CN101884231A - 基站中的防火墙配置 - Google Patents

基站中的防火墙配置 Download PDF

Info

Publication number
CN101884231A
CN101884231A CN200780101778XA CN200780101778A CN101884231A CN 101884231 A CN101884231 A CN 101884231A CN 200780101778X A CN200780101778X A CN 200780101778XA CN 200780101778 A CN200780101778 A CN 200780101778A CN 101884231 A CN101884231 A CN 101884231A
Authority
CN
China
Prior art keywords
base station
data
adjacent
logical address
firewall configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200780101778XA
Other languages
English (en)
Inventor
伊丽莎白·汉森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN101884231A publication Critical patent/CN101884231A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0061Transmission or use of information for re-establishing the radio link of neighbour cell information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及配置无线广域网(CN,RAN)中第一基站(12)中的防火墙的方法,以及防火墙配置设备(20)和第一基站(12)。所述第一基站(12)获取新的相邻基站数据,所述新的相邻基站数据与第一基站(12)的相邻基站列表的更新有关,所述数据包括标识在第一基站附近提供的第二基站(14)的数据。防火墙配置设备(20)基于该数据,向第一基站(12)提供包括第二基站(14)的第二真实逻辑地址在内的防火墙配置数据,在所述更新之前,该相邻基站列表中未提供该真实逻辑地址。第一基站(12)利用防火墙配置数据更新其防火墙,以允许与第二基站(14)进行通信。

Description

基站中的防火墙配置
技术领域
本发明涉及无线广域网领域。更具体地,本发明涉及配置无线广域网中第一基站中的防火墙的方法,以及防火墙配置设备和第一基站。
背景技术
在典型的无线广域网(如LTE(长期演进)网络)中,移动台经由无线接入网与一个或多个核心网通信。移动台可以是诸如移动电话(“蜂窝”电话)和具有移动终端的膝上型计算机之类的站台,因此例如可以是与无线接入网进行语音和/或数据通信的便携式、袖珍式、手持式、包含于计算机中的、或车载的移动设备。
无线接入网覆盖被划分为小区区域的地理区域,由基站为每个小区区域提供服务,在LTE中基站又被称为eNodeB。小区是由位于基站站点处的无线基站设备提供无线覆盖的地理区域。每个小区由唯一标识(全球小区标识符)来标识。基站通过空中接口(例如射频)与基站范围内的移动台通信。
在许多这样的系统中,网络的各种固定实体(如基站、支持系统等)利用通信网络的逻辑地址,经由通信网络彼此通信,通信网络的逻辑地址可以是所谓IP地址。这是与上述小区的标识符不同类型的标识符。为了在这样的通信中提供安全性,每个基站还配备了防火墙,所述防火墙包括对通信应用的规则。
LTE中的基站将包括防火墙,防火墙执行数据分组过滤以限制对网络资源的访问。分组过滤防火墙基于数据分组首部字段(如源IP地址、目的IP地址和端口)来阻止数据分组。基站中的防火墙对输入业务和输出业务进行过滤。
然而,分组过滤需要根据指定的过滤规则对分组进行分类的能力。通常,无线广域网的管理员手动指定过滤规则,如接受的网络地址、IP地址和端口。一种可选方案是从中央服务器分发过滤规则。如果所有节点能够使用相同的过滤规则,则这是容易实现的。然而,LTE网络可能由具有不同过滤规则的数百个基站组成。典型地,基站与核心网和OSS(操作支持系统)中的一些节点联系,还与一些相邻基站联系。不同的基站与不同的相邻基站联系。因此,不同基站具有不同的过滤规则。此外,基站还必须能够与新增加的相邻基站通信。然而,改变防火墙配置以允许在包括大量基站的无线广域网中增加基站并非易事。
因此,需要一种改进的对在基站中提供的防火墙的更新。
发明内容
因此,本发明涉及改进对无线广域网中防火墙的更新。
因此,本发明的一个目的是提供一种配置无线广域网中第一基站中的防火墙的方法。
该目的是根据本发明的第一方面,通过一种配置无线广域网中第一基站中的防火墙的方法来实现的,所述第一基站具有第一逻辑地址,并且所述方法包括以下步骤:
获取新的相邻基站数据,所述新的相邻基站数据与无线广域网的支持系统中的防火墙更新设备中所述第一基站的相邻基站列表的更新有关;以及
防火墙更新设备基于所述新的相邻基站数据,以安全方式向第一基站提供防火墙配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站的第二真实逻辑地址,在执行所述更新和提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址。
本发明的另一目的是提供一种无线广域网中改进基站中的防火墙更新的防火墙配置设备。
该目的是根据本发明的第二方面,通过一种无线广域网的支持系统中的防火墙配置设备来实现的,所述防火墙配置设备用于配置无线广域网中第一基站中的防火墙,所述第一基站具有第一逻辑地址,并且所述设备包括:
控制单元,被配置为
获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站的相邻基站列表的更新有关;以及
基于所述新的相邻基站数据,以安全方式向第一基站提供防火墙配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站的第二真实逻辑地址,在执行所述更新和提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址。
本发明的另一目的是提供另一种配置无线广域网中第一基站中的防火墙的方法。
该目的是根据本发明的第三方面,通过一种配置无线广域网中第一基站中的防火墙的方法来实现的,所述第一基站具有第一逻辑地址,并且所述方法包括以下步骤:
在第一基站中,获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站的相邻基站列表的更新有关,并且包括标识在第一基站附近提供的第二基站的数据;
以安全方式向无线广域网的支持系统中的防火墙配置设备提供所述相邻基站数据,
以安全方式从防火墙配置设备接收包括第二基站的第二真实逻辑地址在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址;以及
使用所述防火墙配置数据来更新第一基站的防火墙。
本发明的另一目的是提供一种无线广域网中具有改进的防火墙更新能力的基站。
该目的是根据本发明的第四方面,通过一种无线广域网中的第一基站来实现的,所述第一基站具有第一逻辑地址,并且包括:
防火墙,根据安全规则来允许网络接入,
防火墙更新单元,用于更新所述防火墙,
第一网络接口,用于与无线广域网的支持系统中的防火墙配置设备通信,
第二无线接口,用于与无线广域网中的移动台通信,以及
控制单元,被配置为
获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站的相邻基站列表的更新有关,并且包括标识在第一基站附近提供的第二基站的数据,
以安全方式向所述防火墙配置设备提供所述相邻基站数据,
以安全方式从防火墙配置设备接收包括第二基站的第二真实逻辑地址在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址,以及
向所述防火墙配置单元提供所述防火墙配置数据以更新防火墙。
本发明具有允许在基站中自动更新防火墙设置的优势。采用该方式,可以避免手动更新。在包括多个基站的无线广域网中这是有利的。此外,以安全方式执行防火墙更新。
应当强调的是,当在本说明书中使用时,术语“包括”指存在所述特征、整体、步骤或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、组件或或其组合。
附图说明
现在结合附图,更详细地描述本发明,附图中:
图1示意性地示出了无线广域网中互连的一些单元,
图2示出了根据本发明与移动台相连的第一基站的框图,
图3示出了根据本发明的防火墙配置设备的框图,
图4示出了根据本发明在第一基站中执行的配置防火墙的方法中所采取的多个方法步骤的流程图,以及
图5示出了在防火墙配置设备中执行的根据本发明用于配置第一基站中的防火墙的方法中执行的多个方法步骤的流程图。
具体实施方式
在以下描述中,为了说明和非限制的目的,阐述了特定的细节(如具体架构、接口、技术等),以提供对本发明的透彻理解。然而,对于所属领域技术人员显而易见,可以以不具有这些特定细节的其他实施例来实现本发明。在其他实例中,省略了公知设备、电路和方法的详细描述,以免以不必要的细节模糊本发明的描述。
本发明涉及由于无线广域网的改变来动态改变防火墙设置。
下面,将在无线广域网的非限制示例上下文中更详细地描述本发明,此处无线广域网是图1所示的LTE(长期演进)网络形式的蜂窝网络。LTE网络仅仅是可以实现本发明的无线广域网的一个示例。例如,可以在其他类型的网络(如在WiMAX网络)中提供本发明。LTE网络包括核心网部分CN和无线接入网部分RAN。核心网部分CN具有节点10,节点10提供与如PSTN(公共电话交换网)或GSM(全球移动通信系统)等各种其他网络的通信。节点10还可以提供与如互联网等面向无连接的网络的通信。
核心网节点10经由通信网络N与无线接入网部分RAN连接,通信网络N是面向分组的通信网络,如互联网或内网等计算机通信网络。无线接入网部分RAN包括多个基站,其中,图1示出了两个基站12和14。基站12和14中的每一个控制小区内的通信。此处,应当意识到,一个基站可以处理多于一个小区。在图中,示出了与第一基站12相关的唯一一个小区16。在由无线接入网部分RAN覆盖的地理区域中提供这些小区。在图1中,移动台18被示为在小区16中并与第一基站12进行通信。应当意识到,通常可能提供与基站通信的多个移动台。
在图1中还示出了防火墙配置设备20,两个基站12和14正在与防火墙配置设备20进行通信。此处,两个基站12和14也经由通信网络N与防火墙配置设备20进行通信,通信网络N可以是互联网或内网。利用如SSH(安全外壳)、TLS(传输层安全性)以及SFTP(SSH文件传输协议)之类的安全协议,基站12以及14和防火墙配置设备间的通信可以是安全的。此处,优选地,通信网络N是计算机通信网络。防火墙配置设备20可以被提供为由无线广域网的网络运营商提供的OSS(操作支持系统)系统的一部分。防火墙配置设备20还与DNS(域名服务器)服务器22通信。此处,该域名服务器22被示为外部服务器,即不属于无线广域网的一部分的服务器。然而,应当意识到,可选地,服务器22可以被提供为无线广域网的一部分以及提供为OSS系统的一部分。图1中的通信由虚线箭头指示。
图2示出了第一基站12的框图。第一基站12包括用于通过通信网络通信的第一网络接口34。该第一网络接口34与防火墙32相连,防火墙32继而与防火墙更新单元30、第一控制单元26和无线电电路24相连。第一控制单元26还与防火墙更新单元30、无线电电路24和第一相邻基站列表存储器28相连。无线电电路24还与用于与移动台18无线通信的天线23相连。因此,此处无线电电路24和天线23构成了用于与移动台通信的第二无线接口。这里,第一相邻基站列表存储器28包括相邻基站列表。该列表包括与相邻基站(即位于第一基站12附近或邻近区域并且第一基站12可与其通信的基站)有关的数据。对于每个这样的相邻基站,存储了无线广域网标识符(此处为全球小区标识符)和与计算机通信网络相关的相关逻辑地址(此处为IP地址),接入网中的移动台通过无线广域网标识符来标识基站。然而,它不包括针对第二基站的任何条目,稍后将更详细地对此进行描述。第一基站12还具有自身的逻辑地址(此处称为第一逻辑地址)。
图3示出了防火墙配置设备20的框图。防火墙配置设备20还包括用于通过计算机网络进行通信的第三网络接口36。该第三网络接口36与第二控制单元38相连。第二控制单元38最终与第二相邻基站列表存储器40相连。
基站经由通信网络N与无线广域网内外的其他实体通信。为此,它们均具备逻辑地址。然而,为了提供无线广域网的安全性,每个这样的基站包括分组过滤防火墙,以限制对网络资源的访问。分组过滤防火墙可以例如基于分组的首部字段来阻止分组。此时,可以基于如逻辑地址(如源IP地址、目的IP地址以及端口)等数据来进行阻止。此时,基站中的防火墙对输入业务和输出业务进行过滤,以限制对无线广域网中具有真实逻辑地址的实体的通信。
然而,分组过滤需要根据指定的过滤规则对分组进行分类的能力。通常,无线广域网的管理员手动指定过滤规则,如接受的网络地址、IP地址和端口。一种可选方案是从中央服务器(例如从OSS中的服务器)分发过滤规则。如果所有节点能够使用相同的过滤规则,则这是容易实现的。然而,无线广域网可能由具有不同过滤规则的数百个基站组成。典型地,基站与核心网部分CN和OSS中的一些节点联系,还与一些相邻基站联系。不同的基站与不同的相邻基站联系。因此,不同基站具有不同的过滤规则。此外,基站还必须能够与新增加的相邻基站通信。因此,需要动态改变过滤规则。
此处,基站中的防火墙具有基本配置,包括用于与核心网和OSS通信的分组过滤规则。根据本发明,针对新基站或逻辑地址发生改变的基站,以安全的方式动态配置这些过滤规则。这是为了实现基站间的通信,基站间的通信可以通过所谓X2接口来执行。
在无线广域网中,每个基站还可以具有与无线广域网相关的一个或多个标识符。在LTE情况下,这些标识符是小区标识符,即与蜂窝网络的小区相关的标识。此处,这样的小区标识符是全球小区标识符。针对每个基站所要覆盖的每个小区,每个基站配备有一个这样的全球小区标识符。这是移动台已知并可用于与基站的通信的基站标识。然而,如果基站将彼此通信和与接入网或核心网中的其他实体通信,则它们不能使用该标识,它们使用基站的逻辑地址,所述逻辑地址与计算机通信网络相关。为了实现通信(例如与切换相关),每个基站在其相邻基站列表存储器中包括相邻基站列表。因此,在这样的存储器中,存在每个相邻基站的全球小区标识符和逻辑地址间的关联。这样的映射可以是预先进行的并且可以针对每个基站手动或自动进行。由于基站分布于地理区域上,基站间的相邻基站列表都不相同。因此,无线广域网中存在大量的各种相邻基站列表。OSS系统确实还具有无线广域网中的基站的相邻基站列表。此处,在防火墙配置设备的第二相邻基站列表存储器中提供这些列表。
基站的防火墙确实还需要包括相邻基站列表中的相邻基站的真实逻辑地址,以允许这些基站间的通信。在许多情况下,可以在建立无线广域网时预先提供这种包括。然而,如果发生改变(如添加新基站、旧基站接收到新逻辑地址、或从相邻基站列表中删除基站),则相邻基站列表和防火墙中的设置都是不正确的,这导致当基站之一是新基站或改变了其逻辑地址时在基站间的通信是不可能的。
本发明旨在解决该问题。
因此,下面将参照前述图1-3以及图4和图5来描述本发明,图4示出了在第一基站中执行的用于配置防火墙的方法中所采取的多个方法步骤的流程图,图5示出了在防火墙配置设备中执行的用于配置第一基站中的防火墙的方法中所采取的多个方法步骤的流程图。
可能引起对第一基站12的防火墙进行更新的一种情形是:当移动台(此处为移动台18)要从一个源基站切换至另一目标基站时(此处从第一基站12切换至第二基站14),第一相邻基站列表存储器28中的相邻基站列表中不包括目标基站的情形。此时,移动台18可以指示其想要切换至第二基站14。接着,第一基站12检查其相邻基站列表中是否具有目标小区。如果源基站(即第一基站12)的相邻基站列表中不具有目标小区,则移动台18将与第二基站14相关的小区的全球小区标识符信号通知给第一基站12。然而,由于第一基站12先前未与第二基站14通信,第一基站12不具有到第二基站14的逻辑地址(即IP地址)。因此,第二基站14在第一基站12的附近提供,但不包含在第一相邻基站列表存储器28中的相邻基站列表中。因此,它将新基站添加至相邻基站列表。从而,用第二基站更新相邻基站列表。
从而,本发明的方法起始于第一基站12获取新的相邻基站数据(步骤42),新的相邻基站数据是与第二基站14有关的数据。在本示例中,新的相邻基站数据是由第一控制单元26经由无线电通信单元24和天线23从移动台18接收的上述第二基站14的全球小区标识符。如上所述,可以与切换相关来接收该标识符。然而,也可以与对移动台18进行跟踪相关或由于某些其他原因来接收该标识符。然后,控制单元26检查第一相邻基站列表存储器28中其相邻基站列表中是否具有与第二基站相关的数据,并且由于没有该数据,其继续经由第一网络接口34以安全方式向OSS系统的防火墙配置设备20发送相邻基站数据(步骤54)。该安全方式可以是通过安全连接或安全通信会话。在本示例中,相邻基站数据仅包括上述全球小区标识符。防火墙32还包括允许与防火墙配置设备20进行通信的规则,所述规则确保所述相邻基站数据到达防火墙配置设备20。
接着,防火墙配置设备20的第二控制单元38经由网络接口36接收相邻基站数据(步骤52)。此后,它获取目标基站的真实逻辑地址(步骤54)。一种获取真实逻辑地址是经由安全连接或经由安全通信会话连接至DNS服务器22。通过这些方式,DNS服务器22被认为是可靠的。接着,第二控制单元38可以发送第二基站14的名称,该名称可能已通过针对相应全球小区标识符来调查列出基站名称的表格来定位。作为响应,第二控制单元38接收从DNS服务器22接收第二基站14的真实逻辑地址,即IP地址。在DNS服务器22是OSS系统一部分的情况下,还可以基于全球小区标识符直接获取真实IP地址。由于已经进行了上述操作,防火墙配置设备20可以调查其自身的相邻基站列表存储器40,并定位第一基站12的相邻基站列表。在第二基站14未包含在该列表中的情况下,防火墙配置设备20得知也未针对与第二基站14的通信对第一基站12的防火墙进行配置。因此,防火墙配置设备20决定由于第一基站12的相邻基站存在改变,需要更新基站12和14的防火墙。因此,防火墙配置设备20经由网络接口36以安全方式向第一基站12发送防火墙配置数据(步骤56),所述防火墙配置数据包括第二基站14的真实逻辑地址。防火墙配置设备20还以安全方式向第二基站14发送防火墙配置数据(步骤58),此时所述防火墙配置数据包括第一基站12的真实逻辑地址。此处,该安全方式也可以是通过安全连接或安全通信会话。
第一基站12的第一控制单元26经由网络接口34接收该防火墙配置数据(步骤46)。然后,所述数据被转发至防火墙更新单元30。此后,防火墙更新单元30更新防火墙32的规则,使得允许与第二基站14进行通信(步骤48)。此后,可以更新第一相邻基站列表存储器28中的相邻基站列表(步骤50)。一旦获取了真实地址就可以立即进行该更新。还可以基于从防火墙配置设备20发送的更新列表的命令来更新相邻基站列表(步骤60)。此处,防火墙配置设备20还可以在其自身的相邻基站列表存储器40中更新针对第一和第二基站的相邻基站列表,并命令第一和第二基站更新它们的相邻基站列表。
因此,更新防火墙是与更新第一基站的相邻基站列表相关来自动进行的。这是由更新相邻基站列表触发的。在以上给出的示例中,在更新防火墙中的规则后,更新第一相邻基站列表存储器中的相邻基站列表。然而,应当意识到,可以在第一基站中接收到与新相邻基站相关的数据后的任意时刻更新相邻基站列表。因此,可以在接收到真实逻辑地址前更新相邻基站列表。
第一基站自身可以通过查询DNS服务器来定位第二基站的逻辑地址。然而,在这种情况下,由于第一基站通常不具有与DNS服务器的安全连接,第一基站不知道该逻辑地址是否真实。在这种情况下,第一基站可以用从DNS服务器接收的逻辑地址来更新相邻基站列表。在这种情况下,发送至防火墙配置设备的相邻基站数据还可以包括该逻辑地址,接着防火墙配置设备对该逻辑地址进行验证。因此,此处第一基站可以通过查询OSS中的服务器来将全球小区标识符转换为DNS名称。接着,第一基站可以在DNS服务器中执行DNS查找,以接收第二基站的逻辑地址。可选地,第一基站可以仅向服务器发送全球小区标识符,服务器可以执行上述全球小区标识符至DNS名称的转换,并此后执行DNS查找。作为另一可选方案,上述OSS服务器可以直接从小区标识符转换为逻辑地址。
在基站的冷启动后可能发生逻辑地址的改变。如果第一基站预期与之通信的相邻基站发生了逻辑地址改变,则通信网络将通知第一基站分组中所使用的特定逻辑地址不再有效。接着,第一基站中的第一控制单元将注意到该通知并从OSS请求新的真实逻辑地址。以下是防火墙的配置。在这种情况下,新基站数据确实包括与相邻基站的正确逻辑地址有关的请求。
作为防火墙配置设备向DNS服务器发送查询的可选方案,防火墙配置设备可以取而代之地直接经由如SSH(安全外壳)或TLS(传输层安全性)等安全连接或安全信道直接查询第二基站。
作为另一可选方案,每当无线广域网中的每个基站接收到新逻辑地址,就经由安全连接向防火墙配置设备报告其自身的逻辑地址。从而,在这种情况下,防火墙配置设备直接从基站以真实逻辑地址的形式接收相邻基站数据。从而,新增加的基站或接收到新逻辑地址的基站可以始终通过安全信道向OSS发送其新的真实逻辑地址。
防火墙配置设备还可以在每当接收到更新的相邻基站列表或每当在OSS系统中集中更新相邻基站列表时执行更新。从而,从基站发送的相邻基站数据还可以具有更新的相邻基站列表的形式。由于干扰问题,可以由OSS系统对相邻基站列表进行集中更新,在集中更新中,新基站被添加至相邻基站列表。
在以下情况下,每当相邻基站列表发生改变或者将要改变时,可以对防火墙进行配置:
·添加至相邻基站列表的新小区不由当前被允许与源基站通信的目标基站处理,或反之。
·从相邻基站列表删除的小区由在相邻基站列表中不再包括任何小区的目标基站处理。
·相邻基站列表中的基站改变了逻辑地址。
当从相邻基站列表删除基站时,此时防火墙配置数据包括将该基站的逻辑地址从防火墙设置中删除的指令。
由于防火墙设置是自动更新的,避免了手动更新。这在包括多个基站的无线广域网中是有利的。还可以以安全方式进行防火墙更新,这也是有利的。
根据本发明的第一基站的控制单元和防火墙更新单元以及防火墙配置设备的控制单元可以通过一个或多个处理器与用于执行其功能的计算机程序代码一起实现。上述程序代码还可作为计算机程序产品(例如以承载用于在被加载至计算机时执行根据本发明的方法的计算机程序代码的数据载体的形式)来提供。
虽然结合目前被认为最实际且优选的实施例描述了本发明,但应理解本发明不限于所公开的实施例,相反应涵盖各种修改和等效配置。因此,本发明仅由所附权利要求来限定。

Claims (22)

1.一种配置无线广域网(CN,RAN)中第一基站(12)中的防火墙(32)的方法,所述第一基站(12)具有第一逻辑地址,所述方法包括以下步骤:
获取(52)新的相邻基站数据,所述新的相邻基站数据与无线广域网的支持系统中的防火墙更新设备(20)中所述第一基站(12)的相邻基站列表的更新有关;以及
防火墙更新设备(20)基于所述新的相邻基站数据,以安全方式向第一基站(12)提供(56)防火墙配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站(14)的第二真实逻辑地址,在执行所述更新和所述提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址。
2.根据权利要求1所述的方法,其中,在第二基站(14)的第二相邻基站列表中缺少第一逻辑地址,所述方法还包括以下步骤:向第二基站(14)提供(58)包括第一基站(12)的第一真实逻辑地址在内的防火墙配置数据,以允许与第一基站(12)进行通信。
3.根据权利要求1或2所述的方法,其中,获取新的相邻基站数据的步骤包括:经由安全连接发送与第二基站的逻辑地址有关的查询,以及作为对所述查询的响应,接收(54)所述第二真实逻辑地址。
4.根据权利要求3所述的方法,其中,所述查询被发送至第二基站。
5.根据前述权利要求中任一项所述的方法,其中,获取新的相邻基站数据的步骤包括:直接从所述第二基站接收第二相邻基站的所述第二真实逻辑地址。
6.根据权利要求3所述的方法,其中,所述查询被发送至可靠的地址提供服务器(22)。
7.根据权利要求3所述的方法,其中,获取新的相邻基站数据的步骤包括:从第一基站接收关于第二基站的查询。
8.根据权利要求7所述的方法,其中,所接收的查询包括:来自所述第一基站的与所述第二相邻基站相关的至少一个无线广域网标识符。
9.根据权利要求7或8所述的方法,其中,所接收的查询包括第二基站的逻辑地址,并且执行发送查询的步骤以验证所述接收的逻辑地址是所述第二真实逻辑地址。
10.根据权利要求7-9中任一项所述的方法,其中,所接收的查询包括针对第二基站的真实逻辑地址的请求。
11.根据权利要求1-6中任一项所述的方法,其中,获取新的相邻基站数据的步骤包括:从第一基站接收包括标识第二基站的数据在内的更新后的相邻基站列表。
12.根据前述权利要求中任一项所述的方法,还包括以下步骤:更新(60)第一基站的相邻基站列表,其中,更新后的相邻基站列表包括第二基站的真实逻辑地址。
13.根据权利要求12所述的方法,还包括以下步骤:更新(60)第二基站的相邻基站列表。
14.根据权利要求1或2所述的方法,其中,获取新的相邻基站数据的步骤包括:获取集中更新的第一基站的相邻基站列表。
15.根据前述权利要求中任一项所述的方法,其中,向第一基站提供防火墙配置数据的步骤是由对第一基站的相邻基站列表的更新来触发的。
16.一种无线广域网(CN,RAN)的支持系统中的防火墙配置设备(20),用于配置无线广域网(CN,RAN)中第一基站(12)中的防火墙(32),所述第一基站(12)具有第一逻辑地址,所述设备(20)包括:
控制单元(38),被配置为
获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站(12)的相邻基站列表的更新有关;以及
基于所述新的相邻基站数据,以安全方式向第一基站(12)提供防火墙配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站(14)的第二逻辑地址,在执行所述更新和所述提供防火墙配置数据以允许与第二基站(14)进行通信之前,在第一基站(12)的相邻基站列表中未提供所述第二真实逻辑地址。
17.一种配置无线广域网(CN,RAN)中第一基站(12)中的防火墙(32)的方法,所述第一基站(12)具有第一逻辑地址,所述方法包括以下步骤:
在第一基站中,获取(42)新的相邻基站数据,所述新的相邻基站数据与所述第一基站(12)的相邻基站列表的更新有关,并且包括标识在第一基站附近提供的第二基站的数据;
以安全方式向无线广域网(CN,RAN)的支持系统中的防火墙配置设备(20)提供(44)所述相邻基站数据,
以安全方式从所述防火墙配置设备(20)接收(46)包括第二基站(14)的第二真实逻辑地址在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新以允许与第二基站(14)进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址;以及
使用所述防火墙配置数据来更新(48)第一基站的防火墙(32)。
18.根据权利要求17所述的方法,其中,所述基站数据包括:与第二基站(14)相关的无线广域网标识符。
19.根据权利要求17或18所述的方法,其中,所述新的基站数据包括:第二基站(14)的逻辑地址。
20.根据权利要求19所述的方法,还包括以下步骤:从地址提供服务器获取第二基站(14)的所述逻辑地址。
21.根据权利要求17-20中任一项所述的方法,还包括以下步骤:使用所述真实第二逻辑地址来更新(50)第一基站的相邻基站列表。
22.一种无线广域网(CN,RAN)中的第一基站(12),所述第一基站(12)具有第一逻辑地址,并且包括:
防火墙(32),根据安全规则来允许网络接入,
防火墙更新单元(30),用于更新所述防火墙(32),
第一网络接口(34),用于与无线广域网(CN,RAN)的支持系统中的防火墙配置设备(20)通信,
第二无线接口(23,24),用于与无线广域网(CN,RAN)中的移动台(18)通信,以及
控制单元(26),被配置为
获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站(12)的相邻基站列表的更新有关,并且包括标识在第一基站(12)附近提供的第二基站(14)的数据,
以安全方式向所述防火墙配置设备(20)提供所述相邻基站数据,
以安全方式从所述防火墙配置设备(20)接收包括第二基站(14)的第二真实逻辑地址在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新以允许与第二基站(14)进行通信之前,在第一基站(12)的相邻基站列表中未提供所述第二真实逻辑地址,以及
向所述防火墙配置单元(30)提供所述防火墙配置数据以更新防火墙(32)。
CN200780101778XA 2007-12-06 2007-12-06 基站中的防火墙配置 Pending CN101884231A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2007/050947 WO2009072946A1 (en) 2007-12-06 2007-12-06 Firewall configuration in a base station

Publications (1)

Publication Number Publication Date
CN101884231A true CN101884231A (zh) 2010-11-10

Family

ID=40717952

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200780101778XA Pending CN101884231A (zh) 2007-12-06 2007-12-06 基站中的防火墙配置

Country Status (4)

Country Link
US (1) US20100319065A1 (zh)
EP (1) EP2218234A4 (zh)
CN (1) CN101884231A (zh)
WO (1) WO2009072946A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109933001A (zh) * 2019-04-11 2019-06-25 韩拥军 用于可编程逻辑控制器的防火墙、方法及系统

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101617341B1 (ko) * 2009-02-13 2016-05-19 삼성전자주식회사 무선 통신 시스템에서 인접 기지국 테이블 관리 방법 및 이를 위한 시스템
CN102025603B (zh) * 2009-09-17 2015-01-28 中兴通讯股份有限公司 报文发送控制的方法、系统及注册、更新的方法及系统
US20120265846A1 (en) * 2011-04-15 2012-10-18 Springboard Non Profit Consumer Credit Management System and method of coordinating a debt-relief program
US8955128B1 (en) 2011-07-27 2015-02-10 Francesco Trama Systems and methods for selectively regulating network traffic
CN103582173A (zh) * 2012-08-09 2014-02-12 中兴通讯股份有限公司 一种传输层地址的通知方法及系统
US20170311371A1 (en) * 2014-11-07 2017-10-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and nodes for handling connections in a communications system
US11200345B2 (en) * 2015-07-29 2021-12-14 Hewlett Packard Enterprise Development Lp Firewall to determine access to a portion of memory
EP3424196A1 (en) * 2016-02-29 2019-01-09 Level 3 Communications, LLC Systems and methods for dynamic firewall policy configuration
US11258762B2 (en) * 2019-06-26 2022-02-22 Blackberry Limited Method and system for updating of an application layer for a third-party telematics provider

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003049462A1 (en) * 2001-12-03 2003-06-12 Nokia Corporation Context filter in a mobile node
US20030162539A1 (en) * 2002-02-28 2003-08-28 Fiut Brian D. System and method for remote monitoring of basestations
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7451234B1 (en) * 2003-05-24 2008-11-11 At&T Mobility Ii Llc Systems and methods for updating dynamic IP addresses in a firewall using a DDNS server
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
US7877599B2 (en) * 2004-05-28 2011-01-25 Nokia Inc. System, method and computer program product for updating the states of a firewall
US20070077931A1 (en) * 2005-10-03 2007-04-05 Glinka Michael F Method and apparatus for wireless network protection against malicious transmissions
EP1932385B1 (en) * 2005-10-04 2013-05-01 Telefonaktiebolaget L M Ericsson (publ) Access control in radio access network having pico base stations
US8437752B2 (en) * 2008-03-31 2013-05-07 Qualcomm Incorporated Method and system for facilitating execution of automatic neighbor relation functions
US8583119B2 (en) * 2008-04-21 2013-11-12 Qualcomm Incorporated Method and apparatus for management of automatic neighbor relation function in wireless networks
EP2152035B1 (en) * 2008-08-06 2016-12-21 Alcatel Lucent Method for automatically configuring addresses and/or security data between ENBS of an LTE access network, and associated MME and ENB

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109933001A (zh) * 2019-04-11 2019-06-25 韩拥军 用于可编程逻辑控制器的防火墙、方法及系统

Also Published As

Publication number Publication date
US20100319065A1 (en) 2010-12-16
EP2218234A4 (en) 2012-03-28
EP2218234A1 (en) 2010-08-18
WO2009072946A1 (en) 2009-06-11

Similar Documents

Publication Publication Date Title
CN101884231A (zh) 基站中的防火墙配置
CN102349350B (zh) 具有优化接口的本地疏导
CN101218796B (zh) 在无线局域网中支持层3漫游的无线交换机负载平衡的方法、系统和装置
CN101822080B (zh) 用于提供对多个移动性管理协议的支持的技术
CN100539585C (zh) 远程通信系统和方法
US9094903B2 (en) Method and apparatus for distribution of topology information in communication networks
JP4980151B2 (ja) 移動体通信システム、pdif及び移動端末の死活監視方法
CN105101160A (zh) 在网络环境中识别订户的系统和方法
US8090349B2 (en) System and method for over the air provisioning of a mobile communications device
KR20070081778A (ko) 스티어드 plmn을 이용한 자동 네트워크 선택 방법 및장치
CN102325358A (zh) 用于分组数据服务发现的方法和装置
US9462480B2 (en) Method and apparatus of supporting wireless femtocell clusters
CN102256232A (zh) 在第一和第二网络的重叠蜂窝覆盖的区域中注册移动终端
EP1928142A2 (en) Relocation controlling apparatus in wireless communications network
CN103370952A (zh) 用于扩展的/增强的逻辑接口行为的系统及方法
CN101325583B (zh) 注册网关地址的方法及移动性管理实体
WO2011017276A2 (en) System, apparatus and method for seamless roaming through the use of routing update messages
EP2282457A1 (en) Method and device for deployment of tracking areas
CN110268732A (zh) 数据传输方法、基站、本地疏导控制器、网关和系统
CN102056141A (zh) 一种实现本地接入的系统和方法
CN102149172A (zh) 接入网关选择的方法、设备和系统
CN101651586B (zh) Csg信息更新的处理方法、装置以及系统
CN102711097B (zh) 远程配置终端的方法及装置
CA2524960C (en) System and method for over the air provisioning of a mobile communications device
EP2278835B1 (en) Method and device for deploying enodebs

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20101110