CN102833359A - 隧道信息获取方法、安全网关及演进家庭基站/家庭基站 - Google Patents

Abstract

本发明提供了一种隧道信息获取方法、安全网关及演进家庭基站/家庭基站，所述方法包括：安全网关SeGW与演进家庭基站/家庭基站H(e)NB之间建立隧道；SeGW将隧道信息发送给H(e)NB，其中，隧道信息包括H(e)NB的本地IP地址。在本发明中，通过SeGW将包括有H(e)NB的本地IP地址的隧道信息发送给H(e)NB，从而解决了在NAT的场景下H(e)NB如何获取自身的有效本地IP地址的问题，使得固网侧能够根据隧道信息定位H(e)NB所在的固网链路，保证该固网链路上的服务质量。

Description

隧道信息获取方法、安全网关及演进家庭基站/家庭基站

技术领域

本发明涉及通信领域，具体而言，涉及一种隧道信息获取方法、安全网关及演进家庭基站/家庭基站。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，简称3GPP)的演进的分组系统(Evolved Packet System，简称EPS)由演进的通用地面无线接入网(Evolved UniversalTerrestrial Radio Access Network，简称E-UTRAN)、移动管理单元(Mobility Management Entity，简称MME)、服务网关(Serving Gateway，简称S-GW)、分组数据网络网关(Packet DataNetworkGateway，简称P-GW)、归属用户服务器(Home Subscriber Server，简称HSS)、3GPP的认证授权计费(Authentication、Authorization andAccounting，简称AAA)服务器、策略和计费规则功能实体(Policy and Charging Rules Function，简称PCRF)及其他支撑节点组成。

图1是根据相关技术的HeNB接入EPS融合的架构图。如图1中的EPS框体内所示，其中，MME负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作；S-GW是与E-UTRAN相连的接入网关设备，在E-UTRAN和P-GW之间转发数据，并且负责对寻呼等待数据进行缓存；P-GW是EPS与分组数据网络(Packet DataNetwork，简称PDN)的边界网关，负责PDN的接入及在EPS与PDN间转发数据等功能；其中S-GW和P-GW在网络部署实现时可以合设也可以分设，合设后可以称为演进分组核心网(EvolvedPacket Core，简称EPC)网关或者集成业务网关。PCRF是策略和计费规则功能实体，它通过接收接口Rx和运营商网络协议业务网络相连，获取业务信息，此外，它还通过Gx/Gxc接口与网络中的网关设备相连，负责发起IP承载的建立，保证业务数据的服务质量(Quality ofService，简称QoS)，并进行计费控制。

EPS系统支持演进家庭基站(Home evolved NodeB，简称HeNB)接入，如图1所示。HeNB是一种小型、低功率的基站，部署在家庭、办公室及企业大楼等室内场所。HeNB通常通过租用的固网线路接入EPS的核心网。为了保障接入的安全，核心网中引入安全网关(SecurityGateway，简称SeGW)进行屏蔽，HeNB与SeGW之间的数据将采用因特网协议安全性(IPSecurity，简称IPSec)进行封装。HeNB可以通过与SeGW建立的IPSec隧道后直接连接到核心网的MME和S-GW，也可以通过HeNB GW连接到MME和S-GW，即HeNB GW是个可选网元。同时，为了实现对HeNB进行管理，引入了网元家庭基站管理系统(Home eNodeBManagement System，简称HeMS)。此外，属于第三代移动通信的GPRS(General Packet RadioService，通用分组无线服务)系统支持家庭基站(Home NodeB，简称HNB)的接入。相关技术与HeNB类似。

由于H(e)NB(即HeNB和HNB的统称)接入的固网线路的QoS通常是受到H(e)NB的拥有者与固网运营商的签约限制的，因此，当3GPPUE通过H(e)NB接入3GPP核心网访问业务时，所需的QoS不能超过固网运营商所能提供的固网线路签约的QoS。否则，UE访问业务的QoS将得不到保障，尤其保障比特率(Guaranteed Bitrates，简称GBR)的业务更是如此。因此，对于3GPP网络和固网来说，需要一套统一的管控机制来实现用户/连接/业务的接纳控制，如图1所示(HeNB情况)。3GPP系统的策略控制和计费(Policy Control and Charging，简称PCC)网元PCRF通过S9*接口与固网的策略控制功能实体(Broadband Policy ControlFunction，简称BPCF)相连，实现策略的互通和对资源的管理，这样就能实现固网资源的合理控制和管理，优先保证了通过H(e)NB接入的优先级较高的资源。

如上所述，如果要求固网为接入的H(e)NB线路提供QoS保证，固网需要定位当前H(e)NB所在的固网线路(技术规范中称作backhaul，即固网回程网)。现有技术中，是通过H(e)NB的隧道信息定位固网线路的。该信息通过终端从H(e)NB附着的流程或者PDN连接建立流程发送到PCRF，PCRF根据该信息找到资源管控该H(e)NB的固网线路的BPCF，并与其建立S9*会话。

家庭基站HeNB(HNB类同)在接入EPC时，HeNB与SeGW之间建立IPsec隧道，如图1所示的管道，其中HeNB和SeGW分别为该IPsec隧道的两个端点。

其中，如果固网/无线局域网中不存在网络地址转换(Network Address Translation，简称NAT)，如图2所示，也就是说不存在家庭网关RG(Residential Gateway)或者家庭网关RG充当的是桥接模式的时候，该HeNB的外层IP地址，或者称作本地地址，由固网/无线局域网接入网为其分配的，具体是由宽带接入服网关/宽带远程接入服务器(Broadband NetworkGateway/Broadband Remote Access Server，简称BNG/BRAS)为其分配的，该地址就是有效的本地/外层IP地址，是构造隧道信息的一部分。

如果WLAN网络中存在网络地址转换，如图3所示，NAT转换器为HeNB分配一个私网的IP地址，该地址作为终端的本地/外层IP地址对定位固网链路是一个无效的地址，但是BNG/BRAS为RG分配了一个公网的IP地址，并且在RG上存在HeNB的私有本地/外层IP地址和RG的公有IP地址外加端口号的一一对应关系，这样当数据包再HeNB和RG之间传输是，外层封装的是HeNB的私有地址，当数据包穿越NAT后，外层封装的是RG的公有IP地址外加对应端口号。对于定位固网链路来说，HeNB的私有的本地/外层IP地址是无效的，而RG的公有IP地址(或者外加端口号)是定位固网线路的有效信息，因此在这里称RG的公有IP地址也为HeNB的有效外层/本地IP地址/端口号，或者简称HeNB的外层/本地IP地址/端口号，该信息也是构造隧道信息的一部分。

隧道信息中除了含有HeNB的有效本地/外层IP地址(和端口号)等固网信息外，还有可能包括以下信息：BPCF的全域名(Fully Qualified Domain Name，简称FQDN)；IPsec隧道的端点之一SeGW的地址和/或端口号；HeNB的身份标识，如全球移动站/终端标识(InternationalMobile Station Identity，简称IMSI)；HeNB所在的虚拟局域网标识(Virtual Local Area NetworkIdentity，简称VLAN ID)。

当前的问题是，H(e)NB如何能够获取自己的有效的外层或本地IP地址和端口号等信息，即隧道信息的一部分。当H(e)NB与SeGW建立IPSec隧道时，如果H(e)NB和SeGW之间没有负责地址转换的设备，例如RG，那么H(e)NB的本身就能获知自己的有效的外层或本地IP地址和端口号等信息；但如果H(e)NB和SeGW之间存在负责地址转换的设备，则H(e)NB虽然知道自己的外层或本地IP地址和端口号等信息，该地址和端口号信息都是私有的、无效的(对定位固网链路来说是无效的)，无法用于定位H(e)NB所在的固网链路的。因此在存在NAT的场景下，H(e)NB如何能够获取自己的有效的外层或本地IP地址和端口号等信息是有待解决的问题。

发明内容

本发明的主要目的在于提供一种隧道信息获取方法、系统及SeGW，以至少解决上述在存在NAT的场景下，H(e)NB如何能够获取自身的有效本地IP地址的问题。

根据本发明的一个方面，提供了一种隧道信息获取方法，包括：安全网关SeGW与演进家庭基站/家庭基站H(e)NB之间建立IPSec隧道；SeGW将隧道信息发送给H(e)NB，其中，隧道信息包括H(e)NB的有效本地IP地址。

优选地，SeGW将隧道信息发送给H(e)NB之前还包括：SeGW接收来自H(e)NB的用于请求隧道信息的第一消息。

优选地，第一消息中携带有H(e)NB检测到的H(e)NB的初始地址和H(e)NB检测到的SeGW的初始地址。

优选地，SeGW将隧道信息发送给H(e)NB包括：SeGW向H(e)NB发送第二消息，第二消息携带有H(e)NB的有效本地IP地址。

优选地，第二消息还携带有SeGW检测到的SeGW的初始地址。

优选地，第二消息还携带有H(e)NB的有效本地端口号。

优选地，第一消息为以下之一：IKE_SA_INIT request/response(Internet KeyExchange_Security Association_initial_request/response，因特网密钥交换安全联盟初始请求/响应)、IKE_AUTH request/response(因特网密钥交换认证请求/响应)、CREATE_CHILD_SArequest/response(创建子安全联盟请求/响应)。

优选地，第二消息为以下之一：IKE_SA_INIT request/response、IKE_AUTHrequest/response、CREATE_CHILD_SA request/response。

优选地，第二消息中携带有NAT-OAi＝NATPub和NAT-OAr＝Raddr，其中，NAT-OAi为回应方SeGW检测到的发起方H(e)NB的初始地址，NAT-OAr为回应方SeGW检测到的回应方SeGW的初始地址。

优选地，第二消息中携带有TSi和TSr，其中，TSi携带回应方SeGW检测到的发起方H(e)NB的初始地址，TSr携带回应方SeGW检测到的回应方SeGW的初始地址。

优选地，H(e)NB将隧道信息经EPC网络上报至其所接入的固网侧；固网侧根据隧道信息定位H(e)NB的固网链路。

根据本发明的另一方面，提供了一种安全网关，包括：第一隧道模块，用于SeGW与演进家庭基站/家庭基站H(e)NB之间建立IPSec隧道；隧道信息发送模块，用于将隧道信息发送给H(e)NB，其中，隧道信息包括H(e)NB的有效本地IP地址。

优选地，SeGW还包括：接收模块，用于接收来自H(e)NB的以请求隧道信息的第一消息。

优选地，隧道信息发送模块包括：发送子模块，用于向H(e)NB发送第二消息，第二消息携带有H(e)NB的有效本地IP地址。

优选地，第二消息还携带有H(e)NB的有效本地端口号。

根据本发明的又一方面，提供了一种演进家庭基站/家庭基站，包括：第二隧道模块，用于安全网关SeGW与H(e)NB之间建立IPSec隧道；隧道信息接收模块，用于接收来自SeGW的隧道信息，其中，隧道信息包括H(e)NB的有效本地IP地址。

在本发明中，通过SeGW将包括有H(e)NB的有效本地IP地址的隧道信息发送给H(e)NB，从而解决了在NAT的场景下H(e)NB如何获取自身的有效本地IP地址的问题，使得固网侧能够根据隧道信息定位H(e)NB所在的固网链路，保证该固网链路上的服务质量。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据相关技术的HeNB接入EPS融合的架构图；

图2是根据相关技术的在无NAT场景下地址分配情况示意图；

图3是根据相关技术的在有NAT场景下地址分配情况示意图；

图4是根据本发明实施例的隧道信息获取方法流程图；

图5是根据本发明实施例一的隧道信息获取方法流程图；

图6是根据本发明实施例二的隧道信息获取方法流程图；

图7是根据本发明实施例的SeGW结构示意图；

图8是根据本发明实施例的演进家庭基站/家庭基站结构示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

图4是根据本发明实施例的隧道信息获取方法流程图，如图4所示，包括步骤：

步骤S402，安全网关SeGW与演进家庭基站/家庭基站H(e)NB之间建立IPSec隧道。

步骤S404，SeGW将隧道信息发送给H(e)NB，其中，隧道信息包括H(e)NB的有效本地IP地址。

在本实施例中，通过SeGW将包括有H(e)NB的有效本地IP地址的隧道信息发送给H(e)NB，从而解决了在NAT的场景下H(e)NB如何获取自身的有效本地IP地址的问题，使得固网侧能够根据隧道信息定位H(e)NB的固网链路，保证该固网链路上的服务质量。

实施例一

在本实施例中，描述了在IKEv1(The Internet Key Exchange Protocol version 1)的快速模式(Quick Mode)下，H(e)NB与SeGW之间建立IPsec隧道时，双方互相协商对方的地址的流程。

本实施例中H(e)NB和SeGW之间的数据安全是采用的隧道模式，因此，H(e)NB和SeGW之间要互相协商对方的地址信息。如图5所示，包括以下步骤：

步骤S502，H(e)NB发送第一消息给SeGW。

其中，第一消息中可以携带NAT-OAi＝Iaddr和NAT-OAr＝Raddr。其中NAT-OAi是指发起方H(e)NB观测到的发起方(i，initiator)H(e)NB的初始地址(OA，original address)，其地址的实际值就是Iaddr(Initiator address，即RG为终端分配的私有IP地址)；其中NAT-OAr是指发起方H(e)NB观测到的回应方(r，responder)SeGW的初始地址(original address，简称OA)，其地址的实际值就是Raddr(Responder address)，即SeGW的实际地址；其中该第一消息可以是IKE_SA_INIT request/response或者IKE_AUTH request/response，CREATE_CHILD_SArequest/response消息。

其中，第一消息中可携带指示，该指示用于表明向SeGW请求该H(e)NB请求有效的本地/外层IP地址；

其中，SeGW可对第一消息不做任何改动，SeGW默认会在接收到该第一消息后向H(e)NB发送其有效的本地/外层IP地址。

步骤S504，SeGW发送第二消息给H(e)NB。

其中，第二消息中同时携带NAT-OAi＝NATPub和NAT-OAr＝Raddr。其中NAT-OAi是指经过NAT穿越后的，回应方SeGW观测到的发起方(i，initiator)H(e)NB的初始地址(OA，original address)，其地址的实际值就是NATPub(NAT public address，即RG的公有IP地址)；其中NAT-OAr是指经过NAT穿越后的，回应方SeGW观测到的回应方(r，responder)SeGW的初始地址(Original Address，简称OA)，其地址的实际值就是Raddr(Responder address)，即SeGW的实际地址。其中该第二消息可以是IKE_SA_INIT request/response或者IKE_AUTHrequest/response，CREATE_CHILD_SA request/response消息。

其中，第二消息仅仅携带NAT-OAi＝NATPub给H(e)NB。

经过以上交互，H(e)NB获取了经过NAT转换以后的有效本地/外层IP地址，即上述流程中的NATPub。

另外，还可以通过扩展信元NAT-OAi，将端口号也携带给H(e)NB，或者在增加一个类似的信元，来使得H(e)NB获取其有效的本地/外层端口号。

其中，上述的SeGW能够观测到的发起方H(e)NB的初始地址，是指SeGW在接收到步骤502的第一消息后，获取第一消息的源地址作为观测到的发起方H(e)NB的初始地址。

步骤S506，H(e)NB通过步骤S504获取了SeGW观测到的H(e)NB的有效的本地/外层地址(即RG的IP地址)，H(e)NB把本地作为一个组成部分构造隧道信息。

步骤S508，当终端从H(e)NB并发起附着、PDN连接建立、切换、TAU(Tracking AreaUpdate，跟踪区更新)、RAU(Routing Area Update，路由区更新)等操作时，H(e)NB通过H(e)NB和3GPP核心网网元(对HeNB是MME，对HNB是SGSN)之间的接口消息(对HeNB是S1接口消息，对HNB是Iu接口消息)，把“隧道信息”发送给3GPP核心网网元(MME/SGSN)。3GPP核心网收到隧道信息后，通过MME→S-GW→(P-GW→)PCRF→固网(BPCF)的路径，或者通过SGSN→GGSN→PCRF→固网(BPCF)把隧道信息传递。隧道信息到达PCRF后，PCRF用隧道信息定位固网BPCF，而固网相关网元(BPCF或者其他代理网元)收到隧道信息后据此定位H(e)NB所在的固网线路，保证该固网线路上的资源(例如QoS保障等)。

实施例二

实施例二描述的是在IKEv2(The Internet Key Exchange Protocol version 2)的场景下，H(e)NB与SeGW之间建立IPsec隧道时，双方互相协商对方的地址的处理流程，其中，地址是通过业务选择器(Traffic Selector，简称TS)传递的。

本实施例中H(e)NB和SeGW之间的数据安全是采用的隧道模式，因此，H(e)NB和SeGW之间要互相协商对方的地址信息，如图6所示，包括以下步骤：

步骤S602，H(e)NB发送第一消息给SeGW。

其中，第一消息中携带TSi和TSr。TSi指定了由安全联盟的发起方发出的业务数据的源地址，或者发送到安全联盟的发起方的业务数据的目的地址。TSr指定了由安全联盟的响应方发出业务数据的源地址，或者发送到安全联盟的响应方的业务数据的目的地址。TSi携带了H(e)NB观测到的发起方(i，initiator)H(e)NB的初始地址，其地址的实际值就是RG为终端分配的私有IP地址；其中TSr携带了发起方H(e)NB观测到的回应方(r，responder)SeGW的初始地址，其地址的实际值就是SeGW的实际地址；其中该第一消息可以是IKE_SA_INITrequest/response(Internet Key Exchange_Security Association_initial request/response，因特网密钥交换安全联盟初始请求/响应)或者IKE_AUTH request/response(因特网密钥交换认证请求/响应)，CREATE_CHILD_SA request/response(创建子安全联盟请求/响应)消息。

其中，第一消息中携带指示，该指示用于表明向SeGW请求该H(e)NB请求有效的本地/外层IP地址；

其中，第一消息不做任何改动，SeGW默认会在接收到该第一消息后向H(e)NB发送其有效的本地/外层IP地址。

步骤S604，SeGW发送第二消息给H(e)NB。

其中，第二消息中携带TSi和TSr。其中TSi携带经过NAT穿越后的，回应方SeGW观测到的发起方(i，initiator)H(e)NB的初始地址，其地址的实际值就是RG的公有IP地址；其中TSr携带经过NAT穿越后的，回应方SeGW观测到的回应方(r，responder)SeGW的初始地址，其地址的实际值就是SeGW的实际地址。其中该第二消息可以是IKE_SA_INITrequest/response或者IKE_AUTH request/response，CREATE_CHILD_SA request/response消息。

其中，第二消息可仅仅携带TSi给H(e)NB。

经过以上操作，H(e)NB获取了经过NAT转换以后的有效本地/外层IP地址，RG的公有地址。

另外，在本实施例中，还可以通过扩展信元TSi，将端口号也携带给H(e)NB，或者在增加一个类似的信元，来使得H(e)NB获取其有效的本地/外层端口号。

其中，上述的SeGW能够观测到的发起方H(e)NB的初始地址，是指SeGW在接收到步骤602的第一消息后，获取第一消息的源地址作为观测到的发起方H(e)NB的初始地址。

步骤S606，H(e)NB通过步骤S604获取了SeGW观测到的H(e)NB的有效的本地/外层地址(即RG的IP地址)，H(e)NB把本地作为一个组成部分构造隧道信息。

步骤S608，当终端从H(e)NB并发起附着、PDN连接建立、切换、TAU(Tracking AreaUpdate，跟踪区更新)、RAU(Routing Area Update，路由区更新)等操作时，H(e)NB通过H(e)NB和3GPP核心网网元(对HeNB是MME，对HNB是SGSN)之间的接口消息(对HeNB是S1接口消息，对HNB是Iu接口消息)，把“隧道信息”发送给3GPP核心网网元(MME/SGSN)。3GPP核心网收到隧道信息后，通过MME→S-GW→(P-GW→)PCRF→固网(BPCF)的路径，或者通过SGSN→GGSN→PCRF→固网(BPCF)把隧道信息传递。隧道信息到达PCRF后，PCRF用隧道信息定位固网BPCF，而固网相关网元(BPCF或者其他代理网元)收到隧道信息后据此定位H(e)NB所在的固网线路，保证该固网线路上的资源(例如QoS保障等)。

图7是根据本发明实施例的SeGW结构示意图，如图7所示，该SeGW 100包括：第一隧道模块102和隧道信息发送模块104。

其中，第一隧道模块102用于SeGW与演进家庭基站/家庭基站H(e)NB之间建立IPSec隧道。隧道信息发送模块104用于将隧道信息发送给H(e)NB，其中，隧道信息包括H(e)NB的有效本地IP地址。

在本实施例中，通过SeGW将包括有H(e)NB的有效本地IP地址的隧道信息发送给H(e)NB，从而解决了在NAT的场景下H(e)NB如何获取自身的有效本地IP地址的问题，使得固网侧能够根据隧道信息定位H(e)NB的固网链路，保证H(e)NB在固网中的服务质量。

其中，SeGW还包括接收模块106(图中未示出)，接收模块106用于接收来自H(e)NB的以请求隧道信息的第一消息。

图8是根据本发明实施例的演进家庭基站/家庭基站结构示意图，如图8所示，该H(e)NB200包括：第二隧道模块202和隧道信息接收模块204。

其中，第二隧道模块202用于安全网关SeGW与H(e)NB之间建立IPSec隧道。隧道信息接收模块204用于接收来自SeGW的隧道信息，其中，隧道信息包括H(e)NB的有效本地IP地址。

在本发明的上述各实施例中，通过SeGW将包括有H(e)NB的有效本地IP地址的隧道信息发送给H(e)NB，从而解决了在NAT的场景下H(e)NB如何获取自身的有效本地IP地址的问题，使得固网侧能够根据隧道信息定位H(e)NB的固网链路，保证该固网链路上的服务质量。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (16)

1.一种隧道信息获取方法，其特征在于，包括：

安全网关SeGW与演进家庭基站/家庭基站H(e)NB之间建立因特网协议安全性IPSec隧道；

所述SeGW将所述隧道信息发送给所述H(e)NB，其中，所述隧道信息包括所述H(e)NB的本地IP地址。

2.根据权利要求1所述的方法，其特征在于，所述SeGW将隧道信息发送给所述H(e)NB之前还包括：

所述SeGW接收来自所述H(e)NB的用于请求所述隧道信息的第一消息。

3.根据权利要求2所述的方法，其特征在于，所述第一消息中携带有所述H(e)NB检测到的所述H(e)NB的初始地址和所述H(e)NB检测到的所述SeGW的初始地址。

4.根据权利要求1或2所述的方法，其特征在于，所述SeGW将隧道信息发送给所述H(e)NB包括：

所述SeGW向所述H(e)NB发送第二消息，所述第二消息携带有所述H(e)NB的本地IP地址。

5.根据权利要求4所述的方法，其特征在于，所述第二消息还携带有所述SeGW检测到的所述SeGW的初始地址。

6.根据权利要求4所述的方法，其特征在于，所述第二消息还携带有所述H(e)NB的本地端口号。

7.根据权利要求2所述的方法，其特征在于，所述第一消息为以下之一：

因特网密钥交换安全联盟初始请求/响应IKE_SA_INIT request/response、因特网密钥交换认证请求/响应IKE_AUTH request/response、创建子安全联盟请求/响应CREATE_CHILD_SA request/response。

8.根据权利要求4所述的方法，其特征在于，所述第二消息为以下之一：

因特网密钥交换安全联盟初始请求/响应IKE_SA_INIT request/response、因特网密钥交换认证请求/响应IKE_AUTH request/response、创建子安全联盟请求/响应CREATE_CHILD_SA request/response。

9.根据权利要求8所述的方法，其特征在于，所述第二消息中携带有NAT-OAi＝NATPub和NAT-OAr＝Raddr，其中，NAT-OAi为回应方SeGW检测到的发起方H(e)NB的初始地址，NAT-OAr为回应方SeGW检测到的回应方SeGW的初始地址。

10.根据权利要求8所述的方法，其特征在于，所述第二消息中携带有TSi和TSr，其中，TSi携带回应方SeGW检测到的发起方H(e)NB的初始地址，TSr携带回应方SeGW检测到的回应方SeGW的初始地址。

11.根据权利要求1所述的方法，其特征在于，

所述H(e)NB将所述隧道信息经演进分组核心EPC网络上报至其所接入的固网侧；

所述固网侧根据所述隧道信息定位H(e)NB的固网链路。

12.一种安全网关SeGW，其特征在于，包括：

第一隧道模块，用于所述SeGW与演进家庭基站/家庭基站H(e)NB之间建立因特网协议安全性IPSec隧道；

隧道信息发送模块，用于将所述隧道信息发送给所述H(e)NB，其中，所述隧道信息包括所述H(e)NB的本地IP地址。

13.根据权利要求12所述的SeGW，其特征在于，所述SeGW还包括：

接收模块，用于接收来自所述H(e)NB的以请求所述隧道信息的第一消息。

14.根据权利要求12所述的SeGW，其特征在于，隧道信息发送模块包括：

发送子模块，用于向所述H(e)NB发送第二消息，所述第二消息携带有所述H(e)NB的本地IP地址。

15.根据权利要求14所述的SeGW，其特征在于，所述第二消息还携带有所述H(e)NB的本地端口号。

16.一种演进家庭基站/家庭基站H(e)NB，其特征在于，包括：

第二隧道模块，用于安全网关SeGW与所述H(e)NB之间建立因特网协议安全性IPSec隧道；

隧道信息接收模块，用于接收来自所述SeGW的隧道信息，其中，所述隧道信息包括所述H(e)NB的本地IP地址。

Images