CN105637914A - 通信方法、基站、接入点及系统 - Google Patents
通信方法、基站、接入点及系统 Download PDFInfo
- Publication number
- CN105637914A CN105637914A CN201580000387.3A CN201580000387A CN105637914A CN 105637914 A CN105637914 A CN 105637914A CN 201580000387 A CN201580000387 A CN 201580000387A CN 105637914 A CN105637914 A CN 105637914A
- Authority
- CN
- China
- Prior art keywords
- address
- wifiap
- wifi
- base station
- transmission interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 230000006854 communication Effects 0.000 title claims abstract description 60
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 230000005540 biological transmission Effects 0.000 claims description 101
- 230000004044 response Effects 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 23
- 230000002452 interceptive effect Effects 0.000 claims description 9
- 238000013519 translation Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000010276 construction Methods 0.000 abstract description 7
- 230000006855 networking Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 19
- 230000000694 effects Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- CGMWMYHEKGCISN-UHFFFAOYSA-N (2-chloro-6-fluorophenyl)hydrazine Chemical compound NNC1=C(F)C=CC=C1Cl CGMWMYHEKGCISN-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种通信方法、基站、接入点及系统。本发明通信方法,包括:获取无线保真WiFi接入点AP的网际协议IP地址;根据所述WiFiAP的IP地址为所述WiFi?AP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;通过与所述WiFi?AP之间的共传接口接收所述WiFi?AP发送的数据包;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。本发明实施例将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及一种与无线保真网络有关的安全通信方法、基站、接入点及系统。
背景技术
运营商部署基站(Basestation,简称:BTS)的时候,希望BTS也能提供无线保真(WirelessFidelity,简称:WiFi)业务,因此越来越多的BTS产品普遍集成有WiFi接入点(AccessPoint,简称:AP),以提供无线业务和WiFi业务。而为了保证网络的安全,多数BTS支持网际协议安全(InternetProtocolSecurity,简称:IPSec),但是出于节省成本的考虑,通常WiFiAP不具备IPSec的处理能力。
目前,为了保证集成在BTS中的WiFiAP的网络安全,是将WiFi网络的AP控制器(APController,简称:AC)部署在非安全域(例如互联网),通过在WiFiAP和AC之间的隧道中增加加密技术来保证安全性。
但是,这样WiFi网络采用与BTS网络不相同的安全方案,运营商需要部署两套安全机制,兼容性低,代价太大,而且AC部署在非安全域中,存在很大的安全风险。另外,针对集成WiFi的基站,由于很多基站特别是小基站和WiFiAP类似,均为用户端的设备,为了简化配置、简化基站业务的发放,要求这类基站在支持IPSec功能的同时,依然要满足免规划、免配置的要求。
发明内容
本发明实施例提供一种通信方法、基站、接入点及系统,以将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
第一方面,本发明实施例提供一种通信方法,包括:
获取无线保真WiFi接入点AP的网际协议IP地址;
根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;
根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第一方面,在第一方面的第一种可能的实现方式中,所述获取WiFiAP的IP地址之前,还包括:
通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;
根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述广播消息与所述WiFiAP建立DHCP中继代理关系,包括:
根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;
接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述获取WiFiAP的IP地址,包括:
根据所述分配消息获取所述WiFiAP的IP地址;或者,
通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
结合第一方面的第一种至第三种中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述通过所述共传接口接收所述WiFiAP发送的DHCP广播消息之前,还包括:
开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
结合第一方面、第一方面的第一种至第四种中任一种可能的实现方式,在第一方面的第五种可能的实现方式中,所述获取WiFiAP的IP地址之后,还包括:
监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
结合第一方面,在第一方面的第六种可能的实现方式中,所述获取WiFiAP的IP地址之前,还包括:
开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;
所述获取WiFiAP的IP地址,包括:
获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,所述获取WiFiAP的IP地址之后,还包括:
向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
结合第一方面的第六种或第七种可能的实现方式,在第一方面的第八种可能的实现方式中,所述获取WiFiAP的IP地址之后,还包括:
通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;
根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
第二方面,本发明实施例提供一种通信方法,包括:
通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第二方面,在第二方面的第一种可能的实现方式中,所述通过与基站之间的共传接口向所述基站发送数据包之前,还包括:
通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;
接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
结合第二方面,在第二方面的第二种可能的实现方式中,所述通过与基站之间的共传接口向所述基站基站发送数据包之前,还包括:
接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
第三方面,本发明实施例提供一种基站,包括:
获取模块,用于获取无线保真WiFi接入点AP的网际协议IP地址;
路由建立模块,用于根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
数据包处理模块,用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第三方面,在第三方面的第一种可能的实现方式中,还包括:
中继代理模块,用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述中继代理模块,具体用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述获取模块,具体用于根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
结合第三方面的第一种至第三种中任一种可能的实现方式,在第三方面的第四种可能的实现方式中,所述中继代理模块,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
结合第三方面、第三方面的第一种至第四种中任一种可能的实现方式,在第三方面的第五种可能的实现方式中,所述获取模块,还用于监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
结合第三方面,在第三方面的第六种可能的实现方式中,所述获取模块,具体用于开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
结合第三方面的第六种可能的实现方式,在第三方面的第七种可能的实现方式中,还包括:
发送模块,用于向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
结合第三方面的第六种或第七种可能的实现方式,在第三方面的第八种可能的实现方式中,所述数据包处理模块,具体用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
第四方面,本发明实施例提供一种无线保真WiFi接入点AP,包括:
收发模块,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第四方面,在第四方面的第一种可能的实现方式中,所述收发模块,还用于通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
结合第四方面,在第四方面的第二种可能的实现方式中,所述收发模块,还用于接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
第五方面,本发明实施例提供一种基站,包括:
处理器,用于获取无线保真WiFi接入点AP的网际协议IP地址;根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
接收器,用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;
发送器,用于根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第五方面,在第五方面的第一种可能的实现方式中,所述接收器,还用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;
所述处理器,还用于根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
结合第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述发送器,还用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;
所述接收器,还用于接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
结合第五方面的第二种可能的实现方式,在第五方面的第三种可能的实现方式中,所述处理器,具体用于根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
结合第五方面的第一种至第三种中任一种可能的实现方式,在第五方面的第四种可能的实现方式中,所述处理器,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
结合第五方面、第五方面的第一种至第四种中任一种可能的实现方式,在第五方面的第五种可能的实现方式中,所述处理器,还用于监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
结合第五方面,在第五方面的第六种可能的实现方式中,所述处理器,还用于开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
结合第五方面的第六种可能的实现方式,在第五方面的第七种可能的实现方式中,所述发送器,还用于向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
结合第五方面的第六种或第七种可能的实现方式,在第五方面的第八种可能的实现方式中,所述接收器,具体用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;
所述处理器,还用于将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;
所述发送器,具体用于根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
第六方面,本发明实施例提供一种无线保真WiFi接入点AP,包括:
发送器,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
结合第六方面,在第六方面的第一种可能的实现方式中,还包括:接收器;
所述发送器,还用于通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;
所述接收器,用于接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
结合第六方面的第一种可能的实现方式,在第六方面的第二种可能的实现方式中,所述接收器,还用于接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
第七方面,本发明实施例提供一种通信系统,包括:基站和无线保真WiFi接入点AP,其中,所述基站采用第三方面、第三方面的第一种至第八种中任一种可能的实现方式所述的基站;所述WiFiAP采用第四方面、第四方面的第一种至第二种中任一种可能的实现方式所述的WiFiAP。
第八方面,本发明实施例提供一种通信系统,包括:基站和无线保真WiFi接入点AP,其中,所述基站采用第五方面、第五方面的第一种至第八种中任一种可能的实现方式所述的基站;所述WiFiAP采用第六方面、第六方面的第一种至第二种中任一种可能的实现方式所述的WiFiAP。
本发明实施例所提供的与无线保真网络有关的安全通信方法、基站、接入点及系统,通过将WiFiAP的业务转到BTS上,借助BTS的IPSec的处理能力实现WiFi网络的安全通信,将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明通信系统的一个实施例的结构示意图;
图2为本发明通信方法的一个实施例的流程图;
图3为本发明通信方法的另一个实施例的流程图;
图4为本发明通信方法的又一个实施例的流程图;
图5为本发明通信方法的第四个实施例的流程图;
图6为本发明基站的一个实施例的结构示意图;
图7为本发明基站的另一个实施例的结构示意图;
图8为本发明基站的又一个实施例的结构示意图;
图9为本发明WiFiAP的一个实施例的结构示意图;
图10为本发明基站的第四个实施例的结构示意图;
图11为本发明WiFiAP的另一个实施例的结构示意图;
图12为本发明WiFiAP的又一个实施例的结构示意图;
图13为本发明通信系统的另一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明通信系统的一个实施例的结构示意图,如图1所示,本实施例的系统包括:BTS、WiFiAP、安全网关(SecurityGateway,简称:SecGW)、BTS核心网以及AC,其中,BTS和WiFiAP部署在非安全域的互联网中,BTS核心网和AC部署在安全域中,SecGW连接非安全域和安全域;BTS和WiFiAP之间通过共传接口连接;BTS与SecGW之间根据IPSec协议建立IPSec安全隧道,以保障非安全域中的通信安全;SecGW在安全域中分别与BTS核心网、AC连接。
本实施例中,WiFiAP的业务均转到BTS上,BTS可以作为WiFiAP的代理利用自身的IPSec处理能力为其实现与核心网之间的数据收发,这样即便WiFiAP自身不具备IPSec处理能力,但经过业务转移,WiFiAP借助BTS实现了WiFi网络的安全通信。这样将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本,另外,将AC部署在安全域中也提高了WiFi网络的核心网设备的安全性。
图2为本发明通信方法的一个实施例的流程图,如图2所示,本实施例的方法可以包括:
步骤101、获取WiFiAP的IP地址;
本实施例的执行主体可以是图1所示通信系统中的BTS。BTS获取WiFiAP的网际协议(InternetProtocol,简称:IP)地址,以基于此IP地址利用自身的IPSec安全处理能力为WiFiAP建立IPSec安全隧道。
步骤102、根据所述WiFiAP的IP地址为所述WiFiAP建立IPSec安全隧道上的路由,并生成相应的ACL规则;
BTS携带WiFiAP的IP地址在已有的IPSec安全隧道上建立路由,该路由符合IPSec协议,其源地址为WiFiAP的IP地址,目的地址为而SecGW的IP地址,BTS可以将其自身配置为WiFiAP的下一跳路由或者网关,同时由于BTS协助处理WiFiAP的业务,因此原本是没有关于WiFiAP的业务的访问控制列表(AccessControlList,简称:ACL)规则的,例如,WiFiAP将要发送给AC的数据包发送给BTS后,BTS查询ACL获取到数据包转发的目的地址。
步骤103、通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;
步骤104、根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
BTS为WiFiAP建立IPSec安全隧道的路由后,就可以对WiFiAP通过共传接口发送的数据包进行处理,采用统一的IPSec协议对数据包进行加解密,并依据路由和ACL规则保障数据包在非安全域中转发的安全性。BTS还可以对WiFiAP的业务进行服务质量(QualityofService,简称:QoS)控制,例如:调度权限控制、最大速率控制、速率保证等。
本实施例,通过将WiFiAP的业务转到BTS上,借助BTS的IPSec的处理能力实现WiFi网络的安全通信,将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
进一步的,上述方法实施例的步骤101之前,所述方法还包括:通过所述共传接口接收所述WiFiAP发送的动态主机配置协议(DynamicHostConfigurationProtocol,简称:DHCP)广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
具体来讲,WiFiAP启动后会自动发送DHCP广播消息,该广播消息用于请求WiFiAP自己的IP地址,BTS根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
BTS在建立WiFiAP的代理之前,需要先确定自身是否已经开启了中继代理业务,如果开启,则BTS会预先配置与WiFiAP之间的共传接口,另外,BTS也要先确定自身是否已经与SecGW建立了IPSec安全隧道。具备这两点,BTS才能为WiFiAP建立DHCP中继代理,协助WiFiAP处理业务。BTS将WiFiAP发送的DHCP广播消息转化成单播的DHCP地址请求消息,并通过IPSec安全隧道发送给AC,该地址请求消息中携带SecGW的IP地址,AC上的DHCP服务器(DHCPServer)将根据收到的DHCP地址请求消息中携带的SecGW的IP地址,作为为WiFiAP分配IP地址的地址池索引,并将分配WiFiAP的IP地址封装在分配消息中回复给BTS,BTS在本地保存WiFiAP的IP地址,并将其再转发给WiFiAP。通过上述通信过程,BTS与WiFiAP之间便建立起了中继代理关系,BTS正式开始作为WiFiAP的代理,借助自身的IPSec的处理能力实现WiFi网络的安全通信。
可选的,在BTS接收到WiFiAP的广播消息之前,BTS可以根据通信系统的配置开启中继代理业务,配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态,并建立业务需要的IPSec安全隧道。
进一步的,上述方法实施例的步骤101获取WiFiAP的IP地址,具体的实现方法可以是:根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
BTS获取WiFiAP的IP地址的方法,可以通过上述建立中继代理的过程从AC回复的DHCP分配消息中获取;还可以通过与WiFiAP的交互通信中获取,例如,BTS在共传接口上监听地址解析协议(AddressResolutionProtocol,简称:ARP)消息,通过该ARP消息获取到WiFiIP地址。
进一步的,上述方法实施例的步骤101之后,所述方法还包括:监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
具体来讲,BTS在获取到WiFiAP的IP地址之后,WiFiAP的IP地址的IP地址有可能会发生变化,因此BTS需要一直监测WiFiAP的IP地址的更新情况,以便于在第一时间获取到新的IP地址,将其作为WiFiAP的IP地址,并及时根据更新后的WiFiAP的IP地址为WiFiAP建立IPSec安全隧道的路由、生成ACL规则等。
图3为本发明通信方法的另一个实施例的流程图,如图3所示,本实施例的方法可以包括:
步骤201、开启与WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;
图2所示的方法实施例是BTS与WiFiAP分离主控的模式,即BTS由BTS核心网进行控制,而WiFiAP由AC进行控制,本实施例是BTS与WiFiAP共主控模式的模式,即BTS可以承担AC的功能,对WiFiAP进行控制。BTS在开启与WiFiAP的共传输业务时,获取AC的IP地址,并配置所述共传接口的参数。
步骤202、获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则;
BTS预先自动配置内部IP地址的网段,例如192.168.200.x/24,然后根据该内部IP地址的网段分配共传接口的IP地址(例如192.168.200.1/24)和WiFiAP的IP地址(例如192.168.200.2/24)。
步骤203、将IP地址发送给所述WiFiAP;
BTS可以通过两种方式将步骤202中分配的IP地址发送给WiFiAP:一种是向所述WiFiAP发送地址配置响应。此时,基站可以作为WiFiAP的DHCPServer,按照ACDHCP规范,给WiFiAP回应一个地址配置响应(例如DHCP-OFFER),其中携带所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址这三个参数;另一种是通过所述共传接口向所述WiFiAP发送广播消息。此时,由于基站仅连接一个WiFiAP,获取ACIP之后,可以在共传接口上定时发送广播消息,其中携带所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址这三个参数。
步骤204、通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过NAT转换成所述IPSec安全隧道上的路由;
基站对WiFiAP通过共传接口发送的数据包中的WiFiAP的IP地址进行网络地址转换(NetworkAddressTranslation,简称:NAT)转换成IPSec安全隧道上的路由,例如192.168.200.2转换成10.1.1.2。
另外,基站对于下行从SecGW收到的数据包,可以根据配置的源IP地址(即ACIP)进行匹配,然后将目标IP地址经过NAT转换成分配给WiFiAP的内部IP地址,然后从共传接口转发给WiFiAP,例如10.1.1.2转换成192.168.200.2。
步骤205、根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例,通过由BTS充当WiFiAP的控制器,借助BTS的IPSec的处理能力实现WiFi网络的安全通信,将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
图4为本发明通信方法的又一个实施例的流程图,如图4所示,本实施例的方法可以包括:
步骤301、通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例的执行主体可以是图1所示通信系统中的WiFiAP。WiFiAP在与BTS之间建立了中继代理关系后,即可将要发送的数据包发送给BTS,由BTS根据IPSec协议对数据包进行加密处理,并在已建立好的IPSec安全隧道中进行转发。这样即使WiFiAP不具备IPSec的处理能力,但是经过业务转移,WiFiAP借助BTS实现了WiFi网络的安全通信。
本实施例,通过将WiFiAP的业务转到BTS上,借助BTS的IPSec的处理能力实现WiFi网络的安全通信,将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
进一步的,上述方法实施例的步骤301之前,所述方法还包括:通过所述共传接口向所述基站发送DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理关系;接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
WiFiAP与BTS之间建立中继代理关系可以通过WiFiAP发送的广播消息触发,通过两者之间的通信交互,BTS成为WiFiAP的代理,根据自身的IPSec处理能力为WiFiAP的业务提供安全保障。
进一步的,上述方法实施例的步骤301之前,所述方法还包括:接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
图5为本发明通信方法的第四个实施例的流程图,如图5所示,本实施例的方法可以包括:
s401、BTS与BTS核心网通信,开启中继代理业务,配置共传接口的参数,并建立IPSec安全隧道;
BTS首先与BTS核心网通信,确定是否开启中继代理业务,是否建立IPSec安全隧道。
s402、BTS通过与WiFiAP之间的共传接口接收WiFiAP的DHCP广播消息;
s403、BTS根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址;
BTS在确定已开启了中继代理业务,并已建立IPSec安全隧道,就可以为WiFiAP提供代理服务。
s404、AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;
s405、BTS接收所述AC回复的DHCP分配消息;
s406、BTS将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的DHCP中继代理关系;
s407、BTS获取WiFiAP的IP地址;
s408、BTS根据所述WiFiAP的IP地址为所述WiFiAP建立IPSec安全隧道的路由,并生成相应的ACL规则;
s409、BTS通过共传接口接收所述WiFiAP的数据包;
s410、BTS根据IPSec协议对所述数据包进行加密,并根据所述路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例为上述图2或图4所示方法实施例的交互示例,其方法步骤与上述步骤类似,此处不再赘述。
图6为本发明基站的一个实施例的结构示意图,如图6所示,本实施例的装置可以包括:获取模块11、路由建立模块12以及数据包处理模块13,其中,获取模块11,用于获取无线保真WiFi接入点AP的网际协议IP地址;路由建立模块12,用于根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;数据包处理模块13,用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明基站的另一个实施例的结构示意图,如图7所示,本实施例的装置在图6所示装置结构的基础上,进一步地,还可以包括:中继代理模块14,用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
本实施例的装置,可以用于执行图2或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,所述中继代理模块14,具体用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
进一步的,所述获取模块11,具体用于根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
进一步的,所述中继代理模块14,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
进一步的,所述获取模块11,还用于监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
图8为本发明基站的又一个实施例的结构示意图,如图8所示,本实施例的装置在图6所示装置结构的基础上,进一步地,还可以包括:发送模块15。所述获取模块11,具体用于开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。发送模块15,用于向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,所述数据包处理模块13,具体用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
图9为本发明WiFiAP的一个实施例的结构示意图,如图9所示,本实施例的装置可以包括:收发模块21,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例的装置,可以用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,所述收发模块21,还用于通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
进一步的,所述收发模块21,还用于接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
图10为本发明基站的第四个实施例的结构示意图,如图10所示,本实施例的设备可以包括:处理器31、接收器32以及发送器33,其中,处理器31,用于获取无线保真WiFi接入点AP的网际协议IP地址;根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;接收器32,用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;发送器33,用于根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例的装置,可以用于执行图2、图3或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,所述接收器32,还用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;所述处理器31,还用于根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
进一步的,所述发送器33,还用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;所述接收器32,还用于接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
进一步的,所述处理器31,具体用于根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
进一步的,所述处理器31,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
进一步的,所述处理器31,还用于监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
进一步的,所述处理器31,还用于开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
进一步的,所述发送器33,还用于向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
进一步的,所述接收器32,具体用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;所述处理器31,还用于将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;所述发送器33,具体用于根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
图11为本发明WiFiAP的另一个实施例的结构示意图,如图12所示,本实施例的设备可以包括:发送器41,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
本实施例的装置,可以用于执行图4或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图12为本发明WiFiAP的又一个实施例的结构示意图,如图12所示,本实施例的设备在图11所示设备结构的基础上,进一步地,还可以包括:接收器42。所述发送器41,还用于通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;所述接收器42,用于接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
本实施例的装置,可以用于执行图4或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,所述接收器42,还用于接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
图13为本发明通信系统的另一个实施例的结构示意图,如图13所示,本实施例的系统包括:基站51和WiFiAP52,其中,所述基站51可以采用图6~图8任一装置实施例的结构,其对应地,可以执行图2、图3、图5中任一方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述;所述WiFiAP52可以采用图9所示装置实施例的结构,其对应地,可以执行图4或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步的,图13所示的通信系统的结构示意图中,所述基站51可以采用图10所示设备实施例的结构,其对应地,可以执行图2、图3、图5中任一方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述;所述WiFiAP52可以采用图11或图12所示设备实施例的结构,其对应地,可以执行图4或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述该作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现,比如说基站和WIFIAP可以采用内置片上系统(SystemonChips,简称:SOC),或者SOC加硬件电路的方式,以使得基站和WIFIAP实现本发明上述各个实施例涉及的方法流程/功能单元。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (25)
1.一种通信方法,其特征在于,包括:
获取无线保真WiFi接入点AP的网际协议IP地址;
根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;
根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
2.根据权利要求1所述的方法,其特征在于,所述获取WiFiAP的IP地址之前,还包括:
通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;
根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
3.根据权利要求2所述的方法,其特征在于,所述根据所述广播消息与所述WiFiAP建立DHCP中继代理关系,包括:
根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;
接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
4.根据权利要求3所述的方法,其特征在于,所述获取WiFiAP的IP地址,包括:
根据所述分配消息获取所述WiFiAP的IP地址;或者,
通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
5.根据权利要求2~4中任一项所述的方法,其特征在于,所述通过所述共传接口接收所述WiFiAP发送的DHCP广播消息之前,还包括:
开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
6.根据权利要求1~5中任一项所述的方法,其特征在于,所述获取WiFiAP的IP地址之后,还包括:
监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
7.根据权利要求1所述的方法,其特征在于,所述获取WiFiAP的IP地址之前,还包括:
开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;
所述获取WiFiAP的IP地址,包括:
获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
8.根据权利要求7所述的方法,其特征在于,所述获取WiFiAP的IP地址之后,还包括:
向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
9.根据权利要求7或8所述的方法,其特征在于,所述获取WiFiAP的IP地址之后,还包括:
通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;
根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
10.一种通信方法,其特征在于,包括:
通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
11.根据权利要求10所述的方法,其特征在于,所述通过与基站之间的共传接口向所述基站发送数据包之前,还包括:
通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;
接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
12.根据权利要求10所述的方法,其特征在于,所述通过与基站之间的共传接口向所述基站基站发送数据包之前,还包括:
接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
13.一种基站,其特征在于,包括:
获取模块,用于获取无线保真WiFi接入点AP的网际协议IP地址;
路由建立模块,用于根据所述WiFiAP的IP地址为所述WiFiAP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
数据包处理模块,用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
14.根据权利要求13所述的基站,其特征在于,还包括:
中继代理模块,用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFiAP的IP地址;根据所述广播消息与所述WiFiAP建立DHCP中继代理关系。
15.根据权利要求14所述的基站,其特征在于,所述中继代理模块,具体用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFiAP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFiAP分配IP地址;接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFiAP,以建立与所述WiFiAP之间的所述中继代理关系,所述分配消息包括所述WiFiAP的IP地址。
16.根据权利要求15所述的基站,其特征在于,所述获取模块,具体用于根据所述分配消息获取所述WiFiAP的IP地址;或者,通过与所述WiFiAP的交互通信获取所述WiFiAP的IP地址。
17.根据权利要求14~16中任一项所述的基站,其特征在于,所述中继代理模块,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
18.根据权利要求13~17中任一项所述的基站,其特征在于,所述获取模块,还用于监测所述WiFiAP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFiAP的IP地址。
19.根据权利要求13所述的基站,其特征在于,所述获取模块,具体用于开启与所述WiFiAP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
20.根据权利要求19所述的基站,其特征在于,还包括:
发送模块,用于向所述WiFiAP发送地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFiAP发送广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
21.根据权利要求19或20所述的基站,其特征在于,所述数据包处理模块,具体用于通过与所述WiFiAP之间的共传接口接收所述WiFiAP发送的数据包,将所述数据包携带的所述WiFiAP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
22.一种无线保真WiFi接入点AP,其特征在于,包括:
收发模块,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
23.根据权利要求22所述的WiFiAP,其特征在于,所述收发模块,还用于通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFiAP的网际协议IP地址。
24.根据权利要求22所述的WiFiAP,其特征在于,所述收发模块,还用于接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
25.一种通信系统,其特征在于,包括:基站和无线保真WiFi接入点AP,其中,所述基站采用权利要求13~21中任一项所述的基站;所述WiFiAP采用权利要求22~24中任一项所述的WiFiAP。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/075866 WO2016155005A1 (zh) | 2015-04-03 | 2015-04-03 | 通信方法、基站、接入点及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105637914A true CN105637914A (zh) | 2016-06-01 |
Family
ID=56050775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580000387.3A Pending CN105637914A (zh) | 2015-04-03 | 2015-04-03 | 通信方法、基站、接入点及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105637914A (zh) |
| WO (1) | WO2016155005A1 (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291464A (zh) * | 2007-04-17 | 2008-10-22 | 阿尔卡特朗讯公司 | 将Femto小区设备与移动核心网络联接的方法 |
| CN101431806A (zh) * | 2008-12-17 | 2009-05-13 | 华为技术有限公司 | 一种实现无线接入点安全通信的方法、网络设备及网络系统 |
| CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
| CN102892156A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种实现融合家庭基站中数据转换的方法和系统 |
| CN102958195A (zh) * | 2011-08-12 | 2013-03-06 | 巴比禄股份有限公司 | 无线终端及其控制方法 |
| CN103618750A (zh) * | 2013-05-23 | 2014-03-05 | 中怡(苏州)科技有限公司 | 网络装置、使用其的系统及相关的通道建立方法 |
| CN103945379A (zh) * | 2013-01-23 | 2014-07-23 | 上海贝尔股份有限公司 | 一种在接入网中实现接入认证和数据通信的方法 |
| CN103945406A (zh) * | 2013-01-17 | 2014-07-23 | 美国博通公司 | 利用增强空中接口的无线通信系统 |
| US20140351590A1 (en) * | 2013-05-23 | 2014-11-27 | Sercomm Corporation | Network device, ipsec system and method for establishing ipsec tunnel using the same |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9414223B2 (en) * | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
-
2015
- 2015-04-03 CN CN201580000387.3A patent/CN105637914A/zh active Pending
- 2015-04-03 WO PCT/CN2015/075866 patent/WO2016155005A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291464A (zh) * | 2007-04-17 | 2008-10-22 | 阿尔卡特朗讯公司 | 将Femto小区设备与移动核心网络联接的方法 |
| CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
| CN101431806A (zh) * | 2008-12-17 | 2009-05-13 | 华为技术有限公司 | 一种实现无线接入点安全通信的方法、网络设备及网络系统 |
| CN102958195A (zh) * | 2011-08-12 | 2013-03-06 | 巴比禄股份有限公司 | 无线终端及其控制方法 |
| CN102892156A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种实现融合家庭基站中数据转换的方法和系统 |
| CN103945406A (zh) * | 2013-01-17 | 2014-07-23 | 美国博通公司 | 利用增强空中接口的无线通信系统 |
| CN103945379A (zh) * | 2013-01-23 | 2014-07-23 | 上海贝尔股份有限公司 | 一种在接入网中实现接入认证和数据通信的方法 |
| CN103618750A (zh) * | 2013-05-23 | 2014-03-05 | 中怡(苏州)科技有限公司 | 网络装置、使用其的系统及相关的通道建立方法 |
| US20140351590A1 (en) * | 2013-05-23 | 2014-11-27 | Sercomm Corporation | Network device, ipsec system and method for establishing ipsec tunnel using the same |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016155005A1 (zh) | 2016-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6928143B2 (ja) | 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ | |
| US20210385154A1 (en) | Multipath data transmission method and device | |
| KR102142576B1 (ko) | 단말간 통신을 위한 탐색 방법 및 장치 | |
| TWI660610B (zh) | 無線通訊系統的資源分配方法及其設備和系統 | |
| CN111093198B (zh) | 无线局域网数据发送方法及其装置 | |
| CN112584393B (zh) | 一种基站配置方法、装置、设备及介质 | |
| CN107580065A (zh) | 一种私有云接入方法及设备 | |
| CN105635327B (zh) | 一种地址分配的方法和设备 | |
| US20130182651A1 (en) | Virtual Private Network Client Internet Protocol Conflict Detection | |
| KR20160129896A (ko) | 커스터마이즈드 5세대 (5g) 네트워크를 위한 시스템 및 방법 | |
| US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
| WO2019157968A1 (zh) | 一种通信方法、装置及系统 | |
| WO2015062354A1 (zh) | 一种基站数据的配置方法及装置 | |
| WO2012070990A1 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| CN113839995A (zh) | 跨域资源纳管系统、方法、设备及存储介质 | |
| CN104349511B (zh) | Wlan网络中ap地址的分配方法与装置 | |
| KR20090077112A (ko) | 이동통신 시스템에서 디폴트 게이트웨이 주소 설정 장치 및방법 | |
| CN103442328B (zh) | 一种物联网终端的服务质量控制方法和系统 | |
| US11071012B2 (en) | Base station, terminal, and wireless communication system | |
| CN113518475B (zh) | 通信方法、装置及系统 | |
| CN110535746B (zh) | 虚拟专用网络vpn共享的方法、装置、电子设备及存储介质 | |
| CN115499894B (zh) | 网络切片调整方法、装置及设备 | |
| WO2014201783A1 (zh) | 一种自组网的加密鉴权方法、系统及终端 | |
| CN107666443B (zh) | 一种报文转发方法及装置 | |
| EP3220584A1 (en) | Wifi sharing method and system, home gateway and wireless local area network gateway |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160601 |
|
| RJ01 | Rejection of invention patent application after publication |