CN102217244B - 经由安全网关远程接入本地网络 - Google Patents
经由安全网关远程接入本地网络 Download PDFInfo
- Publication number
- CN102217244B CN102217244B CN200980145719.1A CN200980145719A CN102217244B CN 102217244 B CN102217244 B CN 102217244B CN 200980145719 A CN200980145719 A CN 200980145719A CN 102217244 B CN102217244 B CN 102217244B
- Authority
- CN
- China
- Prior art keywords
- access point
- protocol tunnel
- access
- tunnel
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/105—PBS [Private Base Station] network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
部署多个协议隧道(例如,IPsec隧道),以使连接到网络的接入终端能够接入与毫微微接入点相关联的本地网络。第一协议隧道建立在安全网关和毫微微接入点之间。第二协议隧道则使用两种方式中的任一种来建立。在某些实现中,第二协议隧道建立在接入终端和安全网关之间。在其它实现中,第二协议隧道建立在接入终端和毫微微接入点之间,从而该隧道的一部分通过第一隧道来路由。
Description
要求优先权
本申请要求享有下列共同拥有的申请的权益和优先权:2008年11月17日递交的美国临时专利申请No.61/115,520,分配的代理案号为No.090331P1;2009年1月16日递交的美国临时专利申请No.61/145,424,分配的代理案号为No.090331P1;2009年2月6日递交的美国临时专利申请No.61/150,624,分配的代理案号为No.090331P2;以及2009年3月27日递交的美国临时专利申请No.61/164,292,分配的代理案号为No.090331P4;以引用方式将这些临时申请的公开内容并入本申请。
技术领域
本申请主要涉及无线通信,更具体且非排它地涉及提高通信性能。
背景技术
无线通信网络被广泛地应用,以便为多个用户提供各种类型的通信(例如,语音、数据、多媒体服务等)。随着对高速率和多媒体服务的需求迅速增长,实现具有增强性能的高效可靠的通信***成为了一种挑战。
为了给传统移动电话网络补充接入点,可以使用小覆盖接入点(例如,安装在用户家庭中)来给移动接入终端提供更健壮的室内无线覆盖。这种小覆盖接入点可以称为毫微微接入点、接入点基站、家庭演进节点B(“HeNB”)、家庭节点B或者家庭毫微微。通常,这种小覆盖接入点经由DSL路由器或者有线调制解调器连接到因特网和移动运营商的网络。
在某些情况下,可以在与小覆盖接入点相同的位置部署一个或者多个本地服务。例如,用户可能拥有支持本地计算机、本地打印机、服务器和其它组件的家庭网络。在这种情况下,可能希望经由小覆盖接入点访问这些本地服务。例如,用户在家时可能希望使用他或她的手机接入到本地打印机。
通常,公共互联网上的节点可能无法发起与家庭网络中的设备的通信,因为家庭网络中的设备被家庭路由器中的防火墙和网络地址转换器(NAT)所保护。因此,需要提供有效而且实际的方法来远程接入本地网络。
发明内容
下面提供了本发明公开内容示范方面的概要。在本文的讨论中,任何提到术语“方面”的地方指的是本公开内容的一个或者多个方面。
本公开内容在某些方面涉及:使用多个协议隧道(例如,IPsec隧道)使连接到网络(例如,运营商网络、因特网等)的接入终端能够接入与毫微微接入点相关联的本地网络。第一协议隧道建立在安全网关和毫微微接入点之间。第二协议隧道使用两种方式中的任一种来建立。在某些实现中,第二协议隧道建立在接入终端和安全网关之间。在其它实现中,第二协议隧道建立在接入终端和毫微微接入点之间,从而,该隧道的一部分通过第一隧道来路由。
通过使用这些方案,即使接入终端没有在空中(over-the-air)与毫微微接入点连接,接入终端也可以到达与毫微微接入点处于同一域中的本地互联网协议(IP)网络或者服务器。
附图说明
在详细说明书、权利要求以及附图中,将对本公开内容的各个示例方面进行描述,其中:
图1是通信***的若干示范方面的简化框图,其中,接入终端经由终止于安全网关的协议隧道接入本地网络;
图2是某些操作的若干示范方面的流程图,其中,可以执行这些操作以经由终止于安全网关的协议隧道提供对本地网络的远程接入;
图3是某些操作的若干示范方面的流程图,其中,可以执行这些操作以发现安全网关;
图4是通信***的若干示范方面的简化框图,其中,接入终端经由分层协议隧道(layered protocol tunnel)远程接入本地网络;
图5是某些操作的若干示范方面的流程图,其中,可以执行这些操作以经由分层协议隧道提供对本地网络的远程接入;
图6是可以在通信节点中运用的组件的若干示范方面的简化框图;
图7是无线通信***的简化图;
图8是包含毫微微接入点的无线通信***的简化图;
图9是示出了无线通信覆盖区域的简化图;
图10是通信组件的若干示范方面的简化框图;以及
图11-16是某些装置的若干示范方面的简化框图,如本文所教导的,这些装置用于有助于远程接入本地网络。
依照惯例,附图中的各个特征可能未按比例绘制。相应地,为了清楚起见,各个特征的尺寸可以任意扩大或缩小。此外,为了清楚起见,某些附图可能被简化。因此,附图可能并没有描绘出指定装置(例如,设备)或方法的所有组件。最后,在整个说明书及附图中,相似的参考数字可用于标明相似的特征。
具体实施方式
下面描述了本公开内容的各个方面。显然,本文的教导可以体现为许多不同的形式,而且本文公开的任何具体结构、功能或两者仅仅是作为代表。基于本文的教导,本领域技术人员应该理解,本文公开的某一个方面可以与任何其它方面独立地实现,而且这些方面中的两个或者多个可以以各种方式组合。例如,可以使用本文给出的许多方面来实现一种装置或实施一种方法。另外,可以使用本文给出的一个或者多个方面之外的或不同的其它结构、功能、或结构和功能来实现这种装置或实施这种方法。而且,一个方面可以包括权利要求的至少一个要素。
图1示出了示范通信***100的若干节点(例如,通信网络的一部分)。以举例说明为目的,在相互通信的一个或者多个接入终端、接入点以及网络节点的背景下,对本发明公开内容的各个方面进行描述。然而,需要理解的是,本文所教导的内容也适用于使用其它术语引用的其它类型装置或者其它类似装置。例如,在各种实现中,接入点可以称为或者实现为基站或者演进节点B,接入终端可以称为或者实现为用户设备或者移动设备,等等。
***100中的接入点为一个或者多个无线终端(例如,接入终端102)提供一种或者多种服务(例如,网络连接),该一个或者多个无线终端可以安装在***100的覆盖区域内或者在该区域内漫游。举例来说,在不同的时间点,接入终端102会连接到接入点106(例如,与本地网络相关联的毫微微接入点)或者其它接入点(例如,宏接入点,图1中未示出)。这些接入点中的每一个接入点都可以与一个或者多个网络节点通信,从而促进广域网络的连接。
这些网络节点可以采取各种形式,例如,一个或者多个无线和/或核心网实体。这样,在各种实现中,网络节点可以提供诸如以下功能中的至少一个:网络管理(例如,经由运营、管理、监管和供应实体)、呼叫控制、会话管理、移动性管理、网关功能、互联功能或者一些其它合适的网络功能。在图1的例子中,示范网络节点表示为:公共交换数据网(PSDN)108、运营商核心网云110、安全网关112(例如,毫微微安全网关)以及鉴权服务器114(例如,鉴权、授权和计费(AAA)实体;访问位置寄存器(VLR)或者归属位置寄存器(HLR))。
***100中的节点可以使用各种方式来互相通信。根据其位置,接入终端102可以与IP网络110(例如,到IP网络110的接入点,图中未示出)或者接入点106通信。在图1的例子中,接入终端102(例如,经由无线或者有线连接)连接到由通信链路118所表示的IP网络110。接入点106可以连接到由通信链路122所表示的路由器120,路由器120可以连接到由通信链路126所表示的因特网124,安全网关112可以连接到由通信链路128所表示的因特网124,而且安全网关112可以连接到由通信链路130所表示的IP网络110。
通过使用这些通信链路,接入终端102可以与***100中的各个节点通信。当接入终端102连接到IP网络时,接入终端102可以例如经由运营商核心网(例如,蜂窝网络的核心网)或某个其它网络来访问服务。这样,接入终端102可以与其它接入终端和其它网络通信。
当接入终端102连接到接入点106时,接入终端可以接入本地网络上的节点,其中,接入点106与一个或者多个本地节点(由本地节点134表示)一起位于该本地网络中。本地节点134可以代表与接入点106位于同一IP子网络(例如,路由器120所服务的局域网)中的设备。在这种情况下,接入本地网络可以包括接入本地打印机、本地服务器、本地计算机、另一接入终端、设备(例如,安全摄像机,空调等)或者IP子网络中的某个其它实体。当接入终端102连接到接入点106时,接入终端102可以在不经过运营商核心网110的情况下接入本地网络。这样,当接入终端102在例如家庭网络或者某个其它本地网络中时,可以高效访问某些服务。
当接入终端102连接到某个其它接入点(例如,接入终端102在另一个网络中远程操作)时,接入终端102可能会因为路由器120上的防火墙而无法方便地接入本地网络。在随后的讨论中,描述了使接入终端能够远程接入本地网络的两种架构。
图1和图2描述了使用两个协议隧道的一种架构,其中每个协议隧道终止于安全网关112。第一协议隧道建立于安全网关112和接入点106之间。第二协议隧道建立于安全网关112和接入终端102之间。
图4和图5描述了使用两个协议隧道的另一种架构,其中每个协议隧道终止于接入点106。第一协议隧道建立于安全网关112和接入点106之间。第二协议隧道建立于接入点106和接入终端102之前,其中,第二协议隧道的一部分建立在第一协议隧道内。
在某些方面,这些架构可以利用IP端口来启用远程接入,其中该IP端口由建立于安全网关112和接入点106之间的协议隧道打开。在图1的架构中,安全网关112检查到经由隧道从接入终端102接收的分组,并且将这些分组穿过隧道转发到接入点106。在图4的架构中,安全网关简单地将隧道入站分组(tunneled inbound packet)从接入终端102穿过隧道路由到接入点106,反之亦然。
有利地,这些架构可以与传统的毫微微接入点实现之间有良好的协作关系。举例来说,支持本地IP接入的毫微微接入点可能已经支持为接入终端分配本地IP地址,并执行代理地址解析协议(ARP)功能。此外,毫微微接入点与其毫微微安全网关之间可能已经有了一个永久性的IPsec隧道,该隧道穿过毫微微接入点和毫微微安全网关之间的任何网络地址转换(NAT)。此外,可能不需要为远程接入终端的接入(例如,为鉴权、授权和安全IPsec隧道)提供额外的鉴权信息(例如,鉴权信息)。远程接入的鉴权信息可以使用接入终端与本地(例如,家庭)网络或运营商网络共享的现有鉴权信息中的一个来导出。
下列实施细节可以与所描述的架构一起使用。运营商可以提供远程IP接入作为基于签约的附加服务(add-on service)。在毫微微接入点处可以使用诸如DHCP/ARP能力来支持远程IP接入。可以将特定接入终端可以到达的毫微微接入点被配置为家庭鉴权服务器中接入终端(签约)简档(profile)的一部分。毫微微接入点可以用毫微微标识符或者域(realm,对于企业部署中的毫微微接入点群组有用)来标识。用户可以在接入终端处按需激活服务(例如,通过点击“我的家庭”)。
再次参考图1,现在将详细描述本架构的示范方面。安全网关112作为与接入终端102建立的协议隧道的虚拟专用网络(VPN)网关。在图1中,接入终端102和安全网关112之间的业务流(例如,经由链路118和130)由虚线136表示,业务流经由通过线对138表示的协议隧道(例如,IPsec隧道)来路由。此处,接入终端发送的分组的内部源地址和目的地址有本地网络地址(例如,由路由器120分配),而外部的源地址和目的地址将分别是例如接入终端102的宏IP地址和安全网关112的IP地址。
安全网关112将从接入终端102接收到的任何分组经由在接入点106建立的协议隧道转发到接入点106。在图1中,安全网关112和毫微微接入点106之间的业务流(例如,经由链路128、126和120)由协议隧道(例如,IPsec隧道)中的虚线140表示,该协议隧道由线对142来表示。在该隧道中,接入终端发送的分组的内部源地址和目的地址也是上段讨论的本地网络地址,而外部源地址和目的地址将例如由隧道142来定义。
使用合适的算法来利用鉴权服务器114(例如,家庭AAA)进行接入终端鉴权。例如,某些实现会使用IKEv2 EAP-AKA或者IKEv2 PSK(例如,重用接入终端现有的IP签约鉴权信息,例如,由运营商配置)。毫微微接入点可以提供DHCP服务功能,其中,安全网关112会请求本地IP作为IKEv2的一部分分配给接入终端。
安全网关112将选择的分组从接入点106转发到接入终端102(例如,根据转发策略或者目标地址)。经由接入终端102的宏IP地址,可到达安全网关112。通过使用上述方案,接入终端102可以使用任何可用的IP连接用于远程IP接入。
在某些实现中(例如,当接入终端102所处的远程网络不是接入点106的运营商网络时),在将来自接入点106的分组路由到接入终端102时会发生地址冲突。为解决这个问题,将为隧道142定义单独的子安全联盟(CSA)。例如,第一CSA可以用于对接入点106发来的、发往接入终端102的业务(例如,远程IP接入业务)进行路由。第二CSA则可以用于对接入点106发来的、发往运营商核心网110的业务进行路由。根据从哪个CSA上接收到分组,安全网关112可以确定将从接入点106接收到的分组路由到哪里。在此处使用CSA可能较有利,因为无须定义另一个唯一的协议隧道,而且可以重用隧道142的鉴权信息。
下面将结合图2中的流程图详细描述***100的示范操作。为方便起见,图2的操作(或者本文所讨论或教导的任何其它操作)可以被描述为由特定组件(例如,***100的组件)执行。然而需要理解的是,这些操作可以由其它类型的组件执行,而且可以使用不同数目的组件执行。还需要理解的是,在特定实现中可能不会用到本文所描述的一个或多个操作。
如方框202所示,在某个时间点(例如,当使用接入点106时),在安全网关112和接入点106之间建立了第一协议隧道。此处,安全网关112和接入点106分别执行相应的操作来建立协议隧道。这将包括例如交换消息来分配密钥,该密钥用于加密和解密在协议隧道142上传送的信息。此外,如上所述,可以为该协议隧道建立CSA。
如方框204所示,在某个时间点,接入终端102获得鉴权信息。例如,接入终端102首次配置时,接入终端102的无线运营商可以分配鉴权信息。
如方框206所示,在某个时间点,接入终端102可以识别本地网络上的接入点(例如,接入点106)。例如,当这些设备中的任一个被配置时,可以将接入终端102与家庭毫微微接入点关联起来。
如方框208所示,在某个时间点,接入终端102发现与接入点106相关联的安全网关。例如,接入终端102可能在接入点106的无线覆盖范围之外,但能够连接到某个其它网络(例如,无线运营商的宏网络)。在这种情况下,接入终端102会试图对与接入点106相关联的安全网关进行定位,这样接入终端102就可以接入其本地网络。如结合图3详细讨论的,这将包括如下的操作:接入终端102向一个或者多个安全网关发送消息,来寻找已与接入点106建立了隧道的安全网关。结合该消息,接入终端102将其鉴权信息发送给该安全网关。安全网关随后采取适当行动来对鉴权信息进行鉴权(例如,通过与鉴权服务器114进行通信)。例如,安全网关可以将接入终端102的签约信息发送给鉴权服务器114。鉴权服务器114维护着毫微微接入点的列表,可以作为接入终端102的一部分签约简档(subscription profile)来访问该列表(即,接入终端的签约简档确定特定用户是否被授权使用特定的毫微微接入点)。根据鉴权期间接收到的标识符(例如,NAI)(例如,根据接入终端102发送给安全网关112的消息所获得的标识符),鉴权服务器114返回一个或者多个毫微微标识符给安全网关,例如,识别允许接入终端102接入的毫微微接入点(假设接入终端102鉴权成功)。接收到的标识符还可以额外地包含(例如,隐含或者已经嵌入)接入终端要接入的毫微微接入点的标识(例如,作为部分NAI来包含)。如果返回了多个毫微微标识符,则安全网关对毫微微标识符进行选择(例如,根据到毫微微接入点的IPsec隧道的可用性,以及接入终端102所表明的任何优先偏好)。在安全网关已经建立了到接入点106的隧道(例如,接入终端102已经对安全网关112进行了查询)而且接入终端102的鉴权信息已经被鉴权的情况下,安全网关向接入终端发送响应,并且这些实体开始对协议隧道138进行设置。
如方框210所示,结合对协议隧道138进行设置,获得了接入终端102在本地网络上的地址。例如,安全网关112可以向接入点106发送消息来代表接入终端102请求本地地址。作为一个例子,在用于远程IP接入的CSA中,安全网关112经由隧道142向接入点106发送DHCP请求或者路由器请求(router solicitation),以为接入终端102请求远程IP地址。接入点106随后向路由器120发送针对该本地地址的请求。一旦接入点106得到了本地地址,接入点106将该本地地址发送给安全网关112。安全网关112随后将本地地址转发给接入终端102(例如,一旦建立了协议隧道138)。例如,可以经由IKE_AUTH消息将所分配的地址发送给接入终端102。
如方框212所示,安全网关112和接入终端102各自执行相应的操作以建立隧道协议138。这可以包括,例如,交换消息来分配用于对在协议隧道138上传送的信息进行加密和解密的密钥。
如方框214所示,一旦建立了协议隧道138,可以经由协议隧道138和142在接入终端102和接入点106之间路由分组。此处,安全网关112将其经由一个隧道接收到的分组路由到另一个隧道。这可以用多种方式完成。在某些情况下,在设置协议隧道的时候建立转发策略。这样,当经由指定隧道接收到分组时,根据策略来转发该分组。此处,根据例如封装分组的IPsec协议报头,安全网关112可以识别来自指定隧道的分组。在某些情况下,安全网关112检查该分组以获取该分组的源(例如,接入终端102)的标识符和/或目的端(例如,接入点106)的标识符。安全网关112随后根据这些提取的标识符信息来确定用于转发分组的合适隧道。
接入点106在隧道142和本地网络之间进行分组路由。例如,当在接入点106处经由隧道142接收到分组时,接入点106检查该分组以识别该分组在本地网络上的目的地。接入点106然后将分组转发到识别出的目的地。图1示出了用于接入点106和本地网络的本地节点134之间的分组流的示范数据路径144(例如,经由路由器120)。
如上所述,为了远程接入与接入点关联的本地网络,接入终端需要发现该接入点正在使用的安全网关。此处,可以假设安全网关是公共可达的(例如,节点可以通过公共IP到达该安全网关)。图3描述了两种可用来发现安全网关的技术。一种技术涉及域名服务器(DNS)解析和多次重试(multiple retries)。另一种技术涉及基于例如签约信息的安全网关重定向。
如方框302所示,接入终端102将已经识别出在本地网络上接入终端102希望接入的接入点。例如,如上文结合方框206所述,接入终端102可以获得家庭网络中允许接入终端102接入的毫微微接入点的毫微微标识符。
如方框304所示,在使用DNS技术的实现中,接入终端102发送DNS查询(query),该DNS查询中包含***中一个或者多个安全网关的指定域名。在对该查询的响应中,接入终端102可以接收到一个或者多个安全网关地址的列表。使用这种技术,接入终端102可以按顺序尝试连接每个IP地址。此处,只有正确的安全网关会连接成功。如果找到了正确的安全网关,接入终端可以如下面所述缓存该安全网关的地址信息。实际上,为了负载均衡,DNS服务器返回的地址通常是以循环方式(round robin fashion)随机化的。因此,如果使用这种技术,单个安全网关不大可能经常受到“冲击”。
如方框306所示,接入终端102发起发现安全网关。在使用DNS技术的情况下,接入终端此时会使用从DNS查询获得的地址。无论是用什么技术,接入终端102都会发消息给选定的安全网关以确定该安全网关是否已经建立到接入点106的隧道。如方框308所示,选定的安全网关从接入终端102接收该消息。
如方框310所示,安全网关确定是否已经和接入点106建立了隧道。例如,根据从鉴权服务器114接收到的一个或者多个毫微微标识符(例如,如上所示),安全网关确定是否已经有到相应毫微微接入点的预设IPsec隧道。
如方框312所示,根据方框310的确定,安全网关向接入终端102发送合适的响应。
如果隧道已经设置,则可以建立隧道138。此处,如果隧道142没有与远程IP接入相关联的CSA,安全网关112会请求接入点106创建另一个CSA。安全网关112随后用隧道142将新的CSA连接到接入终端102。如方框314所示,接入终端102随后会维护安全网关112的地址(例如,以及到接入点106的映射),这样接入终端102以后可以避免搜寻该安全网关。
如果隧道还没有设置好,则安全网关向接入终端102发送合适的响应。例如,在某些实现中,安全网关会拒绝来自接入终端的请求(例如,经由使用IKEv2的合适错误码)。
可替代地,在使用重定向技术的实现中,安全网关可以将接入终端102重定向到正确的安全网关。此处,运营商可以维护数据库(例如,重定向数据库146),该数据库将接入点标识符(例如,毫微微标识符)映射到安全网关地址。该数据库被设为对网络中的安全网关来说可接入。这样,该安全网关会确定与指定接入点相关联的正确安全网关的地址,然后在响应中将该地址信息发送给接入终端102。
当在安全网关处鉴权毫微微时,鉴权服务器114可以保存安全地址供以后使用。此处,网络中的不同鉴权服务器(例如,家庭AAA)可以具有某些方法以从网络中的其它鉴权服务器(例如,毫微微AAA)取得与毫微微标识符相关联的安全网关地址。例如,这些不同类型的鉴权服务器可以在同一实体中实现或者共享同一数据库。
如方框316所示,作为拒绝或者重定向响应的结果,接入终端102开始发现另一个安全网关。例如,在使用重定向技术的实现中,接入终端102接下来可以接入在响应中提供的地址所对应的安全网关。在使用DNS技术的实现中,接入终端102可以从地址列表中选择下一个地址,该地址列表是在方框304处获得的。
根据上述内容需要理解的是,不同的发现技术可以独立使用,或者可以将多个发现技术组合使用。例如,由于接入终端不需要知道安全网关是否能够重定向,因此DNS技术和重定向技术可以组合使用。此外,如果安全网关不对接入终端重定向,接入终端仍然可以自己尝试下一个安全网关IP地址。
参考图4,现在将详细描述***400所示架构的示范方面。***400包括的组件类似于图1中的组件。具体地,接入终端402、接入点406、安全网关412、通信链路418、422、426、428和430、路由器420以及因特网424都与图1中类似命名的组件相似。图4还示出了一个例子,其中接入点404可以连接到通信链路416所表示的PSDN 408,而PSDN 408可以连接到通信链路418所表示的运营商网络410。其它类型的网络连接也可以用于其它实现中(例如,如图1所述)。
如图1中的***100,***400使位置较远的接入终端402能够接入本地网络,其中接入点406位于该本地网络。而且,在典型场景中,接入点406是接入终端402的家庭毫微微接入点或者允许接入终端402接入的其它接入点。
在本架构中,接入点406充当与接入终端402建立的协议隧道的虚拟专用网络网关。在图4中,接入终端402和接入点406之间的业务流由虚线436表示,业务流经由通过线对438表示的协议隧道(例如,IPsec隧道)进行路由。此处,接入终端402发送的分组的内部源地址和目的地址将具有本地网络地址(例如,由路由器420通过充当接入终端402的代理ARP的接入点406来分配),而外部源地址和目的地址将分别是例如接入终端402和接入点406的宏IP地址。
安全网关412和接入点406之间的业务流经由通过线对448所表示的协议隧道(例如,IPsec隧道)来提供。此处,可以看出隧道438承载(例如,封装或者分层)在隧道448之内。这样,从接入点402到达安全网关412的分组被***隧道448中。相应地,本架构没有去除在前面段落中所描述的针对隧道438的外部报头,该外部报头包含外部源地址和目的地址。相反地,另一组外部源地址和目的地址被加入分组,而且例如将由隧道448来定义。这样,当分组到达接入点406时,将去掉分组中的两层隧道报头,以便得到具有与本地网络相关联的源和目的地址的分组。
反过来,从本地网络向接入终端402发送分组时,接入点406对分组进行封装用来经由隧道438进行传输,然后将封装后的分组再次进行封装用来经由隧道448进行传输。安全网关412随后将去掉隧道448的报头并将分组路由到接入终端402。在上述内容的基础上,下面将参考图5的流程图对***400中操作相关的更多细节进行描述。
如方框502所示,在某个时间点,在安全网关412和接入点406之间建立第一协议隧道。安全网关412和接入点406分别执行相应的操作来建立协议隧道。这将包括例如:交换消息来分配密钥,该密钥用于加密和解密协议隧道448上传送的信息。
如方框504所示,在某个时间点,接入终端402和接入点交换鉴权信息(例如,用于IKEv2 SA鉴权的共享鉴权信息)。有利地,隧道的鉴权信息不需要在接入终端402中预先配置。
例如,在接入终端通过接入点406通过空口连接时,鉴权信息可以在本地导出。此处,如果接入终端在通过空口连接到接入点406时能够经由接入点406接入本地网络,则接入终端402已经接入本地域中的任何IP主机。当接入终端位置较远时,这种能力可能因此被保留。
此处可以使用多种技术。例如,在第一种选择中,当接入终端402通过空口进行本地连接时,可以进行Diffie-Hellman密钥交换来生成预共享密钥(PSK)。在第二种选择中,当接入终端402通过空口进行本地连接时,可以进行鉴权的Diffie-Hellman密钥交换来生成预共享密钥(PSK)。在这种情况下,在用户签约服务期间,可以将鉴权中所要用的秘密信息(例如,密码)提供给用户。在Diffie-Hellman交换期间,用户可以在接入终端402上输入该秘密信息。接入点406从而在PPP鉴权和授权期间从网络(例如,从AAA实体)获取该秘密信息。密钥也可以使用AAA交换来在网络处生成(其中,接入点将其Diffie-Hellman值发送给网络)。在Diffie-Hellman交换之后,接入终端402和接入点共享PSK。在第三种选择中,可以使用EAP-AKA(通过PPP)生成MSK,然后MSK将作为PSK来使用。在第四种选择中,可以使用GBA来生成接入终端402和接入点406之间的PSK。此处,接入点406起到了NAF的作用,并且联系BSF进行自举(bootstrapping)。在自举过程的末尾,接入终端402和接入点406共享PSK。
在接入终端远程连接(例如,通过宏接入点或者毫微微接入点)时,也可以导出鉴权信息。例如,当接入终端处于宏覆盖时(例如,连接到宏接入点404),在接入终端402和接入点406之间建立IKEv2 SA期间可以导出鉴权信息。可以使用与上述选项相似的技术来导出共享密钥。对于第一种和第二种选择来说,可以在IKEv2 INIT_SA的Diffie-Hellman交换期间生成PSK。对于第三种选择来说,在IKEv期间进行EAP-AKA。对于第四种选择来说,可以使用GBA,利用基于IKEv2的Ua(NAF-UE)标准化协议。
接入终端402可以通过不同方式来获取接入点406的IP地址。在某些实现中,当接入点406注册到网络时,可以在属于运营商的私有DNS中给接入点406分配正式域名(FQDN,fully qualified domain name)。在这种情况下,接入终端可以使用这一FQDN来联系接入点406。在某些实现中,当接入终端402通过空口连接到接入点406时,接入终端402可以知道接入点406的IP地址。
再次参考图5,如方框506所示,接入终端发现接入点406,以用于接入希望的本地网络。这些操作与上述发现操作类似。
如方框508所示,结合建立第二协议隧道(隧道438),得到了接入终端402在本地网络上的地址。如上所述,接入点406可以向路由器420发送针对本地地址的请求。在某些情况下,接入点406随后将本地地址发送给安全网关412,安全网关412转而将本地地址转发给接入终端402。
如方框510所示,接入点406和接入终端402各自进行相应的操作,以建立第二协议隧道。这将包括例如:交换消息来分配密钥,该密钥用于加密和解密协议隧道438上传送的信息。
如方框512所示,一旦建立了协议隧道438,可以经由协议隧道438和448在接入终端402和接入点406之间路由分组。对于从接入终端402接收到的隧道分组,安全网关412封装该分组以用于通过隧道448传输。对于从接入点406接收到的分组,安全网关412去掉用于隧道448的封装,然后将隧道分组发送给接入点406。如上所述,这可以使用转发策略或者某个其它合适技术来完成。
另外,如上所述,接入点406在隧道448、隧道438和本地网络之间路由分组。例如,当经由隧道在接入点406处接收到分组时,接入点406检查该分组以识别该分组在本地网络上的目的地。然后,接入点406将分组转发到已识别的目的地。图4示出了用于接入点406和本地网络的本地节点434之间的分组流的示范数据路径444(例如,经由路由器420)。
图6示出了可以并入如下节点的若干示范组件:接入终端602、接入点604、安全网关606以及鉴权服务器642(例如,分别对应于接入终端102或402、接入点106或406、安全网关112或412、以及鉴权服务器114),来进行本文所教导的接入操作。所述组件也可以并入通信***中的其它节点。例如,***中的其它节点可以包括与针对接入终端602、接入点604以及安全网关606描述的那些组件相似的组件,以用于提供相似的功能。指定节点可以包含一个或者多个所述组件。例如,接入终端可以包含多个收发机组件,其使接入终端能够在多个频率上运行和/或通过不同技术进行通信。
如图6所示,接入终端602和接入点604分别包括用于和其它节点通信的收发机608和收发机610。收发机608包括用于发送信号(例如,发送给接入点)的收发机612和用于接收信号(例如,从接入点接收)的接收机614。类似地,收发机610包括用于发送信号的发射机616和接收信号的接收机618。
接入点604和网络节点606还分别包括网络接口620和622,用于相互间通信或者与其它网络节点通信。例如,网络接口620和622可以被配置为经由有线或者无线回程与一个或者多个网络节点通信。
接入终端602、接入点604和安全网关606还包括可与本文所教导的接入操作结合使用的其它组件。例如,接入终端602、接入点604、安全网关606和鉴权服务器114分别包含通信控制器624、626、628和644,用于管理与其它节点的通信(例如,处理和检查分组、获取鉴权信息、获取标识符、或者发送和接收分组、消息、请求、地址、鉴权信息、响应或查询),以及用于提供如本文所教导的其它相关功能。此外,接入终端602、接入点604和安全网关606分别包括隧道控制器620、632和634,用于建立隧道以及用于提供如本文所教导的其它相关功能(例如,接受或者拒绝接入终端接入到隧道)。接入终端602包括移动控制器636,用于识别将要接入的接入点,以及用于提供如本文所教导的其它相关功能。接入终端602包括数据存储器638,用户维护安全网关地址,以及用于提供如本文所教导的其它相关功能。接入点604包括地址控制器640,用于获取本地地址,以及用于提供如本文所教导的其它相关功能。鉴权服务器642包括数据库646,用于存储签约信息,以及用于提供如本文所教导的其它相关功能。
为方便起见,图6中所示接入终端602和接入点604包括可在本文所述的各个例子中使用的组件。实际上,一个或者多个所示组件可以在不同例子中以不同方式实现。举例来说,相比图4的实现,在图1的实现中,隧道控制器630、632和634可以拥有不同功能和/或以不同方式工作(例如,以不同方式建立隧道)。
此外,在某些实现中,图6中的组件可以在一个或者多个处理器(例如,处理器使用和/或包含数据存储器)中实现。例如,方框624、630、636和638的功能可以由接入终端的一个或者多个处理器实现,方框620、626、632和640的功能可以由接入点中的一个或者多个处理器实现,方框622、628和624的功能可以由网络节点中的一个或者多个处理器实现。
如上所述,在某些方面,本文的教导可以用于包括宏规模覆盖(例如,诸如3G网络的大面积蜂窝网络,通常称为宏蜂窝网络或者广域网络)和小规模覆盖(例如,基于住宅的或者基于楼宇的网络环境)在内的网络中。当接入终端在网络中移动时,接入终端在某处会由提供宏覆盖的接入点进行服务,而在另一处由提供小规模覆盖的接入点进行服务。在某些方面,小覆盖接入点可用于提供递增式容量增长、楼内覆盖等不同服务(例如,为了更好的用户体验)。
在本文的描述中,在相对较大区域内提供覆盖的节点可称为宏接入点,而在相对较小区域(例如,住宅)内提供覆盖的节点可称为毫微微接入点。需要理解的是,本文的教导也适用于与其它类型覆盖区域相关联的节点。例如,微微接入点提供的覆盖(例如,在商业建筑内的覆盖)区域小于宏区域而大于毫微微区域。在各种应用中,可以使用其它术语来指代宏接入点、毫微微接入点或其它接入点类型的节点。例如,宏接入点可以被配置为或者称为接入节点、基站、接入点、演进节点B、宏小区等。此外,毫微微接入点可以被配置为或者称为家庭节点B、家庭演进节点B、接入点基站、毫微微小区等。在某些实现中,节点可以与一个或者多个小区或者扇区相关(例如,分割为小区或者扇区)。与宏接入点、毫微微接入点或者微微接入点相关的小区或者扇区可以分别称为宏小区、毫微微小区或者微微小区。
图7示出了无线通信***700,其被配置为支持多个用户,并且可以在其中实现本文所教导的内容。***700为诸如宏小区702A到702G的多个小区702提供通信,其中每个小区由相应的接入点704(例如,接入点704A到704G)服务。如图7所示,随着时间的推移,接入终端706(例如,接入终端706A到706L)可能分布于整个***中的不同地点。例如,取决于接入终端706是否激活以及是否处于软切换状态,每个接入终端706都可以在特定时刻在前向链路(FL)和/或反向链路(RL)上与一个或者多个接入点704通信。无线通信***700可以在广大的地理区域内提供服务。例如,宏小区702A-702G可以覆盖附近的几个街区或者在乡村环境中的几英里。
图8示出了示例性通信***800,其中在网络环境内部署了一个或者多个毫微微接入点。具体地,***800包括多个毫微微接入点810(例如,毫微微接入点810A和810B),它们安装在相对较小范围的网络环境内(例如,在一个或者多个用户住宅830中)。经由DSL路由器、有线调制解调器、无线链路或者其它连接装置(未示出),将每个毫微微接入点810耦合到广域网络840(例如,因特网)和移动运营商核心网850。正如下面将要讨论的,每个毫微微接入点810可以被配置为服务于相关联的接入终端820(例如,接入终端820A),可选地,还可以服务于其它(例如,混合的或者外来的)接入终端820(例如,接入终端820B)。换句话说,接入毫微微接入点810可能受到限制,从而给定的接入终端820可能由一组指定的(例如,家庭)毫微微接入点810服务,而不能由任何非指定的毫微微接入点810(例如,邻居的毫微微接入点810)服务。
图9示出了覆盖图900的实例,其中定义了若干跟踪区域902(或者路由区域、位置区域),每个跟踪区域包括若干宏覆盖区域904。在这里,与跟踪区域902A、902B和902C相关的覆盖区域由粗线描绘,而宏覆盖区域904由较大的六边形表示。跟踪区域902还包括毫微微覆盖区域906。在这个实例中,每个毫微微覆盖区域906(例如,毫微微覆盖区域906C)被描绘为在一个或者多个宏覆盖区域904(例如,宏覆盖区域904B)之内。但是需要理解的是,一些或者全部毫微微覆盖区域906可能不在宏覆盖区域904之内。实际上,可以在给定的跟踪区域902或者宏覆盖区域904内定义大量毫微微覆盖区域906。此外,可以在给定的跟踪区域902或者宏覆盖区域904内定义一个或者多个微微覆盖区域(未示出)。
再次参照图8,毫微微接入点810的所有者可以签约移动服务,例如3G移动服务等,该移动服务通过移动运营商核心网850提供。此外,接入终端820能够在宏环境和较小范围(例如,住宅)的网络环境内工作。换句话说,根据接入终端820的当前位置,接入终端820可以由与移动运营商核心网络850相关联的宏小区接入点860服务,或者由一组毫微微接入点810中的任意一个(例如,位于相应用户住宅830内的毫微微接入点810A和810B)服务。例如,当用户不在家时,他由标准宏接入点(例如,接入点860)服务,而当用户在家时,他由毫微微接入点(例如,接入点810A)服务。这里需要理解的是,毫微微接入点810可以与传统接入终端820向后兼容。
毫微微接入点810可以部署在单个频率上,或者作为另一种选择,可以部署在多个频率上。根据具体配置,该单个频率或者该多个频率中的一个或更多频率可能与宏接入点(例如,接入点860)使用的一个或更多频率重叠。
在某些方面,接入终端820可配置为只要是能连接到优选毫微微接入点(例如,接入终端820的家庭毫微微接入点)就连接到该优选毫微微接入点。例如,每当接入终端820A位于用户的住宅830中时,可以希望接入终端820A只与家庭毫微微接入点810A或810B通信。
在某些方面,如果接入终端820在宏蜂窝网络850内工作,但是没有驻留在其最优选网络内(例如,如在优选漫游列表中定义的),接入终端820可以使用“更优***重选”(BSR)过程继续搜寻最优选网络(例如,优选毫微微接入点810),“更优***重选”可以包括:定期扫描可用***以确定更优***当前是否可用,随后捕获该优选***。接入终端820可以将搜寻限制于特定的频带和信道。例如,可以定义一个或者多个毫微微信道,从而区域内的所有毫微微接入点(或者所有受限的毫微微接入点)在这些毫微微信道上工作。可以定期地重复搜寻最优选***。当发现优选毫微微接入点810时,接入终端820当在毫微微接入点810的覆盖区域内时选择毫微微接入点810并注册到该毫微微接入点810以便使用。
接入毫微微接入点在某些方面是受限制的。例如,给定的毫微微接入点只可以向特定接入终端提供特定服务。在具有所谓的限制性(或封闭式)接入的部署中,给定的接入终端只可以由宏小区移动网络和规定的一组毫微微接入点(例如,位于相应用户住宅830内的毫微微接入点810)服务。在一些实现中,可以限制接入点不得为至少一个接入点提供下列至少其一:信令、数据访问、注册、寻呼或者服务。
在一些方面,受限毫微微节点(其也可以称为封闭的用户组家庭节点B(Closed Subscriber Group Home NodeB))是向规定的受限接入终端集提供服务的节点。该接入终端集可以按照需要临时地或永久地扩展。在一些方面,可以将封闭的用户组(“CSG”)规定为接入点集(例如,毫微微接入点),该接入点集中的接入点共享公共的接入终端接入控制列表。
因此,给定毫微微接入点和给定接入终端之间可能存在多种关系。例如,从接入终端的角度来说,开放式毫微微接入点指的是具有非受限接入的毫微微接入点(例如,该毫微微接入点允许接入到任何接入终端)。受限毫微微接入点指的是以某种方式受到限制的毫微微接入点(例如,在关联和/或注册方面受到限制)。家庭毫微微接入点指的是接入终端被授权接入和工作所在的毫微微接入点(例如,为规定的一组一个或多个接入终端提供永久性接入)。访客(或者混合)毫微微接入点指的是接入终端被临时授权接入或工作所在的毫微微接入点。外来毫微微接入点指的是除发生紧急情况(例如,呼叫911)之外未授权接入终端接入或工作所在的毫微微接入点。
从受限毫微微接入点的角度来说,家庭接入终端指的是被授权接入该受限毫微微接入点的接入终端,其中该受限毫微微接入点安装于该接入终端的所有者的住宅内(通常该家庭接入终端具有对该毫微微接入点的永久性接入)。访客接入终端指的是临时接入该受限毫微微接入点的接入终端(例如,根据时间期限、使用时间、字节、连接计数或者某些其它规则来进行限制)。外来接入终端指的是除发生例如911呼叫的紧急情况之外不被允许接入该受限毫微微接入点的接入终端(例如,不具有用来在受限毫微微接入点上进行注册的鉴权信息或许可)。
为便于说明,文中公开内容在毫微微节点的环境下描述了各种功能。然而,应当理解,微微接入点可以为更大的覆盖区域提供相同或相似的功能。例如,微微接入点可以是受限的,可以针对指定接入终端规定家庭微微接入点等。
本文所教导的内容可用于同时支持多个无线接入终端的通信的无线多址通信***中。这里,每个终端经由前向和反向链路上的传输与一个或者多个接入点通信。前向链路(或者下行链路)指的是从接入点到终端的通信链路,而反向链路(或者上行链路)指的是从终端到接入点的通信链路。该通信链路可以经由单输入单输出***、多输入多输出(MIMO)***或者其它类型的***来建立。
MIMO***使用多个(NT个)发射天线和多个(NR个)接收天线进行数据传输。由NT个发射天线和NR个接收天线组成的MIMO信道可以分解为NS个独立信道,这些独立信道也称为空间信道,其中NS≤min{NT,NR}。NS个独立信道中的每一个都对应于一个维度。如果利用多个发射和接收天线创建的额外维度,则MIMO***可以提供改善的性能(例如,更大的吞吐量和/或更高的可靠性)。
MIMO***可以支持时分双工(TDD)和频分双工(FDD)。在TDD***中,前向和反向链路传输工作在相同的频率区间,使得互逆原理允许根据反向链路信道估计前向链路信道。当接入点上有多个天线可用时,这使得接入点能够提取前向链路上的发射波束成形增益。
图10示出了示范MIMO***1000中的无线设备1010(例如,接入点)和无线设备1050(例如,接入终端)。在设备1010处,将多个数据流的业务数据从数据源1012提供到发射(TX)数据处理器1014。每个数据流随后将在各自的发射天线上进行发射。
TX数据处理器1014根据为每个数据流选择的特定编码方案,对每个数据流的业务数据进行格式化、编码和交织以提供已编码数据。每个数据流的已编码数据可以通过OFDM技术与导频数据进行复用。导频数据通常是以已知方式进行处理的已知数据模式,并且可以在接收机***处用于进行信道响应估计。随后根据为每个数据流选择的特定调制方案(例如,BPSK、QPSK、M-PSK或者M-QAM),将每个数据流的经过复用的导频和已编码数据进行调制(即,符号映射),以提供调制符号。每个数据流的数据速率、编码和调制可以由处理器1030执行的指令确定。数据存储器1032可以存储程序代码、数据以及处理器1030或设备1010的其它组件使用的其它信息。
随后将所有数据流的调制符号提供给TX MIMO处理器1020,该处理器进一步处理调制符号(例如,针对OFDM)。TX MIMO处理器1020随后将NT个调制符号流提供给NT个收发机(XCVR)1022A到1022T。在某些方面,TX MIMO处理器1020将波束成形权重运用于数据流的符号以及发射该符号的天线。
每个收发机1022接收并处理各自的符号流以提供一个或者多个模拟信号,并且进一步调节(例如,放大、滤波和上变频)模拟信号,从而提供适合在MIMO信道上传输的调制信号。随后,分别从NT个天线1024A到1024T发射来自收发机1022A到1022T的NT个已调制信号。
在设备1050处,发射出的调制信号被NR个天线1052A到1052R接收,并且从每个天线1052接收到的信号被提供给各自的收发机(XCVR)1054A到1054R。每个收发机1054调节(例如,滤波、放大和下变频)各自的接收信号,数字化调节后的信号以提供采样,并且进一步处理采样以提供对应的“接收”符号流。
根据特定的接收机处理技术,接收(RX)数据处理器1060随后接收并处理来自NR个收发机1054的NR个接收符号流,以提供NT个“检测”符号流。RX数据处理器1060随后解调、解交织并解码每个检测到的符号流,从而恢复数据流的业务数据。RX数据处理器1060的处理与设备1010上的TX MIMO处理器1020和TX数据处理器1014所进行的处理互逆。
处理器1070定期地确定要用哪个预编码矩阵(下文将讨论)。处理器1070构造反向链路消息,其包括矩阵索引部分和秩值部分。数据存储器1072可以存储程序代码、数据以及处理器1070或设备1050的其它组件用到的其它信息。
反向链路消息可以包括关于通信链路和/或所接收数据流的各种信息。反向链路消息随后由TX数据处理器1038处理、由调制器1080调制、由收发机1054A到1054R调节,然后发射回设备1010,其中TX数据处理器1038还从数据源1036接收多个数据流的业务数据。
在设备1010处,来自设备1050的已调制信号由天线1024接收、由收发机1022调节、由解调器(DEMOD)1040解调、并且由RX数据处理器1042处理,以提取设备1050发射的反向链路消息。处理器1030随后确定用哪个预编码矩阵来确定波束成形权重,随后处理所提取的消息。
图10还示出通信组件可以包括执行如本文所教导的接入控制操作的一个或者多个组件。例如,接入控制组件1090可以与处理器1030和/或设备1010的其它组件协作,从而如本文所教导的向另一设备(例如设备1050)发送信号或者从另一设备接收信号。类似地,接入控制组件1092可以与处理器1070和/或设备1050的其它组件协作,从而向另一设备(例如设备1010)发送信号或者从另一设备接收信号。需要理解的是,对于每个设备1010和1050来说,两个或者多个所述组件的功能可以由单个组件提供。例如,单个处理组件可以提供接入控制组件1090和处理器1030的功能,单个处理组件可以提供接入控制组件1092和处理器1070的功能。在某些实现中,处理器1030和存储器1032可以为设备1010共同提供与接入相关的功能以及如本文所教导的其它功能,而处理器1070和存储器1072可以为设备1050共同提供与接入相关的功能以及如本文所教导的其它功能。
本文所教导的内容可用于各种通信***和/或***组件。在某些方面,本文所教导的内容可用于多址***,该多址***能够通过共享可用***资源(例如,通过规定一个或者多个带宽、发射功率、编码、交织等)支持与多个用户的通信。例如,本文所教导的内容适用于下列技术的任意一个或者其组合:码分多址(CDMA)***、多载波CDMA(MCCDMA)、宽带CDMA(W-CDMA)、高速分组接入(HSPA、HSPA+)***、时分多址(TDMA)***、频分多址(FDMA)***、单载波FDMA(SC-FDMA)***、正交频分多址(OFDMA)***,或者其它多址技术。使用本文所教导内容的无线通信***可设计为实现一种或者多种标准,例如,IS-95、cdma2000、IS-856、W-CDMA、TDSCDMA以及其它标准。CDMA网络可以实现诸如通用陆地无线接入(UTRA)、cdma2000等的无线电技术或者某些其它技术。UTRA包括W-CDMA和低码率(LCR)。cdma2000技术覆盖了IS-2000、IS-95和IS-856标准。TDMA网络可以实现诸如全球移动通信***(GSM)的无线电技术。OFDMA网络可以实现诸如演进UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16、IEEE 802.20、等无线电技术。UTRA、E-UTRA和GSM是通用移动电信***(UMTS)的一部分。本文所教导的内容可实现在3GPP长期演进(LTE)***、超移动宽带(UMB)***以及其它类型的***中。LTE是使用E-UTRA的UMTS版本。在名为“第三代合作伙伴计划”(3GPP)组织的文件中描述了UTRA、E-UTRA、GSM、UMTS和LTE,而在名为“第三代合作伙伴计划2”(3GPP2)组织的文件中描述了cdma2000。尽管使用3GPP术语来描述本发明公开内容的某些方面,需要理解的是,本文所教导的内容适用于3GPP(例如,版本99、版本5、版本6、版本7)技术以及3GPP2(例如,1xRTT、1xEV-DO版本O、版本A、版本B)技术和其它技术。
本文所教导的内容可以并入多种装置(例如,节点)(例如,在其中实现或者由其执行)。在某些方面,根据本文所教导的内容实现的节点(例如,无线节点)可以包括接入点或者接入终端。
例如,接入终端可以包括、实现为或者称为用户设备、用户站、用户单元、移动站、移动电话、移动节点、远程站、远程终端、用户终端、用户代理、用户装置或某些其它技术。在某些实现中,接入终端可以包括:蜂窝电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、有无线连接能力的手持设备、或者连接到无线调制解调器的某些其它合适处理设备。相应地,本文所教导的一个或者多个方面可以并入电话(例如,蜂窝电话或者智能电话)、计算机(例如,膝上型计算机)、便携式通信设备、便携式计算设备(例如,个人数字助理)、娱乐设备(例如,音乐设备、视频设备或者卫星无线电)、全球定位***设备、或者用于经由无线介质通信的任何其它合适设备。
接入点可以包括、实现为或者称为节点B、演进节点B、无线网络控制器(RNC)、基站(BS)、无线基站(RBS)、基站控制器(BSC)、收发机基站(BTS)、收发机功能(TF)、无线收发机、无线路由器、基本服务集(BSS)、扩展服务集(ESS)、宏小区、宏节点、家庭eNB(HeNB)、毫微微小区、毫微微节点、微微节点、或者某些其它类似术语。
在某些方面,节点(例如,接入点)可以包括通信***的接入节点。这样的接入节点可以经由到网络(例如,诸如因特网或蜂窝网络的广域网)的有线或者无线通信链路来为该网络或者向该网络提供例如连通性。因此,接入节点可以使另一节点(例如,接入终端)能够接入网络或某个其它功能。此外,应当认识到这一个或两个节点可以是便携的或者在某些情况中是相对不便携的。
此外,需要理解的是,无线节点可以通过非无线的方式(例如,经由有线连接)发送和/或接收信息。这样,如本文所述的接收机和发射机可以包括合适的通信接口组件(例如,电子或者光接口组件),以便经由非无线介质进行通信。
无线节点可以经由基于或者支持任何合适无线通信技术的无线通信链路来进行通信。例如,在某些方面,无线节点可以与网络相关。在某些方面,该网络可以包括局域网或者广域网。无线设备可以支持或者使用本文所述各种无线通信技术、协议或者标准(例如,CDMA、TDMA、OFDM、OFDMA、WiMAX、Wi-Fi等)中的一种或者多种。类似地,无线节点可以支持或者使用各种相应的调制或复用方案中的一种或者多种。无线节点因而可以包括合适的组件(例如,空中接口),从而使用上述或者其它无线通信技术来建立一个或者多个无线通信链路,并且经由这些链路进行通信。例如,无线节点可以包含具有相关联的发射机和接收机组件的无线收发机,该无线收发机可以包含促进在无线介质中通信的多种组件(例如,信号发生器和信号处理器)。
在某些方面,本文所描述的功能(例如,针对一个或者多个附图)可以对应于权利要求中类似地描述为“用于……的装置”的功能。参考图11-14,装置1100、1200、1300和1400被表示为一系列相互关联的功能模块。这里,第一隧道建立模块1102、第二隧道建立模块1104、子安全联盟建立模块1118、隧道接入请求接收模块1120、已建立隧道确定模块1122以及接入终端重定向模块1124可以至少在某些方面对应于例如本文所描述的隧道控制器。分组确定模块1106、已接收分组转发模块1108、地址请求发送模块1110、地址接收模块1112、地址发送模块1114、鉴权信息接收模块1116可以至少在某些方面对应于例如本文所描述的通信控制器。接入点识别模块1202可以至少在某些方面对应于例如本文所描述的移动控制器。安全网关消息发送模块1204、消息响应接收模块1206、DNS查询发送模块1208、安全网关地址接收模块1210可以至少在某些方面对应于例如本文所描述的移动控制器。安全网关地址维护模块1212可以至少在某些方面对应于例如本文所描述的数据存储器。隧道建立模块1214可以至少在某些方面对应于例如本文所描述的隧道控制器。安全网关隧道建立模块1302、子安全联盟建立模块1316、接入终端隧道建立模块1318可以至少在某些方面对应于例如本文所描述的隧道控制器。本地网络地址获取模块1304可以至少在某些方面对应于例如本文所描述的地址控制器。地址消息发送模块1306、分组传送模块1308、地址请求接收模块1310、分组检查模块1312、分组转发模块1314可以至少在某些方面对应于例如本文所描述的通信控制器。第一隧道建立模块1402和第二隧道建立模块1406可以至少在某些方面对应于例如本文所描述的隧道控制器。鉴权信息获取模块1404、分组接收模块1412、分组检查模块1414和分组转发模块1416可以至少在某些方面对应于例如本文所描述的通信控制器。本地网络地址获取模块1408和地址发送模块1410可以至少在某些方面对应于例如本文所描述的地址控制器。接入点识别模块1502可以至少在某些方面对应于例如本文所描述的移动控制器。消息发送模块1504可以至少在某些方面对应于例如本文所描述的通信控制器。接入点识别模块1602可以至少在某些方面对应于例如本文所描述的通信控制器。标识符存储模块1604可以至少在某些方面对应于例如本文所描述的数据库。签约信息使用模块1606可以至少在某些方面对应于例如本文所描述的数据库。
图11-14中的模块的功能可以使用与本文所教导的内容一致的多种方式来实现。在某些方面,这些模块的功能可以实现为一个或者多个电子组件。在某些方面,这些模块的功能可以实现为一个或者多个包含处理器组件的处理***。在某些方面,这些模块的功能可以使用例如一个或者多个集成电路(例如,ASIC)的至少一部分来实现。根据本文的描述,集成电路可以包含处理器、软件、其它相关组件或者其某些组合。这些模块的功能还可以用本文所教导的某种其它方式实现。在某些方面,图11-14中任意虚线框中的一个或者多个是可选的。
需要理解的是,使用“第一”、“第二”等名称对任何要素的引用通常并不对这些要素的数量或者顺序产生限制。相反地,本文使用这些名称,是对两个或两个以上要素或要素的实例进行区分的简便方法。因而,当提到第一要素和第二要素的时候,并不意味着这里只用到了两个要素,也不意味着第一要素以某种形式处在第二要素的前面。另外,除非另有说明,一组要素可以包括一个要素或者多个要素。此外,说明书或者权利要求中用到的“A、B或者C中的至少一个”这样的表述形式的意思是:“这些要素中的A或者B或者C或者任意组合”。
本领域技术人员应当理解,信息和信号可以使用多种不同的技术和方法来表示。例如,在贯穿上面的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。
本领域技术人员还应当明白,结合本文公开的各个方面所描述的各种示例性逻辑方框、模块、处理器、装置、电路和算法步骤均可以实现为电子硬件(例如,数字实现、模拟实现、或者两者的组合,其可以使用源代码或者其它技术来设计)、包含指令的各种形式的程序或者设计代码(为方便起见,在本文中其可称为“软件”或者“软件模块”)、或者两者的组合。为了清楚地表示硬件和软件之间的可互换性,上面对各种示例性的部件、方框、模块、电路和步骤均围绕其功能进行了总体描述。至于这种功能是实现为硬件还是实现为软件,取决于特定的应用和对整个***所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离了本发明公开内容的保护范围。
结合本文公开的各个方面所描述的各种示例性逻辑方框、模块和电路,可以在集成电路(IC)、接入终端或接入点内实现或者由集成电路(IC)、接入终端或接入点执行。IC可以包括:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件部件、电子部件、光学部件、机械部件、或者其任意组合,其被设计为执行本文所述功能并且可以执行处于IC内、处于IC外、或者两者的代码或者指令。通用处理器可以是微处理器,或者,该处理器也可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可能实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合,或者任何其它此种结构。
可以理解的是,任何所公开过程中的步骤的任何特定顺序或层次仅是典型方式的示例。可以理解的是,根据设计偏好,各过程中步骤的特定顺序或层次可以重新调整,同时保持在本发明公开内容的范围之内。相应的方法权利要求以示范性顺序给出了各步骤的要素,但并不意味着仅限于所示的特定顺序或者层次。
在一个或多个示例性实施例中,本发明所述功能可以用硬件、软件、固件或其任意组合来实现。如果用软件来实现,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。通过示例的方式而非限制的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或者能够用于携带或存储期望的指令或数据结构形式的程序代码并能够由计算机进行存取的任何其它介质。此外,任何连接可以适当地称作为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或其它远程源传输的,那么同轴电缆、光纤电缆、双绞线、DSL或者诸如红外线、无线电和微波之类的无线技术包括在介质的定义中。如本发明所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光学盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常磁性再现数据,而光盘则用激光来光学地再现数据。上面的组合也应当包括在计算机可读介质的范围之内。应当认识到,计算机可读介质可以实现在任何适当的计算机程序产品中。
上文提供了对本发明公开方面的描述,使得本领域技术人员能够实现或者使用本发明公开的内容。对于本领域技术人员来说,对这些方面的各种修改都是显而易见的,并且本发明定义的总体原理也可以在不脱离公开内容的范围的基础上适用于其它方面。因此,本发明公开内容并不限于本文给出的各个方面,而是应与本发明公开的原理和新颖性特征的最广范围相一致。
Claims (31)
1.一种由远程接入***执行的通信方法,包括:
在本地网络上的接入点和安全网关之间建立第一协议隧道;
为接入终端获取在所述本地网络上的地址,以使所述接入终端能够经由所述第一协议隧道远程接入所述本地网络;
经由所述第一协议隧道在所述接入点和所述接入终端之间建立第二协议隧道,使得所述第二协议隧道的一部分建立在所述第一协议隧道内;
经由所述第一协议隧道从所述接入点向所述安全网关发送包含所述接入终端的所述地址的消息;以及
经由所述第二协议隧道在所述本地网络和所述接入终端之间传送分组。
2.根据权利要求1所述的方法,其中,所述获取地址的步骤包括:
向所述本地网络上的本地路由器发送针对所述地址的请求。
3.根据权利要求1所述的方法,还包括:
从所述安全网关接收针对所述地址的请求,其中,在对所述请求的响应中得到所述地址。
4.根据权利要求1所述的方法,还包括:
检查所述分组,以识别所述分组在所述本地网络上的目的地;
将所述分组转发到所识别的目的地。
5.根据权利要求1所述的方法,还包括:
基于所述第一协议隧道建立多个子安全联盟,其中,所述子安全联盟中的第一个用来在所述接入点和运营商核心网之间承载业务,所述子安全联盟中的第二个用来在所述接入点和所述接入终端之间承载业务。
6.根据权利要求1所述的方法,其中,所述接入点包括毫微微接入点。
7.根据权利要求1所述的方法,其中,所述第一协议隧道包括IPsec隧道。
8.一种用于通信的装置,包括:
隧道控制器,用于在本地网络上的接入点和安全网关之间建立第一协议隧道;
地址控制器,用于为接入终端获取在所述本地网络上的地址,以使所述接入终端能够经由所述第一协议隧道远程接入所述本地网络;
所述隧道控制器还用于经由所述第一协议隧道在所述接入点和所述接入终端之间建立第二协议隧道,使得所述第二协议隧道的一部分建立在所述第一协议隧道内;以及
通信控制器,用于经由所述第一协议隧道从所述接入点向所述安全网关发送包含所述接入终端的所述地址的消息,并且还用于经由所述第二协议隧道在所述本地网络和所述接入终端之间传送分组。
9.根据权利要求8所述的装置,其中,所述获取地址包括:
向所述本地网络上的本地路由器发送针对所述地址的请求。
10.根据权利要求8所述的装置,其中,所述通信控制器还用于:
检查所述分组,以识别所述分组在所述本地网络上的目的地;
将所述分组转发到所识别的目的地。
11.根据权利要求8所述的装置,其中;
所述隧道控制器还用于基于所述第一协议隧道建立多个子安全联盟;
所述子安全联盟中的第一个用来在所述接入点和运营商核心网之间承载业务,所述子安全联盟中的第二个用来在所述接入点和所述接入终端之间承载业务。
12.一种用于通信的装置,包括:
用于在本地网络上的接入点和安全网关之间建立第一协议隧道的模块;
用于为接入终端获取在所述本地网络上的地址以使所述接入终端能够经由所述第一协议隧道远程接入所述本地网络的模块;
用于经由所述第一协议隧道在所述接入点和所述接入终端之间建立第二协议隧道使得所述第二协议隧道的一部分建立在所述第一协议隧道内的模块;
用于经由所述第一协议隧道从所述接入点向所述安全网关发送包含所述接入终端的所述地址的消息的模块;
用于经由所述第二协议隧道在所述本地网络和所述接入终端间传送分组的模块。
13.根据权利要求12所述的装置,其中,所述获取地址包括:
向所述本地网络上的本地路由器发送针对所述地址的请求。
14.根据权利要求12所述的装置,还包括:
用于检查所述分组以识别所述分组在所述本地网络上的目的地的模块;
用于将所述分组转发到所识别的目的地的模块。
15.根据权利要求12所述的装置,还包括:
用于基于所述第一协议隧道建立多个子安全联盟的模块,其中,所述子安全联盟中的第一个用来在所述接入点和运营商核心网之间承载业务,所述子安全联盟中的第二个用来在所述接入点和所述接入终端之间承载业务。
16.一种由远程接入***执行的通信方法,包括:
在本地网络上的接入点和安全网关之间建立第一协议隧道;
获取用于在所述接入点和接入终端之间建立第二协议隧道的鉴权信息;
经由所述第一协议隧道建立所述第二协议隧道,使得所述第二协议隧道的一部分建立在所述第一协议隧道内。
17.根据权利要求16所述的方法,其中,通过经由无线连接与所述接入终端通信来获取所述鉴权信息。
18.根据权利要求16所述的方法,其中,经由因特网密钥交换过程来获取所述鉴权信息。
19.根据权利要求16所述的方法,还包括:
为所述接入终端获取在所述本地网络上的地址,以使所述接入终端能够远程接入所述本地网络;
经由所述第一协议隧道将所述地址发送给所述接入终端。
20.根据权利要求19所述的方法,其中,通过向所述本地网络上的本地路由器发送针对所述地址的请求来获取所述地址。
21.根据权利要求16所述的方法,还包括:
经由所述第二协议隧道从所述接入终端接收分组;
检查所述分组,以识别所述分组在所述本地网络上的目的地;
将所述分组转发到所识别的目的地。
22.根据权利要求16所述的方法,其中,所述接入点包括毫微微接入点。
23.根据权利要求16所述的方法,其中,所述第一协议隧道和所述第二协议隧道包括IPsec隧道。
24.一种用于通信的装置,包括:
隧道控制器,用于在本地网络上的接入点和安全网关之间建立第一协议隧道;
通信控制器,用于获取用于在所述接入点和接入终端之间建立第二协议隧道的鉴权信息;
其中,所述隧道控制器还用于经由所述第一协议隧道建立所述第二协议隧道,使得所述第二协议隧道的一部分建立在所述第一协议隧道内。
25.根据权利要求24所述的装置,还包括地址控制器,用于:
为所述接入终端获取在所述本地网络上的地址,以使所述接入终端能够远程接入所述本地网络;
经由所述第一协议隧道将所述地址发送给所述接入终端。
26.根据权利要求25所述的装置,其中,通过向所述本地网络上的本地路由器发送针对所述地址的请求来获取所述地址。
27.根据权利要求24所述的装置,其中,所述通信控制器还用于:
经由所述第二协议隧道从所述接入终端接收分组;
检查所述分组,以识别所述分组在所述本地网络上的目的地;
将所述分组转发到所识别的目的地。
28.一种用于通信的装置,包括:
用于在本地网络上的接入点和安全网关之间建立第一协议隧道的模块;
用于获取用于在所述接入点和接入终端之间建立第二协议隧道的鉴权信息的模块;
用于经由所述第一协议隧道建立所述第二协议隧道使得所述第二协议隧道的一部分建立在所述第一协议隧道内的模块。
29.根据权利要求28所述的装置,还包括:
用于为所述接入终端获取在所述本地网络上的地址以使所述接入终端能够远程接入所述本地网络的模块;
用于经由所述第一协议隧道将所述地址发送给所述接入终端的模块。
30.根据权利要求29所述的装置,其中,通过向所述本地网络上的本地路由器发送针对所述地址的请求来获取所述地址。
31.根据权利要求28所述的装置,还包括:
用于经由所述第二协议隧道从所述接入终端接收分组的模块;
用于检查所述分组以识别所述分组在所述本地网络上的目的地的模块;
用于将所述分组转发到所识别的目的地的模块。
Applications Claiming Priority (11)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11552008P | 2008-11-17 | 2008-11-17 | |
| US61/115,520 | 2008-11-17 | ||
| US14542409P | 2009-01-16 | 2009-01-16 | |
| US61/145,424 | 2009-01-16 | ||
| US15062409P | 2009-02-06 | 2009-02-06 | |
| US61/150,624 | 2009-02-06 | ||
| US16429209P | 2009-03-27 | 2009-03-27 | |
| US61/164,292 | 2009-03-27 | ||
| US12/619,174 US8996716B2 (en) | 2008-11-17 | 2009-11-16 | Remote access to local network via security gateway |
| PCT/US2009/064648 WO2010057130A2 (en) | 2008-11-17 | 2009-11-16 | Remote access to local network via security gateway |
| US12/619,174 | 2009-11-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102217244A CN102217244A (zh) | 2011-10-12 |
| CN102217244B true CN102217244B (zh) | 2014-11-26 |
Family
ID=42170784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980145719.1A Expired - Fee Related CN102217244B (zh) | 2008-11-17 | 2009-11-16 | 经由安全网关远程接入本地网络 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8996716B2 (zh) |
| EP (3) | EP2364535A2 (zh) |
| JP (5) | JP5611969B2 (zh) |
| KR (2) | KR101358832B1 (zh) |
| CN (1) | CN102217244B (zh) |
| TW (1) | TW201026130A (zh) |
| WO (1) | WO2010057130A2 (zh) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101358843B1 (ko) * | 2008-11-17 | 2014-02-05 | 퀄컴 인코포레이티드 | 로컬 네트워크에 대한 원격 액세스 |
| KR101588887B1 (ko) * | 2009-02-09 | 2016-01-27 | 삼성전자주식회사 | 멀티-홉 기반의 인터넷 프로토콜을 사용하는 네트워크에서 이동 노드의 이동성 지원 방법 및 그 네트워크 시스템 |
| KR101524316B1 (ko) * | 2009-02-09 | 2015-06-01 | 삼성전자주식회사 | 6LoWPAN 기반의 MANEMO 환경에서 통신 경로 최적화를 지원하기 위한 방법 |
| US9185552B2 (en) * | 2009-05-06 | 2015-11-10 | Qualcomm Incorporated | Method and apparatus to establish trust and secure connection via a mutually trusted intermediary |
| US20120208504A1 (en) * | 2009-07-01 | 2012-08-16 | Zte (Usa) Inc. | Femto access point initialization and authentication |
| CN102056140B (zh) * | 2009-11-06 | 2013-08-07 | 中兴通讯股份有限公司 | 机器类通讯终端信息的获取方法和*** |
| CN102123485A (zh) * | 2010-01-08 | 2011-07-13 | 中兴通讯股份有限公司 | Csg id及基站类型的指示方法、csg id指示的获取方法 |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
| EP2405678A1 (en) | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
| EP2378802B1 (en) * | 2010-04-13 | 2013-06-05 | Alcatel Lucent | A wireless telecommunications network, and a method of authenticating a message |
| CN102907170A (zh) * | 2010-06-01 | 2013-01-30 | 诺基亚西门子通信公司 | 将移动站连接到通信网络的方法 |
| EP2578052A1 (en) * | 2010-06-01 | 2013-04-10 | Nokia Siemens Networks OY | Method of connecting a mobile station to a communications network |
| US9668199B2 (en) * | 2010-11-08 | 2017-05-30 | Google Technology Holdings LLC | Wireless communication system, method of routing data in a wireless communication system, and method of handing over a wireless communication device, having an established data connection to a local network |
| US8910300B2 (en) * | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
| TWI452472B (zh) * | 2011-01-27 | 2014-09-11 | Hon Hai Prec Ind Co Ltd | 存取閘道器及其提供雲存儲服務方法 |
| US9076013B1 (en) * | 2011-02-28 | 2015-07-07 | Amazon Technologies, Inc. | Managing requests for security services |
| CN102724102B (zh) | 2011-03-29 | 2015-04-08 | 华为技术有限公司 | 与网管***建立连接的方法、设备及通信*** |
| US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
| US20130114463A1 (en) * | 2011-11-03 | 2013-05-09 | Futurewei Technologies, Inc. | System and Method for Domain Name Resolution for Fast Link Setup |
| JP5982706B2 (ja) * | 2011-11-14 | 2016-08-31 | エフオーエヌ・ワイヤレス・リミテッドFon Wirerless Limited | セキュアトンネリング・プラットフォームシステムならびに方法 |
| US20140156819A1 (en) * | 2012-11-30 | 2014-06-05 | Alexandros Cavgalar | Communications modules for a gateway device, system and method |
| FR2985402B1 (fr) * | 2011-12-29 | 2014-01-31 | Radiotelephone Sfr | Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe |
| WO2013109417A2 (en) * | 2012-01-18 | 2013-07-25 | Zte Corporation | Notarized ike-client identity and info via ike configuration payload support |
| EP2683186A1 (en) * | 2012-07-06 | 2014-01-08 | Gemalto SA | Method for attaching a roaming telecommunication terminal to a visited operator network |
| US9414273B2 (en) | 2012-08-08 | 2016-08-09 | At&T Intellectual Property I, L.P. | Inbound handover for macrocell-to-femtocell call transfer |
| US9270621B1 (en) | 2013-02-25 | 2016-02-23 | Ca, Inc. | Securely providing messages from the cloud |
| EP3021555B1 (en) | 2013-07-12 | 2018-09-12 | Huawei Technologies Co., Ltd. | Message processing method and device |
| US10728287B2 (en) * | 2013-07-23 | 2020-07-28 | Zscaler, Inc. | Cloud based security using DNS |
| US9531565B2 (en) * | 2013-12-20 | 2016-12-27 | Pismo Labs Technology Limited | Methods and systems for transmitting and receiving packets |
| KR102108000B1 (ko) * | 2013-12-23 | 2020-05-28 | 삼성에스디에스 주식회사 | 가상 사설망 접속 제어 시스템 및 방법 |
| EP3111716A1 (en) * | 2014-02-24 | 2017-01-04 | Telefonaktiebolaget LM Ericsson (publ) | Method for accessing local services in wlans |
| KR20150116170A (ko) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법 |
| JP5830128B2 (ja) * | 2014-04-11 | 2015-12-09 | 西日本電信電話株式会社 | 通信システム、アクセスポイント装置、サーバ装置、ゲートウェイ装置及び通信方法 |
| US10257701B2 (en) * | 2014-06-24 | 2019-04-09 | Google Llc | Methods, systems, and media for authenticating a connection between a user device and a streaming media content device |
| US9332015B1 (en) * | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| EP3228059B1 (en) * | 2014-12-04 | 2018-05-23 | Telefonaktiebolaget LM Ericsson (publ) | Secure connections establishment |
| CN112423083B (zh) | 2015-12-16 | 2022-12-27 | 六科股份有限公司 | 用于动态地提供视频覆盖的***和方法 |
| JP6113320B1 (ja) * | 2016-03-15 | 2017-04-12 | 株式会社リクルートホールディングス | 広告提供システムおよびプログラム |
| EP3454583B1 (en) * | 2016-06-01 | 2021-03-03 | Huawei Technologies Co., Ltd. | Network connection method, and secure node determination method and device |
| WO2018145744A1 (en) * | 2017-02-09 | 2018-08-16 | Cumulocity Gmbh | Connection apparatus for establishing a secured application-level communication connection |
| US10924301B2 (en) * | 2017-08-30 | 2021-02-16 | Ntt Communications Corporation | Network control device, communication system, network control method, program, and recording medium |
| WO2020053126A1 (en) * | 2018-09-10 | 2020-03-19 | Koninklijke Kpn N.V. | Connecting to a home area network via a mobile communication network |
| US11190490B2 (en) * | 2018-10-02 | 2021-11-30 | Allstate Insurance Company | Embedded virtual private network |
| CN109548022B (zh) * | 2019-01-16 | 2021-07-13 | 电子科技大学中山学院 | 一种移动终端用户远程接入本地网络的方法 |
| CN112104476B (zh) * | 2020-07-22 | 2023-06-06 | 厦门锐谷通信设备有限公司 | 一种广域网网络组网自动智能配置的方法和*** |
| KR102514618B1 (ko) * | 2022-04-26 | 2023-03-29 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956424A (zh) * | 2005-10-26 | 2007-05-02 | 德赛电子(惠州)有限公司 | 基于分布式网关的通信方法及应用 |
Family Cites Families (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761910B2 (en) | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| US6061650A (en) * | 1996-09-10 | 2000-05-09 | Nortel Networks Corporation | Method and apparatus for transparently providing mobile network functionality |
| JP3746631B2 (ja) | 1999-03-23 | 2006-02-15 | オリンパス株式会社 | 超音波手術装置 |
| US6654792B1 (en) * | 2000-02-28 | 2003-11-25 | 3Com Corporation | Method and architecture for logical aggregation of multiple servers |
| US7554967B1 (en) * | 2000-03-30 | 2009-06-30 | Alcatel-Lucent Usa Inc. | Transient tunneling for dynamic home addressing on mobile hosts |
| US8250357B2 (en) * | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
| US7421736B2 (en) * | 2002-07-02 | 2008-09-02 | Lucent Technologies Inc. | Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network |
| TWI232051B (en) * | 2002-08-09 | 2005-05-01 | Quanta Comp Inc | System and method for supporting mobile internet protocol using multiple separate tunnels |
| US20040103311A1 (en) * | 2002-11-27 | 2004-05-27 | Melbourne Barton | Secure wireless mobile communications |
| US20040141601A1 (en) | 2003-01-22 | 2004-07-22 | Yigang Cai | Credit reservation transactions in a prepaid electronic commerce system |
| US7756042B2 (en) | 2003-02-26 | 2010-07-13 | Alcatel-Lucent Usa Inc. | Bandwidth guaranteed provisioning in network-based mobile virtual private network (VPN) services |
| JP2004274184A (ja) * | 2003-03-05 | 2004-09-30 | Ntt Docomo Inc | 通信システム、無線通信装置、通信装置及び通信方法 |
| CN100456739C (zh) * | 2003-07-04 | 2009-01-28 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| US20070008924A1 (en) | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| JP4342966B2 (ja) * | 2004-01-26 | 2009-10-14 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
| US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
| US20060062206A1 (en) * | 2004-09-23 | 2006-03-23 | Vijayaraghavan Krishnaswamy | Multi-link PPP over heterogeneous single path access networks |
| JP2006148661A (ja) | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
| US20060130136A1 (en) | 2004-12-01 | 2006-06-15 | Vijay Devarapalli | Method and system for providing wireless data network interworking |
| US7468966B2 (en) * | 2004-12-30 | 2008-12-23 | Motorola, Inc. | Method and apparatus for performing neighbor tracking in a wireless local area network |
| US7675882B2 (en) | 2005-02-01 | 2010-03-09 | Exs, Inc. | Hierarchical mesh network for wireless access |
| WO2006121278A1 (en) | 2005-05-10 | 2006-11-16 | Lg Electronics Inc. | Method and apparatus for relaying remote access from a public network to a local network |
| US7739728B1 (en) * | 2005-05-20 | 2010-06-15 | Avaya Inc. | End-to-end IP security |
| WO2006132142A1 (ja) * | 2005-06-07 | 2006-12-14 | Nec Corporation | リモートアクセスシステム及びそのipアドレス割当方法 |
| US7733824B2 (en) | 2005-06-23 | 2010-06-08 | Nokia Corporation | Fixed access point for a terminal device |
| US20070060147A1 (en) * | 2005-07-25 | 2007-03-15 | Shin Young S | Apparatus for transmitting data packets between wireless sensor networks over internet, wireless sensor network domain name server, and data packet transmission method using the same |
| WO2007015067A2 (en) * | 2005-08-01 | 2007-02-08 | Ubiquisys Limited | Local area cellular basestation |
| GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
| US20070213057A1 (en) * | 2006-03-08 | 2007-09-13 | Interdigital Technology Corporation | Method and apparatus for supporting routing area update procedures in a single tunnel gprs-based wireless communication system |
| US8037303B2 (en) * | 2006-03-13 | 2011-10-11 | Cisco Technology, Inc. | System and method for providing secure multicasting across virtual private networks |
| US7593377B2 (en) * | 2006-03-29 | 2009-09-22 | Cisco Technology, Inc. | Route optimization for a mobile IP network node in a mobile ad hoc network |
| US8843657B2 (en) * | 2006-04-21 | 2014-09-23 | Cisco Technology, Inc. | Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site |
| US7941144B2 (en) | 2006-05-19 | 2011-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control in a mobile communication system |
| US8184530B1 (en) * | 2006-09-08 | 2012-05-22 | Sprint Communications Company L.P. | Providing quality of service (QOS) using multiple service set identifiers (SSID) simultaneously |
| JP4763560B2 (ja) | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
| US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
| US8533454B2 (en) | 2006-09-25 | 2013-09-10 | Qualcomm Incorporated | Method and apparatus having null-encryption for signaling and media packets between a mobile station and a secure gateway |
| JP4629639B2 (ja) * | 2006-09-29 | 2011-02-09 | 富士通株式会社 | パケット中継装置 |
| US8085715B2 (en) * | 2006-10-19 | 2011-12-27 | Vodafone Group, Plc | Controlling the use of access points in a telecommunications networks |
| EP2078403B1 (en) | 2006-10-31 | 2017-07-26 | Telefonaktiebolaget LM Ericsson (publ) | A method and arrangement for enabling multimedia communication with a private network |
| US7483889B2 (en) * | 2006-12-01 | 2009-01-27 | Cisco Technology, Inc. | Instance-based authorization utilizing query augmentation |
| KR100901790B1 (ko) * | 2006-12-04 | 2009-06-11 | 한국전자통신연구원 | IPv4 네트워크 기반 IPv6 서비스 제공시스템에서의 제어 터널 및 다이렉트 터널 설정 방법 |
| US7926098B2 (en) * | 2006-12-29 | 2011-04-12 | Airvana, Corp. | Handoff of a secure connection among gateways |
| WO2008090519A2 (en) * | 2007-01-23 | 2008-07-31 | Nokia Corporation | Relaying a tunneled communication to a remote access server in a upnp environment |
| US8019331B2 (en) * | 2007-02-26 | 2011-09-13 | Kineto Wireless, Inc. | Femtocell integration into the macro network |
| JP5166453B2 (ja) | 2007-03-08 | 2013-03-21 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線システム内のユーザ装置のサービスエリア識別子を選択するための方法および装置 |
| WO2008110215A1 (en) | 2007-03-15 | 2008-09-18 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for providing local breakout in a mobile network |
| US7990912B2 (en) * | 2007-04-02 | 2011-08-02 | Go2Call.Com, Inc. | VoIP enabled femtocell with a USB transceiver station |
| FI20075252A0 (fi) * | 2007-04-13 | 2007-04-13 | Nokia Corp | Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema |
| DE602007013701D1 (de) | 2007-04-17 | 2011-05-19 | Alcatel Lucent | Verfahren zur Verkoppelung eines Femto-Zellengeräts mit einem mobilen Kernnetzwerk |
| JP4613926B2 (ja) | 2007-04-19 | 2011-01-19 | 日本電気株式会社 | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム |
| US8131994B2 (en) * | 2007-06-01 | 2012-03-06 | Cisco Technology, Inc. | Dual cryptographic keying |
| US8184538B2 (en) * | 2007-06-22 | 2012-05-22 | At&T Intellectual Property I, L.P. | Regulating network service levels provided to communication terminals through a LAN access point |
| US8132247B2 (en) * | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
| US8335490B2 (en) * | 2007-08-24 | 2012-12-18 | Futurewei Technologies, Inc. | Roaming Wi-Fi access in fixed network architectures |
| US8254382B1 (en) * | 2007-09-24 | 2012-08-28 | Zte (Usa) Inc. | Location preference indicator in network access identifier |
| US9167505B2 (en) * | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
| US9775096B2 (en) * | 2007-10-08 | 2017-09-26 | Qualcomm Incorporated | Access terminal configuration and access control |
| CN101919303B (zh) * | 2007-10-25 | 2013-11-06 | 思达伦特网络有限责任公司 | 用于移动节点的互通网关 |
| US8544080B2 (en) * | 2008-06-12 | 2013-09-24 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile virtual private networks |
| US8462770B2 (en) * | 2008-08-04 | 2013-06-11 | Stoke, Inc. | Method and system for bypassing 3GPP packet switched core network when accessing internet from 3GPP UES using 3GPP radio access network |
| KR101358843B1 (ko) * | 2008-11-17 | 2014-02-05 | 퀄컴 인코포레이티드 | 로컬 네트워크에 대한 원격 액세스 |
| US8316091B2 (en) * | 2008-12-01 | 2012-11-20 | At&T Mobility Ii Llc | Content management for wireless digital media frames |
-
2009
- 2009-11-16 KR KR1020117013999A patent/KR101358832B1/ko not_active IP Right Cessation
- 2009-11-16 EP EP09756622A patent/EP2364535A2/en not_active Withdrawn
- 2009-11-16 KR KR1020137030688A patent/KR101358897B1/ko not_active IP Right Cessation
- 2009-11-16 US US12/619,174 patent/US8996716B2/en not_active Expired - Fee Related
- 2009-11-16 JP JP2011536573A patent/JP5611969B2/ja not_active Expired - Fee Related
- 2009-11-16 EP EP12151776A patent/EP2448184A1/en not_active Withdrawn
- 2009-11-16 CN CN200980145719.1A patent/CN102217244B/zh not_active Expired - Fee Related
- 2009-11-16 EP EP12151784.1A patent/EP2451124B1/en not_active Not-in-force
- 2009-11-16 WO PCT/US2009/064648 patent/WO2010057130A2/en active Application Filing
- 2009-11-17 TW TW098139039A patent/TW201026130A/zh unknown
-
2013
- 2013-03-04 JP JP2013041674A patent/JP2013192221A/ja not_active Withdrawn
- 2013-03-04 JP JP2013041675A patent/JP2013179592A/ja not_active Withdrawn
-
2014
- 2014-10-15 US US14/514,916 patent/US20150033021A1/en not_active Abandoned
-
2015
- 2015-03-09 JP JP2015046058A patent/JP6017610B2/ja not_active Expired - Fee Related
- 2015-04-30 JP JP2015093213A patent/JP5956015B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956424A (zh) * | 2005-10-26 | 2007-05-02 | 德赛电子(惠州)有限公司 | 基于分布式网关的通信方法及应用 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013179592A (ja) | 2013-09-09 |
| JP2015159545A (ja) | 2015-09-03 |
| US8996716B2 (en) | 2015-03-31 |
| KR101358832B1 (ko) | 2014-02-10 |
| US20150033021A1 (en) | 2015-01-29 |
| EP2451124A1 (en) | 2012-05-09 |
| JP2013192221A (ja) | 2013-09-26 |
| JP5611969B2 (ja) | 2014-10-22 |
| EP2448184A1 (en) | 2012-05-02 |
| KR101358897B1 (ko) | 2014-02-05 |
| KR20110086746A (ko) | 2011-07-29 |
| KR20130133096A (ko) | 2013-12-05 |
| WO2010057130A2 (en) | 2010-05-20 |
| TW201026130A (en) | 2010-07-01 |
| WO2010057130A3 (en) | 2010-08-19 |
| JP2015173476A (ja) | 2015-10-01 |
| JP6017610B2 (ja) | 2016-11-02 |
| EP2364535A2 (en) | 2011-09-14 |
| US20100125899A1 (en) | 2010-05-20 |
| EP2451124B1 (en) | 2013-12-18 |
| JP5956015B2 (ja) | 2016-07-20 |
| CN102217244A (zh) | 2011-10-12 |
| JP2012509621A (ja) | 2012-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102217244B (zh) | 经由安全网关远程接入本地网络 | |
| CN102217243B (zh) | 远程接入本地网络的方法和装置 | |
| CN102273169B (zh) | 接口授权方案 | |
| CN102090111A (zh) | 本地ip访问方案 | |
| CN102301790B (zh) | 用于指示网络实体是否执行接入控制的包括/不包括消息方案 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141126 Termination date: 20181116 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |