JP2013516841A

JP2013516841A - 無線技術間の網間接続方法

Info

Publication number: JP2013516841A
Application number: JP2012547167A
Authority: JP
Inventors: ミジコフスキー，セムヨン，ビー．; ワン，ジビ
Original assignee: アルカテル−ルーセント
Priority date: 2009-12-31
Filing date: 2010-12-23
Publication date: 2013-05-13
Also published as: CN102771150A; JP6794206B2; US9775027B2; JP2017005759A; KR101582810B1; EP2520109B1; KR20140105606A; KR101460680B1; EP2520109A1; KR20120109593A; JP2014222940A; US20110158162A1; WO2011082096A1

Abstract

異なるアクセス技術の下で動作するアクセス・ネットワーク間の、モビリティ・キー管理の網間接続のための方法が提供される。方法は、無線ネットワークへアクセスするモバイル端末が動作のために選択したアクセス技術に基づいて、コア・ネットワーク認証サーバによって、モビリティ・キー管理を実施することにより実行される。本発明の方法は、異なるアクセス技術に基づいて、認証サーバの挙動を規定し、したがって技術網間接続問題を継目なく解決する。本発明の方法は、別の技術により指定されるコア・ネットワークと網間接続するため、各アクセス技術が変更される必要なしに、２つを超える異なるアクセス技術が共存することも容易にする。

Description

本発明は、一般にモバイル端末と無線通信ネットワークの間のセキュリティ・アソシエーションに関する。

無線通信のためのネットワークは、例えば、ＨｉｇｈＲａｔｅＰａｃｋｅｔＤａｔａ（ＨＲＰＤ）、ＬｏｎｇＴｅｒｍＥｖｏｌｕｔｉｏｎ（ＬＴＥ）およびＷｏｒｌｄｗｉｄｅＩｎｔｅｒｏｐｅｒａｂｉｌｉｔｙｆｏｒＷｉｒｅｌｅｓｓＡｃｃｅｓｓ（ＷｉＭＡＸ）タイプといった、様々な種類の無線アクセス技術（ｒａｄｉｏａｃｃｅｓｓｔｅｃｈｎｏｌｏｇｉｅｓ、ＲＡＴ）を含む。そのような多様なネットワークは、ネットワーク・ユーザおよびネットワーク事業者の両方にとって利点がある。ユーザ端末は、関連のある時間において最も好適なＲＡＴに切り替わることができる。事業者は、ネットワークの利用およびパフォーマンスを改善するように、ＲＡＴ間で負荷分散をすることができる。

ＲＡＴ間ハンドオーバは、モバイル端末が、第１の無線アクセス技術（ＬＴＥなど）を有する第１の無線アクセス・システムを使用することから、第２の無線アクセス技術（ＷｉＭＡＸなど）を有する第２の無線アクセス・システムに切り替えるプロセスである。

各ネットワーク要素がどのようにネットワーク要素とインターフェイスするのかを指定する規格が、様々な無線技術用に（規格組織を介して）発展してきており、その結果、様々なベンダにより製造されたネットワーク要素が一緒に動作することができる。各規格は、ネットワーク要素間のインターフェイスを指定する。

モバイル端末は、その発信源を任意の確度で直ちに識別することができないＲＦ信号によって、サービング・ネットワークにリンクされるので、無線通信の重要な態様は、モバイル端末の識別およびモバイル端末がネットワークの認定ユーザであることを確定するため、モバイル端末とサービング・ネットワーク間で、セキュリティ・アソシエーションを確立し維持することである。このセキュリティ・アソシエーションは、ネットワークに入るモバイル端末の初期認証の期間に、モバイル・ユーザ加入者のホーム・ネットワークが支援して作成され、通常、そのホーム・ネットワーク内の認証サーバによって、またはそのホーム・ネットワーク内の認証サーバの制御の下で実行される。典型的には、その認証サーバは、認証、認可、および課金（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ、ＡｕｔｈｏｒｉｚａｔｉｏｎａｎｄＡｃｃｏｕｎｔｉｎｇ、ＡＡＡ）サーバとして実装される。そのような認証は、一般に、参加者に既知の、または関連するネットワークとモバイル端末の実体の間でキーの暗号学的ハッシュを介して交換された、一連のセキュリティ・キーを介して実装される。

異なる無線規格は、エンド・ユーザを認証して認可するために異なるセキュリティ機構を指定し、結果として得られるセッション・キーを計算するために異なる方法論を指定するので、異なる技術間の網間接続は、事業者にとって複雑な問題となる。当技術分野では、２つの技術を用いる網間接続は、いずれか１つの技術が他の技術と整合するように変更されること、または両方の技術が別の共通規格に変更されることを必要とする。

本発明は、端末アクセス技術に基づいてＡＡＡモビリティ・キー管理を実施することにより、無線技術網間接続モビリティ・キー管理問題を解決する。本発明の方法論は、たとえ同じコア・ネットワークを共有する多数のアクセス技術が存在する場合であっても、異なるアクセス技術の端末がコア・ネットワークにより使用される機構を実装する必要なしに、アクセス技術網間接続問題を継目なく解決する。

本発明の教示は、添付の図面とともに以下の詳細な説明を検討することにより、容易に理解することができる。

本発明の方法を実装することができるシステム・アーキテクチャを示す図である。

以下の説明において、限定ではなく説明の目的で、本発明の例示的な実施形態を完全に理解することを可能にするため、特定のアーキテクチャ、インターフェイス、技法などの具体的な詳細が記載される。しかし、本発明は、これらの具体的な詳細から逸脱する他の例示的な実施形態で実施し得ることが、当業者には明らかであろう。いくつかの例において、記載の実施形態の説明を不必要な詳細で不明瞭にしないために、よく知られたデバイス、回路および方法の詳細な説明は省略される。全ての原理、態様、および実施形態ならびにその具体的な例は、その構造的な均等物ならびに機能的な均等物の両方を包含することを意図している。加えて、そのような均等物は、現在知られる均等物ならびに将来開発される均等物の両方を含むことが意図される。

本発明は、以下で、ＷｉＭＡＸネットワークとＬＴＥ発展型パケット・コア（ＥｖｏｌｖｅｄＰａｃｋｅｔＣｏｒｅ、ＥＰＣ）ネットワークの間の網間接続に関して記載される。しかし、本発明が他の無線システム技術間の網間接続に適用可能であり、以下の説明中でＷｉＭＡＸ／ＥＰＣ網間接続応用例を使用することは、単に本発明の原理を例示する目的であって、本発明の範囲を限定することを決して意図していないことが明らかであろう。

無線ネットワークは、ローミングするモバイル・ユニットが相互接続する基地局間でハンド・オフすることを可能にする規格および／またはプロトコルにしたがって動作し、その結果、モバイル・ユニットが異なる基地局によりサービスされる地理的区域（またはセル）間で動くとき、呼セッションが中断しない。ユーザの移動性をサポートする通信プロトコルの１つの例は、モバイル・インターネット・プロトコル（ＭｏｂｉｌｅＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ、ＭＩＰ）である。モバイルＩＰは、モバイル・ユニットが、固定ＩＰアドレスを保持しながら、１つのネットワークから別のネットワークに動くことを可能とする、ＩｎｔｅｒｎｅｔＥｎｇｉｎｅｅｒｉｎｇＴａｓｋＦｏｒｃｅ（ＩＥＴＦ）プロトコルである。モバイルＩＰにしたがって動作するモバイル・ユニットは、モバイル・ユニットのホーム・ネットワーク上の固定ホーム・アドレス、およびネットワークおよびネットワークのサブネット内の、モバイル・ユニットの現在の位置を識別するケアオブ・アドレスを割り当てられる。

モバイルＩＰネットワークは、モバイル・ノード（ＭＮ）、ＭＮと関連するホーム・エージェント（ＨＡ）、ＭＮのホーム・ネットワークから外にローミングしたＭＮのための外部エージェント（ＦＡ）、および認証、認可および課金（ＡＡＡ）ノードを含む。ＭＮがＭＮのホーム・ネットワークから訪問先ネットワークに移動するとき、ＭＮは、ＨＡに登録される、ＦＡからのＩＰアドレス「気付（care-of）」アドレスを取得し、その結果ＨＡは、どこにＭＮが移動したのかを知ることになる。したがって、ＨＡは、ＭＮにアドレス指定されたＩＰトラフィックをＦＡに送信し、ＭＮに供給することによって、ＭＮにアドレス指定されたＩＰトラフィックを転送することができる。安全性の理由のために、ＭＮ登録機構はモビリティ・キーによって保護される。ＭＮおよびＦＡからＨＡへの登録に使用されるキーは、登録を検証するため、ＨＡにより使用されるキーと同一でなければならず、そうでなければ登録が失敗することになる。

網間接続のための異なるネットワーク要素では、異なって計算されるキーが使用されるので、異なる規格により指定される異なる技術間の網間接続の問題が生じる。例えば、モバイルから認証が実行されるネットワークへの移動登録のため、１つのキーが使用され、別の規格により指定される公式に基づいて計算されるモビリティ・キーを、ＨＡがＡＡＡサーバから取り出す場合、登録メッセージは、ＨＡによって検証され得ない。このことが、登録が失敗する結果をもたらし、したがって網間接続は実行不可能となる。

コア・ネットワーク事業者が異なるアクセス技術をサポート可能であることが、現代の無線アーキテクチャではよくある。実際、現在の規格は、１つの事業者が、事業者自身のコア・ネットワークに、コア・ネットワークとは違う、異なるアクセス技術を組み込むことを可能にする。例えば、３ＧＰＰＥＰＣコア・ネットワーク事業者は、エンド・ユーザに、ＷｉＭＡＸを無線アクセス技術としてサポートする端末を提供することができる。ＷｉＭＡＸアクセス・ネットワークとＥＰＣコア・ネットワークの間の網間接続の場合、無線アクセス・ネットワークは、ＷｉＭＡＸフォーラムにより確立された規格およびプロトコルの下で、ＷｉＭＡＸネットワークにより実現され、一方コア・ネットワークは、３ＧＰＰ規格の下で指定された規格およびプロトコルの下で動作するＥＰＣネットワークである。異なる無線規格は、エンド・ユーザを認証して認可するために異なるセキュリティ機構を指定し、かつ結果として得られるセッション・キーを計算するために異なる方法論を指定するので、異なる技術間の網間接続は、容易には実行され得ない。

１つより多い無線アクセス技術で網間接続する単一のＡＡＡサーバについては、現在解決策がない。例えば、現在の３ＧＰＰ規格は、全ての他の技術と網間接続するために、モビリティ・ルート・キーおよびモバイルＩＰキーを生成する１つのやり方を指定するだけである。全ての他の無線アクセス技術は、３ＧＰＰＥＰＣコア・ネットワークと網間接続するために、ルート・キーおよびモバイルＩＰキー導出式を修正する必要がある。

本発明者は、多様な規格の下で動作するアクセス技術間の網間接続のための、いずれのアクセス技術もいかなる変更も必要とされない方法論を開発した。この方法論は、以下で図１に関して記載されることになる。図１は、異なるＲＡＴの下で動作する２つのアクセス・ネットワーク（ＡＮ１およびＡＮ２）によりサービスを受け、共通のＡＡＡサーバによりサービスを受ける移動局（ＭＳ）のためのアーキテクチャを示す。

下でより詳細に説明されるように、本発明の方法論の基本的な要旨は、アクセス技術網間接続モビリティ・キー管理問題が、ＭＳにより選択されるアクセス技術に基づいてＡＡＡモビリティ・キー管理を実施することにより対処されることである。したがって、コア・ネットワーク内に存在するＡＡＡサーバが、コア・ネットワークと異なる技術を有するアクセス・ネットワークからのものであるＭＳを検出するとき、ＡＡＡサーバは、ＭＳのアクセス技術のための規格に基づいて、モビリティ・ルート・キーおよびモバイルＩＰキーを生成する。したがって、同じモビリティ・キーが、移動登録メッセージ中の認証拡張部の計算および（ＨＡが、コア・ネットワーク内に存在するＡＡＡからモビリティ・キーを取り出すとき、）ＨＡによるメッセージの検証に使用される。ＭＳが動作する規格のための公式を使用してＡＡＡサーバがモビリティ・キーを計算するので、ＨＡは、首尾良くＭＳからの移動登録を検証する。

第３のアクセス技術のネットワークからの別のモバイル・ノードが同じコア・ネットワークにアクセスを試みる場合、同じコア・ネットワークＡＡＡが、異なるモビリティ・ルート・キーおよびモバイルＩＰキーを生成することが、後に続く。

ここで図１を参照して、２つの異なる技術、ＲＡＴ−タイプ１（ＡＮ１として図示される）およびＲＡＴ−タイプ２（ＡＮ２として図示される）を使用するコア・ネットワークにアクセス可能であるように、マルチモードＭＳが図示される。ＭＳは、さらに、１度に１つのアクセス技術だけを用いてネットワークにメッセージを送信することができると特徴付けされており、換言すれば、ＭＳは、デュアル・モードの単一送信機として提供される。（しかし、本発明の方法論は、デュアル・ラジオ・モバイル（ｄｕａｌ−ｒａｄｉｏｍｏｂｉｌｅ）、換言すれば、２つの送信機／受信器を備えるモバイルにも適用可能であることを理解されたい。）ＭＳがＲＡＴ−タイプ１により対象とされる１つの区域からＲＡＴ−タイプ２により対象とされる別の区域に移動するとき、ＭＳは、継続中のセッション連続性を維持するために、ハンドオーバ手順を実施する必要がある。ハンドオーバ手続は、事前登録、モビリティ・キー導出、および本発明の議論に関係がない他の手続から構成される。

ＭＳがＡＮ１（トランザクション１）を介してコア・ネットワークに登録するとき、ＡＮ１におけるネットワーク・アクセス・サーバ（図示せず）が、ＭＳ自身をＲＡＴ−タイプ１アクセス技術として識別し、ＭＳとＡＡＡサーバの両方が、ＲＡＴ−タイプ１の規格およびプロトコルにしたがってキーを計算することになる。

ハンドオーバ手続の部分として、ＭＳは、ＭＳ自身からＡＮ１へのエア・リンクおよびＡＮ１からＡＮ２へのトンネルを介して、ＡＮ２に事前登録し、ＡＮ２からコア・ネットワーク内のＡＡＡサーバにＡＡＡ認可／認証メッセージを送信する。ＭＳは、その時点で、まだエア・リンクを介してＡＮ１と動作中であるが、ＡＮ２は、ＭＳ自身がＲＡＴ−タイプ２であることをコア・ネットワークに対し明確化することになる。したがって、コア・ネットワークにおけるＡＡＡサーバは、ＲＡＴ−タイプ２の規格およびプロトコルにしたがってキーを計算することになる。

ＭＳは、ＭＳがＡＮ２を用いてどのＲＡＴ−タイプを使用することになるか知っており、したがって、ＡＮ２に対するハンドオーバのためのＭＳの事前登録は、例えば、ＡＡＡサーバに対するアクセス要求メッセージ内に含まれるＮＡＳポート・タイプ・パラメータを介してなど、ＲＡＴ−タイプ２の標識を含むことになる。

したがって、ＡＡＡサーバがＡＮ１からＡＮ２へのＭＳハンドオーバに関するアクセス要求を検出すると、ＡＡＡサーバは、ＭＳが次にＲＡＴ−タイプ２で動作することになると知り、ＲＡＴ−タイプ２規格に基づいてモビリティ・ルート・キーおよびモバイルＩＰキーを生成することになる。したがって、同じモビリティ・キーが、移動登録メッセージ中の認証拡張部の計算および（ＨＡが、ＡＡＡからモビリティ・キーを取り出すとき、）ＨＡによるメッセージの検証に使用される。

ＷｉＭＡＸと３ＧＰＰＥＰＣの網間接続に対する本発明の方法論の例示的な応用例において、無線アクセス・ネットワークはＷｉＭＡＸであり、コア・ネットワークは、３ＧＰＰＥＰＣネットワークである。ＥＰＣコア・ネットワーク内に存在するＡＡＡサーバが、ＷｉＭＡＸアクセス・ネットワークからのものであるモバイルを検出するとき、ＡＡＡサーバは、ＷｉＭＡＸの規格およびプロトコルにしたがって、モビリティ・ルート・キーおよびモバイルＩＰキーを生成することになる。したがって、ＭＳは、変更することなく、ＷｉＭＡＸアクセス・ネットワーク（ＡＳＮ）から、３ＧＰＰＥＰＣコア・ネットワークおよびコア・ネットワーク・サービスにアクセスすることができる。別法として、同じＥＰＣコア・ネットワークおよびＡＡＡサーバが、他のアクセス技術を用いてＭＳにサービスすることができ、ＡＡＡサーバが、他のアクセス技術を使用してＭＳのために異なるモビリティ・ルート・キーおよびモバイルＩＰキーを生成することになる。

本発明の方法論を用いて、異なるアクセス・ネットワークからの多数のユーザが、同一のコア・ネットワーク、およびＬＢＳ、ＩＭＳ、ユニファイド・メッセージングなどのコア・ネットワーク内の全てのサービスを共有することができる。本発明の手法は、ＭＳが動作するアクセス技術用に指定されたセキュリティ・キー機構をＭＳが変える必要なしに、２つを超える異なるアクセス技術が共存することを可能にする。ＡＡＡサーバは、単に、ＡＡＡサーバがＭＳのアクセス技術規格と同じアクセス技術規格により指定されたかのように挙動する。換言すれば、コア・ネットワーク内のＡＡＡサーバはＭＳのアクセス技術を模し、ＭＳは、様々なアクセス技術の下で動作することができる。

本明細書において、本発明者は、ローミングするモバイル端末の認証を維持するための方法を開示しており、モバイル端末は、コア・ネットワークと異なるアクセス技術の下で動作することができる。上記の説明に鑑みて、本発明の多数の修正形態および代替実施形態が、当業者には明らかであろう。

したがって、この説明は、単に例示として解釈されるべきであり、本発明を実行する最良の形態を当業者に教示する目的のためのものであって、本発明の全ての実行可能な形態を例示することを意図していない。使用される用語は、限定ではなく説明のための用語であり、構造の詳細は本発明の精神から実質的に逸脱することなく変更され得ること、添付の特許請求の範囲に入る全ての修正形態の排他的な使用が留保されることも理解される。

Claims

認証サーバにおいて、無線ネットワークへのアクセスを求めるモバイル・ユニットが動作するアクセス技術を検出するステップと、
前記モバイル・ユニットによる前記ネットワークへのアクセスのために、前記モバイル・ユニットが動作する前記アクセス技術の規則にしたがってセキュリティ・キーを計算するステップと
を含む無線通信のための方法。
前記セキュリティ・キーが前記認証サーバにより生成されるモビリティ・ルート・キーを含む、請求項１に記載の方法。
前記アクセス技術が３ＧＰＰ規格およびＷｉＭＡＸ規格に準拠して確立されるアクセス技術を含む、請求項１に記載の方法。
前記認証サーバがコア・ネットワーク内に配置される認証、認可および課金（ＡＡＡ）サーバである、請求項１に記載の方法。
第１の無線アクセス技術を適用する第１のカバレージ・エリアから第２の無線アクセス技術を適用する第２のカバレージ・エリアに移動するモバイル・ノードのハンドオーバを提供するための無線通信システムの方法であって、前記モバイル・ノードが、前記第１の無線アクセス技術の規格に準拠して、前記第１のカバレージ・エリアに関連するネットワークと認証済み登録を最初に確立しており、
認証サーバにおいて、前記モバイル・ノードから前記第２のカバレージ・エリアへのアクセスのための登録を要求するメッセージを受信するステップであって、前記メッセージが、前記第２のカバレージ・エリアに適用される前記第２の無線アクセス技術を識別するステップと、
前記認証サーバにおいて、前記第２の無線アクセス技術用に確立された規格にしたがって、前記要求されたアクセス登録のために認証キーを生成するステップと、
前記生成された認証キーを前記モバイル・ノードに送信するステップと
を含む方法。
前記第２のカバレージ・エリアにアクセスを要求する前記モバイル・ノードからの前記メッセージが、前記第１のカバレージ・エリアをサービスするアクセス・ノードを介し、したがって前記第１のカバレージ・エリアをサービスする前記アクセス・ノードと前記第２のカバレージ・エリアをサービスする第２のアクセス・ノードの間の接続を介して送信される、請求項５に記載の方法。
前記第２のアクセス・ノードと前記認証サーバの間の接続をさらに含む、請求項６に記載の方法。
前記第１の無線アクセス技術が３ＧＰＰ規格に準拠して確立される、請求項５に記載の方法。
前記第１のカバレージ・エリア内のサービスが発展型パケット・コア規格に準拠して提供される、請求項８に記載の方法。
前記第２の無線アクセス技術がＷｉＭＡＸ規格に準拠して確立される、請求項５に記載の方法。
前記認証サーバが認証、認可および課金（ＡＡＡ）サーバである、請求項５に記載の方法。