22における例示的なセキュリティプロセッサ24を示している。セキュリティプロセッサ24は、解読ユニット42と、セキュリティ検出ユニット46と、メモリ44と、を含む。解読ユニット42は、SMCがユーザ端末12に送信された後に受信されたデータパケットを解読し、解読されたデータパケットを、セキュリティ検出ユニット46に伝達する。セキュリティ検出ユニット46は、CRC検査または他の誤り検出処理の結果に基づいて、ユーザ端末12のセキュリティの状態を検出する。メモリ44は、セキュリティ処理が行なわれている間に、受信されたデータパケットを格納する。受信されるデータパケットが圧縮されたIPパケットを含む場合には、セキュリティ検出ユニット46は、解読されたパケットのヘッダを伸張し、伸張されたヘッダのCRCを検査する。受信されるデータパケットがCRCまたは他の誤り検出符号を含む場合には、セキュリティ検出ユニット46は、CRCの有効性を検査する。どちらの場合でも、CRCが有効である場合には、セキュリティ検出ユニット46は、解読されたパケットを出力する。一方、CRCが無効である場合には、セキュリティ検出ユニット46は、受信されたデータパケットを出力する。
【0032】
先に記載された例示的な実施形態において、完全性保護、ヘッダ伸張、チェックサム、または、他の誤り検出符号の検出は、一旦ユーザ端末12によるセキュアモードの開始が検出された場合には中止されてもよい。一旦セキュリティが検出されると、後続の送信されるパケットがセキュアに(securely)、例えば、暗号化および/または完全性保護が有効化されて送信されると推定することが可能である。他の実施形態において、完全性保護、ヘッダ伸張、チェックサム、または他の誤り検出符号の検出は、セキュアモードが開始した後にセキュリティ障害を検出するために続けられてもよい。
【0033】
一旦セキュリティがユーザ端末12により起動されると、セキュリティにおける障害が、アップリンクで送信されるデータパケットの完全性保護を検証するということの1つ以上の失敗に基づいて検出されうる。一旦完全性保護がユーザ端末12により開始されると、基地局22は、アップリンクで送信される全ての後続のデータパケットが保護されていると推定する。複数のデータパケットについて、完全性保護が検証されえない場合には、セキュリティ障害が起きていると推定することが可能である。
【0034】
IPヘッダのためのヘッダ圧縮が利用されている場合には、セキュリティ障害が、圧縮されたデータ内で伝達されるCRCを利用して伸張を成功裏に検証するということの1つ以上の失敗に基づいて検出されうる(IETF RFC3095、4995、4996参照)。受信されるデータパケットは解読され、その後、IPヘッダが伸張される。伸張は、ヘッダのCRCを利用して検証される。1つ以上のデータパケットについて伸張が失敗する場合には、セキュリティ障害が起きていると推定することが可能である。本実施形態において、完全性保護が利用されているか否かで違いはない。本技術は、基地局22によって、またはユーザ端末12によって、セキュリティ障害を検出するために利用されうる。
【0035】
データパケットが、データパケットの一部として暗号化された誤り検出符号またはチェックサムを含む場合に、アクティブ(active)から非アクティブ(inactive)へのセキュリティ状態の変化、または、セキュリティ障害が、チェックサムの検証の1つ以上の失敗に基づいて検出されうる。チェックサムの検証の失敗が繰り返されると、セキュリティ障害の兆候として捉えられる。本技術は、基地局22によって、またはユーザ端末12によって、セキュリティ障害を検出するために利用されうる。
【0036】
図9は、セキュアモードがユーザ端末12により有効化された後にセキュリティ障害を検出するための1つの例示的な方法300を示している。本方法300は、基地局22がユーザ端末12によるセキュアモードの開始を検出した後に開始する。従って、全てのデータパケッにセキュリティが適用されていると推定される。データパケットが受信される場合に(ブロック302)、基地局22は、適用されたセキュリティが有効であることを確認するためにセキュリティ検査を行なう(ブロック304)。パケットがセキュリティ検査に落ちた場合には(ブロック306)、基地局は、カウンタを増分し(ブロック310)、所定の閾値とカウント値とを比較する(ブロック312)。カウント値が閾値と等しい場合には、セキュリティ障害が示される(ブロック314)。データパケットに適用されたセキュリティが有効である場合には、基地局22は、ゼロまでカウント値をリセットする(ブロック308)。
【0037】
本明細書で記載される方法は、基地局22および/またはユーザ端末12内のプロセッサにより実行されるソフトウェアにより実施されうる。ソフトウェアは、コンピュータ読取りが可能な媒体に格納された、プロセッサにより実行可能な命令を含む。例示的なコンピュータ読取り可能な媒体は、RAM(random access memory)、ROM(read only memory)、フラッシュ(FLASH)メモリ、または他の公知のメモリ装置を含んでもよい。
【0038】
本発明の効果は、アップリンクのシグナリングがセキュアモードの起動中に一時停止される必要がないため、遅延を低減するということである。暗号化/完全性保護の状態の余分な標識がパケットのヘッダ内で必要でないため、オーバーヘッドが低減される。他の効果は、記憶域の要件が下げられること、および、処理が低減されることを含む。本発明はまた、ヘッダ圧縮が利用される場合にセキュリティ障害を検出するという問題を解決する。
【0039】
本発明は、当然のことながら、本発明の基本的な特徴から逸脱することなく、本明細書で特に記載されるものとは他のやり方でも実施されうる。本実施形態は、あらゆる点で例示的なものであって限定的なものではないと見なされ、添付の請求項の意味および均等の範囲内で生じる全ての変更が、本明細書に含まれるものとする。
【特許請求の範囲】
【請求項1】
前記送信端末の前記セキュリティ状態が未知である場合に、受信されたデータパケットを処理する方法であって、前記方法は、
前記ユーザ端末にセキュアモード命令を送信する工程と、
前記セキュアモード命令の前記送信に続いて、前記ユーザ端末からデータパケットを受信する工程と、
を含み、
前記方法は、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定することにより前記ユーザ端末のセキュリティモードを判定する工程と、
前記受信されたデータパケットが有効なセキュリティを有する場合には、前記受信されたデータパケットをセキュアパケットとして処理する工程と、
前記受信されたデータパケットが有効なセキュリティを欠いている場合には、前記受信されたデータパケットを非セキュアパケットとして処理する工程と、
を特徴とする、方法。
【請求項2】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項1に記載の方法。
【請求項3】
前記完全性保護が有効である場合に、前記受信されたデータパケットを解読する工程と、前記解読されたデータパケットを転送する工程と、をさらに含む、請求項2に記載の方法。
【請求項4】
前記解読されたデータがセキュアに送信されたという標識と共に、前記解読されたデータパケットを転送する工程をさらに含む、請求項3に記載の方法。
【請求項5】
前記データパケットが有効な完全性保護を欠いている場合に、前記受信されたデータパケットを破棄する工程をさらに含む、請求項2に記載の方法。
【請求項6】
前記受信されたデータパケットが有効な完全性保護を欠いている場合に、前記受信されたデータパケットは非セキュアであるという標識と共に、前記受信されたデータパケットを転送する工程をさらに含む、請求項2に記載の方法。
【請求項7】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、
前記受信されたデータパケットを解読する工程と、
有効なセキュリティが前記解読されたデータパケットに適用されているかどうかを判定する工程と、
を含む、請求項1に記載の方法。
【請求項8】
前記受信されたデータパケットを解読する前に、前記受信されたデータパケットの複写をメモリに格納する工程と、前記解読されたデータパケットが有効なセキュリティを欠いている場合に、メモリに格納された前記受信されたデータパケットを処理する工程と、をさらに含む、請求項7に記載の方法。
【請求項9】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項8に記載の方法。
【請求項10】
前記解読されたデータパケットが有効な完全性保護を有する場合に、前記解読されたデータパケットを転送する工程をさらに含む、請求項9に記載の方法。
【請求項11】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットのヘッダと推定されるものを伸張する工程と、前記伸張されたデータパケットが有効かどうかを判定する工程と、を含む、請求項8に記載の方法。
【請求項12】
前記伸張されたデータパケットが有効である場合に、前記伸張されたデータパケットを転送する工程をさらに含む、請求項11に記載の方法。
【請求項13】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号する工程を含む、請求項8に記載の方法。
【請求項14】
前記解読されたデータパケットが前記有効な誤り保護符号を有する場合に、前記復号されたデータパケットを転送する工程をさらに含む、請求項13に記載の方法。
【請求項15】
前記ユーザ端末にデータを送信し、前記ユーザ端末からデータを受信する送受信機を備え、
前記送受信機に接続されたプロセッサであって、
前記セキュアモード命令の前記送信に続いて、前記ユーザ端末からデータパケットを受信し、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定することにより、前記ユーザ端末のセキュリティモードを判定する、
ように構成された、前記プロセッサを特徴とする、基地局。
【請求項16】
前記プロセッサは、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項15に記載の基地局。
【請求項17】
前記プロセッサはさらに、前記完全性保護が有効である場合に、前記受信されたデータパケットを解読し、前記解読されたデータパケットを転送するように構成される、請求項16に記載の基地局。
【請求項18】
前記プロセッサはさらに、前記解読されたデータがセキュアに受信されたという標識と共に、前記解読されたデータを転送するよう構成される、請求項17に記載の基地局。
【請求項19】
前記プロセッサはさらに、有効な完全性保護を欠いている受信されたデータパケットを破棄するように構成される、請求項16に記載の基地局。
【請求項20】
前記プロセッサはさらに、受信されたデータパケットが有効なセキュリティを欠いている場合に、前記受信されたデータパケットが非セキュアに送信されたという標識と共に、前記受信されたデータパケットを転送するよう構成される、請求項16に記載の基地局。
【請求項21】
前記プロセッサは、前記受信されたデータパケットを解読し、有効なセキュリティが前記解読されたデータパケットに適用されているかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項15に記載の基地局。
【請求項22】
前記プロセッサはさらに、前記受信されたデータパケットを解読する前に、前記受信されたデータパケットの複写をメモリに格納し、前記解読されたデータパケットが有効なセキュリティを欠いている場合に、メモリに格納された前記受信されたデータパケットを転送するように構成される、請求項21に記載の基地局。
【請求項23】
前記プロセッサは、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項24】
前記プロセッサはさらに、前記解読されたデータパケットが有効な完全性保護を有する場合に、前記解読されたデータパケットを転送するように構成される、請求項23に記載の基地局。
【請求項25】
前記プロセッサは、前記解読されたデータパケットのヘッダと推定されるものを伸張し、前記伸張されたデータパケットが有効であるかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項26】
前記プロセッサはさらに、前記伸張されたデータパケットが有効である場合に、前記伸張されたデータパケットを転送するように構成される、請求項25に記載の基地局。
【請求項27】
前記プロセッサは、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項28】
前記プロセッサはさらに、前記解読されたデータパケットが前記有効な誤り保護符号を有する場合に、前記復号されたデータパケットを転送するように構成される、請求項27に記載の基地局。
【請求項29】
セキュリティ障害を検出する方法であって、
セキュアモードが前記ユーザ端末により有効化された後に、ユーザ端末から1つ以上のデータパケットを受信する工程を含む、前記方法であって、
前記方法は、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程と、
所定数の連続するデータパケットついて有効なセキュリティの欠如に基づいて、セキュリティ障害が起きたこということを判定する工程と、
を特徴とする、方法。
【請求項30】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項29に記載の方法。
【請求項31】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットを解読する工程と、前記解読されたデータパケットが有効なセキュリティを有するかどうかを判定する工程と、を含む、請求項29に記載の方法。
【請求項32】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項31に記載の方法。
【請求項33】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットのヘッダと推定されるものを伸張する工程と、前記伸張されたデータパケットが有効であるかを判定する工程と、を含む、請求項31に記載の方法。
【請求項34】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号する工程を含む、請求項31に記載の方法。
【請求項35】
ユーザ端末と通信するための送受信機を備え、
前記送受信機に接続されたプロセッサであって、
受信されたデータパケットが有効なセキュリティを有するかどうかを判定し、
所定数の連続するデータパケットについて有効なセキュリティの欠如に基づいて、セキュリティ障害の発生を判定する、
ように構成された、前記プロセッサを特徴とする、基地局。
【請求項36】
前記プロセッサは、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項35に記載の基地局。
【請求項37】
前記プロセッサは、前記受信されたデータパケットを解読し、前記解読されたデータパケットが有効なセキュリティを有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項35に記載の基地局。
【請求項38】
前記プロセッサは、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【請求項39】
前記プロセッサは、前記解読されたデータパケットのヘッダと推定されるものを伸張し、前記伸張されたデータパケットが有効かどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【請求項40】
前記プロセッサは、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【請求項1】
前記送信端末の前記セキュリティ状態が未知である場合に、受信されたデータパケットを処理する方法であって、前記方法は、
前記ユーザ端末にセキュアモード命令を送信する工程と、
前記セキュアモード命令の前記送信に続いて、前記ユーザ端末からデータパケットを受信する工程と、
を含み、
前記方法は、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定することにより前記ユーザ端末のセキュリティモードを判定する工程と、
前記受信されたデータパケットが有効なセキュリティを有する場合には、前記受信されたデータパケットをセキュアパケットとして処理する工程と、
前記受信されたデータパケットが有効なセキュリティを欠いている場合には、前記受信されたデータパケットを非セキュアパケットとして処理する工程と、
を特徴とする、方法。
【請求項2】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項1に記載の方法。
【請求項3】
前記完全性保護が有効である場合に、前記受信されたデータパケットを解読する工程と、前記解読されたデータパケットを転送する工程と、をさらに含む、請求項2に記載の方法。
【請求項4】
前記解読されたデータがセキュアに送信されたという標識と共に、前記解読されたデータパケットを転送する工程をさらに含む、請求項3に記載の方法。
【請求項5】
前記データパケットが有効な完全性保護を欠いている場合に、前記受信されたデータパケットを破棄する工程をさらに含む、請求項2に記載の方法。
【請求項6】
前記受信されたデータパケットが有効な完全性保護を欠いている場合に、前記受信されたデータパケットは非セキュアであるという標識と共に、前記受信されたデータパケットを転送する工程をさらに含む、請求項2に記載の方法。
【請求項7】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、
前記受信されたデータパケットを解読する工程と、
有効なセキュリティが前記解読されたデータパケットに適用されているかどうかを判定する工程と、
を含む、請求項1に記載の方法。
【請求項8】
前記受信されたデータパケットを解読する前に、前記受信されたデータパケットの複写をメモリに格納する工程と、前記解読されたデータパケットが有効なセキュリティを欠いている場合に、メモリに格納された前記受信されたデータパケットを処理する工程と、をさらに含む、請求項7に記載の方法。
【請求項9】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項8に記載の方法。
【請求項10】
前記解読されたデータパケットが有効な完全性保護を有する場合に、前記解読されたデータパケットを転送する工程をさらに含む、請求項9に記載の方法。
【請求項11】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットのヘッダと推定されるものを伸張する工程と、前記伸張されたデータパケットが有効かどうかを判定する工程と、を含む、請求項8に記載の方法。
【請求項12】
前記伸張されたデータパケットが有効である場合に、前記伸張されたデータパケットを転送する工程をさらに含む、請求項11に記載の方法。
【請求項13】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号する工程を含む、請求項8に記載の方法。
【請求項14】
前記解読されたデータパケットが前記有効な誤り保護符号を有する場合に、前記復号されたデータパケットを転送する工程をさらに含む、請求項13に記載の方法。
【請求項15】
前記ユーザ端末にデータを送信し、前記ユーザ端末からデータを受信する送受信機を備え、
前記送受信機に接続されたプロセッサであって、
前記セキュアモード命令の前記送信に続いて、前記ユーザ端末からデータパケットを受信し、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定することにより、前記ユーザ端末のセキュリティモードを判定する、
ように構成された、前記プロセッサを特徴とする、基地局。
【請求項16】
前記プロセッサは、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項15に記載の基地局。
【請求項17】
前記プロセッサはさらに、前記完全性保護が有効である場合に、前記受信されたデータパケットを解読し、前記解読されたデータパケットを転送するように構成される、請求項16に記載の基地局。
【請求項18】
前記プロセッサはさらに、前記解読されたデータがセキュアに受信されたという標識と共に、前記解読されたデータを転送するよう構成される、請求項17に記載の基地局。
【請求項19】
前記プロセッサはさらに、有効な完全性保護を欠いている受信されたデータパケットを破棄するように構成される、請求項16に記載の基地局。
【請求項20】
前記プロセッサはさらに、受信されたデータパケットが有効なセキュリティを欠いている場合に、前記受信されたデータパケットが非セキュアに送信されたという標識と共に、前記受信されたデータパケットを転送するよう構成される、請求項16に記載の基地局。
【請求項21】
前記プロセッサは、前記受信されたデータパケットを解読し、有効なセキュリティが前記解読されたデータパケットに適用されているかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項15に記載の基地局。
【請求項22】
前記プロセッサはさらに、前記受信されたデータパケットを解読する前に、前記受信されたデータパケットの複写をメモリに格納し、前記解読されたデータパケットが有効なセキュリティを欠いている場合に、メモリに格納された前記受信されたデータパケットを転送するように構成される、請求項21に記載の基地局。
【請求項23】
前記プロセッサは、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項24】
前記プロセッサはさらに、前記解読されたデータパケットが有効な完全性保護を有する場合に、前記解読されたデータパケットを転送するように構成される、請求項23に記載の基地局。
【請求項25】
前記プロセッサは、前記解読されたデータパケットのヘッダと推定されるものを伸張し、前記伸張されたデータパケットが有効であるかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項26】
前記プロセッサはさらに、前記伸張されたデータパケットが有効である場合に、前記伸張されたデータパケットを転送するように構成される、請求項25に記載の基地局。
【請求項27】
前記プロセッサは、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する、請求項22に記載の基地局。
【請求項28】
前記プロセッサはさらに、前記解読されたデータパケットが前記有効な誤り保護符号を有する場合に、前記復号されたデータパケットを転送するように構成される、請求項27に記載の基地局。
【請求項29】
セキュリティ障害を検出する方法であって、
セキュアモードが前記ユーザ端末により有効化された後に、ユーザ端末から1つ以上のデータパケットを受信する工程を含む、前記方法であって、
前記方法は、
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程と、
所定数の連続するデータパケットついて有効なセキュリティの欠如に基づいて、セキュリティ障害が起きたこということを判定する工程と、
を特徴とする、方法。
【請求項30】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項29に記載の方法。
【請求項31】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記受信されたデータパケットを解読する工程と、前記解読されたデータパケットが有効なセキュリティを有するかどうかを判定する工程と、を含む、請求項29に記載の方法。
【請求項32】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定する工程を含む、請求項31に記載の方法。
【請求項33】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットのヘッダと推定されるものを伸張する工程と、前記伸張されたデータパケットが有効であるかを判定する工程と、を含む、請求項31に記載の方法。
【請求項34】
前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定する工程は、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号する工程を含む、請求項31に記載の方法。
【請求項35】
ユーザ端末と通信するための送受信機を備え、
前記送受信機に接続されたプロセッサであって、
受信されたデータパケットが有効なセキュリティを有するかどうかを判定し、
所定数の連続するデータパケットについて有効なセキュリティの欠如に基づいて、セキュリティ障害の発生を判定する、
ように構成された、前記プロセッサを特徴とする、基地局。
【請求項36】
前記プロセッサは、前記受信されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項35に記載の基地局。
【請求項37】
前記プロセッサは、前記受信されたデータパケットを解読し、前記解読されたデータパケットが有効なセキュリティを有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項35に記載の基地局。
【請求項38】
前記プロセッサは、前記解読されたデータパケットが有効な完全性保護を有するかどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【請求項39】
前記プロセッサは、前記解読されたデータパケットのヘッダと推定されるものを伸張し、前記伸張されたデータパケットが有効かどうかを判定することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【請求項40】
前記プロセッサは、前記解読されたデータパケットが有効な誤り保護符号を有するかどうかを判定するために前記解読されたデータパケットを復号することにより、前記受信されたデータパケットが有効なセキュリティを有するかどうかを判定するように構成される、請求項37に記載の基地局。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2010−541440(P2010−541440A)
【公表日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願番号】特願2010−527374(P2010−527374)
【出願日】平成20年7月30日(2008.7.30)
【国際出願番号】PCT/EP2008/059993
【国際公開番号】WO2009/043622
【国際公開日】平成21年4月9日(2009.4.9)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願日】平成20年7月30日(2008.7.30)
【国際出願番号】PCT/EP2008/059993
【国際公開番号】WO2009/043622
【国際公開日】平成21年4月9日(2009.4.9)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]