CN105101204A - 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 - Google Patents
用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 Download PDFInfo
- Publication number
- CN105101204A CN105101204A CN201510342237.2A CN201510342237A CN105101204A CN 105101204 A CN105101204 A CN 105101204A CN 201510342237 A CN201510342237 A CN 201510342237A CN 105101204 A CN105101204 A CN 105101204A
- Authority
- CN
- China
- Prior art keywords
- access point
- femto access
- operator
- secure registration
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000004891 communication Methods 0.000 claims description 74
- 230000008569 process Effects 0.000 claims description 35
- 230000006870 function Effects 0.000 description 57
- 230000005540 biological transmission Effects 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 20
- 238000003860 storage Methods 0.000 description 14
- 238000013475 authorization Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000010295 mobile communication Methods 0.000 description 8
- 238000007689 inspection Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000009877 rendering Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 241001247437 Cerbera odollam Species 0.000 description 1
- 241000760358 Enodes Species 0.000 description 1
- 230000009102 absorption Effects 0.000 description 1
- 238000010521 absorption reaction Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 238000004134 energy conservation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000012212 insulator Substances 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Abstract
用于执行毫微微接入点的安全注册以便信任地访问运营商控制的网络元件的方法、装置和系统。方法步骤包括:建立用于至少一个所述毫微微接入点的安全关联;使用所述安全关联向运营商控制的网络元件发出请求,其从授权部件请求安全注册证书。所述运营商控制的网络元件构造安全注册证书,并且向请求的毫微微接入点发送安全注册证书,从而授权由所述请求的毫微微接入点进行的信任的访问来访问运营商控制的网络元件。
Description
本申请是申请日为2009年11月25日、申请号为200980147140.9、发明名称为“用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置”的中国专利申请的分案申请。
基于35U.S.C.S.119要求优先权
本专利申请要求于2008年11月26日递交的美国临时申请61/118,397的优先权,该临时申请已经转让给本申请的受让人,故以引用方式将其明确地并入本文。
技术领域
下文的公开整体地涉及无线通信,并且更具体地涉及毫微微接入点的安全注册。
背景技术
历史上,已经使用由电话公司运营的电路交换基础结构来启用电话通信(即陆线)。相反,已经使用由移动运营商公司运营的分组交换基础结构来启用移动电话系统(即移动电话)。因为已经部署了移动电话通信,这样的移动电话通信系统正在使用用于边缘通信的分组交换基础结构和电路交换基础结构来完成长途电话呼叫。因为移动通信系统变得越来越普遍并且移动通信系统用于提供越来越多的服务(例如多媒体功能、复杂语音功能、视频会议等),使用正在趋向于适合于分组交换基础结构的越来越多的功能。而且,正在部署连接到分组交换网络的越来越多的装置;例如,毫微微小区,其中包括用户部署的毫微微小区。同时,使用相对越来越多的分组交换网络基础结构(例如因特网和其他基于IP的网络)来启用越来越多的服务(例如多媒体服务、低成本长距离呼叫等)。
这个趋势建立了下述环境,其中,在除电话系统运营商之外的实体的控制下部署了越来越多的基础结构,因此面临新的安全问题(例如上述毫微微小区的安全注册)。
发明内容
下面提供一个或多个方面的简单概要以便提供这些方面的基本理解。这个概要不是所有预期方面的全面概述,并且既不意图标识所有方面的重要或者关键元素,也不意图描述任何或者所有方面的范围。其唯一目的是以简化形式提供一个或多个方面的一些概念,来作为后面提供的更详细描述的序言。
所公开的是用于执行毫微微接入点的安全注册以便信任地访问运营商控制的网络元件的方法、装置和系统。方法步骤包括:建立用于至少一个所述毫微微接入点的安全关联;使用所述安全关联向运营商控制的网络元件发出请求。所述运营商控制的网络元件然后构造安全注册证书,并且向请求的毫微微接入点发送安全注册证书,从而授权由所述请求的毫微微接入点进行的信任的访问来访问运营商控制的网络元件。实施例包括:经由从在运营商控制的域中的安全网关接收的IPsec安全关联和使用运营商控制的IPsec内部地址数据库来建立安全关联。在一些实施例中,所述毫微微接入点使用一个或多个IMS协议和部件来进行消息交换,所述部件包括呼叫会话控制功能元件,所述元件继而可以授权在IMS域中的毫微微接入点,并且其中,所述元件可以访问或者不访问非IMS网络元件来进行授权。
为了实现上述和相关目的,以下完整描述并且在权利要求中特别指出了本发明的实施例。下文的描述和附图详细地阐明了一个或多个实施例的某些说明性方面。但是,这些实施例仅仅示出了可以使用各个实施例的原理的各种方式中的一些方式,并且所述方面意欲包含所有这样的方面和它们的等同方面。
附图说明
结合附图,通过下面阐述的详细说明,本公开的特征、特性和优点将变得更加显而易见:
图1说明了根据本发明的一个实施例的多址无线通信系统;
图2是根据本发明的一个实施例的发送方系统和接收方系统的框图;
图3描述了根据本发明的一个实施例的、用于使能在网络环境中的毫微微接入点的部署的通信系统;
图4是根据本发明的一个实施例的、其中可以建立毫微微接入点的安全注册的IMS环境;
图5是根据本发明的一个实施例的、包括用于建立毫微微接入点的安全注册的部件的IMS系统;
图6是根据本发明的一个实施例的、用于建立毫微微接入点的安全注册的系统的表示;
图7是根据本发明的一个实施例的、用于执行毫微微接入点的安全或注册的处理的流程图;
图8是根据本发明的一个实施例的、用于保护毫微微接入点的注册证书的处理的流程图;
图9是根据一个实施例的、用于执行对毫微微接入点的安全注册的现有/当前/有效授权的检查的流程图;
图10是描述了根据本发明的一个实施例的、用于使用在IMS环境中的汇聚服务器来执行毫微微接入点的安全注册的消息传送协议的协议图;
图11是描述了根据本发明的一个实施例的、用于执行在全IMS环境中的毫微微接入点的安全注册的消息传送协议的协议图;
图12描述了根据本发明的一个实施例的、用于毫微微接入点的安全注册以访问运营商控制的网络元件的系统的框图;
图13描述了根据本发明的一个实施例的、用于执行通信系统的某些功能以执行毫微微接入点的安全注册以访问运营商控制的网络元件的系统的框图;
图14描述了根据本发明的一个实施例的、用于使用硬件和软件手段来执行毫微微接入点的安全注册以访问运营商控制的网络元件的装置的框图;以及
图15描述了根据本发明的一个实施例的、用于执行毫微微接入点的某些功能的系统的框图。
具体实施方式
现在参考附图来描述各个方面,其中,在整个说明中相同的附图标记用于指代相同的元素。在下面的描述中,为了说明,阐明了许多具体细节以便提供对一个或多个方面的透彻理解。但是显然,可以在没有这些具体细节的情况下实施这些方面。在其他情况下,以框图的形式示出了公知的结构和设备,以便便于描述一个或多个方面。
另外,下文描述了本公开的各个方面。显然,可以以多种形式来体现本文的教导,并且本文公开的任何具体结构和/或功能仅仅是代表性的。根据本文的教导,本领域内的技术人员应当理解,可以独立于任何其他方面来实现本文公开的方面,并且可以以各种方式来组合这些方面中的两个或者更多方面。例如,可以使用本文阐明的任何数量的方面来实现装置和/或实施方法。另外,可以使用补充或者除了本文阐明的一个或多个方面的其他结构和/或功能来实现装置和/或实施方法。作为示例,在实现用于执行无线环境中毫微微接入点的安全注册的系统的环境中描述了本文所述的许多方法、设备、系统和装置,其中,所述无线环境包括毫微微接入点的不同部署。本领域内的技术人员应当理解,类似的技术可以应用于其他通信环境。
无线通信系统被广泛地部署来提供各种类型的通信内容,例如语音和数据等。这些系统可以是能够通过共享可用的系统资源(例如带宽和发送功率)而支持与多个用户的通信的多址系统。这样的多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、3GPP长期演进(LTE)系统和正交频分多址(OFDMA)系统。
诸如数字用户线(DSL)、电缆线、拨号网络或者由因特网服务提供商(ISP)提供的类似连接的传统的固定线路通信系统对于无线通信而言是替代的和有时竞争的通信平台。但是,近些年来,用户已经开始用移动通信替代固定线路通信。移动通信系统的几个优点(例如用户移动性、用户装置(UE)的较小尺寸和容易接入公共交换电话网络以及因特网)已经使得这样的系统很方便,并且因此很普遍。当用户已经开始越来越多地依赖于移动系统来获得传统上通过固定线路系统获得的通信服务时,对于提高的带宽、可靠的服务、高语音质量和低价格的需求已经增强。
通常,无线多址通信系统可以同时支持多个无线终端的通信。每个终端经由在前向链路和反向链路上的传输来与一个或多个基站通信。前向链路(或者下行链路)指的是从基站向终端的通信链路,并且反向链路(或者上行链路)指的是从终端向基站的通信链路。可以经由单入单出、多入单出或者多入多出(MIMO)系统来建立该通信链路。
除了当前使用的移动电话网络之外,已经出现了新的一类小基站。这些小基站是低功率的,并且通常可以使用固定线路通信来与网络运营商的核心网络连接。另外,这些基站可以为了个人/私人使用而分布在家庭、办公室、公寓、私人娱乐机构等中,以向移动单元提供室内/室外无线覆盖。这些个人基站通常被称为毫微微(femto)小区、个人毫微微接入点、接入点、家庭节点B单元(HNB)或者家庭演进的eNodeB单元(HeNB)。通常,这样的微型基站经由DSL路由器或者电缆调制解调器连接到因特网和运营商的网络。毫微微小区基站提供了在移动网络连接中的新的范例,其允许对移动网络接入和接入质量的直接用户控制。
对于通信网络(例如公共陆地移动网络(PLMN)、网络运营商、移动运营商核心网络等)开发不同类型的无线接入点已经是被提供来实现在传统的无线通信系统和传统的固定线路通信系统之间的汇聚的一个解决方案。所述汇聚(也被称为固定-无线汇聚)涉及在固定线路网络(例如内联网、因特网等)和移动通信网络(例如蜂窝电话网络)之间的互操作性程度。本文所述的毫微微接入点包括任何适当的节点、路由器、交换器或者集线器等,其被配置来将接入终端(AT)与通信网络通信地耦合。毫微微接入点可以是有线的(例如使用以太网、通用串行总线(USB)或者其他用于通信的有线连接)、无线的(例如使用用于通信的无线电信号)或者上述两者。毫微微接入点的示例包括接入点基站(BS)、无线局域网(WLAN)接入点和无线广域网(WWAN)接入点等,其中,所述无线广域网(WWAN)接入点包括微波存取全球互通(WiMAX)BS。毫微微接入点包括到通信运营商的网络的接入点,其中,所述通信运营商的网络例如移动通信运营商的网络、电路交换语音网络或者混合的电路交换和分组交换语音和数据网络(或者全分组的语音和数据网络)等。毫微微接入点的示例包括各种发送功率/小区大小的节点B(NB)、基站收发信台(BTS)、家庭节点B(家庭NodeB、家庭节点B、HNB)、家庭演进的eNodeB(HeNB)或者简单地为BS,所述各种小区大小包括宏小区、微小区、微微小区、毫微微小区等。根据上述趋势,可以预期毫微微小区的连续部署具有越来越多的基于IP多媒体子系统(IMS)的功能。因此,毫微微接入点可以包括足够的IMS功能,以便被描述为IMS客户毫微微接入点。
向传统的宏BS网络中引入各种类型的毫微微接入点使得这样的网络具有显著的灵活性和在个人接入上的消费者控制。用户终端可以经常被配置来根据哪个提供更好的信号和/或其他因素来选择附近的毫微微接入点或者宏网络BS。另外,毫微微接入点可以提供与宏网络相比更优选的速率计划,至少在一些情况下,使得用户能够减少使用费。
随着无线通信带宽和数据率随时间增加,并且随着AT处理和用户接口能力已经变得更复杂,因此用户能够使用移动设备来执行先前仅对于个人计算机和固定线路通信可用的功能。
但是,因为通常的宏网络经常被部署用于作为主要市场的大范围公共使用,室内接收经常会比室外接收更差(例如由于建筑物、绝缘体、地面环境美化等对无线电频率信号的吸收),使得在这样的环境中移动设备比固定线路计算机更低效。但是,毫微微接入点BS可以在这种环境中提供显著的改善。作为一个示例,HNB和HeNB技术(以下统称为HNB)向用户提供了对个人无线连接、室内和室外的有效控制,常常消除了大多数或者全部的这样的连接问题。HNB因此甚至可以在对于宏网络次优的环境中进一步扩展AT移动性。
伴随着HNB和其他接入点部署的显著优点,也为新的服务带来了机会,并且伴随着新的服务,一些问题也已经出现。例如,移动蜂窝服务继续扩展语音服务(例如电话呼叫、语音邮件等)和文本服务(例如SMS),以包括依赖于因特网内容(例如新闻、图像、视频等)和/或由因特网应用(实时位置服务、在线游戏等)使能的服务。在一些情况下,甚至在没有移动运营商核心基础结构的参与的情况下,移动用户终端(AT)可以仅仅使用网际协议(IP)网络来提供服务。随着移动运营商通信服务提供采用了越来越多的IP技术,整体的服务提供正在汇聚。汇聚的通信服务正在变得可在多种日益自主的设备(例如AT、PDA、智能电话和膝上型计算机)上普遍获得。
在一些情况下,甚至在不使用移动运营商的核心网络基础结构时,可以开始和完整完成用于执行应用的会话。在其他情况下,可以在自主设备上下载和安装应用。例如,符合IMS集中服务规范的应用可以建立对等会话,执行用于实现所述应用的方面的某个协议,交换多媒体内容,以及关闭对等会话。
IMS初始被设想作为用于第三代(3G)蜂窝电话网络的第三代合作伙伴计划(3GPP)规范的一部分。第三代合作伙伴计划规范定义了IMS的特性,以向3G蜂窝电话用户提供新的服务和应用。所述规范的一部分保证IMS独立于接入网络,以便网络运营商能够在不同类型的无线电接口和不同类型的蜂窝电话上提供新的服务。
例如,汇聚解决了许多技术和部署问题,其中包括安全、漫游和服务质量(QoS)。其中,本文公开了管理安全的方面。安全协议试图保证合适的用户认证、授权和保密。在一些实施例中,用户的接入终端被认证(即通过签约过程),并且这个认证用于访问用户可以访问的服务范围内的服务。
当然,任何面向网络的认证和/或授权过程受到下述威胁的影响,包括证书的泄密(例如证书的复制)、恶意攻击(例如配置攻击、欺骗软件更新)、恶意协议攻击(例如中间人攻击)、服务拒绝攻击、对于用户身份或者网络运营商身份的攻击(例如欺骗的SIP消息,例如INVITE或者BYE)和与任何特定的敏感协议(例如SAE/TLETS33.401)的网络使用或者部署思想(例如闭合用户组思想)有关的用户秘密(例如窃听)攻击或者无数其他攻击中的任何一种。因此,网络运营商可以使用对策来抵制这样的威胁。一些示例性的对策包括用于下述方面的技术:相互认证;回程链路的安全隧道建立;在网络部件中的可信环境技术的使用;用于操作、管理和维护(OAM)的安全机制;托管方认证技术等。
在3GPP网络基础结构的部署中,毫微微接入点部署通常是未计划的或者半计划的,这意味着毫微微接入点被安装在网络运营商的控制之外。因此,运营商具有有限的能力来实现这些毫微微接入点的安全部署。毫微微接入点可能被部署在不安全的物理位置中,并且可能因此被物理地暴露给恶意意图。再次考虑在毫微微接入点的部署中涉及的安全威胁,毫微微接入点可以使用在IETFRFC3261、3GPP和3GPP2IMS规范中指定的会话发起协议(SIP)过程来将它们自己注册到运营商的网络,以便提供网络服务(例如GSM服务、UMTS、CDMA2000、电路交换服务等)。为了保证这些过程不被可以部署在不安全的物理位置中的毫微微接入点滥用,需要安全的方法来向网络注册这样的毫微微接入点。
为了说明的目的,下面的段落介绍在描述本发明的实施例中使用的术语。
如在本领域中已知的,并且根据本发明的各个实施例,AT能够传送移动台标识(MSID)。在AT可以具有多个身份的情况下,用户或者AT在会话期间选择特定的移动台身份(即在用户控制下,或者通过AT自主地)有效。MSID可以是移动标识号(MIN)或者国际移动台识别码(IMSI)。移动标识号是34比特的数,其是被分配给移动台的10位数的数字表示。国际移动台识别码是在长度上直到15位的数,其在国际上唯一地标识移动台。
本文所述的技术可以用于各种无线通信系统,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、SC-FDMA(单载波FDMA)和其他系统。术语“系统”和“网络”经常交换地使用。CDMA系统可以实现诸如通用陆地无线接入(UTRA)、CDMA2000等的无线电技术。UTRA包括宽带CDMA(W-CDMA)和CDMA的其他变化形式。CDMA2000涵盖IS-2000、IS-95和IS-856标准。TDMA系统可以实现诸如全球移动通信系统(GSM)之类的无线电技术。OFDMA系统可以实现诸如演进UTRA(E-UTRA)、超移动宽带(UMB)、IEEE802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE802.20、快闪OFDM.RTM.等的无线电技术。UTRA、E-UTRA和GSM是通用移动电信系统(UMTS)的一部分。长期演进(LTE)是使用E-UTRA的UMTS的即将到来的版本,其在下行链路上使用OFDMA和在上行链路上使用SC-FDMA。在来自名为“第三代合作伙伴计划”(3GPP)的组织的文件中描述了UTRA、E-UTRA、UMTS、LTE和GSM。在来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文件中描述了CDMA2000和UMB。
使用单载波调制和频域均衡的单载波频分多址(SC-FDMA)是具有与OFDMA系统类似的性能和实际上相同的整体复杂性的技术。因为固有的单载波结构,SC-FDMA信号具有较低的峰均功率比(PAPR)。SC-FDMA已经吸引了很大的注意,特别是在上行链路通信中,其中,较低的PAPR在发射功率效率上大大地有益于移动终端。其目前是对于在3GPP长期演进(LTE)或者演进的UTRA中的上行链路多址方案而言的工作假设。
在主题公开中使用的术语“部件”、“系统”和“模块”等旨在指代计算机相关的实体,即硬件、软件、执行中的软件、固件、中间件、微码和/或其任何组合。例如,模块可以是但是不限于在处理器上运行的进程、对象、可执行、执行的线程、程序、设备和/或计算机。一个或多个模块可以驻留在执行的进程和/或线程中,并且模块可以位于一个电子设备上和/或分布在两个或者多个电子设备之间。另外,这些模块可以从其上存储了各种数据结构的各种计算机可读媒体执行。所述模块可以例如根据具有一个或多个数据分组(例如来自于与在本地系统、分布式系统中的另一个部件交互的一个部件的数据和/或来自于跨越诸如因特网的网络通过该信号与其他系统交互的一个部件的数据)的信号来通过本地和/或远程进程而通信。另外,本领域内的技术人员可以理解,可以用另外的部件/模块/系统来重新布置和/或补充本文所述的系统的部件或者模块,以便便于实现关于其所描述的各个方面、目的、优点等,并且本文所述的系统的部件或者模块不限于在给定的附图中阐明的精确配置。
另外,本文结合接入终端描述了各个方面。AT也以被称为系统、用户单元、用户站、移动台、移动通信设备、移动设备、远程站、远程终端、接入终端(AT)、用户代理(UA)、用户设备或者用户装置(UE)等。用户站可以是蜂窝电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持设备、或者连接到无线调制解调器或促成与处理设备的无线通信的类似机构的其他处理设备。
本文使用的计算机存储媒体可以是任何能被计算机访问的物理媒体。以举例的方式而不是限制,这样的存储媒体可以包括RAM、ROM、EEPROM、CD-ROM或者其他光盘存储器、磁盘存储器或者其他磁存储设备、智能卡和快闪存储器设备(例如卡、棒、键驱动器等)或者可以用于携带或者存储指令或者数据结构形式的程序代码的并且可以被计算机访问的任何其他适当的介质。硬件通信媒体可以包括促成将计算机程序从一个实体向另一个的传送、并且至少部分地使用电子、机械和/或机电硬件的任何适当的设备或者数据连接。通常,数据连接也适当地被称为计算机可读介质。例如,如果使用同轴电缆、光缆、双绞线、数字用户线(DSL)、通信总线结构、以太网或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源来发送程序、软件或者其他数据,则该同轴电缆、光缆、双绞线、DSL或者诸如红外线、无线电和微波之类的无线技术包括在介质的定义中,并且在硬件通信媒体的定义中包括与这样的介质相关联的任何适当的硬件部件。本文使用的磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字通用盘(DVD)、软盘和蓝光盘,其中,磁盘通常以磁方式来再现数据,光盘使用激光以光的方式来再现数据。上述的组合也应当被包括在计算机可读媒体的范围中。
对于硬件实现方式,可以在一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、离散门或者晶体管逻辑、离散硬件部件、通用处理器、控制器、微控制器、微处理器、被设计来执行本文所述的功能的其他电子单元、或者其组合中实现或者执行结合本文公开的方面描述的处理单元的各个说明性逻辑、逻辑框、模块和电路。通用处理器可以是微处理器,但是作为替代方式,处理器可以是任何传统的处理器、控制器、微控制器或者状态机。处理器也可以被实现为计算设备的组合,例如DSP和微处理器的组合、多个微处理器的组合、与DSP核心结合的一个或多个微处理器的组合、或者任何其他适当的配置。另外,至少一个处理器可以包括一个或多个模块,其可操作来执行本文所述的步骤和/或动作的一个或多个。
而且,可以使用标准编程和/或工程技术将本文所述的各个方面或者特征实现为方法、装置或者制品。而且,可以以硬件、以由处理器执行的软件模块或者以上述两者的组合来直接地体现结合本文公开的方面描述的方法或者算法的步骤和/或动作。另外,在一些方面,方法或者算法的步骤和/或动作可以作为代码和/或指令中的至少一个或者其任意组合或者集合而驻留在设备可读介质、机器可读介质和/或计算机可读介质上,其可以被并入计算机程序产品中。本文使用的术语“制品”旨在涵盖可从任何计算机可读设备或者媒体访问的计算机程序。
另外,本文使用的词语“示例性”意味着作为示例、实例或者例示。本文被描述为“示例性”的任何方面或者设计不必然地被解释为相对于其他方面或者设计是优选的或者有益的。而是,词语“示例性”的使用旨在以具体的方式来介绍思想。在本申请和所附的权利要求中使用的术语“或”旨在意味着包含性的“或”,而不是排它的“或”。即,除非另外指定,或者从上下文清楚可知,“X使用A或者B”旨在意味着自然包含的排列中的任何一个。也即,如果X使用A、X使用B、或者X使用A和B,则前述情况中的任何一个满足“X使用A或者B”。另外,在本申请和所附的权利要求中使用的冠词“一”和“一个”通常应当被解释为意味着“一个或多个”,除非另外指定或者从上下文清楚可知针对单数形式。
参见图1,说明了根据一个实施例的多址无线通信系统100。毫微微接入点102(AP)包括多个天线组,一个天线组包括天线104和106,另一个天线组包括天线108和110,并且再一个天线组包括天线112和114。在图1中,对于每个天线组仅仅示出了两个天线;然而,可以对于每个天线组使用更多或更少的天线。接入终端116(AT)与天线112和114通信,其中,天线112和114通过前向链路120向接入终端116发送信息,并且通过反向链路118从接入终端116接收信息。接入终端122与天线106和108通信,其中,天线106和108通过前向链路126向接入终端122发送信息,并且通过反向链路124从接入终端122接收信息。在频分双工(FDD)系统中,通信链路118、120、124和126可以使用不同的频率来用于通信。例如,前向链路120可以使用与由反向链路118使用的频率不同的频率。
每个天线组和/或其中它们被设计来通信的区域经常被称为毫微微接入点的扇区。在图1的实施例中,天线组中的每个被设计来与在由毫微微接入点102覆盖的区域的扇区中的接入终端通信。
在通过前向链路120和126的通信中,毫微微接入点102的发射天线使用波束成形,以便改善不同的接入终端116和122的前向链路的信噪比。此外,与毫微微接入点通过单个天线向其所有接入终端进行发射的情况相比,毫微微接入点使用波束成形来向其覆盖范围内随机散布的接入终端进行发射,可以对相邻小区中的接入终端造成更小的干扰。
毫微微接入点可以是用于与终端通信的固定站,并且也可以被称为接入点、节点B、演进节点B(eNB)或者某个其他术语。接入终端也可以被称为用户装置(UE)、无线通信设备、终端,或者接入终端可以被称为与某个其他术语一致的术语。
图2是在MIMO系统200中的发送方系统210(也被称为毫微微接入点)和接收方系统250(也被称为接入终端)的一个实施例的框图。在发送方系统210,从数据源212向发送(TX)数据处理器214提供用于多个数据流的业务数据。
在一个实施例中,每个数据流通过相应的发射天线被发送。TX数据处理器214根据为每个数据流选择的特定编码方案来格式化、编码和交织那个数据流的业务数据,以提供编码数据。
可以使用OFDM技术来将每个数据流的编码数据与导频数据复用。该导频数据通常是以已知的方式处理的已知的数据模式,并且可以在接收方系统处用于估计信道响应。然后根据为每个数据流选择的特定调制方案(例如BPSK、QSPK、M-PSK或者M-QAM)调制(即符号映射)该数据流的复用的导频和编码数据,以提供调制符号。可以通过由处理器230使用存储器232执行的指令来确定每个数据流的数据率、编码和调制。
所有数据流的调制符号然后被提供到发送MIMO处理器220,所述发送MIMO处理器220可以进一步处理调制符号(例如用于OFDM)。发送MIMO处理器220然后向NT个发射机(TMTR)222a到222t提供NT个调制符号流。在某些实施例中,发送MIMO处理器220向数据流的符号和正在发送所述符号的天线应用波束成形权重。
每个收发机222接收和处理各自的符号流以提供一个或多个模拟信号,并且进一步调节(例如放大、滤波和上变频)所述模拟信号以提供适合于通过MIMO信道传输的调制信号。来自收发机222a到222t的NT个调制信号然后分别从NT个天线224a到224t被发送。
在接收方系统250,发送的调制信号被NR个天线252a到252r接收,并且从每个天线252接收的信号被提供到相应的接收机(RCVR)254a-254r。每个接收机254调节(例如滤波、放大和下变频)各自的接收的信号,数字化被调节的信号以提供采样,并且进一步处理所述采样以提供对应的“接收的”符号流。
接收数据处理器260然后根据特定的接收机处理技术从NR个接收机254接收和处理NR个接收的符号流,以提供NT个“检测的”的符号流。接收数据处理器260然后解调、去交织和解码每个检测的符号流,以恢复该数据流的业务数据。由接收数据处理器260进行的处理是对于由在发送方系统210处的发送MIMO处理器220和发送数据处理器214执行的处理的互补。
使用存储器272的处理器270定期地确定要使用哪个预编码矩阵(下文讨论)。处理器270形成反向链路消息,其包括矩阵索引部分和秩值部分。
反向链路消息可以包括关于通信链路和/或所接收的数据流的各种类型的信息。反向链路消息然后被发送数据处理器238处理,发送数据处理器238还从数据源236接收多个数据流的业务数据,所述业务数据然后被调制器280调制,被发射机254a到254r调节,并且被发回发送方系统210。
在发送方系统210,来自接收方系统250的调制信号被天线224接收,被收发机222调节,被解调器240解调,并且被接收数据处理器242处理,以提取由接收方系统250发送的反向链路消息。处理器230然后确定要使用哪个预编码矩阵来定义波束成形权重,并且处理所提取的消息。
在一个方面,逻辑信道被划分为控制信道和业务信道。逻辑控制信道包括:广播控制信道(BCCH),其是用于广播系统控制信息的DL信道;以及寻呼控制信道(PCCH),其是用于传送寻呼信息的DL信道。组播控制信道(MCCH)是点对多点DL信道,用于发送用于一个或多个MTCH的多媒体广播和组播业务(MBMS)、调度和控制信息。通常,在建立RRC连接后,这个信道仅被接收MBMS(注意:旧的MCCH+MSCH)的AT使用。专用控制信道(DCCH)是发送专用控制信息的点对点双向信道,并且被具有RRC连接的AT使用。在一个方面,逻辑业务信道包括:用于传送用户信息的专用业务信道(DTCH),其是专用于一个AT的点对点双向信道;以及,用于发送业务数据的组播业务信道(MTCH),其是点对多点DL信道。
在一个方面,传输信道被划分为DL和UL。DL传输信道包括广播信道(BCH)、下行链路共享数据信道(DL-SDCH)和寻呼信道(PCH),其中,用于支持AT节能的PCH(由网络向所述AT指示DRX周期)在整个小区被广播,并且被映射到可以用于其他控制/业务信道的PHY资源。UL传输信道包括随机访问信道(RACH)、请求信道(REQCH)、上行链路共享数据信道(UL-SDCH)和多个PHY信道。PHY信道包括一组DL信号和UL信道。
DLPHY信道包括:
确认信道(ACKCH)
公共控制信道(CCCH)
公共导频信道(CPICH)
DL物理共享数据信道(DL-PSDCH)
负载指示器信道(LICH)
组播控制信道(MCCH)
寻呼指示器信道(PICH)
共享DL控制信道(SDCCH)
共享UL分配信道(SUACH)
同步信道(SCH)
UL功率控制信道(UPCCH)
ULPHY信道包括:
确认信道(ACKCH)
天线子集指示器信道(ASICH)
宽带导频信道(BPICH)
信道质量指示器信道(CQICH)
物理随机访问信道(PRACH)
共享请求信道(SREQCH)
UL物理共享数据信道(UL-PSDCH)
为了本文的目的,下面的缩写适用:
AMD确认的模式数据
ARQ自动重传请求
AT接入终端
ATM确认的模式
BCCH广播控制信道
BCH广播信道
C-控制-
CCCH公共控制信道
CCH控制信道
CCTrCH编码合成传输信道
CP循环前缀
CRC循环冗余校验
CSG闭合用户组
CTCH公共业务信道
DCCH专用控制信道
DCH专用信道
DL下行链路
DL-SCH下行链路共享信道
DSCH下行链路共享信道
DTCH专用业务信道
FACH前向链路访问信道
FDD频分双工
HLR归属位置寄存器
HNBID毫微微小区ID
HSS归属用户服务器
I-CSCF询问呼叫会话控制功能
IMSIP多媒体子系统
IMSI国际移动台识别码
L1第一层(物理层)
L2第二层(数据链路层)
L3第三层(网络层)
LI长度指示器
LSB最低有效位
MAC媒体访问控制
MBMS多媒体广播组播业务
MBSFN组播广播单频网络
MCCHMBMS点对多点控制信道
MCEMBMS协调实体
MCH组播信道
MRW移动接收窗口
MSB最高有效位
MSC移动交换中心
MSCHMBMS点对多点调度信道
MSCHMBMS控制信道
MTCHMBMS点对多点业务信道
NASS网络附着子系统
P2P对等
PCCH寻呼控制信道
PCH寻呼信道
P-CSCF代理呼叫会话控制功能
PDCCH物理下行链路控制信道
PDSCH物理下行链路共享信道
PDU协议数据单元
PHY物理层
PhyCH物理信道
RACH随机访问信道
RACS资源和准入控制子系统
RLC无线电链路控制
RRC无线电资源控制
SAP服务接入点
S-CSCF服务呼叫会话控制功能
SDU服务数据单元
SeGW安全网关
SHCCH共享信道控制信道
SIP会话发起协议
SLF用户位置功能
SN序列号
SUFI超字段
TCH业务信道
TDD时分双工
TFI传输格式指示器
TISPAN高级网络的电信和因特网汇聚服务和协议
TM透明模式
TMD透明模式数据
TMSI暂时移动用户身份
TTI传输时间间隔
U-用户-
UE用户装置
UL上行链路
UM未确认的模式
UMD未确认的模式数据
UMTS通用移动电信系统
UTRAUMTS陆地无线接入
UTRANUMTS陆地无线接入网络
图3描述了一种示例性通信系统300,用于使得能够在网络环境中部署毫微微接入点BS(例如HNB)。通信系统300包括多个毫微微接入点,它们被体现为一个或多个毫微微接入点310和/或一个或多个IMS毫微微接入点311,它们被安装在小范围网络环境中。小范围网络环境的示例可以实际上包括任何室内和/或室内/室外设施330。一个或多个毫微微接入点310可以被配置来服务于相关联的接入终端320(AT),例如可以包括在与毫微微接入点相关联的接入组(例如CSG)中的那些AT,一个或多个毫微微接入点310或者可以选择性地被配置来服务于外来或者访问接入终端320。接入终端320通过无线链路360与宏小区通信,并且通过无线链路361和/或通过无线链路362来与一个或多个毫微微接入点310和/或一个或多个IMS毫微微接入点311通信。每个毫微微接入点(例如毫微微接入点310和/或IMS毫微微接入点311)还经由DSL路由器(未示出)或者替代的电缆调制解调器、在电力线连接上的宽带、卫星IP网络连接或者类似的宽带IP网络连接370耦合到IP网络340。通过IP网络340可访问另外的网络,其中包括移动运营商核心网络350、IMS网络390和/或第三方运营商网络380。移动运营商核心网络可以包括移动交换中心(MSC)。
在一些实施例中,毫微微接入点310与毫微微接入点网关通信。毫微微接入点网关可以被体现为HNB网关(HNB-GW)或者家庭演进的eNodeB网关(HeNB-GW)或者能够在计算机控制下执行消息交换的另一个网关设备。
毫微微接入点310可以被体现为家庭NodeB单元(HNB)或者家庭演进的NodeB单元(HeNB)。如图所示,接入终端320能够使用本文所述的各种技术在宏蜂窝环境中和/或在住宅的小范围网络环境中工作。因此,至少在一些公开的方面中,毫微微接入点310可以与任何适当的现有接入终端320后向兼容。应当意识到,虽然本文所述的方面采用3GPP规范,但可以理解,这些方面也可以被应用到3GPP变化形式(版本99[Rel99]、Rel5、Rel6、Rel7)以及3GPP2技术(1xRTT、1xEV-DORel0、RevA、RevB)和其他已知和相关的技术。在本文所述的这样的实施例中,HNB310的拥有者预定移动服务,例如通过移动运营商核心网络350提供的3G移动服务。接入终端320能够在宏蜂窝环境中和在住宅或者私人企业小范围网络环境中工作。毫微微接入点310与任何现有的接入终端320后向兼容。
在本发明的一些实施例中,毫微微接入点(FAP)可以被部署来在IP多媒体子系统(IMS)中进行接口连接,以便提供诸如GSM、UMTS、LTE/双模式、CDMA2000和电路交换业务之类的网络服务。为了保证这样的部署不是开放的以致被FAP(其可以驻留在不是由网络运营商已知的信任的位置)滥用,提供一种安全的方法和装置来将FAP注册到网络是有益的。
在本发明的一些实施例中,毫微微接入点(FAP)或者HNB使用在IETFRFC3261和3GPP和3GPP2IP多媒体子系统(IMS)规范中指定的SIP过程来将它们自己注册到运营商的网络,以便提供诸如GSM、UMTS、LTE/双模式、CDMA2000和电路交换业务之类的网络服务。为了保证这样的过程不被FAP(其可以驻留在不是由网络运营商已知的信任的位置)滥用,提供一种安全的方法和装置来将FAP注册到网络是有益的。
图4是根据本发明的一个实施例的IMS环境,在其中可以实施建立毫微微接入点的安全注册的环境。作为选择,本环境400可以存在于图1-3的架构和功能的环境中。
示出的IMS架构将联网基础结构组织为独立的平面,在这些平面之间具有标准化的接口。每个接口被指定为定义协议和功能的参考点。功能可以被映射到任何一个或多个平面;单个设备可以包含几个功能。
环境400被组织为三个平面:应用平面402、控制平面404和用户平面406。
应用平面402提供了用于服务的提供和管理的基础结构,并且定义了对公共功能的标准接口,所述公共功能包含配置存储、身份管理、用户状态(诸如存在与位置)和其他功能。在一些情况下,对应于前述任何内容的数据可以被归属用户服务器(HSS)存储和管理。
应用平面402可以包含多个应用服务器408(AS),用于执行各种服务(例如电话应用服务器、IP多媒体服务交换功能和开放服务访问网关等)。应用服务器负责执行用于管理用户会话的功能,包括保持电话呼叫的状态。服务提供商可以部署一个或多个应用服务器以使得能够建立新的应用。而且,应用平面提供了用于提供收费功能410和其他与账单有关的服务的基础结构。应用平面提供了用于控制语音和视频呼叫和消息传送的基础结构,可以通过在控制平面中的功能来向它们提供进一步的服务。
如图所示,控制平面404逻辑地位于应用平面402和用户平面406之间。在示例性的情况下,控制平面路由呼叫信令,执行认证和授权的方面,并且执行某些保密功能。在控制平面中的功能可以与收费功能410连接,并且可以产生某些类型的与账单有关的服务。
在一些实施例中,控制平面安排在各个其他网络功能之间的逻辑连接,并且可以促成端点的注册、SIP消息的路由以及媒体和信令资源的整体协调。如图所示,控制平面包括呼叫会话控制功能,其可以被代理CSCF(被示出为P-CSCF412)、服务CSCF(被示出为S-CSCF414)和询问CSCF(被示出为I-CSCF416)合作地实现。控制平面也可以包括归属用户服务器(HSS)数据库。HSS保存每个终端用户的服务简档,其中包括注册信息、偏好、漫游信息、语音邮件选项、好友列表等。另外,HSS可以保存与毫微微接入点(例如毫微微接入点310和/或IMS毫微微接入点311)相关的服务简档信息。用户信息的集中化可以便利在多个接入网络之间的服务提供、一致的应用访问和简档共享。在一些情况下,可通过网络到达归属位置寄存器(HLR),并且归属位置寄存器(HLR)可以取代HSS(或者与之合作)而工作。可以通过互连边界控制功能部件418来到达多个核心网络420(例如移动运营商核心网络350)。通过边界网关(例如I-BCF418)来访问核心网络420。边界网关可以被部署来执行访问策略,并且可以控制去往和来自核心网络420的业务流。在一些实施例中,互连边界控制功能(I-BCF)控制传输层安全,并且告诉RACS426呼叫需要什么资源。
控制平面404实现呼叫会话控制功能(CSCF),其包括下述功能:
●代理CSCF(P-CSCF412)是用户与IMS的第一接触点。P-CSCF负责在网络和用户之间的消息的安全性以及为媒体流分配资源。
●询问CSCF(I-CSCF416)是来自对等网络的第一接触点。I-CSCF负责询问HSS以确定用于用户的S-CSCF,并且也可以向对等网络隐藏运营商的拓扑(例如使用拓扑隐藏网络间网关或者THIG)。
●服务CSCF(例如S-CSCF414)负责处理注册以记录每个用户的位置、用户认证和呼叫处理(包括将呼叫路由到应用)。可以通过在HSS中存储的策略来部分地控制S-CSCF的操作。
用户平面406提供了核心的服务质量使能的IPv6网络422,用于通过各种网络(例如移动、WiFi和宽带网络等)从用户装置424(例如接入终端320)进行访问。这种基础结构被设计来提供大量的基于IP多媒体服务器的和对等(P2P)的服务。
图5是根据本发明的一个实施例的、包括用于建立毫微微接入点的安全注册的部件的IMS系统。作为选择,可以在图1-4的架构和功能的环境中实现本系统500。但是,当然,可以在任何期望的环境中执行系统500或者其中的任何操作。
在图5中所示的与图4相比的差别包括出现了与用户装置424联系的毫微微接入点310、出现了毫微微接入点网关506(FAP-GW)以及出现了运营商控制的网络521的表示,其中,运营商控制的网络521(如图所示)包括安全网关(例如SeGW502)和运营商控制的IPsec地址数据集504。
在一些实施例中,一个或多个毫微微接入点310可以使用SIP来将它们自己注册到在IMS域中的S-CSCF。可以调用某些过程和/或规则以提供网络环境和协议,从而保证安全和抵制威胁的注册。例如:
■FAP向位于运营商的网络中的安全网关(例如SeGW)相互认证其本身,并且建立安全隧道(例如IPSecESP);
■FAP不转发或者处理来自具有与由该FAP防护的地址相同的源IP地址(例如IPSec隧道内部首标源IP地址、FAP的源IP地址)的其他实体的任何IP分组;
■在FAP310始发的任何SIP消息将使用由SeGW分配的IPSec隧道内部地址(即使用运营商控制的IPsec内部地址的数据库);
■隧道内部地址空间在运营商的控制之下;以及
■FAP子集地址不被通信网络运营商重新用于任何其他目的。
除了上述规则,其他规则可以适用。
已经提出了用于IMS注册的各种认证技术(例如IMSAKA、SIP摘要(具有或者没有TLS)、GPRSIMS捆绑认证、NASSIMS捆绑认证、信任节点认证或者TNA(用于ICS)等)。通过在TS33.203(Rel-8)中的3GPP来定义这些认证技术以及它们如何在IMS中共存,所述规范通过引用被整体并入本文。
上述技术带来了它们的部署额外需求或者问题。本文所述的本发明的实施例可以使用被称为信任节点认证(TNA)的技术的部分来用于毫微微接入点的安全注册。与各个实施例相关的假定包括:
■信任的节点是完全在运营商的控制下的节点,或者已经被验证为可信的节点(例如经由某个独立的认证、经由软件代码签名等)。
■信任的节点(例如FAP)插入完整性保护的标记(例如具有值“认证完成”)。
■P-CSCF一定不能位于信任节点和I/S-CSCF之间(即,否则,P-CSCF可能移除完整性保护的标记)。
按照这样的规则,一旦FAP被归属网络认证(例如使用FAP设备认证),则在IMS域中的部件可以将该FAP当作信任的节点。具体地,执行IMSFAP注册可以使用信任节点认证技术;因此,一旦已经将FAP向运营商的网络认证,则该FAP可以被认为是信任的节点。在一些实施例中,网络运营商可以进一步验证该FAP保持在信任状态中(例如通过使用诸如安全引导、代码签名等的方法)。
如上所述的用于FAPIMS注册的技术不要求在FAP的任何另外的配置或者开发;但是,在一些实施例中,FAP可以使用SIP摘要来用于IMS注册过程。
一旦FAP已经使用所述认证方法中的一个方法成功地注册,则其可以使用IMS基础结构并且使用SIP消息传送来向AT提供网络服务(例如电路交换服务等)。
系统500包含通信系统,其用于执行毫微微接入点的安全注册以访问运营商控制的网络元件。示出了各种功能,包括安全网关元件(例如SeGW502),其被配置来管理在运营商控制的网络521中的IPsec地址数据集504。毫微微接入点(例如FAP310)被配置来从安全网关元件请求安全关联,并且从运营商控制的网络521中的网络元件请求安全注册证书。这样的运营商控制的网络的元件可以被配置来构造所请求的安全注册证书,并且向毫微微接入点发送所请求的安全注册证书。所请求的安全注册证书可以被存储在非易失性存储器中,或者可以被高速缓存以用于随后的对于同一安全注册证书的请求。通信系统包括至少一个安全网关元件,用于管理IPsec内部地址(例如IPsec地址数据集504)。如图所示,毫微微接入点被配置来使用SIP消息(参见消息1140)请求安全注册证书。在一些情况下,毫微微接入点向会话控制功能(CSCF)元件(例如P-CSCF412、S-CSCF414、I-CSCF416等)发送对于安全注册证书的请求。通信系统可以与授权部件交换包括毫微微接入点简档(例如毫微微接入点的IMS身份)的消息,所述授权部件可以包括归属用户服务器、在移动运营商核心网络350中的一个或多个部件和在第三方运营商网络380中的一个或多个部件。
图6是根据本发明的一个实施例的用于建立毫微微接入点的安全注册的系统的表示。作为选择,可以在图1-5的架构和功能的环境中实现本系统600。但是,当然,可以在任何期望环境中执行系统600或者其中的任何操作。
如图所示,系统600包括接入终端320,其通过无线链路(例如无线链路361、无线链路362)与一个或多个网络元件625进行通信。特别地,接入终端320被示出为与毫微微接入点(例如毫微微接入点310、IMS毫微微接入点311)通信。毫微微接入点继而与IP网络340(例如因特网)通信,IP网络340继而与多个运营商控制的网络元件626通信。在一些实施例中,运营商控制的网络元件626包括一个或多个授权部件635。运营商控制的网络元件626可以包括一个或多个运营商控制的网络元件626(例如FAP-GW506、一个或多个CSCF部件、一个或多个安全网关502和一个或多个毫微微小区汇聚服务器610)。毫微微小区汇聚服务器(FCS)可以被包括在IMS环境中,并且作为联网网关,用于仿真移动交换中心(MSC)的协议和功能,以及作为或者仿真为IMS应用服务器,在两者之间转换以向部署在IMS环境中的毫微微接入点提供现有的与MSC有关的服务。
还示出了授权部件635。授权部件可以由一个或多个网络部件构成,所述一个或多个网络部件能够执行一个或多个授权操作以用于毫微微接入点的安全注册。授权部件635的示例包括HSS620、在移动运营商核心网络350中的一个或多个部件(例如HLR630)和在第三方运营商网络380中的一个或多个部件。
毫微微接入点网关506(FAP-GW)用于通过在运营商控制的网络元件626中的任何网络元件以及在上述网络元件之间进行消息传送,并且用于通过可能涉及安全网关502的任何一个或多个毫微微接入点(例如毫微微接入点310、IMS毫微微接入点311)以及在上述接入点之间进行消息传送。如图所示,安全网关502可以被包含在与毫微微接入点网关分离的部件中,或者安全网关502可以体现为在毫微微接入点网关中的模块,如下文所述。
授权部件635中的任何一个或多个可以包括列表(例如IPsec地址数据集504),并且所述列表可以包括各种类型的一个或多个标识符。而且,所述列表可以被组织以便将一种类型的标识符与另一组类型的标识符(例如在配对的列表中、在表格的列表中等)相关。这样的列表可以被存储在存储器中,并且可以包括用于识别有效访问(例如任何一个或多个访问权)的有效的标识符和/或有效的标识符对,或者在任何组织中与识别有效访问的标识符的任何关系。
网络元件625中的任何一个或多个可以包括处理器和存储器。例如,毫微微接入点310可以包括毫微微接入点处理器和毫微微接入点存储器。类似地,毫微微接入点网关506可以包括毫微微接入点网关处理器和毫微微接入点网关存储器。
在本发明的一个实施例中,系统600可以用于执行毫微微接入点的安全注册以访问运营商控制的网络元件。更具体地,毫微微接入点(例如FAP310、IMSFAP311)可以被配置来建立安全关联,所述安全关联(例如包括IPsec内部地址等)可以用于从运营商控制的网络元件626(例如P-CSCF412、S-CSCF414等)请求安全注册证书。这样的运营商控制的网络元件626可以被配置来构造所请求的安全注册证书,并且向请求的毫微微接入点发送(直接地或者经由中继)用于访问运营商控制的网络元件的安全注册证书。在一些情况下,通过安全网关(SeGW502等)的功能来建立安全关联,可以使用运营商控制的IPsec内部地址数据库来与至少一个运营商控制的网络元件相结合地执行所述功能。
在示例性实施例中,毫微微接入点可以被配置来使用被发送到呼叫会话控制功能元件(例如P-CSCF412、S-CSCF414、I-CSCF416等)的SIP消息来请求注册。当然,会话控制功能元件可以被配置来保存证书,或者会话控制功能元件可以被配置来经由与授权部件635(例如HSS620、HLR630、移动运营商核心网络350、第三方运营商网络380等)的网络消息交换而获得安全注册证书。
上述运营商控制的网络元件626中的任何一个或多个可以被配置来中继来自接入终端(例如接入终端320、UE424等)的接入请求,并且可以使用SIP消息来中继被中继的接入请求。任何一个或多个运营商控制的网络元件可以被配置为使得被中继的接入请求包括完整性保护的指示。
图7是根据本发明的一个实施例的用于执行毫微微接入点的安全注册的处理的流程图。作为选择,可以在图1-6的架构和功能的环境中实现本系统700。但是,当然,可以在任何期望环境中执行系统700或者其中的任何操作。
如图所示,由要成为在IMS域中的信任节点的毫微微接入点执行的步骤包括:对毫微微接入点部件加电(参见操作710),并且物理地连接到IP网络(参见操作720)。一旦建立了物理层连接,则毫微微接入点开始在MAC和链路层建立连接,并且在某个点,毫微微接入点从IMS域中的部件请求安全关联。对安全关联的请求可以被安全网关许可(参见操作730),或者被安全网关的代理许可,该安全网关的代理是运营商控制的网络元件626中的成员。在本发明的实施例中,毫微微接入点能够处理SIP消息,因此,所述毫微微接入点发送SIP注册消息(参见操作740),所述消息可以被IMS域中的CSCF部件处理。继而,CSCF部件请求由授权部件635进行的授权,所述授权部件635是运营商控制的网络元件626中的成员。
CSCF请求授权(在操作750中),并且可以然后从授权部件接收所请求的授权。如果这样(参见判定755),则CSCF可以向请求的毫微微接入点发送SIPOK消息(参见操作760)。当然,也可能对授权的所述请求被拒绝,在这种情况下,判定755导致拒绝授权请求。
如图所示,请求授权的CSCF(在操作750中)向请求的毫微微接入点发送SIPOK消息(参见操作760),并且请求的毫微微接入点成为在对应于由授权部件635许可授权的域的网络域中的信任节点(参见操作770)。
如上所述,授权部件可以是在所述运营商控制的网络元件626集合中的授权部件,并且这样的授权部件可以是HSS、HLR、在移动运营商核心网络中的授权部件或者在第三方运营商网络380中的授权部件。
发送SIP注册消息的毫微微接入点(按照操作740)可以然后接收所请求的授权,并且如果这样(参见操作7700),该发送SIP注册消息的毫微微接入点成为被授权的域中的信任节点。在示例性实施例中,该毫微微接入点使用SIP消息传送,其中包括被设置为“认证完成”的完整性保护的指示字段(参见操作780)。毫微微接入点开始从AT(传统的AT、UE、SIP电话等)接收消息,并且在需要时转换为SIP(参见操作790)。
图8是根据本发明的一个实施例的用于保护毫微微接入点的注册证书的处理的流程图。作为选择,可以在图1-7的架构和功能的环境中实现本系统800。但是,当然,可以在任何期望环境中执行系统800或者其中的任何操作。
如图所示,CSCF(例如服务CSCF414)接收SIP注册请求(参见操作810),并且执行对现有/当前/有效授权(参见判定825)的检查(参见操作820)。如果对应于在操作810中接收的SIP注册请求的设备被授权,则通过“OK”来满足请求(参见操作830)。对于其它情况,注册请求被解释为对新的授权的请求,并且向授权部件(例如HSS、HLR、移动运营商核心网络、第三方运营商网络等)进行请求(参见操作840)。授权部件可以回答请求者,从而CSCF接收所请求的证书(参见操作850)。在一些情况下,可以执行关于授权的另外检查(参见操作860),并且如果授权检验成功(参见判定865),则向请求者(例如毫微微接入点或者毫微微接入点网关等)发送证书。当然,可能执行关于授权的检查而使得授权检验失败,在这种情况下,拒绝注册请求(参见操作870)。在一些情况下,通过返回指示拒绝请求的原因的消息来拒绝注册请求;在其他情况下,不向请求者返回响应,并且请求者接收不到所请求的证书。在其他情况下,接受注册请求,并向请求者发送授权证书(参见操作880)。
图9是用于执行用于毫微微接入点的安全注册的现有/当前/有效授权的检查的流程图。作为选择,可以在图1-8的架构和功能的环境中实现本系统900。但是,当然,可以在任何期望环境中执行系统900或者其中的任何操作。
只要运营商控制的网络元件尝试满足对于授权的请求(参见操作820),则可以调用系统900。在一些情况下,CSCF或者其他的运营商控制的网络元件可以在高速缓冲存储器中存储毫微微接入点的被认证的授权(参见操作910)。在一些情况下,毫微微接入点的被认证的授权可以不存在于高速缓冲存储器中,并且CSCF或者其他的运营商控制的网络元件可以尝试从授权部件635检索可信的授权。在这种情况下,运营商控制的网络元件可以选择一个或多个授权部件(参见操作920),并且执行网络消息传送以建立所选择的授权部件的可信度(参见操作930)。一旦上述认证步骤已经成功,则运营商控制的网络元件可以然后递交对于授权证书的请求(参见操作940),并且在已经接收到这样的授权证书的情况下可以高速缓存所述证书(参见操作950),并且向请求者发送所述证书(参见操作960)。
图10是描述了根据本发明的一个实施例的、用于使用在IMS环境中的汇聚服务器来执行毫微微接入点的安全注册的消息传送协议的协议图。作为选择,可以在图1-9的架构和功能的环境中实现本协议1000。但是,当然,可以在任何期望环境中执行协议1000或者其中的任何操作。
如图所示,通过部件来执行协议1000,所述部件包括接入终端AT/UE1010、毫微微接入点FAP1012、安全网关SeGW1014、CSCF(IMS)1016、以及HSS1018形式的授权部件。毫微微小区汇聚服务器FCS1020也参与到所述协议中。
所述协议可以在任何时刻开始,并且为了说明性的目的提供在所述协议中涉及的消息和操作的具体顺序和/或交错。
如图所示,FAP1012可能通过毫微微接入点网关(未示出)来启动协议交换,以从SeGW1014建立IPsec安全关联(参见消息1022)。SeGW可以通过返回所请求的IPsec关联而进行响应(参见消息1024)。使用所获得的IPsec关联,FAP1012可以向CSCF发送SIP注册消息(参见消息1026)。CSCF可以在一些情况下确认授权(参见操作1028),但是在其他情况下,CSCF可以从授权部件(例如HSS1018)请求授权。在这种情况下,CSCF向授权部件发送请求(包括毫微微接入点简档)(参见消息1030)。假定授权部件可以满足授权请求,授权部件返回授权证书(参见消息1032)。具有足够的证书以授权对由所述证书覆盖的网络元件的至少一些访问的CSCF然后可以执行另外的授权步骤(参见操作1034),并且向请求者发送SIPOK消息(参见消息1036)。在一些情况下,CSCF可以执行另外的注册步骤;例如,CSCF可以启动第三方核心网络注册(参见消息1037),并且第三方核心网络注册可以向CSCF返回证书(未示出)。
在存在消息1036的情况下,毫微微接入点是在对应于证书的域中的信任节点,并且可以被那个域看作信任节点。因此,接入终端(例如AT/UE1010)可以发起附着或者注册请求(参见消息1038),所述请求被转换为SIP消息(参见操作1039)并被转发到CSCF(参见消息1040),所述SIP消息可能作为被发送和/或中继(参见消息1042)到FCS1020的SIP邀请消息。如上所述,FCS用于将IMS域服务与非IMS域服务(例如在电路交换域中)桥接,包括将SIP消息转换为传统的消息(参见操作1043)。因此,在FCS处接收的SIP邀请消息可以被转换为请求(参见消息1044)和来自非IMS域的授权响应(参见消息1046),所述授权被转换回SIP消息格式(参见操作1047),并且可能通过中继被返回到请求者(参见消息1048,参见消息1049)。如图所示,所述中继导致传统的附着或者注册“OK”消息被发送到传统的AT1010(参见消息1052)。
图11是描述了根据本发明的一个实施例的、用于执行在全IMS环境中的毫微微接入点的安全注册的消息传送协议的协议图。作为选择,可以在图1-10的架构和功能的环境中实现本协议1100。但是,当然,可以在任何期望环境中执行协议1100或者其中的任何操作。
如图所示,通过部件来执行协议1100,所述部件包括接入终端AT/UE1010、毫微微接入点FAP1012、安全网关SeGW1014、CSCF(IMS)1016、以及HSS1018形式的授权部件。所述协议可以在任何时刻开始,并且为了说明性的目的提供在协议中涉及的消息和操作的具体顺序和/或交错。如图所示,FAP1012发起用于从SeGW1014建立IPsec安全关联的协议交换(参见消息1122)。SeGW可以通过返回所请求的IPsec关联而进行响应(参见消息1124)。使用所获得的IPsec关联,FAP1012可以向CSCF发送SIP注册消息(参见消息1126)。CSCF可以在一些情况下确认授权(参见操作1128),但是在其他情况下,CSCF可以从授权部件HSS1018请求授权。在这种情况下,CSCF1016向授权部件HSS1018发送请求(包括毫微微接入点简档)(参见消息1130)。假定授权部件可以满足授权请求,该授权部件向CSCF1016返回授权证书(参见消息1132)。用于执行在全IMS环境中的毫微微接入点的安全注册的消息传送协议不需要与FCS1020的交互(例如用于第三方注册)。可以在IMS域中完全地提供服务。另外,可能与HSS相结合的CSCF1016具有必要的数据库,用于检查FAP是否是信任的节点。即,CSCF1016和HSS1018是在运营商控制的网络521中工作的一组运营商控制的网络元件626的成员。因此,可能与HSS1018相结合的CSCF1016访问授权数据库,其中至少包括IPsec地址数据集504,并且可能与HSS1018相结合的CSCF1016能够使用SIP“OK”消息来响应(参见消息1135),所述SIP“OK”消息继而被中继到请求的FAP1012(参见消息1137)。在其他情况下,HSS1018可以不直接访问所需要的授权数据库,并且可以执行某个操作(参见操作1134),其可能包括用于检查授权证书的存在的另外的消息传送(未示出)。在存在消息1137的情况下,毫微微接入点是在对应于证书的域中的信任节点,并且可以被那个域当作信任节点。因此,接入终端(例如AT/UE1010)可以发起附着或者注册请求(参见消息1138),所述请求可能作为被发送和/或中继(参见消息1142)到CSCF1016的SIP邀请消息(参见消息1140)被转发到CSCF1016,CSCF1016然后可以使用IMS域联网部件来提供或者管理IMS域服务(即不借助于FCS1020或者不借助于任何非IMS域部件)。因此,在CSCF1016接收的SIP邀请消息可以发起用于IMS服务的提供的SIP协议交换,所述服务的提供可以导致向FAP1012发送SIP消息(参见消息1144),并且进一步向AT/UE1010发送SIP消息(参见消息1150)。
图12描述了用于执行毫微微接入点的安全注册以访问运营商控制的网络元件的系统的框图。作为选择,可以在本文所述的实施例的架构和功能的环境中实现本系统1200。但是,当然,可以在任何期望环境中执行系统1200或者其中的任何操作。如图所示,系统1200包括多个模块,每个连接到通信链路1205,并且任何模块可以通过通信链路1205与其他模块通信。所述系统的模块可以单独地或者组合地执行在系统1200中的方法步骤。可以以任何顺序来执行在系统1200中执行的任何方法步骤,除非可以在权利要求中指定顺序。如图所示,系统1200实现用于访问运营商控制的网络元件的方法,系统1200包括模块,所述模块用于:建立用于至少一个毫微微接入点的安全关联(参见模块1210);使用所述安全关联从所述至少一个毫微微接入点请求安全注册证书(参见模块1220);通过至少一个授权部件来构造安全注册证书(参见模块1230);并且在所述毫微微接入点处接收用于访问运营商控制的网络元件的安全注册证书(参见模块1240)。
图13描述了用于执行通信系统的某些功能以执行毫微微接入点的安全注册的系统的框图。作为选择,可以在本文所述的实施例的架构和功能的环境中实现本系统1300。但是,当然,可以在任何期望环境中执行系统1300或者其中的任何操作。如图所示,系统1300包括多个模块,其包括处理器和存储器,每个模块连接到通信链路1305,并且任何模块可以通过通信链路1305与其他模块通信。系统的模块可以单独地或者组合地执行在系统1300中的方法步骤。可以以任何顺序来执行在系统1300中执行的任何方法步骤,除非可以在权利要求中指定顺序。如图所示,图13实现了如系统1300的通信系统,其包括模块,所述模块包括:安全网关元件,其被配置来管理在运营商控制的网络中的IPsec地址数据集(参见模块1310);至少一个毫微微接入点,其被配置来从安全网关元件请求安全关联,并且被配置来请求安全注册证书(参见模块1320);以及至少一个运营商控制的网络元件,其被配置来构造所请求的安全注册证书以及存储所请求的安全注册证书,并且被配置来向毫微微接入点发送所请求的安全注册证书(参见模块1330)。
图14描述了使用硬件和软件部件来执行毫微微接入点的安全注册以访问运营商控制的网络元件的装置的框图。作为选择,可以在本文所述的实施例的架构和功能的环境中实现本系统1400。但是,当然,可以在任何期望环境中执行系统1400或者其中的任何操作。如图所示,系统1400包括多个硬件和软件部件,每个连接到通信链路1405,并且任何一个部件可以通过通信链路1405与其他部件通信。系统1400可以单独或者组合地执行在系统1400中的方法步骤。可以由任何部件以任何顺序执行在系统1400中执行的任何方法步骤,除非可以在权利要求中指定。如图所示,图14实现了用于访问运营商控制的网络元件的装置,所述装置包括实现下述目的的部件:用于建立用于至少一个毫微微接入点的安全关联的部件(参见部件1410);用于使用所述安全关联从所述至少一个毫微微接入点请求安全注册证书的部件(参见部件1420);用于通过至少一个授权部件来构造安全注册证书的部件(参见部件1430);以及用于在毫微微接入点处接收用于访问运营商控制的网络元件的安全注册证书的部件(参见部件1440)。
图15描述了用于执行毫微微接入点的某些功能的系统的框图。作为选择,可以在本文所述的实施例的架构和功能的环境中实现本系统1500。但是,当然,可以在任何期望环境中执行系统1500或者其中的任何操作。如图所示,系统1500包括多个模块,所述多个模块包括处理器和存储器,每个模块连接到通信链路1505,任何模块可以通过通信链路1505与其他模块通信。所述系统的模块可以单独或者组合地执行在系统1500中的方法步骤。可以以任何顺序来执行在系统1500中执行的任何方法步骤,除非可以在权利要求中指定顺序。如图所示,图15实现了如系统1500的毫微微接入点,其包括包含至少一个处理器和存储器的模块(参见模块1510)和用于下述动作的模块:建立用于至少一个毫微微接入点的安全关联(参见模块1520);使用所述安全关联请求安全注册证书(参见模块1530);并且在毫微微接入点处接收用于访问运营商控制的网络元件的安全注册证书(参见模块1540)。
如上所述的内容包括要求保护的主题的方面的示例。当然,为了描述要求保护的主题,不可能描述部件或者方法的每个可想到的组合,但是本领域内的普通技术人员可以认识到,所公开的主题的许多进一步的组合和置换是可能的。因此,所公开的主题旨在包含落入所附权利要求的精神和范围中的所有这样的替换、修改和改变。而且,关于在详细说明或者权利要求中使用的术语“包括”、“具有”的范围,该术语旨在是包含性的,其解释方式类似于当在权利要求中将术语“包括”用作过渡词时对词语“包括”的解释方式。
可以理解,在所公开的处理中的步骤的具体顺序或者层次是示例性方式的例子。根据设计偏好,可以理解,可以在保持处于本公开的范围中的情况下重新排列在处理中的步骤的具体顺序或者层次。所附的方法权利要求以示例的顺序呈现了各个步骤的元素,并且不意味着限于所呈现的具体顺序或者层次。
本领域内的技术人员将会理解,可以使用多种不同的技术和方法中的任何一种来表示信息和信号。例如,可以通过电压、电流、电磁波、磁场或者磁粒子、光场或者光学粒子、或者它们的任意组合来表示可以在整个上述描述中引用的数据、指令、命令、信息、信号、比特、符号和码片。
技术人员还会理解,可以将结合本文公开的实施例描述的各个说明性逻辑框、模块、电路和算法步骤实现为电子硬件、计算机软件或者两者的组合。为了清楚地说明硬件和软件的这种可互换性,上面已经一般按照它们的功能描述了各个说明性部件、框、模块、电路和步骤。这样的功能被实现为硬件还是软件取决于具体应用和在整个系统上施加的设计约束。技术人员可以针对每个具体应用以不同的方式实现所述的功能,但是这样的实现决定不应当被解释为导致偏离本公开的范围。
可以使用被设计来执行本文所述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、离散门或者晶体管逻辑、离散硬件部件或者它们的任意组合来实现或者执行结合本文公开的实施例描述的各个说明性逻辑框、模块和电路。通用处理器可以是微处理器,但是作为替代,处理器可以是任何传统的处理器、控制器、微控制器或者状态机。处理器也可以被实现为计算设备的组合,例如DSP和微处理器的组合、多个微处理器的组合、与DSP核心相结合的一个或多个微处理器的组合或者任何其他这样的配置。
可以直接地以硬件、以由处理器执行的软件模块或者以上述两者的组合来体现结合本文公开的实施例描述的方法或者算法的步骤。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸盘、CD-ROM或者在本领域中已知的任何其他形式的存储介质中。示例性存储介质耦合到处理器,使得处理器可以从存储介质读取和向存储介质写入信息。作为替代,存储介质可以集成到处理器。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。作为替代,处理器和存储介质可以作为离散部件驻留在用户终端中。
在一个或多个示例性实施例中,可以以硬件、软件、固件或者其任意组合来实现所述的功能。如果以软件实现,则所述功能可以作为一个或多个指令或者代码被存储在计算机可读介质上或者通过计算机可读介质传送。计算机可读媒体包括计算机存储媒体和通信媒体,所述通信媒体包括促成从一个位置向另一个位置传送计算机程序的任何介质。存储媒体可以是可被计算机访问的任何可用媒体。以示例的方式而不是限定,这样的计算机可读媒体可以包括RAM、ROM、EEPROM、CD-ROM或者其他光盘存储器、磁盘存储器或者其他磁存储设备、或者可以用于承载或者存储指令或者数据结构形式的期望程序代码的并且可以被计算机访问的任何其他介质。而且,任何连接被适当地称为计算机可读介质。例如,如果使用同轴电缆、光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波的无线技术来从网站、服务器或者其他远程源发送软件,则该同轴电缆、光缆、双绞线、DSL或者诸如红外线、无线电和微波的无线技术被包括在介质的定义中。本文使用的磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字通用盘(DVD)、软盘和蓝光盘,其中,磁盘通常以磁的方式来再现数据,并且光盘使用激光以光的方式来再现数据。上述的组合也应当被包括在计算机可读媒体的范围中。
提供所公开的实施例的上述说明以使得本领域内的任何技术人员能够实施或者使用本公开。对于这些实施例的各种修改对于本领域内的技术人员将是显而易见的,并且在不脱离本公开的精神和范围的情况下,本文限定的一般原理可以被应用到其他实施例。因此,本公开并不意欲限于本文所示的实施例,而是要符合与本文公开的原理和新颖特征相一致的最宽范围。
Claims (19)
1.一种用于执行毫微微接入点的安全注册的通信系统,包括:
所述毫微微接入点,被配置用于:
从管理IPsec地址数据集的安全网关元件请求安全关联;
请求安全注册证书;
结合呼叫会话控制功能(CSCF)元件从运营商控制的网络元件接收所请求的安全注册证书,所述运营商控制的网络元件构造并存储所请求的安全注册证书;以及
防止对具有与由所述毫微微接入点防护的地址相匹配的源IP地址的任何IP分组进行处理。
2.根据权利要求1所述的通信系统,其中,所述安全网关元件是执行安全网关的功能的第二个运营商控制的网络元件。
3.根据权利要求1所述的通信系统,其中,所述IPsec地址数据集包括运营商控制的IPsec内部地址数据库。
4.根据权利要求1所述的通信系统,其中,所述毫微微接入点被配置用于使用SIP消息来请求所述安全注册证书。
5.根据权利要求1所述的通信系统,其中,所述至少一个运营商控制的网络元件与至少一个归属用户服务器(HSS)交换毫微微接入点简档。
6.根据权利要求1所述的通信系统,其中,所述至少一个运营商控制的网络元件与至少一个授权部件交换毫微微接入点简档。
7.根据权利要求1所述的通信系统,其中,使用SIP消息来执行对安全注册证书的请求。
8.根据权利要求1所述的通信系统,其中,接收所请求的安全注册证书包括接收SIPOK消息。
9.一种用于执行毫微微接入点的安全注册的方法,包括:
通过所述毫微微接入点向管理IPsec地址数据集的安全网关发送针对安全关联和安全注册证书的请求;
通过所述毫微微接入点结合呼叫会话控制功能(CSCF)元件从运营商控制的网络元件接收所请求的安全注册证书,所述运营商控制的网络元件构造并存储所述安全注册证书;以及
通过所述毫微微接入点防止对具有与由所述毫微微接入点防护的地址相匹配的源IP地址的任何IP分组进行处理。
10.根据权利要求9所述的方法,其中,所述安全网关是执行安全网关的功能的第二个运营商控制的网络元件。
11.根据权利要求9所述的方法,其中,所述IPsec地址数据集包括运营商控制的IPsec内部地址数据库。
12.根据权利要求9所述的方法,还包括:
通过所述毫微微接入点经由SIP消息来发送针对所述安全注册证书的请求。
13.根据权利要求9所述的方法,其中,所述运营商控制的网络元件与至少一个归属用户服务器(HSS)交换毫微微接入点简档。
14.根据权利要求9所述的方法,其中,所述运营商控制的网络元件与至少一个授权部件交换毫微微接入点简档。
15.一种用于执行毫微微接入点的安全注册的程序,包括:
用于通过所述毫微微接入点向运营商控制的网络内的、管理IPsec地址数据集的安全网关发送针对安全关联和安全注册证书的请求的代码;
用于通过所述毫微微接入点结合呼叫会话控制功能(CSCF)元件从运营商控制的网络元件接收所请求的安全注册证书的代码,所述运营商控制的网络元件构造并存储所请求的安全注册证书;以及
用于通过所述毫微微接入点防止对具有与由所述毫微微接入点防护的地址相匹配的源IP地址的任何IP分组进行处理的代码。
16.根据权利要求15所述的程序,还包括:
用于经由SIP消息来发送针对所述安全注册证书的请求的代码。
17.根据权利要求15所述的程序,其中,所述运营商控制的网络元件与至少一个归属用户服务器(HSS)交换毫微微接入点简档。
18.根据权利要求15所述的程序,其中,所述运营商控制的网络元件与至少一个授权部件交换毫微微接入点简档。
19.一种用于执行毫微微接入点的安全注册的系统,包括:
用于通过所述毫微微接入点向运营商控制的网络内的、管理IPsec地址数据集的安全网关发送针对安全关联和安全注册证书的请求的单元;
用于通过所述毫微微接入点结合呼叫会话控制功能(CSCF)元件从运营商控制的网络元件接收所请求的安全注册证书的单元,所述运营商控制的网络元件构造并存储所述安全注册证书;以及
用于通过所述毫微微接入点防止对具有与由所述毫微微接入点防护的地址相匹配的源IP地址的任何IP分组进行处理的单元。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11839708P | 2008-11-26 | 2008-11-26 | |
US61/118,397 | 2008-11-26 | ||
US12/625,047 US8886164B2 (en) | 2008-11-26 | 2009-11-24 | Method and apparatus to perform secure registration of femto access points |
US12/625,047 | 2009-11-24 | ||
CN200980147140.9A CN102224748B (zh) | 2008-11-26 | 2009-11-25 | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980147140.9A Division CN102224748B (zh) | 2008-11-26 | 2009-11-25 | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105101204A true CN105101204A (zh) | 2015-11-25 |
CN105101204B CN105101204B (zh) | 2019-01-11 |
Family
ID=42196788
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510342237.2A Expired - Fee Related CN105101204B (zh) | 2008-11-26 | 2009-11-25 | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 |
CN200980147140.9A Expired - Fee Related CN102224748B (zh) | 2008-11-26 | 2009-11-25 | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980147140.9A Expired - Fee Related CN102224748B (zh) | 2008-11-26 | 2009-11-25 | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8886164B2 (zh) |
EP (1) | EP2368384A2 (zh) |
JP (2) | JP5524232B2 (zh) |
KR (1) | KR101315205B1 (zh) |
CN (2) | CN105101204B (zh) |
TW (1) | TW201043053A (zh) |
WO (1) | WO2010062983A2 (zh) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090327735A1 (en) * | 2008-06-26 | 2009-12-31 | Microsoft Corporation | Unidirectional multi-use proxy re-signature process |
US9066232B2 (en) * | 2009-06-08 | 2015-06-23 | Qualcomm Incorporated | Femtocell access control |
WO2011003004A1 (en) * | 2009-07-01 | 2011-01-06 | Zte Corporation | Femto access point initialization and authentication |
TWI388165B (zh) * | 2009-11-02 | 2013-03-01 | Ind Tech Res Inst | 無線通訊系統、其封包交換的繞送方法、使用該繞送方法的室內基地台 |
US8498651B2 (en) * | 2009-11-06 | 2013-07-30 | Alcatel Lucent | Method of call admission control for home femtocells |
US8483196B2 (en) * | 2010-03-12 | 2013-07-09 | Qualcomm Incorporated | Methods and apparatus for supporting synchronization between groups of devices |
EP2378802B1 (en) * | 2010-04-13 | 2013-06-05 | Alcatel Lucent | A wireless telecommunications network, and a method of authenticating a message |
US9119028B2 (en) * | 2010-04-14 | 2015-08-25 | Qualcomm Incorporated | Method and apparatus for supporting location services via a Home Node B (HNB) |
US10383166B2 (en) | 2010-04-14 | 2019-08-13 | Qualcomm Incorporated | Method and apparatus for supporting location services via a home node B (HNB) |
JP5697134B2 (ja) * | 2010-08-16 | 2015-04-08 | 日本電気株式会社 | 通信システム、ゲートウェイ装置、フェムトセル用基地局、通信方法および装置のプログラム |
US8769341B2 (en) | 2010-08-26 | 2014-07-01 | Futurewei Technologies, Inc. | System and method for transmitting data using incremental remediation |
KR101420191B1 (ko) | 2010-09-15 | 2014-07-17 | 한국전자통신연구원 | 하이브리드 펨토셀의 수락제어 방법 |
KR20120069235A (ko) | 2010-12-20 | 2012-06-28 | 한국전자통신연구원 | 무선 통신 시스템에서 운영 모드 동적 전환 방법 |
KR101746668B1 (ko) * | 2010-12-21 | 2017-06-13 | 한국전자통신연구원 | 접속해제 상태의 사물통신 디바이스를 위한 데이터 전송 방법 및 이를 이용하는 이동통신 시스템 |
US20120208503A1 (en) * | 2011-02-10 | 2012-08-16 | Mediatek, Inc. | Method for Centralizing MDT User Involvement |
US9639825B1 (en) * | 2011-06-14 | 2017-05-02 | Amazon Technologies, Inc. | Securing multifactor authentication |
US9628875B1 (en) | 2011-06-14 | 2017-04-18 | Amazon Technologies, Inc. | Provisioning a device to be an authentication device |
CN103096311B (zh) * | 2011-10-31 | 2018-11-09 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
US9066328B2 (en) * | 2012-03-01 | 2015-06-23 | Interdigital Patent Holdings, Inc. | Method and apparatus for supporting dynamic and distributed mobility management |
CN103391544B (zh) * | 2012-05-10 | 2017-04-26 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
JP6008390B2 (ja) * | 2012-06-07 | 2016-10-19 | 日本電気株式会社 | 通信システム、コントロールノード、変換サーバおよび通信方法 |
US9232557B2 (en) * | 2012-07-10 | 2016-01-05 | Telefonaktiebolaget Lm Ericsson (Publ) | 3GPP based control and management architecture for small cell backhaul solutions |
KR101761577B1 (ko) * | 2012-10-08 | 2017-07-26 | 한국전자통신연구원 | 세션 이동 제어 장치와 방법, 및 ims 등록 장치와 방법 |
CN103716849B (zh) * | 2012-10-09 | 2017-08-11 | 中兴通讯股份有限公司 | 一种自动切换语音电话业务的方法、装置和系统 |
US10015771B2 (en) * | 2012-10-29 | 2018-07-03 | Nokia Solutions And Networks Oy | User location when accessing a 3GPP network through a fixed network |
WO2014067040A1 (en) * | 2012-10-29 | 2014-05-08 | Intel Corporation | Method and apparatus for safe network access point detection |
KR102036579B1 (ko) * | 2012-11-09 | 2019-10-28 | 삼성전자주식회사 | 무선 통신 시스템에서 웹 서비스 제공 방법 및 장치 |
GB2527276B (en) * | 2014-04-25 | 2020-08-05 | Huawei Tech Co Ltd | Providing network credentials |
US10587326B2 (en) | 2014-05-29 | 2020-03-10 | Sony Corporation | Device for calculating a received quality of reference signal |
KR20160009276A (ko) * | 2014-07-16 | 2016-01-26 | 한국전자통신연구원 | Ims 기반의 서비스 공유를 위한 마스터 ims 단말, ims 기반의 서비스 공유를 위한 슬레이브 ims 단말, ims 기반의 서비스 공유 시스템, 및 공유 방법. |
JP6649215B2 (ja) * | 2015-12-14 | 2020-02-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
CN105933210A (zh) * | 2016-06-15 | 2016-09-07 | 成都中航信虹科技股份有限公司 | 基于软交换的融合通信系统 |
CN108307391B (zh) * | 2016-09-22 | 2020-10-09 | 大唐移动通信设备有限公司 | 一种终端接入方法和系统 |
EP3595345B1 (en) | 2017-03-20 | 2021-03-03 | Huawei Technologies Co., Ltd. | Control plane connection management method and device |
KR20220035977A (ko) * | 2017-08-11 | 2022-03-22 | 아이디에이씨 홀딩스, 인크. | 다수의 액세스 네트워크 간의 트래픽 조종 및 스위칭 |
CN110784391B (zh) * | 2019-11-01 | 2021-10-15 | 恒安嘉新(北京)科技股份公司 | 小基站与网关通信的方法、装置、存储介质及终端 |
US20230262035A1 (en) * | 2022-02-15 | 2023-08-17 | Hewlett Packard Enterprise Development Lp | Internet protocol security (ipsec) security associations (sa) balance between heterogeneous cores in multiple controller system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7215667B1 (en) * | 2001-11-30 | 2007-05-08 | Corrent Corporation | System and method for communicating IPSec tunnel packets with compressed inner headers |
CN1964522A (zh) * | 2005-10-13 | 2007-05-16 | 三菱电机株式会社 | 用于使基站能够连接到无线电信网络上的方法 |
US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
US20080244148A1 (en) * | 2007-04-02 | 2008-10-02 | Go2Call.Com, Inc. | VoIP Enabled Femtocell with a USB Transceiver Station |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7043253B2 (en) * | 2001-12-26 | 2006-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Load balancing in a mobile telecommunications network |
DE10307403B4 (de) | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
US8223637B2 (en) * | 2003-06-17 | 2012-07-17 | Avaya Inc. | Quality-of-service and call admission control |
JP2006121412A (ja) * | 2004-10-21 | 2006-05-11 | Sharp Corp | 認証システム |
JP4713881B2 (ja) | 2004-12-16 | 2011-06-29 | パナソニック電工株式会社 | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
US8353011B2 (en) * | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
US20090067417A1 (en) * | 2007-07-14 | 2009-03-12 | Tatara Systems, Inc. | Method and apparatus for supporting SIP/IMS-based femtocells |
WO2007015068A1 (en) | 2005-08-01 | 2007-02-08 | Ubiquisys Limited | Handover information sent over a public wide area network (e . g . internet) |
DE202005021930U1 (de) | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
US20070043947A1 (en) | 2005-08-19 | 2007-02-22 | Mizikovsky Semyon B | Providing multimedia system security to removable user identity modules |
WO2007040454A2 (en) * | 2005-10-04 | 2007-04-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Automatic building of neighbor lists in mobile system |
US7574207B1 (en) * | 2006-01-27 | 2009-08-11 | At&T Intellectual Property I, L.P. | Seamless wireless mobility |
US8305960B2 (en) * | 2006-05-30 | 2012-11-06 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for remote monitoring of FEMTO radio base stations |
US8316430B2 (en) * | 2006-10-06 | 2012-11-20 | Ricoh Company, Ltd. | Preventing network traffic blocking during port-based authentication |
US7746836B2 (en) * | 2006-10-16 | 2010-06-29 | Motorola, Inc. | Method and apparatus for re-registration of connections for service continuity in an agnostic access internet protocol multimedia communication system |
JP2008219150A (ja) | 2007-02-28 | 2008-09-18 | Hitachi Ltd | 移動体通信システム、ゲートウェイ装置及び移動端末 |
DE602007013701D1 (de) | 2007-04-17 | 2011-05-19 | Alcatel Lucent | Verfahren zur Verkoppelung eines Femto-Zellengeräts mit einem mobilen Kernnetzwerk |
US8504032B2 (en) * | 2008-06-12 | 2013-08-06 | At&T Intellectual Property I, L.P. | Femtocell service registration, activation, and provisioning |
CN101674566B (zh) * | 2008-09-08 | 2012-04-25 | 华为技术有限公司 | 一种无线接入设备的位置定位与验证方法、系统及归属服务器 |
CN102123494B (zh) * | 2010-01-09 | 2014-08-20 | 华为终端有限公司 | 微基站退网、撤销注册的方法、装置和系统 |
US8665768B2 (en) * | 2010-01-29 | 2014-03-04 | Qualcomm Incorporated | Femtocell one-to-many packet delivery |
EP2378802B1 (en) * | 2010-04-13 | 2013-06-05 | Alcatel Lucent | A wireless telecommunications network, and a method of authenticating a message |
US8705503B2 (en) * | 2010-11-22 | 2014-04-22 | At&T Intellectual Property I, L.P. | Apparatus and method of automatically provisioning a femtocell |
-
2009
- 2009-11-24 US US12/625,047 patent/US8886164B2/en not_active Expired - Fee Related
- 2009-11-25 KR KR1020117014785A patent/KR101315205B1/ko active IP Right Grant
- 2009-11-25 CN CN201510342237.2A patent/CN105101204B/zh not_active Expired - Fee Related
- 2009-11-25 CN CN200980147140.9A patent/CN102224748B/zh not_active Expired - Fee Related
- 2009-11-25 EP EP09775028A patent/EP2368384A2/en not_active Withdrawn
- 2009-11-25 JP JP2011538698A patent/JP5524232B2/ja active Active
- 2009-11-25 WO PCT/US2009/065972 patent/WO2010062983A2/en active Application Filing
- 2009-11-26 TW TW098140437A patent/TW201043053A/zh unknown
-
2014
- 2014-02-10 JP JP2014023404A patent/JP5826870B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7215667B1 (en) * | 2001-11-30 | 2007-05-08 | Corrent Corporation | System and method for communicating IPSec tunnel packets with compressed inner headers |
CN1964522A (zh) * | 2005-10-13 | 2007-05-16 | 三菱电机株式会社 | 用于使基站能够连接到无线电信网络上的方法 |
US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
US20080244148A1 (en) * | 2007-04-02 | 2008-10-02 | Go2Call.Com, Inc. | VoIP Enabled Femtocell with a USB Transceiver Station |
Also Published As
Publication number | Publication date |
---|---|
JP5524232B2 (ja) | 2014-06-18 |
KR101315205B1 (ko) | 2013-10-10 |
CN102224748B (zh) | 2015-06-17 |
JP2012510241A (ja) | 2012-04-26 |
KR20110091022A (ko) | 2011-08-10 |
CN105101204B (zh) | 2019-01-11 |
JP5826870B2 (ja) | 2015-12-02 |
US8886164B2 (en) | 2014-11-11 |
US20100130171A1 (en) | 2010-05-27 |
CN102224748A (zh) | 2011-10-19 |
WO2010062983A2 (en) | 2010-06-03 |
TW201043053A (en) | 2010-12-01 |
WO2010062983A3 (en) | 2010-10-21 |
JP2014132767A (ja) | 2014-07-17 |
EP2368384A2 (en) | 2011-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102224748B (zh) | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 | |
US10142294B2 (en) | Remote access to local network | |
CN102132605B (zh) | 用于从宏接入网切换到毫微微接入点的系统和方法 | |
JP5399546B2 (ja) | 符号分割多重アクセスに従って動作するフェムトセルに接続される移動体装置を認証するための方法 | |
JP5611969B2 (ja) | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス | |
US9066232B2 (en) | Femtocell access control | |
JP2012531826A (ja) | 許可csgリスト及びvplmn自律csgローミングの管理 | |
EP2378802B1 (en) | A wireless telecommunications network, and a method of authenticating a message | |
CN102843678A (zh) | 接入控制方法、装置、接口及安全网关 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190111 |
|
CF01 | Termination of patent right due to non-payment of annual fee |