JP5797332B2 - ユーザエンティティにネットワークアクセスを提供する方法及び装置 - Google Patents

ユーザエンティティにネットワークアクセスを提供する方法及び装置 Download PDF

Info

Publication number
JP5797332B2
JP5797332B2 JP2014514013A JP2014514013A JP5797332B2 JP 5797332 B2 JP5797332 B2 JP 5797332B2 JP 2014514013 A JP2014514013 A JP 2014514013A JP 2014514013 A JP2014514013 A JP 2014514013A JP 5797332 B2 JP5797332 B2 JP 5797332B2
Authority
JP
Japan
Prior art keywords
access point
user
communication link
authentication
user entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014514013A
Other languages
English (en)
Other versions
JP2014524166A (ja
Inventor
デ ヴェルデ,ティエリー ファン
デ ヴェルデ,ティエリー ファン
ヘンドリックス,ウィム
メリア,テレマコ
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2014524166A publication Critical patent/JP2014524166A/ja
Application granted granted Critical
Publication of JP5797332B2 publication Critical patent/JP5797332B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2863Arrangements for combining access network resources elements, e.g. channel bonding
    • H04L12/2867Physical combinations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明はネットワークアクセスの分野に関し、特にセルラーアクセスネットワーク及び非セルラーアクセスネットワークのサービスレベル統合の分野に関する。
ある種の最新の携帯電子デバイス(「ユーザエンティティ」又は「UE」とも呼ばれる)は、2G、2.5G、3G及び/又はLTEネットワークのようなセルラーネットワークに接続するのに必要な構成要素と、無線LANネットワーク(例えば、IEEE802.11a/b/g/n)又は有線LANネットワーク(例えば、IEEE802.3)のような非セルラーIP接続アクセスネットワーク(IP CAN)に接続するのに必要な構成要素とを備える。
これまで、携帯電話顧客が非セルラーネットワークを介して通信しているときに、その携帯電話顧客に対して事業者が広帯域サービス(接続性及び付加価値サービス)を提供できるようにする満足のいくプロトコルアーキテクチャが欠けていた。
例えば、第3世代パートナーシップ・プロジェクト(3GPP)によって規定されるアーキテクチャは、携帯電話ネットワーク事業者(MNO)の視点からIP CANが信頼できない場合、UEと発展型パケットデータ・ゲートウェイ(ePDG)又はパケットデータネットワーク・ゲートウェイ(PDNゲートウェイ)との間に安全な接続(「シンパイプ(thin pipe)」)を設定する必要がある。
本発明の実施形態の目的は、上記の短所を克服することである。
本発明の一態様によれば、アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法が提供され、そのアクセスポイントはLANインターフェース及び広帯域ネットワークインターフェースを含み、その方法はゲートウェイデバイスにおいて、アクセスポイントとの第2の安全な通信リンクを確立するステップと、第2の安全な通信リンクを介して、複数のユーザエンティティのうちの1つからIPアドレス割当て要求を受信するステップと、AAAサーバにアクセスし、複数のユーザエンティティのうちの1つに関連付けられる携帯電話加入に関連するデータに基づいて、複数のユーザエンティティのうちの1つのユーザエンティティの認証が既に成功したか否かを検証するステップと、成功したことを検証すると、複数のユーザエンティティのうちの1つとのIPアドレス割当て方式を完了するステップと、複数のユーザエンティティのうちの1つとPDNとの間でデータを中継できるようにするステップとを含み、ゲートウェイデバイスは、PDNに向かう種々のアクセスポイントからの第2の安全な通信リンクの複数のインスタンスを統合するように構成される。
本発明の一態様によれば、アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法が提供され、そのアクセスポイントはLANインターフェース及び広帯域ネットワークインターフェースを含み、その方法は無線アクセスポイントにおいて、LANインターフェースを介して複数のユーザエンティティの中の各ユーザエンティティとのそれぞれの第1の安全な通信リンクを確立するステップと、広帯域ネットワークインターフェースを介してゲートウェイデバイスとの第2の安全な通信リンクを確立するステップと、それぞれの第1の安全な通信リンクと第2の安全な通信リンクとの間でデータを双方向に中継するステップとを含み、ゲートウェイデバイスは、PDNゲートウェイに向かう種々のアクセスポイントからの第2の安全な通信リンクの複数のインスタンスを統合するように構成される。
本発明は、セルラー無線アクセスネットワークからの特定のデータトラフィックを非セルラーIP CANに「オフロードする」方法を提供し、本開示の目的の場合、非セルラーIP CANは包括的に「LAN」とも呼ばれる。これは、携帯電話ネットワーク事業者に対して、及びセルラーネットワーク上、及びWi−Fiのような非セルラーIP CAN上の両方で動作することができるユーザエンティティを利用するエンドユーザに対して利益を与える。マクロセルラー・インフラストラクチャにおけるビット当たりのコストは、オフロードされたトラフィックの場合よりも著しく高い。Wi−Fiのための場所、電力、更には固定バックホールも通常MNOによって負担されないので、これは、インフラストラクチャ投資コストに関してだけでなく、運用費に関しても当てはまる。さらに、それにより、携帯電話事業者は、このオフロードされたトラフィックに対して課金できるようになり、新たな収入機会を生み出すことができる。
本発明の方法の一実施形態では、アクセスポイントは無線アクセスポイントであり、LANインターフェースは無線LANインターフェースであり、その無線伝送は、IEEE802.11i暗号化プロトコルによって保証される。
この実施形態は、ユーザエンティティにおいて、かつネットワークゲートウェイ(ePDG/PGW)において必要とする汎用処理能力が、既知の終端間IPSecモデルよりも少ないという利点を有する。
本発明の一実施形態では、第2の安全な通信リンクは、IPSecトランスポートトンネルによって保証される。
この実施形態は、妥当なコスト及び複雑さにおいて、アクセスポイントとゲートウェイデバイスとの間の良好なセキュリティを提供し、それにより、アクセスポイントと事業者ネットワークとの間にあるデバイス(例えば、住居用ゲートウェイ)におけるスヌーピングの危険性を回避するという利点を有し、ユーザエンティティにおいて必要とする汎用処理能力が、既知の終端間IPSecモデルよりも少ないという利点を有する。
一実施形態では、本発明の方法はアクセスポイントにおいて、LANインターフェースを介して、ユーザ機器から、広帯域ネットワークインターフェースに接続されるネットワークとの通信許可要求を受信するステップと、ホーム・ロケーション・レジスタから、ユーザ機器に関連付けられる携帯電話加入に関連するデータを入手するステップと、携帯電話加入に関連するデータに基づいてユーザ機器を認証するステップと、認証に成功した場合には、広帯域ネットワークインターフェースに接続されるネットワークとの通信を許可するステップとを更に含む。
特定の実施形態では、ユーザ機器を認証するステップは、LANインターフェースを介してユーザ機器に少なくとも1つの認証チャレンジを送信するステップと、LANインターフェースを介してユーザ機器から少なくとも1つの認証チャレンジに対するレスポンスを受信するステップとを含み、そのレスポンスは、ユーザ機器に安全に記憶された鍵によって、少なくとも1つの認証チャレンジから暗号処理によって導出される。
更に詳細な実施形態では、その鍵はSIMカード内に記憶される。
「SIMカード」は、GSM及びUMTS仕様書において標準化されるような加入者識別モジュールを示すものと理解されたい。EAP−SIM/AKA認証によって、携帯電話(3G−LTE)アクセス、及びWi−Fiオフロードの両方の加入及び加入者データベースを統合できるようになる。ユーザエンティティ、通常「スマートフォン」を識別し、認証するために集中型事業者(converged operator)によってEAP−SIM/AKA認証を再利用することによって、その事業者はWi−Fiオフロードセッションの所有権を保持できるようになり、事業者及びエンドユーザの両方の相互利益につながる。これが、携帯電話ネットワーク事業者(MNO)にとって著しい利点を有するのは明らかである。それにより、MNOは、そのマクロ層無線アクセスネットワーク(RAN)からの著しいトラフィックをオフロードできるようになり、リソースを解放し、容量拡大において必要とされる投資を遅らせると同時に、エンドユーザとの完全な関係を保持し、ブランドロイヤルティを改善できるようになる。エンドユーザにとって、主な利点は、MNOによってサポートされる全てのネットワーク、詳細にはWi−Fiネットワークへのシームレスアクセスである。これは、エンドユーザが利用可能なWi−Fiリソースを利用する場所の数を大きく増やすことになる。
特定の実施形態では、ユーザエンティティはIEEE802.1Xサプリカントを含み、通信を許可するステップは、アクセスポイントのポートをIEEE802.1X許可済み状態に移行させるステップを含む。
本発明の方法の一実施形態では、ゲートウェイデバイスは、ユーザエンティティ・セッションのインスタンスを生成し、除去する、AAAサーバ、AAAプロキシ及びAAAスニファのうちの1つを含む。
本発明の方法の一実施形態では、ゲートウェイデバイスは、GGSN又はPDNゲートウェイへのGTPトンネルを設定し、ユーザエンティティに携帯電話事業者IPサービス及び/又は課金機構へのアクセスを提供する。その場合、ユーザエンティティ・アドレスは、GGSN又はPDNゲートウェイによって与えられうる。
本発明の方法の別の実施形態では、ゲートウェイデバイスは、UEをホームエージェントに登録する、モバイルIP(MIP、デュアルスタックMIPv6)フォーリンエージェントを含む。
本発明の一態様によれば、WAP/CPEの両方において、又はゲートウェイデバイスにおいて、プログラム可能機械に上記の方法を実行させるように構成されるコンピュータプログラムが提供される。
本発明の一態様によれば、上記の方法において使用するアクセスポイントが提供される。
本発明の一態様によれば、上記の方法において使用するゲートウェイデバイスが提供される。
本発明によるプログラム、アクセスポイント及びゲートウェイデバイスの利点は、必要に応じて変更を加えるものの、本発明による方法の利点に対応する。
本発明の実施形態による装置及び/又は方法の幾つかの実施形態が、一例にすぎないが、添付の図面を参照しながら、ここで説明される。
本発明の方法の実施形態を展開することができる簡単な例示的ネットワークトポロジを示す図である。 本発明の方法、詳細にはゲートウェイデバイスにおいて行われるステップの一実施形態の流れ図である。 本発明の方法、詳細にはアクセスポイントにおいて行われるステップの一実施形態の流れ図である。 本発明の方法の一実施形態における特定のステップの流れ図である。 本発明の方法の一実施形態における特定のステップのための詳細なプロトコルメッセージ交換を示す概略図である。 本発明の方法の実施形態を展開することができる詳細な例示的ネットワークトポロジを示す図である。
図面全体を通して、同じ参照符号は同じ要素を示すために用いられている。
以下の説明を通して、以下の一般化が成り立つ。特定の要素の任意の特定の数の事例が図示及び/又は記述される場合、これは、明確にすることのみを目的として行われており、一般性を失うものではない。ある方法におけるステップが特定の順序において図示及び/又は記述される場合、これは、明確にすることのみを目的として行われており、一般性を失うものではない。関連付けられる技術的結果を得るために特定のステップ順序が必要であることが説明から明らかである場合を除き、本発明の範囲から逸脱することなく、ステップの順序を変更し、及び/又は並列化することができる。特定の標準規格が参照される場合、機能的に等価な他の標準規格が代用される場合があることは理解されたい。本発明による方法に関連して記述される特徴及び利点は、必要に応じて変更を加えるものの、本発明による装置にも当てはまり、その逆も同様である。
図1は、本発明の実施形態を展開することができる、極めて簡略化された例示的なネットワークトポロジを示す。本発明の目的は、アクセスポイント110を通して複数のユーザエンティティ100a〜cにネットワークアクセスを提供することである。ユーザエンティティ100a〜cは、セルラーネットワーク(例えば、2G、2.5G、3G、LTE)を介して、かつ無線LANネットワーク(例えば、IEEE802.11a/b/g/n)のようなLANネットワークを介して通信することができるデバイスであると仮定する。
一般性を失うことなく、無線LANネットワークは、説明の残りの部分においてLANネットワークと仮定される。本発明が有線LANネットワークにも全く同じように当てはまることは当業者には理解されよう。
ユーザエンティティ100a〜cが、無線アクセスポイント110によってサービス提供されるネットワークのような無線LANネットワークの範囲内にあるとき、経済的な観点から、かつ帯域幅利用可能性に関して、セルラーインターフェースを介してではなく、無線LANインターフェースを介して、例えば、インターネット利用のテレビ及び/又はビデオ通話を含む、大量のデータ通信を行うことが好ましい。意図した通信を、セルラー無線アクセスネットワーク(RAN)から、無線LANアクセスネットワークに移動させることは、セルラー無線アクセスネットワークに、ある形の「オフロード処理」を提供する。それゆえ、本発明の実施形態によって導入される展開モデルは、「Wi−Fiオフロード処理」と呼ばれる。
このために、無線アクセスポイント110によって、無線LANインターフェースを介して第1の安全な通信リンク105を確立できるようにする。これらの通信リンク105は、それぞれのユーザエンティティ100a〜cとアクセスポイント110との間のある形の暗号化、好ましくは、IEEE802.11iフレームワークにおいて標準化されるような形の暗号化(例えば、WPA、WPA2)によって保護されるという意味において安全である。有線アクセスポイントが用いられる場合、セキュリティは、媒体が物理的にポイント・ツー・ポイントである(例えば、ツイストペア線又はポイント・ツー・ポイントリンクを介してのIEEE802.3イーサネット)によって与えることができる。
3GPPフレームワークにおいて提案されるような、従来技術のアーキテクチャとは対照的に、本発明による無線アクセスポイント110は、後に発展型広帯域ネットワークゲートウェイ(eBNG)とも呼ばれる、ゲートウェイデバイス120との第2の安全な、及び/又はカプセル化された通信リンク115を確立する。第2の安全な通信リンク115は、暗号化され、及び/又はカプセル化されるという意味において安全である。このリンク115は、無線アクセスポイント110とeBNG120との間のある形の暗号化、好ましくは、IPSecフレームワークにおいて標準化されるような形の暗号化によって保護することができる。更に、又は代替的には、このリンク115は、無線アクセスポイント110及びeBNG120が、各アップリンクに応答するダウンリンクIPパケットをカプセル化して、GRE、L2TP、MPLS、VLANタギング又は他のカプセル化プロトコルを搬送する新たなIPパケットにするという意味においてカプセル化することができる。第2の通信リンク115は、任意の適切なネットワークによって物理的に搬送され、そのネットワークは、幾つかの有線(例えば、イーサネット、xDSL、GPON)及び/又は無線(例えば、IEEE802.16)ネットワークセグメントからなることができる。住居用ゲートウェイ112のような更なるネットワーク機器が、そのネットワークのこの部分に存在する場合がある。
第2の安全な通信リンク115は、複数のユーザエンティティ・セッションのトラフィックを搬送し、それゆえ、単一のUE開始セッションのみを搬送する、いわゆる「シンパイプ」とは対照的に「ファットパイプ」と呼ぶことができる。本発明によるネットワーク及びプロトコルアーキテクチャは、「ファットパイプモデル」とも呼ばれる場合がある。
eBNG120は上記の「ファットパイプ」のうちの幾つかを統合し、ファットパイプのうちの幾つかが、図1において、異なる無線アクセスポイント事例(番号を付されない)から生じるように示されており、eBNG120は、UEセッションごとに、オプションでPDNゲートウェイ130に向かってGTPv2トンネルを確立する。このPDNゲートウェイ130を通して、ユーザエンティティ100a〜cは、その加入条件に従って、雲140によって記号で表され、図5において更に詳細に図示される、セルラーネットワークによって提供されるか、又はセルラーネットワークを通して提供されるIPサービスに所望のようにアクセスすることができる。
PDNゲートウェイ130においてアクセスポイント110からのIPSecトンネルを終端することは幾つかの利点がある。第一に、ユーザエンティティ100a〜cからプロバイダ関連のIPSecセッションを終端する負担を取り除き、それに応じて、例えば、企業ネットワークのゲートウェイのような通信相手との終端間IPSecセッションを実行することを含む、他のタスクのためにリソースを解放することができる。第二に、アクセスポイント110は一般的に無線リンク上のセキュリティを提供することができるので、このデバイス110は相次ぐ暗号化を提供するのに適しており、それゆえ、ユーザエンティティ100a〜cとeBNG120との間の終端間通信において任意の暗号化されないリンクが存在するのを避ける。これは、終点間に存在する住居用ゲートウェイ112のような、一般的に無許可の人がアクセス可能な更なる機器が存在するときに特に重要である。この場合、アクセスポイント110と住居用ゲートウェイ112との間のセグメントは、信用できるIP CANへのオフロードのための既存の3GPPアーキテクチャにおいて、無防備なままである可能性がある。信用できるIP CAMは実際には、RGW112と、RGW112とeBNG120との間の経路上に位置する広帯域ネットワークゲートウェイ(BNG)118との間のセグメントと定義される。
本発明によるネットワーク及びプロトコルアーキテクチャを仮定すると、ゲートウェイデバイス120が全ての既存の固定又は移動「合法的傍受」インフラストラクチャ(LIゲートウェイ)を再利用できるので、ゲートウェイデバイス120において「合法的傍受」機能を実施するのが容易になるという利点がある。同様に、ゲートウェイデバイス120においてユーザセッションがわかることから、ゲートウェイデバイス120において、AAA、オンライン課金、オフライン課金、ポリシー制御及び強制機能、ネットワークアドレス変換及び他の機能を実施することができる。
図2は、本発明の方法の一実施形態の流れ図を表し、詳細には、その流れ図は、図1のアーキテクチャ内のゲートウェイデバイス120の中心的活動を示す。ステップ210において、ゲートウェイデバイス120は、無線アクセスポイント110との安全な通信リンクを確立する。後に更に詳細に説明されるようにして、ユーザエンティティ100と無線アクセスポイント110との間にレイヤ2通信が設定されるが、その場合、ユーザエンティティ100に関連付けられる携帯電話加入に関連するデータに基づくユーザエンティティ100の認証を伴う。AAAサーバ150が認証プロセスに関与する。ステップ220において、ゲートウェイデバイス120は、対象とするユーザエンティティ100から、IPアドレス割当て要求、通常、DHCP要求を受信する。ステップ230において、ゲートウェイデバイス120は、AAAサーバ150と接触し、上記の認証を行うのに成功したか否かを検証する。実際に認証に成功した場合には(235)、ゲートウェイデバイス120は、ステップ240において、IPアドレス割当てを進め、ユーザエンティティ100と、PDNゲートウェイ130内のプロバイダのネットワークインフラストラクチャとの間に通信を確立できるようにする。それゆえ、ユーザエンティティ100は、一度しか認証される必要はなく、一方、レイヤ2及びレイヤ3接続性はその認証の結果次第である。認証自体は、ユーザエンティティ100のユーザによって保持される加入に基づく。
図3は、本発明の方法の一実施形態の流れ図を表す。詳細には、その流れ図は、図1のアーキテクチャ内の無線アクセスポイント110の中心的活動を示す。ステップ310において、無線アクセスポイント110は、無線ネットワークインターフェースを介して、ユーザエンティティ100との第1の安全な通信リンク105を確立する。ステップ320において、無線アクセスポイント110は、ゲートウェイデバイス120との第2の安全な、及び/又はカプセル化された通信リンク115を確立する。ステップ330において、無線アクセスポイント110は、第1の安全な通信リンク105と第2の通信リンク115との間で双方向にデータを中継し、すなわち、ユーザエンティティ100とゲートウェイデバイス120との間で通信できるようにする。
本発明による方法の実施形態では、ユーザエンティティ110とゲートウェイデバイス120との間の通信の確立は、ユーザエンティティ110の認証成功次第であり、ユーザエンティティ110が動作する加入条件によって制限される。図4は、本発明の方法のそのような実施形態における特定のステップの流れ図を表す。
ステップ410において、無線アクセスポイント110は、ユーザエンティティ100から、通信認証要求を受信する。好ましくは、ユーザエンティティ100は、このために、IEEE802.1Xサプリカント機能を実施し、その要求は、IEEE802.1X認証要求として取り扱われる。図4の意味におけるユーザエンティティの要求は、ユーザエンティティによって自発的に送信される必要はない。その要求は実際には、無線アクセスポイント110からの「EAP要求」メッセージに応答して送信される「EAP応答」メッセージであってもよい。
ステップ420において、無線アクセスポイント110は、ユーザエンティティ100のホーム・ロケーション・レジスタ(HLR)160から、ユーザエンティティ100に関連付けられる携帯電話加入データを入手する。この情報は通常、直接入手されるのではなく、好ましくはRADIUSプロトコル交換を用いてゲートウェイデバイス120を介してアクセス可能である、認証、許可及びアカウント用(AAA)サーバ150を介して間接的に入手される。それゆえ、HLR160からの加入者情報に基づいて、ステップ430において無線アクセスポイント110において認証を完了することが可能になる。この方法は、ゲートウェイデバイス120においてユーザエンティティの加入者詳細を認識させ、加入者特有のサービスを展開できるようにし、及び/又は加入に基づいて課金できるようにするという利点を有する。チャレンジ・レスポンス認証交換においてユーザエンティティのSIMカードを使用することによって、認証ステップの安全性を高めることができるという更なる利点もある。全認証シーケンスは、EAP−SIM又はEAP−AKA交換として都合良く実施することができる。
認証成功435時に、レイヤ2通信が設定されると、レイヤ3通信が確立されなければならない(440〜460)。この段階において、ユーザエンティティ100とゲートウェイデバイス120との間で後続のプロトコル交換が行われるように、無線アクセスポイント110は、これらのエンティティ間でレイヤ2通信できるように既に設定されている。レイヤ3フェーズは、ステップ440においてゲートウェイデバイス120によって受信された、IPアドレスの割当て要求によって開始する。この要求に応答して、ゲートウェイデバイス120は、ステップ450において、AAAサーバ150から、ユーザエンティティ100の認証ステータスを検索する。このステータス検索が、認証が成功したことを示す場合には(455)、IPアドレス割当て要求が受諾され、ステップ460においてIPアドレスが割り当てられる。IPアドレス割当て交換は、UEによって開始されるDHCPプロトコルに従って行われることが好ましい。
図5は、先に詳細に説明されたような、図4のステップ410〜460に対応する、本発明の方法の一実施形態による詳細なプロトコルメッセージ交換を概略的に示す。
図6は、本発明の方法の実施形態を展開することができる詳細な例示的ネットワークトポロジを表す。
図6は、詳細には、ゲートウェイデバイス120のインターフェースを示す。非セルラーIP CANにわたるUEセッションのインスタンスを生成する発展型広帯域ネットワークゲートウェイ(eBNG)としてのその特有の機能に加えて、ゲートウェイデバイス120は、従来の広帯域ネットワークゲートウェイ(CPE又はRGWによって開始されるセッションのインスタンスを生成するBNG)の機能及び/又は発展型パケットデータ・ゲートウェイ(UE開始IPSecSAを終端するePDG)の機能を果たすことができ、このために必要な構造的構成要素を有する。本発明によるゲートウェイデバイス120は、上記のような「ファットパイプ」を表す安全で、及び/又はカプセル化されたリンクを用いて、通常は固定広帯域アクセスネットワークを介して、無線アクセスポイント110とやりとりするインターフェースと、PDNゲートウェイ、GGSN又はHA130とやりとりするオプションのインターフェースと、そこから加入関連情報を入手することができるAAAサーバ150とやりとりするインターフェースとを備える。これらのインターフェースは物理的に異なる必要はないが、ネットワーク層及びその上層においてそれぞれの通信相手との間の通信を適切に区別するために必要なハードウェア及びソフトウェアが存在しなければならないことは、当業者には理解されよう。
本発明及びその利点を更に明確にするために、ここで、例示的な実施態様が更に詳細に説明される。本開示の範囲から逸脱することなく、この説明から個々の実施態様のオプションを考えることができること、及びそのオプションを本発明の上記の包括的な概念と組み合わせることができることは当業者には理解されよう。
スマートフォン100が非公開SSIDによってホットスポットに入ってくるとき、そのスマートフォンはそのSIM/USIM認証情報を用いて自らを認証し、ユーザが任意の専用Wi−Fiアカウントを設定するのを不要にする。
SIM/USIM認証情報はEAP−SIM/AKA法を介して中継され、HLR160内の加入者情報に対して正当性を検証される。したがって、これらのSIM/USIM認証情報は、2G、2.5G、3G又はLTEネットワーク内の認証及び許可のために用いられるのと同じ携帯電話認証情報(SIM/USIM)である。
ユーザエンティティ100、無線アクセスポイント110及びHLR160は、eBNG120及びAAAサーバ150によって支援される。
−ユーザエンティティ100、市販のスマートフォン、3G/Wi−Fiドングル、及び3G/Wi−Fi対応ラップトップによって、今日、Wi−Fiオフロードのための全ての認証機構がサポートされる。
−無線アクセスポイント110:Wi−FiIEEE802.11n認証(certification)を受信するために、無線アクセスポイントは、EAP−SIM及び/又はEAP−AKA認証をサポートする必要がある。さらに、無線アクセスポイントは、全てのオフロードされたトラフィックをルーティングする、eBNG120へのトランスポートトンネルをサポートする必要がある。このトンネルは、IPSec又はGREトンネルとして達成されることが好ましい。
−eBNG120:eBNG120は、無線アクセスポイントの背後でエンドユーザのためのDHCPセッション生成を取り扱う必要がある。DHCP要求情報は、RADIUSクライアントによって、この要求を同じUE MACアドレスのための以前のEAP−SIM/AKA認証に関連付けるAAAサーバ150に渡すことができる。eBNG120がEAP−SIM/AKA認証フェーズのためのRADIUSプロキシ・エージェント又はスニファをサポートする場合には、eBNG120は、そのUE MACのための以前に成功したEAP−SIM/AKA認証状況を調べ、認証フェーズにおいて発見されたUE識別子(IMSI、MISDN、...)に基づいて、ノースバウンド通信(AAA、課金、PCC、LI、...)を設定することができる。eBNG120は、例えば、その一部が携帯電話ネットワーク事業者にキックバックされることになる1日パスを販売することによって、携帯電話ネットワーク事業者に代わってオフライン/オンライン課金を適用することができる。
−AAA:AAAサーバ150は、そのMAPに基づくバックエンドインターフェース(Gr)を通して、HLR160に向かう端末EAP−SIM又はEAP−AKA認証及び許可をサポートする。AAAサーバは、RADIUS EAP−MAP間ゲートウェイ機能を果たす。セッション設定のためにeBNG RADIUSクライアントから第2のRADIUS要求が到着するとき、AAAサーバ150は、そのユーザエンティティの識別(UE−MACアドレス)を相関させる。そのUEが以前に許可されていた場合には、ネットワークアクセスが受諾され、セッションが設定される。AAAサーバ150は、課金プロファイルID及びMSISDNをeBNG120に返し、課金及び他のノースバウンドサービスプラットフォームを容易に統合できるようにすることができる。
終端間セキュリティはホップごとに達成される。ユーザエンティティ100と無線アクセスポイント110との間のエアインターフェースはIEEE802.11iを用いて保証される。IEEE802.11iの鍵は、EAP−SIM/AKA暗号鍵から導出することができる。
無線アクセスポイント110とeBNG120との間のインターフェースはIPSecを用いて保証される。提供されるサービスの機能に関して、eBNG120から、複数のオプションが存在する。上記のような「ファットパイプ」モデルによれば、無線アクセスポイント110とeBNG120との間の単一のIPSecトンネルが、複数のエンドユーザのセッションを搬送する。
ファットパイプモデルでは、なりすましを避けるために、ユーザエンティティ100が802.11i又は同等の暗号化をサポートする必要がある。一方、ファットパイプモデルはユーザエンティティ100におけるIPSec暗号化を不要にし、それゆえ、無線LANエアインターフェースにおいてIPSecオーバーヘッド、パケット分割及びIKEキープアライブパケットを回避する。ファットパイプモデルは、終端間暗号化を可能にするので、企業VPNアクセスにも適合する(代替の「シンパイプ」モデルであれば、ユーザエンティティ100による二重のIPSec暗号化を必要とするであろう)。
各トンネルが、その無線アクセスポイント110において進行中の全てのUEセッションを含むので、eBNG120の場合、ファットパイプモデルは、シンパイプモデル(ePDG又はPDNゲートウェイ)よりも良好な拡張性を提供する。
eBNG120は、携帯電話ユーザのための基本サービス提供に類似の1組の管理されたサービスを更に提供することができる。これは、ユーザプロファイルに基づいて改善された加入者管理状況においてセッションのインスタンスを生成することを通して行われる。改善加入者管理(ESM)は、自動加入者プロビジョニング、加入者ごとのQoS及びセキュリティ強制を可能にする1組のAAA、セキュリティ及びQoS機構である。1組のESM機構の重要な態様は、アクセスタイプ(IP CAN)から独立している加入者意識モデルを提供すること、それゆえ、Wi−Fiアクセスにも適用できることである。
無線アクセスポイントに向かうIPSec ESPトンネル(又は非暗号化トンネル)の中でカプセル化される前に、トラフィックはESMエンジンによって処理される。ESMエンジンは、最終的なRADIUSアクセス受諾メッセージにおいて、AAAサーバ150からユーザプロファイルを受信する。ユーザプロファイルは、フレーム化IPアドレス、フレーム化IPプール、VPRN識別子(仮想プライベートルーティングネットワーク:Virtual Private Routing Network)、QoSプロファイル、課金プロファイル、DPIルールベース(DPI rulebase)、NAT及びセキュリティプロファイルを含むことができる。
−QoS:加入者状況によって、eBNG120は、個人用QoSプロファイルに従って全ての加入者トラフィックを分類できるようになる。サービスクラスごとに専用のハードウェアキュー及びHWポリサーを、(階層的な)スケジューラとともに、それぞれインスタンスを生成された加入者に割り当てることができる。スケジューラ及び専用キューによって、Wi−Fiサービスは、ベストエフォートから、QoS対応IPサービスに発展できるようになり、リアルタイム音声及びビデオアプリケーションもサポートできるようになる。
−セキュリティ:eBNG120に向かう安全なアクセスはeBNG120内の1組のセキュリティ機構で補完される。それらのセキュリティ機構は、顧客プロファイルに基づくアクセス制御リスト及びなりすまし防止保護を含む。なりすまし防止フィルタを用いて、最終加入者が他の加入者を攻撃するのを防ぐか、又はIPアドレス及びMACアドレスを偽装することによって他の加入者のふりをしようとするのを防ぐ。
−VPRN:eBNG120におけるVPRNインスタンス生成は、量販の状況におけるサービス仮想化のために用いることができるか、又は安全なビジネスVPNアクセスを提供するために用いることができる。それゆえ、VPRN−idは、小売店VPN又はビジネス顧客VPNを指している。
−NAT:IPv4アドレス空間を維持するために、ネットワークアドレス及びポート変換(NAPT)をeBNG120上に構成することができる。新たな各加入者NAPTコンテキストが動的にインスタンス生成される。
−ローカルコンテント挿入:eBNG120が固定CDNネットワークのローカルコンテント挿入点で既に統合されているとき、Wi−Fiオフロードトラフィックは、このキャッシュされたコンテンツも利用することができる。これは、トラフィックが横断するホップ数、及びトラフィックが生成するコストを削減し、コンテンツ利用可能性及びエンドユーザに向かう応答性を高める。
Wi−Fiオフロード課金記録をeBNG120から携帯電話課金サポートシステム(BSS)に提供することによって、課金統合を達成することができる。eBNG120が携帯電話事業者によって所有されているときに特に、オフライン課金及びオンライン課金の両方の場合のこの課金統合は、Wi−Fiオフロードサービス導入の第一段階を可能にすることができる。それにより、両方のネットワークの統合が、AAAインターフェース及び課金インターフェースの統合にのみに単純化される。Wi−Fiオフロードトラフィックのデータプレーンは、携帯電話ネットワークの中を進む必要はなく、そのままインターネットにオフロードすることができる。
同じインフラストラクチャをオープンアクセス(IEEE802.1Xを用いない)及びポータル認証をサポートするために開放することができる。このシナリオでは、eBNG120によって、認証されていないデバイスがDHCPセッションを開始できるようになるが、eBNG120は、任意のhttpトラフィックをランディングページに向かってリダイレクトする。非httpトラフィックは破棄される。これは、eBNG120がAAAサーバ150から入手したリダイレクトポリシーを通して達成される。
ユーザがポータル登録を完了し、許可されるとき、ユーザに最大限のデータアクセスを与えるために、eBNG120においてユーザプロファイルが更新される。これは、AAAサーバ150からのRADIUS CoA更新を通して行われる。
携帯電話パケットコアに対するeBNG120の更なる統合は、オフロードされたトラフィックのGTPカプセル化を通して達成され、そのために、そのトラフィックはPGW又はGGSNに向かうGTPに基づくS2bのようなインターフェース上で渡されることになる。eBNG120におけるGTPカプセル化によって、事業者は、3G−LET及びWi−Fiオフロードトラフィックの両方の場合に同じアンカーポイントを有することができるようになる。それにより、エンドユーザは、そのIPアドレスを維持しながら、セルラーIP CANと非セルラーIP CANとの間をローミングできるようになり、携帯電話データサービスインフラストラクチャに自然にアクセスできるようになる。それにより、携帯電話事業者は、課金に関してだけでなく、携帯電話コンテンツ、インターネットアクセス、ディープ・パケット・インスペクション、ビデオ最適化、ヘッダ強化(header enrichment)等のために、PGW−GGSN上の全サービスインフラストラクチャを再利用できるようになる。
認証及び許可は、オプションで上記のRADIUSプロキシ・エージェントを埋め込まれているスタンドアローンeBNG120と完全に連携している。しかしながら、eBNG120は、ここで、PGW−GGSNに対するEPSセッション又はPDPコンテキストを作成することによって、DHCP発見メッセージに応答する。その後、UE IPアドレスは、PGWによって、そのローカルプールから、又は既存のEPSセッション又はPDPコンテキストから選択される。
データプレーンにおいて、eBNG120は、オプションで、LACのような機能を果たす。アップストリームでは、IPSetファットパイプ内のセッションからの全てのトラフィックをGTPカプセル化して、そのトラフィックをPGW−GGSNに転送する。ダウンストリームでは、PGW−GGSNから受信されたGTPカプセル化されたトラフィックを終端し、そのトラフィックを正しい無線アクセスポイントに向かう正しいIPSecトンネルに転送する。
セルラーIP CAMセッションと非セルラーIP CANセッションとの間でUE IPアドレスを維持するために、eBNG120は、PGW−GGSNにおいて、ハンドオーバ指示を伴うEPSセッションを作成する。このハンドオーバ指示は、PGW−GGSNに強制的に、そのユーザエンティティに対して既存のEPSセッションが進行中であるか、PDPコンテキストが進行中であるかを検証させ、そのセッションのコンテキストを検索させる。結果として、PGW−GGSNは非セルラーセッションに既存のIPアドレスを割り当て、SGW/MME又はGn/Gp SGSNにセッション切断を送信する。
アクセスポイント110を主に私的に使用することと、共用のために利用可能な余分な帯域幅を使用することとを分ける必要がある。
アクセスポイントにおいて2つのSSIDを与えることによってこれを果たすことができる。私用SSIDによる全てのトラフィックは固定アクセスとして統合され、そのようにアカウントが作成される。公開SSIDによるトラフィックの場合、トラフィックを独立して取り扱い、独立してアカウントを作成することができるように、専用接続が設定される必要がある(おそらく、専用VLAN又はトンネルによる)。
「プロセッサ」を付された任意の機能ブロックを含む、図に示される種々の要素の機能は、専用ハードウェア、及び適切なソフトウェアに関連してソフトウェアを実行することができるハードウェアの使用を通して与えることができる。プロセッサによって与えられるとき、それらの機能は、単一の専用プロセッサによって、又は単一の共用プロセッサによって、又はそのうちの幾つかが共用される場合がある複数の個々のプロセッサによって与えることができる。さらに、用語「プロセッサ」又は「コントローラ」を明示的に使用することは、ソフトウェアを実行することができるハードウェアだけを指していると解釈されるべきではなく、限定はしないが、デジタルシグナルプロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲートアレイ(FPGA)、ソフトウェアを記憶するためのリード・オンリー・メモリ(ROM)、ランダム・アクセス・メモリ(RAM)及び不揮発性記憶装置を暗に含む場合がある。他のハードウェア、すなわち、従来のハードウェア及び/又はカスタム・ハードウェアが含まれる場合もある。同様に、図面に示される任意のスイッチは概念的なものにすぎない。その機能は、プログラムロジックの動作を通して、専用ロジックを通して、プログラム制御及び専用ロジックのやりとりを通して、更には手動で実行することができ、文脈から更に具体的に理解されるように、実行者によって特定の技法を選択可能である。

Claims (14)

  1. アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法であって、前記アクセスポイントはLANインターフェース及び広帯域ネットワークインターフェースを含み、前記方法はゲートウェイデバイスにおいて、
    前記アクセスポイントとの第2の安全な通信リンクを確立するステップと、
    前記第2の安全な通信リンクを介して、前記複数のユーザエンティティのうちの1つのユーザエンティティからIPアドレス割当て要求を受信するステップと、
    AAAサーバにアクセスして、前記複数のユーザエンティティのうちの前記1つのユーザエンティティに関連付けられる携帯電話加入に関連するデータに基づいて前記複数のユーザエンティティのうちの前記1つのユーザエンティティの認証に既に成功しているか否かを検証するステップと、
    認証成功時に、前記複数のユーザエンティティのうちの前記1つのユーザエンティティとのIPアドレス割当て方式を完了し、前記複数のユーザエンティティのうちの前記1つのユーザエンティティとPDNとの間でデータを中継できるようにするステップとを含み、
    前記ゲートウェイデバイスは、前記PDNに向かう種々のアクセスポイントからの第2の安全な通信リンクの複数のインスタンスを統合するように構成される、アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法。
  2. アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法であって、前記アクセスポイントはLANインターフェース及び広帯域ネットワークインターフェースを含み、前記方法は前記アクセスポイントにおいて、
    前記LANインターフェースを介して、前記複数のユーザエンティティの中の各ユーザエンティティとのそれぞれの第1の安全な通信リンクを確立するステップと、
    前記広帯域ネットワークインターフェースを介してゲートウェイデバイスとの第2の安全な通信リンクを確立するステップと、
    それぞれの前記第1の安全な通信リンクと前記第2の安全な通信リンクとの間でデータを双方向に中継するステップとを含み、
    前記ゲートウェイデバイスは、PDNゲートウェイに向かう種々のアクセスポイントからの第2の安全な通信リンクの複数のインスタンスを統合するように構成される、アクセスポイントを通して複数のユーザエンティティにネットワークアクセスを提供する方法。
  3. 前記アクセスポイントは無線アクセスポイントであり、前記LANインターフェースは無線LANインターフェースであり、その無線伝送はIEEE802.11i暗号化プロトコルによって保証される、請求項1に記載の方法。
  4. 前記第2の安全な通信リンクはIPSecトランスポートトンネルによって保証される、請求項1又は3に記載の方法。
  5. 前記アクセスポイントにおいて、
    前記LANインターフェースを介して、ユーザ機器から、前記広帯域ネットワークインターフェースに接続されるネットワークとの通信の認証要求を受信するステップと、
    ホーム・ロケーション・レジスタから前記ユーザ機器に関連付けられる携帯電話加入に関連するデータを入手するステップと、
    前記携帯電話加入に関連する前記データに基づいて前記ユーザ機器を認証するステップと、
    前記認証に成功する場合には、前記広帯域ネットワークインターフェースに接続されるネットワークとの前記通信を許可するステップとを更に含む、請求項に記載の方法。
  6. 前記ユーザ機器の前記認証は、
    前記LANインターフェースを介して前記ユーザ機器に少なくとも1つの認証チャレンジを送信するステップと、
    前記LANインターフェースを介して前記ユーザ機器から前記少なくとも1つの認証チャレンジに対するレスポンスを受信するステップとを含み、前記レスポンスは前記ユーザ機器において安全に記憶された鍵によって前記少なくとも1つの認証チャレンジから暗号処理によって導出される、請求項1、3、及び4のいずれか1項に記載の方法。
  7. 前記鍵はSIMカード内に記憶される、請求項6に記載の方法。
  8. 前記ユーザエンティティはIEEE802.1Xサプリカントであり、前記通信の前記許可は前記無線アクセスポイントのポートをIEEE802.1X許可状態に移行させるステップを含む、請求項6又は7に記載の方法。
  9. 前記ゲートウェイデバイスは、ユーザエンティティ・セッションのインスタンスを生成し、除去する、AAAサーバ、AAAプロキシ及びAAAスニファのうちの1つを含む、請求項1、3、4、及び6乃至8のいずれか1項に記載の方法。
  10. 前記ゲートウェイデバイスはGGSN又はPDNゲートウェイへのGTPトンネルを設定し、前記ユーザエンティティに携帯電話事業者IPサービス及び/又は課金機構へのアクセスを提供する、請求項1、3、4、及び6乃至9のいずれか1項に記載の方法。
  11. 前記ゲートウェイデバイス内のコンピュータ上で実行されたとき、該コンピュータに、プログラム可能機械に請求項1、3、4、及び6乃至10のいずれか1項に記載の方法を実行させるように構成されるコンピュータプログラム。
  12. 請求項1、3、4、及び6乃至10のいずれか1項に記載の方法において使用するゲートウェイデバイス。
  13. 請求項2又は5に記載の方法において使用するアクセスポイント。
  14. 前記アクセスポイント内のコンピュータ上で実行されたとき、該コンピュータに、プログラム可能機械に請求項2又は5に記載の方法を実行させるように構成されるコンピュータプログラム。
JP2014514013A 2011-06-08 2012-06-04 ユーザエンティティにネットワークアクセスを提供する方法及び装置 Active JP5797332B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP11290264.8A EP2533466B1 (en) 2011-06-08 2011-06-08 Method and apparatus for providing network access to a user entity
EP11290264.8 2011-06-08
PCT/EP2012/060473 WO2012168173A1 (en) 2011-06-08 2012-06-04 Method and apparatus for providing network access to a user entity

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015126413A Division JP6045648B2 (ja) 2011-06-08 2015-06-24 ユーザエンティティにネットワークアクセスを提供する方法及び装置

Publications (2)

Publication Number Publication Date
JP2014524166A JP2014524166A (ja) 2014-09-18
JP5797332B2 true JP5797332B2 (ja) 2015-10-21

Family

ID=46210247

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014514013A Active JP5797332B2 (ja) 2011-06-08 2012-06-04 ユーザエンティティにネットワークアクセスを提供する方法及び装置
JP2015126413A Active JP6045648B2 (ja) 2011-06-08 2015-06-24 ユーザエンティティにネットワークアクセスを提供する方法及び装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2015126413A Active JP6045648B2 (ja) 2011-06-08 2015-06-24 ユーザエンティティにネットワークアクセスを提供する方法及び装置

Country Status (6)

Country Link
US (1) US10992674B2 (ja)
EP (1) EP2533466B1 (ja)
JP (2) JP5797332B2 (ja)
KR (1) KR101545879B1 (ja)
CN (2) CN103597779A (ja)
WO (1) WO2012168173A1 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102244866B (zh) 2011-08-18 2016-01-20 杭州华三通信技术有限公司 门户认证方法及接入控制器
US8438631B1 (en) 2013-01-24 2013-05-07 Sideband Networks, Inc. Security enclave device to extend a virtual secure processing environment to a client device
US11102689B2 (en) 2013-01-03 2021-08-24 Apple Inc. Packet data connections in a wireless communication system using a wireless local area network
CN103973658A (zh) * 2013-02-04 2014-08-06 中兴通讯股份有限公司 静态用户终端认证处理方法及装置
CN103974223B (zh) * 2013-02-05 2019-07-26 中兴通讯股份有限公司 无线局域网络与固网交互中实现认证及计费的方法及系统
CN103532717B (zh) * 2013-10-16 2016-10-12 杭州华三通信技术有限公司 一种Portal认证处理方法、认证协助方法及装置
US10212030B2 (en) * 2014-06-13 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Mobile network IOT convergence
CN105207858B (zh) * 2014-06-16 2017-04-12 华为技术有限公司 接入装置及其执行的将用户设备接入网络的方法
WO2016027545A1 (ja) * 2014-08-22 2016-02-25 ソニー株式会社 無線通信装置及び無線通信方法
CN107005534B (zh) * 2014-12-04 2020-07-14 瑞典爱立信有限公司 一种安全连接建立的方法和装置
WO2016161017A1 (en) * 2015-03-31 2016-10-06 Ruckus Wireless, Inc. Virtual device with internet protocol security tunnel
EP3749018A3 (en) * 2015-07-30 2021-03-03 Sony Corporation Mobile hotspot
US9979730B2 (en) * 2015-10-30 2018-05-22 Futurewei Technologies, Inc. System and method for secure provisioning of out-of-network user equipment
EP3414969A1 (en) * 2016-02-12 2018-12-19 Telefonaktiebolaget LM Ericsson (PUBL) Method for converging iot data with mobile core
US10404648B2 (en) 2016-02-26 2019-09-03 Nokia Of America Corporation Addressing for customer premises LAN expansion
EP3430731B1 (en) * 2016-03-18 2021-02-17 Parallel Wireless Inc. Iugw architecture
US10531356B2 (en) 2016-08-15 2020-01-07 Parallel Wireless, Inc. VoIP and native carrier call integration
US10237914B2 (en) 2016-08-15 2019-03-19 Parallel Wireless, Inc. S2 proxy for multi-architecture virtualization
US10270674B2 (en) * 2017-05-19 2019-04-23 Akamai Technologies, Inc. Traceroutes for discovering the network path of inbound packets transmitted from a specified network node
FR3067551A1 (fr) 2017-06-07 2018-12-14 Orange Transmission de donnees entre un terminal et un serveur associe
US10701572B2 (en) * 2017-08-08 2020-06-30 T-Mobile Usa, Inc. Provisioning of SIMs for a testing environment of a wireless communications network
CN111034125B (zh) * 2017-08-31 2021-06-22 华为技术有限公司 一种地址分配方法及相关设备
CN107666433B (zh) * 2017-09-13 2021-05-11 上海展扬通信技术有限公司 一种基于智能终端的语音中继方法及语音中继系统
CN108196886B (zh) * 2017-12-26 2020-11-27 浪潮通用软件有限公司 一种读卡器业务实现方法及读卡器
CN110798437B (zh) * 2018-08-03 2023-02-21 中兴通讯股份有限公司 一种数据保护方法、装置及计算机存储介质
US11252049B2 (en) * 2018-09-20 2022-02-15 Cable Television Laboratories, Inc. Systems and methods for providing individualized communication service
JP7130874B2 (ja) * 2018-12-19 2022-09-05 台湾積體電路製造股▲ふん▼有限公司 ネットワークアクセスサービスのシステムおよび方法
US11395139B1 (en) * 2019-06-03 2022-07-19 Sprint Communications Company Lp Network profile anti-spoofing on wireless gateways
CN110248375B (zh) * 2019-07-25 2021-11-09 维沃移动通信有限公司 一种通信方法及无线接入点
CN111131642B (zh) * 2019-11-18 2021-05-18 集奥聚合(北京)人工智能科技有限公司 用于私有化部署场景的便携式智能语音外呼系统、方法
CN111371798A (zh) * 2020-02-24 2020-07-03 迈普通信技术股份有限公司 数据安全传输方法、系统、装置及存储介质
CN112738132A (zh) * 2021-01-27 2021-04-30 华北石油通信有限公司 一种二次认证接入系统及其方法
CN114189864B (zh) * 2022-02-16 2022-05-31 中国电子科技集团公司第三十研究所 移动通信系统非蜂窝接入装置及接入方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106831B (fi) 1998-01-14 2001-04-12 Nokia Networks Oy Pääsyn kontrollointimenetelmä matkaviestinjärjestelmää varten
CN1476205A (zh) 2002-08-16 2004-02-18 华为技术有限公司 综合接入设备的通信系统和系统中综合接入设备的管理方法
JP4284275B2 (ja) * 2002-08-30 2009-06-24 富士通株式会社 通信方法及び通信装置並びに通信システム
JP2004199490A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置
US7136651B2 (en) * 2004-08-30 2006-11-14 Tatara Systems, Inc. Mobile services control platform providing a converged voice service
EP1871065A1 (en) * 2006-06-19 2007-12-26 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Methods, arrangement and systems for controlling access to a network
CN101155126A (zh) 2006-09-25 2008-04-02 华为技术有限公司 一种实现移动性管理的系统、装置和方法
WO2008127662A1 (en) * 2007-04-12 2008-10-23 Marvell World Trade Ltd. Packet data network connectivity domain selection and bearer setup
WO2008154218A1 (en) * 2007-06-06 2008-12-18 Interdigital Technology Corporation Method and apparatus for providing cell information list for non-3gpp capable user equipment operating in a 3gpp network and supporting layer-2 based handoff from a utran system to a non-3gpp system
US20090047966A1 (en) 2007-08-17 2009-02-19 Qualcomm Incorporated Method for a heterogeneous wireless ad hoc mobile internet access service
JPWO2009028673A1 (ja) * 2007-08-29 2010-12-02 シャープ株式会社 移動通信システム、無線通信方法、コアネットワーク、移動端末装置およびプログラム
CN101141822B (zh) * 2007-09-30 2011-05-25 中兴通讯股份有限公司 一种无线网络的网关选择方法
JP4893581B2 (ja) * 2007-10-23 2012-03-07 日本電気株式会社 多重化通信システム、送信処理装置、受信処理装置、多重化通信方法、送信処理方法、および受信処理方法
CN101471964B (zh) 2007-12-27 2011-11-02 华为技术有限公司 一种网络地址的分配方法、网络系统及网络节点
US9043862B2 (en) * 2008-02-06 2015-05-26 Qualcomm Incorporated Policy control for encapsulated data flows
US9112909B2 (en) * 2008-02-13 2015-08-18 Futurewei Technologies, Inc. User and device authentication in broadband networks
EP2160051A1 (en) * 2008-09-01 2010-03-03 Nokia Siemens Networks OY Methods and devices for messaging
WO2010043254A1 (en) 2008-10-15 2010-04-22 Telefonaktiebolaget Lm Ericsson (Publ) Secure access in a communication network
JP5421392B2 (ja) 2009-01-15 2014-02-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 宅内ネットワーク内におけるプロキシモバイルIPv6のサポート
JP5153732B2 (ja) 2009-07-13 2013-02-27 Kddi株式会社 アクセスポイントにおける電波の検出に基づく端末間の呼確立方法及びシステム
US8687631B2 (en) * 2009-10-16 2014-04-01 Cisco Technology, Inc. System and method for providing a translation mechanism in a network environment
US8423760B2 (en) * 2010-02-23 2013-04-16 Stoke, Inc. Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment

Also Published As

Publication number Publication date
EP2533466A1 (en) 2012-12-12
JP6045648B2 (ja) 2016-12-14
CN107070755A (zh) 2017-08-18
US10992674B2 (en) 2021-04-27
CN107070755B (zh) 2022-06-10
JP2014524166A (ja) 2014-09-18
EP2533466B1 (en) 2020-03-04
CN103597779A (zh) 2014-02-19
KR101545879B1 (ko) 2015-08-20
KR20140022455A (ko) 2014-02-24
US20140223538A1 (en) 2014-08-07
WO2012168173A1 (en) 2012-12-13
JP2015181299A (ja) 2015-10-15

Similar Documents

Publication Publication Date Title
JP6045648B2 (ja) ユーザエンティティにネットワークアクセスを提供する方法及び装置
US10021566B2 (en) Non-mobile authentication for mobile network gateway connectivity
US9549317B2 (en) Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
CN108029017B (zh) 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
US8477785B2 (en) Method and system for interworking a WLAN into a WWAN for session and mobility management
US9521145B2 (en) Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US7499401B2 (en) Integrated web cache
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
US8914520B2 (en) System and method for providing enterprise integration in a network environment
WO2006087616A1 (en) Interworking between wireless wan and other networks
WO2013054121A1 (en) Access point
US20100309878A1 (en) Mobility access gateway
JP2018537912A (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
US20150058938A1 (en) Integrated IP Tunnel and Authentication Protocol based on Expanded Proxy Mobile IP
WO2014063530A1 (zh) 移动用户固网的接入方法及系统
Lemes et al. A Tutorial on Trusted and Untrusted Non-3GPP Accesses in 5G Systems—First Steps Toward a Unified Communications Infrastructure
JP5820782B2 (ja) フロー分配システム、フロー分配装置、フロー分配方法、及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141225

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150325

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150818

R150 Certificate of patent or registration of utility model

Ref document number: 5797332

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250