WO2010037337A1

WO2010037337A1 - 一种无线接入设备获取管理地址的方法和网络设备

Info

Publication number: WO2010037337A1
Application number: PCT/CN2009/074138
Authority: WO
Inventors: 文玉麟; 张冠男; 李伟
Original assignee: 华为技术有限公司
Priority date: 2008-09-24
Filing date: 2009-09-23
Publication date: 2010-04-08
Also published as: CN101686266B; CN101686266A

Abstract

本发明实施例公开了一种无线接入设备获取管理地址的方法和网络设备，该方法包括根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道；通过与所述预配置的安全网关的所述临时加密通道向 IP 地址分配单元发送请求消息，以请求 IP 地址分配单元分配管理 IP 地址；接收所述 IP 地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP 地址。通过本发明实施例提供的方法可以使无线接入设备自动获得分配管理地址。

Description

一种无线接入设备获取管理地址的方法和网络设备

本申请要求于 2008 年 9 月 24 日提交中国专利局、申请号为 200810211736. 8、发明名称为 "一种无线接入设备获取管理地址的方法和网络设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域本发明实施例涉及通信技术领域，尤其涉及一种无线接入设备获取管理地址的方法和网络设备。背景技术

WiMAX (Worldwide Interoperabi l ity for Microwave Access , 全球微波互联接入）是 IEEE802. 16标准，也是 BWA (Broadband Wireless Access , 广带无线接入）标准。 WiMAX的基站主要是为了解决城域网覆盖的问题，考虑到作为热点地区的盲点补充和企业应用等场景，出现了微型基站（Picocel l , 简称 Pico ) 和超微型基站（femtocel l , 简称 femto ) 等小型基站的概念。

发明人在实现本发明的过程中，发现现有技术至少存在以下问题：小型基站的管理地址需要手动配置，而这类基站数量非常多，导致效率低，给运营和维护造成困难。

发明内容

本发明实施例提供了一种无线接入设备获取管理地址的方法和网络设备，可以使无线接入设备完成管理地址的自动分配。本发明实施例提供了一种无线接入设备获取管理地址的方法，包括：通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP 地址分配单元分配管理 IP地址；

接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址。

本发明实施例还提供了一种无线接入设备获取管理地址的方法，包括：通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP 地址分配单元返回提供服务的安全网关地址的信息；

接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址；

从所述提供服务的安全网关获取管理 IP地址。

另一方面本发明实施例还提供了一种网络匹配的方法，包括：

接收来自网元管理单元的信息；

根据所述信息判断应用场景；

根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备被所述网关所控制。

同时本发明实施例还提供了一种网络设备，包括：

第一发送模块，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元分配管理 IP地址；

第一接收模块，用于接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 ip地址。

本发明实施例还提供了一种网络设备，包括：

第二发送模块，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元返回提供服务的安全网关地址的信息；

第二接收模块，用于接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址，并获取所述提供服务的安全网关分配的管理 IP地址。

本发明实施例还提供了一种网络设备，包括：

信息接收模块，用于接收来自网元管理单元的信息；

信息判断模块，用于根据所述信息接收模块接收的信息，判断应用场景; 信息处理模块，用于根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备被所述网关所控制。

本发明实施例还提供了一种网络系统，包括：

无线接入设备，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元分配管理 IP地址；接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址；

IP地址分配单元，用于根据所述请求消息生成携带管理 IP地址的响应信息；

预配置的安全网关，用于将所述无线接入设备的请求消息发送给所述 IP 地址分配单元，并将所述携带管理 IP地址的响应信息返回给所述无线接入设备。

同时本发明实施例还提供了一种网络系统，包括：

无线接入设备，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元返回提供服务的安全网关地址的信息；接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址；

IP地址分配单元，用于接收来自所述无线接入设备的请求返回提供服务的安全网关地址的信息，向所述无线接入设备回复携带提供服务的安全网关 I P地址的响应信息；

所述预配置的安全网关，用于将所述无线接入设备的请求消息发送给所述 IP地址分配单元，并将所述携带提供服务的安全网关 IP地址的响应信息返回给所述无线接入设备；

所述提供服务的安全网关，用于为所述无线接入设备分配管理 IP地址。同时本发明实施例还提供了一种网络系统，包括：

网络管理单元，用于向无线接入设备发送信息；

无线接入设备，用于接收来自所述网元管理单元的信息；根据所述信息判断应用场景；根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备被所述网关所控制。

本发明实施例具有以下优点：

通过本发明实施例提供的方法和网络设备，根据预配置的安全网关的地址，发送请求分配管理 IP地址。由此可以使无线接入设备上电后实现获取管理地址并获得自动分配的地址。附图说明

此处所说明的附图用来提供对本发明的进一歩理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图 1是本发明实施例中无线接入设备获取管理地址的方法流程图；图 2是本发明另一实施例无线接入设备获取管理地址的方法流程图；图 3是本发明另一实施例中无线接入设备获取管理地址的方法流程图；图 4所示为本发明实施例另一无线接入设备获取管理地址的方法流程图；图 5是本发明实施例中网络匹配的方法流程图；

图 6是本发明实施例中通过 IP地址分配单元分配地址的流程图；图 7所示本发明实施例方式一的另一流程图；

图 8是本发明实施例中通过安全网关分配地址的流程图；

图 9所示本发明实施例方式二的另一流程图；

图 10是本发明另一实施例中网络匹配的方法流程图；图 11是本发明实施例中网络设备的结构示意图；

图 12是本发明另一实施例中网络设备的结构示意图；

图 13是本发明另一实施例中网络设备的结构示意图；

图 14是本发明实施例中网络系统的示意图；

图 15是本发明另一实施例中网络系统的示意图；

图 16是本发明另一实施例中网络系统的示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一歩详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

本发明实施例提供一种无线接入设备获取管理地址的方法和网络设备。以下结合附图对本发明进行详细说明。

以下本发明实施例的网络类型包括： GSM网络、 CDMA网络、 WCDMA网络、 W imax网络、 TD-SCDMA网络、 LTE网络等。无线接入设备的类型包括：基站、基站控制器、微型基站 Pico、 UMTS AP， WiMAX Femto基站、 WiMAX宏基站等。

本发明实施例提供了一种无线接入设备获取管理地址的方法和装置，可以使无线接入设备上电后实现获取管理地址并获得自动分配的地址。

下面结合附图和具体实施例对本发明实施例提供的方法和装置进行详细说明。

本发明实施例提供了一种无线接入设备获取管理地址的方法，如图 1 所示，包括：

歩骤 S101 , 通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP地址分配单元分配管理 IP地址。其中，所述预配置的安全网关支持请求注解（Request For Comments , RFC) 草案，其能够将处于加密通道 (例如 IPSec加密通道）中的动态主机配置协议（Dynamic Host Configuration Protocol , DHCP) 广播消息传送给 IP地址分配单元，所述 IP地址分配单元可以包括 DHCP服务器或者网元管理系统（Element Management System, NMS) 等。

歩骤 S102，接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址。

作为本发明的一个实施例，在所述歩骤 S101之前还包括，根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，所述歩骤 S101中通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

通过上述实施例，无线接入设备通过与预配置的安全网关之间的加密通道，向 IP地址分配单元发送分配管理 IP地址的请求，并接收 IP地址分配单元为其分配的管理 IP地址，由此实现了无线接入设备 IP地址的自动获取，而且对组网的依赖小，地址分配灵活。

如图 2所示为本发明实施例另一无线接入设备获取管理地址的方法流程图，包括：

歩骤 S201、根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，获取临时管理 IP地址；安全网关的地址的类型包括： IP地址、 MAC地址或域名地址，无线接入设备根据该地址与与配置的安全网关进行密钥交换协商，获取该与配置的安全网关分配的临时管理 IP地址。当无线接入设备预配置的 IP地址分配单元地址为域名地址时，还可以获取核心网域名服务器的地址，根据该地址在核心网域名服务器中查询 IP地址分配单元的 IP地址；

无线接入设备与预配置的安全网关进行密钥交换协商时无线接入设备完成自身的接入认证并建立与预配置的安全网关的临时加密通道；

歩骤 S202、以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求分配管理 IP地址的信息；以所述临时管理 IP 地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求分配管理 IP地址的信息；

上述请求分配管理 IP地址的信息中还携带了设备序列号， IP地址分配单元（如动态主机配置协议服务器）接收到该信息后，一方面通知网元管理系统无线接入设备请求分配管理 IP地址，并将管理地址告知网元管理系统，另一方面根据设备序列号向无线接入设备回复响应；上述 IP地址分配单元可以为 DHCP服务器。

歩骤 S203、接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址；

该响应信息中还可以携带提供服务的安全网关的 IP地址，该提供服务的安全网关由 IP地址分配单元或网元管理系统指定，管理 IP地址的分配是在指定服务的安全网关的前提下进行分配的；该响应信息中还携带了无线接入设备的信令地址或业务地址，网络匹配时以该信令地址或业务地址为源地址与网关进行通信，本实施例中的网关可以是接入服务网络 -网关（Access Service Network-Gateway, ASN-GW) 或媒体网关等；无线接入设备获得永久的管理地址后，可以拆除临时建立的加密通道，释放临时管理 IP地址。再利用管理 IP地址与提供服务的安全网关进行密钥交换协商，完成自身的接入认证，并建立加密通道。若提供服务的安全网关与预配置的安全网关为同一安全网关，则可以考虑使用歩骤 S201中建立的临时加密通道，也可以拆除重建加密隧道。

通过本发明实施例提供的方法，无线接入设备利用预配置的安全网关提供的临时管理 IP地址向 IP地址分配单元发送分配管理 IP地址的请求，并接收 IP地址分配单元为其分配的管理 IP地址，由此实现了无线接入设备 IP地址的自动获取，而且对组网的依赖小，地址分配灵活。本发明实施例还提供了一种无线接入设备获取管理地址的方法，如图 3 所示，包括：

歩骤 S301 , 通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP地址分配单元返回提供服务的安全网关地址的信息。

歩骤 S302, 接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址。在本歩骤中的 IP地址分配单元可以为丽 S。

歩骤 S303, 从所述提供服务的安全网关获取管理 IP地址。

作为本发明的一个实施例，在所述歩骤 S301之前还包括，根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，在所述歩骤 S301中，通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

在歩骤 S303中还包括，与所述提供服务的安全网关进行密钥交换协商，建立加密通道，通过所述加密通道获取所述管理 IP地址。

通过本发明实施例提供的方法，无线接入设备通过与预配置的安全网关之间的加密通道，向 IP地址分配单元发送获取提供服务的安全网关的请求，并接收 IP地址分配单元为其分配的提供服务的安全网关，通过与该提供服务的安全网关进行协商获得管理 IP地址，由此实现了无线接入设备通过安全网关自动获取 IP地址，而且该方法对组网的依赖小。

如图 4所示为本发明实施例另一无线接入设备获取管理地址的方法流程图，包括：

歩骤 S401、根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，获取临时管理 IP地址；具体的，预配置的安全网关的地址包括 IP地址或域名地址，无线接入设备根据该地址与预配置的安全网关进行密钥交换协商，获取该预配置的安全网关分配的临时管理 IP地址；与预配置的安全网关进行密钥交换协商时，建立与预配置的安全网关的临时加密通道，该密钥交换协商在临时加密通道中进行，通过密钥交换协商无线接入设备还可以完成自身的接入认证；

歩骤 S402、以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求分配提供服务的安全网关地址的信息；预配置的网元管理系统地址也包括 IP地址或域名地址，上述请求服务安全网关地址的信息中还携带了设备序列号，网元管理系统根据该设备序列号向无线接入设备回复响应；

歩骤 S403、接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址，该提供服务的安全网关是网元管理系统根据设备序列号和其他相关信息（如负荷分担等）为无线接入设备分配的安全网关；

歩骤 S404、与所述提供服务的安全网关进行密钥交换协商，获取管理 IP 地址；无线接入设备与提供服务的安全网关进行密钥交换协商，获取管理 IP 地址，同时还完成了无线接入设备的接入认证并且建立加密通道。

无线接入设备获得永久的管理地址后，可以拆除临时建立的加密通道，释放临时管理 IP地址。

上述两个实施例中， IP地址分配单元可以为的类型可以是 DHCP Server (Dynamic Host Configuration Protocol Server , 动态主机酉己置协议月艮务器)、 AAA月艮务器 (Authentication, Authorization and Accounting, 认证、授权、计费服务器）和 BRAS (Broadband Remote Access Server, 宽带接入服务器）等等，第一个实施例由 IP 地址分配单元分配 0M IP ( Operate Management IP, 操作管理 IP地址）， IP地址分配单元可以根据需要自行设定分配原则，也可以灵活选择是否联系网元管理系统丽 S等设备，该过程 IP地址分配单元需要将 ESN (Equipment Serial Number, 设备序列号）对应的无线接入设备地址分配原则和提供服务的安全网关的地址预先规划好，此处 IP 地址分配单元需要识别 Option的扩展消息；第二个实施例由提供服务的安全网关为无线接入设备分配管理 IP地址，此处网元管理系统可以主动与无线接入设备建立联系，下发相关配置。上述两个实施例中，当无线接入设备与网元管理系统建立联系后，网元管理系统将预规划的信息下发到无线接入设备，无线接入设备通过判断应用场景选择与网关进行联系的方式，然后将设备序列号和无线接入设备 IP 的绑定关系通知接入服务网络-网关。上述两个实施例都实现了无线接入设备上电后自动分配无线接入设备地址的过程，还实现了自动下发无线接入设备相关配置以及无线接入设备自动匹配应用场景的过程。本实施例的网关除了是还可以接入服务网络-网关，还可以是媒体网关等。

通过本发明实施例提供的方法，无线接入设备利用预配置的安全网关提供的临时管理 IP地址向 IP地址分配单元发送获取提供服务的安全网关的请求，并接收 IP地址分配单元为其分配的提供服务的安全网关，通过与该提供服务的安全网关进行协商获得永久管理地址，由此实现了无线接入设备通过安全网关自动获取 IP地址，而且该方法对组网的依赖小。本发明实施例还提供了一种网络匹配的方法，如图 5所示，包括：歩骤 S501、接收来自网元管理单元的信息；网元管理单元下发的信息还包括：应用场景、或接入服务网络 -网关地址、或无线接入设备识别码、或信令地址、或业务地址、或邻区的接入服务网络 -网关 GW ID或地址；

该下发的信息中还携带需要建立加密通道的指示以及在建立加密通道时提供加密通道的密钥，若携带上述信息，则可认为需要建立加密通道；

歩骤 S502、根据所述信息判断应用场景；

歩骤 S503、根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备被所述网关所控制；所述根据所述信息判断应用场景为用户面布置网关时，根据企业网分配的 IP地址通知网关；根据所述信息判断应用场景为核心域布置网关时，根据来自网元管理系统的信令地址或业务地址或管理 IP地址通知网关。该网关为控制无限接入设备的网关。本发明实施例中无线接入设备与网元管理系统等建立联系后，接收网元管理系统自动下发的信息，该信息中携带包括接入服务网络-网关的地址和应用场景；无线接入设备根据该信息判断应用场景，使用与应用场景相应的信令 IP地址通知所述接入服务网络-网关所控制的设备序列号与无线接入设备 IP 的绑定关系。上述信息还包括：无线接入设备的 BSID ( Base Station Identity Code ，无线接入设备识别码）、信令地址、业务地址和邻区的接入服务网络 -网关 GW ID和地址，是否需要建立 R6的加密通道（若需要还包括加密通道的密钥）。

通过本发明实施例提供的方法，无线接入设备根据网元管理单元下发的信息判断应用场景，并根据应用场景进行不同的安全策略和处理流程，由此可以使无线接入设备兼容不同的应用场景，灵活性更高。下面通过具体实施例对无线接入设备获取管理 IP地址的方法进行详细说明，获取无线接入设备地址和提供服务的安全网关的地址的方式有两种，具体过程如下：

方式一，如图 6所示，通过 DHCP Server分配地址，包括：

歩骤 S601 , 无线接入设备获得预置的安全网关（Provisioning-Security

Gateway, P-SeGW) 和 DHCP Server的地址；该地址可以为域名地址，也可以为 IP地址。

歩骤 S602, 无线接入设备通过企业内部的 DHCP Server提供的 IP地址与 P-SeGW进行因特网密钥交换（Internet Key Exchange, IKE) 协商。

歩骤 S603、无线接入设备通过上述 IKE协商完成接入认证；使用 EAP-TLS 扩展认证方式时，需要此歩骤；若使用其他认证方式如共享密钥的方式，不需要此歩骤， EAP-TLS的认证服务器为 WiMAX CSN的 AAA Server。

歩骤 S604、无线接入设备通过上述 IKE协商建立临时 IPSec隧道；后续无线接入设备与 DHCP Server的消息交互受到 IPSec的保护。歩骤 S605，无线接入设备通过上述的 IPSec隧道向所述 DHCP服务器发送请求分配管理 IP地址的广播消息。

歩骤 S606， DHCP Server通知网元管理系统（Element Management System, 丽 S)，无线接入设备在请求 OM IP地址；如果需要丽 S主动联系无线接入设备，则 DHCP Server通过内部消息通知丽 S， NMS后续直接尝试连接无线接入设备，尝试连接的时间间隔可以根据网络情况定义，建议使用 2ⁿ*T的间隔计算方法；也可以选择由 NMS系统直接为无线接入设备分配 OM IP地址，该丽 S系统和 DHCP Server可以在一个设备中。

歩骤 S607、 DHCP Server根据 ESN号码，在响应报文中携带分配给无线接入设备的 OM IP 地址，并在 DHCP Option 中携带服务的安全网关 (Serving-Security Gateway, S-SeGW) 的 IP地址；该歩骤中的 IP地址是在指定 S-SeGW之后再分配的，并且每个 SeGW对应的 IP地址段是不相同的，由此可以解决网管到无线接入设备之间的路由问题；如果有需要，该 DHCP Server的响应消息也可以将无线接入设备的信令地址、业务地址等一并下发。如果只有一个 SeGW, 则 S-SeGW地址不用下发。

歩骤 S608, 无线接入设备拆除临时 IPSec隧道。

歩骤 S609和歩骤 S610相同于歩骤 S602和歩骤 S603 , 建立 IPSec隧道，该 IPSec隧道是在该无线接入设备与 S-SeGW保持连接状态下一直保持的加密通道，完成接入认证，不再申请 IP地址。如果 P-SeGW和 S-SeGW是同一个，该过程可以选择简化，直接使用歩骤 S602和歩骤 S603建立的临时 IPSec隧道。

如图 7所示本发明实施例方式一的另一流程图，包括：

歩骤 S701、无线接入设备获得预置的安全网关（Provisioning-Security Gateway, P-SeGW) 和 DHCP Server的地址；该地址可以为域名地址，也可以为 IP地址。

歩骤 S702、无线接入设备通过企业内部的 DHCP Server提供的 IP地址与 P-SeGW进行 IKE ( Internet Key Exchange,因特网密钥交换）协商，建立 IPSec ( IP Security Protocol , IP安全协议) 隧道。

通过该协商过程无线接入设备获取临时 0M IP地址等信息，如果运营商内部有域名服务器 (Domain Name Server, DNS), 则 IKE过程会将运营商内部的核心网域名服务器 (Core Network- Domain Name Server, CN— DNS ) 地址带给无线接入设备，用于当歩骤 S401 中无线接入设备预置的地址为 DHCP Server的域名时，无线接入设备利用该 CN— DNS地址在 CN— DNS 中查询 DHCP Server的地址。

歩骤 S703、无线接入设备通过上述 IKE协商完成接入认证；使用 EAP-TLS 扩展认证方式时，需要此歩骤；若使用其他认证方式如共享密钥的方式，不需要此歩骤， EAP-TLS的认证服务器为 WiMAX CSN的 AAA Server。

歩骤 S704、无线接入设备通过上述 IKE协商建立临时 IPSec隧道；后续无线接入设备与 DHCP Server的消息交互受到 IPSec的保护。

歩骤 S705、当歩骤 S401中预置的地址为 DHCP的域名，则使用临时 0M IP地址和无线接入设备预置的 DHCP Server域名去运营商内部 CN-DNS查询 DHCP S rv r的地址。

歩骤 S706、无线接入设备使用预置的 DHCP Server IP地址或歩骤 S705 查询的地址，向 DHCP发送单播消息（可以是 DHCP Relay消息）。该单播消息填充的源地址为歩骤 S702中获取的临时 0M IP地址，目的地址为 DHCP Server 的地址，并在 DHCP消息的 Option字段中携带无线接入设备的 ESN号码，向 DHCP Server请求 0M IP地址。

歩骤 S707、 DHCP Server通知 NMS (Element Management System, 网元管理系统），无线接入设备在请求永久 0M IP地址；如果需要 NMS主动联系无线接入设备，则 DHCP Server通过内部消息通知丽 S，丽 S后续直接尝试连接无线接入设备，尝试连接的时间间隔可以根据网络情况定义，建议使用 2ⁿ*T的间隔计算方法；也可以选择由丽 S系统直接为无线接入设备分配永久 0Μ IP地址，该 NMS系统和 DHCP Server可以在一个设备中。歩骤 S708、 DHCP Server根据 ESN号码，在响应报文中携带分配给无线接入设备的 OM IP地址，并在 DHCP Option中携带 S-SeGW (Serving-Security Gateway, 服务的安全网关）的 IP地址；该歩骤中的 IP地址是在指定 S_SeGW 之后再分配的，并且每个 SeGW对应的 IP地址段是不相同的，由此可以解决网管到无线接入设备之间的路由问题；如果有需要，该 DHCP Server 的响应消息也可以将无线接入设备的信令地址、业务地址等一并下发。如果只有一个 SeGW, 则 S-SeGW地址不用下发。

歩骤 S709、无线接入设备释放 P-SeGW分配的 IP地址，拆除临时 IPSec。歩骤 S710和歩骤 S711、同歩骤 S702和歩骤 S703, 建立永久的 IPSec , 完成接入认证，不再申请 IP地址。如果 P-SeGW和 S-SeGW是同一个，该过程可以选择简化，直接使用歩骤 S702和歩骤 S703建立的 IPSec。

通过上述歩骤，无线接入设备利用预配置的安全网关提供的临时管理 IP 地址向 DHCP发送分配管理 IP地址的请求，并接收 DHCP为其分配的管理 IP 地址，由此实现了无线接入设备 IP地址的自动获取，而且利用 DHCP分配地址更为灵活， DHCP还可以下发无线接入设备的信令地址等信息。方式二，如图 8所示，通过 SeGW分配地址，该过程丽 S系统需要将 ESN 号对应的 S-SeGW的地址预先规划好，包括：

歩骤 S801至歩骤 S804同上述实施例中的歩骤 S601至歩骤 S604。

歩骤 S805,无线接入设备在 IPSec隧道上向 DHCP服务器发送请求分配临时管理 IP地址请的请求消息，该请求消息为广播消息。

歩骤 S806,无线接入设备利用所述临时管理 IP地址主动向丽 S系统发出请求 S-SeGW地址的消息。

歩骤 S807, 丽 S系统根据相关信息为无线接入设备分配 S-SeGW, 并将该 S-SeGW的地址回复到无线接入设备；该过程中也可以附带下发其他配置参数，如使用场景， ASN-GW (Access Service Network-Gateway, 接入服务网络-网关）地址等信息。

歩骤 S808、无线接入设备与上述分配的提供服务的安全网关进行密钥交换协商，获取 OM IP地址并建立 IPSec隧道；如果 P_SeGW和 S_SeGW是同一个，该过程可以选择简化，直接使用歩骤 S802至歩骤 S804歩信息就可以了，不需要重新申请 OM IP地址。

歩骤 S809、无线接入设备通过与分配的提供服务的安全网关进行密钥交换协商完成接入认证。

歩骤 S810、拆除与 P-SeGW的临时 IPSec , P-SeGW回收临时管理 IP地址；该过程可以和歩骤 S807、歩骤 S808同时进行。

如图 9所示本发明实施例方式二的另一流程图，包括：

歩骤 S901至歩骤 S904同上述实施例中的歩骤 S701至歩骤 S704。

作为可选的，歩骤 S905 , 当歩骤 S901中预置的地址为丽 S的域名，则使用临时 OM IP地址和无线接入设备预置的丽 S域名去运营商内部 CN-DNS查询 NMS的地址。

歩骤 S906, 无线接入设备主动向丽 S系统发出请求 S-SeGW地址的消息。歩骤 S907, 丽 S系统根据相关信息为无线接入设备分配 S-SeGW, 并将该 S-SeGW的地址回复到无线接入设备；该过程中也可以附带下发其他配置参数，如使用场景， ASN-GW (Access Service Network-Gateway, 接入服务网络-网关）地址等信息。

歩骤 S908, 无线接入设备与上述分配的安全网关进行密钥交换协商，建立 IPSec隧道，获取 OM IP地址；如果 P_SeGW和 S_SeGW是同一个，该过程可以选择简化，直接使用歩骤 S902至歩骤 S904歩信息就可以了，不需要重新申请 OM IP地址。 S-SeGW向无线接入设备分配管理 IP地址。

歩骤 S909, 无线接入设备通过与分配的安全网关进行密钥交换协商完成接入认证；

歩骤 S910, 释放 P-SeGW分配的 IP地址，需要拆除临时 IPSec; 该过程可以和歩骤 S908、歩骤 S909同时进行。

通过上述歩骤，无线接入设备利用预配置的安全网关提供的临时管理 IP 地址向丽 S系统发送获取提供服务的安全网关的请求，并接收丽 S系统为其分配的提供服务的安全网关，通过与该提供服务的安全网关进行协商获得永久管理地址，由此实现了无线接入设备通过安全网关自动获取 IP地址，而且该方法对组网的依赖小。通过上述方式完成无线接入设备地址和安全网关地址的获取过程后，还可以进行网络自动匹配的过程，该过程丽 S系统需要将 ESN号对应的无线接入设备使用场景、 ASN-GW地址、企业 IPSec 使用情况等预先规划好，如图 10所示，包括：

歩骤 S1001、丽 S向无线接入设备主动下发 ASN-GW地址等信息；丽 S通过上述四种方式联系无线接入设备到之后，主动下发 ASN-GW地址等信息，该信息可以在临时 IPSec里面传输也可以在永久的 IPSec里面传输，消息下发的过程可以包含在丽 S系统第一次联系无线接入设备的时候，也可以通过多次交互最终由丽 S系统下发给无线接入设备。

信息的内容包括：无线接入设备的 BSID,无线接入设备使用场景选择（用户面布置 ASN-GW还是核心域布置 ASN-GW, 前者属于企业应用，后者属于热点地区应用和信号补盲应用），是否需要建立 R6 的 IPSec (是的话还包含 IPSec密钥下发）， ASN-GW地址（也可以包含邻区 ASN-GW的 GWID和地址）等；该过程也可以下发无线接入设备的信令地址和业务地址；

歩骤 S1002、无线接入设备判断是否需要建立 IPSec; 如果歩骤 S601 中下发的信息中是否携带需要建立加密通道的指示以及在建立加密通道时提供加密通道的密钥，则判断建立加密通道；如果是用户面布置 ASN-GW的场景，选择是否建立 IPSec可以满足不同企业的安全需求;如果是核心域布置 ASN-GW 的场景，不需要建立 IPSec , 直接使用临时建立的 IPSec通道。该过程根据场景和不同的企业需求来判断，特别需要注意的是无线接入设备信令 IP地址的选择是根据场景选择来判断的。

歩骤 S1003、无线接入设备判断使用场景，使用不同的信令 IP地址去联系 ASN- GW;

如果是用户面布置 ASN-GW 的场景，使用企业网分配的 IP 地址联系 ASN-GW; 如果是核心域布置 ASN-GW的场景，使用丽 S系统下发的信令地址 (该地址可以同无线接入设备的业务地址或 0M地址）联系 ASN-GW。

在用户面布置 ASN-GW的场景下，如果丽 S系统和 ASN-GW之间无法直接通信（如 ASN-GW和 NMS系统属于不同厂商或者 NMS系统穿越公网管理 ASN-GW, 对组网要求太多），则无线接入设备可以选择构造 R6新的消息联系 ASN-GW, 带上无线接入设备 BSID和 BSIP的绑定关系（也可以选择是否需要带上邻区 ASNGW的 GWID和 GW地址等信息，也可以选择是否带上邻区 BSID的信息）， ASN-GW收到该消息后，记录绑定关系，后续消息在 GW上面可以正常转发到 BS。如果丽 S系统和 ASN-GW之间可以直接通信，则可以由 NMS系统直接下发消息给 ASN-GW, 完成配置。该过程结束后，无线接入设备可以进行后续自动网规网优等歩骤。

本发明实施例提供的方法按照 ASN-GW处于用户面还是核心域的兼容场景来考虑。当 ASN-GW处于用户面时，主要解决企业应用时，企业内部业务流直接可以通过 ASN-GW路由回企业内部，不需要穿越 Internet的问题。当 ASN-GW 处于核心域时，主要解决 ASN-GW统一管理整网无线接入设备（包括宏基站和小型基站）的问题。并且，在一个网络里面 ASN-GW可以是多个，这两种场景也是可以同时并存的。本发明实施例还提供了一种网络设备，如图 11所示，包括：

第一发送模块 1103，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元分配管理 IP地址。第一接收模块 1104，用于接收所述 IP地址分配单元回复的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址。

该网络设备还可以包括：

第一协商模块 1101，用于根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道。所述第一发送模块 1103 通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

第一获取模块 1102，用于通过所述第一协商模块 1101进行的密钥交换协商，获取临时管理 IP地址。

上述第一发送模块 1103还用于以所述临时管理 IP地址为源地址，以预配置的以预配置的 IP地址分配单元地址为目的地址，发送请求分配管理 IP 地址的信息。

该网络设备还可以包括：

第一释放模块 1105，用于释放临时管理 IP地址。

上述第一获取模块 1102还用于当预配置的 IP地址分配单元地址为域名地址时，获取核心网域名服务器的地址。

该网络设备还可以包括：

第一加密通道拆除模块 1106，用于拆除所述第一协商模块 1101建立的临时加密通道。

上述第一接收模块 1104接收的报文中还携带提供服务的安全网关的 IP 地址，所述提供服务的安全网关由 IP地址分配单元或网元管理系统指定并为其分配 IP地址。

上述网络设备还包括：

第二协商模块 1107，用于根据所述第一接收模块 1104接收的报文中携带的提供服务的安全网关的地址，与所述提供服务的安全网关进行密钥交换协商，建立加密通道。本发明实施例提供的网络设备的类型包括：基站或基站控制器。

通过本发明实施例提供的网络设备，第一发送模块利用第一获取模块获取的临时管理 IP地址向 IP地址分配单元请求分配管理 IP地址，并利用第一接收模块接收 ip地址分配单元回复的管理 ip地址，由此利用上述模块实现了无线接入设备自动获取管理 IP地址。本发明实施例还提供了一种网络设备，如图 12所示，包括：

第二发送模块 1203，用于通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求 IP地址分配单元返回提供服务的安全网关地址的信息。

第二接收模块 1204，用于接收所述 IP地址分配单元回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址，并获取所述提供服务的安全网关分配的管理 IP地址。

该网络设备还包括：

第三协商模块 1201，用于根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道。所述第二发送模块 1203 通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

第四协商模块 1205，用于与所述提供服务的安全网关进行密钥交换协商，建立加密通道。

第二获取模块 1202，用于通过所述第三协商模块 1201进行的密钥交换协商，获取临时管理 IP地址；

上述第二发送模块 1203还用于以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求服务的安全网关地址的信息。

该网络设备还包括：

第二释放模块 1206，用于释放临时的管理地址。上述第二获取模块 1202还用于当预配置的 IP地址分配单元地址为域名地址时，获取核心网域名服务器的地址。

该网络设备还包括：

第二加密通道拆除模块 1207，用于拆除所述第三协商模块 1201建立的临时加密通道。

通过本发明实施例提供的网络设备，第三发送模块利用第三获取模块获取的临时管理 IP地址向 IP地址分配单元发送获取提供服务的安全网关的请求，并接收 IP地址分配单元为其分配的提供服务的安全网关，通过第四协商模块与该提供服务的安全网关进行协商获得管理地址，由此实现了无线接入设备通过安全网关自动获取 IP地址，而且该方法对组网的依赖小。本发明实施例还提供了一种网络设备，如图 13所示，包括：

信息接收模块 1301，用于接收来自网元管理单元的信息；

信息判断模块 1302，用于根据所述信息接收模块 1301接收的信息，判断应用场景；

信息处理模块 1303，用于根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备被所述网关所控制。

该网络设备还包括：

第二信息判断模块 1304，用于在所述信息判断模块 1302判断应用场景前，根据所述信息接收模块 1301接收的信息判断是否需要建立加密通道；

第二信息处理模块 1305，用于在所述第二信息判断模块 1304判断需要建立加密通道时，建立加密通道，所述信息处理模块与网关之间的通信在所述该加密通道中进行。

上述实施例中提供的网络设备的类型包括：基站或基站控制器。

通过本发明实施例提供的网络设备，信息判断模块根据信息接收模块接收的信息判断应用场景，然后信息处理模块根据应用场景进行不同的安全策略和处理流程，由此可以使无线接入设备兼容不同的应用场景。本发明实施例还提供了一种网络系统，如图 14所示，包括：

无线接入设备 1401，用于通过预配置的安全网关向 IP地址分配单元 1402 发送请求消息，以请求 IP地址分配单元 1402分配管理 IP地址；接收所述 IP 地址分配单元 1402 回复的响应信息，所述响应信息中携带为无线接入设备

1401分配的管理 IP地址。

IP地址分配单元 1402，用于根据所述请求消息生成携带管理 IP地址的响应信息。

预配置的安全网关 1403，用于将所述无线接入设备 1401的请求消息发送给所述 IP地址分配单元 1402，并将所述携带管理 IP地址的响应信息返回给所述无线接入设备 1401。

其中，所述无线接入设备 1401还可以在与预配置的安全网关 1403建立临时加密通道后获取临时管理 IP地址；以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，向 IP地址分配单元 1020发送请求分配管理 IP地址的信息。

作为本发明的一个实施例，所述无线接入设备 1401还用于，根据预配置的安全网关 1403的地址，与所述预配置的安全网关 1403进行密钥交换协商，建立临时加密通道；通过与所述预配置的安全网关之间的临时加密通道向 IP 地址分配单元发送请求消息。

该网络系统，还包括：

核心网域名服务器 1404，用于接收来自所述无线接入设备 1401获取所述 I P地址分配单元 IP地址的信息，并向所述无线接入设备 1401回复所述 IP地址分配单元的 IP地址；

提供服务的安全网关 1405，用于与所述无线接入设备 1401进行密钥交换协商，完成所述无线接入设备的接入认证。

上述预配置的安全网关 1403与提供服务的安全网关 1405可以集成在一起，也可以作为独立的个体分离使用；而且预配置的安全网关 1403或提供服务的安全网关 1405可以与无线接入设备 1401集成在一起。

无线接入设备通过与预配置的安全网关进行协商获取临时管理 IP地址，再以该临时管理 IP地址为源地址向 IP地址分配单元请求分配管理 IP地址，由此实现了无线接入设备自动获取管理 IP地址，而且 IP地址分配单元还可以下发无线接入设备业务地址等信息。本发明实施例还提供了一种网络系统，如图 15所示，包括：

无线接入设备 1501，用于通过预配置的安全网关向 IP地址分配单元 1502 发送请求消息，以请求 IP地址分配单元 1502返回提供服务的安全网关地址的信息；接收所述 IP地址分配单元 1502回复的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址。

IP地址分配单元 1502，用于接收来自所述无线接入设备 1501的请求返回提供服务的安全网关 1505地址的信息，向所述无线接入设备 1501回复携带提供服务的安全网关 1505IP地址的响应信息。

预配置的安全网关 1503，用于将所述无线接入设备 1501的请求消息发送给所述 IP地址分配单元 1502，并将所述携带提供服务的安全网关 1505IP地址的响应信息返回给所述无线接入设备 1501。

提供服务的安全网关 1505，用于为所述无线接入设备 1501分配管理 IP地址。

所述无线接入设备 1501还用于，根据预配置的安全网关 1503的地址，与所述预配置的安全网关 1503进行密钥交换协商，建立临时加密通道；通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元 1502发送请求消息。还用于，与所述提供服务的安全网关 1505进行密钥交换协商，建立加密通道。

该网络系统还包括：

核心网域名服务器 1504，用于接收来自所述无线接入设备 1501获取所述 I P地址分配单元 IP地址的信息，并向所述无线接入设备 1501回复所述 IP地址分配单元的 IP地址；

预配置的安全网关 1503，用于与所述无线接入设备 1501进行密钥交换协商，向所述无线接入设备 1501提供临时管理 IP地址。

上述预配置的安全网关 1503与提供服务的安全网关 1505可以集成在一起，也可以作为独立的个体分离使用；而且预配置的安全网关 1503或提供服务的安全网关 1505可以与无线接入设备 1501集成在一起。

无线接入设备通过与预配置的安全网关进行协商获取临时管理 IP地址，再以该临时管理 IP地址为源地址向 IP地址分配单元请求分配提供服务的安全网关的地址，然后通过与提供服务的安全网关进行协商，获取管理 IP地址，由此实现了无线接入设备自动获取管理 IP地址。预配置的安全网关有可能就是提供服务的安全网关，那么临时管理 IP地址即可作为管理 IP地址来使用。本发明实施例还提供了一种网络系统，如图 16所示，包括

网络管理单元 1602，用于向无线接入设备 1601发送信息；

无线接入设备 1601，用于接收来自所述网元管理单元 1602的信息；根据所述信息判断应用场景；根据所述应用场景相应的信令 IP地址，将无线接入设备识别码与无线接入设备 IP的绑定关系通知网关，所述无线接入设备 1601 被所述网关所控制；

网络管理单元 1602，用于向所述无线接入设备 1601下发信息。

上述网络管理单元 1602下发的信息中包括应用场景、或接入服务网络-网关地址、或无线接入设备识别码、或信令地址、或业务地址、或邻区的接入服务网络 -网关 GW ID和地址；若所述信息中携带需要建立加密通道的指示以及在建立加密通道时提供加密通道的密钥，则无线接入设备建立加密通道。无线接入设备根据网元管理单元下发的信息判断应用场景，并根据应用场景进行不同的安全策略和处理流程，由此可以使无线接入设备兼容不同的应用场景。

通过本发明实施例提供的方法和装置实现了在常用组网情况下无线接入设备即插即用功能的 IP地址自动发现的过程，主要包括 P_SeGW、 S-SeGW, M2000/DHCP Server, ASN-GW等网元的地址自动发现的过程，以及无线接入设备获得自身信令网管等 IP地址的过程。而且在即插即用的前提下可兼容无线接入设备的两种主要使用场景。

本发明实施例提供的方法对组网的依赖较小，对 WiMAX 的网管及无线接入设备网元以外的设备要求少，可实施性强，如果局方没有特殊要求的话，甚至 ASN-GW和 AAA等设备都可以不需要网管统一管理，就能实现自动获取管理地址过程。信令和数据交互都可以采用 IPSec 加密，并且在无线接入设备即插即用前提下可以满足不同企业用户和热点地区用户的不同加密策略。该过程中无线接入设备的认证可以采用 EAP-TLS的方法，满足 WiMAX的现状，后续终端认证也可以是基于数字证书的认证。

本发明实施例提供的方法歩骤之后还可以进行 WiMAX PICO的自动配置、自动网规网优等，为无线接入设备下面的用户实现自动入网提供了先决条件。

本发明实施例提供的方法可应用于其他接入点设备实现自动接入网络和自动配置下发的流程，如 UMTS AP, WiMAX Femto基站、 WiMAX宏基站等设备。

通过本发明实施例提供的方法和网络设备，根据预配置的安全网关的地址，与预配置的安全网关进行密钥交换协商，获取分配的临时管理 IP地址；以所述临时管理 IP地址为源地址，以预先配置的动态主机配置协议服务器地址为目的地址，发送请求分配管理 IP地址和服务安全网关的信息，或以所述临时管理 IP地址为源地址，以预先配置的网元管理系统地址为目的地址，发送请求分配服务的安全网关地址的信息，而后向服务的安全网关请求分配管理 IP地址。由此可以使无线接入设备上电后获得自动分配的管理地址。

同时无线接入设备接收到网元管理单元下发的信息后，根据信息判断无线接入设备的应用场景，然后使用与应用场景相应的信令 IP地址通知接入服务网络-网关所控制的无线接入设备识别码与无线接入设备 IP 的绑定关系，由此使系统可以根据不同的应用场景采取不同的安全策略和处理流程，使无线接入设备兼容不同的应用场景，灵活性更高。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分歩骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的歩骤，而前述的存储介质包括： R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一歩详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种无线接入设备获取管理地址的方法，其特征在于，包括：通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP 地址分配单元分配管理 IP地址；

接收来自所述 ip地址分配单元的响应信息，所述响应信息中携带为无线接入设备分配的管理 IP地址。

2、如权利要求 1所述的方法，其特征在于，所述通过预配置的安全网关向 IP地址分配单元发送请求消息之前包括：

根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

3、如权利要求 2所述的方法，其特征在于，所述发送的请求消息为请求分配管理 IP地址的广播消息。

4、如权利要求 2所述的方法，其特征在于，在所述建立临时加密通道后还包括获取临时管理 IP地址；

所述通过与所述预配置的安全网关的所述临时加密通道向 IP地址分配单元发送请求消息包括：

以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求分配管理 IP地址的消息。

5、如权利要求 4所述的方法，其特征在于，还包括：

获取核心网域名服务器的地址；

当预配置的 IP地址分配单元地址为域名地址时，根据所述核心网域名服务器地址查询所述预配置的 IP地址分配单元的 IP地址。

6、如权利要求 3或 4所述的方法，其特征在于，在所述 IP地址分配单元接收到所述请求分配管理 IP地址的消息之后，通知网元管理系统为该请求的无线接入设备分配管理 IP地址。

7、如权利要求 3或 4所述的方法，其特征在于，所述来自 IP地址分配单元的响应信息中还携带提供服务的安全网关的 IP地址，所述提供服务的安全网关由 IP地址分配单元或网元管理系统指定并为其分配 IP地址。

8、如权利要求 3或 4所述的方法，其特征在于，所述预配置的 IP地址分配单元回复的响应信息中还携带无线接入设备的信令地址或业务地址，网络匹配时以所述信令地址或业务地址为源地址与网关进行通信。

9、一种无线接入设备获取管理地址的方法，其特征在于，包括：通过预配置的安全网关向 IP地址分配单元发送请求消息，以请求所述 IP 地址分配单元返回提供服务的安全网关地址的信息；

接收来自所述 IP地址分配单元的响应信息，所述信息中携带为无线接入设备分配的提供服务的安全网关 IP地址；

从所述提供服务的安全网关获取管理 IP地址。

10、如权利要求 9所述的方法，其特征在于，通过预配置的安全网关向 IP地址分配单元发送请求消息之前包括：

根据预配置的安全网关的地址，在与所述预配置的安全网关进行密钥交换协商，建立临时加密通道，通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息；

在从所述提供服务的安全网关获取管理 IP地址中还包括：

与所述提供服务的安全网关进行密钥交换协商，建立加密通道。

11、如权利要求 10所述的方法，其特征在于，通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元广播请求消息。

12、如权利要求 10所述的方法，其特征在于，在根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道之后还包括，获取临时管理 IP地址；

通过与所述预配置的安全网关的所述临时加密通道向 IP地址分配单元发送请求消息中包括，以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求返回提供服务的安全网关地址的信息。

13、如权利要求 12所述的方法，其特征在于，还包括：

获取核心网域名服务器的地址；

当预配置的 IP地址分配单元地址为域名地址时，根据所述核心网域名服

14、一种网络设备，其特征在于，包括：

15、如权利要求 14所述的网络设备，其特征在于，还包括：第一协商模块，用于根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道；所述第一发送模块通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

16、如权利要求 15所述的网络设备，其特征在于，还包括：第一获取模块，用于在所述第一协商模块建立临时加密通道后获取临时管理 IP地址；所述第一发送模块，还用于以所述临时管理 IP地址为源地址，以预配置的以预配置的 IP地址分配单元地址为目的地址，发送请求分配管理 IP地址的信息。

17、如权利要求 16所述的网络设备，其特征在于，所述第一获取模块还用于当预配置的 IP地址分配单元地址为域名地址时，获取核心网域名服务器的地址。

18、如权利要求 16所述的网络设备，其特征在于，所述第一接收模块接收的报文中还携带提供服务的安全网关的 IP地址，所述提供服务的安全网关由 IP地址分配单元或网元管理系统指定并为其分配 IP地址。

19、如权利要求 18所述的网络设备，其特征在于，还包括：

第二协商模块，用于根据所述第一接收模块接收的报文中携带的提供服务的安全网关的地址，与所述提供服务的安全网关进行密钥交换协商，建立加密通道。

20、一种网络设备，其特征在于，包括：

21、如权利要求 20所述的网络设备，其特征在于，还包括：第三协商模块和第四协商模块；

所述第三协商模块，用于根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道；所述第二发送模块通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息；

所述第四协商模块，用于与所述提供服务的安全网关进行密钥交换协商，建立加密通道。

22、如权利要求 21所述的网络设备，其特征在于，还包括：第二获取模块，用于在所述第三协商模块建立临时加密通道后获取临时管理 IP地址；所述第二发送模块，还用于以所述临时管理 IP地址为源地址，以预配置的 IP地址分配单元地址为目的地址，发送请求服务的安全网关地址的信息。

23、如权利要求 22所述的网络设备，其特征在于，所述第二获取模块还用于当预配置的 IP地址分配单元地址为域名地址时，获取核心网域名服务器的地址。

24、一种网络设备，其特征在于，包括：

信息接收模块，用于接收来自网元管理单元的信息；

25、如权利要求 24所述的网络设备，其特征在于，还包括：

第二信息判断模块，用于在所述信息判断模块判断应用场景前，根据所述信息接收模块接收的信息判断是否需要建立加密通道；

第二信息处理模块，用于在所述第二信息判断模块判断需要建立加密通道时，建立加密通道，所述信息处理模块与网关之间的通信在所述该加密通道中进行。

26、一种网络系统，其特征在于，包括：

预配置的安全网关，用于将所述无线接入设备的请求消息发送给所述 IP 地址分配单元，将所述携带管理 IP地址的响应信息返回给所述无线接入设备。

27、如权利要求 26所述的网络系统，其特征在于，所述无线接入设备还用于，根据预配置的安全网关的地址，与所述预配置的安全网关进行密钥交换协商，建立临时加密通道；通过与所述预配置的安全网关之间的临时加密通道向 IP地址分配单元发送请求消息。

28、如权利要求 27所述的网络系统，其特征在于，所述预配置的安全网关，还用于生成临时管理 IP地址返回给所述无线接入设备；

所述无线接入设备还用于以所述临时管理 IP地址为源地址，以预配置的 I P地址分配单元地址为目的地址，向 IP地址分配单元发送请求分配管理 IP地址的消息。

29、如权利要求 26所述的网络系统，其特征在于，还包括：

核心网域名服务器，用于接收来自所述无线接入设备获取所述 IP地址分配单元 IP地址的信息，向所述无线接入设备回复所述 IP地址分配单元的 IP地址；

提供服务的安全网关，用于与所述无线接入设备进行密钥交换协商，建立加密通道，完成所述无线接入设备的接入认证。

30、一种网络系统，其特征在于，包括：

所述提供服务的安全网关，用于为所述无线接入设备分配管理 IP地址。

31、如权利要求 30所述的网络系统，其特征在于，还包括：核心网域名服务器，用于接收来自所述无线接入设备获取所述 IP地址分配单元 IP地址的信息，向所述无线接入设备回复所述 IP地址分配单元的 IP地址。

32、一种网络系统，其特征在于，包括：

网络管理单元，用于向无线接入设备发送信息；

33、如权利要求 32所述的网络系统，其特征在于，所述网络管理单元向所述无线接入设备发送的信息包括：应用场景、或网关地址、或无线接入设备识别码、或信令地址、或业务地址、或邻区的网关标识或地址。