CN112788782B

CN112788782B - 一种小基站、小基站系统和小基站系统的开通方法

Info

Publication number: CN112788782B
Application number: CN202011632073.4A
Authority: CN
Inventors: 桂维庆
Original assignee: Raisecom Technology Co Ltd
Current assignee: Raisecom Technology Co Ltd
Priority date: 2020-12-31
Filing date: 2020-12-31
Publication date: 2023-08-22
Anticipated expiration: 2040-12-31
Also published as: CN112788782A

Abstract

本申请实施例公开了一种小基站、小基站系统和小基站系统的开通方法。所述小基站系统包括：至少一个终端小基站，用于无线终端的接入，该系统还包括：网关小基站，其中所述网关小基站与核心网建立S1连接，并且和各终端小基站之间建立互联网安全协议IPSec安全隧道。

Description

一种小基站、小基站系统和小基站系统的开通方法

技术领域

本申请实施例涉及网络通信领域，尤指一种小基站、小基站系统和小基站系统的开通方法。

背景技术

随着网络建设规模的不断扩大和业务负荷的不断增长，传统宏站和室内分布系统建设在物业协调、配套建设、深度和精确覆盖、扩容改造等方面的局限性日益凸显。以皮站和飞站为代表的小基站技术，采用低成本、小型化、低功耗的即插即用型接入设备，通过基于IP的有线带宽回传链路和安全网关接入运营商核心网，成为传统宏站和室内分布系统的有益补充。

如图1所示，典型的小基站系统组网结构包括：小基站、安全网关和网管服务器，其中：小基站为终端提供无线接入，安全网关对小基站进行认证并对传输数据进行安全保证，网管服务器对小基站、安全网关进行管理，实现整个系统的可管可控。

从图1可见，在现有技术的小基站系统组网中，无线终端可以通过小基站(图1中示出的小基站P)直接接入核心网，也可以由小基站(图1中示出的小基站1、小基站2、……小基站N-1)接入，再通过安全网关接入核心网；当无线终端由小基站直接接入核心网时，数据传输安全性低，应用场景受限，而当小系统基站中存在安全网关时，小基站通过互联网回传的方式向安全网关发起认证，有合法身份的小基站在认证通过后才能与安全网关建立IPSec(Internet Protocol Security，互联网安全协议)VPN(Virtual Private Network，虚拟专用网络)安全隧道，以此保证了小基站到安全网关之间的传输数据安全，也保证了上传至核心网数据的安全性，明显更适用于数据安全性要求更高的场景。

但是，现有技术中，安全网关通常以服务器形态存在于运营商机房中，适合运营商中大型小基站系统的部署。在应急网络、小范围部署和企业专网等场景时成本很高，而且还存在设备开通周期长和要求高等约束条件，对小基站系统的进一步广泛应用存在制约，尤其在无安全网关搭设的小基站系统中，如何使得小基站系统能够实现安全接入并且尽快开通是一个需要解决的问题。

发明内容

为了解决上述任一技术问题，本申请实施例提供了一种小基站系统的开通方法和小基站系统。

为了达到本申请实施例目的，本申请实施例提供了一种小基站系统，包括：至少一个终端小基站，用于无线终端的接入，该系统还包括：网关小基站；

所述网关小基站与核心网建立S1连接，并且和各终端小基站之间建立互联网安全协议IPSec安全隧道。

一种小基站系统的开通方法，所述小基站系统包括：不少于两个小基站，所述方法包括：

在各小基站启动后，根据预配置信息确定自身在所述小基站系统中的网络角色为网关小基站或者终端小基站；

所述网关小基站与核心网建立S1连接；

当所述网关小基站确定某个终端小基站需要通过IPSec安全隧道和核心网交互数据时，与该终端小基站之间建立IPSec安全隧道。

一种小基站，包括：身份确定单元和服务器建立单元，其中：

所述身份确定单元，用于根据预配置信息确定自身网络角色；

所述服务器建立单元，在确定自身为网关小基站监听是否有其他小基站需要通过IPSec安全隧道和核心网交互数据时，在本地建立IPSec服务器端。

其中，所述在服务器建立单元在监听到UDP500/4500端口接收到互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息时，确定其他小基站需要通过IPSec安全隧道和核心网交互数据。

上述技术方案中的一个技术方案具有如下优点或有益效果：

本申请实施例所提出的小基站系统，网络结构简单，可以在不存在安全网关的情况下，快速搭建起安全接入的环境，相对于包括安全网关的小基站系统成本更低。另一方面，网关小基站和终端小基站硬件结构可以完全一样，不存在实体差异只是网络角色不一样。该小基站系统自动开通的过程中也无需人为接入，可以在布局设定角色后自动实现网关小基站和终端小基站之间的IPSec安全隧道的快速建立，保证小基站系统开通后数据交互的安全性。

本申请实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例而了解。本申请实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请实施例技术方案的进一步理解，并且构成说明书的一部分，与本申请实施例的实施例一起用于解释本申请实施例的技术方案，并不构成对本申请实施例技术方案的限制。

图1为现有技术中小基站系统组网示意图；

图2为本申请实施例的小基站系统组网示意图；

图3为本申请实施例小基站系统的开通方法流程图；

图4为本申请实施例中终端小基站和网关小基站之间建立IPSec安全隧道的流程示意图；

图5为本申请实施例的一种小基站的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图2所示，本申请实施例提供一种小基站系统，包括：至少两个小基站，其中一个小基站被确定为：网关小基站(图2中所示出的小基站N)，其余小基站为终端小基站(图2中所示出的小基站1～小基站N-1)，所述网关小基站N通过WAN((Wide Area Network，广域网)接口与核心网直接连接并建立S1连接，同时通过LAN(Local Area Network，局域网)接口与作为终端小基站的其余小基站进行网络连接，网关小基站与各终端小基站之间建立IPSec隧道，以承载终端小基站和网关小基站之间的数据(典型的包括：信令面数据、用户面数据)交互；进一步地，所述网关小基站还可以直接接入无线终端，使附着于其上的无线终端通过S1接口与核心网进行数据交互。

所述终端小基站(小基站1～小基站N-1)，为无线终端提供无线接入，具体的，可以通过标准接口与无线终端实现网络通信，为终端用户提供语音、视频和高速数据等标准的业务。

进一步地，所述小基站系统还包括：网管服务器，与网关小基站连接并进行数据交互，用于对所述网关小基站和所述终端小基站进行管理进行管理，使得整个小基站系统可管可控。

在上述小基站系统中，所有的小基站(小基站1、小基站2、……、小基站N-1、小基站N)完全相同，只是在建立小基站系统时处于网关小基站角色的小基站与其余终端小基站所处的网络角色不同，选择对应要处理的操作不同。整个小基站系统在搭建完成后，各小基站根据配置的当前网络角色即可正常开通，实现终端自动接入。

参考图3所示，上述小基站系统开通时，小基站系统的开通方法包括：

步骤100：各小基站启动后首先确定自身在系统中的网络角色；

在本申请所提出的小基站系统中，小基站存在两种网络角色：(1)终端小基站，不直接接入核心网，但直接接入无线终端；(2)网关小基站，直接接入核心网；所述终端小基站的WAN接口和网关小基站的LAN接口之间通过互联网连接。

所述小基站确定自身角色可以是在各小基站启动后，由网管服务器下发相应指令确定，但是较优的，是在进行小基站系统布局时设置用于角色识别的预配置信息。典型的，可以是在小基站系统布局时，将预配置信息设置为角色标识，当角色标识表示为直接接入核心网，则该小基站为网关小基站；以及当角色标识表示为直接接入无线终端，但不直接接入核心网，则该小基站为终端小基站；或者，在小基站系统布局时，对于各小基站分别设置是否需要建立IPSec安全隧道的预配置信息，被配置为需要建立IPSec安全隧道的小基站作为终端小基站，否则为网关小基站。

步骤101：终端小基站作为IPSec客户端通过本地的WAN接口发送互联网密钥交换安全联盟初始化(IKE_SA_INIT)请求消息，表明发起建立互联网密钥交换安全联盟(IKE_SA)的协商；

在本步骤中，由于终端小基站是为了发起建立IKE_SA的协商，如果在预设定的时间内未接收到对应的响应，则进行IKE_SA_INIT请求消息的第二次发送；

第二次发送与第一次发送之间的时间间隔是根据如下反馈时间确定，包括：

在网关小基站监听到该请求时，在本地并未建立IPSec服务器端且不存在IPSec安全隧道配置信息的前提下，需要获取IPSec安全隧道配置信息后再进行响应而预留的反馈时间；

其中，具体的设定时长可以由本领域普通技术人员设定。

步骤102：网关小基站与核心网建立S1连接；

网关小基站通过WAN接口与核心网连接，S1接口为逻辑接口，作为小基站和核心网之间的通信接口用以承载网关小基站的上下行信令和业务，S1连接如何建立可以采用本领域普通技术人员所已知的小基站和核心网建立连接的任何方式来实现，此处不做限定；

步骤103：网关小基站监听UDP500/4500端口，判断是否接收到IKE_SA_INIT请求消息，如果是，执行步骤104；否则，按照现有技术处理接收到的数据；

在本步骤中，如果网关小基站通过UDP500/4500端口接收到IKE_SA_INIT请求消息，表明存在某个终端小基站希望通过建立IPSec安全隧道来与核心网交互数据，网关小基站需要在本地建立IPSec服务器端，从而在网关小基站和该终端小基站之间建立IPSec安全隧道；

如果网关小基站并未通过UDP500/4500端口接收到IKE_SA_INIT请求消息，但是接收到该网关小基站下附着的无线终端发起的数据业务，表明该数据业务只需要直接按照S1接口发送，则按照现有技术通过WAN口路由向核心网转发该数据。

步骤104：终端小基站判断本地当前是否已经存在IPSec配置文件信息，如果是，则执行步骤107；否则，执行步骤105；

在小基站系统在布局过程中并不针对网关小基站进行IPSec服务器端的设定，此处在开通阶段，在与首个请求建立IPSec安全隧道的终端小基站之间建立IPSec安全隧道之前，必然判断本地未配置IPSec服务器端，也不存在IPSec配置文件，但是在针对首次接收到IKE_SA_INIT请求消息配置为IPSec服务器端后，网关小基站本地将存在IPSec配置文件；因此，在其它终端小基站在后续发送IKE_SA_INIT请求消息时，网关小基站可以利用本地已经存在IPSec配置文件，建立了IPSec服务器端，直接利用即可。

步骤105：网关小基站向网管服务器发起IPSec配置信息请求；

由于整个系统中，网管服务器可以与各小基站进行数据交互，对各小基站进行管理，其上存储有配置IPSec安全隧道两端(服务器端和客户端)所需的所有配置信息。

步骤106，网关小基站在接收到针对IPSec配置信息请求的响应消息后，将本地LAN接口的IP地址配置为所述响应消息中携带的规划的互联网回传IP地址，并将所述响应消息中携带的虚拟IP地址池、流量选择器、认证方式等配置信息内容写入本地存储的IPSec配置文件，开启网关小基站的IP转发功能，并在本地启动IPSec服务器端；

其中，网管服务器针对IPSec配置信息请求的响应消息至少包括：规划的互联网回传IP、虚拟IP地址池、IPSec隧道流量选择器、认证方式、预共享密钥或数字证书；

步骤107：网关小基站通过本地的LAN接口发送IKE_SA_INIT响应消息。

由此，在网关小基站和终端小基站之间建立了IKA_SA。此处特别说明一点，对于所有的终端小基站都需要分别和网关小基站建立IKE_SA。

步骤108：终端小基站通过本地的WAN接口发送互联网密钥交换认证(IKE_AUTH)请求消息，表明发起身份认证。

步骤109：网关小基站通过本地的LAN接口发送IKE_AUTH响应消息；

在本步骤中，所述IKE_AUTH响应消息的TSi字段中携带分配给该终端小基站的虚拟IP地址；

从IPSec配置信息请求的响应消息中获取虚拟IP地址池，从该虚拟IP地址池选择分配给终端小基站的虚拟IP地址，并在完成分配后，记录虚拟IP地址和终端小基站的对应关系；并对虚拟IP地址池中的虚拟IP地址进行维护，包括：记录已分配的虚拟IP地址为不可用状态；以及，记录能够分配给其他终端小基站的虚拟IP地址为可用状态。

此处说明一点：在上述步骤中，IKE_SA_INIT请求消息和响应消息、以及IKE_AUTH请求消息和响应消息的格式和构成采用本领域普通技术人员已知的IKEv2协议格式，如图4所示。

其中，各报文字段说明如下表1：

表1

本申请也是通过IKE_SA_INIT请求消息和响应消息、以及IKE_AUTH请求消息和响应消息这四个报文的交互完成一对IKE SA和IPSec SA的协商。本领域普通技术人员已知在建立IPSec安全隧道过程中上述报文机交互的实现，此处不再对具体实现细节进行赘述。

由此，在终端小基站和网关小基站之间建立IPSec安全隧道。

步骤110：终端小基站将虚拟IP地址作为源地址通过IPSec安全隧道向核心网发送S1连接请求报文，以发起S1连接请求；

在本步骤中，由于核心网地址作为上行数据的目的地址在IPSec流量选择器中，因此，S1连接请求报文首先通过IPSec安全隧道加密发送到网关小基站的LAN端口；

步骤111：网关小基站收到S1连接请求报文后获知其中的目的地址为核心网地址，通过WAN端口路由转发至核心网。

步骤112：网关小基站的WAN端口接收到核心网返回的S1连接响应报文，判断该S1连接响应报文的目的IP地址为IPSec虚拟IP地址(即：某个终端小基站的虚拟IP地址)，则对该S1连接响应报文进行加密后经过IPSec安全隧道进行转发；判断该S1连接响应报文的目的IP地址为自己的本地IP地址时，将该S1连接响应报文转发至无线协议栈处理；

在此步骤中，来自核心网的S1连接响应报文是针对步骤110中终端小基站所发送的S1连接请求报文的响应。

步骤113：终端小基站接收到经过IPSec安全隧道发送的S1连接响应报文，并根据S1连接响应报文中的目的地址判断为本地虚拟IP地址，将接收到的报文进行解密并转发至无线协议栈处理。

由此实现终端小基站用户面数据和信令面数据流向的一致，完成了小基站系统的开通。

此外，如图5所示，本申请实施例还提供一种小基站，包括：身份确定单元和服务器建立单元，

所述服务器建立单元，还用于接收到互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息时，向发出该请求消息的小基站发送互联网密钥交换安全联盟初始化IKE_SA_INIT响应消息，以及，在接收到互联网密钥交换认证IKE_AUTH请求消息时，向发出该请求消息的小基站发送互联网密钥交换认证IKE_AUTH响应消息。

此外，所述小基站还包括：S1连接建立单元，用于建立所述小基站与核心网之间的S1连接。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims

1.一种小基站系统，包括：至少一个终端小基站，用于无线终端的接入，其特征在于，该系统还包括：网关小基站；其中所述网关小基站与核心网建立S1连接，并且和各终端小基站之间建立互联网安全协议IPSec安全隧道；其中：

所述终端小基站，用于将核心网地址作为目的地址通过IPSec安全隧道向核心网发起S1连接请求报文；

所述网关小基站，用于在收到S1连接请求报文后，获知其中的目的地址为核心网地址，通过WAN端口路由转发至核心网。

2.如权利要求1所述的小基站系统，其特征在于，所述系统还包括：与所述网关小基站连接的网管服务器，用于对所述网关小基站和所述终端小基站进行管理。

3.如权利要求1所述的小基站系统，其特征在于，所述网关小基站还用于直接接入无线终端。

4.一种小基站系统的开通方法，所述小基站系统包括：不少于两个小基站，其特征在于，所述方法包括：

所述网关小基站与核心网建立S1连接；

当所述网关小基站确定某个终端小基站需要通过IPSec安全隧道和核心网交互数据时，与该终端小基站之间建立IPSec安全隧道；

所述终端小基站将核心网地址作为目的地址通过IPSec安全隧道向核心网发起S1连接请求报文，网关小基站收到S1连接请求报文后，获知其中的目的地址为核心网地址，通过WAN端口路由转发至核心网。

5.如权利要求4所述的方法，其特征在于，所述根据预配置信息确定自身在所述小基站系统中的网络角色具体地：

所述预配置信息为角色标识；

当所述角色标识表示所述小基站直接接入核心网时，则该小基站为网关小基站；以及

当所述角色标识表示所述小基站直接接入无线终端，但不直接接入核心网时，则该小基站为终端小基站。

6.如权利要求4所述的方法，其特征在于，所述根据预配置信息确定自身在所述小基站系统中的网络角色具体地：

所述预配置信息为：是否需要建立IPSec安全隧道；

当本地配置为需要建立IPSec安全隧道时，则该小基站为终端小基站；否则该小基站为网关小基站。

7.如权利要求4所述的方法，其特征在于，所述网关小基站通过以下方式确定某个终端小基站需要通过IPSec安全隧道和核心网交互数据：

当所述网关小基站通过UDP500/4500端口接收到互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息时，确定发送该IKE_SA_INIT请求消息的终端小基站需要通过IPSec安全隧道和核心网交互数据。

8.如权利要求7所述的方法，其特征在于，所述网关小基站与该终端小基站之间建立IPSec安全隧道具体包括：

所述网关小基站以本地建立的IPSec服务器端向发送IKE_SA_INIT请求消息的终端小基站发送互联网密钥交换安全联盟初始化IKE_SA_INIT响应消息；

所述终端小基站向所述网关小基站发送互联网密钥交换认证IKE_AUTH请求消息；

所述网关小基站通过本地的LAN接口发送互联网密钥交换认证IKE_AUTH响应消息。

9.如权利要求8所述的方法，其特征在于，当所述网关小基站判断本地未建立IPSec服务器端时，向网管服务器发起IPSec配置信息请求，在接收到针对IPSec配置信息请求的响应消息后，将响应消息中所携带的配置信息内容写入本地存储的IPSec配置文件，并在本地启动IPSec服务器端。

10.如权利要求9所述的方法，其特征在于，当所述网关小基站接收到针对IPSec配置信息请求的响应消息后，将本地LAN接口的IP地址配置为所述响应消息中携带的规划的互联网回传IP地址。

11.如权利要求8所述的方法，其特征在于，该方法还包括：

所述终端小基站发送互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息后，如果设定的时间内没有收到互联网密钥交换安全联盟初始化IKE_SA_INIT响应消息，再次发送互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息。

12.如权利要求8所述的方法，其特征在于，该方法还包括：

在所述网关小基站与某个终端小基站之间建立IPSec安全隧道之后，该终端小基站将虚拟IP地址作为源地址通过IPSec安全隧道向核心网发送S1连接请求报文；所述虚拟IP地址为所述终端小基站从接收到的互联网密钥交换认证IKE_AUTH响应消息的TSi字段所获取；

所述网关小基站在接收到核心网返回的针对所述S1连接请求报文的S1连接响应报文时，如果该S1连接响应报文的目的IP地址为IPSec虚拟IP地址，则对该S1连接响应报文进行加密后经过IPSec安全隧道进行转发；如果该S1连接响应报文的目的IP地址为自己的本地IP地址时，将该S1连接响应报文转发至无线协议栈处理；

所述终端小基站在接收到经过IPSec安全隧道发送的S1连接响应报文后，如果该S1连接响应报文中的目的地址为本地虚拟IP地址，将接收到的S1连接响应报文进行解密并转发至无线协议栈处理。

13.如权利要求4所述的方法，其特征在于，该方法还包括：

所述网关小基站在接收到直接附着于其本身的无线终端发起的数据业务时，通过S1接口发送。

14.一种小基站，包括：身份确定单元和服务器建立单元，其中：

所述服务器建立单元，在确定自身为网关小基站监听是否有其他小基站需要通过IPSec安全隧道和核心网交互数据时，在本地建立IPSec服务器端；以及，接收终端小基站通过IPSec安全隧道向核心网发起的S1连接请求报文后，如果所述S1连接请求报文的目的地址为核心网地址，通过WAN端口路由转发至核心网。

15.如权利要求14所述的小基站，其特征在于，所述服务器建立单元在监听到UDP500/4500端口接收到互联网密钥交换安全联盟初始化IKE_SA_INIT请求消息时，确定其他小基站需要通过IPSec安全隧道和核心网交互数据。

16.如权利要求15所述的小基站，其特征在于：

17.如权利要求14所述的小基站，其特征在于，所述小基站还包括：

S1连接建立单元，用于建立所述小基站与核心网之间的S1连接。