特許 6022041 ＩＰＳｅｃトンネルの確立方法及びシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6022041

(24)【登録日】2016年10月14日

(45)【発行日】2016年11月9日

(54)【発明の名称】ＩＰＳｅｃトンネルの確立方法及びシステム

(51)【国際特許分類】

   H04W 16/00 20090101AFI20161027BHJP

   H04W 12/08 20090101ALI20161027BHJP

【ＦＩ】

   H04W16/00

   H04W12/08

【請求項の数】11

【全頁数】12

(21)【出願番号】特願2015-512991(P2015-512991)

(86)(22)【出願日】2012年7月24日

(65)【公表番号】特表2015-517773(P2015-517773A)

(43)【公表日】2015年6月22日

(86)【国際出願番号】CN2012079108

(87)【国際公開番号】WO2013174074

(87)【国際公開日】20131128

【審査請求日】2015年5月26日

(31)【優先権主張番号】201210158355.4

(32)【優先日】2012年5月21日

(33)【優先権主張国】CN

(73)【特許権者】

【識別番号】511207729

【氏名又は名称】ゼットティーイー コーポレイション

(74)【代理人】

【識別番号】100118256

【弁理士】

【氏名又は名称】小野寺 隆

(72)【発明者】

【氏名】リアン チャオカイ

(72)【発明者】

【氏名】リャオ ジュンフェン

(72)【発明者】

【氏名】リー ルイ

【審査官】 石川 雄太郎

(56)【参考文献】

【文献】 国際公開第２０１１／１２４２６６（ＷＯ，Ａ１）

【文献】 米国特許出願公開第２００４／０１２０３２８（ＵＳ，Ａ１）

【文献】 特開２００４−０３２３１１（ＪＰ，Ａ）

【文献】 特開２００４−０８０１７４（ＪＰ，Ａ）

【文献】 国際公開第２０１０／１０２２２２（ＷＯ，Ａ２）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｗ ４／００−９９／００

３ＧＰＰ ＴＳＧ ＲＡＮ ＷＧ１−４

ＳＡ ＷＧ１−２

ＣＴ ＷＧ１

(57)【特許請求の範囲】

【請求項1】

基地局が、設定サーバーに第１の設定パラメーターを要求し、前記設定サーバーが応答した第１の設定パラメーターに基づいて、ＣＡサーバーにデジタル証明書を要求することと、
前記基地局が、取得した前記デジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立し、前記一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットに第２の設定データを要求することと、
前記基地局が、前記第２の設定データを取得した後、前記一時的なＩＰＳｅｃトンネルを取り除き、前記第２の設定データに基づいて、前記セキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立することと、を含み、
前記第１の設定パラメーターは、前記基地局の一時的な伝送ＩＰアドレスと、セキュリティ・ゲートウェイと確立したＩＰＳｅｃトンネルのＩＰアドレスと、ＣＡサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのＩＰアドレスを含むＩＰＳｅｃトンネルの確立方法。

【請求項2】

基地局が設定サーバーに第１の設定パラメーターを要求することは、
前記基地局が前記設定サーバーとＴＬＳリンクを確立し、前記設定サーバーに第１の設定パラメーターを要求することを含む請求項１に記載の方法。

【請求項3】

前記設定サーバーが応答した第１の設定パラメーターに基づいて、ＣＡサーバーにデジタル証明書を要求することは、
前記基地局が、設定サーバーが応答した第１の設定データを取得した後、証明書管理プロトコルにより前記ＣＡサーバーに基地局エンティティ証明書及びＣＡサーバーのルートＣＡ証明書の発行を要求することを含む請求項１に記載の方法。

【請求項4】

前記基地局が取得した前記デジタル証明書に基づいてセキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立することは、
前記基地局が、前記セキュリティ・ゲートウェイにＰＫＩ認証方式による一時的なＩＰＳｅｃトンネルの確立の要求を発することと、
前記基地局が、前記セキュリティ・ゲートウェイと各自のエンティティ証明書の遣り取りをし、前記エンティティ証明書の検証に成功した後、前記基地局と前記セキュリティ・ゲートウェイとの間の前記一時的なＩＰＳｅｃトンネルを確立することと、を含む請求項１に記載の方法。

【請求項5】

前記基地局が前記一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットに第２の設定データを要求することは、
前記基地局が、前記一時的なＩＰＳｅｃトンネルに基づいて、コアネットワーク内に設定された前記バックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信することと、
前記基地局と前記バックグラウンドネットワーク管理ユニットのリンク確立に成功した後、前記基地局がＳｅｃｕｒｅファイル転送プロトコルにより、前記バックグラウンドネットワーク管理ユニットに前記基地局のソフトウェアバージョンパケットと第２の設定データを要求することと、
前記バックグラウンドネットワーク管理ユニットが、データベース中の基地局のソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、ＹＥＳと判断すると、前記ソフトウェアバージョンパケットと第２の設定データを前記基地局に送信し、ＮＯと判断すると、前記第２の設定データのみを前記基地局に送信することと、を含む請求項１に記載の方法。

【請求項6】

前記基地局が前記第２の設定データを取得した後、前記一時的なＩＰＳｅｃトンネルを取り除き、前記第２の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立することは、
前記基地局が最新のソフトウェアバージョンパケットと前記第２の設定データを取得した後、前記設定サーバーに、関連する設定リソースのリリースを通知し、前記セキュリティ・ゲートウェイと確立した一時的なＩＰＳｅｃトンネルを取り除き、前記第２の設定データに基づいて、改めて前記セキュリティ・ゲートウェイとＰＫＩ認証方式による永続的なＩＰＳｅｃトンネルを確立することを含む請求項５に記載の方法。

【請求項7】

前記基地局が前記第２の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立した後、
前記基地局が、前記ＣＡサーバーにより前記基地局に発行されたデジタル証明書の有効期限が切れる前に、前記ＣＡサーバーに前記デジタル証明書の更新又は秘密鍵の更新を要求することを更に含む請求項１乃至６のいずれか１つに記載の方法。

【請求項8】

前記基地局は、マクロ基地局、企業レベルの小型基地局ＰＩＣＯ、家庭レベルのマイクロ基地局Ｆｅｍｔｏの中の１つを含む請求項７に記載の方法。

【請求項9】

基地局と、設定サーバーと、ＣＡサーバーと、バックグラウンドネットワーク管理ユニットと、セキュリティ・ゲートウェイと、を含み、
前記基地局は、前記設定サーバーに第１の設定パラメーターを要求するように構成され、
前記設定サーバーは、前記基地局の要求に応じて前記基地局に前記第１の設定パラメーターを返送するように構成され、
前記基地局はさらに、前記設定サーバーが応答した第１の設定パラメーターに基づいてＣＡサーバーにデジタル証明書を要求するように構成され、
前記ＣＡサーバーは、前記基地局の要求に応じて前記基地局に前記デジタル証明書を発行するように構成され、
前記基地局はさらに、取得した前記デジタル証明書に基づいて前記セキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立するとともに、前記一時的なＩＰＳｅｃトンネルを介して前記バックグラウンドネットワーク管理ユニットに第２の設定データを要求するように構成され、
前記バックグラウンドネットワーク管理ユニットは、前記基地局の要求に応じて前記基地局に前記第２の設定データを返送するように構成され、
前記基地局はさらに、前記第２の設定データを取得した後、前記一時的なＩＰＳｅｃトンネルを取り除き、前記第２の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立するように構成され、
前記第１の設定パラメーターは、前記基地局の一時的な伝送ＩＰアドレスと、セキュリティ・ゲートウェイと確立したＩＰＳｅｃトンネルのＩＰアドレスと、ＣＡサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのＩＰアドレスを含むＩＰＳｅｃトンネルの確立システム。

【請求項10】

前記基地局はさらに、前記ＣＡサーバーにより前記基地局に発行されたデジタル証明書の有効期限が切れる前に、前記ＣＡサーバーに前記デジタル証明書の更新又は秘密鍵の更新を要求するように構成されている請求項９に記載のシステム。

【請求項11】

前記基地局は、マクロ基地局、企業レベルの小型基地局ＰＩＣＯ、家庭レベルのマイクロ基地局Ｆｅｍｔｏのうちの１つを含む請求項９乃至１０のいずれか１つに記載のシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、通信セキュリティ分野に関し、具体的に、ＩＰＳｅｃトンネルの確立方法及びシステムに関する。

【背景技術】

【0002】

移動通信技術の高速発展に伴って、第３世代移動通信システムは既に長期進化型（ＬＴＥ：Ｌｏｎｇ Ｔｅｒｍ Ｅｖｏｌｕｔｉｏｎ）段階に発展していて、ＬＴＥ無線ネットワークにおける基地局（ｅＮｏｄｅＢ ＥｖｏｌｕｔｅｄＮｏｄｅ Ｂ）の数は非常に多く、伝統的な方式で多くの基地局を配置すると、メンテナンス及び運営コストが高くなってしまう。第２世代及び第３世代の移動通信システムにも同じ問題が存在する。従って、３ＧＰＰは、自動的なインストール、配置、メンテナンス作業を提供することで、人為的な関与を低減する自己組織化ネットワーク（ＳＯＮ：Ｓｅｌｆｏｒｇａｎｉｚｉｎｇ Ｎｅｔｗｏｒｋ）の方法を提案し、大量の人工配置を低減し自動的にネットワークを確立する。そして、ＬＴＥ等の発展に伴って、事業者等はいずれも家庭企業レベルの小型基地局Ｆｅｍｔｏを提案しており、家庭企業レベルのＦｅｍｔｏは大部分が第３者の事業者の転送ネットワークを経てコアネットワークに達するので、セキュリティに対する要求がかなり高く、また、普通のユーザを対象とするので、セキュリティに関する配置が複雑で専門的なものであってはいけなく、ユーザに対して全ての専門用語を遮断した方が望ましい。

【0003】

電信業務のデータ量が大きく、ネットワーク構造が複雑で、ＬＴＥがオールＩＰネットワークを基礎とする等の特徴により、３ＧＰＰは、ＩＰＳｅｃ（ＩＰ Ｓｅｃｕｒｉｔｙ）トンネルを介したコアネットワークへのアクセスを推薦した。ＩＰＳｅｃは、事前共有キーＰＳＫ（Ｐｒｅ―Ｓｈａｒｅｄ―Ｋｅｙ）とデジタル証明書ＰＫＩ（Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）の２種類の認証方式でＩＰＳｅｃ安全トンネルを確立することができる。事前共有キーを用いて身元を確認してＩＰＳｅｃリンクを確立する二つのエンティティはいずれも一対の事前共有キーのメンテナンスを行わなければならなく、これにより、配置したセキュリティ性をさらに低減させ、エラー発生率を増加させる。ネットワークを大規模に形成している状況下、ＰＳＫには配置が複雑でメンテナンスが難しい等の問題が存在するので、一般に、基地局が多い場合、メンテナンス・運営及びセキュリティ性の方面から、事業者は殆どＰＫＩ認証方式を用いる。

【0004】

一般的に、基地局のＰＫＩ認証モードは、オフラインで証明書を予めインストールした後、ユーザによって対応するセキュリティ・ゲートウェイＩＰ及びセキュリティポリシーを配置する。当該モードにおいて、各基地局の配置やメンテナンスが複雑で、ユーザに対する要求も高く、普通の家庭又は非専門のユーザには適しないので、ＰＫＩ認証方式に基づくＩＰＳｅｃ自己配置及び安全なトンネルの自己確立に対して特別な需要がある。
関連技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することのできない問題に対して未だに有効な解決案を提案していない。

【発明の概要】

【発明が解決しようとする課題】

【0005】

本発明は、少なくとも上記の関連技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することのできない問題を解決できるＩＰＳｅｃトンネルの確立方法及びシステムを提供することをその目的とする。

【課題を解決するための手段】

【0006】

本発明の一態様によると、基地局が配置サーバーに第１の配置パラメーターを要求し、配置サーバーが応答した第１の配置パラメーターに基づいてＣＡサーバーにデジタル証明書を要求することと、基地局が取得したデジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立し、一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットへ第２の配置データを要求することと、基地局が第２の配置データを取得した後、一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいて、セキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立することとを含むＩＰＳｅｃトンネルの確立方法を提供する。

【0007】

基地局が配置サーバーに第１の配置パラメーターを要求することは、基地局が配置サーバーとＴＬＳリンクを確立し、配置サーバーに第１の配置パラメーターを要求することを含むことが好ましい。

【0008】

第１の配置パラメーターは、基地局の一時的な伝送ＩＰアドレスと、セキュリティ・ゲートウェイと確立したＩＰＳｅｃトンネルのＩＰアドレスと、ＣＡサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのＩＰアドレスを含むことが好ましい。

【0009】

配置サーバーが応答した第１の配置パラメーターに基づいてＣＡサーバーにデジタル証明書を要求することは、基地局が、配置サーバーが応答した第１の配置データを取得した後、証明書管理プロトコルによりＣＡサーバーに基地局エンティティ証明書及びＣＡサーバーのルートＣＡ証明書の発行を要求することを含むことが好ましい。

【0010】

基地局が取得したデジタル証明書に基づいてセキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立することは、基地局がセキュリティ・ゲートウェイにＰＫＩ認証方式による一時的なＩＰＳｅｃトンネルの確立を要求することと、基地局がセキュリティ・ゲートウェイと各自のエンティティ証明書の遣り取りをし、エンティティ証明書の検証に成功した後、基地局とセキュリティ・ゲートウェイとの間の一時的なＩＰＳｅｃトンネルを確立することと、を含むことが好ましい。

【0011】

基地局が一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットに第２の配置データを要求することは、基地局が一時的なＩＰＳｅｃトンネルに基づいて、コアネットワーク内に配置されたバックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信することと、基地局とバックグラウンドネットワーク管理ユニットのリンク確立に成功した後、基地局がＳｅｃｕｒｅファイル転送プロトコルにより、バックグラウンドネットワーク管理ユニットに基地局のソフトウェアバージョンパケットと第２の配置データを要求することと、バックグラウンドネットワーク管理ユニットがデータベース中の基地局のソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、ＹＥＳと判断すると、ソフトウェアバージョンパケットと第２の配置データを基地局に送信し、ＮＯと判断すると、第２の配置データを基地局に送信することと、を含むことが好ましい。

【0012】

基地局が第２の配置データを取得した後、一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立することは、基地局が最新のソフトウェアバージョンパケットと第２の配置データを取得した後、配置サーバーに、関連する配置リソースのリリースを通知し、セキュリティ・ゲートウェイと確立した一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいて、改めてセキュリティ・ゲートウェイとＰＫＩ認証方式による永続的なＩＰＳｅｃトンネルを確立することを含むことが好ましい。

【0013】

基地局が第２の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立した後、基地局が、ＣＡサーバーにより基地局に発行されたデジタル証明書の有効期限が切れる前に、ＣＡサーバーに証明書の更新又は秘密鍵の更新を要求することを更に含むことが好ましい。

【0014】

基地局は、マクロ基地局、企業レベルの小型基地局ＰＩＣＯ、家庭レベルのマイクロ基地局Ｆｅｍｔｏのうちの１つを含むことが好ましい。

【0015】

本発明の他の一態様によると、基地局と、配置サーバーと、ＣＡサーバーと、バックグラウンドネットワーク管理ユニットと、セキュリティ・ゲートウェイと、を含み、基地局は配置サーバーに第１の配置パラメーターを要求するように構成され、配置サーバーは基地局の要求に応じて基地局に第１の配置パラメーターを返送するように構成され、基地局はさらに、配置サーバーが応答した第１の配置パラメーターに基づいてＣＡサーバーにデジタル証明書を要求するように構成され、ＣＡサーバーは基地局の要求に応じて基地局にデジタル証明書を発行するように構成され、基地局はさらに、取得した証明書に基づいてセキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立するとともに、一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットに第２の配置データを要求するように構成され、バックグラウンドネットワーク管理ユニットは基地局の要求に応じて基地局に第２の配置データを返送するように構成され、基地局はさらに、第２の配置データを取得した後、一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なＩＰＳｅｃトンネルを確立するように構成されているＩＰＳｅｃトンネルの確立システムを提供する。

【0016】

第１の配置パラメーターは、基地局の一時的な伝送ＩＰアドレスと、セキュリティ・ゲートウェイと確立したＩＰＳｅｃトンネルのＩＰアドレスと、ＣＡサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのＩＰアドレスを含むことが好ましい。

【0017】

基地局はさらに、ＣＡサーバーにより基地局に発行されたデジタル証明書の有効期限が切れる前に、ＣＡサーバーにデジタル証明書の更新又は秘密鍵の更新を要求するように構成されていることが好ましい。

【0018】

基地局は、マクロ基地局、企業レベルの小型基地局ＰＩＣＯ、家庭レベルのマイクロ基地局Ｆｅｍｔｏのうちの１つを含むことが好ましい。

【発明の効果】

【0019】

本発明によれば、ＰＫＩ認証方式に基づいて基地局とセキュリティ・ゲートウェイとの間にＩＰＳｅｃトンネルを自動的に確立することによって、既存技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することができない問題を解決し、基地局による自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。

【図面の簡単な説明】

【0020】

以下に記載の図面は、本発明をさらに理解するために提供され、本願の一部を構成し、本発明の例示な実施例及びその説明は本発明を解釈するものであり、本発明を不当に限定するものではない。

【図1】図１は、本発明の実施例に係るＩＰＳｅｃトンネルの確立方法を示すフローチャートである。

【図2】図２は、本発明の実施例に係るＩＰＳｅｃトンネルの確立システムの構成を示すブロック図である。

【図3】図３は、本発明の実施例１に係る、ＰＫＩ認証方式に基づいてＩＰＳｅｃ安全トンネルを自動的に確立するネットワーク構築の構造を示す図である。

【図4】図４は、本発明の実施例１に係る、ＰＫＩ認証方式に基づいてＩＰＳｅｃ安全トンネルを自動的に確立することを示すフローチャートである。

【発明を実施するための形態】

【0021】

以下、図面を参照しつつ、実施例を結合して本発明を詳しく説明する。ここで、互いに衝突しない限り、本願に記載の実施例及び実施例に記載の特徴を互いに組み合わせることができる。
図１は、本発明の実施例に係るＩＰＳｅｃトンネルの確立方法を示すフローチャートである。図１に示すように、以下のステップを含む。
基地局が、配置サーバーに第１の配置パラメーターを要求し、配置サーバーが応答した第１の配置パラメーターに基づいて、ＣＡサーバーにデジタル証明書を要求する（ステップＳ１０２）。

【0022】

基地局が、取得したデジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なＩＰＳｅｃトンネルを確立し、一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニットに第２の配置データを要求する（ステップＳ１０４）。

【0023】

基地局が、第２の配置データを取得した後、一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいてセキュリティ・ゲートウェイとの間で永続的なＩＰＳｅｃトンネルを確立する（ステップＳ１０６）。

【0024】

本実施例において、ＰＫＩ認証方式に基づくＩＰＳｅｃ安全トンネルの自動確立方法を提供し、基地局がコアネットワークと伝送リンクを自動的に確立することで、基地局の自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。

【0025】

ここで、ステップＳ１０２において、既存のネットワークに配置情報を自動的に割り当てるための配置サーバーを配置し、基地局が正常に電源投入された後、基地局内の自己発見機能によりネットワークで要求配置メッセージを放送し、基地局が配置サーバーに配置パラメーターを要求する。基地局と配置サーバーとの間のデータ伝送のセキュリティ性を確保するために、両方の間のリンクは証明書認証方式に基づくトランスポート層セキュリティプロトコル（ＴＬＳ：Ｔｒａｎｓｐｏｒｔ Ｌａｙｅｒ Ｓｅｃｕｒｉｔｙ Ｐｒｏｔｏｃｏｌ）を用いて確立しなければならなく、使用される証明書は機器出荷前に予めインストールすることができる。基地局はＣＡ（Ｃｅｒｔｉｆｉｃａｔｅ Ａｕｔｈｏｒｉｔｙ）サーバーの関連配置データを取得した後、証明書管理プロトコル（ＣＭＰｖ２：Ｃｅｒｔｉｆｉｃａｔｅ Ｍａｎａｇｅ Ｐｒｏｔｏｃｏｌ Ｖ２）によりＣＡサーバーに証明書の発行を要求する。

【0026】

ここで、ステップＳ１０４〜Ｓ１０６において、基地局はさらに、取得した証明書を用いて、コアネットワーク内に配置されたセキュリティ・ゲートウェイとＩＰＳｅｃ安全トンネルを確立し、その後、ネットワーク管理ユニットとのリンク確立を要求するメッセージを自発的に送信し、コアネットワークとの伝送リンクを自動的に確立する。

【0027】

上記実施例において、既存のネットワーク構造を変更させずに、基地局の電源投入後にリンクを自動的に確立し、基地局とバックグラウンドネットワーク管理ユニットとの間のセキュリティ通信を実現することができ、既存技術において基地局とコアネットワークが安全な通信リンクを自己発見及び自動確立できない問題を解決できる。

【0028】

図２は本発明の実施例に係るＩＰＳｅｃトンネルの確立システムの構成を示すブロック図である。図２に示すように、当該システムは、基地局１０と、配置サーバー２０と、ＣＡサーバー３０と、バックグラウンドネットワーク管理ユニット４０と、セキュリティ・ゲートウェイ５０と、を含み、ここで、基地局１０は配置サーバー２０に第１の配置パラメーターを要求するように構成され、配置サーバー２０は基地局１０の要求に応じて基地局１０に第１の配置パラメーターを返送するように構成され、基地局１０はさらに、配置サーバー２０が応答した第１の配置パラメーターに基づいてＣＡサーバー３０にデジタル証明書を要求するように構成され、ＣＡサーバー３０は基地局１０の要求に応じて基地局１０にデジタル証明書を発行するように構成され、基地局１０はさらに、取得したデジタル証明書に基づいてセキュリティ・ゲートウェイ５０と一時的なＩＰＳｅｃトンネルを確立し、一時的なＩＰＳｅｃトンネルを介してバックグラウンドネットワーク管理ユニット４０に第２の配置データを要求するように構成され、バックグラウンドネットワーク管理ユニット４０は基地局１０の要求に応じて基地局１０に第２の配置データを返送するように構成され、基地局１０はさらに、第２の配置データを取得した後、一時的なＩＰＳｅｃトンネルを取り除き、第２の配置データに基づいてセキュリティ・ゲートウェイ５０との間に永続的なＩＰＳｅｃトンネルを確立するように構成されている。

【0029】

本実施例において、ＰＫＩ認証方式に基づいて基地局とセキュリティ・ゲートウェイとの間のＩＰＳｅｃトンネルを自動的に確立することで、既存技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立できない問題を解決し、基地局の自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。

【0030】

実施例１
図３は本発明の実施例１に係る、ＰＫＩ認証方式に基づいてＩＰＳｅｃ安全トンネルを自動的に確立するネットワーク構築の構造を示す図である。図３に示すように、当該システムは、コアネットワークと、ＣＡサーバーと、セキュリティ・ゲートウェイと、配置サーバーと、一つ又は複数の基地局（図に示す基地局１と２）と、を含む。ここで、上記各ネットワーク要素の、ＩＰＳｅｃ安全トンネルの確立に関連する機能は以下の通りである。

【0031】

配置サーバー：基地局の配置パラメーターの管理及びメンテナンスを行い、基地局とＴＬＳリンクを確立し、基地局に、例えば基地局ＩＰアドレス、ＳｅＧＷのＩＰアドレス、ＣＡサーバーのアドレス、証明書パス、生成した証明書の公開鍵長さ等のパラメーター及びバックグラウンドネットワーク管理ユニットのＩＰアドレスの、伝送リンクの確立に必要な配置パラメーターを提供すること。

【0032】

基地局：自己発見機能を実現し、配置サーバーに配置パラメーターを要求し、セキュリティ・ゲートウェイとＩＰＳｅｃ安全トンネルを確立し、バックグラウンドネットワーク管理ユニットに配置及びソフトウェアバージョンパケットを要求すること。

【0033】

セキュリティ・ゲートウェイ：コアネットワークの内部に配置されたネットワーク要素へのアクセスを要求する基地局とＩＰＳｅｃ安全トンネルを確立し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保すること。

【0034】

ＣＡサーバー：基地局による証明書申請、証明書更新、秘密鍵更新の要求に応じて、基地局とセキュリティ・ゲートウェイに証明書を発行すること、証明書を取り消すこと、証明書状態の調査を提供すること。

【0035】

コアネットワーク：基地局から送信されたリンク確立要求を受信し、基地局と共に通信リンクを確立すること、基地局を管理し、基地局にソフトウェアバージョンパケット及び配置パラメーター、業務データ等を提供すること。

【0036】

図４は図３に示すネットワーク構築上のＩＰＳｅｃ安全トンネルの確立を示すフローチャートで、当該方法はＰＫＩ認証方式に基づいてＩＰＳｅｃ安全トンネルを自動的に確立する。本実施例において、まず、既存又は新規のネットワークに配置情報を自動的に割り当てるための配置サーバーを配置し、また、ＴＬＳリンク、ＣＡサーバー及びセキュリティ・ゲートウェイの確立をサポートすることができる。基地局は、正常に電源投入された後、先ず、内部の自己発見機能によって配置サーバーとＴＬＳを用いて接続を確立するとともに、配置サーバーに基地局ＩＰアドレス、セキュリティ・ゲートウェイＩＰアドレス、コアネットワークＩＰアドレス及びＣＡサーバーの関連配置パラメーターの取得を要求し、その後、ＣＭＰｖ２プロトコルを利用して、ＣＡサーバーに証明書の取得を要求し、セキュリティ・ゲートウェイとＰＫＩ認証方式によるＩＰＳｅｃ安全トンネルを確立し、最後に、基地局とコアネットワークとの通信リンクを形成して、基地局の、ネットワーク運用・メンテナンス管理への自動加入を完成する。

【0037】

図４に示すように、主に以下のステップを含む。
基地局は、正常に電源投入された後、内部の自己発見メカニズムを動作させる（ステップＳ４０２）。

【0038】

基地局は、証明書認証方式に基づいて配置サーバーとＴＬＳを確立し、リンク確立に成功した後、配置サーバーに配置パラメーターメッセージを要求し、配置サーバーは基地局の配置パラメーター要求メッセージに応じて、基地局の一時的な伝送ＩＰアドレス、セキュリティ・ゲートウェイと確立したＩＰＳｅｃ安全トンネルのＩＰアドレス、ＣＡサーバーのアドレス、証明書パス、生成した証明書の公開鍵長さ等のパラメーター、バックグラウンドネットワーク管理ユニットのＩＰアドレス等の配置データを返送する（ステップＳ４０４）。

【0039】

配置サーバーの応答配置データを取得したか否かを判断する（ステップＳ４０６）。

【0040】

基地局は、配置サーバーの応答配置データを取得した後、証明書管理プロトコル（ＣＭＰｖ２：Ｃｅｒｔｉｆｉｃａｔｅ Ｍａｎａｇｅ Ｐｒｏｔｏｃｏｌ）を利用してＣＡサーバーに基地局エンティティ証明書及びＣＡサーバーのルートＣＡ証明書の発行を要求し、基地局エンティティ証明書がＣＡルート証明書により直接発行されるものでないと、ＣＡサーバーが中間のＣＡ証明書チェーンをも基地局に送信しなければならない（ステップＳ４０８）。

【0041】

証明書の申請に成功したか否かを判断する（ステップＳ４１０）。

【0042】

基地局は、証明書を取得した後、セキュリティ・ゲートウェイと一時的なＩＰＳｅｃ安全トンネルを確立し（ステップＳ４１２）、具体的には以下のステップを含む。
セキュリティ・ゲートウェイへ主動的にＰＫＩ認証方式による一時的なＩＰＳｅｃ安全トンネルの確立の要求を発し、セキュリティ・ゲートウェイには予めＣＡサーバーにより発行されるエンティティ証明書及びルートＣＡ証明書がインストールされており、基地局の要求を受信してＩＰＳｅｃ安全トンネルを確立する場合、セキュリティ・ゲートウェイは基地局に基地局エンティティ証明書を要求し、基地局はセキュリティ・ゲートウェイの要求に応じて、基地局エンティティ証明書をセキュリティ・ゲートウェイに送信し、同時に、基地局はセキュリティ・ゲートウェイにそのエンティティ証明書の送信を要求し、セキュリティ・ゲートウェイは基地局エンティティ証明書を受信した後、証明書のサインの有効性、証明書の有効期限、証明書状態等の機密情報の検証を含む証明書の有効性の検証を行い、証明書の検証に成功した後、セキュリティ・ゲートウェイはそのエンティティ証明書を基地局に返送し、基地局はセキュリティ・ゲートウェイのエンティティ証明書を受信した後、同様に証明書の有効性の検証を行い、この時、証明書の検証に成功した後、基地局とセキュリティ・ゲートウェイとの間の一時的なＩＰＳｅｃ安全トンネルは既に成功に確立された。

【0043】

基地局は、再び自己発見メカニズムによって、コアネットワーク内に配置されたバックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信し、この時、基地局とバックグラウンドネットワーク管理ユニットとの間の通信データの全ては基地局と安全に確立されたＩＰＳｅｃ安全トンネルで保護される（ステップＳ４１４）。

【0044】

バックグラウンドネットワーク管理ユニットと基地局のリンク確立に成功した後、基地局は、Ｓｅｃｕｒｅファイル転送プロトコルにより、ネットワーク管理ユニットに基地局ソフトウェアバージョンパケットと配置データを要求する（ステップＳ４１６）。

【0045】

バックグラウンドネットワーク管理ユニットは、データベース中の基地局ソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、ＹＥＳと判断すると、ソフトウェアバージョンパケットと配置データを基地局に送信し、ＮＯと判断すると、配置データのみを送信する（ステップＳ４１８）。

【0046】

基地局は、最新のソフトウェアバージョンパケットと配置データを取得した後、配置サーバーに、関連する配置リソースのリリースを通知し、セキュリティ・ゲートウェイと確立したＩＰＳｅｃセキュリティ通路を取り除く（ステップＳ４２０）。

【0047】

基地局は、取得した新しい配置データによって永続的なＩＰを取得し、再びＰＫＩ認証方式に基づいてセキュリティ・ゲートウェイと永続的なＩＰＳｅｃセキュリティ通路を確立する（ステップＳ４２２）。この時、基地局は既に正常の作業を開始した。基地局とコアネットワークとの間のデータ伝送はＩＰＳｅｃセキュリティ通路によって保護された。

【0048】

上記実施例において、ＣＡサーバーが基地局に発行したデジタル証明書の有効期限がまもなく切れる場合、基地局はさらに、自動トリガーメカニズムによって、ＣＡサーバーに証明書の更新又は秘密鍵の更新を要求することで、基地局の証明書の有効性を確保することもできる。

【0049】

なお、本発明の上記各実施例で説明したＩＰＳｅｃ安全トンネルの確立方法は各種の基地局、例えば、伝統的なマクロ基地局、企業レベルの小型基地局ＰＩＣＯ又は家庭レベルのマイクロ基地局Ｆｅｍｔｏ等に広く適用することができる。

【0050】

他の実施例において、ＩＰＳｅｃトンネルを確立するソフトウェアを提供し、当該ソフトウェアは上記実施例で説明した技術案を実行するためのものである。

【0051】

また、他の実施例において、上記ソフトウェアが記憶された記憶媒体を提供し、当該記憶媒体は、光ディスク、フロッピー（登録商標）、ハードディスク、書込み・消去可能なメモリ等を含むが、これらに限定されない。

【0052】

本発明の上記各実施例によると、ＰＫＩ認証方式に基づくＩＰＳｅｃ安全トンネルの確立方法及びシステムを提供し、既存のネットワーク構造を変更させずに、基地局の電源投入後にリンクを自動的に確立し、基地局とバックグラウンドネットワーク管理ユニットとの間のセキュリティ通信を実現することができ、既存技術において基地局とコアネットワークが安全な通信リンクを自己発見及び自動確立できない問題を解決できる。最も簡単な配置によって、既存技術において配置・メンテナンスが複雑である等の問題をできる限り解決でき、基地局とコアネットワークのセキュリティ・ゲートウェイとの間のセキュリティ性を確保できる。

【0053】

当業者にとって、上記の本発明の各モジュール又は各ステップは汎用の演算装置によって実現することができ、単独の演算装置に集中させることができるし、複数の演算装置からなるネットワークに分布させることもでき、さらに演算装置が実行可能なプログラムコードによって実現することもできるので、それらを記憶装置に記憶させて演算装置によって実行することができ、また、場合によっては、示した又は記載したステップを、ここでの順序と異なる順序で実行し、或いはそれぞれの集積回路モジュールとして作製し、或いはそのうちの複数のモジュール又はステップを単独の集積回路モジュールとして作製して実現することができることは明らかなことである。このように、本発明は如何なる特定のハードウェアとソフトウェアの結合にも限定されない。

【0054】

以上は、本発明の好適な実施例に過ぎず、本発明を限定するものではない。当業者であれば本発明に様々な修正や変形が可能である。本発明の精神や原則内での如何なる修正、置換、改良などは本発明の保護範囲内に含まれる。

【図1】

【図2】

【図3】

【図4】