专利名称:网关设备、基站、移动管理服务器和通信方法
技术领域:
本发明涉及网关设备、基站、移动管理服务器以及通信方法。
背景技术:
在LTE (长期演进)无线通信系统中,紧凑型毫微微(femto)基站(HeNB :家庭演进节点B)操作。在下面的说明中,已知的基站(eNB :演进的节点B)被称为“宏基站”,以将其与晕微微基站区分开来。毫微微基站通常是由用户购买并安装在居所或者营业场所的装置。在安装之后,毫微微基站被连接到集中毫微微基站的、被称为HeNB-GWOfeNB-网关)的网关设备,并通过HeNB-Gff被连接到通信业务的核心网络。
据认为,在这些情况下出现了如下问题。(I)经常发生从UE (用户设备终端)到毫微微基站的位置登记请求(2)当UE通信量增加时,加载到超越HeNB-GW的核心网络的负载增加对于上述的问题(I),在专利文献I中提出了应用到LTE无线通信系统的下面的算法。在这个算法中,FNG(毫微微网络网关,其对应于HeNB-GW)将包含在宏位置登记区ID(宏基站的位置登记区的标识符)中的MNC(移动网络码)转换为毫微微蜂窝网的MNC,并在转换后设置宏位置登记区ID作为毫微微位置登记区ID(毫微微基站的位置登记区的标识符)。当包含在从附近的基站报告的位置登记区ID中的MNC与包含在在先前的位置登记时的位置登记区ID中的MNC —致时,UE不进行位置登记,从而使得UE位置登记请求的频率能够减少。专利文献I的图7示出了在UE实现位置登记时的序列。在这个序列中的步骤356中,如专利文献I中的图9所示,FNG将包括在从UE接收到的位置登记请求中的毫微微基站的毫微微位置登记区ID转换为毫微微基站的相邻的宏基站的宏位置登记区ID并发送遵循这一转换的位置登记请求到核心网络中的MME(移动性管理实体移动性管理服务器)。相邻的宏基站是位于毫微微基站能够接收从宏基站报告的宏位置登记区ID的位置的宏基站(同样适用于下面的说明)。然而,根据3GPP (第三代合作伙伴计划),在LTE无线通信系统中,加密和完整性保护能够设置在数据中以确保安全性。加密的设置是由发送侧使用加密密钥编码数据。在这种情况下,接收侧使用与发送侧相同的加密密钥对数据进行解码。完整性保护的设置是通过由发送侧使用完整性密钥计算数据的认证码并然后通过将计算的验证代码添加到数据执行的。在这种情况下,接收侧使用与发送侧相同的完整性密钥来计算数据的认证码,然后通过将计算的认证码与被添加到数据中的认证码比较来验证数据的完整性。然而,根据作为3GPP的建议的TS33. 401v 9. 2. O和TS36. 300V9. 2. 0,尽管在
NAS(非接入层)信令中的加密的设置对于选择是开放的,但需要完整性保护的设置。此外,NAS信令的加密和完整性保护在MME处终止。换言之,在NAS信令的情况下,采用上述加密密钥的解码和采用上述完整性密钥的完整性验证是在MME处进行。当在NAS信令中设置加密和完整性保护时,通过NAS的位置登记请求的加密必须在HeNB-GW中取消,以如专利文献I那样将包含在从UE作为NAS信令接收的位置登记请求中的毫微微位置登记区ID转换为宏位置登记区ID。更进一步地,在HeNB-GW中,完整性保护必须在上述转换后重置,以便MME不将由于上述转换而引起的{其不存在}解释为位置登记请求的完整性的损失。关于上述的问题(2),已在非专利文献1(S2_096108)中提出了称作LIPA (本地IP接入)/SIPTO (选择的IP流量卸载)的数据卸载方法,非专利文献I是提交给3GPP工作组“SA (安全关联)2”的提交论文。LIPA使得数据通过毫微微基站和在UE和LAN(局域网)中的装置之间的数据转移从UE卸载到LAN。此外,SIPTO使得不通过通信业务的核心网络路由而使数据从毫微微基站直接卸载到互联网。 在专利文献2中,提出接入点(对应于毫微微基站),其使得通过IP网关从移动电话(对应于UE)与例如在互联网上的网络服务器的通信,其中IP网关是不通过在专利文献2的图I所示的系统中的通信业务的核心网络路由而安装在用户的居所或办公室。可替代地,如专利文献3的图IB所示,专利文献3提出了具有监视通过Iu接口在UE和核心网络之间发送和接收的IP流量并确定是否要卸载分组会话的装置的毫微微接入点(对应于毫微微基站)。然而,在毫微微基站被集中在HeNB-GW中的配置的情况下,如在非专利文献I或专利文献2或3所示,从毫微微基站的卸载不一定是必须的。例如,可能是HeNB-GW而不是毫微微基站读取从核心网络中的MME发送到UE的消息的APN(接入点名称)或从UE发送到核心网络的消息的APN以建立Η)Ν(分组数据网络)连接并然后根据APN卸载流量。这种方法还使得核心网络的负载减少。更进一步,虽然在非专利文献1(S2_096108)有关于在实现LIPA/SIPT0时的安全性问题或合法截取的可能性的问题的关注,但如果在通信业务的处所安装HeNB-GW,这些问题就能够被处理。然而,虽然在NAS信令中加密的设置在3GPP中对于选择是当前公开的,但设置加密时,其建立为加密在MME处终止。结果,在LTE HeNB-GW中,没有识别基于从在MME和UE之间发送和接收的消息读取的APN的流量的合法截取或卸载的实现。出于同样的原因,作为宏基站的eNB不能基于APN卸载流量。在专利文献4中,基于在AGW(接入网关对应于HeNB-GW)和终端(对应于UE)之间的IKEv2 (互联网密钥交换版本2)建立IPsec (IP安全协议)隧道,以确保安全性。这里,当通过另一机制(诸如无线链路的加密)确保在终端和基站之间的安全性时,出现诸如增加不必要的IPsec隧道的开销、导致无线频带的压力或减少终端的处理能力的问题。在专利文献4中提出了一种方法,其中,在终端和基站之间确保安全性时,IPsec隧道仅设置在基站和AGW之间,IPsec隧道不设置在终端和基站之间。然而,这一方法没有解决上述(I)和⑵的问题。如上所述,即使毫微微基站应更广泛的使用以应付将继续增加的网络流量,只要HeNB-GW无法设置或取消加密或完整性保护,上述的问题将依然没有解决,阻碍服务提供或经营通信业务的问题将继续存在。
同样,即使在宏基站是无法实现加密或完整性保护的设置或取消时,也存在阻碍服务提供或经营通信业务的问题。现有技术文献专利文献专利文献1 :日本未经审查的专利申请公开2009-267706号专利文献2 :日本未经审查的专利申请公开(PCT申请的翻译)2009-504048号专利文献3 :日本未经审查的专利申请公开2009-253431号专利文献4 :日本未经审查的专利申请公开2009-094651号非专利文献非专利文献1 :3GPP S2-096108
发明内容
本发明要解决的问题如上所述,存在其中HeNB-GW或宏基站无法设置或取消LTE无线通信系统中的加密或完整性保护的问题。因此,本发明的一个目的是提供能够解决上述问题的一种网关设备、基站、移动管理服务器以及通信方法。用于解决问题的手段本发明的网关设备是一种将基站连接到核心网络的网关设备,包括通信单元,其从核心网络中的移动管理服务器接收取消加密的密钥,加密设置在从从属于基站的终端接收到的NAS消息中。本发明的基站是一种被连接到核心网络的基站,包括通信单元,其从在核心网络中的移动管理服务器接收取消加密的密钥,其中加密设置在从从属于基站的终端接收到的NAS消息中。本发明的移动管理服务器是一种设置在核心网络中的移动管理服务器,包括通信单元,其向基站或将基站连接到核心网络的网关设备发送取消加密的密钥,其中加密设置在基站或网关设备从从属于基站的终端接收到的NAS消息中。本发明的第一通信方法是一种由将基站连接到核心网络的网关设备实现的通信方法,包括以下步骤从在核心网络中的移动管理服务器接收取消加密的密钥,其中加密设置在从从属于基站的终端接收到的NAS消息中。本发明的第二通信方法是一种由连接到核心网络的基站实现的通信方法,包括以下步骤从在核心网络中的移动管理服务器接收取消加密的密钥,其中加密设置在从从属于基站的终端接收到的NAS消息中。本发明的第三通信方法是一种由设置在核心网络中的移动管理服务器实现的通信方法,包括以下步骤向基站或将基站连接到核心网络的网关设备发送取消加密的密钥,其中加密设置 在基站或网关设备从从属于基站的终端接收到的NAS消息中。
本发明的效果根据本发明,取消NAS消息的加密的密钥被从移动管理服务器发送到网关设备或
基站O结果,获得了网关设备或基站能够使用从移动管理服务器接收到的密钥来实现加密的取消和设置的效果。
图I示出了本发明的第一示例性实施例的无线通信系统的配置。
图2示出了在本发明的第一示例性实施例中的、保存在HeNB-GW的存储单元中的转换表。图3是示出了本发明的第一示例性实施例的无线通信系统的操作的序列图。图4是规定了本发明的第一示例性实施例的HeNB-GW的操作的算法。图5示出了在本发明的第一示例性实施例中提出的TS33. 401转换之后的IE。图6示出了在本发明的第一示例性实施例中提出的TS36. 413转换之后的IE。图7示出了在本发明的第一示例性实施例中提出的TS36. 413转换之后的IE。图8示出了在本发明的第一示例性实施例中提出的TS36. 413转换之后的IE。图9示出了本发明的第二示例性实施例的无线通信系统的配置。图10示出了在本发明的第二示例性实施例中的、保存在HeNB-GW的存储单元中的对应表。图11是示出了本发明的第二示例性实施例的无线通信系统的操作的序列图。图12是规定了本发明的第二示例性实施例的HeNB-GW的操作的算法。
具体实施例方式接下来,参照附图来描述本发明的实施方式。(I)第一示例性实施例(1-1)第一示例性实施例的配置图I示出了本发明的第一示例性实施例的无线通信系统的示意性配置。如图I所示,本示例性实施例的无线通信系统包括PDN I、P-GW(PDN网关)2、
S-GW(服务网关)3、MME 4、HeNB-GW 5、毫微微基站6和UE 7。HeNB-Gff 5和毫微微基站6被设置在无线接入网络(RAN)中。P-Gff 2、S-GW 3和MME 4被设置在通信业务的核心网络中,例如是互联网或业务网络的I3DN I存在于此核心网络之外。UE 7通过在无线接入网络内的HeNB-GW 5和毫微微基站6发送信息(包括消息和数据)到核心网络内的MME 4。HeNB-Gff 5包括通信单元51,其发送信息到外部并接收来自外部的信息;处理单元52,其处理通信单元51发送和接收的信息;存储单元53,其存储由处理单元52处理的信息和已由通信业务预先设置的设置信息;以及控制单元54,其控制通信单元51和处理单元52。作为一个示例,存储单元53存储转换表301作为设置信息,如图2所示,在转换表301中,毫微微基站(第一基站)6的毫微微位置登记区ID和作为在这一毫微微基站6的附近的宏基站(第二基站)的宏位置登记区ID的转换后的位置登记区ID已被对应放置。MME 4包括通信单元41,其发送信息到外部并接收来自外部的信息;处理单元42,其处理通信单元41发送和接收的信息;存储单元43,其存储由处理单元42处理的信息和已由通信业务预先设置的设置信息;以及控制单元44,其控制通信单元41和处理单元42。(1-2)第一示例性实施例的操作本示例性实施例的无线通信系统的操作的要点如下所述。在进入毫微微基站6的服务区后,UE 7接收从毫微微基站6报告的毫微微位置登记区ID并通过NAS向MME 4发送包括这一毫微微位置登记区ID的位置登记请求。
在接收到从UE 7发送给MME 4的位置登记请求后,HeNB-GW 5基于存储在存储单元53中的转换表301将包含在这个位置登记请求中的毫微微位置登记区ID转换为转换后的位置登记区ID,并将转换后的位置登记区ID发送给MME 4。上面的过程示于图3中。如图3中所示,从属于毫微微基站6的UE 7首先通过NAS向MME 4发送包含从毫微微基站6接收到的毫微微位置登记区ID的位置登记请求消息(NAS消息)(步骤101)。在HeNB-GW 5中,在接收到从UE 7发送并去往MME 4的位置登记请求消息后,处理单元52判定设置信息“取消加密和完整性保护”是否已存储在存储单元53中。如果这一设置信息已存储,处理单元52生成请求传送取消位置登记请求消息的加密和完整性保护的密钥(加密密钥和完整性密钥)的安全信息请求消息(S1AP(S1应用协议)消息),通信单元51发送这一安全信息请求消息到MME 4(步骤102)。在MME 4中,在从HeNB-GW 5接收到安全信息请求消息后,处理单元42生成包括密钥(加密密钥和完整性密钥)的安全信息响应消息(S1AP消息),通信单元41返回这一安全信息响应消息到HeNB-GW 5 (步骤103)。在HeNB-GW 5中,在从MME 4接收到安全信息响应消息后,处理单元52使用在安全信息响应消息中所包含的密钥来取消位置登记请求消息的加密和完整性保护,并基于存储在存储单元53中的转换表301,将在位置登记请求消息中所包含的毫微微位置登记区ID转换为转换后的位置登记区ID (步骤104)。处理单元52接着重置在位置登记请求消息中的加密和完整性保护,并且通信单元51发送位置登记请求消息到MME 4(步骤105)。MME 4接着发送认证请求消息到UE 7 (步骤106)。这里假定认证处理以通常方式实施,并且UE 7返回认证响应消息到MME 4 (步骤107)。MME 4随后发送位置登记响应消息到UE 7 (步骤108),由此完成位置登记处理。图4示出了规定HeNB-GW 5的操作的算法。这一算法作为设置信息被存储在存储单元53中。如图4所示,在接收到从从属于毫微微基站6的UE 7来的NAS消息(步骤201)后,处理单元52判断设置信息“取消加密和完整性保护”是否存储在存储单元53中(步骤202)。如果设置信息“取消加密和完整性保护”在步骤202中被存储(步骤202中为“是”),则处理单元52生成安全信息请求消息来请求发送用于取消NAS消息的加密和完整性保护的加密密钥和完整性密钥,通信单元51发送这一安全信息请求消息到MME 4,作为对这一消息的响应,从MME 4接收包含加密密钥和完整性密钥的安全信息响应消息。然后,处理单元52使用在安全信息响应消息中包含的加密密钥来取消NAS消息的加密(步骤203)。作为取消加密的处理,这里进行使用加密密钥来解码NAS消息的处理。处理单元52接着判断在步骤201中接收到的NAS消息是否是位置登记请求消息(步骤204)。如果在步骤204中NAS消息是位置登记请求消息(在步骤204中为“是”),处理单元52首先取消位置登记请求消息的完整性保护。这里,作为取消完整性保护的处理,进行使用完整性密钥来验证位置登记请求消息的完整性的处理。处理单元52接着将包含在位置登记请求消息中的毫微微位置登记区ID转换为对应于存储在存储单元53中的转换表301中的毫微微位置登记区ID放置的转换后的位置登记区ID (步骤205)。处理单元52接着重置在位置登记请求消息中的加密和完整性保护。这里,作为重置加密的处理,处理单元52中使用加密密钥进行加密位置登记请求消息的处理。另外,作为重置完整性保护的处理, 处理单元52使用完整性密钥来进行计算在转换之后的位置登记请求消息的认证码和添加计算出的认证码到在转换之后的位置登记请求消息的处理。然后,通信单元51发送位置登记请求消息到MME 4。另一方面,如果设置信息“取消加密和完整性保护”在步骤202中还没有存储(在步骤202中为“否”),处理单元52按原样传输在步骤201中从通信单元51接收到的NAS消息到MME 4,而不取消加密和完整性保护(步骤206)。可替代地,如果在步骤204中NAS消息不是位置登记请求消息(步骤204中为“否”),则处理单元52重置NAS消息的加密,并且通信单元51将NAS消息发送到MME 4。为了实现如图3所示的过程,3GPP建议必须进行修改。更具体地说,首先,图5的有下划线的部分必须在TS33. 401中改变,其次,图6的有下划线的部分必须被添加到TS36.413。此外,尽管在本示例性实施例中MME 4是通过作为接收到来自HeNB-GW 5的安全信息请求消息的响应的安全信息响应消息发送密钥到HeNB-GW 5的,但本发明并不限于此形式。例如,图7和图8的有下划线的部分被添加到TS36. 413,设置信息“传送密钥到HeNB-GW”被存储在MME 4的存储单元43中。在这种情况下,不管是否从HeNB-GW 5接收到安全信息请求消息,MME 4立即通过图7或图8中所示的UE上下文修改请求消息(S1AP消息)发送密钥。虽然图7和图8的更改的目的是相同的,但表达不同。此外,在图6-8中的“方向”简单地指示传送的方向,并不指示终止节点。例如,“MME — eNB”指示适用于从MME 4传送到HeNB-GW 5,“eNB — MME ”指示适用于从HeNB-GW5传送到MME 4。(1-3)第一示例性实施例的效果在本示例性实施例中,MME即时或作为对从HeNB-GW来的发送请求的响应,发送取消NAS消息的加密和完整性保护的密钥到HeNB-GW。结果,HeNB-Gff能够使用从MME接收到的密钥来进行加密和完整性保护的取消或设置。
因此,在专利文献I中所提出的将毫微微位置登记区ID转换为在HeNB-GW中的宏位置登记区ID的方法可根据3GPP标准规范实现。用于减少位置登记请求的频率的、与专利文献I中提出的方法不同的另外的方法可以根据3GPP标准规范实现。作为一个示例,有一些诸如以下方法的方法。考虑到毫微微基站的几何关系,必要的最低限度的毫微微位置登记区ID被对应于每一个单个基站而放置。然后由HeNB-GW将对应表保存,对于每一个位置登记请求,基于上述的对应表,对接收位置登记请求的毫微微基站的毫微微位置登记区ID进行转换。在本示例性实施例中,假定在图4的步骤201中,从从属于毫微微基站的UE发送NAS消息。但是,这个假定并不需要某些受限的UE在某些受限的毫微微基站管辖下发送NAS消息,可以单独为每一个UE或每一个毫微微基站设置先决条件。然而,为了标识UE,必须从NAS消息读取IMSI (国际移动用户标识符)。在本示例性实施例中所提出的方法可以应用到无线通信系统,其包括UMTS (通用 移动陆地无线接入)毫微微基站、集中毫微微基站的RANGW和连接到RANGW的服务提供服务器,并且由UE的入口启动到毫微微基站的服务区中,从服务提供服务器为用户提供服务。在这种情况下,LTE HeNB-Gff能够提供符合3GPP标准规范的类似服务。在本示例性实施例中,当在UE和MME之间已进行加密和完整性保护设置时,已经提出了现有的建议的更改,以使得能取消这些设置。作为是这些规定的加密和完整性保护的基础的背景,可以考虑的一个原因是,鉴于网络架构,NAS消息被从UE通过eNB (宏基站)和MME发送,并且和MME相比,eNB并没有安装在诸如通信业务的办公室的安全环境中。但是,与MME类似,只要HeNB-GW安装在通信业务的办公室中,在HeNB-GW中的加密和完整性保护的取消就不会引起有关安全性的问题。结果,在本示例性实施例中提出的3GPP标准规范的更改带来了使得UE的操作者的位置登记请求的数量能够减少的效果。更进一步地,在本示例性实施例中,当HeNB-GW取消从UE接收到的NAS消息的加密和完整性保护时,HeNB-GW随后重置加密和完整性保护,但在取消NAS消息的加密和完整性保护之后的处理可由通信业务确定。例如,当NAS消息的加密和完整性保护已被取消时,加密和完整性保护不能在HeNB-GW和MME之间重置,或另一安全机制可应用在UE和MME之间,加密和完整性保护没有被重置。在本示例性实施例中,HeNB-GW同时从MME密钥接收以取消加密和完整性保护,但当设置已经应用于分别接收这些密钥时,这些密钥的传输请求可以对于MME单独地进行。(2)第二示例性实施例(2-1)第二示例性实施例的配置图9示出了本发明的第二示例性实施例的无线通信系统的示意性配置。如图9所示,除了 UE 8已经被添加和路由直接从HeNB-GW 5连接到I3DN I这些点之外,本示例性实施例的无线通信系统具有与图I所示的第一示例性实施例的无线通信系统相同的配置。在本示例性实施例中,信息传输是通过U-平面进行的,HeNB-GW 5根据通信业务根据包含在从UE 7和8发送的PDN连接请求(roNCONNECTIVITY REQUEST)中的APN预先设置的过程确定PDN连接的路由。为了实现上述操作,如图10所示,HeNB-GW 5的存储单元53存储对应表302作为每一个UE的设置信息,对应表302指示根据从该UE发送的PDN连接请求中所包含的APN的卸载的必要性或必要性不足。(2-2)第二示例性实施例的操作简单地说,本示例性实施例中的无线通信系统按如下所述操作。当设置EPS (演进的分组系统)承载以设置用于通信分组的、称为与TON I的TON连接的IP会话时,UE 7和8发送包含APN的PDN连接请求到MME 4。在接收到从UE 7和8发送到MME 4的PDN连接请求后,HeNB-GW读取在PDN连接请求中所包含的APN。HeNB-Gff 5然后基于存储在存储单元53中的对应表302,确定是否通过S-GW 3和P-GW 2设置从HeNB-GW 5到PDN I的PDN连接,或设置不通过S-GW 3和P-GW2路由的、从HeNB-GW 5直接到I3DN I的PDN连接。上述的过程示于图11中。 如图11中所示,从属于毫微微基站6的UE 7通过NAS发送TON连接请求消息(NAS消息)到MME 4(步骤111)。在HeNB-GW 5中,在接收到从UE 7发送到MME 4的PDN连接请求消息后,处理单元52判断设置信息“取消加密”是否被存储在存储单元53中。如果这个设置信息被存储,处理单元52生成请求密钥(加密密钥)的发送的安全信息请求消息,以用于取消PDN连接请求消息的加密,通信单元51发送安全信息请求消息到MME 4(步骤112)。在MME 4中,在从HeNB-GW 5接收到安全信息请求消息后,处理单元42生成包含密钥(加密密钥)的安全信息响应消息,通信单元41返回这一安全信息响应消息到HeNB-Gff 5(步骤 113)。在HeNB-GW 5中,在接收到从MME 4来的安全信息响应消息后,处理单元52使用包含在安全信息响应消息中的密钥取消PDN连接请求消息的加密,读取被包含在PDN连接请求消息中的APN,并基于存储在存储单元53中的对应表301确定PDN连接的路由(步骤114)。处理单元52然后重置PDN连接请求消息的加密,通信单元51发送PDN连接请求消息到MME 4(步骤115)。MME 4随后发送PDN连接接受消息到UE I (步骤116),从而在UE I和TON I之间的数据通信成为可能(步骤117)。规定了 HeNB-GW 5的上述操作的算法示于图12中。该算法被作为设置信息存储在存储单元53中。如图12中所示,在接收到从从属于毫微微基站6的UE 7来的NAS消息(步骤211)时,处理单元52判断设置信息“取消加密”是否已被存储在存储单元53中(步骤212)。如果该设置信息“取消加密”在步骤212中被存储(在步骤212中为“是”),处理单元52生成请求发送加密密钥以取消NAS消息的加密的安全信息请求消息,并且通信单元51发送安全信息请求消息到MME 4,并作为响应从MME 4接收包含加密密钥的安全信息响应消息。处理单元52接着使用包含在安全信息响应消息中的加密密钥来取消NAS消息的加密(步骤213)。这里,作为取消加密的处理,进行使用加密密钥来解密NAS消息的处理。处理单元52接着判断在步骤211中接收到的NAS消息是否为PDN连接请求消息(步骤214)。如果在步骤214中NAS消息是PDN连接请求消息(在步骤214中为“是”),处理单元52首先读取在PDN连接请求消息中所包含的APN。处理单元52接着基于读取的APN和根据读取的APN和在存储在存储单元53中的对应表302所指示的卸载的必要性或必要性不足确定PDN连接的路由(步骤215)。例如,如果读取的APN是APN1,就执行卸载并确定PDN连接的路由,使得与I3DN I的通信通过APNl来实现。处理单元52接着重置PDN连接请求消息的加密。作为重置加密的处理,这里进行使用加密密钥编码PDN连接请求消息的处理。然后,通信单元51发送PDN连接请求消息到MME 4。另一方面,如果设置信息“取消加密”在步骤212中还没有被存储(在步骤212中为“否”),处理单元52将在步骤211中从通信单元51接收到的NAS消息按原样传送到MME
4,而不取消加密(步骤216)。如果NAS消息在步骤214中不是PDN连接请求消息(在步骤214中为“否”),处理单元52就重置在NAS消息中的加密,通信单元51发送NAS消息到MME 4。
为了实施在图11中所示的过程,3GPP建议必须更改。更具体地,首先,图5的有下划线的部分必须被更改为TS33. 401,其次,图6的有下划线的部分6必须被添加到TS36.413。在本示例性实施例中,在从HeNB-GW 5接收到安全信息请求消息后,MME 4通过作为响应的安全信息响应消息发送密钥到HeNB-GW 5,但本发明并不限于这种形式。例如,图7和图8的有下划线的部分被添加到TS36. 413,以及设置信息“发送密钥到HeNB_GW”被存储在MME 4的存储单元43中。在这种情况下,无论从HeNB-GW 5来的安全信息请求消息的接收与否,MME 4都通过示于图7或图8的UE上下文修改请求消息即时发送密钥。虽然图7和图8的更改的目的是相同的,但表达不同。(2-3)第二示例性实施例的效果在本示例性实施例中,MME即时或作为对从HeNB-GW来的发送请求的响应,发送取消NAS消息的加密的密钥到HeNB-GW。结果,HeNB-Gff能够使用从MME接收到的密钥进行加密的取消或设置。因此,能够实现符合3GPP标准规范的、HeNB-Gff按照每一个用户在诸如通信业务的办公室的安全环境中使用的应用的APN卸载流量的方法。结果,能够在HeNB-GW中同时实现合法拦截、减少安全风险、减轻设备负载和用户体验的改进。此外,虽然在本示例性实施例中示出了一个HeNB-GW读取在TON连接请求消息中包含的APN的过程,但在从UE发送到核心网络的另一个NAS消息中包含的APN可以被读取,并且PDN连接的路由可建立,以使得能获得上述效果。其他可以提供的NAS消息的示例包括在TS24. 301v9. I. O中描述的激活默认EPS承载上下文请求消息或ESM信息请求消息。此外,在HeNB-GW取消从UE接收到的NAS消息的加密时,HeNB-GW随后重置加密,但在取消NAS消息的加密之后的处理可以由通信业务确定。例如,当取消NAS消息的加密时,也可以不重置在HeNB-GW和MME之间的加密,或者在UE和MME之间应用另一安全机制,不重置加密。(3)其他的示例性实施例虽然第一示例性实施例和第二示例性实施例已经独立地示出,但如果可能的话,第一示例性实施例和第二示例性实施例的过程可以同时执行。
另外,虽然假定在第一示例性实施例和第二示例性实施例二者中HeNB-GW安装在通信业务的办公室中,但HeNB-GW的一部分被安装在另一公司的处所并且这一部分然后连接到安装在通信业务的办公室的其他HeNB-GW的配置、或HeNB-GW的这一部分被直接连接到MME的配置也可使用。可替代地,在HeNB-GW安装在公司的处所内时,在第二示例性实施例中所示的数据卸载目的地可以是公司的处所内的设备而不是TON。另外,虽然在第一示例性实施例和第二示例性实施例的图6-8中示出了一个SlAP消息的IE (信息元素)被更改或被添加的示例,但第一示例性实施例和第二示例性实施例可以通过更改或者添加另一个SlAP消息的IE而实现。可以提供的另一 SlAP消息的一个示例是上行链路NAS传输消息。在第一示例性实施例和第二示例性实施例中,毫微微基站被集中在HeNB-GW中,但在毫微微基站直接连接到MME时,能够在毫微微基站中实现加密和完整性保护的取消。在这种情况下,毫微微基站的配置可以是与第一示例性实施例和第二示例性实施例的HeNB-GW的配置类似。进一步假定,也可以在直接连接到MME的宏基站(eNB)中实现加密和完整性保护的取消。在这种情况下,宏基站的配置应该与第一示例性实施例和第二示例性 实施例的HeNB-GW的配置类似。在第一示例性实施例和第二示例性实施例中提出的模式预先假定更改在图5-8中所示的3GPP标准规范,但这些修改也使数据能从宏基站卸载,并且从宏基站卸载数据也可以因此被实施。在这种情况下,宏基站的配置应该与第一示例性实施例和第二示例性实施例的HeNB-GW的配置类似。在存在于诸如通信业务的办公室的安全环境中的信息被从另一个网络节点或一个0&M(操作和维护)设备通信到HeNB-GW时,这种通信可能会被例如SI设置请求消息(S1AP消息)报告给MME,并且加密和完整性保护不可以设置在MME和UE之间的NAS消息中。在这种情况下,IPsec或SSL(安全套接层)/TSL(传输层安全)可以应用,使得协议在UE和HeNB-GW处被终止,以控制在HeNB-GW处的信息。在本发明的HeNB-GW、宏基站和MME处进行的方法也可以适用于使计算机执行的程序。这一程序可以被存储在记录介质中,并可通过网络提供给外部。上述示例性实施例的全部或部分也可以被描述在以下的补充说明中,但不限于以下的说明。(补充说明I)一种连接基站和核心网络的网关设备,包括通信单元,其从核心网络中的移动管理服务器接收密钥,密钥取消设置在从从属于基站的终端接收到的NAS消息中的加密。(补充说明2)在补充说明I所述的网关设备中,通信单元从移动管理服务器接收密钥,密钥取消设置在从终端接收到的NAS消息中的完整性保护。(补充说明3)补充说明I所述的网关设备,还包括处理单元,当从终端接收NAS消息时,其生成请求取消加密的密钥的传送的SlAP消息;其中通信单元在从终端接收NAS消息后,发送请求取消加密的密钥的传送的SlAP消息到移动管理服务器,并作为响应从移动管理服务器接收包含取消加密的密钥的SlAP消息。(补充说明4)补充说明I或补充说明3所述的其中PDN连接到核心网络的网关设备,还包括存储单元,其存储对应表,对应表指示每一个终端的对于根据APN的向TON的卸载的必要性或必要性不足,APN包含在作为NAS消息从该终端发送的PDN连接请求消息中;其中,处理单元当从终端接收到NAS消息时,使用取消加密的密钥来取消在从终端接收到的NAS消息中设置的加密;和
当从终端接收到的NAS消息是PDN连接请求消息时,基于在该PDN连接请求消息中包含的APN和根据在对应表中指示的APN而定的卸载的必要性或必要性不足来确定I3DN连接的路由。(补充说明5)在补充说明2所述的网关设备,还包括处理单元,其在从终端接收NAS消息后,生成请求传送密钥的SlAP消息来取消加密和完整性保护;其中,通信单元在从终端接收NAS消息时,发送请求密钥的传送以取消加密和完整性保护的SlAP消息到移动管理服务器,并作为响应从移动管理服务器接收SlAP消息,SlAP消息包含取消加密和完整性保护的密钥。(补充说明6)补充说明2或补充说明5所述的网关设备,其中基站是第一基站,还包括存储单元,其存储转换表,在转换表中,第一基站的位置登记区的标识符对应于在第一基站的附近的第二基站的位置登记区的标识符而放置;其中,处理单元在从终端接收到NAS消息后,使用取消加密的密钥来取消加密,加密被设置在从终端接收到的NAS消息中,和在从终端接收到的NAS消息是位置登记请求消息时,处理单元使用取消完整性保护的密钥来取消设置在位置登记请求消息中的完整性保护,并将包含在位置登记请求消息中的第一基站的位置登记区的标识符转换为对应放置在转换表中的第二基站的位置登记区的识别符。(补充说明7)一种被连接到核心网络的基站,包括通信单元,其从在核心网络中的移动管理服务器接收取消加密的密钥,加密设置在从从属于基站的终端接收的NAS消息中。(补充说明8)在补充说明7所述的基站中,通信单元从移动管理服务器接收取消完整性保护的密钥,完整性保护设置在从终端接收到的NAS消息中。(补充说明9)补充说明7所述的基站,还包括处理单元,其在从终端接收到NAS消息后,生成请求取消加密的密钥的传送的SlAP消息;其中,通信单元在从终端接收到NAS消息时,发送请求取消加密的密钥的传输的SlAP消息到移动管理服务器,并作为响应从移动管理服务器接收包含取消加密的密钥的SlAP消息。
(补充说明10)补充说明7或补充说明9所述的其中PDN连接到核心网络的基站,还包括存储单元,其存储对应表,对应表指示每一个所述终端的对于根据APN而定的TON的卸载的必要性或必要性不足,APN包含在作为NAS消息从终端发送的PDN连接请求消息中;其中,所述处理单元在从终端接收到NAS消息后,使用取消加密的密钥来取消在从终端接收的NAS消息中设置的加密;和当从终端接收的NAS消息是PDN连接请求消息时,基于在PDN连接请求消息中包含的APN和根据在对应表中指示的APN而定的卸载的必要性或必要性不足来确定I3DN连接的路由。 (补充说明11)补充说明8所述的基站,还包括处理单元,其在从终端接收到NAS消息后,生成请求发送取消加密和完整性保护的密钥的SlAP消息;其中,通信单元在从终端接收到NAS消息后,发送请求取消加密和完整性保护的密钥的发送的SlAP消息到移动管理服务器,并作为响应从移动管理服务器接收包含取消加密和完整性保护的密钥的SlAP消息。(补充说明12)补充说明8或补充说明11所述的基站,其中基站是第一基站,还包括存储单元,其存储转换表,转换表将第一基站的位置登记区的标识符和在第一基站的附近的第二基站的位置登记区的标识符对应地放置;其中处理单元在从终端接收到NAS消息时,使用取消加密的密钥来取消加密,加密被设置在从终端接收到的NAS消息中,和在从终端接收到的NAS消息是位置登记请求消息时,使用取消完整性保护的密钥来取消设置在位置登记请求消息中的完整性保护,并将包含在位置登记请求消息中的第一基站的位置登记区的标识符转换为对应放置在转换表中的第二基站的位置登记区的标识符。(补充说明13)一种设置在核心网络中的移动管理服务器,包括通信单元,其发送取消加密的密钥到基站或将基站连接到核心网络的网关设备,加密设置在基站或网关设备从从属于基站的终端接收到的NAS消息中。(补充说明14)在补充说明13所述的移动管理服务器中,通信单元发送取消完整性保护的密钥到基站或网关设备,完整性保护设置在从基站或网关设备的终端接收到的NAS消息中。(补充说明15)补充说明13所述的移动管理服务器,还包括处理单元,其在从基站或网关设备接收到请求发送取消加密的密钥的SlAP消息后,生成包含取消加密的密钥的SlAP消息;其中,通信单元在从基站或网关设备接收到请求发送取消加密的密钥的SlAP消息后,作为响应发送包含取消加密的密钥的SlAP消息。
(补充说明16)补充说明14所述的移动管理服务器,还包括处理单元,其在从基站或网关设备接收到请求发送取消加密和完整性保护的密钥的SlAP消息后,生成包含取消加密和完整性保护的密钥的SlAP消息;其中,通信单元在从基站或网关设备接收到请求发送取消加密和完整性保护的密钥的SlAP消息后,作为响应发送包含取消加密和完整性保护的密钥的SlAP消息。(补充说明17)一种由将基站连接到核心网络的网关设备实现的通信方法,其包括以下步骤从在核心网络中的移动管理服务器接收取消加密的密钥,加密设置在从从属于基站的终端接收到的NAS消息中。
(补充说明18)一种由连接到核心网络的基站实现的通信方法,其包括以下步骤从在核心网络中的移动管理服务器接收取消加密的密钥,加密设置在从从属于所述基站的终端接收到的NAS消息中。(补充说明19)一种由设置在核心网络中的移动管理服务器实现的通信方法,其包括以下步骤向基站或将基站连接到核心网络的网关设备发送取消加密的密钥,加密设置在基站或网关设备从从属于基站的终端接收到的NAS消息中。本申请要求基于在2010年5月13日提交的日本专利申请2010-111182号的优先权,并通过引用纳入该申请的所有的公开的内容。
权利要求
1.一种将基站连接到核心网络的网关设备,包括 通信单元,其从所述核心网络中的移动管理服务器接收取消加密的密钥,所述加密设置在从从属于所述基站的终端接收到的NAS消息中。
2.如权利要求I所述的网关设备,其中所述通信单元从所述移动管理服务器接收取消完整性保护的密钥,所述完整性保护设置在从所述终端接收到的NAS消息中。
3.如权利要求I所述的网关设备,其中PDN被连接到所述核心网络;所述网关设备还包括 存储对应表的存储单元,所述对应表指示针对每一个所述终端根据APN的向TON的卸载的必要性或必要性不足,所述APN包含在作为NAS消息从该终端发送的PDN连接请求消息中; 其中,所述处理单元 在刚一从所述终端接收到NAS消息时, 使用取消所述加密的密钥来取消从所述终端接收到的NAS消息中设置的加密;以及 当从所述终端接收到的NAS消息是PDN连接请求消息时,基于在PDN连接请求消息中包含的APN和根据在所述对应表中指示的APN而定的卸载的必要性或必要性不足来确定PDN连接的路由。
4.如权利要求2所述的网关设备,其中所述基站是第一基站,还包括 存储转换表的存储单元,所述转换表将所述第一基站的位置登记区的标识符和在所述第一基站的附近的第二基站的位置登记区的标识符对应地放置; 其中所述处理单元 在从所述终端接收到NAS消息后, 使用取消所述加密的密钥来取消在从所述终端接收到的NAS消息中设置的加密;以及 当从所述终端接收到的NAS消息是位置登记请求消息时,使用取消所述完整性保护的密钥来取消在所述位置登记请求消息中设置的完整性保护,并将包含在所述位置登记请求消息中的第一基站的位置登记区的标识符转换为对应放置在所述转换表中的第二基站的位置登记区的标识符。
5.一种被连接到核心网络的基站,包括 通信单元,其从在所述核心网络中的移动管理服务器接收取消加密的密钥,所述加密设置在从从属于所述基站的终端接收到的NAS消息中。
6.一种设置在核心网络中的移动管理服务器,包括 通信单元,其向基站或将所述基站连接到所述核心网络的网关设备发送取消加密的密钥,所述加密设置在所述基站或所述网关设备从从属于所述基站的终端接收到的NAS消息中。
7.一种由将基站连接到核心网络的网关设备实现的通信方法,包括以下步骤 从所述核心网络中的移动管理服务器接收取消加密的密钥,所述加密设置在从从属于所述基站的终端接收到的NAS消息中。
8.一种由连接到核心网络的基站实现的通信方法,包括以下步骤 从所述核心网络中的移动管理服务器接收取消加密的密钥,所述加密设置在从从属于所述基站的终端接收到的NAS消息中。
9.一种由设置在核心网络中的移动管理服务器实现的通信方法,包括以下步骤 向基站或将所述基站连接到所述核心网络的网关设备发送取消加密的密钥,所述加密设置在所述基站或所述网关设备从从属于所述基站的终端接收到的NAS消息中。
全文摘要
网关设备将基站连接到核心网络。网关设备具有通信单元,其从核心网络中的移动管理服务器接收取消加密的密钥,加密设置在从从属于基站的终端接收到的NAS消息中。
文档编号H04W88/16GK102893695SQ20118002389
公开日2013年1月23日 申请日期2011年3月17日 优先权日2010年5月13日
发明者田村丰武, 植田佳央 申请人:日本电气株式会社