DE202006020961U1

DE202006020961U1 - Zugangspunkt für Mobilkommunikationsnetz

Info

Publication number: DE202006020961U1
Application number: DE200620020961
Authority: DE
Original assignee: Ubiquisys Ltd
Current assignee: Ubiquisys Ltd
Priority date: 2005-08-01
Filing date: 2006-07-28
Publication date: 2011-08-08
Anticipated expiration: 2016-07-29
Also published as: US8909294B2; GB0625662D0; US8204543B2; DE202006020958U1; DE202006020957U1; US20090190550A1; GB2432082B; US8738084B2; JP5021644B2; CN103281807A; GB2428937A; CN103152842A; GB2458041A; GB2449531A; CN101278590A; GB0807818D0; EP2288198A2; EP2375798B1; CN103260271A; EP2506655A2

Abstract

Basisstation für ein zellulares Kommunikationssystem, um die Verbindung einer Benutzervorrichtung mit einem zellularen Kommunikationsnetz zu ermöglichen, wobei die Basisstation eine SIM-Karte umfasst, sodass die SIM-Karte verwendet werden kann, um die Basisstation gegenüber dem zellularen Kommunikationsnetz zu identifizieren.

Description

Diese Erfindung betrifft einen Zugangspunkt und insbesondere einen Zugangspunkt für ein Mobilkommunikationsnetz.
Es wird vorgeschlagen, dass, um einem Betreiber eines Mobilkommunikationsnetzes, wie einem zellularen Kommunikationsnetz, zu ermöglichen, den Abdeckungsbereich des Netzes zu vergrößern, Benutzer dazu in der Lage sein sollten, Zugangspunkte oder Basisstationen zur Verwendung in ihren eigenen Heimen oder Büros oder in der Nähe dieser zu installieren. Solche Basisstationen können über die bestehende Breitband-Internetverbindung des Benutzers Kommunikationen mit dem Kernnetz des Mobilkommunikationsnetzes aufbauen.
Um dies zu erreichen, ist es erforderlich, dass die Basisstation sicher mit dem Kernnetz des Mobilkommunikationsnetzes kommunizieren kann und dass einem Mobilfunkgerät, das mit der Basisstation kommuniziert, ermöglicht wird, sicher mit dem Kernnetz zu kommunizieren.
Gemäß einem ersten Gesichtspunkt der vorliegenden Erfindung wird eine Basisstation für ein zellulares Kommunikationssystem bereitgestellt, um die Verbindung einer Benutzervorrichtung mit einem zellularen Kommunikationsnetz zu ermöglichen, wobei die Basisstation eine SIM-Karte umfasst, sodass die SIM-Karte verwendet werden kann, um die Basisstation gegenüber dem zellularen Kommunikationsnetz zu identifizieren.
KURZBESCHREIBUNG DER ZEICHNUNGEN
1 ist ein schematisches Blockdiagramm eines Systems, das eine Basisstation gemäß der vorliegenden Erfindung integriert.
2 ist ein schematisches Blockdiagramm, das die Hardwarearchitektur einer Basisstation gemäß der vorliegenden Erfindung darstellt.
3 ist ein schematisches Blockdiagramm, das die Softwarearchitektur einer Basisstation gemäß der vorliegenden Erfindung darstellt.
4 ist ein schematisches Blockdiagramm eines weiteren Systems, das eine Basisstation gemäß der vorliegenden Erfindung integriert.
5 stellt eine herkömmliche Netzarchitektur dar.
6 stellt eine Netzarchitektur gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
7 stellt einen Signalisierungsvorgang gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
8 ist ein schematisches Blockdiagramm eines Teils des weiteren Systems von 4 im Betrieb.
9 stellt einen weiteren Signalisierungsvorgang gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
10 stellt eine weitere Netzarchitektur gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
11 stellt eine weitere Netzarchitektur gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
12 stellt die weitere Netzarchitektur nach Anspruch 10 im Betrieb dar.
13 stellt einen weiteren Signalisierungsvorgang gemäß einem Gesichtspunkt der vorliegenden Erfindung dar.
AUSFÜHRLICHE BESCHREIBUNG BEVORZUGTER AUSFÜHRUNGSFORMEN
1 ist ein schematisches Blockdiagramm, das eine Systemarchitektur darstellt. Ein Mobilnetzbetreiber (MNB) besitzt und betreibt ein drahtloses Kommunikationsnetz, das ein Funknetz 10, einschließlich eines Netzes von zellularen Basisstationen (nicht gezeigt), und ein Kernnetz 20 mit einer Verbindung in das Telefonfestnetz beinhaltet. Diese sind im Allgemeinen herkömmlich, außer wie im Folgenden beschrieben.
Ein Mobiltelefon 30 kann beim Roamen in dem Gebiet, das von dem drahtlosen Kommunikationsnetz abgedeckt wird, eine drahtlose Verbindung mit einer der zellularen Basisstationen herstellen, um mit anderen Telefonen in dem Telefonfestnetz oder mit anderen Mobiltelefonen, die ihre eigenen drahtlosen Verbindungen mit einer zellularen Basisstation und somit mit dem Telefonfestnetz hergestellt haben, zu kommunizieren.
Gemäß der vorliegenden Erfindung wird eine weitere Basisstation oder ein Zugangspunkt 50 bereitgestellt, beispielsweise in einem Heim oder Büro 40 oder an einem anderen Standort, an dem zusätzliche drahtlose Abdeckung benötigt wird. Dieser Zugangspunkt 50 wird zur Verwendung durch den Eigentümer des Grundstücks, auf dem er sich befindet, bereitgestellt, ist jedoch in das drahtlose Kommunikationsnetz integriert. Das heißt, der Zugangspunkt teilt den Teil der Radiofrequenzbandbreite, der diesem drahtlosen Kommunikationsnetz zugeteilt wurde, indem diesem entweder permanent oder vorübergehend ein Teil der Gruppe von Kanälen zugeteilt wurde. Diese Gruppe von Kanälen wird somit mit anderen Basisstationen geteilt, die Makrozellen, Mikrozellen, Picozellen oder sogar „Femtozellen” in dem öffentlichen Fernnetz bedienen können. Infolgedessen kann das Mobiltelefon 30 von dem Zugangspunkt 50 zu einer anderen Basisstation roamen, wenn es die unmittelbare Nähe des Zugangspunkts 50 verlässt, oder kann zu dem Zugangspunkt 50 von einer anderen Basisstation roamen, wenn es in die unmittelbare Nähe des Zugangspunkts 50 zurückkehrt.
Der Zugangspunkt 50 fungiert folglich als eine Basisstation in dem relevanten drahtlosen Kommunikationsnetz. Er kann beispielsweise einem völlig herkömmlichen und nicht modifizierten Mobiltelefon 30 oder einem anderen Benutzergerät ermöglichen, eine Verbindung für Sprach- und/oder Datendienste unter Verwendung von GSM/GPRS- und/oder UMTS-Luftschnittstellen herzustellen. Selbstverständlich kann dem Zugangspunkt 50 ermöglicht werden, Verbindungen mit dem Mobiltelefon 30 unter Verwendung der Standardluftschnittstelle eines beliebigen geeigneten zellularen drahtlosen Kommunikationssystems herzustellen.
Der Zugangspunkt 50 hat eine Verbindung für ein lokales Ethernet-Netz (Ethernet-LAN) 42 in dem Heim oder Büro 40. Wie in 1 gezeigt, kann der Zugangspunkt 50 über das Ethernet-LAN 42 eine Verbindung mit einem oder mehreren lokalen PC oder Servern 44 herstellen.
Der Zugangspunkt 50 kann über das Ethernet-LAN 42 eine Verbindung mit einer IP-Gateway-Vorrichtung 60 herstellen. Die IP-Gateway-Vorrichtung 60 stellt eine IP-Verbindung über ein IP-Netz 70, beispielsweise das Internet, mit dem MNB-Netz bereit, entweder über eine digitale Teilnehmerleitung (Digital Subscriber Line, DSL) oder über andere IP-Transportmethoden, wie ein digitales Multimedia-Kabelnetz. Somit kann die bestehende IP-Verbindung von dem Heim oder Büro verwendet werden, um einen Backhaul vom Zugangspunkt 50 bereitzustellen. Flexibles Interfacing mit dem Kernnetz 20 des Betreibers kann über Verbindungen mit entweder dem MNB-Kernnetz oder Funkzugangsnetz unter Anwendung des UMA-Standards durch ein UMA-Gateway 22 bereitgestellt werden. Diese Herangehensweise ermöglicht kostengünstigen Transport von Daten und Sprache unter Verwendung von Voice-over-Internetprotokoll-Techniken (VoIP-Techniken).
Die Verbindung von dem IP-Gateway 60 über das IP-Netz 70 in das MNB-Funkzugangsnetz 10 wird von einem UMA Unlicensed Network Controller (UNC) 12 bereitgestellt, der von 3GPP als ein Generic Access Network Controller (GANC) standardisiert wurde. Andere, nicht standardisierte Lösungen für das Interfacing mit dem Funkzugangsnetz 10 könnten ebenfalls als alternative Herangehensweise eingesetzt werden. Eine direkte Verbindung mit dem Kernnetz des Betreibers kann durch Verwendung einer SIP-Schnittstelle zwischen dem Zugangspunkt und einem geeigneten Gateway, wie einem SIP-Gateway oder einem IP-Multimedia-Subsystem, erzielt werden.
In dieser dargestellten Ausführungsform beinhaltet die DSL oder die Kabel-IP-Gateway-Vorrichtung 60 die Bereitstellung einer Verbindung eines POTS-Telefon oder -Faxgeräts 62 und Audio-Videoverbindungen zur Bereitstellung von IPTV-Diensten für ein Fernsehgerät (TV) 64. Der Zugangspunkt 50 beinhaltet eine Dienstumgebung, die diesen Einrichtungen ermöglicht, in das MNB-Netz integriert zu werden, was verfeinerte neue Dienste für Benutzer ermöglicht.
In einer alternativen Umsetzung der Erfindung kann der Zugangspunkt 50 als eine Komponente in die IP-Gateway-Vorrichtung 60 integriert werden; eine interne IP-Verbindung verknüpft dann die eingebettete Zugangspunktkomponente mit den Routerfunktionen in der IP-Gateway-Vorrichtung. Diese Konfiguration kann potentiell für niedrigere Gesamtkosten sorgen und ist für Betreiber dienlich, die danach streben, Gateway-Einheiten bereitzustellen, die Daten-, Festnetzgesprächs-, Multimedia- und Mobilfunkdienste zu vereinen.
Somit kann das Mobiltelefon 30, während es sich in dem Heim oder Büro 40 oder anderweitig innerhalb des Abdeckungsbereichs des Zugangspunkts 50 befindet, auf dieselbe Art und Weise wie über eine beliebige andere Basisstation in dem zellularen drahtlosen Kommunikationsnetz eine Verbindung mit dem MNB-Netz herstellen.
1 zeigt außerdem einen Netzserver 72, der mit dem IP-Netz 70 verbunden ist. Wie man zu schätzen wissen wird, ist eine sehr große Anzahl von Servern oder anderen Vorrichtungen mit dem Netz verbunden, wenn das IP-Netz 70 das Internet ist. Wie im Folgenden ausführlicher beschrieben wird, kann der Benutzer des Mobiltelefons 30 mittels des Zugangspunkts 50 auf solche Vorrichtungen zugreifen.
1 zeigt außerdem ein Managementsystem 74, das mit dem IP-Netz 70 verbunden ist. Das Managementsystem 74 wird von dem Mobilnetzbetreiber zur Verwaltung des Betriebs des Zugangspunkts 50, einschließlich der Steuerung der verfügbaren Dienste, bereitgestellt.
Ein Benutzer des Mobiltelefons 30 kann beispielsweise, wie oben erwähnt und im Folgenden ausführlicher beschrieben, eine Verbindung durch den Zugangspunkt 50 über das Ethernet-LAN 42 mit einem oder mehreren lokalen PC oder Servern 44 oder durch die IP-Gateway-Vorrichtung 60 mit einer anderen damit verbundenen Vorrichtung oder durch die IP-Gateway-Vorrichtung 60 mit einem Netzserver 72, der mit dem IP-Netz 70 verbunden ist, herstellen. Diese Verbindungen können ohne Leiten von Verkehr über das Kernnetz 20 des drahtlosen Kommunikationsnetzes hergestellt werden. Das Managementsystem 74 kann die Vorrichtungen oder die IP-Adressen, mit denen solche Verbindungen hergestellt werden können, definieren. Dann können diese Verbindungen mit nur einer begrenzten Anzahl von Vorrichtungen oder IP-Adressen hergestellt werden, falls dies vom Mobilnetzbetreiber gewünscht wird.
Das Managementsystem 74 kann außerdem die Kanäle spezifizieren (die durch Frequenzen, Zeitschlitze und/oder Spreizcodes definiert werden können, je nach dem bestimmten zellularen drahtlosen Kommunikationssystem), die dem Zugangspunkt 50 zugeteilt wurden. Diese Kanäle können semipermanent zugeteilt werden oder regelmäßig geändert werden, je nach den Anforderungen des Netzes als Ganzes.
2 ist ein schematisches Blockdiagramm, das die Hardwarearchitektur des Zugangspunkts 50 zeigt. Die Architektur besteht aus einer Reihe von Funktionsblöcken, die durch einen Prozessorbus 80, wie den ARM-AMBA-Bus, miteinander verbunden sind.
Der Zugangspunkt 50 beinhaltet verschiedene externe drahtgebundene Schnittstellen, einschließlich einer RJ45-Ethernet-10/100-Schnittstelle 82, die eine Verbindung mit einem lokalen LAN zur Verbindung mit der IP-Gateway-Vorrichtung 60 und folglich mit dem MNB-Netz und dem Internet bereitstellt und zudem Zugriff auf andere Vorrichtungen bereitstellt, die an das Ethernet-Netz angeschlossen sind, wie einem oder mehreren PC 44 oder wie einem IPTV 64 zur erweiterten Dienstbereitstellung. Der Zugangspunkt 50 kann somit eine IP-basierte Schnittstelle zu dem Funkzugangsnetz 10 durch Anpassung des Standard-UMA-UNC oder Kernnetzes über ein SIP aufweisen, im Gegensatz zu den üblichen lub-(UMTS) oder Abis-Schnittstellen (GSM).
Der Zugangspunkt 50 beinhaltet außerdem eine Schnittstelle 84 für eine SIM-Karte (SIM = Subscriber Identification Module, Teilnehmererkennungsmodul), um die Verwendung einer Standard-SIM-Karte zur Bereitstellung einer eindeutigen Kennung für den Zugangspunkt 50 zu ermöglichen, um die Einheit gegenüber dem Managementsystem 74 und dem Funknetz 10 des Betreibers und dem Kernnetz 20 zu identifizieren und dadurch die Bereitstellung verschiedener Dienste zu ermöglichen.
Der Zugangspunkt 50 beinhaltet außerdem eine Protokollmaschine 86, die als eine kleine eingebettete CPU, wie einem ARM926 (mit entsprechenden Peripheriegeräten), implementiert ist, die von einem dedizierten Koprozessor 88 zur Verschlüsselung und einem dedizierten Koprozessor 90 zur Paketverarbeitung unterstützt wird und die Haupt-CPU bei spezifischen intensiven Aufgaben entlasten wird. Die Verschlüsselung der IPsec-Paketnutzlast wird beispielsweise von dem Verschlüsselungsbeschleuniger 88 abgewickelt, die AES- und 3DES-Verschlüsselungsprotokolle unterstützt. Die VPN-Verbindung des Zugangspunkts 50 mit dem UNC 12 und dem Managementsystem 74 wird von der internen Verschlüsselungsverarbeitung Gebrauch machen; die Benutzer-VPN-Verschlüsselungsverarbeitung kann außerhalb des Zugangspunkts 50 abgewickelt werden.
Die Haupt-CPU ist zudem für die Konfiguration und Steuerung aller Funktionsblöcke im System, einschließlich eines Basisbandmodems 92 und des Ethernet-Ports 82, über die Haupt-CPU verantwortlich. Das Systemsoftwarebild, einschließlich von Konfigurationsdaten für alle Systemfunktionsblöcke, wird in einem FLASH-Speicher 94 in dem Zugangspunkt 50 gespeichert; zwei vollständige Systembilder werden gespeichert, so dass aktualisierte Systembilder von dem Managementsystem 74 auf den Zugangspunkt 50 heruntergeladen werden können, während das vorherige Bild als eine Reserveoption im Fall eines korrumpierten Downloads auf den Zugangspunkt 50 aufbewahrt wird.
Die Peripheriegeräte der Haupt-CPU beinhalten: Laufzeitüberwachungen zur Plausibilitätsprüfung der Software, JTAG- und serielle Anschlüsse zum Debugging im System und einen GPIO zur Systemsteuerung, einschließlich LED-Statusanzeige, Systemenergieverwaltung und Systemalarmerfassung.
Der Zugangspunkt 50 weist eine erste RF-Schnittstelle 94 für GSM bei entweder 900 MHz oder 1800 MHz und eine zweite RF-Schnittstelle 96 für UMTS bei 2100 MHz auf. Er unterstützt somit einen gleichzeitigen GSM- und UMTS-Betrieb. Für die GSM- und UMTS-Empfangspfade sind sowohl Uplink-(Basisstationsempfang) als auch Downlink-Frequenzen (Endgeräteempfang) zugänglich; für die Sendepfade sind nur Downlink-Frequenzen (Basisstationssendung) verfügbar. Bei der Installation wählt der Zugangspunkt 50 eine Downlink-RF-Trägerfrequenz mit den wenigsten Störgeräuschen/Interferenzen für sowohl GSM als auch UMTS aus zulässigen Listen von GSM- und UMTS-Trägerfrequenzen aus, die von dem Managementsystem 74 bereitgestellt werden; zulässige Downlink-Frequenzen wenden von dem Zugangspunkt 50 gescannt, wobei dessen Empfangspfad auf den UE-Modus eingerichtet und dessen Sendepfad deaktiviert ist.
Der Zugangspunkt 50 ist dazu konzipiert, stationären oder zu Fuß gehenden (beispielsweise mit nicht mehr als 10 km/h) Benutzern innerhalb eines Gebäudes zellularen Dienst über eine Entfernung von weniger als 50 m bereitzustellen, und somit wird die erforderliche Sendeleistung im Vergleich zu einer herkömmlichen Makrozellen-Basisstation drastisch verringert. Die hierin beschriebene Funktionalität kann jedoch in einer beliebigen Basisstation bereitgestellt werden, die bei einem beliebigen Leistungsniveau arbeitet und eine beliebige Art von Mobilfunkbenutzer bedient.
Die RF-Schnittstellen 94, 96 sind durch eine Analog-Modem-Schnittstelle 98 mit dem Basisbandmodem 92 verbunden, das Abtastfrequenzverarbeitung, Chipfrequenzverarbeitung (nur UMTS) und Zeichengeschwindigkeitsverarbeitung für die GSM- und UMTS-Basisstationsmodems unterstützt.
Der Zugangspunkt 50 wird eine eingeschränkte Funktionalität für Modems von GSM-Mobilstationen (MS) und UMS-Teilnehmergeräte (UE = User Equipment) aufweisen, um dem Zugangspunkt 50 zu ermöglichen, den Rundfunkkanal (Broadcast Channel, BCH) von lokalen GSM/UMTS-Basisstationen und anderen nahe gelegenen Zugangspunkten wiederherzustellen. Der UE-Modemmodus wird während der Erstinstallation zur Auskundung der lokalen RF-Umgebung und in regelmäßigen Intervallen nach der Erstinstallation zur Überwachung der RF-Umgebung und gegebenenfalls zur Modifizierung der Zugangspunktkonfiguration aktiviert.
Das Basisbandmodem 92 wird unter Anwendung einer softwarebasierten Architektur implementiert, um eine hohe Anpassbarkeit über eine Feldlaufzeit von bis zu 5 Jahren sicherzustellen, die beispielsweise aufrüstbar ist, um eine künftige Verbesserung zu ermöglichen, um HSDPA- oder EDGE-Dienst in dem Feld zu tiefem, ohne dass die Einheit ersetzt werden muss.
Der Zugangspunkt 50 beinhaltet Zeitplanungs- und Frequenzreferenzen 100, die eine ausreichende Genauigkeit für einen GSM- und UMTS-Bassistationsbetrieb über eine Laufzeit von 5 Jahren bereitstellen.
Diese Ausführungsform des Zugangspunkts 50 stellt folglich verschiedene Betriebsfunktionen bereit. Sie ist beispielsweise vom Benutzer installierbar, selbstkonfigurierend und kann an die umliegende RF-Umgebung angepasst werden. Der Zugriff kann unter Verwendung von Standard-GSM/UMTS-Protokollen auf spezifizierte Benutzer beschränkt werden. Des Weiteren können Einheiten mit mehreren Zugangspunkten, die in einem großen Innenbereich installiert wurden, der mit einem gemeinsamen Ethernet-LAN verbunden ist, Handoffs zwischen ihnen selbst ohne Eingriff anderer Systeme in dem Funknetz 10 oder dem Kernnetz 20 des zellularen Netzes des Betreibers verwalten.
3 stellt eine Konzeptübersicht der Architektur der Software bereit, die auf der Protokollmaschine 86 des Zugangspunkts 50 läuft, zusammen mit dem Verschlüsselungsbeschleuniger 88 und dem Paketverarbeitungsbeschleuniger 90, mit einem Schwerpunkt auf der Dienstumgebung und deren Steuerpfaden in den unteren Stapelschichten.
Der Zugangspunkt 50 beinhaltet eine Dienstplattform, die das Potential des Verbands von vier Datennetzen nutzen kann, nämlich dem externen MNB-Kernnetz 20, dem externen Internet 70, Mobilfunkgeräten, wie dem Mobiltelefon 30 (über GSM/UMTS), und dem Heimatnetz (über Ethernet).
Die Stapelarchitektur des Zugangspunkts beinhaltet eine leistungsfähige Dienstumgebung 120. Die Dienstumgebung ist Java-basiert und beinhaltet eine virtuelle Java-Maschine 122 und eine Zugangspunktbibliothek 124 in der Form einer API-Schnittstelle, die ermöglicht, dass Anwendungen 126 mit den unteren Schichten des Stapels interagieren, um Anrufe/Datensitzungen, Leitweglenkung und viele andere Funktionen zu steuern. Die Dienstumgebung 120 beinhaltet zudem einen Webserver 128, der dem Benutzer eine praktische Schnittstelle zur Konfiguration und Überwachung und außerdem zum Auswählen und Erwerben von gewünschten Anwendungen bereitstellt, mit geschützten Optionen zum Debuggen und Warten über einen lokalen PC. Die Dienstumgebung 120 beinhaltet zudem einen Managementsystem-Client (MS-Client) 130, der den Zugangspunkt 50 konfiguriert und verschiedene Gesichtspunkte von dessen Betrieb überwacht. Der MS-Client 130 steuert das Bereitstellungssystem, so dass eine beliebige Komponente der Software in dem System, wie in 3 gezeigt, ausgetauscht und neu gestartet werden kann.
Wie oben erwähnt beinhaltet die Dienstumgebung 120 außerdem verschiedene Anwendungen 126, die beispielsweise von dem Mobilnetzbetreiber oder dem Anbieter des IP-Gateways 60 erstellt wurden und die in dem Zugangspunkt 50 vorinstalliert sein können oder über einen Download vom Netz des Betreibers auf Initiierung durch den Betreiber oder auf Anforderung durch den Benutzer geliefert werden kann, beispielsweise als Teil eines gebührenpflichtigen Dienstes.
Eine Netzschicht (ZN-Schicht) 132 der Software stellt Sitzungssteuerfunktionen zur Verwaltung und Umsetzung der Dienstabläufe und Richtlinien bereit, die festlegen, wie der Zugangspunkt 50 konfiguriert wird und für eine beliebige Konfiguration und beliebige Endbenutzereinstellungen des Mobilnetzbetreibers (MNB) arbeitet. Konfigurationsparameter werden über den Managementsystem-Client (MS-Client) 130, Java-Anwendungen oder den Webserver 128 auf die ZN-Datenbank 134 geladen. Diese Parameter stellen „Regeln” für den Sitzungssteuerbetrieb innerhalb des Zugangspunkts bereit. Sitzungssteuerfunktionen beinhalten: Umsetzung der Richtlinien für Registrierung, Anrufsteuerung und Verkehrsfluss/Routing für den Zugangspunkt 50 auf dem MNB-Kernnetz; Steuerung des UMA-Client (wird weiter unten beschrieben) für Registrierung, Anrufsteuerung und Verkehrsfluss und effiziente Verwaltung von Zugangspunktressourcen bei der Lieferung von GSM/UMTS-Diensten und Interaktion mit anderen Diensten über das IP-Gateway 60.
Unter der Netzschicht (ZN-Schicht) 132 der Software ist die Non-Access-Stratum-Funktionalität (NAS-Funktionalität) 136, die benötigt wird, um dem UE Dienste bereitzustellen, wenn das MNB-GSM/UMTS-Kernnetz 20 nicht mit dem Zugangspunkt 50 verbunden ist. Diese Funktionalität ermöglicht dem Zugangspunkt 50, die üblichen GSM/UMTS-Dienste, wie SMS und MMS, anzubieten, die Mobilfunkbenutzer gewohnt sind, während er nicht auf herkömmliche Art und Weise mit dem GSM/UMTS-Kernnetz verbunden ist. Damit solche Dienste angeboten werden können, enthält der Zugangspunkt 50 eine komprimierte Teilmenge der Kernnetzfunktionen, die gewöhnlich in der Funkvermittlungsstelle (Mobile Switching Centre, MSC), dem bedienenden GPRS-Dienstknoten (Serving GPRS Service Node, SGSN), dem GSM-Basisstationssubsystem (BSS) und dem UMTS-Funknetzsubsystem (Radio Network Subsystem, RNS) enthalten sind.
Die Non-Access-Stratum-Schicht 136, wie im Zugangspunkt 50 implementiert, stellt folglich verschiedene Funktionen bereit, die in der Regel von MSC- und SGSN-Knoten in einem herkömmlichen GSM/UMTS-Netz umfasst werden. Eine solche Funktion ist die Anrufsteuerung (Call Control, CC). Diese unterstützt den Verbindungsaufbau zwischen zwei Peer-Entitäten, vorwiegend für leitungsvermittelte Verbindungen.
Die NAS-Schicht 136 stellt außerdem Sitzungsmanagement (SM) zur Steuerung von Paketdatensitzungen; eine SMS-Funktion (SMS = Short Message Service, Kurznachrichtendienst) zur Übertragung von SMS-Nachrichten zwischen dem Zugangspunkt 50 und dem Netz-SMS-Bedienungszentrum; ergänzende Dienste (ES) wie Anklopfen, Halten eines Anrufs und Mehrfachverbindungen; Mobilitätsmanagement/GPRS-Mobilitätsmanagement (MM/GMM) zur Verwaltung von UE-Mobilitätselementen, wie Standorterfassung, Authentifizierung und Verschlüsselung; und Steuerfunktionen, die mit der SIM-Karte in Verbindung stehen, die in den Zugangspunkt 50 eingesetzt werden kann. Der Zugangspunkt 50 stellt zudem eine Paketroutingfunktion bereit, die im Wesentlichen in einem herkömmlichen Netz eine GGSN-Funktionalität ist.
Unter der NAS-Funktionalität ist die Access-Stratum-Funktionalität, insbesondere die UMTS-Access-Stratum-Funktionen 138 und die GERAN-Access-Stratum-Funktionen 140.
Die UMTS-Access-Stratum-Funktionalität 138 umfasst eine gewisse SGSN-Funktionalität, RNC-Funktionalität (RNC = Radio Network Controller, Funknetz-Controller) und eine Schnittstelle zu der physikalischen UMTS-Schicht, die am Basisbandmodem 92 implementiert ist. Die RNC-Funktionalität und die Funktionalität der physikalischen Schicht sind für alle Zugangspunktdienste erforderlich, die UMTS unterstützen, ungeachtet der verwendeten Kernnetzschnittstelle.
Genauer gesagt umfasst die Access-Stratum-Funktionalität die folgenden Elemente:
Paketdatenkonvergenz-Protokoll (Packet Data Convergence Protokol, PDCP) Header-Kompression und -Dekompression von IP-Datenströmen (fakultativ), Übertragung von Benutzerdaten, Verwaltung von PDCP-Sequenznummern (in der Regel Teil einer SGSN-Funktion).
Funkressourcensteuerung (Radio Resources Control, RRC)
Rundsendung von mit dem NAS und AS zusammenhängenden Informationen; Aufbau, Aufrechterhaltung und Freigabe von RRC-Verbindungen; Herstellung, Rekonfiguration und Freigabe von Funkträgern und Funkressourcen; RRC-Verbindungsmobilitätsfunktionen; Steuerung von angeforderter QoS; UE-Messungsberichterstattung und -steuerung; Leistungsregelung der äußeren Schleife; Verschlüsselungskontrolle.
Funkverbindungssteuerung (Radio Link Control, RLC)
Übertragung und Empfang von Signalisierungs- und Datenpaketen, einschließlich Pufferung, Segmentierung und Verkettung von Paketen. Umfasst drei Entitätstypen, für bestätigten Modus, unbestätigten Modus und transparente Modi.
Medienzugriffssteuerung (Medium Access Control, MAC)
Umsetzung (Mapping) zwischen logischen Kanälen und Transportkanälen, Auswahl der geeigneten Transportformate für jeden Transportkanal, Prioritätsabwicklung zwischen UE, Multiplexierung/Demultiplexierung von PDU der oberen Schicht von/zu einem Transportblock (Transportblocksätzen) auf gemeinsamen und dedizierten Transportkanälen.
UMTS-Schicht 1
Schnittstelle zu den UMTS-Modemfunktionen, die auf dem Basisbandmodem implementiert sind.
Die GERAN-Access-Stratum-Funktionalität 140 umfasst BSS- und eine gewisse beschränkte SGSN-Funktionalität. Die BSS-Funktionalität ist zur Unterstützung aller GSM/GPRS/EDGE-Diensten erforderlich, ungeachtet der Schnittstelle, die zwischen dem Zugangspunkt 50 und dem MNB-Kernnetz 20 verwendet wird.
Die SGSN-Funktionalität der GERAN-Access-Stratum-Funktionalität 140 umfasst die folgenden Elemente:
Subnetzabhängiges Konvergenzprotokoll (Sub-Network Dependent Convergence Protocol, SNDCP)
Multiplexierung von mehreren Paketdatenprotokollen; Datenkompression/-dekompression (fakultativ); Header-Kompression/Dekompression (fakultativ); Segmentierung und erneute Zusammenfügung.
Logische Verbindungssteuerung (Logical Link Control, LLC)
LLC stellt unbestätigte und bestätigte Peer-zu-Peer-Datenübertragung und die GPRS-Verschlüsselungsfunktionalität bereit.
Die BSS-Funktionalität der GERAN-Access-Stratum-Funktionalität 140 umfasst die folgenden Elemente:
Funkverbindungssteuerung/Medienzugriffssteuerung (RLC/MAC)
RLC/MAC unterstützt bestätigte und unbestätigte Modi; Segmentierung und erneute Zusammenfügung von LLC-PDU; Multiplexierung auf mehrere physikalische Kanäle; Rundsendung von Systeminformationen.
Funkressourcenverwaltung (Radio Resource Management, RR)
RR-Verbindungsaufbau, -aufrechterhaltung und -freigaben; Systeminformationsrundsendung; Paketdatenressourcenverwaltung.
GSM/GPRS-Schicht 1
Schnittstelle zu den GSM/GPRS/EDGE-Modemfunktionen, die in dem Basisbandmodem implementiert sind.
Folglich beinhaltet der Zugangspunkt 50, wie oben beschrieben, eine gewisse Funktionalität, die sich in der Regel in den höheren Ebenen des Funkzugangsnetzes für UMTS- und GSM-Standards befindet. Dies liegt zum Teil darin begründet, dass, um Datenverkehr zu dem MNB-Kernnetz oder dem Internet oder Vorrichtungen im lokalen Netz rauten zu können, der Zugangspunkt 50 Zugriff auf die Datenpakete haben muss, die zu und von den dezentralen Vorrichtungen strömen. Es ist jedoch äußerst wünschenswert, dass die Luftschnittstelle zu den zellularen Vorrichtungen durch dieselben Verschlüsselungsmechanismen gesichert wird, die im Rest des zellularen Netzes verwendet werden. Wenn es erforderlich ist, dies aufrechtzuerhalten, sollte der Zugangspunkt 50 daher dann die Abbruchfunktion für die Luftschnittstellenverschlüsselung (nämlich der RLC/MAC-Schicht in UMTS) enthalten, um die oben beschriebenen Dienst- und Routingfunktionen zu ermöglichen.
Die Software, die in dem Zugangspunkt 50 läuft, beinhaltet zudem einen UMA-Client 142, der dem Zugangspunkt 50 ermöglicht, das UMA-Protokoll in einer nicht-standardmäßigen Konfiguration anzuwenden. Insbesondere ist das Standard-UMA-Protokoll dazu konzipiert, einer GMS-MS oder einem UMTS-UE, die bzw. das einen UMA-Client und eine Luftschnittstelle mit unlizensierter Bandbreite, wie IEEE802.11b/g oder Bluetooth, beinhaltet, zu ermöglichen, mit dem GSM/UMTS-Kernnetz unter Verwendung der unlizensierten Bandbreite zu kommunizieren. Die Umsetzung in dem Zugangspunkt 50 verwendet jedoch den UMA-Client als Teil der Netzschnittstelle einer GSM/UMTS-Basisstation, so dass die UMA-Protokolle, die zur Kommunikation mit einem GSM/UMTS-Kernnetz über einen Unlicensed Network Controller (UNC) entwickelt wurden, darauf angepasst werden können, Anrufe zu verwalten, die von dieser Basisstation abgewickelt werden, einschließlich eines Handovers an das/von dem Makronetz. Wie zuvor bemerkt kann eine SIP-Schnittstelle als eine alternative Herangehensweise verwendet werden.
Der Zugangspunkt 50 beinhaltet außerdem einen oder mehrere IP-Vorrichtungsdienten 144, um die Übermittlung von Anrufen, Steuerinformationen oder Daten zwischen der „mobilen Domäne” (Mobiltelefone, die am Zugangspunkt 50 und den Verkehrspfaden in das MNB-Kernnetz 20 angemeldet sind) und anderen IP-Vorrichtungen zu ermöglichen, wie einem VoIP/POTS-Port in dem IP-Gateway 60 für Festnetztelefon-/-faxdienste, einem AV-Port in dem IP-Gateway 60 für IPTV- und/oder Videodienste, PC oder Server 44 in dem lokalen Ethernet-LAN oder Remote-Webseiten und/oder Server 72, auf die über das Internet 70 mittels des IP-Gateways 60 zugegriffen werden kann.
Jeder IP-Vorrichtungsclient 144 hat Zugriff auf den Verkehrspfad innerhalb des Zugangspunkts 50 und kann von dem Sitzungscontroller in der ZN-Schicht 132 gesteuert werden, der Anrufe/Datensitzungen mit den zugänglichen IP-Vorrichtungen initiieren und beenden kann. Die Einbindung von IP-Vorrichtungsclienten, die für eine bestimmte Vorrichtung oder einen bestimmten Dienst spezifisch sind, in der Softwarearchitektur des Zugangspunkts 50 ermöglicht, dass Verkehr von dieser bestimmten Vorrichtung oder diesem bestimmten Dienst innerhalb des Zugangspunkts 50 geroutet werden kann, so dass es bzw. er mit den GSM/UMTS-Mobilfunkgeräten, auf die über die GSM- oder UMTS-Access-Strata zugegriffen wird, oder dem MNB-Netz, auf das über den UMA-Client zugegriffen wird, verbunden werden kann.
Des Weiteren hat jeder IP-Vorrichtungsdient 144 Zugriff auf die anderen Vorrichtungen in dem LAN und hat außerdem Zugriff auf andere Vorrichtungen, auf die über das Internet 70 zugegriffen werden kann. Durch Verwendung des entsprechenden IP-Vorrichtungsclients 144 kann beispielsweise ein POTS-Telefon, das mit dem Zugangspunkt 50 verbunden ist, über das Internet 70 mit einem anderen POTS-Telefon verbunden werden, um einen Sprachanruf zu machen.
Darüber hinaus hat jeder IP-Vorrichtungsclient 144 zudem Zugriff auf das Mobilnetz des MNB. Insbesondere kann jede Vorrichtung, die mit dem LAN 42 verbunden ist, oder jede Vorrichtung, die mit dem IP-Gateway 60 verbunden ist, einen IP-Vorrichtungsclient 144 aufweisen, der sich selbst mit der SIM-Karte verbinden kann, die mit der USIM-Schnittstelle 84 verbunden ist. Vom Gesichtspunkt des MNB-Netzes aus erscheint jegliche derartige Vorrichtung dann als ein Mobilfunkgerät und ihr wird Zugriff auf das MNB-Netz gewährt. Infolgedessen kann dem Benutzer eine Vielfalt von Diensten bereitgestellt werden, indem eine Vorrichtung mit entsprechender gewünschter Funktionalität bereitgestellt und dann die SIM-Karte verwendet wird, um der Vorrichtung zu ermöglichen, sich über das MNB-Kernnetz mit einer oder mehreren anderen Vorrichtungen zu verbinden.
Eine weitere Verwendung der SIM-Karte, die mit der USIM-Schnittstelle 84 verbunden ist, besteht darin, den Mobiltelefonen, die am Zugangspunkt angemeldet sind, zu ermöglichen, auf ähnliche Art und Weise wie ein schnurloses Telefonsystem mit mehreren Nebenstellen zu arbeiten. In dieser bestimmten Dienstkonfiguration trägt die SIM-Karte in dem Zugangspunkt 50 eine IMSI-Kennung, die tatsächlich eine Telefonleitung in dem Heim oder Büro identifiziert, in dem der Zugangspunkt 50 installiert ist, obwohl sie in dem System des Mobilnetzbetreibers als eine Mobilfunknummer erscheint. Wenn die IMSI der SIM-Karte in dem Zugangspunkt 50 angerufen wird, werden alle Mobiltelefone, die am Zugangspunkt 50 angemeldet sind, angerufen, bis eines davon beantwortet wird. Auf diese Art und Weise würden eingehende Anrufe an eine Einzelperson zu der IMSI des Mobiltelefons dieser Person geleitet und können somit von Anrufen unterschieden wenden, die für beliebige der Benutzer in dem Heim oder Büro durch die IMSI-Kennung, die angerufen wird, bestimmt sind. Die Anrufabwicklungsfunktionalität des Zugangspunkts 50 ändert sich dann, wenn die IMSI-Kennung des Zugangspunkts selbst angerufen wird.
Folglich beinhaltet der Zugangspunkt 50 allgemein ausgedrückt eine UMTS-SIM-Karte, die von dem Betreiber ausgegeben wird, dessen Bandbreite von dem Zugangspunkt verwendet wird, d. h. dem Betreiber des relevanten Netzes. Die USIM-Karte trägt Standardidentifizierungsinformationen für ein Mobilfunkendgerät, vor allem eine IMSI-Kennung und eine MSISDN-Nummer, bei der es sich um die Telefonnummer handelt, die mit dem SIM in Verbindung steht. Die IMSI-Kennung wird dazu verwendet, den Zugangspunkt zu identifizieren, ihn zu authentifizieren und sichere Kommunikationen mit dem MNB-Netz über die IP-Zusammenschaltung unter Verwendung exakt derselben Mechanismen herzustellen, wie für Mobilfunkendgeräte verwendet werden, die SIM-Karten enthalten, die über IP-Schnittstellen auf das MNB-Netz zugreifen. Eine Reihe von Standardschnittstellen ist zur IP-Verbindung von Endgeräten mit einem MNB-Netz definiert, am häufigsten für drahtlose LAN- oder WiFi-Geräte, in denen die UMA- und WLAN/IMS-Standardschnittstellen vorwiegen. (So genannte „Prä-IMS”-Systeme, die IP-Geräte unterstützten, die SIM-Karten enthalten, können ebenfalls zur Anwendung dieses Prinzips verbunden werden.) Verfahren für diese Schnittstellen werden im Folgenden ausführlicher beschrieben; das Prinzip erstreckt sich jedoch auf jede Schnittstelle, die zur Unterstützung einer dezentralen Vorrichtung, die eine SIM enthält, konzipiert ist, zu einem MNB-Netz.
Eine weitere Funktion, die durch die Einbindung eines SIM in den Zugangspunkt 50 ermöglicht wird, besteht darin, dass es für den Zugangspunkt möglich ist, mit dem MNB-Netz zu kommunizieren, wie es ein Mobilfunkendgerät tun kann. Insbesondere kann der Zugangspunkt Anrufe an/von anderen Mobilfunkendgeräten oder Festnetzvorrichtungen machen und empfangen, um Datensitzungen mit anderen Vorrichtungen zu initiieren und zu beenden und SMS- und MMS-Nachrichten zu senden und zu empfangen. Dies ermöglicht, dass eine Reihe nützlicher Funktionen von dem Zugangspunkt unterstützt werden, die folgende beinhalten:

• Empfang von mit einem Schlüsselwort versehenen SMS-Nachrichten von einem der auf dem Zugangspunkt vorregistrierten Benutzer, die den Zugangspunkt anweisen können, eine spezifische Funktion durchzuführen, wie einen neuen Benutzer zu der Liste „zugelassener Benutzer” hinzuzufügen, die in dem Zugangspunkt gespeichert ist (gegebenenfalls kann der Zugangspunkt das Managementsystem 74 mit dieser Änderung für zugelassene Benutzer aktualisieren, um den Synchronismus zwischen Datenbanken aufrechtzuerhalten). Diese Funktion kann mit einer Anwendungsfunktion und einem entsprechenden IP-Vorrichtungsclient in dem Zugangspunkt kombiniert werden, so dass Maßnahmen auf dem Heimatnetz des Benutzers initiiert werden können, wie das Programmieren eines PC-basierten Videorekorders oder das Aktivieren einer Alarmanlage oder eines Heizungsreglers.
• Übertragung einer SMS- oder MMS-Nachricht an den Benutzer, um ihn auf wichtige Informationen hinzuweisen, wie einen neuen zugelassenen Benutzer, der erfolgreich einem Zugangspunkt hinzugefügt wurde, oder einen spezifischen Benutzer, der am Zugangspunkt angemeldet wird (d. h. nach Hause gekommen ist), oder Fehlerzustände, wie die Unfähigkeit zur Bereitstellung eines Dienstes bei der Installation aufgrund von hohen Ausmaßen von Interferenzen. Diese Einrichtung könnte mit einer Zugangspunktanwendung und einem entsprechenden IP-Vorrichtungsclient 144 kombiniert werden, so dass die Aktivität in dem Heimatnetz des Benutzers an den Benutzer weitergegeben werden kann, wenn dieser sich außerhalb des Heims befindet; beispielsweise könnte ein Bild eines Anrufers an der Tür des Heims des Benutzers, das von einer Sicherheitswebcam aufgenommen wurde, an den Benutzer als eine MMS-Nachricht weitergeleitet werden.
• Empfang eines Anrufs/einer Datensitzung, der bzw. die von einem Benutzer in einem Fernnetz initiiert wurde, so dass der Benutzer auf Informationen auf dem Heimatnetz des Benutzers, beispielsweise Live-Video von einer Sicherheitswebcam, zugreifen oder Informationen, die im Server des Heimat-PC des Benutzers gespeichert sind, durchsuchen kann.
• Einleitung von Anrufen/Datensitzungen, so dass der Zugangspunkt dem Benutzer Informationen bei Auslösung durch ein Ereignis oder zu einem vorher festgelegten Zeitpunkt „zuschieben” kann. Bei einem geeigneten IP-Vorrichtungsclient 144 in dem Zugangspunkt 50 und entsprechender Anwendungssoftware in dem Zugangspunkt und dem Server das Heimat-PC können beispielsweise Multimedia-Nachrichtenclips, die auf den Heimat-PC des Benutzers heruntergeladen wurden, an das Telefon des Benutzers weitergeleitet werden, oder Alarmnachrichten, die von Aktienkursverfolgungssoftware oder Internetauktionsseiten erzeugt wurden, können einen Anruf an den Benutzer initiieren, um zu einer Reaktion auf das auslösende Ereignis aufzufordern.

Nachrichten, Anrufe und Datensitzungen, die durch den Zugangspunkt 50 initiiert werden, werden in das MNB-Netz geleitet, so dass sie von einem Benutzer in dem Makrozellen-Fernnetz empfangen werden könnten; gegebenenfalls kann Logik in den Zugangspunkt eingebunden werden, um zu identifizieren, ob der Empfänger der Nachricht/des Anrufs/der Datensitzung bereits an der Zelle angemeldet ist, so dass die Transaktion direkt über die Luftschnittstelle des Zugangspunkts 50 initiiert werden kann, ohne unnötig Kernnetzressourcen zu binden. Auf ähnliche Art und Weise werden Nachrichten, Anrufe und Datensitzungen, die durch den Zugangspunkt 50 beendet werden, direkt vom Kernnetz empfangen; gegebenenfalls kann der Zugangspunkt abgehende Transaktionen überprüfen, um zu identifizieren, ob seine eigene MSISDN der beabsichtigte Empfänger für die Transaktion ist und dadurch eine Entscheidung zu fällen, ob der Anruf abgefangen werden soll, um den unnötigen Gebrauch von Kernnetzressourcen zu vermeiden.
4 ist ein schematisches Blockdiagramm eines Mobilkommunikationsnetzes, in dem der Zugangspunkt (Access Point, AP) 50 unter Verwendung einer modifizierten Version der bestehenden UMA-Standardschnittstelle verbunden ist, um Backhaul zu unterstützen. Dies wird hierein als 3G-lizensierter UMA (L-UMA) oder 3G-L-UMA bezeichnet. In 4 beinhaltet der Zugangspunkt (AP) zudem die Funktionalität des in 1 gezeigten IP-Gateways 60.
Der UMA- oder 3GPP-GAN-Standard definiert eine Schnittstelle zwischen dem GANC-Controller und dem UE, der Up-Schnittstelle. Der Zugangspunkt 50 verwendet die standardisierte Nachrichtenübermittlung, um sich als ein Mobilfunkgerät zu registrieren und selbst zu authentifizieren und einen sicheren IPsec-Tunnel zu dem Kernnetz einzurichten.
4 zeigt ein einziges UE 30, obwohl mehrere UE an einem einzigen Zugangspunkt 50 angemeldet sein können. Die UE sind 3GPP-Standard-UMTS-UE ohne zusätzlichen Client. Sie können Handapparate, PDA, PC-Karten oder ein beliebiger anderer Formfaktor sein.
Das POTS- oder SIP-Telefon 62 wird zum Machen von Heimatnummeranrufen über den Zugangspunkt 50 verwendet.
Der PC-Client 44 steuert Präferenzen für lokale Dienste, Kontakte und das dynamische Verhalten von Anrufen/Sitzungen. Eine Softphone-Funktionalität kann in den PC-Client eingefunden werden.
Der Zugangspunkt 50 stellt die folgenden Funktionen bereit:
Er stellt lokale UMTS-Abdeckung mit 3GPP-Standards bereit.
Er beinhaltet ein für den Zugangspunkt 50 dediziertes USIM 160, das Konfiguration und Authentifizierung von UMTS-Diensten mit dem Kernnetz und Unterstützung dieser Dienste für den Heimatnummerdienst bereitstellt.
Er stellt eine Verbindung mit mehreren UE 30 über den 3GPP-Standard-Uu-Schnittstellen her, wobei AS- und NAS-Schichten lokal abgeschlossen werden.
Er stellt eine Verbindung mit dem lokalen POTS- oder SIP-Telefon 62 über eine POTS-Schnittstelle oder Heimatnetz/Ethernet-Schnittstelle zu einem eigenständigen VoIP-Telefon (SIP-Telefon) her.
Er stellt eine Verbindung mit dem lokalen PC-Client 44 und -Softphone über IP mittels einer Ethernet-Schnittstelle 82 her.
Er stellt eine Verbindung mit anderen lokalen oder dezentralen Zugangspunkten 162 mittels der Itf-Zz-Schnittstelle her.
Er liefert lokale Dienste ohne Einbindung von KN-Netzsignalisierung, einschließlich der Abwicklung lokaler Anrufe und lokalen Internetentlastung.
Er stellt eine Verbindung mit dem L-GANC 164 über die Up'-Schnittstelle mittels des generischen IP-Zugangsnetzes 70 zur RRC-äquivalenten Signalisierung und zum Austausch von Schlüsselmaterial her.
Er stellt eine Verbindung mit den KN-Legacy-NE (MSC 166, SGSN 168) auf der 3GPP-Standard-Uu-Schnittstelle (NAS-Schnittstelle) mittels der Uu'-Schnittstelle für die Signalisierung der NAS-Schichten (MM, CC/SS/SMS, GMM, SM) her.
Er stellt eine Verbindung mit dem Managementsystem (ZMS) 74 über die Itf-Z-Schnittstelle mittels des generischen IP-Zugangsnetzes 70 und des L-GANC-Sicherheitsgateways 170 zur Netzverwaltung, Diensteverwaltung, für Softwareaktualisierungen, zur Fehlerberichterstattung, Aktivitätsüberwachung und Problembehebung her. Die Itf-Z-Schnittstelle ist mittels des L-GANC-Sicherheitsgateways 170 verbunden.
Er stellt eine Verbindung mit dem öffentlichen Datennetz und dem Internet 172 über die Gi-L-Schnittstelle (lokale Gi-Schnittstelle) her, um direkten Zugriff auf lokale Daten und einen Dienst zur lokalen Internetentlastung ohne Beteiligung des Kernnetzes bereitzustellen.
Das generische IP-Zugangsnetz 70 stellt IP-Konnektivität zwischen den Zugangspunkten 50, 162 und den L-GANC 164 und zwischen den Zugangspunkten 50, 162 und dem Internet 172 bereit. Das generische IP-Zugangsnetz kann NAT/PAT anwenden und ist im Allgemeinen herkömmlich.
Bei dem 3G-L-GANC 164 handelt es sich um den UMTS-Licensed Generic Access Network Controller. Der L-GANC 164 stellt die folgenden Funktionen bereit:
Er stellt Funktionalität bereit, die zu der des RNC in der UMTS-Architektur äquivalent ist.
Er stellt sicheren Zugriff auf das Kernnetz über das generische IP-Zugangsnetz 70 bereit.
Er beinhaltet einen Standard-Sicherheitsgateway 170 zur Authentifizierung und IPsec-Tunnelung.
Er stellt eine Verbindung mit dem Kernnetz AAA 174 über die 3GPP-Standard-Wm-Schnittstelle zur Unterstützung der Authentifizierung, Autorisierung und Berechtigung von Verfahren her.
Er stellt eine Verbindung mit mehreren Zugangspunkten 50, 162 über die Up'-Schnittstelle mittels des generischen IP-Zugangsnetzes 70 zur RRC-äquivalenten Signalisierung und zum Austausch von Schlüsselmaterial her.
Er stellt einen sicheren Transport für die Itf-Z-Schnittstelle zwischen dem Zugangspunkt 50 und dem ZMS 74 bereit.
Er stellt eine Verbindung mit der MSC 166 des Kernnetzes über die 3GPP-Standard-Iu-CS-Schnittstelle zur Unterstützung von leitungsvermittelten Diensten her.
Er stellt eine Verbindung mit dem SGSN 168 des Kernnetzes über die 3GPP-Standard-Iu-CS-Schnittstelle zur Unterstützung von paketvermittelten Diensten her.
Er stellt einen sicheren Transport für die 3GPP-Standard-Uu-Schnittstelle (NAS-Schnittstelle) zwischen dem Zugangspunkt 50 und der MSC 166 und dem SGSN 168 des Kernnetzes bereit.
Er stellt eine Verbindung mit der SMLC 176 des Kernnetzes über die 3GPP-Standard-Lb-Schnittstelle zur Unterstützung von Standortinformationen für die UE, die in dem Zugangspunktnetz roamen, her.
Er stellt eine Verbindung mit der CBS 178 des Kernnetzes über die 3GPP-Standard-CBC-RNC-Schnittstelle zur Unterstützung von Zellenrundsendungsdiensten her.
Das Managementsystem (ZMS) 74 stellt eine OAM&P-Funktion für den Zugangspunkt 50 bereit. Genauer gesagt:
Es verwaltet den Zugangspunkt 50 unter Verwendung der Verfahren und Methoden, die in den DSL-Forum-Spezifikationen TR-069 beschrieben sind.
Es ist für die Bereitstellung des Zugangspunkts 50 während des Installationsvorgangs verantwortlich.
Es prüft auf Fehler, die von den verwalteten Zugangspunkten berichtet wurden.
Es stellt dem Betreiber ein Mittel zur Verwaltung der Konfiguration jedes Zugangspunkts 50 bereit.
Es stellt eine Benutzeroberfläche mit Sicherheit bereit, um die Funktionen, auf die der Benutzer Zugriff hat, zu beschränken.
Es stellt eine Verbindung mit dem Zugangspunkt 50 über die Itf-Z-Schnittstelle unter Verwendung einer sicheren IP-Verbindung her.
Es stellt die Mittel zur Verwaltung der Aktualisierung der Software für die Zugangspunkte bereit.
Es sammelt die Leistungsmetriken, die durch die Zugangspunkte berichtet werden.
Es stellt eine Verbindung mit dem Kundendienst und der Netzleitzentrale her.
Die UMTS-Kernnetzelemente MSC 166, SGSN 168, AAA 174 und HLR/HSS 180 sind 3GPP-Standardelement und werden nicht weiter beschrieben.
Der Zugangspunkt 50 wendet Standard-UE-Mechanismen an, um sich selbst zu authentifizieren. Dies wird durch Verwendung des IMS/SIP-Falls als ein Beispiel veranschaulicht. Der 3GPP-IMS-Standard beinhaltet eine Definition für eine Schnittstelle zur Unterstützung von drahtlosen LAN-UE, die SIM-Karten enthalten, hier als die WLAN/IMS-Schnittstelle bezeichnet. Da der Zugangspunkt 50 eine SIM-Karte 160 beinhaltet, kann er als ein drahtloses LAN-UE erscheinen, das eine SIM-Karte enthält, so dass dieser Mechanismus zur Authentifizierung des Zugangspunkts 50 mit dem MNB-Kernnetz wieder verwendet werden kann. Sehr ähnliche Mechanismen sind in nicht standardmäßige, so genannte „Prä-IMS”-Lösungen eingebunden, von denen viele ausdrücklich dazu konzipiert werden, die Integration von drahtlosen LAN-Vorrichtungen in ein herkömmliches 3GPP-Netz zu unterstützen.
Demzufolge ist 5 ein Diagramm, das die Standard-WLAN/IMS-Schnittstelle darstellt, wobei ein WLAN-UE 190 sich selbst mit dem Paketdaten-Gateway (PDG) 192 in einem 3GPP-Netz 194 authentifiziert.
6 ist ein Diagramm, das die angepasste Version des hier verwendeten Authentifizierungsmechanismus darstellt. Im Wesentlichen verwendet der Zugangspunkt 50 denselben Authentifizierungsmechanismus, wie er in den 3GPP-Standards spezifiziert ist, um sich selbst mit dem AAA-Server zu authentifizieren und einen sicheren IPsec-Tunnel zu erstellen, der am Paketdaten-Gateway (PDG) 200 abgeschlossen wird.
Der Zugangspunkt baut einen IPsec-Tunnel, der für sich selbst spezifisch ist, zu dem Heimatnetz auf. Daher bezieht der Zugangspunkt 50, nachdem er initialisiert wurde, eine lokale IP-Adresse von dem ISP, der mit dem DSL-Zugang in Verbindung steht. Der Zugangspunkt 50 benötigt dann eine sichere dedizierte IP-Verbindung zu dem Heimatnetz aus mehreren Gründen, wie Fernkonfiguration, Bereitstellung von VoIP-Unterstützung für ein POTS-Telefon und sichere Lieferung von UE-spezifischem Schlüsselmaterial beim Einrichten eines UE-spezifischen IPsec-Tunnels für jedes UE, das sich an den Zugangspunkt anbindet. Dies wird durch Einrichten eines VPN-artigen IPsec-ESP-Tunnels in Richtung des PDG 200 in dem Heimatnetz erreicht.
Der Zugangspunkt nutzt die Tatsache, dass es ein vom MNB-Heimatnetz bereitgestelltes USIM enthält, um diesen Tunnel unter Verwendung von IKEv2 mit EAP/AKA-Authentifizierung auf exakt dieselbe Art und Weise aufzubauen, wie es ein WLAN-UE gemäß R6 TS 23.234 tun würde.
Die folgenden Schritte werden beim Tunnelaufbau durchgeführt:

1. Der Zugangspunkt erhält die IP-Adresse des PDG 200 in dem MNB-Heimatnetz.
2. Der Zugangspunkt verwendet IKEv2 mit EAP-AKA-Authentifizierung zur Einrichtung des IPsec-Tunnels zu dem PDG 200, wobei eine Remote-IP-Adresse bezogen wird.

Der Zugangspunkt wird mit einer FQDN-Adresse (FQDN = Fully Qualified Domgin Name), die auf das PDG 200 zeigt, lokal konfiguriert, in ähnlicher Weise zu einem WAPN in dem WLAN-3GPP-Interworking-Framework. Der Zugangspunkt 50 löst die IP-Adresse des PDG 200 mittels DNS-Verfahren auf der FQDN-Adresse auf. Es wird vorausgesetzt, dass wie im Fall von WLAN-3GPP-Interworking (Netzanpassung) die FQDN-Adresse des PDG 200 in dem öffentlichen DNS existiert.
Der Zugangspunkt verwendet eine IMSI-basierte Netzzugangskennung (Network Access identifier, NAI), um sich selbst gegenüber dem MNB-Heimatnetz zu identifizieren, z. B. 0.<IMSI_ZAP>@.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org oder IMSI_ZAP@.zap.home_network_domain.
Wobei:
IMSI_ZAP die IMSI des USIM ist, das sich in dem Zugangpunkt befindet, MNC die Mobilnetzkennung des MNB-Heimatnetzes ist und MCC die Mobilfunkländerkennung ist. Der Vorsatz 0 kann verwendet werden, um anzuzeigen, dass AKA-anstelle von SIM-Authentifizierung angefordert wird.
Für das IKE-basierte Tunneleinrichtungsverfahren wird der Zugangspunkt den nativen NAT-Transversalsupport von IKEv2, nämlich den IETF RFC 3948 „UDP Encapsulation of IPsec ESP Packets”, nutzen, um mit der (wahrscheinlichen) Tatsache umzugehen, dass der Zugangspunkt sich hinter einer NAT-Vorrichtung befindet.
7 zeigt die Signalisierung, die an der Einrichtung des IPsec-Tunnels zwischen dem Zugangspunkt 50 und dem PDG 200 in dem MNB-Heimatnetz beteiligt ist. Dies geht von einer MNB-Heimatnetzarchitektur aus, die der für 3GPP-WLAN-Interworking in Betracht gezogenen ähnlich ist. Die Lösung hängt jedoch nicht strengstens von den Voraussetzungen in Bezug auf die Netzarchitektur ab; es reicht aus, dass die Architektur die Signalisierung vom Zugangspunkt zum PDG unterstützt, wie im Folgenden beschrieben. Obwohl das Tunnelaufbauverfahren zwischen dem Zugangspunkt/USIM und dem MNB-Heimatnetz exakt gemäß R6 TS 23.234 ist, wird es hier eingehender beschrieben, so dass die erforderlichen Änderungen (zur Lieferung von UE-spezifischem Schlüsselmaterial an den Zugangspunkt) bei Aufbau von UE-spezifischen Tunneln für jedes UE durch den Zugangspunkt beschrieben werden können.
Nachdem der Zugangspunkt die FQDN-Adresse des PDG zu einer IP-Adresse aufgelöst hat, initiiert er das Tunnelaufbauverfahren.
In Schritt 701 sendet der Zugangspunkt 50 die IKE_SA_INIT-Nachricht von seinem UDP-Port 500 an den UDP-Port 500 in dem PDG 200. Diese Nachricht initiiert die Einrichtung der IKE-SA zwischen Zugangspunkt und PDG und enthält Folgendes: eine SAi-Nutzlast, die die unterstützte Verschlüsselungssuite(n) trägt, z. B. Suite Nr. 2 in TS 33.234:
Verschlüsselung: AES mit festgelegter Schlüssellänge in CBC-Modus;
Integrität: AES-XCBC-MAC-96;
Pseudozufallsfunktion: AES-XCBC-PRF-128;
Diffie-Hellman-Gruppe 2;
den öffentlichen Diffie-Hellman-Schlüssel (DH-Schlüssel) des Zugangspunkts KEi und einen Einmal-Schlüssel Ni;
die NAT_DETECTION_SOURCE_IP-Nutzlast, die den Hash-Wert der Ursprungs-IP-Adresse (die lokale IP-Adresse des Zugangspunkts) und den Ursprungsport (500) trägt;
eine NAT_DETECTION_DESTINATION_IP-Nutzlast, die den Hash-Wert der Ziel-IP-Adresse (die IP-Adresse des PDG) und den Zielport (500) trägt.
In Schritt 702 empfängt das PDG 200 die IKE_SA_INIT-Nachricht und fährt mit dem Berechnen des Hash-Werts der Ursprungs-IP-Adresse und der Ursprungsportnummer des diese tragenden Pakets fort. Wenn dieser sich von dem Wert in der NAT_DETECTION_DESTINATION_IP-Nutzlast unterscheidet, weiß das PDG, dass der Zugangspunkt hinter einer NAT ist. Das PDG berechnet auch den Hash-Wert von dessen IP-Adresse und Port mit dem in der NAT_DETECTION_DESTINATION_IP-Nutzlast. Wenn dieser sich unterscheidet, weiß das PDG, dass es selbst sich hinter einer NAT befindet und in diesem Fall sollte es damit beginnen, Haltepakete zu senden, um die NAT-Verbindungen unverändert zu lassen. Das PDG erzeugt seine eigenen NAT_DETECTION_SOURCE_IP- und NAT_DETECTION_DESTINATION_IP-Nutzlasten auf dieselbe Art und Weise, wie dies der Zugangspunkt getan hat, um dem Zugangspunkt zu ermöglichen, zu bestimmen, ob er und/oder das PDG sich hinter NAT befinden.
Das PDG verwendet die empfangenen KEi und Ni zusammen mit seinem privaten DH-Schlüssel und seinem eigenen erzeugten Einmal-Schlüssel Nr, um sieben geheime Gemeinschaftsschlüssel zu erzeugen:
SK_ai/SK_ar, von dem Integritätsschutzalgorithmus (AES-XCBC-MAC-96) zum Schutz der IKE-Signalisierung zu verwenden
SK_ei/SK_er, von dem Verschlüsselungsalgorithmus (AES im CBC-Modus) zum Schutz der IKE-Signalisierung zu verwenden
SK_d, SK_pi/SK_pr
Das PDG schließt die Absprache der IKE-SA durch Senden der IKE_SA_INIT-Antwort ab. Diese wird (von Port 500 an Port 500) an die Ursprungs-IP-Adresse in dem IP-Paket, das die IKE_SA_INIT trägt, gesendet, um sicherzustellen, dass sie ungeachtet des Vorhandenseins von NAT zum Zugangspunkt zurückreist. Sie enthält:
eine SAi-Nutzlast, die die vom Zugangspunkt vorgeschlagene Verschlüsselungssuite trägt, wodurch deren Akzeptierung bestätigt wird
den öffentlichen Diffie-Hellman-Schlüssel (DH-Schlüssel) des PDG KEr und den Einmal-Schlüssel Nr
die NAT_DETECTION_SOURCE_IP-Nutzlast, die den Hash-Wert der Ursprungs-IP-Adresse (die lokale IP-Adresse des PDG) und den Ursprungsport (500) trägt
eine NAT_DETECTION_DESTINATION_IP-Nutzlast, die den Hash-Wert der Ziel-IP-Adresse (die IP-Adresse des Zugangspunkts) und den Zielport (500) trägt
In Schritt 703 prüft der Zugangspunkt, wenn der die IKE_SA_INIT-Antwort empfängt, die NAT_DETECTION_SOURCE_IP- und NAT_DETECTION_DESTINATION_IP-Nutzlasten auf dieselbe Art und Weise, wie dies das PDG getan hat, um festzustellen, ob er und/oder das PDG sich hinter NAT befinden oder nicht. Wenn eine NAT festgestellt wird, wird der Zugangspunkt sich zum Senden jeglicher künftigen IKE-Signalisierung von Port 4500 an Port 4500 umschalten.
Das PDG verwendet die empfangenen KEr und Nr zusammen mit seinem privaten DH-Schlüssel und seinem eigenen erzeugten Einmal-Schlüssel Ni, um die gleichen sieben geheimen Gemeinschaftsschlüssel zu erzeugen, wie dies das PDG zuvor getan hatte, und beginnt mit dem Schützen jeglicher künftigen IKE-Signalisierung mit SK_ai/SK_ar und SK_ei/SK_er.
Zu diesem Zeitpunkt wurde die IKE-SA eingerichtet und der Zugangspunkt und das PDG können sicher kommunizieren; es gab jedoch keine Authentifizierung. Diese wird von dem Zugangspunkt durch Senden der ersten IKE_AUTH-Anforderungsnachricht gestartet. Der Zugangspunkt stellt seine von der IMSI abgeleitete Identität durch die IDi-Nutzlast fest. Er erklärt zudem seine Absicht, EAP anstelle der standardmäßigen IKEv2-Authentifizierungsverfahren (auf Basis von zuvor gemeinsam genutzten geheimen Schlüsseln oder auf Basis eines Zertifikats) zu seiner Authentifizierung zu verwenden, indem er keine AUTH-Nutzlast einschließt, die durch eine dieser zwei Verfahren erzeugt wurde:
Die IKE_AUTH-Anforderungsnachricht initiiert auch die Einrichtung der IPsec-ESP-SA (CHILD_SA), die jeglichen Verkehr schützen wird, der über den Tunnel getragen wird.
Die Nachricht enthält Folgendes:
eine IDi-Nutzlast mit der Identität des Zugangspunkts,
IMSI_ZAP@.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org
eine IDr-Nutzlast mit der DPG-FQDN-Adresse
eine CP-Nutzlast, die eine Remote-IP-Adresse an dem PDG (zum Abschließen des IPsec-Tunnels) und möglicherweise die IP-Adresse von DNS-Servern, die sich in dem MNB-Heimatnetz befinden, (z. B. zur P-CSCF-Entdeckung) benötigt
SAi2, die die Sicherheitsverbindung-Nutzlast des Initiators (d. h. dem Zugangspunkt), die die Verschlüsselungssuite(n) enthält, zum Schutz des Verkehrs unterstützte, der in dem Tunnel getragen wird (d. h. durch die IPsec-ESP-SA), z. B. Suite Nr. 2 in TS 33.234:
Verschlüsselung: AES mit 128-Bit-Schlüsseln in CBC-Modus;
Integrität: AES-XCBC-MAC-96;
Tunnelmodus.
TSi, TSr enthalten die vorgeschlagenen Verkehrsselektoren, die die IP-Flüsse (Ursprungsbereich – Zielbereich) identifizieren, die über den Tunnel getragen werden sollen.
In Schritt 704 fragt das PDG den AAA-Server, den Zugangspunkt zu authentifizieren, indem er eine EAP-Authentifizierungsanforderungsnachricht sendet, die die festgestellte Identität IMSI_ZAP@.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org enthält.
In Schritt 705 kommuniziert der AAA-Server, wenn er keinen gültigen AKA-Authentifizierungsvektor (RAND, AUTN, RES, CK, IK) hat, mit dem HSS, um einen zu erhalten. Der HSS wird den AKA-Algorithmus für die IMSI_ZAP zur Erzeugung eines Authentifizierungsvektors ausführen.
In Schritt 706 verwendet der AAA-Server CK und IK, um einen Mastersitzungsschlüssel für diese IMSI (MSK_ZAP) und zusätzliche Schlüssel (TEK) zum Schützen der EAP-AKA-Pakete zu erzeugen.
In Schritt 707 verwendet der AAA-Server den AUTN und den RAND in dem Vektor, um sich selbst zu authentifizieren und den Zugangspunkt herauszufordern, sich selbst zu AKA-authentifizieren, indem er eine EAP-Anforderungs-/AKA-Herausforderungsnachricht sendet, die (RAND, AUTN) über das PDG zum Zugangspunkt trägt. Sie trägt außerdem eine MAC, um dem Zugangspunkt zu ermöglichen, sicherzustellen, dass das EAP-Paket auf dem Weg nicht verfälscht wurde.
In Schritt 708 leitet das PDG die EAP-Anforderung/AKA-Herausforderung (RAND, AUTN, MAC) in der IKE_AUTN-Antwort-Nachricht an den Zugangspunkt weiter und fügt ein Zertifikat ein, um sich selbst gegenüber dem Zugangspunkt zu authentifizieren (zusätzlich zu der EAP-AKA-basierten Authentifizierung, die in Schritt 718 stattfinden soll).
In Schritt 709 verwendet der Zugangspunkt sein USIM zum Ausführen des AKA-Algorithmus, d. h. er:
berechnet die MAC, um zu überprüfen, dass die EAP-Nachricht nicht verfälscht wurde;
prüft die AUTN-Gültigkeit;
erzeugt (RES, CK, IK).
Darüber hinaus berechnet der Zugangspunkt den MSK_ZAP-Punkt aus CK, IK & IMSI_ZAP.
In Schritt 710 authentifiziert sich der Zugangspunkt selbst, indem er den RES-Wert in der EAP-Anforderung/AKA-Herausforderung sendet, die in einer neuen IKE_AUTH-Anforderungsnachricht eingekapselt ist. Er kann auch die Gültigkeit des Zertifikats des PDG prüfen.
In Schritt 711 leitet das PDG die EAP-Anforderung/AKA-Herausforderung (RES) an den AAA-Server weiter, der sie mit dem RES-Wert vergleicht, der von dem HSS empfangen wurde, um den Zugangspunkt zu authentifizieren.
In Schritt 712 leitet der AAA-Server, wenn die Authentifizierung erfolgreich war, dann den MSK_ZAP an das PDG in einer EAP-Erfolg-Nutzlast weiter, die in der erfolgreichen Authentifizierungsantwort eingekapselt ist.
In Schritt 713 fragt das PDG den AAA-Server, den Zugangspunkt zu authentifizieren, um sich der Dienste zu erfreuen, die mit seiner FQDN-Adresse in Verbindung steht (WAPN-artig).
In Schritt 714 prüft der AAA-Server das Profil, das mit der IMSI_ZAP in Verbindung steht, um zu bestimmen, ob der Tunnel eingerichtet werden kann.
In Schritt 715 bestätigt der AAA-Server die Autorisierung zur Tunneleinrichtung.
In Schritt 716 informiert das PDG den Zugangspunkt, dass die Authentifizierung mit dem AAA-Server erfolgreich war, indem es die EAP-Erfolg-Nutzlast in der IKE_AUTH-Antwort sendet.
In Schritt 717 authentifiziert sich der Zugangspunkt selbst gegenüber dem PDG, indem er die IKE_SA_INIT-Nachricht von Schritt 701 mit dem MSK_ZAP-Schlüssel unterzeichnet und das Ergebnis in die AUTH-Nutzlast einer neuen IKE_AUTH-Anforderungsnachricht einfügt.
In Schritt 718 verwendet das PDG seine Kenntnis des MSK_ZAP-Punkts, um die AUTH-Nutzlast zu überprüfen, wodurch der Zugangspunkt authentifiziert wird. Dann verwendet das PDG den MSK_ZAP, um seine eigene AUTH-Nutzlast zu erzeugen, indem es die IKE_SA_INIT-Antwort von Schritt 702 unterzeichnet, um seine Identität gegenüber dem Zugangspunkt zu authentifizieren. Das PDG sendet diese in der IKE_AUTH-Antwortnachricht. Darüber hinaus sendet das PDG die zugeteilte Remote-IP-Adresse des Tunnels in der Konfigurationsnutzlast (CFG_REPLY) und die abgesprochene Verschlüsselungssuite (dieselbe wie die vorgeschlagene), SAr2 und die Verkehrsselektoren TSi, TSr, wodurch die Absprache der IPsec-ESP-SA abgeschlossen wird, die den gesamten Verkehr in dem Tunnel schützen wird. Schließlich verwendet der Zugangspunkt seine Kenntnis des MSK_ZAP, um die AUTH-Nutzlast zu überprüfen, wodurch das PDG authentifiziert wird.
Der Zugangspunkt 50 beinhaltet Client-Softwarefunktionen für die UMA- und WLAN/IMS-Schnittstellen (Client-Software, die für bestimmte, nicht standardmäßige Prä-IMS-Lösungen spezifisch sind, können ebenfalls in den Zugangspunkt eingebunden werden). Die Client-Funktionen ermöglichen dem Zugangspunkt, dem MNB-Netz gegenüber als ein Endgerät zu erscheinen, wie oben beschrieben, sie beinhalten jedoch auch Interworking-Funktionen, um einem Standard-GSM/UMTS-Endgerät, das an dem Zugangspunkt 50 angemeldet ist, zu ermöglichen, den UMA- und IMS-Schnittstellen gegenüber als eine UMA-Vorrichtung bzw. als ein WLAN-UE zu erscheinen. (Wiederum kann dasselbe Prinzip auf proprietäre Prä-IMS-Lösungen erweitert werden, die auf SIP basieren und ein hohes Ausmaß an Gemeinsamkeit mit SIP/IMS-Ansätzen haben.) SIP- und UMA-Clienten, die für Mobilfunkgeräte entwickelt wurden, können als Grundlage dieser Client-Funktionen verwendet werden – der große Nutzen für einen Mobilfunkbetreiber besteht dann, dass die Clienten, die Zugriff über ein IP-Netz ermöglichen, in dem Zugangspunkt 50 und nicht in dem Telefon unterstützt werden, so dass ältere Telefone weiterhin in einem IP-basierten Zugangsnetz verwendet werden können, wodurch die Investitionen des Betreibers verringert und die Dienste für Kunden verbessert werden.
Die Luftschnittstelle vom Zugangspunkt 50 zu dem Endgerät sollte unter Verwendung von Standard-GSM/UMTS-Verfahren verschlüsselt werden. Um die Verschlüsselung zu ermöglichen, muss der Zugangspunkt 50 auf Verschlüsselungscodeinformationen zugreifen, die vom MNB-Kernnetz direkt zu dem UE verteilt werden. Um den Zugriff auf die Verschlüsselungscodeinformationen zu erleichtern, wurden an den Standardmechanismen kleine Modifizierungen vorgenommen, um dem Zugangspunkt zu ermöglichen, die UE-Identifizierung zum Zugriff auf die Codes zu ermöglichen, die normalerweise nur dem UE bereitgestellt werden. Dieses Verfahren wird nur initiiert, nachdem der Zugangspunkt 50 von dem Kernnetz authentifiziert wurde, so dass er ein vertrauenswürdiges Element” ist. Des Weiteren sind die erhaltenen Codes temporäre Codes, die für jeden Anruf erneuert werden müssen – Mastercodes werden nicht mit dem Zugangspunkt ausgetauscht.
Die Umsetzung dieses Interworking-Prinzips für die UMA- und SIP/IMS-Schnittstellen wird im Folgenden ausführlicher beschrieben.
Eine Verwendung einer Interworking-Funktion besteht darin, UE-Zugriff und Verschlüsselungscodeaustausch unter Verwendung von UMA zu unterstützen. Wie oben beschrieben verbindet sich der Zugangspunkt 50 über ein generisches IP-Zugangsnetz mit dem Kernnetz. Es gibt zwei Optionen für diese Verbindung und die Mobilnetzbetreiber müssen zum Zeitpunkt der Inbetriebnahme dazu fähig sein, zwischen folgenden auszuwählen:
Sicherem IP-Zugriff, wobei sichere IPsec-Tunnel für jegliche Kommunikation vom Zugangspunkt mit dem Kernnetz angewendet werden, einschließlich zugangspunktspezifischen IPsec-Tunneln und UE-spezifischen IPsec-Tunneln; und
privatem IP-Zugriff, wobei der MNB das IP-Zugangsnetz besitzt oder direkte Kontrolle über dieses hat, das nicht durch beliebige öffentliche PDN geht, und in diesem Fall will der MNB möglicherweise nicht die IPsec-Verwaltung und -Overheads haben und vertraut möglicherweise stattdessen auf die intrinsische Sicherheit des privaten IP-Zugriffs.
Wenn der MNB sicheren IP-Zugriff auf das generische IP-Zugangsnetz benötigt, gilt Folgendes. Beim Einschalten richtet der Zugangspunkt unter Anwendung USIM-basierter Authentifizierung einen IPsec-Tunnel mit dem SeGW ein. Der IPsec-Tunnel des Zugangspunkts wird für folgendes verwendet:
Unterstützen von Zugangspunktsignalisierung und Netzverwaltungsfunktionen;
Unterstützen des Heimatnummerdienstes für Anrufe, die nicht von UE stammen (wie POTS), und Festnetzaustausch.
Für jedes UE, das in die Abdeckung durch den Zugangspunkt eintritt, richtet der Zugangspunkt den bzw. die UE-spezifischen IPsec-Tunnel mit dem SeGW mit USIM-basierter Authentifizierung (mit dem Zugangspunkt als dem Proxy) ein. 8 zeigt ein Beispiel, das den relevanten Teil des Systems von 4 zeigt, wobei es ein erstes UE (UE 1) 210 und ein zweites UE (UE 2) 220 gibt. In diesem Fall ist UE 1 ein UE, das leitungsvermittelte Dienste (CS-Dienste; CS = circuit-switched) anbietet und mit einem PDP-Kontext 230 mit hoher QoS mit den MNB-Datendiensten (z. B. MMS) verbunden ist und mit einem Best-Effort-Kontext 232 über den GGSN mit dem Internet verbunden ist, während UE 2 ein Nur-CS-UE ist, z. B. ein UE, für das der Endbenutzer keine aktivierte Datenkonnektivität hat.
In diesem Beispiel richtet der Zugangspunkt 50 einen jeweiligen Tunnel für jedes der zwei UE ein, nämlich einen ersten Tunnel 222 für das erste UE 210 und einen zweiten Tunnel 224 für das zweite UE 220. Diese Tunnel tragen den CS-Verkehr und gegebenenfalls den ersten PDP-Kontext. In diesem Beispiel richtet der Zugangspunkt 50 außerdem zusätzliche IPsec-Tunnel 226, 228 mit dem SeGW ein, beispielsweise zur QoS-Differenzierung von mehreren/sekundären PDP-Kontexten.
Der Zugangspunkt 50 instanziiert zudem eine UE-NAS und einen L-UMA-Client für KN-Signalisierung, auf transparente Weise zu dem älteren UE. Gegebenenfalls unterstützt der Zugangspunkt lokale Internetentlastung.
In anderen Beispielen können ein Tunnel pro Zugangspunkt und ein Tunnel pro UE oder ein Tunnel pro Zugangspunkt, der sämtlichen Verkehr pflegt (QoS-Differenzierung am äußeren IP-Header) oder keine IPsec-Tunnel, jedoch PPP oder Äquivalentes vom Zugangspunkt zu dem Kernnetz vorliegen.
Die Architektur mit einem hohen Ausmaß an Sicherheit ist im Folgenden spezifiziert.
IP-Netzsicherheit
Am Heim-Router gibt es eine Firewall. Im Fall der Option des sicheren IP-Zugriffs, jedoch nicht bei der Option des privaten IP-Zugriffs werden zudem alle Kommunikationen mittels IPsec-Tunneln zwischen dem Zugangspunkt und dem KN-Sicherheits-GW gesichert, und es gibt einen IPsec-Tunnel pro Zugangspunkt und mindestens einen pro UE, alle mit USIM-basierter Authentifizierung.
Sicherheit auf Ebene des Zugangspunkts
Der Zugangspunkt authentifiziert sich gegenüber dem Managementsystem 74 für Dienste; der Zugangspunkt registriert sich bei dem L-GANC und der Zugangspunkt authentifiziert sich gegenüber der MSC/dem SGSN des KN für Anruf-/Datendienste unter Verwendung einer USIM-basierten MM-Schicht-Authentifizierung. Im Fall der Option des sicheren IP-Zugriffs, jedoch nicht bei der Option des privaten IP-Zugriffs authentifiziert sich der Zugangspunkt gegenüber dem KN-Sicherheits-GW und richtet einen USIM-basierten IPsec-Tunnel ein.
Sicherheit auf Ebene des UE
Jedes UE wird von dem Zugangspunkt lokal auf Zugriff geprüft (durch eine IMSI), das UE registriert sich bei dem L-GANC, das UE authentifiziert sich gegenüber der MSC/dem SGSN des KN für Anruf-/Datendienste, wobei der Zugangspunkt als ein Proxy fungiert, unter Verwendung von USIM-basierter MM-Schicht-Authentifizierung gegenüber der MSC/dem SGSN, und an der Funkschnittstelle zwischen dem UE und dem Zugangspunkt gibt es eine Verschlüsselung unter Verwendung von IK, CK, die während des MM-Authentifizierungsverfahrens erfasst werden. Die MSC sendet diese an den L-GANC in dem RANAP-Sicherheitsmodus-Befehl und der L-GANC leitet sie in Erweiterungen der aktuellen GA-CSR-Nachrichten (URR-Nachrichten) oder in einer neuen dedizierten Nachricht an den Zugangspunkt weiter. Im Fall der Option des sicheren IP-Zugriffs, jedoch nicht bei der Option des privaten IP-Zugriffs kann die anfängliche UE-Signalisierung mit dem Kernnetz über zugangspunktspezifische IPsec-Tunnel getragen werden und das UE authentifiziert sich gegenüber dem Sicherheits-GW des Kernnetzes, wobei der Zugangspunkt (auf Basis des USIM) als ein Proxy fungiert und einen UE-spezifischen IPsec-Tunnel einrichtet und gegebenenfalls zusätzliche IPsec-Tunnel zur Festlegung von sekundären/mehreren PDP-Kontexten einrichtet, zur QoS-Differenzierung, außer wenn nur ein IPsec-Tunnel pro Zugangspunkt verwendet wird.
Im Fall eines IPsec-Tunnelaufbaus des Zugangspunkts verwendet der IPsec-Tunnel für den Zugangspunkt, wenn die Option des sicheren IP-Zugriffs verwendet wird, eine USIM-basierte Authentifizierung. An den Standard-IKEv2- und -EAP-AKA-Verfahren müssen keine Änderungen vorgenommen werden.
Auf den IPsec-Tunnelaufbau des Zugangspunkts folgt die Registrierung bei dem L-GANC durch den Zugangspunkt entsprechend dem Standardverfahren und die MM-Authentifizierung des Zugangspunkts, wiederum entsprechend dem Standardverfahren.
Im Fall der Option des sicheren IP-Zugriffs und vorausgesetzt, dass es nicht nur ein einziger IPsec-Tunnel pro Zugangspunkt gibt, wird ein UE-IPsec-Tunnel aufgebaut. In dieser Phase wird keine Funkverschlüsselung gestartet und das Verfahren muss UE-USIM-basiert sein.
Nachdem ein IPsec-Tunnel eingerichtet wurde, registriert der L-UMA-Client des Zugangspunkts das UE bei dem L-GANC entsprechend dem Standardverfahren.
Die Funkverschlüsselung wird mit dem MM-LAU-Verfahren mit der MSC synchronisiert. Die Verschlüsselungscodes (IK, CK) werden in dieser Phase unter Verwendung des Schlüsselmaterials, das die MSC in dem IuCS-RANAP-Sicherheitsmodus-Befehl an den L-GANC gesendet hat, im Zugangspunkt gespeichert. Der L-GANC leitet sie in Erweiterungen der aktuellen GA-CSR-Nachrichten (URR-Nachrichten) oder in einer neuen dedizierten Nachricht an den Zugangspunkt weiter.
9 stellt ausführlich das Verfahren zur Durchführung einer MM-Standortbereichsaktualisierung und Verschlüsselung im Fall einer leitungsvermittelten Registrierung dar, wobei die Authentifizierung und Verschlüsselung in der MSC zugelassen sind.
In Schritt 901 kann das UE 30 eine PLMN- und/oder Zellauswahl/-neuauswahl im Bereitschaftsmodus durchführen, indem es eine STANDORTAKTUALISIERUNGSANFORDERUNGS-Nachricht an den Zugangspunkt 50 sendet. Die Nachricht kann die IMSI oder TMSI des UE enthalten.
In Schritt 902 kann das Identifizierungsverfahren von dem Zugangspunkt initiiert werden, um die IMSI von dem UE zu erhalten, wenn nur eine TMSI in der STANDORTAKTUALISIERUNGSANFORDERUNGS-Nachricht empfangen wurde.
Schritt 903 ist nur auf die Option des sicheren IP-Zugriffs anwendbar (und nicht auf die Option eines einzigen IPsec-Tunnels pro Zugangspunkt anwendbar); andernfalls fährt das Verfahren direkt mit Schritt 904 fort. Die IKEv2- und EAP-AKA-Verfahren werden durchgeführt, um den sicheren IPsec-Tunnel zwischen dem Zugangspunkt und dem UNC einzurichten. Während des EAP-AKA-Verfahrens werden die Authentifizierungs- und Sicherheitsverfahren durchgeführt. In diesem Fall werden die SICHERHEITSMODUS-Nachrichten während des EAP-AKA-Verfahrens an das UE gesendet.
In Schritt 904 erzeugt und sendet der Zugangspunkt nach erfolgreichem Aufbau des IPsec-Tunnels die URR-REGISTRIERUNGSANFORDERUNGS-Nachricht an den UNC, um das UE beim UNC zu registrieren. Wir setzen voraus, dass der bedienende UNC bereits von dem Zugangspunkt entdeckt wurde, und in Schritt 905 wird die URR-REGISTRIERUNGSANNAHME-Nachricht von dem UNC empfangen, die darauf hinweist, dass das UE sich erfolgreich bei dem UNC registriert hat.
In Schritt 906 wird die ursprüngliche STANDORTAKTUALISIERUNGSANFORDERUNGS-Nachricht, die von dem UE empfangen wurde, in der URR-UL-DIREKTÜBERTRAGUNGS-Hülle an den UNC übertragen und in Schritt 907 überträgt der UNC die STANDORTAKTUALISIERUNGSANFORDERUNG an die MM-Teilschicht in der MSC.
Vorausgesetzt, dass Authentifizierung und Verschlüsselung in der 3G-MSC zugelassen sind, erzeugt die MM-Teilschicht dann in Schritt 908 die AUTHENTIFIZIERUNGSANFORDERUNGS-Nachricht, die die 3G-RAND- und -AUTN-Parameter enthält, und in Schritt 909 erzeugt und sendet der UNC die URR-DL-DIREKTÜBERTRAGUNGS-Nachricht, die die AUTHENTIFIZIERUNGSANFORDERUNG enthält, an den Zugangspunkt.
In Schritt 910 empfängt der Zugangspunkt die URR-DL-DIREKTÜBERTRAGUNG und sendet die AUTHENTIFIZIERUNGSANFORDERUNGS-Nachricht an das UE.
In Schritt 911 führt das UE das 3G-Authentifizierungsverfahren durch und erzeugt die RES, die in der AUTHENTIFIZIERUNGSANTWORT-Nachricht an den Zugangspunkt gesendet wird. In Schritt 912 sendet der Zugangspunkt die AUTHENTIFIZIERUNGSANTWORT-Nachricht in der URR-UL-DIREKTÜBERTRAGUNG an den UNC und in Schritt 913 empfängt der UNC die URR-UL-DIREKTÜBERTRAGUNG und sendet die AUTHENTIFIZIERUNGSANTWORT-Nachricht an die MSC.
In Schritt 914 wird die RES, die in der AUTHENTIFIZIERUNGSANTWORT enthalten war, in der MSC validiert. Die Verschlüsselung wird zugelassen, indem der Sicherheitsmodus-Befehl an den UNC gesendet wird, die die CK- und IK-Verschlüsselungs- und -Integritätscodes enthalten sollte. In Schritt 915 sendet der UNC die Verschlüsselungs- und Integritätsinformationen in einem modifizierten URR-VERSCHLÜSSELUNGSMODUS-BEFEHL (oder einer neuen URR-SICHERHEITSMODUS-BEFEHL-Nachricht) an den Zugangspunkt.
Als Antwort erzeugt der Zugangspunkt in Schritt 916 die SICHERHEITSMODUS-BEFEHL-Nachricht, die den UEA (Verschlüsselungsalgorithmus), den UIA (Integritätsalgorithmus) und FRESH- und MAC-I-Informatioen enthält. Es ist zu beachten, dass die UEA, UTA, FRESH und MAC-I von dem Zugangspunkt bezogen werden könnten.
In Schritt 917 wird die SICHERHEITSMODUS-ABGESCHLOSSEN-Nachricht von dem UE an den Zugangspunkt gesendet und in Schritt 918 erzeugt der Zugangspunkt die modifizierte URR-VERSCHLÜSSELUNGSMODUS-ABGESCHLOSSEN-Nachricht (oder eine neue URR-SICHERHEITSMODUS-ABGESCHLOSSEN-Nachricht). In Schritt 919 sendet der UNC die VERSCHLÜSSELUNGSMODUS-ABGESCHLOSSEN-Nachricht an die MSC.
In Schritt 920 sendet die MSC die STANDORTAKTUALISIERUNGSANNAHME-Nachricht an den UNC und in Schritt 921 sendet der UNC die URR-DL-DIREKTÜBERTRAGUNGS-Nachricht, die die STANDORTAKTUALISIERUNGSANNAHME enthält, an den Zugangspunkt und in Schritt 922 sendet der Zugangspunkt die STANDORTAKTUALISIERUNGSANNAHME an das UE, um das Registrierungsverfahren abzuschließen.
Somit leitet der L-GANC 164 die Verschlüsselungscodes an den Zugangspunkt 50 zur Funkverschlüsselung weiter. Die IuCS-Nachrichten sind die Standardnachrichten, die L-UMA-Nachrichten sind Weiterentwicklungen der Standard-UMA-Nachrichten.
Als Alternative zu dem obigen oder zusätzlich dazu kann eine Interworking-Funktion in dem Zugangspunkt bereitgestellt werden, um UE-Zugriff und Verschlüsselungscodeaustausch unter Verwendung der 3GPP-WLAN/IMS-Schnittstelle zu unterstützen. Das Zugangspunkt-SIP-Framework verwendet diese Aspekte des 3GPP-WLAN-Interworking-Framework wieder, die für einen generischen IP-Zugriff auf 3GPP-Dienste gültig und nicht WLAN-zugangsspezifisch sind.
Die Grundkonzepte, die wieder verwendet werden, sind:
Die Verwendung eines IKEv2-erzeugten IPsec-ESP-Tunnels als dem IP-Konnektivitätsträger zu einem Zugangs-/Sicherheits-Gateway in dem MNB-Heimatnetz (auf ähnliche Art und Weise wie der PDP-Kontext, wenn das Zugangsnetz ein GPRS ist) und
die Verwendung von EAP-AKA/SIM-basierter wechselseitiger Authentifizierung der IPsec-Tunnel.
Der Einfachheit halber wird der Ausdruck PDG wieder verwendet, um das Zugangs/Sicherheits-Gateway in dem MNB-Heimatnetz zu bezeichnen, das die Tunnel abschließt; selbstverständlich muss die Gateway-Funktionalität jedoch nicht ganz genau dieselbe sein wie die des 3GPP-WLAN-PDG.
Der Zugangspunkt wird zwei Arten von IPsec-Tunneln zu dem PDG aufbauen: einen zugangspunktspezifischen Tunnel (zur Abwicklung jeglicher mit dem Zugangspunkt zusammenhängenden Signalisierung) und einen oder mehrere UE-spezifische Tunnel für jedes UE, bei dem es sich um ein an den Zugangspunkt angebundenes GSM/UMTS handelt. Somit baut die dargestellte Zugangspunkt-SIP-Lösung darauf auf, dass der Zugangspunkt UE-spezifische IPsec-Tunnel für das UE erzeugt, durch die jeglicher mit dem UE zusammenhängender Verkehr mit dem MNB-Heimatnetz ausgetauscht wird, so dass das UE einen nahtlosen Zugriff auf die üblichen 3GPP-CS- und -PS-basierten Dienste hat, wenn es ein an den Zugangspunkt angebundenes GSM/UMTS ist.
Das Hauptproblem, das beim Aufbau dieser EAP-AKA/SIM-authentitfizierten UE-spezifischen Tunnel zu bewältigen ist, besteht dann, dass der Zugangspunkt, während er die EAP-Signalisierung abschließt, keinen direkten Zugriff auf das (U)SIM hat, das sich in dem UE befindet. Während der Zugangspunkt das UE/(U)SIM dazu veranlassen kann, den AKA/SIM-Algorithmus auszuführen, indem er ein UMTS/GSM-Authentifizierungsverfahren initiiert (wodurch das GSM/UMTS-Authentifizierungsverfahrens des UE und des Zugangspunkts mit dem Tunnelauthentifizierungsverfahren des Zugangspunkts und des PDG verknüpft wird), hat er keinen direkten Zugriff auf das Schlüsselmaterial, das in dem UE/(U)SIM erzeugt wird, wenn der AKA/SIM-Algorithmus ausgeführt wird. Deshalb muss der Zugangspunkt dieses Schlüsselmaterial direkt von dem MNB-Heimatnetz erhalten. Zwei alternative Verfahren, um dies zu erzielen, werden beschrieben und jedes Verfahren erfordert eine leicht unterschiedliche Schnittstellenstruktur zwischen dem Zugangspunkt und dem MNB-Heimatnetz.
10 stellt eine erste Architektur dar, die auf den Fall zutrifft, in dem das „Inband”-Verfahren des Erhaltens des UE-spezifischen Schlüsselmaterials beim Tunnelaufbau angewendet wird.
Folglich gibt es in der in 10 gezeigten Architektur eine Uu-Schnittstelle 240 zwischen dem UE 30 und dem Zugangspunkt 50, eine Wu'-Schnittstelle 242 zwischen dem Zugangspunkt 50 und dem PDG 200 und eine Wm-Schnittstelle 244 zwischen dem PDG 200 und dem AAA-Server 174.
Die Uu-Schnittstelle 240 ist die übliche GSM/UMTS-Luftschnittstelle zwischen dem UE und dem Zugangspunkt.
Die Wu'-Schnittstelle 242 ist eine erweiterte Version der in R6 TS 23.234 definierten Wu-Schnittstelle. Wenn sie von dem Zugangspunkt zum Aufbau eines EAP-AKA-authentifizierten IPsec-Tunnels für sich selbst (unter Verwendung des lokalen Zugangspunkt-USIM) verwendet wird, ist sie von der Standard-Wu-Schnittstelle nicht unterscheidbar. Sie kann jedoch auch von dem Zugangspunkt zum Aufbau eines EAP-AKA/SIM-authentifizierten IPsec-Tunnels für ein UE verwendet werden, wobei in diesem Fall zusätzliche Funktionalität unterstützt wird, um dem Zugangspunkt zu ermöglichen, das MNB-Heimatnetz anzufordern, das UE-spezifische, AKA/SIM-erzeugte Schlüsselmaterial zu liefern.
Dies überträgt sich in die Definition von drei neuen proprietären Attributtypen für den IKEv2-CFG_REQUEST-Nutzlasttyp, zwei, um den Verschlüsselungscode (CK) und den Integritätsschutzcode (IK) im Fall einer AKA-Authentifizierung zu tragen, und der dritte, um den eigenständigen Verschlüsselungscode (Kc) im Fall einer SIM-Authentifizierung zu tragen.
Die Wm'-Schnittstelle ist eine erweiterte Version der in R6 TS 23.234 definierten Wm-Schnittstelle. Wenn sie während der Authentifizierung und Autorisierung eines zugangspunktspezifischen Tunnels verwendet wird, ist sie von der Standard-Wm-Schnittstelle nicht unterscheidbar. Wenn sie jedoch während der Authentifizierung und Autorisierung eines UE-spezifischen Tunnels verwendet wird, wird zusätzliche Funktionalität unterstützt, um dem AAA-Server zu ermöglichen, den Verschlüsselungscode (CK) und den Integritätsschutzcode (IK) im Fall einer AKA-Authentifizierung oder den eigenständigen Verschlüsselungscode (Kc) im Fall einer SIM-Authentifizierung weiterzuleiten (an das PDG).
11 stellt eine zweite Architektur dar, die auf den Fall zutrifft, in dem das „Außerband”-Verfahren des Erhaltens des UE-spezfischen Schlüsselmaterials beim Tunnelaufbau angewendet wird. In diesem Fall benötigt der Zugangspunkt 50 eine direkte Schnittstelle zu dem AAA-Server 174 in dem MNB-Heimatnetz, um das UE-spezifische Schlüsselmaterial zum Zeitpunkt des Aufbaus des UE-spezfischen Tunnels abzurufen. Folglich gibt es in der in 11 gezeigten Architektur eine Uu-Schnittstelle 250 zwischen dem UE 30 und dem Zugangspunkt 50, eine Wu-Schnittstelle 252 zwischen dem Zugangspunkt 50 und dem PDG 200, eine Wm-Schnittstelle 254 zwischen dem PDG 200 und dem AAA-Server 174 und eine Wax-Schnittstelle 256 zwischen dem Zugangspunkt 50 und dem AAA-Server 174.
Die Uu-Schnittstelle 250 ist die übliche GSM/UMTS-Luftschnittstelle zwischen dem UE und dem Zugangspunkt.
Die Wu-Schnittstelle 252 ist im Grunde identisch mit der in R6 TS 23.234 definierten Wu-Schnittstelle; die einzigen Unterschiede betreffen das Format der verwendeten Identitäten. Die als die Zugangspunktidentität verwendete NAI enthält einen spezifischen Vorsatz, um sie von einem WLAN-UE zu unterscheiden. Die als die UE-Identität verwendete NAI ist mit der Identität (IMSI) des Zugangspunkts dekoriert, um gegenüber dem MNB-Heimatnetz deutlich zu machen, dass das UE an diesen spezifischen Zugangspunkt angebunden ist.
Die Wm-Schnittstelle 254 ist im Grunde mit der in R6 TS 23.234 definierten Wm identisch; die einzigen Unterschiede betreffen das Format der Identitäten, die zur Identifizierung des Zugangspunkts und der UE, die an den Zugangspunkt angebunden ist, verwendet werden, wie im vorherigen Abschnitt erörtert.
Die Wax-Schnittstelle 256 wird von dem Zugangspunkt verwendet, um das UE-spezifische Schlüsselmaterial abzurufen (vom AAA-Server), das erzeugt wird, wenn der AKA/SIM-Algorithmus während der Authentifizierung von UE-spezifischen Tunneln ausgeführt wird. Das verwendete Protokoll ist je nach dem AAA-Server-Support RADIUS oder DIAMETER. Die Wax-Schnittstelle ist eine Kombination der in R6 TS 23.234 für 3GPP-WLAN-Interworking definierten Wa- und Wx-Schnittstellen. Sie ist der Wa-Schnittstelle insofern ähnlich, dass sie das Zugangsnetz (den Zugangspunkt) mit dem AAA-Server in dem MNB-Heimatnetz mittels eines AAA-Protokolls verbindet. Ihr Zweck (Authentifizierungsvektormaterial CK und IK oder Kc abzurufen) ist jedoch dem der Wx-Schnittstelle zwischen dem AAA-Server und dem HSS ähnlich.
Das Endziel der Zugangspunkt-SIP-Lösung besteht darin, nahtlosen Support für dieselben Dienste bereitzustellen, wenn das UE ein GSM/UMTS ist, das an den Zugangspunkt angebunden ist, wie sie genossen werden, wenn es ein GSM/UMTS ist, das über das makrozellulare GSM/UMTS-Zugangsnetz an das MNB-Heimatnetz angebunden ist.
Da das UE nicht über ein generisches IP-Zugangsnetz auf die 3GPP-Dienste des MNB-Heimatnetzes zugreifen kann, führt der Zugangspunkt diese Aufgabe für das UE durch. Aus diesem Grund muss der Zugangspunkt IP-Träger für das UE zwischen sich selbst und dem MNB-Heimatnetz zum Tragen des mit dem UE zusammenhängenden Verkehrs aufbauen. Der beste Weg, dies zu erreichen, besteht darin, VPN-artige IPsec-ESP-Tunnel für das UE in ziemlich genau derselben Art und Weise aufzubauen, wie in dem WLAN-3GPP-Interworking-Framework für WLAN-3GPP-IP-Zugriff (Szenario 3) für ein WLAN-UE in 3GPP R6 TS 23.234 definiert ist. Dies ist dann begründet, dass der Zugangspunkt auf diese Weise jedes UE gegenüber dem MNB-Heimatnetz wie ein WLAN-UE aussehen lässt und somit die Infrastruktur des MNB-Heimatnetzes für WLAN-3GPP-Interworking für die Zugangspunkt-SIP-Zugriffslösung wieder verwendet werden kann.
Das Tunnelmanagement-Framework kann wie folgt beschrieben werden:

1. Der Zugangspunkt wird eine Datenbank enthalten, die GPRS-APN in PDG-FQDN-Adressen auf einer 1:1-Basis umsetzt (Mapping), d. h.: Wenn GPRS-APN x in FQDN-Adresse x umgesetzt wird, gibt FQDN-Adresse x Zugriff auf denselben Satz von 3GPP-PS-basierten Diensten, wie er dem UE durch dem GPRS-APN x zur Verfügung stehen würde, wenn es sich in dem makrozellularen GSM/UMTS-Zugangsnetz befinden würde.
2. Während der UE-initiierten GSM/UMTS-Anbindung an den Zugangspunkt baut dieser einen Standard-IPsec-Tunnel zu dem PDG für das UE auf. Die Authentifizierungs- und Schlüsselerzeugungsverfahren in den Schnittstellen zwischen UE und Zugangspunkt sowie Zugangspunkt und PDG werden von dem Zugangspunkt miteinander verknüpft. Dieser Tunnel wird in Richtung einer standardmäßigen (lokal konfigurierten) FQDN-Adresse (FQDN = Fully Qualified Domain Name), FQDN_0, aufgebaut, die sowohl das PDG als auch einen Satz von bereitzustellenden Diensten identifiziert. Der von FQDN_0 unterstützte Satz von Diensten beinhaltet alle 3GPP-CS-basierten Dienste, die normalerweise dem UE zur Verfügung stehen, wenn es an dem makrozellularen GSM/UMTS-Zugangsnetz angemeldet ist, d. h. CS-Sprachanrufe, SMS usw. FQDN_0 kann auch die 3GPP-PS-basierten Dienste unterstützen, die mit einem spezifischen GPRS-APN in Verbindung stehen.
3. Anschließend, wenn das UE die Aktivierung eines PDP-Kontexts gegenüber einem GPRS-APN anfordert: • Wenn kein PDP-Kontext bereits für dieses GPRS-APN aktiv ist (Verfahren zur Aktivierung von primärem PDP-Kontext), prüft der Zugangspunkt die interne Datenbank von Verbindungen zwischen GPRS-APN und PDG-FQDN-Adressen, um zu sehen, ob dieses APN mit FQDN_0 in Verbindung steht. Falls dies der Fall ist, wird der existierende IPsec-Tunnel wieder verwendet. Der Zugangspunkt teilt dem PDP-Kontext die Remote-IP-Adresse und die interne DNS-Server-Adresse zu, die mit dem existierenden Tunnel in Verbindung stehen (d. h. er sendet diese in der PDP-KONTEXT-AKTIVIERUNGSANNAHME). Falls dies nicht der Fall ist, baut der Zugangspunkt einen neuen Tunnel in Richtung der FQDN-Adresse auf, die mit dem GPRS-APN in Verbindung steht, und teilt dem PDP-Kontext die Remote-IP-Adresse und die interne DNS-Server-Adresse zu, die mit dem neuen Tunnel in Verbindung stehen (d. h. er sendet diese in der PDP-KONTEXT-AKTIVIERUNGSANNAHME). • Wenn bereits ein PDP-Kontext für dieses GPRS-APN aktiv ist (Verfahren zur Aktivierung von sekundärem PDP-Kontext), wird der existierende Tunnel wieder verwendet.

Der Zugangspunkt baut automatisch einen standardmäßigen, UE-spezifischen IPsec-Tunnel in Richtung von FQDN_0 auf, wenn sich das UE-GSM/UMTS an den Zugangspunkt anbindet. FQDN_0 stellt einen minimalen Zugriff auf CS-SIP-Interworking für 3GPP-CS-basierte Dienste bereit und kann möglicherweise auch Zugriff auf die 3GPP-PS-basierten Dienste bereitstellen, die für ein spezifisches GPRS-APN unterstützt werden.
Der Zugangspunkt verwendet die IP-Adresse wieder, die aus der Auflösung der FQDN-Adresse des PDG zum Zeitpunkt des Aufbaus des zugangspunktspezifischen Tunnels erhalten wurde. Auf diese Weise wird dasselbe PDG verwendet, um alle Tunnel abzuschließen, die von dem Zugangspunkt ausgehen, d. h. sowohl der zugangspunktspezifische Tunnel als auch alle UE-spezifischen Tunnel.
Wenn der Zugangspunkt den Aufbau des Tunnels für das UE anfordert, wird die verwendete festgestellte Identität zusammengesetzt, indem die IMSI-basierte NAI des UE mit der IMSI des Zugangspunkts dekoriert wird. Auf diese Weise sind dem Heimatnetz sowohl die Identität des UE, für das der Tunnel angefordert wird, als auch die Identität des Zugangspunkts, der die Anforderung vornimmt, bekannt. Auf ähnliche Art und Weise zu der bei dem WLAN-3GPP-IP-Zugriff eingesetzten [siehe 3GPP R6 TS 23.003, „Numbering, addressing and identification for 3GPP System to WLAN Interworking”] wird die festgestellte Identität ebenfalls mit einem Flag dekoriert, das anzeigt, ob EAP-AKA- oder EAP-SIM-Authentifizierung verwendet werden sollte, z. B. 0<IMSI_UE>@<IMSI_ZAP>.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org für EAP-AKA oder 1<IMSI_UE>@<IMSI_ZAP>.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org für EAP-SIM.
Für das IKE-basierte Tunneleinrichtungsverfahren wird der Zugangspunkt den nativen NAT-Transversalsupport von IKEv2 nutzen, um mit der (wahrscheinlichen) Tatsache umzugehen, dass der Zugangspunkt sich hinter einer NAT-Vorrichtung befindet. Sobald der IPsec-ESP-Tunnel eingerichtet wurde, wendet der Zugangspunkt IETF RFC 3948, „UDP Encapsulation of IPsec ESP Packets”, an, um mit der Tatsache umzugehen, dass der Zugangspunkt sich hinter einer NAT-Vorrichtung befindet.
Die Zugangspunkt-SIP-Lösung zum Einrichten von IPsec-Tunneln zu dem MNB-Heimatnetz für das UE baut auf zwei ineinander greifende Sicherheitsverfahren zur Bereitstellung von Ende-zu-Ende-Sicherheit auf Ebene des Zugangsnetzes auf.
Erstens führt der Zugangspunkt im Fall eines UE, das eine UMTS-Anbindung an den Zugangspunkt durchführt, eine wechselseitige UMTS-Zugangsauthentifizierung mit dem UE/USIM für das MNB-Heimatnetz (HSS/HLR) gemäß R99 TS 33.102, „3G Security; Security architecture”, durch und der Zugangspunkt führt eine wechselseitige Tunnelauthentifizierung mit dem MNB-Heimatnetz (mit sowohl dem AAA-Server/HSS als auch dem PDG) für das UE/USIM (gemäß IKEv2 unter Verwendung von EAP-AKA) durch.
Zweitens führt der Zugangspunkt im Fall eines UE, das eine GSM-Anbindung an den Zugangspunkt durchführt, eine GSM-Zugangsauthentifizierung des UE/SIM für das MNB-Heimatnetz (HSS/HLR) gemäß ETSI GSM 03.20: „Digital cellular telecommunications system (Phase 2+); Security related network functions” durch und der Zugangspunkt führt eine wechselseitige Tunnelauthentifizierung mit dem MNB-Heimatnetz (mit sowohl dem AAA-Server/HSS als auch dem PDG) für das UE/USIM (gemäß IKEv2 unter Verwendung von EAP-SIM) durch.
In beiden Fällen können die zwei Verfahren verknüpft werden, da sie beide auf das Ausführen der SIM/AKA-Algorithmen zur Authentifizierung und Erzeugung von Schlüsselmaterial für Zugriffsschichtverschlüsselung und Integritätsschutz aufbauen. Der Zugangspunkt hat jedoch keinen direkten Zugriff auf eine beliebige der Entitäten, auf denen der SIM/AKA-Algorithmus ausgeführt wird, d. h. dem (U)SIM des UE oder dem HSS/HLR.
Während der Zugangspunkt eine wechselseitige Authentifizierung mit dem AAA-Server in dem MNB-Heimatnetz für das UE/(U)SIM durch Umsetzung des EAP-Anforderungs-/Antwort-Austauschs in den MM:- Authentifizierungsanforderungs-/-antwort-Austausch durchführen kann, muss er nach wie vor das Schlüsselmaterial beziehen, das erzeugt wird, wenn der AKA/SIM-Algorithmus ausgeführt wird, um eine Authentifizierung gegenüber dem PDG für das UE gemäß IKEv2/EAP durchzuführen und um die GSM/UMTS-Luftschnittstelle zu sichern.
Im Hinblick auf das Durchführen einer Authentifizierung gegenüber dem PDG ist es allgemein der Fall, dass, wenn EAP-AKA (in IKEv2 eingekapselt) zur Authentifizierung zwischen zwei IKEv2-Peers beim (IPsec-Tunnelaufbau) verwendet wird, basiert die wechselseitige Authentifizierung darauf, dass beide Peers beweisen, dass sie dasselbe geteilte Geheimnis infolge des EAP-AKA-Austauschs erhalten haben. Dieses geteilte Geheimnis ist der Mastersitzungsschlüssel, MSK (= Master Session Key), der aus den gemeinschaftlichen CK- und IK-Codes erhalten werden, die erzeugt wurden, als der AKA-Algorithmus an beiden Enden während des EAP-AKA-Austauschs ausgeführt wurde.
Im aktuellen Fall empfängt das PDG den Mastersitzungsschlüssel von dem AAA-Server. Da der Zugangspunkt jedoch nicht selbst den AKA-Algorithmus ausführen kann und auf keinerlei Weise CK und IK von dem UE/USIM selbst erhalten kann, muss ein externer Weg vorhanden sein, über den der Zugangspunkt CK und IK erhält, die er benötigt, um sich selbst gegenüber dem PDG für das UE authentifizieren.
Dasselbe gilt für den Fall einer EAP-SIM-Authentifizierung, wobei CK und IK durch Kc ersetzt werden.
Im Hinblick auf das Sichern der GSM/UMTS-Luftschnittstelle muss der Zugangspunkt, wenn das UE eine UMTS-Registrierung bei dem Zugangspunkt durchführt, den gleichen Satz von Codes (CK, IK) für die UMTS-Verschlüsselungs- und -Integritätsschulzalgorithmen (zwischen dem UE und dem RNC) wie dem am UE/USIM erzeugten beziehen. Ein ähnliches Problem tritt im Fall einer GSM-Registrierung in Bezug auf den Verschlüsselungscode Kc auf.
Folglich benötigt der Zugangspunkt jedes Mal Zugriff auf CK und IK, wenn der AKA-Algorithmus zwischen dem UE/USIM und dem HSS/HLR ausgeführt wird, und auf Kc, wenn der „SIM”-Algorithmus zwischen dem UE/USIM und dem HSS/HLR ausgeführt wird.
Wie hier beschrieben erhält der Zugangspunkt diese Codes vom MNB-Heimatnetz. Der Zugangspunkt kann die Codes während des Aufbaus des IPsec-Tunnels für das UE von dem MNB-Heimatnetz erhalten, entweder „Außerband” über die zuvor existierende Verbindung zwischen dem Zugangspunkt und dem MNB-Heimatnetz auf Basis des USIM, das sich in dem Zugangspunkt selbst befindet, oder „Inband” durch Huckepackübertragung (Piggybacking) auf der EAP-Signalisierung, um den Tunnel für das UE einzurichten.
In jeder der Lösungen ist es wichtig, dass diese Codes sicher transportiert werden. Dies kann erzielt werden, indem auf die Tatsache vertraut wird, dass es ein zuvor geteiltes Geheimnis zwischen dem Zugangspunkt und dem MNB-Heimatnetz gibt, d. h. den MSK_ZAP, der an beiden Enden erzeugt wurde, als der Zugangspunkt zuvor den IPsec-Tunnel mit dem MNB-Heimatnetz auf Basis seines eigenen USIM einrichtete.
12 stellt die „Inband”-Lösung dar, in der die Codes während der Signalisierung vom AAA-Server im MNB-Heimatnetz an den Zugangspunkt (über das Gateway) gesendet werden, um den mit dem UE zusammenhängenden IPsec-Tunnel selbst einzurichten. Dies erfordert eine gewisse Modifizierung der Nutzlasten der IKEv2/EAP-Austausche im Vergleich zu denen, die für die Wu- und Wm-Schnittstellen in TS 23.234 definiert sind, um die Codes zu tragen.
Die Codes können zwischen dem PDG und dem Zugangspunkt sicher übertragen werden, da es zwischen ihnen ein zuvor geteiltes Geheimnis gibt, MSK_ZAP, das zu dem Zeitpunkt erzeugt wurde, zu dem der zuvor existierende IPsec-Tunnel zwischen dem Zugangspunkt/USIM und dem MNB-Heimatnetz aufgebaut wurde.
Wenn der Zugangspunkt den Aufbau eines IPsec-Tunnels für das UE anfordert, stellt er dessen Identität als
0<IMSI_UE>@<IMSI_ZAP>.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org im Fall einer UMTS-Anbindung oder als
1<IMSI_UE>@<IMSI_ZAP>.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org im Fall einer GSM-Anbindung fest.
Im Fall einer GSM-Anbindung fordert der Zugangspunkt das PDG auf, den UE-spezifischen Verschlüsselungscode Kc zu liefern, indem es ein zusätzliches (proprietäres) Attribut, Kc_AT, in die CFG_REQUEST-Nutzlast der anfänglichen IKE_AUTH-Anf.-Nachricht einbindet.
Im Fall einer UMTS-Anbindung fordert der Zugangspunkt das PDG auf, die UE-spezifischen Verschlüsselungs- und Integritätscodes (CK, IK) zu liefern, indem es zwei zusätzliche (proprietäre) Attribute, CK_AT und IK_AT, in die CFG_REQUEST-Nutzlast der anfänglichen IKE_AUTH-Anf.-Nachricht einbindet.
Das PDG sendet dann die Authentifizierungsanforderung an den AAA-Server, der die Identität aufführt, die in der IDi-Nutzlast empfangen wurde (und die FQDN_0, die den Zugangspunkt für CS-SIP-Interworking identifiziert).
Ausgehend von der Tatsache, dass die IDi-Nutzlast eine IMSI (UE) enthält, die mit einer anderen IMSI (Zugangspunkt) dekoriert ist, wird sich der AAA-Server dessen bewusst, dass dies eine Anforderung eines UE-spezifischen Tunnels und nicht eines zugangspunktspezifischen Tunnels ist. Daher weiß er, dass er das UE-spezifische Schlüsselmaterial zusätzlich zu dem „üblichen” UE-spezifischen MSK an das PDG senden muss.
Angenommen, dass das zwischen dem PDG und dem AAA-Server verwendete AAA-Protokoll DIAMETER ist (wie vom 3GPP-WLAN-Interworking erfordert), kann der AAA-Server im Fall einer AKA-Authentifizierung die folgenden Protokolle verwenden:
„Vertraulichkeitscode-AKA”-AVP und „Integritätscode-AKA”-AVP.
Im Fall einer SIM-Authentifizierung kann der AAA-Server das „Vertraulichkeitscode-AKA”-AVP verwenden.
Ausgehend von der Tatsache, dass die IDi-Nutzlast die IMSI des UE mit der IMSI des Zugangspunkts verbindet, weiß das PDG, den MSK_ZAP-Schlüssel abzurufen, den er mit dem Zugangspunkt ab dem Zeitpunkt des Aufbaus des zugangspunktspezifischen Tunnels teilt, um das UE-spezifische Schlüsselmaterial zu verschlüsseln, das vom AAA-Server empfangen wurde.
Das PDG bindet dieses Material in die CFG_REPLY-Nutzlast der IKE_AUTH-Antwort ein, die die EAP-Erfolg-Nutzlast trägt.
Da der Zugangspunkt ebenfalls MSK_ZAP kennt, kann er die Nutzlast(en) entschlüsseln und auf das UE-spezifische Schlüsselmaterial zugreifen.
13 zeigt die Signalisierung beim IPsec-Tunnelaufbau, die erforderlich ist, um den Transport der mit dem UE/USIM zusammenhängen Codes (CK, IK) zum Zugangspunkt im Fall einer EAP-AKA-Authentifizierung zu ermöglichen. Diese basiert auf der Standardsignalisierung beim IPsec-Tunnelaufbau (TS 23.234). Ein ähnlicher Mechanismus findet auf die EAP-SIM-Authentifizierung Anwendung.
Insbesondere zeigt 13, wie CK und IK vom MNB-Heimatnetz zum Zugangspunkt zu dem Zeitpunkt, zu dem der mit dem UE zusammenhängende IPsec-Tunnel von dem Zugangspunkt (für das UE) aufgebaut wird, getragen werden können. In Schritt 1301, wie oben beschrieben, baut der Zugangspunkt jedes Mal, wenn er eingeschaltet wird, einen IPsec-Tunnel zu dem PDG in dem MNB-Heimatnetz auf. Dieses Verfahren folgt exakt den in R6 TS 23.234, Abschnitt 6.1.5 „Mechanisms for the setup of UE-initiated tunnels (WLAN 3GPP IP access)”, definierten Verfahren. Als Folge dieses Verfahrens teilen der Zugangspunkt, das PDG und der AAA-Server alle einen geheimen Schlüssel, den MSK_ZAP.
In den Schritten 1302 und 1303 bauen der Zugangspunkt und das PDG eine neue IKE_SA auf und einigen sich auf die IPsec-Protokolle/Algorithmen, die zur Sicherung der IKE-Signalisierung verwendet werden, die zum Einrichten des mit dem UE zusammenhängenden IPsec-Tunnels verwendet wird.
Das IKEv2-Protokoll stellt einen generischen Mechanismus für einen der IKE-Peers bereit, um Konfigurationsinformationen von dem anderen Peer anzufordern. Dies besteht in dem Einbinden einer CFG_REQUEST-Nutzlast in einer IKE-Anforderung, die das angeforderte Attribut aufführt. IKEv2 definiert mehrere Standardattribute, einschließlich INTERNAL_IP4_ADDRESS, das bereits verwendet wird, um eine Remote-IP-Adresse in dem PDG zu beziehen, die für den Aufbau des IPsec-Tunnels erforderlich ist. IKEv2 ermöglicht jedoch die Erweiterung auf neue proprietäre Attributtypen. In dieser Lösung definieren wir zwei zusätzliche Attribute, CK_AT und IK_AT, die von dem Zugangspunkt in Schritt 1304 zu verwenden sind, um vom PDG anzufordern, die erforderlichen, mit dem UE in Verbindung stehenden Codes CK und IK zu liefern. Des Weiteren dekoriert der Zugangspunkt, um dem MNB-Heimatnetz zu ermöglichen, zu verstehen, dass dieses Tunnelaufbauverfahren mit diesem spezifischen Zugangspunkt verbunden wird, die NAI des UE mit seiner eigenen IMSI, d. h. 0<IMSI_UE>@<IMSI_ZAP>.zap.mnc<MNC>.mcc<MCC>.3gppnetwork.org.
Somit stellt der Zugangspunkt, wenn die IMSI des USIM im Zugangspunkt 234150999999999 ist und die IMSI des USIM des UE 234150888888888 ist, die folgende Identität für das UE fest:
IDi=0234150888888888@234150999999999.zap.mnc234.mcc15.3gppnetwork.org
Entsprechend der 3GPP-WLAN-Konvention (R6 TS 23.003) zeigt der Vorsatz 0, dass EAP_AKA zu verwenden ist. Ein Vorsatz 1 würde auf EAP-SIM hinweisen.
Da IDi die IMSI des Zugangspunkts enthält, kann das PDG das zuvor geteilte Geheimnis zwischen dem Zugangspunkt und dem GW, d. h. MSK_ZAP, abrufen und es somit zur Verschlüsselung der mit dem UE zusammenhängenden Codes CK und IK verwenden, wenn diese vom AAA-Server später in der Signalisierung empfangen werden.
In Schritt 1306 prüft der AAA-Server, ob er einen gespeicherten AKA-Authentifizierungsvektor (RAND, AUTN, XRES, CK, IK) hat, der mit der IMSI des UE in Verbindung steht. Falls nicht, fragt es den HSS nach neuen.
Wenn der AAA-Server diese spezielle Form von IDi liest, weiß er, dass er in diesem Fall die Codes CK und IK, die mit der IMSI des UE in Verbindung stehen, an das PDG senden muss, so dass diese schließlich an den Zugangspunkt gesendet werden. Dies zusätzlich zu dem MSK_UE, der von dem AAA wie gewöhnlich aus den Codes CK und IK erzeugt wird.
In Schritt 1308 setzt der Zugangspunkt die EAP-Anforderung/AKA-Herausforderung (RAND, MAC, AUTN) in die MM: Authentifizierungsanforderung (RAND, MAC, AUTN) um und sendet sie an das UE, um die Ausführung des AKA-Algorithmus auszulösen.
In Schritt 1309 empfängt der Zugangspunkt die MM:-Authentifizierungsanforderung (RES, MAC) von dem UE und setzt sie in die EAP-Antwort/AKA-Herausforderung (RES, MAC) um, die das UE gegenüber dem AAA-Server authentifizieren wird.
In der Standardsignalisierung (TS 23.234, Abschnitt 6.1.5) würde der AAA-Server nur den Mastersitzungsschlüssel tiefem, der mit der IMSI des UE in Verbindung steht. In diesem Fall fügt der AAA-Server jedoch in Schritt 1311 zwei zusätzliche AVP, nämlich das Vertraulichkeitscode-AKA und das Integritätscode-AKA, der Authentifizierungsantwort hinzu, um die Codes CK und IK in dem PDG verfügbar zu machen.
Wenn der Tunnel in den Schritten 1312–1314 autorisiert wird, liefert das PDG in Schritt 1315 die Codes CK und IK an den Zugangspunkt mittels der CFG_REPLY-Nutzlast, die nun die CK- und IK-Attribute zusätzlich zu der Remote-IP-Adresse tragen wird.
Um sicherzustellen, dass nur der Zugangspunkt auf die Codes CK und IK zugreifen kann, verschlüsselt das PDG die Codes mit dem zuvor geteilten Geheimnis, MSK_ZAP. Dies kann mit einer Reihe von Wegen erzielt werden, der spezifische Weg muss jedoch mit dem Anbieter des MNB-Heimatnetzes abgesprochen werden.
In Schritt 1316 verwendet der Zugangspunkt das geteilte Geheimnis MSK_ZAP zur Verschlüsselung der CK- und IK-Nutzlasten. Der Zugangspunkt kann dann den Code MSK_UE (wie in [EAP-AKA], Abschnitt 6.4 „Key generation”, definiert) erzeugen, der zur Erzeugung der korrekten AUTH-Nutzlast (wie in [IKEv2], Abschnitt 2.16, „Extensible Authentication Protocol Methods”, definiert) verwendet wird.
Andererseits verwendet der Zugangspunkt die Codes CK und IK zur Verschlüsselung und zum Integritätsschutz über die Luftschnittstelle.
In Schritt 1317 prüft das PDG die AUTH, wodurch es den Tunnel authentifiziert und seine eigene AUTH-Nutzlast erzeugt. Der Zugangspunkt verwendet den MSK_UE, um die Gültigkeit der AUTH zu prüfen, wodurch das PDG authentifiziert wird.
Wie in 11 gezeigt und unter Bezugnahme darauf beschrieben, findet im Fall der „Außerband”-Lösung eine andere Architektur Anwendung. In dieser Lösung erhält der Zugangspunkt das UE-spezifische Schlüsselmaterial während des Aufbaus des UE-spezifischen Tunnels, indem er den AAA-Server in dem MNB-Heimatnetz direkt nach dem erforderlichen UE-spezifischen Schlüsselmaterial fragt, d. h. CK und IK im Fall einer UMTS-Anbindung und Kc im Fall einer GSM-Anbindung. Diese Abfrage wird mittels RADIUS oder DIAMETER über die oben beschriebene Wax-Schnittstelle durchgeführt und eingeführt, um die Zugangspunkt-SIP-Lösung zu unterstützen.
In dieser Lösung folgt der Aufbau des UE-spezifischen Tunnels demselben Verfahren wie dem in 13 gezeigten bis zu dem Punkt, an dem der Zugangspunkt die IKE_AUTH-Antwort empfängt, die die EAP-Erfolg-Nachricht trägt, die dem Zugangspunkt anzeigt, dass der AAA-Server die EAP-Authentifizierung für das UE erfolgreich durchgeführt hat. An diesem Punkt muss der Zugangspunkt das UE-spezifische Schlüsselmaterial von dem AAA-Server abrufen, um sich selbst gegenüber dem PDG zu authentifizieren und mit der Verwendung von Verschlüsselung und Integritätsschutz über die Luftschnittstelle zu beginnen. Dieses Material ist Teil des Authentifizierungsvektors, der von dem AAA-Server während der erfolgreichen EAP-basierten, wechselseitigen Authentifizierung zwischen dem Zugangspunkt (durch Abfragen des UE mit dem GSM/UMTS-Authentifizierungsverfahren) und dem AAA-Server, die gerade stattgefunden hat, verwendet wird.
Wenn DIAMETER verwendet wird, kann die in TS 29.234 für die Wx-Schnittstelle des 3GPP-WLAN-Interworking-Frameworks definierte Anwendung zum Abrufen von Authentifizierungsvektoren vom HSS durch den AAA-Server wieder verwendet werden.

Der Zugangspunkt 50 sendet eine Authentifizierungsanforderung an den AAA-Server mit dem folgenden Format:

Informationselementname	Umsetzung in Diameter-AVP	Wert
Permanente Benutzeridentität	User-Name	IMSI_UE
Kennung des besuchten Netzes	Visited-Network-Identifier	IMSI_ZAP
Anzahl der Authentifizierungselemente	SIP-Number-Auth-Items	1
Authentifizierungsdaten	SIP-Auth-Data-Item	Siehe folgende Tabelle

Der Authentifizierungsdateninhalt in der Anforderung hat das folgende Format:

Informationselementname Umsetzung in Diameter-AVP Beschreibung

Authentifizierungsverfahren Authentication Method EAP/SIM oder EAP/AKA

Der AAA-Server sendet eine Authentifizierungsantwort an den Zugangspunkt 50 mit dem folgenden Format:

Informationselementname	Umsetzung in Diameter-AVP	Wert
Permanente Benutzeridentität	User-Name	IMSI_UE
Kennung des besuchten Netzes	Visited-Network-Identifier	IMSI_ZAP
Ergebnis	Result-Code/Experimental-Result	Erfolg
Authentifizierungsdaten	SIP-Auth-Data-Item	Siehe folgende Tabellen

Der Authentifizierungsdateninhalt in der Antwort hat im EAP-AKA-Fall das folgende Format:

Informationselementname	Umsetzung in Diameter-AVP	Beschreibung
Authentifizierungsverfahren	Authentication Method	EAP/AKA
Vertraulichkeitscode-AKA	Confidentiality-Key	CK
Integritätscode-AKA	Integrity-Key	IK

Der Authentifizierungsdateninhalt in der Antwort hat im EAP-SIM-Fall das folgende Format:

Informationselementname	Umsetzung in Diameter-AVP	Beschreibung
Authentifizierungsverfahren	Authentication Method	EAP/AKA
Authentifizierungsinformations-SIM	Authentication Information SIM	Verkettung von Authentifizierungsherausforderung RAND und dem Verschlüsselungscode Kc

Es gibt daher beschriebene Verfahren, in denen eine mit einer SIM-Karte ausgestattete Basisstation sich selbst gegenüber einem Netz authentifizieren kann.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Nicht-Patentliteratur

IEEE802.11b/g [0060]
IETF RFC 3948 [0088]
IETF RFC 3948 [0168]

Claims

Basisstation für ein zellulares Kommunikationssystem, um die Verbindung einer Benutzervorrichtung mit einem zellularen Kommunikationsnetz zu ermöglichen, wobei die Basisstation eine SIM-Karte umfasst, sodass die SIM-Karte verwendet werden kann, um die Basisstation gegenüber dem zellularen Kommunikationsnetz zu identifizieren.
Basisstation nach Anspruch 1, die SIP-Client-Software beinhaltet, so dass Kommunikationen gemäß einem GSM/UMTS-Protokoll in entsprechende SIP-Dienste umgesetzt werden können.
Basisstation nach Anspruch 1 oder 2, die UMA-Client-Software beinhaltet, so dass die Basisstation über ein Breitband-IP-Netz mit einem UMA-UNC in dem Kernnetz des zellularen Kommunikationssystems kommunizieren kann.
Basisstation nach Anspruch 3, wobei Software in der Basisstation zum Umsetzen von Kommunikationen gemäß einem GSM/UMTS-Protokoll in das UMA-Protokoll angepasst ist.
Basisstation nach einem beliebigen der vorhergehenden Ansprüche, die IPsec-Software beinhaltet, wodurch die Basisstation ein verschlüsseltes und sicheres Übertragungsmedium zwischen der Basisstation und einem Kernnetz des zellularen Kommunikationssystems bereitstellen kann.
Basisstation nach Anspruch 5, wobei die Basisstation zum Empfangen von Verschlüsselungscodes von dem Kernnetz des zellularen Kommunikationssystems angepasst ist.
Basisstation nach Anspruch 6, wobei die Basisstation zum Verschlüsseln und Entschlüsseln von Nachrichten angepasst ist, die zwischen der Basisstation und einer Mobilstation übertragen werden, unter Verwendung mindestens eines Verschlüsselungscodes, der von dem Kernnetz des zellularen Kommunikationssystems empfangen wurde.
Basisstation nach einem beliebigen der vorhergehenden Ansprüche, wobei die Basisstation zum Verwenden von Identifizierungsdaten angepasst ist, die auf der SIM-Karte gespeichert sind, um sich selbst gegenüber einem Kernnetz des zellularen Kommunikationssystems zu identifizieren, so dass sie als ein Mobilfunkgerät erkannt wird und ihr ermöglicht ist, Nachrichten und Anrufe zu erzeugen und zu beenden.
Basisstation nach Anspruch 8, wobei die Basisstation zum Verwenden der Identifizierungsdaten, die auf der SIM-Karte gespeichert sind, zur Einrichtung eines IPsec-Tunnels mit dem Kernnetz des zellularen Kommunikationssystems angepasst ist.
Basisstation nach einem beliebigen der vorhergehenden Ansprüche, wobei die Basisstation zum Fungieren als ein Proxy für eine beliebige Kommunikationsvorrichtung, die damit über ein drahtloses Kommunikationsprotokoll verbunden ist, angepasst ist, so dass der Kommunikationsvorrichtung ermöglicht ist, mit einem Kernnetz des zellularen Kommunikationssystems zu kommunizieren.
Basisstation nach Anspruch 1, wobei die Basisstation zum Empfangen einer SMS-Nachricht von einem vorregistrierten Benutzer und Reagieren darauf angepasst ist, die die Basisstation anweist, eine spezifische Funktion durchzuführen.
Basisstation nach Anspruch 11, wobei die spezifische Funktion das Pflegen einer Datenbank umfasst.
Basisstation nach Anspruch 12, wobei die Basisstation weiterhin zum Aktualisieren eines damit verbundenen Managementsystems mit jeglichen Änderungen der Datenbank angepasst ist.
Basisstation nach Anspruch 11, wobei die spezifische Funktion das Steuern einer Vorrichtung umfasst, die mit einem lokalen Netz eines Benutzers verbunden ist.
Basisstation nach Anspruch 1, wobei die Basisstation zum Senden einer SMS- oder MMS-Nachricht an einen Benutzer als Antwort auf eine vorher definierte Bedingung angepasst ist.
Basisstation nach Anspruch 15, wobei die vorher definierte Bedingung den Betrieb der Basisstation betrifft.
Basisstation nach Anspruch 15, wobei die vorher definierte Bedingung eine Vorrichtung betrifft, die mit einem lokalen Netz eines Benutzers verbunden ist.
Basisstation nach einem der Ansprüche 15 bis 17, wobei die SMS- oder MMS-Nachricht, wenn eine Mobilkommunikationsvorrichtung des Benutzers an der Basisstation angemeldet ist, direkt an den Benutzer gesendet wird, ohne durch ein Kernnetz des zellularen Kommunikationssystems geleitet zu werden.
Basisstation nach Anspruch 1, wobei die Basisstation zum Empfangen eines Anrufs oder einer Datensitzung, der bzw. die von einem Benutzer in einem Fernnetz initiiert wurde, angepasst ist, so dass der Benutzer auf Informationen zu dem Lokalnetz des Benutzers zugreifen kann.
Basisstation nach Anspruch 1, wobei die Basisstation zum Initiieren eines Anrufs oder einer Datensitzung an einen Benutzer als Antwort auf eine vorher definierte Bedingung angepasst ist.
Basisstation nach Anspruch 20, wobei die vorher definierte Bedingung eine Vorrichtung betrifft, die mit einem lokalen Netz eines Benutzers verbunden ist.
Basisstation nach einem der Ansprüche 20 bis 21, wobei der Anruf oder die Datensitzung, wenn eine Mobilkommunikationsvorrichtung des Benutzers an der Basisstation angemeldet ist, direkt an den Benutzer gesendet wird, ohne durch ein Kernnetz des zellularen Kommunikationssystems geleitet zu werden.
Basisstation nach einem beliebigen der vorhergehenden Ansprüche, wobei die SIM-Karte eine physikalische SIM-Karte ist.
Basisstation nach einem der vorhergehenden Ansprüche 1 bis 22, wobei die SIM-Karte eine softwareimplementierte SIM-Karte ist.
Computerlesbares Produkt, wenn mit Software für eine Basisstation für ein zellulares Kommunikationssystem programmiert, um die Verbindung einer Benutzervorrichtung mit einem zellularen Kommunikationsnetz zu ermöglichen, wobei die Basisstation eine SIM-Karte umfasst, sodass die Software ermöglicht, dass die SIM-Karte verwendet werden kann, um die Basisstation gegenüber dem zellularen Kommunikationsnetz zu identifizieren.