專利名稱:一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法及裝置的制作方法
技術領域:
本發(fā)明涉及無線通信技術�,尤其涉及無線通信中在安全關聯(lián)反應系統(tǒng)中傳 送消息的方法及裝置��。
背景技術:
隨著分組數據業(yè)務逐漸取代傳統(tǒng)電路語音�,移動運營商網絡趨于IP化����, 與此同時,網絡中存在的病毒產生大量的數據流量不僅造成網絡資源浪費����,而 且嚴重影響了運營網絡的效率和安全,對用戶終端和業(yè)務產生不利的影響和安 全威脅���。隨著應用業(yè)務逐漸豐富���,第三方ASP不斷增加,業(yè)務趨向增值服務和精細 化經營����。移動用戶在獲得更多樣化的服務的同時,對自身和網絡帶來的安全風 險也大大增加����。例如由于企業(yè)用戶身份失竊,使企業(yè)的內部資源暴露給非授 權用戶;應用系統(tǒng)遭到破壞或被濫用��;應用服務質量下降甚至不可用等��。由于用戶終端分布范圍廣泛�,移動終端的病毒侵入較容易,而且小的移動 終端因為資源有限導致防護能力較低下���,無法保證用戶終端都裝有殺毒軟件或 防火墻��。即使用戶終端都安裝安全應用軟件����,由于沒有統(tǒng)一控制����,用戶不能及 時進行安全更新���,造成系統(tǒng)漏洞或病毒庫的過期等安全隱患�。為了解決由不安全終端帶來的網絡安全問題���,采用安全關聯(lián)反應系統(tǒng) (CRS���, Correlative Reacting System)提供從網絡接入控制到應用服務控制的 多層安全控制手^:��。參閱圖1所示為CRS系統(tǒng)結構示意圖�����,包括移動臺側的安全代理(SCA)��、 網絡側的安全服務器(SCS)����、網絡側的網絡接入控制器(NAC)和應用服務控 制器(ASC)�����。安全代理和安全服務器通過Ic接口進行通信�,同時,安全服務器通過Ics
接口和PLMN中的其它網元通信���,通過它們之間的通信和交互����,關聯(lián)反應系統(tǒng) 提供對移動臺的控制功能�����。安全代理SCA負責收集移動臺的安全相關信息,對其進行處理并與安全 服務器進行通信�����。安全服務器SCS通過安全代理收集到的安全相關信息來評估 移動臺的安全狀況�。當安全服務器判斷出移動臺不安全時,安全服務器會指示 NAC或ASC對移動臺的網絡訪問和應用訪問進行控制�����,安全服務器將對移動 臺的控制情況通知SCA�����。當有適合移動臺進行自身操作系統(tǒng)升級的補丁�����、組件 或者安全相關應用軟件的更新時��,SCS通知SCA協(xié)助移動臺進行相應的升級 或者更新�����。SCS服務器通過對用戶所使用的移動臺的控制來實現(xiàn)對移動用戶的網絡 訪問控制和應用服務控制����,其基礎信息來源是SCA向SCS服務器發(fā)送的SCI 報告和移動用戶在移動數據網絡中已經申請或定制的各種服務。采用CRS系統(tǒng)能有效提高防御不安全終端安全威脅的性能�����,但在無線網 絡中如何布置安全關聯(lián)反應系統(tǒng)以及如何進行相關消息的傳送����,提高無線網絡 的安全性成為業(yè)界急待解決的問題。發(fā)明內容本發(fā)明提供一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法及裝置���,以便在無 線網絡中部署安全關聯(lián)反應系統(tǒng)(又稱關聯(lián)響應系統(tǒng))�����,從而提高無線網絡的 通信安全�����。本發(fā)明提供以下技術方案一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法�,應用于無線網絡��;該方法包 括步驟無線核心網絡中的安全服務器以自身在接收消息的目標對象所關聯(lián)的其 他網絡中的IP地址為源地址,將發(fā)往所述目標對象的消息封裝為第一報文�;安全服務器將所述第一報文封裝為能夠在無線核心網絡中傳輸的第二報 文,并將該第二報文發(fā)往無線核心網絡的邊界網元�����;
所述邊界網元從所述第二報文中解封裝出第 一報文����,并將該第 一報文發(fā)往 所述目標網元。 其中所述方法還包括步驟無線核心網絡的邊界網元將從所述目標對象發(fā)往所 述安全服務器的第一報文封裝為能夠在所述無線核心網絡中傳輸的第二報文����; 所述邊界網元將所述第二報文發(fā)往所述安全服務器;所述安全服務器從所述第 二報文中解封裝出第 一報文��,以及從該第 一報文中解封裝出消息內容�����。所述安全服務器在封裝第一報文時至少進行隧道協(xié)議封裝�����,并且在解封裝 第二報文時至少進行隧道協(xié)議解封裝�����;所述邊界網元在解封裝第二報文時至少 進行相應的隧道協(xié)議解封裝��,并且在封裝第一報文時至少進行隧道協(xié)議封裝��。所述無線核心網絡中的每個安全^ll務器對應一個其他網絡����,并配置一個在 該其他網絡中為所述安全服務器分配的IP地址;或者����,所述無線核心網絡中 的每個安全服務器對應多個所述其他網絡,并配置在每個所述其他網絡中為該 安全服務器分配的IP地址��。一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法��,應用于無線網絡�����;該方法包 括步驟無線核心網絡的邊界網元將關聯(lián)到其他網絡的對象發(fā)往安全服務器的第 一報文封裝為能夠在所述無線核心網絡中傳輸的第二報文����;所述邊界網元將所述第二報文發(fā)往所述安全服務器��;所述安全服務器從所述第二報文中解封裝出第一報文���,并從該第一報文中 解封裝出消息內容。一種應用于無線核心網絡中的安全服務器����,包括第一封^/解封裝沖莫塊,用于以本安全服務器在接收消息的目標對象所關聯(lián) 的其他網絡中的IP地址為源地址��,將發(fā)往所述目標對象的消息封裝為第一報 文�,以及從接收到的第一報文中解封裝出消息內容;第二封勤解封裝模塊,用于將所述第一報文封裝為能夠在無線核心網絡中傳輸的第二報文����,以及從接收到的第二報文中解封裝出第 一報文。所述第 一封裝/解封裝模塊包括用于根據所述外部網絡標識從多個外部網 絡分配的IP地址中選擇對應的IP地址的模塊�。所述第二封裝/解封裝模塊中包括用于對報文進行隧道協(xié)議封裝或解封裝 的子4莫塊。一種無線核心網絡����,包括接入控制i殳備,用于控制所述移動臺接入和訪問網絡��; 邊界網元,用于將接入無線核心網絡的移動臺接入到外部網絡�; 安全服務器SCS,分別連接到所述接入控制設備和所述邊界網元���,并具有 在所述外部網絡中使用的IP地址����,用于向所述接入控制設備下發(fā)控制移動臺的策略�����,以及通過所述邊界網元從外部網絡獲取與移動臺相關的安全更新信 命其中�����,所述無線核心網絡中僅設置一套安全服務器����,該一套安全服務包括 一個安全服務器或包括多個相同的安全服務器�,其中每個安全服務器分別連接到多個邊界網元;或者�,所述無線核心網絡中設置多套安全服務器, 一套安全 服務包括一個安全服務器或包括多個相同的安全服務器��, 一個安全服務器僅連 接到 一個邊界網元或僅連接到兩個邊界網元。 本發(fā)明有益效果如下本發(fā)明在無線核心網中部署一臺或多臺安全服務器SCS�����,并在該SCS上配 置在外部網絡中為SCS分配的IP地址����,SCS根據接收消息的外部網絡封裝相 應的IP報文,以及對應接收到的報文進行相應的解封裝�����,使SCS能夠與核心 網絡外的對象通信����,從而在無線網絡中實現(xiàn)關聯(lián)反應系統(tǒng),能夠大幅度提高整 個無線網絡的安全性��。采用本發(fā)明僅需要增加SCS和進行相關配置���,對現(xiàn)無線 核心網絡結構影響小����,其實現(xiàn)容易而且成本低�。
圖1為現(xiàn)有安全關聯(lián)反應系統(tǒng)體系結構示意圖2為本發(fā)明實施例中在無線核心網中部署一個安全服務器的結構示意圖;圖3為本發(fā)明實施例中安全服務器的結構示意圖;圖4為本發(fā)明實施例中在無線核心網中部署多個安全服務器的結構示意圖���;圖5為本發(fā)明實施例中無線網絡中相關實體協(xié)議棧的層次示意圖����;圖6A為本發(fā)明實施例中在無線核心網內僅設置一套安全服務器時安全月良 務器的協(xié)議棧示意圖�;圖6B、圖6C為本發(fā)明實施例中在無線核心網內設置多套安全服務器時各 安全服務器的協(xié)議棧示意圖�;圖7為本發(fā)明實施例中安全服務器向分組數據網PDN中的網元發(fā)送消息 的流程圖;圖8為本發(fā)明實施例中PDN中的網元向SCS發(fā)送消息的流程圖��; 圖9為本發(fā)明實施例中安全服務器向移動臺發(fā)送消息的流程圖��。
具體實施方式
為了提高無線網絡的安全性�,本發(fā)明通過在無線核心網絡中設置安全服務 器SCS,在移動臺MS側設置安全代理SCA來實現(xiàn)安全關聯(lián)反應系統(tǒng)(又稱 關聯(lián)響應系統(tǒng))�。對于發(fā)送到核心網絡外其他目標對象的消息,安全服務器根 據接收消息的目標對象所關聯(lián)的其他網絡�����,以本服務器在該其他網絡中的IP 地址為源地址將消息封裝成報文�����,然后將該報文封裝為能夠在無線核心網中傳 輸的報文后發(fā)送到無線核心網的邊界網元,由該邊界網元解封裝出IP報文后 發(fā)往目標對象����;同樣的,安全服務器對所述目標對象發(fā)送來的報文進行相應的 解封裝處理�����,從而在無線網絡中實現(xiàn)與安全關聯(lián)反應系統(tǒng)相關消息的傳送��。圖2所示為本實施中在無線核心網內部署一套安全服務器的無線通信系統(tǒng) 結構示意圖�,其中核心網絡包括一套安全服務器,與該安全服務器連接的接入 控制設備�����、PDN網關和Internet網關(即GPRS支撐節(jié)點GGSN)��。所述接入
控制設備用于控制移動臺接入核心網絡�����,該接入控制設備可以是網絡訪問控制器NAC�,也可以是應用服務控制器ASC;如無線核心網絡中的SGSN。所述 PDN網關和Internet網關作為核心網絡的邊界網元�����,分別將移動臺接入到外部 分組數據網絡PDN和Internet網絡;安全服務器根據移動臺的安全狀態(tài)向接入 控制設備提供安全控制策略�����,接入控制設備執(zhí)行該策略對移動臺進行相應的安 全控制����。在移動臺側設置有安全代理SCA,用于收集移動臺的安全相關信息,對其 進行處理向安全服務器發(fā)送安全關聯(lián)信息報告�,安全服務器依據該安全相關信 息來評估移動臺的安全狀況,根據安全狀態(tài)確定控制策略并下發(fā)給NAC或 ASC�,由其對移動臺的網絡訪問或應用服務進行控制。安全服務器通過PDN 網關�����、Internet網關從相應的網絡獲取適合移動臺進行自身操作系統(tǒng)升級的補 丁�、組件或者安全相關應用軟件的更新信息�,并通知移動臺中的安全代理SCA 協(xié)助移動臺進行相應的升級或者更新。所述一套安全服務器是指功能和協(xié)議棧結構相同的一個或者多個安全服 務器�, 一套安全服務器至少包括一個處于正常工作狀態(tài)的安全服務器,還可能 包含若干個處于備份狀態(tài)的安全服務器���。如果一套安全服務器中有多個工作的 安全服務器��,則采用負載分擔的方式為其管轄范圍內的移動臺服務�����。圖3所示為本實施例中在一個無線核心網內為每個與無線核心網相連的 PDN或Internet分別部署一套安全服務器的無線通信系統(tǒng)結構示意圖�����。與圖2 所示系統(tǒng)不同的是��,圖3所示的無線核心網絡中具有多套安全服務器�,各套安 全服務器與一個GGSN相連,分別為移動臺接入到相應的外部網絡提供安全服 務���。如��,安全服務器1與一個PDN網關相連�,安全服務器2與Internet網關相 連����。另外,在圖3的基礎上��,如果需要各安全服務器能夠連接到Internet網絡, 則將與PDN網關相連的安全服務器連接到Internet網關��。在無線核心網絡中部署安全服務器后����,在外部網絡中為安全服務器分配IP 地址并將其配置在安全服務器上。安全服務器與這些網絡中的網元通信時�����,將 自身在相應的外部網全各中的IP地址封裝在凈艮文中�����。對于圖2中的安全月艮務器����, 分別在PDN網絡和Internet網絡中為其分配一個IP地址;對于圖3中的安全 服務器1和安全月l務器2�,分別在PDN網絡和Internet網絡為其分配一個IP 地址�。如果需要圖3中的安全服務器都能訪問Internet網絡,則各安全服務器 上具有分別在PDN網絡和Internet網絡為其分配一個IP地址��。參閱圖4所示�,本實施例中的服務器包括第一封裝/解封裝模塊40和第二 封裝/解封裝^^莫塊41 ����。第 一封裝/解封裝模塊40利用外部網絡中的IP地址將上 層發(fā)往外部網絡的消息封裝IP報文�����,以及從相應的IP報文中解封裝出消息內 容��;第二封裝/解封裝模塊41將第一封裝模塊40封裝后的IP報文封裝為能夠 在無線核心網絡中傳送的報文��。第一封^/解封裝才莫塊40包括TCP/UDP封裝/解封裝模塊401和IP封裝/ 解封裝模塊402; TCP/UDP封裝/解封裝模塊401將上層應用產生的消息內容 封裝為TCP或UDP報文����,以及從相應的TCP或UDP報文中解封裝出消息內 容;IP封裝/解封裝^t塊402根據接收消息的外部網絡標識從多個外部網絡分 配的IP地址中選擇對應的IP地址����,以該IP地址為源IP地址,以及外部網絡 中的目標網元的IP地址為目標IP地址���,將TCP或UDP報文封裝為IP報文���, 以及從相應的IP報文中解封裝出TCP或UDP報文。第二封裝/解封裝模塊41包括隧道協(xié)議封裝/解封裝模塊410���、 TCP/UDP封 裝/解封裝模塊411��、 IP封裝/解封裝模塊412和網絡層傳輸協(xié)議封裝/解封裝模 塊413�����。這些封裝/解封裝模塊按照無線核心網絡中的協(xié)議規(guī)定對報文進行封裝 和解封裝�。在2.5G的情況下,本實施例中無線網絡中相關實體協(xié)議棧的層次如圖5 所示����,安全服務器發(fā)送消息時,將上層應用產生的消息內容進行TCP或UDP 封裝����,然后,從本服務器上配置的外部網絡IP址地中選擇一個IP地址為源地 址����,將所述TCP報文或UDP報文封裝為IP報文,該IP報文能夠在外部網絡 中傳送�;之后,對IP報文進行隧道協(xié)議封裝���,以及依次進行底層的TCP/UDP 封裝��、IP封裝和Ll/L2協(xié)議封裝���,使封裝后的報文能夠在無線核心網絡中傳送。 核心網絡中的接入控制設備和GGSN接收到安全服務器發(fā)送的報文后���,依次進 行L1/L2解封裝��、IP解封裝����、TCP/UDP解封裝和隧道協(xié)議解封裝����,然后再將 其往目標網元傳送。對于發(fā)送給移動臺的消息�,接入控制設備還需要按照無線 接入網絡中的協(xié)議對解封裝出的報文進行相關協(xié)議封裝,然后通過無線接入網 絡傳送到移動臺��,由移動臺進行對應的解封裝處理�,直到解封裝出消息內容; 對于發(fā)送給外部網絡中的網元的消息����,GGSN直接向目標網元發(fā)送將解封裝出 的報文����。相應的����,安全服務器接收到外部網絡中的網元發(fā)送的消息后進行與發(fā) 送消息時相對應的解封裝處理。當安全服務器與接入控制設備�、網關設備的底層承載協(xié)議(Ll/L2層之上 的網絡層和傳輸層協(xié)議)不同時,比如接入控制設備����、網關設備的底層協(xié)議為 X.25,而安全服務器的底層協(xié)議為TCP/IP時,安全服務器與接入控制設備����、 網關設備之間的通信需要封裝在GTP隧道中傳輸,安全服務器發(fā)出的GTP報 文通過其它的X.25—TCP/IP雙棧設備轉換后���,與接入控制設備����、網關設備之 間通信����,反之亦然��。這樣,用GTP隧道來屏蔽底層承載協(xié)議不同對上層信息 傳輸的影響��。在3G下�,BSS系統(tǒng)將由UTRAN取代,因此上述的GTP隧道范圍從SGSN —GGSN之間變化為UTRAN—GGSN之間����,其處理過程同理。另外�,安全服務器與接入控制設備和網關設備通信,也可以通過無線核心 網的IP層直接通訊��。圖6A給出了本實施例中在無線核心網內僅設置一個安全服務器時���,安全 服務器的協(xié)議棧��。安全服務器擁有一個無線核心網內的靜態(tài)IP地址�,用于無 線網內的通信���;同時���,對于與無線核心網相連接的每一個外部網絡�,如PDN, 安全服務器分別擁有一個相應的PDN內的靜態(tài)地址IP ( PDN n )����,該IP地址用 于安全服務器與連接到該PDN的移動臺MS、該PDN中的其他網元進行通信�����。圖6B給出了本實施例中在無線核心網內設置多個安全服務器時���,各安全 服務器的協(xié)議棧���。每一個安全服務器分別擁有一個無線核心網內的靜態(tài)IP地址,用于無線核心網內的通信��;同時�,對于與無線核心網相連接的外部分組數 據網絡PDN,與之對應的安全月良務器擁有一個該PDN內的靜態(tài)i也址IP�,該IP 地址用于安全服務器與連接到該PDN的MS、該PDN中的其他網元進行通信��。當安全服務器(可以是部分安全服務器�,也可以是全部安全服務器)需要 訪問Internet網絡中時�����,該安全服務器還配置一個Internet網絡中的靜態(tài)IP地 址�,此時�,安全服務器的協(xié)議棧如圖6C所示。其中�,每一個安全服務器分別 擁有一個無線核心網內的靜態(tài)IP地址���,用于無線核心網內的通信�;同時����,各 安全服務器擁有一個對應的PDN中的靜態(tài)IP地址和Internet中的靜態(tài)IP地址。參閱圖7所示���,安全服務器向PDN中的網元發(fā)送消息的處理過程如下步驟701 �����、安全服務器將上層應用發(fā)往PDN網絡中的網元的消息內容封裝 為TCP或UDP才艮文�����。步驟702���、安全服務器根據接收消息的目標網元所在的PDN���,從配置的外 部網絡地址中選擇所述PDN內的IP地址作為源地址,以所述目標網元在PDN 中的IP地址為目標地址�,將所述TCP或UDP報文封裝為能夠在該PDN網絡 中傳輸的IP報文。步驟703 ���、安全服務器對步驟702得到的IP報文進行隧道協(xié)議封裝���。步驟704、安全服務器將步驟703得到GTP報文封裝為TCP或UDP報文����。步驟705、安全服務器將步驟704得到的TCP或UDP報文封裝為IP報文����, 其中源IP地址為安全服務器在無線核心網內的靜態(tài)IP地址,目標地址為目標 GGSN在無線核心網絡中的IP地址�。步驟706、安全服務器對步驟706得到的IP報文進行無線核心網的網絡層 傳輸協(xié)議封裝��,然后通過發(fā)送到目標GGSN。步驟707�����、 GGSN接收到報文后����,依次對其進行無線核心網的網絡層傳輸 協(xié)議解封裝、IP解封裝和隧道協(xié)議解封裝�,得到可以在PDN中傳送的IP報文。步驟708���、 GGSN將步驟707解封裝的報文發(fā)送到PDN中的目標網元。
參閱圖8所示�,PDN中的網元向安全服務器發(fā)送消息的處理流程如下 步驟801、 PDN中的網元根據自身和安全服務器在PDN中的IP地址�����,將 需要發(fā)送的內容封裝為IP報文���,并發(fā)送到GGSN�����。 步驟802��、 GGSN對IP報文進行隧道協(xié)議封裝�����。步驟803����、 GGSN將步驟802得到GTP報文封裝為TCP或UDP報文。步驟804�����、 GGSN將步驟803得到的TCP或UDP報文封裝為IP報文�����,其 中源IP地址為GGSN在無線核心網內的靜態(tài)IP地址��,目標地址為安全服務器 在無線核心網絡中的IP地址��。步驟805�、 GGSN對步驟804得到的IP報文進行無線核心網的網絡層傳輸 協(xié)議封裝,然后發(fā)送到安全服務器��。步驟806、安全服務器接收到報文后�����,依次對其進行無線核心網的網絡層 傳輸協(xié)議解封裝�����、IP解封裝和隧道協(xié)議解封裝�,得到可以在PDN中傳送的IP 報文。步驟807��、安全服務器從步驟806中得到的IP報文中解封裝出TCP/UDP報文���,然后解封裝出消息內容并送到上層應用。參閱圖9所示�,安全服務器向移動臺發(fā)送消息的處理過程如下步驟901、安全服務器將上層應用發(fā)往移動臺的消息內容封裝為TCP或UDP報文(移動臺已注冊到PDN )��。步驟902���、安全服務器根據接收消息的目標網元所在的PDN�����,從配置的外部網絡地址中選擇所述PDN內的IP地址作為源地址�,以移動臺訪問的PDN中的IP地址為目標地址,將所述TCP或UDP報文封裝為IP報文����。步驟903、安全服務器對步驟902得到的IP報文進行隧道協(xié)議封裝�����。 步驟904���、安全服務器將步驟903得到GTP報文封裝為TCP或UDP報文����。 步驟905���、安全服務器將步驟904得到的TCP或UDP報文封裝為IP報文�����,其中源IP地址為安全服務器在無線核心網內的靜態(tài)IP地址�����,目標地址為目標GGSN在無線核心網絡中的IP地址��。
步驟906���、安全服務器對步驟706得到的IP報文進行無線核心網的網絡層 傳輸協(xié)議封裝�,然后通過發(fā)送到控制接入設備��。步驟907�、控制接入設備接收到報文后,依次對其進行無線核心網的網絡 層傳輸協(xié)議解封裝����、IP解封裝和隧道協(xié)議解封裝,得到IP報文�。步驟卯8、接入控制設備依次按照子網匯聚協(xié)議�����、基站-接入設備協(xié)議對IP 報文進行封裝��,然后發(fā)送到基站��。步驟909�、基站對接收到的4艮文進行基站-接入設備協(xié)議解封裝,然后���,對 解封裝出的報文進行無線協(xié)議封裝并發(fā)送到移動臺��。步驟910�、移動臺接收到報文后�����,依次進行無線協(xié)議解封裝�����、子網匯聚協(xié) 議解封裝����、IP解封裝和TCP/UDP解封裝,得到消息內容并傳送給SCA�。根據圖9所示的流程,本領域普通技術人員應知道���,從移動臺發(fā)往安全服 務器的消息的處理與此同理��。應當理解��,上述所描述的具體實施例僅用于解釋本發(fā)明����,并不用于限定本 發(fā)明。本領域的普通技術人員應該知道�,上述對報文封裝/解封裝處理可以增加 和減少,但其基本的處理過程與上述同理���。如�����,部分應用是直接基于IP的����, 則不需要TCP或者UDP協(xié)議封裝/解封裝處理過程����。明的精神和范圍。這樣����,倘若對本發(fā)明的這些修改和變型屬于本發(fā)明權利要求 及其等同技術的范圍之內,則本發(fā)明也意圖包含這些改動和變型在內����。
權利要求
1、一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法���,應用于無線網絡系統(tǒng)���;其特征在于,包括如下步驟無線核心網絡中的安全服務器以本安全服務器在接收消息的目標對象所關聯(lián)的其他網絡中的IP地址為源地址����,將發(fā)往所述目標對象的消息封裝為第一報文;安全服務器將所述第一報文封裝為能夠在無線核心網絡中傳輸的第二報文���,并將該第二報文發(fā)往無線核心網絡的邊界網元���;所述邊界網元從所述第二報文中解封裝出第一報文,并將該第一報文發(fā)往所述目標網元��。
2�����、 如權利要求1所述的方法,其特征在于���,該方法還包括步驟 無線核心網絡的邊界網元將從所述目標對象發(fā)往所述安全服務器的第一報文封裝為能夠在所述無線核心網絡中傳輸的第二報文����;所述邊界網元將所述第二報文發(fā)往所述安全服務器����;所述安全服務器從所述第二報文中解封裝出第 一報文,以及從該第 一報文 中解封裝出消息內容���。
3���、 如權利要求2所述的方法,其特征在于�����,所述安全服務器在封裝第一 報文時至少進行隧道協(xié)議封裝��,并且在解封裝第二報文時至少進行隧道協(xié)議解 封裝�;所述邊界網元在解封裝第二報文時至少進行相應的隧道協(xié)議解封裝,并 且在封裝第一《^艮文時至少進行隧道協(xié)議封裝��。
4、 如權利要求l�����、 2或3所述的方法�,其特征在于���,所述無線核心網絡中 的每個安全服務器對應一個其他網絡�����,并配置一個在該其他網絡中為所述安全 服務器分配的IP地址���;或者,所述無線核心網絡中的每個安全服務器對應多 個所述其他網絡�,并配置在每個所述其他網絡中為該安全服務器分配的IP地 址。
5����、 一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法,應用于無線網絡���;其特 征在于�����,包括如下步驟無線核心網絡的邊界網元將關聯(lián)到其他網絡的對象發(fā)往安全服務器的第 一報文封裝為能夠在所述無線核心網絡中傳輸的第二報文��;所述邊界網元將所述第二報文發(fā)往所述安全服務器��;所述安全服務器從所述第二報文中解封裝出第 一報文����,并從該第 一報文中 解封裝出消息內容。
6�����、 如權利要求5所述的方法���,其特征在于���,所述邊界網元至少對所述第 一報文進行隧道協(xié)議封裝;所述安全服務器至少對所述第二報文進行相應的隧 道協(xié)議解封裝���。
7��、 如權利要求5或6所述的方法����,其特征在于,所述無線核心網絡中的 每個安全服務器對應一個其他網絡����,并配置一個在該其他網絡中為所述安全服 務器分配的IP地址;或者�,所述無線核心網絡中的每個安全服務器對應多個 所述其他網絡����,并配置在每個所述其他網絡中為該安全服務器分配的IP地址。
8�、 一種應用于無線核心網絡中的安全服務器,其特征在于����,包括 第一封裝/解封裝模塊,用于以本安全服務器在接收消息的目標對象所關聯(lián)的其他網絡中的IP地址為源地址���,將發(fā)往所述目標對象的消息封裝為第一報 文�����,以及從接收到的第一報文中解封裝出消息內容��;第二封裝/解封裝模塊���,用于將所述第一報文封裝為能夠在無線核心網絡中 傳輸的第二報文�,以及從接收到的第二報文中解封裝出第 一報文�����。
9�����、 如權利要求8所述的安全服務器���,其特征在于���,所述第一封裝/解封裝 模塊包括用于根據所述外部網絡標識從多個外部網絡分配的IP地址中選擇對應的 IP地址的模塊。
10��、 如權利要求8或9所述的安全服務器�����,其特征在于,所述第二封裝/ 解封裝模塊中包括 用于對報文進行隧道協(xié)議封裝或解封裝的模塊����。
11、 一種無線核心網絡���,包括接入控制設備����,用于控制所述移動臺接入和訪問網絡��;邊界網元����,用于將接入無線核心網絡的移動臺接入到外部網絡�����;其特征在于�,還包括安全服務器SCS,分別連接到所述接入控制設備和所述邊界網元��,并具有 在所述外部網絡中使用的IP地址�����,用于向所述接入控制設備下發(fā)控制移動臺自
12、如權利要求11所述的無線核心網絡�,其特征在于,所述無線核心網 絡中僅設置一套安全服務器�,該一套安全服務包括一個安全服務器或包括多個 相同的安全服務器,其中每個安全服務器分別連接到多個邊界網元����;或者,所 述無線核心網絡中設置多套安全服務器�, 一套安全J3良務包括一個安全服務器或 包括多個相同的安全服務器, 一個安全服務器僅連接到一個邊界網元或僅連接 到兩個邊界網元��。
全文摘要
本發(fā)明公開了一種在安全關聯(lián)反應系統(tǒng)中傳送消息的方法�����,該方法為��,無線核心網絡中的安全服務器以自身在接收消息的目標對象所關聯(lián)的其他網絡中的IP地址為源地址�����,并以本服務器在該網絡中的IP地址為源地址�����,將發(fā)往所述目標網元的消息封裝為第一報文;安全服務器將所述第一報文封裝為能夠在無線核心網絡中傳輸的第二報文���,并將該第二報文發(fā)往無線核心網絡的邊界網元�����;所述邊界網元從所述第二報文中解封裝出第一報文�,并將該第一報文發(fā)往所述目標網元�。本發(fā)明同時公開了一種通信系統(tǒng)。
文檔編號H04L12/02GK101127593SQ20061011216
公開日2008年2月20日 申請日期2006年8月15日 優(yōu)先權日2006年8月15日
發(fā)明者位繼偉, 姬長鋒, 科 賈 申請人:華為技術有限公司