CN110024432B - 一种x2业务传输方法及网络设备 - Google Patents
一种x2业务传输方法及网络设备 Download PDFInfo
- Publication number
- CN110024432B CN110024432B CN201680091115.3A CN201680091115A CN110024432B CN 110024432 B CN110024432 B CN 110024432B CN 201680091115 A CN201680091115 A CN 201680091115A CN 110024432 B CN110024432 B CN 110024432B
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- base station
- ipsec
- available
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/34—Modification of an existing route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/102—Route integrity, e.g. using trusted paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种X2业务传输方法及网络设备,其中的方法可包括:第一基站在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据。解决了基站间通过直连IPSec隧道进行X2业务传输时无法形成自动容灾的技术问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种X2业务传输方法及网络设备。
背景技术
随着移动通信技术的快速发展,第三代移动通信系统已经发展到长期演进(LTE,Long Term Evolution)阶段,且由于电信业务数据量大,网络结构复杂,LTE基于全互联网协议(Internet Protocol,IP)等特点,3GPP推荐采用互联网协议安全性(InternetProtocol Security,IPSec)技术加强对数据业务的保护。IPSec是互联网工程任务组(TheInternet Engineering Task Force,IETF)制定的一个开放的IP层安全框架协议,为一个三层隧道协议。IPSec在网络层起作用,能够为传输敏感数据提供安全保护,对参与IPSec的设备之间传输的IP数据包进行保护和认证,有了IPSec,数据在通过公共网络传输时,不需担心被攻击者监视、窜改以及伪造。
现有技术中,对于LTE无线回传网络来说,基站的通信数据传输采用明文机制,也即是说,基站与基站之间X2接口数据流很容易被破译、窃听、假冒和篡改等,面临着极大的安全风险。针对上述安全风险,现有技术中已经通过支持基站间自动建立的X2接口安全隧道来保护X2接口数据流的传输安全。但是,当基站之间需要进行X2业务时,此时自动建立的直连IPSec隧道不通,则只能将该X2业务对应的数据包进行丢弃,导致无法完成X2业务的传输;或者,即使可能存在另外一条预先设置的备用直连IPSec隧道与之形成容灾,但也有可能会因为基站间的物理链路上的不通或故障,导致再多的备份直连IPSec隧道也无法形成有效的容灾,最终导致通信效率低下,影响用户体验。
发明内容
本申请实施例所要解决的技术问题在于,提供一种X2业务传输方法及网络设备,解决了基站间通过直连IPSec隧道进行X2业务传输时无法形成自动容灾的技术问题。
第一方面,本申请实施例提供了一种X2业务传输方法,可包括:
第一基站在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据。通过在基站间自动建立的IPSec隧道不可用的情况下,进一步判断基站与安全网关之间的IPSec隧道是否可用,若可用的情况下,则通过基站与安全网关间的IPSec隧道进行X2业务数据的传输,解决了基站间通过IPSec隧道传输X2业务数据时不能自动形成安全容灾的问题,提升了X2业务数据传输的可靠性。
结合第一方面,在第一种可能的实现方式中,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。将第二IPSec隧道配置成支持第一基站与其他任意基站之间X2业务传输的形式,则该第二IPSec隧道可以支持更多的基站间IPSec隧道的容灾,增强整个系统中X2业务数据传输的可靠性。
结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述通过所述第二IPSec隧道传输所述X2业务之后,判断所述第一IPSec隧道是否可用;若所述第一IPSec隧道可用,则将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。在保障了X2业务可传输的情况下,进一步监测是否可以进一步提高传输效率,在直连IPSec隧道(第一IPSec隧道)可用的情况下还是切换为直连IPSec隧道进行传输,以便减小业务时延,提升传输效率。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述判断所述第一IPSec隧道是否可用,包括:向所述第二基站发起IPSec隧道建立请求报文;若接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
结合第一方面或者第一方面的上述任一种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,所述第一基站丢弃所述X2业务数据。通过在第一IPSec隧道和第二IPSec隧道均不可用的情况下,将X2业务对应的数据包进行丢弃,避免造成数据安全隐患。
结合第一方面或者第一方面的上述任一种可能的实现方式,在第五种可能的实现方式中,所述方法还包括:在所述第一IPSec隧道可用的情况下,所述第一基站通过所述第一IPSec隧道传输所述X2业务数据。通过在第一IPSec隧道可用的情况下,将X2业务优先考虑使用第一IPSec隧道进行传输,便于减小业务时延,提升传输效率。
第二方面,本申请实施例提供了一种网络设备,所述网络设备为第一基站,可包括处理器和收发器,其中,所述处理器,用于在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;若所述第二IPSec隧道可用,所述收发器用于,通过所述第二IPSec隧道发送和/或接收所述X2业务数据。
结合第二方面,在第一种可能的实现方式中,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。
结合第二方面或者第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器还用于:在通过所述第二IPSec隧道传输所述X2业务之后,判断所述第一IPSec隧道是否可用;若所述第一IPSec隧道可用,所述收发器还用于,将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述处理器用于判断所述第一IPSec隧道是否可用,具体为:通过所述收发器向所述第二基站发起IPSec隧道建立请求报文;若通过所述收发器接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
结合第二方面或者第二方面的上述任一种可能的实现方式,在第四种可能的实现方式中,所述处理器还用于:在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,丢弃所述X2业务数据。
结合第二方面或者第二方面的上述任一种可能的实现方式,在第五种可能的实现方式中,所述收发器还用于:在所述第一IPSec隧道可用的情况下,确定通过所述第一IPSec隧道传输所述X2业务数据。
结合第二方面或者第二方面的上述任一种可能的实现方式,所述网络设备还包括存储器,用于保存所述网络设备必要的程序指令和数据。
结合第二方面或者第二方面的上述任一种可能的实现方式,所述处理器还被配置为支持所述网络设备执行上述第一方面及第一方面任一可能的实现方式的方法中相应的功能,例如控制收发器在第一IPSec隧道或者第二IPSec隧道上传输业务数据。
第三方面,本申请实施例提供一种计算机存储介质,用于储存为上述第二方面提供的网络设备所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
第四方面,本申请提供了一种网络设备,该网络设备具有实现上述方法实际中网络设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多于一个与上述功能相对应的模块。可选的,该网络设备可以是无线接入网设备,例如基站。
第五方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持网络设备实现上述方面中所涉及的功能,例如,生成或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存网络设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
本申请实施例所提供的X2业务数据传输方法和设备,通过在基站间自动建立的IPSec隧道不可用的情况下,进一步判断基站与安全网关之间的IPSec隧道是否传输可用,若可用的情况下,则转而通过基站与安全网关间的IPSec隧道进行X2业务数据的传输,解决了基站间通过IPSec隧道传输X2业务数据时不能自动形成安全容灾的问题,提升了X2业务数据传输的可靠性。
附图说明
下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1是本申请实施例提供的通信网络架构图;
图2是本申请实施例提供的一种X2业务传输方法的流程示意图;
图3是本申请实施例提供的X2业务传输方法的具体应用场景示意图;
图4是本申请实施例提供的另一种X2业务传输方法的流程示意图;
图5是本申请实施例提供的一种X2业务传输装置的结构示意图;
图6是本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例进行描述。
本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
1)网络设备,可以为各种类型的站点或者基站,可以是LTE中的演进型基站(Evolutional Node B,eNB或eNodeB),或者是未来5G网络中的网络设备等,本申请中的网络设备包括第一基站和第二基站,但对此并不限定。
2)访问控制列表规则(Access Control ListRULE,ACLRULE),用来指定端口进出的数据包,适用于所有的被路由协议如IPSec协议、防火墙等。在IPSec协议中使用ACLRULE,可以用于定义需要保护的数据流。IPSec根据ACLRULE来确定哪些报文需要安全保护,哪些报文不需要安全保护。在隧道发起端,匹配ACLRULE的数据流将被保护,即经过IPSec加密处理后再发送;不能匹配ACLRULE的数据流则直接转发。在隧道接收端,对数据流进行解密,并检查解密后的数据流是否匹配了ACLRULE,丢弃不匹配ACLRULE的报文。
3)互联网密钥交换(Internet Key Exchange,IKE):IKE是一种混合协议,是一系列密钥交换中的一种,称为“模式”。IKE可用于协商虚拟专用网(Virtual PrivateNetwork,VPN),也可用于远程用户(其IP地址不需要事先知道)访问安全主机或网络,支持客户端协商。客户端模式即为协商方不是安全连接发起的终端点。当使用客户模式时,端点处身份是隐藏的。
4)安全策略(IPSec Policy):用于指定哪些报文需要加密,以及对应的IPSec加密认证等算法和其它IPSec相关参数,以决定两个发送端和接收端之间是否能够通信,以及如果允许通信,采用什么样的数据处理算法进行通信。
5)“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请中所述的“数据”,可以指业务数据,也可以包括系统需要传输的信令、消息等内容。本申请中所述的“传输”,包括发送和/或接收。
下面结合附图对本申请的实施例进行描述。
为了便于理解本申请实施例,下面先对本申请实施例所基于的通信网络构架进行描述。请参阅图1,图1为本申请实施例提供的通信网络架构图,该网络架构中包含了核心网、第一基站、第二基站以及支持IPSec协议的安全网关,其中,第一基站和第二基站之间的X2接口,支持基站间控制面信息和基站间用户面信息(数据和信令)的直接传输,避免经过安全网关造成传输时延和通信效率低下。例如,基于无线接入网IP化(IP Radio AccessNetwork,IPRAN)的协同业务对传输时延有很高的要求,所以通过X2接口直接对话可以有效的减少传输路径,达到降低时延的目的。S1接口是基站(如LTE eNodeB)与核心网(如分组核心网EPC)之间的通讯接口,用于传送会话管理(Session Management,SM)、移动性管理(Mobility Management,MM)信息以及传送用户数据业务,即用于传输基站和核心网之间的信令面、控制面信息或者用户面数据。其中,第一基站与第二基站之间建立的IPSec隧道即为直连IPSec隧道,可称之为直连IPSec(Direct IPSec)隧道,只用于进行X2业务的传输,如本申请中的第一IPSec隧道,通过直连IPSec隧道第一基站和第二基站之间可以直接进行X2业务;第一基站与安全网关之间的IPSec隧道为安全网关IPSec隧道,可用于进行X2业务或S1业务的传输,如本申请中的第二IPSec隧道,通过安全网关IPSec隧道,第一基站与第二基站可以在直连IPSec隧道不通的情况下,间接通过安全网关进行X2业务。即基站之间的X2业务既可以通过直连IPSec隧道传输,也可以通过经由安全网关的安全网关IPSec隧道进行传输。并且现有技术中,直连IPSec隧道是由基站自动生成的,而安全网关IPSec隧道则需要进行手动配置。可选的,图1对应的系统架构中的直连IPSec隧道之间还可以包括路由、交换机等网络设备。需要说明的是,图1中的网络架构只是本申请实施例中的一种示例性的实施方式,本申请实施例中的网络架构包括但不仅限于以上网络架构。
参见图2,是本申请实施例中的一种X2业务传输方法的流程示意图,可应用于上述图1中所述的网络架构中,其中,第一基站和第二基站可以是相邻的基站,也可以是不相邻的基站。如图2所示,该方法可以包括以下步骤S201-步骤S202。
步骤S201:第一基站在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用。
具体地,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输。
在一个具体的示例中,在第一基站判断出IPSec隧道不可用的情况之前还包括:第一基站接收互联网协议安全IPSec隧道建立信息,所述IPSec隧道建立信息包括第二基站的安全地址;第一基站根据所述安全地址建立与所述第二基站之间的第一IPSec隧道。具体地,第一基站收到核心网发送的信令中携带的第一基站需要进行安全通信的第二基站的安全地址后,根据该安全地址与第二基站之间建立X2接口的直连IPSEC隧道,以便于进行直接安全通信,保证低时延性以及通信的安全性。例如,在3GPP的协议中“MME CONFIGURATIONTRANSFER”的信令消息会携带安全对端地址,基站(第一基站,如eNodeB)通过此安全对端(如第二基站)地址和本端地址自动创建IPSec隧道,即为直连IPSec。
第一IPSec隧道的建立过程为自动建立过程,该自建立过程灵活且效率高,避免手动配置的繁琐和不便。具体地,本申请实施例中的第一IPSec隧道自动建立过程主要包括安全关联的互联网密钥交换协议通道IKE SA(Internet Key Exchange Protocol SecurityAssociation,IKE SA)和安全关联的互联网协议安全通道(Internet Protocol Security,IPSec SA)的协商过程,IKE SA负责IPSec SA的建立和维护,起控制作用;IPSec SA负责具体的数据流加密。IKE SA可以在不安全的网络上安全地分发密钥、验证身份、建立IPSecSA,为需要加密和认证的通信双方提供算法、密钥协商服务,用于eNodeB动态建立IPSecSA。而IKE SA自身则通过策略协商、DH密钥交换(Diffie–Hellman key exchange)、对端身份认证这三次交换完成建立。
在一个具体的示例中,IKE SA认证方法包括预共享密钥认证和数字证书认证,具体如下:
1)预共享密钥认证是指通信双方使用相同的密钥,验证对端身份。eNodeB基站侧通过预置预共享密钥实现合法入网。
2)通过证书授权中心(Certificate Authority,CA)数字证书认证,网络需要部署公钥基础设施(Public Key Infrastructure,PKI)系统。
IPSec SA流程可保护eNodeB的X2、S1-MME、S1-U、OM网管等接口。协议族包括IKE、安全负载封装(Encapsulating Security Payload,ESP)、鉴别头(AuthenticationHeader,AH)等。IPSec技术的具体流程如下:
第一阶段:通信双方建立一个已通过安全认证的通道,即IKE SA;
第二阶段:利用已创建的IKE SA来协商创建具体的IPSec SA;
第三阶段:数据通信时IPSec发送端对数据加密,接收端对数据进行解密。
由于在现有技术中,当第一IPSec隧道无法使用时,则只能将该X2业务对应的数据包进行丢弃,导致无法完成X2业务的传输。即使存在另外一条预先设置的备用直连IPSec隧道与之形成容灾,但也极有可能会因为基站间的物理链路的不通或故障,导致备份的直连IPSec隧道也无法形成有效的容灾,最终致使X2业务的可靠性低。然而,现有技术中,却存在着基站与安全网关之间的安全网关IPSec隧道,既可以传输S1接口的数据又可以转发X2接口的数据,即X2业务既可以直接走直连IPSec隧道,也可以通过安全网关走安全网关IPSec隧道,只是直连IPSec隧道的传输速度更快,安全网关IPSec隧道绕行稍慢。因此,在本申请中,在判断出第一IPSec隧道不可用的情况下,可以继续检查是否存在安全网关IPSec隧道,若存在,则可利用安全网关IPSec隧道进行X2业务数据的传输。即在通过直连IPSec隧道无法保证正常传输的情况下,则退而求其次利用传输速效率较低的安全网关IPSec隧道进行X2业务的传输,以保证X2业务的可容灾性。在一个具体的示例中,所述安全网关IPSec隧道,是预先手动配置的。
其中,具体判断第一IPSec隧道是否可用,主要是判断第一基站向第二基站发起的X2业务的协商报文是否与自动建立的第一IPSec隧道的协商报文的流量选择符(TrafficSelector,TS)相匹配,或者,可选地,也可以判断X2业务所引用的IPSec策略(IPSec Policy)中所使用协商报文的ACL规则(ACLRULE)是否与第一IPSec隧道所使用的ACLRULE相匹配,若相匹配,且第一IPSec隧道IPSec SA存在,则表明第一IPSec隧道可用,若不匹配或者第一IPSec隧道的IPSec SA不存在,则表示第一IPSec隧道不可用。其中TS或ACLRULE具体匹配的内容包括协议类型,源IP地址,目的IP地址,源端口号和目的端口号等,同理,判断第二IPSec隧道是否可用也和判断第一IPSec隧道是否可用的原理一样,在此不再赘述。
本申请实施例中,为了让安全网关IPSec隧道(第二IPSec隧道)能自动与直连IPSec隧道(第一IPSec隧道)之间形成容灾关系,需要对安全网关的TS中的源地址和目的地址的模式进行配置。由于直连IPSec隧道的TS中的源地址和目的地址的模式为IP to IP,即固定的源地址到固定的目的地址,等同于TS中的本端地址区间(TS local IP addressranges)到目的地址区间(TS remote IP address ranges),所以安全网关IPSec隧道的TS中的源地址和目的地址可以配置为IP to IP、IP to ANY(即固定的源地址到任意的目的地址)或者ANY to ANY(即任意的源地址到任意的目的地址)。然而,若将安全网关IPSec隧道的模式设置为IP to IP则会严格限制安全网关IPSec隧道只能是固定的端到端模式,即每次只能手动配置固定基站到固定的基站之间的IPSec隧道,显然在此规则下,无法在第一基站需要与多个基站进行X2业务的情形下为直连IPSec隧道自动形成容灾,且过多的手动配置过程会导致安全网关IPSec隧道的配置繁琐,失败率高等诸多问题。因此,本申请实施例通过将安全网关IPSec隧道配置为IP to ANY或者ANY to ANY的模式,即不规定接收对端(目的端)的IP地址,或者也不规定发端的地址,让传输过来的X2业务对应的数据包可以送达到任意的基站的安全地址。简单来说就是,安全网关IPSec隧道虽然表面上看和直连IPSec隧道的TS不一致,但实质上安全网关IPSec隧道的TS包含了直连IPSec隧道的TS,因此本申请实施例中的安全网关IPSec隧道可以与任何IP To IP的直连IPSec隧道形成容灾关系。当然,可以理解的是,这个to ANY的地址范围可以根据第一基站的X2业务的需求进行灵活配置。
需要详细说明的是,将安全网关IPSec隧道配置为IP to ANY或者ANY to ANY的模式,主要是将安全网关中可允许的源IP地址范围和目的IP地址范围进行配置,例如,IP ToIP模式,则源IP地址和目的IP地址都配置为固定;IP To ANY模式,则源IP地址固定,目的IP地址配置为0.0.0.0;ANY To ANY模式,则源IP地址配置为0.0.0.0,目的IP地址配置为0.0.0.0。可以理解的是,根据第一基站需要进行X2业务的范围,可以对安全网关中的目的IP地址范围,进行灵活设置,配置的目的IP地址范围越宽就可以允许越多的基站之间通过该安全网关进行安全网关的IPSec隧道进行X2业务的传输。
综上所述,本申请实施例中的所述第二IPSec隧道被配置为所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务的传输的模式,也即是IP to ANY或者ANY to ANY的模式。因此,在初始手动配置好了第二IPSec隧道模式之后,当基站需要进行X2接口上的业务时,首先判断步骤S202中建立好的第一IPSec隧道是否可用,因为直连IPSec隧道的传输效率高于安全网关IPSec隧道的传输效率,所以首选直连IPSec隧道也即第一IPSec隧道进行X2业务的传输。当第一IPSec隧道不可用的情况下,则转而考虑第二IPSec隧道是否可用,便于进行容灾。
步骤S202:若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据。
具体地,在判断出第一IPSec隧道不可用,且第二IPSec隧道可用的情况下,则可以通过第二IPSec隧道来进行第一基站的X2业务的传输。至此,则完成了第二IPSec隧道自动成为第一IPSec隧道的免配置的隧道的过程,因为无论第一IPSec隧道的需要进行X2业务通信的基站(即目的端的地址)是哪一个,都可以通过包容性更强、网段更宽的第二IPSec隧道来进行传输,而无需一一配置,只需要整体的配置一次即可,提升了用户配置的方便性和易操作性。
在具体应用场景中,如图3所示,图3为本申请实施例所提供的X2业务传输的具体应用场景示意图,图3中,第一基站通过与第二基站之间协商第一阶段的IKE SA1和第二阶段的IPSec SA1形成第一IPSec隧道来进行X2业务的传输,而当第一IPSec隧道不可用时,则第一基站向安全网关发起第一阶段的IKE SA2和第二阶段的IPSec SA2的协商,并在协商成功后通过第二IPSec隧道继续进行X2业务的传输。其中,第一阶段的IKE SA是否协商成功主要是反映基站间或基站与安全网关间的物理信道是否连接可通信,第二阶段的IPSec SA是否协商成功则主要是反应基站间或基站与安全网关间的ACLRULE是否相匹配,图3中由于基站与安全网关间在协商IPSec SA2时所使用的ACLRULE2包含了基站间在协商IPSec SA1时所使用的ACLRULE1,原因在于,前述所描述的,IP to ANY或者ANY to ANY的地址传输范围包含了IP to IP的地址传输范围。因此,第二IPSec隧道可以与第一IPSec隧道形成自动容灾关系,进而提升X2业务的可靠性。可以理解的是,图3只是以ACLRULE为例,可选的也可以用TS来替代。本申请对此不作具体限定。
需要说明的是,当X2业务数据达到安全网关后,安全网关同样需要与第二基站之间建立第二IPSec隧道,以便于将转发过来的数据最终发送至第二基站,具体的流程可以参照第一基站与安全网关之间的通信流程,在此不再赘述。
本申请实施例所提供的X2业务数据传输方法,通过在基站间自动建立的IPSec隧道不可用的情况下,进一步判断基站与安全网关之间的IPSec隧道是否可用,若可用的情况下,则通过基站与安全网关间的IPSec隧道进行X2业务数据的传输,解决了基站间通过IPSec隧道传输X2业务数据时不能自动形成安全容灾的问题,提升了X2业务数据传输的可靠性。
参见图4,是本申请实施例中的另一种X2业务传输方法的流程示意图,可应用于上述图1中所述的网络架构中,其中,第一基站和第二基站可以是相邻的基站,也可以是不相邻的基站。如图4所示,该方法可以包括以下步骤S401-步骤S404。
步骤S401:第一基站在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用。
步骤S402:若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据。
具体地,步骤S401至步骤S402可参考上述图2实施例中的步骤S201至步骤S202。
步骤S403:判断所述第一IPSec隧道是否可用。
具体地,虽然当前第一基站与第二基站之间X2业务是通过第一基站与安全网关之间的第二IPSec隧道进行传输的,但是由于直连的第一IPSec隧道的传输效率显然高于第二IPSec隧道,因此本申请实施例将在第一基站与安全网关之间进行X2业务数据传输的过程中,仍然保持向第二基站发起IPSec隧道协商流程。在一个具体的示例中,第一基站向第二基站发起IPSec隧道建立请求报文;监测是否接收到所述第二基站反馈的IPSec建立响应报文。若接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。进一步地,第一基站可以是周期性发起也可以是按照一定时间规则发起的IPSec隧道建立请求报文。可以理解的是,IPSec建立响应报文包括了IPSec隧道建立第一阶段的IKESA协商响应报文和IPSec隧道建立第二阶段的IPSec SA协商响应报文。
步骤S404:若所述第一IPSec隧道可用,则将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
具体地,若接收到所述第二基站反馈的IPSec建立响应报文,则判断为所述第一IPSec隧道可用。若未接收到所述第二基站反馈的IPSec建立响应报文,则判断为所述第一IPSec隧道不可用。本申请中,在直连IPSec隧道不能使用的情况下,优先考虑保证第一基站的X2业务可以正常进行,但是若在直连IPSec可用的情况下,则优先考虑传输效率的问题,即每次进行X2业务数据报文匹配时都去检测第一IPSec隧道是否可用,若可用,则随时打算将在安全网关IPSec隧道上传输的X2业务数据重新切换到直连IPSec上传输,可以理解的是,已经传输过的X2业务对应的数据包可以不重新发送,只将还未传输的数据包切换到第一基站与第二基站对应的第一IPSec隧道上重新发送,在保证X2业务可以传输的前提下,尽可能的保证X2业务的传输效率的高效性。
可选地,在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,所述第一基站丢弃所述X2业务数据。当直连IPSec隧道和安全网关IPSec隧道均不可用时,此时则需要将X2业务对应的数据包进行丢弃。因为若传输隧道都不可用,不将数据包进行丢弃,则会产生安全隐患,避免数据包被其它不安全的设备所截取。
可选地,在所述第一IPSec隧道可用的情况下,所述第一基站通过所述第一IPSec隧道传输所述X2业务数据。例如,在所述第一IPSec隧道和所述第二IPSec隧道均可用的情况下,所述第一基站通过所述第一IPSec隧道传输所述X2业务数据。在两种类型的IPSec隧道都可以进行传输的情况下,则还是优先使用传输速度更快,效率更高的第一IPSec隧道。
需要说明的是,当X2业务数据达到安全网关后,安全网关同样需要与第二基站之间建立第二IPSec隧道,以便于将转发过来的数据最终发送至第二基站,具体的流程可以参照第一基站与安全网关之间的通信流程,在此不再赘述。
本申请实施例所提供的X2业务数据传输方法和设备,通过在基站间自动建立的IPSec隧道不可用的情况下,进一步判断基站与安全网关之间的IPSec隧道是否可用,若可用的情况下,则通过基站与安全网关间的IPSec隧道进行X2业务数据的传输,解决了基站间通过IPSec隧道传输X2业务数据时不能自动形成安全容灾的问题,提升了X2业务数据传输的可靠性。
请参见图5,图5是本申请实施例提供的一种X2业务传输装置的结构示意图。如图5所示,X2业务传输装置10包括:检测模块101和第一传输模块102,其中
检测模块101,用于在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;第一传输模块102,用于若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据。
具体地,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。
具体地,如图5所示,装置10,还包括:
判断模块103,用于判断所述第一IPSec隧道是否可用;切换模块104,用于若所述第一IPSec隧道可用,则将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
进一步地,判断模块103,包括:请求单元,用于向所述第二基站发起IPSec隧道建立请求报文;判断单元,用于若接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
再进一步地,如图5所示,装置10,还包括:丢弃模块105,用于在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,丢弃所述X2业务数据。
再进一步地,如图5所示,装置10,还包括:第二传输模块106,用于在所述第一IPSec隧道可用的情况下,所述第一基站通过所述第一IPSec隧道传输所述X2业务数据。
需要说明的是,本申请实施例中所描述的X2业务传输装置10中各功能模块的功能可参见上述图1至图4所示实施例中对应第一基站的相关描述,此处不再赘述。
参见图6,图6是本申请实施例提供的一种网络设备的结构示意图,该网络设备可为第一基站。如图6所示,网络设备20包括处理器201、存储器202和收发器203。其中处理器201、存储器202和收发器203可以通过总线或其他方式连接。
可选的,网络设备20还可以包括网络接口204和电源模块205。
其中,处理器201可以是中央处理器(CPU),通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC),现场可编程门阵列(FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多于一个微处理器组合,DSP和微处理器的组合等。
存储器202用于存储指令,具体实现中,存储器202可以采用只读存储器(英文:Read-Only Memory,简称:ROM)或随机存取存贮器(英文:Random Access Memory,简称:RAM),在本申请实施例中,存储器202用于存储会话连接建立程序代码。
收发器203用于收发信号。用于和其它网络设备通信,例如和其它基站或者安全网关等进行数据的接收或发送。
网络接口204用于网络设备20与其他设备进行数据通信。该网络接口204可以为有线接口或无线接口,通过有线或无线网络将本网络设备与其它网络设备例如终端设备、基站、服务器、安全网关等进行通信连接。
电源模块205用于为网络设备20的各个模块供电。
处理器201用于调用存储器202中存储的指令来执行如下操作:
处理器201,用于在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;若所述第二IPSec隧道可用,收发器203用于,通过所述第二IPSec隧道发送和/或接收所述X2业务数据。
具体地,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。
进一步地,处理器201还用于:在通过所述第二IPSec隧道传输所述X2业务之后,判断所述第一IPSec隧道是否可用;若所述第一IPSec隧道可用,所述收发器还用于,将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
再进一步地,处理器201用于判断所述第一IPSec隧道是否可用,具体为:通过收发器203向所述第二基站发起IPSec隧道建立请求报文;若通过收发器203接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
再进一步地,处理器201还用于:在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,丢弃所述X2业务数据。
再进一步地,处理器201还用于:在所述第一IPSec隧道可用的情况下,确定通过所述第一IPSec隧道传输所述X2业务数据。收发器203还用于,通过所述第一IPSec隧道传输所述X2业务数据。
需要说明的是,本申请实施例所描述的网络设备20中各功能模块的功能可参见上述图1至图4中所示实施例中对应的第一基站的相关描述,此处不再赘述。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何一种X2业务传输方法的部分或全部步骤。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
本领域技术人员应明白,本申请的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机程序存储/分布在合适的介质中,与其它硬件一起提供或作为硬件的一部分,也可以采用其他分布形式,如通过Internet或其它有线或无线电信系统。
本申请是参照本申请实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种X2业务传输方法,其特征在于,包括:
第一基站在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;
若所述第二IPSec隧道可用,则通过所述第二IPSec隧道传输所述X2业务数据;
其中,所述第一IPSec隧道不可用的情况包括以下判断方式一或者方式二:
方式一:当判断出所述X2业务数据与所述第一IPSec隧道的流量选择符TS不匹配;或者,当判断出所述第一IPSec隧道的IPSec SA不存在;
方式二:当判断出所述X2业务数据与所述第一IPSec隧道所使用的ACLRULE不匹配;或者,当判断出所述第一IPSec隧道的IPSec SA不存在;
所述第二IPSec隧道可用包括:当判断出所述X2业务数据与所述第二IPSec隧道的流量选择符TS相匹配,且判断出所述第二IPSec隧道的IPSec SA存在;或者,当判断出所述X2业务数据与所述第二IPSec隧道所使用的ACLRULE相匹配,且判断出所述第二IPSec隧道的IPSec SA存在;
所述第二IPSec隧道的流量选择符TS的范围包含了所述第一IPSec隧道的流量选择符TS的范围。
2.如权利要求1所述的方法,其特征在于,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。
3.如权利要求1或2所述的方法,其特征在于,所述通过所述第二IPSec隧道传输所述X2业务之后,还包括:
判断所述第一IPSec隧道是否可用;
若所述第一IPSec隧道可用,则将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
4.如权利要求3所述的方法,其特征在于,所述判断所述第一IPSec隧道是否可用,包括:
向所述第二基站发起IPSec隧道建立请求报文;
若接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,所述第一基站丢弃所述X2业务数据。
6.如权利要求1、2、5任意一项所述的方法,其特征在于,所述方法还包括:
在所述第一IPSec隧道可用的情况下,所述第一基站通过所述第一IPSec隧道传输所述X2业务数据。
7.一种网络设备,其特征在于,所述网络设备为第一基站,包括处理器和收发器,其中,
所述处理器,用于在第一IPSec隧道不可用的情况下,检测所述第一基站与安全网关之间的第二IPSec隧道是否可用,其中,所述第一IPSec隧道为所述第一基站与第二基站之间建立的IPSec隧道,所述第一基站可通过所述第二IPSec隧道与所述第二基站之间进行X2业务数据的传输;
若所述第二IPSec隧道可用,所述收发器用于,通过所述第二IPSec隧道发送和/或接收所述X2业务数据;
其中,所述第一IPSec隧道不可用的情况包括以下判断方式一或者方式二:
方式一:当判断出所述X2业务数据与所述第一IPSec隧道的流量选择符TS不匹配;或者,当判断出所述第一IPSec隧道的IPSec SA不存在;
方式二:当判断出所述X2业务数据与所述第一IPSec隧道所使用的ACLRULE不匹配;或者,当判断出所述第一IPSec隧道的IPSec SA不存在;
所述第二IPSec隧道可用包括:当判断出所述X2业务数据与所述第二IPSec隧道的流量选择符TS相匹配,且判断出所述第二IPSec隧道的IPSec SA存在;或者,当判断出所述X2业务数据与所述第二IPSec隧道所使用的ACLRULE相匹配,且判断出所述第二IPSec隧道的IPSec SA存在;
所述第二IPSec隧道的流量选择符TS的范围包含了所述第一IPSec隧道的流量选择符TS的范围。
8.如权利要求7所述的网络设备,其特征在于,所述第一基站可通过所述第二IPSec隧道与其它任意基站之间进行X2业务数据的传输。
9.如权利要求7或8所述的网络设备,其特征在于,所述处理器还用于:
在通过所述第二IPSec隧道传输所述X2业务之后,判断所述第一IPSec隧道是否可用;
若所述第一IPSec隧道可用,所述收发器还用于,将通过所述第二IPSec隧道传输的所述X2业务数据切换至通过所述第一IPSec隧道进行传输。
10.如权利要求9所述的网络设备,其特征在于,所述处理器用于判断所述第一IPSec隧道是否可用,具体为:
通过所述收发器向所述第二基站发起IPSec隧道建立请求报文;
若通过所述收发器接收到所述第二基站反馈的IPSec隧道建立响应报文,则判断为所述第一IPSec隧道可用。
11.如权利要求7所述的网络设备,其特征在于,所述处理器还用于:
在所述第一IPSec隧道和所述第二IPSec隧道均不可用的情况下,丢弃所述X2业务数据。
12.如权利要求7、8、11任意一项所述的网络设备,其特征在于,所述收发器还用于:
在所述第一IPSec隧道可用的情况下,通过所述第一IPSec隧道传输所述X2业务数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/107711 WO2018098630A1 (zh) | 2016-11-29 | 2016-11-29 | 一种x2业务传输方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110024432A CN110024432A (zh) | 2019-07-16 |
| CN110024432B true CN110024432B (zh) | 2021-07-16 |
Family
ID=62241014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680091115.3A Active CN110024432B (zh) | 2016-11-29 | 2016-11-29 | 一种x2业务传输方法及网络设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11006346B2 (zh) |
| EP (1) | EP3541110B1 (zh) |
| CN (1) | CN110024432B (zh) |
| WO (1) | WO2018098630A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11196726B2 (en) * | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
| CN112714439B (zh) * | 2019-10-25 | 2022-08-30 | 大唐移动通信设备有限公司 | 通信数据的安全传输方法、装置、设备及存储介质 |
| CN115134216B (zh) * | 2022-05-30 | 2024-04-12 | 杭州初灵信息技术股份有限公司 | 一种依托于sdwan的异机ipsec隧道保护调度方法、系统和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010052169A1 (en) * | 2008-11-10 | 2010-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter base station interface establishment |
| CN101772052A (zh) * | 2010-01-26 | 2010-07-07 | 华为技术有限公司 | 一种x2链路故障的处理方法、基站及相应设备 |
| CN103220818A (zh) * | 2013-01-30 | 2013-07-24 | 中兴通讯股份有限公司 | 一种建立X2口IPSec隧道的方法和装置 |
| WO2016141964A1 (en) * | 2015-03-09 | 2016-09-15 | Nokia Solutions And Networks Oy | Dynamic setup of secure communication |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014062678A1 (en) * | 2012-10-15 | 2014-04-24 | Interdigital Patent Holdings, Inc. | Failover recovery methods with an edge component |
| WO2015137855A1 (en) * | 2014-03-13 | 2015-09-17 | Telefonaktiebolaget L M Ericsson (Publ) | Establishment of secure connections between radio access nodes of a wireless network |
| CN106688209B (zh) * | 2014-10-29 | 2020-12-01 | 柏思科技有限公司 | 用于传输广播数据的方法和系统 |
| CN105704747A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 一种基站实现控制/业务数据可靠传输的方法及装置 |
-
2016
- 2016-11-29 EP EP16922653.7A patent/EP3541110B1/en active Active
- 2016-11-29 WO PCT/CN2016/107711 patent/WO2018098630A1/zh unknown
- 2016-11-29 CN CN201680091115.3A patent/CN110024432B/zh active Active
-
2019
- 2019-05-28 US US16/424,011 patent/US11006346B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010052169A1 (en) * | 2008-11-10 | 2010-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter base station interface establishment |
| CN101772052A (zh) * | 2010-01-26 | 2010-07-07 | 华为技术有限公司 | 一种x2链路故障的处理方法、基站及相应设备 |
| CN103220818A (zh) * | 2013-01-30 | 2013-07-24 | 中兴通讯股份有限公司 | 一种建立X2口IPSec隧道的方法和装置 |
| WO2016141964A1 (en) * | 2015-03-09 | 2016-09-15 | Nokia Solutions And Networks Oy | Dynamic setup of secure communication |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3541110A1 (en) | 2019-09-18 |
| WO2018098630A1 (zh) | 2018-06-07 |
| EP3541110B1 (en) | 2023-10-25 |
| EP3541110A4 (en) | 2019-09-18 |
| US11006346B2 (en) | 2021-05-11 |
| CN110024432A (zh) | 2019-07-16 |
| US20190281530A1 (en) | 2019-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6773340B2 (ja) | プロキシされたデバイスのセキュリティ | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US9319439B2 (en) | Secured wireless session initiate framework | |
| CN110891269B (zh) | 一种数据保护方法、设备及系统 | |
| US10897509B2 (en) | Dynamic detection of inactive virtual private network clients | |
| CN102571497B (zh) | 一种IPSec隧道故障检测的方法、装置及系统 | |
| JP2017534204A (ja) | 次世代セルラーネットワークのためのユーザプレーンセキュリティ | |
| JP2014161027A (ja) | 安全なパケット伝送のための暗号化方法 | |
| EP2750349A1 (en) | Method and device for secure network access | |
| US11889301B2 (en) | Security verification when resuming an RRC connection | |
| US11388145B2 (en) | Tunneling data traffic and signaling over secure etls over wireless local area networks | |
| US11006346B2 (en) | X2 service transmission method and network device | |
| US10313877B2 (en) | Method and system for facilitating participation of an intermediary network device in a security gateway communication between at least one base station and a core network portion in a cellular communication network | |
| JP2011199340A (ja) | 通信装置及び方法、並びに通信システム | |
| CN108616877B (zh) | 一种小型基站的通信方法、系统及设备 | |
| CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 | |
| US8359470B1 (en) | Increased security during network entry of wireless communication devices | |
| JP5408372B2 (ja) | 暗号化実施制御システム | |
| CN113965462A (zh) | 业务传输方法、装置、网络设备和存储介质 | |
| WO2001022685A1 (en) | Method and arrangement for communications security | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| US20240147568A1 (en) | Managing early data communication | |
| JP2011077887A (ja) | パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム | |
| WO2022165745A1 (zh) | 数据配置方法、装置、系统及存储介质 | |
| CN117134933A (zh) | 加密通信方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |