專利名稱:代理服務(wù)器和方法以及具有該代理服務(wù)器的安全通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體而言�����,涉及代理服務(wù)器及其方法�����,以及具有該代理服務(wù)器的安全通信系統(tǒng)����。
背景技術(shù):
近年來,隨著通信技術(shù)的不斷進步���,通信產(chǎn)業(yè)發(fā)展迅速����。無線技術(shù)目前蓬勃發(fā)展,頻譜資源非常寶貴��。為了充分利用有限的頻譜資源��,國際電聯(lián)專門劃出免許可的頻段(LE Band)�。在不影響其他設(shè)備正常工作的前提下,LE設(shè)備可以使用該無線頻段進行通信���。
另外,某些地區(qū)的部分頻段的使用非排他性的許可權(quán)授權(quán)�����,也就是說你在獲得該頻段的許可權(quán)的同時�����,其他人也可以在你不知情的情況下獲取使用該頻段的權(quán)利�。
還有一種情況,雖然是某個企業(yè)或運營商獲得了某區(qū)域的某頻段的獨享權(quán)��,但是其沒有手段或者不愿意利用先規(guī)劃后布點的方式布設(shè)和設(shè)置站點,而希望各個設(shè)備之間靈活根據(jù)所處的空口資源實際占用情況動態(tài)的協(xié)商資源分配���。
為了描述方便���,將以上三種情況下的設(shè)備/基站通稱為LE設(shè)備/基站或共存性基站。
網(wǎng)絡(luò)中各個LE設(shè)備�����,其位置�、占用的資源、發(fā)射功率等參數(shù)都不是事先規(guī)劃和配置好的���,都是由設(shè)備本身自主地去適應(yīng)所處環(huán)境��,在允許范圍內(nèi)自主進行資源的選擇和與其他LE設(shè)備的協(xié)商分配工作��。
LE設(shè)備工作中需要適應(yīng)所處環(huán)境�,即能檢測到干擾和避開干擾���,或與自己的干擾源協(xié)商�。因此LE設(shè)備需要和其他LE設(shè)備協(xié)商如何分享該頻段�,這就牽涉到LE設(shè)備之間的信令通信����。而兩個LE設(shè)備事先并不知道對方的地址��,這需要其中的至少一方把自己的聯(lián)系方法公開���,對方獲取聯(lián)系方法信息后即可建立相互的通信�����。
總之��,LE設(shè)備之間需要通過某種方式公開自己且獲得對方的聯(lián)系方法���,公開的方法可以是多樣的。比如當(dāng)覆蓋范圍存在重疊時可以通過共同覆蓋區(qū)域內(nèi)的將聯(lián)系信息廣播給對方的終端利用其中轉(zhuǎn)到對方基站的聯(lián)系方法���,或者通過周知的區(qū)域服務(wù)器根據(jù)位置等信息查找對方及其聯(lián)系方法等等。在獲得對方的聯(lián)系方法之后�����,可以切換到有線的方式進行后續(xù)的協(xié)商工作��。
需要共存性協(xié)商的LE基站之間直接通過空口或公用服務(wù)器等手段公開并獲取相關(guān)LE基站的網(wǎng)絡(luò)地址,并利用公開的網(wǎng)絡(luò)地址開始聯(lián)絡(luò)�����。這里說的地址����,通常就是網(wǎng)絡(luò)地址(如IP地址)。事實上�,需要協(xié)商資源的設(shè)備往往屬于不同的運營商或相互沒有信任關(guān)系的網(wǎng)絡(luò),基站的業(yè)務(wù)IP地址的直接公開會帶來很大的潛在危險��。如果惡意攻擊者獲取了無線基站的業(yè)務(wù)IP地址����,就可以對基站的網(wǎng)絡(luò)端口直接發(fā)起各種攻擊。
圖1示出了相關(guān)技術(shù)中LE基站之間獲取網(wǎng)絡(luò)地址并進行通信的示意圖��。LE基站之間通過路徑1相互公開網(wǎng)絡(luò)地址����,利用公開的網(wǎng)絡(luò)地址通過路徑2直接在有線網(wǎng)絡(luò)上進行通信協(xié)商等交互。由于LE基站公開了網(wǎng)絡(luò)地址�����,所以很容易受到攻擊。
因此�����,需要一種能夠保證LE基站之間的通信安全的技術(shù)��。
發(fā)明內(nèi)容
本發(fā)明旨在提供克服了由于現(xiàn)有技術(shù)的局限和缺陷而造成的一個或多個問題的可在固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)中使用的融合終端�。
為了實現(xiàn)上述目的,本發(fā)明提供了一種代理服務(wù)器��,用于代理至少一個基站進行安全通信����,所述代理服務(wù)器具有代理服務(wù)器地址信息,包括數(shù)據(jù)庫����,用于儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息;以及處理單元�,用于將來自所述至少一個基站的第一消息報文中的基站源地址信息替換為所述代理服務(wù)器的代理服務(wù)器地址信息,向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文�。
在上述技術(shù)方案中���,所述處理單元還用于解析來自所述至少一個基站的第一消息報文���,并在來自所述第一消息報文中沒有所述基站標(biāo)識信息的情況下�,在所述第一消息報文中添加對應(yīng)于所述基站地址信息的基站標(biāo)識信息�,從而生成帶有所述基站標(biāo)識信息和所述代理服務(wù)器地址信息的第二消息報文。所述數(shù)據(jù)庫還儲存有映射關(guān)系表�,用于使所述至少一個基站的基站地址信息與基站標(biāo)識信息建立對應(yīng)關(guān)系。
在上述技術(shù)方案中����,所述處理單元進一步用于在從任意源地址接收到所述第二消息報文后,對所述第二消息報文進行解析���,根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息�,并根據(jù)所述基站地址信息��,將所述第二消息報文的目標(biāo)地址更改為所述基站地址信息后生成并發(fā)送第三消息報文�。
在上述技術(shù)方案中,該代理服務(wù)器進一步包括基站側(cè)邏輯接口��,用于從所述至少一個基站接收所述第一消息報文��,向所述至少一個基站發(fā)送所述第三消息報文���;以及網(wǎng)絡(luò)側(cè)邏輯接口����,用于向所述目標(biāo)地址發(fā)送所述第二消息報文,并從所述源地址接收所述第二消息報文�。所述處理單元進一步用于檢測所述第二消息報文的目標(biāo)地址是否與所述代理服務(wù)器地址相同,如果相同����,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息,并根據(jù)所述基站地址信息將第二消息報文的目標(biāo)地址更改為所述基站地址信息后發(fā)送所述第三消息報文����,如果不同,則根據(jù)所述第二消息報文的目標(biāo)地址發(fā)送所述第二消息報文�。所述處理單元還用于接收到所述檢測所述第一消息報文的源地址是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站地址,如果屬于�����,則根據(jù)所述源地址信息在所述映射關(guān)系表查找所述基站標(biāo)識信息�,并發(fā)送所述第二消息報文。所述處理單元還用于檢測接收到所述第二消息報文中基站標(biāo)識是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站標(biāo)識���,如果屬于��,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息����。
在上述技術(shù)方案中��,所述基站地址信息包括基站IP地址�,所述代理服務(wù)器地址信息包括代理服務(wù)器IP地址。
在上述技術(shù)方案中����,所述數(shù)據(jù)庫還儲存有非法代理服務(wù)器地址列表,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的消息���。所述數(shù)據(jù)庫還儲存有所有代理服務(wù)器的非法消息記錄或統(tǒng)計信息�����。所述數(shù)據(jù)庫還儲存有非法基站地址發(fā)送記錄或統(tǒng)計信息����,所述處理單元可對所述非法基站地址發(fā)送記錄或統(tǒng)計記錄進行更新�。所述至少一個基站是免許可頻段基站。所述處理單元通過無線網(wǎng)絡(luò)向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文����。所述代理服務(wù)器包括共存性代理服務(wù)器�。所述代理服務(wù)器可以所述基站集成在一起�����。
在上述技術(shù)方案中�����,所述處理單元還用于檢測接收到所述第二消息報文中基站標(biāo)識是否屬于所述代理服務(wù)器的數(shù)據(jù)庫中配置的基站標(biāo)識�,如果屬于,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息��,并發(fā)送所述第三消息報文�。
在上述技術(shù)方案中,所述基站標(biāo)識包含但不限于全球唯一的基站標(biāo)識或根據(jù)所述代理服務(wù)器內(nèi)部規(guī)則對基站進行的在本代理服務(wù)器內(nèi)的唯一標(biāo)識��。
另外���,本發(fā)明還提供了一種用于代理至少一個基站進行安全通信的方法���,包括以下步驟第一步驟,使用數(shù)據(jù)庫儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息�;第二步驟,使用處理單元將來自所述至少一個基站的第一消息報文中的基站源地址信息替換為所述代理服務(wù)器的代理服務(wù)器地址信息;以及第三步驟�����,向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文���。
所述第二步驟進一步包括解析來自所述至少一個基站第一消息報文,并在來自所述至少一個基站的第一消息報文中沒有所述基站標(biāo)識信息的情況下����,使用所述處理單元在所述第一消息報文中添加對應(yīng)于所述至少一個基站的基站地址信息的基站標(biāo)識信息,從而生成帶有所述基站標(biāo)識信息和所述代理服務(wù)器地址信息的第二消息報文�。
所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存映射關(guān)系表,使所述至少一個基站的基站地址信息與基站標(biāo)識信息建立對應(yīng)關(guān)系�。
所述第二步驟進一步包括所述處理單元在從任意源地址接收到所述第二消息報文后,根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息�����,并根據(jù)所述基站地址信息將所述第二消息報文的目標(biāo)地址更改為所述基站地址信息后發(fā)送第三消息報文��。
上述方法進一步包括以下步驟提供基站側(cè)邏輯接口�,以從所述至少一個基站接收所述第一消息報文,向所述至少一個基站發(fā)送所述第三消息報文�����;以及提供網(wǎng)絡(luò)側(cè)邏輯接口,以向所述目標(biāo)地址發(fā)送所述第二消息報文�����,并從所述源地址接收所述第二消息報文��。
上述方法進一步包括以下步驟檢測所述第二消息報文的目標(biāo)地址是否與所述代理服務(wù)器地址相同���,如果相同�,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息��,并根據(jù)所述基站地址信息將第二消息報文的目標(biāo)地址更改為所述基站地址信息后發(fā)送所述第三消息報文���,如果不同��,則根據(jù)所述第二消息的報文目標(biāo)地址發(fā)送所述第二消息報文��。
在上述技術(shù)方案中��,所述基站地址信息包括基站IP地址����,所述代理服務(wù)器地址信息包括代理服務(wù)器IP地址。所述處理單元還用于接收到所述檢測所述第一消息報文的源地址是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站地址�����,如果屬于�,則根據(jù)所述源地址信息在所述映射關(guān)系表查找所述基站標(biāo)識信息,并發(fā)送所述第二消息報文����。
在上述方法中����,所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存非法代理服務(wù)器地址列表,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的信息��。
所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存所有代理服務(wù)器的非法消息記錄或統(tǒng)計信息�����,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的消息���。
所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存非法基站地址發(fā)送記錄或統(tǒng)計信息���,所述處理單元可對所述非法基站地址發(fā)送記錄或統(tǒng)計記錄進行更新���。
在上述技術(shù)方案中,所述至少一個基站是免許可頻段基站��。所述處理單元通過無線網(wǎng)絡(luò)向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文�。
上述方法進一步包括以下步驟判斷目標(biāo)基站的代理服務(wù)器是否是源基站的代理服務(wù)器如果是,則根據(jù)目標(biāo)基站標(biāo)識查找目標(biāo)基站的網(wǎng)絡(luò)地址����,然后從基站側(cè)接口向目標(biāo)基站發(fā)送第一消息報文;以及如果不是��,則從網(wǎng)絡(luò)側(cè)接口向目標(biāo)基站的代理服務(wù)器發(fā)送第二消息報文�����。
所述基站標(biāo)識包含但不限于全球唯一的基站標(biāo)識或根據(jù)所述代理服務(wù)器內(nèi)部規(guī)則對基站進行的在本代理服務(wù)器內(nèi)的唯一標(biāo)識�����。
另外���,本發(fā)明還提供了一種安全通信系統(tǒng)����,包括至少一個基站;以及如上所述的代理服務(wù)器����,用于代理至少一個基站進行安全通信。
通過上述技術(shù)方案�,本發(fā)明實現(xiàn)了如下技術(shù)效果1.因為基站自身的網(wǎng)絡(luò)接口要承載大量的數(shù)據(jù)業(yè)務(wù)和相關(guān)控制,其IP地址的改變會帶來很多不良影響�����。而與每個基站相連的共存性代理只用于代理收發(fā)共存性信令��,所以其網(wǎng)絡(luò)地址更改配置不影響基站的主業(yè)務(wù)����,并且多代理之間可以相互備份����。同時共存性代理需要處理的信息較少,所需帶寬不大�,受到攻擊后癱瘓的可能性較小。共存性代理功能簡單成本低��,便于采用多個代理備份以提高可靠性�;
2.在本發(fā)明中��,基站的網(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi)�����,不會在公共網(wǎng)絡(luò)內(nèi)公開�����,使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低�����;以及3.在單個代理收到攻擊癱瘓時����,可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響�����。
此處所說明的附圖用來提供對本發(fā)明的進一步理解�,構(gòu)成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1示出了相關(guān)技術(shù)中LE基站之間獲取網(wǎng)絡(luò)地址并進行通信的網(wǎng)絡(luò)拓撲圖和邏輯框圖����;圖2示出了根據(jù)本發(fā)明的代理服務(wù)器的邏輯框圖����;圖3示出了根據(jù)本發(fā)明的用于代理至少一個基站進行安全通信的方法的流程圖���;圖4示出了根據(jù)本發(fā)明的代理服務(wù)器的發(fā)送代理過程的流程圖�;圖5示出了根據(jù)本發(fā)明的代理服務(wù)器的接收代理過程的流程圖�����;圖6示出了根據(jù)本發(fā)明的代理服務(wù)器與基站的連接形式的示意圖���;
圖7a至圖7c是表示根據(jù)本發(fā)明的代理服務(wù)器與基站之間的對應(yīng)關(guān)系的示意圖����;以及圖8a至圖8f示出了根據(jù)本發(fā)明的代理服務(wù)器與基站的連接關(guān)系的網(wǎng)絡(luò)拓撲圖和邏輯框圖�。
具體實施例方式
現(xiàn)在將參考附圖詳細說明本發(fā)明�。
圖2示出了根據(jù)本發(fā)明的共存性代理服務(wù)器200的邏輯框圖。共存性代理服務(wù)器(也可以稱之為共存性代理)200可以是設(shè)備中的一個功能模塊���,也可以是一個單獨的設(shè)備���,其基本結(jié)構(gòu)如圖2所示����。
共存性代理服務(wù)器200包括處理單元(代理功能處理模塊)202�、數(shù)據(jù)庫(代理數(shù)據(jù)庫)204、基站側(cè)邏輯接口206��、以及網(wǎng)絡(luò)側(cè)邏輯接口208���。
代理數(shù)據(jù)庫204儲存有以下信息所代理的所有基站的標(biāo)識列表����;所代理的所有基站的網(wǎng)絡(luò)地址�;以及所代理的所有基站的標(biāo)識與其網(wǎng)絡(luò)地址的映射關(guān)系表。
作為優(yōu)選的實施方式�����,代理數(shù)據(jù)庫204還可以儲存以下信息非法代理地址列表����;各代理的非法消息記錄或統(tǒng)計;以及非法源基站地址發(fā)送記錄或統(tǒng)計信息。
代理功能處理模塊202的基本功能如下1.共存消息發(fā)送代理功能
1)基站側(cè)接口206接收通過已知的基站網(wǎng)絡(luò)地址接收待發(fā)送消息����,接收消息報文中必須含有目的基站標(biāo)識和目的代理網(wǎng)絡(luò)地址;2)發(fā)送消息源網(wǎng)絡(luò)地址替換及基站標(biāo)識追加根據(jù)源網(wǎng)絡(luò)地址在映射表中獲得基站標(biāo)識���,將該基站標(biāo)識填充到待發(fā)送的消息報文中���,并去除待發(fā)送消息中的源網(wǎng)絡(luò)地址,將基站的網(wǎng)絡(luò)地址替換為代理網(wǎng)絡(luò)地址��;3)共代理檢測檢測目的代理網(wǎng)絡(luò)地址是否與本代理重合��,如果重合則直接將代理發(fā)送消息轉(zhuǎn)入共存消息接收代理功能處理(僅在代理多基站時提供此功能)��;以及4)網(wǎng)絡(luò)側(cè)接口206發(fā)送按照目的代理地址攜帶目的基站標(biāo)識以本代理的網(wǎng)絡(luò)地址攜帶源基站標(biāo)識發(fā)送��。
2.共存消息接收代理功能1)網(wǎng)絡(luò)側(cè)接口208接收從源代理處接受含有源基站標(biāo)識的共存性消息�����,并獲取目的基站標(biāo)識�;2)接收消息目的地址查找替換從接收的共存消息中根據(jù)目的基站標(biāo)識在映射表中獲取對應(yīng)基站的網(wǎng)絡(luò)地址�,并去除消息中的目的代理網(wǎng)絡(luò)地址信息;以及3)基站側(cè)接口206發(fā)送按查詢到的基站網(wǎng)絡(luò)地址發(fā)送接收到的消息報文和源代理地址及源基站標(biāo)識���。
另外��,代理功能處理模塊202還可以實現(xiàn)以下擴展功能
1)代理工作狀態(tài)判斷及上報/反饋�,判斷代理服務(wù)器200是否能夠正常工作,是否受到了非法攻擊��;2)異常消息判斷及反饋����,確定非法基站和非法代理服務(wù)器;3)啟動備份通知����;4)非法攻擊消息報告;5)非法代理地址屏蔽���;6)標(biāo)識與網(wǎng)絡(luò)地址映射表動態(tài)更新�����;7)非法代理地址更新����;以及8)代理間協(xié)商聯(lián)絡(luò)。
圖3示出了根據(jù)本發(fā)明的用于代理至少一個基站進行安全通信的方法的一個實施例的流程圖���。
首先�,對數(shù)據(jù)庫進行配置���,用數(shù)據(jù)庫儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息��。該步驟為準備步驟�,未在圖3中示出���。
然后��,在步驟S302�,使用處理單元202在來自所述至少一個基站的第一消息報文中添加對應(yīng)于所述至少一個基站的基站地址信息的基站標(biāo)識信息�����。接著�����,在步驟S304�,將所述至少一個基站的所述基站地址信息替換為所述代理服務(wù)器地址信息����。最后����,在步驟S306�����,向目標(biāo)地址發(fā)送帶有所述基站標(biāo)識信息和所述代理服務(wù)器地址信息的第二消息報文�。
圖4示出了根據(jù)本發(fā)明的代理服務(wù)器的發(fā)送代理過程的流程圖。
在步驟S402���,基站側(cè)接口接收待發(fā)送消息��。
在步驟S404�,根據(jù)源基地址查找基站的網(wǎng)絡(luò)表示并填入消息報文��。
在步驟S406���,將基站網(wǎng)絡(luò)地址用代理服務(wù)器的網(wǎng)絡(luò)地址替換��。
在步驟S408���,判斷目標(biāo)代理是否為本代理�����。
如果是�����,則進行到步驟S410�,根據(jù)目標(biāo)基站標(biāo)識查找目標(biāo)基站的網(wǎng)絡(luò)地址�����。然后進行到步驟S412���,從基站側(cè)接口向目標(biāo)基站發(fā)送轉(zhuǎn)換后的消息��。
如果不是��,進行到步驟S414�����,則從網(wǎng)絡(luò)側(cè)接口向目標(biāo)基站的代理發(fā)送轉(zhuǎn)換后的消息���。
圖5示出了根據(jù)本發(fā)明的代理服務(wù)器的接收代理過程的流程圖�。
在步驟S502���,通過網(wǎng)絡(luò)側(cè)接口接收消息報文。
在步驟S504���,根據(jù)目標(biāo)基站標(biāo)識查找基站的網(wǎng)絡(luò)地址�。
在步驟S506���,從基站側(cè)接口轉(zhuǎn)發(fā)接收到消息給目標(biāo)基站���。
圖6示出了根據(jù)本發(fā)明的代理服務(wù)器與基站的連接形式的示意圖。如圖所示���,基站A�����、基站B���、基站C��、以及與這些基站對應(yīng)的代理服務(wù)器p1���、p2、以及p3構(gòu)成了安全通信系統(tǒng)600�����。為了清楚說明起見���,在圖6中給出了代理服務(wù)器與基站之間的三種連接方式���,但是應(yīng)當(dāng)明白,這僅僅出于描述目的�����,并不用于對本發(fā)明構(gòu)成限定�。代理服務(wù)器與基站的設(shè)備連接方式也不局限于這三種接口形式。
如圖6所示��,圖中粗線代表業(yè)務(wù)通道�����,細線代表共存性消息通道1)基站A與代理p1間通過其他設(shè)備(核心網(wǎng))相連,此時A的共存性消息網(wǎng)絡(luò)接口與業(yè)務(wù)通道接口即可以公用物理接口�,也可以使用兩個獨立接口,p1對基站和對網(wǎng)絡(luò)的邏輯接口可以公用物理接口也可以獨立提供物理接口�����;2)基站B與代理p2直接連接��,此時B的共存性消息網(wǎng)絡(luò)接口與業(yè)務(wù)通道接口相互獨立�����,p2對基站和對網(wǎng)絡(luò)的邏輯接口也相互獨立����;以及3)基站C設(shè)備內(nèi)部集成其共存性代理p3功能模塊�����,此時基站C對外提供兩個物理接口����,分別對應(yīng)于兩個網(wǎng)絡(luò)地址,各自承載業(yè)務(wù)通道和共存性消息通道�����。
圖7a至圖7c是表示根據(jù)本發(fā)明的代理服務(wù)器與基站之間的對應(yīng)關(guān)系的示意圖。
圖7a示出了每個共存性基站分別擁有一個共存性代理服務(wù)器的情況���。在這種情況下�,第一基站702對應(yīng)于第一代理服務(wù)器704�����,第二基站706對應(yīng)于第二代理服務(wù)器708�����。第一基站702和第二基站706的安全通信通過第一代理服務(wù)器704和第二代理服務(wù)器708建立��。另外�,第一代理服務(wù)器704和第二代理服務(wù)器708可以是同一個代理服務(wù)器。
一個共存性代理可以與一個共存性基站唯一對應(yīng)此時代理數(shù)據(jù)庫中的所代理基站信息(基站標(biāo)識和基站網(wǎng)絡(luò)地址)只有一項��,此時基站可以將共存性代理功能模塊集成在基站設(shè)備內(nèi)部�����,并在業(yè)務(wù)端口之外單獨出共存性的網(wǎng)絡(luò)端口,共存性通道與主業(yè)務(wù)通道隔離�����。這種情況下代理的基站側(cè)接口在設(shè)備內(nèi)部與基站連接���,不需要設(shè)備外部的物理接口�。當(dāng)然也可以在基站設(shè)備之外設(shè)置一個獨立的共存性代理設(shè)備��,僅代理一個基站�。
圖7b示出了多個共存性基站共享一個共存性代理服務(wù)器的情況。
在這種情況下�����,多個第一基站702共享第一代理服務(wù)器704����,多個第一基站702之間的安全通信通過第一代理服務(wù)器704建立����。多個第二基站706共享第二代理服務(wù)器708,多個第二基站704之間的安全通信通過第二代理服務(wù)器708建立����。多個第一基站702和多個第二基站706之間的安全連接通過第一代理服務(wù)器704以及第二代理服務(wù)器708建立����。
此時代理數(shù)據(jù)庫中的基站網(wǎng)絡(luò)地址和基站標(biāo)識及映射關(guān)系的表項為多條��,此時共存性代理往往獨立于基站之外����。
圖7c示出了一個共存性基站擁有多個共存性代理服務(wù)器的情況。
在這種情況下�����,第一基站702具有多個第一代理服務(wù)器704���,這些代理服務(wù)器之間可以進行相互備份或者負荷分擔(dān)�����。第二基站706具有多個第一代理服務(wù)器708��,這些代理服務(wù)器之間同樣可以進行相互備份或者負荷分擔(dān)����。
圖8a至圖8f是表示根據(jù)本發(fā)明的代理服務(wù)器的應(yīng)用實例。
圖8a示出了共存性基站各自獨享一個共存性代理的情況���。共存性代理p1代理基站A的共存性消息的收發(fā)�����,共存性代理p2代理基站B的共存性消息收發(fā)���,A發(fā)出和接收的共存性消息都要經(jīng)過p1轉(zhuǎn)發(fā),對于A和p1之外的共存性基站和代理均不知道基站A的網(wǎng)絡(luò)地址�����,B和p2的關(guān)系與A和p1的關(guān)系一樣����。基站A和基站B之間的共存性消息交互均需要通過共存性代理p1和p2�����。
圖8b示出了一個共存性代理處理多個基站的情況�����。圖中共存性代理p2代理了兩個共存性基站B和C�����,此時B和C之間的共存性消息交互需要通過p2進行�,而基站A的共存性代理為p1,A與B之間及A與C之間的共存性消息交互均需要通過p1和p2進行中轉(zhuǎn)��。
圖8c示出了一個基站擁有多個代理的情況����。當(dāng)一個基站擁有多個代理的時候,往往可以通過公開一個共存性代理的網(wǎng)絡(luò)地址而將另外一個共存性代理作為備份��,一旦正在使用的共存性代理出現(xiàn)問題�����,即可以通過公開并切換到另一個代理的方式繼續(xù)進行后續(xù)的共存性消息交互����。也可通過同時公開多個共存性代理的方式作為相互的負荷分擔(dān)和在線備份。圖中共存性代理p1和p2均代理基站A���,p3代理基站B�����,A在與B進行共存性消息交互時選擇p2進行消息轉(zhuǎn)發(fā)�。
圖8d示出了共存性消息收發(fā)基站的代理重合的情況。這種情況下多個基站雖然使用同一個代理���,但互相不知道對方的網(wǎng)絡(luò)地址��,共存性代理需要作為共存性協(xié)商的中介在兩個共存性基站間進行共存性消息的轉(zhuǎn)發(fā)���,而讓各共存性基站在有線網(wǎng)絡(luò)上不能直接獲得對方的網(wǎng)絡(luò)地址。
圖8e示出了一個基站具有多個代理和多個基站共享一個代理的情況�����。圖8f示出了一個代理分別為多個基站服務(wù)而每個基站又分別擁有多個代理的情況����。當(dāng)一個基站擁有多個代理的時候,往往可以通過公開一個共存性代理的網(wǎng)絡(luò)地址而將另外一個共存性代理作為備份��,一旦正在使用的共存性代理出現(xiàn)問題�,即可以通過公開并切換到另一個代理的方式繼續(xù)進行后續(xù)的共存性消息交互�����。也可通過同時公開多個共存性代理的方式作為相互的負荷分擔(dān)和在線備份。圖中共存性代理p1和p2均代理基站A��,p3代理基站B�����,A在與B進行共存性消息交互時選擇p2進行消息轉(zhuǎn)發(fā)��。
總而言之�����,由于基站自身的網(wǎng)絡(luò)接口要承載大量的數(shù)據(jù)業(yè)務(wù)和相關(guān)控制��,其IP地址的改變會帶來很多不良影響���。而與每個基站相連的共存性代理只用于代理收發(fā)共存性信令���,所以其網(wǎng)絡(luò)地址更改配置不影響基站的主業(yè)務(wù),并且多代理之間可以相互備份�����。同時共存性代理需要處理的信息較少,所需帶寬不大�,受到攻擊后癱瘓的可能性較小。共存性代理功能簡單成本低����,便于采用多個代理備份以提高可靠性。
當(dāng)代理服務(wù)器收到所代理的基站向外發(fā)送的共存性消息時��,該代理服務(wù)器將消除消息中基站的源網(wǎng)絡(luò)地址并添加自己的網(wǎng)絡(luò)地址作為源�,同時填入或保證消息中的基站標(biāo)識,并將轉(zhuǎn)換后的消息發(fā)送給目標(biāo)地址��。當(dāng)代理服務(wù)器收到所代理基站之外的源發(fā)送來的共存性消息時���,該代理將根據(jù)基站標(biāo)識識別出發(fā)向所代理基站的共存性消息���,并轉(zhuǎn)發(fā)至對應(yīng)的代理基站。根據(jù)本發(fā)明的共存性代理服務(wù)器可以但不限于共存性基站中集成的一個功能模塊或是一個獨立的共存性代理設(shè)備��。
根據(jù)本發(fā)明�,基站的網(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi),不會在公共網(wǎng)絡(luò)內(nèi)公開�����,使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低。
在單個代理收到攻擊癱瘓時��,可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響��。
以上所述僅為本發(fā)明的優(yōu)選實施例而已����,并不用于限制本發(fā)明����,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種代理服務(wù)器����,用于代理至少一個基站進行安全通信,所述代理服務(wù)器具有代理服務(wù)器地址信息�����,其特征在于,包括數(shù)據(jù)庫�,用于儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息;以及處理單元���,用于將來自所述至少一個基站的第一消息報文中的基站源地址信息替換為所述代理服務(wù)器的代理服務(wù)器地址信息����,向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文����。
2.根據(jù)權(quán)利要求1所述的代理服務(wù)器,其特征在于�,所述處理單元還用于解析來自所述至少一個基站的第一消息報文,并在來自所述第一消息報文中沒有所述基站標(biāo)識信息的情況下���,在所述第一消息報文中添加對應(yīng)于所述基站地址信息的基站標(biāo)識信息�����,從而生成帶有所述基站標(biāo)識信息和所述代理服務(wù)器地址信息的第二消息報文����。
3.根據(jù)權(quán)利要求1或2所述的代理服務(wù)器,其特征在于����,所述數(shù)據(jù)庫還儲存有映射關(guān)系表,用于使所述至少一個基站的基站地址信息與基站標(biāo)識信息建立對應(yīng)關(guān)系����。
4.根據(jù)權(quán)利要求3所述的代理服務(wù)器���,其特征在于��,所述處理單元進一步用于在從任意源地址接收到所述第二消息報文后���,對所述第二消息報文進行解析,根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息�,并根據(jù)所述基站地址信息,將所述第二消息報文的目標(biāo)地址更改為所述基站地址信息后生成并發(fā)送第三消息報文���。
5.根據(jù)權(quán)利要求4所述的代理服務(wù)器�,其特征在于�,進一步包括基站側(cè)邏輯接口,用于從所述至少一個基站接收所述第一消息報文,向所述至少一個基站發(fā)送所述第三消息報文����;以及網(wǎng)絡(luò)側(cè)邏輯接口,用于向所述目標(biāo)地址發(fā)送所述第二消息報文�����,并從所述源地址接收所述第二消息報文���。
6.根據(jù)權(quán)利要求1至5中任一項所述的代理服務(wù)器���,其特征在于,所述處理單元進一步用于檢測所述第二消息報文的目標(biāo)地址是否與所述代理服務(wù)器地址相同�,如果相同,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息��,并根據(jù)所述基站地址信息將第二消息報文的目標(biāo)地址更改為所述基站地址信息后生成并發(fā)送所述第三消息報文��,如果不同���,則根據(jù)所述第二消息報文的目標(biāo)地址發(fā)送所述第二消息報文�。
7.根據(jù)權(quán)利要求1至6中任一項所述的代理服務(wù)器���,其特征在于�,所述處理單元還用于接收到所述檢測所述第一消息報文的源地址是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站地址,如果屬于����,則根據(jù)所述源地址信息在所述映射關(guān)系表查找所述基站標(biāo)識信息,并發(fā)送所述第二消息報文���。
8.根據(jù)權(quán)利要求1至7中任一項所述的代理服務(wù)器�,其特征在于�,所述處理單元還用于檢測接收到的所述第二消息報文中基站標(biāo)識是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站標(biāo)識�����,如果屬于����,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息。
9.根據(jù)權(quán)利要求1至8中任一項所述的代理服務(wù)器��,其特征在于�����,所述基站地址信息包括基站IP地址,所述代理服務(wù)器地址信息包括代理服務(wù)器IP地址�����。
10.根據(jù)權(quán)利要求1至9中任一項所述的代理服務(wù)器�,其特征在于,所述數(shù)據(jù)庫還儲存有非法代理服務(wù)器地址列表�,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的消息。
11.根據(jù)權(quán)利要求1至10中任一項所述的代理服務(wù)器�,其特征在于,所述數(shù)據(jù)庫還儲存有所有代理服務(wù)器的非法消息記錄或統(tǒng)計信息���。
12.根據(jù)權(quán)利要求1至11中任一項所述的代理服務(wù)器����,其特征在于����,所述數(shù)據(jù)庫還儲存有非法基站地址發(fā)送記錄或統(tǒng)計信息,所述處理單元可對所述非法基站地址發(fā)送記錄或統(tǒng)計記錄進行更新���。
13.根據(jù)權(quán)利要求1至12中任一項所述的代理服務(wù)器���,其特征在于��,所述至少一個基站是免許可頻段基站����。
14.根據(jù)權(quán)利要求1至13中任一項所述的代理服務(wù)器�����,其特征在于���,所述處理單元通過無線網(wǎng)絡(luò)向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文����。
15.根據(jù)權(quán)利要求1至14中任一項所述的代理服務(wù)器�,其特征在于,所述代理服務(wù)器包括共存性代理服務(wù)器�。
16.根據(jù)權(quán)利要求1至15中任一項所述的代理服務(wù)器��,其特征在于����,所述代理服務(wù)器與所述基站集成在一起。
17.根據(jù)權(quán)利要求1至16中任一項所述的代理服務(wù)器�,其特征在于����,所述處理單元還用于檢測接收到所述第二消息報文中基站標(biāo)識是否屬于所述代理服務(wù)器的數(shù)據(jù)庫中配置的基站標(biāo)識����,如果屬于,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息����,并發(fā)送所述第三消息報文。
18.根據(jù)權(quán)利要求1至17中任一項所述的代理服務(wù)器��,其特征在于�����,所述基站標(biāo)識包含但不限于全球唯一的基站標(biāo)識或根據(jù)所述代理服務(wù)器內(nèi)部規(guī)則對基站進行的在本代理服務(wù)器內(nèi)的唯一標(biāo)識�����。
19.一種用于代理至少一個基站進行安全通信的方法��,其特征在于����,包括以下步驟第一步驟�����,使用數(shù)據(jù)庫儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息��;第二步驟����,使用處理單元將來自所述至少一個基站的第一消息報文中的基站源地址信息替換為所述代理服務(wù)器的代理服務(wù)器地址信息�;以及第三步驟,向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文����。
20.根據(jù)權(quán)利要求19所述的方法,其特征在于�,所述第二步驟進一步包括解析來自所述至少一個基站第一消息報文,并在來自所述至少一個基站的第一消息報文中沒有所述基站標(biāo)識信息的情況下��,使用所述處理單元在所述第一消息報文中添加對應(yīng)于所述至少一個基站的基站地址信息的基站標(biāo)識信息�,從而生成帶有所述基站標(biāo)識信息和所述代理服務(wù)器地址信息的第二消息報文。
21.根據(jù)權(quán)利要求19或20所述的方法�����,其特征在于��,所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存映射關(guān)系表��,使所述至少一個基站的基站地址信息與基站標(biāo)識信息建立對應(yīng)關(guān)系���。
22.根據(jù)權(quán)利要求21所述的方法���,其特征在于,所述第二步驟進一步包括所述處理單元在從任意源地址接收到所述第二消息報文后���,根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息�,并根據(jù)所述基站地址信息將所述第二消息報文的目標(biāo)地址更改為所述基站地址信息后發(fā)送第三消息報文����。
23.根據(jù)權(quán)利要求19至22中任一項所述的方法,其特征在于�����,進一步包括以下步驟提供基站側(cè)邏輯接口���,以從所述至少一個基站接收所述第一消息報文�����,向所述至少一個基站發(fā)送所述第三消息報文�����;以及提供網(wǎng)絡(luò)側(cè)邏輯接口��,以向所述目標(biāo)地址發(fā)送所述第二消息報文����,并從所述源地址接收所述第二消息報文。
24.根據(jù)權(quán)利要求19至23中任一項所述的方法���,其特征在于���,進一步包括以下步驟檢測所述第二消息報文的目標(biāo)地址是否與所述代理服務(wù)器地址相同,如果相同��,則根據(jù)所述基站標(biāo)識信息在所述映射關(guān)系表查找所述基站地址信息����,并根據(jù)所述基站地址信息將第二消息報文的目標(biāo)地址更改為所述基站地址信息后發(fā)送所述第三消息報文,如果不同��,則根據(jù)所述第二消息的報文目標(biāo)地址發(fā)送所述第二消息報文��。
25.根據(jù)權(quán)利要求19至24中任一項所述的方法��,其特征在于���,所述基站地址信息包括基站IP地址����,所述代理服務(wù)器地址信息包括代理服務(wù)器IP地址�。
26.根據(jù)權(quán)利要求19至25中任一項所述的方法,其特征在于�,所述處理單元還用于接收到所述檢測所述第一消息報文的源地址是否屬于所述代理服務(wù)器數(shù)據(jù)庫中配置的基站地址,如果屬于�����,則根據(jù)所述源地址信息在所述映射關(guān)系表查找所述基站標(biāo)識信息�����,并發(fā)送所述第二消息報文���。
27.根據(jù)權(quán)利要求19至26中任一項所述的方法�,其特征在于,所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存非法代理服務(wù)器地址列表��,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的信息�。
28.根據(jù)權(quán)利要求19至27中任一項所述的方法,其特征在于��,所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存所有代理服務(wù)器的非法消息記錄或統(tǒng)計信息��,所述處理單元根據(jù)所述非法代理服務(wù)器地址列表屏蔽來自非法代理服務(wù)器的消息�。
29.根據(jù)權(quán)利要求19至28中任一項所述的方法,其特征在于���,所述第一步驟進一步包括在所述數(shù)據(jù)庫中儲存非法基站地址發(fā)送記錄或統(tǒng)計信息����,所述處理單元可對所述非法基站地址發(fā)送記錄或統(tǒng)計記錄進行更新�����。
30.根據(jù)權(quán)利要求19至29中任一項所述的方法��,其特征在于���,所述處理單元通過無線網(wǎng)絡(luò)向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文��。
31.根據(jù)權(quán)利要求19至30中任一項所述的方法�,其特征在于,進一步包括以下步驟判斷目標(biāo)基站的代理服務(wù)器是否是源基站的代理服務(wù)器如果是��,則根據(jù)目標(biāo)基站標(biāo)識查找目標(biāo)基站的網(wǎng)絡(luò)地址��,然后從基站側(cè)接口向目標(biāo)基站發(fā)送第一消息報文���;以及如果不是,則從網(wǎng)絡(luò)側(cè)接口向目標(biāo)基站的代理服務(wù)器發(fā)送第二消息報文�。
32.根據(jù)權(quán)利要求19至31中任一項所述的方法,其特征在于��,所述基站標(biāo)識包含但不限于全球唯一的基站標(biāo)識或根據(jù)所述代理服務(wù)器內(nèi)部規(guī)則對基站進行的在本代理服務(wù)器內(nèi)的唯一標(biāo)識�����。
33.一種安全通信系統(tǒng)����,其特征在于,包括至少一個基站��;以及根據(jù)權(quán)利要求1至17中任一項所述的代理服務(wù)器����,用于代理至少一個基站進行安全通信�。
全文摘要
本發(fā)明提供了一種代理服務(wù)器�����,用于代理至少一個基站進行安全通信��,代理服務(wù)器具有代理服務(wù)器地址信息��,包括數(shù)據(jù)庫��,用于儲存所述至少一個基站的基站地址信息和對應(yīng)于所述基站地址信息的基站標(biāo)識信息��;以及處理單元��,用于將來自所述至少一個基站的第一消息報文中的基站源地址信息替換為所述代理服務(wù)器的代理服務(wù)器地址信息�,向目標(biāo)地址發(fā)送帶有所述代理服務(wù)器地址信息的第二消息報文。根據(jù)本發(fā)明����,基站的網(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi),不會在公共網(wǎng)絡(luò)內(nèi)公開����,使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低���。在單個代理收到攻擊癱瘓時,可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響����。
文檔編號H04W92/20GK101031134SQ20061005805
公開日2007年9月5日 申請日期2006年2月28日 優(yōu)先權(quán)日2006年2月28日
發(fā)明者鄔旭永, 潘眾, 趙泉波 申請人:華為技術(shù)有限公司