Femto系统独立安全网关改造方案

提出一种改进的Femto系统安全网关，在源、目标家庭基站与同一安全网关建立安全隧道时直接在该安全网关中处理基站间的通信数据，显著减轻了Femto系统网关的业务压力，简化了通信数据处理流程，并有效解决了时延、丢包等问题。

Femto 独立安全网关 时延 丢包

1 引言

统计表明，目前移动通信数据业务有70%发生在室内，且主要集中于车站、住所、机场、办公室等热点区域[1]。但是，室内移动通信环境存在覆盖弱、易发生拥塞的现象，此外还有无线频率干扰、服务小区信号不稳定、话音质量难以保证等问题。因此增强室内信号覆盖效果成为移动互联网的一个重要研究内容。

当前主流的室内覆盖增强方案主要是通过Femto、Wi-Fi和AP设备来实现。Femto系统是一种小型蜂窝技术，通过固网宽带接入到移动核心网，为用户提供固定移动融合业务。Femto系统在高性价比实现移动通信室内覆盖、分担宏网负荷、固定移动综合业务平台化提高等方面具有显著优势，已经成为主流运营商在全业务竞争阶段重点关注的技术方向[2-3]。随着3G/4G网络的广泛部署，Femto系统的使用也越来越广泛[1-3]。Femto系统具有发射功率小、覆盖半径小、绿色环保等优点。

Femto系统主要由Femto AP、安全网关、Femto网关等几部分组成，其中安全网关可集成在Femto网关内部也可以单独作为一个网元存在[4-5]。当前Femto应用中一般安全网关都作为独立网元，本文主要就安全网关作为独立网元的情况分析其存在的缺点，然后针对这些缺点改进独立安全网关，解决基站间的通信数据处理流程复杂导致的时延、丢包等问题。

2 典型Femto系统架构

典型的Femto系统将安全网关集成在Femto网关内，如图1所示，包括通信终端、家庭基站、系统网关3个部分。

基站通过不同网络接入Femto网关时，要与不同制式的安全网关建立连接，由于受网络中不确定因素的影响，容易出现时延和丢包等现象，出现加密信道无法建立或语音质量差等问题。

解决这些问题的一种方案是将安全网关模块从系统网关中独立出来，单独作为一个网元，建立独立安全网关后的Femto系统包括通信终端、家庭基站、安全网关、系统网关、核心网这5个部分，具体的框架如图2所示。

对于Femto系统而言，安全网关作为独立网元有如下优点：

（1）独立以后的安全网关位置可以自由设置，增加了组网的灵活性。一般将独立安全网关放置在离家庭基站比较近的地方，这样可以避免复杂的网络环境对安全隧道稳定性的影响，解决安全网关集成于Femto网关时引起的加密信道无法建立或语音质量差等问题。

（2）基站可以选择与它距离较近而且制式相同的安全网关建立安全通道，这样两者之间的网络环境较单纯，并且减少了不同制式的网络对通信的影响。

（3）安全网关可根据网络质量，选择性地与负荷能接受的Femto网关进行通信，这样可以均衡系统网关间的负荷，更好地利用网络资源，改善通信效果。

（4）安全网关和Femto网关间可以通过运营商专有传输线路连接，而不用经过其他设备，避免受外部网络影响，从而保证了通信质量。

3 采用独立安全网关的Femto系统

将安全网关从系统网关中分离出来，构成如图3所示的独立安全网关，主要包含隧道建立模块、同步模块、线路连接模块、接收模块和发送模块，各模块功能如下：

图3 简单独立安全网关模块结构

（1）隧道建立模块用于与家庭基站之间建立安全隧道;

（2）同步模块用于与系统网关之间进行同步操作，以确定所述专有传输线路是否可用;

（3）线路连接模块用于与系统网关之间建立专有传输线路。具体用于从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关建立专有传输线路;

（4）接收模块用于接收家庭基站以及核心网发送的通信数据包;

（5）发送模块用于将通信数据包发送至家庭基站以及核心网。

简单独立安全网关只是机械的从Femto网关中分离出来，主要实现：

（1）与Femto基站建立安全隧道来保证数据传输过程中的安全性和完整性;

（2）提供防火墙功能，抵抗来自IP网络的恶意攻击，保证核心网设备的安全性;

（3）与AAA服务器一起完成Femto基站与网络间的鉴权。

接收到基站发送的语音数据包安全网关不能处理而是转发给Femto系统网关和核心网处理。因此简单独立安全网关与集成安全网关一样，基站间的通信数据处理须经过系统网关及核心网处理，增加了Femto网关和核心网的负担，特别是在与多种宽带制式下的家庭基站建立安全隧道时会更严重，导致通信终端间处理过程异常复杂，出现时延、丢包等问题。

如果利用独立安全网关实现部分Femto网关和核心网的功能，将可以简化基站间的通信数据处理流程，减少相应的处理时间，减少丢包。改进后的独立安全网关如图4所示，将接收模块分为第一接收模块和第二接收模块;判断模块分为第一判断模块和第二判断模块;发送模块分为第一发送模块、第二发送模块和第三发送模块。其中：

第一接收模块用于接收源通信终端通过所接入的源家庭基站经由所述安全隧道发送的通信数据包。

第一判断模块用于判断目标家庭基站是否是与自身建立了安全隧道的家庭基站。

第一发送模块用于在目标家庭基站与自身建立了安全隧道时，将所述通信数据包发送至所述目标家庭基站。

第二发送模块用于将通信数据包转发到Femto网关。例如在目标家庭基站没有与自身建立安全隧道时，或确定所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，将通信数据包发送至Femto网关。

第二判断模块用于判断是否能够确定所述目标家庭基站。若是，则触发所述第一判断模块，若否，则触发所述第二发送模块。并根据通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。

第二接收模块用于接收核心网发送的通信链路信息及链路更改信息。链路信息中包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识。

第三发送模块用于将包含源通信终端标识和目标通信终端标识的通知消息发送至核心网。通知核心网当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。改进后的独立安全网关，基站间可以实现本地回环功能――当源家庭基站和目标家庭基站都与同一个安全网关建立了安全通道时，基站发过来的数据不需要经过核心网，直接在安全网关处理后转发到目标基站，再到达目标终端，大大简化了基站间的通信数据处理流程，减轻了系统网关和核心网的压力，解决了由此引起的延时、丢包等问题。之后，安全网关可生成包含源通信终端标识和目标通信终端标识的通知消息，并将所述通知消息通过系统网关发送至核心网，用于通知核心网当前安全网关执行了一次源通信终端和目标通信终端之间的通信数据包传输过程。安全网关可以以静默帧的形式生成所述通知消息、交互基站的连接控制、连接保持和计时等消息，保证基站与核心网之间的正常通信，同时节省不必要的开销。

4 改进的独立安全网关Femto系统语音

处理流程

以图5所示的Femto通信系统应用场景为例，其中源通信终端和目标通信终端之间执行语音呼叫业务。这里源、目的家庭基站接入到同一个安全网关可以实现本地回环。其语音呼叫链路的建立过程与传统应用安全网关集成在系统网关下的情况相同，但是呼叫链路建立后的处理流程与传统方式有区别。

图6给出了语音呼叫链路建立以后独立安全网关Femto系统的处理流程。

（1）安全网关第二接收模块接收核心网发送的通信链路信息。当源通信终端和目标通信终端之间建立通信链路时，核心网会生成包含源通信终端标识、源家庭基站标识、目标通信终端标识以及目标家庭基站标识相应的链路信息并发送给安全网关。在上述通信业务执行过程中，通信终端所接入的家庭基站发生变化时（比如发生基站切换），核心网将指示安全网关更新本地存储的通信链路信息。

（2）安全网关收到家庭基站发过来的通知消息之后，第二判断模块判断数据包是不是结束数据包，如果是则由第二发送模块将数据通过系统网关传输至核心网。由核心网执行源通信终端和目标通信终端之间的通信业务结束过程。

（3）如果（2）中判断不是结束数据包则安全网关第二判断模块根据通信链路信息判断是否能够确定出目标家庭基站。若否，则由第二发送模块将数据通过系统网关传输至核心网。

（4）如果（3）中能够确定出目标家庭基站，则安全网关第一判断模块判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，若否，则由第二发送模块将数据通过系统网关传输至核心网。

（5）如果（4）中目标家庭基站已经与安全网关建立了安全隧道，则安全网关第一发送模块将通信数据包发送给目标家庭基站。

（6）安全网关通过第二发送模块通知核心网当前执行了一次源通信终端和目标通信终端之间的通信数据包的传输过程，结束本次通信数据包的传输过程。

5 结束语

本文针对源、目标基站间通信数据处理流程复杂导致的时延、丢包问题，提出了一种Femto系统的改进独立安全网关，对独立安全网关的接收模块、判断模块、发送模块做了细致的划分，判断源、目标家庭基站是否与同一个安全网关建立安全隧道，据此直接在安全网关处理数据包，然后再通知核心网，简化数据报文的处理流程，同时还能有效避免通信时延、丢包等情况。

参考文献：

[1] 中国移动通信集团公司. 中国移动TD-SCDMA Femto试验网技术体制V1.0.0[Z]. 2010.

[2] 3GPP.TR25.913（V7.3.0）. Requirements for evolved universal terrestrial radio access（UTRA）and universal terrestrial radio access network（UTBAN）[S]. 2006： 11-13.

[3] 中国移动通信集团公司. 中国移动TD.SCDMA Femto基站设备测试规范V1.0.0[Z]. 2010.

[4] Chandrasekhar V， Andrews J G. Femtocell networks：a femtocells：a roadmap on interference avoidance[J]. IEEE Communications Magazine， 2009，47（9）： 41-48.

[5] 沈蕾，李晖晖. TD-SCDMA Femto网络部署方案研究[J]. 电信工程技术与标准化， 2012（8）： 68-71.