CN101645814B - 一种接入点接入移动核心网的方法、设备及系统 - Google Patents
一种接入点接入移动核心网的方法、设备及系统 Download PDFInfo
- Publication number
- CN101645814B CN101645814B CN2008100414779A CN200810041477A CN101645814B CN 101645814 B CN101645814 B CN 101645814B CN 2008100414779 A CN2008100414779 A CN 2008100414779A CN 200810041477 A CN200810041477 A CN 200810041477A CN 101645814 B CN101645814 B CN 101645814B
- Authority
- CN
- China
- Prior art keywords
- access
- access point
- mobile core
- address
- aggregation entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/14—Interfaces between hierarchically different network devices between access point controllers and backbone network device
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种接入点接入移动核心网的方法,包括:由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个接入点的接入;转接所述接入点至所述移动核心网的接入网关。AP汇聚实体接收多个AP的接入,通过IPSec隧道接入移动核心网的AG,转接AP至移动核心网的AG。由于增加了AP汇聚实体,所以避免了每个AP都要与SeGW之间建立IPSec隧道,节省局域网的出口带宽。同时AP不需要带有SIM或者USIM卡,避免了每个AP分布在企业或学校的楼内,容易造成SIM卡或USIM卡被人窃取的问题。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种接入点接入移动核心网的方法、设备及系统。
背景技术
接入点(AP,Access Point)是基于固定互联网协议(IP,Internet Protocol)传输网,为家庭、小办公室和家庭办公室(SOHO,Small Office and Home Office)提供无线接入服务的网络设备。
参见图1,该图为AP应用于家庭网络的结构图。
用户设备(UE,User Equipment)通过空口接入AP,AP通过家庭网关(HGW,Home Gateway)接入IP传输网,然后通过IP传输网连接到移动核心网中的安全网关(SeGW,Security Gateway),再连接到接入网关(AG,AccessGateway)。所述HGW可以集成在AP上,所述SeGW可以集成在AG上。
AP带有用户标识模块(SIM,Subscriber Identity Module)卡或通用移动通讯系统用户标识模块(USIM,Universal Mobile Telecommunications SystemSubscriber Identity Module)卡。AP与SeGW建立互联网网络安全协议(IPSec,IP Security Protocol)隧道时,需要通过SIM或USIM对AP进行鉴权,保证只有合法的AP才可以接入移动移动核心网,同时IPSec隧道也保证了AP信息通过公共的IP传输网进行传输时的安全。所述AP和AG的制式可以为通用移动通讯系统(UMTS,Universal Mobile Telecommunications System)、全球移动通信系统(GSM,Global System for Mobile communications)或码分多址接入(CDMA,Code Division Multiple Access)。
AP除了应用在家庭网络以外,还可以应用在企业或学校的网络中。参见图2,该图为AP应用于企业网络或学校网络的结构图。
第一用户设备UE、第二用户设备UE和第三用户设备UE分别接入第一接入点AP、第二接入点AP和第三接入点AP。每个AP都要经过企业网关或校园网关和SeGW建立IPSec隧道,这样导致企业网关或校园网关和SeGW之间存在多条IPSec隧道,浪费企业网关或校园网关的出口带宽。多个AP之间或AP与其他设备之间进行本地呼叫和本地数据交互,都要通过AG转接才能实现,这样浪费移动核心网带宽,而且需要使用移动核心网资源,所以这样的本地呼叫和本地数据交互不是免费的。另外企业网络或校园网络需要AP组网提供较大范围的连续覆盖,AP间的切换功能由AG实现,这样浪费移动核心网资源。由于每个AP都带有SIM卡或USIM卡,并且多个AP分布在企业或学校的楼内,容易造成SIM卡或USIM卡被人窃取,安全上没有保证。
由此可见,企业或校园的多个AP通过企业网关或校园网关接入移动核心网时,不仅浪费移动核心网资源,而且每个AP带有的SIM卡或USIM卡也存在安全问题。
发明内容
本发明实施例提供一种接入点接入移动核心网的方法、设备及系统的方法,节省移动核心网资源,并且保证了SIM卡或USIM的安全。
本发明实施例提供一种接入点接入移动核心网的方法,包括:由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个接入点的接入;转接所述接入点至所述移动核心网的接入网关。
本发明实施例还提供一种接入点接入移动核心网的设备,包括:建立单元,用于由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;接入单元,用于通过上述建立的IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收单元,用于接收至少一个接入点的接入;转接单元,用于转接所述接入点至所述移动核心网的接入网关。
本发明实施例还提供一种接入点接入移动核心网的系统,包括:接入点、安全网关、接入网关和接入点汇聚实体;所述接入点,用于为用户设备接入移动核心网提供无线接入服务;所述安全网关,用于保护移动核心网侧实体;所述接入网关,用于提供用户设备接入移动核心网的接口;所述接入点汇聚实体,用于建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个所述接入点的接入,转接所述接入点至所述接入网关。
以上技术方案,AP汇聚实体与SeGW之间建立一条IPSec隧道,通过上述IPSec隧道,接入移动核心网的AG。同时所述AP汇聚实体接收多个AP的接入,转接所述AP至所述移动核心网的AG。由于增加了AP汇聚实体,所以避免了每个AP都要与所述SeGW之间建立IPSec隧道,节省局域网(如企业网关或校园网关)的出口带宽。同时AP不需要带有SIM或者USIM卡,AP汇聚实体通过AP的MAC地址、接入链路标识或设备标识来鉴权AP,AP汇聚设备通过SIM或者USIM卡来和SeGW之间进行鉴权,AP汇聚实体与企业网关或校园网关可以位于同一个机房内,避免了每个AP分布在企业或学校的楼内,容易造成SIM卡或USIM卡被人窃取的问题。
附图说明
图1是现有技术中AP应用于家庭网络的结构图;
图2是现有技术中AP应用于企业网络或学校网络的结构图;
图3是基于本发明第一实施例方法流程图;
图4是基于本发明第二实施例方法流程图;
图5是基于本发明AP汇聚实体接收AP接入的流程图;
图6是基于本发明AP汇聚实体实现AP间切换的流程图;
图7是基于本发明的AP汇聚实体实现AP本地呼叫流程图;
图8是基于本发明的AP汇聚实体实现AP本地数据处理流程图;
图9是基于本发明设备第一实施例示意图;
图10是基于本发明设备第二实施例示意图;
是11是基于本发明系统第一实施例结构图;
图12是基于本发明系统第二实施例结构图;
图13是基于本发明系统第三实施例结构图。
具体实施方式
首先对本发明实施例实现一种接入点接入移动核心网的方法进行说明,包括:
由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个接入点的接入;转接所述接入点至所述移动核心网的接入网关。
下面结合附图,对本发明的实施例进行详细描述。
方法实施例一:
参见图3,基于本发明第一实施例方法流程图。
本实施例以一个AP为例来说明AP通过AP汇聚实体接入AG的流程。
101、AP汇聚实体由SeGW的IP地址建立与SeGW之间的IPSec隧道。
AP汇聚实体可能具有SeGW的IP地址,这样就可以由SeGW的IP地址直接建立与SeGW之间的IPSec隧道。
当AP汇聚实体没有SeGW的IP地址时,AP汇聚实体可通过IP传输网上的域名命名系统(DNS,Domain Name System)服务器解析出SeGW的完全合格域名(FQDN,Fully Qualified Domain Name)对应的IP地址。
AP汇聚实体与SeGW之间的IPSec隧道可以为一条,也可以为两条。当IPSec隧道为一条时,IPSec隧道用于语音业务和数据业务。当IPSec隧道为两条时,可以一条IPSec隧道用于语音业务;一条IPSec隧道用于数据业务。
由于AP汇聚实体携带一个SIM卡或USIM卡,所以在建立与SeGW之间的IPSec隧道时,SeGW可以通过SIM卡或USIM卡对AP汇聚实体进行鉴权,检查AP汇聚实体是否合法。当AP汇聚实体携带SIM卡时,通过用于GSM SIM的可扩展认证协议(EAP-SIM,Extensible Authentication ProtocolMethod for GSM Subscriber Identity Modules)检查SIM卡携带的用户标识是否正确,正确则证明AP汇聚实体合法。当AP汇聚实体携带USIM卡时,通过用于3G认证和密钥协商的可扩展认证协议(EAP-AKA,ExtensibleAuthentication Protocol Method for 3rd Generation Authentication and KeyAgreement)协议检查USIM卡携带的用户标识是否正确,正确则证明AP汇聚实体合法。
102、通过上述IPSec隧道,由AG的IP地址接入移动核心网的AG。
AP汇聚实体可能具有AG的IP地址,这样就可以由AG的IP地址直接接入AG。
当AP汇聚实体没有AG的IP地址时,AP汇聚实体可通过移动核心网上的DNS服务器解析出AG的FQDN对应的IP地址。
103、AP汇聚实体接收AP的接入。需要说明的是,步骤103与步骤101和102之间没有时间顺序,步骤103可以在步骤101或102之前或之间。
AP可以通过动态主机配置协议(DHCP,Dynamic Host ConfigurationProtocol)接入AP汇聚实体。由于AP不携带SIM卡或USIM卡,所以AP汇聚实体可以通过检查AP报文中的介质访问控制(MAC,Media AccessControl)地址、接入链路标识或设备标识与设定的MAC地址、接入链路标识或设备标识是否一致,当一致时,说明AP合法,允许AP接入。
104、AP汇聚实体转接AP至所述移动核心网的AG。
AP可以通过自动配置服务器(ACS,Automatic Configuration Server)配置软件版本、AP无线参数、移动核心网参数、AG地址及AP签定业务参数等。
AP汇聚实体也可以先将软件版本、AP无线参数、移动核心网参数、AG地址及AP预定业务等暂存到自身,然后AP通过AP汇聚实体配置软件版本、AP无线参数、移动核心网参数、AG地址及AP预定业务等。
如果AP与AP汇聚实体之间有专有连接链路,则AP汇聚实体通过所述专有连接链路转接AP至所述移动核心网的AG。
例如所述专有连接链路为虚拟局域网(VLAN,Virtual Local AreaNetwork),AP汇聚实体通过所述VLAN转接AP至所述移动核心网的AG。
如果AP与AP汇聚实体之间没有专有连接链路,则AP与AP汇聚实体之间可以建立一条IPSec隧道,AP汇聚实体通过所述IPSec隧道转接AP至所述移动核心网的AG。
AP汇聚实体可以汇聚多个AP。
所述SeGW可以集成在所述AG上,也可以为独立的物理实体。
方法实施例一所述方法通过增加AP汇聚实体,实现AP接入移动核心网AG的目的。由于AP汇聚实体与移动核心网AG之间建立一条或两条IPSec隧道,所以节省了局域网网关(如企业网关或校园网关)的出口带宽。同时由于AP汇聚实体携带SIM卡或USIM卡,代替AP接入AG时进行鉴权,同时AP汇聚实体可以与局域网网关(如企业网关或校园网关)位于同一个机房内,避免了AP携带SIM卡或USIM卡时的安全问题。
方法实施例二:
参见图4,基于本发明第二实施例方法流程图。
实施例二与实施例一的区别是:AP汇聚实体没有SeGW和AG的IP地址。AP与AP汇聚实体之间没有专有连接链路。
201、AP汇聚实体解析SeGW的IP地址。
如果AP汇聚实体具有SeGW的FQDN,或者AP汇聚实体能推导出SeGW的FQDN,AP汇聚实体可通过IP传输网上的DNS服务器解析出SeGW的FQDN对应的IP地址。
202、AP汇聚实体建立与SeGW之间的IPSec隧道。
AP汇聚实体与SeGW之间的IPSec隧道可以为一条,也可以为两条。当IPSec隧道为一条时,IPSec隧道用于语音业务和数据业务。当IPSec隧道为两条时,一条IPSec隧道用于语音业务;一条IPSec隧道用于数据业务。
由于AP汇聚实体携带一个SIM卡或USIM卡,所以在建立与SeGW之间的IPSec隧道时,SeGW可以通过SIM卡或USIM卡对AP汇聚实体进行鉴权,检查AP汇聚实体是否合法。当AP汇聚实体携带SIM卡时,通过EAP-SIM协议检查SIM卡携带的用户标识是否正确,正确则证明AP汇聚实体合法。当AP汇聚实体携带USIM卡时,通过EAP-AKA协议检查USIM卡携带的用户标识是否正确,正确则证明AP汇聚实体合法。
203、AP汇聚实体解析出AG的IP地址。
如果AP汇聚实体具有AG的FQDN,或者AP汇聚实体能推导出AG的FQDN,AP汇聚实体可通过移动网上的DNS服务器解析出AG的FQDN对应的IP地址。
204、AP汇聚实体由AG的IP地址接入移动核心网的AG。
205、AP汇聚实体通过ACS进行配置。AP汇聚实体主要配置移动核心网参数和软件版本等。
实施例二的步骤206与实施例一的步骤103相同,在此不再赘述。
207、AP建立与AP汇聚实体之间的IPSec隧道。
208、AP通过AP汇聚实体进行配置。配置内容为软件版本、AP无线参数、移动核心网参数、AG地址及AP签定业务参数等。
209、AP汇聚实体转接AP至所述移动核心网的AG。
AP汇聚实体通过步骤207建立的IPSec隧道转接AP至所述移动核心网的AG。
需要说明的是,步骤208也可以为:AP通过ACS进行配置。
本发明实施例所述AP汇聚实体汇聚多个AP接入点,通过检查AP的MAC地址、接入链路标识或设备标识来控制AP的接入,AP汇聚实体具有AP本地呼叫、本地数据交互和AP间的切换功能。
下面结合图5详细说明AP汇聚实体接收AP接入的流程。
方法实施例三:
参见图5,基于本发明AP汇聚实体接收AP接入的流程图。
301、AP向AP汇聚实体发送DHCP发现消息。
302、AP汇聚实体检查AP是否合法性、如果合法,则执行步骤303。
AP汇聚实体可以通过下面3种方式检查AP的合法性:
1)AP汇聚实体通过DHCP发现消息的源MAC地址来检查AP的MAC地址是否合法;
2)通过接收到DHCP发现消息的链路所对应的链路标识来检查AP是否从配置的链路上接入;
3)通过DHCP发现消息中带有的设备标识,检查AP是否合法。
303、AP汇聚实体向AP发送DHCP提供消息。
304、AP向AP汇聚实体发送DHCP请求消息。
305与步骤302相同,AP汇聚实体检查AP的合法性,如果合法,则执行步骤306。
306、AP汇聚实体向AP发送DHCP确认消息。
需要说明的是,AP汇聚实体可以同时接收多个AP的接入,每个AP接入的流程与方法实施例三描述的接入流程相同。
AP汇聚实体具有AP间切换的功能,下面结合图6详细说明AP汇聚实体怎样实现AP间切换的,并以UMTS AP为例进行说明。
方法实施例四:
参见图6,基于本发明AP汇聚实体实现AP间切换的流程图。
401和402、当源AP决定UE需要发起切换时,源AP发送分组交换(PS,Packet Switched)域和电路交互(CS,Circuit Switched)域的RANAP(RadioAccess Network Application Part,无线接入网络应用部分)重定位需求(Relocation Required)消息至AP汇聚实体,请求迁移。
403和404、AP汇聚实体收到重定位需求消息后,根据目的小区标识,发送重定位请求(Relocation Request)消息至目的AP,请求目的AP分配资源。
405、目的AP收到重定位请求消息后,分配相关资源并建立无线链路。
406和407、目的AP返回重定位请求应答(Relocation Request Ack)消息至AP汇聚实体。
408和409、AP汇聚实体收到重定位请求应答消息后,发送重定位命令(Relocation Command)消息至源AP。
410、源AP收到重定位命令消息后,停止向UE的数据发送,发送无线承载(RB,Radio Bear)重配置消息至UE。
411、UE同目的AP进行空口层1同步。
412和413、空口层1同步后,目的AP发送重定位检测(Relocation Detect)消息至AP汇聚实体。
414、UE发送无线承载重配置完成(RB Reconfiguration Complete)消息至目的AP。
415和416、目的AP收到无线承载重配置完成消息后,开始收发数据,并发送重定位完成(Relocation Complete)消息至AP汇聚实体,AP汇聚实体开始下发数据至目的AP。
417和418、AP汇聚实体发送Iu释放命令(Release Command)消息至源AP,释放AP和AG之间的接口Iu资源。
419、源AP释放UE相关资源。
420和421、源AP发送Iu释放完成(Release Complete)消息至AP汇聚实体,完成切换流程。
需要说明的是,AP汇聚实体实现AP间切换是在AP汇聚实体内部完成的,将UE上下文从源AP搬移到目的AP,此过程不经过移动核心网。现有技术中,AP之间的切换依赖于AG,浪费了移动核心网的资源,而现在直接用AP汇聚实体实现AP间的切换,不经过移动核心网,节省了移动核心网的资源。
下面结合图7详细说明AP汇聚实体怎样实现AP本地呼叫,并以UMTS AP为例进行说明。
方法实施例五:
参见图7,基于本发明的AP汇聚实体实现AP本地呼叫流程图。
本实施例中AP汇聚实体集成了移动交换中心(MSC,Mobile SwitchingCenter)的功能。
501、UE和AP之间建立RRC(Radio Resource Control无线资源控制)连接。
502、UE向AP发送RRC初始直传消息,消息中带有UE的业务请求。
503、AP向AP汇聚实体发送初始UE消息。
504、UE和AP汇聚实体之间进行鉴权和安全模式控制过程。
505、UE向AP发送建立(Setup)消息,消息中带有被叫号码信息。
506、AP转发UE的建立消息到AP汇聚实体。
507、AP汇聚实体根据建立消息中的被叫号码信息,判断本次呼叫是否是本地呼叫,如果是本地环回呼叫则进入本地呼叫过程。
本地呼叫过程:
508、AP汇聚实体向UE发起寻呼请求。
509、UE响应AP汇聚实体的寻呼请求。
510、UE和AP汇聚实体之间进行鉴权和安全模式控制过程。
511、AP汇聚实体向AP发送建立消息。
512、AP转发建立消息给UE。
513、UE向AP发送呼叫确认(Call Confirmed)消息。
514、AP转发呼叫确认消息给AP汇聚实体。
515、AP汇聚实体和UE之间建立RAB。
516、UE向AP发送振铃(Alerting)消息。
517、AP转发振铃消息给AP汇聚实体。
518、UE向AP发送连接(Connect)消息。
519、AP转发连接消息给AP汇聚实体。
520、AP汇聚实体向AP发送连接应答(Connect Ack)消息。
521、AP转发连接应答消息给UE。
522、UE之间开始进行语音通话。
需要说明的是,现有技术中,AP之间实现本地呼叫必须要AP和AG之间交互信令才能实现,这样不仅浪费移动核心网带宽,而且由于使用移动核心网资源,AP之间进行本地呼叫是收费的。本发明实施例所述方法,AP之间进行本地呼叫由AP汇聚实体来完成,不需要经过AG,这样不仅节省了核心网资源,而且AP进行本地呼叫是免费的。
下面结合图8详细说明AP汇聚实体怎样实现AP本地数据处理的,并以UMTS AP为例进行说明。
方法实施例六:
参见图8,基于本发明的AP汇聚实体实现AP本地数据处理流程图。
本实施例中AP汇聚实体集成了服务通用分组无线业务(GPRS,GeneralPacket Radio Service)支持节点(SGSN,Serving GPRS Support Node)的功能。
601、当UE有数据业务要发起时,UE向AP汇聚设备发送激活PDP(PacketData Protocol,分组数据协议)上下文请求消息。
602、AP汇聚设备识别PDP请求消息中的APN(Access Point Name,接入点名称),如果与用于本地数据处理的APN相同,则进行本地数据处理流程。
本地数据处理流程:
603、AP汇聚设备为UE分配本地地址。
604、AP汇聚设备和UE之间建立RAB,这步骤是可选的。
605、AP汇聚设备向UE发送激活PDP上下文接受消息,消息中带有分配给UE的本地地址。
606、UE进行数据传输,AP汇聚设备判断报文的源地址为本地地址,则进行本地交换处理。
需要说明的是,AP汇聚实体实现AP本地数据处理,此过程不经过移动核心网。现有技术中,AP进行本地数据处理依赖于AG,浪费了移动核心网的资源,而现在直接用AP汇聚实体实现AP的本地数据处理,不经过移动核心网,节省了移动核心网的资源。
本发明实施例提供一种接入点接入移动核心网的设备。
设备实施例一:
参见图9,基于本发明设备第一实施例示意图。
本发明实施例所述设备包括:建立单元901、接入单元902、接收单元903、转接单元904。
所述建立单元901,由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道。
所述接入单元902,通过上述建立的IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关。
所述接收单元903,接收接入点的接入。
所述转接单元904,转接接入点至所述移动核心网的接入网关。
AP与AP汇聚实体之间没有专有连接链路。所述设备通过IPSec隧道转接AP至AG。
如果AP与AP汇聚实体之间有专有连接链路,则AP汇聚实体通过所述专有连接链路转接接入点至所述移动核心网的接入网关。
例如所述专有连接链路为虚拟局域网(VLAN,Virtual Local AreaNetwork)。
设备实施例二:
参见图10,基于本发明设备第二实施例示意图。
设备实施例二与设备实施例一的区别是:AP汇聚实体没有SeGW和AG的IP地址,所以增加了第一获得单元和第二获得单元。为了使合法的AP接入AG,设置了检查单元。
第一获得单元1001,通过IP传输网上的域名命名系统解析出安全网关的完全合格域名对应的IP地址。所述第一获得单元1001与建立单元1002连接。
第二获得单元1003,通过移动核心网上的域名命名系统解析出接入网关的完全合格域名对应的IP地址。所述第二获得单元1003与接入单元1004连接。
检查单元1005,通过检查每个接入点的MAC地址、接入链路标识或设备标识,判断接入点是否合法。所述检查单元1005与接收单元1006连接。
本发明还提供了一种接入点接入移动核心网的系统。
系统实施例一:
参见图11,基于本发明系统第一实施例结构图。
本发明实施例所述系统包括:接入点1101、接入点汇聚实体1102、安全网关1103、接入网关1104。
所述接入点1101,为用户设备接入移动核心网提供无线接入服务;
所述安全网关1103,保护移动核心网侧实体,并建立与接入点1101之间的IPSec隧道;
所述接入网关1104,提供用户设备接入移动核心网的接口;
所述接入点汇聚实体1102,建立与SeGW之间的IPSec隧道;通过上述IPSec隧道,由AG的IP地址接入移动核心网的AG;接收所述AP的接入,转接所述AP至所述AG。
AP可以通过动态主机配置协议(DHCP,Dynamic Host ConfigurationProtocol)接入AP汇聚实体。由于AP不携带SIM卡或USIM卡,所以AP汇聚实体可以通过检查AP报文中的MAC地址、接入链路标识或设备标识与设定的MAC地址、接入链路标识或设备标识是否一致,当一致时,说明AP合法,允许AP接入。
如果AP与AP汇聚实体之间有专有连接链路,则AP汇聚实体通过所述专有连接链路转接接入点至所述移动核心网的接入网关。例如所述专有连接链路为VLAN。
如果AP与AP汇聚实体之间没有专有连接链路,则AP与AP汇聚实体之间可以建立一条IPSec隧道,AP汇聚实体通过所述IPSec隧道转接接入点至所述移动核心网的接入网关。
所述安全网关1103可以集成在所述接入网关1104上。
系统实施例一通过增加AP汇聚实体1102,实现AP1101接入移动核心网AG1104的目的。由于AP汇聚实体1102与移动核心网AG1104之间建立一条或两条IPSec隧道,所以节省了局域网网关(如企业网关或校园网关)的出口带宽。同时由于AP汇聚实体1102携带SIM卡或USIM卡,代替AP1101接入AG1104时进行鉴权,同时AP汇聚实体1102可以与企业网关或校园网关位于同一个机房内,保证了每个AP汇聚实体1102携带SIM卡或USIM卡时的安全问题。
系统实施例二:
参见图12,基于本发明系统第二实施例结构图。
系统实施例二与系统实施例一的区别是:AP汇聚实体没有SeGW和AG的IP地址,系统实施例二增加了IP传输网域名命名系统1203和移动核心网域名命名系统1205,还增加了自动配置服务器1207。
所述接入点汇聚实体1202通过IP传输网域名命名系统1203解析出安全网关1204的完全合格域名对应的IP地址。
所述接入点汇聚实体1202通过移动核心网的域名命名系统解析出接入网关1206的完全合格域名对应的IP地址。
所述接入点汇聚实体1202通过所述自动配置服务器1207进行移动核心网参数和软件版本等的配置。
所述接入点1201通过所述接入点汇聚实体1202或所述自动配置服务器1203进行软件版本、AP无线参数、移动核心网参数、AG地址及AP签定业务参数等的配置。
系统实施例三:
参见图13,基于本发明系统第三实施例结构图。
系统实施例三是本发明所述AP汇聚实体应用于企业网络中的情景,当然也可以应用于校园网络或者其他局域网络中。
AP汇聚实体可以汇聚多个AP。参见图13,三个AP通过IPSec隧道或专有连接链路接入AP汇聚实体。每个UE通过空口接入对应的AP。
AP汇聚实体通过企业网关接入IP传输网,然后通过IP传输网建立与移动核心网SeGW之间的一条或两条IPSec隧道,通过上述IPSec隧道与SeGW连接,再通过SeGW接入移动核心网中的AG。
由于AP已经接入AP汇聚实体,AP汇聚实体已经接入AG,所以AP汇聚实体转接AP至AG,实现了AP接入AG。
AP汇聚实体携带SIM卡或USIM卡,每个AP不携带SIM卡或USIM,由于AP汇聚实体位于安全位置,所以保证了SIM卡或USIM卡的安全。AP汇聚实体与SeGW之间最少可以建立一条IPSec隧道,节省了企业网关的出口带宽。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,该程序在执行时,可以包括前述的通信方法各个实施方式的内容。这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
综上所述,本发明实施例所提供的一种接入点接入移动核心网的方法,AP汇聚实体与SeGW之间建立一条IPSec隧道,通过上述IPSec隧道,接入移动核心网的AG。同时所述AP汇聚实体接收多个AP的接入,转接所述AP至所述移动核心网的AG。由于增加了AP汇聚实体,所以避免了每个AP都要与所述SeGW之间建立IPSec隧道,节省企业网关或校园网关的出口带宽。同时AP汇聚实体与企业网关或校园网关位于同一个机房内,避免了每个AP分布在企业或学校的楼内,容易造成SIM卡或USIM卡被人窃取的问题。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个接入点的接入;转接所述接入点至所述移动核心网的接入网关。
Claims (19)
1.一种接入点接入移动核心网的方法,其特征在于,包括:
接入点汇聚实体由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;
所述接入点汇聚实体通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;
所述接入点汇聚实体接收至少一个接入点的接入;
所述接入点汇聚实体转接所述接入点至所述移动核心网的接入网关。
2.根据权利要求1所述的方法,其特征在于,所述接收至少一个接入点的接入,具体为:
接收接入点的动态主机配置协议发现消息;
检查每个接入点的介质访问控制地址、接入链路标识或设备标识,判断接入点合法时,发送动态主机配置协议提供消息至接入点;
接收接入点的动态主机配置协议请求消息;
检查每个接入点的介质访问控制地址、接入链路标识或设备标识,判断接入点合法时,发送动态主机配置协议确认消息至接入点。
3.根据权利要求1所述的方法,其特征在于,所述接收至少一个接入点的接入通过专有连接链路或IP网络安全协议隧道接收。
4.根据权利要求1所述的方法,其特征在于,还包括获得安全网关的IP地址,具体为:通过IP传输网上的域名命名系统解析出安全网关的完全合格域名对应的IP地址。
5.根据权利要求1或4所述的方法,其特征在于,还包括获得接入网关的IP地址,具体为:通过移动核心网上的域名命名系统解析出接入网关的完全合格域名对应的IP地址。
6.根据权利要求1所述的方法,其特征在于,所述由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道为一条时,所述IP网络安全协议隧道用于语音业务和数据业务。
7.根据权利要求1所述的方法,其特征在于,由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道为两条时,一条用于语音业务,一条用于数据业务。
8.根据权利要求1所述的方法,其特征在于,还包括通过用户标识模块卡或通用移动通讯系统用户标识模块卡与所述安全网关之间进行鉴权。
9.一种接入点接入移动核心网的设备,所述设备为接入点汇聚实体,其特征在于,包括:
建立单元,用于由安全网关的IP地址建立与安全网关之间的IP网络安全协议隧道;
接入单元,用于通过上述建立的IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;
接收单元,用于接收至少一个接入点的接入;
转接单元,用于转接所述接入点至所述移动核心网的接入网关。
10.根据权利要求9所述的设备,其特征在于,所述设备还包括与建立单元连接的第一获得单元,用于通过IP传输网上的域名命名系统解析出安全网关的完全合格域名对应的IP地址。
11.根据权利要求9或10所述的设备,其特征在于,所述设备还包括与接入单元连接的第二获得单元,用于通过移动核心网上的域名命名系统解析出接入网关的完全合格域名对应的IP地址。
12.根据权利要求9所述的设备,其特征在于,所述设备还包括与接收单元连接的检查单元,用于通过检查每个接入点的MAC地址、接入链路标识或设备标识,判断接入点是否合法。
13.根据权利要求9所述的设备,其特征在于,所述设备携带用户表示模块卡或通用移动通讯系统用户标识模块卡,所述安全网关通过所述用户表示模块卡或通用移动通讯系统用户标识模块卡对所述设备进行鉴权。
14.一种接入点接入移动核心网的系统,其特征在于,包括:接入点、安全网关、接入网关和接入点汇聚实体;
所述接入点,用于为用户设备接入移动核心网提供无线接入服务;
所述安全网关,用于保护移动核心网侧实体;
所述接入网关,用于提供用户设备接入移动核心网的接口;
所述接入点汇聚实体,用于建立与安全网关之间的IP网络安全协议隧道;通过上述IP网络安全协议隧道,由接入网关的IP地址接入移动核心网的接入网关;接收至少一个所述接入点的接入,转接所述接入点至所述接入网关。
15.根据权利要求14所述的系统,其特征在于,所述接入点通过所述接入点汇聚实体携带的用户标识模块卡或通用移动通讯系统用户标识模块卡对所述接入点汇聚实体进行鉴权。
16.根据权利要求14所述的系统,其特征在于,所述系统还包括自动配置服务器,所述接入点汇聚实体通过所述自动配置服务器进行移动核心网参数和软件版本的自动配置。
17.根据权利要求16所述的系统,其特征在于,所述接入点通过所述接入点汇聚实体或所述自动配置服务器进行软件版本、AP无线参数、AP签定业务参数、接入网关IP地址和移动核心网参数的配置。
18.根据权利要求14所述的系统,其特征在于,所述系统还包括IP传输网域名命名系统,所述接入点汇聚实体通过IP传输网的域名命名系统解析出安全网关的完全合格域名对应的IP地址。
19.根据权利要求14或18所述的系统,其特征在于,所述系统还包括移动核心网的域名命名系统,所述接入点汇聚实体通过移动核心网的域名命名系统解析出接入网关的完全合格域名对应的IP地址。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100414779A CN101645814B (zh) | 2008-08-04 | 2008-08-04 | 一种接入点接入移动核心网的方法、设备及系统 |
PCT/CN2009/073068 WO2010015188A1 (zh) | 2008-08-04 | 2009-08-04 | 接入点接入移动核心网的方法、设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100414779A CN101645814B (zh) | 2008-08-04 | 2008-08-04 | 一种接入点接入移动核心网的方法、设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101645814A CN101645814A (zh) | 2010-02-10 |
CN101645814B true CN101645814B (zh) | 2012-05-23 |
Family
ID=41657539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100414779A Active CN101645814B (zh) | 2008-08-04 | 2008-08-04 | 一种接入点接入移动核心网的方法、设备及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101645814B (zh) |
WO (1) | WO2010015188A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102215154B (zh) * | 2010-04-06 | 2016-05-25 | 中兴通讯股份有限公司 | 网络业务的访问控制方法及终端 |
US20130220822A1 (en) * | 2010-11-08 | 2013-08-29 | Bjorn Winther-Jensen | Method and system for catalysis |
WO2012061967A1 (en) * | 2010-11-08 | 2012-05-18 | Motorola Mobility, Inc. | Wireless communication system, method of routing data in a wireless communication system, and method of handing over a wireless communication device, having an established data connection to a local network |
CN107196834B (zh) | 2013-07-12 | 2021-08-13 | 华为技术有限公司 | 报文处理方法及设备 |
CN105530633B (zh) * | 2014-09-30 | 2018-11-30 | 中国电信股份有限公司 | 实现WiFi接入服务的方法、系统和设备 |
CN110036658B (zh) * | 2016-11-02 | 2023-01-10 | 苹果公司 | Lwip用户平面接口 |
CN106982427B (zh) * | 2017-04-14 | 2020-08-18 | 北京佰才邦技术有限公司 | 连接建立方法及装置 |
CN109688580A (zh) * | 2017-10-18 | 2019-04-26 | 华为技术有限公司 | 接入设备配对连接方法及接入设备 |
CN110798437B (zh) * | 2018-08-03 | 2023-02-21 | 中兴通讯股份有限公司 | 一种数据保护方法、装置及计算机存储介质 |
CN111147273B (zh) * | 2018-11-06 | 2023-03-24 | 中兴通讯股份有限公司 | 一种数据安全的实现方法及相关设备 |
CN115102987B (zh) * | 2022-06-16 | 2023-10-13 | 平安银行股份有限公司 | 银行网点的边缘设备管理系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1784072A (zh) * | 2004-12-02 | 2006-06-07 | 华为技术有限公司 | 宽带移动接入网系统及其方法 |
CN101142830A (zh) * | 2004-12-09 | 2008-03-12 | 美商内数位科技公司 | 蜂巢式网络及无线区域网络互连方法及系统 |
-
2008
- 2008-08-04 CN CN2008100414779A patent/CN101645814B/zh active Active
-
2009
- 2009-08-04 WO PCT/CN2009/073068 patent/WO2010015188A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1784072A (zh) * | 2004-12-02 | 2006-06-07 | 华为技术有限公司 | 宽带移动接入网系统及其方法 |
CN101142830A (zh) * | 2004-12-09 | 2008-03-12 | 美商内数位科技公司 | 蜂巢式网络及无线区域网络互连方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2010015188A1 (zh) | 2010-02-11 |
CN101645814A (zh) | 2010-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101645814B (zh) | 一种接入点接入移动核心网的方法、设备及系统 | |
US10313869B2 (en) | Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system | |
US8989149B2 (en) | Apparatus and method for removing path management | |
US8571523B2 (en) | Network element and method for providing access control for a cellular communciation network | |
TWI416979B (zh) | 行動台處理資料傳輸的方法以及處理資料傳輸的系統 | |
US20070213029A1 (en) | System and Method for Provisioning of Emergency Calls in a Shared Resource Network | |
EP2849469A1 (en) | Uplink/downlink transmission method for small amount of data, and corresponding terminal and mobility management unit | |
CN101888703A (zh) | 一种接入分组数据服务节点的方法、系统和终端 | |
WO2016177106A1 (zh) | 专用核心网的选择方法和装置 | |
EP1424810B1 (en) | A communication system and method of authentication therefore | |
CN102695236A (zh) | 一种数据路由方法及系统 | |
EP3484100A1 (en) | Method and device for network access control | |
CN101835155A (zh) | 一种终端接入融合网络的方法及系统 | |
CN101541081B (zh) | 一种停止重复寻呼的方法、装置和系统 | |
CN102647715A (zh) | 一种传递eap认证目的mac地址的方法 | |
US9473934B2 (en) | Wireless telecommunications network, and a method of authenticating a message | |
CN101848514A (zh) | WiMAX接入网切换到WiFi接入网的方法及相关设备 | |
CN103369708B (zh) | 一种使用移动网络的方法及装置 | |
KR20220152950A (ko) | 네트워크 슬라이스 승인 제어(nsac) 발견 및 로밍 향상들 | |
WO2013183316A1 (ja) | 通信システム | |
CN103973570A (zh) | 一种报文传输的方法、ap及系统 | |
CN103249041A (zh) | 无线局域网和无线蜂窝网融合的方法及装置 | |
CN102204379B (zh) | 呼叫femto中家庭号码的方法及装置 | |
CN103391544A (zh) | 基站接入控制方法、相应的装置以及系统 | |
CN103905667A (zh) | 通信方法、装置及用户设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |