WO2005051024A1

WO2005051024A1 - 私設網を利用した移動通信システム、中継ノード及び無線基地制御局

Info

Publication number: WO2005051024A1
Application number: PCT/JP2004/017257
Authority: WO
Inventors: Yukinori Suda; Morihisa Momona
Original assignee: Nec Corporation
Priority date: 2003-11-20
Filing date: 2004-11-19
Publication date: 2005-06-02
Also published as: US20070105549A1; KR20060090281A; KR100786432B1; EP1689201A1; JPWO2005051024A1; CN1883220A

Abstract

　移動端末８０の発呼あるいは着呼時に、移動通信制御シグナリングを受信した中継ノードであるＶＰＮゲートウェイ１００が私設網であるＬＡＮ２０内の帯域制御機構たるポリシーサーバ２００と連携して受け付け判定を行い、受付が許可された場合に、移動端末８０に通信回線を提供し、あるいは、無線基地局と無線基地制御局７０間で鍵交換メカニズムにより動的に事前共有鍵を生成し、無線基地制御局７０がＶＡＮゲートウェイ１００に事前共有鍵を通知する。　　　　　　　

Description

明細書

私設網を利用した移動通信システム、中継ノード及び無線基地制御局技術分野

[0001] 本発明は、無線基地制御局と、無線基地制御局に接続される無線基地局とから構成され、無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムに関し、特に、私設網を利用して屋内エリア内のユーザに対して移動通信サービスを提供することを可能にする移動通信システムに関する。また、当該移動通信システムに用いられる中継ノード、無線基地制御局、及び移動通信システム，中継ノード，無線基地制御局の機能を実現するプログラム、移動通信方法に関する

背景技術

[0002] 移動通信システムでは、ビル等の屋内の内部まで電波が届きにくいため、屋内で移動端末を使用するユーザは安定した移動通信サービスを受けることができない。屋内のユーザに対して安定した移動通信サービスを提供するためには、屋内をカバ一するための移動通信専用の屋内システムの導入が必要となる。特に、 2GHz帯を使用する 3G (Third Generation)サービスは 2G (Second Generation)サービスと比べて、電波伝搬特性が良くないため、不感地帯となる屋内エリアが多くなる。

[0003] このような状況において、 3Gサービスの屋内エリアを 2Gサービスと同等にするためには、屋内システムを多数導入することが必要となる力それに応じて移動通信オペレータを多数配置することはコスト的な点で実現が難しい。そのため、より低コストな屋内システムが要求されて、る。

[0004] UMTS (Universal Mobile Telecommunications System)の標準化を行っている 3G PP (Third Generation Partnership Project)では、無線基地制御局（RNC)と無線基地局間を IP網で接続可能とする IPトランスポートオプションを提供するリリース 5が定義された。そこで、 IPトランスポートを利用した屋内システムの 1つのアプローチとして、屋外回線に公衆インターネット網ゃ閉域 IP網、屋内回線に LAN等の私設網（例えば、企業等が自身で私的に構築したネットワーク等)を利用する形態が考えられる。これにより、回線敷設コストを大幅に削減でき、屋内システムの導入コストを大幅に低減可能となる。

[0005] このような私設網 (ネットワーク）を用いた移動通信システムでは、以下に示す新たな機能が要求される。

(1)私設網における移動通信トラヒックの帯域制御

(2)私設網内のファイアウォール ZNAPT(Network Address Port Translation)を越えた無線基地制御局 -無線基地局間通信の実現

(3)移動通信トラヒックのセキュリティ確保

(4)移動通信オペレータが移動通信ノードに対して独自に割り当てた IPアドレス体系の維持

[0006] 上記（1)の機能に関して、私設網での帯域制御方法として、ポリシーサーバによる集中型帯域制御方式が一般的である。本方式は、ポリシーサーバがルータやイーサネット (登録商標) (R)スィッチ等の LANデバイスに対してパケット識別に必要となるトラヒック情報と帯域制御ルールを含む帯域制御情報を事前に配布し、私設網のエツジに位置する LANデバイスがトラヒック情報に基づきエンドホストあるヽはインターネットから受信したパケットの IPヘッダと L4ヘッダを用いてパケット識別を行ヽ、該当する帯域制御情報に応じたマークをバケツトに付加した後、次ホップの LANデバイスに転送する。エッジでない LANデバイスは、エッジの LANデバイスが付カ卩したマークとポリシーサーノから配布された帯域制御情報に基づきパケット単位で帯域制御を行うものである。

[0007] 上記（2)—（4)の機能に関しては、例えば IPsecベースの VPN(Virtual Private

Network:仮想私設ネットワーク)技術を利用することで実現可能である。具体的には、 VPNゲートウェイを私設網の管轄外に設置し、無線基地制御局と無線基地局は常に VPNゲートウェイを介して通信を行い、無線基地制御局と VPNゲートウェイ間、無線基地制御局と無線基地局間において IPsecによる暗号ィ匕通信技術を適用することで実現できる。

[0008] なお、従来の移動通信システムの例としては、例えば、セキュリティを維持しつつ、無線端末装置と有線端末装置間で通信を行うための技術が、特許文献 1に開示されている。

[0009] 従来の移動データ通信における仮想私設網の構成方法に関する技術が、例えば特許文献 2に開示されてヽる。

特許文献 1：特開 2001- 333110号公報

特許文献 2 :特開平 10-032610号公報

発明の開示

発明が解決しょうとする課題

[0010] 上記の帯域制御方式において、移動通信トラヒックが私設網の帯域の大半を占有した場合、私設網の回線が輻輳し、無線基地制御局 -無線基地局間の移動通信トラヒックの通信品質が劣化する、あるいは他の私設網内のトラヒックに支障をきたす可能性がある。

[0011] また、上記の VPN方式では、無線基地制御局及び無線基地局が複数存在する場合、無線基地制御局と無線基地局間の経路制御情報を VPNゲートウェイに、第三者認証を利用せずに無線基地制御局 VPNゲートウェイ間と VPNゲートウェイー無線基地局間での IPsec SA(Security Association)を確立する上で必要となる事前共有鍵を VPNゲートウェイに予め設定しておく必要があり、設置する無線基地局の台数が多くなつた場合に、屋内システムの導入時の作業が煩雑になる。

[0012] 本発明の目的は、私設網を用いて移動通信サービスを提供するに当たり、移動通信トラヒックの増大に起因して私設網内回線が輻輳するのを防ぎ、他のトラヒックにも支障をきたさない移動通信システムを提供することにある。

[0013] 本発明の他の目的は、設置する無線基地局の台数が多くなつた場合にも、屋内システムの導入時の作業を簡易化することができる移動通信システムを提供することにある。

課題を解決するための手段

[0014] 本発明による第 1の移動通信システムは、無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにおいて、

前記無線基地局を私設網内に配置し、前記私設網に設置された中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、前記移動端末が発呼あるいは着呼した際に、前記中継ノードが前記私設網内の帯域管理機能と連携した受け付け判定処理を行い、受付が許可された場合に前記移動端末に通信回線を提供することを特徴とする。

[0015] 本発明による第 2の移動通信システムは、無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにおいて、

前記無線基地局を私設網内に配置し、前記私設網に設置された中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、

前記無線基地制御局と前記中継ノード間では第 1の暗号鍵を、前記無線基地局と前記中継ノード間では第 2の暗号鍵を用いて暗号ィ匕通信を行、、

前記第 2の暗号鍵の生成に必要な事前共有鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより生成し、前記無線基地制御局が前記中継ノードに前記事前共有鍵を通知することを特徴とする。

[0016] 本発明による第 3の移動通信システムは、無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにお、て、前記無線基地局を私設網内に配置し、前記無線基地局と前記私設網を介して接続される中継ノードと前記無線基地局間の前記移動通信トラヒックは前記私設網内を伝送され、前記中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、

前記無線基地制御局と前記中継ノード間では第 1の暗号鍵を、前記無線基地局と中継ノード間では第 2の暗号鍵を用いて暗号ィ匕通信を行、、

前記第 2の暗号鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより動的に生成し、前記無線基地制御局が前記中継ノードに前記第 2の暗号鍵を通知することを特徴とする。

[0017] 本発明による中継ノード、無線基地制御局は移動通信システムに用いられるものである。また本発明によるプログラムは本発明による中継ノード、無線基地制御局の機能を実現するものである。さらに、本発明の移動通信方法は移動通信システムに用いられるちのである。

発明の効果

[0018] 本発明の第 1の効果は、無線基地局と無線基地制御局間の回線として私設網を用いて移動通信サービスを提供するに当たり、移動通信トラヒックに起因して私設網内の回線が輻輳するのを防ぎ、他のトラヒックに支障をきたさないことである。これは、中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックを受信し、中継ノードが前記私設網内の帯域管理機能と連携した受け付け判定処理を行、、受付が許可された場合に前記移動端末に通信回線を提供するためである。

[0019] 本発明の第 2の効果は、屋内システムの導入時の作業を簡易化できることである。

これは、の暗号鍵の生成に必要な事前共有鍵を無線基地制御局と無線基地局間の鍵交換メカニズムにより生成し、無線基地制御局が中継ノードに事前共有鍵を通知し、中継ノードは通知された事前共有鍵を用いて無線基地局との間で暗号鍵を生成し、暗号ィ匕通信を行うためである。あるいは、暗号鍵を無線基地制御局と無線基地局間の鍵交換メカニズムにより動的に生成し、無線基地制御局が中継ノードに暗号鍵を通知し、中継ノードは通知された暗号鍵を用いて暗号ィ匕通信を行うためである。発明を実施するための最良の形態

[0020] 図 1及び図 2に示すネットワーク構成図を用いて本発明の第 1の実施形態に係わる移動通信システムを説明する。パーソナルコンピュータ（PC) 110等が接続された私設の網である LAN20は、イーサネット (登録商標） (R) (Ethernet(R))で構築されており、ファイアウォール 90、中継ノードとなる VPN(Virtual Private Network)ゲートウェイ (GateWay)100を介してインターネット網 10と接続されている。一方、移動通信コア網 30は無線基地制御局（無線基地制御局: Radio Network Controllerと称する) 70と移動網ゲートウェイ 120を介してインターネット網 10と接続されている。

[0021] また、無線基地局 60— 63は私設網（私設ネットワーク、例えば企業が私的に構築したネットワーク）としての LAN20に接続され、無線基地制御局 70と無線基地局 60 一 63間の通信では、インターネット網 10及び LAN20を回線として利用し、 VPNゲ一トウエイ 100を介することでファイアウォール 90を越えた通信を行う。このような形態で、移動通信オペレータは移動端末 80に対してインターネットアクセス等のデータ通信サービスを提供する。

[0022] さらに、 LAN20内はプライベートアドレスで運用されており、インターネット網 10はグローバルアドレスで運用されている。無線基地制御局 70と無線基地局 60— 63間の通信では、セキュリティを確保するため IPsec ESP(Encapsulation Security Payload)トンネルモードを利用し、インターネット網 10では外部 IPヘッダにグローバル IPアドレスを、 LAN20ではプライベート IPアドレスを使用し、内部 IPヘッダにはオペレータが無線基地制御局 70及び無線基地局 60— 63に独自に割り当てた IPアドレス (以降、オペレータ独自アドレスと称する）を使用する。

[0023] LAN20は例えば図 2のように構成される。図示するように、 LAN20はルータ 210と複数の Ethernet (登録商標） (R)スィッチ 220— 223で構成されており、無線基地局 60と PC110はそれぞれ Ethernet(R)スィッチ 221、 223に接続されている（記述を簡略化するため、以降ではルータ 210と Ethernet(R)スィッチ 220— 223を総称して L ANデバイスと呼ぶ。；)。また、 LAN20では帯域制御が行われており、本実施形態では帯域管理機能を実現するポリシーサーバ 200による集中型の帯域制御を行っている場合を示している。その場合、ポリシーサーバ 200にはトラヒックの特性が記述されたトラヒック情報とそのトラヒックに対して帯域制御を行う上で必要となる帯域制御情報が予め設定されており、ポリシーサーバ 200は LANデバイスの起動を検出すると、 C OPS(Common Open Policy Service)プロトコルを用いてトラヒック情報と帯域制御情報を LANデバイスに配信し、各 LANデバイスは通知された帯域制御情報に基づ、て受信したパケットに対して帯域制御を行う。

[0024] また、各 LANデバイスは帯域の制御状態を SNMP(Simple Network Management Protocol)によりポリシーサーバ 200にレポートし、ポリシーサーバ 200は LAN20全体の帯域制御状態を集中的に管理する。 LAN20を流れる移動通信トラヒックに対しても同様の帯域制御が行われる。移動通信トラヒックにはシグナリングデータとユーザデータの 2種類がある。シグナリングデータトラヒックに関しては以下に述べる手法により帯域制御を行う。予めポリシーサーバ 200にシグナリングデータのトラヒック情報と帯域制御情報を設定しておき、ポリシーサーバ 200が各 LANデバイスに配信することで、各 LANデバイスはシグナリングデータトラヒックに対して帯域制御を行う。また、ュ一ザデータに関しては以下に述べる手法により帯域制御を行う。

[0025] 移動端末 80が発呼あるいは着呼した際に無線基地制御局 70が送信する QoSシグナリングを VPNゲートウェイ 100が受信し、 VPNゲートウェイ 100が QoSシグナリングに含まれるユーザデータのトラヒック情報を抽出し、トラヒック情報をポリシーサーバ 20 0に通知する。ポリシーサーバ 200がトラヒック情報に記載の帯域を許容できるか否かの受付判定を行う。ポリシーサーバ 200が受付を許可した場合は、受付を許可した帯域制御情報及びトラヒック情報を移動通信トラヒックの経路上の LANデバイス、あるいはすベての LANデバイスに配信し、移動通信トラヒックの経路上の LANデバイスはユーザデータトラヒックに対して通知された情報に基づき帯域制御を行う。

[0026] 次に、図 3—図 6を参照して、本発明の第 1の実施形態に係る移動通信システムを構成する無線基地制御局 70、無線基地局 60、 61、 62、 63、 VPNゲートウェイ 100 及びポリシーサーバ 200の構成を説明する。

[0027] 無線基地制御局 70は、例えば図 3に示すような構成を備えている。具体的に説明すると、無線基地制御局 70は、移動通信コア網側 IF (interface) 300とインターネット側 IF (interface) 310の 2つのインタフェースを備え、 L2処理部 320, 410、 IPトランスポート処理部 430、移動無線通信プロトコル処理部 330、移動無線通信制御部 360 、帯域制御処理部 440を備えて構成される。このうち、移動無線通信プロトコル処理部 330の内部には、シグナリング処理部 340とユーザデータ処理部 350がある。 IPトランスポート処理部 440の内部には、 IP処理部 380、 L4処理部 370、 IPsec処理部 4 10がある。 IPsec処理部 410は ESP(Encryption Security Payload) SA(Security Association)情報 420を保持する。これらの各処理部における基本的な処理を以下で説明する。

[0028] 移動通信コア網側 IF300から受信したシグナリングデータ及びユーザデータは、 L 2処理部 320でリンク処理が行われた後、インターネット側 IF310から受信したシグナリングデータ及びユーザデータについては、 L2処理部 400、 IP処理部 380、 L4処理部 370でそれぞれ規定の処理が行われた後、移動無線通信プロトコル処理部 330 において移動無線通信制御部 360の制御に基づき規定の処理が行われる。

[0029] また、移動無線通信プロトコル処理部 330がインターネット側 IF310からパケットを送信する場合、以下の手順で処理が行われる。

[0030] まず L4処理部 370において、シグナリングデータに対しては SCTP (Stream

Control Transmission Protocol)処理が、ユーザデータに対しては UDP (User Datagram Protocol)処理が行われる。次に、 IP処理部 380において、送信先の無線基地局 60のオペレータ独自 IPアドレスを宛先、無線基地制御局 70自身のオペレータ独自 IPアドレスを送信元とする内部 IPヘッダが付加される。さらに、自身のグロ一バル IPアドレスを送信元、 VPNゲートウェイ 100のグローバル IPアドレスを宛先とする外部 IPヘッダでカプセルィ匕される。その際、送信先の無線基地局 60の SA情報が ESP SA情報 420に含まれている場合には、 IPsec処理部 410においてパケットが暗号化され、 ESPヘッダと ESPトレーラが付加される。

[0031] 加えて、暗号化する際には、パケット内の L4ヘッダをコピーして ESPヘッダの前部に付加する。この理由は、 LAN20の LANデバイスがパケット識別する際に必要となる L4ヘッダを閲覧できるようにするためである。

[0032] 当該パケットは L2処理部 400にお、てリンク処理が行われた後、インターネット側 I F310から送信される。パケット受信時にはこれらの逆の処理が行われる。受信バケツトに ESPヘッダと ESPトレーラが含まれる場合には、 IPsec処理部 410においてパケットの復号ィ匕が行われる。もし正しく復号できない場合には当該パケットは廃棄される

[0033] IPトランスポート処理部 430が送受信するパケットのフォーマットは、例えば図 7の（ b)に示すように構成される。図示するように、パケットは外部 IPヘッダ 801、 L4ヘッダ 833、 ESPヘッダ 811、内部 IPヘッダ 821、： L4ヘッダ 831、ペイロード 841、 ESPトレーラ 851から構成される。

[0034] 図 1に示した無線基地局 60は、例えば図 4に示すような構成を備えている。ここでは、無線基地局 60を例にとって説明する力無線基地局 61— 63も同様の構成を備えている。 [0035] 具体的には、無線基地局 60は、 LAN側 IF500と無線側 IF510の 2つのインタフエースを有し、 L2処理部 520、移動無線通信プロトコル処理部 530、移動無線通信制御部 560、 IPトランスポート処理部 630、 Ethernet (登録商標） (R)処理部 600を備えて構成される。このうち、移動無線通信プロトコル処理部 530の内部には、シグナリング処理部 540と、ユーザデータ処理部 550が備えられる。 IPトランスポート処理部 63 0には、 L4処理部 570、 IP処理部 580と、 IPsec処理部 610が備えられる。

[0036] IPsec処理部 610は ESP SA情報 620を保持する。これらの各処理部における基本的な処理を以下に示す。

[0037] 無線側 IF510から受信したシグナリングデータ及びユーザデータは、 L2処理部 52 0にお、てリンク処理が行われた後、 LAN側 IF500から受信したシグナリングデータ及びユーザデータについては、 Ethernet(R)処理部 600、 IP処理部 580、 L4処理部 570にお、てそれぞれ規定の処理が行われた後、移動無線通信プロトコル処理部 530において移動無線通信制御部 560の制御に基づき、規定の処理が行われる

[0038] また、移動無線通信プロトコル処理部 530が、 LAN側 IF500からパケットを送信する場合、以下の手順で処理が行われる。

[0039] まず、 L4処理部 570においてシグナリングデータには SCTP処理を、ユーザデータには UDP処理を行う。 IP処理部 580において送信先の無線基地制御局 70のォペレータ独自 IPアドレスを宛先、無線基地局 60自身のオペレータ独自 IPアドレスを送信元とする内部 IPヘッダが付加される。また、送信元としては自身のプライベート I Pアドレス、宛先としては VPNゲートウェイ 100のプライベート IPアドレスとする外部 IP ヘッダによるカプセル化も行われる。

[0040] その場合、送信先の無線基地局 60の SA情報力 ¾SP SA情報 620に含まれている場合には、 IPsec処理部 610がパケットの暗号化を行い、 ESPヘッダと ESPトレーラが付加される。力！]えて、暗号化する際に、 L4ヘッダをコピーして ESPヘッダの前部に付加する。

[0041] 当該パケットは Ethernet (登録商標） (R)処理部 600にお、てリンク処理された後、 LAN側 IF500から送信される。パケットを受信した場合はこの逆の処理が行われる。もし受信したパケットが ESPヘッダと ESPトレーラを含む場合は、 IPsec処理部 610においてパケットの復号ィ匕が行われる。正しく復号ィ匕できない場合には当該パケットは廃棄される。

[0042] IPトランスポート処理部 630が送受信するパケットのフォーマットは、例えば図 7の（ a)に示すように構成される。図示するように、パケットは外部 IPヘッダ 800、 L4ヘッダ 832、 ESPヘッダ 810、内部 IPヘッダ 820、 L4ヘッダ 830、ペイロード 840、 ESPトレーラ 850から構成される。

[0043] 図 1に示した VPNゲートウェイ 100は例えば図 5に示すような構成を備えている。

[0044] 具体的には、 VPNゲートウェイ 100は、 Global IP IF 750及び Private IP IF7 00、 Ethernet(R)処理部 710, 740、トンネル転送処理部 720、 IPsec処理部 760、帯域制御処理部 780から構成される。このうち、トンネル転送処理部 720は経路制御情報 730を保持し、 IPsec処理部 760は ESP SA情報 770を保持する。

[0045] 図 8—図 14を参照して、本発明の第 1の実施形態に係る移動通信システムを構成する VPNゲートウェイ 100の動作内容について詳細に説明する。例えば、経路制御情報 730は図 8に示すような転送テーブル 900から構成される。ここでは、転送テーブル 900には、 1つの無線基地制御局に関するグローバルアドレスとオペレータ独自アドレス、 4つの無線基地局に関するプライベートアドレスとオペレータ独自アドレスが登録されて、る例を示して！/、る。

[0046] 図 9は VPNゲートウェイ 100の全体の処理フローを示している。

[0047] VPNゲートウェイ 100は、受信したパケットの外部 IPヘッダ内の送信元 IPアドレスがグローバルアドレスかプライベートアドレスかの判定を行う（ステップ A— 1)。プライベートァドレスの場合、受信パケットの種別の識別を行う（ステップ A— 2)。

[0048] 受信パケットが帯域制御応答である場合は QoSシグナリング処理を (ステップ A— 6) 、アドレス通知である場合はアドレス通知パケット処理を (ステップ A— 5)行う。これらの処理の詳細については後述する。

[0049] 受信したパケットが IKEパケットである場合は送信元 IPアドレスで転送テーブル 90 0のプライベートアドレスを検索する (ステップ A-4)。上記以外の場合は後述する IPs ecパケット処理を行う（ステップ A— 3)。 [0050] ステップ A— 4にお、て該当するエントリが存在するかどうかを判別し (ステップ A— 7 )、存在する場合、後述する IKEパケット転送処理を行い (ステップ A— 8)、該当するエントリが存在しなければ、受信パケットを廃棄する (ステップ A— 9)。

[0051] 一方、ステップ A— 1にお!/、て外部 IPヘッダ内の送信元 IPアドレスがグローバルアドレスの場合、受信パケットの種別の識別を行う (ステップ B-l)。受信パケットが IKEパケットである場合は送信元 IPアドレスで転送テーブル 900のグローバルアドレスを検索し (ステップ B-3)、該当するエントリが存在するかを判定する (ステップ B-4)。

[0052] 受信パケットが IKEパケット以外の場合は後述する IPsecパケット処理を行う（ステツプ B— 2)。

[0053] ステップ B— 4において該当するエントリが存在する場合、後述する IKEパケット転送処理を行い (ステップ B— 5)、該当するエントリが存在しない場合は、受信パケットを廃棄する (ステップ B-6)。

[0054] 図 10に、図 9のステップ A— 5におけるアドレス通知パケット処理のフローを示す。この場合、送信元 IPアドレスで転送テーブル 900のプライベートアドレスを検索し (ステップ C— 1)、該当するエントリが存在するかどうかを判別する (ステップ C 2)。

[0055] 該当するエントリが存在しない場合は、転送テーブル 900に新たなエントリを追加し

(ステップ C-3)、処理を正常に完了したことを示すアドレス通知応答を送信する (ステツプ C 4)。該当するエントリが存在する場合はエラーを含むアドレス通知応答を返送する (ステップ C-5)。

[0056] 図 11に VPNゲートウェイ 100による SA情報の追加 Z削除処理のフローを示す。この場合、まず要求が追加か削除かの判定を行う (ステップ D— 1)。

[0057] 追加要求である場合、メッセージ内に含まれる IPアドレス、 IPsecプロトコル種別及び SPI(Security Parameter Index)のすべてが同一であるエントリが存在するかをチェックする (ステップ D— 2)。該当するエントリが存在しない場合、 SA情報のエントリを新たに追加し (ステップ D-3)、 S A情報追加応答を返信する (ステップ D-4)。ステップ D-2におヽて該当するエントリが存在する場合は、 S A情報追加応答 (エラー）を返信する (ステップ D-5)。

[0058] 削除要求である場合、追加処理と同様にメッセージ内の情報と同一のエントリが存在するかをチェックする (ステップ D— 6)。該当するエントリが存在する場合、 SA情報のエントリを削除し (ステップ D-7)、 SA情報削除応答を返信する (ステップ D-8)。ステツプ D— 6において該当するエントリが存在しな、場合、 S A情報削除応答 (エラー）を返信する (ステップ D-9)。

[0059] 図 12に、図 9のステップ A— 3、 B— 2における VPNゲートウェイ 100による IPsecパケット処理のフローを示す。

[0060] この場合、まずパケットを受信した IFの判定を行う（ステップ E-1)。

[0061] プライベート IP IFでパケットを受信した場合、 ESPヘッダ内の SPIで SA情報を検索してマッチするエントリが存在するかを判定する (ステップ E— 2、 E— 3)。

[0062] 該当するエントリが存在しな、場合はパケットを廃棄する (ステップ E— 4)。該当するエントリが存在する場合、該当の S A情報に対応する暗号鍵を用いてパケットの復号化を行ヽ（ステップ E— 5)、内部 IPヘッダ及び L4ヘッダの情報で S A情報の該当するエントリを検索してマッチするエントリが存在するかを判定する (ステップ E— 6、 E-7) 。該当するエントリが存在しない場合はパケットを廃棄する (ステップ E-8)。

[0063] 該当するエントリが存在する場合、該当する SA情報に対応する暗号鍵を用いて暗号ィ匕を行い (ステップ E-9)、 SA情報のトンネル終端先 IPアドレスを宛先とする IPへッダに置き換えて、カプセル化転送を行う（ステップ E-10)。

[0064] 一方、グローバル IP IFでパケットを受信した場合、 ESPヘッダ内の SPIで SA情報を検索しマッチするエントリが存在するかを判定する (ステップ E— 11、 E— 12)。

[0065] 該当するエントリが存在しない場合はパケットを廃棄する (ステップ E— 13)。該当するエントリが存在する場合は、該当する SA情報に対応する暗号鍵を用いてパケットの復号化を行ヽ (ステップ E— 14)、パケット種別をチェックする (ステップ E— 15)。

[0066] QoSシグナリングの場合、後述する QoSシグナリング処理を行ヽ (ステップ E— 16) 、 SA情報追加 Z削除要求である場合、図 11に示した SA情報追加 Z削除処理を行う（ステップ E— 17)。

[0067] ステップ E— 15にお!/、てパケット種別が上記以外の場合、内部 IPヘッダ及び L4へッダの情報で S A情報の該当するエントリを検索し、マッチするエントリが存在するかを判定する（ステップ E— 18、 E-19)。 [0068] 該当するエントリが存在しない場合はパケットを廃棄する (ステップ E— 20)。該当するエントリが存在する場合、該当する SA情報に対応する暗号鍵を用いてパケットの暗号ィ匕を行い (ステップ E-21)、 SA情報のトンネル終端先 IPアドレスを宛先とする外部 IPヘッダに置き換えて、カプセル化転送を行う（ステップ E-22)。

[0069] 図 13に図 9のステップ A— 8、 B— 5における VPNゲートウェイ 100による IKEパケット転送処理のフローを示す。

[0070] この場合、まずパケットを受信したインタフェース (IF)の判定を行う（ステップ F— 1)

[0071] 受信 IFがプライベート IP IFである場合、送信元 IPアドレスで転送テーブル 900のプライベートアドレスを検索し、マッチするエントリが存在するかを判定する (ステップ F—2、 F— 3)。

[0072] 該当するエントリが存在しなヽ場合は、パケットを廃棄する (ステップ F— 4)。

[0073] 該当するエントリが存在する場合、外部 IPヘッダを削除し (ステップ F— 5)、該当するエントリに記載のグローバルアドレスを宛先とする IPヘッダを付カ卩して、カプセルィ匕転送を行う（ステップ F— 6)。

[0074] 一方、ステップ F— 1において受信 IFがグローバル IP IFである場合、送信元 IPアドレスで転送テーブル 900のグローバルアドレスを検索し、マッチするエントリが存在するかを判定する（ステップ F-7、 F-8)。

[0075] 該当するエントリが存在しない場合はパケットを廃棄する (ステップ F— 9)。該当するエントリが存在する場合、内部 IPヘッダ内の宛先 IPアドレスで転送テーブル 900の無線基地局のオペレータ独自アドレスを検索し、マッチするエントリが存在するかを判定する（ステップ F— 10、 F-l 1)。

[0076] 該当するエントリが存在しない場合はパケットを廃棄する (ステップ F— 12)。該当するエントリが存在する場合、外部 IPヘッダを削除し (ステップ F— 13)、該当するェントリに記載のプライベートアドレスを宛先とする IPヘッダを付カ卩して、カプセル化転送を行う（ステップ F— 14)。

[0077] 図 14に、図 9のステップ A— 6における VPNゲートウェイ 100による QoSシグナリング処理の動作フローを示す。 [0078] この場合も、まずパケットの受信 IFの判定を行う（ステップ G-1)。

[0079] 受信 IFがプライベート IP IFの場合、受信した帯域制御応答 (COPS Decision)メッセージ内部の受付判定結果をチェックする (ステップ G— 2)。

[0080] 判定結果が「NG」の場合は判定結果とトラヒック情報を含む QoSシグナリングを作成し、無線基地制御局 70に送信する (ステップ G - 3)。

[0081] 判定結果が「OK」の場合、帯域制御応答メッセージで通知されたトラヒック情報及び帯域制御情報を抽出し (ステップ G-4)、抽出した各種情報を QoSシグナリングに含めて、無線基地制御局 70に送信する (ステップ G - 5)。

[0082] 一方、ステップ G—1において受信 IFがグローバル IP IFの場合、 QoSシグナリング内のトラヒック情報を抽出し (ステップ G-6)、抽出したトラヒック情報を含む帯域制御要求（COPS Request)メッセージを作成し、ポリシーサーバ 200に送信する（ステップ G— 7)。

[0083] ポリシーサーバ 200は、例えば図 6に示すような構成を備えている。具体的に説明すると、ポリシーサーバ 200は、 LAN IF1300、 Ethernet (登録商標）（R)処理部 13 10、 IP処理部 1320、 L4処理部 1330、制御プロトコル処理部 1340、帯域制御処理部 1350を備えて構成される。制御プロトコル処理部 1340は、 COPS処理部 1360と SNMP処理部 1370を有する。これらの各処理部の基本的な処理内容を以下に示す。

[0084] SNMP処理部 1370は、 LAN IF1300、Ethernet(R)処理部1310、IP処理部l 320、 L4処理部 1330を経て受信した、 LAN20の LANデバイスからの SNMPメッセージを受信し、メッセージ内の帯域制御状態情報を抽出し、帯域制御処理部 135 0に通知する。

[0085] 帯域制御処理部 1350は、これらの情報を収集 Z管理し、 LAN20内の帯域制御状態を集中管理する。

[0086] COPS処理部 1360は、帯域制御処理部 1350からの指示を受けることにより、 LA Nデバイスに対して帯域制御情報及びトラヒック情報を COP Decisionメッセージで通知する。

[0087] また、 VPNゲートウェイ 100から送られた帯域制御要求メッセージは、 LAN IF13 00、 Ethernet (登録商標） (R)処理部 1310、 IP処理部 1320、 L4処理部 1330を経て COPS処理部 1360に送られ、 COPS処理部 1360が帯域制御要求メッセージ内のトラヒック情報と帯域制御情報を抽出し、帯域制御処理部 1350に通知する。

[0088] これを受けた帯域制御処理部 1350は、収集した帯域制御情報に基づき受付判定を行い、許可した帯域制御情報と共に判定結果を COPS処理部 1360に通知する。判定結果が「OK」であった場合には、 COPS処理部 1360は判定結果と許可された帯域制御情報を含む帯域制御応答メッセージを生成し、 VPNゲートウェイ 100に送信する。また、 LAN20の移動通信トラヒックの経路上の LANデバイスあるいはすべての LANデバイスにトラヒック情報と帯域制御情報を配信する。

[0089] 図 15を参照して、本発明の第 1の実施形態に係る移動通信システムにおける無線基地制御局 70と無線基地局 60間で通信経路を確立するための動作シーケンスについて詳細に説明する。図 15においては、無線基地局 60の送受信パケットシーケンス 1000、 VPNゲートウェイ 100の送受信パケットシーケンス 1010、及び無線基地制御局 70の送受信パケットシーケンス 1020を示している。

[0090] 本実施形態では、 VPNゲートウェイ 100と無線基地制御局 70間には予め SAが確立されており（第 1の暗号鍵を用いて暗号ィ匕通信が可能となっている）、無線基地局 6 0と VPNゲートウェイ 100間で SAを確立する際 (第 2の暗号鍵を用いて暗号ィ匕通信を可能とする際）に必要となる事前共有鍵は、無線基地制御局 70と無線基地局 60 に予め設定されてヽるものとする。

[0091] 以下では、より詳細な動作シーケンスを説明する。無線基地局 60は起動すると、 D HCP(Dynamic Host Configuration Protocol)により自身のプライベート IPアドレスを取得した後、 DNS(Domain Name Server)を利用して VPNゲートウェイ 100のプライべ一ト IPアドレスを取得する。

[0092] その後、 VPNゲートウェイ 100に対して、無線基地制御局 70のグローバルアドレスとオペレータ独自アドレス、無線基地局 60のプライベートアドレスとオペレータ独自ァドレスをアドレス通知メッセージで通知する。

[0093] VPNゲートウェイ 100はこれを受けて、転送テーブル 900に通知されたアドレス群を設定し、設定したエントリを削除するためのタイマをセットすると共に、アドレス通知応答メッセージを返信する (ステップ（ 1) )。

[0094] 返信メッセージを受けた無線基地局 60は、 VPNゲートウェイ 100との ISAKMP ( Internet Security Association ana Key Management Protocol) S A及び上りと fりの 2つの IPsec SAを確立する（ステップ（2)—（4) )。その場合、 VPNゲートウェイ 100 は無線基地局 60から受信した IKEパケットのアドレス変換のみを行、、無線基地制御局 70に転送する。

[0095] 逆に、無線基地制御局 70から受信した IKEパケットもアドレス変換のみを行、、無線基地局 60に転送する。

[0096] このようにして無線基地制御局 70と無線基地局 60間で SAが確立されると、無線基地制御局 70はすべての SA情報を SA情報追加メッセージにて VPNゲートウェイ 10

0に通知する。

[0097] VPNゲートウェイ 100は、受信した SA情報をデータベースに追加し、ステップ（1) でセットしたタイマを解除すると共に、 SA情報追加応答メッセージにて設定が完了したことを通知する (ステップ（5) )。

[0098] これにより、 VPNゲートウェイ 100と無線基地局 60間では IPsecによる暗号化通信（第 2の暗号鍵による暗号化通信）が可能となり、 VPNゲートウェイ 100を介することで無線基地局 60と無線基地制御局 70は IPsec SAによる暗号ィ匕通信を開始できる（ステップ (6) )。

[0099] もし、 VPNゲートウェイ 100が SA情報追力!]メッセージを受信せずに、タイマがタイムアウトした際には、速やかに追加した転送テーブル 900のエントリを削除する。

[0100] 図 16及び図 17を参照して、本発明の第 1の実施形態に係る移動通信システムにおける無線基地制御局 70と無線基地局 60間のユーザトラヒックに対する帯域制御動作シーケンスを詳細に説明する。

[0101] 図 16に端末が着呼した場合の動作シーケンスを示す。図 16においては、無線基地制御局 70のパケット送受信シーケンス 1100、 VPNゲートウェイ 100のパケット送受信シーケンス 1110、ポリシーサーバ 200のパケット送受信シーケンス 1120、無線基地局 60のパケット送受信シーケンス 1130、移動端末 80のパケット送受信シーケンス 1140を示している。 [0102] 無線基地制御局 70は、移動通信コア網 30からのページング要求メッセージを受信すると (ステップ（1) )、移動端末 80のページングを行、 (ステップ（2) )、これに対して移動端末 80は RRCコネクション要求を無線基地制御局 70に送信し (ステップ（3) )、これを受信した無線基地制御局 70は無線基地局 60に対して無線リンク設定要求を送信する (ステップ (4) )。

[0103] 無線リンクの設定を完了すると、無線基地局 60は、無線基地制御局 70に無線リンク設定応答を返送し (ステップ（5) )、無線基地制御局 70は、 RRCコネクション設定を移動端末 80に送信する (ステップ (6) )。

[0104] これを受けた移動端末 80は、各種パラメータを設定した後、 RRCコネクション設定完了を無線基地制御局 70に送信する (ステップ（7) )。その後、移動端末 80は、セルアップデータメッセージにより位置登録を行う（ステップ（8) )。

[0105] これを受けた無線基地制御局 70は、セルアップデート確認メッセージで返信すると共に (ステップ（9) )、ページング応答を移動通信コア網 30に返送する (ステップ（10) ) oこの後、無線基地制御局 70は、移動通信コア網 30から送られた無線アクセスべァラ割当要求メッセージを受信し (ステップ（11) )、無線べァラ確立要求メッセージに含まれる QoS情報に基づき、無線リンクの設定を行う。

[0106] 具体的には、無線基地制御局 70は、無線基地局 60に無線リンク設定要求を送信し (ステップ（12) )、無線基地局 60は無線リンクの設定が完了すると無線リンク設定応答を返信する (ステップ（13) )。

[0107] これを受けた無線基地制御局 70は、要求された QoSの情報を含む QoSシグナリングを生成し、無線基地局 60に送信する (ステップ（ 14) )。

[0108] VPNゲートウェイは、この QoSシグナリングをインターセプトし、 QoSシグナリング力ら抽出したトラヒック情報を含む帯域制御要求メッセージをポリシーサーバ 200に送信する（ステップ（15) )。ここでの QoSシグナリングとは、例えば IP— ALCAP(Access Link Control Application Part)シグナリングである。

[0109] ポリシーサーバ 200は、収集した帯域制御状態情報と帯域制御要求メッセージで通知されたトラヒック情報に基づき受付判定を行!ヽ、受付判定結果及び許可した帯域制御情報を帯域制御応答メッセージに含めて VPNゲートウェイ 100に送信する通知する (ステップ（16) )。

[0110] VPNゲートウェイ 100は、帯域制御応答メッセージに含まれる受付判定結果と帯域制御情報を QoSシグナリングに含めて無線基地制御局 70に送信する (ステップ（17 ) )。本実施形態ではポリシーサーバ 200が受付許可と判定した例を示して、る。

[0111] 受付を許可した場合、ポリシーサーバ 200は、 LAN20の LANデバイスにトラヒック情報と帯域制御情報の配布も行う（図示せず)。 LAN内の帯域確保が完了すると、無線基地制御局 70は、移動端末 80に無線べァラ設定を送信する (ステップ（18) )。

[0112] これを受信した移動端末 80は、無線べァラの設定を行い、完了すると無線べァラ設定完了を返信する (ステップ（19) )。この後、移動端末 80は、無線基地制御局 70 及び移動通信コア網 30を経由してデータ通信を行う。 LAN20の移動通信トラヒックの経路上にある LANデバイスは、通知されたトラヒック情報と帯域制御情報に基づ!/ヽてユーザデータトラヒックの帯域制御を行う。

[0113] 図 17に移動端末 80が発呼した場合の動作シーケンスを示す。図 17においては、無線基地制御局 70のパケット送受信シーケンス 1200、 VPNゲートウェイ 100のパケット送受信シーケンス 1210、ポリシーサーバ 200のパケット送受信シーケンス 1220、無線基地局 60のパケット送受信シーケンス 1230、移動端末 80のパケット送受信シ一ケンス 1240を示して!/、る。

[0114] 移動端末 80は、データの送信要求をトリガとして RRCコネクション要求を無線基地制御局 70に送信する (ステップ（1) )。これを受信した無線基地制御局 70は、無線基地局 60へ無線リンク設定要求を送信する (ステップ（2) )。無線基地局 60は、無線リンクの設定を有効化し、無線基地制御局 70に無線リンク設定応答を返す (ステップ（ 3) )。

[0115] 無線基地局 60からの無線リンク設定応答を受信した無線基地制御局 70は、 RRC コネクション設定を移動端末 80に送信し (ステップ (4) )、移動端末 80は、無線リンクの設定が完了すると、 RRCコネクション設定完了を無線基地制御局 70に送信する（ステップ（5) )。また、移動端末 80は、利用するサービスの QoS情報を含むァクティベイト PDPコンテキスト要求を移動通信コア網 30に送信する (ステップ (6) )。

[0116] これを受けて、移動通信コア網 30は、無線アクセスベアラ割当要求を無線基地制御局 70に送信する (ステップ（7) )。無線基地制御局 70は、無線アクセスベアラ割当要求に含まれる QoS情報に基づき、無線リンクの設定を行う。具体的には、無線基地制御局 70は、無線基地局 60に無線リンク設定要求を送信し (ステップ (8) )、無線基地局 60が無線リンクの設定を完了すると、無線リンク設定応答を返送する (ステップ（ 9) )。

[0117] これを受けて、無線基地制御局 70は、 QoS情報を含む QoSシグナリングを生成し、無線基地局 60宛に送信する（ステップ（10) )。 VPNゲートウェイ 100は、この QoS シグナリングをインターセプトし、受信した QoSシグナリング力も抽出した QoS情報を含む帯域制御要求メッセージをポリシーサーバ 200に送信する (ステップ（11) )。

[0118] ポリシーサーバ 200は、収集した帯域制御状態情報と帯域制御要求メッセージで通知された QoS情報に基づき受付判定を行ヽ、受付判定結果及び許可した帯域制御情報を帯域制御応答メッセージに含めて VPNゲートウェイ 100に送信する通知する (ステップ（12) )。

[0119] VPNゲートウェイ 100は、帯域制御応答メッセージに含まれる受付判定結果と帯域制御情報を QoSシグナリングに含めて無線基地制御局 70に送信する (ステップ（13 ) )。本実施形態でもポリシーサーバ 200が受付許可と判定した例を示して、る。

[0120] 受付を許可した場合、ポリシーサーバ 200は、 LAN20の LANデバイスにトラヒック情報と帯域制御情報を配布する（図示せず)。その後、無線基地制御局 70は移動端末 80に対して無線べァラ設定を通知する (ステップ（ 14) )。

[0121] 移動端末 80は、無線リンクの設定を行い、完了すると無線べァラ設定完了を無線基地制御局 70に通知する (ステップ（15) )。これを受けて、無線基地制御局 70は、無線アクセスベアラ割当応答を移動通信コァ網 30に返送する (ステップ（16) )。

[0122] 移動端末 80は、移動通信コア網 30からァクティべイト PDPコンテキスト受付を受信する (ステップ（17) )と、無線基地制御局 70及び移動通信コア網 30を経由してデータ通信を行う。 LAN20の移動通信トラヒックの経路上にある LANデバイスは通知されたトラヒック情報と帯域制御情報に基づいてユーザデータトラヒックの帯域制御を行

[0123] 図 1及び図 2に示すネットワーク構成図を用いて本発明の第 2の実施形態に係わる移動通信システムを説明する。この第 2の実施形態では、無線基地制御局 70は、例えば図 18に示す構成を備えている。

[0124] 第 1の実施形態での無線基地制御局 70の構成と比較して、本第 2の実施形態では

、 IPトランスポート処理部 430が IP処理部 380、 L4処理部 370、 IPsec処理部 410にカロえて、認証処理部 450を備えている。

[0125] 認証処理部 450は、無線基地局 60— 63との間で認証を行うと共に、認証が成功した場合には、鍵交換メカニズムを用いて事前共有鍵の生成も行う。無線基地制御局

70は、 SAが確立すると、生成した事前共有鍵を VPNゲートウェイ 100に通知する。

VPNゲートウェイ 100は、この事前共有鍵を用いて無線基地局 60— 63と間で IPsec SAの確立を行う。

[0126] 無線基地局 60は、例えば図 19に示す構成を備える。ここでの実施形態では無線基地局 60について説明する力無線基地局 61— 63についても同様の構成を備えている。第 1の実施形態での無線基地局 60の構成と比較して、本実施形態では、 IP トランスポート処理部 630が IP処理部 580、 L4処理部 570、 IPsec処理部 610に加えて、認証処理部 640を備えている。認証処理部 640は、無線基地制御局 70との間で認証を行うために、上述した認証処理部 450と同様の機能を有する。

[0127] 図 20—図 22を用いて VPNゲートウェイ 100の動作フローを説明する。

[0128] 図 20に全体の処理フローを示す。まず、パケットを受信することで処理を開始し、受信したパケットの種別を判定する (ステップ H— 1)。受信したパケットが IPsecパケットであった場合、後述する IPsecパケット処理を行う（ステップ H— 2)。 IKEパケットであつた場合、 RFC (Request For Comments) 2409で規定されている IKEパケット処理を行う（ステップ H— 3)。認証パケットであった場合、後述する認証パケット転送処理を行う（ステップ H— 4)。帯域制御応答メッセージであった場合、 QoSシグナリング処理を行う（ステップ H— 5)。ここでの QoSシグナリング処理は第 1の実施形態で示した Qo Sシグナリング処理と同様である。受信したパケットが上記以外の場合はパケットを廃棄する (ステップ H-6)。

[0129] 図 21に、上記ステップ H— 2における VPNゲートウェイ 100の IPsecパケット処理のフローを示す。第 1の実施形態で示した図 12の IPsecパケット処理では、グローバル I F力もパケットを受信し、 ESPヘッダ内の SPIで SA情報を検索した際に、該当するェントリが存在し、且つパケット種別が SA情報追加 Z削除要求である場合に、ステップ E-17で SA情報追加 Z削除処理を行うようにしていたが、本実施形態では、パケット種別が SA情報追加 Z削除要求ではなぐ認証パケットである場合に、 SA情報追カロ Z削除処理の代わりに認証パケット転送処理を行う（ステップ I 17)点で第 1の実施形態と異なる。

[0130] その他のステップについては、図 12と同様であるので、同じステップ番号を付して説明を省略する。

[0131] 図 22に図 21のステップ I 17における認証パケット転送処理のフローを示す。この場合、まずパケットを受信した IFの判定を行う (ステップ J-l)。

[0132] 受信 IFがプライベート IP IFの場合、内部 IPヘッダの SPIで SA情報を検索し、マツチするエントリが存在するかを判定する (ステップ j一 ₂、 j一 ₃)。

[0133] 該当するエントリが存在しなヽ場合はパケットを廃棄する (ステップ J 4)。

[0134] 該当するエントリが存在する場合、該当する SA情報に基づき復号化を行い (ステツプ J 5)、 SA情報のトンネル終端先の IPアドレスでカプセルィ匕して転送する（ステップ

J— 6)。

[0135] 一方、ステップ J 1において受信 IFがグローバル IP IFの場合、事前共有鍵通知メッセージであるかの判定を行う（ステップ J-7)。

[0136] 事前共有鍵通知メッセージである場合、メッセージ内の事前共有鍵を抽出し、 IPse c処理部 760に通知する (ステップ J-8)。

[0137] それ以外の場合、内部 IPヘッダの宛先 IPアドレスで転送テーブル 900を検索し、マツチするエントリが存在するかを判定する (ステップ j-₉、卜 ₁₀)。

[0138] 該当するエントリが存在しない場合はパケットを廃棄する (ステップ J 11)。該当するエントリが存在する場合は、該当するエントリのプライベートアドレスでカプセルィ匕して転送する (ステップ J-12)。

[0139] また、図 23を参照して、本発明の第 2の実施形態に係る移動通信システムにおける無線基地制御局 70と無線基地局 60間で通信経路を確立するための動作シーケンスを詳糸田に説明する。 [0140] 第 2の実施形態では、無線基地局 60と無線基地制御局 70間の相互認証で使用する認証鍵が予め設定されており、無線基地制御局 70と VPNゲートウェイ 100の間の SAは事前に確立されているものとする（第 1の暗号鍵を用いて暗号ィ匕通信が可能となっている）。また、 VPNゲートウェイ 100が有する転送テーブル 900も予め設定されているものとする。図 23においては、無線基地局 60のパケット送受信シーケンス 140 0、 VPNゲートウェイ 100のパケット送受信シーケンス 1410、及び無線基地制御局 7 0のパケット送受信シーケンス 1420が示されている。

[0141] 無線基地局 60は起動すると、事前に設定されている認証鍵を用いて、無線基地制御局 70との間で相互認証を行う（ステップ（1) )。ここでの認証方式は、例えば認証鍵を利用したチャレンジ Zレスポンス型のパスワード方式が利用可能である。

[0142] 相互認証が成功した場合、無線基地局 60と無線基地制御局 70において鍵交換メ力-ズムにより認証鍵から事前共有鍵の生成を行う（ステップ（2) )。ここでの鍵交換メ力-ズムとしては、例えば Diffie— Hellman鍵交換方式が利用可能である。

[0143] 鍵の生成が完了すると、無線基地制御局 70は VPNゲートウェイ 100に対して事前共有鍵を通知する (ステップ（3) )。

[0144] 無線基地局 60は上述した鍵交換メカニズムにより生成した事前共有鍵を用ヽて IS AKMP SAの確立を行う（ステップ（4) )。

[0145] ISAKMP SAを確立すると、次に IPsec SA (上り）と IPsec SA (下り）の確立も行う (ステップ (5)、 (6) )。

[0146] 上り Z下りの 2つの IPsec SAが確立すると、無線基地局 60と無線基地制御局 70 は VPNゲートウェイ 100を介することで、 IPsec ESPによる暗号化通信が可能となる (ステップ (7) )。

[0147] なお、上記の構成において、 VPNゲートゥヱイ 100、無線基地制御局 70の機能については、ハードウェア的に実現することは勿論として、上述した VPNゲートウェイ 1 00の機能をソフトウェア的に実現するプログラム（中継ノード用プログラム）、上述した無線基地制御局 70の機能をソフトウェア的に実現する制御プログラム (無線基地制御局用プログラム）を、それぞれ VPNゲートウェイ 100、無線基地制御局 70を構成するコンピュータ上で実行することで実現することができる。これらのプログラムは、磁気ディスク、半導体メモリその他の記録媒体に格納され、その記録媒体から VPNゲートウェイ 100、無線基地制御局 70としてのコンピュータにロードされ、コンピュータの動作を制御することにより、上述した各機能を実現する。図 24はコンピュータの一構成例を示すブロック図である。 VPNゲートウェイ 100、無線基地制御局 70はコンビユータ上のプログラムとして実装され、図 24に示すように、当該プログラムをノヽードデイスク等のディスク装置 2004に記憶させ、 DRAM等のメモリ 2003に無線基地制御局と無線基地局間の移動通信制御シグナリングに含まれるトラヒック情報、確立した SA情報、 SAの確立に必要となる事前共有鍵等の情報を記憶させ、 CPU3206によりプログラムが実行され VPNゲートウェイ 100、無線基地制御局 70の機能が実現される。キーボード 3001は入力手段となる。 CRTや LCD力もなるディスプレイ（図では LCD として示されている） 2002は情報処理状況等を表示するものである。 3005はデータバス等のバスを示す。

[0148] 以上好ま、実施形態をあげて本発明を説明した力本発明は必ずしも上記実施形態に限定されるものではなぐその技術的思想の範囲内において様々に変形して実施することができる。

産業上の利用可能性

[0149] 本発明は、私設網を利用して屋内エリア内のユーザに対して移動通信サービスを提供することを可能にする移動通信システムに用いられる。

図面の簡単な説明

[0150] [図 1]本発明の第 1の実施例によるネットワークの全体構成を示すブロック図である。

[図 2]本発明の第 1の実施例における LANの構成を示すブロック図である。

[図 3]本発明の第 1の実施例における無線基地制御局の構成を示すブロック図である。

[図 4]本発明の第 1の実施例における無線基地局の構成を示すブロック図である。

[図 5]本発明の第 1の実施例における VPNゲートウェイの構成を示すブロック図である。

[図 6]本発明の第 1の実施例におけるポリシーサーバの構成を示すブロック図である [図 7]本発明の第 1の実施例における転送テーブルの構成例を示す図である。

[図 8]本発明の第 1の実施例におけるパケットフォーマットの構成を示す図である。

[図 9]本発明の第 1の実施例における VPNゲートウェイにおける全体処理を説明するフローチャートである。

[図 10]本発明の第 1の実施例における VPNゲートウェイのアドレス通知処理を説明するフローチャートである。

[図 11]本発明の第 1の実施例における VPNゲートウェイの SA情報追加 Z削除処理を説明するフローチャートである。

[図 12]本発明の第 1の実施例における VPNゲートウェイの IPsecパケット処理を説明するフローチャートである。

[図 13]本発明の第 1の実施例における VPNゲートウェイの IKEパケット処理を説明するフローチャートである。

[図 14]本発明の第 1の実施例における VPNゲートウェイにおける QoSシグナリング処理を説明するフローチャートである。

圆 15]本発明の第 1の実施例における無線基地制御局と無線基地局間の通信開始シーケンス図である。

圆 16]本発明の第 1の実施例における着呼時の帯域制御動作のシーケンス図である

[図 17]本発明の第 1の実施例における発呼時の帯域制御動作のシーケンス図である圆 18]本発明の第 2の実施例における無線基地制御局の構成を示すブロック図である。

[図 19]本発明の第 2の実施例における無線基地局の構成を示すブロック図である。

[図 20]本発明の第 2の実施例における VPNゲートウェイの全体処理を説明するフロ一チャートである。

[図 21]本発明の第 2の実施例を説明するための VPNゲートウェイにおける IPsecパケット処理フロー図である。

[図 22]本発明の第 2の実施例における VPNゲートウェイの認証パケット転送処理を説明するフローチャートである。

圆 23]本発明の第 2の実施例における無線基地制御局と無線基地局間の通信開始シーケンス図である。

[図 24]コンピュータの一構成例を示すブロック図である。

符号の説明

10:インターネット網

20: LAN

30:移動通信コア網

60、 61、 62、 63:無線基地局

70:無線基地制御局

80:移動端末

90:ファイアウォール

100: VPNゲートウェイ

110:PC

120:移動網ゲートゥイ

200:ポリシーサーバ

210:ルータ

220-223： Ethernet (登録商標）（R)スィッチ

300:移動通信コア網側 IF

310:インターネット側 IF

320、 400、 520:L2処理部

330、 530:移動無線通信プロトコル処理部

340、 540:シグナリング処理部

350、 550:ユーザデータ処理部

360、 560:移動無線通信制御部

370、 570:L4処理部

380、 580: IP処理部

410、 610、 760:IPsec処理部 420、 620、 770: ESP SA情報

430、 630: IPトランスポート処理咅

440、 780:帯域制御処理部

450、 640:認証処理部

500: LAN側 IF

510:無線側 IF

600、 710、 740:Ethernet(R)処理部

700:プライベート IP IF

720:トンネル転送処理部

730:経路制御情報

750:グローバル IP IF

800、 801:外部 IPヘッダ

810、 811: ESPヘッダ

820、 821:内部 IPヘッダ

830、 831:L4ヘッダ

840、 841:ペイロード

850、 851 :ESPトレーラ

900:転送テーブル

1000、 1130、 1230、 1400:無線基地局のパケット送受信シーケンス

1010、 1110、 1210、 1410: VPNゲートウェイのパケット送受信シーケンス

1020、 1100、 1200、 1420:無線基地制御局のパケット送受信シーケンス

1120、 1220:ポリシーサーバのパケット送受信シーケンス

1140、 1240:移動端末のパケット送受信シーケンス

1300: LAN IF

1310: Ethernet(R)処理部

1320: IP処理部

1330:L4処理部

1340：制御プロトコル処理部 1350:帯域制御処理部 1360: COPS処理部 1370:SNMP処理部

Claims

請求の範囲

[1] 無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され

、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにおいて、

前記無線基地局を私設網内に配置し、前記私設網に設置された中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、前記移動端末が発呼あるいは着呼した際に、前記中継ノードが前記私設網内の帯域管理機能と連携した受け付け判定処理を行い、受付が許可された場合に前記移動端末に通信回線を提供することを特徴とする移動通信システム。

[2] 前記移動端末が発呼あるいは着呼した際に、前記無線基地制御局が前記無線基地局宛に送信した帯域制御シグナリングを前記中継ノードが受信することで、前記受付判定処理を起動することを特徴とする請求項 1に記載の移動通信システム。

[3] 前記中継ノードが、 VPNゲートウェイであることを特徴とする請求項 1に記載の移動通信システム。

[4] 無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにおいて、

前記第 2の暗号鍵の生成に必要な事前共有鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより動的に生成し、前記無線基地制御局が前記中継ノードに前記事前共有鍵を通知することを特徴とする移動通信システム。

[5] 無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムにおいて、前記無線基地局を私設網内に配置し、前記無線基地局と前記私設網を介して接続される中継ノードと前記無線基地局間の前記移動通信トラヒックは前記私設網内を伝送され、前記中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行、、前記無線基地制御局と前記中継ノード間では第 1の暗号鍵を、前記無線基地局と中継ノード間では第 2の暗号鍵を用いて暗号ィ匕通信を行、、

前記第 2の暗号鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより動的に生成し、前記無線基地制御局が前記中継ノードに前記第 2の暗号鍵を通知することを特徴とする移動通信システム。

[6] 前記無線基地制御局が、

前記事前共有鍵を前記無線基地局との間で鍵交換メカニズムを用いて動的に生成する手段と、前記事前共有鍵を前記中継ノードに通知する手段とを備えることを特徴とする請求項 4に記載の移動通信システム。

[7] 前記無線基地制御局が、

前記無線基地局との間で鍵交換メカニズムを用いて前記第 2の暗号鍵を動的に生成する手段と、前記第 2の暗号鍵を前記中継ノードに通知する手段とを備えることを特徴とする請求項 5に記載の移動通信システム。

[8] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードにおいて、

前記無線基地局が設置される私設網に設置され、前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、

前記無線基地制御局が前記無線基地局宛に送信した帯域制御シグナリングを受信する手段と、

該帯域制御シグナリングに含まれるトラヒック情報を抽出する手段と、

私設網内の帯域管理機構と連携して受け付け判定を行う手段と、

前記受付判定結果と前記受付許可された帯域制御情報を含む帯域制御シグナリングを送信する手段を備えることを特徴とする中継ノード。

[9] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードにおいて、

無線基地局と無線基地制御局に接続され、前記無線基地制御局とは第 1の暗号鍵を、前記無線基地局とは第 2の暗号鍵を用いて暗号ィ匕通信を行い、

前記無線基地制御局から前記第 2の暗号鍵を生成するための事前共有鍵を受け取る手段と、前記事前共有鍵を用いて前記無線基地局との間で前記第 2の暗号鍵を動的に生成する手段と、前記第 2の暗号鍵を用いて前記移動通信トラヒックの暗号化を行う手段とを備えることを特徴とする中継ノード。

[10] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードにおいて、

前記第 2の暗号鍵を前記無線基地制御局から受け取る手段と、前記第 2の暗号鍵を用いて前記移動通信トラヒックの暗号ィ匕を行う手段とを備えることを特徴とする中継ノード。

[11] 複数の無線基地局と異なる暗号鍵を用いて暗号ィ匕通信を行う中継ノードを介して、前記無線基地局と接続される無線基地制御局において、

前記暗号鍵の生成に必要となる事前共有鍵を前記無線基地局との間で鍵交換メカ二ズムを用いて動的に生成する手段と、前記事前共有鍵を前記中継ノードに通知する手段とを備えることを特徴とする無線基地制御局。

[12] 複数の無線基地局と異なる暗号鍵を用いて暗号ィ匕通信を行う中継ノードを介して、前記無線基地局と接続される無線基地制御局において、

前記無線基地局との間で鍵交換メカニズムを用いて動的に前記暗号鍵を生成する手段と、前記暗号鍵を前記中継ノードに通知する手段とを備えることを特徴とする無線基地制御局。

[13] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードとして機能するコンピュータに、

無線基地局が設置される私設網に設置され、前記私設網上を伝送される無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行う機能と共に、

前記無線基地制御局が前記無線基地局宛に送信した帯域制御シグナリングを受信する機能と、前記帯域制御シグナリングに含まれるトラヒック情報を抽出する機能と、私設網内の帯域管理機構と連携して受け付け判定を行う機能と、前記受付判定結果と前記受付許可された帯域制御情報を含む帯域制御シグナリングを送信する機能とを実行させるための中継ノード用プログラム。

[14] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードとして機能するコンピュータに、

無線基地局が設置される私設網に設置され、前記私設網上を伝送される無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、前記無線基地制御局とは第 1の暗号鍵を、前記無線基地局とは第 2の暗号鍵を用いて暗号ィ匕通信を行う機能と共に、

前記無線基地制御局から前記第 2の暗号鍵を生成するための事前共有鍵を受け取る機能と、前記事前共有鍵を用いて前記無線基地局との間で前記第 2の暗号鍵を動的に生成する機能と、前記第 2の暗号鍵を用いて前記移動通信トラヒックの暗号化を行う機能とを実行させるための中継ノード用プログラム。

[15] 無線基地局と無線基地制御局間の移動通信トラヒックの中継を行う中継ノードとして機能するコンピュータに、

無線基地局が設置される私設網に設置され、前記私設網上を伝送される無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、前記無線基地制御局とは第 1の暗号鍵を、前記無線基地局とは第 2の暗号鍵を、用いて暗号化通信を行う機能と共に、

前記第 2の暗号鍵を前記無線基地制御局から受け取る機能と、前記第 2の暗号鍵を用いて前記移動通信トラヒックを暗号ィ匕する機能とを実行させるための中継ノード用プログラム。

[16] 複数の無線基地局と異なる暗号鍵を用いて暗号ィ匕通信を行う中継ノードを介して、前記複数の無線基地局と接続される無線基地制御局として機能するコンピュータに前記暗号鍵の生成するために必要な事前共有鍵を前記無線基地局との間で鍵交換メカニズムを用いて動的に生成する機能と、前記事前共有鍵を前記中継ノードに通知する機能とを実行させるための無線基地制御局用プログラム。

[17] 複数の無線基地局と異なる暗号鍵を用いて暗号ィ匕通信を行う中継ノードを介して、前記複数の無線基地局と接続される無線基地制御局として機能するコンピュータに前記無線基地局との間で鍵交換メカニズムを用いて動的に前記暗号鍵を生成する機能と、前記暗号鍵を前記中継ノードに通知する機能とを実行させるための無線基地制御局用プログラム。

[18] 無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムの移動通信方法にぉ、て、

前記移動通信システムは、前記無線基地局を私設網内に配置するとともに、中継ノードを前記私設網に設置しており、

前記中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、

前記移動端末が発呼あるいは着呼した際に、前記中継ノードが前記私設網内の帯域管理機能と連携した受け付け判定処理を行!ヽ、受付が許可された場合に前記移動端末に通信回線を提供することを特徴とする移動通信方法。

[19] 無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムの移動通信方法にぉ、て、

前記移動通信システムは、前記無線基地局を私設網内に配置し、中継ノードを前記私設網に設置しており、

前記第 2の暗号鍵の生成に必要な事前共有鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより生成し、前記無線基地制御局が前記中継ノードに前記事前共有鍵を通知することを特徴とする移動通信方法。

無線基地制御局と、前記無線基地制御局に接続される無線基地局とから構成され、前記無線基地局と接続可能な移動端末に対して移動通信サービスを提供する移動通信システムの移動通信方法において、前記移動通信システムは、前記無線基地局を私設網内に配置し、中継ノードで前記無線基地局と前記私設網を介して接続しており、

前記中継ノードと前記無線基地局間の前記移動通信トラヒックは前記私設網内を伝送され、前記中継ノードにより前記私設網上を伝送される前記無線基地制御局と前記無線基地局間の移動通信トラヒックの中継を行い、

前記第 2の暗号鍵を前記無線基地制御局と前記無線基地局間の鍵交換メカニズムにより動的に生成し、前記無線基地制御局が前記中継ノードに前記第 2の暗号鍵を通知することを特徴とする移動通信方法。