JP5956015B2 - セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス - Google Patents
セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス Download PDFInfo
- Publication number
- JP5956015B2 JP5956015B2 JP2015093213A JP2015093213A JP5956015B2 JP 5956015 B2 JP5956015 B2 JP 5956015B2 JP 2015093213 A JP2015093213 A JP 2015093213A JP 2015093213 A JP2015093213 A JP 2015093213A JP 5956015 B2 JP5956015 B2 JP 5956015B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access terminal
- access point
- packet
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/105—PBS [Private Base Station] network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本出願は、一般にワイヤレス通信に関し、より詳細には、限定はしないが、通信性能を改善することに関する。
ワイヤレス通信システムは、様々なタイプの通信(例えば、ボイス、データ、マルチメディアサービスなど)を複数のユーザに提供するために広く展開されている。高速なマルチメディアデータサービスの需要が急速に増大するにつれて、向上した性能をもつ効率的でロバストな通信システムを実装することが課題となっている。
従来の移動電話ネットワークアクセスポイントを補うために、小カバレージアクセスポイントを展開(例えば、ユーザの家庭に設置)して、よりロバストな屋内ワイヤレスカバレージをモバイルアクセス端末に与えることができる。そのような小カバレージアクセスポイントは、フェムトアクセスポイント、アクセスポイント基地局、ホームeNodeB(「HeNB」)、ホームノードB、又はホームフェムトと呼ばれることがある。一般に、そのような小カバレージアクセスポイントは、DSLルータ又はケーブルモデムを介してインターネット及びモバイル事業者のネットワークに接続される。
場合によっては、1つ以上のローカルサービスを小カバレージアクセスポイントと同じロケーションに展開することができる。例えば、ユーザは、ローカルコンピュータ、ローカルプリンタ、サーバ、及び他のコンポーネントをサポートするホームネットワークを有することがある。そのような場合、小カバレージアクセスポイントを介してこれらのローカルサービスへのアクセスを提供することが望ましい。例えば、ユーザが自宅にいるとき、ユーザが、ユーザのセルフォンを使用してローカルプリンタにアクセスすることを望むことがある。
一般に、ホームネットワーク上の機器はホームルータ内のファイアウォールとネットワークアドレストランスレータ(NAT)とによって保護されているので、パブリックインターネット上のノードはこの機器との通信を開始することができないことがある。従って、ローカルネットワークにリモートでアクセスするための効率的で有効な方法が必要である。
優先権の主張
本出願は、各々の開示が参照により本明細書に組み込まれる、2008年11月17日に出願され、代理人整理番号090331P1を付与された、同一出願人が所有する米国特許仮出願第61/115,520号、2009年1月16日に出願され、代理人整理番号090331P1を付与された米国特許仮出願第61/145,424号、2009年2月6日に出願され、代理人整理番号090331P2を付与された米国特許仮出願第61/150,624号、2009年3月27日に出願され、代理人整理番号090331P4を付与された米国特許仮出願第61/164,292号の利益及び優先権を主張する。
本出願は、各々の開示が参照により本明細書に組み込まれる、2008年11月17日に出願され、代理人整理番号090331P1を付与された、同一出願人が所有する米国特許仮出願第61/115,520号、2009年1月16日に出願され、代理人整理番号090331P1を付与された米国特許仮出願第61/145,424号、2009年2月6日に出願され、代理人整理番号090331P2を付与された米国特許仮出願第61/150,624号、2009年3月27日に出願され、代理人整理番号090331P4を付与された米国特許仮出願第61/164,292号の利益及び優先権を主張する。
本開示の例示的な態様の概要について以下で説明する。本明細書の説明では、態様という用語への言及は、本開示の1つ以上の態様を指すことがある。
本開示は、幾つかの態様では、ネットワーク(例えば、事業者のネットワーク、インターネットなど)に接続されたアクセス端末がフェムトアクセスポイントに関連するローカルネットワークにアクセスすることを可能にするために、複数のプロトコルトンネル(例えば、IPsecトンネル)を使用することに関する。セキュリティゲートウェイとフェムトアクセスポイントとの間に第1のプロトコルトンネルを確立する。次いで、2つの方法のいずれかで第2のプロトコルトンネルを確立する。幾つかの実施形態では、アクセス端末とセキュリティゲートウェイとの間に第2のプロトコルトンネルを確立する。他の実施形態では、アクセス端末とフェムトアクセスポイントとの間に第2のプロトコルトンネルを確立し、それによってトンネルの一部分を第1のトンネルを通してルーティングする。
これらの方式を使用することによって、アクセス端末は、アクセス端末がフェムトアクセスポイントと無線で接続されていないときでも、フェムトアクセスポイントと同じ領域中にあるローカルインターネットプロトコル(IP)ネットワーク又はサーバに到達することができる。従って、遠隔に位置するアクセス端末には、アクセス端末がフェムトアクセスポイントに無線で接続されているときと同じローカルIP機能が与えられ得る。
本開示のこれら及び他の例示的な態様について、以下の詳細な説明及び添付の特許請求の範囲、ならびに添付の図面において説明する。
慣例により、図面中に示された様々な特徴は一定の縮尺で描かれていないことがある。従って、様々な特徴の寸法は、分かりやすいように任意に拡大又は縮小されることがある。更に、図面のいくつかは、分かりやすいように簡略化されることがある。従って、図面は、所定の装置(例えば、機器)又は方法のコンポーネントの全てを示しているわけではない。最後に、明細書及び図の全体にわたって同じ特徴を示すために同じ参照番号が使用されることがある。
本開示の様々な態様について以下で説明する。本明細書の教示は多種多様な形態で実施でき、本明細書で開示されている特定の構造、機能、又はその両方は代表的なものにすぎないことは明らかであろう。本明細書の教示に基づいて、本明細書で開示される態様は他の態様とは独立に実装できること、及びこれらの態様のうちの2つ以上を様々な方法で組み合わせることができることを、当業者なら諒解されたい。例えば、本明細書に記載の態様をいくつ使用しても、装置を実現し、又は方法を実施することができる。更に、本明細書に記載の態様のうちの1つ又は複数に加えて、或いはそれら以外の他の構造、機能、又は構造及び機能を使用して、そのような装置を実現し、又はそのような方法を実施することができる。更に、態様は、請求項の少なくとも1つの要素を備えることができる。
図1に、例示的な通信システム100(例えば、通信ネットワークの一部)の幾つかのノードを示す。説明のために、本開示の様々な態様について、互いに通信する1つ以上のアクセス端末、アクセスポイント、及びネットワークノードの文脈で説明する。但し、本明細書の教示は、他のタイプの装置、又は他の用語を使用して参照される他の同様の装置に適用可能であることを諒解されたい。例えば、様々な実施形態では、アクセスポイントを基地局又はeノードBと呼ぶこと、或いは基地局又はeノードBとして実装することができ得、アクセス端末をユーザ機器又はモバイルなどと呼ぶこと、或いはユーザ機器又は移動局などとして実装することができ得る。
システム100中のアクセスポイントは、1つ以上のサービス(例えば、ネットワーク接続性)を、システム100のサービスエリア内に設置されるか、又はシステム100のサービスエリア全体にわたってローミングする1つ以上のワイヤレス端末(例えば、アクセス端末102)に提供する。例えば、様々な時点で、アクセス端末102は、アクセスポイント106(例えば、ローカルネットワークに関連するフェムトアクセスポイント)又は他のアクセスポイント(例えば、図1に示されていないマクロアクセスポイント)に接続することができる。アクセスポイントの各々は、ワイドエリアネットワーク接続性を可能にするために1つ以上のネットワークノードと通信することができる。
これらのネットワークノードは、例えば、1つ以上の無線及び/又はコアネットワークエンティティなどの様々な形態をとることができる。従って、様々な実施形態では、ネットワークノードは、(例えば、運用(operation)、管理(administration)、運営(management)、及びプロビジョニングエンティティ(provisioning entity)を介した)ネットワーク管理、呼制御、セッション管理、モビリティ管理、ゲートウェイ機能、インターワーキング機能、又は何らかの他の好適なネットワーク機能のうちの少なくとも1つなどの機能を提供することができる。図1の例では、例示的なネットワークノードが、公衆交換データネットワーク(PSDN)108、事業者コアネットワーククラウド110、セキュリティゲートウェイ112(例えば、フェムトセキュリティゲートウェイ)、及び認証サーバ114(例えば、認証、許可、及び課金(AAA)エンティティ、ビジティングロケーションレジスタ(VLR)、又はホームロケーションレジスタ(HLR))によって表される。
システム100中のノードは、互いに通信するために様々な手段を採用することができる。そのロケーションに応じて、アクセス端末102は、IPネットワーク110又はアクセスポイント106と(例えば、図示されていない、IPネットワーク110のアクセスポイントに)通信することができる。図1の例では、アクセス端末102は、通信リンク118によって表されるように、(例えば、ワイヤレス接続又はワイヤード接続を介して)IPネットワーク110に接続される。アクセスポイント106は、通信リンク122によって表されるようにルータ120に接続することができ、ルータ120は、通信リンク126によって表されるようにインターネット124に接続することができ、セキュリティゲートウェイ112は、通信リンク128によって表されるようにインターネット124に接続することができ、セキュリティゲートウェイ112は、通信リンク130によって表されるようにIPネットワーク110に接続することができる。
これらの通信リンクを使用することによって、アクセス端末102は、システム100中の様々なノードと通信することができる。アクセス端末102がIPネットワークに接続されると、アクセス端末102は、例えば、事業者コアネットワーク(例えば、セルラーネットワークのコアネットワーク)又は何らかの他のネットワークを介してサービスにアクセスすることができる。従って、アクセス端末102は他のアクセス端末及び他のネットワークと通信することができる。
アクセス端末102がアクセスポイント106に接続されると、アクセス端末は、アクセスポイント106が常駐するローカルネットワーク上のノード、及び(ローカルノード134によって表される)1つ以上のローカルノードにアクセスすることができる。ローカルノード134は、アクセスポイント106と同じIPサブネットワーク(例えば、ルータ120によってサービスされるローカルエリアネットワーク)上に常駐する機器を表すことができる。この場合、ローカルネットワークにアクセスすることには、IPサブネットワーク上のローカルプリンタ、ローカルサーバ、ローカルコンピュータ、別のアクセス端末、器具(例えば、防犯カメラ、空調装置など)、又は何らかの他のエンティティにアクセスすることが含まれる。アクセスポイント106に接続されると、アクセス端末102は、事業者コアネットワーク110を通過することなしにローカルネットワークにアクセスすることができる。このようにして、アクセス端末102が、例えば、ホームネットワーク又は何らかの他のローカルネットワークにあるとき、アクセス端末は、幾つかのサービスに効率的にアクセスすることができる。
アクセス端末102が何らかの他のアクセスポイントに接続されている(例えば、アクセス端末102が別のネットワークにおいてリモートで動作している)とき、アクセス端末102は、ルータ120にあるファイアウォールにより、ローカルネットワークに容易にアクセスすることができないことがある。以下の説明では、アクセス端末がローカルネットワークにリモートでアクセスすることを可能にするための2つのアーキテクチャについて説明する。
図1及び図2には、両方ともセキュリティゲートウェイ112で終了する2つのプロトコルトンネルを採用するアーキテクチャが記載されている。セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。セキュリティゲートウェイ112とアクセス端末102との間に第2のプロトコルトンネルを確立する。
図4及び図5には、両方ともアクセスポイント106で終了する2つのプロトコルトンネルを採用するアーキテクチャが記載されている。セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。アクセスポイント106とアクセス端末102との間に第2のプロトコルトンネルを確立し、それによって第2のプロトコルトンネルの一部分を第1のプロトコルトンネル内に確立する。
幾つかの態様では、これらのアーキテクチャは、リモートアクセスを可能にするためにセキュリティゲートウェイ112とアクセスポイント106との間に確立されたプロトコルトンネルによって開かれたIPポートを利用することができる。図1のアーキテクチャでは、セキュリティゲートウェイ112は、アクセス端末102からトンネルを介して受信されたパケットを検査し、これらのパケットをアクセスポイント106へのトンネルに転送する。図4のアーキテクチャでは、セキュリティゲートウェイは、単に、アクセス端末102からトンネリングされた着信パケットをアクセスポイント106へのトンネルにルーティングし、その逆も同様である。
有利には、これらのアーキテクチャは、従来のフェムトアクセスポイント実施形態との良好な相乗効果を有することができる。例えば、ローカルIPアクセスをサポートするフェムトアクセスポイントは、アクセス端末のローカルIPアドレスを割り当てることと、プロキシアドレス解決プロトコル(ARP)機能を実行することとをすでにサポートすることができる。更に、フェムトアクセスポイントは、任意のネットワークアドレス変換(NAT)を介してフェムトアクセスポイントとそのフェムトセキュリティゲートウェイとの間を移動する、フェムトセキュリティゲートウェイとの永続的IPsecトンネルをすでに有することができる。また、リモートアクセス端末アクセスのための(例えば、認証、許可、及びセキュアなIPsecトンネルのための)追加の認証情報(例えば、認証情報)をプロビジョニングする必要がないことがある。リモートアクセスのための認証情報は、アクセス端末がローカル(例えば、ホーム)ネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出できる。
以下の実施形態の詳細は、説明するアーキテクチャに関連して使用され得る。事業者は、リモートIPアクセスを予約ベースのアドオンサービスとして提供することができる。リモートIPアクセスをサポートするために、フェムトアクセスポイントにおいてDHCP/ARPなどの機能が利用可能である。所定のアクセス端末が到達することができるフェムトアクセスポイントは、ホーム認証サーバにおいてアクセス端末(予約)プロファイルの一部として構成できる。フェムトアクセスポイントは、フェムト識別子によって、又は(例えば、企業展開中のフェムトアクセスポイントのグループに有用な)領域によって識別できる。ユーザは、アクセス端末において、(例えば、「My Home」をクリックすることによって)要求に応じてサービスを呼び出すことができる。
次に、再び図1を参照しながら、このアーキテクチャの例示的な態様についてより詳細に説明する。セキュリティゲートウェイ112は、アクセス端末102との確立されたプロトコルトンネルのバーチャルプライベートネットワーク(VPN)ゲートウェイとして働く。図1では、アクセス端末102とセキュリティゲートウェイ112との間の(例えば、リンク118及び130を介した)トラフィックフローは、1対の線138によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介してルーティングされた点線136によって表される。ここで、アクセス端末によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは(例えば、ルータ120によって割り当てられる)ローカルネットワークアドレスを有し、外部ソースアドレス及び外部宛先アドレスは、例えば、それぞれ、アクセス端末102のマクロIPアドレス及びセキュリティゲートウェイ112のIPアドレスである。
セキュリティゲートウェイ112は、アクセスポイント106との確立されたプロトコルトンネルを介して、アクセス端末102から受信された任意のパケットをアクセスポイント106に転送する。図1では、(例えば、リンク128、126、及び120を介した)セキュリティゲートウェイ112とフェムトアクセスポイント106との間のトラフィックフローは、1対の線142によって表されるプロトコルトンネル(例えば、IPsecトンネル)内の点線140によって表される。このトンネルでは、アクセス端末によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは、同じく前のパラグラフで説明したローカルネットワークアドレスであり、外部ソースアドレス及び外部宛先アドレスは、例えば、トンネル142によって定義される。
アクセス端末認証は、認証サーバ114(例えば、ホームAAA)で好適なアルゴリズムを使用して実行される。例えば、幾つかの実施形態は、EAP−AKA IKEv2又はIKEv2 PSKを採用することができる(例えば、例えば事業者によって構成された、アクセス端末の既存のIP予約認証情報を再利用する)。フェムトアクセスポイントは、セキュリティゲートウェイ112が、アクセス端末にIKEv2の一部として割り当てるローカルIPを要求することができるDHCPサーバ機能を提供することができる。
セキュリティゲートウェイ112は、(例えば、転送ポリシー又はターゲットアドレスに基づいて)選択されたパケットをアクセスポイント106からアクセス端末102に転送する。セキュリティゲートウェイ112は、アクセス端末102のマクロIPアドレスを介して到達可能である。上記の方式を使用することによって、アクセス端末102は、リモートIPアクセスのための任意の利用可能なIP接続性を使用することができる。
(例えば、アクセス端末102が、アクセスポイント102の事業者ネットワークとは異なるリモートネットワーク上にある)幾つかの実施形態では、アクセスポイント106からアクセス端末102にパケットをルーティングするときにアドレス競合が起こり得る。この問題に対処するために、トンネル142のために別個のチャイルドセキュリティアソシエーション(CSA)を定義することができる。例えば、第1のCSAは、アクセスポイント106からの、アクセス端末102に宛てられたトラフィック(例えば、リモートIPアクセストラフィック)をルーティングするために使用できる。更に、第2のCSAは、アクセスポイント106からの、事業者コアネットワーク110に宛てられたトラフィックをルーティングするために使用できる。セキュリティゲートウェイ112は、パケットがどちらのCSA上で受信されたかに基づいて、アクセスポイント106から受信されたパケットをどこにルーティングすべきかを決定することができる。別の一意のプロトコルトンネルを定義する必要がなく、トンネル142の認証情報を再利用することができるので、ここではCSAを有利に採用することができる。
次に、システム100の例示的な動作について、図2のフローチャートに関連してより詳細に説明する。便宜上、図2の動作(又は本明細書で説明又は教示する他の動作)については、特定のコンポーネント(例えば、システム100のコンポーネント)によって実行されるものとして説明する。但し、これらの動作は、他のタイプのコンポーネントによって実行でき、異なる個数のコンポーネントを使用して実行できることを諒解されたい。また、本明細書で説明する動作の1つ又は複数は、所定の実施形態では採用されない場合があることを諒解されたい。
ブロック202によって表されるように、ある時点において(例えば、アクセスポイント106が展開されるとき)、セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。ここで、セキュリティゲートウェイ112及びアクセスポイント106はそれぞれ、プロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル142を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。更に、上述のように、このプロトコルトンネルのためにCSAを確立することができる。
ブロック204によって表されるように、ある時点において、アクセス端末102は認証情報を取得する。例えば、アクセス端末102のワイヤレス事業者は、アクセス端末が最初にプロビジョニングされるときに認証情報を割り当てることができる。
ブロック206によって表されるように、ある時点において、アクセス端末102はローカルネットワーク上のアクセスポイント(例えば、アクセスポイント106)を識別する。例えば、これらの機器のどちらかがプロビジョニングされるとき、アクセス端末102をホームフェムトアクセスポイントに関連付けることができる。
ブロック208によって表されるように、ある時点において、アクセス端末102は、アクセスポイント106に関連するセキュリティゲートウェイを発見する。例えば、アクセス端末102は、アクセスポイント106のワイヤレスカバレージの外にあるロケーションに存在し得るが、何らかの他のネットワーク(例えば、ワイヤレス事業者のマクロネットワーク)に接続することが可能である。この場合、アクセス端末102は、アクセス端末102がアクセスポイント106のローカルネットワークにアクセスできるように、アクセスポイント106に関連するセキュリティゲートウェイの位置を特定しようと試みることができる。図3に関連してより詳細に説明するように、これは、例えば、アクセスポイント106へのトンネルを確立したセキュリティゲートウェイを発見するために、1つ以上のセキュリティゲートウェイにメッセージを送信するアクセス端末102を含むことができる。このメッセージに関連して、アクセス端末102は、セキュリティゲートウェイにその認証情報を送信する。次いで、セキュリティゲートウェイは、(例えば、認証サーバ114と通信することによって)認証情報を認証するために適切なアクションをとる。例えば、セキュリティゲートウェイは、アクセス端末102の予約情報を認証サーバ114に送信することができる。認証サーバ114は、アクセス端末102の予約プロファイルの一部としてアクセスできるフェムトアクセスポイントのリストを維持する(即ち、アクセス端末予約プロファイルは、所定のユーザが所定のフェムトアクセスポイントを使用することを許可されるかどうかを決定する)。認証中に受信された識別子(例えば、NAI)(例えば、アクセス端末102によってセキュリティゲートウェイ112に送信されたメッセージの結果として取得された識別子)に基づいて、認証サーバ114は、例えば、(アクセス端末102が正常に認証された場合)アクセス端末102がアクセスすることを許可されるフェムトアクセスポイントを識別する1つ以上のフェムト識別子をセキュリティゲートウェイに返す。受信された識別子はまた、アクセス端末がアクセスすることを希望するフェムトアクセスポイントの識別情報を更に備える(例えば、暗示するか又は中に埋め込む)ことができる(例えば、NAIの一部として含まれる)。複数のフェムト識別子が返される場合、セキュリティゲートウェイは、(例えば、フェムトアクセスポイントへのIPsecトンネルの可用性と、アクセス端末102によって示される任意の選好とに基づいて)フェムト識別子を選択する。セキュリティゲートウェイがアクセスポイント106へのトンネルを確立し(例えば、アクセス端末102がセキュリティゲートウェイ112に問い合わせ)、アクセス端末102の認証情報が認証された場合、セキュリティゲートウェイはアクセス端末に応答を送信し、エンティティはプロトコルトンネル138のセットアップを開始する。
ブロック210によって表されるように、プロトコルトンネル138のセットアップに関連して、アクセス端末102のローカルネットワーク上のアドレスを取得する。例えば、セキュリティゲートウェイ112は、アクセス端末102に代わってローカルアドレスを要求しているアクセスポイント106にメッセージを送信することができる。一例として、リモートIPアクセス専用のCSAにおいて、セキュリティゲートウェイ112は、アクセス端末102のリモートIPアドレスを要求するために、トンネル142を介してDHCP要求又はルータ要請をアクセスポイント106に送信する。次いで、アクセスポイント106はローカルアドレスの要求をルータ120に送信する。アクセスポイント106がローカルアドレスを取得すると、アクセスポイント106はローカルアドレスをセキュリティゲートウェイ112に送信する。次いで、(例えば、プロトコルトンネル138が確立されると)セキュリティゲートウェイ112はローカルアドレスをアクセス端末102に転送する。例えば、割り当てられたアドレスを、IKE_AUTHメッセージを介してアクセス端末102に送信することができる。
ブロック212によって表されるように、セキュリティゲートウェイ112及びアクセス端末102はそれぞれ、プロトコルトンネル138を確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル138を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
ブロック214によって表されるように、プロトコルトンネル138が確立されると、プロトコルトンネル138及び142を介してアクセス端末102とアクセスポイント106との間でパケットをルーティングする。ここで、セキュリティゲートウェイ112は、1つのトンネルを介して受信したパケットを他のトンネルにルーティングする。これは様々な方法で達成できる。場合によっては、プロトコルトンネルをセットアップするときに転送ポリシーが確立される。従って、パケットが所定のトンネルを介して受信されると、そのパケットはポリシーに基づいて転送される。ここで、セキュリティゲートウェイ112は、例えば、パケットをカプセル化するIPsecプロトコルヘッダに基づいて、所定のトンネルからのパケットを識別することができる。場合によっては、セキュリティゲートウェイ112は、パケットのソース(例えば、アクセス端末102)及び/又は宛先(例えば、アクセスポイント106)の識別子を取得するために、パケットを検査する。次いで、セキュリティゲートウェイ112は、この抽出された識別子情報に基づいて、パケットを転送するための適切なトンネルを決定する。
アクセスポイント106は、トンネル142とローカルネットワークとの間でパケットをルーティングする。例えば、パケットがトンネル142を介してアクセスポイント106において受信されると、アクセスポイント106はローカルネットワーク上でのパケットの宛先を識別するためにパケットを検査する。アクセスポイント106は、識別された宛先にパケットを転送する。図1に、アクセスポイント106とローカルネットワークのローカルノード134との間の(例えば、ルータ120を介した)パケットフローのための例示的なデータ経路144を示す。
上述のように、アクセスポイントに関連するローカルネットワークにリモートでアクセスするために、アクセス端末は、アクセスポイントによって使用されているセキュリティゲートウェイを発見する必要があり得る。ここで、セキュリティゲートウェイは公に到達可能である(例えば、ノードがパブリックIPを介してセキュリティゲートウェイに到達することができる)と仮定することができる。図3には、セキュリティゲートウェイを発見するために採用され得る2つの技法が記載されている。1つの技法は、ドメインネームサーバ(DNS)解決及び複数の再試行を含む。他の技法は、例えば、予約情報に基づくセキュリティゲートウェイリダイレクションを含む。
ブロック302によって表されるように、アクセス端末102は、アクセス端末102がアクセスすることを望む、ローカルネットワーク上のアクセスポイントを識別する。例えば、ブロック206に関連して上述したように、アクセス端末102は、アクセス端末102がアクセスすることを許可される、ホームネットワーク上のフェムトアクセスポイントのフェムト識別子を取得することができる。
ブロック304によって表されるように、DNS技法を採用する実施形態では、アクセス端末102は、システム中の1つ以上のセキュリティゲートウェイの指定されたドメインネームを含むDNSクエリを送信する。このクエリに応答して、アクセス端末102は、1つ以上のセキュリティゲートウェイアドレスのリストを受信する。この技法を使用して、アクセス端末102は、各IPアドレスへの接続を連続的に試みることができる。ここで、正しいセキュリティゲートウェイのみが成功することになる。正しいセキュリティゲートウェイが発見された場合、アクセス端末は、以下で説明するように、そのセキュリティゲートウェイのアドレス情報をキャッシュすることができる。実際には、DNSサーバから返されたアドレスは、通常、負荷分散のためにラウンドロビン方式でランダム化される。従って、この技法を使用した場合、単一のセキュリティゲートウェイが常に「ヒット」する可能性は低くなる。
ブロック306によって表されるように、アクセス端末102は、セキュリティゲートウェイの発見を開始する。DNS技法を使用する場合、アクセス端末は、この時点でDNSクエリから取得されたアドレスを使用することができる。使用している技法にかかわらず、アクセス端末102は、そのセキュリティゲートウェイがアクセスポイント106へのトンネルを確立したかどうかを決定するために、選択されたセキュリティゲートウェイにメッセージを送信する。ブロック308によって表されるように、選択されたセキュリティゲートウェイはアクセス端末102からこのメッセージを受信する。
ブロック310によって表されるように、セキュリティゲートウェイは、アクセスポイント106へのトンネルを確立したかどうかを決定する。例えば、(例えば、上記で説明したように)認証サーバ114から受信された1つ以上のフェムト識別子に基づいて、セキュリティゲートウェイは、対応するフェムトアクセスポイントへの事前セットアップIPsecトンネルがすでにあるかどうかを決定する。
ブロック312によって表されるように、セキュリティゲートウェイは、ブロック310の決定に基づいてアクセス端末102に適切な応答を送信する。
トンネルがセットアップされている場合は、トンネル138を確立する。ここで、トンネル142がリモートIPアクセスに関連するCSAを有していない場合、セキュリティゲートウェイ112は、アクセスポイント106に別のCSAを作成するように要求する。次いで、セキュリティゲートウェイ112は、トンネル142をもつ新しいCSAをアクセス端末102に接続する。次いで、ブロック314によって表されるように、アクセス端末102が将来そのセキュリティゲートウェイの探索を回避することができるように、アクセス端末102は、(例えば、アクセスポイント106へのマッピングとともに)セキュリティゲートウェイ112のアドレスを維持する。
トンネルがセットアップされていない場合、セキュリティゲートウェイは適切な応答をアクセス端末102に送信する。例えば、幾つかの実施形態では、セキュリティゲートウェイは、(例えば、IKEv2を使用した適切なエラーコードを介して)アクセス端末からの要求を拒否する。
代替的に、リダイレクション技法を採用する実施形態では、セキュリティゲートウェイは、アクセス端末102を正しいセキュリティゲートウェイにリダイレクトする。ここで、事業者は、アクセスポイント識別子(例えば、フェムト識別子)をセキュリティゲートウェイアドレスにマッピングするデータベース(例えば、リダイレクションデータベース146)を維持する。次いで、このデータベースは、ネットワーク中のセキュリティゲートウェイのためにアクセス可能にされる。従って、セキュリティゲートウェイは、指定されたアクセスポイントに関連する正しいセキュリティゲートウェイのアドレスを決定することができ、そのアドレス情報を応答中でアクセス端末102に送信する。
フェムトがセキュリティゲートウェイにおいて認証されているとき、認証サーバ114はセキュリティアドレスを後のために記憶することができる。ここで、ネットワーク中の様々な認証サーバ(例えば、ホームAAA)は、ネットワーク中の他の認証サーバ(例えば、フェムトAAA)からのフェムト識別子に関連するセキュリティゲートウェイアドレスを検索するための何らかの手段を有することができる。例えば、これらの様々なタイプの認証サーバは、同じエンティティ中に実装され得るか、又は同じデータベースを共有し得る。
ブロック316によって表されるように、拒否応答又はリダイレクション応答の結果として、アクセス端末102は別のセキュリティゲートウェイの発見を開始する。例えば、リダイレクション技法を使用する実施形態では、アクセス端末102は、次に、応答中で与えられたアドレスに対応するセキュリティゲートウェイにアクセスする。DNS技法を使用する実施形態では、アクセス端末102は、ブロック304において取得されたアドレスのリスト中で次のアドレスを選択する。
以上のことから、異なる発見技法を独立して採用することができること、又は複数の発見技法を組み合わせて採用することができることを諒解されたい。例えば、アクセス端末は、セキュリティゲートウェイがリダイレクトすることができるか否かについて知っている必要がないので、DNS技法とリダイレクション技法とを組み合わせて採用することができる。更に、セキュリティゲートウェイがアクセス端末をリダイレクトしない場合、アクセス端末は、依然として単独で次のセキュリティゲートウェイIPアドレスを試みる。
次に、図4を参照しながら、システム400によって示されるアーキテクチャの例示的な態様についてより詳細に説明する。システム400は、図1のコンポーネントと同様であるコンポーネントを含む。詳細には、アクセス端末402、アクセスポイント406、セキュリティゲートウェイ412、通信リンク418、422、426、428、及び430、ルータ420、及びインターネット424は、図1の同様の名称を付けられたコンポーネントと同様である。図4はまた、アクセスポイント404が、通信リンク416によって表されるようにPSDN408に接続することができ、PSDN408が、通信リンク418によって表されるように事業者ネットワーク410に接続することができる例を示す。(例えば、図1で説明したように)他の実施形態では、他のタイプのネットワーク接続も使用され得る。
図1のシステム100の場合のように、システム400は、遠隔に位置するアクセス端末402が、アクセスポイント406が常駐するローカルネットワークにアクセスすることを可能にする。この場合も、典型的なシナリオでは、アクセスポイント406は、アクセス端末402のホームフェムトアクセスポイント、又はアクセス端末402によってアクセスを可能にする何らかの他のアクセスポイントである。
このアーキテクチャでは、アクセスポイント406は、アクセス端末402との確立されたプロトコルトンネルのバーチャルプライベートネットワークゲートウェイとして働く。図4では、アクセス端末402とアクセスポイント406との間のトラフィックフローは、1対の線438によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介してルーティングされる点線436によって表される。ここで、アクセス端末402によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは、(例えば、ルータ420によって、アクセス端末402のプロキシARPとして働いているアクセスポイント406を通して割り当てられた)ローカルネットワークアドレスを有し、外部ソースアドレス及び外部宛先アドレスは、それぞれ、例えば、アクセス端末402及びアクセスポイント406のマクロIPアドレスである。
セキュリティゲートウェイ412及びアクセスポイント406との間のトラフィックフローは、1対の線448によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介して与えられる。ここで、トンネル438はトンネル448内で搬送される(例えば、カプセル化又は階層化される)ことがわかる。従って、アクセスポイント402からセキュリティゲートウェイ412に到着するパケットは、トンネル448に挿入される。従って、先行するパラグラフで説明する外部ソースアドレスと外部宛先アドレスとを含むトンネル438の外部ヘッダは、このアーキテクチャにおいて除去されない。むしろ、外部ソースアドレス及び外部宛先アドレスの別のセットがパケットに追加され、例えば、トンネル448によって定義される。従って、パケットがアクセスポイント406に到着すると、トンネルヘッダの2つの層は、ローカルネットワークに関連するソースアドレスと宛先アドレスとをもつパケットを取得するためにパケットから除去される。
逆に、ローカルネットワークからアクセス端末402にパケットを送信するとき、アクセスポイント406は、トンネル438を介して送信するためにパケットをカプセル化し、得られたパケットを、トンネル448を介して送信するためにカプセル化する。次いで、セキュリティゲートウェイ412は、トンネル448のヘッダを除去し、パケットをアクセス端末402にルーティングする。上記を念頭において、システム400の動作に関係する追加の詳細について、図5のフローチャートを参照しながら説明する。
ブロック502によって表されるように、ある時点において、セキュリティゲートウェイ412とアクセスポイント406との間に第1のプロトコルトンネルを確立する。セキュリティゲートウェイ412及びアクセスポイント406はそれぞれ、プロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル448を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
ブロック504によって表されるように、ある時点において、アクセス端末402とアクセスポイントとは認証情報(例えば、IKEv2 SA認証のための共有認証情報)を交換する。有利には、アクセス端末402においてトンネルの認証情報を事前プロビジョニングする必要がない。
例えば、認証情報は、アクセス端末がアクセスポイント406を通して無線で接続されている間にローカルに導出できる。ここで、アクセスポイント406に無線で接続されているとき、アクセス端末がアクセスポイント406を介してローカルネットワークにアクセスすることが可能である場合、アクセス端末402はすでにローカルドメイン上の任意のIPホストにアクセスできる。従って、この機能は、アクセス端末がリモートロケーションにあるときに保持できる。
ここで様々な技法が採用できる。例えば、第1の代替では、アクセス端末402が無線でローカルに接続している間に、事前共有鍵(PSK)を生成するためにディフィーへルマン(Diffie-Hellman)鍵交換を実行することができる。第2の代替では、アクセス端末402が無線でローカルに接続している間に、事前共有鍵(PSK)を生成するために、認証されたディフィーへルマン鍵交換を実行することができる。この場合、ユーザのサービスの予約中に、認証のために使用される秘密(例えば、パスワード)をユーザに提供することができる。ディフィーへルマン交換中に、ユーザはアクセス端末402上でこの秘密を入力することができる。アクセスポイント406は、今度は、PPP認証及び許可中にネットワークから(例えば、AAAエンティティから)秘密を取得することができる。鍵は、AAA交換を使用してネットワークにおいて生成することもできる(アクセスポイントはそのディフィーへルマン値をネットワークに送信する)。ディフィーへルマン交換の後、アクセス端末402とアクセスポイントとはPSKを共有する。第3の代替では、MSKを生成するためにEAP−AKA(over PPP)を使用することができ、次いでMSKをPSKとして使用することができる。第4の代替では、アクセス端末402とアクセスポイント406との間でPSKを生成するためにGBAを使用することができる。ここで、アクセスポイント406は、NAFの役割を果たし、ブートストラッピングのためにBSFと交信することができる。ブートストラッピングの終了時に、アクセス端末402とアクセスポイント406とはPSKを共有する。
認証情報はまた、アクセス端末が(例えば、マクロアクセスポイント又はフェムトアクセスポイントを通して)リモートで接続されているときに導出できる。例えば、アクセス端末がマクロカバレージ中にある(例えば、マクロアクセスポイント404に接続されている)間、認証情報は、アクセス端末402とアクセスポイント406との間のIKEv2 SA確立中に導出できる。共有鍵は、上記の代替において説明したのと同様の技法を使用して導出できる。第1及び第2の代替では、PSKは、IKEv2 INIT_SAディフィーへルマン交換中に生成できる。第3の代替では、EAP−AKAがIKEv2中に実行される。第4の代替では、標準化されたIKEv2ベースのUa(NAF−UE)プロトコルとともに、GBAを使用することができる。
アクセス端末402は、様々な方法でアクセスポイント406のIPアドレスを取得することができる。幾つかの実施形態では、アクセスポイント406がネットワークに登録されると、事業者に属するプライベートDNS中の完全修飾ドメイン名(FQDN)をアクセスポイント406に割り当てることができる。この場合、アクセス端末は、アクセスポイント406に到達するためにこのFQDNを使用することができる。幾つかの実施形態では、アクセス端末402がアクセスポイント406に無線で接続したときに、アクセス端末402はアクセスポイント406のIPアドレスを学習することができる。
図5を再び参照すると、ブロック506によって表されるように、アクセス端末は、所望のローカルネットワークにアクセスするために使用すべきアクセスポイント406を発見する。これらの動作は、上記で説明した発見動作と同様であり得る。
ブロック508によって表されるように、第2のプロトコルトンネル(トンネル438)の確立に関連して、アクセス端末402のローカルネットワーク上のアドレスを取得する。前述のように、アクセスポイント406はローカルアドレスの要求をルータ420に送信する。場合によっては、次いで、アクセスポイント406がローカルアドレスをセキュリティゲートウェイ412に送信し、今度は、セキュリティゲートウェイ412がローカルアドレスをアクセス端末402に転送する。
ブロック510によって表されるように、アクセスポイント406及びアクセス端末402はそれぞれ、第2のプロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル438を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
ブロック512によって表されるように、プロトコルトンネル438が確立されると、プロトコルトンネル438及び448を介してアクセス端末402とアクセスポイント406との間でパケットをルーティングする。アクセス端末402から受信された、トンネリングされたパケットの場合、セキュリティゲートウェイ412は、トンネル448を介して送信するためにパケットをカプセル化した。アクセスポイント406から受信されたパケットの場合、セキュリティゲートウェイ412は、トンネル448のためのカプセル化を除去し、トンネリングされたパケットをアクセスポイント406に送信する。上記のように、これは、転送ポリシー又は何らかの他の好適な技法を使用して達成できる。
また上記のように、アクセスポイント406は、トンネル448及び438とローカルネットワークとの間でパケットをルーティングする。例えば、パケットがトンネルを介してアクセスポイント406において受信されると、アクセスポイント406はローカルネットワーク上のパケットの宛先を識別するためにパケットを検査する。アクセスポイント406は、識別された宛先にパケットを転送する。図4に、アクセスポイント406とローカルネットワークのローカルノード434との間の(例えば、ルータ420を介した)パケットフローのための例示的なデータ経路444を示す。
図6に、本明細書で教示するアクセス動作を実行するために、(例えば、それぞれ、アクセス端末102又は402、アクセスポイント106又は406、セキュリティゲートウェイ112又は412、及び認証サーバ114に対応する)アクセス端末602、アクセスポイント604、セキュリティゲートウェイ606、及び認証サーバ642などのノードに組み込むことができる幾つかの例示的なコンポーネントを示す。説明するコンポーネントは、通信システム中の他のノードに組み込むこともできる。例えば、システム中の他のノードは、同様の機能を提供するために、アクセス端末602と、アクセスポイント604と、セキュリティゲートウェイ606とに関して記載するコンポーネントと同様のコンポーネントを含むことができる。所定のノードは、説明するコンポーネントのうちの1つ又は複数を含むことができる。例えば、アクセス端末は、アクセス端末が複数の周波数上で動作し、及び/又は様々な技術によって通信できるようにする、複数のトランシーバコンポーネントを含むことができ得る。
図6に示すように、アクセス端末602及びアクセスポイント604は、それぞれ、他のノードと通信するためのトランシーバ608及び610を含むことができる。トランシーバ608は、信号を(例えば、アクセスポイントに)送信するための送信機612と、(例えば、アクセスポイントから)信号を受信するための受信機614とを含む。同様に、トランシーバ610は、信号を送信するための送信機616と、信号を受信するための受信機618とを含む。
アクセスポイント604及びネットワークノード606はまた、それぞれ、互いに又は他のネットワークノードと通信するためのネットワークインターフェース620及び622を含む。例えば、ネットワークインターフェース620及び622は、ワイヤード又はワイヤレスバックホールを介して1つ以上のネットワークノードと通信するように構成できる。
アクセス端末602、アクセスポイント604、及びセキュリティゲートウェイ606は、本明細書で教示するアクセス動作と連携して使用される他のコンポーネントをも含む。例えば、アクセス端末602、アクセスポイント604、セキュリティゲートウェイ606、及び認証サーバ114は、それぞれ、他のノードとの通信を管理する(例えば、パケットを処理し、検査する、認証情報を取得する、識別子を取得する、或いはパケット、メッセージ、要求、アドレス、認証情報、応答、又はクエリを送信及び受信する)ための、及び本明細書で教示する他の関連する機能を与えるための通信コントローラ624、626、628、及び644を含むことができる。更に、アクセス端末602、アクセスポイント604、及びセキュリティゲートウェイ606は、それぞれ、トンネルを確立するための、及び本明細書で教示する他の関連する機能(例えば、トンネルへのアクセス端末アクセスを受け付けるか又は拒否する)を提供するためのトンネルコントローラ620、632、及び634を含む。アクセス端末602は、アクセスすべきアクセスポイントを識別するための、及び本明細書で教示する他の関連する機能を提供するためのモビリティコントローラ636を含む。アクセス端末602は、セキュリティゲートウェイアドレスを維持するための、及び本明細書で教示する他の関連する機能を提供するためのデータメモリ638を含む。アクセスポイント604は、ローカルアドレスを取得するための、及び本明細書で教示する他の関連する機能を提供するためのアドレスコントローラ640を含む。認証サーバ642は、予約情報を記憶するための、及び本明細書で教示する他の関連する機能を提供するためのデータベース646を含む。
便宜のために、アクセス端末602及びアクセスポイント604を、本明細書で説明する様々な例において使用されるコンポーネントを含むものとして図6に示す。実際問題として、図示のコンポーネントのうちの1つ以上は様々な例において様々な方法で実装できる。一例として、トンネルコントローラ630、632、及び634は、図1の実施形態において図4の実施形態に比較して異なる機能を有することができ、及び/又は異なる方法で動作する(例えば、異なる方法でトンネルを確立する)ことができる。
また、幾つかの実施形態では、図6のコンポーネントは、(例えば、データメモリを使用し、及び/又は組み込む)1つ以上のプロセッサ中に実装できる。例えば、ブロック624、630、636、及び638の機能はアクセス端末の1つ以上のプロセッサによって実施でき、ブロック620、626、632、及び640の機能はアクセスポイント中の1つ以上のプロセッサによって実施でき、及びブロック622、628、及び624の機能はネットワークノード中の1つ以上のプロセッサによって実施できる。
上記で説明したように、幾つかの態様では、マクロスケールのカバレージ(例えば、一般にマクロセルネットワーク又はワイドエリアネットワークと呼ばれる、3Gネットワークなどの広域セルラーネットワーク)、及びより小さいスケールのカバレージ(例えば、住居ベース又は建築物ベースのネットワーク環境)を含むネットワーク中で、本明細書の教示を採用することができる。アクセス端末がそのようなネットワーク中を移動するとき、アクセス端末は、幾つかのロケーションでは、マクロカバレージを与えるアクセスポイントによってサービスされ、他のロケーションでは、より小規模のカバレージを与えるアクセスポイントによってサービスされることがある。幾つかの態様では、より小さいカバレージアクセスポイントを使用して、増分キャパシティの増大と、屋内カバレージと、(例えば、よりロバストなユーザ経験のための)様々なサービスとを与えることができる。
本明細書の説明では、相対的に広いエリアにわたるカバレージを与えるノードをマクロアクセスポイントと呼び、比較的小さいエリア(例えば、住居)にわたるカバレージを与えるノードをフェムトアクセスポイントと呼ぶことがある。本明細書の教示は、他のタイプのサービスエリアに関連付けられたノードに適用できる場合があることを諒解されたい。例えば、ピコアクセスポイントは、マクロエリアよりも小さく、フェムトエリアよりも大きいエリアにわたるカバレージ(例えば、商業建築物内のカバレージ)を与えることができる。様々な適用例では、マクロアクセスポイント、フェムトアクセスポイント、又は他のアクセスポイントタイプのノードを指すために他の用語を使用することができる。例えば、マクロアクセスポイントを、アクセスノード、基地局、アクセスポイント、eノードB、マクロセルなどとして構成し、又はそのように呼ぶことがある。また、フェムトアクセスポイントを、ホームノードB、ホームeノードB、アクセスポイント基地局、フェムトセルなどとして構成し、又はそのように呼ぶことがある。幾つかの実施形態では、ノードを1つ以上のセル又はセクタに関連付ける(例えば、分割する)ことができる。マクロアクセスポイント、フェムトアクセスポイント、又はピコアクセスポイントに関連付けられたセル又はセクタを、それぞれ、マクロセル、フェムトセル、又はピコセルと呼ぶことがある。
図7に、本明細書の教示を実装することができ得る、幾つかのユーザをサポートするように構成されたワイヤレス通信システム700を示す。システム700は、例えば、マクロセル702A〜702Gなど、複数のセル702の通信を可能にし、各セルは、対応するアクセスポイント704(例えば、アクセスポイント704A〜704G)によってサービスされる。図7に示すように、アクセス端末706(例えば、アクセス端末706A〜706L)は、時間とともにシステム全体にわたって様々な位置に分散できる。各アクセス端末706は、例えば、アクセス端末706がアクティブかどうか、及びアクセス端末706がソフトハンドオフ中かどうかに応じて、所定の瞬間に順方向リンク(FL)及び/又は逆方向リンク(RL)上で1つ以上のアクセスポイント704と通信することができ得る。ワイヤレス通信システム700は広い地理的領域にわたってサービスを提供することができ得る。例えば、マクロセル702A〜702Gは、近隣内の数ブロック又は地方環境の数マイルをカバーすることができる。
図8に、1つ以上のフェムトアクセスポイントがネットワーク環境内に展開された例示的な通信システム800を示す。特に、システム800は、比較的小規模のネットワーク環境中に(例えば、1つ以上のユーザレジデンス830中に)設置された複数のフェムトアクセスポイント810(例えば、フェムトアクセスポイント810A及び810B)を含む。各フェムトアクセスポイント810は、DSLルータ、ケーブルモデム、ワイヤレスリンク、又は他の接続手段(図示せず)を介して、ワイドエリアネットワーク840(例えば、インターネット)とモバイル事業者コアネットワーク850とに結合できる。以下で説明するように、各フェムトアクセスポイント810は、関連するアクセス端末820(例えば、アクセス端末820A)、及び、随意に、他の(例えば、ハイブリッド又は外来)アクセス端末820(例えば、アクセス端末820B)にサービスするように構成できる。言い換えれば、フェムトアクセスポイント810へのアクセスを制限することができ、それによって、所定のアクセス端末820を、指定された(1つ以上の)(例えば、ホーム)フェムトアクセスポイント810のセットがサービスすることはできるが、指定されていないフェムトアクセスポイント810(例えば、ネイバーのフェムトアクセスポイント810)がサービスすることはできない。
図9に、幾つかの追跡エリア900(又はルーティングエリア又は位置登録エリア)が画定されたカバレージマップ902の例を示し、そのエリアの各々は幾つかのマクロサービスエリア904を含む。ここで、追跡エリア902A、902B、及び902Cに関連付けられたカバレージのエリアは太線によって示され、マクロサービスエリア904は大きい六角形によって表される。追跡エリア902はフェムトサービスエリア906をも含む。この例では、フェムトサービスエリア906の各々(例えば、フェムトサービスエリア906C)を1つ以上のマクロサービスエリア904(例えば、マクロサービスエリア904B)内に示してある。但し、フェムトサービスエリア906の一部又は全部がマクロサービスエリア904内にない場合があることを諒解されたい。実際問題として、多数のフェムトサービスエリア906を所定のトラッキングエリア902又はマクロサービスエリア904とともに画定することができる。また、1つ以上のピコサービスエリア(図示せず)を所定の追跡エリア902又はマクロサービスエリア904内に画定することができ得る。
再び図8を参照すると、フェムトアクセスポイント810の所有者は、例えば、3Gモバイルサービスなど、モバイル事業者コアネットワーク850を介して提供されるモバイルサービスに加入することができる。更に、アクセス端末820は、マクロ環境と、より小規模の(例えば、宅内)ネットワーク環境の両方で動作することが可能であり得る。言い換えれば、アクセス端末820の現在位置に応じて、アクセス端末820は、モバイル事業者コアネットワーク850に関連付けられたマクロセルアクセスポイント860によって、又は、フェムトアクセスポイント810のセットのいずれか1つ(例えば、対応するユーザレジデンス830内に常駐するフェムトアクセスポイント810A及び810B)によってサービスされることがある。例えば、加入者は、自宅の外にいるときは標準のマクロアクセスポイント(例えば、アクセスポイント860)によってサービスされ、自宅の中にいるときはフェムトアクセスポイント(例えば、アクセスポイント810A)によってサービスされる。ここで、フェムトアクセスポイント810は、レガシーアクセス端末820と後方互換性があることがある。
フェムトアクセスポイント810は、単一の周波数上に展開でき、又は代替として、複数の周波数上に展開できる。特定の構成に応じて、単一の周波数、或いは複数の周波数のうちの1つ以上は、マクロアクセスポイント(例えば、アクセスポイント860)によって使用される1つ以上の周波数と重なることがある。
幾つかの態様では、アクセス端末820は、そのような接続性が可能であるときはいつでも、好適なフェムトアクセスポイント(例えば、アクセス端末820のホームフェムトアクセスポイント)に接続するように構成できる。例えば、アクセス端末820Aがユーザのレジデンス830内にあるときはいつでも、アクセス端末820Aがホームフェムトアクセスポイント810A又は810Bのみと通信することが望ましい。
幾つかの態様では、アクセス端末820がマクロセルラーネットワーク850内で動作しているが、(例えば、好適ローミングリスト中で定義された)その最も好適なネットワーク上に常駐していない場合、アクセス端末820は、ベターシステムリセレクション(BSR)プロシージャを使用して、最も好適なネットワーク(例えば、好適なフェムトアクセスポイント810)を探索し続け、ベターシステムリセレクションでは、より良好なシステムが現在利用可能であるかどうかを決定するために利用可能なシステムの周期的スキャニングを行い、その後、そのような好適なシステムを収集することができ得る。アクセス端末820は、特定の帯域及びチャネルの探索を制限することができる。例えば、1つ以上のフェムトチャネルが定義され、それにより、領域中の全てのフェムトアクセスポイント(又は全ての制限付きフェムトアクセスポイント)は(1つ以上の)フェムトチャネル上で動作することができる。最も好適なシステムの探索を周期的に繰り返すことができる。好適なフェムトアクセスポイント810が発見されると、アクセス端末820は、フェムトアクセスポイント810を選択し、そのサービスエリア内にあるときに使用するために登録する。
フェムトアクセスポイントへのアクセスは、幾つかの態様では、制限されることがある。例えば、所定のフェムトアクセスポイントは、幾つかのサービスを幾つかのアクセス端末のみに提供することができる。いわゆる制限(又は限定)されたアクセスを用いた展開では、所定のアクセス端末は、マクロセルモバイルネットワークと、フェムトアクセスポイントの定義されたセット(例えば、対応するユーザレジデンス830内に常駐するフェムトアクセスポイント810)とによってのみサービスされ得る。幾つかの実施形態では、アクセスポイントは、少なくとも1つのアクセスポイントにシグナリング、データアクセス、登録、ページング、又はサービスのうちの少なくとも1つを与えないように制限され得る。
幾つかの態様では、(限定加入者グループホームノードBと呼ばれることもある)制限付きフェムトアクセスポイントは、制限されたプロビジョニングされたアクセス端末のセットにサービスを提供するアクセスポイントである。このセットは、必要に応じて、一時的に又は永続的に拡大できる。幾つかの態様では、限定加入者グループ(CSG)は、アクセス端末の共通のアクセス制御リストを共有するアクセスポイント(例えば、フェムトアクセスポイント)のセットとして定義できる。
従って、所定のフェムトアクセスポイントと所定のアクセス端末との間には様々な関係が存在する。例えば、アクセス端末の観点から、オープンなフェムトアクセスポイントは、無制限アクセスをもつフェムトアクセスポイントを指す(例えば、そのフェムトアクセスポイントは全てのアクセス端末へのアクセスを許す)。制限されたフェムトアクセスポイントは、何らかの形で制限された(例えば、アクセス及び/又は登録について制限された)フェムトアクセスポイントを指す。ホームフェムトアクセスポイントは、アクセス端末がアクセスし、その上で動作することを許可される(例えば、永続的なアクセスが、1つ以上のアクセス端末の定義されたセットに与えられる)フェムトアクセスポイントを指す。ゲスト(又はハイブリッド)フェムトアクセスポイントは、アクセス端末がアクセスし、又はその上で動作することを一時的に許可されるフェムトアクセスポイントを指す。外来フェムトアクセスポイントは、おそらく非常事態(例えば、911番)を除いて、アクセス端末がアクセスし、又はその上で動作することを許可されないフェムトアクセスポイントを指す。
制限付きフェムトアクセスポイントの観点から、ホームアクセス端末は、そのアクセス端末の所有者のレジデンス中に設置された制限付きフェムトアクセスポイントへのアクセスを許可されるアクセス端末を指す(通常、ホームアクセス端末は、そのフェムトアクセスポイントへの永続的なアクセスを有する)。ゲストアクセス端末は、(例えば、デッドライン、使用時間、バイト、接続回数、又は何らかの他の1つ以上の基準に基づいて制限された)制限付きフェムトアクセスポイントへの一時的アクセスをもつアクセス端末を指す。外来アクセス端末は、例えば、おそらく911番などの非常事態を除いて、制限付きフェムトアクセスポイントにアクセスする許可を有していないアクセス端末(例えば、制限付きフェムトアクセスポイントに登録する認証情報又は許可を有していないアクセス端末)を指す。
便宜上、本明細書の開示では、フェムトアクセスポイントの文脈で様々な機能について説明する。但し、ピコアクセスポイントは、より大きいサービスエリアに同じ又は同様の機能を提供することができ得ることを諒解されたい。例えば、所定のアクセス端末に対して、ピコアクセスポイントを制限すること、ホームピコアクセスポイントを定義することなどが可能である。
本明細書の教示は、複数のワイヤレスアクセス端末のための通信を同時にサポートするワイヤレス多重アクセス通信システムにおいて採用できる。ここで、各端末は、順方向リンク及び逆方向リンク上の送信を介して1つ以上のアクセスポイントと通信することができる。順方向リンク(即ち、ダウンリンク)は、アクセスポイントから端末への通信リンクを指し、逆方向リンク(即ち、アップリンク)は、端末からアクセスポイントへの通信リンクを指す。この通信リンクは、単入力単出力システム、多入力多出力(MIMO)システム、又は何らかの他のタイプのシステムを介して確立できる。
MIMOシステムは、データ送信用の複数(NT)個の送信アンテナ及び複数(NR)個の受信アンテナを使用する。NT個の送信アンテナとNR個の受信アンテナとによって形成されるMIMOチャネルは、空間チャネルと呼ばれることもあるNS個の独立チャネルに分解でき、ここで、NS≦min{NT,NR}である。NS個の独立チャネルの各々は1つの次元に対応する。複数の送信アンテナ及び受信アンテナによって生成された追加の複数の次元が利用された場合、MIMOシステムは改善された性能(例えば、より高いスループット及び/又はより大きい信頼性)を与えることができる。
MIMOシステムは時分割複信(TDD)及び周波数分割複信(FDD)をサポートすることができる。TDDシステムでは、順方向及び逆方向リンク伝送が同一周波数領域上で行われるので、相反定理による逆方向リンクチャネルからの順方向リンクチャネルの推定が可能である。これにより、複数のアンテナがアクセスポイントで利用可能なとき、アクセスポイントは順方向リンク上で送信ビーム形成利得を抽出することが可能になる。
図10に、例示的なMIMOシステム1000のワイヤレス機器1010(例えば、アクセスポイント)及びワイヤレス機器1050(例えば、アクセス端末)を示す。機器1010では、幾つかのデータストリームのトラフィックデータが、データソース1012から送信(TX)データプロセッサ1014に供給される。各データストリームは、次いで、それぞれの送信アンテナを介して送信できる。
TXデータプロセッサ1014は、符号化データを与えるために、そのデータストリーム用に選択された特定の符号化方式に基づいて、データストリームごとにトラフィックデータをフォーマッティングし、符号化し、インターリーブする。各データストリームの符号化データは、OFDM技法を使用してパイロットデータで多重化できる。パイロットデータは、典型的には、既知の方法で処理され、チャネル応答を推定するために受信機システムにおいて使用できる既知のデータパターンである。次いで、各データストリームの多重化されたパイロットデータ及び符号化データは、変調シンボルを供給するために、そのデータストリーム用に選択された特定の変調方式(例えば、BPSK、QSPK、M−PSK、又はM−QAM)に基づいて変調(即ち、シンボルマッピング)される。各データストリームのデータレート、符号化、及び変調は、プロセッサ1030によって実行される命令によって決定できる。データメモリ1032は、プロセッサ1030又は機器1010の他のコンポーネントによって使用されるプログラムコード、データ、及び他の情報を記憶することができる。
次いで、全てのデータストリームの変調シンボルがTX MIMOプロセッサ1020に供給され、TX MIMOプロセッサ1020は更に(例えば、OFDM用に)その変調シンボルを処理することができる。次いで、TX MIMOプロセッサ1020は、NT個の変調シンボルストリームをNT個のトランシーバ(XCVR)1022A〜1022Tに供給する。幾つかの態様では、TX MIMOプロセッサ1020は、データストリームのシンボルと、シンボルの送信元のアンテナとにビームフォーミング重みを付加する。
各トランシーバ1022は、それぞれのシンボルストリームを受信し、処理して、1つ以上のアナログ信号を与え、更に、それらのアナログ信号を調整(例えば、増幅、フィルタ処理、及びアップコンバート)して、MIMOチャネルを介して送信するのに適した変調信号を与える。次いで、トランシーバ1022A〜1022TからのNT個の変調信号は、それぞれ、NT個のアンテナ1024A〜1024Tから送信される。
機器1050では、送信された変調信号はNR個のアンテナ1052A〜1052Rによって受信され、各アンテナ1052からの受信信号は、それぞれのトランシーバ(XCVR)1054A〜1054Rに供給される。各トランシーバ1054は、それぞれの受信信号を調整(例えば、フィルタ処理、増幅、及びダウンコンバート)し、調整された信号をデジタル化して、サンプルを与え、更にそれらのサンプルを処理して、対応する「受信」シンボルストリームを与える。
次いで、受信(RX)データプロセッサ1060は、特定の受信機処理技法に基づいてNR個のトランシーバ1054からNR個の受信シンボルストリームを受信し、処理して、NT個の「検出」シンボルストリームを与える。次いで、RXデータプロセッサ1060は、各検出シンボルストリームを復調し、デインターリーブし、復号して、データストリームに対するトラフィックデータを復元する。RXデータプロセッサ1060による処理は、機器1010におけるTX MIMOプロセッサ1020及びTXデータプロセッサ1014によって実行される処理を補足するものである。
プロセッサ1070は、どのプリコーディング行列(以下で論じる)を使用すべきかを定期的に決定する。プロセッサ1070は、行列インデックス部とランク値部とを備える逆方向リンクメッセージを作成する。データメモリ1072は、プロセッサ1070又は機器1050の他のコンポーネントによって使用されるプログラムコード、データ、及び他の情報を記憶することができる。
逆方向リンクメッセージは、通信リンク及び/又は受信データストリームに関する様々なタイプの情報を備えることができる。次いで、逆方向リンクメッセージは、データソース1036から幾つかのデータストリームのトラフィックデータをも受信するTXデータプロセッサ1038によって処理され、変調器1080によって変調され、トランシーバ1054A〜1054Rによって調整され、機器1010に戻される。
機器1010では、機器1050からの変調信号は、アンテナ1024によって受信され、トランシーバ1022によって調整され、復調器(DEMOD)1040によって復調され、RXデータプロセッサ1042によって処理されて、機器1050によって送信された逆方向リンクメッセージが抽出される。次いで、プロセッサ1030は、ビームフォーミング重みを決定するためにどのプリコーディング行列を使用すべきかを決定し、次いで、抽出されたメッセージを処理する。
図10はまた、通信コンポーネントが、本明細書で教示するアクセス制御動作を実行する1つ以上のコンポーネントを含むことができることを示す。例えば、アクセス制御コンポーネント1090は、機器1010のプロセッサ1030及び/又は他のコンポーネントと協働して、本明細書で教示する別の機器(例えば、機器1050)との間で信号を送信/受信することができる。同様に、アクセス制御コンポーネント1092は、プロセッサ1070及び/又は機器1050の他のコンポーネントと協働して、別の機器(例えば、機器1010)との間で信号を送信/受信することができ得る。各機器1010及び1050について、説明するコンポーネントの2つ以上の機能が単一のコンポーネントによって提供できることを諒解されたい。例えば、単一の処理コンポーネントがアクセス制御コンポーネント1090及びプロセッサ1030の機能を提供し、単一の処理コンポーネントがアクセス制御コンポーネント1092及びプロセッサ1070の機能を提供することができる。幾つかの実施形態では、プロセッサ1030及びメモリ1032は、機器1010について本明細書で教示するアクセス関連機能及び他の機能を集合的に提供することができ、プロセッサ1070及びメモリ1072は、機器1050について本明細書で教示するアクセス関連機能及び他の機能を集合的に提供することができる。
本明細書の教示は、様々なタイプの通信システム及び/又はシステムコンポーネントに組み込むことができる。幾つかの態様では、本明細書の教示は、利用可能なシステムリソースを共有することによって(例えば、帯域幅、送信電力、符号化、インターリーブなどのうちの1つ又は複数を指定することによって)、複数のユーザとの通信をサポートすることが可能な多重アクセスシステムにおいて採用できる。例えば、本明細書の教示は、符号分割多重アクセス(CDMA)システム、多重キャリアCDMA(MCCDMA)、広帯域CDMA(W−CDMA)、高速パケットアクセス(HSPA、HSPA+)システム、時間分割多重アクセス(TDMA)システム、周波数分割多重アクセス(FDMA)システム、シングルキャリアFDMA(SC−FDMA)システム、直交周波数分割多重アクセス(OFDMA)システム、又は他の多重アクセス技法の技術のいずれか1つ又は組合せに適用できる。本明細書の教示を採用するワイヤレス通信システムは、IS−95、cdma2000、IS−856、W−CDMA、TDSCDMA、及び他の規格など、1つ以上の規格を実装するように設計できる。CDMAネットワークは、国際地球無線アクセス(Universal Terrestrial Radio Access(UTRA))、cdma2000、又は何らかの他の技術などの無線技術を実装することができる。UTRAは、W−CDMA及び低チップレート(LCR)を含む。cdma2000技術は、IS−2000、IS−95、及びIS−856規格をカバーする。TDMAネットワークは、グローバルシステムフォーモバイルコミュニケーションズ(Global System for Mobile Communications(GSM)(登録商標))などの無線技術を実装することができる。OFDMAネットワークは、Evolved UTRA(E−UTRA)、IEEE802.11、IEEE802.16、IEEE802.20、Flash−OFDM(登録商標)などの無線技術を実装することができ得る。UTRA、E−UTRA、及びGSMは、ユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunication System(UMTS))の一部である。本明細書の教示は、3GPP Long Term Evolution(LTE)システム、Ultra Mobile Broadband(UMB)システム、及び他のタイプのシステムで実装できる。LTEは、E−UTRAを使用するUMTSのリリースである。UTRA、E−UTRA、GSM、UMTS及びLTEは、「3rd Generation Partnership Project」(3GPP)と呼ばれる組織からの文書に記載されており、cdma2000は、「3rd Generation Partnership Project 2」(3GPP2)と呼ばれる組織からの文書に記載されている。本開示の幾つかの態様については、3GPP用語を使用して説明するが、本明細書の教示は、3GPP(例えば、Rel99、Rel5、Rel6、Rel7)技術、ならびに3GPP2(例えば、1xRTT、1xEV−DO Rel0、RevA、RevB)技術及び他の技術に適用できることを理解されたい。
本明細書の教示は、様々な装置(例えば、ノード)に組み込む(例えば、装置内に実装する、又は装置によって実行する)ことができる。幾つかの態様では、本明細書の教示に従って実装されるノード(例えば、ワイヤレスノード)はアクセスポイント又はアクセス端末を備えることができる。
例えば、アクセス端末は、ユーザ機器、加入者局、加入者ユニット、移動局、モバイル、モバイルノード、リモート局、リモート端末、ユーザ端末、ユーザエージェント、ユーザ機器、又は何らかの他の用語を備えるか、それらのいずれかとして実装されるか、或いはそれらのいずれかとして知られる。幾つかの実施形態では、アクセス端末は、セルラー電話、コードレス電話、セッション開始プロトコル(SIP)電話、ワイヤレスローカルループ(WLL)局、携帯情報端末(PDA)、ワイヤレス接続能力を有するハンドヘルド機器、又はワイヤレスモデムに接続された何らかの他の好適な処理機器を備えることができる。従って、本明細書で教示する1つ以上の態様は、電話(例えば、セルラー電話又はスマートフォン)、コンピュータ(例えば、ラップトップ)、携帯型通信機器、携帯型コンピューティング機器(例えば、個人情報端末)、娯楽機器(例えば、音楽機器又はビデオ機器、或いは衛星ラジオ)、全地球測位システム機器、或いはワイヤレス媒体を介して通信するように構成された他の好適機器に組み込むことができる。
アクセスポイントは、ノードB、eノードB、無線ネットワークコントローラ(RNC)、基地局(BS)、無線基地局(RBS)、基地局コントローラ(BSC)、送受信基地局(BTS)、トランシーバ機能(TF)、無線トランシーバ、無線ルータ、基本サービスセット(BSS)、拡張サービスセット(ESS)、マクロセル、マクロノード、ホームeNB(HeNB)、フェムトセル、フェムトノード、ピコノード、又は何らかの他の同様の用語を備えるか、それらのいずれかとして実装されるか、或いはそれらのいずれかとして知られる。
幾つかの態様では、ノード(例えば、アクセスポイント)は、通信システムのためのアクセスノードを備えることができる。そのようなアクセスノードは、例えば、ネットワークへのワイヤード又はワイヤレス通信リンクを介した、ネットワーク(例えば、インターネット又はセルラーネットワークなどワイドエリアネットワーク)のための、又はネットワークへの接続性を与えることができる。従って、アクセスノードは、別のノード(例えば、アクセス端末)がネットワーク又は何らかの他の機能にアクセスできるようにすることができる。更に、一方又は両方のノードはポータブルでも、場合によっては比較的非ポータブルでもよいことを諒解されたい。
また、ワイヤレスノードは、非ワイヤレス方式で(例えば、ワイヤード接続を介して)情報を送信及び/又は受信することができることを諒解されたい。従って、本明細書で説明する受信機及び送信機は、非ワイヤレス媒体を介して通信するために適切な通信インターフェースコンポーネント(例えば、電気的又は光学的インターフェースコンポーネント)を含むことができる。
ワイヤレスノードは、好適なワイヤレス通信技術に基づく或いはサポートする1つ以上のワイヤレス通信リンクを介して通信することができる。例えば、幾つかの態様では、ワイヤレスノードはネットワークに関連付けることができる。幾つかの態様では、ネットワークはローカルエリアネットワーク又はワイドエリアネットワークを備えることができる。ワイヤレス機器は、本明細書で説明する様々なワイヤレス通信技術、プロトコル、又は規格(例えば、CDMA、TDMA、OFDM、OFDMA、WiMAX、Wi−Fiなど)のうちの1つ又は複数をサポート又は使用することができる。同様に、ワイヤレスノードは、様々な対応する変調方式又は多重化方式のうちの1つ又は複数をサポート又は使用することができる。従って、ワイヤレスノードは、上記又は他のワイヤレス通信技術を使用して1つ以上のワイヤレス通信リンクを確立し、それを介して通信するために適切なコンポーネント(例えば、エアインターフェース)を含むことができる。例えば、ワイヤレスノードは、ワイヤレス媒体上の通信を可能にする様々なコンポーネント(例えば、信号発生器及び信号処理器)を含むことができる関連する送信機コンポーネント及び受信機コンポーネントをもつワイヤレストランシーバを備えることができる。
(例えば、添付の図の1つ又は複数に関して)本明細書で説明した機能は、幾つかの態様では、添付の特許請求の範囲において同様に指定された「手段」機能に対応することがある。図11〜図14を参照すると、装置1100、1200、1300、及び1400は一連の相互に関連する機能モジュールとして表される。ここで、第1のトンネル確立モジュール1102、第2のトンネル確立モジュール1104、チャイルドセキュリティアソシエーション確立モジュール1118、トンネルアクセス要求受信モジュール1120、確立されたトンネル決定モジュール1122、及びアクセス端末リダイレクトモジュール1124は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。パケット決定モジュール1106、受信パケット転送モジュール1108、アドレス要求送信モジュール1110、アドレス受信モジュール1112、アドレス送信モジュール1114、認証情報受信モジュール1116は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。アクセスポイント識別モジュール1202は、少なくとも幾つかの態様では、例えば、本明細書で説明するモビリティコントローラに対応することがある。セキュリティゲートウェイメッセージ送信モジュール1204、メッセージ応答受信モジュール1206、DNSクエリ送信モジュール1208、及びセキュリティゲートウェイアドレス受信モジュール1210は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。セキュリティゲートウェイアドレス維持モジュール1212は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータメモリに対応することがある。トンネル確立モジュール1214は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。セキュリティゲートウェイトンネル確立モジュール1302、チャイルドセキュリティアソシエーション確立モジュール1316、及びアクセス端末トンネル確立モジュール1318は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。ローカルネットワークアドレス取得モジュール1304は、少なくとも幾つかの態様では、例えば、本明細書で説明するアドレスコントローラに対応することがある。アドレスメッセージ送信モジュール1306、パケット転送モジュール1308、アドレス要求受信モジュール1310、パケット検査モジュール1312、及びパケット転送モジュール1314は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。第1のトンネル確立モジュール1402及び第2のトンネル確立モジュール1406は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。認証情報取得モジュール1404、パケット受信モジュール1412、パケット検査モジュール1414、及びパケット転送モジュール1416は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。ローカルネットワークアドレス取得モジュール1408及びアドレス送信モジュール1410は、少なくとも幾つかの態様では、例えば、本明細書で説明するアドレスコントローラに対応することがある。アクセスポイント識別モジュール1502は、少なくとも幾つかの態様では、例えば、本明細書で説明するモビリティコントローラに対応することがある。メッセージ送信モジュール1504は、少なくとも幾つかの態様では、例えば、本明細書で論じる通信コントローラに対応することがある。アクセスポイント識別モジュール1602は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。識別子記憶モジュール1604は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータベースに対応することがある。予約情報使用モジュール1606は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータベースに対応することがある。
図11〜図14のモジュールの機能は、本明細書の教示に合致する様々な方法で実装できる。幾つかの態様では、これらのモジュールの機能は、1つ以上の電気コンポーネントとして実装できる。幾つかの態様では、これらのブロックの機能は、1つ以上のプロセッサコンポーネントを含む処理システムとして実装できる。幾つかの態様では、これらのモジュールの機能は、例えば、1つ以上の集積回路(例えば、ASIC)の少なくとも一部を使用して実装できる。本明細書で説明するように、集積回路は、プロセッサ、ソフトウェア、他の関連したコンポーネント、又はそれらの何らかの組合せを含むことができる。これらのモジュールの機能は、本明細書で教示する方法とは別の何らかの方法で実装することもできる。幾つかの態様では、図11〜図14中の破線ブロックのうちの1つ又は複数は随意である。
本明細書における「第1の」、「第2の」などの名称を使用した要素への言及は、それらの要素の数量又は順序を概括的に限定するものでないことを理解されたい。むしろ、これらの名称は、本明細書において2つ以上の要素又はある要素の複数の例を区別する便利な方法として使用できる。従って、第1及び第2の要素への言及は、そこで2つの要素のみが使用できること、又は第1の要素が何らかの方法で第2の要素に先行しなければならないことを意味するものではない。また、別段の規定がない限り、要素のセットは1つ以上の要素を備えることがある。更に、明細書又は特許請求の範囲において使用される「A、B、又はCのうちの少なくとも1つ」という形式の用語は、「A又はB又はC、或いはこれらの要素の任意の組合せ」を意味する。
情報及び信号は様々な異なる技術及び技法のいずれかを使用して表すことができることを、当業者は理解されよう。例えば、上記の説明全体にわたって言及されるデータ、命令、コマンド、情報、信号、ビット、シンボル、及びチップは、電圧、電流、電磁波、磁界又は磁性粒子、光場又は光学粒子、或いはそれらの任意の組合せによって表すことができる。
更に、本明細書で開示した態様に関して説明した様々な例示的な論理ブロック、モジュール、プロセッサ、手段、回路、及びアルゴリズムステップのいずれかは、電子ハードウェア(例えば、ソースコーディング又は何らかの他の技法を使用して設計できる、デジタル実施形態、アナログ実施形態、又はそれら2つの組合せ)、命令を組み込んだ様々な形態のプログラム又は設計コード(便宜上、本明細書では「ソフトウェア」又は「ソフトウェアモジュール」と呼ぶことがある)、或いは両方の組合せとして実装できることを当業者は諒解されよう。ハードウェアとソフトウェアのこの互換性を明確に示すために、様々な例示的なコンポーネント、ブロック、モジュール、回路、及びステップを、上記では概してそれらの機能に関して説明した。そのような機能をハードウェアとして実装するか、ソフトウェアとして実装するかは、特定の適用例及び全体的なシステムに課される設計制約に依存する。当業者は、説明した機能を特定の適用例ごとに様々な方法で実装することができるが、そのような実装の決定は、本開示の範囲からの逸脱を生じるものと解釈すべきではない。
本明細書で開示した態様に関して説明した様々な例示的な論理ブロック、モジュール、及び回路は、集積回路(IC)、アクセス端末、又はアクセスポイント内に実装できるか、又はそれらによって実行できる。ICは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又は他のプログラマブル論理機器、個別ゲート又はトランジスタロジック、個別ハードウェアコンポーネント、電子的コンポーネント、光学的コンポーネント、機械的コンポーネント、若しくは本明細書に記載の機能を実行するように設計されたそれらの任意の組合せを備えることができ、ICの内部に、ICの外側に、又はその両方に常駐するコード又は命令を実行することができる。汎用プロセッサはマイクロプロセッサとすることができるが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、又は状態機械とすることができる。プロセッサは、コンピューティング機器の組合せ、例えば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携する1つ以上のマイクロプロセッサ、又は任意の他のそのような構成として実装することもできる。
開示されたプロセス中のステップの特定の順序又は階層は例示的な手法の一例であることを理解されたい。設計の選好に基づいて、プロセス中のステップの特定の順序又は階層は本開示の範囲内のまま再構成できることを理解されたい。添付の方法クレームは、様々なステップの要素を例示的な順序で提示したものであり、提示された特定の順序又は階層に限定されるものではない。
1つ以上の例示的な実施形態では、説明した機能はハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組合せで実装できる。ソフトウェアで実装する場合、機能は、1つ以上の命令又はコードとしてコンピュータ可読媒体上に記憶するか、或いはコンピュータ可読媒体を介して送信することができる。コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を可能にする任意の媒体を含む、コンピュータ記憶媒体と通信媒体の両方を含む。記憶媒体は、コンピュータによってアクセスできる任意の利用可能な媒体でよい。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、或いは他の光ディスクストレージ、磁気ディスクストレージ又は他の磁気記憶機器、若しくは命令又はデータ構造の形態の所望のプログラムコードを搬送又は記憶するために使用でき、コンピュータによってアクセスできる任意の他の媒体を備えることができる。また、いかなる接続もコンピュータ可読媒体と適切に呼ばれる。例えば、ソフトウェアが、同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL)、又は赤外線、無線、及びマイクロ波などのワイヤレス技術を使用して、ウェブサイト、サーバ、又は他のリモートソースから送信される場合、同軸ケーブル、光ファイバケーブル、ツイストペア、DSL、又は赤外線、無線、及びマイクロ波などのワイヤレス技術は、媒体の定義に含まれる。本明細書で使用するディスク(disk)及びディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)及びブルーレイディスク(disc)を含み、ディスク(disk)は、通常、データを磁気的に再生し、ディスク(disc)は、データをレーザで光学的に再生する。上記の組合せもコンピュータ可読媒体の範囲内に含めるべきである。コンピュータ可読媒体は任意の好適なコンピュータプログラム製品に実装できることを諒解されたい。
開示された態様の前述の説明は、当業者が本開示を実施又は使用できるようにするために提供されるものである。これらの態様への様々な変更は当業者にはすぐに明らかになり、本明細書で定義された包括的な原理は本開示の範囲から逸脱することなく他の態様に適用できる。従って、本開示は、本明細書で示した態様に限定されるものではなく、本明細書で開示した原理及び新規の特徴に一致する最も広い範囲を与えられるべきである。
以下に本願発明の当初の特許請求の範囲に記載された発明を付記する。
[C1]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、
を含む、通信の方法。
[C2]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C1の方法。
[C3]
前記メッセージは第1のプロトコルトンネルを介して前記セキュリティゲートウェイに送信される、C1の方法。
[C4]
前記セキュリティゲートウェイからアドレスの要求を受信することを更に含み、前記アドレスが前記要求に応答して得られる、C3の方法。
[C5]
前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、C1の方法。
[C6]
前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立することを更に含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、C1の方法。
[C7]
前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間で他のプロトコルトンネルを確立することを更に含み、前記パケットは前記他のプロトコルトンネルを介して転送される、C1の方法。
[C8]
前記アクセスポイントはフェムトアクセスポイントを含む、C1の方法。
[C9]
前記プロトコルトンネルはIPseCトンネルを含む、C1の方法。
[C10]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する要構成されるトンネルコントローラと、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得するよう構成されるアクセスコントローラと、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する要構成され、更に前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送するよう構成される通信コントローラと、
を具備する、通信のための装置。
[C11]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C10の装置。
[C12]
前記通信コントローラは更に前記ローカルネットワーク上のパケットの送信先を特定するために前記パケットを検査し、前記特定された送信先に前記パケットを送信するように構成されるC10の装置。
[C13]
前記トンネルコントローラは、更に前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立するように構成され、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、C10の装置。
[C14]
前記トンネルコントローラは、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立するように構成され、前記パケットは、前記他のプロトコルトンネルを介して転送される、C10の装置。
[C15]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する手段と、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送する手段と、
を具備する、通信のための装置。
[C16]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C15の装置。
[C17]
前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、C15の装置。
[C18]
前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立する手段を更に含み、前記チャイルドセキュリティ接続の第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、C15の装置。
[C19]
前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立する手段を更に含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、C15の装置。
[C20]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、
をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[C21]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C20のコンピュータプログラム製品。
[C22]
前記コンピュータ可読媒体は更に、前記コンピュータに、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査させ、前記特定された送信先へ前記パケットを送信させるためのコードを更に含む、C20のコンピュータプログラム製品。
[C23]
コンピュータ可読媒体は更に、前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを前記コンピュータに確立させるためのコードを含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、C20のコンピュータプログラム製品。
[C24]
前記コンピュータ可読媒体は、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを前記コンピュータに確立させるためのコードを含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、C20のコンピュータプログラム製品。
[C25]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、
を含む、通信の方法。
[C26]
前記認証情報がワイヤレス接続を介して前記アクセス端末と通信することによって取得される、C25の方法。
[C27]
前記認証情報がインターネットキー交換手順を介して取得される、C25の方法。
[C28]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を更に含む、C25の方法。
[C29]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C28の方法。
[C30]
前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、C25の方法。
[C31]
前記アクセスポイントはフェムトアクセスポイントを含む、C25の方法。
[C32]
前記第1及び第2のプロトコルトンネルはIPseCトンネルを含む、C25の方法。
[C33]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立するよう構成されるトンネルコントローラと、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得するように構成される通信コントローラと、を具備し、
前記トンネルコントローラは、更に前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立するように構成される、
通信のための装置。
[C34]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得し、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信するように構成されるアドレスコントローラを更に含む、C33の装置。
[C35]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C34の装置。
[C36]
前記通信コントローラは更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信し、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査し、前記特定された送信先に前記パケットを送付するように構成される、C33の装置。
[C37]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得する手段と、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立する手段と、
を具備する、通信のための装置。
[C38]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信する手段と、を更に含む、C37の装置。
[C39]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C38の装置。
[C40]
前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信する手段と、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、C37の装置。
[C41]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、
をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[C42]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を前記コンピュータに実行させるためのコードを更に含む、C41のコンピュータプログラム製品。
[C43]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C42のコンピュータプログラム製品。
[C44]
前記コンピュータ可読媒体は更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付することを前記コンピュータに実行させるためのコードを含む、C41のコンピュータプログラム製品。
[C45]
加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得すること、
認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納すること、
を含む、通信の方法。
[C46]
アクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用することを更に含む、C45の方法。
[C47]
加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子を取得するように構成される通信コントローラと、
認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を格納するように構成されるデータベースと、
を具備する、通信のための装置。
[C48]
前記データベースはアクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用するように構成される、C47の装置。
[C49]
加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得する手段と、
認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納する手段と、
を具備する、通信のための装置。
[C50]
アクセス端末が前記少なくとも一つのフェムトアクセスポイントアクセスすることができるかどうかを決定するために前記加入情報を使用する手段を更に含む、C49の装置。
[C51]
加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子をコンピュータに取得させ、
認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を前記コンピュータに格納させるコードを含むコンピュータ可読媒体を、具備するコンピュータプログラム製品。
[C52]
前記コンピュータ可読媒体はアクセス端末が前記少なくとも1つのフェムトアクセスポイントをアクセスできるかどうかを決定するために前記加入情報を前記コンピュータに使用させるためのコードを更に含む、C51のコンピュータプログラム製品。
以下に本願発明の当初の特許請求の範囲に記載された発明を付記する。
[C1]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、
を含む、通信の方法。
[C2]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C1の方法。
[C3]
前記メッセージは第1のプロトコルトンネルを介して前記セキュリティゲートウェイに送信される、C1の方法。
[C4]
前記セキュリティゲートウェイからアドレスの要求を受信することを更に含み、前記アドレスが前記要求に応答して得られる、C3の方法。
[C5]
前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、C1の方法。
[C6]
前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立することを更に含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、C1の方法。
[C7]
前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間で他のプロトコルトンネルを確立することを更に含み、前記パケットは前記他のプロトコルトンネルを介して転送される、C1の方法。
[C8]
前記アクセスポイントはフェムトアクセスポイントを含む、C1の方法。
[C9]
前記プロトコルトンネルはIPseCトンネルを含む、C1の方法。
[C10]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する要構成されるトンネルコントローラと、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得するよう構成されるアクセスコントローラと、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する要構成され、更に前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送するよう構成される通信コントローラと、
を具備する、通信のための装置。
[C11]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C10の装置。
[C12]
前記通信コントローラは更に前記ローカルネットワーク上のパケットの送信先を特定するために前記パケットを検査し、前記特定された送信先に前記パケットを送信するように構成されるC10の装置。
[C13]
前記トンネルコントローラは、更に前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立するように構成され、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、C10の装置。
[C14]
前記トンネルコントローラは、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立するように構成され、前記パケットは、前記他のプロトコルトンネルを介して転送される、C10の装置。
[C15]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、
アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する手段と、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送する手段と、
を具備する、通信のための装置。
[C16]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C15の装置。
[C17]
前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、C15の装置。
[C18]
前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立する手段を更に含み、前記チャイルドセキュリティ接続の第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、C15の装置。
[C19]
前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立する手段を更に含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、C15の装置。
[C20]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、
前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、
前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、
をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[C21]
前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、C20のコンピュータプログラム製品。
[C22]
前記コンピュータ可読媒体は更に、前記コンピュータに、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査させ、前記特定された送信先へ前記パケットを送信させるためのコードを更に含む、C20のコンピュータプログラム製品。
[C23]
コンピュータ可読媒体は更に、前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを前記コンピュータに確立させるためのコードを含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、C20のコンピュータプログラム製品。
[C24]
前記コンピュータ可読媒体は、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを前記コンピュータに確立させるためのコードを含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、C20のコンピュータプログラム製品。
[C25]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、
を含む、通信の方法。
[C26]
前記認証情報がワイヤレス接続を介して前記アクセス端末と通信することによって取得される、C25の方法。
[C27]
前記認証情報がインターネットキー交換手順を介して取得される、C25の方法。
[C28]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を更に含む、C25の方法。
[C29]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C28の方法。
[C30]
前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、C25の方法。
[C31]
前記アクセスポイントはフェムトアクセスポイントを含む、C25の方法。
[C32]
前記第1及び第2のプロトコルトンネルはIPseCトンネルを含む、C25の方法。
[C33]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立するよう構成されるトンネルコントローラと、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得するように構成される通信コントローラと、を具備し、
前記トンネルコントローラは、更に前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立するように構成される、
通信のための装置。
[C34]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得し、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信するように構成されるアドレスコントローラを更に含む、C33の装置。
[C35]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C34の装置。
[C36]
前記通信コントローラは更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信し、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査し、前記特定された送信先に前記パケットを送付するように構成される、C33の装置。
[C37]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得する手段と、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立する手段と、
を具備する、通信のための装置。
[C38]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信する手段と、を更に含む、C37の装置。
[C39]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C38の装置。
[C40]
前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信する手段と、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、C37の装置。
[C41]
ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、
をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[C42]
前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を前記コンピュータに実行させるためのコードを更に含む、C41のコンピュータプログラム製品。
[C43]
前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、C42のコンピュータプログラム製品。
[C44]
前記コンピュータ可読媒体は更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付することを前記コンピュータに実行させるためのコードを含む、C41のコンピュータプログラム製品。
[C45]
加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得すること、
認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納すること、
を含む、通信の方法。
[C46]
アクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用することを更に含む、C45の方法。
[C47]
加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子を取得するように構成される通信コントローラと、
認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を格納するように構成されるデータベースと、
を具備する、通信のための装置。
[C48]
前記データベースはアクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用するように構成される、C47の装置。
[C49]
加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得する手段と、
認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納する手段と、
を具備する、通信のための装置。
[C50]
アクセス端末が前記少なくとも一つのフェムトアクセスポイントアクセスすることができるかどうかを決定するために前記加入情報を使用する手段を更に含む、C49の装置。
[C51]
加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子をコンピュータに取得させ、
認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を前記コンピュータに格納させるコードを含むコンピュータ可読媒体を、具備するコンピュータプログラム製品。
[C52]
前記コンピュータ可読媒体はアクセス端末が前記少なくとも1つのフェムトアクセスポイントをアクセスできるかどうかを決定するために前記加入情報を前記コンピュータに使用させるためのコードを更に含む、C51のコンピュータプログラム製品。
Claims (20)
- ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第2のプロトコルトンネルの少なくとも一部が前記第1のプロトコルトンネル内に確立されるように、前記第1のプロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に前記第2のプロトコルトンネルを確立すること、
前記セキュリティゲートウェイにおいて前記アクセスポイントからパケットを受信することと、
前記第2のプロトコルトンネルを介して前記アクセス端末に前記パケットを転送することと、
を含む、通信の方法。 - 前記認証情報がワイヤレス接続を介して前記アクセス端末と通信することによって取得される、請求項1の方法。
- 前記認証情報がインターネットキー交換手順を介して取得される、請求項1の方法。
- 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を更に含む、請求項1の方法。
- 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、請求項4の方法。
- 前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、特定された前記送信先に前記パケットを転送すること、を更に含む、請求項1の方法。
- 前記アクセスポイントはフェムトアクセスポイントを含む、請求項1の方法。
- 前記第1及び第2のプロトコルトンネルはIPsecトンネルを含む、請求項1の方法。
- ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立するよう構成されるトンネルコントローラと、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得するように構成される通信コントローラと、を具備し、
前記トンネルコントローラは、更に、前記第2のプロトコルトンネルの少なくとも一部が前記第1のプロトコルトンネル内に確立されるように、前記第1のプロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に前記第2のプロトコルトンネルを確立するように構成され、
前記通信コントローラは、更に、前記セキュリティゲートウェイにおいて前記アクセスポイントからパケットを受信し、前記第2のプロトコルトンネルを介して前記アクセス端末に前記パケットを転送するように構成される、
通信のための装置。 - 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得し、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信するように構成されるアドレスコントローラを更に含む、請求項9の装置。
- 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、請求項10の装置。
- 前記通信コントローラは更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信し、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査し、特定された前記送信先に前記パケットを転送するように構成される、請求項9の装置。
- ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立する手段と、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得する手段と、
前記第2のプロトコルトンネルの少なくとも一部が前記第1のプロトコルトンネル内に確立されるように、前記第1のプロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に前記第2のプロトコルトンネルを確立する手段と、
前記セキュリティゲートウェイにおいて前記アクセスポイントからパケットを受信する手段と、
前記第2のプロトコルトンネルを介して前記アクセス端末に前記パケットを転送する手段と、
を具備する、通信のための装置。 - 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信する手段と、を更に含む、請求項13の装置。
- 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、請求項14の装置。
- 前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信する手段と、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査する手段と、特定された前記送信先に前記パケットを転送する手段と、を更に含む、請求項13の装置。
- ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1のプロトコルトンネルを確立すること、
前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、
前記第2のプロトコルトンネルの少なくとも一部が前記第1のプロトコルトンネル内に確立されるように、前記第1のプロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に前記第2のプロトコルトンネルを確立すること、
前記セキュリティゲートウェイにおいて前記アクセスポイントからパケットを受信することと、
前記第2のプロトコルトンネルを介して前記アクセス端末に前記パケットを転送することと、
をコンピュータに実行させるためのコードを含むコンピュータ可読記録媒体。 - 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を前記コンピュータに実行させるためのコードを更に含む、請求項17のコンピュータ可読記録媒体。
- 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、請求項18のコンピュータ可読記録媒体。
- 前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、特定された前記送信先に前記パケットを転送することを前記コンピュータに実行させるためのコードを含む、請求項17のコンピュータ可読記録媒体。
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11552008P | 2008-11-17 | 2008-11-17 | |
US61/115,520 | 2008-11-17 | ||
US14542409P | 2009-01-16 | 2009-01-16 | |
US61/145,424 | 2009-01-16 | ||
US15062409P | 2009-02-06 | 2009-02-06 | |
US61/150,624 | 2009-02-06 | ||
US16429209P | 2009-03-27 | 2009-03-27 | |
US61/164,292 | 2009-03-27 | ||
US12/619,174 | 2009-11-16 | ||
US12/619,174 US8996716B2 (en) | 2008-11-17 | 2009-11-16 | Remote access to local network via security gateway |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013041674A Division JP2013192221A (ja) | 2008-11-17 | 2013-03-04 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015173476A JP2015173476A (ja) | 2015-10-01 |
JP5956015B2 true JP5956015B2 (ja) | 2016-07-20 |
Family
ID=42170784
Family Applications (5)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011536573A Expired - Fee Related JP5611969B2 (ja) | 2008-11-17 | 2009-11-16 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2013041675A Withdrawn JP2013179592A (ja) | 2008-11-17 | 2013-03-04 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2013041674A Withdrawn JP2013192221A (ja) | 2008-11-17 | 2013-03-04 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2015046058A Expired - Fee Related JP6017610B2 (ja) | 2008-11-17 | 2015-03-09 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2015093213A Expired - Fee Related JP5956015B2 (ja) | 2008-11-17 | 2015-04-30 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
Family Applications Before (4)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011536573A Expired - Fee Related JP5611969B2 (ja) | 2008-11-17 | 2009-11-16 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2013041675A Withdrawn JP2013179592A (ja) | 2008-11-17 | 2013-03-04 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2013041674A Withdrawn JP2013192221A (ja) | 2008-11-17 | 2013-03-04 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
JP2015046058A Expired - Fee Related JP6017610B2 (ja) | 2008-11-17 | 2015-03-09 | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス |
Country Status (7)
Country | Link |
---|---|
US (2) | US8996716B2 (ja) |
EP (3) | EP2448184A1 (ja) |
JP (5) | JP5611969B2 (ja) |
KR (2) | KR101358897B1 (ja) |
CN (1) | CN102217244B (ja) |
TW (1) | TW201026130A (ja) |
WO (1) | WO2010057130A2 (ja) |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102217243B (zh) | 2008-11-17 | 2015-05-20 | 高通股份有限公司 | 远程接入本地网络的方法和装置 |
KR101588887B1 (ko) * | 2009-02-09 | 2016-01-27 | 삼성전자주식회사 | 멀티-홉 기반의 인터넷 프로토콜을 사용하는 네트워크에서 이동 노드의 이동성 지원 방법 및 그 네트워크 시스템 |
KR101524316B1 (ko) * | 2009-02-09 | 2015-06-01 | 삼성전자주식회사 | 6LoWPAN 기반의 MANEMO 환경에서 통신 경로 최적화를 지원하기 위한 방법 |
US9185552B2 (en) * | 2009-05-06 | 2015-11-10 | Qualcomm Incorporated | Method and apparatus to establish trust and secure connection via a mutually trusted intermediary |
WO2011003004A1 (en) * | 2009-07-01 | 2011-01-06 | Zte Corporation | Femto access point initialization and authentication |
CN102056140B (zh) * | 2009-11-06 | 2013-08-07 | 中兴通讯股份有限公司 | 机器类通讯终端信息的获取方法和系统 |
CN102123485A (zh) * | 2010-01-08 | 2011-07-13 | 中兴通讯股份有限公司 | Csg id及基站类型的指示方法、csg id指示的获取方法 |
JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
EP2405678A1 (en) * | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
EP2378802B1 (en) * | 2010-04-13 | 2013-06-05 | Alcatel Lucent | A wireless telecommunications network, and a method of authenticating a message |
EP2578052A1 (en) * | 2010-06-01 | 2013-04-10 | Nokia Siemens Networks OY | Method of connecting a mobile station to a communications network |
US20130104207A1 (en) * | 2010-06-01 | 2013-04-25 | Nokia Siemens Networks Oy | Method of Connecting a Mobile Station to a Communcations Network |
US9668199B2 (en) * | 2010-11-08 | 2017-05-30 | Google Technology Holdings LLC | Wireless communication system, method of routing data in a wireless communication system, and method of handing over a wireless communication device, having an established data connection to a local network |
US8910300B2 (en) * | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
TWI452472B (zh) * | 2011-01-27 | 2014-09-11 | Hon Hai Prec Ind Co Ltd | 存取閘道器及其提供雲存儲服務方法 |
US9076013B1 (en) * | 2011-02-28 | 2015-07-07 | Amazon Technologies, Inc. | Managing requests for security services |
CN102724102B (zh) | 2011-03-29 | 2015-04-08 | 华为技术有限公司 | 与网管系统建立连接的方法、设备及通信系统 |
US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
US20130114463A1 (en) * | 2011-11-03 | 2013-05-09 | Futurewei Technologies, Inc. | System and Method for Domain Name Resolution for Fast Link Setup |
EP2781071A1 (en) * | 2011-11-14 | 2014-09-24 | Fon Wireless Limited | Secure tunneling platform system and method |
US20140156819A1 (en) * | 2012-11-30 | 2014-06-05 | Alexandros Cavgalar | Communications modules for a gateway device, system and method |
FR2985402B1 (fr) * | 2011-12-29 | 2014-01-31 | Radiotelephone Sfr | Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe |
WO2013109417A2 (en) * | 2012-01-18 | 2013-07-25 | Zte Corporation | Notarized ike-client identity and info via ike configuration payload support |
EP2683186A1 (en) * | 2012-07-06 | 2014-01-08 | Gemalto SA | Method for attaching a roaming telecommunication terminal to a visited operator network |
US9414273B2 (en) | 2012-08-08 | 2016-08-09 | At&T Intellectual Property I, L.P. | Inbound handover for macrocell-to-femtocell call transfer |
US9270621B1 (en) | 2013-02-25 | 2016-02-23 | Ca, Inc. | Securely providing messages from the cloud |
CN107196834B (zh) | 2013-07-12 | 2021-08-13 | 华为技术有限公司 | 报文处理方法及设备 |
US10728287B2 (en) | 2013-07-23 | 2020-07-28 | Zscaler, Inc. | Cloud based security using DNS |
US9531565B2 (en) * | 2013-12-20 | 2016-12-27 | Pismo Labs Technology Limited | Methods and systems for transmitting and receiving packets |
KR102108000B1 (ko) * | 2013-12-23 | 2020-05-28 | 삼성에스디에스 주식회사 | 가상 사설망 접속 제어 시스템 및 방법 |
EP3111716A1 (en) | 2014-02-24 | 2017-01-04 | Telefonaktiebolaget LM Ericsson (publ) | Method for accessing local services in wlans |
KR20150116170A (ko) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 |
JP5830128B2 (ja) * | 2014-04-11 | 2015-12-09 | 西日本電信電話株式会社 | 通信システム、アクセスポイント装置、サーバ装置、ゲートウェイ装置及び通信方法 |
US10257701B2 (en) * | 2014-06-24 | 2019-04-09 | Google Llc | Methods, systems, and media for authenticating a connection between a user device and a streaming media content device |
US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
CN107005534B (zh) * | 2014-12-04 | 2020-07-14 | 瑞典爱立信有限公司 | 一种安全连接建立的方法和装置 |
WO2017106695A2 (en) | 2015-12-16 | 2017-06-22 | Gracenote, Inc. | Dynamic video overlays |
JP6113320B1 (ja) * | 2016-03-15 | 2017-04-12 | 株式会社リクルートホールディングス | 広告提供システムおよびプログラム |
EP3454583B1 (en) * | 2016-06-01 | 2021-03-03 | Huawei Technologies Co., Ltd. | Network connection method, and secure node determination method and device |
EP3580901B1 (en) * | 2017-02-09 | 2021-07-28 | Cumulocity GmbH | Connection apparatus for establishing a secured application-level communication connection |
WO2019043827A1 (ja) * | 2017-08-30 | 2019-03-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体 |
CN112997454B (zh) * | 2018-09-10 | 2023-08-25 | 皇家Kpn公司 | 经由移动通信网络连接到家庭局域网 |
US11190490B2 (en) * | 2018-10-02 | 2021-11-30 | Allstate Insurance Company | Embedded virtual private network |
CN109548022B (zh) * | 2019-01-16 | 2021-07-13 | 电子科技大学中山学院 | 一种移动终端用户远程接入本地网络的方法 |
CN112104476B (zh) * | 2020-07-22 | 2023-06-06 | 厦门锐谷通信设备有限公司 | 一种广域网网络组网自动智能配置的方法和系统 |
KR102514618B1 (ko) * | 2022-04-26 | 2023-03-29 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
Family Cites Families (64)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7761910B2 (en) | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
US6061650A (en) | 1996-09-10 | 2000-05-09 | Nortel Networks Corporation | Method and apparatus for transparently providing mobile network functionality |
JP3746631B2 (ja) | 1999-03-23 | 2006-02-15 | オリンパス株式会社 | 超音波手術装置 |
US6654792B1 (en) * | 2000-02-28 | 2003-11-25 | 3Com Corporation | Method and architecture for logical aggregation of multiple servers |
US7554967B1 (en) | 2000-03-30 | 2009-06-30 | Alcatel-Lucent Usa Inc. | Transient tunneling for dynamic home addressing on mobile hosts |
US8250357B2 (en) * | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
US7421736B2 (en) | 2002-07-02 | 2008-09-02 | Lucent Technologies Inc. | Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network |
TWI232051B (en) * | 2002-08-09 | 2005-05-01 | Quanta Comp Inc | System and method for supporting mobile internet protocol using multiple separate tunnels |
US20040103311A1 (en) * | 2002-11-27 | 2004-05-27 | Melbourne Barton | Secure wireless mobile communications |
US20040141601A1 (en) | 2003-01-22 | 2004-07-22 | Yigang Cai | Credit reservation transactions in a prepaid electronic commerce system |
US7756042B2 (en) | 2003-02-26 | 2010-07-13 | Alcatel-Lucent Usa Inc. | Bandwidth guaranteed provisioning in network-based mobile virtual private network (VPN) services |
JP2004274184A (ja) * | 2003-03-05 | 2004-09-30 | Ntt Docomo Inc | 通信システム、無線通信装置、通信装置及び通信方法 |
US7665132B2 (en) | 2003-07-04 | 2010-02-16 | Nippon Telegraph And Telephone Corporation | Remote access VPN mediation method and mediation device |
WO2005069577A1 (en) | 2004-01-15 | 2005-07-28 | Interactive People Unplugged Ab | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
JP4342966B2 (ja) * | 2004-01-26 | 2009-10-14 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
US20060062206A1 (en) * | 2004-09-23 | 2006-03-23 | Vijayaraghavan Krishnaswamy | Multi-link PPP over heterogeneous single path access networks |
JP2006148661A (ja) | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
US20060130136A1 (en) * | 2004-12-01 | 2006-06-15 | Vijay Devarapalli | Method and system for providing wireless data network interworking |
US7468966B2 (en) * | 2004-12-30 | 2008-12-23 | Motorola, Inc. | Method and apparatus for performing neighbor tracking in a wireless local area network |
CN101160988B (zh) | 2005-02-01 | 2011-11-23 | Exs有限公司 | 用于无线接入的分层网格网络 |
WO2006121278A1 (en) | 2005-05-10 | 2006-11-16 | Lg Electronics Inc. | Method and apparatus for relaying remote access from a public network to a local network |
US7739728B1 (en) | 2005-05-20 | 2010-06-15 | Avaya Inc. | End-to-end IP security |
US20090113073A1 (en) * | 2005-06-07 | 2009-04-30 | Nec Corporation | Remote access system and its ip address assigning method |
US7733824B2 (en) | 2005-06-23 | 2010-06-08 | Nokia Corporation | Fixed access point for a terminal device |
US20070060147A1 (en) * | 2005-07-25 | 2007-03-15 | Shin Young S | Apparatus for transmitting data packets between wireless sensor networks over internet, wireless sensor network domain name server, and data packet transmission method using the same |
EP1911316B1 (en) * | 2005-08-01 | 2017-09-06 | Ubiquisys Limited | Handover information sent over a public wide area network (e . g . internet) |
CN1956424A (zh) * | 2005-10-26 | 2007-05-02 | 德赛电子(惠州)有限公司 | 基于分布式网关的通信方法及应用 |
GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
US20070213057A1 (en) * | 2006-03-08 | 2007-09-13 | Interdigital Technology Corporation | Method and apparatus for supporting routing area update procedures in a single tunnel gprs-based wireless communication system |
US8037303B2 (en) * | 2006-03-13 | 2011-10-11 | Cisco Technology, Inc. | System and method for providing secure multicasting across virtual private networks |
US7593377B2 (en) * | 2006-03-29 | 2009-09-22 | Cisco Technology, Inc. | Route optimization for a mobile IP network node in a mobile ad hoc network |
US8843657B2 (en) * | 2006-04-21 | 2014-09-23 | Cisco Technology, Inc. | Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site |
US7941144B2 (en) * | 2006-05-19 | 2011-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control in a mobile communication system |
US8184530B1 (en) * | 2006-09-08 | 2012-05-22 | Sprint Communications Company L.P. | Providing quality of service (QOS) using multiple service set identifiers (SSID) simultaneously |
JP4763560B2 (ja) | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
US8073428B2 (en) | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
US8533454B2 (en) | 2006-09-25 | 2013-09-10 | Qualcomm Incorporated | Method and apparatus having null-encryption for signaling and media packets between a mobile station and a secure gateway |
JP4629639B2 (ja) | 2006-09-29 | 2011-02-09 | 富士通株式会社 | パケット中継装置 |
WO2008047140A1 (en) * | 2006-10-19 | 2008-04-24 | Vodafone Group Plc | Controlling the use of access points in a telecommunications network |
WO2008054270A1 (en) | 2006-10-31 | 2008-05-08 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and arrangement for enabling multimedia communication with a private network |
US7483889B2 (en) | 2006-12-01 | 2009-01-27 | Cisco Technology, Inc. | Instance-based authorization utilizing query augmentation |
KR100901790B1 (ko) * | 2006-12-04 | 2009-06-11 | 한국전자통신연구원 | IPv4 네트워크 기반 IPv6 서비스 제공시스템에서의 제어 터널 및 다이렉트 터널 설정 방법 |
US7926098B2 (en) * | 2006-12-29 | 2011-04-12 | Airvana, Corp. | Handoff of a secure connection among gateways |
WO2008090519A2 (en) * | 2007-01-23 | 2008-07-31 | Nokia Corporation | Relaying a tunneled communication to a remote access server in a upnp environment |
US8019331B2 (en) | 2007-02-26 | 2011-09-13 | Kineto Wireless, Inc. | Femtocell integration into the macro network |
JP5166453B2 (ja) | 2007-03-08 | 2013-03-21 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線システム内のユーザ装置のサービスエリア識別子を選択するための方法および装置 |
WO2008110215A1 (en) * | 2007-03-15 | 2008-09-18 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for providing local breakout in a mobile network |
US7990912B2 (en) * | 2007-04-02 | 2011-08-02 | Go2Call.Com, Inc. | VoIP enabled femtocell with a USB transceiver station |
FI20075252A0 (fi) * | 2007-04-13 | 2007-04-13 | Nokia Corp | Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema |
EP1983771B1 (en) | 2007-04-17 | 2011-04-06 | Alcatel Lucent | A method for interfacing a Femto-Cell equipment with a mobile core network |
JP4613926B2 (ja) | 2007-04-19 | 2011-01-19 | 日本電気株式会社 | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム |
US8131994B2 (en) * | 2007-06-01 | 2012-03-06 | Cisco Technology, Inc. | Dual cryptographic keying |
US8184538B2 (en) * | 2007-06-22 | 2012-05-22 | At&T Intellectual Property I, L.P. | Regulating network service levels provided to communication terminals through a LAN access point |
US8132247B2 (en) | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
US8335490B2 (en) * | 2007-08-24 | 2012-12-18 | Futurewei Technologies, Inc. | Roaming Wi-Fi access in fixed network architectures |
US8254382B1 (en) * | 2007-09-24 | 2012-08-28 | Zte (Usa) Inc. | Location preference indicator in network access identifier |
US9775096B2 (en) * | 2007-10-08 | 2017-09-26 | Qualcomm Incorporated | Access terminal configuration and access control |
US9167505B2 (en) * | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
WO2009055827A1 (en) | 2007-10-25 | 2009-04-30 | Starent Networks, Corp. | Interworking gateway for mobile nodes |
US8544080B2 (en) * | 2008-06-12 | 2013-09-24 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile virtual private networks |
US8462770B2 (en) * | 2008-08-04 | 2013-06-11 | Stoke, Inc. | Method and system for bypassing 3GPP packet switched core network when accessing internet from 3GPP UES using 3GPP radio access network |
CN102217243B (zh) | 2008-11-17 | 2015-05-20 | 高通股份有限公司 | 远程接入本地网络的方法和装置 |
US8316091B2 (en) | 2008-12-01 | 2012-11-20 | At&T Mobility Ii Llc | Content management for wireless digital media frames |
-
2009
- 2009-11-16 EP EP12151776A patent/EP2448184A1/en not_active Withdrawn
- 2009-11-16 KR KR1020137030688A patent/KR101358897B1/ko not_active IP Right Cessation
- 2009-11-16 KR KR1020117013999A patent/KR101358832B1/ko not_active IP Right Cessation
- 2009-11-16 EP EP09756622A patent/EP2364535A2/en not_active Withdrawn
- 2009-11-16 US US12/619,174 patent/US8996716B2/en not_active Expired - Fee Related
- 2009-11-16 CN CN200980145719.1A patent/CN102217244B/zh not_active Expired - Fee Related
- 2009-11-16 EP EP12151784.1A patent/EP2451124B1/en not_active Not-in-force
- 2009-11-16 WO PCT/US2009/064648 patent/WO2010057130A2/en active Application Filing
- 2009-11-16 JP JP2011536573A patent/JP5611969B2/ja not_active Expired - Fee Related
- 2009-11-17 TW TW098139039A patent/TW201026130A/zh unknown
-
2013
- 2013-03-04 JP JP2013041675A patent/JP2013179592A/ja not_active Withdrawn
- 2013-03-04 JP JP2013041674A patent/JP2013192221A/ja not_active Withdrawn
-
2014
- 2014-10-15 US US14/514,916 patent/US20150033021A1/en not_active Abandoned
-
2015
- 2015-03-09 JP JP2015046058A patent/JP6017610B2/ja not_active Expired - Fee Related
- 2015-04-30 JP JP2015093213A patent/JP5956015B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2010057130A3 (en) | 2010-08-19 |
KR20110086746A (ko) | 2011-07-29 |
CN102217244A (zh) | 2011-10-12 |
US20100125899A1 (en) | 2010-05-20 |
KR101358832B1 (ko) | 2014-02-10 |
EP2448184A1 (en) | 2012-05-02 |
TW201026130A (en) | 2010-07-01 |
KR20130133096A (ko) | 2013-12-05 |
EP2451124A1 (en) | 2012-05-09 |
JP5611969B2 (ja) | 2014-10-22 |
EP2451124B1 (en) | 2013-12-18 |
JP2015173476A (ja) | 2015-10-01 |
CN102217244B (zh) | 2014-11-26 |
JP6017610B2 (ja) | 2016-11-02 |
US8996716B2 (en) | 2015-03-31 |
JP2015159545A (ja) | 2015-09-03 |
KR101358897B1 (ko) | 2014-02-05 |
JP2013179592A (ja) | 2013-09-09 |
EP2364535A2 (en) | 2011-09-14 |
US20150033021A1 (en) | 2015-01-29 |
JP2012509621A (ja) | 2012-04-19 |
JP2013192221A (ja) | 2013-09-26 |
WO2010057130A2 (en) | 2010-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5956015B2 (ja) | セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス | |
JP5722228B2 (ja) | ローカルネットワークへのリモートアクセス | |
US10251114B2 (en) | Local IP access scheme | |
JP2012531826A (ja) | 許可csgリスト及びvplmn自律csgローミングの管理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160517 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160615 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5956015 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |