CN101515881A - 下发接入点设备初始配置信息的方法、装置及系统 - Google Patents
下发接入点设备初始配置信息的方法、装置及系统 Download PDFInfo
- Publication number
- CN101515881A CN101515881A CNA2008100579451A CN200810057945A CN101515881A CN 101515881 A CN101515881 A CN 101515881A CN A2008100579451 A CNA2008100579451 A CN A2008100579451A CN 200810057945 A CN200810057945 A CN 200810057945A CN 101515881 A CN101515881 A CN 101515881A
- Authority
- CN
- China
- Prior art keywords
- access point
- configuration information
- initial configuration
- address information
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种下发接入点设备初始配置信息的方法,包括:通过加密通道接收接入点设备初始配置信息获取请求;根据该获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息;通过该加密通道下发该接入点设备初始配置信息。本发明还涉及一种下发接入点设备初始配置信息的装置、处理系统以及接入点设备。本发明通过加密通道传输接入点设备初始配置信息获取请求,获取的接入点设备初始配置信息通过加密通道进行下发,从而降低了接入点设备初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了接入点设备初始配置信息的安全性和可靠性,接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性。
Description
技术领域
本发明实施例涉及通信领域,特别是涉及一种下发接入点设备初始配置信息的方法、装置及系统。
背景技术
通信业发展到3G为人们规划出美好的前景,也为未来的通信定出较高的标准。为了改善网络覆盖的问题,3G运营商早期采用宏基站解决室内覆盖,但采用宏基站解决室内覆盖,站点获取困难,覆盖具有盲目性,投资效率低。为解决该技术缺陷,人们选用通用移动通信系统无线接入点设备(Universal Mobile Telecommunications System Access Point,简称:UMTS AP)系统,用以改善对家庭、小型办公区等区域的无线宽网覆盖。
UMTS AP系统可通过开放的标准3G核心网接口,方便地实现了与包括固定网络和移动网络等现有网络的无缝对接。在UMTS AP系统中,AP主要集成了基站(NobeB)和无线网络控制器(Radio Network Control,简称:RNC)的功能;AP接入网关(AP Gateway,简称AG)主要实现对AP的控制和管理以及向其他网元的路由的功能。通常用户只需增加一个AP,将AP接入到现有家庭宽带设备(如:ADSL MODEM)上,通过宽带接入网络或公共网(Internet)连接到通用移动通信系统(UMTS)核心网络的AG,AG支持标准的UMTS IuCS、IuPS等接口,通过AG与现有的通用移动通信系统(Universal Mobile Telecommunications System,简称:UMTS)核心网络连接,即可实现3G UMTS的接入应用。
在UMTS AP系统中,AP可通过自启动实现3G UMTS的方便接入。整个接入过程,用户只需将AP通电而无需其它干预,AP启动时需要的配置参数和发起业务时需要的配置参数等配置信息可做到自动配置,实现即插即用(Plugand Play)功能。图1为现有技术下发接入点设备初始配置信息的系统结构图。如图1所示,AP通电后,通过公共网接口(如:Ab接口),向部署在UMTS核心网内的专用服务器或系统终端设备(如:AP Home Register,AHR)发起查询接入设备初始配置(AP BOOT)信息的请求;专用服务器或系统终端设备接收到该请求后,向AP发送AP初始配置信息;AP接收AP初始配置信息,根据AP初始配置信息完成自动配置,并发起正常的业务流程。发明人在实现本发明过程中,发现AP获取AP初始配置信息的现有技术至少存在以下缺陷:
1、存有AP的AP初始配置信息的专用服务器或系统终端设备部署在UMTS核心网内,由于这些设备的前端设有的防火墙(Firewall)安全防护性能较低,AP通过公共网接口从公共网接入UMTS核心网,使得专用服务器或系统终端设备很容易受到攻击,敏感核心数据存在被窃取的危险,可能造成系统业务的中断。
2、AP与专用服务器或系统终端设备之间无认证或进行简单的用户名和密码认证,专用服务器或系统终端设备很容易受到攻击或破解,从而可能造成非法用户接入UMTS核心网,造成网络安全隐患。
3、AP与专用服务器或系统终端设备之间的交互信息通过明文传输,信息容易被窃取或篡改。
因此,在AP实现完全自动配置、方便接入USTM网时,AP获取AP初始配置信息时的网络安全问题不容忽视,迫切需要一种更为安全的AP处理AP初始配置信息的方法。
发明内容
本发明实施例是针对现有技术AP获取AP初始配置信息过程中存在的安全隐患,提供一种下发接入点设备初始配置信息的方法、装置、系统及接入点设备,用以保障AP初始配置信息在公共网传输中的安全性,有利于实现AP安全自启动的技术效果。
本发明实施例第一方面提供了一种下发接入点设备初始配置信息的方法,包括:
通过加密通道接收接入点设备初始配置信息获取请求;
根据该获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息;
通过该加密通道下发该接入点设备初始配置信息。
本发明第一方面实施例下发接入点设备初始配置信息的方法中,通过加密通道传输接入点设备初始配置(AP BOOT)信息获取请求,获取的AP初始配置信息通过加密通道进行下发,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保证业务的顺利运行。
本发明实施例第二方面提供了一种下发接入点设备初始配置信息的系统,包括:
接入点设备,用于与预置的安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,发送接入点设备配置信息获取请求并接收相应的接入点设备初始配置信息;
安全网关,用于与所述接入点设备建立加密通道;
归属服务器,用于根据所述接入点设备配置信息获取请求,通过所述加密通道下发相应的包括归属安全网关地址信息的接入点设备初始配置信息。
本发明第二方面实施例下发接入点设备初始配置信息的系统中,在归属服务器前设置安全网关,通过在接入点设备中预置与该AP初始配置信息存放路径相关的安全网关地址信息和初始功能服务器地址信息,利用网络架构已有的接入点设备和安全网关之间的加密通道,进行AP初始配置信息获取请求及相应的AP初始配置信息的传输,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在网络中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保障业务的顺利运行;此外,由于该系统利用既有网络架构已有的接入点设备与安全网关之间的加密通道实现接入点设备的安全自启动,因此,降低了整网的成本及开发量。
本发明实施例第三方面提供了一种下发接入点设备初始配置信息的装置,包括:
接收模块,用于通过加密通道接收接入点设备初始配置信息获取请求;
获取模块,用于根据该获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息;
下发模块,用于通过该加密通道下发该接入点设备初始配置信息。
本发明第三方面实施例下发接入点设备初始配置信息的装置中,接收模块通过加密通道传输AP初始配置信息获取请求,获取模块获取的AP初始配置信息通过下发模块经该加密通道进行下发,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保证业务的顺利运行。
本发明实施例第四方面提供了一种接入点设备,包括:
设置模块,用于预置安全网关地址信息和初始功能服务器地址信息;
请求模块,用于与预置的所述安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,向预置的所述初始功能服务器地址信息相应的初始功能服务器发送接入点设备配置信息获取请求;
启动模块,用于通过所述加密通道接收接入点设备初始配置信息,根据所述接入点设备初始配置信息包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。
本发明第四方面实施例接入点设备中,通过设置模块预设安全网关地址信息和初始功能服务器地址信息,通过请求模块与相应的安全网关建立加密通道,通过加密通道传输AP初始配置信息获取请求以及相应的AP初始配置信息,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,启动模块根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保障业务的顺利运行。
附图说明
图1为现有技术下发接入点设备初始配置信息的系统结构图;
图2为本发明下发接入点设备初始配置信息的方法第一实施例流程图;
图3为本发明下发接入点设备初始配置信息的方法第一实施例信令图;
图4为本发明下发接入点设备初始配置信息的方法第二实施例流程图;
图5为本发明下发接入点设备初始配置信息的方法第二实施例信令图;
图6为本发明下发接入点设备初始配置信息的系统第二实施例结构图;
图7为本发明下发接入点设备初始配置信息的系统第三实施例结构图;
图8为本发明下发接入点设备初始配置信息的系统第四实施例结构图;
图9为本发明下发接入点设备初始配置信息的装置实施例结构图;
图10为本发明接入点设备实施例结构图。
具体实施方式
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。图2为本发明下发接入点设备初始配置信息的方法第一实施例流程图。图3为本发明下发接入点设备初始配置信息的方法第一实施例信令图。如图2和3所示,本实施例包括:
步骤11、在AP中预置并存储安全网关(Security Gateway,简称:SeGW)IP地址信息和初始功能服务器(AP Booting Function,简称:ABF)IP地址信息;
步骤12、AP与预置的SeGW IP地址信息相应的SeGW建立加密通道;
步骤13、AP通过步骤12中建立的加密通道,向与预置的ABF IP地址信息相应的ABF发送AP初始配置信息获取请求;
步骤14、ABF根据AP初始配置信息获取请求中包含的AP身份标识,向归属服务器(AP Home Register,AHR)查询相应的AP初始配置信息,该AP初始配置信息中包含归属安全网关(Serving SeGW)IP地址信息;其中,AP身份标识可具体包括AP的身份信息(ID信息)、位置信息、IP地址信息或其他用于标识AP身份的信息;
步骤15、ABF通过步骤12中建立的加密通道,向AP发送包含归属安全网关IP地址信息的AP初始配置信息;
步骤16、AP接收AP初始配置信息并保存,释放步骤12中建立的加密通道;
步骤17、AP根据该AP初始配置信息中包含的归属安全网关IP地址信息,向与该归属安全网关IP地址信息相应的归属安全网关建立新的归属加密通道,发起正常业务流程。
本实施例步骤12中,加密通道可采用多种传输加密技术进行建立,例如:采用虚拟专用网(Virtual Private Network,简称:VPN)技术,包括IPSec VPN、安全套接层协议层(Secure Sockets Layer,简称SSL)VPN等;点对点隧道协议(Point To Point Tunnel Protocol,简称:PPTP)技术;第二层转发协议(Layer 2 Forwarding,简称:L2F)技术;第二层隧道协议(Layer 2 Tunnel Protocol,简称:L2TP)技术;通用路由封装(General Routing Encapsulation,简称:GRE)技术或其他传输加密技术。总之,本发明实施例中加密通道的建立有多种实现的方式,该部分为现有技术,不再赘述。
本实施例通过在AP中预置并存储SeGW的IP地址信息和ABF的IP地址信息,在AP与SeGW之间建立加密通道,通过该加密通道实现AP BOOT获取请求的发送以及相应的AP初始配置信息的下发,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,AP根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障AHR上的敏感信息的安全,也有利于保障其他AP能够从AHR上获取相应的AP初始配置信息,从而保障业务的顺利运行。
在本实施例技术方案的基础上,如果AP下发的AP初始配置信息中包含的归属安全网关IP地址信息与AP预置的SeGW IP地址信息相同,则不需要释放AP与SeGW之间的加密通道,直接通过该加密通道向SeGW发起业务流程。此外,在本实施例技术方案的基础上,ABF向AP下发的AP初始配置信息中可包含多个归属安全网关IP地址信息,AP可选取其中一个归属安全网关IP地址信息相应的归属安全网关作为当前归属安全网关,向该当前归属安全网关发起业务流程。如果当前归属安全网关未做出响应,AP可选取AP初始配置信息中的下一个归属安全网关IP地址信息相应的归属安全网关,直到有一个归属安全网关做出响应。如果AP初始配置信息中包含的所有归属安全网关IP地址信息相应的归属安全网关都没有作出响应,AP可通过本实施例技术方案向SeGW重新建立加密通道,发起AP BOOT获取请求。因此,在本实施例技术方案的基础上,ABF配送AP初始配置信息的方式非常灵活,AP寻址的方式也非常的灵活,能够适应多种各种AP自启动方式的需求。
图4为本发明下发接入点设备初始配置信息的方法第二实施例流程图。图5为本发明下发接入点设备初始配置信息的方法第二实施例信令图。本实施例中,公共网域名服务器(Internet DNS)即为本发明的第一域名服务器;通用移动核心网域名服务器(简称:UMTS DNS)即为本发明的第二域名服务器。如图4和5所示,本实施例包括:
步骤21、在AP中预置并存储SeGW全域名(Fully Qualified Domain Name,简称:FQDN)地址信息和ABF的FQDN地址信息;
步骤22、AP向公共网域名服务器查询与预置的SeGW FQDN地址信息相应的SeGW IP地址信息;
步骤23、AP与预置的SeGW IP地址信息相应的SeGW建立加密通道,在建立加密通道协商时,AP通过该加密通道向SeGW获取UMTS域名服务器的地址信息;
步骤24、AP通过步骤23中建立的加密通道,根据UMTS域名服务器地址信息,向相应的UMTS域名服务器查询ABF FQDN地址信息相应的ABF IP地址信息;
步骤25、AP通过步骤23中建立的加密通道,向与预置的ABF IP地址信息相应的ABF发送AP初始配置信息获取请求;
步骤26、ABF根据AP初始配置信息获取请求中包含的AP身份标识,向AHR查询相应的AP初始配置信息,该AP初始配置信息中包含归属安全网关地址信息;其中,AP身份标识可具体包括AP的身份信息(ID信息)、位置信息、IP地址信息或其他用于标识AP身份的信息;
步骤27、ABF通过步骤23中建立的加密通道,向AP发送包含归属安全网关地址信息的AP初始配置信息;
步骤28、AP接收AP初始配置信息并保存,释放步骤23中建立的加密通道;
步骤29、AP根据该AP初始配置信息中包含的归属安全网关地址信息,向与该归属安全网关地址信息相应的归属安全网关建立新的归属加密通道,发起正常业务流程。
本实施例进一步考虑了当SeGW或ABF的IP地址信息发生变化时,如果AP中预置的SeGW或ABF的原IP地址信息未得到及时更新的情形下,AP获取AP初始配置信息并实现自启动的方法。在该情形下,AP可能由于SeGW IP地址信息错误无法建立正确的加密通道,或者,AP发送的AP初始配置信息获取请求中包含了错误的ABF IP地址信息,而难以获取相应的AP初始配置信息,导致AP的自启动失败。本实施例中,通过AP预置SeGW的FQDN地址信息和ABF的FQDN地址信息,SeGW的FQDN地址信息通过Internet DNS获取相应的SeGW的IP地址信息,ABF的FQDN地址信息通过UMTS DNS获取相应的ABF的IP地址信息,即使SeGW的IP地址信息或ABF的IP地址信息发生变化,AP也能通过SeGW或ABF的FQDN地址信息获取变化后的SeGW或ABF的IP地址信息,保证能够获取AP初始配置信息,从而为AP顺利完成自启动提供保障。
本实施还通过在AP与SeGW之间建立加密通道,通过该加密通道实现APBOOT获取请求的发送以及相应的AP初始配置信息的下发,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,AP根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障AHR上的敏感信息的安全,也有利于保障其他AP能够从AHR上获取相应的AP初始配置信息,从而保障业务的顺利运行。
本发明第二方面实施例还提供了一种下发接入点设备初始配置信息的系统。该系统第一实施例包括:接入点设备、安全网关和归属服务器。
接入点设备用于与预置的安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,发送接入点设备配置信息获取请求并接收相应的接入点设备初始配置信息。
安全网关用于与接入点设备建立加密通道。
归属服务器用于根据所述接入点设备配置信息获取请求,通过该加密通道下发相应的包括归属安全网关地址信息的接入点设备初始配置信息。
本实施例在归属服务器前设置安全网关,通过在接入点设备中预置与该AP初始配置信息存放路径相关的安全网关地址信息和初始功能服务器地址信息,利用网络架构已有的接入点设备和安全网关之间的加密通道,进行AP初始配置信息获取请求及相应的AP初始配置信息的传输,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在网络中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保障业务的顺利运行;此外,由于该系统利用既有网络架构已有的接入点设备与安全网关之间的加密通道实现接入点设备的安全自启动,因此,降低了整网的成本及开发量。
图6为本发明下发接入点设备初始配置信息的系统第二实施例结构图。本实施例与本发明下发接入点设备初始配置信息的系统第一实施例的区别在于,本实施例还包括初始功能服务器30,如图6所示。
初始功能服务器30用于通过安全网关20与接入点设备10之间建立的加密通道,接收来自接入点设备10的AP初始配置信息获取请求,根据该请求,向归属服务器40获取包括归属安全网关地址信息的AP初始配置信息后,通过该加密通道下发该AP初始配置信息。
在此技术方案的基础上,接入点设备10可具体包括设置模块101、请求模块102和启动模块103;初始功能服务器30具体包括接收模块301、获取模块302和下发模块303。
设置模块101用于设置与存储AP初始配置信息路径相应的SeGW地址信息和ABF地址信息。
请求模块102用于与设置模块101预置的SeGW地址信息相应的SeGW建立加密通道,通过该加密通道,与设置模块101预置的ABF地址信息相应的ABF发送AP初始配置信息获取请求;
启动模块103用于通过请求模块102建立的加密通道接收包含有归属安全网关地址信息的AP初始配置信息,根据该归属安全网关地址信息,向相应的归属安全网关发起业务流程。
接收模块301用于通过安全网关20与接入点设备10之间建立的加密通道,接收来自接入点设备10的AP初始配置信息获取请求。
获取模块302用于根据接收模块301接收的获取请求,向归属服务器40获取包括归属安全网关地址信息的AP初始配置信息。
下发模块303用于通过该加密通道下发获取模块302获取的包含归属安全网关地址信息的该AP初始配置信息。关于初始功能服务器本身的设备形态和部署方式可以非常的灵活,初始功能服务器可以是独立的设备,也可以是功能集成的集成设备,例如:可根据实际组网的需要,在全网部署多个初始功能服务器独立设备,保证初始功能服务器的可靠性和部署的灵活性;或者,将初始功能服务器与认证、授权、计费服务器(Authentication、Authorization and Accounting Server;简称:3A服务器)集成为一体;或者,由于网内有多个AG,可以将AG和初始功能服务器功能集成后进行网络的灵活部署等。此外,本领域技术人员也可根据实际组网的需要选择合适的初始功能服务器设备形态及部署方式。需要说明的是,初始功能服务器并不是实现本发明系统实施例必要的,例如:接入点设备也可通过加密通道向存储有接入点设备初始配置信息的归属服务器,直接获取相应的接入点设备初始配置信息。
本实施例通过在接入点设备中预置与该接入点设备初始配置信息存放路径相关的安全网关地址信息和初始功能服务器地址信息,利用网络架构已有的接入点设备和安全网关之间的加密通道,进行AP初始配置信息获取请求及相应的AP初始配置信息的传输,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在网络中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保障业务的顺利运行;此外,由于该系统利用既有网络架构已有的接入点设备与安全网关之间的加密通道实现接入点设备的安全自启动,因此,降低了整网的成本及开发量。
图7为本发明下发接入点设备初始配置信息的系统第三实施例结构图。如图7所示,本实施例与本发明下发接入点设备初始配置信息的系统第一实施例的区别在于,本实施例中,设置模块101具体为第一设置模块1011;启动模块103具体包括接收单元1031、比较单元1032和启动单元1033。
第一设置模块1011用于设置安全网关20的IP地址信息和初始功能服务器30的IP地址信息。
接收单元1031用于通过请求模块102与安全网关20之间的加密通道,接收初始功能服务器30发送的包含归属安全网关地址信息的AP初始配置信息;
比较单元1032用于比较接收单元1031接收的AP初始配置信息中的归属安全网关地址信息与第一设置模块101预置的安全网关20的地址信息是否相同,如果相同,不释放请求模块102与安全网关20之间的加密通道;如果不相同,则释放请求模块102与安全网关20之间的加密通道。
启动单元1033用于根据接收单元1031接收到AP初始配置信息中包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。启动单元1033在发起业务流程,如果比较单元1032已释放了请求模块102与安全网关20之间的加密通道,则建立与相应的归属安全网关新的归属加密通道,通过该归属加密通道发起业务流程;如果比较单元1032未释放了请求模块102与安全网关20之间的加密通道,则通过该加密通道发起业务流程。
本实施例通过在接入点设备的第一设置模块中预置与该接入点设备初始配置信息存放路径相关的安全网关的IP地址信息和初始功能服务器的IP地址信息,请求模块和安全网关之间建立加密通道,通过加密通道进行AP初始配置信息获取请求及相应的AP初始配置信息的传输,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性。当启动模块的接收单元接收到AP初始配置信息后,通过比较单元比较接收单元接收到相应的AP初始配置信息中的归属安全网关地址信息与预置的安全网关IP地址信息是否一致,如果一致则可用原有的加密通道发起业务流程,从而使得接入设备的安全自启动的过程更为快捷。
图8为本发明下发接入点设备初始配置信息的系统第四实施例结构图。如图8所示,本实施例与本发明下发接入点设备初始配置信息的系统第一实施例的区别在于,本实施例中,还包括第一域名服务器40、第二域名服务器50;接入点设备10中,设置模块101具体为第二设置模块1012;请求模块102具体包括第一查询单元1021、通道单元1022、第二查询单元1023和请求单元1024。
第一域名服务器40用于将来自接入点设备10的安全网关20的全域名地址信息转换成相应的安全网关20的I P地址信息后,下发给接入点设备10。
第二域名服务器50用于将来自接入点设备10的初始功能服务器30的全域名地址信息转换成相应的初始功能服务器30的IP地址信息后,下发给接入点设备10。
第二设置模块1012用于设置安全网关20的全域名地址信息和初始功能服务器30的全域名地址信息。
第一查询单元1021用于向第一域名服务器40查询第二设置模块1012预设的安全网关20的全域名地址信息相应的安全网关20的IP地址信息。
通道单元1022用于与安全网关20的IP地址信息相应的安全网关20建立加密通道。
第二查询单元1023用于向第二域名服务器50查询第二设置模块1012预设的初始功能服务器30的全域名地址信息相应的初始功能服务器30的IP地址信息。
请求单元1024用于通过通道单元1022建立的加密通道,向与初始功能服务器30的IP地址信息相应的初始功能服务器30发送AP初始配置信息获取请求。
本实施例通过在接入点设备的第二设置模块中预置与该接入点设备初始配置信息存放路径相关的安全网关的FQDN地址信息和初始功能服务器的FQDN地址信息,并分别向第一DNS服务器和第二DNS服务器查询相应的安全网关的IP地址信息和初始功能服务器的IP地址信息,请求单元和安全网关之间建立加密通道,通过加密通道进行AP初始配置信息获取请求及相应的AP初始配置信息的传输,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于本实施例是通过在接入设备的第二设置模块中设置安全网关的FQDN地址信息和初始功能服务器的FQDN地址信息,使得即使安全网关的IP地址信息或初始功能服务器的IP地址信息发生变化,AP也能通过安全网关或初始功能服务器的FQDN地址信息获取变化后的安全网关或初始功能服务器的IP地址信息,保证接入点设备能够获取AP初始配置信息,从而为AP顺利完成自启动提供保障。
图9为本发明下发接入点设备初始配置信息的装置实施例结构图。如图9所示,本实施例包括接收模块301、获取模块302和下发模块303。
接收模块301用于通过加密通道接收AP初始配置信息获取请求。
获取模块302用于根据接收模块301接收的获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息。
下发模块303用于通过该加密通道下发获取模块302获取的包含归属安全网关地址信息的该AP初始配置信息。
本实施例接收模块通过加密通道传输AP初始配置信息获取请求,获取模块获取的AP初始配置信息通过下发模块经该加密通道进行下发,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,相应的接入点设备根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保证业务的顺利运行。
在通信领域,特别是无线通信领域,本实施例可具体为一种初始功能服务器。关于本实施例在细化的网络架构中的应用,可参见本发明下发接入点设备初始配置信息的系统第二至第四实施例的文字描述,以及附图6-8的记载,在此不再赘述。
图10为本发明接入点设备实施例结构图。如图10所示,本实施例接入点设备自启动的实现装置包括设置模块101、请求模块102和启动模块103。
设置模块101用于设置与存储AP初始配置信息路径相应的SeGW地址信息和ABF地址信息。
请求模块102用于与设置模块101预置的SeGW地址信息相应的SeGW建立加密通道,通过该加密通道,与设置模块101预置的ABF地址信息相应的ABF发送AP初始配置信息获取请求。
启动模块103用于通过请求模块102建立的加密通道接收包含有归属安全网关地址信息的AP初始配置信息,根据该归属安全网关地址信息,向相应的归属安全网关发起业务流程。
本实施例通过设置模块预设AP初始配置信息存放路径相应的安全网关地址信息和初始功能服务器地址信息,通过请求模块与相应的安全网关建立加密通道,通过加密通道传输AP初始配置信息获取请求以及相应的AP初始配置信息,从而降低了AP初始配置信息在公共网传输过程中被窃取或篡改的风险,增强了AP初始配置信息的安全性和可靠性,启动模块根据接收到的可靠的AP初始配置信息进行自动配置,提高了接入点设备自启动的安全性;由于AP初始配置信息获取请求及AP初始配置信息在公共网中都是通过加密的方式进行传输,因此有利于保障归属服务器上的敏感信息的安全,也有利于保障其他AP能够从归属服务器上获取相应的AP初始配置信息,从而保障业务的顺利运行。
在通信领域,特别是无线通信领域,本实施例可具体为一种接入点设备。关于本实施例功能模块的细化结构,可参见本发明下发接入点设备初始配置信息的系统第二至第四实施例的文字描述,以及附图6-8的记载,在此不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (23)
1、一种下发接入点设备初始配置信息的方法,其特征在于包括:
通过加密通道接收接入点设备初始配置信息获取请求;
根据该获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息;
通过该加密通道下发该接入点设备初始配置信息。
2、根据权利要求1所述的下发接入点设备初始配置信息的方法,其特征在于,获取包括归属安全网关地址信息的接入点设备初始配置信息包括:
初始功能服务器根据所述请求,向存储有所述接入点设备初始配置信息的归属服务器获取相应的接入点设备初始配置信息。
3、根据权利要求2所述的下发接入点设备初始配置信息的方法,其特征在于,所述通过加密通道接收接入点设备初始配置信息获取请求之前,还包括:
接入点设备预置安全网关地址信息和初始功能服务器地址信息,与预置的所述安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,向预置的所述初始功能服务器地址信息相应的初始功能服务器发送接入点设备配置信息获取请求。
4、根据权利要求3所述的下发接入点设备初始配置信息的方法,其特征在于,所述地址信息包括:IP地址信息。
5、根据权利要求3所述的下发接入点设备初始配置信息的方法,其特征在于,所述地址信息包括:全域名地址信息。
6、根据权利要求5所述的下发接入点设备初始配置信息的方法,其特征在于,所述与预置的所述安全网关地址信息相应的安全网关建立加密通道之前,还包括:
将预置的所述安全网关全域名地址信息转换为初始安全网关IP地址信息。
7、根据权利要求6所述的下发接入点设备初始配置信息的方法,其特征在于,所述与预置的所述安全网关地址信息相应的安全网关建立加密通道之后,还包括:
将预置的所述初始功能服务器全域名地址信息转换为初始功能服务器IP地址信息。
8、根据权利要求1-7所述的任一下发接入点设备初始配置信息的方法,其特征在于,所述通过该加密通道下发接入点设备初始配置信息之后,还包括:
释放所述加密通道,所述接入点设备向所述归属安全网关地址信息相应的归属安全网关发起业务流程。
9、根据权利要求8所述的下发接入点设备初始配置信息的方法,其特征在于,所述向归属安全网关发起业务流程之前,还包括:
判断接收的所述归属安全网关地址信息与预置的所述安全网关地址信息是否相同,是则通过所述加密通道,向所述归属安全网关地址信息相应的归属安全网关发起业务流程。
下发接入点设备初始配置信息的方法下发接入点设备初始配置信息的方法。
10、一种下发接入点设备初始配置信息的系统,其特征在于包括:
接入点设备,用于与预置的安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,发送接入点设备配置信息获取请求并接收相应的接入点设备初始配置信息;
安全网关,用于与所述接入点设备建立加密通道;
归属服务器,用于根据所述接入点设备配置信息获取请求,通过所述加密通道下发相应的包括归属安全网关地址信息的接入点设备初始配置信息。
11、根据权利要求10所述的下发接入点设备初始配置信息的系统,其特征在于,还包括:
初始功能服务器,用于通过所述加密通道,接收来自所述接入点设备的接入点设备初始配置信息获取请求,根据该请求,向所述归属服务器获取相应的包括归属安全网关地址信息的接入点设备初始配置信息,并通过该加密通道下发该接入点设备初始配置信息。
12、根据权利要求11所述的下发接入点设备初始配置信息的系统,其特征在于,所述接入点设备包括:
设置模块,用于预置安全网关地址信息和初始功能服务器地址信息;
请求模块,用于与预置的所述安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,向预置的所述初始功能服务器地址信息相应的初始功能服务器发送接入点设备配置信息获取请求;
启动模块,用于通过所述加密通道接收接入点设备初始配置信息,根据所述接入点设备初始配置信息包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。
13、根据权利要求12所述的下发接入点设备初始配置信息的系统,其特征在于,所述设置模块具体为第一设置模块,用于设置安全网关I P地址信息和初始功能服务器IP地址信息。
14、根据权利要求12所述的下发接入点设备初始配置信息的系统,其特征在于,所述设置模块具体为第二设置模块,用于设置安全网关全域名地址信息和初始功能服务器全域名地址信息。
15、根据权利要求14所述的下发接入点设备初始配置信息的系统,其特征在于还包括:
第一域名服务器,用于将来自所述接入点设备的安全网关全域名地址信息转换成相应的安全网关IP地址信息后下发给所述接入点设备;和/或,
第二域名服务器,用于将来自所述接入点设备的初始功能服务器全域名地址信息转换成相应的初始功能服务器IP地址信息后下发给所述接入点设备。
16、根据权利要求15所述的任一下发接入点设备初始配置信息的系统,其特征在于,所述启动模块包括:
接收单元,用于通过所述加密通道接收包含归属安全网关地址信息的接入点设备初始配置信息;
比较单元,用于当所述归属安全网关地址信息与预置的安全网关地址信息不同时,释放所述请求模块建立的加密通道;
启动单元,用于根据所述接入点设备初始配置信息包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。
17、根据权利要求11-16所述的任一下发接入点设备初始配置信息的系统,其特征在于,所述初始功能服务器包括:
接收模块,用于通过加密通道接收接入点设备初始配置信息获取请求;
获取模块,用于根据该获取请求,向所述归属服务器获取包括归属安全网关地址信息的接入点设备初始配置信息;
下发模块,用于通过该加密通道下发该接入点设备初始配置信息。
18、一种下发接入点设备初始配置信息的装置,其特征在于包括:
接收模块,用于通过加密通道接收接入点设备初始配置信息获取请求;
获取模块,用于根据该获取请求,获取包括归属安全网关地址信息的接入点设备初始配置信息;
下发模块,用于通过该加密通道下发该接入点设备初始配置信息。
19、一种接入点设备,其特征在于,包括:
设置模块,用于预置安全网关地址信息和初始功能服务器地址信息;
请求模块,用于与预置的所述安全网关地址信息相应的安全网关建立加密通道,通过该加密通道,向预置的所述初始功能服务器地址信息相应的初始功能服务器发送接入点设备配置信息获取请求;
启动模块,用于通过所述加密通道接收接入点设备初始配置信息,根据所述接入点设备初始配置信息包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。
20、根据权利要求19所述的接入点设备,其特征在于,所述设置模块具体为第一设置模块,用于设置安全网关IP地址信息和初始功能服务器IP地址信息。
21、根据权利要求19所述的接入点设备,其特征在于,所述设置模块具体为第二设置模块,用于设置安全网关全域名地址信息和初始功能服务器全域名地址信息。
22、根据权利要求21所述的接入点设备,其特征在于,所述请求模块包括:
第一查询单元,用于查询所述第二设置模块预设的安全网关全域名地址信息相应的安全网关IP地址信息;
通道单元,用于与所述安全网关IP地址信息相应的安全网关建立加密通道;
第二查询单元,用于查询所述第二设置模块预设的初始功能服务器全域名地址信息相应的初始功能服务器IP地址信息;
请求单元,用于通过所述加密通道,向与所述初始功能服务器IP地址信息相应的初始功能服务器发送接入点设备初始配置信息获取请求。
23、根据权利要求20-22所述的任一接入点设备,其特征在于,所述启动模块包括:
接收单元,用于通过所述加密通道接收包含归属安全网关地址信息的接入点设备初始配置信息;
比较单元,用于当所述归属安全网关地址信息与预置的安全网关地址信息不同时,释放所述请求模块建立的加密通道;
启动单元,用于根据所述接入点设备初始配置信息包含的归属安全网关地址信息,向相应的归属安全网关发起业务流程。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100579451A CN101515881A (zh) | 2008-02-21 | 2008-02-21 | 下发接入点设备初始配置信息的方法、装置及系统 |
| PCT/CN2009/070397 WO2009103227A1 (zh) | 2008-02-21 | 2009-02-11 | 下发接入点设备初始配置信息的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100579451A CN101515881A (zh) | 2008-02-21 | 2008-02-21 | 下发接入点设备初始配置信息的方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101515881A true CN101515881A (zh) | 2009-08-26 |
Family
ID=40985066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100579451A Pending CN101515881A (zh) | 2008-02-21 | 2008-02-21 | 下发接入点设备初始配置信息的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101515881A (zh) |
| WO (1) | WO2009103227A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104185199A (zh) * | 2014-08-25 | 2014-12-03 | 大唐移动通信设备有限公司 | 一种基站自启动及其控制方法及装置 |
| CN109510777A (zh) * | 2018-11-09 | 2019-03-22 | 迈普通信技术股份有限公司 | 流表编排方法、装置及sdn控制器 |
| CN110166583A (zh) * | 2019-05-29 | 2019-08-23 | 京信通信系统(中国)有限公司 | 小基站接入方法、装置、设备、系统以及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634877B (zh) * | 2013-11-29 | 2016-12-07 | 福建星网锐捷网络有限公司 | 无接入控制器的网络中接入点的管理方法和接入点设备 |
| CN105392131A (zh) * | 2015-10-19 | 2016-03-09 | 上海斐讯数据通信技术有限公司 | 一种配置管理无线接入点的装置和方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| CN100407815C (zh) * | 2006-02-24 | 2008-07-30 | 华为技术有限公司 | 一种移动通信网络中接入点获取接入网关地址的方法 |
| US20080039086A1 (en) * | 2006-07-14 | 2008-02-14 | Gallagher Michael D | Generic Access to the Iu Interface |
-
2008
- 2008-02-21 CN CNA2008100579451A patent/CN101515881A/zh active Pending
-
2009
- 2009-02-11 WO PCT/CN2009/070397 patent/WO2009103227A1/zh active Application Filing
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104185199A (zh) * | 2014-08-25 | 2014-12-03 | 大唐移动通信设备有限公司 | 一种基站自启动及其控制方法及装置 |
| CN104185199B (zh) * | 2014-08-25 | 2017-12-05 | 大唐移动通信设备有限公司 | 一种基站自启动及其控制方法及装置 |
| CN109510777A (zh) * | 2018-11-09 | 2019-03-22 | 迈普通信技术股份有限公司 | 流表编排方法、装置及sdn控制器 |
| CN109510777B (zh) * | 2018-11-09 | 2022-02-22 | 迈普通信技术股份有限公司 | 流表编排方法、装置及sdn控制器 |
| CN110166583A (zh) * | 2019-05-29 | 2019-08-23 | 京信通信系统(中国)有限公司 | 小基站接入方法、装置、设备、系统以及存储介质 |
| WO2020238149A1 (zh) * | 2019-05-29 | 2020-12-03 | 京信通信系统(中国)有限公司 | 小基站接入方法、装置、设备、系统以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009103227A1 (zh) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110692280B (zh) | 一种网络接入方法、设备及系统 | |
| US9401901B2 (en) | Self-configuring wireless network | |
| EP3317774B1 (en) | Method and system for internetwork communication with machine devices | |
| CN1781099B (zh) | 在公共热点中的客户终端的自动配置 | |
| CN102572830B (zh) | 终端接入认证的方法及用户端设备 | |
| EP2630756B1 (en) | Method and apparatus for sharing internet connection based on automatic configuration of network interface | |
| EP1552652B1 (en) | Home terminal apparatus and communication system | |
| CN102137395B (zh) | 配置接入设备的方法、装置及系统 | |
| CN104717225B (zh) | 一种物联网网关接入认证方法及系统 | |
| US20170048700A1 (en) | Self-configuring wireless network | |
| WO2014134544A1 (en) | Self-configuring wireless network | |
| CN101141259A (zh) | 防止误接入接入点设备的方法及装置 | |
| JP2005518117A (ja) | ファイアウォールとnatとを介してコネクションを開始する方法 | |
| CN102143136B (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
| CN104144463A (zh) | Wi-Fi网络接入方法和系统 | |
| CN104488303A (zh) | 接入无线网络的装置及方法 | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| CN104093149A (zh) | 一种监控设备的无线接入方法及装置 | |
| CN102185840B (zh) | 一种认证方法、设备及系统 | |
| CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
| US11818575B2 (en) | Systems and methods for virtual personal Wi-Fi network | |
| KR20010067325A (ko) | 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템 | |
| CN101515881A (zh) | 下发接入点设备初始配置信息的方法、装置及系统 | |
| WO2015063146A1 (en) | Methods for a link recovery of a wireless network and respective devices | |
| EP1947818A1 (en) | A communication system and a communication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090826 |