Femto系統獨立安全網關改造方案

陳文雄

提出一種改進的Femto系統安全網關，在源、目標家庭基站與同一安全網關建立安全隧道時直接在該安全網關中處理基站間的通信數據，顯著減輕了Femto系統網關的業務壓力，簡化了通信數據處理流程，并有效解決了時延、丟包等問題。

Femto ? ?獨立安全網關 ? ?時延 ? ?丟包

1 ? 引言

統計表明，目前移動通信數據業務有70%發生在室內，且主要集中于車站、住所、機場、辦公室等熱點區域[1]。但是，室內移動通信環境存在覆蓋弱、易發生擁塞的現象，此外還有無線頻率干擾、服務小區信號不穩定、話音質量難以保證等問題。因此增強室內信號覆蓋效果成為移動互聯網的一個重要研究內容。

當前主流的室內覆蓋增強方案主要是通過Femto、Wi-Fi和AP設備來實現。Femto系統是一種小型蜂窩技術，通過固網寬帶接入到移動核心網，為用戶提供固定移動融合業務。Femto系統在高性價比實現移動通信室內覆蓋、分擔宏網負荷、固定移動綜合業務平臺化提高等方面具有顯著優勢，已經成為主流運營商在全業務競爭階段重點關注的技術方向[2-3]。隨著3G/4G網絡的廣泛部署，Femto系統的使用也越來越廣泛[1-3]。Femto系統具有發射功率小、覆蓋半徑小、綠色環保等優點。

Femto系統主要由Femto AP、安全網關、Femto網關等幾部分組成，其中安全網關可集成在Femto網關內部也可以單獨作為一個網元存在[4-5]。當前Femto應用中一般安全網關都作為獨立網元，本文主要就安全網關作為獨立網元的情況分析其存在的缺點，然后針對這些缺點改進獨立安全網關，解決基站間的通信數據處理流程復雜導致的時延、丟包等問題。

2 ? 典型Femto系統架構

典型的Femto系統將安全網關集成在Femto網關內，如圖1所示，包括通信終端、家庭基站、系統網關3個部分。

基站通過不同網絡接入Femto網關時，要與不同制式的安全網關建立連接，由于受網絡中不確定因素的影響，容易出現時延和丟包等現象，出現加密信道無法建立或語音質量差等問題。

解決這些問題的一種方案是將安全網關模塊從系統網關中獨立出來，單獨作為一個網元，建立獨立安全網關后的Femto系統包括通信終端、家庭基站、安全網關、系統網關、核心網這5個部分，具體的框架如圖2所示。

對于Femto系統而言，安全網關作為獨立網元有如下優點：

（1）獨立以后的安全網關位置可以自由設置，增加了組網的靈活性。一般將獨立安全網關放置在離家庭基站比較近的地方，這樣可以避免復雜的網絡環境對安全隧道穩定性的影響，解決安全網關集成于Femto網關時引起的加密信道無法建立或語音質量差等問題。

（2）基站可以選擇與它距離較近而且制式相同的安全網關建立安全通道，這樣兩者之間的網絡環境較單純，并且減少了不同制式的網絡對通信的影響。

（3）安全網關可根據網絡質量，選擇性地與負荷能接受的Femto網關進行通信，這樣可以均衡系統網關間的負荷，更好地利用網絡資源，改善通信效果。

（4）安全網關和Femto網關間可以通過運營商專有傳輸線路連接，而不用經過其他設備，避免受外部網絡影響，從而保證了通信質量。

3 ? 采用獨立安全網關的Femto系統

將安全網關從系統網關中分離出來，構成如圖3所示的獨立安全網關，主要包含隧道建立模塊、同步模塊、線路連接模塊、接收模塊和發送模塊，各模塊功能如下：

圖3 ? ?簡單獨立安全網關模塊結構

（1）隧道建立模塊用于與家庭基站之間建立安全隧道;

（2）同步模塊用于與系統網關之間進行同步操作，以確定所述專有傳輸線路是否可用;

（3）線路連接模塊用于與系統網關之間建立專有傳輸線路。具體用于從允許連接的系統網關中選擇負載小于設定值的系統網關，并與選擇的系統網關建立專有傳輸線路;

（4）接收模塊用于接收家庭基站以及核心網發送的通信數據包;

（5）發送模塊用于將通信數據包發送至家庭基站以及核心網。

簡單獨立安全網關只是機械的從Femto網關中分離出來，主要實現：

（1）與Femto基站建立安全隧道來保證數據傳輸過程中的安全性和完整性;

（2）提供防火墻功能，抵抗來自IP網絡的惡意攻擊，保證核心網設備的安全性;

（3）與AAA服務器一起完成Femto基站與網絡間的鑒權。

接收到基站發送的語音數據包安全網關不能處理而是轉發給Femto系統網關和核心網處理。因此簡單獨立安全網關與集成安全網關一樣，基站間的通信數據處理須經過系統網關及核心網處理，增加了Femto網關和核心網的負擔，特別是在與多種寬帶制式下的家庭基站建立安全隧道時會更嚴重，導致通信終端間處理過程異常復雜，出現時延、丟包等問題。

如果利用獨立安全網關實現部分Femto網關和核心網的功能，將可以簡化基站間的通信數據處理流程，減少相應的處理時間，減少丟包。改進后的獨立安全網關如圖4所示，將接收模塊分為第一接收模塊和第二接收模塊;判斷模塊分為第一判斷模塊和第二判斷模塊;發送模塊分為第一發送模塊、第二發送模塊和第三發送模塊。其中：

第一接收模塊用于接收源通信終端通過所接入的源家庭基站經由所述安全隧道發送的通信數據包。

第一判斷模塊用于判斷目標家庭基站是否是與自身建立了安全隧道的家庭基站。

第一發送模塊用于在目標家庭基站與自身建立了安全隧道時，將所述通信數據包發送至所述目標家庭基站。endprint

第二發送模塊用于將通信數據包轉發到Femto網關。例如在目標家庭基站沒有與自身建立安全隧道時，或確定所述通信數據包是源通信終端發起的結束本次通信業務的通信數據包時，將通信數據包發送至Femto網關。

第二判斷模塊用于判斷是否能夠確定所述目標家庭基站。若是，則觸發所述第一判斷模塊，若否，則觸發所述第二發送模塊。并根據通信鏈路信息中包含的目標家庭基站標識，確定對應的目標家庭基站。

第二接收模塊用于接收核心網發送的通信鏈路信息及鏈路更改信息。鏈路信息中包含源通信終端標識、源家庭基站標識、目標通信終端標識和目標家庭基站標識。

第三發送模塊用于將包含源通信終端標識和目標通信終端標識的通知消息發送至核心網。通知核心網當前安全網關執行了一次源通信終端標識和目標通信終端標識對應的源通信終端和目標通信終端之間的通信數據包的傳輸過程。改進后的獨立安全網關，基站間可以實現本地回環功能——當源家庭基站和目標家庭基站都與同一個安全網關建立了安全通道時，基站發過來的數據不需要經過核心網，直接在安全網關處理后轉發到目標基站，再到達目標終端，大大簡化了基站間的通信數據處理流程，減輕了系統網關和核心網的壓力，解決了由此引起的延時、丟包等問題。之后，安全網關可生成包含源通信終端標識和目標通信終端標識的通知消息，并將所述通知消息通過系統網關發送至核心網，用于通知核心網當前安全網關執行了一次源通信終端和目標通信終端之間的通信數據包傳輸過程。安全網關可以以靜默幀的形式生成所述通知消息、交互基站的連接控制、連接保持和計時等消息，保證基站與核心網之間的正常通信，同時節省不必要的開銷。

4 ? 改進的獨立安全網關Femto系統語音

處理流程

以圖5所示的Femto通信系統應用場景為例，其中源通信終端和目標通信終端之間執行語音呼叫業務。這里源、目的家庭基站接入到同一個安全網關可以實現本地回環。其語音呼叫鏈路的建立過程與傳統應用安全網關集成在系統網關下的情況相同，但是呼叫鏈路建立后的處理流程與傳統方式有區別。

圖6給出了語音呼叫鏈路建立以后獨立安全網關Femto系統的處理流程。

（1）安全網關第二接收模塊接收核心網發送的通信鏈路信息。當源通信終端和目標通信終端之間建立通信鏈路時，核心網會生成包含源通信終端標識、源家庭基站標識、目標通信終端標識以及目標家庭基站標識相應的鏈路信息并發送給安全網關。在上述通信業務執行過程中，通信終端所接入的家庭基站發生變化時（比如發生基站切換），核心網將指示安全網關更新本地存儲的通信鏈路信息。

（2）安全網關收到家庭基站發過來的通知消息之后，第二判斷模塊判斷數據包是不是結束數據包，如果是則由第二發送模塊將數據通過系統網關傳輸至核心網。由核心網執行源通信終端和目標通信終端之間的通信業務結束過程。

（3）如果（2）中判斷不是結束數據包則安全網關第二判斷模塊根據通信鏈路信息判斷是否能夠確定出目標家庭基站。若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（4）如果（3）中能夠確定出目標家庭基站，則安全網關第一判斷模塊判斷目標家庭基站是否是與自身建立了安全隧道的家庭基站，若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（5）如果（4）中目標家庭基站已經與安全網關建立了安全隧道，則安全網關第一發送模塊將通信數據包發送給目標家庭基站。

（6）安全網關通過第二發送模塊通知核心網當前執行了一次源通信終端和目標通信終端之間的通信數據包的傳輸過程，結束本次通信數據包的傳輸過程。

5 ? 結束語

本文針對源、目標基站間通信數據處理流程復雜導致的時延、丟包問題，提出了一種Femto系統的改進獨立安全網關，對獨立安全網關的接收模塊、判斷模塊、發送模塊做了細致的劃分，判斷源、目標家庭基站是否與同一個安全網關建立安全隧道，據此直接在安全網關處理數據包，然后再通知核心網，簡化數據報文的處理流程，同時還能有效避免通信時延、丟包等情況。

參考文獻：

[1] 中國移動通信集團公司. 中國移動TD-SCDMA Femto試驗網技術體制V1.0.0[Z]. 2010.

[2] 3GPP.TR25.913（V7.3.0）. Requirements for evolved universal terrestrial radio access（UTRA）and universal terrestrial radio access network（UTBAN）[S]. 2006： 11-13.

[3] 中國移動通信集團公司. 中國移動TD.SCDMA Femto基站設備測試規范V1.0.0[Z]. 2010.

[4] Chandrasekhar V， Andrews J G. Femtocell networks：a femtocells：a roadmap on interference avoidance[J]. IEEE Communications Magazine， 2009，47（9）： 41-48.

[5] 沈蕾，李暉暉. TD-SCDMA Femto網絡部署方案研究[J]. 電信工程技術與標準化， 2012（8）： 68-71.★endprint

第二發送模塊用于將通信數據包轉發到Femto網關。例如在目標家庭基站沒有與自身建立安全隧道時，或確定所述通信數據包是源通信終端發起的結束本次通信業務的通信數據包時，將通信數據包發送至Femto網關。

第二判斷模塊用于判斷是否能夠確定所述目標家庭基站。若是，則觸發所述第一判斷模塊，若否，則觸發所述第二發送模塊。并根據通信鏈路信息中包含的目標家庭基站標識，確定對應的目標家庭基站。

第二接收模塊用于接收核心網發送的通信鏈路信息及鏈路更改信息。鏈路信息中包含源通信終端標識、源家庭基站標識、目標通信終端標識和目標家庭基站標識。

第三發送模塊用于將包含源通信終端標識和目標通信終端標識的通知消息發送至核心網。通知核心網當前安全網關執行了一次源通信終端標識和目標通信終端標識對應的源通信終端和目標通信終端之間的通信數據包的傳輸過程。改進后的獨立安全網關，基站間可以實現本地回環功能——當源家庭基站和目標家庭基站都與同一個安全網關建立了安全通道時，基站發過來的數據不需要經過核心網，直接在安全網關處理后轉發到目標基站，再到達目標終端，大大簡化了基站間的通信數據處理流程，減輕了系統網關和核心網的壓力，解決了由此引起的延時、丟包等問題。之后，安全網關可生成包含源通信終端標識和目標通信終端標識的通知消息，并將所述通知消息通過系統網關發送至核心網，用于通知核心網當前安全網關執行了一次源通信終端和目標通信終端之間的通信數據包傳輸過程。安全網關可以以靜默幀的形式生成所述通知消息、交互基站的連接控制、連接保持和計時等消息，保證基站與核心網之間的正常通信，同時節省不必要的開銷。

4 ? 改進的獨立安全網關Femto系統語音

處理流程

以圖5所示的Femto通信系統應用場景為例，其中源通信終端和目標通信終端之間執行語音呼叫業務。這里源、目的家庭基站接入到同一個安全網關可以實現本地回環。其語音呼叫鏈路的建立過程與傳統應用安全網關集成在系統網關下的情況相同，但是呼叫鏈路建立后的處理流程與傳統方式有區別。

圖6給出了語音呼叫鏈路建立以后獨立安全網關Femto系統的處理流程。

（1）安全網關第二接收模塊接收核心網發送的通信鏈路信息。當源通信終端和目標通信終端之間建立通信鏈路時，核心網會生成包含源通信終端標識、源家庭基站標識、目標通信終端標識以及目標家庭基站標識相應的鏈路信息并發送給安全網關。在上述通信業務執行過程中，通信終端所接入的家庭基站發生變化時（比如發生基站切換），核心網將指示安全網關更新本地存儲的通信鏈路信息。

（2）安全網關收到家庭基站發過來的通知消息之后，第二判斷模塊判斷數據包是不是結束數據包，如果是則由第二發送模塊將數據通過系統網關傳輸至核心網。由核心網執行源通信終端和目標通信終端之間的通信業務結束過程。

（3）如果（2）中判斷不是結束數據包則安全網關第二判斷模塊根據通信鏈路信息判斷是否能夠確定出目標家庭基站。若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（4）如果（3）中能夠確定出目標家庭基站，則安全網關第一判斷模塊判斷目標家庭基站是否是與自身建立了安全隧道的家庭基站，若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（5）如果（4）中目標家庭基站已經與安全網關建立了安全隧道，則安全網關第一發送模塊將通信數據包發送給目標家庭基站。

（6）安全網關通過第二發送模塊通知核心網當前執行了一次源通信終端和目標通信終端之間的通信數據包的傳輸過程，結束本次通信數據包的傳輸過程。

5 ? 結束語

本文針對源、目標基站間通信數據處理流程復雜導致的時延、丟包問題，提出了一種Femto系統的改進獨立安全網關，對獨立安全網關的接收模塊、判斷模塊、發送模塊做了細致的劃分，判斷源、目標家庭基站是否與同一個安全網關建立安全隧道，據此直接在安全網關處理數據包，然后再通知核心網，簡化數據報文的處理流程，同時還能有效避免通信時延、丟包等情況。

參考文獻：

[1] 中國移動通信集團公司. 中國移動TD-SCDMA Femto試驗網技術體制V1.0.0[Z]. 2010.

[2] 3GPP.TR25.913（V7.3.0）. Requirements for evolved universal terrestrial radio access（UTRA）and universal terrestrial radio access network（UTBAN）[S]. 2006： 11-13.

[3] 中國移動通信集團公司. 中國移動TD.SCDMA Femto基站設備測試規范V1.0.0[Z]. 2010.

[4] Chandrasekhar V， Andrews J G. Femtocell networks：a femtocells：a roadmap on interference avoidance[J]. IEEE Communications Magazine， 2009，47（9）： 41-48.

[5] 沈蕾，李暉暉. TD-SCDMA Femto網絡部署方案研究[J]. 電信工程技術與標準化， 2012（8）： 68-71.★endprint

第二發送模塊用于將通信數據包轉發到Femto網關。例如在目標家庭基站沒有與自身建立安全隧道時，或確定所述通信數據包是源通信終端發起的結束本次通信業務的通信數據包時，將通信數據包發送至Femto網關。

第二判斷模塊用于判斷是否能夠確定所述目標家庭基站。若是，則觸發所述第一判斷模塊，若否，則觸發所述第二發送模塊。并根據通信鏈路信息中包含的目標家庭基站標識，確定對應的目標家庭基站。

第二接收模塊用于接收核心網發送的通信鏈路信息及鏈路更改信息。鏈路信息中包含源通信終端標識、源家庭基站標識、目標通信終端標識和目標家庭基站標識。

第三發送模塊用于將包含源通信終端標識和目標通信終端標識的通知消息發送至核心網。通知核心網當前安全網關執行了一次源通信終端標識和目標通信終端標識對應的源通信終端和目標通信終端之間的通信數據包的傳輸過程。改進后的獨立安全網關，基站間可以實現本地回環功能——當源家庭基站和目標家庭基站都與同一個安全網關建立了安全通道時，基站發過來的數據不需要經過核心網，直接在安全網關處理后轉發到目標基站，再到達目標終端，大大簡化了基站間的通信數據處理流程，減輕了系統網關和核心網的壓力，解決了由此引起的延時、丟包等問題。之后，安全網關可生成包含源通信終端標識和目標通信終端標識的通知消息，并將所述通知消息通過系統網關發送至核心網，用于通知核心網當前安全網關執行了一次源通信終端和目標通信終端之間的通信數據包傳輸過程。安全網關可以以靜默幀的形式生成所述通知消息、交互基站的連接控制、連接保持和計時等消息，保證基站與核心網之間的正常通信，同時節省不必要的開銷。

4 ? 改進的獨立安全網關Femto系統語音

處理流程

以圖5所示的Femto通信系統應用場景為例，其中源通信終端和目標通信終端之間執行語音呼叫業務。這里源、目的家庭基站接入到同一個安全網關可以實現本地回環。其語音呼叫鏈路的建立過程與傳統應用安全網關集成在系統網關下的情況相同，但是呼叫鏈路建立后的處理流程與傳統方式有區別。

圖6給出了語音呼叫鏈路建立以后獨立安全網關Femto系統的處理流程。

（1）安全網關第二接收模塊接收核心網發送的通信鏈路信息。當源通信終端和目標通信終端之間建立通信鏈路時，核心網會生成包含源通信終端標識、源家庭基站標識、目標通信終端標識以及目標家庭基站標識相應的鏈路信息并發送給安全網關。在上述通信業務執行過程中，通信終端所接入的家庭基站發生變化時（比如發生基站切換），核心網將指示安全網關更新本地存儲的通信鏈路信息。

（2）安全網關收到家庭基站發過來的通知消息之后，第二判斷模塊判斷數據包是不是結束數據包，如果是則由第二發送模塊將數據通過系統網關傳輸至核心網。由核心網執行源通信終端和目標通信終端之間的通信業務結束過程。

（3）如果（2）中判斷不是結束數據包則安全網關第二判斷模塊根據通信鏈路信息判斷是否能夠確定出目標家庭基站。若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（4）如果（3）中能夠確定出目標家庭基站，則安全網關第一判斷模塊判斷目標家庭基站是否是與自身建立了安全隧道的家庭基站，若否，則由第二發送模塊將數據通過系統網關傳輸至核心網。

（5）如果（4）中目標家庭基站已經與安全網關建立了安全隧道，則安全網關第一發送模塊將通信數據包發送給目標家庭基站。

（6）安全網關通過第二發送模塊通知核心網當前執行了一次源通信終端和目標通信終端之間的通信數據包的傳輸過程，結束本次通信數據包的傳輸過程。

5 ? 結束語

本文針對源、目標基站間通信數據處理流程復雜導致的時延、丟包問題，提出了一種Femto系統的改進獨立安全網關，對獨立安全網關的接收模塊、判斷模塊、發送模塊做了細致的劃分，判斷源、目標家庭基站是否與同一個安全網關建立安全隧道，據此直接在安全網關處理數據包，然后再通知核心網，簡化數據報文的處理流程，同時還能有效避免通信時延、丟包等情況。

參考文獻：

[1] 中國移動通信集團公司. 中國移動TD-SCDMA Femto試驗網技術體制V1.0.0[Z]. 2010.

[2] 3GPP.TR25.913（V7.3.0）. Requirements for evolved universal terrestrial radio access（UTRA）and universal terrestrial radio access network（UTBAN）[S]. 2006： 11-13.

[3] 中國移動通信集團公司. 中國移動TD.SCDMA Femto基站設備測試規范V1.0.0[Z]. 2010.

[4] Chandrasekhar V， Andrews J G. Femtocell networks：a femtocells：a roadmap on interference avoidance[J]. IEEE Communications Magazine， 2009，47（9）： 41-48.

[5] 沈蕾，李暉暉. TD-SCDMA Femto網絡部署方案研究[J]. 電信工程技術與標準化， 2012（8）： 68-71.★endprint