特許第6017610号(P6017610)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > クゥアルコム・インコーポレイテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ クゥアルコム・インコーポレイテッドの特許一覧

特許6017610セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
<>
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000002
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000003
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000004
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000005
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000006
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000007
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000008
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000009
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000010
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000011
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000012
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000013
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000014
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000015
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000016
  • 特許6017610-セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス 図000017
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6017610
(24)【登録日】2016年10月7日
(45)【発行日】2016年11月2日
(54)【発明の名称】セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
(51)【国際特許分類】
   H04L 12/66 20060101AFI20161020BHJP
【FI】
   H04L12/66 B
【請求項の数】26
【外国語出願】
【全頁数】36
(21)【出願番号】特願2015-46058(P2015-46058)
(22)【出願日】2015年3月9日
(62)【分割の表示】特願2013-41675(P2013-41675)の分割
【原出願日】2009年11月16日
(65)【公開番号】特開2015-159545(P2015-159545A)
(43)【公開日】2015年9月3日
【審査請求日】2015年4月8日
(31)【優先権主張番号】61/115,520
(32)【優先日】2008年11月17日
(33)【優先権主張国】US
(31)【優先権主張番号】61/145,424
(32)【優先日】2009年1月16日
(33)【優先権主張国】US
(31)【優先権主張番号】61/150,624
(32)【優先日】2009年2月6日
(33)【優先権主張国】US
(31)【優先権主張番号】61/164,292
(32)【優先日】2009年3月27日
(33)【優先権主張国】US
(31)【優先権主張番号】12/619,174
(32)【優先日】2009年11月16日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】595020643
【氏名又は名称】クゥアルコム・インコーポレイテッド
【氏名又は名称原語表記】QUALCOMM INCORPORATED
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100109830
【弁理士】
【氏名又は名称】福原 淑弘
(74)【代理人】
【識別番号】100158805
【弁理士】
【氏名又は名称】井関 守三
(74)【代理人】
【識別番号】100194814
【弁理士】
【氏名又は名称】奥村 元宏
(72)【発明者】
【氏名】ピーラポル・ティンナコルンスリスプハプ
(72)【発明者】
【氏名】アナンド・パラニガウンダー
(72)【発明者】
【氏名】ランジス・エス.・ジャヤラム
(72)【発明者】
【氏名】ラクシュミナス・アール.・ドンデティ
(72)【発明者】
【氏名】ジュン・ワン
【審査官】 大石 博見
(56)【参考文献】
【文献】 国際公開第2008/047140(WO,A1)
【文献】 国際公開第2007/015068(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
通信コントローラが、ローカルネットワークにおけるアクセスポイントの識別子を取得すること、
セキュリティゲートウェイに結合された認証サーバが、データベースに、加入者のために維持される予約情報の中の前記識別子を格納すること、
前記認証サーバが、アクセス端末に関連する認証情報を受信することと、
前記認証サーバが、前記アクセス端末が前記ローカルネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出する前記認証情報に基づいて、前記アクセス端末を認証することと、
前記認証サーバが、前記アクセス端末が、前記アクセスポイントを介して前記ローカルネットワークに遠隔でアクセスすることを可能にするために、前記セキュリティゲートウェイに、前記アクセスポイントの前記識別子を提供することと
備える、通信の方法。
【請求項2】
前記認証情報が、セキュリティゲートウェイと前記アクセスポイントとの間に第1のプロトコルトンネルを確立した前記セキュリティゲートウェイの位置を特定するために、前記アクセス端末による探索の結果として受信される、請求項1の方法。
【請求項3】
前記アクセスポイントの前記識別子が、前記セキュリティゲートウェイが、前記セキュリティゲートウェイと前記アクセスポイントとの間に前記第1のプロトコルトンネルを確立したとの決定に基づいて、前記アクセス端末へ、前記セキュリティゲートウェイによって提供される、請求項2の方法。
【請求項4】
前記セキュリティゲートウェイと前記アクセス端末の各々は、前記セキュリティゲートウェイが前記第1のプロトコルトンネルを確立したとの前記決定に基づいて、前記セキュリティゲートウェイと前記アクセス端末との間に第2のプロトコルトンネルを確立するために、対応する動作を実行する、
請求項3の方法。
【請求項5】
前記第2のプロトコルトンネルを確立するための前記対応する動作は、前記第2のプロトコルトンネルを介して送信される情報を暗号化するおよび解読するための暗号鍵を割り振るために、前記セキュリティゲートウェイと前記アクセス端末との間でメッセージを交換することを含む、請求項4の方法。
【請求項6】
前記セキュリティゲートウェイがプロトコルトンネルを確立した複数のアクセスポイントのうちのいくつかのアクセスポイントに対応する複数の識別子のうちのいくつかの識別子だけを提供することを更に備える、請求項の方法。
【請求項7】
前記アクセスポイントが、小カバレージアクセスポイントである、請求項1の方法。
【請求項8】
他のノードとの通信を管理するように構成された通信コントローラと
キュリティゲートウェイに結合された認証サーバで加入者のために維持される予約情報の中の識別子を格納するように構成されるデータベースと、を備え、
ここにおいて、前記通信コントローラは、
アクセス端末に関連する認証情報を受信し、
前記アクセス端末がローカルネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出する前記認証情報に基づいて、前記アクセス端末を認証し、
前記アクセス端末が、アクセスポイントを介して前記ローカルネットワークに遠隔でアクセスすることを可能にするために、前記セキュリティゲートウェイに、前記アクセスポイントの識別子を提供するように、更に構成される、
通信のための認証サーバ。
【請求項9】
前記認証情報が、セキュリティゲートウェイと前記アクセスポイントとの間に第1のプロトコルトンネルを確立した前記セキュリティゲートウェイの位置を特定するために、前記アクセス端末による探索の結果として受信される、請求項の装置。
【請求項10】
前記アクセスポイントの前記識別子が、前記セキュリティゲートウェイが、前記セキュリティゲートウェイと前記アクセスポイントとの間に前記第1のプロトコルトンネルを確立したとの決定に基づいて、前記アクセス端末へ、前記セキュリティゲートウェイによって提供される、請求項の装置。
【請求項11】
前記セキュリティゲートウェイと前記アクセス端末の各々は、前記セキュリティゲートウェイが前記第1のプロトコルトンネルを確立したとの前記決定に基づいて、前記セキュリティゲートウェイと前記アクセス端末との間に第2のプロトコルトンネルを確立するために、対応する動作を実行する、
請求項10の装置。
【請求項12】
前記第2のプロトコルトンネルを確立するための前記対応する動作は、前記第2のプロトコルトンネルを介して送信される情報を暗号化するおよび解読するための暗号鍵を割り振るために、前記セキュリティゲートウェイと前記アクセス端末との間でメッセージを交換することを含む、請求項11の装置。
【請求項13】
前記通信コントローラが、前記セキュリティゲートウェイがプロトコルトンネルを確立した複数のアクセスポイントのうちのいくつかのアクセスポイントに対応する複数の識別子のうちのいくつかの識別子だけを提供するように更に構成される、請求項の装置。
【請求項14】
前記アクセスポイントが、小カバレージアクセスポイントである、請求項の装置。
【請求項15】
ローカルネットワークにおけるアクセスポイントの識別子を取得するための手段と、ここにおいて、前記アクセスポイントは、加入者に関連する、
セキュリティゲートウェイに結合された認証サーバで前記加入者のために維持される予約情報の中の前記識別子を格納するための手段と、
アクセス端末に関連する認証情報を受信するための手段と、
前記アクセス端末が前記ローカルネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出する前記認証情報に基づいて、前記アクセス端末を認証するための手段と、
前記アクセス端末が、前記アクセスポイントを介して前記ローカルネットワークに遠隔でアクセスすることを可能にするために、前記セキュリティゲートウェイに、前記アクセスポイントの前記識別子を提供するための手段と、
を備える、通信のための装置。
【請求項16】
前記認証情報が、セキュリティゲートウェイと前記アクセスポイントとの間に第1のプロトコルトンネルを確立した前記セキュリティゲートウェイの位置を特定するために、前記アクセス端末による探索の結果として受信される、請求項15の装置。
【請求項17】
前記アクセスポイントの前記識別子が、前記セキュリティゲートウェイが、前記セキュリティゲートウェイと前記アクセスポイントとの間に前記第1のプロトコルトンネルを確立したとの決定に基づいて、前記アクセス端末へ、前記セキュリティゲートウェイによって提供される、請求項16の装置。
【請求項18】
前記セキュリティゲートウェイと前記アクセス端末の各々は、前記セキュリティゲートウェイが前記第1のプロトコルトンネルを確立したとの前記決定に基づいて、前記セキュリティゲートウェイと前記アクセス端末との間に第2のプロトコルトンネルを確立するために、対応する動作を実行する、
請求項17の装置。
【請求項19】
前記第2のプロトコルトンネルを確立するための前記対応する動作は、前記第2のプロトコルトンネルを介して送信される情報を暗号化するおよび解読するための暗号鍵を割り振るために、前記セキュリティゲートウェイと前記アクセス端末との間でメッセージを交換することを含む、請求項18の装置。
【請求項20】
前記セキュリティゲートウェイがプロトコルトンネルを確立した複数のアクセスポイントのうちのいくつかのアクセスポイントに対応する複数の識別子のうちのいくつかの識別子だけを提供するための手段をさらに備える、請求項15の装置。
【請求項21】
コンピュータに、
ローカルネットワークにおけるアクセスポイントの識別子を取得することと、ここにおいて、前記アクセスポイントは、加入者に関連する、
セキュリティゲートウェイに結合された認証サーバで前記加入者のために維持される予約情報の中の前記識別子を格納することと、
アクセス端末に関連する認証情報を受信することと、
前記アクセス端末が前記ローカルネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出する前記認証情報に基づいて、前記アクセス端末を認証することと、
前記アクセス端末が、前記アクセスポイントを介して前記ローカルネットワークに遠隔でアクセスすることを可能にするために、前記セキュリティゲートウェイに、前記アクセスポイントの前記識別子を提供することと、
を行わせるためのコードを格納する、コンピュータ可読記録媒体。
【請求項22】
前記認証情報が、セキュリティゲートウェイと前記アクセスポイントとの間に第1のプロトコルトンネルを確立した前記セキュリティゲートウェイの位置を特定するために、前記アクセス端末による探索の結果として受信される、請求項21のコンピュータ可読記録媒体。
【請求項23】
前記アクセスポイントの前記識別子が、前記セキュリティゲートウェイが、前記セキュリティゲートウェイと前記アクセスポイントとの間に前記第1のプロトコルトンネルを確立したとの決定に基づいて、前記アクセス端末へ、前記セキュリティゲートウェイによって提供される、請求項22のコンピュータ可読記録媒体。
【請求項24】
前記セキュリティゲートウェイと前記アクセス端末の各々は、前記セキュリティゲートウェイが前記第1のプロトコルトンネルを確立したとの前記決定に基づいて、前記セキュリティゲートウェイと前記アクセス端末との間に第2のプロトコルトンネルを確立するために、対応する動作を実行する、
請求項23のコンピュータ可読記録媒体。
【請求項25】
前記第2のプロトコルトンネルを確立するための前記対応する動作は、前記第2のプロトコルトンネルを介して送信される情報を暗号化するおよび解読するための暗号鍵を割り振るために、前記セキュリティゲートウェイと前記アクセス端末との間でメッセージを交換することを含む、請求項24のコンピュータ可読記録媒体。
【請求項26】
前記セキュリティゲートウェイがプロトコルトンネルを確立した複数のアクセスポイントのうちのいくつかのアクセスポイントに対応する複数の識別子のうちのいくつかの識別子だけを提供するためのコードをさらに格納する、請求項21のコンピュータ可読記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、一般にワイヤレス通信に関し、より詳細には、限定はしないが、通信性能を改善することに関する。
【背景技術】
【0002】
ワイヤレス通信システムは、様々なタイプの通信(例えば、ボイス、データ、マルチメディアサービスなど)を複数のユーザに提供するために広く展開されている。高速なマルチメディアデータサービスの需要が急速に増大するにつれて、向上した性能をもつ効率的でロバストな通信システムを実装することが課題となっている。
【0003】
従来の移動電話ネットワークアクセスポイントを補うために、小カバレージアクセスポイントを展開(例えば、ユーザの家庭に設置)して、よりロバストな屋内ワイヤレスカバレージをモバイルアクセス端末に与えることができる。そのような小カバレージアクセスポイントは、フェムトアクセスポイント、アクセスポイント基地局、ホームeNodeB(「HeNB」)、ホームノードB、又はホームフェムトと呼ばれることがある。一般に、そのような小カバレージアクセスポイントは、DSLルータ又はケーブルモデムを介してインターネット及びモバイル事業者のネットワークに接続される。
【0004】
場合によっては、1つ以上のローカルサービスを小カバレージアクセスポイントと同じロケーションに展開することができる。例えば、ユーザは、ローカルコンピュータ、ローカルプリンタ、サーバ、及び他のコンポーネントをサポートするホームネットワークを有することがある。そのような場合、小カバレージアクセスポイントを介してこれらのローカルサービスへのアクセスを提供することが望ましい。例えば、ユーザが自宅にいるとき、ユーザが、ユーザのセルフォンを使用してローカルプリンタにアクセスすることを望むことがある。
【0005】
一般に、ホームネットワーク上の機器はホームルータ内のファイアウォールとネットワークアドレストランスレータ(NAT)とによって保護されているので、パブリックインターネット上のノードはこの機器との通信を開始することができないことがある。従って、ローカルネットワークにリモートでアクセスするための効率的で有効な方法が必要である。
【発明の概要】
【0006】
優先権の主張
本出願は、各々の開示が参照により本明細書に組み込まれる、2008年11月17日に出願され、代理人整理番号090331P1を付与された、同一出願人が所有する米国特許仮出願第61/115,520号、2009年1月16日に出願され、代理人整理番号090331P1を付与された米国特許仮出願第61/145,424号、2009年2月6日に出願され、代理人整理番号090331P2を付与された米国特許仮出願第61/150,624号、2009年3月27日に出願され、代理人整理番号090331P4を付与された米国特許仮出願第61/164,292号の利益及び優先権を主張する。
【0007】
本開示の例示的な態様の概要について以下で説明する。本明細書の説明では、態様という用語への言及は、本開示の1つ以上の態様を指すことがある。
【0008】
本開示は、幾つかの態様では、ネットワーク(例えば、事業者のネットワーク、インターネットなど)に接続されたアクセス端末がフェムトアクセスポイントに関連するローカルネットワークにアクセスすることを可能にするために、複数のプロトコルトンネル(例えば、IPsecトンネル)を使用することに関する。セキュリティゲートウェイとフェムトアクセスポイントとの間に第1のプロトコルトンネルを確立する。次いで、2つの方法のいずれかで第2のプロトコルトンネルを確立する。幾つかの実施形態では、アクセス端末とセキュリティゲートウェイとの間に第2のプロトコルトンネルを確立する。他の実施形態では、アクセス端末とフェムトアクセスポイントとの間に第2のプロトコルトンネルを確立し、それによってトンネルの一部分を第1のトンネルを通してルーティングする。
【0009】
これらの方式を使用することによって、アクセス端末は、アクセス端末がフェムトアクセスポイントと無線で接続されていないときでも、フェムトアクセスポイントと同じ領域中にあるローカルインターネットプロトコル(IP)ネットワーク又はサーバに到達することができる。従って、遠隔に位置するアクセス端末には、アクセス端末がフェムトアクセスポイントに無線で接続されているときと同じローカルIP機能が与えられ得る。
【0010】
本開示のこれら及び他の例示的な態様について、以下の詳細な説明及び添付の特許請求の範囲、ならびに添付の図面において説明する。
【図面の簡単な説明】
【0011】
図1】アクセス端末が、セキュリティゲートウェイにおいて終了するプロトコルトンネルを介してローカルネットワークにリモートでアクセスする、通信システムの幾つかの例示的な態様の簡略ブロック図。
図2】セキュリティゲートウェイにおいて終了するプロトコルトンネルを介したローカルネットワークへのリモートアクセスを提供するために実行され得る動作の幾つかの例示的な態様のフローチャート。
図3】セキュリティゲートウェイを発見するために実行され得る動作の幾つかの例示的な態様のフローチャート。
図4】アクセス端末が階層プロトコルトンネルを介してローカルネットワークにリモートでアクセスする、通信システムの幾つかの例示的な態様の簡略ブロック図。
図5】階層プロトコルトンネルを介したローカルネットワークへのリモートアクセスを提供するために実行され得る動作の幾つかの例示的な態様のフローチャート。
図6】通信ノードにおいて採用され得るコンポーネントの幾つかの例示的な態様の簡略ブロック図。
図7】ワイヤレス通信システムの簡略図。
図8】フェムトアクセスポイントを含むワイヤレス通信システムの簡略図。
図9】ワイヤレス通信のためのサービスエリアを示す簡略図。
図10】通信コンポーネントの幾つかの例示的な態様の簡略ブロック図。
図11】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
図12】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
図13】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
図14】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
図15】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
図16】本明細書で教示する、ローカルネットワークへのリモートアクセスを可能にするように構成された装置の幾つかの例示的な態様の簡略ブロック図。
【発明を実施するための形態】
【0012】
慣例により、図面中に示された様々な特徴は一定の縮尺で描かれていないことがある。従って、様々な特徴の寸法は、分かりやすいように任意に拡大又は縮小されることがある。更に、図面のいくつかは、分かりやすいように簡略化されることがある。従って、図面は、所定の装置(例えば、機器)又は方法のコンポーネントの全てを示しているわけではない。最後に、明細書及び図の全体にわたって同じ特徴を示すために同じ参照番号が使用されることがある。
【0013】
本開示の様々な態様について以下で説明する。本明細書の教示は多種多様な形態で実施でき、本明細書で開示されている特定の構造、機能、又はその両方は代表的なものにすぎないことは明らかであろう。本明細書の教示に基づいて、本明細書で開示される態様は他の態様とは独立に実装できること、及びこれらの態様のうちの2つ以上を様々な方法で組み合わせることができることを、当業者なら諒解されたい。例えば、本明細書に記載の態様をいくつ使用しても、装置を実現し、又は方法を実施することができる。更に、本明細書に記載の態様のうちの1つ又は複数に加えて、或いはそれら以外の他の構造、機能、又は構造及び機能を使用して、そのような装置を実現し、又はそのような方法を実施することができる。更に、態様は、請求項の少なくとも1つの要素を備えることができる。
【0014】
図1に、例示的な通信システム100(例えば、通信ネットワークの一部)の幾つかのノードを示す。説明のために、本開示の様々な態様について、互いに通信する1つ以上のアクセス端末、アクセスポイント、及びネットワークノードの文脈で説明する。但し、本明細書の教示は、他のタイプの装置、又は他の用語を使用して参照される他の同様の装置に適用可能であることを諒解されたい。例えば、様々な実施形態では、アクセスポイントを基地局又はeノードBと呼ぶこと、或いは基地局又はeノードBとして実装することができ得、アクセス端末をユーザ機器又はモバイルなどと呼ぶこと、或いはユーザ機器又は移動局などとして実装することができ得る。
【0015】
システム100中のアクセスポイントは、1つ以上のサービス(例えば、ネットワーク接続性)を、システム100のサービスエリア内に設置されるか、又はシステム100のサービスエリア全体にわたってローミングする1つ以上のワイヤレス端末(例えば、アクセス端末102)に提供する。例えば、様々な時点で、アクセス端末102は、アクセスポイント106(例えば、ローカルネットワークに関連するフェムトアクセスポイント)又は他のアクセスポイント(例えば、図1に示されていないマクロアクセスポイント)に接続することができる。アクセスポイントの各々は、ワイドエリアネットワーク接続性を可能にするために1つ以上のネットワークノードと通信することができる。
【0016】
これらのネットワークノードは、例えば、1つ以上の無線及び/又はコアネットワークエンティティなどの様々な形態をとることができる。従って、様々な実施形態では、ネットワークノードは、(例えば、運用(operation)、管理(administration)、運営(management)、及びプロビジョニングエンティティ(provisioning entity)を介した)ネットワーク管理、呼制御、セッション管理、モビリティ管理、ゲートウェイ機能、インターワーキング機能、又は何らかの他の好適なネットワーク機能のうちの少なくとも1つなどの機能を提供することができる。図1の例では、例示的なネットワークノードが、公衆交換データネットワーク(PSDN)108、事業者コアネットワーククラウド110、セキュリティゲートウェイ112(例えば、フェムトセキュリティゲートウェイ)、及び認証サーバ114(例えば、認証、許可、及び課金(AAA)エンティティ、ビジティングロケーションレジスタ(VLR)、又はホームロケーションレジスタ(HLR))によって表される。
【0017】
システム100中のノードは、互いに通信するために様々な手段を採用することができる。そのロケーションに応じて、アクセス端末102は、IPネットワーク110又はアクセスポイント106と(例えば、図示されていない、IPネットワーク110のアクセスポイントに)通信することができる。図1の例では、アクセス端末102は、通信リンク118によって表されるように、(例えば、ワイヤレス接続又はワイヤード接続を介して)IPネットワーク110に接続される。アクセスポイント106は、通信リンク122によって表されるようにルータ120に接続することができ、ルータ120は、通信リンク126によって表されるようにインターネット124に接続することができ、セキュリティゲートウェイ112は、通信リンク128によって表されるようにインターネット124に接続することができ、セキュリティゲートウェイ112は、通信リンク130によって表されるようにIPネットワーク110に接続することができる。
【0018】
これらの通信リンクを使用することによって、アクセス端末102は、システム100中の様々なノードと通信することができる。アクセス端末102がIPネットワークに接続されると、アクセス端末102は、例えば、事業者コアネットワーク(例えば、セルラーネットワークのコアネットワーク)又は何らかの他のネットワークを介してサービスにアクセスすることができる。従って、アクセス端末102は他のアクセス端末及び他のネットワークと通信することができる。
【0019】
アクセス端末102がアクセスポイント106に接続されると、アクセス端末は、アクセスポイント106が常駐するローカルネットワーク上のノード、及び(ローカルノード134によって表される)1つ以上のローカルノードにアクセスすることができる。ローカルノード134は、アクセスポイント106と同じIPサブネットワーク(例えば、ルータ120によってサービスされるローカルエリアネットワーク)上に常駐する機器を表すことができる。この場合、ローカルネットワークにアクセスすることには、IPサブネットワーク上のローカルプリンタ、ローカルサーバ、ローカルコンピュータ、別のアクセス端末、器具(例えば、防犯カメラ、空調装置など)、又は何らかの他のエンティティにアクセスすることが含まれる。アクセスポイント106に接続されると、アクセス端末102は、事業者コアネットワーク110を通過することなしにローカルネットワークにアクセスすることができる。このようにして、アクセス端末102が、例えば、ホームネットワーク又は何らかの他のローカルネットワークにあるとき、アクセス端末は、幾つかのサービスに効率的にアクセスすることができる。
【0020】
アクセス端末102が何らかの他のアクセスポイントに接続されている(例えば、アクセス端末102が別のネットワークにおいてリモートで動作している)とき、アクセス端末102は、ルータ120にあるファイアウォールにより、ローカルネットワークに容易にアクセスすることができないことがある。以下の説明では、アクセス端末がローカルネットワークにリモートでアクセスすることを可能にするための2つのアーキテクチャについて説明する。
【0021】
図1及び図2には、両方ともセキュリティゲートウェイ112で終了する2つのプロトコルトンネルを採用するアーキテクチャが記載されている。セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。セキュリティゲートウェイ112とアクセス端末102との間に第2のプロトコルトンネルを確立する。
【0022】
図4及び図5には、両方ともアクセスポイント106で終了する2つのプロトコルトンネルを採用するアーキテクチャが記載されている。セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。アクセスポイント106とアクセス端末102との間に第2のプロトコルトンネルを確立し、それによって第2のプロトコルトンネルの一部分を第1のプロトコルトンネル内に確立する。
【0023】
幾つかの態様では、これらのアーキテクチャは、リモートアクセスを可能にするためにセキュリティゲートウェイ112とアクセスポイント106との間に確立されたプロトコルトンネルによって開かれたIPポートを利用することができる。図1のアーキテクチャでは、セキュリティゲートウェイ112は、アクセス端末102からトンネルを介して受信されたパケットを検査し、これらのパケットをアクセスポイント106へのトンネルに転送する。図4のアーキテクチャでは、セキュリティゲートウェイは、単に、アクセス端末102からトンネリングされた着信パケットをアクセスポイント106へのトンネルにルーティングし、その逆も同様である。
【0024】
有利には、これらのアーキテクチャは、従来のフェムトアクセスポイント実施形態との良好な相乗効果を有することができる。例えば、ローカルIPアクセスをサポートするフェムトアクセスポイントは、アクセス端末のローカルIPアドレスを割り当てることと、プロキシアドレス解決プロトコル(ARP)機能を実行することとをすでにサポートすることができる。更に、フェムトアクセスポイントは、任意のネットワークアドレス変換(NAT)を介してフェムトアクセスポイントとそのフェムトセキュリティゲートウェイとの間を移動する、フェムトセキュリティゲートウェイとの永続的IPsecトンネルをすでに有することができる。また、リモートアクセス端末アクセスのための(例えば、認証、許可、及びセキュアなIPsecトンネルのための)追加の認証情報(例えば、認証情報)をプロビジョニングする必要がないことがある。リモートアクセスのための認証情報は、アクセス端末がローカル(例えば、ホーム)ネットワーク又は事業者のネットワークと共有する既存の認証情報のうちの1つを使用して導出できる。
【0025】
以下の実施形態の詳細は、説明するアーキテクチャに関連して使用され得る。事業者は、リモートIPアクセスを予約ベースのアドオンサービスとして提供することができる。リモートIPアクセスをサポートするために、フェムトアクセスポイントにおいてDHCP/ARPなどの機能が利用可能である。所定のアクセス端末が到達することができるフェムトアクセスポイントは、ホーム認証サーバにおいてアクセス端末(予約)プロファイルの一部として構成できる。フェムトアクセスポイントは、フェムト識別子によって、又は(例えば、企業展開中のフェムトアクセスポイントのグループに有用な)領域によって識別できる。ユーザは、アクセス端末において、(例えば、「My Home」をクリックすることによって)要求に応じてサービスを呼び出すことができる。
【0026】
次に、再び図1を参照しながら、このアーキテクチャの例示的な態様についてより詳細に説明する。セキュリティゲートウェイ112は、アクセス端末102との確立されたプロトコルトンネルのバーチャルプライベートネットワーク(VPN)ゲートウェイとして働く。図1では、アクセス端末102とセキュリティゲートウェイ112との間の(例えば、リンク118及び130を介した)トラフィックフローは、1対の線138によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介してルーティングされた点線136によって表される。ここで、アクセス端末によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは(例えば、ルータ120によって割り当てられる)ローカルネットワークアドレスを有し、外部ソースアドレス及び外部宛先アドレスは、例えば、それぞれ、アクセス端末102のマクロIPアドレス及びセキュリティゲートウェイ112のIPアドレスである。
【0027】
セキュリティゲートウェイ112は、アクセスポイント106との確立されたプロトコルトンネルを介して、アクセス端末102から受信された任意のパケットをアクセスポイント106に転送する。図1では、(例えば、リンク128、126、及び120を介した)セキュリティゲートウェイ112とフェムトアクセスポイント106との間のトラフィックフローは、1対の線142によって表されるプロトコルトンネル(例えば、IPsecトンネル)内の点線140によって表される。このトンネルでは、アクセス端末によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは、同じく前のパラグラフで説明したローカルネットワークアドレスであり、外部ソースアドレス及び外部宛先アドレスは、例えば、トンネル142によって定義される。
【0028】
アクセス端末認証は、認証サーバ114(例えば、ホームAAA)で好適なアルゴリズムを使用して実行される。例えば、幾つかの実施形態は、EAP−AKA IKEv2又はIKEv2 PSKを採用することができる(例えば、例えば事業者によって構成された、アクセス端末の既存のIP予約認証情報を再利用する)。フェムトアクセスポイントは、セキュリティゲートウェイ112が、アクセス端末にIKEv2の一部として割り当てるローカルIPを要求することができるDHCPサーバ機能を提供することができる。
【0029】
セキュリティゲートウェイ112は、(例えば、転送ポリシー又はターゲットアドレスに基づいて)選択されたパケットをアクセスポイント106からアクセス端末102に転送する。セキュリティゲートウェイ112は、アクセス端末102のマクロIPアドレスを介して到達可能である。上記の方式を使用することによって、アクセス端末102は、リモートIPアクセスのための任意の利用可能なIP接続性を使用することができる。
【0030】
(例えば、アクセス端末102が、アクセスポイント102の事業者ネットワークとは異なるリモートネットワーク上にある)幾つかの実施形態では、アクセスポイント106からアクセス端末102にパケットをルーティングするときにアドレス競合が起こり得る。この問題に対処するために、トンネル142のために別個のチャイルドセキュリティアソシエーション(CSA)を定義することができる。例えば、第1のCSAは、アクセスポイント106からの、アクセス端末102に宛てられたトラフィック(例えば、リモートIPアクセストラフィック)をルーティングするために使用できる。更に、第2のCSAは、アクセスポイント106からの、事業者コアネットワーク110に宛てられたトラフィックをルーティングするために使用できる。セキュリティゲートウェイ112は、パケットがどちらのCSA上で受信されたかに基づいて、アクセスポイント106から受信されたパケットをどこにルーティングすべきかを決定することができる。別の一意のプロトコルトンネルを定義する必要がなく、トンネル142の認証情報を再利用することができるので、ここではCSAを有利に採用することができる。
【0031】
次に、システム100の例示的な動作について、図2のフローチャートに関連してより詳細に説明する。便宜上、図2の動作(又は本明細書で説明又は教示する他の動作)については、特定のコンポーネント(例えば、システム100のコンポーネント)によって実行されるものとして説明する。但し、これらの動作は、他のタイプのコンポーネントによって実行でき、異なる個数のコンポーネントを使用して実行できることを諒解されたい。また、本明細書で説明する動作の1つ又は複数は、所定の実施形態では採用されない場合があることを諒解されたい。
【0032】
ブロック202によって表されるように、ある時点において(例えば、アクセスポイント106が展開されるとき)、セキュリティゲートウェイ112とアクセスポイント106との間に第1のプロトコルトンネルを確立する。ここで、セキュリティゲートウェイ112及びアクセスポイント106はそれぞれ、プロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル142を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。更に、上述のように、このプロトコルトンネルのためにCSAを確立することができる。
【0033】
ブロック204によって表されるように、ある時点において、アクセス端末102は認証情報を取得する。例えば、アクセス端末102のワイヤレス事業者は、アクセス端末が最初にプロビジョニングされるときに認証情報を割り当てることができる。
【0034】
ブロック206によって表されるように、ある時点において、アクセス端末102はローカルネットワーク上のアクセスポイント(例えば、アクセスポイント106)を識別する。例えば、これらの機器のどちらかがプロビジョニングされるとき、アクセス端末102をホームフェムトアクセスポイントに関連付けることができる。
【0035】
ブロック208によって表されるように、ある時点において、アクセス端末102は、アクセスポイント106に関連するセキュリティゲートウェイを発見する。例えば、アクセス端末102は、アクセスポイント106のワイヤレスカバレージの外にあるロケーションに存在し得るが、何らかの他のネットワーク(例えば、ワイヤレス事業者のマクロネットワーク)に接続することが可能である。この場合、アクセス端末102は、アクセス端末102がアクセスポイント106のローカルネットワークにアクセスできるように、アクセスポイント106に関連するセキュリティゲートウェイの位置を特定しようと試みることができる。図3に関連してより詳細に説明するように、これは、例えば、アクセスポイント106へのトンネルを確立したセキュリティゲートウェイを発見するために、1つ以上のセキュリティゲートウェイにメッセージを送信するアクセス端末102を含むことができる。このメッセージに関連して、アクセス端末102は、セキュリティゲートウェイにその認証情報を送信する。次いで、セキュリティゲートウェイは、(例えば、認証サーバ114と通信することによって)認証情報を認証するために適切なアクションをとる。例えば、セキュリティゲートウェイは、アクセス端末102の予約情報を認証サーバ114に送信することができる。認証サーバ114は、アクセス端末102の予約プロファイルの一部としてアクセスできるフェムトアクセスポイントのリストを維持する(即ち、アクセス端末予約プロファイルは、所定のユーザが所定のフェムトアクセスポイントを使用することを許可されるかどうかを決定する)。認証中に受信された識別子(例えば、NAI)(例えば、アクセス端末102によってセキュリティゲートウェイ112に送信されたメッセージの結果として取得された識別子)に基づいて、認証サーバ114は、例えば、(アクセス端末102が正常に認証された場合)アクセス端末102がアクセスすることを許可されるフェムトアクセスポイントを識別する1つ以上のフェムト識別子をセキュリティゲートウェイに返す。受信された識別子はまた、アクセス端末がアクセスすることを希望するフェムトアクセスポイントの識別情報を更に備える(例えば、暗示するか又は中に埋め込む)ことができる(例えば、NAIの一部として含まれる)。複数のフェムト識別子が返される場合、セキュリティゲートウェイは、(例えば、フェムトアクセスポイントへのIPsecトンネルの可用性と、アクセス端末102によって示される任意の選好とに基づいて)フェムト識別子を選択する。セキュリティゲートウェイがアクセスポイント106へのトンネルを確立し(例えば、アクセス端末102がセキュリティゲートウェイ112に問い合わせ)、アクセス端末102の認証情報が認証された場合、セキュリティゲートウェイはアクセス端末に応答を送信し、エンティティはプロトコルトンネル138のセットアップを開始する。
【0036】
ブロック210によって表されるように、プロトコルトンネル138のセットアップに関連して、アクセス端末102のローカルネットワーク上のアドレスを取得する。例えば、セキュリティゲートウェイ112は、アクセス端末102に代わってローカルアドレスを要求しているアクセスポイント106にメッセージを送信することができる。一例として、リモートIPアクセス専用のCSAにおいて、セキュリティゲートウェイ112は、アクセス端末102のリモートIPアドレスを要求するために、トンネル142を介してDHCP要求又はルータ要請をアクセスポイント106に送信する。次いで、アクセスポイント106はローカルアドレスの要求をルータ120に送信する。アクセスポイント106がローカルアドレスを取得すると、アクセスポイント106はローカルアドレスをセキュリティゲートウェイ112に送信する。次いで、(例えば、プロトコルトンネル138が確立されると)セキュリティゲートウェイ112はローカルアドレスをアクセス端末102に転送する。例えば、割り当てられたアドレスを、IKE_AUTHメッセージを介してアクセス端末102に送信することができる。
【0037】
ブロック212によって表されるように、セキュリティゲートウェイ112及びアクセス端末102はそれぞれ、プロトコルトンネル138を確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル138を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
【0038】
ブロック214によって表されるように、プロトコルトンネル138が確立されると、プロトコルトンネル138及び142を介してアクセス端末102とアクセスポイント106との間でパケットをルーティングする。ここで、セキュリティゲートウェイ112は、1つのトンネルを介して受信したパケットを他のトンネルにルーティングする。これは様々な方法で達成できる。場合によっては、プロトコルトンネルをセットアップするときに転送ポリシーが確立される。従って、パケットが所定のトンネルを介して受信されると、そのパケットはポリシーに基づいて転送される。ここで、セキュリティゲートウェイ112は、例えば、パケットをカプセル化するIPsecプロトコルヘッダに基づいて、所定のトンネルからのパケットを識別することができる。場合によっては、セキュリティゲートウェイ112は、パケットのソース(例えば、アクセス端末102)及び/又は宛先(例えば、アクセスポイント106)の識別子を取得するために、パケットを検査する。次いで、セキュリティゲートウェイ112は、この抽出された識別子情報に基づいて、パケットを転送するための適切なトンネルを決定する。
【0039】
アクセスポイント106は、トンネル142とローカルネットワークとの間でパケットをルーティングする。例えば、パケットがトンネル142を介してアクセスポイント106において受信されると、アクセスポイント106はローカルネットワーク上でのパケットの宛先を識別するためにパケットを検査する。アクセスポイント106は、識別された宛先にパケットを転送する。図1に、アクセスポイント106とローカルネットワークのローカルノード134との間の(例えば、ルータ120を介した)パケットフローのための例示的なデータ経路144を示す。
【0040】
上述のように、アクセスポイントに関連するローカルネットワークにリモートでアクセスするために、アクセス端末は、アクセスポイントによって使用されているセキュリティゲートウェイを発見する必要があり得る。ここで、セキュリティゲートウェイは公に到達可能である(例えば、ノードがパブリックIPを介してセキュリティゲートウェイに到達することができる)と仮定することができる。図3には、セキュリティゲートウェイを発見するために採用され得る2つの技法が記載されている。1つの技法は、ドメインネームサーバ(DNS)解決及び複数の再試行を含む。他の技法は、例えば、予約情報に基づくセキュリティゲートウェイリダイレクションを含む。
【0041】
ブロック302によって表されるように、アクセス端末102は、アクセス端末102がアクセスすることを望む、ローカルネットワーク上のアクセスポイントを識別する。例えば、ブロック206に関連して上述したように、アクセス端末102は、アクセス端末102がアクセスすることを許可される、ホームネットワーク上のフェムトアクセスポイントのフェムト識別子を取得することができる。
【0042】
ブロック304によって表されるように、DNS技法を採用する実施形態では、アクセス端末102は、システム中の1つ以上のセキュリティゲートウェイの指定されたドメインネームを含むDNSクエリを送信する。このクエリに応答して、アクセス端末102は、1つ以上のセキュリティゲートウェイアドレスのリストを受信する。この技法を使用して、アクセス端末102は、各IPアドレスへの接続を連続的に試みることができる。ここで、正しいセキュリティゲートウェイのみが成功することになる。正しいセキュリティゲートウェイが発見された場合、アクセス端末は、以下で説明するように、そのセキュリティゲートウェイのアドレス情報をキャッシュすることができる。実際には、DNSサーバから返されたアドレスは、通常、負荷分散のためにラウンドロビン方式でランダム化される。従って、この技法を使用した場合、単一のセキュリティゲートウェイが常に「ヒット」する可能性は低くなる。
【0043】
ブロック306によって表されるように、アクセス端末102は、セキュリティゲートウェイの発見を開始する。DNS技法を使用する場合、アクセス端末は、この時点でDNSクエリから取得されたアドレスを使用することができる。使用している技法にかかわらず、アクセス端末102は、そのセキュリティゲートウェイがアクセスポイント106へのトンネルを確立したかどうかを決定するために、選択されたセキュリティゲートウェイにメッセージを送信する。ブロック308によって表されるように、選択されたセキュリティゲートウェイはアクセス端末102からこのメッセージを受信する。
【0044】
ブロック310によって表されるように、セキュリティゲートウェイは、アクセスポイント106へのトンネルを確立したかどうかを決定する。例えば、(例えば、上記で説明したように)認証サーバ114から受信された1つ以上のフェムト識別子に基づいて、セキュリティゲートウェイは、対応するフェムトアクセスポイントへの事前セットアップIPsecトンネルがすでにあるかどうかを決定する。
【0045】
ブロック312によって表されるように、セキュリティゲートウェイは、ブロック310の決定に基づいてアクセス端末102に適切な応答を送信する。
【0046】
トンネルがセットアップされている場合は、トンネル138を確立する。ここで、トンネル142がリモートIPアクセスに関連するCSAを有していない場合、セキュリティゲートウェイ112は、アクセスポイント106に別のCSAを作成するように要求する。次いで、セキュリティゲートウェイ112は、トンネル142をもつ新しいCSAをアクセス端末102に接続する。次いで、ブロック314によって表されるように、アクセス端末102が将来そのセキュリティゲートウェイの探索を回避することができるように、アクセス端末102は、(例えば、アクセスポイント106へのマッピングとともに)セキュリティゲートウェイ112のアドレスを維持する。
【0047】
トンネルがセットアップされていない場合、セキュリティゲートウェイは適切な応答をアクセス端末102に送信する。例えば、幾つかの実施形態では、セキュリティゲートウェイは、(例えば、IKEv2を使用した適切なエラーコードを介して)アクセス端末からの要求を拒否する。
【0048】
代替的に、リダイレクション技法を採用する実施形態では、セキュリティゲートウェイは、アクセス端末102を正しいセキュリティゲートウェイにリダイレクトする。ここで、事業者は、アクセスポイント識別子(例えば、フェムト識別子)をセキュリティゲートウェイアドレスにマッピングするデータベース(例えば、リダイレクションデータベース146)を維持する。次いで、このデータベースは、ネットワーク中のセキュリティゲートウェイのためにアクセス可能にされる。従って、セキュリティゲートウェイは、指定されたアクセスポイントに関連する正しいセキュリティゲートウェイのアドレスを決定することができ、そのアドレス情報を応答中でアクセス端末102に送信する。
【0049】
フェムトがセキュリティゲートウェイにおいて認証されているとき、認証サーバ114はセキュリティアドレスを後のために記憶することができる。ここで、ネットワーク中の様々な認証サーバ(例えば、ホームAAA)は、ネットワーク中の他の認証サーバ(例えば、フェムトAAA)からのフェムト識別子に関連するセキュリティゲートウェイアドレスを検索するための何らかの手段を有することができる。例えば、これらの様々なタイプの認証サーバは、同じエンティティ中に実装され得るか、又は同じデータベースを共有し得る。
【0050】
ブロック316によって表されるように、拒否応答又はリダイレクション応答の結果として、アクセス端末102は別のセキュリティゲートウェイの発見を開始する。例えば、リダイレクション技法を使用する実施形態では、アクセス端末102は、次に、応答中で与えられたアドレスに対応するセキュリティゲートウェイにアクセスする。DNS技法を使用する実施形態では、アクセス端末102は、ブロック304において取得されたアドレスのリスト中で次のアドレスを選択する。
【0051】
以上のことから、異なる発見技法を独立して採用することができること、又は複数の発見技法を組み合わせて採用することができることを諒解されたい。例えば、アクセス端末は、セキュリティゲートウェイがリダイレクトすることができるか否かについて知っている必要がないので、DNS技法とリダイレクション技法とを組み合わせて採用することができる。更に、セキュリティゲートウェイがアクセス端末をリダイレクトしない場合、アクセス端末は、依然として単独で次のセキュリティゲートウェイIPアドレスを試みる。
【0052】
次に、図4を参照しながら、システム400によって示されるアーキテクチャの例示的な態様についてより詳細に説明する。システム400は、図1のコンポーネントと同様であるコンポーネントを含む。詳細には、アクセス端末402、アクセスポイント406、セキュリティゲートウェイ412、通信リンク418、422、426、428、及び430、ルータ420、及びインターネット424は、図1の同様の名称を付けられたコンポーネントと同様である。図4はまた、アクセスポイント404が、通信リンク416によって表されるようにPSDN408に接続することができ、PSDN408が、通信リンク418によって表されるように事業者ネットワーク410に接続することができる例を示す。(例えば、図1で説明したように)他の実施形態では、他のタイプのネットワーク接続も使用され得る。
【0053】
図1のシステム100の場合のように、システム400は、遠隔に位置するアクセス端末402が、アクセスポイント406が常駐するローカルネットワークにアクセスすることを可能にする。この場合も、典型的なシナリオでは、アクセスポイント406は、アクセス端末402のホームフェムトアクセスポイント、又はアクセス端末402によってアクセスを可能にする何らかの他のアクセスポイントである。
【0054】
このアーキテクチャでは、アクセスポイント406は、アクセス端末402との確立されたプロトコルトンネルのバーチャルプライベートネットワークゲートウェイとして働く。図4では、アクセス端末402とアクセスポイント406との間のトラフィックフローは、1対の線438によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介してルーティングされる点線436によって表される。ここで、アクセス端末402によって送信されたパケットの内部ソースアドレス及び内部宛先アドレスは、(例えば、ルータ420によって、アクセス端末402のプロキシARPとして働いているアクセスポイント406を通して割り当てられた)ローカルネットワークアドレスを有し、外部ソースアドレス及び外部宛先アドレスは、それぞれ、例えば、アクセス端末402及びアクセスポイント406のマクロIPアドレスである。
【0055】
セキュリティゲートウェイ412及びアクセスポイント406との間のトラフィックフローは、1対の線448によって表されるプロトコルトンネル(例えば、IPsecトンネル)を介して与えられる。ここで、トンネル438はトンネル448内で搬送される(例えば、カプセル化又は階層化される)ことがわかる。従って、アクセスポイント402からセキュリティゲートウェイ412に到着するパケットは、トンネル448に挿入される。従って、先行するパラグラフで説明する外部ソースアドレスと外部宛先アドレスとを含むトンネル438の外部ヘッダは、このアーキテクチャにおいて除去されない。むしろ、外部ソースアドレス及び外部宛先アドレスの別のセットがパケットに追加され、例えば、トンネル448によって定義される。従って、パケットがアクセスポイント406に到着すると、トンネルヘッダの2つの層は、ローカルネットワークに関連するソースアドレスと宛先アドレスとをもつパケットを取得するためにパケットから除去される。
【0056】
逆に、ローカルネットワークからアクセス端末402にパケットを送信するとき、アクセスポイント406は、トンネル438を介して送信するためにパケットをカプセル化し、得られたパケットを、トンネル448を介して送信するためにカプセル化する。次いで、セキュリティゲートウェイ412は、トンネル448のヘッダを除去し、パケットをアクセス端末402にルーティングする。上記を念頭において、システム400の動作に関係する追加の詳細について、図5のフローチャートを参照しながら説明する。
【0057】
ブロック502によって表されるように、ある時点において、セキュリティゲートウェイ412とアクセスポイント406との間に第1のプロトコルトンネルを確立する。セキュリティゲートウェイ412及びアクセスポイント406はそれぞれ、プロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル448を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
【0058】
ブロック504によって表されるように、ある時点において、アクセス端末402とアクセスポイントとは認証情報(例えば、IKEv2 SA認証のための共有認証情報)を交換する。有利には、アクセス端末402においてトンネルの認証情報を事前プロビジョニングする必要がない。
【0059】
例えば、認証情報は、アクセス端末がアクセスポイント406を通して無線で接続されている間にローカルに導出できる。ここで、アクセスポイント406に無線で接続されているとき、アクセス端末がアクセスポイント406を介してローカルネットワークにアクセスすることが可能である場合、アクセス端末402はすでにローカルドメイン上の任意のIPホストにアクセスできる。従って、この機能は、アクセス端末がリモートロケーションにあるときに保持できる。
【0060】
ここで様々な技法が採用できる。例えば、第1の代替では、アクセス端末402が無線でローカルに接続している間に、事前共有鍵(PSK)を生成するためにディフィーへルマン(Diffie-Hellman)鍵交換を実行することができる。第2の代替では、アクセス端末402が無線でローカルに接続している間に、事前共有鍵(PSK)を生成するために、認証されたディフィーへルマン鍵交換を実行することができる。この場合、ユーザのサービスの予約中に、認証のために使用される秘密(例えば、パスワード)をユーザに提供することができる。ディフィーへルマン交換中に、ユーザはアクセス端末402上でこの秘密を入力することができる。アクセスポイント406は、今度は、PPP認証及び許可中にネットワークから(例えば、AAAエンティティから)秘密を取得することができる。鍵は、AAA交換を使用してネットワークにおいて生成することもできる(アクセスポイントはそのディフィーへルマン値をネットワークに送信する)。ディフィーへルマン交換の後、アクセス端末402とアクセスポイントとはPSKを共有する。第3の代替では、MSKを生成するためにEAP−AKA(over PPP)を使用することができ、次いでMSKをPSKとして使用することができる。第4の代替では、アクセス端末402とアクセスポイント406との間でPSKを生成するためにGBAを使用することができる。ここで、アクセスポイント406は、NAFの役割を果たし、ブートストラッピングのためにBSFと交信することができる。ブートストラッピングの終了時に、アクセス端末402とアクセスポイント406とはPSKを共有する。
【0061】
認証情報はまた、アクセス端末が(例えば、マクロアクセスポイント又はフェムトアクセスポイントを通して)リモートで接続されているときに導出できる。例えば、アクセス端末がマクロカバレージ中にある(例えば、マクロアクセスポイント404に接続されている)間、認証情報は、アクセス端末402とアクセスポイント406との間のIKEv2 SA確立中に導出できる。共有鍵は、上記の代替において説明したのと同様の技法を使用して導出できる。第1及び第2の代替では、PSKは、IKEv2 INIT_SAディフィーへルマン交換中に生成できる。第3の代替では、EAP−AKAがIKEv2中に実行される。第4の代替では、標準化されたIKEv2ベースのUa(NAF−UE)プロトコルとともに、GBAを使用することができる。
【0062】
アクセス端末402は、様々な方法でアクセスポイント406のIPアドレスを取得することができる。幾つかの実施形態では、アクセスポイント406がネットワークに登録されると、事業者に属するプライベートDNS中の完全修飾ドメイン名(FQDN)をアクセスポイント406に割り当てることができる。この場合、アクセス端末は、アクセスポイント406に到達するためにこのFQDNを使用することができる。幾つかの実施形態では、アクセス端末402がアクセスポイント406に無線で接続したときに、アクセス端末402はアクセスポイント406のIPアドレスを学習することができる。
【0063】
図5を再び参照すると、ブロック506によって表されるように、アクセス端末は、所望のローカルネットワークにアクセスするために使用すべきアクセスポイント406を発見する。これらの動作は、上記で説明した発見動作と同様であり得る。
【0064】
ブロック508によって表されるように、第2のプロトコルトンネル(トンネル438)の確立に関連して、アクセス端末402のローカルネットワーク上のアドレスを取得する。前述のように、アクセスポイント406はローカルアドレスの要求をルータ420に送信する。場合によっては、次いで、アクセスポイント406がローカルアドレスをセキュリティゲートウェイ412に送信し、今度は、セキュリティゲートウェイ412がローカルアドレスをアクセス端末402に転送する。
【0065】
ブロック510によって表されるように、アクセスポイント406及びアクセス端末402はそれぞれ、第2のプロトコルトンネルを確立するために対応する動作を実行する。これは、例えば、プロトコルトンネル438を介して送信された情報を暗号化し、解読するための暗号鍵を割り振るために、メッセージを交換することを含むことができる。
【0066】
ブロック512によって表されるように、プロトコルトンネル438が確立されると、プロトコルトンネル438及び448を介してアクセス端末402とアクセスポイント406との間でパケットをルーティングする。アクセス端末402から受信された、トンネリングされたパケットの場合、セキュリティゲートウェイ412は、トンネル448を介して送信するためにパケットをカプセル化した。アクセスポイント406から受信されたパケットの場合、セキュリティゲートウェイ412は、トンネル448のためのカプセル化を除去し、トンネリングされたパケットをアクセスポイント406に送信する。上記のように、これは、転送ポリシー又は何らかの他の好適な技法を使用して達成できる。
【0067】
また上記のように、アクセスポイント406は、トンネル448及び438とローカルネットワークとの間でパケットをルーティングする。例えば、パケットがトンネルを介してアクセスポイント406において受信されると、アクセスポイント406はローカルネットワーク上のパケットの宛先を識別するためにパケットを検査する。アクセスポイント406は、識別された宛先にパケットを転送する。図4に、アクセスポイント406とローカルネットワークのローカルノード434との間の(例えば、ルータ420を介した)パケットフローのための例示的なデータ経路444を示す。
【0068】
図6に、本明細書で教示するアクセス動作を実行するために、(例えば、それぞれ、アクセス端末102又は402、アクセスポイント106又は406、セキュリティゲートウェイ112又は412、及び認証サーバ114に対応する)アクセス端末602、アクセスポイント604、セキュリティゲートウェイ606、及び認証サーバ642などのノードに組み込むことができる幾つかの例示的なコンポーネントを示す。説明するコンポーネントは、通信システム中の他のノードに組み込むこともできる。例えば、システム中の他のノードは、同様の機能を提供するために、アクセス端末602と、アクセスポイント604と、セキュリティゲートウェイ606とに関して記載するコンポーネントと同様のコンポーネントを含むことができる。所定のノードは、説明するコンポーネントのうちの1つ又は複数を含むことができる。例えば、アクセス端末は、アクセス端末が複数の周波数上で動作し、及び/又は様々な技術によって通信できるようにする、複数のトランシーバコンポーネントを含むことができ得る。
【0069】
図6に示すように、アクセス端末602及びアクセスポイント604は、それぞれ、他のノードと通信するためのトランシーバ608及び610を含むことができる。トランシーバ608は、信号を(例えば、アクセスポイントに)送信するための送信機612と、(例えば、アクセスポイントから)信号を受信するための受信機614とを含む。同様に、トランシーバ610は、信号を送信するための送信機616と、信号を受信するための受信機618とを含む。
【0070】
アクセスポイント604及びネットワークノード606はまた、それぞれ、互いに又は他のネットワークノードと通信するためのネットワークインターフェース620及び622を含む。例えば、ネットワークインターフェース620及び622は、ワイヤード又はワイヤレスバックホールを介して1つ以上のネットワークノードと通信するように構成できる。
【0071】
アクセス端末602、アクセスポイント604、及びセキュリティゲートウェイ606は、本明細書で教示するアクセス動作と連携して使用される他のコンポーネントをも含む。例えば、アクセス端末602、アクセスポイント604、セキュリティゲートウェイ606、及び認証サーバ114は、それぞれ、他のノードとの通信を管理する(例えば、パケットを処理し、検査する、認証情報を取得する、識別子を取得する、或いはパケット、メッセージ、要求、アドレス、認証情報、応答、又はクエリを送信及び受信する)ための、及び本明細書で教示する他の関連する機能を与えるための通信コントローラ624、626、628、及び644を含むことができる。更に、アクセス端末602、アクセスポイント604、及びセキュリティゲートウェイ606は、それぞれ、トンネルを確立するための、及び本明細書で教示する他の関連する機能(例えば、トンネルへのアクセス端末アクセスを受け付けるか又は拒否する)を提供するためのトンネルコントローラ620、632、及び634を含む。アクセス端末602は、アクセスすべきアクセスポイントを識別するための、及び本明細書で教示する他の関連する機能を提供するためのモビリティコントローラ636を含む。アクセス端末602は、セキュリティゲートウェイアドレスを維持するための、及び本明細書で教示する他の関連する機能を提供するためのデータメモリ638を含む。アクセスポイント604は、ローカルアドレスを取得するための、及び本明細書で教示する他の関連する機能を提供するためのアドレスコントローラ640を含む。認証サーバ642は、予約情報を記憶するための、及び本明細書で教示する他の関連する機能を提供するためのデータベース646を含む。
【0072】
便宜のために、アクセス端末602及びアクセスポイント604を、本明細書で説明する様々な例において使用されるコンポーネントを含むものとして図6に示す。実際問題として、図示のコンポーネントのうちの1つ以上は様々な例において様々な方法で実装できる。一例として、トンネルコントローラ630、632、及び634は、図1の実施形態において図4の実施形態に比較して異なる機能を有することができ、及び/又は異なる方法で動作する(例えば、異なる方法でトンネルを確立する)ことができる。
【0073】
また、幾つかの実施形態では、図6のコンポーネントは、(例えば、データメモリを使用し、及び/又は組み込む)1つ以上のプロセッサ中に実装できる。例えば、ブロック624、630、636、及び638の機能はアクセス端末の1つ以上のプロセッサによって実施でき、ブロック620、626、632、及び640の機能はアクセスポイント中の1つ以上のプロセッサによって実施でき、及びブロック622、628、及び624の機能はネットワークノード中の1つ以上のプロセッサによって実施できる。
【0074】
上記で説明したように、幾つかの態様では、マクロスケールのカバレージ(例えば、一般にマクロセルネットワーク又はワイドエリアネットワークと呼ばれる、3Gネットワークなどの広域セルラーネットワーク)、及びより小さいスケールのカバレージ(例えば、住居ベース又は建築物ベースのネットワーク環境)を含むネットワーク中で、本明細書の教示を採用することができる。アクセス端末がそのようなネットワーク中を移動するとき、アクセス端末は、幾つかのロケーションでは、マクロカバレージを与えるアクセスポイントによってサービスされ、他のロケーションでは、より小規模のカバレージを与えるアクセスポイントによってサービスされることがある。幾つかの態様では、より小さいカバレージアクセスポイントを使用して、増分キャパシティの増大と、屋内カバレージと、(例えば、よりロバストなユーザ経験のための)様々なサービスとを与えることができる。
【0075】
本明細書の説明では、相対的に広いエリアにわたるカバレージを与えるノードをマクロアクセスポイントと呼び、比較的小さいエリア(例えば、住居)にわたるカバレージを与えるノードをフェムトアクセスポイントと呼ぶことがある。本明細書の教示は、他のタイプのサービスエリアに関連付けられたノードに適用できる場合があることを諒解されたい。例えば、ピコアクセスポイントは、マクロエリアよりも小さく、フェムトエリアよりも大きいエリアにわたるカバレージ(例えば、商業建築物内のカバレージ)を与えることができる。様々な適用例では、マクロアクセスポイント、フェムトアクセスポイント、又は他のアクセスポイントタイプのノードを指すために他の用語を使用することができる。例えば、マクロアクセスポイントを、アクセスノード、基地局、アクセスポイント、eノードB、マクロセルなどとして構成し、又はそのように呼ぶことがある。また、フェムトアクセスポイントを、ホームノードB、ホームeノードB、アクセスポイント基地局、フェムトセルなどとして構成し、又はそのように呼ぶことがある。幾つかの実施形態では、ノードを1つ以上のセル又はセクタに関連付ける(例えば、分割する)ことができる。マクロアクセスポイント、フェムトアクセスポイント、又はピコアクセスポイントに関連付けられたセル又はセクタを、それぞれ、マクロセル、フェムトセル、又はピコセルと呼ぶことがある。
【0076】
図7に、本明細書の教示を実装することができ得る、幾つかのユーザをサポートするように構成されたワイヤレス通信システム700を示す。システム700は、例えば、マクロセル702A〜702Gなど、複数のセル702の通信を可能にし、各セルは、対応するアクセスポイント704(例えば、アクセスポイント704A〜704G)によってサービスされる。図7に示すように、アクセス端末706(例えば、アクセス端末706A〜706L)は、時間とともにシステム全体にわたって様々な位置に分散できる。各アクセス端末706は、例えば、アクセス端末706がアクティブかどうか、及びアクセス端末706がソフトハンドオフ中かどうかに応じて、所定の瞬間に順方向リンク(FL)及び/又は逆方向リンク(RL)上で1つ以上のアクセスポイント704と通信することができ得る。ワイヤレス通信システム700は広い地理的領域にわたってサービスを提供することができ得る。例えば、マクロセル702A〜702Gは、近隣内の数ブロック又は地方環境の数マイルをカバーすることができる。
【0077】
図8に、1つ以上のフェムトアクセスポイントがネットワーク環境内に展開された例示的な通信システム800を示す。特に、システム800は、比較的小規模のネットワーク環境中に(例えば、1つ以上のユーザレジデンス830中に)設置された複数のフェムトアクセスポイント810(例えば、フェムトアクセスポイント810A及び810B)を含む。各フェムトアクセスポイント810は、DSLルータ、ケーブルモデム、ワイヤレスリンク、又は他の接続手段(図示せず)を介して、ワイドエリアネットワーク840(例えば、インターネット)とモバイル事業者コアネットワーク850とに結合できる。以下で説明するように、各フェムトアクセスポイント810は、関連するアクセス端末820(例えば、アクセス端末820A)、及び、随意に、他の(例えば、ハイブリッド又は外来)アクセス端末820(例えば、アクセス端末820B)にサービスするように構成できる。言い換えれば、フェムトアクセスポイント810へのアクセスを制限することができ、それによって、所定のアクセス端末820を、指定された(1つ以上の)(例えば、ホーム)フェムトアクセスポイント810のセットがサービスすることはできるが、指定されていないフェムトアクセスポイント810(例えば、ネイバーのフェムトアクセスポイント810)がサービスすることはできない。
【0078】
図9に、幾つかの追跡エリア900(又はルーティングエリア又は位置登録エリア)が画定されたカバレージマップ902の例を示し、そのエリアの各々は幾つかのマクロサービスエリア904を含む。ここで、追跡エリア902A、902B、及び902Cに関連付けられたカバレージのエリアは太線によって示され、マクロサービスエリア904は大きい六角形によって表される。追跡エリア902はフェムトサービスエリア906をも含む。この例では、フェムトサービスエリア906の各々(例えば、フェムトサービスエリア906C)を1つ以上のマクロサービスエリア904(例えば、マクロサービスエリア904B)内に示してある。但し、フェムトサービスエリア906の一部又は全部がマクロサービスエリア904内にない場合があることを諒解されたい。実際問題として、多数のフェムトサービスエリア906を所定のトラッキングエリア902又はマクロサービスエリア904とともに画定することができる。また、1つ以上のピコサービスエリア(図示せず)を所定の追跡エリア902又はマクロサービスエリア904内に画定することができ得る。
【0079】
再び図8を参照すると、フェムトアクセスポイント810の所有者は、例えば、3Gモバイルサービスなど、モバイル事業者コアネットワーク850を介して提供されるモバイルサービスに加入することができる。更に、アクセス端末820は、マクロ環境と、より小規模の(例えば、宅内)ネットワーク環境の両方で動作することが可能であり得る。言い換えれば、アクセス端末820の現在位置に応じて、アクセス端末820は、モバイル事業者コアネットワーク850に関連付けられたマクロセルアクセスポイント860によって、又は、フェムトアクセスポイント810のセットのいずれか1つ(例えば、対応するユーザレジデンス830内に常駐するフェムトアクセスポイント810A及び810B)によってサービスされることがある。例えば、加入者は、自宅の外にいるときは標準のマクロアクセスポイント(例えば、アクセスポイント860)によってサービスされ、自宅の中にいるときはフェムトアクセスポイント(例えば、アクセスポイント810A)によってサービスされる。ここで、フェムトアクセスポイント810は、レガシーアクセス端末820と後方互換性があることがある。
【0080】
フェムトアクセスポイント810は、単一の周波数上に展開でき、又は代替として、複数の周波数上に展開できる。特定の構成に応じて、単一の周波数、或いは複数の周波数のうちの1つ以上は、マクロアクセスポイント(例えば、アクセスポイント860)によって使用される1つ以上の周波数と重なることがある。
【0081】
幾つかの態様では、アクセス端末820は、そのような接続性が可能であるときはいつでも、好適なフェムトアクセスポイント(例えば、アクセス端末820のホームフェムトアクセスポイント)に接続するように構成できる。例えば、アクセス端末820Aがユーザのレジデンス830内にあるときはいつでも、アクセス端末820Aがホームフェムトアクセスポイント810A又は810Bのみと通信することが望ましい。
【0082】
幾つかの態様では、アクセス端末820がマクロセルラーネットワーク850内で動作しているが、(例えば、好適ローミングリスト中で定義された)その最も好適なネットワーク上に常駐していない場合、アクセス端末820は、ベターシステムリセレクション(BSR)プロシージャを使用して、最も好適なネットワーク(例えば、好適なフェムトアクセスポイント810)を探索し続け、ベターシステムリセレクションでは、より良好なシステムが現在利用可能であるかどうかを決定するために利用可能なシステムの周期的スキャニングを行い、その後、そのような好適なシステムを収集することができ得る。アクセス端末820は、特定の帯域及びチャネルの探索を制限することができる。例えば、1つ以上のフェムトチャネルが定義され、それにより、領域中の全てのフェムトアクセスポイント(又は全ての制限付きフェムトアクセスポイント)は(1つ以上の)フェムトチャネル上で動作することができる。最も好適なシステムの探索を周期的に繰り返すことができる。好適なフェムトアクセスポイント810が発見されると、アクセス端末820は、フェムトアクセスポイント810を選択し、そのサービスエリア内にあるときに使用するために登録する。
【0083】
フェムトアクセスポイントへのアクセスは、幾つかの態様では、制限されることがある。例えば、所定のフェムトアクセスポイントは、幾つかのサービスを幾つかのアクセス端末のみに提供することができる。いわゆる制限(又は限定)されたアクセスを用いた展開では、所定のアクセス端末は、マクロセルモバイルネットワークと、フェムトアクセスポイントの定義されたセット(例えば、対応するユーザレジデンス830内に常駐するフェムトアクセスポイント810)とによってのみサービスされ得る。幾つかの実施形態では、アクセスポイントは、少なくとも1つのアクセスポイントにシグナリング、データアクセス、登録、ページング、又はサービスのうちの少なくとも1つを与えないように制限され得る。
【0084】
幾つかの態様では、(限定加入者グループホームノードBと呼ばれることもある)制限付きフェムトアクセスポイントは、制限されたプロビジョニングされたアクセス端末のセットにサービスを提供するアクセスポイントである。このセットは、必要に応じて、一時的に又は永続的に拡大できる。幾つかの態様では、限定加入者グループ(CSG)は、アクセス端末の共通のアクセス制御リストを共有するアクセスポイント(例えば、フェムトアクセスポイント)のセットとして定義できる。
【0085】
従って、所定のフェムトアクセスポイントと所定のアクセス端末との間には様々な関係が存在する。例えば、アクセス端末の観点から、オープンなフェムトアクセスポイントは、無制限アクセスをもつフェムトアクセスポイントを指す(例えば、そのフェムトアクセスポイントは全てのアクセス端末へのアクセスを許す)。制限されたフェムトアクセスポイントは、何らかの形で制限された(例えば、アクセス及び/又は登録について制限された)フェムトアクセスポイントを指す。ホームフェムトアクセスポイントは、アクセス端末がアクセスし、その上で動作することを許可される(例えば、永続的なアクセスが、1つ以上のアクセス端末の定義されたセットに与えられる)フェムトアクセスポイントを指す。ゲスト(又はハイブリッド)フェムトアクセスポイントは、アクセス端末がアクセスし、又はその上で動作することを一時的に許可されるフェムトアクセスポイントを指す。外来フェムトアクセスポイントは、おそらく非常事態(例えば、911番)を除いて、アクセス端末がアクセスし、又はその上で動作することを許可されないフェムトアクセスポイントを指す。
【0086】
制限付きフェムトアクセスポイントの観点から、ホームアクセス端末は、そのアクセス端末の所有者のレジデンス中に設置された制限付きフェムトアクセスポイントへのアクセスを許可されるアクセス端末を指す(通常、ホームアクセス端末は、そのフェムトアクセスポイントへの永続的なアクセスを有する)。ゲストアクセス端末は、(例えば、デッドライン、使用時間、バイト、接続回数、又は何らかの他の1つ以上の基準に基づいて制限された)制限付きフェムトアクセスポイントへの一時的アクセスをもつアクセス端末を指す。外来アクセス端末は、例えば、おそらく911番などの非常事態を除いて、制限付きフェムトアクセスポイントにアクセスする許可を有していないアクセス端末(例えば、制限付きフェムトアクセスポイントに登録する認証情報又は許可を有していないアクセス端末)を指す。
【0087】
便宜上、本明細書の開示では、フェムトアクセスポイントの文脈で様々な機能について説明する。但し、ピコアクセスポイントは、より大きいサービスエリアに同じ又は同様の機能を提供することができ得ることを諒解されたい。例えば、所定のアクセス端末に対して、ピコアクセスポイントを制限すること、ホームピコアクセスポイントを定義することなどが可能である。
【0088】
本明細書の教示は、複数のワイヤレスアクセス端末のための通信を同時にサポートするワイヤレス多重アクセス通信システムにおいて採用できる。ここで、各端末は、順方向リンク及び逆方向リンク上の送信を介して1つ以上のアクセスポイントと通信することができる。順方向リンク(即ち、ダウンリンク)は、アクセスポイントから端末への通信リンクを指し、逆方向リンク(即ち、アップリンク)は、端末からアクセスポイントへの通信リンクを指す。この通信リンクは、単入力単出力システム、多入力多出力(MIMO)システム、又は何らかの他のタイプのシステムを介して確立できる。
【0089】
MIMOシステムは、データ送信用の複数(NT)個の送信アンテナ及び複数(NR)個の受信アンテナを使用する。NT個の送信アンテナとNR個の受信アンテナとによって形成されるMIMOチャネルは、空間チャネルと呼ばれることもあるNS個の独立チャネルに分解でき、ここで、NS≦min{NT,NR}である。NS個の独立チャネルの各々は1つの次元に対応する。複数の送信アンテナ及び受信アンテナによって生成された追加の複数の次元が利用された場合、MIMOシステムは改善された性能(例えば、より高いスループット及び/又はより大きい信頼性)を与えることができる。
【0090】
MIMOシステムは時分割複信(TDD)及び周波数分割複信(FDD)をサポートすることができる。TDDシステムでは、順方向及び逆方向リンク伝送が同一周波数領域上で行われるので、相反定理による逆方向リンクチャネルからの順方向リンクチャネルの推定が可能である。これにより、複数のアンテナがアクセスポイントで利用可能なとき、アクセスポイントは順方向リンク上で送信ビーム形成利得を抽出することが可能になる。
【0091】
図10に、例示的なMIMOシステム1000のワイヤレス機器1010(例えば、アクセスポイント)及びワイヤレス機器1050(例えば、アクセス端末)を示す。機器1010では、幾つかのデータストリームのトラフィックデータが、データソース1012から送信(TX)データプロセッサ1014に供給される。各データストリームは、次いで、それぞれの送信アンテナを介して送信できる。
【0092】
TXデータプロセッサ1014は、符号化データを与えるために、そのデータストリーム用に選択された特定の符号化方式に基づいて、データストリームごとにトラフィックデータをフォーマッティングし、符号化し、インターリーブする。各データストリームの符号化データは、OFDM技法を使用してパイロットデータで多重化できる。パイロットデータは、典型的には、既知の方法で処理され、チャネル応答を推定するために受信機システムにおいて使用できる既知のデータパターンである。次いで、各データストリームの多重化されたパイロットデータ及び符号化データは、変調シンボルを供給するために、そのデータストリーム用に選択された特定の変調方式(例えば、BPSK、QSPK、M−PSK、又はM−QAM)に基づいて変調(即ち、シンボルマッピング)される。各データストリームのデータレート、符号化、及び変調は、プロセッサ1030によって実行される命令によって決定できる。データメモリ1032は、プロセッサ1030又は機器1010の他のコンポーネントによって使用されるプログラムコード、データ、及び他の情報を記憶することができる。
【0093】
次いで、全てのデータストリームの変調シンボルがTX MIMOプロセッサ1020に供給され、TX MIMOプロセッサ1020は更に(例えば、OFDM用に)その変調シンボルを処理することができる。次いで、TX MIMOプロセッサ1020は、NT個の変調シンボルストリームをNT個のトランシーバ(XCVR)1022A〜1022Tに供給する。幾つかの態様では、TX MIMOプロセッサ1020は、データストリームのシンボルと、シンボルの送信元のアンテナとにビームフォーミング重みを付加する。
【0094】
各トランシーバ1022は、それぞれのシンボルストリームを受信し、処理して、1つ以上のアナログ信号を与え、更に、それらのアナログ信号を調整(例えば、増幅、フィルタ処理、及びアップコンバート)して、MIMOチャネルを介して送信するのに適した変調信号を与える。次いで、トランシーバ1022A〜1022TからのNT個の変調信号は、それぞれ、NT個のアンテナ1024A〜1024Tから送信される。
【0095】
機器1050では、送信された変調信号はNR個のアンテナ1052A〜1052Rによって受信され、各アンテナ1052からの受信信号は、それぞれのトランシーバ(XCVR)1054A〜1054Rに供給される。各トランシーバ1054は、それぞれの受信信号を調整(例えば、フィルタ処理、増幅、及びダウンコンバート)し、調整された信号をデジタル化して、サンプルを与え、更にそれらのサンプルを処理して、対応する「受信」シンボルストリームを与える。
【0096】
次いで、受信(RX)データプロセッサ1060は、特定の受信機処理技法に基づいてNR個のトランシーバ1054からNR個の受信シンボルストリームを受信し、処理して、NT個の「検出」シンボルストリームを与える。次いで、RXデータプロセッサ1060は、各検出シンボルストリームを復調し、デインターリーブし、復号して、データストリームに対するトラフィックデータを復元する。RXデータプロセッサ1060による処理は、機器1010におけるTX MIMOプロセッサ1020及びTXデータプロセッサ1014によって実行される処理を補足するものである。
【0097】
プロセッサ1070は、どのプリコーディング行列(以下で論じる)を使用すべきかを定期的に決定する。プロセッサ1070は、行列インデックス部とランク値部とを備える逆方向リンクメッセージを作成する。データメモリ1072は、プロセッサ1070又は機器1050の他のコンポーネントによって使用されるプログラムコード、データ、及び他の情報を記憶することができる。
【0098】
逆方向リンクメッセージは、通信リンク及び/又は受信データストリームに関する様々なタイプの情報を備えることができる。次いで、逆方向リンクメッセージは、データソース1036から幾つかのデータストリームのトラフィックデータをも受信するTXデータプロセッサ1038によって処理され、変調器1080によって変調され、トランシーバ1054A〜1054Rによって調整され、機器1010に戻される。
【0099】
機器1010では、機器1050からの変調信号は、アンテナ1024によって受信され、トランシーバ1022によって調整され、復調器(DEMOD)1040によって復調され、RXデータプロセッサ1042によって処理されて、機器1050によって送信された逆方向リンクメッセージが抽出される。次いで、プロセッサ1030は、ビームフォーミング重みを決定するためにどのプリコーディング行列を使用すべきかを決定し、次いで、抽出されたメッセージを処理する。
【0100】
図10はまた、通信コンポーネントが、本明細書で教示するアクセス制御動作を実行する1つ以上のコンポーネントを含むことができることを示す。例えば、アクセス制御コンポーネント1090は、機器1010のプロセッサ1030及び/又は他のコンポーネントと協働して、本明細書で教示する別の機器(例えば、機器1050)との間で信号を送信/受信することができる。同様に、アクセス制御コンポーネント1092は、プロセッサ1070及び/又は機器1050の他のコンポーネントと協働して、別の機器(例えば、機器1010)との間で信号を送信/受信することができ得る。各機器1010及び1050について、説明するコンポーネントの2つ以上の機能が単一のコンポーネントによって提供できることを諒解されたい。例えば、単一の処理コンポーネントがアクセス制御コンポーネント1090及びプロセッサ1030の機能を提供し、単一の処理コンポーネントがアクセス制御コンポーネント1092及びプロセッサ1070の機能を提供することができる。幾つかの実施形態では、プロセッサ1030及びメモリ1032は、機器1010について本明細書で教示するアクセス関連機能及び他の機能を集合的に提供することができ、プロセッサ1070及びメモリ1072は、機器1050について本明細書で教示するアクセス関連機能及び他の機能を集合的に提供することができる。
【0101】
本明細書の教示は、様々なタイプの通信システム及び/又はシステムコンポーネントに組み込むことができる。幾つかの態様では、本明細書の教示は、利用可能なシステムリソースを共有することによって(例えば、帯域幅、送信電力、符号化、インターリーブなどのうちの1つ又は複数を指定することによって)、複数のユーザとの通信をサポートすることが可能な多重アクセスシステムにおいて採用できる。例えば、本明細書の教示は、符号分割多重アクセス(CDMA)システム、多重キャリアCDMA(MCCDMA)、広帯域CDMA(W−CDMA)、高速パケットアクセス(HSPA、HSPA+)システム、時間分割多重アクセス(TDMA)システム、周波数分割多重アクセス(FDMA)システム、シングルキャリアFDMA(SC−FDMA)システム、直交周波数分割多重アクセス(OFDMA)システム、又は他の多重アクセス技法の技術のいずれか1つ又は組合せに適用できる。本明細書の教示を採用するワイヤレス通信システムは、IS−95、cdma2000、IS−856、W−CDMA、TDSCDMA、及び他の規格など、1つ以上の規格を実装するように設計できる。CDMAネットワークは、国際地球無線アクセス(Universal Terrestrial Radio Access(UTRA))、cdma2000、又は何らかの他の技術などの無線技術を実装することができる。UTRAは、W−CDMA及び低チップレート(LCR)を含む。cdma2000技術は、IS−2000、IS−95、及びIS−856規格をカバーする。TDMAネットワークは、グローバルシステムフォーモバイルコミュニケーションズ(Global System for Mobile Communications(GSM)(登録商標))などの無線技術を実装することができる。OFDMAネットワークは、Evolved UTRA(E−UTRA)、IEEE802.11、IEEE802.16、IEEE802.20、Flash−OFDM(登録商標)などの無線技術を実装することができ得る。UTRA、E−UTRA、及びGSMは、ユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunication System(UMTS))の一部である。本明細書の教示は、3GPP Long Term Evolution(LTE)システム、Ultra Mobile Broadband(UMB)システム、及び他のタイプのシステムで実装できる。LTEは、E−UTRAを使用するUMTSのリリースである。UTRA、E−UTRA、GSM、UMTS及びLTEは、「3rd Generation Partnership Project」(3GPP)と呼ばれる組織からの文書に記載されており、cdma2000は、「3rd Generation Partnership Project 2」(3GPP2)と呼ばれる組織からの文書に記載されている。本開示の幾つかの態様については、3GPP用語を使用して説明するが、本明細書の教示は、3GPP(例えば、Rel99、Rel5、Rel6、Rel7)技術、ならびに3GPP2(例えば、1xRTT、1xEV−DO Rel0、RevA、RevB)技術及び他の技術に適用できることを理解されたい。
【0102】
本明細書の教示は、様々な装置(例えば、ノード)に組み込む(例えば、装置内に実装する、又は装置によって実行する)ことができる。幾つかの態様では、本明細書の教示に従って実装されるノード(例えば、ワイヤレスノード)はアクセスポイント又はアクセス端末を備えることができる。
【0103】
例えば、アクセス端末は、ユーザ機器、加入者局、加入者ユニット、移動局、モバイル、モバイルノード、リモート局、リモート端末、ユーザ端末、ユーザエージェント、ユーザ機器、又は何らかの他の用語を備えるか、それらのいずれかとして実装されるか、或いはそれらのいずれかとして知られる。幾つかの実施形態では、アクセス端末は、セルラー電話、コードレス電話、セッション開始プロトコル(SIP)電話、ワイヤレスローカルループ(WLL)局、携帯情報端末(PDA)、ワイヤレス接続能力を有するハンドヘルド機器、又はワイヤレスモデムに接続された何らかの他の好適な処理機器を備えることができる。従って、本明細書で教示する1つ以上の態様は、電話(例えば、セルラー電話又はスマートフォン)、コンピュータ(例えば、ラップトップ)、携帯型通信機器、携帯型コンピューティング機器(例えば、個人情報端末)、娯楽機器(例えば、音楽機器又はビデオ機器、或いは衛星ラジオ)、全地球測位システム機器、或いはワイヤレス媒体を介して通信するように構成された他の好適機器に組み込むことができる。
【0104】
アクセスポイントは、ノードB、eノードB、無線ネットワークコントローラ(RNC)、基地局(BS)、無線基地局(RBS)、基地局コントローラ(BSC)、送受信基地局(BTS)、トランシーバ機能(TF)、無線トランシーバ、無線ルータ、基本サービスセット(BSS)、拡張サービスセット(ESS)、マクロセル、マクロノード、ホームeNB(HeNB)、フェムトセル、フェムトノード、ピコノード、又は何らかの他の同様の用語を備えるか、それらのいずれかとして実装されるか、或いはそれらのいずれかとして知られる。
【0105】
幾つかの態様では、ノード(例えば、アクセスポイント)は、通信システムのためのアクセスノードを備えることができる。そのようなアクセスノードは、例えば、ネットワークへのワイヤード又はワイヤレス通信リンクを介した、ネットワーク(例えば、インターネット又はセルラーネットワークなどワイドエリアネットワーク)のための、又はネットワークへの接続性を与えることができる。従って、アクセスノードは、別のノード(例えば、アクセス端末)がネットワーク又は何らかの他の機能にアクセスできるようにすることができる。更に、一方又は両方のノードはポータブルでも、場合によっては比較的非ポータブルでもよいことを諒解されたい。
【0106】
また、ワイヤレスノードは、非ワイヤレス方式で(例えば、ワイヤード接続を介して)情報を送信及び/又は受信することができることを諒解されたい。従って、本明細書で説明する受信機及び送信機は、非ワイヤレス媒体を介して通信するために適切な通信インターフェースコンポーネント(例えば、電気的又は光学的インターフェースコンポーネント)を含むことができる。
【0107】
ワイヤレスノードは、好適なワイヤレス通信技術に基づく或いはサポートする1つ以上のワイヤレス通信リンクを介して通信することができる。例えば、幾つかの態様では、ワイヤレスノードはネットワークに関連付けることができる。幾つかの態様では、ネットワークはローカルエリアネットワーク又はワイドエリアネットワークを備えることができる。ワイヤレス機器は、本明細書で説明する様々なワイヤレス通信技術、プロトコル、又は規格(例えば、CDMA、TDMA、OFDM、OFDMA、WiMAX、Wi−Fiなど)のうちの1つ又は複数をサポート又は使用することができる。同様に、ワイヤレスノードは、様々な対応する変調方式又は多重化方式のうちの1つ又は複数をサポート又は使用することができる。従って、ワイヤレスノードは、上記又は他のワイヤレス通信技術を使用して1つ以上のワイヤレス通信リンクを確立し、それを介して通信するために適切なコンポーネント(例えば、エアインターフェース)を含むことができる。例えば、ワイヤレスノードは、ワイヤレス媒体上の通信を可能にする様々なコンポーネント(例えば、信号発生器及び信号処理器)を含むことができる関連する送信機コンポーネント及び受信機コンポーネントをもつワイヤレストランシーバを備えることができる。
【0108】
(例えば、添付の図の1つ又は複数に関して)本明細書で説明した機能は、幾つかの態様では、添付の特許請求の範囲において同様に指定された「手段」機能に対応することがある。図11図14を参照すると、装置1100、1200、1300、及び1400は一連の相互に関連する機能モジュールとして表される。ここで、第1のトンネル確立モジュール1102、第2のトンネル確立モジュール1104、チャイルドセキュリティアソシエーション確立モジュール1118、トンネルアクセス要求受信モジュール1120、確立されたトンネル決定モジュール1122、及びアクセス端末リダイレクトモジュール1124は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。パケット決定モジュール1106、受信パケット転送モジュール1108、アドレス要求送信モジュール1110、アドレス受信モジュール1112、アドレス送信モジュール1114、認証情報受信モジュール1116は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。アクセスポイント識別モジュール1202は、少なくとも幾つかの態様では、例えば、本明細書で説明するモビリティコントローラに対応することがある。セキュリティゲートウェイメッセージ送信モジュール1204、メッセージ応答受信モジュール1206、DNSクエリ送信モジュール1208、及びセキュリティゲートウェイアドレス受信モジュール1210は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。セキュリティゲートウェイアドレス維持モジュール1212は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータメモリに対応することがある。トンネル確立モジュール1214は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。セキュリティゲートウェイトンネル確立モジュール1302、チャイルドセキュリティアソシエーション確立モジュール1316、及びアクセス端末トンネル確立モジュール1318は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。ローカルネットワークアドレス取得モジュール1304は、少なくとも幾つかの態様では、例えば、本明細書で説明するアドレスコントローラに対応することがある。アドレスメッセージ送信モジュール1306、パケット転送モジュール1308、アドレス要求受信モジュール1310、パケット検査モジュール1312、及びパケット転送モジュール1314は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。第1のトンネル確立モジュール1402及び第2のトンネル確立モジュール1406は、少なくとも幾つかの態様では、例えば、本明細書で説明するトンネルコントローラに対応することがある。認証情報取得モジュール1404、パケット受信モジュール1412、パケット検査モジュール1414、及びパケット転送モジュール1416は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。ローカルネットワークアドレス取得モジュール1408及びアドレス送信モジュール1410は、少なくとも幾つかの態様では、例えば、本明細書で説明するアドレスコントローラに対応することがある。アクセスポイント識別モジュール1502は、少なくとも幾つかの態様では、例えば、本明細書で説明するモビリティコントローラに対応することがある。メッセージ送信モジュール1504は、少なくとも幾つかの態様では、例えば、本明細書で論じる通信コントローラに対応することがある。アクセスポイント識別モジュール1602は、少なくとも幾つかの態様では、例えば、本明細書で説明する通信コントローラに対応することがある。識別子記憶モジュール1604は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータベースに対応することがある。予約情報使用モジュール1606は、少なくとも幾つかの態様では、例えば、本明細書で説明するデータベースに対応することがある。
【0109】
図11図14のモジュールの機能は、本明細書の教示に合致する様々な方法で実装できる。幾つかの態様では、これらのモジュールの機能は、1つ以上の電気コンポーネントとして実装できる。幾つかの態様では、これらのブロックの機能は、1つ以上のプロセッサコンポーネントを含む処理システムとして実装できる。幾つかの態様では、これらのモジュールの機能は、例えば、1つ以上の集積回路(例えば、ASIC)の少なくとも一部を使用して実装できる。本明細書で説明するように、集積回路は、プロセッサ、ソフトウェア、他の関連したコンポーネント、又はそれらの何らかの組合せを含むことができる。これらのモジュールの機能は、本明細書で教示する方法とは別の何らかの方法で実装することもできる。幾つかの態様では、図11図14中の破線ブロックのうちの1つ又は複数は随意である。
【0110】
本明細書における「第1の」、「第2の」などの名称を使用した要素への言及は、それらの要素の数量又は順序を概括的に限定するものでないことを理解されたい。むしろ、これらの名称は、本明細書において2つ以上の要素又はある要素の複数の例を区別する便利な方法として使用できる。従って、第1及び第2の要素への言及は、そこで2つの要素のみが使用できること、又は第1の要素が何らかの方法で第2の要素に先行しなければならないことを意味するものではない。また、別段の規定がない限り、要素のセットは1つ以上の要素を備えることがある。更に、明細書又は特許請求の範囲において使用される「A、B、又はCのうちの少なくとも1つ」という形式の用語は、「A又はB又はC、或いはこれらの要素の任意の組合せ」を意味する。
【0111】
情報及び信号は様々な異なる技術及び技法のいずれかを使用して表すことができることを、当業者は理解されよう。例えば、上記の説明全体にわたって言及されるデータ、命令、コマンド、情報、信号、ビット、シンボル、及びチップは、電圧、電流、電磁波、磁界又は磁性粒子、光場又は光学粒子、或いはそれらの任意の組合せによって表すことができる。
【0112】
更に、本明細書で開示した態様に関して説明した様々な例示的な論理ブロック、モジュール、プロセッサ、手段、回路、及びアルゴリズムステップのいずれかは、電子ハードウェア(例えば、ソースコーディング又は何らかの他の技法を使用して設計できる、デジタル実施形態、アナログ実施形態、又はそれら2つの組合せ)、命令を組み込んだ様々な形態のプログラム又は設計コード(便宜上、本明細書では「ソフトウェア」又は「ソフトウェアモジュール」と呼ぶことがある)、或いは両方の組合せとして実装できることを当業者は諒解されよう。ハードウェアとソフトウェアのこの互換性を明確に示すために、様々な例示的なコンポーネント、ブロック、モジュール、回路、及びステップを、上記では概してそれらの機能に関して説明した。そのような機能をハードウェアとして実装するか、ソフトウェアとして実装するかは、特定の適用例及び全体的なシステムに課される設計制約に依存する。当業者は、説明した機能を特定の適用例ごとに様々な方法で実装することができるが、そのような実装の決定は、本開示の範囲からの逸脱を生じるものと解釈すべきではない。
【0113】
本明細書で開示した態様に関して説明した様々な例示的な論理ブロック、モジュール、及び回路は、集積回路(IC)、アクセス端末、又はアクセスポイント内に実装できるか、又はそれらによって実行できる。ICは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又は他のプログラマブル論理機器、個別ゲート又はトランジスタロジック、個別ハードウェアコンポーネント、電子的コンポーネント、光学的コンポーネント、機械的コンポーネント、若しくは本明細書に記載の機能を実行するように設計されたそれらの任意の組合せを備えることができ、ICの内部に、ICの外側に、又はその両方に常駐するコード又は命令を実行することができる。汎用プロセッサはマイクロプロセッサとすることができるが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、又は状態機械とすることができる。プロセッサは、コンピューティング機器の組合せ、例えば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携する1つ以上のマイクロプロセッサ、又は任意の他のそのような構成として実装することもできる。
【0114】
開示されたプロセス中のステップの特定の順序又は階層は例示的な手法の一例であることを理解されたい。設計の選好に基づいて、プロセス中のステップの特定の順序又は階層は本開示の範囲内のまま再構成できることを理解されたい。添付の方法クレームは、様々なステップの要素を例示的な順序で提示したものであり、提示された特定の順序又は階層に限定されるものではない。
【0115】
1つ以上の例示的な実施形態では、説明した機能はハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組合せで実装できる。ソフトウェアで実装する場合、機能は、1つ以上の命令又はコードとしてコンピュータ可読媒体上に記憶するか、或いはコンピュータ可読媒体を介して送信することができる。コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を可能にする任意の媒体を含む、コンピュータ記憶媒体と通信媒体の両方を含む。記憶媒体は、コンピュータによってアクセスできる任意の利用可能な媒体でよい。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、或いは他の光ディスクストレージ、磁気ディスクストレージ又は他の磁気記憶機器、若しくは命令又はデータ構造の形態の所望のプログラムコードを搬送又は記憶するために使用でき、コンピュータによってアクセスできる任意の他の媒体を備えることができる。また、いかなる接続もコンピュータ可読媒体と適切に呼ばれる。例えば、ソフトウェアが、同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL)、又は赤外線、無線、及びマイクロ波などのワイヤレス技術を使用して、ウェブサイト、サーバ、又は他のリモートソースから送信される場合、同軸ケーブル、光ファイバケーブル、ツイストペア、DSL、又は赤外線、無線、及びマイクロ波などのワイヤレス技術は、媒体の定義に含まれる。本明細書で使用するディスク(disk)及びディスク(disc)は、コンパクトディスク(disc)(CD)、レーザディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)及びブルーレイディスク(disc)を含み、ディスク(disk)は、通常、データを磁気的に再生し、ディスク(disc)は、データをレーザで光学的に再生する。上記の組合せもコンピュータ可読媒体の範囲内に含めるべきである。コンピュータ可読媒体は任意の好適なコンピュータプログラム製品に実装できることを諒解されたい。
【0116】
開示された態様の前述の説明は、当業者が本開示を実施又は使用できるようにするために提供されるものである。これらの態様への様々な変更は当業者にはすぐに明らかになり、本明細書で定義された包括的な原理は本開示の範囲から逸脱することなく他の態様に適用できる。従って、本開示は、本明細書で示した態様に限定されるものではなく、本明細書で開示した原理及び新規の特徴に一致する最も広い範囲を与えられるべきである。
以下に本件出願当初の特許請求の範囲に記載された発明を付記する。
[1] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、を含む、通信]の方法。
[2] 前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、[1]の方法。
[3] 前記メッセージは第1のプロトコルトンネルを介して前記セキュリティゲートウェイに送信される、[1]の方法。
[4] 前記セキュリティゲートウェイからアドレスの要求を受信することを更に含み、前記アドレスが前記要求に応答して得られる、[3]の方法。
[5] 前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、[1]の方法。
[6] 前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立することを更に含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、[1]の方法。
[7] 前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間で他のプロトコルトンネルを確立することを更に含み、前記パケットは前記他のプロトコルトンネルを介して転送される、[1]の方法。
[8] 前記アクセスポイントはフェムトアクセスポイントを含む、[1]の方法。
[9] 前記プロトコルトンネルはIPsecトンネルを含む、[1]の方法。
[10] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する要構成されるトンネルコントローラと、アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得するよう構成されるアクセスコントローラと、前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する要構成され、更に前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送するよう構成される通信コントローラと、を具備する、通信のため]の装置。
[11] 前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、[10]の装置。
[12] 前記通信コントローラは更に前記ローカルネットワーク上のパケットの送信先を特定するために前記パケットを検査し、前記特定された送信先に前記パケットを送信するように構成される[10]の装置。
[13] 前記トンネルコントローラは、更に前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立するように構成され、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、[10]の装置。
[14] 前記トンネルコントローラは、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立するように構成され、前記パケットは、前記他のプロトコルトンネルを介して転送される、[10]の装置。
[15] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、アクセス端末が遠隔でローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信する手段と、前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送する手段と、を具備する、通信のための装置。
[16] 前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、[15]の装置。
[17] 前記ローカルネットワーク上の前記パケットの送信先を特定するために前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、[15]の装置。
[18] 前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを確立する手段を更に含み、前記チャイルドセキュリティ接続の第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間にトラフィックを搬送するためである、[15]の装置。
[19] 前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを確立する手段を更に含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、[15]の装置。
[20] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記プロトコルトンネルを介して前記アドレスを含むメッセージを送信すること、前記プロトコルトンネルを介して前記ローカルネットワークと前記アクセス端末との間でパケットを転送すること、をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[21] 前記アドレスを取得することはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することを含む、[20]のコンピュータプログラム製品。
[22] 前記コンピュータ可読媒体は更に、前記コンピュータに、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査させ、前記特定された送信先へ前記パケットを送信させるためのコードを更に含む、[20]のコンピュータプログラム製品。
[23] コンピュータ可読媒体は更に、前記プロトコルトンネルに基づいて複数のチャイルドセキュリティアソシエーションを前記コンピュータに確立させるためのコードを含み、前記チャイルドセキュリティアソシエーションの第1のものは前記アクセスポイントとオペレータコアネットワークとの間でトラフィックを搬送するためであり、前記チャイルドセキュリティアソシエーションの第2のものは前記アクセスポイントと前記アクセス端末との間でトラフィックを搬送するためである、[20]のコンピュータプログラム製品。
[24] 前記コンピュータ可読媒体は、更に前記プロトコルトンネルを介して前記アクセスポイントと前記アクセス端末との間に他のプロトコルトンネルを前記コンピュータに確立させるためのコードを含み、前記パケットは、前記他のプロトコルトンネルを介して転送される、[20]のコンピュータプログラム製品。
[25] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間に第1プロトコルトンネルを確立すること、前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、を含む、通信の方法。
[26] 前記認証情報がワイヤレス接続を介して前記アクセス端末と通信することによって取得される、[25]の方法。
[27] 前記認証情報がインターネットキー交換手順を介して取得される、[25]の方法。
[28] 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を更に含む、[25]の方法。
[29] 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、[28]の方法。
[30] 前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付すること、を更に含む、[25]の方法。
[31] 前記アクセスポイントはフェムトアクセスポイントを含む、[25]の方法。
[32] 前記第1及び第2のプロトコルトンネルはIPsecトンネルを含む、[25]の方法。
[33] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立するよう構成されるトンネルコントローラと、前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得するように構成される通信コントローラと、を具備し、前記トンネルコントローラは、更に前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立するように構成される、通信のための装置。
[34] 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得し、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信するように構成されるアドレスコントローラを更に含む、[33]の装置。
[35] 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、[34]の装置。
[36] 前記通信コントローラは更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信し、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査し、前記特定された送信先に前記パケットを送付するように構成される、[33]の装置。
[37] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立する手段と、前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得する手段と、前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立する手段と、を具備する、通信のための装置。
[38] 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得する手段と、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信する手段と、を更に含む、[37]の装置。
[39] 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、[38]の装置。
[40] 前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信する手段と、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査する手段と、前記特定された送信先に前記パケットを送付する手段と、を更に含む、[37]の装置。
[41] ローカルネットワーク上のアクセスポイントとセキュリティゲートウェイとの間にプロトコルトンネルを確立すること、前記アクセスポイントとアクセス端末との間に第2のプロトコルトンネルを確立するための認証情報を取得すること、前記第1のプロトコルトンネルを介して前記第2のプロトコルトンネルを確立すること、をコンピュータに実行させるためのコードを含むコンピュータ可読媒体を具備する、コンピュータプログラム製品。
[42] 前記アクセス端末が遠隔で前記ローカルネットワークをアクセスすることを可能にするために前記アクセス端末に対する前記ローカルネットワーク上のアドレスを取得すること、前記アドレスを前記第1のプロトコルトンネルを介して前記アクセス端末に送信すること、を前記コンピュータに実行させるためのコードを更に含む、[41]のコンピュータプログラム製品。
[43] 前記アドレスはアドレスの要求を前記ローカルネットワーク上のローカルルータに送信することによって取得される、[42]のコンピュータプログラム製品。
[44] 前記コンピュータ可読媒体は更に、前記第2のプロトコルトンネルを介して前記アクセス端末からパケットを受信すること、前記ローカルネットワーク上の前記パケットの送信先を特定するため前記パケットを検査すること、前記特定された送信先に前記パケットを送付することを前記コンピュータに実行させるためのコードを含む、[41]のコンピュータプログラム製品。
[45] 加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得すること、認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納すること、を含む、通信の方法。
[46] アクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用することを更に含む、[45]の方法。
[47] 加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子を取得するように構成される通信コントローラと、認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を格納するように構成されるデータベースと、を具備する、通信のための装置。
[48] 前記データベースはアクセス端末が前記少なくとも一つのフェムトアクセスポイントをアクセスすることができるかどうかを決定するために前記加入情報を使用するように構成される、[47]の装置。
[49] 加入者と関連する少なくとも一つのフェムトアクセスポイントの少なくとも一つの識別子を取得する手段と、認証サーバで加入者のために維持される加入情報に前記少なくとも1つの識別子を格納する手段と、を具備する、通信のための装置。
[50] アクセス端末が前記少なくとも一つのフェムトアクセスポイントアクセスすることができるかどうかを決定するために前記加入情報を使用する手段を更に含む、[49]の装置。
[51] 加入者と関連した少なくとも一つのフェムトアクセスポイントの少なくとも1つの識別子をコンピュータに取得させ、認証サーバで前記加入者に対して維持される加入情報に前記少なくとも1つの識別子を前記コンピュータに格納させるコードを含むコンピュータ可読媒体を、具備するコンピュータプログラム製品。
[52] 前記コンピュータ可読媒体はアクセス端末が前記少なくとも1つのフェムトアクセスポイントをアクセスできるかどうかを決定するために前記加入情報を前記コンピュータに使用させるためのコードを更に含む、[51]のコンピュータプログラム製品。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.