CN101547132A - 一种建立数据转发隧道的方法、系统和装置 - Google Patents
一种建立数据转发隧道的方法、系统和装置 Download PDFInfo
- Publication number
- CN101547132A CN101547132A CN200810084485A CN200810084485A CN101547132A CN 101547132 A CN101547132 A CN 101547132A CN 200810084485 A CN200810084485 A CN 200810084485A CN 200810084485 A CN200810084485 A CN 200810084485A CN 101547132 A CN101547132 A CN 101547132A
- Authority
- CN
- China
- Prior art keywords
- gateway
- signaling
- data forwarding
- forwarding tunnel
- network entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种建立数据转发隧道的方法、系统和装置,该方法包括以下步骤:接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址;根据所述服务网关的地址建立到所述服务网关的数据转发隧道;根据所述服务网关的地址对接收的数据的源地址进行验证,如果验证成功,则接收所述数据。通过本发明实施例保证了数据转发隧道的安全性,防止了恶意攻击。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种建立数据转发隧道的方法、系统和装置。
背景技术
LTE/EPC(Long Term Evolution/Evolved Packet Core,长期演化/演进的分组核心网)网络是3GPP(Third Generation Partnership Project,第三代合作伙伴计划)制定的一种移动通信技术规范,目的是为了减少时延,提供更高速的用户数据速率,增强系统容量,以及降低运营成本。其中,LTE的接入网部分也被称为E-UTRAN(Evolved-UMTS Terrestrial Radio Acces Network,演进的UMTS陆地无线接入网)。EV-DO(Evolution-Data Only,数据优化演进)网络能够为移动终端提供高速的分组数据服务,EV-DO网络也被称为HRPD(High Rate Packet Data,高速分组数据)网络。LTE/EPC网络和HRPD网络都是移动通信技术的发展方向,网络运营商可能同时拥有LTE/EPC网络和EV-DO网络,因此LTE/EPC网络与HRPD网络的互通问题备受关注。
目前LTE/EPC网络与HRPD网络互通框架已基本确定,如图1所示,LTE网络中的实体MME与HRPD网络中的实体AN(Access Network,接入网)间存在信令接口S101,主要用于传递UE(User Equipment,用户设备)与HRPD网络的信令。PDSN(Packet Data Serving Node,分组数据服务节点)与PDN GW(Public Data Network GateWay公共数据)间的接口为S2a,使用PMIP(ProxyMobile IP,代理移动IP)协议,从而保证业务的连续性。为了减少切换过程中的丢包,PDSN与Serving GW(Serving Gateway,服务网关)间建立承载通道,用于传递已发送到LTE但需要转发到HRPD的用户数据包。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:现有技术所建立的数据转发隧道安全隐患较大,容易受到恶意攻击。
发明内容
本发明实施例提供一种建立数据转发隧道的方法、系统和装置,以保证数据转发隧道的安全性,防止恶意攻击。
为达到上述目的,本发明实施例一方面提供一种建立数据转发隧道的方法,具体包括以下步骤:
接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址;
根据所述服务网关的地址建立到所述服务网关的数据转发隧道;
根据所述服务网关的地址对接收的数据的源地址进行验证,如果验证成功,则接收所述数据。
另一方面,本发明实施例提供另一种建立数据转发隧道的方法,具体包括以下步骤:
获取信令保护信息;
接收服务网关发送的数据转发隧道建立请求信令;
根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
再一方面,本发明实施例还提供一种建立数据转发隧道的系统,包括:目标网关、服务网关、目标网络实体和服务网络实体,
所述服务网络实体,用于向所述目标网络实体发送携带建立数据转发隧道指示的信令,接收所述目标网络实体发送的携带参数的应答,并转发给服务网关;
所述目标网络实体,用于将所述服务网络实体发送的携带建立数据转发隧道指示的信令发送给所述目标网关,接收所述目标网关发送的携带参数的应答,并将所述携带参数的应答发送给所述服务网络实体;
所述服务网关,用于接收所述目标网络实体发送的携带参数的应答,获取信令保护信息,向所述目标网关发送数据转发隧道建立请求信令,接收所述目标网关发送的受所述信令保护信息保护的数据转发隧道建立应答信令;
所述目标网关,用于接收所述目标网络实体发送的携带建立数据转发隧道指示的信令,获取信令保护信息,向所述目标网络实体发送的携带参数的应答,接收所述服务网关发送的数据转发隧道建立请求信令,根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
再一方面,本发明实施例还提供一种目标网关,包括:
第一接收模块,用于接收目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址;
隧道建立模块,用于根据所述服务网关的地址建立到所述服务网关的数据转发隧道;
地址验证模块,用于根据所述服务网关的地址对接收到的数据的源地址进行验证;
第二接收模块,用于当所述地址验证模块验证所述数据的源地址成功时,接收所述数据。
再一方面,本发明实施例还提供另一种建立数据转发隧道的系统,包括:目标网关、服务网关、目标网络实体和服务网络实体,
所述服务网络实体,用于向所述目标网络实体发送携带建立数据转发隧道指示的信令;
所述目标网络实体,用于接收所述服务网络实体发送的携带建立数据转发隧道指示的信令;
所述服务网关,用于向所述目标网关发送数据转发隧道建立请求信令,接收所述目标网关发送的受所述信令保护信息保护的数据转发隧道建立应答信令;
所述目标网关,用于获取信令保护信息,接收所述服务网关发送的数据转发隧道建立请求信令,根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
再一方面,本发明实施例还提供另一种目标网关,包括:
信息获取模块,用于获取信令保护信息;
信令接收模块,用于接收数据转发隧道建立请求信令;
信令校验模块,用于根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验;
应答发送模块,用于当所述信令校验模块校验所述信令成功时,向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
与现有技术相比,本发明实施例具有以下优点:本发明实施例的目标网关通过接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址,根据所述服务网关的地址建立到所述服务网关的数据转发隧道,根据所述服务网关的地址对接收到的数据的源地址进行验证,如果验证成功,则接收所述数据,从而保证了数据转发隧道的安全性,防止了恶意攻击。
附图说明
图1为现有技术LTE网络与HRPD网络的互通架构图;
图2为本发明实施例一的方法流程图;
图3为本发明实施例二的方法流程图;
图4为本发明实施例三的方法流程图;
图5为本发明实施例四的方法流程图;
图6为本发明实施例五的方法流程图;
图7为本发明实施例六的方法结构图;
图8为本发明实施例七的方法结构图;
图9为本发明实施例八的系统的结构图;
图10为本发明实施例八的系统的目标网关的结构图;
图11为本发明实施例九的系统的结构图;
图12为本发明实施例九的系统的一种目标网关的结构图;
图13为本发明实施例九的系统的另一种目标网关的结构图。
具体实施方式
下面结合说明书附图和实施例对本发明的具体实施方式进行描述:
本发明实施例应用于系统之间的切换,所述切换包括LTE/EPC网络与HRPD网络间的切换。
目前LTE/EPC网络与HRPD网络间的切换流程需要在两个不同接入技术的网关间,也就是Serving GW和HSGW(HRPD Serving Gate way,HRPD服务网关)间建立GRE(Generic Routing Encapsulation,通用路由封装)数据隧道,GRE key(GRE密钥)由HSGW生成。这种建立数据隧道的方法存在安全隐患,体现在HSGW不知道所建隧道对端的IP地址或标识,因此任何实体,只要知道GREkey,则都可以向HSGW发送转发数据,导致攻击者利用这一点向HSGW发送恶意数据。而HSGW无法识别数据源的真实性。
本发明实施例的目标网关通过保存数据隧道对端的地址信息,并根据之前保存的地址信息对转发数据将进行验证,如果验证成功,则接收所述数据,或者,目标网关获取信令保护信息,并根据所述信令保护信息对接收到的数据转发隧道建立请求信令进行验证,如果验证成功,则发送受所述信令保护信息保护的隧道建立应答信令,从而保证隧道建立的安全性,并防止攻击者恶意转发无用数据的攻击,解决上述问题。
如图2所示,为本发明实施例一的方法流程图,具体包括以下步骤:
步骤S201,接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址。
步骤S202,根据所述服务网关的地址建立到所述服务网关的数据转发隧道。
步骤S203,根据服务网关的地址对接收到的数据的源地址进行验证。
步骤S204,判断验证是否成功。如果验证成功,则执行步骤S205,否则执行步骤S206。
步骤S205,接收所述数据。
步骤S206,拒绝接收所述数据。
本发明实施例的目标网关保存服务网关的地址。在与所述服务网关建立数据转发隧道后,如果所述服务网关有数据发送过来,则根据保存的服务网关的地址对接收到的数据的数据源进行验证。验证成功后,才接收所述数据,从而有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图3所示,为本发明实施例二的方法流程图。目标网关保存服务网关的地址信息,以便在后续接收数据时执行检查,防范恶意数据攻击。另外本发明实施例的服务网络实体和目标网络实体分别为服务网络接入点和目标网络接入点。本发明实施例具体包括如下步骤:
步骤S301,移动终端或者服务网络决定执行切换。
步骤S302,移动终端发送切换请求消息到服务网络的接入点。
步骤S303,服务网络接入点将切换请求消息转发给目标网络接入点,并在切换请求消息中携带建立数据转发隧道指示,同时携带服务网关的地址。
步骤S304,目标网络接入点向目标网关发送信令,指示需要建立数据转发隧道,同时携带有服务网关的地址。
步骤S305,目标网关同意建立数据转发隧道,产生隧道建立参数,并根据得到的服务网络的地址建立数据转发隧道,并指定该隧道只用于当前特定移动终端。目标网关发送应答消息到目标网络接入点,将目标网关的地址,以及隧道建立参数发送给目标网络接入点。
步骤S306,目标网络接入点转发切换应答消息到服务网络接入点,切换应答消息中携带目标网关的地址和隧道建立参数。
步骤S307,服务网络接入点向服务网关发送信令,指示建立数据转发隧道,包括目标网关的地址,以及建立数据转发隧道的参数。
步骤S308,服务网关根据接收到的信令建立数据转发隧道。
步骤S309,服务网络接入点转发切换应答消息给移动终端。
步骤S310,此时服务网关与目标网关间的数据转发隧道已建立,目标网关可接收从服务网关转发的数据,并验证数据包的源地址是否与之前所保存的一致,如果相同,则接收数据,否则拒绝处理。
本发明实施例的目标网关保存服务网关的地址。在与所述服务网关建立数据转发隧道后,如果所述服务网关有数据发送过来,则根据保存的服务网关的地址对接收到的数据的数据源进行验证。验证成功后,才接收所述数据,从而有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图4所示,为本发明实施例三的方法流程图,具体包括以下步骤:
步骤S401,获取信令保护信息。
步骤S402,接收服务网关发送的的数据转发隧道建立请求信令。
步骤S403,对接收到的数据转发隧道建立请求信令进行验证。
步骤S404,判断验证是否成功。如果校验成功,则执行步骤S405,否则,执行步骤S406。
步骤S405,向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
步骤S406,拒绝所述数据转发隧道建立请求。
本发明实施例的目标网关根据之前保存的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,校验成功后才向服务网关发送隧道建立应答,从而建立数据转发隧道。因此有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图5所示,为本发明实施例四的方法流程图。本发明实施例将服务网关的地址通知目标网关,目标网关生成相应的安全参数传递到目标网络。服务网关发起信令与目标网络建立隧道,信令使用安全参数保护。另外,本发明实施例的服务网络实体和目标网络实体分别为服务网络接入点和目标网络接入点,本发明实施例的信令保护信息为安全参数,本发明实施例具体包括如下步骤:
步骤S501,移动终端或者服务网络决定执行切换。
步骤S502,移动终端发送切换请求消息到服务网络的接入点。
步骤S503,服务网络接入点将切换请求消息转发给目标网络接入点,并在切换请求消息中携带建立数据转发隧道指示。
步骤S504,目标网络接入点向目标网关发送信令,指示需要建立数据转发隧道。
步骤S505,目标网关同意建立数据转发隧道,为了保护后续建立隧道的消息,目标网关生成必要的安全参数。目标网关发送应答消息到目标网络接入点,所述应答消息中同时携带目标网关的地址以及安全参数。如果认为传递安全参数存在风险,可使用目标网关和目标接入点间的密钥对安全参数进行加密。
步骤S506,目标网络接入点转发切换应答消息到服务网络接入点,并在切换应答消息中携带目标网关的地址和安全参数。如果认为传递安全参数存在风险,可使用服务网络接入点和目标接入点间的密钥对安全参数进行加密。
步骤S507,服务网络接入点向服务网关发送信令,指示建立数据转发隧道,包括目标网关的地址和安全参数。如果认为传递安全参数存在风险,可使用服务网关和服务网络接入点间的密钥对安全参数进行加密。
步骤S508,服务网关发起到目标网关的数据转发隧道建立请求信令,所述信令携带所述服务网关的地址,且使用安全参数进行保护,具体来说用密钥进行完整性保护。
步骤S509,目标网关接到数据转发隧道建立请求信令后,用之前保存的对应的安全参数对信令进行校验,如果成功,则发送受所述安全参数保护的应答消息给服务网关,数据转发隧道建立成功。
步骤S510,服务网关发送切换应答消息给服务网络接入点。
步骤S511,服务网络接入点发送切换应答消息给移动终端。
步骤S512,此时服务网关与目标网关间的数据转发隧道已建立,目标网关可接收从服务网关转发的数据。
上述发明实施例在建立好数据转发隧道后,如果目标网关接收到数据,还可以根据所述服务网关的地址对所述数据的数据源进行验证,如果验证成功,则接收所述数据。
本发明实施例的目标网关将安全参数发送给服务网关,在收到服务网关发送的受所述安全参数保护的数据转发隧道建立请求信令后,根据之前保存的安全参数对接收到的数据转发隧道建立请求信令进行校验,校验成功后才向服务网关发送受所述安全参数保护的隧道建立应答,从而建立数据转发隧道。因此有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图6所示,为本发明实施例五的方法流程图,本发明实施例将服务网关的地址通知目标网关,服务网关和目标网关根据共享密钥和交换的参数分别计算安全密钥,并使用所述安全密钥保护双方在建立数据转发隧道时的交互信令。另外,本发明实施例的服务网络实体和目标网络实体分别为服务网络接入点和目标网络接入点,本发明实施例的信令保护信息为安全密钥,本发明实施例具体包括如下步骤:
步骤S601,移动终端或者服务网络决定执行切换。
步骤S602,移动终端发送切换请求消息到服务网络的接入点。
步骤S603,服务网络接入点将切换请求消息转发给目标网络接入点,并在切换请求消息中携带建立数据转发隧道指示,同时携带服务网关的地址以及用于计算安全密钥的第一密钥参数,例如随机数等。
步骤S604,目标网络接入点向目标网关发送信令,指示需要建立数据转发隧道,同时携带有服务网关的地址和第一密钥参数。
步骤S605,目标网关接收到切换请求消息后,也生成用于计算安全密钥的第二密钥参数,并通过与服务网关共享的密钥、两个密钥参数、服务网关的地址、目标网关的地址、移动终端标识等信息生成用于保护后续数据隧道建立消息的安全密钥。目标网关可以在用户鉴权的过程获得共享密钥。如果当前没有共享密钥,可以向AAA(Authentication Authorization Accounting,验证、鉴权、计费)实体请求。
步骤S606,目标网关发送应答消息到目标网络接入点,并在应答消息中携带目标网关的地址以及第二密钥参数。
步骤S607,目标网络接入点发送切换应答消息到服务网络接入点,消息中携带目标网关的地址和第二密钥参数。
步骤S608,服务网络接入点向服务网关发送信令,指示建立数据转发隧道,包括目标网关的地址和第二密钥参数。
步骤S609,服务网关执行与目标网关相同的操作计算用于保护后续数据隧道建立消息的安全密钥。
步骤S610,服务网关发起到目标网关的消息,请求建立数据转发隧道,信令使用安全密钥进行保护,具体来说可用安全密钥进行完整性保护。
步骤S611,目标网关接到信令后,用之前保存的对应的密钥对消息进行校验,如果成功,则发送受所述安全密钥应答消息给服务网关,数据转发隧道建立成功。
步骤S612,服务网关发送应答消息给服务网络接入点。
步骤S613,服务网络接入点发送切换应答消息给移动终端。
步骤S614,此时服务网关与目标网关间的数据转发隧道已建立,目标网关可接收从服务网关转发的数据。
上述发明实施例在建立好数据转发隧道后,如果目标网关接收到数据,还可以根据所述服务网关的地址对所述数据的数据源进行验证,如果验证成功,则接收所述数据。
本发明实施例的目标网关和服务网关分别计算安全密钥,并使用安全密钥建立数据转发隧道将安全密钥发送给服务网关,使双方在建立数据转发隧道时,通过安全密钥保护双方交互的信令,从而有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图7所示,为本发明实施例六的方法流程图,本发明实施例中,UE位于E-UTRAN网络,并已建立连接,但由于能够检测到HRPD的信号,因此希望切换到HRPD网络,为了减少切换时延,UE首先通过E-UTRAN网络完成到HRPD网络的注册,包括建立空口会话,建立AN与PDSN间的A10连接,UE与PDSN建立PPP连接。信令需要通过MME(Mobility ManagementEntity,移动性管理实体)和AN间的S101接口传递。本发明实施例应用于LTE网络到HRPD网络的切换,将LTE网络中的Serving GW地址传递给HSGW,用于建立数据隧道。另外本发明实施例的服务网络实体和目标网络实体分别为服务网络接入点和目标网络接入点。本发明实施例具体包括如下步骤:
步骤S701.a、E-UTRAN收到UE发送的HPRD测量报告,并决定执行切换。
步骤S701.b、UE发送HRPD连接建立请求消息Connection Request(连接请求)到E-UTRAN,请求HRPD业务信道。请求被传递到MME。
步骤S701.c、MME选择一个HRPD的接入点,也就是eAN(evolvedAccess网,演进的接入网)/PCF(Packet Control Function,分组控制功能)(以下简称eAN),并建立S101会话。MME在转发Connection Request消息的同时,携带Serving GW的地址,PDN GW的地址到eAN。
步骤S702.a、HRPD eAN分配请求的空口资源,并发送A11’RRQ(Registration Request,注册请求)消息到HSGW。消息中eAN指示请求用于转发数据的网关地址,并携带Serving GW的地址,PDN GW地址。
步骤S702.b、HSGW发送A1l’RRP(Registration Reply,注册应答)消息给eAN,消息中携带用于数据转发的网关的IP地址(也就是HSGW的IP地址)以及用于标识建立的GRE数据转发隧道的参数GREkey。
步骤S703、为响应1c所收到的Connection Request,eAN在S101消息中将HRPD业务信道指派消息,以及HSGW IP地址,GRE key发送给MME。
步骤S704.a、MME为数据转发配置资源,并将HSGW IP地址以及GREkey通知给Serving GW。Serving GW确认数据转发资源,此时Serving GW已和HSGW建立了数据转发通道。
步骤S704.b、MME转发HRPD TCA消息到E-UTRAN,E-UTRAN转发到UE。
步骤S705、E-UTRAN将收到的下行的IP数据包反送回Serving GW,Serving GW利用刚才所建立的数据通道发送给HSGW,HSGW会检查所接收的数据包的源地址是否是之前所保存的值。
步骤S706.a、UE获得HRPD空口连接。
步骤S706.b、UE发送TCC(Traffic Channel Completion,业务信道完成)消息到eAN。
步骤S707.a、eAN发送A11’Active Start airlink(激活空中链接)消息到HSGW,指示空口连接激活。
步骤S707.b、HSGW发送应答。
步骤S708.a、因接收到A11’ActiveStart airlink,HSGW发送PMIPv6 BU到PDN GW,建立PMIP隧道。
步骤S708.b、PDN GW处理代理绑定更新消息,更新相关绑定信息,并给UE分配与在E-UTRAN网络时相同的IP地址或前缀。PDN GW发送PMIPv6BA到HSGW,携带IP地址或前缀。PMIP隧道建立成功。
步骤S708.c、PDN GW向hPCRF(Home Policy and Charging Rules Function归属策略计费规则功能)发送Modify IP-CAN session(修改IP-CAN会话)消息,hPCRF回应Modify IP-CAN session ACK(修改IP-CAN确认)消息。消息中携带策略和计费规则。
步骤S708.d、eAN向MME指示切换完成,并收到确认。
步骤S709、UE此时通过HRPD网络进行通信,需要通过PDN GW以及HSGW。
步骤S710、E-UTRAN系统,包括eNodeB,MME,Serving GW以及PDNGW释放资源。
本发明实施例的E-UTRAN将收到的IP数据包反送回Serving GW,Serving GW利用刚才所建立的数据通道发送给HSGW,HSGW会检查所接收的数据包的源地址是否是之前所保存的值,如果是,则HSGW回送应答,从而建立数据转发隧道,因此有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图8所示,为本发明实施例七的方法流程图,本发明实施例中,UE位于E-UTRAN网络,并已建立连接,但由于能够检测到HRPD网络的信号,因此希望切换到HRPD网络,为了减少切换时延,UE首先通过E-UTRAN网络完成到HRPD网络的注册,包括建立空口会话,建立AN与PDSN间的A10连接,UE与PDSN建立PPP连接。信令需要通过MME和AN间的S101接口传递。本发明实施例应用于LTE网络到HRPD网络的切换。将LTE网络中的Serving GW地址传递给HSGW。Serving GW和HSGW交换随机数,计算用于保护建立数据转发隧道信令的安全密钥。另外,本发明实施例的服务网络实体和目标网络实体分别为服务网络接入点和目标网络接入点,本发明实施例的信令保护信息为安全密钥,本发明实施例具体包括如下步骤:
步骤S801.a、E-UTRAN收到UE发送的HPRD测量报告,并决定执行切换。
步骤S801.b、UE发送HRPD连接建立请求消息Connection Request到E-UTRAN,请求HRPD业务信道。请求被转发到MME。
步骤S801.c、MME选择一个HRPD的接入点,也就是eAN/PCF(以下简称eAN),并建立S101会话。MME在转发Connection Request消息的同时,携带Serving GW的地址,用于计算安全密钥的随机数nonce1,PDN GW的地址到eAN。
步骤S802.a、HRPD eAN分配请求的空口资源,并发送A11’RRQ消息到HSGW。消息中eAN指示请求用于转发数据的网关地址,并携带Serving GW的地址,用于计算安全密钥的随机数nonce1,PDN GW地址。
步骤S802.b、HSGW生成nonce2,并计算用于保护后续数隧道建立信令的安全密钥。Key=F(shared master key,nonce1,nonce2,S-GW IP,HSGW IP,AT ID)。其中,F是安全密钥生成函数。Shared master key是UE接入HSGW执行鉴权时,HAAA(Home Authentication Authorization Accounting,归属验证、鉴权、计费)传给HSGW的。HSGW发送A11’RRP消息给eAN,消息中携带用于数据转发的网关的IP地址(也就是HSGW的IP地址)以及nonce2。
步骤S803、为响应1c所收到的Connection Request,eAN在S101消息中将HRPD业务信道指派消息,以及HSGW IP地址,nonce2发送给MME。
步骤S804.a、MME为数据转发配置资源,并将HSGW IP地址以及nonce2通知给Serving GW。Serving GW确认数据转发资源。
步骤S804.b、Serving GW根据得到的参数执行与步骤2b相同的方法计算安全密钥。如果Serving GW没有shared master key,可以向HAAA请求。ServingGW发送PMIP BU消息到HSGW,消息使用安全密钥进行保护,所计算的消息摘要保存在MN-HA认证选项中。
步骤S804.c、HSGW收到消息后,用之前计算的安全密钥校验消息的合法性,如果成功,则分配GRE key,建立数据隧道。HSGW发送PMIP BA,消息也用安全密钥保护。
步骤S804.d、Serving GW发送消息给MME,标识数据转发隧道建立成功。
步骤S804.e、MME转发HRPD TCA消息到E-UTRAN,E-UTRAN转发到UE。
步骤S805、E-UTRAN将收到的下行的IP数据包反送回Serving GW,Serving GW利用刚才所建立的数据通道发送给HSGW。
步骤S806.a、UE获得HRPD空口连接。
步骤S806.b、UE发送业务信道完成Traffic Channel Completion(TCC)消息到eAN。
步骤S807.a、eAN发送A11’ActiveStart airlink消息到HSGW,指示空口连接激活。
步骤S807.b、HSGW发送应答。
步骤S808.a、因接收到A11’ActiveStart airlink,HSGW发送PMIPv6 BU到PDN GW,建立PMIP隧道。
步骤S808.b、PDN GW处理代理绑定更新消息,更新相关绑定信息,并给UE分配与在E-UTRAN网络时相同的IP地址或前缀。PDN GW发送PMIPv6BA到HSGW,携带IP地址或前缀。PMIP隧道建立成功。
步骤S808.c、PDN GW向hPCRF发送ModifyIP-CAN session消息,hPCRF回应ModifyIP-CAN session ACK消息。消息中携带策略和计费规则。
步骤S808.d、eAN向MME指示切换完成,并收到确认。
步骤S809、UE此时通过HRPD网络进行通信,需要通过PDN GW以及HSGW。
步骤S810、E-UTRAN系统,包括eNodeB,MME,Serving GW以及PDNGW释放资源。
本发明实施例的Serving GW和HSGW交换随机数,分别计算用于保护建立数据转发隧道信令的安全密钥。在收到Serving GW发送的建立数据转发隧道请求消息后,HSGW用之前计算的安全密钥校验所述消息的合法性,如果成功,则分配GRE key,建立数据隧道,有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图9所示,为本发明实施例八的系统结构图,包括:目标网关1、服务网关2、目标网络实体3和服务网络实体4。
上述系统中,服务网络实体4,用于向目标网络实体3发送携带建立数据转发隧道指示和服务网关2的地址的信令。目标网络实体3,用于将服务网络实体4发送的携带建立数据转发隧道指示和服务网关2的地址的信令发送给目标网关1。服务网关2,用于向目标网关1发送数据。目标网关1,用于接收目标网络实体3发送的携带建立数据转发隧道指示和服务网关2的地址的信令,获取服务网关2的地址,根据服务网关2的地址建立到服务网关2的数据转发隧道,根据服务网关2的地址对网络实体发送的数据的源地址进行验证,如果验证成功,则接收所述数据。
上述系统中,服务网关包括演进的通用移动通信系统陆地无线接入网E-UTRAN的服务网关Serving-GW,所述目标网关包括高速分组数据网网关HSGW。
上述系统中,服务网络实体4向目标网络实体3发送携带建立数据转发隧道指示和服务网关2的地址的信令;目标网络实体3将所述携带建立数据转发隧道指示和服务网关2的地址的信令转发给目标网关1;目标网关1获取服务网关2的地址,并根据服务网关2的地址建立到服务网关2的数据转发隧道;服务网关2向目标网关1发送数据;目标网关1根据服务网关2的地址对接收到的数据的源地址进行验证,如果验证成功,则接收所述数据。
如图10所示,为本发明实施例八的系统中的目标网关1的装置结构图,包括:第一接收模块11,用于接收目标网络实体3发送的携带建立数据转发隧道指示和服务网关2的地址的信令,获取服务网关2的地址。隧道建立模块12,用于根据服务网关2的地址建立到服务网关2的数据转发隧道。地址验证模块13,用于根据服务网关2的地址对接收到的数据的源地址进行验证。第二接收模块14,用于当所述地址验证模块13验证所述数据的源地址成功时,接收所述数据。
上述目标网关1的隧道建立模块12,进一步包括:参数生成子模块121,用于根据服务网关2的地址生成隧道建立参数。信令发送子模块122,用于向目标网络实体3发送携带所述隧道建立参数的应答。
上述发明实施例中目标网关1获取服务网关2的地址,并根据服务网关2的地址建立到服务网关2的数据转发隧道,服务网关2向目标网关1发送数据,目标网关1根据服务网关2的地址对接收到数据的源地址进行验证,如果验证成功,则接收所述数据,从而有效保证了数据转发隧道的安全性,防止了恶意攻击。
如图11所示,为本发明实施例九的系统结构图,包括:目标网关1、服务网关2、目标网络实体3和服务网络实体4。
上述系统中,服务网络实体4,用于向目标网络实体3发送携带建立数据转发隧道指示的信令,接收目标网络实体3发送的携带参数的应答,并转发给服务网关2。目标网络实体3,用于将服务网络实体4发送的携带建立数据转发隧道指示的信令发送给目标网关1,接收目标网关1发送的携带参数的应答,并将所述携带参数的应答发送给服务网络实体4。服务网关2,用于接收目标网络实体3发送的携带参数的应答,获取信令保护信息,向目标网关1发送数据转发隧道建立请求信令,接收目标网关1发送的受所述信令保护信息保护的数据转发隧道建立应答信令。目标网关1,用于接收目标网络实体3发送的携带建立数据转发隧道指示的信令,获取信令保护信息,向目标网络实体3发送的携带参数的应答,接收服务网关2发送的数据转发隧道建立请求信令,根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向服务网关2发送受所述信令保护信息保护的数据转发隧道建立应答信令。
上述系统中,服务网络实体4向目标网络实体3发送携带建立数据转发隧道指示的信令。目标网络实体3将所述携带建立数据转发隧道指示的信令发送给目标网关1。目标网关1获取信令保护信息,并向目标网络实体3发送携带参数的应答。目标网络实体3将所述携带参数的应答转发服务网络实体4,由服务网络实体4将所述携带参数的应答转发给服务网关2。服务网关2获取信令保护信息,并向目标网关1发送数据转发隧道建立请求信令。目标网关1接收服务网关2发送的数据转发隧道建立请求信令。根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验。如果校验成功,则向所述服务网关2发送受所述信令保护信息保护的数据转发隧道建立应答信令。
如图12所示,为本发明实施例九的系统中的一种目标网关1的装置结构图,包括:信息获取模块11,用于获取信令保护信息。信令接收模块12,用于接收服务网关2发送的数据转发隧道建立请求信令。信令校验模块13,用于根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验。应答发送模块14,用于当信令校验模块13校验所述信令成功时,向服务网关2发送受所述信令保护信息保护的数据转发隧道建立应答信令。参数发送模块15,用于通过目标网络实体3向服务网络实体4发送携带参数的应答。地址获取模块16,用于获取服务网关2的地址。验证模块17,用于根据服务网关3的地址对接收到的数据的源地址进行验证。数据接收模块18,用于当验证模块17验证所述数据的源地址成功时,接收所述数据。
上述目标网关1的信息获取模块11,进一步包括:第一接收子模块111,用于接收服务网络实体4通过目标网络实体3发送的携带建立数据转发隧道指示的信令。第一生成子模块112,用于根据所述信令生成所述安全参数,并保存所述安全参数。
上述目标网关1的信令校验模块13,进一步包括:第一校验子模块131,用于根据所述保存的安全参数对接收到的数据转发隧道建立请求信令进行校验。
上述目标网关1的应答发送模块14,进一步包括:第一应答发送模块141,用于当第一校验子模块131校验所述信令成功时,向服务网关2发送受所述安全参数保护的数据转发隧道建立应答信令。
上述目标网关1的参数发送模块15,进一步包括:第一发送子模块151,用于通过目标网络实体3向服务网络实体4发送携带所述安全参数的应答,由服务网络实体3将所述应答转发给服务网关2。
上述目标网关1的地址获取模块16,进一步包括:第一获取子模块161,用于接收服务网络实体4通过目标网络实体3发送的携带建立数据转发隧道指示和服务网关2的地址的信令,根据所述信令获取服务网关2的地址。
如图13所示,为本发明实施例九的系统中的目标网关1的另一种装置结构图,包括:信息获取模块11,用于获取信令保护信息。信令接收模块12,用于接收服务网关2发送的数据转发隧道建立请求信令。信令校验模块13,用于根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验。应答发送模块14,用于当信令校验模块13校验所述信令成功时,向服务网关2发送受所述信令保护信息保护的数据转发隧道建立应答信令。参数发送模块15,用于通过目标网络实体3向服务网络实体4发送携带参数的应答。地址获取模块16,用于获取服务网关2的地址。验证模块17,用于根据服务网关3的地址对接收到的数据的源地址进行验证。数据接收模块18,用于当验证模块17验证所述数据的源地址成功时,接收所述数据。
上述目标网关1的信息获取模块11,进一步包括:第二接收子模块113,用于接收服务网络实体4通过目标网络实体3发送的携带建立数据转发隧道指示和第一密钥参数的信令。第二生成子模块114,用于根据所述信令生成第二密钥参数。计算子模块115,用于根据所述第一密钥参数、第二密钥参数和共享密钥计算用于保护建立数据转发隧道信令的安全密钥,并保存所述安全密钥。
上述目标网关1的信令校验模块13,进一步包括:第二校验子模块132,用于根据所述保存的安全密钥对接收到数据转发隧道建立请求信令进行校验。
上述目标网关1的应答发送模块14,进一步包括:第二应答发送模块142,用于当第二校验子模块132校验所述信令成功时,向服务网关2发送受所述安全密钥保护的数据转发隧道建立应答信令。
上述目标网关1的参数发送模块15,进一步包括:第二发送子模块152,用于通过目标网络实体3向服务网络实体4发送携带所述第二密钥参数的应答。
上述目标网关1的地址获取模块16,进一步包括:第二获取子模块162,用于接收服务网关2发送的数据转发隧道建立请求信令,所述信令中携带服务网关2的地址,根据所述信令获取服务网关2的地址。
上述发明实施例中目标网关1获取信令保护信息,服务网关2向目标网关1发送数据转发隧道建立请求信令,目标网关1根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关2发送受所述信令保护信息保护的数据转发隧道建立应答信令,从而有效保证了数据转发隧道的安全性,防止了恶意攻击。
本发明实施例中的“接收”一词可以理解为主动从其他模块获取也可以是接收其他模块发送来的信息。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
权利要求的内容记载的方案也是本发明实施例的保护范围。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可通过硬件来实现,当然也可借助软件加必需的通用硬件平台的方式实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以硬件产品的形式体现出来。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (29)
1、一种建立数据转发隧道的方法,其特征在于,包括以下步骤:
接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址;
根据所述服务网关的地址建立到所述服务网关的数据转发隧道;
根据所述服务网关的地址对接收到的数据的源地址进行验证,如果验证成功,则接收所述数据。
2、如权利要求1所述建立数据转发隧道的方法,其特征在于,所述服务网关包括演进的通用移动通信系统陆地无线接入网E-UTRAN的服务网关Serving-GW,所述目标网关包括高速分组数据网网关HSGW。
3、如权利要求1所述建立数据转发隧道的方法,其特征在于,所述根据服务网关的地址建立到所述服务网关的数据转发隧道,包括:
根据所述服务网关的地址生成隧道建立参数;
通过所述目标网络实体向所述服务网络实体发送携带所述隧道建立参数的应答,由所述服务网络实体将所述应答转发给所述服务网关。
4、一种建立数据转发隧道的方法,其特征在于,包括以下步骤:
获取信令保护信息;
接收服务网关发送的数据转发隧道建立请求信令;
根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
5、如权利要求4所述建立数据转发隧道的方法,其特征在于,所述信令保护信息,包括安全参数或安全密钥,所述安全参数为已加密或未加密的安全参数。
6、如权利要求4或5所述建立数据转发隧道的方法,其特征在于,所述获取信令保护信息,包括:
接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示的信令,根据所述信令生成所述安全参数,并保存所述安全参数;
或者,接收所述服务网络实体通过所述目标网络实体发送的携带建立数据转发隧道指示和第一密钥参数的信令,根据所述信令生成第二密钥参数,根据所述第一密钥参数、第二密钥参数和共享密钥计算用于保护建立数据转发隧道信令的安全密钥,并保存所述安全密钥。
7、如权利要求4或6所述建立数据转发隧道的方法,其特征在于,在所述获取信令保护信息之后,还包括:通过所述目标网络实体向所述服务网络实体发送携带参数的应答。
8、如权利要求7所述建立数据转发隧道的方法,其特征在于,所述通过目标网络实体向所述服务网络实体发送携带参数的应答,包括:
通过所述目标网络实体向所述服务网络实体发送携带所述安全参数的应答,由所述服务网络实体将所述应答转发给所述服务网关;
或者,通过所述目标网络实体向所述服务网络实体发送携带所述第二密钥参数的应答,由所述服务网络实体将所述第二密钥参数转发给所述服务网关,并由所述服务网关根据所述第二密钥参数、第一密钥参数和共享密钥计算用于保护建立数据转发隧道信令的安全密钥。
9、如权利要求6或8所述建立数据转发隧道的方法,其特征在于,所述计算用于保护建立数据转发隧道信令的安全密钥的参数还包括服务网关的地址,目标网关的地址和用户身份信息。
10、如权利要求8所述建立数据转发隧道的方法,其特征在于,所述接收服务网关发送的数据转发隧道建立请求信令,包括:
接收所述服务网关发送的数据转发隧道建立请求信令,所述数据转发隧道建立请求信令受所述安全参数或安全密钥保护。
11、如权利要求4或6所述建立数据转发隧道的方法,其特征在于,所述根据获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令,包括:
根据所述保存的安全参数对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述安全参数保护的数据转发隧道建立应答信令;
或者,根据所述保存的安全密钥对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述安全参数保护的数据转发隧道建立应答信令。
12、如权利要求4所述建立数据转发隧道的方法,其特征在于,在所述根据获取的信令保护信息对所述令进行校验之前,还包括:
获取所述服务网关的地址。
13、如权利要求12所述建立数据转发隧道的方法,其特征在于,所述获取服务网关的地址,包括:
接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,根据所述信令获取所述服务网关的地址;
或者,接收所述服务网关发送的数据转发隧道建立请求信令,所述信令中携带所述服务网关的地址,根据所述信令获取所述服务网关的地址。
14、如权利要求4或13所述建立数据转发隧道的方法,其特征在于,在所述向服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令之后,还包括:
根据所述服务网关的地址对接收到的数据的源地址进行验证,如果验证成功,则接收所述数据。
15、一种建立数据转发隧道的系统,其特征在于,包括:目标网关、服务网关、目标网络实体和服务网络实体,
所述服务网络实体,用于向所述目标网络实体发送携带建立数据转发隧道指示和服务网关的地址的信令;
所述目标网络实体,用于将所述服务网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令发送给所述目标网关;
所述服务网关,用于向所述目标网关发送数据;
所述目标网关,用于接收目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址,根据所述服务网关的地址建立到所述服务网关的数据转发隧道,根据所述服务网关的地址对网络实体发送的数据的源地址进行验证,如果验证成功,则接收所述数据。
16、如权利要求15所述建立数据转发隧道的系统,其特征在于,所述服务网关包括演进的通用移动通信系统陆地无线接入网E-UTRAN的服务网关Serving-GW,所述目标网关包括高速分组数据网网关HSGW。
17、一种目标网关,其特征在于,包括:
第一接收模块,用于接收目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,获取所述服务网关的地址;
隧道建立模块,用于根据所述服务网关的地址建立到所述服务网关的数据转发隧道;
地址验证模块,用于根据所述服务网关的地址对接收到的数据的源地址进行验证;
第二接收模块,用于当所述地址验证模块验证所述数据的源地址成功时,接收所述数据。
18、如权利要求17所述目标网关,其特征在于,所述隧道建立模块,包括:
参数生成子模块,用于根据所述服务网关的地址生成隧道建立参数;
信令发送子模块,用于向目标网络实体发送携带所述隧道建立参数的应答。
19、一种建立数据转发隧道的系统,其特征在于,包括:目标网关、服务网关、目标网络实体和服务网络实体,
所述服务网络实体,用于向所述目标网络实体发送携带建立数据转发隧道指示的信令,接收所述目标网络实体发送的携带参数的应答,并转发给服务网关;
所述目标网络实体,用于将所述服务网络实体发送的携带建立数据转发隧道指示的信令发送给所述目标网关,接收所述目标网关发送的携带参数的应答,并将所述携带参数的应答发送给所述服务网络实体;
所述服务网关,用于接收所述目标网络实体发送的携带参数的应答,获取信令保护信息,向所述目标网关发送数据转发隧道建立请求信令,接收所述目标网关发送的受所述信令保护信息保护的数据转发隧道建立应答信令;
所述目标网关,用于接收所述目标网络实体发送的携带建立数据转发隧道指示的信令,获取信令保护信息,向所述目标网络实体发送的携带参数的应答,接收所述服务网关发送的数据转发隧道建立请求信令,根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验,如果校验成功,则向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
20、一种目标网关,其特征在于,所述包括:
信息获取模块,用于获取信令保护信息;
信令接收模块,用于接收服务网关发送的数据转发隧道建立请求信令;
信令校验模块,用于根据所述获取的信令保护信息对接收到的数据转发隧道建立请求信令进行校验;
应答发送模块,用于当所述信令校验模块校验所述信令成功时,向所述服务网关发送受所述信令保护信息保护的数据转发隧道建立应答信令。
21、如权利要求20所述目标网关,其特征在于,所述信息获取模块,包括:
第一接收子模块,用于接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示的信令;
第一生成子模块,用于根据所述信令生成安全参数,并保存所述安全参数。
22、如权利要求20所述目标网关,其特征在于,所述信息获取模块,还包括:
第二接收子模块,用于接收所述服务网络实体通过所述目标网络实体发送的携带建立数据转发隧道指示和第一密钥参数的信令;
第二生成子模块,用于根据所述信令生成第二密钥参数;
计算子模块,用于根据所述第一密钥参数、第二密钥参数和共享密钥计算用于保护建立数据转发隧道信令的安全密钥,并保存所述安全密钥。
23、如权利要求21或22所述目标网关,其特征在于,还包括:
参数发送模块,用于通过目标网络实体向服务网络实体发送携带参数的应答。
24、如权利要求23所述目标网关,其特征在于,所述参数发送模块,包括:
第一发送子模块,用于通过目标网络实体向服务网络实体发送携带所述安全参数的应答,由所述服务网络实体将所述应答转发给所述服务网关;
或者,第二发送子模块,用于通过所述目标网络实体向所述服务网络实体发送携带所述第二密钥参数的应答。
25、如权利要求20或21所述目标网关,其特征在于,所述信令校验模块,包括:
第一校验子模块,用于根据所述保存的安全参数对接收到的数据转发隧道建立请求信令进行校验;
或者,第二校验子模块,用于根据所述保存的安全密钥对接收到的数据转发隧道建立请求信令进行校验。
26、如权利要求20或25所述目标网关,其特征在于,所述应答发送模块,包括:
第一应答发送模块,用于当所述第一校验子模块校验所述信令成功时,向所述服务网关发送受所述安全参数保护的数据转发隧道建立应答信令;
或者,第二应答发送模块,用于当所述第二校验子模块校验所述信令成功时,向所述服务网关发送受所述安全密钥保护的数据转发隧道建立应答信令。
27、如权利要求20所述目标网关,其特征在于,还包括:
地址获取模块,用于获取所述服务网关的地址。
28、如权利要求27所述目标网关,其特征在于,所述地址获取模块,包括:
第一获取子模块,用于接收服务网络实体通过目标网络实体发送的携带建立数据转发隧道指示和服务网关的地址的信令,根据所述信令获取所述服务网关的地址;
或者,第二获取子模块,用于接收所述服务网关发送的数据转发隧道建立请求信令,所述信令中携带所述服务网关的地址,根据所述信令获取所述服务网关的地址。
29、如权利要求20所述目标网关,其特征在于,还包括:
验证模块,用于根据所述服务网关的地址对接收到的数据的源地址进行验证;
数据接收模块,用于当所述验证模块验证所述数据的源地址成功时,接收所述数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100844851A CN101547132B (zh) | 2008-03-25 | 2008-03-25 | 一种建立数据转发隧道的方法、系统和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100844851A CN101547132B (zh) | 2008-03-25 | 2008-03-25 | 一种建立数据转发隧道的方法、系统和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101547132A true CN101547132A (zh) | 2009-09-30 |
CN101547132B CN101547132B (zh) | 2012-06-20 |
Family
ID=41194040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100844851A Expired - Fee Related CN101547132B (zh) | 2008-03-25 | 2008-03-25 | 一种建立数据转发隧道的方法、系统和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101547132B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546184A (zh) * | 2012-02-17 | 2012-07-04 | 北京海联捷讯信息科技发展有限公司 | 传感网内消息安全传输或密钥分发的方法和系统 |
CN102612029A (zh) * | 2011-01-19 | 2012-07-25 | 华为技术有限公司 | 认证方法和认证设备 |
WO2014022993A1 (zh) * | 2012-08-08 | 2014-02-13 | 华为技术有限公司 | 隧道转发方法、装置、设备及系统 |
CN104735808A (zh) * | 2013-12-19 | 2015-06-24 | 中兴通讯股份有限公司 | 一种分布式网络中处理业务的方法及装置 |
WO2016082477A1 (zh) * | 2014-11-25 | 2016-06-02 | 中兴通讯股份有限公司 | 一种网络切换方法及移动管理实体 |
CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
CN111131182A (zh) * | 2019-12-05 | 2020-05-08 | 厦门朗视信息科技有限公司 | 一种VoIP通信网络穿透装置及方法 |
CN111371549A (zh) * | 2020-03-05 | 2020-07-03 | 浙江双成电气有限公司 | 一种报文数据传输方法、装置及系统 |
CN112887211A (zh) * | 2021-01-26 | 2021-06-01 | 北京树米网络科技有限公司 | 一种网际协议报文数据转发系统 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1441483B1 (en) * | 2003-01-21 | 2014-04-16 | Samsung Electronics Co., Ltd. | Gateway for supporting communications between network devices of different private networks |
-
2008
- 2008-03-25 CN CN2008100844851A patent/CN101547132B/zh not_active Expired - Fee Related
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102612029A (zh) * | 2011-01-19 | 2012-07-25 | 华为技术有限公司 | 认证方法和认证设备 |
WO2012097725A1 (zh) * | 2011-01-19 | 2012-07-26 | 华为技术有限公司 | 认证方法和认证设备 |
CN102612029B (zh) * | 2011-01-19 | 2015-09-30 | 华为技术有限公司 | 认证方法和认证设备 |
CN102546184B (zh) * | 2012-02-17 | 2015-05-27 | 北京海联捷讯科技股份有限公司 | 传感网内消息安全传输或密钥分发的方法和系统 |
CN102546184A (zh) * | 2012-02-17 | 2012-07-04 | 北京海联捷讯信息科技发展有限公司 | 传感网内消息安全传输或密钥分发的方法和系统 |
CN104025518B (zh) * | 2012-08-08 | 2017-06-13 | 华为技术有限公司 | 隧道转发方法、装置、设备及系统 |
WO2014022993A1 (zh) * | 2012-08-08 | 2014-02-13 | 华为技术有限公司 | 隧道转发方法、装置、设备及系统 |
CN104025518A (zh) * | 2012-08-08 | 2014-09-03 | 华为技术有限公司 | 隧道转发方法、装置、设备及系统 |
CN104735808A (zh) * | 2013-12-19 | 2015-06-24 | 中兴通讯股份有限公司 | 一种分布式网络中处理业务的方法及装置 |
WO2016082477A1 (zh) * | 2014-11-25 | 2016-06-02 | 中兴通讯股份有限公司 | 一种网络切换方法及移动管理实体 |
CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
CN111131182A (zh) * | 2019-12-05 | 2020-05-08 | 厦门朗视信息科技有限公司 | 一种VoIP通信网络穿透装置及方法 |
CN111131182B (zh) * | 2019-12-05 | 2022-03-08 | 厦门星纵信息科技有限公司 | 一种VoIP通信网络穿透装置及方法 |
CN111371549A (zh) * | 2020-03-05 | 2020-07-03 | 浙江双成电气有限公司 | 一种报文数据传输方法、装置及系统 |
CN112887211A (zh) * | 2021-01-26 | 2021-06-01 | 北京树米网络科技有限公司 | 一种网际协议报文数据转发系统 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101547132B (zh) | 2012-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101547132B (zh) | 一种建立数据转发隧道的方法、系统和装置 | |
US10999065B2 (en) | Method and apparatus for updating a key in an active state | |
US8295488B2 (en) | Exchange of key material | |
JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
US6876747B1 (en) | Method and system for security mobility between different cellular systems | |
JP4913909B2 (ja) | モバイルipネットワークにおけるルート最適化 | |
US9491619B2 (en) | Method and system for preauthenticating a mobile node | |
TWI262010B (en) | Ciphering activation during an inter-rat handover procedure | |
CN102484790B (zh) | 多技术互通中的预注册安全支持 | |
US7630712B2 (en) | Method for reconnecting a mobile terminal in a wireless network | |
EP2290875B1 (en) | Generating method and system for key identity identifier at the time when user device transfers | |
Kim et al. | MoTH: mobile terminal handover security protocol for HUB switching based on 5G and beyond (5GB) P2MP backhaul environment | |
EP3228108B1 (en) | Method, computer program and network node for ensuring security of service requests | |
US11576232B2 (en) | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device | |
WO2001043476A1 (en) | Communication method | |
Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
Said et al. | A Comparative Study on Security implementation in EPS/LTE and WLAN/802.11 | |
Bluszcz | UMTS Security UMTS Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120620 Termination date: 20180325 |