WO2014040235A1

WO2014040235A1 - 移动回传网络中的通信方法、设备和系统

Info

Publication number: WO2014040235A1
Application number: PCT/CN2012/081268
Authority: WO
Inventors: 刘利锋; 孟健; 王雨晨
Original assignee: 华为技术有限公司
Priority date: 2012-09-12
Filing date: 2012-09-12
Publication date: 2014-03-20
Also published as: US20150079931A1; EP2836000A4; EP2836000A1; CN103959834A

Abstract

一种移动回传网络中的通信方法、设备和系统，用以解决现有技术在LTE 场景下，无法保证回传网络中通信安全性的问题。该方法包括：第一网络节点向所述移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中第二网络节点的安全信息；所述第一网络节点接收所述控制服务器返回的所述第二网络节点的安全信息；所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信，使得移动回传网络中的两个网络节点之间可以进行安全通信，保证了网络节点之间通信的安全性。

Description

移动回传网络中的通信方法、设备和系统

技术领域

本发明涉及计算机及通信技术领域，尤其涉及一种移动回传网络中的通信方法、设备及一种移动回传网络中的通信系统。背景技术

随着互联网技术的发展，移动宽带技术已经成为现实，移动宽带技术是指人们可以通过移动通信网络来实现高速接入互联网的技术。这一技术改变了人们使用互联网的习惯，人们可以随时随处通过移动通信网络接入互联网，而不是只能通过办公室、或住所内的固定网络接口接入互联网。可以预见，在不久的将来，移动宽带业务的发展速度将会远远超过固定宽带业务。

随着移动通信技术的更新换代，长期演进（ Long Term Evolution, 简称： LTE ) 已经成为将来的发展方向以及全球各大运营商的共同选择。 LTE是一个高数据传输速率、低时延和基于全分组的移动通信系统。 LTE 时期移动回传网络中各基站之间、基站与核心网设备之间釆用互联网协议（ Internet Protocol , 简称： IP )来进行通信，与 2G、 3G时期移动回传网络中各网络节点之间釆用异步传输模式（Asynchronous Transfer Mode, 简称： ATM )进行通信相比，一方面具有开放、高速的优点，另一方面由于 IP网络的开放性也带来了安全性方面的风险，例如恶意用户可能通过镜像技术获取基站与核心网设备之间、以及各基站之间的流量，进而通过流量解析获得其中携带的用户机密数据；或者对目标用户流量中的数据进行篡改，将篡改后生成的流量再发回到网络中等等。

发明人在实现本发明的过程中，发现现有技术至少存在以下技术问题：无法保证在 LTE场景下，移动回传网络中各网络节点之间通信的安全性。发明内容本发明实施例提供一种移动回传网络中的通信方法、一种移动回传网络中的通信系统，用以解决现有技术在 LTE场景下，无法保证回传网络中通信安全性的问题。

对应地，本发明实施例还提供了一种移动回传网络中的网络节点和移动回传网络中的控制服务器。

第一方面，提供了一种移动回传网络中的通信方法，包括：

第一网络节点向所述移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中第二网络节点的安全信息；

所述第一网络节点接收所述控制服务器返回的所述第二网络节点的安全信息；

所述第一网络节点根据所述第二网络节点的安全信息 ,与所述第二网络节点建立安全隧道以进行通信。

在所述第一方面的第一种可能的实现方式中，还包括：

所述第一网络节点向所述控制服务器上报所述第一网络节点的安全信息，所述第一网络节点的安全信息用于使所述第二网络节点得到该安全信息后，与所述第一网络节点建立所述安全隧道。

在所述第一方面或第一方面的第一种可能的实现方式中，还提供了所述第一方面的第二种可能的实现方式，所述第一网络节点向所述移动回传网络中的控制服务器发送请求消息之前，还包括：

所述第一网络节点通过所述控制服务器认证后，与所述控制服务器建立双向连接通道；

所述第一网络节点通过所述双向连接通道向所述控制服务器发送保活消息，以确认所述控制服务器是否处于存活状态。

在所述第一方面、第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式中，所述第二网络节点的安全信息包括 IP地址、开放服务的端口标识、支持的隧道类型、隧道认证方式、公钥证书中的至少之一。

在所述第一方面、第一方面的第一种可能的实现方式至第一方面的第三种可能的实现方式中，所述第一网络节点包括以下至少之一：基站和核心网设备；所述第二网络节点包括以下至少之一：基站和核心网设备。

第二方面，提供了一种移动回传网络中的通信方法，包括：

控制服务器接收所述移动回传网络中的第一网络节点发送的请求消息，所述请求消息用于请求所述移动回传网络中的第二网络节点的安全信息；所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，以使得所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

在所述第二方面的第一种可能的实现方式中，所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，包括：

所述控制服务器确认所述第一网络节点具备与所述第二网络节点通信的权限时，查找存储的网络节点的安全信息，以获取所述第二网络节点的安全信息，向所述第一网络节点返回所述第二网络节点的安全信息。

在所述第二方面的第一种可能的实现方式中，还提供了所述第二方面的第二种可能的实现方式，所述查找存储的所述第二网络节点的安全信息之前，还包括：

所述控制服务器接收所述第二网络节点上报的所述第二网络节点的安全信息并存储。

在所述第二方面的第三种可能的实现方式中，所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，包括：所述控制服务器确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述请求消息转发给所述第二网络节点；

所述控制服务器接收所述第二网络节点返回的所述第二网络节点的安全信息；

所述控制服务器向所述第一网络节点返回所述第二网络节点的安全信息。在所述第二方面、所述第二方面的第一种可能的实现方式、所述第二方面的第二种可能的实现方式、或所述第二方面的第三种可能的实现方式中，还提供了所述第二方面的第四种可能的实现方式，还包括：

所述控制服务器接收所述第一网络节点上报的所述第一网络节点的安全信息，所述第一网络节点的安全信息用于使所述第二网络节点得到该安全信息后，与所述第一网络节点建立所述安全隧道。

在所述第二方面、所述第二方面的第一种可能的实现方式、所述第二方面的第二种可能的实现方式、所述第二方面的第三种可能的实现方式或所述第二方面的第四种可能的实现方式中，还提供了所述第二方面的第五种可能的实现方式，所述控制服务器接收所述移动回传网络中的第一网络节点发送的请求消息之前，还包括：

所述控制服务器对所述第一网络节点认证通过后，与所述第一网络节点建立双向连接通道；

所述控制服务器通过所述双向连接通道向所述第一网络节点发送保活消息，以确认所述第一网络节点是否处于存活状态。

第三方面，提供了一种网络节点，应用于移动回传网络中，包括：发送单元，用于向所述移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中另一网络节点的安全信息；

接收单元，用于接收所述控制服务器根据所述发送单元发送的请求消息对应返回的所述另一网络节点的安全信息；

通信单元，用于根据接收单元接收的所述另一网络节点的安全信息，与所述另一网络节点建立安全隧道以进行通信。

在所述第三方面的第一种可能的实现方式中，还包括：

上报单元，用于向所述控制服务器上报本网络节点的安全信息，所述本网络节点的安全信息用于使所述另一网络节点得到该安全信息后，与本网络节点建立所述安全隧道。

在所述第三方面、或第三方面的第一种可能的实现方式中，提供了所述第三方面的第二种可能的实现方式，还包括：

建立单元，当所述网络节点通过所述控制服务器认证后，用于与所述控制服务器建立双向连接通道；

确认单元，用于通过所述双向连接通道接收所述控制服务器周期性发送的保活消息，确认所述控制服务器处于存活状态；

若所述确认单元确认所述控制服务器处于存活状态，则所述发送单元发送所述请求消息。

在第四方面，还提供了一种控制服务器，应用于移动回传网络中，包括：接收单元，用于接收所述移动回传网络中的第一网络节点发送的请求消息 , 所述请求消息用于请求所述移动回传网络中的第二网络节点的安全信息；提供单元，用于根据所述请求消息，将所述第二网络节点的安全信息提供给所述第一网络节点，以使得所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

在所述第四方面的第一种可能的实现方式中，所述提供单元包括：鉴权子单元，用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

查找子单元，用于在所述鉴权子单元确认所述第一网络节点具备与所述第二网络节点通信的权限时，查找存储的网络节点的安全信息，以获取所述第二网络节点的安全信息；

发送子单元，用于向所述第一网络节点返回查找子单元查找到的所述第二网络节点的安全信息。

在所述第四方面的第二种可能的实现方式中，所述提供单元包括：鉴权子单元，用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

转发子单元，用于在鉴权子单元确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述请求消息转发给所述第二网络节点；接收所述第二网络节点返回的所述第二网络节点的安全信息，向所述第一网络节点返回所述第二网络节点的安全信息。

在所述第四方面、所述第四方面的第一种可能的实现方式、或所述第四方面的第二种可能的实现方式中，还提供了所述第四方面的第三种可能的实现方式，还包括：

建立单元，用于对所述第一网络节点认证通过后，与所述第一网络节点建立双向连接通道；

确认单元，用于通过建立单元建立的所述双向连接通道向所述第一网络节点发送保活消息，以确认所述第一网络节点是否处于存活状态；

若所述确认单元确认所述第一网络节点是否处于存活状态，则所述提供单元用于将所述第二网络节点的安全信息提供给所述第一网络节点。

第五方面，提供了一种网络节点，应用于移动回传网络中，包括存储器和处理器，其中：

所述存储器被配置存储代码；

所述处理器被配置读取存储器中存储的代码，执行第一方面或第一方面的任意一种可能的实现方式所述的通信方法。

第六方面，提供了一种控制服务器，应用于移动回传网络中，包括存储器和处理器，其中：

所述存储器被配置存储代码；

所述处理器被配置读取存储器中存储的代码，执行如第二方面或第二方面的任意一种可能的实现方式所述的通信方法。

第七方面，提供了一种移动回传网络中的通信系统，包括至少两个所述第五方面的网络节点和至少一个所述第六方面的控制服务器。

本发明实施例通过在移动回传网络中增加一个控制服务器，移动回传网络中的第一网络节点通过向所述移动回传网络中的控制服务器发送请求消息，获取所述控制服务器返回的所述第二网络节点的安全信息，从而能够根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信，从而能够保证各网络节点之间通信的安全性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1 为本发明实施例一提供的移动回传网络中的通信方法的应用场景示意图；

图 2为本发明实施例一提供的移动回传网络中的通信方法的第一流程图；图 3a为本发明实施例一提供的第一流程图中第一网络节点与第二网络节点建立安全隧道的第一种实现方式流程图；

图 3b为本发明实施例一提供的第一流程图中第一网络节点与第二网络节点建立安全隧道的第二种实现方式流程图；

图 3c为本发明实施例一提供的第一流程图中第一网络节点与第二网络节点建立安全隧道的第三种实现方式流程图；

图 4为本发明实施例一提供的移动回传网络中的通信方法的第二流程图；图 5为本发明实施例一提供的移动回传网络中的通信方法的第三流程图；图 6a为本发明实施例一提供的第三流程图中将第二网络节点的安全信息提供给第一网络节点的第一种实现方式流程图；

图 6b为本发明实施例一提供的第三流程图中将第二网络节点的安全信息提供给第一网络节点的第二种实现方式流程图；

图 6c为本发明实施例一提供的第三流程图中将第二网络节点的安全信息提供给第一网络节点的第三种实现方式流程图；

图 6d为本发明实施例一中网络节点与控制服务器之间交互消息的格式示意图；

图 6e为本发明实施例一中网络节点与控制服务器之间交互消息的示例；图 7为本发明实施例一提供的移动回传网络中的通信方法的第四流程图；图 8a为本发明实施例二提供的网络节点的第一种结构示意图；

图 8b为本发明实施例二提供的网络节点的第二种结构示意图；图 9a为本发明实施例二提供的控制服务器的第一种结构示意图；图 9b为本发明实施例二提供的控制服务器的第二种结构示意图；图 9c为本发明实施例二提供的控制服务器的第三种结构示意图；图 9d为本发明实施例二提供的控制服务器的第四种结构示意图；图 10为本发明实施例提供的网络节点的构造示意图；

图 11为本发明实施例提供的控制服务器的构造示意图。具体实施方式

下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。

实施例一

附图 1 为本发明实施例提供的移动回传网络中的通信方法的应用场景示意图。

移动回传网络，也被称为移动回程网络，是实现移动宽带技术中的重要组成部分，在 LTE场景下，具体是指基站（ eNodeB或 eNB )到核心网设备之间、以及各基站之间的网络，其中核心网设备包括移动性管理实体（ Mobility Management Entity, 简称： MME )或服务网关（ Serving GW, 简称： S-GW ) 等等，在不同组网场景下核心网设备也会有所不同，在本实施例中仅以 MME 和 S-GW为例进行说明。移动回传网络中传输的数据流量包括 eNB与核心网设备之间 S 1接口的流量、以及两个 eNB之间 X2接口的流量。

本实施例以 LTE网络为例进行说明 , 但本发明并不对此进行限定。

本实施例在移动回传网络中增加了一个控制服务器，该控制服务器可以分别与各 eNB、各核心网设备通信。在本发明实施例中，基站或核心网设备可以称为网络节点。该控制服务器用于在移动回传网络中的第一网络节点需要与第二网络节点通信时，向第一网络节点提供第二网络节点的安全信息，使得第一网络节点可以根据第二网络节点安全信息与所述第二网络节点建立安全隧道以进行通信。从而使得移动回传网络中的两个网络节点之间可以按需动态建立安全通信连接。

附图 2从附图 1 中的一个网络节点的角度，对本实施例提供的移动回传网络中的通信方法进行介绍。附图 2中的网络节点可以为 eNB或核心网设备。本发明实施例中的第一网络节点和第二网络节点并不是表示顺序关系，而是为了区别不同的网络节点。

步骤 20, 第一网络节点向移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中第二网络节点的安全信息。

可选地，安全信息包括但不限于 IP地址、开放服务的端口标识、支持的隧道类型、隧道认证方式、公钥证书中的至少之一、或几种的组合。第一网络节点可以根据所述第二网络节点的一种安全信息、或几种安全信息的组合，与所述第二网络节点建立安全隧道，如虚拟专用网络（ Virtual Private Network , 简称： VPN ) 隧道。

步骤 21 , 第一网络节点接收所述控制服务器返回的第二网络节点的安全信息。

步骤 22, 第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

下面给出了几种附图 2中的移动回传网络中的通信方法的具体实现方式，以第一网络节点为 eNBl与第二网络节点为 MME1为例来进行说明，实际上第一网络节点和第二网络节点可以是附图 1中 eNB、 MMEl或 S-GW1的任何一个，同一个网络节点可以在第一次通信时作为第一网络节点，在第二次通信时作为第二网络节点，在这里不进行限制：

方式 1 : 具体流程如附图 3a所示。

步骤 201 , 第一网络节点向控制服务器发送信息查询请求消息，所述信息查询请求消息用于查询所述移动回传网络中的第二网络节点的安全信息。

所述信息查询请求消息中可以携带第二网络节点的标识，如设备标识、域名等。例如， eNBl 向控制服务器发送携带有 MME1设备标识的信息查询请求消息。步骤 202,所述第一网络节点接收所述控制服务器返回的所述第二网络节点的安全信息。

所述控制服务器接收到所述信息查询请求消息后，对所述第一网络节点进行鉴权，确认所述第一网络节点是否具备与所述第二网络节点通信的权限，在确认所述第一网络节点具备与所述第二网络节点通信的权限时，从存储的各网络节点的安全信息中，查找第二网络节点的安全信息，向所述第一网络节点返回查找到的所述第二网络节点的安全信息。可选地，所述控制服务器中存储的第二网络节点的安全信息是所述第二网络节点预先上报的。

例如， eNBl接收控制服务器返回的 MME1的 IP地址、支持的隧道类型、隧道认证方式和公钥证书。控制服务器中存储的 MME1 的安全信息是此前 MME1上报给控制服务器的。

步骤 203 , 所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道进行通信。

例如， eNBl根据 MME1的 IP地址、支持的隧道类型、隧道认证方式和公钥证书，与 MME1建立安全隧道 channelll , 后续 eNBl和 MME1可以通 i channel 11来进行通信交互数据。

方式 2: 具体流程如附图 3b所示。

步骤 211 , 第一网络节点向控制服务器发送通信建立请求消息，所述通信建立请求消息被所述控制服务器转发给第二网络节点。

所述通信建立请求消息中可以携带第二网络节点的标识，如设备标识、域名等。例如， eNBl 向控制服务器发送携带有 MME1设备标识的通信建立请求消息。

步骤 212, 所述控制服务器接收到所述通信建立请求消息后，对所述第一网络节点进行鉴权，确认所述第一网络节点是否具备与所述第二网络节点通信的权限，在确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述通信建立请求消息转发给所述第二网络节点。本实施例中，控制服务器接收到 eNBl发送的通信建立请求消息，并确认 eNBl具备与 MME1通信的权限时，将通信建立请求消息转发给 MME1。

步骤 213 ,所述控制服务器接收到来自于所述第二网络节点的第二应答消息；

步骤 214, 所述第一网络节点接收所述控制服务器发送的第一应答消息，所述第一应答消息是所述控制服务器接收到来自于所述第二网络节点的第二应答消息后，将存储的所述第二网络节点的安全信息携带在所述第二应答消息中生成的。

所述第二应答消息是第二网络节点在接收到通信建立请求消息后发送的，所述控制服务器在接收到第二应答消息后，将存储的所述第二网络节点的安全信息携带在所述第二应答消息中生成的第一应答消息，并将第一应答消息发送给第一网络节点。假如， eNBl接收到的第一应答消息中携带 MME1 的安全信息。

步骤 215 ,所述第一网络节点根据所述第一应答消息中携带的所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道进行通信。

方式 3: 具体流程如附图 3c所示。

步骤 221 ,第一网络节点向所述移动回传网络中的控制服务器发送通信建立请求消息，所述通信建立请求消息用于请求与所述移动回传网络中的第二网络节点通信。例如， eNBl在需要与 MME1通信时， eNBl向控制服务器发送携带有 MME1设备标识的通信建立请求消息。

步骤 222,所述控制服务器在确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述通信建立请求消息转发给所述第二网络节点。

所述控制服务器在接收到所述通信建立请求消息后，对所述第一网络节点进行鉴权，确认所述第一网络节点是否具备与所述第二网络节点通信的权限，在确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述通信建立请求消息转发给所述第二网络节点。如，控制服务器在确认 eNBl 具备与 MME1通信的权限时，将所述通信建立请求消息转发给 MME1。

步骤 223 , 所述控制服务器接收第二网络节点发来的应答消息，并将该应答消息转发给第一网络节点。第二网络节点在接收到通信建立请求消息时，向所述控制服务器返回携带有第二网络节点的安全信息的应答消息，该应答消息被控制服务器转发给第一网络节点。例如， MME1 接收到来自于 eNBl 的通信建立请求消息时，向控制服务器返回携带有 MME1的安全信息的应答消息，该应答消息通过控制服务器转发给 eNBl。

步骤 224，所述第一网络节点接收所述控制服务器转发的来自于所述第二网络节点的应答消息。

步骤 225，所述第一网络节点根据所述应答消息中携带的第二网络节点的安全信息与所述第二网络节点建立安全隧道以进行通信。

可选地，在附图 2所示的方法中，还包括：

第一网络节点向所述控制服务器上报所述第一网络节点的安全信息，所述安全信息用于使所述移动回传网络中的其他网络节点根据此信息，与所述第一网络节点建立所述安全隧道，例如使第二网络节点得到该安全信息后，与所述第一网络节点建立所述安全隧道。

可选地，请参照附图 4, 在附图 2所示的方法中的步骤 21之前，还包括：步骤 10, 第一网络节点通过控制服务器对所述第一网络节点的认证，与所述控制服务器建立双向连接通道。

例如，所述第一网络节点先登录所述控制服务器，控制服务器釆用现有用户名 +密码的认证方式对所述第一网络节点进行认证。

步骤 11 , 所述第一网络节点或所述控制服务器通过所述双向连接通道周期性发送保活（KeepAlive ) 消息，确认对方处于存活状态。

例如，可以是第一网络节点周期性地向控制服务器发送保活消息，若控制服务器在预设的时间段内接收到了保活消息，则确认第一网络节点处于存活状态，若控制服务器超过预设的时间段未收到第一网络节点发送的保活消息，则确定第一网络节点处于失效状态。

也可以是第一网络节点接收控制服务器周期性发送的保活消息，若第一网络节点在预设的时间段内接收到了保活消息，则确认控制服务器处于存活状态，若第一网络节点超过预设的时间段未收到控制服务器发送的保活消息，则确定控制服务器处于失效状态。

可选地，在在附图 2所示的方法中，在步骤 22之后，第一网络节点和第二网络节点通信结束后，可以根据预先配置的策略，撤销或者保留所述安全隧道，在这里不进行特别限定。

本发明实施例提供的移动回传网络中的通信方法，在移动回传网络中增加了一个控制服务器，当第一网络节点需要与第二网络节点通信时，向所述控制服务器发送请求消息，并接收所述控制服务器返回的所述第二网络节点的安全信息，根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。进一步地，由于通信双方通过控制服务器来建立安全隧道进行通信，使得恶意用户无法通过镜像流量的手段来窃取 S1和 X2流量，也无法进行数据篡改，从而使得移动回传网络中的两个网络节点之间可以进行安全通信，保证了网络节点之间所传输数据的安全性。

本发明实施例通过移动回传网络中增加的控制服务器，使得移动回传网络中的两个网络节点能够动态按需地建立安全隧道，提供了一种灵活、高效的在移动回传网络中进行安全通信的方案。附图 5从控制服务器的角度，对本发明实施例提供的移动回传网络中的通信方法进行介绍。

步骤 51 , 控制服务器接收移动回传网络中的第一网络节点发送的请求消息 , 所述请求消息用于请求所述移动回传网络中的第二网络节点的安全信息。

该请求消息既可以是信息查询请求消息，也可以是通信建立请求消息，后面将结合具体实现方式进行详细介绍。

步骤 52, 所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，以使得所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

其中，控制服务器可以釆用以下两种方案将所述第二网络节点的安全信息提供给所述第一网络节点：（1 )确认所述第一网络节点具备与所述第二网络节点通信的权限时，查找存储的网络节点的安全信息，以获取所述第二网络节点的安全信息，向所述第一网络节点返回所述第二网络节点的安全信息；

( 2 )确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述请求消息转发给所述第二网络节点；所述控制服务器接收所述第二网络节点返回的所述第二网络节点的安全信息；所述控制服务器向所述第一网络节点返回所述第二网络节点的安全信息。在具体实施时，可以根据控制服务器的性能、或者网络的传输带宽，灵活地选择不同的方案。

下面给出了附图 5 所示的移动回传网络中的通信方法的几种可选的具体实现方式：

方式 1 , 请参照附图 6a。

步骤 601 ,控制服务器接收第一网络节点发送的信息查询请求消息，所述信息查询请求消息用于查询第二网络节点的安全信息。

所述信息查询请求消息中可以携带第二网络节点的标识，如设备标识、域名等。例如，控制服务器接收 eNBl发送的携带有 MME1设备标识的信息查询请求消息。

步骤 602,控制服务器查找存储的网络节点的安全信息，以获取所述第二网络节点的安全信息。

所述控制服务器接收到所述信息查询请求消息后，可以从存储的各网络节点的安全信息中，查找第二网络节点的安全信息。

可选地，所述控制服务器存储的第二网络节点的安全信息是第二网络节点预先上报的。所述第二网络节点上报的安全信息用于使得所述移动回传网络中的其他节点根据此信息，与所述第二网络节点建立安全隧道。例如，使得第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道。

步骤 603 ,控制服务器向所述第一网络节点返回所述第二网络节点的安全信息，以使所述第一网络节点根据所述第二网络节点的安全信息直接与所述第二网络节点建立安全隧道进行通信。

例如，控制服务器向 eNBl返回的 MME1的 IP地址、支持的隧道类型、隧道认证方式和公钥证书。

可选地，控制服务器为了能够对各网络节点进行权限控制，在步骤 603 之前还包括：控制服务器确认所述第一网络节点具备与所述第二网络节点建立隧道的权限。具体地，控制服务器中可以保存并维护一个权限表，其中记录有每个网络节点对应的访问权限，可以与哪些其他网络节点建立隧道等等，根据该权限表，控制服务器可以查询到 eNBl是否可以与 MME1通信，以及在确认 eNBl可以与 MME1通信时，才执行步骤 603; 否则不向 eNBl发送 MME1的安全信息。

或者，在步骤 602之前还包括：控制服务器确认所述第一网络节点具备查询其他网络节点的安全信息的权限。例如，控制服务器可以查询到 eNBl 是否具备查询其他网络节点安全信息的权限，以及在确认 eNBl具备查询权限时，才执行步骤 602; 否则不进行查询处理。

方式 2: 请参照附图 6b

步骤 611 , 控制服务器接收第一网络节点发送的通信建立请求消息，所述通信建立请求消息用于请求与所述移动回传网络中的第二网络节点通信。

步骤 612, 控制服务器将所述通信建立请求消息转发给所述第二网络节点。

例如，控制服务器将所述通信建立请求消息转发 MME1。

步骤 613 ,控制服务器接收所述第二网络节点返回的应答消息，为了便于进行区分，这里将控制服务器接收到的第二网络节点发送的应答消息称为第二应答消息。

步骤 614,控制服务器将存储的所述第二网络节点的安全信息携带在所述第二应答消息中生成第一应答消息。

步骤 615,控制服务器将所述第一应答消息发送给第一网络节点，以使所述第一网络节点根据所述第一应答消息中携带所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道进行通信。

例如，控制服务器在 MME1返回的应答消息中携带该控制服务器中存储的 MME1 的安全信息，并将已携带 MME1 的安全信息的应答消息发送给 eNBl。

可选地，控制服务器为了能够对各网络节点进行权限控制，在步骤 612 之前还包括：控制服务器确认所述第一网络节点具备与所述第二网络节点建立隧道的权限。具体地，控制服务器中可以保存并维护一个权限表，其中记录有每个网络节点对应的访问权限，可以与哪些其他网络节点建立隧道等等，根据该权限表，控制服务器可以查询到 eNBl是否可以与 MME1通信，以及在确认 eNBl可以与 MME1通信时，才执行步骤 612。

方式 3 , 请参照附图 6c

步骤 621 ,控制服务器接收所述移动回传网络中的第一网络节点发送的通信建立请求消息，所述通信建立请求消息用于请求与所述移动回传网络中的第二网络节点通信。

步骤 622,所述控制服务器确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述通信建立请求消息转发给所述第二网络节点。

步骤 623 , 所述控制服务器接收来自于所述第二网络节点的应答消息。步骤 624, 所述控制服务器将所述应答消息转发给所述第一网络节点，使得所述第一网络节点根据所述应答消息中携带所述第二网络节点的安全信息与所述第二网络节点建立安全隧道以进行通信。

可选地，该方式还可以用以下方案替代：

在步骤 621 中，所述通信建立请求消息中携带所述第一网络节点的安全信息，所述第一网络节点的安全信息用于使该移动回传网络中的其他网络节点，在需要与第一网络节点通信时，与第一网络节点建立安全隧道，例如第二网络节点得到该安全信息后，与所述第一网络节点建立所述安全隧道。在步骤 622 中，所述控制服务器将所述通信建立请求消息转发给所述第二网络节点后，第二网络节点根据所述通信建立请求消息中携带的所述第一网络节点的安全信息，与所述第一网络节点建立安全隧道以进行通信。

也就是说，第一网络节点可以根据应答消息中携带的第二网络节点的安全信息与第二网络节点建立安全隧道以进行通信，第二网络节点也可以根据通信建立请求消息中携带所述第一网络节点的安全信息，与所述第一网络节点建立安全隧道以进行通信。

在附图 3a至附图 3c、以及附图 6a至附图 6c中第一网络节点和控制服务器之间交互消息的格式如附图 6d所示，该消息除了要携带源 IP地址、源端口、目的 IP地址和目的端口之外（若是第一网络节点发送给控制服务器的消息，则源 IP地址为第一网络节点的 IP地址，源端口为第一网络节点的端口，目的 IP地址为控制服务器的 IP地址，目的端口为控制服务器的端口；若是控制服务器发送给第一网络节点的消息，则源 IP地址为控制服务器的 IP地址，源端口为控制服务器的端口，目的 IP地址为第一网络节点的 IP地址，目的端口为第一网络节点的端口；其他的情况类似，在这里不再一一列举），还需要携带消息类型标识、至少一个键值 ( Key-Value )对。

若消息类型标识为 0, 则表明该消息为请求消息，如附图 6a中的信息查询请求消息、或附图 6b中的通信建立请求消息；

若消息类型标识为 1 , 则表明该消息为转发消息，如附图 6b步骤 612中控制服务器转发的消息；

若消息类型标识为 2, 则表明该消息为应答消息，例如附图 6c步骤 623 中的应答消息。

在消息类型标识为 0, 该消息为请求消息的情况下，既可以在扩展字段中写入第二网络节点的标识，用以查询第二网络节点的安全信息；也可以写入 all , 用以向控制服务器查询移动回传网络中所有网络节点的安全信息。

在消息类型标识为 2, 该消息为应答消息的情况下，可以在多个不同的键值对中携带第二网络节点的多种安全信息，例如在第一个键值对中携带第二网络节点的 IP地址值，第二个键值对中携带第二网络节点的服务端口号，第三个键值对中携带第二网络节点的隧道类型，如附图 6e所示。

可选地，请参照附图 7 , 在附图 5中步骤 51之前，还包括：

步骤 501 ,控制服务器在第一网络节点和第二网络节点分别通过控制服务器认证后 , 分别与所述第一网络节点和所述第二网络节点建立双向连接通道。

步骤 502,控制服务器周期性向所述第一网络节点发送保活消息，或接收所述第一网络节点周期性发送的保活消息，确认双方处于存活状态；或者周期性向所述第二网络节点发送保活消息，或接收所述第二网络节点周期性发送的保活消息，确认双方处于存活状态。

具体可以参照附图 4中步骤 10和步骤 11的描述，在这里不再重复。本发明实施例提供的移动回传网络中的通信方法，当一个网络节点需要与另一个网络节点进行安全通信时，移动回传网络中的控制服务器接收一个网络节点发送的请求消息，向该网络节点提供另一个网络节点的安全信息，从而使该网络节点与另一个网络节点建立安全隧道进行通信。通过控制服务器来管理移动回传网络中各网络节点的安全信息，提高了移动回传网络中的两个网络节点之间通信的安全性。实施例二

本实施例提供了一种移动回传网络中的网络节点、以及一种移动回传网络中的控制服务器，下面将结合附图进行详细介绍。

一种移动回传网络中的网络节点，如图 8a所示，该网络节点包括发送单元 801、接收单元 802和通信单元 803 , 具体如下：

发送单元 801 , 用于向所述移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中另一网络节点的安全信息；

接收单元 802 ,用于接收所述控制服务器根据所述请求消息返回的所述另一网络节点的安全信息；通信单元 803 ,用于根据接收单元 802接收的所述另一网络节点的安全信息，与所述另一网络节点建立安全隧道以进行通信。

可选地，所述网络节点中还包括：上报单元 804 , 用于向所述控制服务器上报本网络节点的安全信息，所述本网络节点的安全信息用于使所述另一网络节点得到该安全信息后，与本网络节点建立所述安全隧道。

可选地，请参照附图 8b所示，附图 8a中的网络节点中，还包括：建立单元 805 , 当所述网络节点通过所述控制服务器认证后，用于与所述控制服务器建立双向连接通道；

确认单元 806 ,用于通过所述双向连接通道接收所述控制服务器周期性发送的保活消息，确认所述控制服务器处于存活状态；

若所述确认单元 806确认所述控制服务器处于存活状态，则所述发送单元 801发送所述请求消息。

附图 8a与附图 8b中的网络节点中的各单元可以相互结合，完成方法实施例附图 2至附图 4中各步骤的功能。

附图 9a为本实施例提供的移动回传网络中的控制服务器的结构示意图，该控制服务器包括：

接收单元 901 ,用于接收所述移动回传网络中的第一网络节点发送的请求消息，所述请求消息用于请求所述移动回传网络中的第二网络节点的安全信息；

提供单元 902 , 用于根据所述请求消息，将所述第二网络节点的安全信息提供给所述第一网络节点，以使得所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

可选地，请参照附图 9b, 所述提供单元 902包括：

鉴权子单元 9022 , 用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

查找子单元 9023 ,用于在鉴权子单元 9022确认所述第一网络节点具备与所述第二网络节点通信的权限时，查找存储的网络节点的安全信息，以获取所述第二网络节点的安全信息；

发送子单元 9024,用于向所述第一网络节点返回查找子单元 9023获取的所述第二网络节点的安全信息。

可选地，请参照附图 9c, 所述提供单元 902包括：

鉴权子单元 9022, 用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

转发子单元 9027 ,用于在鉴权子单元 9022确认所述第一网络节点具备与所述第二网络节点通信的权限时 , 将所述请求消息转发给所述第二网络节点；接收所述第二网络节点返回的所述第二网络节点的安全信息，向所述第一网络节点返回所述第二网络节点的安全信息。

可选地，请参照附图 9d, 附图 9a-附图 9c中的控制服务器还包括：建立单元 903 , 用于对所述第一网络节点认证通过后，与所述第一网络节点建立双向连接通道；

确认单元 904 ,用于通过所述双向连接通道向所述第一网络节点发送保活消息，以确认所述第一网络节点是否处于存活状态；

若所述确认单元 904确认所述第一网络节点是否处于存活状态，则提供单元 902用于将所述第二网络节点的安全信息提供给所述第一网络节点。

附图 9d与附图 9b、 9c中的控制服务器中的各单元可以相互结合，完成方法实施例附图 5至附图 7中各步骤的功能，在这里不再一一详述。

本实施例还提供了一种移动回传网络中的通信系统，包括至少两个附图 8a或 8b中的网络节点和至少一个附图 9a至 9d任意一个所示的控制服务器。示意图如附图 1所示。实施例三

本实施例提供了一种网络节点，应用于移动回传网络中，其结构如附图 10所示，包括存储器 131和处理器 132 , 其中：

所述存储器 131被配置存储代码；所述处理器 132,被配置被配置读取存储器 131中存储的代码，执行方法实施例一中的网络节点执行的各步骤。

本发明实施例提供了一种控制服务器，应用于移动回传网络中，如附图 11所示，包括存储器 141和处理器 142, 其中：

所述存储器 141被配置存储代码；

处理器 142被配置读取存储器 141 中存储的代码，执行方法实施例一中控制服务器所执行的各步骤。本领域普通技术人员将会理解，本发明的各个方面、或各个方面的可能实现方式可以被具体实施为系统、方法或者计算机程序产品。因此，本发明的各方面、或各个方面的可能实现方式可以釆用完全硬件实施例、完全软件实施例（包括固件、驻留软件等等），或者组合软件和硬件方面的实施例的形式，在这里都统称为"电路"、 "模块"或者"系统"。此外，本发明的各方面、或各个方面的可能实现方式可以釆用计算机程序产品的形式，计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。

计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置，或者前述的任意适当组合，如随机存取存储器（RAM)、只读存储器（ROM)、可擦除可编程只读存储器 (EPROM或者快闪存储器)、光纤、便携式只读存储器 (CD-ROM：)。

计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码，使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作；生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。

计算机可读程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为单独的软件包、部分在用户的计算机上并且部分在远程计算机上，或者完全在远程计算机或者服务器上执行。也应该注意，在某些替代实施方案中，在流程图中各步骤、或框图中各块所注明的功能可能不按图中注明的顺序发生。例如，依赖于所涉及的功能，接连示出的两个步骤、或两个块实际上可能被大致同时执行，或者这些块有时候可能被以相反顺序执行。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种移动回传网络中的通信方法，其特征在于，包括：

所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

2、如权利要求 1所述的通信方法，其特征在于，还包括：

3、如权利要求 1或 2所述的通信方法，其特征在于，所述第一网络节点向所述移动回传网络中的控制服务器发送请求消息之前，还包括：

4、如权利要求 1-3任一所述的通信方法，其特征在于，所述第二网络节点的安全信息包括 IP地址、开放服务的端口标识、支持的隧道类型、隧道认证方式、公钥证书中的至少之一。

5、如权利要求 1-4任一所述的通信方法，其特征在于，

所述第一网络节点包括以下至少之一：

基站和核心网设备。

6、一种移动回传网络中的通信方法，其特征在于，包括：

7、如权利要求 6所述的通信方法，其特征在于，所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，包括：

8、如权利要求 7所述的通信方法，其特征在于，所述查找存储的所述网络节点的安全信息之前，还包括：

9、如权利要求 6所述的通信方法，其特征在于，所述控制服务器将所述第二网络节点的安全信息提供给所述第一网络节点，包括：

所述控制服务器确认所述第一网络节点具备与所述第二网络节点通信的权限时，将所述请求消息转发给所述第二网络节点；

所述控制服务器向所述第一网络节点返回所述第二网络节点的安全信息。

10、如权利要求 6-9任一所述的通信方法，其特征在于，还包括：所述控制服务器接收所述第一网络节点上报的所述第一网络节点的安全信息，所述第一网络节点的安全信息用于使所述第二网络节点得到该安全信息后，与所述第一网络节点建立所述安全隧道。

11、如权利要求 6-10任一所述的通信方法，其特征在于，所述控制服务器接收所述移动回传网络中的第一网络节点发送的请求消息之前，还包括：所述控制服务器对所述第一网络节点认证通过后，与所述第一网络节点建立双向连接通道；

12、一种网络节点，应用于移动回传网络中，其特征在于，包括：发送单元，用于向所述移动回传网络中的控制服务器发送请求消息，所述请求消息用于请求所述移动回传网络中另一网络节点的安全信息；

接收单元，用于接收所述控制服务器根据所述请求消息返回的所述另一网络节点的安全信息；

通信单元，用于根据所述接收单元接收的所述另一网络节点的安全信息，与所述另一网络节点建立安全隧道以进行通信。

13、如权利要求 12所述的网络节点，其特征在于，还包括：

上报单元，用于向所述控制服务器上报所述网络节点的安全信息，所述网络节点的安全信息用于使所述另一网络节点得到该安全信息后，与所述网络节点建立所述安全隧道。

14、如权利要求 12或 13所述的网络节点，其特征在于，还包括：建立单元，当所述网络节点通过所述控制服务器认证后，用于与所述控制服务器建立双向连接通道；

15、一种控制服务器，应用于移动回传网络中，其特征在于，包括：接收单元，用于接收所述移动回传网络中的第一网络节点发送的请求消息 , 所述请求消息用于请求所述移动回传网络中的第二网络节点的安全信息；提供单元，用于根据所述请求消息，将所述第二网络节点的安全信息提供给所述第一网络节点，以使得所述第一网络节点根据所述第二网络节点的安全信息，与所述第二网络节点建立安全隧道以进行通信。

16、如权利要求 15所述的控制服务器，其特征在于，所述提供单元包括：鉴权子单元，用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

发送子单元，用于向所述第一网络节点返回查找子单元获取的所述第二网络节点的安全信息。

17、如权利要求 15所述的控制服务器，其特征在于，所述提供单元包括：鉴权子单元，用于确认所述第一网络节点是否具备与所述第二网络节点通信的权限；

18、如权利要求 15-17任一所述的控制服务器，其特征在于，还包括：建立单元，用于对所述第一网络节点认证通过后，与所述第一网络节点建立双向连接通道；

确认单元，用于通过所述双向连接通道向所述第一网络节点发送保活消息，以确认所述第一网络节点是否处于存活状态；

若所述确认单元确认所述第一网络节点处于存活状态，则所述提供单元用于将所述第二网络节点的安全信息提供给所述第一网络节点。

19、一种网络节点，应用于移动回传网络中，其特征在于，包括存储器和处理器，其中：

所述存储器被配置存储代码；

所述处理器被配置读取所述存储器中存储的代码，执行如权利要求 1-5 任一所述的方法。

20、一种控制服务器，应用于移动回传网络中，其特征在于，包括存储器和处理器，其中：

所述存储器被配置存储代码；

所述处理器被配置读取所述存储器中存储的代码，执行如权利要求 6-11 任一所述的方法。

21、一种移动回传网络中的通信系统，其特征在于，包括：

至少两个如权利要求 19所述的网络节点和至少一个如权利要求 20所述的控制服务器。