TW201026130A

TW201026130A - Remote access to local network via security gateway

Info

Publication number: TW201026130A
Application number: TW098139039A
Authority: TW
Inventors: Peerapol Tinnakornsrisuphap; Anand Palanigounder; Ranjith S Jayaram; Lakshminath R Dondeti; Jun Wang
Original assignee: Qualcomm Inc
Priority date: 2008-11-17
Filing date: 2009-11-17
Publication date: 2010-07-01
Also published as: KR101358832B1; JP5611969B2; KR101358897B1; US8996716B2; CN102217244A; EP2451124B1; WO2010057130A2; EP2451124A1; CN102217244B; EP2364535A2; US20100125899A1; KR20110086746A; WO2010057130A3; JP2013192221A; JP2012509621A; JP2015159545A; JP5956015B2; JP2015173476A; US20150033021A1; JP2013179592A

Description

201026130 六、發明說明：請求優先權本專利申請案請求享有下列共同擁有的申請的權益和優先權：2008年11月17曰提出申請的美國臨時專利申請 No. 61/115，520，分配的代理案號爲 No. 0903 3 1P1 ; 2009 年 1月16曰提出申請的美國臨時專利申請No· 61/145,424，分配的代理案號爲No· 09033 1P1 ; 2009年2月6曰提出申請的 $美國臨時專利申請No· 61/150,624，分配的代理案號爲No. 09033 1P2 ;以及2009年3月27曰提出申請的美國臨時專利申請No. 61/164,292，分配的代理案號爲ν〇· 090331P4 ;以引用方式將這些臨時申請的公開内容併入本案。相關申請的交叉引用

本案涉及同時遞交且共同擁有的、名稱爲「REMOTE ACCESS TO LOCAL NETWORK」的專利中請號 98139〇43， ©分配的代理案號爲No. 09033 ΙΙΠ，以引用方式將該申請的公開内容併入本案。【發明所屬之技術領域】本案主要涉及無線通訊’更具體且非排它地涉及提高通訊性能。【先前技術】 201026130 種類：通二網路被廣泛地應用，以便爲多個用戶提供各種類生的通訊（例如，語音、資、剩·*·、*农多媒體服務等）。隨著對同速率和多媒體服務的需求的古告疋3長，實現具有增强性能的同效了靠的通訊系統成爲了一種挑戰。爲了給傳統行動電話網路補充存取點，可以使用小覆點（例如，安裝在用戶家庭幻來給行動存取終端提供更穩健的室内無線覆蓋。這種小覆蓋存取點可以稱爲毫微微存取點、存取點基地台、家用演進節點”、ΝΒ」）、家用節點B或者家用毫微微。通常，這種小覆蓋存取點經由 DSL路由H或者有線數據機連接_際網路和行動服務供應商的網路。在某些情況下，可以在與小覆蓋存取點相同的位置部署一個或者多個本地服務。例如，用戶可能擁有支援本地電腦、本地印表機、條器和其他元件的家用網路。在這種情況下’可能希望經由小覆蓋存取點存取這些本地服務。例 •如，用戶在家時可能希望使用他或她的手機存取到本地印表機。通常，公共網際網路上的節點可能無法發起與家用網路中的設備的通訊，因爲家用網路中的設備被家用路由器中的防火牆和網路位址轉換器（NAT)所保護。.因此，需要提供有效而且實際的方法來遠端存取本地網路。【發明内容】下面提供了本發明公開内容示範態樣的概要。在本文 6 201026130 的討論中，任何提到術語「態樣」的地方指的是本案内容的一個或者多個態樣。本案内容在某些態樣涉及：使用多個協定隧道（例如， IPsec隧道）使連接到網路（例如，服務供應商網路、網際網路等）的存取終端能夠存取與毫微微存取點相關聯的本地網路。第一協定隧道建立在安全閘道和毫微微存取點之間。第二協定隧道使用兩種方式中的任一種來建立。在某些實現中，第二協定隧道建立在存取終端和安全閘道之間。在其他實現中，第二協定隧道建立在存取終端和毫微微存取點之間，從而，該隧道的一部分藉由第一隧道來路由。藉由使用這些方案，即使存取終端沒有在空中 (over-the-air)與毫微微存取點連接，存取終端也可以到達與毫微微存取點處於同一域中的本地網際網路協定（ιρ)網路或者伺服器。 ❿【實施方式】下面描述了本案内容的各個態樣。顯然，本文的教導可以體現爲許多不同的形式，而且本文公開的任何具體結構、功旎或兩者僅僅是作爲代表。基於本文的教導本領域技藝人士應該理解，本文公開的某一個態樣可以與任何其他態樣獨立地實現，而且這些態樣中的兩個或者多個可以以各種方式組合。例如’可以使用本文提供的許多態樣來實現〜種裝置或實施-種方法。另外，可以使用本文提供的—個或 7 201026130 者多個態樣之外來實現這種裝置請求項的至少_ 的或不同的其他結構、功能、或結構和功能或實施這種方法。而且，一個態樣可以包括個要素》圖圖示示範通訊系統100的若干節點（例如，通訊 •網路的分）。以舉例說明爲目的，在相互通訊的一個或、者多個存取終端、存取點以及網路節點的背景下，對本發明公開内容的各個態樣進行描述。然而，需要理解的是，本文豢所教導的内容也適用於使用其他術語引用的其他類型裝置或者其他類似裝置。例如，在各種實現甲，存取點可以稱爲或者實現爲基地台或者演進節點Β，存取終端可以稱爲或者實現爲用戶設備或者行動設備，等等。系統100中的存取點爲一個或者多個無線終端（例如，存取終端102)提供一種或者多種服務（例如，網路連接），該一個或者多個無線終端可以安裝在系統1〇〇的覆蓋區域内或者在該區域内漫遊。舉例來說，在不同的時間點，存取終粵端102會連接到存取點1〇6 (例如，與本地網路相關聯的毫微微存取點）或者其他存取點（例如，巨集存取點，蘭〗由 JS| 1 | 未示出）。這些存取點中的每一個存取點都可以與—個戋者多個網路節點通訊’從而促進廣域網路的連接。這些網路節點可以採取各種形式，例如，一個或者多個無線及/或核心網路實體。這樣，在各種實現中，網路節點可以提供諸如以下功能中的至少一個：網路管理（例如，經由運營、管理、監管和供應實體）、通話呼叫控制、會話管理、行動性管理、閘道功能、互聯功能或者一些其他合適的 8 201026130 網路功此。在圖i的例子中，示範網路節點表示爲：公共交換資料網路（PSDN)刚、服務供應商核心網路t 110、安全閘道112 (例如’毫微微安全閘道）以及認證伺服器"4 (例如’還、證、授權和計費（AAA )實體；探訪位置暫存器 (VLR)或者歸屬位置暫存器（hlr))。

系統1〇〇中的節點可以使用各種方式來互相通訊。根據其位置，存取終端102可以與ιρ網路11〇 (例如，到P 網路110的存取點，圖中未示出）或者存取點106通訊。在圖1的例子中，存取終端1()2 (例如’經由無線或者有線連接）連接到由通訊鏈路i 18所表示的Ip網路丨1〇。存取點106 可以連接到由通訊鏈路122所表示的路由器120，路由器120 可以連接到由通訊鏈路126所表示的網際網路124，安全閘道112可以連接到由通訊鏈路i28所表示的網際網路1，而且安全閘道112可以連接到由通訊鏈路13〇所表示的π 網路11 0。藉由使用這些通訊鏈路，存取終端1〇2可以與系統工⑼ 中的各個節點通訊。當存取終端102連接到Ιρ網路時，存取終端102可以例如經由服務供應商核心網路（例如，果網路的核心網路）或某個其他網路來存取服務。 <像，存取終端102可以與其他存取終端和其他網路通訊。當存取終端102連接到存取點1〇6時，存取終端口存取本地網路上的節點，其中存取點106與—個七 ^ 欺*者多個本地節點（由本地節點134表示）一起位於該本地網路中地節點134可以代表與存取點106位於同_ τρ工 U子網路（例 201026130 如，路由器120所服務的區域網路）中的設備。在這種情況下，存取本地網路可以包括存取本地印表機、本端伺服器、本地電腦、另一存取終端、設備（例如，安全攝像機，空調等）或者IP子網路中的某個其他實體。當存取終端1〇2連接到存取點106時，存取終端丨02可以在不經過服務供應商核心網路11 0的情況下存取本地網路。這樣，當存取終端1 〇2 在例如家用網路或者某個其他本地網路中時，可以高效存取某些服務。當存取終端1 02連接到某個其他存取點（例如，存取終端102在另一個網路中遠端操作）時，存取終端1〇2可能會因爲路由器120上的防火牆而無法方便地存取本地網路。在隨後的討論中’描述了使存取終端能夠遠端存取本地網路的兩種架構。圖1和圖2描述了使用兩個協定隧道的一種架構，其中每個協定随道終止於安全閘道112〇第一協定隧道建立於參安全閘道112和存取點106之間。第二協定隧道建立於安全閘道11 2和存取終端1 〇2之間。圖4和圖5描述了使用兩個協定隧道的另一種架構，其中每個協定隧道終止於存取點106。第一協定隧道建立於安全閘道112和存取點1〇6之間。第二協定隧道建立於存取點106和存取終端1〇2之前，其中第二協定隧道的一部分建立在第一協定隧道内。在某些態樣’這些架構可以利用ip埠來啓用遠端存取，其中該IP埠由建立於安全閘道u 2和存取點i 〇6之間的 201026130 協定隧道打開。在圖1的架構中，安全閘道丨12檢查到經由隧道從存取終端102接收的封包，並且將這些封包穿過隧道轉發到存取點106。在圖4的架構中，安全閘道簡單地將隧道入站封包（tunneled inbound packet )從存取終端1 〇2穿過隧道路由到存取點1 06，反之亦然。有利地’這些架構可以與傳統的毫微微存取點實現之間有良好的協作關係。舉例來說，支援本地IP存取的毫微微籲存取點可能已經支援爲存取終端分配本地ip位址，並執行代理位址解析協定（ARP )功能。此外，毫微微存取點與其毫微微安全閘道之間可能已經有了一個永久性的ipsec隧道，該隨道穿過毫微微存取點和毫微微安全閘道之間的任何網路位址轉換（NAT)。此外，可能不需要爲遠端存取終端的存取（例如’爲認證、授權和安全ipsec隧道）提供額外的認證資訊（例如，認證資訊）。遠端存取的認證資訊可以使用存取終端與本地（例如’家用）網路或服務供應商網路共 ❹享的現有認證資訊中的一個來導出。下列實施細節可以與所描述的架構一起使用。服務供應商可以提供遠端IP存取作爲基於訂購的附加服務（add_on service )。在毫微微存取點處可以使用諸如DHCP/ARP能力來支援遠端IP存取。可以將特定存取終端可以到達的毫微微存取點被配置爲家用認證伺服器中存取終端（訂購）簡標 (profile )的一部分。毫微微存取點可以用毫微微識別符或者域（realm )(即對於企業部署中的毫微微存取點群組有用者）來標識。用戶可以在存取終端處依須求啓動服務（例如， 201026130 藉由點擊「我的家用服務」）。考圖1現在將詳細描述本架構的示範態樣。安全問道112作爲與存取終端102建立的協㈣道的虛擬專用網路（VPN)閘道。扁阁,士 . 逷在圖1中，存取終端102和安全閘道112 之間的訊務流（例如，經由鏈路"8和13〇)由虛線136表不’訊務流經由藉由線對138表示的協定隨道（例如，心κ 隨道）來路由。此處，存取終端發送的封包的内部來源位址和目的位址有本地網路位址（例如，由路由器12〇分配），而外部的來源位址和目的位址將分別是例如存取終端1〇2的巨集IP位址和安全閘道1丨2的ip位址。安全閘道112將從存取終端1〇2接收到的任何封包經由在存取點106建立的協定隧道轉發到存取點1〇6。在圖1 中，安全閘道112和毫微微存取點j 〇6之間的訊務流（例如，經由鏈路128、126和120)由協定隧道（例如，IPsee隧道）中的虛線140表示，該協定隧道由線對142來表示。在該隧參道中’存取終端發送的封包的内部來源位址和目的位址也是上段讨論的本地網路位址’而外部來源位址和目的位址將例如由隧道142來定義。使用合適的演算法來利用認證伺服器114 (例如，家用 AAA )進行存取終端認證。例如，某些實現會使用IKEv2 ΕΑΡ-AKA或者IKEv2 PSK (例如，重用存取終端現有的IP 訂購認證資訊，例如，由服務供應商配置）。毫微微存取點可以提供DHCP服務功能，其中安全閘道112會請求本地IP 作爲IKEv2的一部分分配給存取終端。 12 201026130 女全閘道1 12將選擇的封包從存取點i 〇6轉發到存取終端102(例如，根據轉發策略或者目標位址）。經由存取終端102的巨集ip位址，可到達安全閘道112。藉由使用上述方案，存取終端102可以使用任何可用的ιρ連接用於遠端 IP存取。在某些實現中（例如，當存取終端1〇2所處的遠端網路不是存取點106的服務供應商網路時），在將來自存取點 1〇6的封包路由到存取終端1〇2時會發生位址衝突。爲解決這個問題’將爲隨道142定義單獨的子安全聯盟（CSA)。例如，第一 CSA可以用於對存取點106發來的、發往存取終端1 的訊務（例如，遠端Ip存取訊務）進行路由。第二 CSA則可以用於對存取點1()6發來的、發往服務供應商核心網路110的訊務進行路由。根據從哪個CSA上接收到封包，安全閘道112可以決定將從存取點1()6#收到的封包路由到 2里。在此處使用CSA可能較有利，因爲無須定義另一個唯的協定隧道，而且可以重用隧道142的認證資訊。操作。爲方便起見，圖2的操作（或者本文所討論或教導的 :何其他操作）可以被描述爲由㈣元件（例如，系統_ 二件：執行。然而需要理解的是，這些操作可以由其他類理二：執仃’而且可以使用不同數目的元件執行。還需要個操作?’在特定實現中可能不會用到本文所描述的-或多如方塊 202所示，在某個時間點（例如，當使用存取 13 201026130 點106時），在安全閘道112和存取點1〇6之間建立了第一協定隧道。此處，安全閘冑112和存取點1〇6分別執行相應的操作來建立協定隧道。這將包括例如交換訊息來分配密鑰，該密鑰用於加密和解密在協定隧道142上傳送的資訊。此外，如上所述，可以爲該協定隧道建立csA。如方塊204所示，在某個時間點，存取終端102獲得認證資訊。例如，存取終端1〇2首次配置時，存取終端1〇2 籲的無線服務供應商可以分配認證資訊。如方塊206所示，在某個時間點，存取終端】〇2可以識別本地網路上的存取點（例如，存取點1〇6)。例如當运些設備中的任一個被配置時，可以將存取終端i 〇2與家用毫微微存取點關聯起來。如方塊208所示，在某個時間點，存取終端1〇2發現與存取點106相關聯的安全閘道。例如，存取終端1〇2可能在存取點106的無線覆蓋範圍之外，但能夠連接到某個其他 β網路（例如，無線服務供應商的巨集網路）。在這種情況下，存取終端1〇2會試圖對與存取點1〇6相關聯的安全閘道進行定位，這樣存取終端1〇2就可以存取其本地網路。如結合圖 3詳細討論的，這將包括如下的操作··存取終端iQ2向一個或者多個安全閘道發送訊息，來尋找已與存取點1〇6建立了隨道的安全閘道。結合該訊息，存取終端1()2將其認證資訊發送給該安全閘道。安全閘道隨後採取適當行動來對認證資訊進行認證（例如，藉由與認證飼服器114進行通訊）。例如’安全閘道可以將存取終端1G2的訂講資訊發送給認證飼 201026130 服器114 °認證㈣器114維護著毫微微存取點的列表，可以作爲存取終端102的一部分訂講簡標（subscripti〇n profile )來存取該列表（即’存取終端的訂購簡播決定特定用戶是否被授權使用特定的毫微微存取點）。根據認證期間接收到的識別符（例如，NAI)(例如，根據存取終端1〇2 發送、女王閘道112的訊息所獲得的識別符），認證伺服器 114返回一個或者多個毫微微識別符給安全閘道，例如，識 ❹別允許存取終端102存取的毫微微存取點（假設存取終端1〇2 認證成功）。接收到的識別符還可以額外地包含（例如，隱含或者已經嵌入）存取终端要存取的毫微微存取點的標識 (例如’作爲部分NAI來包含）。如果返回了多個毫微微識別符，則安全閘道對毫微微識別符進行選擇（例如，根據到毫微微存取點的iPsec隧道的可用性，以及存取終端1〇2所表明的任何優先偏好）。在安全閘道已經建立了到存取點ι〇6 的隧道（例如，存取終端102已經對安全閘道丨12進行了查 ®詢）而且存取終端1〇2的認證資訊已經被認證的情況下，安全閘道向存取終端發送回應，並且這些實體開始對協定隧道 1 3 8進行設置。如方塊210所示，結合對協定隧道138進行設置，獲得了存取終端102在本地網路上的位址。例如，安全閘道i i 2 可以向存取點106發送訊息來為存取終端1〇2請求本地位址。作爲一個例子，在用於遠端IP存取的CSA中，安全閘道Π2經由隧道142向存取點1〇6發送DHCP請求或者路由器請求（router solicitation)，以爲存取終端102請求遠端 15 201026130 IP位址。存取點1 06隨後向路由器1 20發送對該本地位址的請求。一旦存取點1 06得到了本地位址，存取點1 06將該本地位址發送給安全間道1 12。安全閘道1 12隨後將本地位址轉發給存取終端102(例如，一旦建立了協定隧道138)。例如，可以經由IKE_AUTH訊息將所分配的位址發送給存取終端102。如方塊212所示，安全閘道112和存取終端1〇2各自籲辑行相應的操作以建立隧道協定I38。這可以包括，例如，交換訊息來分配用於對在協定隧道i 3 8上傳送的資訊進行加密和解密的密餘。如方塊214所示，一旦建立了協定隧道U8，可以經由協定隧道138和142在存取終端1〇2和存取點1〇6之間路由封包。此處’安全閘道112將其經由一個隧道接收到的封包路由到另一個随道。這可以用多種方式完成。在某些情況下’在設置協定隧道的時候建立轉發策略。這樣，當經由指 Φ定隧道接收到封包時，根據策略來轉發該封包。此處，根據例如封裝（encapsulate)封包的IPsec協定標頭，安全間道 112可以識別來自指定隧道的封包。在某些情況下，安全閘道112檢查該封包以獲取該封包的來源（例如，存取終端ι〇2 ) 的識別符及/或目的端（例如，存取點丨〇6 )的識別符。安全閘道112隨後根據這些提取的識別符資訊來決定用於轉發封包的合適隨道。存取點106在隧道142和本地網路之間進行群組路由 '例如，當在存取點106處經由隧道142接收到封包時， 16 201026130 存取點106檢查該封包以識別該封包在本地網路上的目的地。存取點106然後將封包轉發到識別出的目的地。圖i圖示用於存取點106和本地網路的本地節點134之間的封包流的示範資料路徑144 (例如，經由路由器i 2〇 )。如上所述，爲了遠端存取與存取點關聯的本地網路，存取終端需要發現該存取點正在使用的安全閘道。此處，可以假設安全閘道是公眾可達的（例如，節點可以藉由公兵ιρ _到達該安全閘道）。圖3描述了兩種可用來發現安全閘道的技術。一種技術涉及網域名稱伺服器（DNS )解析和多次重試（multiple retries)。另一種技術涉及基於例如訂購資訊的安全閘道重定向。如方塊302所示，存取終端1〇2將已經識別出在本地網路上存取終端1 02希望存取的存取點。例如，如上文結合方塊206所述，存取終端102可以獲得家用網路中允許存取終端102存取的毫微微存取點的毫微微識別符。〇如方塊304所示，在使用DNS技術的實現令，存取終鳊102發送DNS查詢（query)，該DNS查詢中包含系統中一個或者多個安全閘道的指定網域名稱。回應該查詢的結果，存取終端102可以接收到一個或者多個安全閘道位址的列表。使用這種技術，存取終端1 〇2可以按順序嘗試連接每個IP位址。此處，只有正確的安全閘道會連接成功。如果找到了正確的安全閘道，存取終端可以如下面所述緩存該安全問道的位址資訊。實際上，爲了負載均衡，DNS伺服器返回的位址通常是以循環方式（round robin fashion )隨機化的。 17 201026130 因此，如果使用這種技術，單個安全閘道不大可能經常受到「衝擊」。如方塊306所示’存取終端〗〇2發起發現安全閘道。在使用DNS技術的情況下，存取終端此時會使用從DNS查詢獲得的位址。無論是用什麼技術，存取終端1〇2都會發訊息給選定的安全閘道以決定該安全閘道是否已經建立到存取點106的隧道。如方塊308所示，選定的安全閘道從存取 φ 終端102接收該訊息。如方塊3 1 0所示，安全閘道決定是否已經和存取點1 〇6 建立了隧道。例如，根據從認證伺服器u 4接收到的一個或者多個毫微微識別符（例如，如上所示），安全閘道決定是否已經有到相應毫微微存取點的預設lpsec隧道。如方塊312所示’根據方塊310的決定，安全閘道向存取終端102發送合適的回應。如果随道已經設置，則可以建立隧道138。此處，如果 ®隨道142沒有與遠端Ip存取相關聯的csa，安全閘道112 會請求存取點106建立另一個cs A。安全閘道112隨後用隧道142將新的CSA連接到存取終端102。如方塊314所示，存取終端102隨後會維護安全閘道n 2的位址（例如，以及到存取點106的映射）’這樣存取終端i〇2以後可以避免搜尋該安全閘道。如果随道還沒有設置好，則安全閘道向存取終端1 〇2 發送合適的回應^。例如，在某些實現中，安全閘道會拒絕來自存取終端的請求（例如，經由使用IKEv2的合適錯謨碼）。 18 201026130 可替代地，在使用重定向技術的實現中，安全閘道可以將存取終端H)2重定向到正確的安全閘道。此處，服務供應商可以維護資料庫（例如，重定向資料庫146)，該資料庫將存取點識別符（例如，毫微微識別符）映射到安全問道位址H料庫被設爲對網路中的安全閘道來說可存取。這樣’該安全閘道會決定與指定存取點相關聯的正確安全閉道的位址，然後在回應中將該位址資訊發送給存取終端1〇2。 • 當在安全閘道處認證毫微微時，認證伺服器114可以保存安全位址供以後使用。此處，網路中的不同認證祠服器 (例如’家用AAA )可以具有某些方法以從網路中的其他認證飼服器（例如’毫微冑AAA)取得與毫微微識別符相關聯的安全閘道位址。例如，這些不同類型的認證伺服器可以在同一實體中實現或者共享同一資料庫。如方塊316所示，作爲拒絕或者重定向回應的結果，存取終端102開啟始現另一個安全閘道。例如，在使用重定 ❹向技術的實現中，存取終端102接下來可以存取在回應中提供的位址所對應的安全閘道。在使用DNS技術的實現中，存取終端102可以從位址列表中選擇下一個位址，該位址列表是在方塊304處獲得的。根據上述内容需要理解的是，不同的發現技術可以獨立使用，或者可以將多個發現技術組合使用。例如，由於存取終端不需要知道安全閘道是否能夠重定向，因此DNS技術和重定向技術可以組合使用。此外，如果安全閘道不對存取終端重定向，存取終端仍然可以自己嘗試下一個安全閘道ιρ 19 201026130 位址。參考圖4,現在將詳細描述系統4〇〇所示架構的示範態樣。系統400包括的元件類似於圖”的元件。具體地，存取終端402、存取點406、安全閘道412、通訊鏈路418 422、 426、428和430、路由器42〇以及網際網路424都與圖i中類似命名的元件相似。圖4還圖示一個例子，其中存取點4〇4 可以連接到通訊鏈路416所表示的PSDN4〇8，而psDN4〇8 ❹可以連接到通訊鏈路418所表示的服務供應商網路41〇。其他類型的網路連接也可以用於其他實現中（例如，如圖i所述）。如圖1中的系統1 〇〇 ’系統4〇〇使位置較遠的存取終端 402能夠存取本地網路，其中存取點4〇6位於該本地網路。而且，在典型場景中，存取點4〇6是存取終端4〇2的家用毫微微存取點或者允許存取終端4〇2存取的其他存取點。在本架構中’存取點406充當與存取終端402建立的 ®協定隧道的虛擬專用網路閘道。在圖4中，存取終端402和存取點406之間的訊務流由虛線436表示，訊務流經由藉由線對438表示的協定隧道（例如，Ipsec隧道）進行路由。此處’存取終端402發送的封包的内部來源位址和目的位址將具有本地網路位址（例如，由路由器420藉由充當存取終端402的代理ARP的存取點4〇6來分配），而外部來源位址和目的位址將分別是例如存取終端4〇2和存取點406的巨集 IP位址。安全閘道412和存取點406之間的訊務流經由藉由線 20 201026130 對448所表示的協定隧道（例如

Wsec隧道）來提供。此處，可以看出隧道438承载（例如， J 封褒或者分層）在隧道 448之内。這樣，從存取點4〇2到遠# & 幻逹女全閘道412的封包被插入隧道448中。相應地，本牟槿淬伞朱構沒有去除在前面段落中所描述的隧道438的外部標頭，該外邛椤农外碩包含外部來源位址和目的位址。相反地’另一組外部來源位址和目的位址被加入封包，而且例如將由隧道448來定義。這樣，當封包到達存取點406時，將㈣封包中的兩層隨道標頭，以便得到具有與本地網路相關聯的來源和目的位址的封包。 ❿ 反過來’從本地網路向存取終端4〇2發送封包時，存取點406對封包進行封裝用來經由隧道438進行傳輸，然後將封裝後的封包再次進行封裝用來經由隨道州進行傳輸。安全閘道4丨2隨後將去掉隨道448的標頭並將封包路由到存取終端術。在上述内容的基礎上，下面將參考圖5的流程圖對系統400令操作相關的更多細節進行描述。如方塊502所示，在某個時間點，在安全閑道412和存取點406之間建立第—協定隨道。安全閘道412和存取點 406分別執行相應的操作來建立協定隨道。㉟將包括例如：交換訊息來分配密鑰，該密鑰用於加密和解密協定隧道“8 上傳送的資訊。如方塊504所示，在某個時間點，存取終端樣和存取點交換認證資訊（例如，用於IKEv2 SA認證的共享認證資訊）。有利地，隧道的認證資訊不需要在存取終端4〇2中預先配置。 21 201026130 例如，在存取終端藉由存取點406藉由空中連接時，認證資訊可以在本地導出。此處，如果存取終端在藉由空中連接到存取點406時能夠經由存取點406存取本地網路，則存取終端402已經存取本地域中的任何IP主機。當存取終端位置較遠時，這種能力可能因此被保留。此處可以使用多種技術。例如，在第一種選擇中，當存取終端 402藉由空中進行本地連接時，可以進行在 Diffie-Hellman密鑰交換來產生預共享密鑰（PSK )。在第二種選擇中，當存取終端402藉由空中進行本地連接時，可以進行認證的 Diffie-Hellman密鑰交換來產生預共享密鑰 (PSK )。在這種情況下，在用戶訂購服務期間，可以將認證中所要用的秘密資訊（例如，密碼）提供給用戶。在 Diffie-Hellman交換期間，用戶可以在存取終端402上輸入該秘密資訊。存取點406從而在PPP認證和授權期間從網路 (例如，從AAA實體）獲取該秘密資訊。密鑰也可以使用〇 AAA交換來在網路處產生（其中存取點將其Diffie-Hellman 值發送給網路）。在Diffie-Hellman交換之後，存取終端402 和存取點共享PSK。在第三種選擇中，可以使用EAP-AKA (藉由PPP)產生MSK，然後MSK將作爲PSK來使用。在第四種選擇中，可以使用GBA來產生存取終端402和存取點 406之間的PSK。此處，存取點406起到了 NAF的作用，並且聯繫BSF進行自我啟動（bootstrapping)。在自我啟動程序的末尾，存取終端402和存取點406共享PSK。在存取終端遠端連接（例如，藉由巨集存取點或者毫 22 201026130 微微存取點）時，也可以導出認證資訊。例如，當存取終端處於巨集覆蓋時（例如，連接到巨集存取點404 )，在存取終端402和存取點406之間建立IKEv2 SA期間可以導出認證資訊。可以使用與上述選項相似的技術來導出共享密鑰。對於第一種和第二種選擇來說，可以在IKEv2 INIT_SA的 Diffie-Hellman交換期間產生PSK。對於第三種選擇來說，在ΙΚΕν期間進行EAP-AKA。對於第四種選擇來說，可以使用GBA，利用基於IKEv2的Ua ( NAF-UE )標準化協定。存取終端402可以藉由不同方式來獲取存取點406的 IP位址。在某些實現中，當存取點406登錄到網路時，可以在屬於服務供應商的私有DNS中給存取點406分配全合格網域名稱（FQDN，fully qualified domain name )。在這種情況下，存取終端可以使用這一 FQDN來聯繫存取點406。在某些實現中，當存取終端402藉由空中連接到存取點406時，存取可以知道存取點406的IP位址。 Φ 再次參考圖5，如方塊506所示，存取終端發現存取點 406，以用於存取希望的本地網路。這些操作與上述發現操作類似。如方塊5 08所示，結合建立第二協定隧道（隧道43 8)，得到了存取終端402在本地網路上的位址。如上所述，存取點406可以向路由器420發送對本地位址的請求。在某些情況下，存取點406隨後將本地位址發送給安全閘道4 12，安全閘道4 1 2轉而將本地位址轉發給存取終端402。如方塊510所示，存取點406和存取終端402各自進 23 201026130 行相應的操作，以建立第二協定隨道。這將包括例如：交換訊息來分配密錄’該密鑰用於加密和解密協定隧道438上傳送的資訊。如方塊512所示，一旦建立了協定隧道438，可以經由 • 協定隧道438和448在存取終端4〇2和存取點4〇6之間路由 t 封包。對於從存取終端402接收到的隧道封包，安全閘道41 2 封裝該封包以用於藉由隧道448傳輸。對於從存取點406接籲收利的封包，安全閘道412去掉用於隧道448的封裝，然後將随道封包發送給存取點406。如上所述，這可以使用轉發策略或者某個其他合適技術來完成。另外’如上所述，存取點406在隧道448、隧道438和本地網路之間路由封包。例如，當經由隧道在存取點4〇6處接收到封包時，存取點406檢查該封包以識別該封包在本地網路上的目的地。然後，存取點406將封包轉發到已識別的目的地。圖4圖示用於存取點406和本地網路的本地節點434 ❹之間的封包流的示範資料路徑444(例如，經由路由器42〇卜圖6圖示可以併入如下節點的若干示範元件：存取終端602、存取點604、安全閘道6〇6以及認證伺服器μ](例如，分別對應於存取終端102或4〇2、存取點1〇6或4〇6、安全閘道112或412、以及認證伺服器114)，來進行本文所教導的存取操作。所述元件也可以併入通訊系統中的其他節點。例如，系統中的其他節點可以包括與針對存取終端 6〇2、存取點6〇4以及安全閘道6〇6描述的那些元件相似的凡件，以用於提供相似的功能。指定節點可以包含—個戋者 24 201026130 多個所述70件。例如’存取終端可以包含多個收發機元件，其使存取終端能夠在多個頻率上運行及/或藉由不同技術進行通訊。如圖6所示，存取終端602和存取點604分別包括用於和其他節點通訊的收發機6〇8和收發機61〇。收發機包括用於發送信號（例如，發送給存取點）的收發機012和用於接收信號（例如，從存取點接收）的接收機614。類似參地，收發機610包括用於發送信號的發射機616和接收信號的接收機6 1 8。存取點604和網路節點6〇6還分別包括網路介面62〇和622，用於相互間通訊或者與其他網路節點通訊。例如，網路介® 620 # 622可以被配置爲經由有線或者無線回載與一個或者多個網路節點通訊。存取終端602、存取點604和安全閘道6〇6還包括可與本文所教導的存取操作結合使用的其他元件。例如，存取綠 ❹端㈤、存取點604、安全閘道6〇6和認證飼服器ιΐ4分別包含通訊控制器624、626、㈣和644，用於管理與其他節點的通訊（例如，處理和檢查封包、獲取認證資訊、獲取識別符、或者發送和接收封包、訊息、請求、位址、認證資訊、回應或查詢），以及用於提供如本文所教導的其他相關功能。此外，存取終端602、存取點6〇4和安全閉道6〇6分別包括随道控制器620、632和634,用於建立隧道以及用於提供如本文所教導的其他相關功能（例如，接受或者拒絕存取終端存取到隧道）^存取終端602包括行動控制器，用 25 201026130 於識別將要存取的存取點，以及用於提供如本文所教導的其他相關功能。存取終端602包括資料記憶體638，用戶維護安全閘道位址，以及用於提供如本文所教導的其他相關功能。存取點604包括位址控制器64〇,用於獲取本地位址， -乂及用於k供如本文所教導的其他相關功能。認證伺服器，642包括-貝料庫646，用於儲存訂購資訊，以及用於提供如本文所教導的其他相關功能。 φ 爲方便起見，圖6中所示存取終端602和存取點604 包括可在本文所述的各個例子中使用的元件。實際上一個或者多個所示元件可以在不同例子中以不同方式實現。舉例來說，相比圖4的實現，在圖i的實現中，隧道控制器63〇、 632和634可以擁有不同功能及/或以不同方式工作（例如，以不同方式建立隨道）。此外，在某些實現中，圖6中的元件可以在一個或者多個處理器（例如，處理器使用及/或包含資料記憶體）中實 ❹現。例如，方塊624、630、636和638的功能可以由存取終端的一個或者多個處理器實現，方塊620、6M、632和64〇的功食b可以由存取點中的一個或者多個處理器實現，方塊 622、628和624的功能可以由網路節點中的_個或者多個處理器實現。如上所述’在某些態樣’本文的教導可以用於包括巨集規模覆蓋（例如，諸如3G網路的大面積蜂巢網路，通常稱爲巨集蜂巢網路或者廣域網路）和小規模覆蓋（例如基於住宅的或者基於樓宇的網路環境）在内的網路火丁。备存取 26 201026130 終端在網路中移動時，存取終端在某處會由提供巨集覆蓋的存取點進行服務，而在另—處由提供小規模覆蓋的存取點進仃服務。在某些態樣，小覆蓋存取點可用於提供遞增式容量增長、樓内覆蓋等不同服務（例如，冑了更好的用戶體驗卜在本文的描述中，在相對較大區域内提供覆蓋的節點可稱爲巨集存取點，而在相對較小的區域（例如，住宅）内提供覆蓋的節點可稱爲毫微微存取點。需要理解的是，本文的攀導也適用於蜱其他類型覆蓋區域相關聯的節點。例如，微微存取點提供的覆蓋（例如，在商業建築内的覆蓋）區域小於巨集區域而大於毫微微區域。在各種應用中，可以使用其他術語來指代巨集存取點、毫微微存取點或其他存取點類型的節點。例如，巨集存取點可以被配置爲或者稱爲存取節點、基地台、存取點、演進節點B、巨集細胞服務區等。此外’毫微微存取點可以被配置爲或者稱爲家用節點B、家用演進節點B、存取點基地台、毫微微細胞服務區等。在某些 ®實現中’節點可以與一個或者多個細胞服務區或者扇區相關 (例如’分割爲細胞服務區或者扇區）^與巨集存取點、毫微微存取點或者微微存取點相關的細胞服務區或者扇區可以分別稱爲巨集細胞服務區、毫微微細胞服務區或者微微細胞服務區。圖7圖示無線通訊系統700，其被配置爲支援多個用戶，並且可以在其中實現本文所教導的内容。系統700爲諸如巨集細胞服務區7〇2A到702G的多個細胞服務區702提供通訊，其中每個細胞服務區由相應的存取節點704 (例如， 27 201026130 存取節點704A到7040、be放，m^ _ 4G)服務。如圖7所示，隨著時間的推移，存取終端706 (例如，存取終端706Α到706L)可能分布於整個系、統中的不同地點。例如，取決於存取終端⑽是否啓動以及是否處於軟切換狀態’每個存取終端7〇6都可以在特定時刻在前向鏈路（FL)及/或反向鏈路（RL)上與一個或者多個存取節點704通訊。無線通訊系統700可以在廣大的地理區域内提供服務。例如，巨集細胞服務區7似领〇鲁可以覆蓋附近的幾個街區或者在鄉村環境中的幾英里。圖8圖示示例性通訊系統8〇〇，其中在網路環境内部署了-個或者多個毫微微存取點。具體地，系統_包括多個毫微微存取點810 (例如，毫微微存取點8i〇a和，它們安裝在相對較小範圍的網路環境内（例如，在一個或者多個用戶住宅830中）。經由ηςτ攸i仰丄；左由DSL路由态、有線數據機、無 ❹ 線鏈路或者其他連接裝置（未示出），將每個毫微微存取點 810麵合到廣域網路84〇 (例如，網際網路）和行動服務供應商核心㈣85〇。正如下面將要討論的’每個毫微微存取點.810可以被配置爲服務於相關聯的存取終端82〇 (例如，存取終端820A)，可選地，還可以服務於其他（例如，混合的或者外來的）存取終端820 (例如’存取終端咖）。換句話說’存取毫微微存取點81G可能受到_，從而給定的存取終端820可能由-組指定的（例如，家幻毫微微存取點则服務，而不能由任何非指定的毫微微存取點81〇 (例如’鄰點的毫微微存取點8丨〇 )服務。圖9圖示覆蓋圖觸的實例，其中定義了若干追㈣ 28 201026130 域902 (或者路由區域、位置區域），每個追蹤區域包括若干巨集覆蓋區域904。在這裏，與追蹤區域902A、902B和 902C相關的覆蓋區域由粗線圖示，而巨集覆蓋區域9〇4由較大的六邊形表示。追蹤區域9〇2還包括毫微微覆蓋區域9〇6。在這個實例中’每個毫微微覆蓋區域9〇6 (例如，毫微微覆蓋區域906C )被圖示爲在一個或者多個巨集覆蓋區域9〇4(例如’巨集覆蓋區域904B )之内。但是需要理解的是，一些或鲁者全部毫微微覆蓋區域9〇6可能不在巨集覆蓋區域9〇4之内。實際上，可以在給定的追蹤區域902或者巨集覆蓋區域内疋義大ΐ毫微微覆蓋區域906。此外，可以在給定的追蹤區域902或者巨集覆蓋區域904内定義一個或者多個微微覆蓋區域（未示出）。再次參照圖8，毫微微存取點810的所有者可以訂購行動服務，例如3G行動服務等，該行動服務藉由行動服務供應商核心網路850提供。此外，存取終端820能夠在巨集環 ®境和較小範圍（例如，住宅）的網路環境内工作。換句話說，根據存取終端82 0的當前位置，存取終端82〇可以由與行動服務供應商核心網路850相關聯的巨集細胞服務區存取點 860服務，或者由一組毫微微存取點81〇中的任意一個（例如，位於相應用戶住宅830内的毫微微存取點81〇α和81〇β: 服務。例如，當用戶不在家時，他由標準巨集存取點（例如，存取點860 )服務，而當用戶在家時，他由毫微微存取點（例如，存取點810Α)服務◊這裏需要理解的是，毫微微存取點 8 1 0可以與傳統存取終端820向後相容。 29 201026130 毫微微存取點810可以部署在單個頻率上，或者作爲另一種選擇’可以部署在多個頻率上。根據具體配置，該單個頻率或者該多個頻率中的一個或更多頻率可能與巨集存取點（例如’存取點860 )使用的一個或更多頻率重叠。在某些態樣，存取終端820可配置爲只要是能連接到優選毫微微存取點（例如，存取終端82〇的家用毫微微存取點）就連接到該優選毫微微存取點。例如，每當存取終端82〇a 碜位於用戶的住宅83〇中時，可以希望存取終端SNA只與家用毫微微存取點810A或810B通訊。在某些態樣，如果存取終端82〇在巨集蜂巢網路85〇内工作，但是沒有常駐在其最優選網路内（例如，如在優先漫遊列表中定義的），存取終端82〇可以使用「更優系統重選」（BSR)程序繼續搜尋最優選網路（例如，優選毫微微存取點8H))，「更優系統重選」可以包括：定期掃描可用系統以決定更優系統當前是否可用’隨後擷取該優選系统。存取終端820可以將搜尋限制於特定的頻帶和通道。例如，可以定義-個或者多個毫微微通道，從而區域内的微存取點（或者所有受限的毫微毛儆微存取點）在這些毫微道上工作。可以定期地重複搜後筏寻最優選系統。當發現

微微存取點810時，存取Q 仔取終端820當在毫微微存取點覆蓋區域内時選擇毫微微存取的什取點810並登錄到該毫點8 1 0以便使用。攻微存取存取毫微微存取點在s 仕系些態樣是受限制的。例定的毫微微存取點隻可以向姓—士、’口 ——向特定存取終端提供特定服務。在 30 201026130 具有所謂的限制性（或封閉式）存取的部署中，給定的存取、、蝠/、可以由巨集細胞服務區行動網路和規定的一組毫微微存取點（例如，位於相應用戶住宅請内的毫微微存取點 10)服務。在一些實現中，可以限制存取點不得爲至少一個存取點提供下列至少其—：訊令、資料存取、登錄、傳呼或者服務。在一些態樣，受限毫微微節點（其也可以稱爲封閉的擧用戶組節點B ( Closed Subscriber Group NodeB ))是向規定又限存取終知ί集^供服務的節點。該存取終端集可以按照需要臨¥地或永久地擴展。在一些態樣，可以將封閉的用戶 (CSG」）規定爲存取點集（例如，毫微微存取點），該存取點集中的存取點共享共享的存取終端存取控制列表。因此，給定毫微微存取點和給定存取終端之間可能存在多種關係。例如，從存取終端的角度來說，開放式毫微微存取點指的是具有非受限存取的毫微微存取點（例如，該毫 ❹微微存取點允許存取到任何存取終端）。受限毫微微存取點指的是以某種方式受到限制的毫微微存取點（例如，在關聯及/或登錄態樣受到限制）^家用毫微微存取點指的是存取終端被授權存取和工作所在的毫微微存取點。訪客（或者混合）毫微微存取點指的是存取終端被臨時授權存取或工作所在的毫微微存取點。外來毫微微存取點指的是除 (例如，通話呼叫911)之外未授權存取終端存取或工作所在的毫微微存取點。從受限毫微微存取點的角度來說，家用存取終端指的 31 201026130 是被授權存取該受限毫微微存取點的存取終端，其中該受限毫微微存取點安裝於該存取終端的所有者的住宅^該家用存取終端具有對該毫微微存取點的永久性存取訪客存取終端指的是臨時存取該受限毫微微存取點的存取終端 (例如，根據時間期限、使用時間、位元組、連接計數或者某些其他規則來進行限制）。外來存取終端指的是除發线如911通話啤叫的緊急情況之外不被允許存取該受限毫微微 ❹ 存取點的存取終端（例如，*具有用來在·毫微微存取點上進行登錄的認證資訊或許可）。爲便於說明，文中公開内容在毫微微節點的環境下描述了各種功能 '然而，應當理解，微微存取點可以爲更大的覆蓋區域提供相同或相似的功能。例如，微微存取點可以是受限的’可以為指定存取終端規定家用微微存取點等。本文所教導的内容可用於同時支援多個無線存取終端的通訊的無線多王存取通訊“巾n每個終端經由前 ❹向和反向鏈路上的傳輸與一個或者多個存取點通訊。前向鏈路（或者下行鏈路）指的是從存取點料端的通訊鏈路，而反向鏈路（或者上行鏈路）指岐從終端到存取點的通訊鍵路。該通訊鏈路可以經由單輸人單輸m多輸人多輸出 (ΜΙΜΟ)系統或者其他類型的系統來建立。 ΜΙΜΟ系'统使用彡個（iVr個）發射天線和多個個）接收天線進行資料傳輸。由^個發射天線和~個接收天線組成的MIM〇通道可以分解爲乂個獨立通道，這些獨立通道也稱爲空間通道，其巾乂⑽队，⑽，個獨立通道中的 32 201026130 每一個都對應於一個維度。如果利用多個發射和接收天線建立的額外維度，則ΜΙΜΟ系統可以提供改善的性能（例如，更大的吞吐量及/或更高的可靠性）。 ΜΙΜΟ系統可以支援分時雙工（tdd )和分頻雙工 (FDD )。在TDD系統中，前向和反向鏈路傳輸工作在相同的頻率區間，使得互逆原理允許根據反向鏈路通道估計前向鍵路通道。當存取點上有多㈣天線可用冑，這使得存取點能 _夠提取前向鏈路上的發射波束成形增益。圖10圖示示範MIMO系統1000中的無線設備1010(例如存取點）和無線設備1 〇 5 0 (例如，存取終端）^在設備 1010處將多個資料串流的訊務資料從資料源⑺η提供到發射（ΤΧ)資料處理器1014。每個資料串流隨後將在各自的發射天線上進行發射。 ΤΧ資料處理器1014根據爲每個資料串流選擇的特定編碼方案，對每個資料串流的訊務資料進行格式化、編碼和交錯以提供已編碼資料。每個資料串流的已編碼資料可以藉 t ο:技術與引導頻資料進行多工處理。引導頻資料通常是以已知方式進行處理的已知系統處用於進行通道回應料。'㈣式’並且可以在接收機 ^ ^ # ^ _ ‘、後根據爲每個資料_流選擇=調制方案（例如，BPSK、QPSK、M_PSK或者每個資料串流的經過多工的引導頻和已編碼資串气的資料逹Γ符號映射），以提供調制符號。每個資料串抓的貢枓逮率、編碼和 A決定。資處理器1030執行的指令資枓s己憶體1032可以儲存程式竭、資料以及處理 33 201026130 器1030或設備1010的其他元件使用的其他資訊。隨後將所有資料_流的調制符號提供給τχ MIM〇處理器1020,該處理器進一步處理調制符號（例如，〇FDM)。 TX MIMO處理器1020隨後將個調制符號串流提供給心個收發機（XCVR) 1022A到1022T。在某些態樣，τχ MIM〇處理器1020將波卑成形權重運用於資料串流的符號以及發射該符號的天線。 _ 每個收發機1022接收並處理各自的符號串流以提供一個或者多個類比信號’並且進一步調節（例如，放大、濾波和升頻轉換）類比信號’從而提供適合在ΜΙΜΟ通道上傳輸的調制彳§被。隨後，分別從iW個天線ΐ〇24Α到1024Τ發射來自收發機1022A到1022T的iVr個已調制信號。在設備1050處’發射出的調制信號被％個天線1〇52a 到1052R接收’並且從每個天線1 〇52接收到的信號被提供給各自的收發機（XCVR) 1054A到1054R。每個收發機1054 ❹調節（例如，濾波、放大和降頻轉換）各自的接收信號，數位化調節後的信號以提供取樣’並且進一步處理取樣以提供對應的「接收」符號串流。根據特定的接收機處理技術’接收（RX )資料處理器 1060隨後接收並處理來自個收發機1〇54的個接收符號串流’以提供個「檢測」符號串流。RX資料處理器1〇60 隨後解調、解交錯並解碼每個檢測到的符號串流，從而恢復 ·· . -- ·.··.- : · · 資料串流的訊務資料。RX資料處理器1060的處理與設備 1010上的ΤΧ ΜΙΜΟ處理器1020和TX資料處理器1〇14所 34 201026130 進行的處理互逆。處理器1070定期地決定要用哪個預編碼矩陣（下文將討論）。處理器1070構造反向鏈路訊息，其包括矩陣索引部分和秩值部分。資料記憶帛1G72可以儲存程式碼資料 •以及處理器107〇或設備1050的其他元件用到的其他資訊。 . 反向鏈路訊息可以包括關於通訊鏈路及/或所接收資料串流的各種資訊。反向鏈路訊息隨後由τχ資料處理器MU ❿處理、由調制器1〇8〇調制、由收發機1〇54Α到1〇54r調節，然後發射回設備〗010,其中τχ資料處理器1〇38還從資\料源1036接收多個資料串流的訊務資料。在設備1010處，來自設備1050的已調制信號由天線 1024接收、由收發機1〇22調節、由解調器（1〇4〇解調、並且由RX資料處理器1〇42處理，以提取設備ι〇5〇發射的反向鏈路訊息。處理器1〇3〇隨後決定用哪個預編碼矩陣來決定波束成形權重，隨後處理所提取的訊息。譽圖10還示出通訊元件可以包括執行如本文所教導的存取控制操作的一個或者多個元件。例如，存取控制元件丨可以與處理器1030及/或設備1〇1〇的其他元件協作從而如 . 本文所教導的向另一設備（例如設備1050 )發送信號或者從、另一設備接收信號。類似地，存取控制元件1092可以與處理器1070及/或設備1050的其他元件協作，從而向另—設備 (例如設備1〇10)發送信號或者從另一設備接收信號。需要理解的是，對於每個設備1010和1〇5〇來說，兩個或者多個所述元件的功能可以由單個元件提供。例如，單個處理元件 35 201026130 可以提供存取控制元件1090和處理器1030的功能，單個處理元件可以提供存取控制元件1 092和處理器1070的功能。在某些實現中，處理器1030和記憶體1032可以爲設備1010 共同提供與存取相關的功能以及如本文所教導的其他功能，而處理器1070和記憶體1072可以爲設備1050共同提供與存取相關的功能以及如本文所教導的其他功能。本文所教導的内容可用於各種通訊系統及/或系統元 .件。在某些態樣，本文所教導的内容可用於多工存取系統，醫 - 該多工存取系統能夠藉由共享可用系統資源（例如，藉由規定一個或者多個頻寬、發射功率、編碼、交錯等）支援與多個用戶的通訊。例如，本文所教導的内容適用於下列技術的任意一個或者其組合：分碼多工存取（CDMA )系統、多載波 CDMA ( MCCDMA)、寬頻 CDMA ( W-CDMA )、高速封包存取（HSPA、HSPA+)系統、分時多工存取（TDMA)系統、分頻多工存取（FDMA)系統、單載波FDMA( SC-FDMA) Ο 系統、正交分頻多工存取（OFDMA )系統，或者其他多工存取技術。使用本文所教導内容的無線通訊系統可設計爲實現一種或者多種標準，例如，IS-95、cdma2000、IS-856、 W-CDMA、TDSCDMA以及其他標準。CDMA網路可以實現諸如通用陸地無線電存取（UTRA ) 、cdma2000等的無線電

技術或者某些其他技術。UTRA包括 W-CDMA和低碼率 (LCR) 。cdma2000 技術覆蓋了 IS-2000、IS-95 和 IS-856 標準。TDMA網路可以實現諸如行動通訊全球系統（GSM ) 的無線電技術。OFDMA網路可以實現諸如演進UTRA 36 201026130 (E-UTRA ) 、IEEE 802.1 1、IEEE 802.16 ' IEEE 802.20 '

Flash-OFDM®等無線電技術。UTRA、E-UTRA和GSM是通用行動電信系統（UMTS )的一部分。本文所教導的内容可實現在3GPP長期進化（LTE )系統、超行動寬頻（UMB ) 系統以及其他類型的系統中。LTE是使用E-UTRA的UMTS 版本。在名爲「第三代合作夥伴計劃」（3GPP )組織的文件 • - ·. - · 中描述了 UTRA、E-UTRA、GSM、UMTS 和 LTE，而在名爲 ©「第三代合作夥伴計劃2」（3GPP2)組織的文件中描述了 cdma2000。儘管使用3GPP術語來描述本發明公開内容的某些態樣，需要理解的是，本文所教導的内容適用於3GPP (例如，版本99、版本5、版本6、版本7)技術以及3GPP2 (例如，lxRTT、lxEV-DO版本Ο、版本A、版本B)技術和其他技術。本文所教導的内容可以併入多種裝置（例如，節點） (例如，在其中實現或者由其執行）。在某些態樣，根據本 ❹文所教導的内容實現的節點（例如，無線節點）可以包括存取點或者存取終端。例如，存取終端可以包括、實現爲或者稱爲用戶設備、用戶站、用戶單元、行動站、行動電話、行動節點、遠端站、遠端終端、用戶終端、用戶代理、用戶裝置或某些其他技術。在某些實現中，存取終端可以包括：蜂巢式電話、無線電話、對話啟動協定（SIP )電話、無線本地迴路（WLL )站、個人 ... · -：數位助理（PDA )、有無線連接能力的手持設備、或者連接到無線數據機的某些其他合適處理設備。相應地，本文所教 37 201026130 導的一個或者多個態樣可以併入電話（例如，蜂巢式電話或者智慧型電話）、電腦（例如，膝上型電腦）、攜帶型通^ 設備、攜帶型計算設備（例如，個人數位助理）、娛樂設備 (例如，音樂設備、視頻設備或者衛星無線電）、全球定位系統設備、或者用於經由無線媒體通訊的任何其他合適設備。存取點可以包括、實現爲或者稱爲節點B、演進節點瘳B、無線網路控制器（RNC )、基地台（Bs )、無線基地台 (RBS)、基地台控制器（Bsc )、收發機基地台（、收發機功能（TF )、無線收發機、無線路由器、基本服務集 (BSS)、擴展服務集（ESS)、巨集細胞服務區、巨集節點、家用eNMHeNB)、毫微微細胞服務區、毫微微節點、微微節點、或者某些其他類似術語。在某些態樣，節點（例如，存取點）可以包括通訊系統的夸取節點。锋樣的存取節點可以經由到網路（例如，諸籲如網際網路或蜂巢網路的廣域網路）的有線或者無線通訊鍵路來爲該網路或者向該網路提供例如連通性。因此，存取節點可以使另-節點（例如，存取終端）能夠存取網路或某個 ^他力此此外，應當認識到這一個或兩個節點可以是可攜式的或者在某些情況中是相對不可攜式的。此外，需要理解的是，無線節點可以藉由非無線的方式（例如，經由有線連接）發送及& f訊H b | 文所述的接收機和發射機可以包括合適的通訊介面元件（例如電子或者光介面元件），以便經由非無線媒體進行通訊。 38 201026130 無線節點可以經由基於或者支援任何合適無線通訊技術的無線通訊鏈路來進行通訊。例如，在某些態樣，無線節點可以與網路相關。在某些態樣，該網路可以包括區域網路或者廣域網路。無線設備可以支援或者使用本文所述各種無 - 線通訊技術、協定或者標準（例如，CDMA、TDMA、OFDM、， OFDMA、WiMAX、Wi-Fi等）中的一種或者多種。類似地，無線節點可以支援或者使用各種相應的調制或多工方案中 φ的一種或者多種。無線節點因而可以包括合適的元件（例如，空中介面）’從而使用上述或者其他無線通訊技術來建立一個或者多個無線通訊鏈路，並且經由這些鏈路進行通訊。例如，無線節點可以包含具有相關聯的發射機和接收機元件的無線收發機，該無線收發機可以包含促進在無線媒體中通sfl的多種元件（例如，信號產生器和信號處理器）。在某些態樣，本文所描述的功能（例如，一個或者多個附圖）可以對應於請求項中類似地描述爲「用於......的構籲件」的功能。參考圖11-14，裝置1100、1200、1300和1400 被表示爲一系列相互關聯的功能模組。這裏，第一隧道建立模組 1102、第二隧道建立模組11〇4、子安全聯盟建立模組 - 111 8 ·‘隧道存取請求接收模組n2〇、已建立隧道決定模組 1122以及存取終端重定向模組1124可以至少在某些態樣對應於例如本文所描述的隧道控制器。封包決定模組丨丨〇6、已接收封包轉發模組1108、位址請求發送模組丨丨丨〇、位址接收模組111 2、位址發送模組1114、認證資訊接收模組丨丨i 6 ~T以至少辛某...些...態樣對應於例如本文所描述的通訊控制 39 201026130 器。存取點識別模組1202可以至少在某些態樣對應於例如本文所描述的行動控制器。安全閘道訊息發送模組1 204、訊息回應接收模組1206、DNS查詢發送模組1208、安全閘道位址接收模組12丨〇可以至少在某些態樣對應於例如本文所描述的行動控制器。安全閘道位址維護模組1212可以至少在某些態樣對應於例如本文所描述的資料記憶體。隧道建立模組12 14可以至少在某些態樣對應於例如本文所描述的隧 ❹道控制器。安全閘道隧道建立模組1302、子安全聯盟建立模組1 3 16、存取終端隧道建立模組1 3 1 8可以至少在某些態樣對應於例如本文所描述的隧道控制器。本地網路位址獲取模組1 304可以至少在某些態樣對應於例如本文所描述的位址控制器。位址訊息發送模組1306、封包傳送模組1308、位址請求接收模組13 10、封包檢查模組13 12、封包轉發模組 1 3 14可以至少在某些態樣對應於例如本文所描述的通訊控制器。第一隧道建立模組1402和第二隧道建立模組1406可 Θ 以至少在某些態樣對應於例如本文所描述的隧道控制器。認證資訊獲取模轉 ,1 404、封包接收模組1412、封包檢查模組 1414和封包轉發模組1416可以至少在某些態樣對應於例如本文所描述的通訊控制器。本地網路位址獲取模組1408和位址發送模組1410可以至少在某些態樣對應於例如本文所描述的位址控制器。存取點識別模組1502可以至少在某些態樣對應於例如本文所描述的行動控制器。訊息發送模組 1 504可以至少在某些態樣對應於例如本文所描述的通訊控制器。存取點識別模組1 602可以至少在某些態樣對應於例 201026130 如本文所描述的通訊控制器。識別符儲存模組1604可以至少在某些態樣對應於例如本文所描述的資料庫。訂購資訊使用模組1606可以至少在某些態樣對應於例如本文所描述的資料庫。圖11-14中的模組的功能可以使用與本文所教導的内容一致的多種方式來實現》在某些態樣，這些模組的功能可以實現爲一個或者多個電子元件。在某些態樣，這些模組的 ❿功能可以實現爲一個或者多個包含處理器元件的處理系統。在某些態樣’這些模組的功能可以使用例如一個或者多個積體電路（例如，ASIC )的至少一部分來實現。根據本文的描述，積體電路可以包含處理器、軟體、其他相關元件或者其某些組合。這些模組的功能還可以用本文所教導的某種其他方式實現。在某些態樣，® u_l4中任意虛線框中的一個或者多個是可選的。 %受埋解 ❹ 不—」寻石稱對任何要素的引用通常並不對這些要素的數量或者順序產生限制。相反地，本文使用這些名稱，是對兩個或兩個以上或要素的實例進行區分的簡便方法。因而，當音和第二要素的時候，並不意味著要素 π音成：&哲晨/、用到了兩個要素，也不意未著第一要素以某種形式處在第二除非另古％叩要素的别面。另外，除非另有說明，_組要素可以包括此外，規明童七土1固要素或者多個要素。說月書或者味求項中用到的「α、β -個」這樣的表述形式的意思是：「這♦、至少或者C或者任意組合」、 —素中的Α或者Β 201026130 本領域技藝人士應當理解，資訊和俨不同的技術和方法來表示。例如，在貫 "u 4用夕種的資料、指令、命令、資訊、信號 ®的描述中提及田帝麻位7、符號和碼片可以用電壓、電流、電磁波、磁場< 穷a祖子、光場意組合來表示。卞次肴具任本領域技藝人士還應當明白，社 M ^ ^ ^ ^ 、'° 5本文公開的各個態樣所描速的各種示例性邏輯方 « 々尼横組、處理器、裝置、雷路和演算法步驟均可以實現爲電行电卞硬體（例如，數位實類比實現、或者兩者的組合，其可以使用來源代碼或者其他術來設計^包含指令的各種形式的程式或者設計代碼（爲方便起見’在本文中其可稱爲「軟體」或者「軟體模組」）、或者兩者的組合。禹了法柱主_ t 1 爲了明楚地表不硬體和軟體之間的可互換性，上面對各種示例性的部件、方塊、模組、電路和步驟均圍繞其功能進行了整體描述。至於這種功能是實現爲硬體還是實現爲軟體，取決於特定的應用和對整個系統所施加的設計約束條件。本領域技藝人士可以針對每個特定應用，以變相方式實現所描述的功能，但是，這種實現決策不應解釋爲背離了本發明公開内容的保護範圍。 …β本文公開的各個態樣所描述的各種示例性邏輯方塊、模組和電路，可以在積體電路（1C)、存取終端或存取 J内實現或者由積體電路（ic)、存取終端或存取點執行。 1<：可以包括.通用處理器、數位信號處理器（DSP)、專用積體電路（ASIC)、現場可程式閉陣列（FpGA)或其他可程式邏輯裝置、個別閘門或者電晶體邏輯裝置、個別硬體部 42 201026130 件電子部件、光學部件、機械部件、或者其任意組合其被設計爲執行本文所述功能並且可以執行處於ic内、處於 ❹ φ IC外、或者兩者的代碼或者指令。通用處理器可以是微處理器，或者’該處理器也可以是任何一般的處理器、控制、 :控制器或者狀態機。處理器也可能實現爲計算設備的組。’例如’ DSP和微處理器的組合、多個微處理器、一或多個微處理器與膽核心的結合，或者任何其他此種結構。可以理解的是，任何所公開程序中的步驟的任何特定頃序或層-人僅疋典型方式的示例。可以理解的是根據設計偏好’各程序巾步驟的特定順序或層次可以重新調整，同時保持在本發明公開内容的範圍之内。相應的方法請求項以示隸順序提供了各步㈣要素，但並不意味純限於所示的特疋順序或者層次。在-或多個示例性實施例中，本發明所述功能可以用硬體、軟體、勒體或其任意組合來實現。如果用軟體來實現，可以將這些功能健存在雷腦两什隹1：腦可讀取媒體中或者作爲電腦可讀取媒體上的一或多個指令或代碼進行傳輸。電腦可讀取媒體包括電腦儲存媒體和通訊媒體，其十通訊媒體包括便於從一㈣方向另-個地方傳送電腦程式的任何媒體。儲存媒體可以疋電腦能夠存取的任何可用媒體。藉由示例的方式而非限制的方式，這種電腦可讀取媒體可以心RAM、應、贈臟、CD_ROM或其他㈣料、磁Μ存或其他磁碟儲存裝置' 或者能_於攜帶或儲存期望的指令或資料結構形式的程式碼並能夠由電腦進行存取的任何其他媒體。此 43 201026130 外’任何連接可以適當地稱作爲電果軟體是使用同轴電境取媒體。例如’如咖或者諸如紅外線、：線電電=線、數位用戶線路網站、飼服器或盆他遠墙/ 微波之類的無線技術從以其他遠端來源傳輸的電窥、雙絞線、陳或者諸如紅外：：電，镜光纖無線技術包括在媒體的定義太，，、線電和微波之類的丄疋義中。如本發明所使用的，磁片和光碟包括壓縮光碟（CD)、雷射氺斑丄地雷射先碟、光碟、數位多功能光參碟（）、軟碟和藍光光碟，其中磁片通常磁性再現資料，而光碟則用鐳射來光學地再現資料。上面的組合也應當包括在電腦可讀取媒寧的範圍之内。 … 上文k供了對本發明公開態樣的描述使得本領域技藝人士能夠實現或者使用本發明公開的内容。對於本領域技藝人士來說，對這些態樣的各種修改都是顯而易見的，並且本發明定義的整體原理也可以在不脫離公開内容的範圍的基礎上適用於其他態樣。因此，本發明公開内容並不限於本文提供的各個態樣，而是應與本發明公開的原理和新穎性特徵的最廣範圍相一致。【圖式簡單說明】在詳細說明書、請求項以及附圖中，將對本案内容的各個示例態樣進行描述，其中：圖1是通訊系統的若干示範態樣的簡化方塊圖，其中存取終端經由終止於安全閘道的協定隧道存取本地網路； 44 201026130 圖2是某些操作的若干示範態樣的流程圖，其中可以執行這些操作以經由終止於安全閘道的協定隧道提供對本地網路的遠端存取；圖3是某些操作的若干示範態樣的流程圖，其中可以執行這些操作以發現安全間道；圖4是通訊系統的若干示範態樣的簡化方塊圖，其中存取終端經由分層協定隨道（layered protocol tunnel )遠端存取本地網路；圖5是某些操作的若干示範態樣的流程圖，其中可以執行這些操作以經由分層協定隧道提供對本地網路的遠端存取；圖6是可以在通訊節點中運用的元件的若干示範態樣的簡化方塊圖；圖7是無線通訊系統的簡化圖；圖8是包含毫微微存取點的無線通訊系統的簡化圖； φ 圖9是圖示無線通訊覆蓋區域的簡化圖；圖10是通訊元件的若干示範態樣的簡化方塊圖；以及圖11-16是某些裝置的若干示範態樣的簡化方塊圖，如本文所教導的’這些裝置用於有助於遠端存取本地網路。依照丨貝例’附圖中的各個特徵可能未按比例續_製。相應地’爲了清楚起見’各個特徵的尺寸可以任意擴大或縮小。此外，爲了清楚起見，某些附圖可能被簡化。因此，附圖可能並沒有圖示出指定裝置（例如，設備）或方法的所有元件。最後’在整個說明書及附圖中，相似的元件符號可用 45 201026130 於標明相似的特徵。【主要元件符號說明】 100 通訊系統 102 存取終端 106 存取點 ⑩ 110 IP網路 112 安全閘道 114 認證伺服器 118 通訊鍵路 120 路由器 122 通訊鍵路 124 網際網路參 126 通訊鏈路 128 通訊鍵路 130 通訊鍊路 134 本地節點 136 訊務流 138 訊務流 140 訊務流 142 訊務流 144 訊務流 46 201026130 146 重定向資料庫 202〜214 流程步驟 302〜316 流程步驟 400 糸統 402 存取終端 404 存取點 406 存取點參 410 服務供應商核心網路 412 毫微微安全閘道 416，418, 422, 426,通訊缚路 428, 430 420 路由器 424 網際網路 434 本地節點 436, 438, 448 訊務流 ❿ 502〜512 流程步驟 602 存取終端 604 存取點 606 安全閘道 608 收發機 610 收發機 612 發射機 614 接收機 616 發射機 47 201026130

618 接收機 620 網路介面 622 網路介面 624 通訊控制器 626 通訊控制器 628 通訊控制器 630 隧道控制器 632 .隧道控制器 634 隧道控制器 636 行動控制器 638 資料記憶體 640 位址控制器 642 認證伺服器 644 通訊控制器 646 資料庫 702A 〜702G 巨集細胞服務區 704A 〜704G 存取節點 706A 〜706L 存取終端 800 通訊系統 810 毫微微存取點 820A, 820B 存取終端 830 用戶住宅 840 廣域網路 850 行動服務供應商核心網路 48 201026130

860 900 902A-C 904A 〜C 906A-D 1000 1010, 1050 1012 1014 1020 巨集細胞服務區存取點覆蓋圖追縱區域巨集覆蓋區域微微覆蓋區域 ΜΙΜΟ系統無線設備資料源 ΤΧ資料處理器 ΤΧ ΜΙΜΟ處理器 1022Α〜Τ 1024Α 〜Τ, 1052Α 〜R 1030 1032 1036 ❹ 1038 1040 1042

1054Α〜R

TMTR/RCVR 天線處理器記憶體資料源 ΤΧ資料處理器解調器

RX資料處理器 RCVR/TMTR 1060 1070 1072 1080 RX資料處理器處理器記憶體調制器存取控制器 49 1090 201026130 1092 存取控制器 1100〜1124 功能方塊 1200〜1214 功能方塊 1300-1318 功能方塊 1400〜1416 功能方塊 1500〜1504 功能方塊 1600〜1606 功能方塊

50

Claims

201026130 七、申請專利範圍： 1、一種通訊方法，包括以下步驟：在一本地網路上的一存取點和一安全閘道之間建立一協定隧道；爲一存取終端獲取在該本地網路上的—位址，以使該存取終端能夠遠端存取該本地網路；經由該協定隨道發送包含該位址的一訊息；及^ ❹ 經由該協定隧道在該本地網路和該存取終端之間傳送一封包。 2、根據請求項1之方法，其中該獲取位址的步驟包括以下步驟：向該本地網路上的一本地路由器，發送對該位址的一請求。 3、根據請求項i之方法，其中經由第—協定隨道將該訊攀息發送到該安全閘道。 4、根據請求項3之方法，還包括以下步驟：從該安全閘道接收對該位址的一請求，其中回應該請求的結果而得到該位址。 5根據钿求項1之方法，還包括以下步驟：檢查該封包，以識別該封包在該本地網路上的一目的 51 201026130 地；及將該封包轉發到所識料目的地。 6、根據請求項！之方法下随道建立多個子安全聯盟…心下步驟：基於該協定個用來在該存取赴y ”令5"子安全聯盟中的一第- 存取點和一服務供靡翕務’該等子安全聯㈣之間承載訊 Ο ^ ^ ^ π —個用來在該存取點和該存取終端之間承載訊務。據4求項1之方法’還包括以下步驟：經由該協定 =在㈣取點和該存取終端之㈣立另-個協定隨道，其中經由該另-個協定穿隧該封包。取點根據叫求項1之方法，其中該存取點包括一毫微微存 ❹ 9根據請求項1之方法，其中該協定隧道包括一 IPsec 隧道。、一種用於通訊的裝置，包括以下步驟：一随道控制器’用於在一本地網路上的一存取點和一安全閘道之間建立一協定隧道；一位址控制器，用於爲一存取終端獲取在該本地網路上的一位址’以使該存取終端能夠遠端存取該本地網路；及 52 201026130 一通訊控制器，用於經由該協定隧道發送包含該位址的一訊息’並且還用於經由該協定隧道在該本地網路和該存取終端之間傳送一封包。 Π、根據請求項10之裝置，其中該獲取位址包括：向該本地網路上的一本地路由器，發送對該位址的一請求。 φ 12、根據請求項10之裝置，其中該通訊控制器還用於：檢查5玄封包’以識別該封包在該本地網路上的一目的地；及將該封包轉發到所識別的目的地。 13、根據請求項10之裝置，其中；該隧道控制器還用於基於該協定隧道建立多個子安全聯盟；及參該等子安全聯盟巾H個用來在該存取點和一服務供應商核心網路之間承載訊務，該等子安全聯盟中的一第二個用來在該存取點和該存取終端之間承載訊務。 14、根據請求項1〇之裝置，其中該隧道控制器還用於經由該協定隧道在該存取點和該存取終端之間建立另一個協定隧道，其中經由該另一個協定穿隧該封包。 15、一種用於通訊的裝置，包括： 53 201026130 用於在一本地網路上的一存取點和一安全閘道之間建立一協定隧道的構件；用於爲一存取終端獲取在該本地網路上的一位址，以使該存取終端能夠遠端存取該本地網路的構件；用於經由該協定随道發送包含該位址的一訊息的構件；及用於經由該協定隧道在該本地網路和該存取終端間傳送一封包的構件。 * - · .. 16、根據請求項15之裝置，其中該獲取位址包括：向該本地網路上的一本地路由器，發送對該位址的一請求。 17、根據請求項15之裝置’還包括：用於檢查該封包以識別該封包在該本地網路上的一目的地的構件；及 ❶ 用於將該封包轉發到所制的目的地的構件。、根據請求項1 5之裝

15之裝置，還包括：用於基於該協定隧，其中該等子安全聯盟中的一丨艮務供應商核心網路之間承載第二個用來在該存取點和該存根據請求項 15之裝置，還包括： •用於經由該協定蜂 54 201026130 道在該存取點和該存取終端之間建立另一個協定隧道的構件’其中經由該另一個協定穿隧該封包。 20、一種電腦程式産品，包括：電腦可讀取媒體，包括用於使一電腦進行以下操作的代瑪：在一本地網路上的一存取點和一安全閘道之間建立 /協定隧道；爲一存取終端獲取在該本地網路上的一位址，以使該存取終端能夠遠端存取該本地網路；經由該協定隧道發送包含該位址的一訊息；及經由該協定隧道在該本地網路和該存取終端之間傳送一封包。 21、根據請求項20之電腦程式産品，其中該獲取位址包 •括：向該本地網路上的一本地路由器，發送對該位址的一請求。 22、根據請求項2G之電腦程式m巾該電腦可讀取媒體還包括用於使該電腦進行以下操作的代碼：檢查該封包，以識別該封包在該本地網路上的一目的地，及將該封包轉發到所識別的目的地。 55 201026130 23、根據請求項2〇之電腦程式產品其中；該電腦可讀取媒體還包括用於使該電腦基於該協定隧道建立多個子安全聯盟的代碼；及該等子安全聯盟咕 . 盟中的一第一個用來在該存取點和—服務 •供應商核，。網路之間承載訊務，該等子安全聯盟中的一第二 -個用來在該存取點和該存取終端之間承載訊務。〜 ❹ 24、根據請求項2〇之電腦程式產品，其中該電腦可讀取媒體還包括：用於使該電腦經由該協定隨道在該存取點和續存取終端之間_立另—個協定隧道的代碼，其中經由該另」個協定穿隧該封包。 25、一種通訊方法，包括以下步驟·· 在一本地網路上的一存取點和一安全閘道之間建立一第一協定隨道； ❹ 獲取用於在該存取點和一存取終端之間建立一第二協定隧道的認證資訊；及經由邊第一協定隨道建立該第二協定随道。 26、根據請求項25之方法，其中藉由經由一無線連接與該存取終端通说來獲取該認證資訊。 27、根據請求項25之方法，其中經由一網際網路密鍮交換程序來獲取該認證資訊。 56 201026130 28、咚據請求項25之方法，還包括以下步驟：爲該存取終端獲取在該本地網路上的一位址，以使該存取終端能夠遠端存取該本地網路；及經由該第一協定隧道將該位址發送給該存取終端。 29、根據請求項28之方法，其中藉由向該本地網路上的 © —本地路由器’發送對該位址的一請求來獲取該位址。 30、根據請求項25之方法，還包括以下步驟： '經由該第二協定隧道從該存取終端接收一封包；檢查該封包’以識別該封包在該本地網路上的一目的地；及將該封包轉發到所識別的目的地。 9 31、根據請求項25之方法，其中該存取點包括一毫微微存取點。根據請求項25之方法，協定隧道包括IPsec隧道種用於通訊的裝置，包括：隨道控制器，用於在一本地網路上的一存取點和一安全閘道之問挂· A 1建立一第一協定隧道； 57 201026130 通訊控制器，用於獲取用於在該存取點和—存取終端之間建立—第二協定隧道的認證資訊；及其中該隧道控制器還用於經由該第-協定隧道建立該第二協定隧道。 ~ 34、根褲請求項33之裝置，還包括一位址控制器，用於：爲該存取終端獲取在該本地網路上的一位址以使該存取終端能夠遠端存取該本地網路；及 9 經由該第一協定隧道將該位址發送給該存取終端。 35、根據請求項34之裝置，其中藉由向該本地網路上的一本地路由器，砵送對該位址的一請求來獲取該位址。 36、根據請求項33之裝置，其中該通訊控制器還用於：經由該第二協定隨道從該存取終端接收一封包； φ 檢查該封包’以識別該封包在該本地網路上的一目的地，及將該封包轉發到所識別的目的地。 37、一種用於通訊的裝置，包括：用於在一本地網路上的一存取點和一安全閘道之間建立 /第一協定隧道的構件；用於獲取用於在該存取點和一存取終端之間建立一第二協定随道的認證資訊的構件；及 58 201026130 用協定隧道建立該第二協定隧道的構件 38、根據請求項37之裝置，還包括：用於爲該存取終端獲取在該本地網路上的—位址，以使該存取終端能夠遠端存取該本地網路的構件；及用於經由該第—協定随道將該位址發送給該存取終端 ❹ 的構件 39、根據請求項38之裝置，其中藉由向該本地網路上的本地路由⑥，發送對該位址的—請求來獲取該位址。件； 40、根據請求項37之裝置，還包括：用於經由It第二協定随道從該存取終端接收一封包的構目的用於檢查該封包以識別該封包在該本地網路上的— 地的構件；及用於將該封包轉發到所識別的目的地的構件。 41、一種電腦程式産品，包括：的代瑪 .電腦可讀取媒體’包括用於使-電腦進行以下操作在-本地網路上的一存取點和一安全閘道之一第一協定隧道；雙立獲取用於在該存取點和—存取終端之間建立—第_ 59 201026130 協定隧道的認證資訊；及經由該第一協定隧道建立該第二協定隱道 42、根據請求項41之電腦程式産品，t /、中該電腦可讀取媒體還包括用於使該電腦進行以下操作的代瑪. 址，以使該存爲該存取終端獲取在該本地網路上的—位取終端能夠遠端存取該本地網路；及 e 拳經由該第一協定隧道將該位址發送給該存取欲 43、根據請求項42之電腦程式産品，苴巾兹丄 '、r韁由向該本地網路上的一本地路由器，發送對該位址的一請求來獲取該址。 44、根據請求項41之電腦程式産品，其令該電腦可讀取媒體還包括用於使該電腦進行以下操作的代碼：經由該第二協定隧道從該存取終端接收一封包；檢查該封包’以識別該封包在該本地網路上的一目的地；及將該封包轉發到所識別的目的地。 45、—種通訊方法，包括以下步驟：獲取與一用戶相關聯的至少一個毫微微存取點的至少一個識別符；及將該至少一倜識別符儲存於在一認證伺服器處、爲該用 60 201026130 戶維護的訂購資訊中。 46、根據請求項45之方法，還包括以下步驟：使用該訂購資訊來決定是否允許一存取終端存取該至少一個毫微微存取點。 47、一種用於通訊的裝置，包括以下步驟： ❹ 一通訊控制器’用於獲取與一用戶相關聯的至少一個毫微微存取點的至少一個識別符；及一資料庫，用於將該至少一個識別符儲存於在一認證伺服器處、爲該用戶維護的訂購資訊中。 48、根據請求項47之裝置，其中該資料庫還用於：使用該訂購資sfl來決定是否允許一存取終端存取該至少一個毫微微存取點。 49、 --種用於通訊的裝置，包括：用於獲取與一用戶相關聯的至少一個毫微微存取點的至少一個識別符的構件；及用於將該至少—個識別符儲存於在一認證伺服器處、爲該用戶維護的訂購資訊中的構件。根據μ求項49之裝置’還包括：用於使用該訂購資訊來決疋疋否允許一存取終端存取該至少一個毫微微存取 201026130 點的構件。 5 1、一種電腦程式産品，包括：電腦可讀取媒體，包括用於使一電腦進行以下操作的代碼· 獲取與一用戶相關聯的至少一個毫微微存取點的至少一個識別符；及將該至少-個識別符儲存於在一認證伺服器處、爲該用戶維護的訂購資訊中。 52 '根據請求項51之電腦程式産品，其中該電腦可讀取媒體還包括用於使該電腦進行以下操作的代碼：使用資訊來決定是否允許一存取終端存取點王夕一個亳微微存

62