JP2013528986A - 無線通信ネットワーク、およびメッセージを認証する方法 - Google Patents
無線通信ネットワーク、およびメッセージを認証する方法 Download PDFInfo
- Publication number
- JP2013528986A JP2013528986A JP2013504144A JP2013504144A JP2013528986A JP 2013528986 A JP2013528986 A JP 2013528986A JP 2013504144 A JP2013504144 A JP 2013504144A JP 2013504144 A JP2013504144 A JP 2013504144A JP 2013528986 A JP2013528986 A JP 2013528986A
- Authority
- JP
- Japan
- Prior art keywords
- address
- source
- base station
- femtocell base
- femto
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
セキュリティ・ゲートウェイとフェムト・ゲートウェイとを含む無線通信ネットワーク内のフェムトセル基地局からのメッセージを認証する方法が提供される。この方法は、フェムトセル基地局からのメッセージ内の送信元IPアドレスがそのフェムトセル基地局から予測される送信元IPアドレスと一致することをセキュリティ・ゲートウェイによって確かめるステップと、メッセージ内の送信元IPアドレスがフェムトセル基地局から予測される送信元IPアドレスと一致することを、フェムトセル基地局の識別子を送信元IPアドレス・データに関連させるデータベースを調べることによって、フェムト・ゲートウェイによって確かめるステップとを含む。
Description
本発明は遠隔通信に関し、より具体的には無線通信に関する。
無線通信システムはよく知られている。多くのこのようなシステムは、セルとして知られるひとかたまりの無線カバレッジ・エリアによって無線カバレッジが提供されるという点で、セルラである。無線カバレッジを提供する基地局が各セルに配置されている。従来の基地局は比較的広い地理的エリアでカバレッジを提供し、それに対応するセルはマクロセルと呼ばれることが多い。
マクロセル内により小さいサイズの複数のセルを確立することが可能である。マクロセルよりも小さなセルはスモール・セル、ミクロセル、ピコセル、またはフェムトセルと称されることがあるが、本発明者らはマクロセルよりも小さなセルの総称としてフェムトセルという用語を使用する。フェムトセルを確立する一つの方法は、マクロセルのカバレッジ・エリア内に比較的限られた範囲内で動作するフェムトセル基地局を設置することである。フェムトセル基地局の使用例としては、ビル内に無線通信カバレッジを提供することが挙げられる。フェムトセル基地局はフェムトと称されることがある。
フェムトセル基地局の送信能力は比較的低く、したがって、各フェムトセルのカバレッジ・エリアはマクロセルと比較して小さい。通常のカバレッジ範囲は数十メートルである。フェムトセル基地局は自動構成機能および自己最適化機能を有しており、非最適化デプロイメント、すなわち、所有者によるプラグアンドプレイ・デプロイメントを可能にし、自動的にそれら自体を既存のマクロセル・ネットワーク内に統合する。
フェムトセル基地局は、主として特定の自宅または職場に所属するユーザを対象とするものである。フェムトセル基地局は、プライベート・アクセス(「クローズド」)であってもパブリック・アクセス(「オープン」)であってもよい。プライベート・アクセスのフェムトセル基地局では、家族や特定グループの従業員といった登録されたユーザのみにアクセスが制限される。パブリック・アクセスのフェムトセル基地局では、他のユーザもフェムトセル基地局を使用することができ、登録されたユーザが受けるサービス品質を保護するために一定の制限が課せられる。
1つの既知のタイプのフェムトセル基地局は、「バックホール」、すなわちコア・ネットワークに対する接続としてブロードバンド・インターネット・プロトコル接続を使用する。1つのタイプのブロードバンド・インターネット・プロトコル接続は、デジタル加入者回線(DSL)である。DSLは、フェムトセル基地局のDSL送受信装置(「トランシーバ」)をコア・ネットワークに接続する。DSLは、フェムトセル基地局によって提供される音声通話および他のサービスのサポートを可能にする。フェムトセル基地局はまた、無線通信用のアンテナに接続された無線周波数(RF)トランシーバも含む。
マクロセル・ネットワークに統合するために、フェムトセル基地局は、(第2世代/2.5世代(2.5G)/第3世代)マクロセル・ネットワーク内で様々なネットワーク・エレメントとシグナリング・メッセージを交換する必要がある。このシグナリングは関連する第3世代パートナーシップ・プロジェクト(3GPP)規格に準拠しており、フェムトセルは1つまたは複数の3GPP準拠ノードとして現れる。これを達成するためには、フェムトセル基地局が複数のクラスタにグループ化され、各クラスタは、フェムト・ゲートウェイとして知られるゲートウェイを介してマクロセル・ネットワークに接続される。
フェムト・ゲートウェイは、マクロセル・ネットワーク内のコア・ネットワーク・エレメントとフェムトセル・クラスタの間のシグナリングを終端し、それによってフェムトセルのクラスタ全体が、3GPP規格で要求されるような単一の仮想無線ネットワーク制御装置(RNC)として現れることを可能にする。
フェムト・ゲートウェイは、クラスタ内の数千ものフェムトセルをサポートすることができる。各フェムトセル基地局は、ユーザによる関与がほとんどないかまたはまったくなしにフェムト・ゲートウェイに接続し、フェムト・ゲートウェイに登録する。フェムトセル基地局はフェムトと称されることがある。各フェムトは、それ自体が弱体化することはあったとしても、他のフェムトの動作に干渉を与えないということが基本的原則である。したがって、フェムトからの登録メッセージが正当なものであると証明される必要がある。
図1(従来技術)に示すように、1つの既知のアプローチでは、フェムト3とフェムト・ゲートウェイ5の間にセキュリティ・ゲートウェイ1が設けられる。フェムト3はそれ自体をセキュリティ・ゲートウェイ1に対して認証し、セキュリティ・ゲートウェイ1に対する安全なインターネット・プロトコル・トンネルを確立する。この認証はフェムトの信用を確立するには十分である。
添付の独立クレームを参照されたい。いくつかの好ましい特徴が従属クレームで説明され
る。
る。
本発明の一例は、セキュリティ・ゲートウェイとフェムト・ゲートウェイとを含む無線通信ネットワーク内のフェムトセル基地局からのメッセージを認証する方法であり、この方法は、
フェムトセル基地局からのメッセージ内の送信元IPアドレスがそのフェムトセル基地局から予測される送信元IPアドレスと一致することをセキュリティ・ゲートウェイにおいて確かめるステップと、
メッセージ内の送信元IPアドレスがそのフェムトセル基地局から予測される送信元IPアドレスと一致することを、フェムトセル基地局の識別子を送信元IPアドレス・データに関連させるデータベースを調べることによって、フェムト・ゲートウェイにおいてさらに確かめるステップとを含む。
フェムトセル基地局からのメッセージ内の送信元IPアドレスがそのフェムトセル基地局から予測される送信元IPアドレスと一致することをセキュリティ・ゲートウェイにおいて確かめるステップと、
メッセージ内の送信元IPアドレスがそのフェムトセル基地局から予測される送信元IPアドレスと一致することを、フェムトセル基地局の識別子を送信元IPアドレス・データに関連させるデータベースを調べることによって、フェムト・ゲートウェイにおいてさらに確かめるステップとを含む。
いくつかの好ましい実施形態は、フェムトセル基地局が認証されたことを確認する方法を提供する。規格に準拠したセキュリティ・ゲートウェイは、IPセキュリティ・トンネルを介して受信したパケットの送信元IPアドレスが、フェムトセル基地局に割り振られたアドレスまたはアドレス範囲と一致することを証明する。さらに、この送信元IPアドレスは登録メッセージの一部としてフェムト・ゲートウェイに送信され、その結果、フェムト・ゲートウェイは、この送信元IPアドレスにフェムトIDを関連付けることができ、したがって、メッセージの正当性を証明することができる。
好ましい実施形態では、送信元IPアドレス・データは、仮想専用網(VPN)IPアドレスまたはVPN IPアドレス範囲でありうる送信元IPアドレスまたは送信元IPアドレス範囲であり、トンネルが確立した時点で割り振られ、トンネルの存続期間中は変更されない。
好ましい実施形態では、フェムトセル基地局の識別子と送信元IPアドレスまたは送信元IPアドレス範囲の間の記憶されたマッピングを取り出すために、フェムト・ゲートウェイまたは、フェムト・ゲートウェイの照会先となりうる別のネットワーク・エレメントによってIPアドレスまたはIPアドレス範囲が割り振られる。その後、フェムト・ゲートウェイが送信元IPアドレスを含む登録要求メッセージを受信した際に、フェムト・ゲートウェイは、記憶されたマッピングを使用して、そのメッセージが確実に送信側フェムトセル基地局からのものであると判定する。
本発明は、ユニバーサル移動通信システム(UMTS)のフェムトを有するネットワーク、およびフェムト・ゲートウェイとは別個のセキュリティ・ゲートウェイを利用するフェムトを必要とする他のネットワークに関連して使用されうる。
好ましい実施形態は、弱体化したフェムトがネットワークへのアクセスを得ることを防ぎ、セキュリティ・ゲートウェイとフェムト・ゲートウェイの機能の分離をサポートする点で有利である。
次に、本発明の実施形態を、例としておよび図面を参照して説明する。
図1に示す既知のアプローチ(従来技術)では、暗号化または認証情報はセキュリティ・ゲートウェイ1によって除去されるので、セキュリティ・ゲートウェイ1の後方にあるネットワーク・エレメント、例えばフェムト・ゲートウェイ5などに向けられたフェムト3からのトラフィックは暗号化または認証情報を含んでいないことを本発明者らは理解した。その結果、最初、その正確なIDによってセキュリティ・ゲートウェイに対して認証された弱体化したフェムトは、その後、異なるIDを使用してフェムト・ゲートウェイ5に接続し、登録することができる。セキュリティ・ゲートウェイはペイロード情報を検証しないので、セキュリティ・ゲートウェイ1はこの登録メッセージを無効なものとして検出することはない。このようにして登録メッセージを捏造することは、例えばフェムトがオープン・アクセスになるように、その結果、複数の第三者のユーザ端末がそのフェムトセルを介して発呼できるようにフェムト構成を変更することによって、フェムトの所有者にセキュリティを危険に晒させる可能性を与える。このことは、この場合、フェムトを介して発呼された、著名人の通話を含むそれらの通話を所有者に盗聴させることになり、プライバシーを危険に晒すことになる。
本発明者は、(従来技術でも、本発明の一実施形態でもない)代替案が、セキュリティ・ゲートウェイとフェムト・ゲートウェイを1つの装置に結合することであることを理解した。これは、図2(代替案)に示されている通り、現行の3GPPユニバーサル移動通信システム(UMTS)規格Release 9によって許可されたソリューションである。これは、装置内のフェムト・ゲートウェイ機能が、装置におけるセキュリティ・ゲートウェイ認証機能を利用して登録メッセージの送信元を検証することを可能とする。しかしながら、そのように結合することは必ずしも常に実用的であるとは限らないことを本発明者らは理解した。例えば、フェムト・ゲートウェイは、通常、フェムト製造業者によってネットワーク運営事業者に供給され、一方、セキュリティ・ゲートウェイは、通常、フェムト技術の専門家ではない限られた組のベンダから購入される。
したがって、セキュリティの懸念に対処すべく、セキュリティ・ゲートウェイによる認証成功後、インターネット・プロトコル送信元アドレスがセキュリティ・ゲートウェイからフェムト・ゲートウェイに送信され、フェムト・ゲートウェイにおいて、そのインターネット・プロトコル送信元アドレスとフェムト・ゲートウェイによってフェムトに最初に割り当てられたものとが照合されるためには、それらゲートウェイの分離が好ましいことを本発明者らは理解した。
次に、本発明者らは、フェムトセル基地局を含むネットワークを説明し、次いでフェムト承認プロセスでさらに詳細に検討する。
ネットワーク
図1および図2に示すように、無線通信用のネットワーク10は、2つのタイプの基地局、すなわちマクロセル基地局とフェムトセル基地局(後者は「フェムト」と呼ばれることがある)とを含んでおり、その無線通信用のネットワーク10の中をユーザ端末34はローミングすることができる。1つのマクロセル基地局22が、簡略化して図3および図4に示されている。各マクロセル基地局は、マクロセルと称されることの多い無線カバレッジ・エリア24を有する。マクロセル24の地理的な広がりは、マクロセル基地局22の機能と囲繞する地形とによって異なる。
図1および図2に示すように、無線通信用のネットワーク10は、2つのタイプの基地局、すなわちマクロセル基地局とフェムトセル基地局(後者は「フェムト」と呼ばれることがある)とを含んでおり、その無線通信用のネットワーク10の中をユーザ端末34はローミングすることができる。1つのマクロセル基地局22が、簡略化して図3および図4に示されている。各マクロセル基地局は、マクロセルと称されることの多い無線カバレッジ・エリア24を有する。マクロセル24の地理的な広がりは、マクロセル基地局22の機能と囲繞する地形とによって異なる。
マクロセル24内では、各フェムトセル基地局30がそれぞれに対応する1つのフェムトセル32内で無線通信を提供する。フェムトセルは無線カバレッジ・エリアである。フェムトセル32の無線カバレッジ・エリアは、マクロセル24の無線カバレッジ・エリアよりもかなり狭い。例えば、フェムトセル32は、サイズではユーザの職場または自宅に対応する。
図3に示すように、ネットワーク10は無線ネットワーク制御装置RNC170によって管理される。無線ネットワーク制御装置RNC170は、例えばバックホール通信リンク160を介してマクロセル基地局22と通信することによって動作を制御する。無線ネットワーク制御装置170は、複数の基地局のサポートを受ける複数のセル間の地理的な関係に関する情報を含む周辺リストを維持管理する。さらに、無線ネットワーク制御装置170は、無線通信システム10内のユーザ機器の位置に関する情報を提供する位置情報を維持管理する。無線ネットワーク制御装置170は、回線交換網とパケット交換網とを介してトラフィックをルーティングするように動作可能である。回線交換トラフィックには、無線ネットワーク制御装置170と通信することのできる移動スイッチング・センター250が設けられる。移動スイッチング・センター250は、公衆交換電話網(PSTN)210などの回線交換網と通信する。パケット交換トラフィックの場合、ネットワーク制御装置170は、サービング汎用パケット無線サービス・サポート・ノード(SGSN:serving general packet radio service support nodes)220およびゲートウェイ汎用パケット無線サービス・サポート・ノード(GGSN:gateway general packet radio service support node)180と通信する。次いで、GGSNは、例えばインターネット190などのパケット・スイッチ・コア190と通信する。
MSC250、SGSN220、GGSN180、および運営事業者のIPネットワーク215は、いわゆるコア・ネットワーク253を構成する。SGSN220とGGSN180とは、運営事業者のIPネットワーク215によってフェムトセル制御装置/ゲートウェイ230に接続される。
フェムトセル制御装置/ゲートウェイ230は、セキュリティ・ゲートウェイ231およびインターネット190を介してフェムトセル基地局32に接続される。セキュリティ・ゲートウェイ231に対するこれらの接続は、ブロードバンド・インターネット・プロトコル接続(「バックホール」)の接続である。
運営事業者のIPネットワーク215はまた、インターネット・プロトコル・マルチメディア・システム(IMS)のコア・ネットワーク217にも接続されている。
図4には、3つのフェムトセル基地局30および対応するフェムトセル32が簡略化して示されている。
マクロセル24内の移動端末34が既知の方法でマクロセル基地局22と通信することが可能である。フェムトセル基地局30内で通信するために移動端末34が登録されているフェムトセル32にその移動端末が入る際、その移動端末との接続をマクロセルからフェムトセルにハンドオーバーすることが望ましい。図4に示す例では、移動端末34のユーザは、フェムトセル32のうちの最も近いフェムトセル32’の好ましいユーザである。
図4に示すように、フェムトセル基地局30は、ブロードバンド・インターネット・プロトコル接続(「バックホール」)36を介してコア・ネットワーク(図4には示されていない)に、すなわち、遠隔通信「世界」の残りの部分(図4には示されていない)に接続される。「バックホール」接続36は、コア・ネットワーク(図示せず)を介したフェムトセル基地局30間の通信を可能にする。マクロセル基地局はまた、コア・ネットワーク(図4には示されていない)にも接続されている。
上述したように、フェムトセル基地局の送信能力は比較的低く、したがって、各フェムトセルのカバレッジ・エリアはマクロセルと比較して小さい。通常のカバレッジ範囲は数十メートルである。フェムトセル基地局は自動構成機能および自己最適化機能を有しており、所有者による非最適化デプロイメント、すなわち、プラグアンドプレイ・デプロイメントを可能にし、自動的にそれら自体を既存のマクロセル・ネットワーク内に統合する。
上述したように、マクロセル・ネットワークに統合するために、フェムトセル基地局は、(第2世代/2.5世代(2.5G)/第3世代)マクロセル・ネットワーク内の様々なネットワーク・エレメントとシグナリング・メッセージを交換する必要がある。このシグナリングは第3世代パートナーシップ・プロジェクト(3GPP)規格(Release 8)に準拠しており、フェムトセルは1つまたは複数の3GPP準拠ノードとして現れる。具体的に、これを達成するためには、フェムトセル基地局が複数のクラスタにグループ化され、各クラスタは、フェムト・ゲートウェイとして知られるゲートウェイを介してマクロセル・ネットワークに接続される。フェムト・ゲートウェイは、マクロセル・ネットワーク内のコア・ネットワーク・エレメントとフェムトセル・クラスタの間のシグナリングを終端し、それによってフェムトセルのクラスタ全体が、3GPP規格(Release 8)に準拠して単一の仮想無線ネットワーク制御装置(RNC)として現れることを可能にする。
セキュリティ・ゲートウェイおよびフェムト・ゲートウェイ
図5に示すように、フェムト30は、フェムト・ゲートウェイ230に接続されたセキュリティ・ゲートウェイ231に接続される。セキュリティ・ゲートウェイとフェムト・ゲートウェイは別体である。
図5に示すように、フェムト30は、フェムト・ゲートウェイ230に接続されたセキュリティ・ゲートウェイ231に接続される。セキュリティ・ゲートウェイとフェムト・ゲートウェイは別体である。
セキュリティ・ゲートウェイ231は、データベース40、構成コントローラ42、およびオーセンティケータ44を含む。データベース40は、フェムトセル基地局の識別子(フェムトID)を送信元IPアドレスと、さらに暗号化キーに関連付ける。
フェムト・ゲートウェイ230は、オーセンティケータ45、フェムト登録ステージ46、フェムトIDをフェムトの送信元IPアドレスに関連付けるデータベース48、および独自のIPアドレスとしてフェムトが使用するようにIPアドレスをフェムトに割り振るIPアドレス・アロケータ50を含む。
使用中に、セキュリティ・ゲートウェイ231は、フェムト・ゲートウェイ230に対するIPトンネルのセットアップを試みるすべてのフェムトのフェムト・ゲートウェイによる二次承認を要求する。
動作を以下でさらに詳細に説明する。
フェムト承認プロセス
図6に示すように、このユニバーサル移動通信システム(UMTS)ベースの例では、フェムト30は、フェムト識別子(フェムトID)と認証情報とを含む承認要求を送信する(ステップa)。セキュリティ・ゲートウェイは、そのフェムトIDが、受信したメッセージの送信元となるフェムトのフェムトIDであることを確かめることによって一次承認を実行する(ステップa1)。送信元フェムトのフェムトIDである場合、セキュリティ・ゲートウェイは、承認されたフェムトIDを含む対応するアクセス要求をフェムト・ゲートウェイに送信する(ステップc)。次いでフェムト・ゲートウェイはフェムトの承認も行い、フェムトIDをフェムト・ゲートウェイのデータベース48に記憶し、そのフェムトにIPアドレスを割り振る(ステップc)。このIPアドレスは、フェムトIDにマッピングされたデータベース48に記憶される。
図6に示すように、このユニバーサル移動通信システム(UMTS)ベースの例では、フェムト30は、フェムト識別子(フェムトID)と認証情報とを含む承認要求を送信する(ステップa)。セキュリティ・ゲートウェイは、そのフェムトIDが、受信したメッセージの送信元となるフェムトのフェムトIDであることを確かめることによって一次承認を実行する(ステップa1)。送信元フェムトのフェムトIDである場合、セキュリティ・ゲートウェイは、承認されたフェムトIDを含む対応するアクセス要求をフェムト・ゲートウェイに送信する(ステップc)。次いでフェムト・ゲートウェイはフェムトの承認も行い、フェムトIDをフェムト・ゲートウェイのデータベース48に記憶し、そのフェムトにIPアドレスを割り振る(ステップc)。このIPアドレスは、フェムトIDにマッピングされたデータベース48に記憶される。
次いで、フェムト・ゲートウェイは、このIPアドレスを含むアクセス受諾メッセージをセキュリティ・ゲートウェイに返す(ステップd)。次いで、セキュリティ・ゲートウェイの構成コントローラ42は、承認応答メッセージによってIPアドレスをフェムトに渡す(ステップe)。次いで、フェムト30とセキュリティ・ゲートウェイの間にセキュリティ・トンネルがセットアップされる(ステップf)。
次いで、フェムトは、このIPアドレスを含むメッセージを、トンネルを介してセキュリティ・ゲートウェイに送信する(ステップg)。
セキュリティ・ゲートウェイは、そのIPアドレスに割り振られていることをセキュリティ・ゲートウェイが認識している暗号化キーを使用してメッセージを復号および認証し、そのメッセージに含まれるIPアドレスがフェムトIDと一致することを確かめる(ステップh)。これは、偽造された送信元IPアドレスをフェムトが使用することを防止する。
この認証が成功したとすると、セキュリティ・ゲートウェイは、送信元IPアドレスと登録要求とを含む復号したメッセージをフェムト・ゲートウェイに送信する(ステップi)。
メッセージを受信した際、フェムト・ゲートウェイ230のオーセンティケータ45は、メッセージの登録要求部分の中に示された送信元IPアドレスとフェムトIDとを確認する。受信した送信元IPアドレスが、そのフェムトIDに割り振られているようにフェムト・ゲートウェイのデータベース48に記憶されている送信元IPアドレスに相当する場合、そのIDは本物であるとみなされて、フェムト・ゲートウェイのフェムト登録ステージ46はそのフェムトを登録する。
本実施形態では、記憶された(ステップc)フェムト識別子と受信した(ステップi)フェムト識別子との間の関連付けが確立され、その結果、自動的にそのフェムトからの後続のメッセージは承認済みとみなされる。いくつかの他の実施形態では、そのような承認が代わりに後続の各メッセージに対して実行される(オン・ザ・フライ)。
別の一実施例
図7に示すように、第2の実施例では、フェムト30’が、フェムト・ゲートウェイ230’に接続されたセキュリティ・ゲートウェイ231’に接続される。
図7に示すように、第2の実施例では、フェムト30’が、フェムト・ゲートウェイ230’に接続されたセキュリティ・ゲートウェイ231’に接続される。
セキュリティ・ゲートウェイ231’は、データベース40’、構成コントローラ42’、およびオーセンティケータ44’を含む。データベース40’は、フェムトセル基地局の識別子(フェムトID)を送信元IPアドレスと、さらに暗号化キーに関連付ける。
フェムト・ゲートウェイ230’は、フェムト登録ステージ46’とデータベース照会プロセッサ72とを含む。
セキュリティ・ゲートウェイ231’とフェムト・ゲートウェイ230’とは、直接的に、またデータベース48’とIPアドレス・アロケータ50’とを含む動的ホスト設定プロトコル(DHCP)サーバ70をも介して相互接続されている。データベース48’は、フェムトIDをフェムトの送信元IPアドレスに関連付ける。IPアドレス・アロケータ50’は、独自のIPアドレスとしてフェムトが使用するようにIPアドレスをフェムトに割り振る。
使用中に、セキュリティ・ゲートウェイは、フェムト・ゲートウェイに対するIPトンネルのセットアップを試みるすべてのフェムトのフェムト・ゲートウェイによる二次承認を要求する。フェムト・ゲートウェイ230’は、これを実施するためにDHCPサーバ70に照会する。動作を以下でさらに詳細に説明する。
図8に示すように、同様にユニバーサル移動通信システム(UMTS)ベースの例である第2の実施例では、セキュリティ・ゲートウェイは、IPアドレスを独立したサーバから、すなわち本例では動的ホスト設定プロトコル(DHCP)サーバ70から取り出すように構成されている。
図8に示すように、フェムト30’は、セキュリティ・トンネル確立の第1ステップとして、フェムト識別子(フェムトID)と認証情報とを含む承認要求をセキュリティ・ゲートウェイに送信する(ステップa’)。セキュリティ・ゲートウェイ231’は、この要求を受信し、そのフェムトIDが、受信したメッセージの送信元となるフェムトのフェムトIDであることを確かめる(ステップb’)ことによって一次承認を実行する。送信元フェムトのフェムトIDである場合、フェムトのIPアドレスを要求するために、セキュリティ・ゲートウェイは、承認されたフェムトIDを含む対応するアクセス要求をDHCPサーバ70に送信する(ステップc’)。この要求は、認証されたフェムトIDをDHCPクライアント・ハードウェア・アドレス(chaddr)として含む。
次いでDHCPサーバは、フェムトIDをデータベース48に記憶し、そのフェムトにIPアドレスを割り振る(ステップd’)。このIPアドレスは、フェムトIDであるクライアント・ハードウェア・アドレスにマッピングされたデータベース48’に記憶される。
次いでDHCPサーバは、このIPアドレスを含めたアクセス受諾メッセージをセキュリティ・ゲートウェイに返す(ステップe’)。次いで、セキュリティ・ゲートウェイの構成コントローラ42’は、承認応答メッセージによってIPアドレスをフェムト30’に渡す(ステップf’)。次いで、フェムト30’とセキュリティ・ゲートウェイ231’の間にセキュリティ・トンネルがセットアップされる(ステップg’)。
次いでトンネルの確立に引き続き、フェムトは、このIPアドレスを含むメッセージを、トンネルを介してセキュリティ・ゲートウェイに送信する(ステップh’)。
セキュリティ・ゲートウェイは、そのIPアドレスに割り振られていることをセキュリティ・ゲートウェイが認識している暗号化キーを使用してメッセージを復号および認証し、そのメッセージに含まれるIPアドレスがフェムトIDと一致することを確かめる(ステップi’)。これは、偽造された送信元IPアドレスをフェムトが使用できるようになることを防止する。
この認証が成功したとすると、セキュリティ・ゲートウェイは、送信元IPアドレスと、フェムトIDを含む登録要求とを含む復号したメッセージをフェムト・ゲートウェイに送信する(ステップj’)。
メッセージを受信した際、フェムト・ゲートウェイのデータベース照会プロセッサ72は、このフェムトID識別に割り振られたIPアドレスを問い合わせる要求を動的ホスト設定プロトコル(DHCP)サーバに送信する(ステップk’)。DHCPサーバは、それ自体の内部データベース48’から対応するIPアドレスを取り出し(ステップi’)、割り振られたIPアドレスによってフェムト・ゲートウェイに応答する(ステップm’)。フェムト・ゲートウェイ230’のオーセンティケータ45’は、DHCPサーバから受信したIPアドレスがメッセージの登録要求部分を含んでいるパケットの送信元IPアドレスと一致することを確かめる。一致する場合、そのIDは本物であるとみなされて、フェムト・ゲートウェイのフェムト登録ステージ46’はそのフェムトを登録する。
いくつかの変形形態
図5から図8に関して説明したいくつかの実施例では、様々なメッセージでのフェムトの識別子は同一である。しかしながら、それら識別子は同一である必要はない。いくつかの実施形態では、1つのIDフォーマットを別のIDフォーマットに変換する信頼できるメカニズムが、例えばフェムト・ゲートウェイ内にあるだけで十分である。例えば、図5および図6を参照して説明した例では、フェムト・ゲートウェイに対する両方のメッセージ(上記のステップbおよびiを参照)内で使用されたフェムトのID、すなわちフェムトIDは同じである。他のいくつかの実施形態では、それら識別子は異なるが、その場合、フェムト・ゲートウェイは、フェムトの2つの異なってはいるが有効な識別子の間のマッピングを認識しているので、それらが相関していることを確かめることができる。例えば、2つの異なる識別子は、インターネット鍵交換バージョン2(IKEv2)およびHome NodeB Application Part (HNBAP)といった異なるフォーマットであってよい。
図5から図8に関して説明したいくつかの実施例では、様々なメッセージでのフェムトの識別子は同一である。しかしながら、それら識別子は同一である必要はない。いくつかの実施形態では、1つのIDフォーマットを別のIDフォーマットに変換する信頼できるメカニズムが、例えばフェムト・ゲートウェイ内にあるだけで十分である。例えば、図5および図6を参照して説明した例では、フェムト・ゲートウェイに対する両方のメッセージ(上記のステップbおよびiを参照)内で使用されたフェムトのID、すなわちフェムトIDは同じである。他のいくつかの実施形態では、それら識別子は異なるが、その場合、フェムト・ゲートウェイは、フェムトの2つの異なってはいるが有効な識別子の間のマッピングを認識しているので、それらが相関していることを確かめることができる。例えば、2つの異なる識別子は、インターネット鍵交換バージョン2(IKEv2)およびHome NodeB Application Part (HNBAP)といった異なるフォーマットであってよい。
図7および図8に関して説明した実施形態の一変形形態でも、DHCPサーバは、例えば複数のIPトンネルを確立する際に同じフェムトに複数のIPアドレスを割り振っている。この場合、割り振られた複数のアドレスのうちのいずれか1つが、登録要求を含んだパケットの送信元IPアドレスと一致するだけで十分である。
さらなるいくつかの実施形態では、DHCPサーバを使用することで、複数の装置(サーバ、ゲートウェイ、アプリケーション・デバイスなど)はフェムトからの登録メッセージを認証することが可能になる。例えば、フェムトがプレゼンス・サーバにも登録する場合、そのプレゼンス・サーバはまた、類似のメッセージ交換を使用して、関連付けられたIPアドレスをDHCPサーバから要求することができる。
本発明は、その本質的特性から逸脱せずに他の特定の形態で具体化することができる。上記の実施形態は、すべての点において限定を目的としたものではなく説明を目的としたものとみなされるべきである。したがって、本発明の範囲は、上記の説明によってではなく添付の特許請求の範囲によって示される。特許請求の範囲と均等の意味および範囲内でなされるすべての変更は、それらの範囲内に包含されるべきである。
当業者には、上述の様々な方法におけるステップは、プログラムされたコンピュータによって実行可能であることが容易に理解されよう。一部の実施形態は、機械可読またはコンピュータ可読であり、かつ命令の機械実行可能またはコンピュータ実行可能なプログラムを符号化する、デジタル・データ記憶媒体などのプログラム記憶装置に関連する(上記命令は、上述した方法の一部またはすべてのステップを実行する)。これらのプログラム記憶装置は、例えば、デジタル・メモリ、磁気ディスクや磁気テープといった磁気記憶媒体、ハード・ドライブ、または光学的に読み出し可能なデジタル・データ記憶媒体であってよい。これらの実施形態は、上述した方法のステップを実行するようにプログラムされたコンピュータを含む。
Claims (15)
- セキュリティ・ゲートウェイとフェムト・ゲートウェイとを含む無線通信ネットワーク内のフェムトセル基地局からのメッセージを認証する方法において、
前記フェムトセル基地局からの前記メッセージ内の送信元IPアドレスが前記フェムトセル基地局から予測される送信元IPアドレスと一致することを前記セキュリティ・ゲートウェイによって確かめるステップと、
前記メッセージ内の前記送信元IPアドレスが前記フェムトセル基地局から予測される送信元IPアドレスと一致することを、フェムトセル基地局の識別子を送信元IPアドレス・データに関連させるデータベースを調べることによって、前記フェムト・ゲートウェイによってさらに確かめるステップと
を含む方法。 - 前記フェムトセル基地局が、前記セキュリティ・ゲートウェイを介して前記フェムト・ゲートウェイに接続されている請求項1に記載の方法。
- 前記送信元IPアドレスが、前記フェムト・ゲートウェイによって、IPトンネルを介した前記フェムトセル基地局との接続に割り振られ、フェムトセル基地局の識別子に関連する前記送信元IPアドレス・データとして前記データベースに記録される請求項1または請求項2に記載の方法。
- 前記送信元IPアドレスが、動的ホスト設定プロトコル(DHCP)サーバによって、IPトンネルを介した前記フェムト・ゲートウェイと前記フェムトセル基地局との間の接続に割り振られ、フェムトセル基地局の識別子に関連する前記送信元IPアドレス・データとして前記データベースに記録される請求項1または請求項2に記載の方法。
- 前記送信元IPアドレスが、前記IPトンネルを介した前記フェムトセル基地局との接続のためのIPアドレス範囲を割り振ることによって、および前記メッセージに含めるために前記範囲内の送信元IPアドレスを選択することによって割り振られ、前記データベースに記録された前記送信元IPアドレス・データは前記送信元IPアドレス範囲を含む請求項3または請求項4に記載の方法。
- 前記メッセージは登録要求メッセージであり、両方の確認に合格した際に前記フェムトセル基地局が前記フェムト・ゲートウェイによって登録される請求項1乃至5のいずれか1項に記載の方法。
- セキュリティ・ゲートウェイおよびフェムト・ゲートウェイと、少なくとも1つのフェムトセル基地局とを含む無線通信ネットワークにおいて、
前記セキュリティ・ゲートウェイはフェムトセル基地局から受信したメッセージを認証するように構成されており、前記セキュリティ・ゲートウェイは、前記フェムトセル基地局からの前記メッセージ内の送信元IPアドレスが前記フェムトセル基地局から予測される送信元IPアドレスと一致することを確かめるように構成された検査プロセッサを含み、
前記フェムト・ゲートウェイは、前記メッセージ内の前記送信元IPアドレスが前記フェムトセル基地局から予測される送信元IPアドレスと一致することを、フェムトセル基地局の識別子を送信元IPアドレス・データに関連させるデータベースを調べることによって確かめるように構成されたさらなるプロセッサを含む
ネットワーク。 - 前記少なくとも1つのフェムトセル基地局が前記セキュリティ・ゲートウェイを介して前記フェムト・ゲートウェイに接続される請求項7に記載のネットワーク。
- 前記メッセージは登録要求メッセージであり、前記フェムト・ゲートウェイは、前記一致が得られた際に前記フェムトセル基地局を登録するように構成された請求項7または請求項8に記載のネットワーク。
- 前記フェムト・ゲートウェイは前記データベースを含む請求項7乃至9のいずれか1項に記載のネットワーク。
- 前記送信元IPアドレスは、前記フェムト・ゲートウェイによって、IPトンネルを介した前記フェムトセル基地局との接続に割り振られ、前記送信元IPアドレスは、確認に使用するために前記フェムトセル基地局の識別子に関連付けられて前記データベースに記録された前記送信元IPアドレス・データである請求項7乃至10のいずれか1項に記載のネットワーク。
- 前記送信元IPアドレスは、別個のネットワーク・エレメントによって、IPトンネルを介した前記フェムト・ゲートウェイと前記フェムトセル基地局との間の接続に割り振られ、前記送信元IPアドレスは、フェムトセル基地局の識別子に関連付けられて前記データベースに記録された前記送信元IPアドレス・データである請求項7乃至9のいずれか1項に記載のネットワーク。
- 前記別個のネットワーク・エレメントは前記データベースを含む請求項12に記載のネットワーク。
- 前記別個のネットワーク・エレメントは動的ホスト設定プロトコル・サーバである請求項12または請求項13に記載のネットワーク。
- 使用中に、前記送信元IPアドレスは、前記IPトンネルを介した前記フェムトセル基地局との接続のためのIPアドレス範囲を割り振ることによって、および前記フェムトセル基地局が前記メッセージに含めるために前記範囲内の送信元IPアドレスを選択することによって割り振られ、前記データベースに記録された前記送信元IPアドレス・データは前記送信元IPアドレス範囲である請求項7乃至14のいずれか1項に記載のネットワーク。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10290201.2 | 2010-04-13 | ||
| EP10290201.2A EP2378802B1 (en) | 2010-04-13 | 2010-04-13 | A wireless telecommunications network, and a method of authenticating a message |
| PCT/EP2011/001132 WO2011128014A1 (en) | 2010-04-13 | 2011-03-08 | A wireless telecommunications network, and a method of authenticating a message |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013528986A true JP2013528986A (ja) | 2013-07-11 |
| JP5562483B2 JP5562483B2 (ja) | 2014-07-30 |
Family
ID=43495364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013504144A Expired - Fee Related JP5562483B2 (ja) | 2010-04-13 | 2011-03-08 | 無線通信ネットワーク、およびメッセージを認証する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9473934B2 (ja) |
| EP (1) | EP2378802B1 (ja) |
| JP (1) | JP5562483B2 (ja) |
| KR (1) | KR101435423B1 (ja) |
| CN (1) | CN102845087B (ja) |
| WO (1) | WO2011128014A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8886164B2 (en) * | 2008-11-26 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus to perform secure registration of femto access points |
| WO2012134217A2 (en) * | 2011-03-30 | 2012-10-04 | Samsung Electronics Co., Ltd. | Method and system to differentiate and assigning ip addresses to wireless femto cells h(e)nb (home (evolved) nodeb) and lgw (local gateway) by using ikev2 (internet key exchange version 2 protocol) procedure |
| CN103999523A (zh) * | 2011-10-28 | 2014-08-20 | 诺基亚通信公司 | 通信系统中的位置验证 |
| US20160043844A1 (en) * | 2014-08-11 | 2016-02-11 | Qualcomm Incorporated | Over the top methods for aggregation of wlan carriers to lte |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2161955A1 (en) * | 2008-09-08 | 2010-03-10 | Huawei Technologies Co., Ltd. | Method of location positioning and verification of an AP, system, and home register |
| WO2010036535A1 (en) * | 2008-09-25 | 2010-04-01 | Alcatel-Lucent Usa Inc. | Dynamic quality of service control to facilitate femto base station communications |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020061756A1 (en) * | 2000-11-17 | 2002-05-23 | Bleckert Peter Nils Olov | Paging co-ordination in telecommunication networks |
| KR100878755B1 (ko) | 2007-02-08 | 2009-01-14 | 한국과학기술원 | 무선인지 기반 이동통신시스템 및 이동통신 무선접속 방법 |
| CN101335984B (zh) | 2007-06-25 | 2011-11-16 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
| CN101364910B (zh) | 2007-08-09 | 2011-07-13 | 中兴通讯股份有限公司 | 一种自组织网络的系统和方法 |
| EP3291636B1 (en) * | 2007-10-25 | 2020-04-29 | Cisco Technology, Inc. | Interworking gateway for mobile nodes |
| CN101677440A (zh) | 2008-09-18 | 2010-03-24 | 华为技术有限公司 | 一种接入点认证的方法、系统及安全网关 |
| KR101358832B1 (ko) * | 2008-11-17 | 2014-02-10 | 퀄컴 인코포레이티드 | 보안 게이트웨이를 통한 로컬 네트워크에 대한 원격 액세스 |
| EP2360986A4 (en) | 2008-11-21 | 2015-10-21 | Nec Corp | AUTHENTICATION SYSTEM, SMALL BASE STATION, AND AUTHENTICATION METHOD |
| US8886164B2 (en) * | 2008-11-26 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus to perform secure registration of femto access points |
| US8132256B2 (en) * | 2009-01-21 | 2012-03-06 | At&T Mobility Ii Llc | Home networking using LTE radio |
| US20100190496A1 (en) * | 2009-01-23 | 2010-07-29 | Continuous Computing Inc. | Method to generate neighbor list femto cell enviroment |
| US9241297B2 (en) * | 2009-09-18 | 2016-01-19 | Samsung Electronics Co., Ltd. | Method and apparatus for providing local breakout service in wireless communication system |
-
2010
- 2010-04-13 EP EP10290201.2A patent/EP2378802B1/en not_active Not-in-force
-
2011
- 2011-03-08 CN CN201180019217.1A patent/CN102845087B/zh not_active Expired - Fee Related
- 2011-03-08 US US13/640,678 patent/US9473934B2/en active Active
- 2011-03-08 JP JP2013504144A patent/JP5562483B2/ja not_active Expired - Fee Related
- 2011-03-08 KR KR1020127029431A patent/KR101435423B1/ko active IP Right Grant
- 2011-03-08 WO PCT/EP2011/001132 patent/WO2011128014A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2161955A1 (en) * | 2008-09-08 | 2010-03-10 | Huawei Technologies Co., Ltd. | Method of location positioning and verification of an AP, system, and home register |
| WO2010036535A1 (en) * | 2008-09-25 | 2010-04-01 | Alcatel-Lucent Usa Inc. | Dynamic quality of service control to facilitate femto base station communications |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013046810; 3GPP TR 33.820 V8.3.0 , 200912, 特に、pp82-83 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5562483B2 (ja) | 2014-07-30 |
| WO2011128014A1 (en) | 2011-10-20 |
| KR20130009836A (ko) | 2013-01-23 |
| EP2378802B1 (en) | 2013-06-05 |
| US20130095792A1 (en) | 2013-04-18 |
| CN102845087B (zh) | 2016-02-24 |
| CN102845087A (zh) | 2012-12-26 |
| EP2378802A1 (en) | 2011-10-19 |
| KR101435423B1 (ko) | 2014-08-29 |
| US9473934B2 (en) | 2016-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| JP5209475B2 (ja) | Simカードを有する個人用アクセスポイント | |
| US8811987B2 (en) | Method and arrangement for creation of association between user equipment and an access point | |
| DK2547134T3 (en) | IMPROVED SUBSCRIPTION AUTHENTICATION FOR UNAUTHORIZED MOBILE ACCESS SIGNALS | |
| JP5517187B2 (ja) | フェムトセル用基地局、認証装置、通信システム、制御方法及びプログラム | |
| JP5399545B2 (ja) | 符号分割多重アクセスによって動作するフェムトセルに接続される移動体装置を認証するための方法 | |
| CN101543107A (zh) | 用于资源管理的方法和设备 | |
| WO2010130174A1 (zh) | 一种实现本地访问控制的方法及相应的通信系统 | |
| EP2547133B1 (en) | Method and equipment for authenticating subscriber terminal | |
| JP5562483B2 (ja) | 無線通信ネットワーク、およびメッセージを認証する方法 | |
| US9049693B2 (en) | Gateway, communication system, method of controlling gateway, and computer readable medium therefor | |
| US20140213260A1 (en) | Communication system | |
| WO2011015091A1 (zh) | 用于家用基站的接入方法、装置、系统及aaa服务器 | |
| KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
| US9532292B2 (en) | Communication system | |
| CN101651974A (zh) | 家庭基站系统中闭合用户组的用户设备的注册方法和系统 | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| WO2013183316A1 (ja) | 通信システム | |
| KR101681533B1 (ko) | 무선 통신 시스템에서 사용자 액세스 제어 방법 및 장치 | |
| JP7351498B2 (ja) | 通信システム及び通信制御方法 | |
| CN102843678A (zh) | 接入控制方法、装置、接口及安全网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130919 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131219 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140318 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140513 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140610 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5562483 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |