JP4977665B2 - Communication system and gateway device - Google Patents
Communication system and gateway device Download PDFInfo
- Publication number
- JP4977665B2 JP4977665B2 JP2008219213A JP2008219213A JP4977665B2 JP 4977665 B2 JP4977665 B2 JP 4977665B2 JP 2008219213 A JP2008219213 A JP 2008219213A JP 2008219213 A JP2008219213 A JP 2008219213A JP 4977665 B2 JP4977665 B2 JP 4977665B2
- Authority
- JP
- Japan
- Prior art keywords
- access network
- wireless terminal
- base station
- communication
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、通信システム及びゲートウェイ装置に係り、特に、異種アクセス網間のハンドオーバーを高速化する通信システム及びゲートウェイ装置に関する。本発明は、例えば、3GPP2(3rd Generation Partnership Project 2)の第3.9世代移動通信方式UMB(Ultra Mobile Broadband)とWiMAX (Worldwide Interoperability for Microwave Access)間のハンドオーバーを高速化する技術に関するが、これに限定されず各種アクセス網に適用することができる。 The present invention relates to a communication system and a gateway device, and more particularly to a communication system and a gateway device that speed up handover between different types of access networks. The present invention is, for example, relate to 3GPP2 (3 rd Generation Partnership Project 2 ) of the 3.9-generation mobile communication system UMB (Ultra Mobile Broadband) and WiMAX (Worldwide Interoperability for Microwave Access) to speed up the handover between technologies However, the present invention is not limited to this and can be applied to various access networks.
近年、カバーエリアやスループット、通信コストの異なる移動通信網をシームレスに連携するサービスが検討されている。例えば、広範囲をカバーするUMBエリア内に、設備コストの低いWiMAXエリアを設け、WiMAXエリア内のユーザに対してデータ通信を安価に提供するようなシステムが考えられている。
UMBアクセス網とWiMAXアクセス網の連携方法は、3GPP2のX.P0046(非特許文献1)や、WiMAX Forumの”WiMAX Forum Network Architecture Stage2: 3GPP2−WiMAX Interworking” (非特許文献2)、”WiMAX Forum Network Architecture Stage3 Annex: 3GPP2−WiMAX Interworking” (非特許文献3)等で規定されている。これらの標準規格では、Mobile IP(非特許文献4〜5)のHA(Home Agent)を介して各アクセス網が緩やかに連携する方式を採用している。このような連携方式は、Loosely Coupled Interworkingと呼ばれる。
Loosely Coupled InterworkingによるWiMAX−UMB間のハンドオーバー手順を、図15〜19を用いて説明する。
In recent years, services that seamlessly link mobile communication networks having different coverage areas, throughputs, and communication costs have been studied. For example, a system in which a WiMAX area with a low facility cost is provided in a UMB area covering a wide area and data communication is provided to users in the WiMAX area at a low cost has been considered.
The cooperation method between the UMB access network and the WiMAX access network is the XGP of 3GPP2. P0046 (Non-Patent Document 1), WiMAX Forum's "WiMAX Forum Network Architecture Stage 2: 3GPP2-WiMAX Interworking" (Non-patent Document 2), "WiMAX Forum Network Non-Patent 3: 3 Etc. In these standards, a method is adopted in which each access network gradually cooperates via HA (Home Agent) of Mobile IP (
A handover procedure between WiMAX and UMB by Loosely Coupled Interworking will be described with reference to FIGS.
1.システム構成
図15は、従来技術により構成されたネットワークの構成例を示す図である。MN(Mobile Node: モバイル端末)3040は、WiMAXアクセス網3020とUMBアクセス網3030の両方にアクセス手段を持つ端末である。CN(Correspondent Node: 対向ノード)3050は、MN3040と通信を行う端末、あるいはサーバである。
コア網3010は、WiMAXアクセス網3020とUMBアクセス網3030の両方を収容する通信網であり、AAA(Authentication Authorization Accounting)3011とHA(Home Agent)3012が接続される。AAA3011は、端末の識別子と認証情報の対応付けを管理し、端末を認証するサーバである。HA3012はMobile IP (非特許文献4〜5)で規定されるノードであり、MN3040のHoA(Home Address: MNの位置が変わっても変化しないIPアドレス)とCoA (Care of Address: 移動先ネットワークがMNに割り当てるIPアドレス)の対応付けを管理する。HA3012は、MN3040がネットワークを移動した場合にもHoAによる通信を継続できるように、CN3050から受信したMN3040のHoA宛てのIPパケットを、MN3040のCoA宛てのIPinIPパケット(非特許文献6)に変換してMN3040に転送する。また反対に、MN3040から受信したIPinIPパケットをデカプセル化してCN3050に転送する。
WiMAXアクセス網3020には、BS(Base Station)3022(a〜c)とASN−GW(Access Service Network − Gateway)3021が接続される。BS3022(a〜c)は、MN3040からのWiMAX無線信号を有線信号に相互変換して転送するノードであり、MN3040、ASN−GW3021と、制御信号およびユーザデータを送受信する。
1. System Configuration FIG. 15 is a diagram illustrating a configuration example of a network configured by a conventional technique. An MN (Mobile Node) 3040 is a terminal having access means in both the
The
A BS (Base Station) 3022 (ac) and an ASN-GW (Access Service Network-Gateway) 3021 are connected to the
図16(a)は、WiMAXアクセス網3020におけるユーザデータのプロトコルスタックを示す。図16(a)に示すように、BS3022(a〜c)はMN3040から受信したWiMAX無線信号からIPパケットを取り出し、GRE(Generic Routing Encapsulation)カプセル化(非特許文献7)を行ってASN−GW3021に転送する。また、ASN−GW3021からGREパケットを受信し、WiMAX無線信号に変換してMN3040に転送する。
ASN−GW3021は、MN3040を収容するアクセスルータであり、Proxy MIP(非特許文献8:HoAとCoAの対応付けを、PMA(Proxy Mobile Agent)と呼ばれるノードが端末の代理でHAに登録するMobile IPプロトコル)のPMAの機能を備える。すなわち、ASN−GW3021は、MN3040の代理で自身のIPアドレスをCoAとしてHA3012に登録する。ASN−GW3021は、HA3012およびBS3022(a〜c)と、制御信号およびユーザデータを送受信する。
図16(a)に示すように、ASN−GW3021はBS3022(a〜c)からGREカプセル化されたユーザパケットを受信し、IPinIPパケットに変換してHA3012に転送する。また、HA3012からIPinIPパケットを受信し、GREパケットに変換してBS3022(a〜c)に転送する。
FIG. 16A shows a user data protocol stack in the WiMAX
The ASN-GW 3021 is an access router that accommodates the
As shown in FIG. 16A, the ASN-GW 3021 receives the GRE-encapsulated user packet from the BS 3022 (ac), converts it into an IPinIP packet, and transfers it to the
UMBアクセス網3030には、eBS(Evolved Basic Station)3033(a〜c)、AGW(Access Gateway)3031、SRNC(Session Reference Network Controller)3032が接続される。eBS3033(a〜c)は、UMB無線信号を有線信号に相互変換して転送するノードである。eBS3033(a〜c)は、MN3040、AGW3031、SRNC3032、および他のeBS3033(a〜c)と制御信号を送受信する。また、MN3040、AGW3031、および他のeBS3033(a〜c)とユーザデータを送受信する。
図16(b)は、UMBアクセス網3030における、ユーザデータのプロトコルスタック図を示す。図16(b)に示すように、eBS3033(a〜c)はMN3040から受信したUMB無線信号からIPパケットを取り出し、GREカプセル化を行ってAGW3031に転送する。また、AGW3031からGREパケットを受信し、UMB無線信号に変換してMN3040に転送する。
AGW3031は、MN3040を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、MN3040の代理で自身のIPアドレスをCoAとしてHA3012に登録する。AGW3031は、HA3012、SRNC3032、およびeBS3033(a〜c)と制御信号を送受信する。また、HA3012、eBS3033(a〜c)とユーザデータを送受信する。
図16(b)に示すように、AGW3031はeBS3033(a〜c)からGREカプセル化されたユーザパケットを受信し、IPinIPパケットに変換してHA3012に転送する。また、HA3012からIPinIPパケットを受信し、GREパケットに変換してeBS3033(a〜c)に転送する。
SRNC3032は、UMBアクセス網3030における通信セッション情報(すなわち、端末が接続しているeBSのIDや、AGWのID、無線コネクションの状態など)を管理するノードである。SRNC3032は、eBS3033(a〜c)およびAGW3031と制御信号を送受信する。
An eBS (Evolved Basic Station) 3033 (ac), an AGW (Access Gateway) 3031, and an SRNC (Session Reference Network Controller) 3032 are connected to the
FIG. 16B shows a protocol stack diagram of user data in the
The AGW 3031 is an access router that accommodates the
As shown in FIG. 16B, the AGW 3031 receives the GRE-encapsulated user packet from the eBS 3033 (ac), converts it into an IPinIP packet, and transfers it to the
The SRNC 3032 is a node that manages communication session information in the UMB access network 3030 (that is, the ID of the eBS to which the terminal is connected, the ID of the AGW, the state of the wireless connection, etc.). The SRNC 3032 transmits and receives control signals to and from the eBS 3033 (ac) and the AGW 3031.
2.ハンドオーバー処理
図17は、従来技術のLoosely Coupled InterworkingによりMN3040がWiMAXアクセス網3020からUMBアクセス網3030にハンドオーバーする手順を示す。
はじめに、MN3040はWiMAXアクセス網3020のみに接続されており、BS3022c、ASN−GW3021、HA3012経由でCN3050とデータ通信を行っている(3101)。この時点で、MN3040は、WiMAXの通信コンテキストを自身のメモリ内に保持している。WiMAXの通信コンテキストとは、少なくとも接続中のBS(BS3022c)のIDや、IPフロー毎のQoS情報(IPフローを識別するフィルタTFT(Traffic Flow Template)と、各IPフローのQoSクラス等)、MN3040−BS3022c間の無線通信を保護する暗号鍵等を含む。接続中のBS IDは、BSが定期的に報知する広告メッセージから取得する。IPフロー毎のQoS情報は、WiMAXアクセス網3020への接続時、若しくはCN3050とのデータ通信開始時に設定されるが、設定手順の説明は省略する。MN3040−BS3022c間の無線通信を保護する暗号鍵は、WiMAXアクセス網3020への接続時に行われるユーザ認証処理と、BS3022cへの接続時に行われるMN−BS鍵交換処理の中で生成される(これらの処理は、ステップ3101以前に行われているため、図17には記載していない。)
図18に、従来技術に基づくWiMAX暗号鍵の生成方法を示す。以下、図18を用いてMN3040とBS3022cとが無線区間の暗号鍵を生成する手順を説明する。
はじめに、MN3040がWiMAXアクセス網3020に接続する際に、EAP (Extensible Authentication Protocol)によるユーザ認証が行われ、AAA3011とMN3040がMSK (Master Session Key)を共有する。MSKは、EAP認証プロセスの中でAAA3011からASN−GW3021へと通知される。ASN−GW3021は、MSKからPMK(Pairwise Master Key)を生成し、メモリ内に記憶する。この後MN3040がBS3022cに接続した際に、ASN−GW3021はPMKとBS3022cのIDからAK (Authorization Key)_BSを生成し、BS3022cに通知する。AK_BSは、BS IDの関数であるため、BS毎に異なる値となる。一方、MN3040は、ASN−GW3021と同じ事前に設定されたアルゴリズムを用いてBS3022cに対するAK_BSを生成する。この時点で、MN3040とBS3022cは、同じAK_BSを共有している。そして、MN3040とBS3022cは、AK_BSを用いて鍵交換処理を行い、無線区間の暗号鍵TEK(Transport Encrption Key)_BSを交換する。以上で、無線区間の暗号鍵(TEK_BS)の生成が完了する。
2. Handover Processing FIG. 17 shows a procedure in which the
First, the MN 3040 is connected only to the
FIG. 18 shows a WiMAX encryption key generation method based on the prior art. Hereinafter, a procedure in which the
First, when the MN 3040 connects to the
図17に戻り、従来技術のハンドオーバー手順の説明を続ける。MN3040は、ステップ3101の後、WiMAXの電波状況が悪化するなどの理由により、UMBアクセス網3030へのハンドオーバーを決定する(3102)。そして、UMBアクセス網3030への接続手順(3103〜3111)を開始する。以下、非特許文献9で規定されるUMBアクセス網3030への接続手順(3103〜3111)を説明する。
まず、MN3040はUMBアクセス網3030の電波状況を測定し、最も電波状況のよいeBS(例えばeBS3033a)に対して接続を要求する(3103)。MN3040からeBS3033aに送信する接続要求には、少なくともMN3040がランダムに生成した端末ID(RATI: Random Access Terminal Identifier)と、MN3040がUMBアクセス網3030内の経路に対して割り当てる識別子(RouteCounter:ルートカウンタ)が含まれる。eBS3033aは、MN3040の接続要求を受け付け、成功応答を返信する。また、MN3040が接続すべきSRNC(SRNC3032)のIDをMN3040に対して通知する。
次にMN3040は、ステップ3103で通知されたSRNC(SRNC3032)に対して接続を要求する(3104)。MN3040がSRNC3032に送信する接続要求には、少なくともMN3040が生成したRATIと、SRNC3032への経路を識別するRouteCounterが含まれる。SRNC3032は、MN3040に対して成功応答を返信し、MN3040にユニキャストID(UATI: Unicast Access Terminal Identifier)を割り当てる。
Returning to FIG. 17, the description of the conventional handover procedure will be continued. After
First, the
Next, the
続いて、EAP−AKA(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement)認証(非特許文献10〜11)が行われる(3105)。EAP−AKA認証の結果として、MN3040とSRNC3032がMSKを共有し、MN3040−SRNC3032間でMN−SRNC鍵交換が行われる(3106)。MN−SRNC鍵交換に関係するパラメータは、後で図19を用いて説明する。鍵交換の結果、MN3040−SRNC3032間の通信を保護する暗号鍵(TSK_SRNC(図19参照、後述))が生成される。この後、暗号鍵(TSK_SRNC)で保護されたメッセージ中で、MN3040とSRNC3032間の無線データリンク設定等が行われる(3107)。
Subsequently, EAP-AKA (Extensible Authentication Protocol Method for 3 rd Generation Authentication and Key Agreement) authentication (Non-Patent Document 10 to 11) is performed (3105). As a result of the EAP-AKA authentication, the
続いて、SRNC3032はeBS3033aに対してUMB接続情報(AGW3031のID)と、UMB認証情報(MSKから生成したパラメータMSK_eBS(図19参照、後述))を通知する(3108)。eBS3033aは、UMB認証情報(MSK_eBS)を使用してMN3040と鍵交換を行い、MN3040−eBS3033a間の通信を保護する暗号鍵(TSK_eBS(図19参照、後述))を生成する(3109)。
図19に、従来技術に基づくUMB暗号鍵の生成方法を示す。以下、図19を用いてMN3040−SRNC3032間、MN3040−eBS3033a間の鍵交換処理(図17のステップ3106、3109)で扱うパラメータを説明する。(以下で説明する鍵交換処理の詳細は、非特許文献12〜13に規定されている。) はじめに、図17のステップ3105のEAP−AKA認証において、AAA3011とMN3040がMSK(Master Session Key)_SRNCを共有する。MSK_SRNCは、EAP−AKA認証プロセスの中でAAA3011からSRNC3032へと通知される。MN3040とSRNC3032は、MSK_SRNCから事前に設定された同じアルゴリズムを用いてPMK(Pairwise Master Key)_SRNCを生成し、PMK_SRNCを用いてMN−SRNC鍵交換処理(図17のステップ3106)を行う。MN−SRNC鍵交換処理の結果、SRNC3032−MN3040間の通信を保護する暗号鍵TSK(Transient Session Key)_SRNCが生成される。
Subsequently, the
FIG. 19 shows a UMB encryption key generation method based on the prior art. Hereinafter, parameters handled in the key exchange process (
またこの後、SRNC3032は図17のステップ3108において、eBS3033aへの経路を識別するRouteCounterと、MSK_SRNCから生成したパラメータMSK_eBSを、eBS3033aに対して通知する。MSK_eBSは、UMBアクセス網内の経路を識別するRoute Counterの関数であるため、eBS毎に異なる値となる。eBS3033aは、MSK_eBSから、SRNC3032と同様に、共有している事前に設定されたアルゴリズムを用いて、PMK_eBSを生成し、PMK_eBSを用いてeBS3033aと鍵交換処理(図17のステップ3109)を行う。その結果、MN3040−eBS3033a間の通信を保護する暗号鍵(TSK_eBS)が生成される。
図17に戻り、従来技術に基づくハンドオーバー手順の説明を続ける。MN3040−eBS3033a間の鍵交換(ステップ3109)の後、MN3040とeBS3033は暗号鍵(TSK_eBS)で保護されたメッセージ中で、無線データリンクの設定を行う(3110)。そして最後に、eBS3033a−AGW3031間のGREトンネル設定、AGW3031−HA3012間のIPinIPトンネル設定、AGW3031からMN3040へのIPアドレス払い出しが行われ(3111)、UMBアクセス網3030への接続が完了する。これ以降、MN3040はeBS3033a、AGW3031、HA3012経由でCN3050とデータ通信を行う(3112)。以上で、従来技術に基づくハンドオーバー手順が完了する。
Thereafter, in
Returning to FIG. 17, the description of the handover procedure based on the prior art will be continued. After the key exchange between the
Loosely Coupled Interworkingにより異種アクセス網間の連携を行う他のシステムの例として、非特許文献14〜16に規定されるW−CDMA(Wideband Code Division Multiple Access)とWLAN (Wireless Local Area Network)の連携システムがある。W−CDMAとWLAN間のハンドオーバーにおいても、上記で説明したWiMAXとUMB間のハンドオーバーと同様、移動先のアクセス網への接続処理が完了した後にデータパスの切り替えが行われる。
W−CDMAとWLAN間のハンドオーバーを高速化する発明として、特許文献1が開示されている。特許文献1では、W−CDMAのパケット制御装置(SGSN: Serving GPRS Support Node)と移動網パケット中継装置(GGSN: Gateway GPRS Support Node)が、WLANのWLAN中継装置(WAG: WLAN Access Gateway)をも収容することにより、IPアドレスの設定や、データパスの変更、再認証処理の高速化を行っている。
As an example of another system that performs cooperation between heterogeneous access networks by Loosely Coupled Interworking, W-CDMA (Wideband Code Multiple Access) and WLAN (Wireless Local Area) network systems defined in Non-Patent Documents 14 to 16 There is. In the handover between W-CDMA and WLAN, the data path is switched after the connection processing to the destination access network is completed, as in the handover between WiMAX and UMB described above.
Patent Document 1 is disclosed as an invention for speeding up handover between W-CDMA and WLAN. In Patent Document 1, a W-CDMA packet control device (SGSN: Serving GPRS Support Node) and a mobile network packet relay device (GGSN: Gateway GPRS Support Node) are used, and a WLAN relay device (WAG: WLAN Access) is also used as a WLAN. Accommodating speeds up IP address setting, data path change, and re-authentication processing.
上記で説明したLoosely Coupled Interworkingにより異種アクセス網間ハンドオーバーを行う場合、移動先アクセス網への接続処理が完了するまでデータパスを切り替えることができない。そのため、IP電話やテレビ会議、動画像配信などのアプリケーションにおいて途切れが発生する可能性がある。とくに、移動先アクセス網への接続処理中に行われるEAP認証処理(あるいはEAP−AKA認証処理)では、コア網のAAAと通信するため、条件によっては秒単位の時間を要することがあり問題である。
また、特許文献1のように第一のアクセス網の装置が第二のアクセス網の装置を直接収容する構成とした場合、課金等の処理を行うアクセスゲートウェイが共通化されてしまうため、異なる通信事業者のアクセス網間に適用することが困難になる課題がある。
本発明は、上記背景を鑑みてなされたものであって、各アクセス網の独立性を確保しつつ、異種アクセス網間ハンドオーバー時のデータパスの切り替えを高速化することを目的とする。
When performing handover between different types of access networks by the Loosely Coupled Interworking described above, the data path cannot be switched until the connection processing to the destination access network is completed. Therefore, there is a possibility that interruptions occur in applications such as IP phone calls, video conferences, and moving image distribution. In particular, in the EAP authentication process (or EAP-AKA authentication process) performed during the connection process to the destination access network, since communication is performed with the AAA of the core network, it may take time in seconds depending on conditions. is there.
In addition, when the first access network apparatus directly accommodates the second access network apparatus as in Patent Document 1, the access gateway that performs processing such as charging is shared, so that different communication is performed. There is a problem that it becomes difficult to apply between access networks of business operators.
The present invention has been made in view of the above background, and an object of the present invention is to speed up switching of data paths during handover between different access networks while ensuring independence of each access network.
上記課題を解決するために、本発明では、異種アクセス網間にHO−GW(HandOver−Gateway)を設け、第一のアクセス網内のInter−AGWハンドオーバー手順(AGWの変更を伴うハンドオーバ手順)を第二のアクセス網内のInter−AGWハンドオーバー手順に変換して中継する。UMBやWiMAXのInter−AGWハンドオーバー手順では、移動先の基地局にデータパスを切り替えた後に、EAP認証(あるいはEAP−AKA認証)等の時間を要する処理を行うため、Loosely Coupled Interworkingと比較してデータパスの切り替えを高速に行うことができる。
HO−GWが行う中継処理には、制御信号の中継処理と、通信データの中継処理が含まれる。制御信号の中継処理では、第一のアクセス網の通信コンテキスト(すなわち、QoS情報や、暗号鍵の生成に使用する認証パラメータ)から第二のアクセス網の通信コンテキストを生成し、第二のアクセス網に設定する。通信データの中継処理では、第一のアクセス網から受信したユーザデータを第二のアクセス網の形式に変換して転送する。
In order to solve the above-described problem, in the present invention, an HO-GW (Hand Over-Gateway) is provided between different types of access networks, and an Inter-AGW handover procedure in the first access network (handover procedure with change of AGW) Is converted into an Inter-AGW handover procedure in the second access network and relayed. Compared with Loosely Coupled Interworking, the UMB and WiMAX Inter-AGW handover procedures perform time-consuming processes such as EAP authentication (or EAP-AKA authentication) after switching the data path to the destination base station. The data path can be switched at high speed.
The relay processing performed by the HO-GW includes control signal relay processing and communication data relay processing. In the relay process of the control signal, the communication context of the second access network is generated from the communication context of the first access network (that is, the QoS information and the authentication parameter used for generating the encryption key), and the second access network Set to. In the relay processing of communication data, user data received from the first access network is converted into a second access network format and transferred.
本発明の通信システムは、少なくとも2つ以上の異なる移動通信網に接続手段を持つ端末と、前記端末を収容する第一の移動通信網と、前記端末を収容する第二の移動通信網と 、前記第一の移動通信網と前記第二の移動通信網とに接続されるゲートウェイ装置を備える。
前記ゲートウェイ装置は、前記端末が前記第一の移動通信網から前記第二の移動通信網に移動する際に、前記第一の移動通信網から受信した移動制御信号を前記第二の移動通信網に中継し、前記第一の移動通信網から受信した通信データを前記第二の移動通信網に転送する。
また、前記ゲートウェイ装置は、前記第一の移動通信網から受信した前記移動制御信号に含まれる通信コンテキストに基づいて、前記第二の移動通信網における通信コンテキストを生成し、前記第二の移動通信網に転送することができる。
前記ゲートウェイ装置が中継する前記通信コンテキストとは、例えば、転送フィルタ情報、QoS情報、暗号鍵のうちの少なくとも一つを含むことができる。
前記移動制御信号とは、例えば、前記第一または第二の移動通信網における通信コンテキストを転送する制御信号と、前記通信データの転送経路を設定する制御信号とを含むことができる。
The communication system of the present invention includes a terminal having connection means in at least two different mobile communication networks, a first mobile communication network that accommodates the terminal, a second mobile communication network that accommodates the terminal, A gateway device connected to the first mobile communication network and the second mobile communication network;
The gateway device receives a movement control signal received from the first mobile communication network when the terminal moves from the first mobile communication network to the second mobile communication network. And the communication data received from the first mobile communication network is transferred to the second mobile communication network.
The gateway device generates a communication context in the second mobile communication network based on a communication context included in the mobility control signal received from the first mobile communication network, and the second mobile communication Can be transferred to the network.
The communication context relayed by the gateway device can include, for example, at least one of transfer filter information, QoS information, and an encryption key.
The mobility control signal can include, for example, a control signal for transferring a communication context in the first or second mobile communication network and a control signal for setting a transfer path for the communication data.
本実施の形態の第1の解決手段によると、
無線端末からの第1の無線信号を有線信号に相互変換して転送する複数の第1の基地局と、前記第1の基地局を収容する第1のアクセスルータとを有する第1のアクセス網と、
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網と、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な無線端末と、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、前記無線端末が前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、ゲートウェイ装置と、
を備えた通信システムであって、
前記無線端末が、前記第1のアクセス網のみに接続されており、前記第1の基地局、前記第1のアクセスルータ、前記コア網経由で、通信先装置と通信を行っている場合、ユーザ認証により、前記コア網と前記無線端末が暗号鍵MSKを共有し、前記無線端末は、第1の通信コンテキスト情報と前記ゲートウェイ装置のIDを保持し、
前記無線端末が前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第1のアクセスルータが前記コア網から受けたMSKに基づき生成した、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWにより、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置が、前記第1のアクセスルータから送られたAK_GWに基づき生成された、前記ゲートウェイ装置−前記第2の基地局間の通信を保護する暗号鍵MSK_eBS又はK_eNB*+により、前記ゲートウェイ装置と前記第2の基地局とのデータパスが設定され、
前記第2の基地局が前記ゲートウェイ装置から受けたMSK_eBS又はK_eNB*+に基づき生成した、前記無線端末−第2の基地局間の通信を保護する暗号鍵TSK_eBS又は無線保護用暗号鍵と、前記無線端末がMSK又は前記第2の基地局と鍵交換した認証情報に基づき生成したTSK_eBS又は無線保護用暗号鍵とにより、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行する
前記通信システムが提供される。
According to the first solving means of the present embodiment,
A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station When,
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station A second access network having a communication format different from that of the first access network;
A wireless terminal capable of accessing both the first access network and the second access network, which are heterogeneous access networks;
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; When the wireless terminal moves between the first access network and the second access network, a handover procedure in the first access network and a handover procedure in the second access network A gateway device that mutually converts and relays,
A communication system comprising:
When the wireless terminal is connected only to the first access network and communicates with a communication destination device via the first base station, the first access router, and the core network, a user Through authentication, the core network and the wireless terminal share an encryption key MSK, and the wireless terminal holds first communication context information and the ID of the gateway device,
When the wireless terminal moves to the second access network side and decides a handover to the second access network, a handover connection request including an ID of the wireless terminal is transmitted,
The first access router and the gateway device using an encryption key AK_GW that protects communication between the core network and the first access router, generated based on the MSK received from the core network by the first access router And the data path is set,
The gateway device uses the encryption key MSK_eBS or K_eNB * + that protects communication between the gateway device and the second base station, which is generated based on AK_GW sent from the first access router. And the data path between the second base station is set,
An encryption key TSK_eBS or a radio protection encryption key for protecting communication between the radio terminal and the second base station, generated based on MSK_eBS or K_eNB * + received from the gateway device by the second base station, The wireless terminal and the second base station are wirelessly transmitted on the protected communication path by the TSK_eBS or the wireless protection encryption key generated based on the authentication information exchanged by the wireless terminal with the MSK or the second base station. Set the data link settings,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
Then, the wireless terminal performs user authentication with the second access network, and provides the communication system for executing a handover to the second access network.
本実施の形態の第2の解決手段によると、
無線端末からの第1の無線信号を有線信号に相互変換して転送する複数の第1の基地局と、前記第1の基地局を収容する第1のアクセスルータとを有する第1のアクセス網と、
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網と、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な無線端末と、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、前記無線端末が前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、ゲートウェイ装置と、
を備えた通信システムであって、
前記無線端末は前記第2のアクセス網に接続されており、前記第2の基地局、前記第2のアクセス網、前記コア網経由で、通信先装置とデータ通信を行っている場合、ユーザ認証により、前記無線端末と前記コア網が暗号鍵MSK_SRNC又はK_ASMEを共有し、前記無線端末が第1のアクセス網側へ移動して、前記第1のアクセス網へのハンドオーバーを決定すると、前記無線端末は、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第2のアクセスルータが前記コア網から受けたMSK_SRNC又はK_ASMEに基づき生成した、前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵MSK_GW又はK_eNB*により、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置が前記第2のアクセスルータから受けたMSK_GW又はK_eNB*に基づき生成した、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSにより、前記ゲートウェイ装置と前記第1の基地局とのデータパスが設定され、
前記第1の基地局が前記デートウェイ装置から受けたAK_BSに基づき生成した、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSと、前記無線端末がMSK_SRNC若しくはK_ASME又は前記第1の基地局と鍵交換した認証情報に基づき生成したTEK_BSにより、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行する
前記通信システムが提供される。
According to the second solving means of the present embodiment,
A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station When,
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station A second access network having a communication format different from that of the first access network;
A wireless terminal capable of accessing both the first access network and the second access network, which are heterogeneous access networks;
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; When the wireless terminal moves between the first access network and the second access network, a handover procedure in the first access network and a handover procedure in the second access network A gateway device that mutually converts and relays,
A communication system comprising:
When the wireless terminal is connected to the second access network and performs data communication with a communication destination device via the second base station, the second access network, or the core network, user authentication is performed. Thus, when the wireless terminal and the core network share the encryption key MSK_SRNC or K_ASME, the wireless terminal moves to the first access network side, and determines the handover to the first access network. The terminal transmits a handover connection request including the ID of the wireless terminal,
The second access router uses the encryption key MSK_GW or K_eNB * that protects communication between the second access router and the gateway device, which is generated based on the MSK_SRNC or K_ASME received from the core network by the second access router. A data path between the router and the gateway device is set,
The gateway device and the first key are generated by the encryption key AK_BS for protecting communication between the gateway device and the first base station, which is generated based on the MSK_GW or K_eNB * received from the second access router by the gateway device. The data path with the base station is set up,
An encryption key TEK_BS that protects communication between the wireless terminal and the first base station, which is generated based on AK_BS received by the first base station from the dateway device, and the wireless terminal is MSK_SRNC or K_ASME, By the TEK_BS generated based on the authentication information exchanged with the first base station, the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
Thereafter, the wireless terminal performs user authentication with the first access network and provides the communication system for executing a handover to the first access network.
本実施の形態の第3の解決手段によると、
無線端末からの第1の無線信号を有線信号に相互変換して転送する複数の第1の基地局と、前記第1の基地局を収容する第1のアクセスルータとを有する第1のアクセス網に接続され、
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網に接続され、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な前記無線端末が、前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、
ゲートウェイ装置であって、
前記無線端末が前記第1のアクセス網から前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、
前記ゲートウェイ装置は、前記第1のアクセスルータが前記コア網から受けた、ユーザ認証により前記コア網と前記無線端末が共有する暗号鍵MSKに基づき生成した、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWを受け、AK_GWにより、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスを設定し、
前記ゲートウェイ装置が、前記第1のアクセスルータから送られたAK_GWに基づき生成された、前記ゲートウェイ装置−前記第2の基地局間の通信を保護する暗号鍵MSK_eBS又はK_eNB*+を前記第2の基地局へ渡し、MSK_eBS又はK_eNB*+により、前記ゲートウェイ装置と前記第2の基地局とのデータパスを設定し、
前記第2の基地局が前記ゲートウェイ装置から受けたMSK_eBS又はK_eNB*+に基づき生成した、前記無線端末−第2の基地局間の通信を保護する暗号鍵TSK_eBS又は無線保護用暗号鍵と、前記無線端末がMSK又は前記第2の基地局と鍵交換した認証情報に基づき生成したTSK_eBS又は無線保護用暗号鍵とにより、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行するようにした
前記ゲートウェイ装置が提供される。
According to the third solving means of the present embodiment,
A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station Connected to
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station Two access routers, connected to a second access network having a communication format different from that of the first access network,
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; Contain
When the wireless terminal that can access both the first access network and the second access network, which are heterogeneous access networks, moves between the first access network and the second access network, Relaying by interconverting a handover procedure in the first access network and a handover procedure in the second access network;
A gateway device,
When the wireless terminal moves from the first access network to the second access network and decides a handover to the second access network,
The gateway device generates the core network-the first access router generated based on an encryption key MSK received by the first access router from the core network and shared by the core network and the wireless terminal by user authentication. Receiving an encryption key AK_GW that protects communication between them, and by AK_GW, setting a data path between the first access router and the gateway device,
The gateway device generates an encryption key MSK_eBS or K_eNB ** that protects communication between the gateway device and the second base station, which is generated based on AK_GW sent from the first access router. Pass to the base station, set the data path between the gateway device and the second base station by MSK_eBS or K_eNB * +,
An encryption key TSK_eBS or a radio protection encryption key for protecting communication between the radio terminal and the second base station, generated based on MSK_eBS or K_eNB * + received from the gateway device by the second base station, The wireless terminal and the second base station are wirelessly transmitted on the protected communication path by the TSK_eBS or the wireless protection encryption key generated based on the authentication information exchanged by the wireless terminal with the MSK or the second base station. Set the data link settings,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
Then, the gateway apparatus is provided in which the wireless terminal performs user authentication with the second access network and performs a handover to the second access network.
本実施の形態の第4の解決手段によると、
無線端末からの第1の無線信号を有線信号に相互変換して転送する複数の第1の基地局と、前記第1の基地局を収容する第1のアクセスルータとを有する第1のアクセス網に接続され、
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網に接続され、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な前記無線端末が、前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、
ゲートウェイ装置であって、
前記無線端末が第1のアクセス網側へ移動して、前記第1のアクセス網へのハンドオーバーを決定すると、
前記ゲートウェイ装置は、前記第2のアクセスルータが前記コア網から受けた、ユーザ認証により前記無線端末と前記コア網が共有する暗号鍵MSK_SRNC又はK_ASMEに基づき生成した前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵MSK_GW又はK_eNB*を受け、MSK_GW又はK_eNB*により、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスを設定し、
前記ゲートウェイ装置が前記第2のアクセスルータから受けたMSK_GW又はK_eNB*に基づき生成した、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSを前記第1の基地局に渡し、AK_BSにより、前記ゲートウェイ装置と前記第1の基地局とのデータパスを設定し、
前記第1の基地局が前記デートウェイ装置から受けたAK_BSに基づき生成した、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSと、前記無線端末がMSK_SRNC若しくはK_ASME又は前記第1の基地局と鍵交換した認証情報に基づき生成したTEK_BSにより、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行するようにした
前記ゲートウェイ装置が提供される。
According to the fourth solving means of the present embodiment,
A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station Connected to
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station Two access routers, connected to a second access network having a communication format different from that of the first access network,
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; Contain
When the wireless terminal that can access both the first access network and the second access network, which are heterogeneous access networks, moves between the first access network and the second access network, Relaying by interconverting a handover procedure in the first access network and a handover procedure in the second access network;
A gateway device,
When the wireless terminal moves to the first access network side and decides a handover to the first access network,
The gateway device receives the second access router received from the core network based on the encryption key MSK_SRNC or K_ASME shared by the wireless terminal and the core network by user authentication, and the gateway Receiving an encryption key MSK_GW or K_eNB * that protects communication between the devices, and setting a data path between the second access router and the gateway device by MSK_GW or K_eNB *,
Passed to the first base station an encryption key AK_BS that is generated based on MSK_GW or K_eNB * received by the gateway device from the second access router and protects communication between the gateway device and the first base station, By AK_BS, a data path between the gateway device and the first base station is set,
An encryption key TEK_BS that protects communication between the wireless terminal and the first base station, which is generated based on AK_BS received by the first base station from the dateway device, and the wireless terminal is MSK_SRNC or K_ASME, By the TEK_BS generated based on the authentication information exchanged with the first base station, the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
Thereafter, the gateway apparatus is provided in which the wireless terminal performs user authentication with the first access network and executes a handover to the first access network.
本発明によれば、各アクセス網の独立性を確保しつつ、異種アクセス網間ハンドオーバー時のデータパスの切り替えを高速化することが可能になる。 According to the present invention, it is possible to increase the speed of data path switching during handover between different access networks while ensuring the independence of each access network.
以下、本発明の実施の形態を、図面を用いて説明する。
I.実施の形態1
1.システム構成
図1は、本実施の形態における通信網の構成例を示す図である。
無線端末MN5は、WiMAXアクセス網2とUMBアクセス網3の両方にアクセス手段を持つ端末である。通信先装置CN6は、MN5と通信を行う端末、あるいはサーバである。
コア網1は、WiMAXアクセス網2とUMBアクセス網3の両方を収容する通信網であり、サーバAAA11、ノードHA12が接続される。AAA11は、端末の識別子と認証情報の対応付けを管理し、端末を認証するサーバである。HA12はMobile IPで規定されるノードであり、MN5のHoAとCoA の対応付けを管理する。HA12は、MN5がネットワークを移動した場合にもHoAによる通信を継続できるように、CN6から受信したMN5のHoA宛てのIPパケットをMN5のCoA宛てのIPinIPパケットに変換してMN5に転送する。また反対に、MN5から受信したIPinIPパケットをデカプセル化してCN6に転送する。
WiMAXアクセス網2には、ノード(基地局)BS22(a〜c)とアクセスルータASN−GW21が接続される。BS22(a〜c)は、MN5からのWiMAX無線信号を有線信号に相互変換して転送するノードである。BS22(a〜c)は、MN5、ASN−GW21と制御信号およびユーザデータを送受信する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
I. Embodiment 1
1. System Configuration FIG. 1 is a diagram showing a configuration example of a communication network in the present embodiment.
The wireless terminal MN5 is a terminal having access means in both the
The core network 1 is a communication network that accommodates both the
A node (base station) BS 22 (ac) and an access router ASN-
図16(a)は、WiMAXアクセス網2における、ユーザデータのプロトコルスタック図を示す。図16(a)に示すように、BS22(a〜c)はMN5から受信したWiMAX無線信号からIPパケットを取り出し、GREカプセル化を行ってASN−GW21に転送する。また、ASN−GW21からGREパケットを受信し、WiMAX無線信号に変換してMN5に転送する。
ASN−GW21は、MN5を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、ASN−GW21はMN5の代理で自身のIPアドレスをCoAとしてHA12に登録する。ASN−GW21は、HA12、BS22(a〜c)と制御信号およびユーザデータを送受信する。
図16(a)に示すように、ASN−GW21はBS22(a〜c)からGREカプセル化されたユーザパケットを受信し、IPinIPパケットに変換してHA12に転送する。また、HA12からIPinIPパケットを受信し、GREパケットに変換してBS22(a〜c)に転送する。
UMBアクセス網3には、ノード(基地局)eBS33(a〜c)、アクセスルータAGW31、ノードSRNC32が接続される。eBS33(a〜c)は、UMB無線信号を有線信号に相互変換して転送するノードである。eBS33(a〜c)は、MN5、AGW31、SRNC32、および他のeBS33(a〜c)と制御信号を送受信する。また、MN5、AGW31、および他のeBS33(a〜c)とユーザデータを送受信する。
図16(b)は、UMBアクセス網3におけるユーザデータのプロトコルスタック図を示す。図16(b)に示すように、eBS33(a〜c)はMN5から受信したUMB無線信号を復号化してIPパケットを取り出し、GREカプセル化を行ってAGW31に転送する。また、AGW31からGREパケットを受信し、UMB無線信号に変換してMN5に転送する。
FIG. 16A shows a protocol stack diagram of user data in the
The ASN-
As shown in FIG. 16A, the ASN-
A node (base station) eBS 33 (ac), an
FIG. 16B shows a protocol stack diagram of user data in the
AGW31は、eBS33(a〜c)を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、MN5の代理で自身のIPアドレスをCoAとしてHA12に登録する。AGW31は、HA12、SRNC32、およびeBS33(a〜c)と制御信号を送受信する。また、HA12、eBS33(a〜c)とユーザデータを送受信する。
図16(b)のプロトコルスタック図に示すように、AGW31はeBS33(a〜c)からGREカプセル化されたユーザパケットを受信し、IPinIPパケットに変換してHA12に転送する。また、HA12からIPinIPパケットを受信し、GREパケットに変換してeBS33(a〜c)に転送する。
SRNC32は、UMBアクセス網3における通信セッション情報(すなわち、端末が接続しているeBSのIDや、AGWのID、無線コネクションの状態など)を管理するノードである。SRNC32は、eBS33(a〜c)およびAGW31と制御信号を送受信する。
The
As shown in the protocol stack diagram of FIG. 16B, the
The
(HO−GW4)
HO−GW4は、WiMAXアクセス網2とUMBアクセス網3の両方に接続されるゲートウェイ装置である。HO−GW4は、MN5がWiMAXアクセス網2とUMBアクセス網3の間を移動する際に、WiMAXアクセス網2におけるInter−AGWハンドオーバー手順とUMBアクセス網3におけるInter−AGWハンドオーバー手順とを相互変換して中継する。
HO−GW4は、WiMAXアクセス網2に対しては、仮想的なASN−GWおよびWiMAX BSとして振舞う。すなわち、HO−GW4は、ASN−GW21に対してASN−GW間インタフェース(WiMAXのR4インタフェース)で接続し、制御信号およびユーザデータを送受信する。また、HO−GW4は、UMBアクセス網3に対しては、仮想的なSRNCおよびeBSとして振舞う。すなわち、HO−GW4はSRNC32とSRNC間インタフェース(UMBのU4インタフェース)で接続し、制御信号を送受信する。また、AGW31に対しては、AGW−eBS間インタフェース(UMBのU1インタフェース)で接続し、制御信号およびユーザデータを送受信する。また、eBS33(a〜c)に対しては、eBS間インタフェース(UMBのU3インタフェース)で接続し、制御信号およびユーザデータを送受信する。ここで、HO−GW4は、例えば、所定のUMBエリア内の全てのeBSと接続する構成としてもよい。または、HO−GW4は、例えば、全てのeBSと接続するのではなく、WiMAXアクセス網2との境界に位置するひとつ又は複数のeBS(図1の例ではeBS33a)とのみ接続する構成としてもよい。このような構成とすることで、HO−GW4の設定が単純化できるとともに、HO−GW4がeBSとの接続に使用するリソースを節約できる効果がある。
図2は、HO−GW4の装置構成例を示す。
HO−GW4は、Hard Disk81、CPU82、Memory83、IF(84a、84b)を備え、これらはバス85を介して接続されている。HO−GW4の機能を実現するためのプログラムはMemory 83に格納されており、CPU82が順次それを読み出して実行する。
(HO-GW4)
The HO-
The HO-
FIG. 2 shows a device configuration example of the HO-
The HO-
(コンテキストテーブル)
図3(a)は、HO−GW4がMemory83またはHard Disk81で管理するWiMAXコンテキストテーブル100の構成例を示す。WiMAXコンテキストテーブル100は、MN ID101、接続先情報102、QoS情報103、認証情報104、データパス情報105、UMB Contextへのポインタ106を含む。
MN ID101には、WiMAXアクセス網2におけるMNのID(すなわち、MNのMAC(Media Access Control)アドレス等のアドレス)が設定される。接続情報102には、MNを収容しているBSのIDや、ASN−GWのIDが設定される。QoS情報103には、IPフローを識別するためのフィルタ情報(TFT: Traffic Flow Template)と、各IPフローのQoSクラス等が設定される。認証情報104には、ASN−GW21から通知されるパラメータAK_GW(図14参照、説明は後述)や、HO−GW4からWiMAX BSに通知するパラメータAK_BS(図20参照、説明は後述)などが設定される。データパス情報105には、WiMAXアクセス網2とHO−GW4間でユーザデータを送受信するためのトンネル情報(すなわち、トンネル端点(ASN−GW)のIPアドレスや、トンネルヘッダ情報(GRE Key)など)が設定される。UMB コンテキストへのポインタ106には、UMB コンテキストテーブル120(後述)の関連するエントリへのポインタが設定される。
(Context table)
FIG. 3A shows a configuration example of the WiMAX context table 100 managed by the HO-
In the
図3(b)は、HO−GW4がMemory83またはHard Disk81で管理するUMB コンテキストテーブル120の構成例を示す。UMB コンテキストテーブル120は、MN ID121、接続先情報122、QoS情報123、認証情報124、データパス情報125、WiMAX Contextへのポインタ126を含む。
MN ID121には、UMBアクセス網3におけるMNのユニキャストID(UATI)が設定される。接続先情報122には、MNを収容しているeBSのIDや、SRNCのID、AGWのIDなどが設定される。QoS情報123には、IPフローを識別するためのフィルタ情報(TFT)や、各IPフローのQoSクラスなどが設定される。認証情報124には、SRNC32から通知されるパラメータMSK_GW(図20参照、説明は後述)や、HO−GW4からUMB eBSに通知するパラメータMSK_eBS(図14参照、説明は後述)などが設定される。データパス情報125には、UMBアクセス網3とHO−GW4間でユーザデータを送受信するためのトンネル情報(すなわち、トンネル端点(AGWまたはeBS)のIPアドレス、HO−GW4−MN間の通信を保護する暗号鍵TSK_GW(図14参照、説明は後述)などが設定される。WiMAX コンテキストへのポインタ126には、WiMAX コンテキストテーブル100の関連するエントリへのポインタが設定される。
FIG. 3B shows a configuration example of the UMB context table 120 managed by the HO-
In the
2.ハンドオーバー処理(WiMAX→UMB)
図4は、本実施の形態のシステムにおいてMN5がWiMAXアクセス網2からUMBアクセス網3へハンドオーバーする手順を示す。また、図1はそのようなハンドオーバーの説明図を示す。
はじめに、MN5はWiMAXアクセス網2のみに接続されており、BS22c、ASN−GW21、HA12経由でCN6とデータ通信を行っている(201)。この時点で、HO−GW4は、MN5に関する情報を一切保持していない。一方、MN5はWiMAX通信コンテキスト情報と、H0−GW4の情報を保持している。ここで、MN5が保持するWiMAX通信コンテキストとは、接続中のBS(BS22c)のID、IPフロー毎のQoS情報、MN5−BS22c間の無線通信を保護する暗号鍵等を含む(各情報の取得方法は、従来技術で説明した方法と同様である)。 また、HO−GW4の情報とは、HO−GW4の仮想ASN−GWのID、仮想BSのID、仮想SRNCのID、仮想eBSのID、そのほかHO−GW4との通信に必要なパラメータやアルゴリズム情報を含む。HO−GW4の情報は、MN5がWiMAXアクセス網に接続した際にAAA11などから動的に取得してもよいし、あるいはMN5のハードウェア上に静的に設定されていてもよい。あるいは、近隣のWiMAX BSから広告されるメッセージ等から取得してもよい。
また、従来技術と同様に(図18、従来技術に基づくWiMAX暗号鍵の生成方法を参照)、MN5とBS22cとが無線区間の暗号鍵を生成する。すなわち、はじめに、MN5がWiMAXアクセス網2に接続する際に、EAP (Extensible Authentication Protocol)によるユーザ認証が行われ、AAA11とMN5がMSK (Master Session Key)を共有する。MSKは、EAP認証プロセスの中でAAA11からASN−GW21へと通知される。ASN−GW3021は、MSKからPMK(Pairwise Master Key)を生成し、メモリ内に記憶する。この後MN5がBS22cに接続した際に、ASN−GW21はPMKとBS22cのIDからAK (Authorization Key)_BSを生成し、BS22cに通知する。AK_BSは、BS IDの関数であるため、BS毎に異なる値となる。一方、MN5は、ASN−GW21と同じ事前に設定されたアルゴリズムを用いてBS22cに対するAK_BSを生成する。この時点で、MN5とBS22cは、同じAK_BSを共有している。そして、MN5とBS22cは、AK_BSを用いて鍵交換処理を行い、無線区間の暗号鍵TEK(Transport Encrption Key)_BSを交換する。以上で、無線区間の暗号鍵(TEK_BS)の生成が完了する。
2. Handover processing (WiMAX → UMB)
FIG. 4 shows a procedure in which the
First, the
Similarly to the conventional technique (see FIG. 18, WiMAX encryption key generation method based on the conventional technique), the
その後、WiMAXの電波状況が悪化するなどの理由により、MN5がUMBアクセス網3へのハンドオーバーを決定する(202)。そして、MN5はUMBアクセス網3の電波状況を測定し、例えば、最も電波状況のよいeBS(例えばeBS33a)に対して接続を要求する(203)。MN5の接続要求には、例えばMNのID、HO−GW4の仮想BS ID又は仮想SRNC ID、Route Counter等を含むことができる。
ステップ203では、概略次のような処理が実行される。
ASN−GW21が、事前に設定されたアルゴリズムを用いて、コア網1からMSKを受けたMSKに基づきコア網1−ASN−GW21間の通信を保護する暗号鍵AK_GWを生成し、HO−GW4に渡す。この暗号鍵により、ASN−GW21とHO−GW4とのデータパスが設定される(後述の図5、ステップ266,267参照)。また、HO−GW4が、事前に設定されたアルゴリズムを用いて、ASN−GW21から受けたAK_GWに基づきHO−GW4−MN5間の通信を保護する暗号鍵TSK_GW及びHO−GW4−eBS33a間の通信を保護する暗号鍵MSK_eBSを生成し、UMBコンテキストテーブル120に設定する。このときHO−GW4は、BS22c、ASN−GW21からMN5のWiMAX通信コンテキストを取得し、UMB通信コンテキストに変換してeBS33aに通知する。この暗号鍵MSK_eBSにより、HO−GW4とeBS33aとのデータパスが設定される(後述の図5、ステップ269,270参照)。
ステップ203の詳細は、後で図5〜7、図14を用いて詳しく説明する。
次に、eBS33aは、ステップ203でHO−GW4から通知されたUMB通信コンテキストに含まれる認証情報(MSK_eBSを含む。) に基づき、事前に設定されたアルゴリズムを用いて、暗号鍵PMK_eBSを作成する。eBS33aは、PMK_eBS等のパラメータを用いて、MN5と鍵交換を行う(204)。MN5−eBS33a間の鍵交換で使用するパラメータは、後で図14を用いて説明する。MN−eBS鍵交換の結果、MN5とeBS33aは、共有する事前に設定されたアルゴリズムを用いて、PMK_eBSに基づき、MN5−eBS33a間の通信を保護する暗号鍵(TSK_eBS)を生成する。そしてこれ以降、MN5−eBS33a間のメッセージは暗号で保護されるようになる。
After that, the
In step 203, the following general processing is executed.
The ASN-
Details of step 203 will be described later with reference to FIGS.
Next, the
次に、MN5とeBS33aは、保護された通信路上で無線データリンク設定を行う(205)。無線データリンクの設定が完了すると、CN6からのユーザデータは、HA12、ASN−GW21、HO−GW4、eBS33aを経由してMN5に到達するようになる(206)。
図8(a)と図8(b)に、ステップ206におけるプロトコルスタックの例を示す。図8(a)の例では、HO−GW4がASN−GW21から受信したGREパケット中のIPパケットを取り出し、UMB L2(Layer 2)ヘッダとL2TPv3(Layer 2 Tunneling Protocol version 3)ヘッダでカプセル化してeBS33に転送する。UMB L2ヘッダは、MN5で終端されるが、L2TPv3はeBS33aで終端される。eBS33aは、L2TPv3パケットからUMB L2パケットを取り出し、IRTP(Inter Route Tunneling Protocol)ヘッダとUMB L2ヘッダを付加してMN5に転送する。
一方、図8(b)の例では、HO−GW4がASN−GW21から受信したGREパケット中のIPパケットを取り出し、L2TPv3ヘッダでカプセル化してeBS33aに転送する。eBS33aは、L2TPv3パケットからIPパケットを取り出し、UMB L2ヘッダを付加してMN5に転送する。
Next, the
FIG. 8A and FIG. 8B show examples of protocol stacks in
On the other hand, in the example of FIG. 8B, the HO-
図4に戻り、ハンドオーバー手順の説明を続ける。eBS33aは、ステップ205の後、MN5に対してSRNC32のIDを通知する(207)(なお、eBS33aはSRNC32のIDを予め把握している。)。MN5は、通知されたSRNC32に接続を要求する(208)。ステップ208においてMN5からSRNC32に送信する接続要求には、MN5のユニキャストID(UATI: 後で図5、図6で示すように、本実施の形態ではWiMAX MN IDに等しい)と、接続中のSRNCのID(ここではHO−GW4の仮想SRNC ID)が含まれる。SRNC32は、通知されたユニキャストID(UATI)とSRNC IDを用いてHO−GW4からUMBコンテキストを取得した後、MN5に対して接続許可応答を返信する。接続許可応答には、SRNC32がMN5に対して新たに割り当てるユニキャストID(UATI)が含まれる。
続いて、UMBアクセス網に対してEAP−AKA認証が行われる(209)。EAP−AKA認証に成功すると、MN5とAAA11の間でMSK_SRNC(図19参照)が共有される。MSK_SRNCは、AAA11からSRNC32へと通知される。
次に、MSK_SRNCを使用して、MN5とSRNC32間の通信を保護する暗号鍵TSK_SRNC(図19参照)の交換が行われる(210)。MSK_SRNCから暗号鍵TSK_SRNCを生成する方法は、図19を用いて説明した通りである。MN−SRNC鍵交換処理の後、MN5とSRNC32間の通信はTSK_SRNCを用いて保護されるようになる。
次に、MN5とSRNC32は、保護された通信路上で無線データリンク層の設定を行う(211)。そして、最後にデータパス設定(eBS33a−AGW31間のGREトンネル設定、AGW31−HA12間のIPinIPトンネル設定)と、AGW31からMN5へのIPアドレス払い出しが行われ(212)、MN5のUMBアクセス網3への接続が完了する。これ以降、MN5はeBS33a、AGW31、HA12経由でCN6とデータ通信を行うようになる(213)。以上で、MN5がWiMAXアクセス網2からUMBアクセス網3へハンドオーバーする手順が完了する。
Returning to FIG. 4, the description of the handover procedure will be continued. After
Subsequently, EAP-AKA authentication is performed on the UMB access network (209). When the EAP-AKA authentication is successful, the MSK_SRNC (see FIG. 19) is shared between the
Next, the encryption key TSK_SRNC (see FIG. 19) for protecting communication between the
Next, the
(ステップ203の詳細)
以下では、図4のステップ203の詳細を、図5〜7、図14を用いて詳しく説明する。
図5は、WiMAXアクセス網2において、制御ハンドオーバー(Controlled Handover)を行うコールフローの例を示す。制御ハンドオーバーは、移動元アクセス網がハンドオーバーの準備を行う準備フェーズ(Preparation Phase)と、端末が移動先アクセス網に接続する実行フェーズ(Action Phase)とに分けられる。図5のステップ251〜260が準備フェーズに相当し、ステップ261以降が実行フェーズに相当する。
はじめに、MN5はBS22cに対してMOB_MSHO_REQ(251)を送信し、ハンドオーバーの準備を要求する。MOB_MSHO_REQ(251)には、WiMAXアクセス網2におけるMN5のIDと、移動先BSのID(ここではHO−GW4の仮想BS ID)が含まれる。BS22cは、MOB_MSHO_REQ(251)を受信すると、同様の情報を含むHO_REQ(252)を、ASN−GW21に対して送信する。ASN−GW21はHO_REQ(252)をHO−GW4に転送する。
HO−GW4は、HO_REQ(252)からMN5のID、BS22cのID、ASN−GW21のIDを抽出し、WiMAXコンテキストテーブル100(図3a)のMN ID(101)、接続先情報(102)に設定する。そしてContext_Req(253)にMN5のIDを含めてASN−GW21、BS22cに送信し、WiMAXの通信コンテキストを要求する。BS22c、ASN−GW21は、これに対してContext_Rpt(254)を返信し、WiMAXのQoS情報(TFT、QoSクラス)と認証情報(AK_GW: 図14参照、後述)を返信する。HO−GW4は、Context_Rpt(254)に含まれるQoS情報と認証情報を、WiMAXコンテキストテーブル100(図3a)のQoS情報(103)と認証情報(104)に設定する。
次にHO−GW4は、ASN−GW21に対してPath_Prereg_Req(255)を送信し、データパスの設定を予約する。ASN−GW21はこれに対してPath_Prereg_Rsp(256)で応答する。HO−GW4は確認応答Path_Prereg_Ack(257)を返信する。
次に、HO−GW4は、ASN−GW21に対してHO_RSP(258)を送信し、ハンドオーバーの準備完了を通知する。ASN−GW21はHO_RSP(258)をBS22cに転送する。BS22cはMON_BSHO_RSP(259)をMN5に送信するとともに、ASN−GW21に対してHO_Cnf(260)を返信する。ASN−GW21はHO_Cnf(260)をHO−GW4に転送する。以上で、ハンドオーバー準備フェーズが完了する。
(Details of step 203)
In the following, details of step 203 in FIG. 4 will be described in detail with reference to FIGS.
FIG. 5 shows an example of a call flow for performing a control handover in the
First, the
The HO-
Next, the HO-
Next, the HO-
次に、MN5はBS22cに対してMOB_HO_IND(261)を送信し、ハンドオーバー実行フェーズを開始する。BS22cは、MOB_HO_IND(261)を受信するとHO−GW4にHO_Cnf(262)を送信する。HO_Cnf(262)は、ASN−GW21を経由してHO−GW4に到達する。HO−GW4は、HO_Cnf(262)に対するHO_Ack(263)を返信する。HO_Ack(263)はASN−GW21を経由してBS22cに到達する。
次に、MN5はUMBのeBS33aに対してRouteOpenRequest(264)を送信し、eBS33aへの接続を要求する。RouteOpenRequest(264)には、現在MNを収容しているSRNCのID(ここではHO−GW4の仮想SRNC ID)と、MN5がeBS33aへのルートを識別するルートカウンタ(RouteCounter)、WiMAXのMN IDを含める。好ましい例においては、WiMAXのMN IDをRouteOpenRequestのUATIフィールドに設定してもよい。MN IDをUATIフィールドに設定することで、既存のUMB標準規格を変更することなく、本実施の形態を実施できる効果がある。
次に、eBS33aはRouteOpenRequest(264)に含まれるSRNC(ここではHO−GW4の仮想SRNC)に対してIAS−Session Information Request(265)を送信し、UMB通信コンテキストを要求する。IAS−Session Information Request(265)には、RouteOpenRequest(264)と同様の情報が含まれる。
HO−GW4は、IAS−Session Information Request(265)からUATI(本実施の形態ではWiMAX MN IDに等しい)と、eBS33aのIDを抽出し、UMBコンテキストテーブル120(図3b)のMN ID(121)、接続先情報(122)に設定する。また、WiMAX MN IDをキーとして、WiMAXコンテキストテーブル100の関連するエントリを検索し、WiMAXコンテキストとUMBコンテキストに相互リンクを作成する。すなわち、図3aのUMBコンテキストへのポインタ106と図3bのWiMAXコンテキストへのポインタ126を相互に設定する。
そして、HO−GW4はASN−GW21に対してPath_Req_Req(266)を送信し、ASN−GW21とHO−GW4間のデータパスを正式に設定する。Path_Req_Req(266)には、HO−GW4が提案するトンネル情報(HO−GW4のトンネル終端IPアドレス、GRE Key等)が含まれる。ASN−GW21は、これに対して、Path_Reg_Rsp(267)で応答する。Path_Req_Rsp(267)には、ASN−GW21が提案するトンネル情報(ASN−GW21のトンネル終端IPアドレス、GRE Key等)が含まれる。HO−GW4は、Path_Req_Req(266)、Path_Reg_Rsp(267)で交渉したデータパス情報を、WiMAXコンテキストテーブル100(図3a)のデータパス情報(105)に設定する。
次に、HO−GW4はWiMAXの通信コンテキスト(図3a)に基づいてUMBの通信コンテキスト(図3b)を生成する(268)。
以下、図7と図14を用いてHO−GW4におけるUMBコンテキスト生成処理を説明する。
Next, the
Next, the
Next, the
The HO-
Then, the HO-
Next, the HO-
Hereinafter, UMB context generation processing in the HO-
図7は、HO−GW4におけるUMBコンテキスト生成ルーチン350(図5ステップ268、図6ステップ308)を示す。
はじめに、HO−GW4はWiMAXコンテキストテーブル100(図3a)のQoS情報(103)を、UMBコンテキストテーブル120(図3b)のQoS情報(123)にコピーする(351)。次に、WiMAXコンテキストテーブル100(図3a)の認証情報(104)から、UMBコンテキストテーブル120(図3b)の認証情報MSK_eBS(124)と、データパス情報(125)の暗号鍵(TSK_GW)を生成する(352)。ステップ352の詳細は、後で図14を用いて説明する。以上で、UMBコンテキスト生成ルーチン350が完了する。
図14に、WiMAXの認証情報からUMBの暗号鍵を生成する方法を示す。
次に、図14を用いて、UMB認証情報の生成方法(図7のステップ352)を説明する。はじめに、MN5がWiMAXアクセス網2に接続した際に、EAPによるユーザ認証が行われ、MN5とAAA11がMSKを共有する。MSKは、EAP認証プロセスの中でAAA11からASN−GW21へと通知される。ASN−GW21は、事前に設定されたアルゴリズムを用いてMSKからPMKを生成し、メモリ上に記憶する。
この後、ASN−GW21はHO−GW4からContext_Req(図 5のステップ253)を受信した際に、事前に設定されたアルゴリズムを用いてPMKとHO−GW4の仮想BS IDからAK_GWを生成し、Context_Rpt(図5のステップ254)に含めてHO−GW4に通知する。HO−GW4は、AK_GWをWiMAXコンテキストテーブル100(図3a)の認証情報(104)に設定する。そして、HO−GW4は、事前に設定されたアルゴリズム(g1)とAK_GWを用いて、HO−GW4−MN5間の通信を保護する暗号鍵(TSK_GW)を生成し、UMBコンテキストテーブル120(図3a)のデータパス情報(125)に設定する。
また、HO−GW4は、eBS33aからIAS−Session Information(図5のステップ265)を受信した際に、事前に設定されたアルゴリズム(g2)と、IAS−Session Informationに含まれるeBS ID、およびAK_GWからMSK_eBSを生成し、UMBコンテキストテーブル120(図3a)の認証情報(124)に記憶する。このMSK_eBSはIAS−Session Information Response(図5のステップ271、後述)でeBS33aに通知され、eBS33aは、事前に設定されたアルゴリズム(f2)を用いて、MSK_eBSに基づき、暗号鍵PMK_eBSを生成し、例えば、このPMK_eBSがMN5−eBS33a間の鍵交換(図4のステップ204)に使用される。eBS33aは、鍵交換の結果、PMK_eBSに基づき、事前に設定されたアルゴリズム(f3)を用いて、TSK_eBSを生成する。
MN5は、ASN−GW21、HO−GW4、eBS33aと同様に、MSK等に基づき共有している事前に設定されたアルゴリズムを用いて、TSK_GWを生成し、また、eBS33aとの鍵交換の結果、PMK_eBSに基づき(又はMSKに基づき)、事前に設定されたアルゴリズムを用いて、TSK_eBSを生成する。
このように、HO−GW4がWiMAXアクセス網から通知された認証情報(AK_GW)を用いてUMBアクセス網の認証情報(TSK_GW、MSK_eBS)を生成することにより、UMBでのEAP−AKA認証を行うことなくUMB経由のデータ通信を保護することが可能になる。
FIG. 7 shows a UMB context generation routine 350 (
First, the HO-
FIG. 14 shows a method for generating a UMB encryption key from WiMAX authentication information.
Next, a method for generating UMB authentication information (
Thereafter, when the ASN-
Further, when the HO-
Similar to ASN-GW21, HO-GW4, and eBS33a, MN5 generates TSK_GW by using a preset algorithm shared based on MSK and the like, and as a result of key exchange with eBS33a, PMK_eBS Based on (or based on MSK), TSK_eBS is generated using a preset algorithm.
As described above, the HO-
図5に戻り、コールフローの説明を続ける。HO−GW4は、ステップ268でUMBコンテキストを生成した後、IAS−Session Information Response(269)にQoS情報(TFTとQoSクラス)、認証情報(図14の方法で生成したMSK_eBS)、データパス情報(HO−GW4のトンネル終端IPアドレス)を含めてeBS33aに通知する。eBS33aは、通知された情報を自身のメモリ上に記憶する。そして、MN5に対してRouteOpenAccept(270)を送信し、接続を許可する。
HO−GW4は、IAS−Session Information Response(269)送信の後、ASN−GW21に対してHO_Complete(271)を送信し、ハンドオーバーの完了を通知する。HO_Complete(271) は、ASN−GW21を経由してBS22cに到達する。
ASN−GW21は、HO_Complete(271)送信の後、BS22cに対してPath_Dereg_Req(272)を送信し、ASN−GW21とBS22c間のデータパスを削除する。BS22cは、これに対してPath_Dereg_Rsp(273)を返信する。ASN−GW21はBS22cに確認応答Path_Dereg_Ack(274)を送信する。なお、このデータパスは削除しない構成とすることもできる。
以上で、WiMAXアクセス網3において制御ハンドオーバー(Controlled Handover)を行うコールフローが完了する。
Returning to FIG. 5, the description of the call flow will be continued. After generating the UMB context in
After transmitting the IAS-Session Information Response (269), the HO-
After transmitting HO_Complete (271), the ASN-
Thus, the call flow for performing the control handover in the
図6は、WiMAXアクセス網2において非制御ハンドオーバー(Uncontrolled Handover)を行うコールフローの例を示す。非制御ハンドオーバーでは、ハンドオーバー準備フェーズを行わずに、端末が移動先の基地局に直接接続要求を行う。
はじめに、MN5はeBS33aに対してRouteOpenRequest(301)を送信する。RouteOpenRequest(301)には、現在MNを収容しているSRNCのID(ここではHO−GW4の仮想SRNC ID)と、MN5がeBS33aへの経路に対して割り当てるルートカウンタ(RouteCounter)、WiMAXのMN ID、WiMAXのBS IDを含める。好ましい例においては、WiMAXのMN IDをRouteOpenRequestのUATIフィールドに設定してもよい。
次に、eBS33aはRouteOpenRequest(301)に含まれるSRNC(ここではHO−GW4の仮想SRNC ID)に対してIAS−Session Information Request(302)を送信し、UMB通信コンテキストを要求する。IAS−Session Information Request(302)には、RouteOpenRequest(301)と同様の情報が含まれる。
HO−GW4は、IAS−Session−Information Request(302)からUATI(本実施の形態ではWiMAX MN IDに等しい)と、eBS ID33aのIDを抽出し、UMBコンテキストテーブル120(図3b)のMN ID(121)、接続先情報(122)に設定する。また、WiMAX MN IDを検索キーとして、WiMAXコンテキストテーブル100の関連するエントリを検索する。図6のシーケンスでは、関連するWiMAXコンテキストが存在しないため、HO−GW4はWiMAXアクセス網3からWiMAXコンテキストを取得する必要があると判断する。
FIG. 6 shows an example of a call flow for performing an uncontrolled handover in the
First, the
Next, the
The HO-
次に、HO−GW4はIAS−Session−Information Request(302)に含まれるWiMAX BS(BS22c)宛てにContext_Req(303)を送信し、WiMAXコンテキストを要求する。Context_Req(303)は、ASN−GW21を経由してBS22cに到達する。
BS22c、ASN−GW21は、Context_Req(303)を受信すると、Context_Rpt(304)を返信し、WiMAXのQoS情報(TFT、QoSクラス)と認証情報(AK_GW: 図14参照)を返信する。HO−GW4は、Context_Rpt(304)を受信すると、WiMAX MN ID、ASN−GW ID、BS IDを、WiMAXコンテキストテーブル100(図3a)のMN ID(101)と接続先情報(102)に設定する。また、Context_Rpt(304)に含まれるQoS情報と認証情報を、WiMAXコンテキストテーブル100(図3a)のQoS情報(103)と認証情報(104)に設定する。そして、関連するUMBコンテキストと相互リンクを作成する。すなわち、図3aの106と図3bの126を相互に設定する。
次に、HO−GW4はASN−GW21に対してPath_Reg_Req(305)を送信し、HO−GW4とASN−GW21間のデータパスを設定する。Path_Reg_Req(305)には、HO−GW4が提案するトンネル情報(HO−GW4のトンネル終端IPアドレス、GRE Key等)が含まれる。ASN−GW21はこれに対してPath_Reg_Rsp(306)で応答する。Path_Reg_Rsp(306)には、ASN−GW21が提案するトンネル情報(HO−GW4のトンネル終端IPアドレス、GRE Key等)が含まれる。HO−GW4は確認応答Path_Reg_Ack(307)を返信し、Path_Req_Req(305)、Path_Reg_Rsp(306)で交渉したデータパス情報を、WiMAXコンテキストテーブル100(図3a)のデータパス情報(105)に設定する。
次に、HO−GW4はWiMAXコンテキストからUMBコンテキストを生成する(308)。UMBコンテキストの生成方法は、図7で説明した手順に従う。
次に、HO−GW4は、eBS33aに対してIAS−Session Information Response(309)を送信し、ステップ308で生成したQoS情報(TFTとQoSクラス)、認証情報(MSK_eBS)、データパス情報(HO−GW4のトンネル終端IPアドレス)を通知する。eBS33aは、通知された情報を自身のメモリ上に記憶する。そして、MN5に対してRouteOpenAccept(310)を送信し、接続を許可する。
ASN−GW21は、Path_Reg_Ack(307)受信の後、BS22cに対してPath_Dereg_Req(311)を送信し、ASN−GW21−BS22c間のデータパスを削除する。BS22cは、これに対してPath_Dereg_Rsp(312)を返信する。ASN−GW21はBS22cに確認応答Path_Dereg_Ack(313)を送信する。なお、このデータパスは削除しない構成とすることもできる。
以上で、WiMAXアクセス網3において非制御ハンドオーバー(Uncontrolled Handover)を行うコールフローが完了する。
Next, the HO-
Upon receiving Context_Req (303), the
Next, the HO-
Next, the HO-
Next, the HO-
After receiving Path_Reg_Ack (307), the ASN-
This completes the call flow for performing uncontrolled handover in the
3.ハンドオーバー処理(UMB→WiMAX)
図9は、本実施の形態のシステムにおいてMN5がUMBアクセス網3からWiMAXアクセス網2へハンドオーバーする手順を示す。また、図21は、そのようなハンドオーバーの説明図を示す。
はじめに、MN5はUMBアクセス網3に接続されており、eBS33a、AGW31、HA12経由でCN6とデータ通信を行っている(401)。この時点で、HO−GW4は、MN5に関する情報を一切保持していない。一方、MN5はUMBの通信コンテキスト情報と、H0−GW4の情報を保持している。MN5が保持するUMBの通信コンテキストとは、接続中のBS(eBS33a)のID、IPフロー毎のQoS情報、MN5−eBS33a間の無線通信を保護する暗号鍵、MN5−SRNC32間の通信を保護する暗号鍵等を含む(各情報の取得方法は、従来技術で説明した方法と同様である。)。また、HO−GW4の情報とは、HO−GW4の仮想ASN−GWのID、仮想BSのID、仮想SRNCのID、仮想eBSのID、その他HO−GW4との通信に必要なパラメータやアルゴリズムを含む。HO−GW4の情報は、MN5がUMBアクセス網に接続した際にAAA11などから動的に取得してもよいし、あるいはMN5のハードウェア上に静的に設定されていてもよい。あるいは、近隣のUMB eBSから広告されるメッセージ等から取得してもよい。
3. Handover processing (UMB → WiMAX)
FIG. 9 shows a procedure in which the
First, the
その後、MN5はWiMAX BS22cの信号強度が強くなる等の理由により、WiMAXアクセス網2へのハンドオーバーを決定する(402)。そして、MN5はBS22cへのハンドオーバー要求を送信する(403)。この要求には、例えば、HO−GW4の仮想BS ID、MNのID、SUNC ID等を含むことができる。このとき、認証情報について、HO−GW4は、事前に設定されたアルゴリズムを用いて、MN5−BS22c間の通信を保護するために、MN5−BS22c間で鍵交換される認証情報(AK_BSを含む)を生成する。また、HO−GW4とBS22とのデータパスが設定され(後述図10、ステップ460、461)、HO−GW4とAGW31Cとのデータパスが設定される(後述図10、ステップ457、458)。HO−GW4はSRNC32からUMBの通信コンテキストを取得し、WiMAXの通信コンテキストに変換してASN−GW21、BS22cに設定する。ステップ403の詳細は、後で図10〜11、図20を用いて詳しく説明する。
次に、BS22cは、ステップ403でHO−GW4から通知されたWiMAX通信コンテキストの認証情報(AK_BSを含む)を用いてMN5と鍵交換を行う(404)。MN5−BS22c間の鍵交換で使用するパラメータは、後で図20を用いて説明する。MN−BS鍵交換の結果、MN5−BS22c間の通信を保護する暗号鍵(TEK_BS)が生成される。そしてこれ以降、CN6からのユーザデータがHA12、AGW31、HO−GW4、ASN−GW21、BS22c経由で送受信されるようになる(405)。
図12に、ステップ405におけるプロトコルスタックの例を示す。図12の例では、HO−GW4がAGW31から受信したGREパケット中のIPパケットを取り出し、再びGREヘッダでカプセル化してASN−GW21に転送する。ASN−GW21は、GREパケット中のIPパケットを取り出し、再びGREヘッダでカプセル化してBS22cに転送する。BS22cは、GREパケット中のIPパケットを取り出し、WiMAX無線信号に変換してMN5に転送する。
図9に戻り、コールフローの説明を続ける。ステップ405でデータパスが切り替わった後、WiMAXアクセス網2においてEAPによるユーザ認証が行われる(406)。EAP認証の結果、MN5とAAA11の間でMSKが共有される。MSKは、AAA11からASN−GW21へと通知される。
次に、データパス登録(ASN−GW21とHA12間のIPinIPトンネル設定)と、ASN−GW21からMN5へのIPアドレス払い出しが行われ(407)、WiMAXアクセス網2への接続が完了する(408)。これ以降、MN5はBS22c、ASN−GW21、HA12経由でCN6とデータ通信を行うようになる。以上で、MN5がUMBアクセス網3からWiMAXアクセス網2へハンドオーバーする手順が完了する。
Thereafter, the
Next, the
FIG. 12 shows an example of the protocol stack in
Returning to FIG. 9, the description of the call flow will be continued. After the data path is switched in
Next, data path registration (IPinIP tunnel setting between ASN-
(ステップ403の詳細)
以下では、図9のステップ403の処理を、図10〜11、図20を用いて詳しく説明する。
図10は、図9のステップ403における詳細なコールフローの例を示す。はじめに、MN5はBS22cに対してRNG_REQ(451)を送信し、WiMAXへの接続を要求する。RNG_REQ(451)には、WiMAXの MN ID、MN5を収容している BS ID(ここではHO−GW4の仮想BS ID)、UMBのMN ID、SRNC ID(ここではSRNC32のID)が含まれる。ASN−GW21は、RNG_REQ(451)から抽出した BS ID(HO−GW4の仮想BS ID)に対してContext_Req(452)を送信し、WiMAX通信コンテキストを要求する。Context_Req(452)には、RNG_REQ(451)と同様の情報が含まれる。Context_Req(452)は、ASN−GW21を経由してHO−GW4に到達する。
HO−GW4は、Context_Req(452)を受信すると、WiMAX MN ID、WiMAX BS ID(BS 22cのID)、ASN−GW ID(ASN−GW21のID)、を抽出し、WiMAXコンテキストテーブル100(図3a)のMN ID(101)、接続先情報(102)に設定する。また、UMB MN IDとSRNC IDを抽出し、UMBコンテキストテーブル120(図3b)のMN ID(121)、接続先情報(122)に設定する。そして、WiMAXコンテキストとUMBコンテキスト間の相互リンクを作成する。すなわち、図3aの106と図3bの126を相互に設定する。
(Details of step 403)
In the following, the process of
FIG. 10 shows an example of a detailed call flow in
When receiving the Context_Req (452), the HO-
次に、HO−GW4はSRNC32に対してIAS−Session Information Request(453)を送信し、UMB通信コンテキストを要求する。IAS−Session Information Request(453)には、UMB MN IDと、MN5がHO−GW4の仮想eBS に対して割り当てたルートカウンタ(RouteCounter)が含まれる。このRouteCounterの値は、後でWiMAXアクセス網の認証情報の生成に使用するため、HO−GW4情報の一部として事前にMN5と共有しておく。SRNC32は、IAS−Session−Information Response(454)にQoS情報(TFTとQoSクラス)、UMB認証情報(MSK_GW: 図20参照、説明は後述)、AGW32のIPアドレスを含めて返信する。HO−GW4は、通知された情報を、UMBコンテキストテーブル120(図3b)のQoS情報(123)、認証情報(124)、データパス情報(125)に設定する。そして、UMBコンテキストに基づいて、WiMAXコンテキストを生成する(455)。
以下、図10のステップ455の詳細を、図11と図20を用いて説明する。
図11は、HO−GW4におけるWiMAXコンテキスト生成ルーチン500を示す(図10ステップ455)。はじめに、HO−GW4はUMBコンテキストテーブル120(図3b)のQoS情報(123)を、WiMAXコンテキストテーブル100(図3a)のQoS情報(103)にコピーする(501)。次に、UMBコンテキストテーブル120(図3b)の認証情報MSK_GW(124)から、WiMAXコンテキストテーブル100(図3b)の認証情報AK_BS(104)を生成する(502)。ステップ502の詳細は、後で図20を用いて説明する。以上で、WiMAXコンテキスト生成ルーチン500が終了する。
Next, the HO-
Details of step 455 in FIG. 10 will be described below with reference to FIGS. 11 and 20.
FIG. 11 shows a WiMAX context generation routine 500 in the HO-GW 4 (step 455 in FIG. 10). First, the HO-
次に、図20を用いて、WiMAX認証情報の生成方法(図11のステップ502)を説明する。はじめに、MN5がUMBアクセス網3に接続した際に、EAP−AKAによるユーザ認証が行われ、MN5とAAA11がMSK_SRNCを共有する。MSK_SRNCは、EAP−AKA認証プロセスの中でAAA11からSRNC32へと通知される。SRNC32は、MSK_SRNCをメモリ上に記憶する。
この後、SRNC32はHO−GW4からIAS−Session Information Request(図 10のステップ453) を受信した際に、事前に設定されたアルゴリズムを用いてIAS−Session Information Requestに含まれるRouteCounterと、MSK_SRNCからMSK_GWを生成する。そして、IAS−Session Information Response(図10のステップ454)に含めてHO−GW4に通知する。HO−GW4は、MSK_GWをUMBコンテキストテーブル120(図3b)の認証情報(124)に設定する。そして、HO−GW4は、事前にMN5と共有しているアルゴリズム(G1)とMSK_GWを用いて、パラメータAK_BSを生成する。AK_BSは、WiMAXコンテキストテーブル100(図3a)の認証情報(104)に設定される。AK_BSは、Context_Rpt(図10のステップ456、後述)でBS22cに通知され、MN5−BS22c間の鍵交換(図9のステップ404)に使用される。
Next, a method for generating WiMAX authentication information (
Thereafter, when the
MN5は、SRNC32、HO−GW4、BS22cと同様に、予め定められた共有しているアルゴリズムを用いて、MSK_GW及びTEK_BSを生成する。
このように、HO−GW4がUMBアクセス網から通知された認証情報(MSK_GW)を用いてUMBアクセス網の認証情報(AK_BS)を生成することにより、WiMAXでのEAP認証を行うことなくWiMAX経由のデータ通信を保護することが可能になる。
図10に戻り、コールフローの説明を続ける。HO−GW4は、ステップ455でWiMAXコンテキストを生成した後、ASN−GW21、BS22cにContext_Rpt(456)を返信し、QoS情報(TFT、QoSクラス)、WiMAX認証情報(AK_BS)を通知する。ASN−GW21とBS22cは、通知された情報をメモリ上に記憶する。
次に、BS22cはHO−GW4に対してPath_Reg_Req(457)を送信し、HO−GW4とASN−GW21間、ASN−GW21とBS22c間のデータパス設定を要求する。Path_Reg_Req(457)は、ASN−GW21を経由してHO−GW4に到達する。Path_Reg_Req(457)には、BS22c 、ASN−GW21が提案するトンネル情報(BS22c、ASN−GW21のトンネル終端IPアドレス、GRE Key等)が含まれる。HO−GW4はこれに対してPath_Reg_Rsp(458)で応答する。Path_Reg_Rsp(458)は、ASN−GW21を経由してBS22cに到達する。Path_Reg_Rsp(458)には、HO−GW4が提案するトンネル情報(HO−GW4のトンネル終端IPアドレス、GRE Key等)が含まれる。BS22cとASN−GW21は、HO−GW4に対して確認応答Path_Reg_Ack(459)を返信する。HO−GW4は、Path_Reg_Ack(459)の受信後、Path_Req_Req(457)、Path_Reg_Rsp(458)で交渉したデータパス情報を、WiMAXコンテキストテーブル100(図3a)のデータパス情報(105)に設定する。
Similar to the
As described above, the HO-
Returning to FIG. 10, the description of the call flow will be continued. After generating the WiMAX context in step 455, the HO-
Next, the
次に、HO−GW4は、AGW31に対してPMIP Registration Request(460)を送信し、AGW31−HO−GW4間のデータパス設定を要求する。PMIP Registration Request(460)には、HO−GW4のトンネル終端IPアドレス、GRE Keyが含まれる。これに対して、AGW31はPMIP Registration Response(461)を返信し、データパスの設定受付を通知する。HO−GW4は、PMIP Registration Request(460)、PMIP Registration Response(461)で設定されたデータパス情報を、UMB
コンテキストテーブル120(図3b)のデータパス情報(125)に設定する。
次に、HO−GW4は、eBS33aに対してIPT−Notification(462)を送信し、AGW31とHO−GW4間のデータパスが設定されたことを通知する。eBS33aはIPT−Notification Ack(463)で応答する。また、HO−GW4は、SRNC32に対してもIPT−Notification(464)を送信し、AGW31とHO−GW4間のデータパス設定完了を通知する。SRNC32はIPT−Notification Ack(465)で応答する。
また、WiMAXのBS22cは、Path_Reg_Ack(459)の送信後に、MN5に対してRNG_RSP(466)を送信し、MN5に対して接続を許可する。以上で、図9のステップ403の処理が完了する。
以上の実施の形態では、異種アクセス網間のハンドオーバーの例として、WiMAXとUMB間のハンドオーバーを説明したが、これ以外のアクセス網に対しても、HO−GW4が異種アクセス網のInter−AGWハンドオーバー手順を中継する本実施の形態の内容を適用することが可能である。
Next, the HO-
It is set in the data path information (125) of the context table 120 (FIG. 3b).
Next, the HO-
Also, the
In the above embodiment, handover between WiMAX and UMB has been described as an example of handover between different types of access networks. However, for other access networks, HO-
4.コーデック変換
この実施の形態は、上述したHO−GW4において、ユーザデータのコーデック変換を行う例を示す。
図13は、コールフローの例を示す。はじめに、MN5はWiMAXアクセス網2のみに接続しており、CN6とCODEC Aのアプリケーションセッションを確立している(551、552)。ここで、UMBアクセス網3は、CN6とCODEC Bのアプリケーションセッションを確立するものとする。この時点で、HO−GW4には、CODEC A、CODEC Bの情報がアクセス網種別と対応付けて設定されている。
この後、MN5はWiMAXアクセス網3の電波状況が悪化する等の理由により、UMBアクセス網3へのハンドオーバーを決定し、図4のステップ202〜205の処理を行う(553)。ステップ553の後、ユーザデータはASN−GW21からHO−GW4、eBS33aを経由してMN5に到達するようになる(554)。
本実施の形態では、ステップ554において、HO−GW4がユーザデータのコーデック種別をCODEC AからCODEC Bに変換する。これにより、WiMAXアクセス網2とUMBアクセス網3で使用するコーデックが異なる場合にも、スムーズにハンドオーバーできる効果がある。
次に、MN5は図4のステップ207〜212の処理を行い、UMBアクセス網2への接続を完了する(555)。そして、MN5はUMBアクセス網2経由でCN6とアプリケーション制御信号を送受信し、コーデック種別をCODEC Bに変更する(556)。これ以降、MN5とCN6間の通信がUMBアクセス網3へと完全に切り替わり、コーデックBを使用して通信が行われるようになる。
4). Codec Conversion This embodiment shows an example of performing codec conversion of user data in the HO-
FIG. 13 shows an example of a call flow. First, the
Thereafter, the
In the present embodiment, in
Next, the
II.実施の形態2
実施の形態2では、異なるアクセス網への適用例として、HO−GWがWiMAXと3GPP(3rd Generation Partnership Project)LTE(Long Term Evolution)間のハンドオーバーを高速化する例を説明する。
1.システム構成
図22は、実施の形態2における通信網の構成例を示す図である。
無線端末MN1050は、WiMAXアクセス網1020とLTEアクセス網1030の両方にアクセス手段を持つ端末である。通信先装置CN1060は、MN1050と通信を行う端末、あるいはサーバである。
コア網1010は、WiMAXアクセス網1020とLTEアクセス網1030の両方を収容する通信網であり、サーバAAA1011、ノードHA1012が接続される。AAA1011は、端末の識別子と認証情報の対応付けを管理し、端末を認証するサーバである。また、AAA1011は、LTEのHSS(Home Subscriber Server)の機能も兼ね備えており、加入者情報や端末位置情報を管理する。HA1012はMobile IPで規定されるノードであり、MN1050のHoAとCoAの対応付けを管理する。
WiMAXアクセス網1020には、ノード(基地局)BS1022(a〜c)とアクセスルータASN−GW1021が接続される。BS1022(a〜c)は、MN1050からのWiMAX無線信号を有線信号に相互変換して転送するノードである。BS1022(a〜c)は、MN1050、ASN−GW1021と制御信号およびユーザデータを送受信する。
ASN−GW1021は、MN1050を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、ASN−GW1021はMN1050の代理で自身のIPアドレスをCoAとしてHA1012に登録する。ASN−GW1021は、HA1012、BS1022(a〜c)と制御信号およびユーザデータを送受信する。
WiMAXアクセス網1020におけるユーザデータのプロトコルスタック図は、実施の形態1において図16(a)を用いて説明したものと同様である。
LTEアクセス網1030には、ノード(基地局)eNB(evolved NodeB)1033(a〜c)、アクセスルータSGW(Serving Gateway)1031、ノードMME(Mobility Management Entity)1032が接続される。eNB1033(a〜c)は、LTE無線信号を有線信号に相互変換して転送するノードである。eNB1033(a〜c)は、MN1050、MME1032、および他のeNB1033(a〜c)と制御信号を送受信する。また、MN1050、SGW1031、および他のeNB1033(a〜c)とユーザデータを送受信する。
SGW1031は、eNB1033(a〜c)を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、MN1050の代理で自身のIPアドレスをCoAとしてHA1012(3GPP標準ではPDN−GW(Packet Data Network − Gateway)と呼ばれる)に登録する。SGW1031は、HA1012、MME1032、およびeNB1033(a〜c)と制御信号を送受信する。また、HA1012、eNB1033(a〜c)とユーザデータを送受信する。
II.
In the second embodiment, as an example of application to different access networks, an example of HO-GW to speed handover between WiMAX and 3GPP (3 rd Generation Partnership Project) LTE (Long Term Evolution).
1. System Configuration FIG. 22 is a diagram illustrating a configuration example of a communication network according to the second embodiment.
The
The
A node (base station) BS 1022 (ac) and an access router ASN-
The ASN-
The protocol stack diagram of user data in the
A node (base station) eNB (evolved NodeB) 1033 (ac), an access router SGW (Serving Gateway) 1031, and a node MME (Mobility Management Entity) 1032 are connected to the
The
MME1032は、LTEアクセス網1030における通信セッション情報(すなわち、端末が接続しているeNBのIDや、SGWのID、データパス情報など)を管理するノードである。MME1032は、eNB1033(a〜c)およびSGW1031と制御信号を送受信する。
図23は、LTEアクセス網3におけるユーザデータのプロトコルスタック図を示す。図23に示すように、eNB1033(a〜c)−SGW1031間はGTP(GPRS Tunneling Protocol)トンネリング、SGW1031−HA1012間はGREトンネリングによりユーザIPパケットを転送する。
図24は、従来技術(3GPP TS 33.401 v8.0.0)に基づくLTEアクセス網1030内の暗号鍵の依存関係を示す。MN1050がLTEアクセス網1030に接続した際に実施される端末とネットワーク間のEPS−AKA(Evolved Packet System − Authentication and Key Agreement)認証時に、AAA1011とMN1050は事前共有秘密鍵(K_S)を使用して種鍵(K_ASME)を生成する。K_ASMEは、EPS−AKA認証処理の中でAAA1011からMME1032へと通知される。MME1032とMN1050は、EPS−AKA認証実施後にK_ASMEを用いてMN−MME鍵交換処理を行い、MN−MME間の制御信号を保護するための暗号鍵K_NASenc(暗号化用)、K_NASint(メッセージ認証用)を生成する。また、MME1032は、K_ASMEからeNB用の暗号鍵K_eNBを生成し、MN1050を収容するeNB1033aに対して通知する。eNB1033aとMN1050は、K_eNBを用いてMN−eNB鍵交換処理を実施し、MN−eNB間の制御信号およびユーザデータを保護するための暗号鍵K_RRCenc(制御信号暗号化用)、K_RRCint(制御信号メッセージ認証用)、K_UPenc(ユーザデータ暗号化用)を生成する。
The
FIG. 23 shows a protocol stack diagram of user data in the
FIG. 24 shows the dependency relationship of encryption keys in the
(HO−GW1040)
HO−GW1040は、WiMAXアクセス網1020とLTEアクセス網1030の両方に接続されるゲートウェイ装置である。HO−GW1040は、MN1050がWiMAXアクセス網1020とLTEアクセス網1030の間を移動する際に、WiMAXアクセス網1020におけるInter−ASN−GWハンドオーバー手順とLTEアクセス網1030におけるInter−MME/SGWハンドオーバー手順とを相互変換して中継する。
HO−GW1040は、WiMAXアクセス網1020に対しては、仮想的なASN−GWおよびWiMAX BSとして振舞う。すなわち、HO−GW1040は、ASN−GW1021に対してASN−GW間インタフェース(WiMAXのR4インタフェース)で接続し、制御信号およびユーザデータを送受信する。また、HO−GW1040は、LTEアクセス網1030に対しては、仮想的なMMEおよびeNBとして振舞う。すなわち、HO−GW1040はMME1032とMME間インタフェース(LTEのS10インタフェース)で接続し、制御信号を送受信する。また、eNB1031に対しては、eNB間インタフェース(LTEのX2インタフェース)で接続し、ユーザデータを送受信する。ここで、HO−GW1040は、例えば、所定のLTEエリア内の全てのeNBと接続する構成としてもよいし、WiMAXアクセス網1020との境界に位置する一つ以上のeNB(図1の例ではeNB1033a)とのみ接続する構成としてもよい。後者の構成をとる場合、HO−GW1040がeNBとの接続に使用するリソースを節約できるメリットがある。
HO−GW1040の装置構成は、実施の形態1において図2を用いて説明したものと同様である。
(HO-GW1040)
The HO-
The HO-
The apparatus configuration of the HO-
(コンテキストテーブル)
HO−GW1040は、図25(a)のWiMAXコンテキストテーブル1100と図25(b)のLTEコンテキストテーブル1120を備える。
図25(a)のWiMAXコンテキストテーブル1100は、HO−GW1040がWiMAXアクセス網1020の通信コンテキストを管理するためのテーブルであり、MN ID1101、接続先情報1102、フロー情報1103、認証情報1104、データ転送情報1105、LTE コンテキストへのポインタ1106を含む。
MN ID1101には、WiMAXアクセス網1020におけるMNのID(MACアドレス等)が設定される。接続情報1102には、MNを収容しているBS、ASN−GW、HAのIDが設定される。フロー情報1103には、フローを識別するためのフィルタ情報と、フロー毎のQoSが設定される。認証情報1104には、ASN−GW1021からHO−GW1040に通知されるパラメータAK_GW(図30参照、後述)や、HO−GW1040からWiMAX BS1022cに通知するパラメータAK_BS(図36参照、後述)などが設定される。データ転送情報1105には、ハンドオーバー中にASN−GW1021とHO−GW1040間でユーザデータを送受信するためのトンネル情報(すなわち、トンネル端点(ASN−GW、HO−GW)のIPアドレス、GRE Key)が設定される。LTEコンテキストへのポインタ1106には、LTEコンテキストテーブル1120(後述)の関連するエントリへのポインタが設定される。
図25(b)は、HO−GW1040がLTEアクセス網1030の通信コンテキストを管理するためのテーブルであり、MN ID1121、接続先情報1122、フロー情報1123、認証情報1124、データ転送情報1125、WiMAXコンテキストへのポインタ1126を含む。
MN ID1121には、LTEアクセス網1030におけるMNのID(IMSI等)が設定される。接続先情報1122には、MNを収容しているeNB、MME、SGW、HAのIDが設定される。フロー情報1123には、IPフローを識別するためのフィルタ情報や、IPフロー毎のQoSが設定される。認証情報1124には、MME1032からHO−GW1040に通知されるパラメータK_eNB+*(図36参照、後述)や、HO−GW1040からLTE eNB1033aに通知するパラメータK_eNB*(図30参照、後述)などが設定される。データ転送情報1125には、ハンドオーバー中にeNB1033aとHO−GW1040間でユーザデータを送受信するためのトンネル情報(すなわち、トンネル端点(eNB、HO−W)のIPアドレス、GTP TEID(Tunnel Endpoint Identifier)))などが設定される。WiMAX コンテキストへのポインタ1126には、WiMAX コンテキストテーブル1100の関連するエントリへのポインタが設定される。
(Context table)
The HO-
The WiMAX context table 1100 in FIG. 25A is a table for the HO-
In the
FIG. 25B is a table for the HO-
In the
2.ハンドオーバー処理 (WiMAX→LTE)
図26は、実施の形態2のシステムにおいて、MN1050がWiMAXアクセス網1020からLTEアクセス網1030へハンドオーバーする手順を示す。また、図22はそのようなハンドオーバーの説明図を示す。
はじめに、MN1050はWiMAXアクセス網1020のみに接続されており、BS1022c、ASN−GW1021、HA1012経由でCN1060とデータ通信を行っている(1201)。この時点で、HO−GW1040は、MN1050に関する情報を保持していない。一方、MN1050、ASN−GW1021、BS1022c、HA1012はWiMAXアクセス網1020におけるMN1050の通信コンテキスト情報を保持している。ここで、WiMAX通信コンテキスト情報とは、MN1050の接続先情報(BS、ASN−GW、HAのID)、フロー情報(フローフィルタとQoS)、HA−ASN−GW−BS−MN間のユーザデータを転送するためのトンネル情報(IPアドレス、トンネルヘッダ情報)、MN−BS間の無線通信を保護する暗号鍵などを含む。なお、実施の形態2では実施の形態1と異なり、HO−GW1040の情報(仮想ASN−GWのID、仮想BSのID)をMN1050ではなくASN−GW1021が保持するものとする。またLTEアクセス網1030でも同様に、MME、eNBがHO−GW1040の情報(仮想MMEのID、仮想eNBのID)を保持するものとする。
その後、WiMAXの電波状況が悪化するなどの理由により、MN1050がLTEアクセス網1030へのハンドオーバーを決定する(1202)。そして、MN1050はLTEアクセス網1030の電波状況を測定し、例えば、最も電波状況のよいeNB(図22の例ではeNB1033a)を決定する。次に、ステップ1203において、(1)MN1050からBS1022cに対してeNB1033aへのハンドオーバーを要求する。また、(2)BS1022cとASN−GW1021からHO−GW1040に対してWiMAX通信コンテキストを通知し、HO−GW1040はWiMAXコンテキストをLTEコンテキストに変換してMME1032、SGW1031、eNB1033aに設定する。このステップ1203の(1)(2)の処理の中で、ASN−GW1021とHO−GW1040間のデータパス設定、HO−GW1040とeNB1033a間のデータパス設定、およびeNB1033aに対する暗号鍵(K_eNB*+)(図30参照)の通知が行われる。ステップ1203の詳細は、後で図28〜29を用いて詳しく説明する。
ステップ1203の後、MN1050はハンドオーバー先のeNB1033aとの同期を開始し(1204)、eNB1033aに対してハンドオーバー通知(1205)を送信する。次に、eNB1033aは、ステップ1205を契機として、MN−eNB鍵交換とユーザデータ用の無線データリンク設定(1206)を行う。ステップ1206のMN−eNB鍵交換では、ステップ1203でeNB1033aに通知された暗号鍵(K_eNB*+)を用いて無線保護用の暗号鍵(K_RRCenc、K_RRCint、K_UPenc)(図30参照、後述)が生成される。
ステップ1207の時点で、ユーザデータは[CN1060−HA1012―ASN−GW1021−HO−GW1040−eNB1033a−MN1050]の経路で伝送されるようになる。このときのプロトコルスタックの例を図27に示す。この例では、ASN−GW1021とHO−GW1040間をASN−GW間インタフェース(WiMAXのR4インタフェース、GREトンネリング)で接続し、HO−GW1040とeNB1033a間をeNB間インタフェース(LTEのX2インタフェース、GTPトンネリング)で接続する。これらのデータパスはステップ1203の中で設定されている。
図26に戻り、ハンドオーバー手順の説明を続ける。ステップ1207の後、eNB1033aはMME1032に対してハンドオーバー通知(1208)を送信する。MME1032は、HO−GW1040内の仮想MMEに対してハンドオーバー完了通知(1209)を転送するとともに、SGW1031とHA1012間及びeNB1033aとSGW1031間のデータパス設定(1210)を行う。また、HO−GW1040は、1209を契機として、WiMAXアクセス網1020内のリソースを解放する(1211)。以上でハンドオーバー手順が完了し、ユーザデータが[CN1060−HA1012―SGW1031−eNB1033a−MN1050]の経路で伝送されるようになる(1212)。
2. Handover processing (WiMAX → LTE)
FIG. 26 illustrates a procedure in which the
First, the
Thereafter, the
After
At
Returning to FIG. 26, the description of the handover procedure will be continued. After
(ステップ1203の詳細)
以下では、図28〜29を用いて図26のステップ1203の詳細を説明する。
図28は、ステップ1203の詳細なコールフローの例を示す。はじめに、MN1050はBS1022cに対してMOB_MSHO_REQ(1251)を送信し、ハンドオーバーの準備を要求する。MOB_MSHO_REQ(1251)には、移動先情報(eNB1033aのID)、LTEで使用するMN IDが含まれる。BS1022cは、MOB_MSHO_REQ(1251)を受信すると、同様の情報を含むHO_REQ(1252)をASN−GW1021に対して送信する。ASN−GW1021は、移動先情報(eNB1033a)にLTEのeNBが指定されていることから、HO_REQ(1252)の転送先をHO−GW1040に決定する。そして、HO_REQ(1253)にWiMAXコンテキスト情報を追加してHO−GW1040に転送する。ここで、HO−GW1040に通知されるWiMAXコンテキスト情報とは、WiMAX接続先情報(BS1022c、ASN−1021、HA1012のID)、MN1050が保持するフロー情報(フローフィルタ情報とQoS)、暗号鍵情報(AK_GW)(図30参照、後述)、ASN−GW1021−HO−GW1040間のユーザデータ転送に使用するASN−GW1021側のデータ転送情報(IPアドレス、GRE Key)等を含む。HO−GW1040は、これらのWiMAXコンテキスト情報を図25aのWiMAXコンテキストテーブル1100に記憶する。
次に、HO−GW1040は、ステップ1253で通知されたWiMAXコンテキストに基づいてLTEコンテキスト情報を生成する(1254)。以下、ステップ1254におけるLTEコンテキスト生成処理を、図29を用いて詳しく説明する。
図29は、HO−GW1040におけるLTEコンテキスト生成ルーチン1350を示す。はじめに、HO−GW1040は図28のHO_Req(1253)からLTE MN IDを抽出し、図25bのLTE MN ID1121に設定する(1351)。次に、LTE接続先情報(図25bの1122)として、図28のHO_Req(1253)から抽出した移動先eNB ID、eNB IDから決定したMME ID、図25aのWiMAX接続先情報1102に含まれるHA IDを設定する(1352)。ここでHO−GW1040は、移動先eNB IDからMME IDを決定するための内部テーブルを管理していてもよい。次に、LTEのフロー情報(図25bの1123)として、図25aのWiMAXフロー情報1103の内容をそのまま設定する(1353)。ただし、WiMAXアクセス網1020とLTEアクセス網1030のQoS設定が異なる場合は、QoS値を変換して設定してもよい。次に、WiMAX認証情報AK_GW(図25aの1104)からK_eNB*を生成し、LTE認証情報(図25bの1124)として設定する(1354)。AK_GWからK_eNB*を生成する方法は、後で図30を用いて説明する。次に、LTEデータ転送情報(図25bの1125)のInbound方向のトンネル情報として、HO−GW1040がローカルに決定したIPアドレスとGRE Keyを設定する(1125)。LTEデータ転送情報(図25bの1125)のOutbound方向のトンネル情報は、図28のForward Relocation Response(1260)にてMME1032から通知される。以上で、LTEコンテキスト生成ルーチン1350が完了する。
(Details of step 1203)
The details of
FIG. 28 shows an example of a detailed call flow in
Next, the HO-
FIG. 29 shows an LTE context generation routine 1350 in the HO-
図28に戻り、コールフローの説明を続ける。HO−GW1040は、ステップ1254でLTEコンテキスト情報を生成した後に、移動先情報(eNB1033a)から決定したMME1032に対してForward Relocation Request(1255)を送信する。Forward Relocation Request(1255)には、移動先情報(eNB1033a)、LTE MN ID、ステップ1254で生成したLTEコンテキスト(例えば、接続先情報(HAのID)、フロー情報(フローフィルタ、QoS)、認証情報(K_eNB*)、eNB1033a−HO−GW1040間のユーザデータ転送に使用するHO−GW1040側のデータ転送情報(IPアドレス、GTP TEID))が含まれる。
次に、MME1032は自身と対応付けられたSGW1031に対してCreate Bearer Request(1256)を送信する。Create Bearer Request(1256)には、例えば、MN1050の接続先情報(HAのID)、フロー情報(フローフィルタ、QoS)が含まれる。次に、SGW1031はMME1032に対してCreate Bearer Response(1257)を送信する。Create Bearer Response(1257)には、例えば、SGW1031−eNB1033a間のユーザデータ転送に使用するSGW1031側のトンネル情報(IPアドレス、GTP TEID)が含まれる。
次に、MME1032はeNB1033aに対してHandover Request(1258)を送信する。Handover Request(1258)には、例えば、MN1050のフロー情報(フローフィルタ、QoS)、ステップ1257で通知されたSGW1030のトンネル情報(IPアドレス、GTP TEID)、eNB1033a−HO−GW1040間のユーザデータ転送に使用するHO−GW1040側のデータ転送情報(IPアドレス、GTP TEID)、MME1032が認証情報(K_eNB*)から生成したパラメータ(K_eNB*+)が含まれる。eNB1033aは、これらの情報を記憶し、MME1032に対してHandover Request Acknowledge(1259)を返信する。Handover Request Acknowledge(1259)には、例えば、eNB1033a−HO−GW1040間のユーザデータ転送に使用するeNB1033a側のデータ転送情報(IPアドレス、GTP TEID)、eNB1033a−SGW1031間のユーザデータ転送に使用するeNB1033a側のトンネル情報(IPアドレス、TEID)が含まれる。
Returning to FIG. 28, the description of the call flow is continued. After generating LTE context information in Step 1254, the HO-
Next, the
Next, the
次に、MME1032は、HO−GW1040に対してForward Relocation Response(1260)を送信する。Forward Relocation Response(1260)には、例えば、eNB1033a−HO−GW1040間のユーザデータ転送に使用するeNB1033a側のデータ転送情報(IPアドレス、GTP TEID)が含まれる。ステップ1255に含まれるHO−GW1040のデータ転送情報(HO−GW1040のIPアドレス、GTP TEID)と、ステップ1260に含まれるeNB1033aのデータ転送情報(IPアドレス、GTP TEID)をあわせて、eNB1033a−HO−GW1040間のユーザデータ転送パスが確立する。
次に、HO−GW1040はASN−GW1021、BS1022cに対してHO_RSP(1261)を送信し、ハンドオーバー準備フェーズの完了を通知する。HO_RSP(1261)には、ASN−GW1021−HO−GW1040間のユーザデータ転送に使用するHO−GW1040側のデータ転送情報(IPアドレスとGRE Key)等を含む。ステップ1253に含まれるASN−GW1021のデータ転送情報(IPアドレスとGRE Key)と、ステップ1261に含まれるHO−GW1040のデータ転送情報(IPアドレスとGRE Key)をあわせて、ASN−GW1021−HO−GW1040間のユーザデータ転送パスが確立する。
次に、BS1022cは、MN1050に対してMOB_BSHO_RSP(1262)を送信してハンドオーバー準備フェーズの完了を通知する。また、BS1022cはASN−GW1021、HO−GW1040に対してHO_Ack(1263)を送信し、図28のコールフローが完了する。
Next, the
Next, the HO-
Next, the
(WiMAX→LTE間ハンドオーバー処理における暗号鍵の依存関係)
次に、図30を用いて、WiMAX→LTE間ハンドオーバーにおける暗号鍵の生成方法を説明する。はじめに、MN1050がWiMAXアクセス網1020に接続した際に、EAP認証が行われ、MN1050とAAA1011がMSKを共有する。MSKは、EAP認証プロセスの中でAAA1011からASN−GW1021へと通知される。ASN−GW1021は、事前に設定されたアルゴリズム(F1)を用いてMSKからPMKを生成し、メモリ上に記憶する。
この後、WiMAXアクセス網1020からLTEアクセス網1030へのハンドオーバー時に、ASN−GW1021は事前に設定されたアルゴリズム(F2)を用いてPMKとHO−GW1040の仮想BS IDからAK_GWを生成する。AK_GWはHo_Req(図28の1253)でASN−GW1021からHO−GW1040に通知される。HO−GW1040は、事前に設定されたアルゴリズム(i1)を用いてAK_GWからK_eNB*を生成する。K_eNB*はForward Relocation Request(図28の1255)でHO−GW1040からMME1032に通知される。MME1032は、事前に設定されたアルゴリズム(h4)を用いてK_eNB*からK_eNB*+を生成する。K_eNB*+は、HandoverRequest(図28の1258)でMME1032からeNB1033aに通知される。eNB1033aは、K_eNB*+を用いてMN1050とMN−eNB鍵交換処理(図26のステップ1206)を実施し、MN−eNB間の制御信号およびユーザデータを保護するための暗号鍵K_RRCenc(制御信号暗号化用)、K_RRCint(制御信号メッセージ認証用)、K_UPenc(ユーザデータ暗号化用)を生成する。
このように、HO−GW1040がWiMAXアクセス網1020から通知された認証情報(AK_GW)を用いてLTEアクセス網1030の認証情報(K_eNB*)を生成することにより、LTEアクセス網1030での認証処理を行うことなくLTEアクセス網1030経由のユーザデータ通信を保護することができる。
なお、鍵交換処理の内容は、無線アクセス種別により異なり、LTEの場合は、例えば、図30でK_eNB*+からK_RRCenc/K_RRCint/K_UPencを生成する処理を含む。さらに詳細には、次のように実行される。
(Dependency of encryption key in WiMAX → LTE handover process)
Next, a method of generating an encryption key in WiMAX → LTE handover will be described with reference to FIG. First, when the
Thereafter, at the time of handover from the
In this way, the HO-
Note that the content of the key exchange process varies depending on the radio access type, and in the case of LTE, for example, includes a process of generating K_RRCenc / K_RRCint / K_UPenc from K_eNB * + in FIG. More specifically, it is executed as follows.
(1) eNB1033aは、使用する暗号アルゴリズム種別とeNB1033a−UE間の共有鍵(K_eNB*+)から実際に使用する暗号鍵(K_RRCenc/K_RRCint/K_UPenc)を生成する。
(2) eNB1033aは、Security Mode Commandと呼ばれるメッセージをMN1050に送信する。Security Mode Commandには、使用する暗号アルゴリズム種別が含まれる。また、Security Mode Commandは、(1)の暗号鍵(K_RRCint)を用いて計算したMAC(Message Authentication Code: メッセージ認証コード)を含む。
(3) MN1050は、(2)のメッセージから暗号化アルゴリズムを取得し、eNB1033aと同じ方法で実際に使用する暗号鍵(K_RRCenc/K_RRCint/K_UPenc)を生成する。
(4) MN1050は、(3)の暗号鍵(K_RRCint)を用いてSecurity Mode Commandに含まれるMACを検証し、正しい鍵を生成できたかどうかを確認する。
なお、LTEの場合は、必ずしも暗号鍵自体をノード間で送受信するわけではないので、このような処理は「Security Mode Command Procedure」と呼ばれる場合があるが、本明細書では、統一的に「鍵交換処理」と呼ぶ。
(1) The
(2) The
(3) The
(4) The
In the case of LTE, since the encryption key itself is not necessarily transmitted / received between nodes, such processing is sometimes referred to as “Security Mode Command Procedure”. This is called “exchange processing”.
3.ハンドオーバー処理 (LTE→WiMAX)
図32は、実施の形態2のシステムにおいて、MN1050がLTEアクセス網1030からWiMAXアクセス網1020へハンドオーバーする手順を示す。また、その際のユーザデータの転送経路を図31に示す。
はじめに、MN1050はLTEアクセス網1030のみに接続されており、eNB1033a、SGW1031、HA1012経由でCN1060とデータ通信を行っている(1401)。この時点で、HO−GW1040は、MN1050に関する情報を保持していない。一方、MN1050、eNB1033a、MME1032、SGW1031、HA1012はLTEアクセス網1030におけるMN1050の通信コンテキスト情報を保持している。ここで、LTE通信コンテキスト情報とは、MN1050の接続先情報(eNB、MME、SGW、HAのID)、フロー情報(フローフィルタとQoS)、HA−SGW−eNB−MN間のユーザデータを転送するためのトンネル情報(IPアドレス、トンネルヘッダ情報)、MN−eNB間の無線通信を保護する暗号鍵、MN−MME間の制御信号を保護する暗号鍵などを含む。
その後、MN1050はWiMAX BS1022cの信号強度が強くなる等の理由により、WiMAXアクセス網1020へのハンドオーバーを決定する(1402)。そして、ステップ1403において、(1)MN1050からeNB1033aに対してBS1022cへのハンドオーバーを要求する。また、(2)MME1032からHO−GW1040に対してLTE通信コンテキストを通知し、HO−GW1040はLTEコンテキストをWiMAXコンテキストに変換してASN−GW1021、BS1022cに設定する。このステップ1403の(1)(2)の処理の中で、eNB1033aとHO−GW1040間のデータパス設定、HO−GW1040とASN−GW1021のデータパス設定、ASN−GW1021とBS1022c間のデータパス設定、およびBS1022cに対する暗号鍵(AK_BS)(図36参照、後述)の通知が行われる。ステップ1403の詳細は、後で図34〜36を用いて詳しく説明する。
3. Handover processing (LTE → WiMAX)
FIG. 32 shows a procedure in which the
First, the
After that, the
ステップ1403の後、MN1050はハンドオーバー先のBS1022cとの同期を開始し、MN−BS鍵交換とユーザデータ用の無線データリンク設定(1404)を行う。ステップ1404のMN−eNB鍵交換では、ステップ1403でBS1022cに通知された暗号鍵(AK_BS)を用いて無線保護用の暗号鍵(TSK_BS)(図36参照、後述)が生成される。
ステップ1405の時点で、ユーザデータは[CN1060−HA1012―SGW1031−eNB1033a―HO−GW1040−ASN−GW1021−BS1022c−MN1050]の経路で伝送されるようになる。このときのプロトコルスタックの例を図33に示す。この例では、eNB1033aとHO−GW1040間をeNB間インタフェース(LTEのX2インタフェース、GTPトンネリング)で接続し、HO−GW1040とASN−GW1021間をASN−GW間インタフェース(WiMAXのR4インタフェース、GREトンネリング)で接続する。これらのデータパスはステップ1403の中で設定されている。
図32に戻り、ハンドオーバー手順の説明を続ける。ステップ1405の後、WiMAXアクセス網1020においてEAP認証が行われる(1406)。また、ASN−GW1021とHA1012間のデータパス登録が行われ(1407)、ユーザデータが[CN1060−HA1012―ASN−GW1021−BS1022c−MN1050]の経路で伝送されるようになる(1408)。この後、HO−GW1040からMME1032に対してハンドオーバー完了通知(1409)が送信されたことを契機として、LTEアクセス網1030内のリソースか解放され(1409)、ハンドオーバー処理が完了する。
After
At the time of step 1405, the user data is transmitted through the route [CN1060-HA1012-SGW1031-eNB1033a-HO-GW1040-ASN-GW1021-BS1022c-MN1050]. An example of the protocol stack at this time is shown in FIG. In this example, the
Returning to FIG. 32, the description of the handover procedure will be continued. After step 1405, EAP authentication is performed in the WiMAX access network 1020 (1406). Also, data path registration between the ASN-
(ステップ1403の詳細)
次に、図34〜35を用いて図32のステップ1403の詳細を説明する。
図34は、ステップ1403の詳細なコールフローの例を示す。はじめに、MN1050はeNB1033aに対してHandover Preparation Request(1451)を送信し、ハンドオーバーの準備を要求する。Handover Preparation Request(1451)には、移動先情報(BS1022cのID)、WiMAXで使用するMN IDが含まれる。eNB1033aは、Handover Preparation Request(1451)を受信すると、MME1032に対してHandover Required(1452)を送信する。Handover Required(1452)には、移動先情報(BS1022cのID)、WiMAX MN ID、eNB1033a−HO−GW1040間のユーザデータ転送に使用するeNB1033a側のデータ転送情報(IPアドレス、GTP TEID)を含む。
MME1032は、移動先情報(BS1022c)にWiMAXのBSが指定されていることから、Forward Relocation Request(1453)をHO−GW1040に送信する。Forward Relocation Request(1453)には、WiMAX MN ID、移動先情報(BS1022c)、LTEコンテキストを含む。LTEコンテキストとは、例えば、LTE接続先情報(eNB1033a、MME1032、SGW1031、HA1012のID)、MN1050が保持するフロー情報(フローフィルタとQoS)、暗号鍵情報(K_eNB*)(図36参照、後述)、eNB1033a−HO−GW1040間のユーザデータ転送に使用するeNB1033a側のデータ転送情報(IPアドレス、GTP TEID)等を含む。HO−GW1040は、これらのLTEコンテキスト情報を図25bのLTEコンテキストテーブル1120に記憶する。
次に、HO−GW1040は、ステップ1453で通知されたLTEコンテキストに基づいてWiMAXコンテキスト情報を生成する(1454)。以下、ステップ1454におけるWiMAXコンテキスト生成処理を、図35を用いて詳しく説明する。
(Details of step 1403)
Next, details of
FIG. 34 shows an example of a detailed call flow in
Since the WiMAX BS is specified in the movement destination information (BS1022c), the
Next, the HO-
図35は、HO−GW1040におけるWiMAXコンテキスト生成ルーチン1500を示す。はじめに、HO−GW1040は図34のForward Relocation Request(1453)からWiMAX MN IDを抽出し、図25aのWiMAX MN ID1101に設定する(1501)。次に、WiMAX接続先情報(図25aの1102)として、図34のForward Relocation Request(1453)から抽出した移動先BS ID、BS IDから決定したASN−GW ID、図25bのLTE接続先情報1122に含まれるHA IDを設定する(1502)。ここでHO−GW1040は、移動先BS IDからASN−GW IDを決定するための内部テーブルを管理していてもよい。次に、WiMAXのフロー情報(図25aの1103)として、図25bのLTEフロー情報1123の内容をそのまま設定する(1503)。ただし、LTEアクセス網1030とWiMAXアクセス網1020のQoS設定が異なる場合は、QoS値を変換して設定してもよい。次に、LTE認証情報K_eNB*(図25bの1124)からAK_BSを生成し、WiMAX認証情報(図25aの1104)として設定する(1504)。K_eNB*からAK_BSを生成する方法は、後で図36を用いて説明する。次に、WiMAXデータ転送情報(図25aの1105)のInbound方向のトンネル情報として、HO−GW1040がローカルに決定したIPアドレスとGRE Keyを設定する(1505)。WiMAXデータ転送情報(図25bの1125)のOutbound方向のトンネル情報は、図34のHO_Rsp(1456)にてASN−GW1021から通知される。以上で、WiMAXコンテキスト生成ルーチン1500が完了する。
図34に戻り、コールフローの説明を続ける。HO−GW1040は、ステップ1454でWiMAXコンテキスト情報を生成した後に、移動先情報(BS1022c)から決定したASN−GW1021に対してHO_Req(1455)を送信する。HO_Req(1455)には、例えば、移動先情報(BS1022c)、WiMAX MN ID、ステップ1454で生成したWiMAXコンテキスト(接続先情報(HAのID)、フロー情報(フローフィルタ、QoS)、認証情報(AK_BS)、HO−GW1040−ASN−GW1021間のユーザデータ転送に使用するHO−GW1040側のデータ転送情報(IPアドレス、GRE Key))が含まれる。次に、ASN−GW1021は、HO_Req(1456)を移動先のBS1022cに転送する。HO_Req(1456)には、例えば、WiMAX MN ID、フロー情報(フローフィルタ、QoS)、認証情報(AK_BS)、ASN−GW1021−BS1022c間のユーザデータ転送に使用するASN−GW1021側のトンネル情報(IPアドレス、GRE Key)が含まれる。
FIG. 35 shows a WiMAX context generation routine 1500 in the HO-
Returning to FIG. 34, the description of the call flow is continued. After generating WiMAX context information in
次に、BS1022cはASN−GW1021に対してHO_Rsp(1457)を送信する。HO_Rsp(1457)には、例えば、ASN−GW1021−BS1022c間のユーザデータ転送に使用するBS1022c側のトンネル情報(IPアドレス、GRE Key)が含まれる。ステップ1456に含まれるASN−GW1021のトンネル情報(IPアドレス、GRE Key)と、ステップ1457に含まれるBS1022cのトンネル情報(IPアドレス、GRE Key)をあわせて、ASN−GW1021−BS1022c間のユーザデータ転送パスが確立する。
次に、ASN−GW1021はHO−GW1040に対してHO_Rsp(1458)を送信する。HO_Rsp(1458)には、例えば、HO−GW1040−ASN−GW1021間のユーザデータ転送に使用するASN−GW1021側のデータ転送情報(IPアドレス、GRE Key)が含まれる。ステップ1455に含まれるHO−GW1040のトンネル情報(IPアドレス、GRE Key)と、ステップ1458に含まれるASN−GW1021のトンネル情報(IPアドレス、GRE Key)をあわせて、HO−GW1040−ASN−GW1021間のユーザデータ転送パスが確立する。
次に、HO−GW1040は、MME1032に対してForward Relocation Response(1459)を送信し、ハンドオーバー準備フェーズの完了を通知する。Forward Relocation Response(1459)には、例えば、eNB1033a−HO−GW1040間のユーザデータ転送に使用するHO−GW1040のデータ転送情報(IPアドレス、GTP TEID)が含まれる。
次に、MME1032はeNB1033aに対してHandoverCommand(1460)を送信し、ハンドオーバー準備フェーズの完了を通知する。HandoverCommand(1460)には、eNB1033a−HO−GW1040間のユーザデータ転送に使用するHO−GW1040側のデータ転送情報(IPアドレス、GTP TEID)が含まれる。ステップ1452、ステップ1453に含まれるeNB1033aのデータ転送情報(IPアドレス、GTP TEID)と、ステップ1459、ステップ1460に含まれるHO−GW1040のデータ転送情報(IPアドレス、GTP TEID)をあわせて、eNB1033a−HO−GW1040間のユーザデータ転送パスが確立する。
最後に、eNB1033aからMN1050に対してHandoverCommand(1461)が送信され、図34のコールフローが完了する。
Next, the
Next, the ASN-
Next, the HO-
Next, the
Finally, HandoverCommand (1461) is transmitted from
(LTE→WiMAX間ハンドオーバー処理における暗号鍵の依存関係)
次に、図36を用いて、LTE→WiMAX間ハンドオーバーにおける暗号鍵の生成方法を説明する。はじめに、MN1050がLTEアクセス網1030に接続した際にEPS−AKA認証が行われ、このときにMN1050とAAA1011が事前共有秘密鍵(K_S)から種鍵(K_ASME)を生成する。K_ASMEは、EPS−AKA認証処理の中でAAA1011からMME1032へと通知される。
この後、LTEアクセス網1030からWiMAXアクセス網1020へのハンドオーバー時に、MME1032は、事前に設定されたアルゴリズム(h5)を用いてK_ASMEからK_eNB*を生成する。K_eNB*はForward Relocation Request(図34の1453)でMME1032からHO−GW1040に通知される。HO−GW1040は、事前に設定されたアルゴリズム(I1)を用いてK_eNB*からAK_BSを生成する。AK_BSはHO_Req(図34の1455、1456)でHO−GW1040からBS1022cに通知される。BS1022cは、AK_BSを用いてMN1050とMN−BS鍵交換処理(図32のステップ1404)を実施し、MN−BS間の無線通信を保護するための暗号鍵TEK_BSを生成する。
このように、HO−GW1040がLTEアクセス網1030から通知された認証情報(K_eNB*)を用いてWiMAXアクセス網1020の認証情報(AK_BS)を生成することにより、WiMAXアクセス網1020での認証処理を行うことなくWiMAXアクセス網1020経由のユーザデータ通信を保護することができる。
なお、鍵交換処理の内容は、無線アクセス種別により異なり、WiMAXの場合は、例えば、図36の右側で、AK_BSからTEK_BSを生成する処理を含む。さらに詳細には次のように実行される。
(1) BS1022Cは、BS1022C−MN1050間の共有鍵(AK_BS)から、暗号鍵を暗号化するための鍵(KEK:Key Encryption Key)を生成する。
(2) BS1022Cは、実際に使用する暗号鍵TEK_BSを生成する。
(3) BS1022Cは、(2)で生成したTEK_BSを、(1)で生成したKEKで暗号化してMN1050に送信する。
(4) MN1050は、BS1022Cと同じ方法でKEKを生成し、(3)で取得した情報を復号化してKEKを取り出す。
(Dependency relationship of encryption key in handover processing between LTE and WiMAX)
Next, a method for generating an encryption key in LTE-to-WiMAX handover will be described using FIG. First, when the
After that, at the time of handover from the
In this way, the HO-
Note that the content of the key exchange process varies depending on the type of wireless access, and in the case of WiMAX, for example, on the right side of FIG. 36, includes a process of generating TEK_BS from AK_BS. More specifically, it is executed as follows.
(1) The BS 1022C generates a key (KEK: Key Encryption Key) for encrypting the encryption key from the shared key (AK_BS) between the BS 1022C and the
(2) The BS 1022C generates an encryption key TEK_BS that is actually used.
(3) The BS 1022C encrypts the TEK_BS generated in (2) with the KEK generated in (1) and transmits it to the
(4) The
III.実施の形態3
図37は、FMC(Fixed Mobile Convergence)環境にHO−GWを適用する通信網の構成例を示す。
無線端末MN2050は、WLAN(Wireless Local Access Network)アクセス網2020とLTEアクセス網2030の両方にアクセス手段を持つ端末である。通信先装置CN2060は、MN2050と通信を行う端末、あるいはサーバである。
コア網2010は、WLANアクセス網2020とLTEアクセス網2030の両方を収容する通信網であり、サーバAAA2011、ノードHA2012が接続される。AAA2011は、端末の識別子と認証情報の対応付けを管理し、端末を認証するサーバである。また、AAA2011は、LTEのHSSの機能も兼ね備えており、加入者情報や端末位置情報を管理する。HA2012はMobile IPで規定されるノードであり、MN2050のHoAとCoAの対応付けを管理する。
WLANアクセス網2020には、ノード(基地局)BS2022とアクセスルータePDG(evolved Packet Data Gateway)2021が接続される。BS2022は、MN1050からのWiMAX無線信号を有線信号に変換し、FTTH(Fiber To The Home)などの固定アクセス網経由でePDG2021に接続する。
ePDG2021は、MN2050を収容するアクセスルータであり、MN2050とIPsecトンネルで接続している。また、ePDG2021はProxy MIPのPMAの機能を備えており、MN2050の代理で自身のIPアドレスをCoAとしてHA2012に登録する。
LTEアクセス網2030には、ノード(基地局)eNB2033(a〜c)、アクセスルータSGW2031、ノードMME2032が接続される。eNB2033(a〜c)は、LTE無線信号を有線信号に相互変換して転送するノードである。SGW2031は、eNB2033(a〜c)を収容するアクセスルータであり、Proxy MIPのPMAの機能を備える。すなわち、MN2050の代理で自身のIPアドレスをCoAとしてHA2012(3GPP標準ではPDN−GWと呼ばれる)に登録する。MME2032は、LTEアクセス網2030における通信セッション情報(すなわち、端末が接続しているeNBやSGWのID、データパス情報など)を管理するノードである。
実施の形態3において、HO−GW2040はWLANアクセス網2020とLTEアクセス網2030の両方に接続され、MN2050がアクセス網間ハンドオーバーをする際に、WLANアクセス網2020の通信コンテキストとLTEアクセス網2030の通信コンテキストを相互に変換して転送する。実施の形態1、2にも示したように、通信コンテキストとは、例えば接続情報(HAのID)、データ転送情報(WLANアクセス網2020とLTEアクセス網2030間でユーザデータを転送するためのトンネル情報)などを含む。このようなコンテキスト情報をアクセス網間で転送することにより、アクセス網間ハンドオーバーの高速化が可能になる。
ハンドオーバーの動作詳細は、第2の実施の形態で説明したものと同様である。
III.
FIG. 37 shows a configuration example of a communication network in which HO-GW is applied to an FMC (Fixed Mobile Convergence) environment.
The
The
To the
The
Nodes (base stations) eNB 2033 (ac), access router SGW 2031, and
In
Details of the handover operation are the same as those described in the second embodiment.
以上では、一例として、WiMAXアクセス網及びUMBアクセス網、LTEアクセス網、WLANアクセス網について説明したが、本発明は、これに限らず、様々な異種アクセス網間のハンドオーバーに適用することができる。 In the above, the WiMAX access network, the UMB access network, the LTE access network, and the WLAN access network have been described as an example. However, the present invention is not limited to this, and can be applied to handover between various heterogeneous access networks. .
1 コア網、2 WiMAXアクセス網、3 UMBアクセス網、4 HO−GW、5 MN、6 CN、11 AAA、12 HA、13 AF、21 ASN−GW、22(a、b、c) WiMAX BS、31 AGW、32 SRNC、33(a、b、c) UMB eBS、100 WiMAX コンテキストテーブル (HO−GW4)、120 UMB コンテキストテーブル (HO−GW4)、350 UMBコンテキスト生成ルーチン(HO−GW4)、500 WiMAXコンテキスト生成ルーチン(HO−GW4)、1010 コア網、1020 WiMAXアクセス網、1021 ASN−GW、 1022(a、b、c) WiMAX BS、1030 LTEアクセス網、1031 SGW、1032 MME、1033(a、b、c) LTE eNB、1050 MN、1060 CN、1100 WiMAX コンテキストテーブル (HO−GW4)、1120 LTE コンテキストテーブル (HO−GW4)、1350 LTEコンテキスト生成ルーチン(HO−GW4)、1500 WiMAXコンテキスト生成ルーチン(HO−GW4)、2010 コア網、2020 WLANアクセス網、2021 ePDN、 2022 WLAN BS、2030 LTEアクセス網、2031 SGW、2032 MME、2033(a、b、c) LTE eNB、2050 MN、2060 CN、3010 コア網、3011 AAA、3012 HA、3020 WiMAXアクセス網、3021 ASN−GW、3022(a、b、c) WiMAX BS、3030 UMBアクセス網、3031 AGW、3032 SRNC、3033(a、b、c) UMB eBS、3040 MN、3050 CN。 1 Core network, 2 WiMAX access network, 3 UMB access network, 4 HO-GW, 5 MN, 6 CN, 11 AAA, 12 HA, 13 AF, 21 ASN-GW, 22 (a, b, c) WiMAX BS, 31 AGW, 32 SRNC, 33 (a, b, c) UMB eBS, 100 WiMAX context table (HO-GW4), 120 UMB context table (HO-GW4), 350 UMB context generation routine (HO-GW4), 500 WiMAX Context generation routine (HO-GW4), 1010 core network, 1020 WiMAX access network, 1021 ASN-GW, 1022 (a, b, c) WiMAX BS, 1030 LTE access network, 1031 SGW, 1032 MME, 1033 (a, b) c) LTE eNB, 1050 MN, 1060 CN, 1100 WiMAX context table (HO-GW4), 1120 LTE context table (HO-GW4), 1350 LTE context generation routine (HO-GW4), 1500 WiMAX context generation routine (HO-) GW4), 2010 core network, 2020 WLAN access network, 2021 ePDN, 2022 WLAN BS, 2030 LTE access network, 2031 SGW, 2032 MME, 2033 (a, b, c) LTE eNB, 2050 MN, 2060 CN, 3010 core network , 3011 AAA, 3012 HA, 3020 WiMAX access network, 3021 ASN-GW, 3022 (a, b, c) WiMAX BS, 3030 MB access network, 3031 AGW, 3032 SRNC, 3033 (a, b, c) UMB eBS, 3040 MN, 3050 CN.
Claims (19)
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網と、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な無線端末と、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、前記無線端末が前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、ゲートウェイ装置と、
を備えた通信システムであって、
前記無線端末が、前記第1のアクセス網のみに接続されており、前記第1の基地局、前記第1のアクセスルータ、前記コア網経由で、通信先装置と通信を行っている場合、ユーザ認証により、前記コア網と前記無線端末が暗号鍵MSKを共有し、前記無線端末は、第1の通信コンテキスト情報と前記ゲートウェイ装置のIDを保持し、
前記無線端末が前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第1のアクセスルータが前記コア網から受けたMSKに基づき生成した、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWにより、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置が、前記第1のアクセスルータから送られたAK_GWに基づき生成された、前記ゲートウェイ装置−前記第2の基地局間の通信を保護する暗号鍵MSK_eBS又はK_eNB*+により、前記ゲートウェイ装置と前記第2の基地局とのデータパスが設定され、
前記第2の基地局が前記ゲートウェイ装置から受けたMSK_eBS又はK_eNB*+に基づき生成した、前記無線端末−第2の基地局間の通信を保護する暗号鍵TSK_eBS又は無線保護用暗号鍵と、前記無線端末がMSK又は前記第2の基地局と鍵交換した認証情報に基づき生成したTSK_eBS又は無線保護用暗号鍵とにより、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行する
前記通信システム。 A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station When,
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station A second access network having a communication format different from that of the first access network;
A wireless terminal capable of accessing both the first access network and the second access network, which are heterogeneous access networks;
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; When the wireless terminal moves between the first access network and the second access network, a handover procedure in the first access network and a handover procedure in the second access network A gateway device that mutually converts and relays,
A communication system comprising:
When the wireless terminal is connected only to the first access network and communicates with a communication destination device via the first base station, the first access router, and the core network, a user Through authentication, the core network and the wireless terminal share an encryption key MSK, and the wireless terminal holds first communication context information and the ID of the gateway device,
When the wireless terminal moves to the second access network side and decides a handover to the second access network, a handover connection request including an ID of the wireless terminal is transmitted,
The first access router and the gateway device using an encryption key AK_GW that protects communication between the core network and the first access router, generated based on the MSK received from the core network by the first access router And the data path is set,
The gateway device uses the encryption key MSK_eBS or K_eNB * + that protects communication between the gateway device and the second base station, which is generated based on AK_GW sent from the first access router. And the data path between the second base station is set,
An encryption key TSK_eBS or a radio protection encryption key for protecting communication between the radio terminal and the second base station, generated based on MSK_eBS or K_eNB * + received from the gateway device by the second base station, The wireless terminal and the second base station are wirelessly transmitted on the protected communication path by the TSK_eBS or the wireless protection encryption key generated based on the authentication information exchanged by the wireless terminal with the MSK or the second base station. Set the data link settings,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
Thereafter, the wireless terminal performs user authentication with the second access network and executes a handover to the second access network.
前記無線端末が、前記第1のアクセス網のみに接続されており、前記第1の基地局、前記第1のアクセスルータ、前記コア網経由で、通信先装置と通信を行っている場合、前記無線端末は、第1の通信コンテキスト情報と前記ゲートウェイ装置のIDを保持し、
前記無線端末が前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、いずれかの前記第2の基地局に対して、前記無線端末のID、前記ゲートウェイ装置のIDを含むハンドオーバーの接続要求を送信し、
前記第1のアクセスルータは前記コア網からMSKを受け、事前に設定された第1のアルゴリズムを用いて、MSKに基づき、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWを生成して前記ゲートウェイ装置に送り、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置は、事前に設定された第2及び第3のアルゴリズムを用いて、AK_GWに基づき、前記ゲートウェイ装置−前記無線端末間の通信を保護する暗号鍵TSK_GW及び前記ゲートウェイ装置−前記第2の基地局間の通信を保護する暗号鍵MSK_eBSをそれぞれ生成し、
前記ゲートウェイ装置は、前記第1の基地局及び前記第1のアクセスルータを経て前記無線端末の第1の通信コンテキスト情報を取得し、第2の通信コンテキスト情報に変換して、TSK_GW及びMSK_eBSを含む第2の通信コンテキスト情報を前記第2の基地局に通知し、前記ゲートウェイ装置と前記第2の基地局とのデータパスが設定され、
前記第2の基地局は、事前に設定された第4のアルゴリズムを用いて、第2の通信コンテキスト情報に含まれるMSK_eBSに基づき、前記無線端末−第2の基地局間の通信を保護する暗号鍵TSK_eBSを生成し、
前記無線端末は、前記第1のアクセスルータ及び前記ゲートウェイ装置と同じ事前に設定された前記第1及び第2のアルゴリズムを用いて、MSKに基づき、前記ゲートウェイ装置−前記無線端末間の通信を保護するTSK_GWを生成し、
前記無線端末は、事前に設定された前記第1及び第3及び第4のアルゴリズムを用いて、MSK又は前記第2の基地局と鍵交換した認証情報に基づき、TSK_eBSを生成し、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行する
請求項1に記載された通信システム。 When the wireless terminal connects to the first access network, user authentication is performed, and the core network and the wireless terminal share an encryption key MSK,
When the wireless terminal is connected only to the first access network and communicates with a communication destination device via the first base station, the first access router, and the core network, The wireless terminal holds the first communication context information and the ID of the gateway device,
When the wireless terminal moves to the second access network side and decides to hand over to the second access network, the wireless terminal ID, any of the second base stations, Send a handover connection request including the gateway device ID,
The first access router receives an MSK from the core network, and uses a first algorithm set in advance to encrypt communication between the core network and the first access router based on the MSK. AK_GW is generated and sent to the gateway device, and the data path between the first access router and the gateway device is set,
The gateway device uses the second and third algorithms set in advance, and based on AK_GW, the encryption key TSK_GW that protects communication between the gateway device and the wireless terminal and the gateway device-the second Each generates an encryption key MSK_eBS that protects communication between base stations,
The gateway apparatus acquires first communication context information of the wireless terminal via the first base station and the first access router, converts the first communication context information into second communication context information, and includes TSK_GW and MSK_eBS Second communication context information is notified to the second base station, and a data path between the gateway device and the second base station is set,
The second base station uses a fourth algorithm set in advance, and based on the MSK_eBS included in the second communication context information, an encryption for protecting communication between the wireless terminal and the second base station Generate key TSK_eBS,
The wireless terminal protects communication between the gateway device and the wireless terminal based on MSK using the first and second algorithms set in advance the same as the first access router and the gateway device. Generate TSK_GW to
The wireless terminal generates TSK_eBS based on authentication information exchanged with MSK or the second base station using the first, third, and fourth algorithms set in advance, and the wireless terminal And the second base station sets up a wireless data link on the protected communication path,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
2. The communication system according to claim 1, wherein the wireless terminal performs user authentication with the second access network and executes a handover to the second access network. 3.
前記無線端末は、通知された前記第2のアクセスルータに接続を要求し、
前記第2のアクセス網に対してユーザ認証が行われ、前記無線端末と前記無線コア網の間で暗号鍵MSK_SRNCが共有され、
前記コア網は、MSK_SRNCを前記第2のアクセスルータへ通知し、
前記第2のアクセスルータは、MSK_SRNCに基づき、前記無線端末−前記第2のアクセスルータ間の通信を保護する暗号鍵TSK_SRNCを生成し、
前記無線端末は、MSK_SRNCに基づき、前記第2のアクセスルータと同じアルゴリズムを用いて、TSK_SRNを生成し、
前記無線端末と前記第2のアクセスルータは、保護された通信路上で無線データリンク層の設定を行い、
前記無線端末は、前記第2の基地局、前記第2のアクセスルータ、前記コア網で、前記通信先装置と通信を行うことで、第2のアクセス網へのハンドオーバーを実行する
請求項1又は2に記載された通信システム。 The second base station notifies the wireless terminal of the ID of the second access router;
The wireless terminal requests connection to the notified second access router,
User authentication is performed for the second access network, and an encryption key MSK_SRNC is shared between the wireless terminal and the wireless core network,
The core network notifies MSK_SRNC to the second access router;
The second access router generates an encryption key TSK_SRNC for protecting communication between the wireless terminal and the second access router based on MSK_SRNC,
The wireless terminal generates TSK_SRN based on MSK_SRNC, using the same algorithm as the second access router,
The wireless terminal and the second access router perform setting of a wireless data link layer on a protected communication path,
The wireless terminal performs a handover to a second access network by communicating with the communication destination device through the second base station, the second access router, and the core network. Or the communication system described in 2.
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網と、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な無線端末と、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、前記無線端末が前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、ゲートウェイ装置と、
を備えた通信システムであって、
前記無線端末は前記第2のアクセス網に接続されており、前記第2の基地局、前記第2のアクセス網、前記コア網経由で、通信先装置とデータ通信を行っている場合、ユーザ認証により、前記無線端末と前記コア網が暗号鍵MSK_SRNC又はK_ASMEを共有し、前記無線端末が第1のアクセス網側へ移動して、前記第1のアクセス網へのハンドオーバーを決定すると、前記無線端末は、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第2のアクセスルータが前記コア網から受けたMSK_SRNC又はK_ASMEに基づき生成した、前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵MSK_GW又はK_eNB*により、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置が前記第2のアクセスルータから受けたMSK_GW又はK_eNB*に基づき生成した、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSにより、前記ゲートウェイ装置と前記第1の基地局とのデータパスが設定され、
前記第1の基地局が前記デートウェイ装置から受けたAK_BSに基づき生成した、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSと、前記無線端末がMSK_SRNC若しくはK_ASME又は前記第1の基地局と鍵交換した認証情報に基づき生成したTEK_BSにより、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行する
前記通信システム。 A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station When,
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station A second access network having a communication format different from that of the first access network;
A wireless terminal capable of accessing both the first access network and the second access network, which are heterogeneous access networks;
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; When the wireless terminal moves between the first access network and the second access network, a handover procedure in the first access network and a handover procedure in the second access network A gateway device that mutually converts and relays,
A communication system comprising:
When the wireless terminal is connected to the second access network and performs data communication with a communication destination device via the second base station, the second access network, or the core network, user authentication is performed. Thus, when the wireless terminal and the core network share the encryption key MSK_SRNC or K_ASME, the wireless terminal moves to the first access network side, and determines the handover to the first access network. The terminal transmits a handover connection request including the ID of the wireless terminal,
The second access router uses the encryption key MSK_GW or K_eNB * that protects communication between the second access router and the gateway device, which is generated based on the MSK_SRNC or K_ASME received from the core network by the second access router. A data path between the router and the gateway device is set,
The gateway device and the first key are generated by the encryption key AK_BS for protecting communication between the gateway device and the first base station, which is generated based on the MSK_GW or K_eNB * received from the second access router by the gateway device. The data path with the base station is set up,
An encryption key TEK_BS that protects communication between the wireless terminal and the first base station, which is generated based on AK_BS received by the first base station from the dateway device, and the wireless terminal is MSK_SRNC or K_ASME, By the TEK_BS generated based on the authentication information exchanged with the first base station, the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
Thereafter, the wireless terminal performs user authentication with the first access network and executes a handover to the first access network.
前記無線端末は前記第2のアクセス網に接続されており、前記第2の基地局、前記第2のアクセス網、前記コア網経由で、通信先装置とデータ通信を行っている場合、前記無線端末は、前記第1のアクセス網へのハンドオーバーを決定すると前記無線端末は、前記第1の基地局へ前記ゲートウェイ装置のID、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第2のアクセスルータは、事前に設定された第5アルゴリズムを用いて、MSK_SRNCに基づき前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵MSK_GWを生成し、前記ゲートウェイ装置に通知し、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置は、事前に前記無線端末と共有している第6アルゴリズムを用いて、MSK_GWに基づき、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSを生成し、前記第1の基地局へ通知し、前記ゲートウェイ装置と前記第1の基地局とのデータパスが設定され、
前記第1の基地局は、事前に設定された第7のアルゴリズムを用いて、AK_BSに基づき、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSを生成し、
前記無線端末は、前記第2のアクセスルータ、前記ゲートウェイ装置、前記第1の基地局と同じ、事前に設定された前記第5及び第6及び第7のアルゴリズムを用いて、MSK_SRNC又は前記第1の基地局と鍵交換した認証情報に基づき、TEK_BSを生成し、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行する
請求項4に記載された通信システム。 When the wireless terminal connects to the second access network, user authentication is performed, and the wireless terminal and the core network share the encryption key MSK_SRNC,
When the wireless terminal is connected to the second access network and performs data communication with a communication destination device via the second base station, the second access network, and the core network, the wireless terminal When the terminal determines a handover to the first access network, the wireless terminal transmits a handover connection request including the ID of the gateway device and the ID of the wireless terminal to the first base station,
The second access router generates a cryptographic key MSK_GW that protects communication between the second access router and the gateway device based on MSK_SRNC, using a preset fifth algorithm, and stores the encryption key MSK_GW in the gateway device The data path between the second access router and the gateway device is set,
The gateway device generates an encryption key AK_BS that protects communication between the gateway device and the first base station based on MSK_GW, using a sixth algorithm shared in advance with the wireless terminal. 1 base station, the data path between the gateway device and the first base station is set,
The first base station generates an encryption key TEK_BS that protects communication between the wireless terminal and the first base station based on AK_BS using a preset seventh algorithm,
The wireless terminal uses the same fifth, sixth, and seventh algorithms set in advance as the second access router, the gateway device, and the first base station, and uses the MSK_SRNC or the first Based on the authentication information exchanged with the base station of the base station, a TEK_BS is generated, and the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
5. The communication system according to claim 4, wherein the wireless terminal performs user authentication with the first access network and performs a handover to the first access network.
前記コア網は、前記第1のアクセスルータにMSKを通知し、
前記無線端末は、前記第1の基地局、前記第1のアクセスルータ、前記コア網経由で、前記通信先装置とデータ通信を行うことで、前記第1のアクセス網へのハンドオーバーを実行する
請求項4又は5に記載された通信システム。 The wireless terminal performs user authentication in the first access network, and as a result of user authentication, the MSK is shared between the wireless terminal and the core network,
The core network notifies the first access router of the MSK;
The wireless terminal performs a handover to the first access network by performing data communication with the communication destination device via the first base station, the first access router, and the core network. The communication system according to claim 4 or 5.
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網に接続され、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な前記無線端末が、前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、
ゲートウェイ装置であって、
前記無線端末が前記第1のアクセス網から前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、
前記ゲートウェイ装置は、前記第1のアクセスルータが前記コア網から受けた、ユーザ認証により前記コア網と前記無線端末が共有する暗号鍵MSKに基づき生成した、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWを受け、AK_GWにより、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスを設定し、
前記ゲートウェイ装置が、前記第1のアクセスルータから送られたAK_GWに基づき生成された、前記ゲートウェイ装置−前記第2の基地局間の通信を保護する暗号鍵MSK_eBS又はK_eNB*+を前記第2の基地局へ渡し、MSK_eBS又はK_eNB*+により、前記ゲートウェイ装置と前記第2の基地局とのデータパスを設定し、
前記第2の基地局が前記ゲートウェイ装置から受けたMSK_eBS又はK_eNB*+に基づき生成した、前記無線端末−第2の基地局間の通信を保護する暗号鍵TSK_eBS又は無線保護用暗号鍵と、前記無線端末がMSK又は前記第2の基地局と鍵交換した認証情報に基づき生成したTSK_eBS又は無線保護用暗号鍵とにより、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行するようにした
前記ゲートウェイ装置。 A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station Connected to
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station Two access routers, connected to a second access network having a communication format different from that of the first access network,
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; Contain
When the wireless terminal that can access both the first access network and the second access network, which are heterogeneous access networks, moves between the first access network and the second access network, Relaying by interconverting a handover procedure in the first access network and a handover procedure in the second access network;
A gateway device,
When the wireless terminal moves from the first access network to the second access network and decides a handover to the second access network,
The gateway device generates the core network-the first access router generated based on an encryption key MSK received by the first access router from the core network and shared by the core network and the wireless terminal by user authentication. Receiving an encryption key AK_GW that protects communication between them, and by AK_GW, setting a data path between the first access router and the gateway device,
The gateway device generates an encryption key MSK_eBS or K_eNB ** that protects communication between the gateway device and the second base station, which is generated based on AK_GW sent from the first access router. Pass to the base station, set the data path between the gateway device and the second base station by MSK_eBS or K_eNB * +,
An encryption key TSK_eBS or a radio protection encryption key for protecting communication between the radio terminal and the second base station, generated based on MSK_eBS or K_eNB * + received from the gateway device by the second base station, The wireless terminal and the second base station are wirelessly transmitted on the protected communication path by the TSK_eBS or the wireless protection encryption key generated based on the authentication information exchanged by the wireless terminal with the MSK or the second base station. Set the data link settings,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
Thereafter, the wireless terminal performs user authentication with the second access network, and executes a handover to the second access network.
無線端末からの前記第1の無線信号とは異なる通信形式の第2の無線信号を有線信号に相互変換して転送する複数の第2の基地局と、前記第2の基地局を収容する第2のアクセスルータとを有し、前記第1のアクセス網とは異なる通信形式の第2のアクセス網に接続され、
前記第1のアクセス網の第1のアクセスルータと前記第2のアクセス網の第2のアクセスルータの両方を収容し、少なくともひとつの前記第1の基地局と少なくともひとつの前記第2の基地局を収容し、
異種アクセス網である前記第1のアクセス網と前記第2のアクセス網の両方にアクセス可能な前記無線端末が、前記第1のアクセス網と前記第2のアクセス網の間を移動する際に、前記第1のアクセス網におけるハンドオーバー手順と前記第2のアクセス網におけるハンドオーバー手順とを相互変換して中継する、
ゲートウェイ装置であって、
前記無線端末が第1のアクセス網側へ移動して、前記第1のアクセス網へのハンドオーバーを決定すると、
前記ゲートウェイ装置は、前記第2のアクセスルータが前記コア網から受けた、ユーザ認証により前記無線端末と前記コア網が共有する暗号鍵MSK_SRNC又はK_ASMEに基づき生成した前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵MSK_GW又はK_eNB*を受け、MSK_GW又はK_eNB*により、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスを設定し、
前記ゲートウェイ装置が前記第2のアクセスルータから受けたMSK_GW又はK_eNB*に基づき生成した、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSを前記第1の基地局に渡し、AK_BSにより、前記ゲートウェイ装置と前記第1の基地局とのデータパスを設定し、
前記第1の基地局が前記デートウェイ装置から受けたAK_BSに基づき生成した、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSと、前記無線端末がMSK_SRNC若しくはK_ASME又は前記第1の基地局と鍵交換した認証情報に基づき生成したTEK_BSにより、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行するようにした
前記ゲートウェイ装置。 A first access network having a plurality of first base stations that mutually convert and transfer a first wireless signal from a wireless terminal into a wired signal, and a first access router that accommodates the first base station Connected to
A plurality of second base stations that mutually convert a second wireless signal having a communication format different from that of the first wireless signal from a wireless terminal into a wired signal and transfer it, and a second base station that accommodates the second base station Two access routers, connected to a second access network having a communication format different from that of the first access network,
Accommodating both a first access router of the first access network and a second access router of the second access network, at least one first base station and at least one second base station; Contain
When the wireless terminal that can access both the first access network and the second access network, which are heterogeneous access networks, moves between the first access network and the second access network, Relaying by interconverting a handover procedure in the first access network and a handover procedure in the second access network;
A gateway device,
When the wireless terminal moves to the first access network side and decides a handover to the first access network,
The gateway device receives the second access router received from the core network based on the encryption key MSK_SRNC or K_ASME shared by the wireless terminal and the core network by user authentication, and the gateway Receiving an encryption key MSK_GW or K_eNB * that protects communication between the devices, and setting a data path between the second access router and the gateway device by MSK_GW or K_eNB *,
Passed to the first base station an encryption key AK_BS that is generated based on MSK_GW or K_eNB * received by the gateway device from the second access router and protects communication between the gateway device and the first base station, By AK_BS, a data path between the gateway device and the first base station is set,
An encryption key TEK_BS that protects communication between the wireless terminal and the first base station, which is generated based on AK_BS received by the first base station from the dateway device, and the wireless terminal is MSK_SRNC or K_ASME, By the TEK_BS generated based on the authentication information exchanged with the first base station, the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
Then, the wireless terminal performs user authentication with the first access network and executes a handover to the first access network.
前記第1のコンテキスト情報を記憶するための、無線端末 ID、接続先情報、QoS情報、暗号鍵、データパス情報、第2のコンテキスト情報へのポインタを含む第1のコンテキストテーブルと、
前記第2のコンテキスト情報を記憶するための、無線端末 ID、接続先情報、QoS情報、暗号鍵、データパス情報、第1のコンテキスト情報へのポインタを含む第2のコンテキストテーブルと
を備え、
前記第1及び第2のコンテキストテーブルを読み出して、第1のコンテキスト情報と第2のコンテキスト情報の変換を行うことを特徴とする請求項1乃至6のいずれかに記載された通信システム、又は、請求項7又は8に記載されたゲートウェイ装置。 The gateway device is
A first context table for storing the first context information, including a wireless terminal ID, connection destination information, QoS information, encryption key, data path information, and a pointer to second context information;
A second context table including a wireless terminal ID, connection destination information, QoS information, encryption key, data path information, and a pointer to the first context information for storing the second context information;
The communication system according to any one of claims 1 to 6, wherein the first context information and the second context information are converted by reading the first and second context tables, or The gateway device according to claim 7 or 8.
前記第2のアクセス網は、前記無線端末と前記通信先装置との間で、前記第1のコーデックとは異なる第2のコーデックのアプリケーションセッションを確立し、
前記ゲートウェイ装置は、前記第1のコーデックと前記第2のコーデックの情報がアクセス網種別と対応付けて設定していることを特徴とする請求項1乃至6のいずれかに記載された通信システム、又は、請求項7又は8に記載されたゲートウェイ装置。 The first access network establishes an application session of a first codec between the wireless terminal and the communication destination device,
The second access network establishes an application session of a second codec different from the first codec between the wireless terminal and the communication destination device,
The communication system according to any one of claims 1 to 6, wherein the gateway device sets the information of the first codec and the second codec in association with an access network type, Or the gateway apparatus described in Claim 7 or 8.
請求項4に記載された通信システムと
を備えた通信システム。 A communication system according to claim 1;
A communication system comprising the communication system according to claim 4.
請求項8に記載されたゲートウェイ装置と
を備えたゲートウェイ装置。 A gateway device according to claim 7;
A gateway device comprising the gateway device according to claim 8.
前記無線端末が、前記第1のアクセス網のみに接続されており、前記第1の基地局、前記第1のアクセスルータ、前記コア網経由で、通信先装置と通信を行っている場合、前記無線端末が前記第2のアクセス網側へ移動して、前記第2のアクセス網へのハンドオーバーを決定すると、前記第1の基地局に対して、移動先情報、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第1のアクセスルータは前記コア網からMSKを受け、事前に設定された第1のアルゴリズムを用いて、MSKに基づき、前記コア網−前記第1のアクセスルータ間の通信を保護する暗号鍵AK_GWを生成して前記ゲートウェイ装置に送り、前記第1のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置は、事前に設定された第2のアルゴリズムを用いて、AK_GWに基づき、前記ゲートウェイ装置−前記第2のアクセスルータ間の通信を保護する暗号鍵K_eNB*を生成し、
前記ゲートウェイ装置は、前記第1の基地局及び前記第1のアクセスルータを経て前記無線端末の第1の通信コンテキスト情報を取得し、第2の通信コンテキスト情報に変換して、K_eNB*を含む第2の通信コンテキスト情報を前記第2のアクセスルータに通知し、前記ゲートウェイ装置と前記第2のアクセスルータとのデータパスが設定され、
前記第2のアクセスルータは、事前に設定された第3のアルゴリズムを用いて、K_eNB*に基づき、前記ゲートウェイ−前記第2のアクセスルータ間を保護する暗号鍵K_eNB*+を生成し、前記第2の基地局に送り、
前記第2の基地局は、事前に設定された第4のアルゴリズムを用いて、K_eNB*+に基づき、前記無線端末−第2の基地局間の通信を保護する無線保護用暗号鍵を生成し、
前記無線端末は、事前に設定された前記第1〜第4のアルゴリズムを用いて、MSK又は前記第2の基地局と鍵交換した認証情報に基づき、無線保護用暗号鍵を生成し、前記無線端末と前記第2の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記通信先装置と、前記コア網、前記第1のアクセスルータ、前記ゲートウェイ装置、前記第2の基地局を経由して通信を行い、
その後、前記無線端末は前記第2のアクセス網とユーザ認証を行い、第2のアクセス網へのハンドオーバーを実行する
請求項1に記載された通信システム。 When the wireless terminal connects to the first access network, user authentication is performed, and the core network and the wireless terminal share an encryption key MSK,
When the wireless terminal is connected only to the first access network and communicates with a communication destination device via the first base station, the first access router, and the core network, When the wireless terminal moves to the second access network side and decides to hand over to the second access network, the destination information and the wireless terminal ID are included for the first base station. Send a handover connection request,
The first access router receives an MSK from the core network, and uses a first algorithm set in advance to encrypt communication between the core network and the first access router based on the MSK. AK_GW is generated and sent to the gateway device, and the data path between the first access router and the gateway device is set,
The gateway device generates a cryptographic key K_eNB * that protects communication between the gateway device and the second access router based on AK_GW, using a second algorithm that is set in advance.
The gateway apparatus acquires first communication context information of the wireless terminal via the first base station and the first access router, converts the first communication context information into second communication context information, and includes K_eNB *. 2 communication context information is notified to the second access router, and a data path between the gateway device and the second access router is set,
The second access router generates an encryption key K_eNB ** that protects between the gateway and the second access router based on K_eNB * using a third algorithm set in advance, and To two base stations,
The second base station generates a wireless protection encryption key for protecting communication between the wireless terminal and the second base station based on K_eNB ** using a fourth algorithm set in advance. ,
The wireless terminal generates a wireless protection encryption key based on authentication information exchanged with the MSK or the second base station using the first to fourth algorithms set in advance, and the wireless terminal The terminal and the second base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the core network, the first access router, the gateway device, and the second base station,
2. The communication system according to claim 1, wherein the wireless terminal performs user authentication with the second access network and executes a handover to the second access network. 3.
前記無線端末は前記第2のアクセス網に接続されており、前記第2の基地局、前記第2のアクセス網、前記コア網経由で、通信先装置とデータ通信を行っている場合、前記無線端末は、前記第1のアクセス網へのハンドオーバーを決定すると前記無線端末は、前記第2の基地局へ移動先情報、前記無線端末のIDを含むハンドオーバーの接続要求を送信し、
前記第2のアクセスルータは、事前に設定された第5アルゴリズムを用いて、K_ASMEに基づき前記第2のアクセスルータ−前記ゲートウェイ装置間の通信を保護する暗号鍵K_eNB*を生成し、前記ゲートウェイ装置に通知し、前記第2のアクセスルータと前記ゲートウェイ装置とのデータパスが設定され、
前記ゲートウェイ装置は、事前に前記無線端末と共有している第6アルゴリズムを用いて、K_eNB*に基づき、前記ゲートウェイ装置−第1の基地局間の通信を保護する暗号鍵AK_BSを生成し、前記第1の基地局へ通知し、前記ゲートウェイ装置と前記第1の基地局とのデータパスが設定され、
前記第1の基地局は、事前に設定された第7のアルゴリズムを用いて、AK_BSに基づき、前記無線端末−前記第1の基地局間の通信を保護する暗号鍵TEK_BSを生成し、
前記無線端末は、前記第2のアクセスルータ、前記ゲートウェイ装置、前記第1の基地局と同じ、事前に設定された前記第5及び第6及び第7のアルゴリズムを用いて、K_ASME又は前記第1の基地局と鍵交換した認証情報に基づき、TEK_BSを生成し、前記無線端末と前記第1の基地局は、保護された通信路上で無線データリンク設定を行い、
前記無線端末は、前記第1の基地局、前記ゲートウェイ装置、前記第2のアクセスルータ、前記コア網経由で前記通信先装置と通信を行い、
その後、前記無線端末は、前記第1のアクセス網とユーザ認証を行い、第1のアクセス網へのハンドオーバーを実行する
請求項4に記載された通信システム。 When the wireless terminal connects to the second access network, user authentication is performed, and the wireless terminal and the core network share an encryption key K_ASME,
When the wireless terminal is connected to the second access network and performs data communication with a communication destination device via the second base station, the second access network, and the core network, the wireless terminal When the terminal determines a handover to the first access network, the wireless terminal transmits a handover connection request including destination information and an ID of the wireless terminal to the second base station,
The second access router generates an encryption key K_eNB * that protects communication between the second access router and the gateway device based on K_ASME, using a preset fifth algorithm, and the gateway device And the data path between the second access router and the gateway device is set,
The gateway device generates an encryption key AK_BS that protects communication between the gateway device and the first base station based on K_eNB * using a sixth algorithm shared in advance with the wireless terminal, Notifying the first base station, the data path between the gateway device and the first base station is set,
The first base station generates an encryption key TEK_BS that protects communication between the wireless terminal and the first base station based on AK_BS using a preset seventh algorithm,
The wireless terminal uses the same fifth, sixth, and seventh algorithms set in advance as the second access router, the gateway device, and the first base station, and uses the K_ASME or the first Based on the authentication information exchanged with the base station of the base station, a TEK_BS is generated, and the wireless terminal and the first base station perform wireless data link setting on the protected communication path,
The wireless terminal communicates with the communication destination device via the first base station, the gateway device, the second access router, and the core network,
5. The communication system according to claim 4, wherein the wireless terminal performs user authentication with the first access network and performs a handover to the first access network.
前記第2のアクセス網は、UMBアクセス網であり、
暗号鍵としてMSK、AK_GW、MSK_eBS、TSK_eBSを用いることを特徴とする請求項1に記載の通信システム。 The first access network is a WiMAX access network;
The second access network is a UMB access network;
The communication system according to claim 1, wherein MSK, AK_GW, MSK_eBS, and TSK_eBS are used as encryption keys.
前記第2のアクセス網は、LTEアクセス網であり、
暗号鍵としてMSK、AK_GW、K_eBS*+、無線保護用暗号鍵を用いることを特徴とする請求項1に記載の通信システム。 The first access network is a WiMAX access network;
The second access network is an LTE access network;
The communication system according to claim 1, wherein MSK, AK_GW, K_eBS * +, and a wireless protection encryption key are used as encryption keys.
前記第2のアクセス網は、UMBアクセス網であり、
暗号鍵としてMSK_SRNC、MSK_GW、AK_BS、TEK_BSを用いることを特徴とする請求項4に記載の通信システム。 The first access network is a WiMAX access network;
The second access network is a UMB access network;
5. The communication system according to claim 4, wherein MSK_SRNC, MSK_GW, AK_BS, and TEK_BS are used as encryption keys.
前記第2のアクセス網は、LTEアクセス網であり、
暗号鍵としてK_ASME、K_eNB*、AK_BS、TEK_BSを用いることを特徴とする請求項4に記載の通信システム。 The first access network is a WiMAX access network;
The second access network is an LTE access network;
The communication system according to claim 4, wherein K_ASME, K_eNB *, AK_BS, and TEK_BS are used as encryption keys.
前記第2のアクセス網は、LTEアクセス網であることを特徴とする請求項1又は請求項4に記載の通信システム。 The first access network is a WLAN access network;
The communication system according to claim 1 or 4, wherein the second access network is an LTE access network.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008219213A JP4977665B2 (en) | 2007-10-26 | 2008-08-28 | Communication system and gateway device |
EP08017981.5A EP2053886A3 (en) | 2007-10-26 | 2008-10-14 | Communication system and gateway apparatus |
US12/256,902 US8134972B2 (en) | 2007-10-26 | 2008-10-23 | Communication system and gateway apparatus |
CN2008101750118A CN101489223B (en) | 2007-10-26 | 2008-10-24 | Communication system and gateway apparatus |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007278457 | 2007-10-26 | ||
JP2007278457 | 2007-10-26 | ||
JP2008219213A JP4977665B2 (en) | 2007-10-26 | 2008-08-28 | Communication system and gateway device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009124684A JP2009124684A (en) | 2009-06-04 |
JP4977665B2 true JP4977665B2 (en) | 2012-07-18 |
Family
ID=40816298
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008219213A Expired - Fee Related JP4977665B2 (en) | 2007-10-26 | 2008-08-28 | Communication system and gateway device |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4977665B2 (en) |
CN (1) | CN101489223B (en) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090141683A1 (en) * | 2007-11-30 | 2009-06-04 | Edward Grinshpun | Method of best effort handoff to maintain radio bearer and mip session continuity for multi-mode mobile units |
CN101960884B (en) * | 2008-03-28 | 2014-02-26 | 日本电气株式会社 | Mobile communication system, method of handover between different types of access network, mobile terminal, and server |
US9509543B2 (en) | 2009-06-26 | 2016-11-29 | Qualcomm Incorporated | Method and apparatus that facilitates interference reduction in wireless systems |
CN102026163B (en) * | 2009-09-10 | 2013-06-12 | 中兴通讯股份有限公司 | Method and device for selecting access to Internet through wireless fidelity access network |
JP5581655B2 (en) * | 2009-11-09 | 2014-09-03 | 沖電気工業株式会社 | Relay device and relay method |
US9775027B2 (en) | 2009-12-31 | 2017-09-26 | Alcatel Lucent | Method for interworking among wireless technologies |
JP5390450B2 (en) * | 2010-03-30 | 2014-01-15 | 日本無線株式会社 | Wimax communication system |
CN102244862A (en) | 2010-05-10 | 2011-11-16 | 北京三星通信技术研究有限公司 | Method for acquiring security key |
US9385862B2 (en) * | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
US8839373B2 (en) | 2010-06-18 | 2014-09-16 | Qualcomm Incorporated | Method and apparatus for relay node management and authorization |
US9077698B2 (en) * | 2010-08-05 | 2015-07-07 | Nec Corporation | Group security in machine-type communication |
JP5697134B2 (en) * | 2010-08-16 | 2015-04-08 | 日本電気株式会社 | COMMUNICATION SYSTEM, GATEWAY DEVICE, FEMTO CELL BASE STATION, COMMUNICATION METHOD AND DEVICE PROGRAM |
KR101260416B1 (en) | 2011-08-02 | 2013-05-07 | 한국과학기술원 | Integrated base station managing a plurality of simplified radio access points |
US10484451B2 (en) * | 2016-10-18 | 2019-11-19 | Huawei Technologies Co., Ltd. | Virtual network state management in mobile edge computing |
CN113015228B (en) * | 2021-02-23 | 2022-03-11 | 烽火通信科技股份有限公司 | Method and system for configuring wireless service of home gateway |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002186037A (en) * | 2000-12-12 | 2002-06-28 | Ntt Docomo Inc | Authentication method, communication system, and repeater |
CN1192565C (en) * | 2002-07-16 | 2005-03-09 | 华为技术有限公司 | Internet access method based on radio block network gateway |
US8437368B2 (en) * | 2003-06-04 | 2013-05-07 | Nokia Corporation | System and method for handing over a call from a packet-switched network to a circuit-switched network |
US8462817B2 (en) * | 2003-10-15 | 2013-06-11 | Qualcomm Incorporated | Method, apparatus, and system for multiplexing protocol data units |
EP1599008B1 (en) * | 2004-05-19 | 2008-03-05 | Alcatel Lucent | Method of providing a signing key for digitally signing, verifying or encrypting data |
JP4472537B2 (en) * | 2005-01-21 | 2010-06-02 | パナソニック株式会社 | Packet control apparatus, authentication server, and wireless communication system |
GB2424545A (en) * | 2005-03-24 | 2006-09-27 | Orange Personal Comm Serv Ltd | Packet radio communications system where at least one ran is arranged to operate with a different communication standard than the other rans |
WO2007052720A1 (en) * | 2005-11-01 | 2007-05-10 | Ntt Docomo, Inc. | Communication device and communication method |
JP2007194848A (en) * | 2006-01-18 | 2007-08-02 | Mitsubishi Electric Corp | Mobile radio terminal authentication method of wireless lan system |
-
2008
- 2008-08-28 JP JP2008219213A patent/JP4977665B2/en not_active Expired - Fee Related
- 2008-10-24 CN CN2008101750118A patent/CN101489223B/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101489223A (en) | 2009-07-22 |
JP2009124684A (en) | 2009-06-04 |
CN101489223B (en) | 2012-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4977665B2 (en) | Communication system and gateway device | |
US8134972B2 (en) | Communication system and gateway apparatus | |
McCann | Mobile IPv6 fast handovers for 802.11 networks | |
TWI393414B (en) | Secure session keys context | |
US8910271B2 (en) | System and method for handover between interworking WLAN and EUTRAN access systems | |
JP5054772B2 (en) | Method and system for providing an access-only key | |
JP4682250B2 (en) | Wireless router assisted security handoff (WRASH) in multi-hop wireless networks | |
JP5625703B2 (en) | Mobile communication system, communication control method, and radio base station | |
JP2003051818A (en) | Method for implementing ip security in mobile ip networks | |
CN102484790B (en) | Pre-registration security support in multi-technology interworking | |
US20130305332A1 (en) | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys | |
CN1969568A (en) | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff | |
CN102687537A (en) | Media independent handover protocol security | |
Forsberg | LTE key management analysis with session keys context | |
KR20090039593A (en) | Method of establishing security association in inter-rat handover | |
KR20100010936A (en) | Method, system and device for location update in networks | |
KR20170097487A (en) | Service method for converged core network, universal control entity and converged core network system | |
JP2007194848A (en) | Mobile radio terminal authentication method of wireless lan system | |
Emmelmann et al. | Moving toward seamless mobility: state of the art and emerging aspects in standardization bodies | |
US20100118774A1 (en) | Method for changing radio channels, composed network and access router | |
KR100485355B1 (en) | Inter-Distribution system handoff method in WLANs | |
WO2015054853A1 (en) | Distribution method, base station and user equipment | |
JP2010103943A (en) | Mobile communication network system, correspondent node, mobile node, home agent, and access gateway | |
Chang et al. | Fast and secure mobility for IEEE 802.16 e broadband wireless networks | |
Zheng et al. | Handover keying and its uses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100121 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110218 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120321 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120321 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120416 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150420 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |