利用专用网的移动通信系统、中继节点以及无线基站控制站的制作方法

专利名称：利用专用网的移动通信系统、中继节点以及无线基站控制站的制作方法
技术领域：
本发明涉及由无线基站控制站和与无线基站控制站连接的无线基站构成并且对可与无线基站连接的移动终端提供移动通信服务的移动通信系统，尤其是涉及能够利用专用网来对室内区域内的用户提供移动通信服务的移动通信系统。并且，还涉及用于该移动通信系统中的中继节点、无线基站控制站，以及实现移动通信系统、中继节点、无线基站控制站的功能的程序、移动通信方法。
背景技术：
在移动通信系统中，由于电磁波难以到达建筑物等的室内，因而在室内使用移动终端的用户无法接受稳定的移动通信服务。为了对室内的用户提供稳定的移动通信服务，需要导入用于覆盖室内的移动通信专用室内系统。特别是，使用2GHz频带的3G(Third Generation第三代)服务与2G(Second Generation第二代)相比，电磁波传播特性不够好，成为盲区的室内区域会增多。
在这种状况下，为了使3G服务的室内区域达到与2G服务同等程度，需要导入许多室内系统，但如此需相应地配置许多移动通信操作器，这在成本方面难以实现。因此，需要成本更低的室内系统。
在进行了UMTS(Universal Mobile Telecommunications System通用移动通信系统)标准化的3GPP(Third Generation Partnership Project第三代合作伙伴计划)中，定义了提供IP传输选项的版本5，该IP传输选项可用IP网络将无线基站控制站(RNC)和无线基站连接起来。因此，作为利用IP传输选项的室内系统的一个途径，可以考虑室外线路利用公共互联网或封闭IP网络，室内线路利用LAN等专用网(例如，由企业等自己私自构建的网络等)的方式。由此，能够大幅度地削减线路铺设成本，从而能够大幅度地降低室内系统的导入成本。
在这种利用专用网(网络)的移动通信系统中，要求具有下述新的功能。
(1)专用网中的移动通信业务(traffic)的频带控制(2)穿越专用网内的防火墙/NAPT(Network Address Port Translation网络地址端口转换)的无线基站控制站-无线基站间通信的实现(3)移动通信业务的安全保证(4)由移动通信操作器给移动通信节点单独分配的IP地址体系的维持关于上述(1)的功能，通常有作为专用网上的频带控制方法的由策略服务器进行的集中式频带控制方式。所述方式事先对路由器或以太网(注册商标)交换机等LAN设备分发识别分组所需的包含业务信息和频带控制规则的频带控制信息，由位于专用网边缘的LAN设备基于业务信息并使用从末端主机或者互联网上接收的分组的IP报头和L4报头来进行分组识别，并将与上述的频带控制信息对应的标志附加到分组上，然后将该分组转发给下一跳(hop)的LAN设备。不在边缘的LAN设备基于由边缘的LAN设备附加的标志和从策略服务器分发的频带控制信息，以分组为单位进行频带控制。
上述(2)～(4)的功能例如可通过利用基于Ipsec基础的VPN(Virtual Private Network虚拟专用网络)技术来实现。具体地可以这样实现，即将VPN网关设在专用网的管辖区域外，无线基站控制站和无线基站总是通过VPN网关来进行通信，并在无线基站控制站和VPN网关之间、无线基站控制站和无线基站之间应用根据IPsec的加密通信技术。
作为现有的移动通信系统的例子，例如在专利文件1中公开了用于在维持安全性的情况下在无线终端装置和有线终端装置之间进行通信的技术。
例如在专利文献2中公开了与以往的移动数据通信中的虚拟专用网的构成方法相关的技术。
专利文献1日本专利文献特开2001-333110号公报；专利文献2日本专利文献特开平10-032610号公报。

发明内容
在上述的频带控制方式中，当移动通信业务占用了专用网的频带的一大半时，专用网的线路拥堵，从而可能会造成无线基站控制站-无线基站间的移动通信业务的通信质量恶化，或者妨碍到专用网内的其它业务。
此外，在上述VPN方式中，当存在多个无线基站控制站及无线基站时，需要将无线基站控制站和无线基站间的路径控制信息预先设置在VPN网关上，并需要将预共享密钥预先设置在VPN网关上，该预共享密钥是不利用第三方认证而在无线基站控制站-VPN网关之间以及在VPN网关-无线基站之间建立IPsec SA(security Association安全关联)所必需的，从而，当设置的无线基站的数量很多时，导入室内系统时的作业就会变得复杂。
本发明的目的是提供一种移动通信系统，该系统在提供利用专用网的移动通信服务时，能防止由于移动通信业务的增大而导致专用网内线路的拥堵，并且也不妨碍其它的业务。
本发明的另一目的是提供一种既便在设置的无线基站的数量很多的情况下也能够简化导入室内系统时的作业的移动通信系统。
根据本发明的第一移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，由设置于所述专用网中的中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，当所述移动终端主叫或被叫时，由所述中继节点进行与所述专用网内的频带管理功能联接的受理判定处理，并在许可了受理时为所述移动终端提供通信线路。
根据本发明的第二移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，由设置于所述专用网中的中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继；在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信；通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成在所述第二加密密钥的生成中必需的预共享密钥，由所述无线基站控制站向所述中继节点通知所述预共享密钥。
根据本发明的第三移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，通过所述专用网而与所述无线基站连接的中继节点和所述无线基站之间的所述移动通信业务在所述专用网内传输，由所述中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继；在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信；通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成所述第二加密密钥，由所述无线基站控制站向所述中继节点通知所述第二加密密钥。
本发明的中继节点、无线基站控制站是用在移动通信系统中的。并且，本发明的程序实现的是本发明的中继节点、无线基站控制站的功能。而且，本发明的移动通信方法是用于移动通信系统中的。
发明效果本发明的第一效果是，当将专用网用作无线基站和无线基站控制站之间的线路来提供移动通信服务时，可防止由于移动通信业务而导致专用网内线路的拥堵，且不妨碍其它的业务。这是由于，中继节点接收在上述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务，并且中继节点进行与所述专用网内的频带管理功能联接的受理判定处理，并在许可了受理时为所述移动终端提供通信线路。
本发明的第二效果是能够简化导入室内系统时的作业。这是由于，通过无线基站控制站和无线基站之间的密钥转换机制来生成在加密密钥的生成中必需的预共享密钥，并由无线基站控制站向中继节点通知预共享密钥，中继节点使用所通知的预共享密钥在与无线基站之间生成加密密钥，并进行加密通信。或者，通过无线基站控制站和无线基站之间的密钥转换机制来动态生成加密密钥，由无线基站控制站向中继节点通知加密密钥，中继节点使用所通知的加密密钥来进行加密通信。


图1是示出根据本发明第一实施例的网络的整体结构的框图；图2是示出根据本发明第一实施例的LAN结构的框图；图3是示出本发明第一实施例中的无线基站控制站结构的框图；图4是示出本发明第一实施例中的无线基站结构的框图；图5是示出本发明第一实施例中的VPN网关的结构的框图；图6是示出本发明第一实施例中的策略服务器的结构的框图；图7是示出本发明第一实施例中的传送表的结构示例的框图；图8是示出本发明第一实施例中的分组格式的结构的框图；图9是用于说明本发明第一实施例中VPN网关的整体处理的流程图；图10是用于说明本发明第一实施例中VPN网关的地址通知处理的流程图；图11是用于说明本发明第一实施例中VPN网关的SA信息添加/删除处理的流程图；图12是用于说明本发明第一实施例中VPN网关的IPsec分组处理的流程图；图13是用于说明本发明第一实施例中VPN网关的IKE分组处理的流程图；图14是用于说明本发明第一实施例中VPN网关的QoS信令处理的流程图；图15是本发明第一实施例中的无线基站控制站和无线基站间的通信开始顺序图；图16是本发明第一实施例中的接收呼叫时的频带控制操作的顺序图；图17是本发明第一实施例中的呼叫时的频带控制操作的顺序图；图18是示出本发明第二实施例中的无线基站控制站结构的框图；图19是示出本发明第二实施例中的无线基站结构的框图；图20是用于说明本发明第二实施例中VPN网关的整体处理的流程图；图21是本发明第二实施例中VPN网关的IPsec分组处理流程图；图22是用于说明本发明第二实施例中VPN网关的认证分组传送处理的流程图；图23是本发明第二实施例中的无线基站控制站和无线基站间的通信开始顺序图；图24是计算机的一个结构示例的框图。
标号说明10互联网20LAN30移动通信核心网60、61、62、63无线基站70无线基站控制站80移动终端90防火墙100VPN网关110PC120移动网络网关200策略服务器210路由器220～223Ethernet(注册商标)交换机300移动通信核心网侧IF310互联网侧IF320、400、520L2处理部
330、530移动无线通信协议处理部340、540信令处理部350、550用户数据处理部360、560移动无线通信控制部370、570L4处理部380、580IP处理部410、610、760IPsec处理部420、620、770ESP SA信息430、630IP传输处理部440、780频带控制处理部450、640认证处理部500LAN侧IF510无线侧IF600、710、740Ethernet处理部700专用IP IF720通道传送处理部730路径控制信息750全局IP IF800、801外部IP报头810、811ESP报头820、821内部IP报头830、831L4报头840、841有效负载850、851ESP尾部900传送表1000、1130、1230、1400无线基站的分组收发顺序1010、1110、1210、1410VPN网关的分组收发顺序1020、1100、1200、1420无线基站控制站的分组收发顺序1120、1220策略服务器的分组收发顺序
1140、1240移动终端的分组收发顺序1300LAN IF1310Ethernet处理部1320IP处理部1330L4处理部1340控制协议处理部1350频带控制处理部1360COPS处理部1370SNMP处理部具体实施方式
使用图1和图2所示的网络结构图来说明本发明第一实施方式中的移动通信系统。连接了个人计算机(PC)110等的作为专用网的LAN 20由以太网(注册商标)(Ethernet)构建而成，通过防火墙900、作为中继节点的VPN(Virtual Private Network)网关(Gate Way)100而与互联网10相连。另一方面，移动通信核心网30经由无线基站控制站(无线基站控制站称为Radio Network Controller)70和移动网络网关120而与互联网10相连。
无线基站60～63与作为专用网(专用网络，例如由企业等自己私自构建的网络等)的LAN 20相连，从而在无线基站控制站70和无线基站60～63之间进行通信时，将互联网10和LAN 20用作线路，通过VPN网关100而进行穿越防火墙900的通信。移动通信操作器以这样的方式向移动终端80提供互联网接入等数据通信服务。
而且，LAN 20内部运用专用地址，互联网10运用全局地址。在无线基站控制站70和无线基站60～63之间的通信中，为了确保安全而利用ESPsec ESP(Encapsulation Security Payload封装安全有效负载)通道模式，而对于外部IP报头，在互联网10中使用全局IP地址，在LAN 20中使用专用IP地址，在内部IP报头中使用由操作器给无线基站控制站70和无线基站60～63单独分配的IP地址(以下，称为操作器单独地址)。
LAN 20例如如图2所示那样构成。如图所示，LAN 20由路由器210和多个Ethernet(注册商标)交换机220～230构成，无线基站60和PC110分别与Ethernet交换机221、223连接(为了简化描述，下面将路由器210和Ethernet交换机220～230统称为LAN设备)。此外，在LAN20中进行频带控制，本实施方式示出了由实现频带管理功能的策略服务器200进行集中式频带控制的情况。此时，在策略服务器200中预先设定了描述了业务特性的业务信息和对业务进行频带控制所必需的频带控制信息，策略服务器200一旦检测到LAN设备的起动，就使用COPS(Common Open Policy Service公共开放策略服务)协议将业务信息和频带控制信息分发给LAN设备，各个LAN设备基于所通知的频带控制信息对所接收的分组进行频带控制。
各个LAN设备通过SNMP(Simple Network Management Protocol简单网络管理协议)将频带的控制状态报告给策略服务器200，策略服务器200集中管理LAN 20全体的频带控制状态。对在LAN 20中流动的移动通信业务也进行同样的频带控制。在移动通信业务中有信令数据和用户数据两种。对于信令数据业务，通过下述方法来进行频带控制。事先在策略服务器200中设定信令数据的业务信息和频带控制信息，由策略服务器200将这些信息分发给各个LAN设备，由此各个LAN设备对信令数据业务进行频带控制。另外，对于用户数据业务，通过下述方法来进行频带控制。
当移动终端80主叫或被叫时，VPN网关100接收由无线基站控制站70发送的QoS信令，并且，VPN网关100抽出QoS信令中包含的用户数据的业务信息，并将业务信息通知给策略服务器200。策略服务器200进行能否容许业务信息中记载的频带的受理判定。当策略服务器200许可了受理时，将许可了受理的频带控制信息和业务信息分发给移动通信业务路径上的LAN设备，或者所有的LAN设备，移动通信业务路径上的LAN设备基于所通知的信息对用户数据业务进行频带控制。
接着，参考图3～图6，对构成本发明第一实施方式中的移动通信系统的无线基站控制站70、无线基站60、61、62和63、VPN网关100以及策略服务器200的结构进行说明。
无线基站控制站70例如具有图3所示的结构。具体说明的话，无线基站控制站70具有移动通信核心网侧IF(接口)300和互联网侧IF(接口)310这两个接口，并包括L2处理部320和410、IP传输处理部430、移动无线通信协议处理部330、移动无线通信控制部360、频带控制处理部440。其中，在移动无线通信协议处理部330的内部具有信令处理部340和用户数据处理部350。在IP传输处理部440的内部具有IP处理部380、L4处理部370、IPsec处理部410。IPsec处理部410保持ESP(Encapsulation Security Payload，封装安全净荷)SA(Security Association，安全关联)信息420。这些各个处理部的基本处理将在下面进行说明。
在L2处理部320中对从移动通信核心网侧IF 300接收到的信令数据和用户数据进行链路处理之后，在L2处理部400、IP处理部380、L4处理部370中分别对从互联网侧IF 310接收到的信令数据和用户数据进行规定的处理之后，在移动无线通信协议处理部330中基于移动无线通信控制部360的控制进行规定的处理。
当由移动无线通信协议处理部330从互联网侧IF 310发送分组时，按以下的步骤进行处理。
首先在L4处理部370中，对信令数据进行SCTP(Stream ControlTransmission Protocol流控制传输协议)处理，对用户数据进行UDP(User Datagram Protocol用户数据报文协议)处理。接着，在IP处理部380中，附加将发送目的地的无线基站60的操作器单独IP地址作为目的地，并将无线基站控制站70自身的操作器单独IP地址作为发送源的内部IP报头。然后，使用将自身的全局IP地址作为发送源、并将VPN网关100的全局IP地址作为目的地的外部IP报头进行封装。此时，在发送源的无线基站60的SA信息被包含在ESP SA信息420中的情况下，在IPsec处理部410中对分组进行加密，附加ESP报头和ESP尾部。
另外，当进行加密时，复制分组内的L4报头并将其附加到ESP报头的前部。这是为了使LAN 20的LAN设备能够阅览识别分组时所必需的L4报头的缘故。
在L2处理部400中对上述分组进行了链路处理之后，从互联网侧IF310发送该分组。当接收了分组时进行与这些处理相反的处理。当接收分组中包含ESP报头和ESP尾部时，在IPsec处理部410中进行分组的解密。如果无法正确解密，就舍弃该分组。
由IP传输处理部430接收发送的分组的格式例如如图7的(b)所示那样构成。如图所示，分组由外部IP报头801、L4报头833、ESP报头811、内部IP报头821、L4报头831、有效负载841、ESP尾部851构成。
图1所示的无线基站60例如具有如图4所示的结构。这里，以无线基站60为例进行了说明，但无线基站61～63也具有相同的结构。
具体地说，无线基站60具有LAN侧IF 500和无线侧IF 510这两个接口，并包括L2处理部520、移动无线通信协议处理部530、移动无线通信控制部560、IP传输处理部630、Ethernet(注册商标)处理部600。其中，在移动无线通信协议处理部530的内部具有信令处理部540和用户数据处理部550。在IP传输处理部630的内部具有L4处理部570、IP处理部580、IPsec处理部610。
IPsec处理部610保存ESP SA信息620。这些各个处理部中的基本处理将在下面进行说明。
在L2处理部520中对从无线侧IF 510接收到的信令数据和用户数据进行链路处理之后，在Ethernet处理部600、IP处理部580、L4处理部570中分别对从LAN侧IF 500接收到的信令数据和用户数据进行规定的处理之后，在移动无线通信协议处理部530中基于移动无线通信控制部560的控制进行规定的处理。
当由移动无线通信协议处理部530从LAN侧IF 500发送分组时，按以下的步骤进行处理。
首先在L4处理部570中，对信令数据进行SCTP处理，对用户数据进行UDP处理。接着，在IP处理部580中，附加将发送目的地的无线基站控制站70的操作器单独IP地址作为目的地，并将无线基站60自身的操作器单独IP地址作为发送源的内部IP报头。另外还使用将自身的专用IP地址作为发送源、并将VPN网关100的专用IP地址作为目的地的外部IP报头进行封装。
此时，在发送源的无线基站60的SA信息被包含在ESP SA信息620中的情况下，在IPsec处理部610中对分组进行加密，附加ESP报头和ESP尾部。此外，当进行加密时，复制L4报头并将其附加到ESP报头的前部。
在Ethernet(注册商标)处理部600中对上述分组进行了链路处理之后，从LAN侧IF 500发送该分组。当接收到分组时进行与这些处理相反的处理。如果所接收到的分组中包含ESP报头和ESP尾部，则在IPsec处理部610中进行分组的解密。如果无法正确解密，就舍弃该分组。
由IP传输处理部630收发的分组的格式例如如图7的(a)所示那样构成。如图所示，分组由外部IP报头800、L4报头832、ESP报头810、内部IP报头820、L4报头830、有效负载840、ESP尾部850构成。
图1所示的VPN网关100例如具有如图5所示的结构。
具体地说，VPN网关100由全局IP IF 750、专用IP IF 700、Ethernet处理部710和740、通道传送处理部720、IPsec处理部760、频带控制处理部780构成。其中，通道传送处理部720保存路径控制信息730，IPsec处理部760保存ESP SA信息770。
参考图8～图14，对构成本发明第一实施方式中的移动通信系统的VPN网关100的操作内容进行详细的说明。例如，路径控制信息730由如图8所示的传送表900构成。这里示出了在传送表900中注册了与一个无线基站控制站有关的全局地址和操作器单独地址、与四个无线基站有关的专用地址和操作器单独地址的例子。
图9示出了VPN网关100整体的处理流程。
VPN网关100对所接收到的分组的外部IP报头内的发送源IP地址是全局地址还是专用地址进行判定(步骤A-1)。当是专用地址时，进行接收分组的类型识别(步骤A-2)。
当接收分组是频带控制应答时，进行QoS信令处理(步骤A-6)，当是地址通知时，进行地址通知分组处理(步骤A-5)。关于这些处理的详情将在后面进行说明。
当所接收的分组是IKE分组时，用发送源IP地址检索传送表900的专用地址(步骤A-4)。在除此以外的情况下进行后述的IPsec分组处理(步骤A-3)。
在步骤A-4中判别是否存在相应的条目(步骤A-7)，如果存在，则进行后述的IKE分组传送处理(步骤A-8)，如果不存在相应的条目，则舍弃接收分组(步骤A-9)。
另一方面，在步骤A-1中在外部IP报头内的发送源IP地址为全局地址的情况下进行接收分组的类型识别(步骤B-1)。当接收分组为IKE分组时，用发送源IP地址检索传送表900的全局地址(步骤B-3)，并判定是否存在相应的条目(步骤B-4)。
当接收分组是IKE分组以外的分组时，进行后述的IPsec分组处理(步骤B-2)。
当在步骤B-4中存在相应的条目时，进行后述的IKE分组传送处理(步骤B-5)，当不存在相应的条目时，舍弃接收分组(步骤B-6)。
图10示出了图9的步骤A-5中的地址通知分组处理的流程。在该情况下，用发送源IP地址检索发送表900的专用地址(步骤C-1)，并判别是否存在相应的条目(步骤C-2)。
当不存在相应的条目时，在发送表900中添加新的条目(步骤C-3)，并发送表示正常完成处理的地址通知应答(步骤C-4)。当存在相应的条目时，回复包含错误的地址通知应答(步骤C-5)。
图11示出了通过VPN网关100进行的SA信息的添加/删除处理的流程。此时，首先进行请求是添加还是删除的判定(步骤D-1)。
当是添加请求时，检查是否存在与消息内包含的IP地址、IPsec协议类型以及SPI(Security Parameter Index安全参数索引)均相同的条目(步骤D-2)。当不存在相应的条目时，重新添加SA信息的条目(步骤D-3)，回复SA信息添加应答(步骤D-4)。当在步骤D-2中存在相应的条目时，回复SA信息添加应答(错误)(步骤D-5)。
当是删除请求时，与添加处理同样地检查是否存在与消息内的信息相同的条目(步骤D-6)。当存在相应的条目时，删除SA信息的条目(步骤D-7)，回复SA信息删除应答(步骤D-8)。当在步骤D-6中不存在相应的条目时，回复SA信息删除应答(错误)(步骤D-9)。
图12示出了在图9的步骤A-3、B-2中通过VPN网关100进行的IPsec分组处理的流程。
此时，首先进行接收分组的IF的判定(步骤E-1)。
当用专用IP IF接收了分组时，用ESP报头内的SPI检索SA信息，判定是否存在匹配的条目(步骤E-2、E-3)。
当不存在相应的条目时，舍弃分组(步骤E-4)。当存在相应的条目时，使用与相应的SA信息对应的加密密钥进行分组的解密(步骤E-5)，用内部IP报头和L4报头的信息来检索SA信息所对应的条目，从而判定是否存在匹配的条目(步骤E-6、E-7)。当不存在相应的条目时，舍弃分组(步骤E-8)。
当存在相应的条目时，使用与相应的SA信息对应的加密密钥进行分组的加密(步骤E-9)，置换为将SA信息的通道终端目的地IP地址作为目的地的IP报头，进行封装传送(步骤E-10)。
另一方面，当用全局IP IF接收了分组时，用ESP报头内的SPI检索SA信息，判定是否存在匹配的条目(步骤E-11、E-12)。
当不存在相应的条目时，舍弃分组(步骤E-13)。当存在相应的条目时，使用与相应的SA信息对应的加密密钥进行分组的解密(步骤E-14)，检查分组类型(步骤E-15)。
在QoS信令的情况下，进行后述的QoS信令处理(步骤E-16)，在SA信息添加/删除请求的情况下，进行图11所示的SA信息添加/删除处理(步骤E-17)。
当在步骤E-15中分组类型为上述以外的类型时，用内部IP报头和L4报头的信息来检索SA信息所对应的条目，判定是否存在匹配的条目(步骤E-18、步骤E-19)。
当不存在相应的条目时，舍弃分组(步骤E-20)。当存在相应的条目时，使用与相应的SA信息对应的加密密钥进行分组的加密(步骤E-21)，置换为将SA信息的通道终端目的地IP地址作为目的地的外部IP报头，进行封装传送(步骤E-22)。
图13示出了在图9的步骤A-8、B-5中通过VPN网关100进行的IKE分组传送处理的流程。
此时，首先进行接收分组的接口(IF)的判定(步骤F-1)。
当接收IF为专用IP IF时，用发送源IP地址检索传送表900的专用地址，判定是否存在匹配的条目(步骤F-2、F-3)。
当不存在相应的条目时，舍弃分组(步骤F-4)。
当存在相应的条目时，删除外部IP报头(步骤F-5)，添加将记载于相应的条目中的全局地址作为目的地的IP报头，进行封装传送(步骤F-6)。
另一方面，当在步骤F-1中接收IF为全局IP IF时，用发送源IP地址检索传送表900的全局地址，判定是否存在匹配的条目(步骤F-7、F-8)。
当不存在相应的条目时，舍弃分组(步骤F-9)。当存在相应的条目时，用内部IP报头内的目的地IP地址来检索传送表900的无线基站的操作器单独地址，判定是否存在匹配的条目(步骤F-10、F-11)。
当不存在相应的条目时，舍弃分组(步骤F-12)。当存在相应的条目时，删除外部IP报头(步骤F-13)，添加将记载于相应的条目中的专用地址作为目的地的IP报头，进行封装传送(步骤F-14)。
图14示出了在图9的步骤A-6中通过VPN网关100进行的QoS信令处理的操作流程。
此时，首先同样进行接收分组的IF的判定(步骤G-1)。
当接收IF为专用IP IF时，检查所接收的频带控制应答(COPSDecision)消息内部的受理判定结果(步骤G-2)。
当判定结果为“NG”时，生成包含判定结果和业务信息的QoS信令，并发送给无线基站控制站70(步骤G-3)。
当判定结果为“OK”时，抽出在频带控制应答消息中通知的业务信息和频带控制信息(步骤G-4)，将抽出的各种信息包含在QoS信令中发送给无线基站控制站70(步骤G-5)。
另一方面，当步骤G-1中接收IF为全局IP IF时，抽出QoS信令内的业务信息(步骤G-6)，生成包含所抽出的业务信息的频带控制请求(COPS Request)，并发送给策略服务器200(步骤G-7)。
策略服务器200例如具有如图6所示的结构。具体说明的话，策略服务器200包括LAN IF 1300、Ethernet(注册商标)处理部13 10、IP处理部1320、L4处理部1330、控制协议处理部1340、频带控制处理部1350。控制协议处理部1340具有COPS处理部1360和SNMP处理部1370。下面描述这些各个处理部的基本的处理内容。
SNMP处理部1370接收经由LAN IF 1300、Ethernet(注册商标)处理部1310、IP处理部1320、L4处理部1330而接收到的、来自LAN 20的LAN设备的SNMP消息，抽出消息内的频带控制状态信息，并通知给频带控制处理部1350。
频带控制处理部1350收集并管理这些信息，并且集中管理LAN 20内的频带控制状态。
COPS处理部1360接受来自频带控制处理部1350的指示，并根据该指示，以COP Decision消息向LAN设备通知频带控制信息和业务信息。
从VPN网关100发送来的频带控制请求消息经由LAN IF 1300、Ethernet(注册商标)处理部1310、IP处理部1320、L4处理部1330而被送到COPS处理部1360中，由COPS处理部1360抽出频带控制请求消息内的业务信息和频带控制信息，并通知给频带控制处理1350。
接收了上述业务信息和频带控制信息的频带控制处理1350基于所收集的频带控制信息来进行受理判定，并向COPS处理部1360通知所许可的频带控制信息和判定结果。当判定结果为“OK”时，COPS处理部1360生成包含判定结果和所许可的频带控制信息的频带控制应答消息，并发送给VPN网关100。并且，向LAN 20的移动通信业务路径上的LAN设备或者所有的LAN设备发布业务信息和频带控制信息。
参考图15来详细说明用于在本发明第一实施方式的移动通信系统中的无线基站控制站70和无线基站60之间建立通信路径的操作顺序。在图15中，示出了无线基站60的收发分组顺序1000、VPN网关100的收发分组顺序1010、以及无线基站控制站70的收发分组顺序1020。
在本实施方式中，在VPN网关100和无线基站控制站70之间预先建立了SA(可用第一加密密钥进行加密通信)，并在无线基站控制站70和无线基站60之间预先设定了在无线基站60和VPN网关100之间建立SA时(可用第二加密密钥进行加密通信时)所需的预共享密钥。
下面，说明更为详细的操作顺序。无线基站60在起动之后，通过DHCP(Dynamic Host Configuration Protocol动态主机配置协议)来获取自身的专用IP地址，然后利用DNS(Domain Name Server域名服务器)获取VPN网关100的专用IP地址。
此后，以地址通知消息向VPN网关100通知无线基站控制站70的全局地址和操作器单独地址、以及无线基站60的专用地址和操作器单独地址。
VPN网关100接收这些地址来设定通知给传送表900的地址群组，并设置用于删除所设定条目的定时器，并且回复地址通知应答消息(步骤(1))。
接收了回复消息的无线基站60在与VPN网关100之间建立ISAKMP(Internet Security Association and Key Management Protocol因特网安全联盟和密钥管理协议)SA和上行及下行的两个IPsec SA(步骤(2)～(4))。此时，VPN网关100仅对从无线基站60接收到的IKE分组进行地址转换，然后传送给无线基站控制站70。
相反地，对从无线基站控制站70接收到的IKE分组也仅进行地址转换，然后传送给无线基站60。
这样，在无线基站控制站70和无线基站60之间建立了SA之后，无线基站控制站70利用SA信息添加消息向VPN网关100通知所有的SA信息。
VPN网关100将所接收到的SA信息添加到数据库中，解除在步骤(1)中设置的定时器，并通过SA信息添加应答消息来发送完成了设定的通知(步骤(5))。
由此，可在VPN网关100和无线基站60之间进行基于IPsec的加密通信(基于第二加密密钥的加密通信)，通过VPN网关100，无线基站60和无线基站控制站70可开始进行基于IPsec SA的加密通信(步骤(6))。
如果VPN网关100没有接收SA信息添加消息，而定时器已超时的时候，迅速删除所添加的传送表900的条目。
参考图16和图17来详细说明对于本发明第一实施方式的移动通信系统中的无线基站控制站70和无线基站60之间的用户业务的频带控制操作顺序。
图16示出了终端被叫时的操作顺序。在图16中，示出了无线基站控制站70的分组收发顺序1100、VPN网关100的分组收发顺序1110、策略服务器200的分组收发顺序1120、无线基站60的分组收发顺序1130、以及无线终端80的分组收发顺序1140。
无线基站控制站70一旦接收到来自移动通信核心网30的寻呼请求消息(步骤(1))，就进行移动终端80的寻呼(步骤(2))，对此，移动终端80向无线基站控制站70发送RRC连接请求(步骤(3))，接收了该请求的无线基站控制站70向无线基站60发送无线链路设定请求(步骤(4))。
在完成无线链路的设定之后，无线基站60向无线基站控制站70回复无线链路设定应答(步骤(5))，无线基站控制站70向移动终端80发送RRC连接设定(步骤(6))。
接收了该RRC连接设定的移动终端80在设定各种参数之后，通知无线基站控制站70RRC连接设定完成(步骤(7))。然后，移动终端80通过小区更新消息来进行位置注册(步骤(8))。
接收了上述消息的无线基站控制站70用小区更新确认消息进行回复(步骤(9))，并且向移动通信核心网30返回寻呼应答(步骤(10))。然后，无线基站控制站70接收从移动通信核心网30发送来的无线接入承载分配请求消息(步骤(11))，基于无线承载分配请求消息中包含的QoS信息，进行无线链路的设定。
具体地说，无线基站控制站70向无线基站60发送无线链路设定请求(步骤(12))，无线基站60在完成无线链路的设定之后回复无线链路设定应答(步骤(13))。
接收了该应答的无线基站控制站70生成包含被请求的QoS信息的QoS信令，并发送给无线基站60(步骤(14))。
VPN网关拦截该QoS信令，向策略服务器200发送包含从QoS信令中抽出的业务信息的频带控制请求消息(步骤(15))。这里所指的QoS信令例如是IP-ALCAP(Access Link Control Application Part接入链路控制应用部分)信令。
策略服务器200基于所收集的频带控制状态信息和在频带控制请求消息中通知的业务信息来进行受理判定，并将受理判定结果和所许可的频带控制信息包含到频带控制应答消息中来发送给VPN网关100，以进行通知(步骤(16))。
VPN网关100将频带控制应答消息中包含的受理判定结果和频带控制信息包含到QoS信令中来发送给无线基站控制站70(步骤(17))。在本实施方式中示出了策略服务器200判定为许可受理的例子。
当许可了受理时，策略服务器200还向LAN 20的LAN设备进行业务信息和频带控制信息的分发(图中没有示出)。在完成LAN内的频带确保后，无线基站控制站70向移动终端80发送无线承载设定(步骤(18))。
接收了该设定的移动终端80进行无线承载的设定，并在完成后回复无线承载设定完成(步骤(19))。此后，移动终端80经由无线基站控制站70和移动通信核心网30而进行数据通信。位于LAN 20的移动通信业务路径上的LAN设备基于通知的业务信息和频带控制信息，进行用户数据业务的频带控制。
图17示出了移动终端80主叫时的操作顺序。在图17中，示出了无线基站控制站70的分组收发顺序1200、VPN网关100的分组收发顺序1210、策略服务器200的分组收发顺序1220、无线基站60的分组收发顺序1230、以及无线终端80的分组收发顺序1240。
移动终端80以数据的发送请求为触发而向无线基站控制站70发送RRC连接请求(步骤(1))。接收了该请求的无线基站控制站70向无线基站60发送无线链路设定请求(步骤(2))。无线基站60使得无线链路的设定有效，并向无线基站控制站70返回无线链路设定应答(步骤(3))。
接收了来自无线基站60的无线链路设定应答的无线基站控制站70向移动终端80发送RRC连接设定(步骤(4))，移动终端80在完成无线链路的设定之后，通知无线基站控制站70RRC连接设定完成(步骤(5))。并且，移动终端80向移动通信核心网30发送包含要利用的服务的QoS信息的激活PDP上下文请求消息(步骤(6))。
接收了该请求后，移动通信核心网30向无线基站控制站70发送无线接入承载分配请求(步骤(7))。无线基站控制站70基于包含于无线接入承载分配请求中的QoS信息，进行无线链路的设定。具体地说，线基站控制站70向无线基站60发送无线链路设定请求(步骤(8))，无线基站60在完成无线链路的设定之后，返回无线链路设定应答(步骤(9))。
接收该应答的线基站控制站70生成包含QoS信息的QoS信令，并发送给无线基站60(步骤(10))。VPN网关100拦截该QoS信令，向策略服务器200发送包含从QoS信令中抽出的业务信息的频带控制请求消息(步骤(11))。
策略服务器200基于所收集的频带控制状态信息和在频带控制请求消息中通知的QoS信息来进行受理判定，并将受理判定结果和所许可的频带控制信息包含到频带控制应答消息中来发送给VPN网关100，以进行通知(步骤(12))。
VPN网关100将频带控制应答消息中包含的受理判定结果和频带控制信息包含到QoS信令中来发送给无线基站控制站70(步骤(13))。在本实施方式中也示出了策略服务器200判定为许可受理的例子。
当许可了受理时，策略服务器200向LAN 20的LAN设备分发业务信息和频带控制信息(图中没有示出)。然后，无线基站控制站70向移动终端80发送无线承载设定(步骤(14))。
移动终端80进行无线链路的设定，并在完成后通知无线基站控制站70无线承载设定完成(步骤(15))。接收了该通知的无线基站控制站70向移动通信核心网30返回无线接入承载分配应答(步骤(16))。
移动终端80在移动通信核心网30接收了激活PDP上下文受理(步骤(17))之后，经由无线基站控制站70和移动通信核心网30而进行数据通信。位于LAN 20的移动通信业务路径上的LAN设备基于通知的业务信息和频带控制信息，进行用户数据业务的频带控制。
使用图1和图2所示的网络结构图来说明本发明第二实施方式中的移动通信系统。在该第二实施方式中，无线基站控制站70例如具有如图18所示的结构。
与第一实施方式的无线基站控制站70的结构相比，在该第二实施方式中，IP传输处理部430除了IP处理部380、L4处理部370、IPsec处理部410之外，还具有认证处理部450。
认证处理部450在与无线基站60～63之间进行认证，并在认证成功时，还使用密钥转换机制进行预共享密钥的生成。无线基站控制站70在建立SA之后，向VPN网关100通知预共享密钥。VPN网关100使用该预共享密钥在与无线基站60～63之间建立IPsec SA。
无线基站60例如具有如图19所示的结构。在此处的实施方式中对无线基站60进行了说明，但无线基站61～63也具有相同的结构。与第一实施方式中的无线基站60的结构相比，在本实施方式中，IP传输处理部630除了IP处理部580、L4处理部570、IPsec处理部610之外，还具有认证处理部640。认证处理部640为了在与无线基站控制站70之间进行认证，具有与上述的认证处理部450相同的功能。
使用图20～图22来说明VPN网关100的操作流程。
图20示出了整体的处理流程。首先，通过接收分组而开始进行处理，判定所接收的分组的类型(步骤H-1)。当所接收的分组为IPsec分组时，进行后述的IPsec分组处理(步骤H-2)。当为IKE分组时，进行在RFC(Request For Comments请求注解)2409中规定的IKE分组处理(步骤H-3)。当为认证分组时，进行后述的认证分组传送处理(步骤H-4)。当为频带控制应答消息时，进行QoS信令处理(步骤H-5)。这里所指的QoS信令处理与第一实施方式中的QoS信令处理一样。当所接收的分组为上述以外的类型时，舍弃分组(步骤H-6)。
图21示出了上述步骤H-2中的VPN网关100的IPsec分组处理的流程。在第一实施方式所示出的图12的IPsec分组处理中，当从全局IF接收分组，并用ESP报头内的SPI检索SA信息时存在相应的条目，并且分组类型为SA信息添加/删除请求的时候，在步骤E-17中进行SA信息添加/删除处理，但在本实施方式中，当分组类型不是SA信息添加/删除请求而是认证分组时，代替SA信息添加/删除处理而进行认证分组传送处理(步骤I-17)，在这一点上与第一实施方式不同。
其它的步骤由于与图12相同，因此标注相同的步骤编号并省略说明。
图22示出了在图21的步骤I-17中进行认证分组传送处理的流程。此时，首先进行接收分组的IF的判定(步骤J-1)。
当接收IF为专用IP IF时，用内部IP报头的SPI检索SA信息，判定是否存在匹配的条目(步骤J-2、J-3)。
当不存在相应的条目时，舍弃分组(步骤J-4)。
当存在相应的条目时，基于相应的SA信息来进行解密(步骤J-5)，并用SA信息的通道终端目的地的IP地址进行封装后传送(步骤J-6)。
另一方面，当在步骤J-1中接收IF为全局IP IF时，进行是否为预共享密钥通知消息的判定(步骤J-7)。
当为预共享密钥通知消息时，抽出消息内的预共享密钥，并将其通知给IPsec处理部760(步骤J-8)。
在除此之外的情况下，用内部IP报头的目的地IP地址检索传送表900，判定是否存在匹配的条目(步骤J-9、J-10)。
当不存在相应的条目时，舍弃分组(步骤J-11)。当存在相应的条目时，基于相应条目的专用地址进行封装后传送(步骤J-12)。
此外，参考图23来详细说明用于在本发明第二实施方式的移动通信系统中的无线基站控制站70和无线基站60之间建立通信路径的操作顺序。
在第二实施方式中，已预先设定了在无线基站60和无线基站控制站70之间的相互认证中使用的认证密钥，并且事先建立了无线基站控制站70和VPN网关100之间的SA(可用第一加密密钥进行加密通信)。另外，VPN网关100所具有的传送表900也已预先设定。在图23中，示出了无线基站60的分组收发顺序1400、VPN网关100的分组收发顺序1410、以及无线基站控制站70的分组收发顺序1420。
无线基站60在起动之后，使用事先设定的认证密钥，与无线基站控制站70进行相互认证(步骤(1))。这里的认证方式例如可以采用利用认证密钥的质询/回应式的密码方式。
当成功地进行了相互认证时，在无线基站60和无线基站控制站70中通过密钥转换机制从认证密钥进行预共享密钥的生成(步骤(2))。这里的密钥转换机制例如可以利用Diffie-Hellman(迪菲-赫尔曼)密钥转换方式。
在完成密钥的生成后，无线基站控制站70将预共享密钥通知给VPN网关100(步骤(3))。
无线基站60使用通过上述密钥转换机制而生成的预共享密钥来进行ISAKMP SA的建立(步骤(4))。
在建立ISAKMP SA之后，接下来还进行IPsec SA(上行)和IPsecSA(下行)的建立(步骤(5))。
在建立上行/下行的两个IPsec SA之后，无线基站60和无线基站控制站70就可通过VPN网关100来进行根据IPsec ESP的加密通信(步骤(7))。
在上述的构成中，VPN网关100、无线基站控制站70的功能显然是可以以硬件的方式实现的，另外，也可以通过在构成VPN网关100、无线基站控制站70的计算机上分别执行以软件的方式实现上述VPN网关100的功能的程序(中继节点用的程序)、以软件的方式实现上述无线基站控制站70的功能的控制程序(无线基站控制站用的程序)来实现。这些程序被存储在磁盘、半导体存储器以及其它的记录介质中，并从该记录介质被安装到作为VPN网关100、无线基站控制站70的计算机中，然后通过控制计算机的操作来实现上述的各个功能。图24是示出计算机的一个结构示例的框图。VPN网关100、无线基站控制站70作为计算机上的程序而被安装，如图24所示，在硬盘等磁盘装置2004中存储该程序，在DRAM等存储器2003中存储无线基站控制站和无线基站之间的移动通信控制信令中包含的业务信息、所建立的SA信息、建立SA所需的预共享密钥等信息，并通过由CPU 3206执行程序来实现VPN网关100、无线基站控制站70的功能。键盘3001是输入装置。由CRT或LCD构成的显示器(在图中示出的是LCD)2002用于显示信息处理状况等。标号3005表示数据总线等总线。
以上例举出优选实施方式来对本发明进行了说明，但本发明并不局限于上述实施方式，可在其技术思想的范围内进行各种变形后实施。
工业实用性本发明用于能够利用专用网来对室内区域内的用户提供移动通信服务的移动通信系统。
权利要求
1.一种移动通信系统，包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，由设置于所述专用网中的中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，当所述移动终端主叫或被叫时，由所述中继节点进行与所述专用网内的频带管理功能联接的受理判定处理，并在许可了受理时为所述移动终端提供通信线路。
2.如权利要求1所述的移动通信系统，其特征在于，当所述移动终端主叫或被叫时，通过所述中继节点接收由所述无线基站控制站发送给所述无线基站的频带控制信令，来启动所述接收判定处理。
3.如权利要求1所述的移动通信系统，其特征在于，所述中继节点是VPN网关。
4.一种移动通信系统，包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，由设置于所述专用网中的中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信，通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成在所述第二加密密钥的生成中必需的预共享密钥，由所述无线基站控制站向所述中继节点通知所述预共享密钥。
5.一种移动通信系统，包括无线基站控制站和与所述无线基站控制站连接的无线基站，为可与所述无线基站连接的移动终端提供移动通信服务，其特征在于，将所述无线基站配置在专用网内，经由所述专用网而与所述无线基站连接的中继节点和所述无线基站之间的所述移动通信业务在所述专用网内传输，由所述中继节点进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信，通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成所述第二加密密钥，由所述无线基站控制站向所述中继节点通知所述第二加密密钥。
6.如权利要求4所述的移动通信系统，其特征在于，所述无线基站控制站包括在与所述无线基站之间使用密钥转换机制来动态生成所述预共享密钥的装置；和将所述预共享密钥通知给所述中继节点的装置。
7.如权利要求5所述的移动通信系统，其特征在于，所述无线基站控制站包括在与所述无线基站之间使用密钥转换机制来动态生成所述第二加密密钥的装置；和将所述第二加密密钥通知给所述中继节点的装置。
8.一种中继节点，进行无线基站和无线基站控制站之间的移动通信业务的中继，其特征在于，该中继节点被设置在设有所述无线基站的专用网中，进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，并且包括接收由所述无线基站控制站发送给所述无线基站的频带控制信令的装置；抽出所述频带控制信令中所包含的业务信息的装置；与专用网内的频带管理机构联合进行受理判定的装置；以及发送包含所述受理判定结果和所述被许可受理的频带控制信息的频带控制信令的装置。
9.一种中继节点，进行无线基站和无线基站控制站之间的移动通信业务的中继，其特征在于，该中继节点被设置在设有所述无线基站的专用网中，进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，该中继节点与无线基站以及无线基站控制站连接，在与所述无线基站控制站之间使用第一加密密钥来进行加密通信，在与所述无线基站之间使用第二加密密钥来进行加密通信，该中继节点包括从所述无线基站控制站接收用于生成所述第二加密密钥的预共享密钥的装置；使用所述预共享密钥在与所述无线基站之间动态生成所述第二加密密钥的装置；以及使用所述第二加密密钥来进行所述移动通信业务的加密的装置。
10.一种中继节点，进行无线基站和无线基站控制站之间的移动通信业务的中继，其特征在于，该中继节点被设置在设有所述无线基站的专用网中，进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，该中继节点与所述无线基站以及所述无线基站控制站连接，在与所述无线基站控制站之间使用第一加密密钥来进行加密通信，在与所述无线基站之间使用第二加密密钥来进行加密通信，该中继节点包括从所述无线基站控制站接收所述第二加密密钥的装置；和使用所述第二加密密钥来进行所述移动通信业务的加密的装置。
11.一种无线基站控制站，经由使用不同的加密密钥与多个无线基站进行加密通信的中继节点，而与所述无线基站连接，其特征在于，包括在与所述无线基站之间使用密钥转换机制来动态生成在所述加密密钥的生成中所必需的预共享密钥的装置；和将所述预共享密钥通知给所述中继节点的装置。
12.一种无线基站控制站，经由使用不同的加密密钥与多个无线基站进行加密通信的中继节点，而与所述无线基站连接，其特征在于，包括在与所述无线基站之间使用密钥转换机制来动态生成所述加密密钥的装置；和将所述加密密钥通知给所述中继节点的装置。
13.一种中继节点用的程序，用于使作为进行无线基站和无线基站控制站之间的移动通信业务的中继的中继节点而发挥功能的计算机执行下述的功能设置于配有无线基站的专用网中，进行在所述专用网上传输的无线基站控制站和所述无线基站之间的移动通信业务的中继的功能；接收从所述无线基站控制站发送给所述无线基站的频带控制信令的功能；抽出所述频带控制信令中所包含的业务信息的功能；与专用网内的频带管理机构联合进行受理判定的功能；以及发送包含所述受理判定结果和所述被许可受理的频带控制信息的频带控制信令的功能。
14.一种中继节点用的程序，用于使作为进行无线基站和无线基站控制站之间的移动通信业务的中继的中继节点而发挥功能的计算机执行下述的功能设置于配有无线基站的专用网中，进行在所述专用网上传输的无线基站控制站和所述无线基站之间的移动通信业务的中继，并在与所述无线基站控制站之间使用第一加密密钥来进行加密通信，在与所述无线基站之间使用第二加密密钥来进行加密通信的功能；从所述无线基站控制站接收用于生成所述第二加密密钥的预共享密钥的功能；使用所述预共享密钥在与所述无线基站之间动态生成所述第二加密密钥的功能；以及使用所述第二加密密钥来进行所述移动通信业务的加密的功能。
15.一种中继节点用的程序，用于使作为进行无线基站和无线基站控制站之间的移动通信业务的中继的中继节点而发挥功能的计算机执行下述的功能设置于设有无线基站的专用网中，进行在所述专用网上传输的无线基站控制站和所述无线基站之间的移动通信业务的中继，并在与所述无线基站控制站之间使用第一加密密钥来进行加密通信，在与所述无线基站之间使用第二加密密钥来进行加密通信的功能；从所述无线基站控制站接收所述第二加密密钥的功能；以及使用所述第二加密密钥来进行所述移动通信业务的加密的功能。
16.一种无线基站控制站用的程序，用于使作为无线基站控制站而发挥功能的计算机执行下述功能，其中所述无线基站控制站经由使用不同的加密密钥与多个无线基站进行加密通信的中继节点而与所述多个无线基站连接，所述程序使所述计算机执行的功能包括在与所述无线基站之间使用密钥转换机制来动态生成在所述加密密钥的生成中所必需的预共享密钥的功能；和将所述预共享密钥通知给所述中继节点的功能。
17.一种无线基站控制站用的程序，用于使作为无线基站控制站而发挥功能的计算机执行下述功能，其中所述无线基站控制站经由使用不同的加密密钥与多个无线基站进行加密通信的中继节点而与所述多个无线基站连接，所述程序使所述计算机执行的功能包括在与所述无线基站之间使用密钥转换机制来动态生成所述加密密钥的功能；和将所述加密密钥通知给所述中继节点的功能。
18.一种移动通信系统的移动通信方法，其中所述移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，并为可与所述无线基站连接的移动终端提供移动通信服务，所述移动通信方法的特征在于，所述移动通信系统将所述无线基站配置在专用网内，并将中继节点设置在所述专用网上，通过所述中继节点来进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，当所述移动终端主叫或被叫时，由所述中继节点进行与所述专用网内的频带管理功能联接的受理判定处理，并在许可了受理时为所述移动终端提供通信线路。
19.一种移动通信系统的移动通信方法，其中所述移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，并为可与所述无线基站连接的移动终端提供移动通信服务，所述移动通信方法的特征在于，所述移动通信系统将所述无线基站配置在专用网内，并将中继节点设置在所述专用网上，通过所述中继节点来进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信，通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成在所述第二加密密钥的生成中必需的预共享密钥，由所述无线基站控制站向所述中继节点通知所述预共享密钥。
20.一种移动通信系统的移动通信方法，其中所述移动通信系统包括无线基站控制站和与所述无线基站控制站连接的无线基站，并为可与所述无线基站连接的移动终端提供移动通信服务，所述移动通信方法的特征在于，所述移动通信系统将所述无线基站配置在专用网内，并用中继节点通过所述专用网而与所述无线基站连接，所述中继节点和所述无线基站之间的所述移动通信业务在所述专用网内传输，通过所述中继节点来进行在所述专用网上传输的所述无线基站控制站和所述无线基站之间的移动通信业务的中继，在所述无线基站控制站和所述中继节点之间使用第一加密密钥来进行加密通信，在所述无线基站和所述中继节点之间使用第二加密密钥来进行加密通信，通过所述无线基站控制站和所述无线基站之间的密钥转换机制来动态生成所述第二加密密钥，由所述无线基站控制站向所述中继节点通知所述第二加密密钥。
全文摘要
当移动终端(80)主叫或被叫时，作为接收了移动通信控制信令的中继节点的VPN网关(100)联合作为专用网的LAN(20)内的频带控制机构、即策略服务器(200)进行受理判定处理，并在许可了受理时，为移动终端(80)提供通信线路，或者在无线基站和无线基站控制站(70)之间通过密钥转换机制来动态生成预共享密钥，并由无线基站控制站(70)将预共享密钥通知给VPN网关(100)。
文档编号H04W88/16GK1883220SQ20048003421
公开日2006年12月20日 申请日期2004年11月19日 优先权日2003年11月20日
发明者须田幸宪, 百名盛久 申请人:日本电气株式会社