專利名稱:一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�����、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域���,特別涉及一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方 法、系統(tǒng)和裝置���。
背景技術(shù):
LTE/EPC (Long Term Evolution/ Evolved Packet Core,長期演化/演進(jìn)的分 組核心網(wǎng))網(wǎng)絡(luò)是3GPP ( Third Generation Partnership Project,第三代合作伙 伴計(jì)劃)制定的一種移動通信技術(shù)規(guī)范��,目的是為了減少時延��,提供更高速 的用戶數(shù)據(jù)速率��,增強(qiáng)系統(tǒng)容量��,以及降低運(yùn)營成本��。其中�,LTE的接入網(wǎng) 部分也^皮稱為E-UTRAN ( Evolved -UMTS Terrestrial Radio Acces Network , 演進(jìn)的UMTS陸地?zé)o線接入網(wǎng))。EV-DO ( Evolution-Data Only,數(shù)據(jù)優(yōu)化演 進(jìn))網(wǎng)絡(luò)能夠?yàn)橐苿咏K端提供高速的分組數(shù)據(jù)服務(wù)����,EV-DO網(wǎng)絡(luò)也被稱為 HRPD ( High Rate Packet Data,高速分組數(shù)據(jù))網(wǎng)絡(luò)�����。LTE/EPC網(wǎng)絡(luò)和HRPD 網(wǎng)絡(luò)都是移動通信技術(shù)的發(fā)展方向�,網(wǎng)絡(luò)運(yùn)營商可能同時擁有LTE/EPC網(wǎng)絡(luò) 和EV-DO網(wǎng)絡(luò),因此LTE/EPC網(wǎng)絡(luò)與HRPD網(wǎng)絡(luò)的互通問題備受關(guān)注�����。
目前LTE/EPC網(wǎng)絡(luò)與HRPD網(wǎng)絡(luò)互通框架已基本確定,如圖1所示���,LTE 網(wǎng)絡(luò)中的實(shí)體MME與HRPD網(wǎng)絡(luò)中的實(shí)體AN ( Access Network,接入網(wǎng)) 間存在信令接口 S101,主要用于傳遞UE( User Equipment,用戶設(shè)備)與HRPD 網(wǎng)絡(luò)的信令���。PDSN( Packet Data Serving Node,分組數(shù)據(jù)服務(wù)節(jié)點(diǎn))與PDN GW (Public Data Network Gate Way公共數(shù)據(jù))間的4妄口為S2a, -使用PMIP( Proxy Mobile IP,代理移動IP)協(xié)議,從而保i正業(yè)務(wù)的連續(xù)性�����。為了減少切換過程 中的丟包�����,PDSN與Serving GW (Serving Gateway,月良務(wù)網(wǎng)關(guān))間建立承載 通道����,用于傳遞已發(fā)送到LTE但需要轉(zhuǎn)發(fā)到HRPD的用戶數(shù)據(jù)包。
在實(shí)現(xiàn)本發(fā)明的過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題現(xiàn)有 技術(shù)所建立的數(shù)據(jù)轉(zhuǎn)發(fā)隧道安全隱患較大�����,容易受到惡意攻擊。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法���、系統(tǒng)和裝置���,以保證 數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止惡意攻擊�。
為達(dá)到上述目的,本發(fā)明實(shí)施例一方面提供一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方
法���,具體包括以下步驟
接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示 和服務(wù)網(wǎng)關(guān)的地址的信令��,獲取所述服務(wù)網(wǎng)關(guān)的地址�����;
根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道��;
根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證�,如果驗(yàn)證成 功�,則接收所述數(shù)據(jù)。
另一方面���,本發(fā)明實(shí)施例提供另一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法����,具體包 括以下步驟
獲取信令保護(hù)信息;
接收服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令��;
根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn) 行校驗(yàn)��,如果校驗(yàn)成功��,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的 數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令���。
再一方面����,本發(fā)明實(shí)施例還提供一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的系統(tǒng)����,包括 目標(biāo)網(wǎng)關(guān)、服務(wù)網(wǎng)關(guān)����、目標(biāo)網(wǎng)絡(luò)實(shí)體和服務(wù)網(wǎng)絡(luò)實(shí)體,
所述服務(wù)網(wǎng)絡(luò)實(shí)體�,用于向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示的信令,接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的應(yīng)答�����,并轉(zhuǎn)發(fā)給服 務(wù)網(wǎng)關(guān)�;
所述目標(biāo)網(wǎng)絡(luò)實(shí)體,用于將所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示的信令發(fā)送給所述目標(biāo)網(wǎng)關(guān)��,接收所述目標(biāo)網(wǎng)關(guān)發(fā)送的攜帶參數(shù)的 應(yīng)答��,并將所述攜帶參數(shù)的應(yīng)答發(fā)送給所述服務(wù)網(wǎng)絡(luò)實(shí)體��;
所述服務(wù)網(wǎng)關(guān)��,用于接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的應(yīng)答���,獲 取信令保護(hù)信息�����,向所述目標(biāo)網(wǎng)關(guān)發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令��,接收所述目標(biāo)網(wǎng)關(guān)發(fā)送的受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�;
所述目標(biāo)網(wǎng)關(guān)�,用于接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示的信令,獲取信令保護(hù)信息��,向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的 應(yīng)答,接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令��,根據(jù)所述獲取 的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn)����,如果校驗(yàn) 成功,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立 應(yīng)答信令�����。
再一方面�,本發(fā)明實(shí)施例還提供一種目標(biāo)網(wǎng)關(guān),包括
第一接收模塊��,用于接收目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指
示和服務(wù)網(wǎng)關(guān)的地址的信令����,獲取所述服務(wù)網(wǎng)關(guān)的地址;
隧道建立模塊�����,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)
據(jù)轉(zhuǎn)發(fā)隧道����;
地址驗(yàn)證模塊����,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址 進(jìn)行驗(yàn)證����;
第二接收模塊�,用于當(dāng)所述地址驗(yàn)證模塊驗(yàn)證所述數(shù)據(jù)的源地址成功時, 接收所述數(shù)據(jù)����。
再一方面,本發(fā)明實(shí)施例還提供另一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的系統(tǒng)��,包括 目標(biāo)網(wǎng)關(guān)��、服務(wù)網(wǎng)關(guān)����、目標(biāo)網(wǎng)絡(luò)實(shí)體和服務(wù)網(wǎng)絡(luò)實(shí)體,
所述服務(wù)網(wǎng)絡(luò)實(shí)體�����,用于向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示的信令���;
所述目標(biāo)網(wǎng)絡(luò)實(shí)體��,用于接收所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn) 發(fā)隧道指示的信令����;
所述服務(wù)網(wǎng)關(guān),用于向所述目標(biāo)網(wǎng)關(guān)發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�����, 接收所述目標(biāo)網(wǎng)關(guān)發(fā)送的受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答 信令����;
所述目標(biāo)網(wǎng)關(guān),用于獲取信令保護(hù)信息���,接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù) 轉(zhuǎn)發(fā)隧道建立請求信令�����,根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā) 隧道建立請求信令進(jìn)行校驗(yàn)��,如果校驗(yàn)成功�����,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令���。
再一方面�,本發(fā)明實(shí)施例還^^是供另一種目標(biāo)網(wǎng)關(guān)�����,包括 信息獲取模塊�����,用于獲取信令保護(hù)信息��; 信令接收模塊�,用于接收數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令���; 信令校驗(yàn)?zāi)K�,用于根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā) 隧道建立請求信令進(jìn)行校驗(yàn)����;
應(yīng)答發(fā)送模塊,用于當(dāng)所述信令校驗(yàn)?zāi)K校驗(yàn)所述信令成功時,向所述 服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�����。
與現(xiàn)有^t支術(shù)相比����,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例的目標(biāo)網(wǎng) 關(guān)通過接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指 示和服務(wù)網(wǎng)關(guān)的地址的信令,獲取所述服務(wù)網(wǎng)關(guān)的地址�,根據(jù)所述服務(wù)網(wǎng)關(guān) 的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道,根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接 收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證�����,如果驗(yàn)證成功����,則接收所述數(shù)據(jù),從而保證 了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性����,防止了惡意攻擊。
圖1為現(xiàn)有技術(shù)LTE網(wǎng)絡(luò)與HRPD網(wǎng)絡(luò)的互通架構(gòu)圖2為本發(fā)明實(shí)施例一的方法流程圖3為本發(fā)明實(shí)施例二的方法流程圖4為本發(fā)明實(shí)施例三的方法流程圖5為本發(fā)明實(shí)施例四的方法流程圖6為本發(fā)明實(shí)施例五的方法流程圖7為本發(fā)明實(shí)施例六的方法結(jié)構(gòu)圖8為本發(fā)明實(shí)施例七的方法結(jié)構(gòu)圖9為本發(fā)明實(shí)施例八的系統(tǒng)的結(jié)構(gòu)圖10為本發(fā)明實(shí)施例八的系統(tǒng)的目標(biāo)網(wǎng)關(guān)的結(jié)構(gòu)圖11為本發(fā)明實(shí)施例九的系統(tǒng)的結(jié)構(gòu)圖12為本發(fā)明實(shí)施例九的系統(tǒng)的一種目標(biāo)網(wǎng)關(guān)的結(jié)構(gòu)圖;圖13為本發(fā)明實(shí)施例九的系統(tǒng)的另一種目標(biāo)網(wǎng)關(guān)的結(jié)構(gòu)圖�。
具體實(shí)施例方式
下面結(jié)合說明書附圖和實(shí)施例對本發(fā)明的具體實(shí)施方式
進(jìn)行描述
本發(fā)明實(shí)施例應(yīng)用于系統(tǒng)之間的切換,所述切換包括LTE/EPC網(wǎng)絡(luò)與 HRPD網(wǎng)纟各間的切4奐�����。
目前LTE/EPC網(wǎng)絡(luò)與HRPD網(wǎng)絡(luò)間的切換流程需要在兩個不同接入技術(shù) 的網(wǎng)關(guān)間,也就是Serving GW和HSGW ( HRPD Serving Gate way ��, HRPD服 務(wù)網(wǎng)關(guān))間建立GRE ( Generic Routing Encapsulation,通用路由封裝)數(shù)據(jù)隧 道�,GRE key ( GRE密鑰)由HSGW生成。這種建立數(shù)據(jù)隧道的方法存在安 全隱患��,體現(xiàn)在HSGW不知道所建隧道對端的IP地址或標(biāo)識�����,因此任何實(shí)體�, 只要知道GREkey���,則都可以向HSGW發(fā)送轉(zhuǎn)發(fā)數(shù)據(jù)����,導(dǎo)致攻擊者利用這一 點(diǎn)向HSGW發(fā)送惡意數(shù)據(jù)�����。而HSGW無法識別數(shù)據(jù)源的真實(shí)性����。
本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)通過保存數(shù)據(jù)隧道對端的地址信息���,并才艮據(jù)之 前保存的地址信息對轉(zhuǎn)發(fā)數(shù)據(jù)將進(jìn)行驗(yàn)證,如果驗(yàn)證成功�,則接收所述數(shù)據(jù), 或者�����,目標(biāo)網(wǎng)關(guān)獲取信令保護(hù)信息����,并根據(jù)所述信令保護(hù)信息對接收到的數(shù) 據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行驗(yàn)證,如果驗(yàn)證成功�,則發(fā)送受所述信令保護(hù) 信息保護(hù)的隧道建立應(yīng)答信令,從而保證隧道建立的安全性����,并防止攻擊者 惡意轉(zhuǎn)發(fā)無用數(shù)據(jù)的攻擊,解決上述問題�����。
如圖2所示���,為本發(fā)明實(shí)施例一的方法流程圖��,具體包括以下步驟
步驟S201��,接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn) 發(fā)隧道指示和服務(wù)網(wǎng)關(guān)的地址的信令�,獲取所述服務(wù)網(wǎng)關(guān)的地址。
步驟S202,根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道���。
步驟S203,根據(jù)服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證����。 步驟S204,判斷驗(yàn)證是否成功����。如果驗(yàn)證成功,則執(zhí)行步驟S205 ���,否 則4丸行步驟S206。
步驟S205,接收所述數(shù)據(jù)��。 步驟S206,拒絕接收所述數(shù)據(jù)���。本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)保存服務(wù)網(wǎng)關(guān)的地址��。在與所述服務(wù)網(wǎng)關(guān)建立 數(shù)據(jù)轉(zhuǎn)發(fā)隧道后��,如果所述服務(wù)網(wǎng)關(guān)有數(shù)據(jù)發(fā)送過來���,則根據(jù)保存的服務(wù)網(wǎng) 關(guān)的地址對接收到的數(shù)據(jù)的數(shù)據(jù)源進(jìn)行驗(yàn)證���。驗(yàn)證成功后,才接收所述數(shù)據(jù)����, 從而有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止了惡意攻擊���。
如圖3所示����,為本發(fā)明實(shí)施例二的方法流程圖�。目標(biāo)網(wǎng)關(guān)保存服務(wù)網(wǎng)關(guān) 的地址信息,以便在后續(xù)接收數(shù)據(jù)時執(zhí)行檢查��,防范惡意數(shù)據(jù)攻擊���。另外本
絡(luò)接入點(diǎn)�����。本發(fā)明實(shí)施例具體包括如下步驟
步驟S301,移動終端或者服務(wù)網(wǎng)絡(luò)決定執(zhí)行切換�����。
步驟S302���,移動終端發(fā)送切換請求消息到服務(wù)網(wǎng)絡(luò)的接入點(diǎn)����。
步驟S303,服務(wù)網(wǎng)絡(luò)接入點(diǎn)將切換請求消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)接入點(diǎn)�,并
在切換請求消息中攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示,同時攜帶服務(wù)網(wǎng)關(guān)的地址����。 步驟S304,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)向目標(biāo)網(wǎng)關(guān)發(fā)送信令��,指示需要建立數(shù)據(jù)轉(zhuǎn)
發(fā)隧道�����,同時攜帶有服務(wù)網(wǎng)關(guān)的地址���。
步驟S305�,目標(biāo)網(wǎng)關(guān)同意建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道�����,產(chǎn)生隧道建立參數(shù)�����,并根
據(jù)得到的服務(wù)網(wǎng)絡(luò)的地址建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道�,并指定該隧道只用于當(dāng)前特定
移動終端。目標(biāo)網(wǎng)關(guān)發(fā)送應(yīng)答消息到目標(biāo)網(wǎng)絡(luò)接入點(diǎn)�,將目標(biāo)網(wǎng)關(guān)的地址,
以及隧道建立參數(shù)發(fā)送給目標(biāo)網(wǎng)絡(luò)接入點(diǎn)��。
步驟S306����,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)轉(zhuǎn)發(fā)切換應(yīng)答消息到服務(wù)網(wǎng)絡(luò)接入點(diǎn),切換
應(yīng)答消息中攜帶目標(biāo)網(wǎng)關(guān)的地址和隧道建立參數(shù)����。
步驟S307,服務(wù)網(wǎng)絡(luò)接入點(diǎn)向服務(wù)網(wǎng)關(guān)發(fā)送信令,指示建立數(shù)據(jù)轉(zhuǎn)發(fā)隧
道,包括目標(biāo)網(wǎng)關(guān)的地址����,以及建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的參數(shù)。
步驟S308,服務(wù)網(wǎng)關(guān)根據(jù)接收到的信令建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道�。 步驟S309,服務(wù)網(wǎng)絡(luò)接入點(diǎn)轉(zhuǎn)發(fā)切換應(yīng)答消息給移動終端。 步驟S310�����,此時服務(wù)網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)間的數(shù)據(jù)轉(zhuǎn)發(fā)隧道已建立�����,目標(biāo)網(wǎng)
關(guān)可接收從服務(wù)網(wǎng)關(guān)轉(zhuǎn)發(fā)的數(shù)據(jù)�,并驗(yàn)證數(shù)據(jù)包的源地址是否與之前所保存
的一致,如果相同���,則4妄收凄t據(jù)�����,否則拒絕處理�����。
本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)保存服務(wù)網(wǎng)關(guān)的地址�。在與所述服務(wù)網(wǎng)關(guān)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道后�,如果所述服務(wù)網(wǎng)關(guān)有數(shù)據(jù)發(fā)送過來,則根據(jù)保存的服務(wù)網(wǎng) 關(guān)的地址對接收到的數(shù)據(jù)的數(shù)據(jù)源進(jìn)行驗(yàn)證�。驗(yàn)證成功后,才接收所述數(shù)據(jù)�, 從而有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止了惡意攻擊���。
如圖4所示��,為本發(fā)明實(shí)施例三的方法流程圖���,具體包括以下步驟 步驟S401,獲取信令保護(hù)信息���。
步驟S402,接收服務(wù)網(wǎng)關(guān)發(fā)送的的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�。 步驟S403,對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行驗(yàn)證����。 步驟S404,判斷驗(yàn)證是否成功。如果校驗(yàn)成功���,則執(zhí)行步驟S405,否則���, 執(zhí)行步驟S406���。
步驟S405,向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧 道建立應(yīng)答信令。
步驟S406,拒絕所述數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求��。
本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)根據(jù)之前保存的信令保護(hù)信息對接收到的數(shù)據(jù) 轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn)����,校驗(yàn)成功后才向服務(wù)網(wǎng)關(guān)發(fā)送隧道建立應(yīng) 答,從而建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道�。因此有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止 了惡意攻擊����。
如圖5所示,為本發(fā)明實(shí)施例四的方法流程圖�����。本發(fā)明實(shí)施例將服務(wù)網(wǎng) 關(guān)的地址通知目標(biāo)網(wǎng)關(guān)�,目標(biāo)網(wǎng)關(guān)生成相應(yīng)的安全參凄"專遞到目標(biāo)網(wǎng)絡(luò)。月良 務(wù)網(wǎng)關(guān)發(fā)起信令與目標(biāo)網(wǎng)絡(luò)建立隧道��,信令使用安全參數(shù)保護(hù)。另外�����,本發(fā) 明實(shí)施例的服務(wù)網(wǎng)絡(luò)實(shí)體和目標(biāo)網(wǎng)絡(luò)實(shí)體分別為服務(wù)網(wǎng)絡(luò)接入點(diǎn)和目標(biāo)網(wǎng)絡(luò)
接入點(diǎn)��,本發(fā)明實(shí)施例的信令保護(hù)信息為安全參數(shù)���,本發(fā)明實(shí)施例具體包括 如下步驟
步驟S501,移動終端或者服務(wù)網(wǎng)絡(luò)決定執(zhí)行切換���。
步驟S502���,移動終端發(fā)送切換請求消息到服務(wù)網(wǎng)絡(luò)的接入點(diǎn)。
步驟S503,服務(wù)網(wǎng)絡(luò)接入點(diǎn)將切換請求消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)接入點(diǎn)��,并
在切換請求消息中攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示�����。
步驟S504,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)向目標(biāo)網(wǎng)關(guān)發(fā)送信令����,指示需要建立數(shù)據(jù)轉(zhuǎn)
發(fā)隧道��。步驟S505,目標(biāo)網(wǎng)關(guān)同意建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道����,為了保護(hù)后續(xù)建立隧道的
消息�����,目標(biāo)網(wǎng)關(guān)生成必要的安全參數(shù)���。目標(biāo)網(wǎng)關(guān)發(fā)送應(yīng)答消息到目標(biāo)網(wǎng)絡(luò)接 入點(diǎn)�����,所述應(yīng)答消息中同時攜帶目標(biāo)網(wǎng)關(guān)的地址以及安全參數(shù)����。如果認(rèn)為傳 遞安全參數(shù)存在風(fēng)險(xiǎn)��,可使用目標(biāo)網(wǎng)關(guān)和目標(biāo)接入點(diǎn)間的密鑰對安全參數(shù)進(jìn)
行力口密����。
步驟S506,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)轉(zhuǎn)發(fā)切換應(yīng)答消息到服務(wù)網(wǎng)絡(luò)接入點(diǎn),并在 切換應(yīng)答消息中攜帶目標(biāo)網(wǎng)關(guān)的地址和安全參數(shù)���。如果認(rèn)為傳遞安全參數(shù)存 在風(fēng)險(xiǎn)����,可使用服務(wù)網(wǎng)絡(luò)接入點(diǎn)和目標(biāo)接入點(diǎn)間的密鑰對安全參數(shù)進(jìn)行加密。
步驟S507,服務(wù)網(wǎng)絡(luò)接入點(diǎn)向服務(wù)網(wǎng)關(guān)發(fā)送信令���,指示建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道�,包括目標(biāo)網(wǎng)關(guān)的地址和安全參數(shù)��。如果認(rèn)為傳遞安全參數(shù)存在風(fēng)險(xiǎn)��,可 使用服務(wù)網(wǎng)關(guān)和服務(wù)網(wǎng)絡(luò)接入點(diǎn)間的密鑰對安全參數(shù)進(jìn)行加密����。
步驟S508,服務(wù)網(wǎng)關(guān)發(fā)起到目標(biāo)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令��,所 述信令攜帶所述服務(wù)網(wǎng)關(guān)的地址�����,且使用安全參數(shù)進(jìn)行保護(hù)�,具體來說用密 鑰進(jìn)行完整性保護(hù)。
步驟S509���,目標(biāo)網(wǎng)關(guān)接到數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令后�����,用之前保存的 對應(yīng)的安全參數(shù)對信令進(jìn)行校驗(yàn)����,如果成功,則發(fā)送受所述安全參數(shù)保護(hù)的 應(yīng)答消息給服務(wù)網(wǎng)關(guān)���,數(shù)據(jù)轉(zhuǎn)發(fā)暖道建立成功��。
步驟S510,服務(wù)網(wǎng)關(guān)發(fā)送切換應(yīng)答消息給月1務(wù)網(wǎng)紹4妄入點(diǎn)��。
步驟S511�,服務(wù)網(wǎng)絡(luò)接入點(diǎn)發(fā)送切換應(yīng)答消息給移動終端���。
步驟S512,此時服務(wù)網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)間的數(shù)據(jù)轉(zhuǎn)發(fā)隧道已建立��,目標(biāo)網(wǎng) 關(guān)可接收從服務(wù)網(wǎng)關(guān)轉(zhuǎn)發(fā)的數(shù)據(jù)���。
上述發(fā)明實(shí)施例在建立好數(shù)據(jù)轉(zhuǎn)發(fā)隧道后,如果目標(biāo)網(wǎng)關(guān)接收到數(shù)據(jù)�, 還可以根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對所述數(shù)據(jù)的數(shù)據(jù)源進(jìn)行驗(yàn)證��,如果驗(yàn)證成 功����,則接收所述數(shù)據(jù)�。
本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)將安全參數(shù)發(fā)送給服務(wù)網(wǎng)關(guān),在收到服務(wù)網(wǎng)關(guān) 發(fā)送的受所述安全參數(shù)保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令后����,根據(jù)之前保存 的安全參數(shù)對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn),校驗(yàn)成功后才 向服務(wù)網(wǎng)關(guān)發(fā)送受所述安全參數(shù)保護(hù)的隧道建立應(yīng)答����,從而建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道���。因此有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性�,防止了惡意攻擊���。
如圖6所示���,為本發(fā)明實(shí)施例五的方法流程圖,本發(fā)明實(shí)施例將月l務(wù)網(wǎng) 關(guān)的地址通知目標(biāo)網(wǎng)關(guān)���,服務(wù)網(wǎng)關(guān)和目標(biāo)網(wǎng)關(guān)根據(jù)共享密鑰和交換的參數(shù)分 別計(jì)算安全密鑰�,并使用所述安全密鑰保護(hù)雙方在建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道時的交
絡(luò)接入點(diǎn)和目標(biāo)網(wǎng)絡(luò)接入點(diǎn),本發(fā)明實(shí)施例的信令保護(hù)信息為安全密鑰���,本
發(fā)明實(shí)施例具體包括如下步驟
步驟S601,移動終端或者服務(wù)網(wǎng)絡(luò)決定執(zhí)行切換����。
步驟S602��,移動終端發(fā)送切換請求消息到服務(wù)網(wǎng)絡(luò)的接入點(diǎn)�����。
步驟S603,服務(wù)網(wǎng)絡(luò)接入點(diǎn)將切換請求消息轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)接入點(diǎn)��,并 在切換請求消息中攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示�����,同時攜帶服務(wù)網(wǎng)關(guān)的地址以 及用于計(jì)算安全密鑰的第一密鑰參數(shù)����,例如隨機(jī)數(shù)等。
步驟S604,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)向目標(biāo)網(wǎng)關(guān)發(fā)送信令���,指示需要建立數(shù)據(jù)轉(zhuǎn) 發(fā)隧道����,同時攜帶有服務(wù)網(wǎng)關(guān)的地址和第一密鑰參數(shù)��。
步驟S605,目標(biāo)網(wǎng)關(guān)接收到切換請求消息后���,也生成用于計(jì)算安全密鑰 的第二密鑰參數(shù)�,并通過與服務(wù)網(wǎng)關(guān)共享的密鑰���、兩個密鑰參數(shù)���、服務(wù)網(wǎng)關(guān) 的地址、目標(biāo)網(wǎng)關(guān)的地址�、移動終端標(biāo)識等信息生成用于保護(hù)后續(xù)數(shù)據(jù)隧道 建立消息的安全密鑰。目標(biāo)網(wǎng)關(guān)可以在用戶鑒權(quán)的過程獲得共享密鑰�。如果 當(dāng)前5殳有共享密確月,可以向AAA (Authentication Authorization Accounting, —瞼證����、鑒權(quán)、計(jì)費(fèi))實(shí)體請求。
步驟S606,目標(biāo)網(wǎng)關(guān)發(fā)送應(yīng)答消息到目標(biāo)網(wǎng)絡(luò)接入點(diǎn)����,并在應(yīng)答消息中 攜帶目標(biāo)網(wǎng)關(guān)的地址以及第二密鑰參數(shù)。
步驟S607,目標(biāo)網(wǎng)絡(luò)接入點(diǎn)發(fā)送切換應(yīng)答消息到服務(wù)網(wǎng)絡(luò)接入點(diǎn)�����,消息 中攜帶目標(biāo)網(wǎng)關(guān)的地址和第二密鑰參數(shù)����。
步驟S608,服務(wù)網(wǎng)絡(luò)接入點(diǎn)向服務(wù)網(wǎng)關(guān)發(fā)送信令��,指示建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道���,包括目標(biāo)網(wǎng)關(guān)的地址和第二密鑰參數(shù)��。
步驟S609�����,服務(wù)網(wǎng)關(guān)執(zhí)行與目標(biāo)網(wǎng)關(guān)相同的操作計(jì)算用于保護(hù)后續(xù)數(shù)據(jù) 隧道建立消息的安全密鑰���。步驟S610,服務(wù)網(wǎng)關(guān)發(fā)起到目標(biāo)網(wǎng)關(guān)的消息��,請求建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道����,
信令使用安全密鑰進(jìn)行保護(hù)�,具體來說可用安全密鑰進(jìn)行完整性保護(hù)。
步驟S611,目標(biāo)網(wǎng)關(guān)接到信令后��,用之前保存的對應(yīng)的密鑰對消息進(jìn)行 校驗(yàn)��,如果成功�����,則發(fā)送受所述安全密鑰應(yīng)答消息給服務(wù)網(wǎng)關(guān)��,數(shù)據(jù)轉(zhuǎn)發(fā)隧 道建立成功����。
步驟S612,服務(wù)網(wǎng)關(guān)發(fā)送應(yīng)答消息給服務(wù)網(wǎng)絡(luò)接入點(diǎn)。 步驟S613,服務(wù)網(wǎng)絡(luò)接入點(diǎn)發(fā)送切換應(yīng)答消息給移動終端���。 步驟S614�,此時服務(wù)網(wǎng)關(guān)與目標(biāo)網(wǎng)關(guān)間的數(shù)據(jù)轉(zhuǎn)發(fā)隧道已建立���,目標(biāo)網(wǎng) 關(guān)可接收從服務(wù)網(wǎng)關(guān)轉(zhuǎn)發(fā)的數(shù)據(jù)���。
上述發(fā)明實(shí)施例在建立好數(shù)據(jù)轉(zhuǎn)發(fā)隧道后,如果目標(biāo)網(wǎng)關(guān)接收到數(shù)據(jù)�, 還可以根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對所述數(shù)據(jù)的數(shù)據(jù)源進(jìn)行驗(yàn)證,如果驗(yàn)證成 功��,則接收所述數(shù)據(jù)��。
本發(fā)明實(shí)施例的目標(biāo)網(wǎng)關(guān)和服務(wù)網(wǎng)關(guān)分別計(jì)算安全密鑰�,并使用安全密 鑰建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道將安全密鑰發(fā)送給服務(wù)網(wǎng)關(guān),使雙方在建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道時�,通過安全密鑰保護(hù)雙方交互的信令,從而有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的 安全性���,防止了惡意攻擊��。
如圖7所示����,為本發(fā)明實(shí)施例六的方法流程圖�,本發(fā)明實(shí)施例中,UE位 于E-UTRAN網(wǎng)絡(luò)��,并已建立連接,但由于能夠檢測到HRPD的信號���,因此 希望切換到HRPD網(wǎng)絡(luò)��,為了減少切換時延�����,UE首先通過E-UTRAN網(wǎng)絡(luò)完 成到HRPD網(wǎng)絡(luò)的注冊�,包括建立空口會話�����,建立AN與PDSN間的Al0連 接�����,UE與PDSN建立PPP連接��。信令需要通過MME (Mobility Management Entity,移動性管理實(shí)體)和AN間的S101接口傳遞��。本發(fā)明實(shí)施例應(yīng)用于 LTE網(wǎng)絡(luò)到HRPD網(wǎng)絡(luò)的切換����,將LTE網(wǎng)絡(luò)中的Serving GW地址傳遞紹�����、 HSGW,用于建立數(shù)據(jù)隧道����。另外本發(fā)明實(shí)施例的服務(wù)網(wǎng)絡(luò)實(shí)體和目標(biāo)網(wǎng)絡(luò) 實(shí)體分別為服務(wù)網(wǎng)絡(luò)接入點(diǎn)和目標(biāo)網(wǎng)絡(luò)接入點(diǎn)。本發(fā)明實(shí)施例具體包括如下 步驟
步驟S701.a�、 E-UTRAN收到UE發(fā)送的HPRD測量報(bào)告,并決定執(zhí)行切換�。步驟S701.b、 UE發(fā)送HRPD連接建立請求消息Connection Request (連 接請求)到E-UTRAN��,請求HRPD業(yè)務(wù)信道�。請求被傳遞到MME。
步驟S701.c����、 MME選擇一個HRPD的接入點(diǎn),也就是eAN (evolved Access網(wǎng)��,演進(jìn)的接入網(wǎng))/PCF (Packet Control Function,分組控制功能) (以下簡稱eAN),并建立SI01會話�。MME在轉(zhuǎn)發(fā)Connection Request消息 的同時,攜帶Serving GW的地址����,PDN GW的地址到eAN�。
步驟S702.a���、 HRPD eAN分配請求的空口資源�����,并發(fā)送All���,RRQ (Registration Request,注冊請求)消息到HSGW。消息中eAN指示請求用 于轉(zhuǎn)發(fā)數(shù)據(jù)的網(wǎng)關(guān)地址����,并攜帶Serving GW的地址,PDN GW地址��。
步驟S702.b���、 HSGW發(fā)送All����,RRP (Registration Reply,注冊應(yīng)答)消 息給eAN��,消息中攜帶用于數(shù)據(jù)轉(zhuǎn)發(fā)的網(wǎng)關(guān)的IP地址(也就是HSGW的IP 地址)以及用于標(biāo)識建立的GRE數(shù)據(jù)轉(zhuǎn)發(fā)隧道的參數(shù)GRE key����。
步驟S703、為響應(yīng)lc所收到的ConnectionR叫uest, eAN在S101消息中 將HRPD業(yè)務(wù)信道指派消息��,以及HSGWIP地址���,GRE key發(fā)送給MME。
步驟S704.a����、 MME為數(shù)據(jù)轉(zhuǎn)發(fā)配置資源,并將HSGW IP地址以及GRE key通知給Serving GW���。 Serving GW確認(rèn)數(shù)據(jù)轉(zhuǎn)發(fā)資源����,此時Serving GW已 和HSGW建立了數(shù)據(jù)轉(zhuǎn)發(fā)通道���。
步驟S704.b����、 MME轉(zhuǎn)發(fā)HRPD TCA消息到E-UTRAN, E-UTRAN轉(zhuǎn)發(fā) 到UE��。
步驟S705�、 E-UTRAN將收到的下行的IP數(shù)據(jù)包反送回Serving GW, Serving GW利用剛才所建立的數(shù)據(jù)通道發(fā)送給HSGW, HSGW會檢查所接收 的數(shù)據(jù)包的源地址是否是之前所保存的值。
步驟S706.a�����、 UE獲得HRPD空口連接����。
步驟S706.b、 UE發(fā)送TCC ( Traffic Channel Completion,業(yè)務(wù)信道完成) 消息到eAN����。
步驟S707.a、 eAN發(fā)送Al 1 'Active Start airlink (激活空中鏈接)消息到 HSGW,指示空口連接激活��。
步驟S707.b��、 HSGW發(fā)送應(yīng)答���。步驟S708.a�����、因接收到All��,ActiveStart airlink��, HSGW發(fā)送PMIPv6 BU 到PDNGW�,建立PMIP隧道。
步驟S708.b���、 PDN GW處理代理綁定更新消息��,更新相關(guān)綁定信息,并 給UE分配與在E-UTRAN網(wǎng)絡(luò)時相同的IP地址或前綴���。PDN GW發(fā)送PMIPv6 BA到HSGW,攜帶IP地址或前綴�。PMIP隧道建立成功����。
步驟S708.c、PDN GW向hPCRF( Home Policy and Charging Rules Function 歸屬策略計(jì)費(fèi)規(guī)則功能)發(fā)送Modify IP-CAN session (修改IP-CAN會話)消 息��,hPCRF回應(yīng)Modify IP-CAN session ACK (修改IP-CAN確認(rèn))消息���。消 息中攜帶策略和計(jì)費(fèi)規(guī)則��。
步驟S708.d��、 eAN向MME指示切換完成��,并收到確認(rèn)�。
步驟S709、 UE此時通過HRPD網(wǎng)絡(luò)進(jìn)行通信����,需要通過PDN GW以及 HSGW。
步驟S710�����、 E-UTRAN系統(tǒng)���,包括eNodeB, MME, Serving GW以及PDN GW釋放資源����。
本發(fā)明實(shí)施例的E-UTRAN將收到的IP凄t據(jù)包反送回Serving GW����, Serving GW利用剛才所建立的數(shù)據(jù)通道發(fā)送給HSGW, HSGW會才全查所接收 的數(shù)據(jù)包的源地址是否是之前所保存的值�����,如果是�����,則HSGW回送應(yīng)答�,從 而建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道�,因此有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止了惡意 攻擊���。
如圖8所示��,為本發(fā)明實(shí)施例七的方法流程圖�,本發(fā)明實(shí)施例中�����,UE位 于E-UTRAN網(wǎng)絡(luò)��,并已建立連接�����,但由于能夠檢測到HRPD網(wǎng)絡(luò)的信號��, 因此希望切換到HRPD網(wǎng)絡(luò)���,為了減少切換時延��,UE首先通過E-UTRAN網(wǎng) 絡(luò)完成到HRPD網(wǎng)絡(luò)的注冊����,包括建立空口會話�����,建立AN與PDSN間的A10 連接����,UE與PDSN建立PPP連接。信令需要通過MME和AN間的S101 4妄 口傳遞���。本發(fā)明實(shí)施例應(yīng)用于LTE網(wǎng)絡(luò)到HRPD網(wǎng)絡(luò)的切換���。將LTE網(wǎng)絡(luò)中 的Serving GW地址傳遞給HSGW。 Serving GW和HSGW交換隨機(jī)數(shù)��,計(jì)算 用于保護(hù)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰。另外���,本發(fā)明實(shí)施例的服務(wù)網(wǎng) 絡(luò)實(shí)體和目標(biāo)網(wǎng)絡(luò)實(shí)體分別為服務(wù)網(wǎng)絡(luò)接入點(diǎn)和目標(biāo)網(wǎng)絡(luò)接入點(diǎn)����,本發(fā)明實(shí)施例的信令保護(hù)信息為安全密鑰�,本發(fā)明實(shí)施例具體包括如下步驟
步驟S801.a、 E-UTRAN收到UE發(fā)送的HPRD測量報(bào)告���,并決定執(zhí)行切換�。
步驟S801.b����、 UE發(fā)送HRPD連接建立請求消息Connection Request到 E-UTRAN,請求HRPD業(yè)務(wù)信道���。請求被轉(zhuǎn)發(fā)到MME���。
步驟S801.c����、 MME選擇一個HRPD的接入點(diǎn)��,也就是eAN/PCF (以下 簡稱eAN )�,并建立S101會話��。MME在轉(zhuǎn)發(fā)Connection Request消息的同時��, 攜帶Serving GW的地址�,用于計(jì)算安全密鑰的隨機(jī)數(shù)noncel , PDNGW的地 址到eAN��。
步驟S802.a�、 HRPD eAN分S己請求的空口資源,并發(fā)送Al 1 ����,RRQ消息 到HSGW。消息中eAN指示請求用于轉(zhuǎn)發(fā)數(shù)據(jù)的網(wǎng)關(guān)地址�����,并攜帶Serving GW 的地址�,用于計(jì)算安全密鑰的隨機(jī)數(shù)noncel, PDNGW地址����。
步驟S802.b�����、 HSGW生成nonce2,并計(jì)算用于保護(hù)后續(xù)數(shù)隧道建立信令 的安全密鑰��。Key = F (shared master key, noncel, nonce2, S-GW IP���, HSGW IP, ATID)。其中��,F(xiàn)是安全密鑰生成函數(shù)�。Shared master key是UE接入HSGW 才丸4亍鑒4又時,HAAA ( Home Authentication Authorization Accounting, 歸屬馬全 證���、鑒權(quán)���、計(jì)費(fèi))傳給HSGW的。HSGW發(fā)送All�����,RRP消息給eAN,消息 中攜帶用于數(shù)據(jù)轉(zhuǎn)發(fā)的網(wǎng)關(guān)的IP地址(也就是HSGW的IP地址)以及nonce2��。
步驟S803、為響應(yīng)lc所收到的Connection Request, eAN在S101消息中 將HRPD業(yè)務(wù)信道指派消息���,以及HSGW IP地址,nonce2發(fā)送給MME�����。
步驟S804.a���、 MME為數(shù)據(jù)轉(zhuǎn)發(fā)配置資源�����,并將HSGW IP地址以及nonce2 通知給Serving GW��。 Serving GW確認(rèn)數(shù)據(jù)轉(zhuǎn)發(fā)資源�。
步驟S804.b���、 Serving GW根據(jù)得到的參數(shù)執(zhí)行與步驟2b相同的方法計(jì)算 安全密鑰�。如果Serving GW沒有shared master key ���,可以向HAAA請求�。Serving GW發(fā)送PMIP BU消息到HSGW,消息使用安全密鑰進(jìn)行保護(hù)��,所計(jì)算的消 息摘要保存在MN-HA認(rèn)證選項(xiàng)中��。
步驟S804.c����、 HSGW收到消息后,用之前計(jì)算的安全密鑰校驗(yàn)消息的合 法性�����,如果成功��,則分配GREkey��,建立數(shù)據(jù)隧道��。HSGW發(fā)送PMIP BA�,消息也用安全密鑰保護(hù)。
步驟S804.d��、 Serving GW發(fā)送消息給MME,標(biāo)識數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立成功�。
步驟S804.e、 MME轉(zhuǎn)發(fā)HRPD TCA消息到E-UTRAN, E-UTRAN轉(zhuǎn)發(fā)
到UE����。
步驟S805����、 E-UTRAN將收到的下行的IP數(shù)據(jù)包反送回Serving GW, Serving GW利用剛才所建立的數(shù)據(jù)通道發(fā)送給HSGW�。 步驟S806.a�����、 UE獲得HRPD空口連接���。
步驟S806.b����、 UE發(fā)送業(yè)務(wù)信道完成Traffic Channel Completion ( TCC ) 消息到eAN���。
步驟S807.a���、 eAN發(fā)送Al 1 ,ActiveStart airlink消息到HSGW���,指示空口 連接激活��。
步驟S807.b���、 HSGW發(fā)送應(yīng)答��。
步驟S808.a��、 因才妄收到Al 1 ����,ActiveStart airlink���, HSGW發(fā)送PMIPv6 BU 到PDN GW���,建立PMIP隧道。
步驟S808.b�、 PDNGW處理代理綁定更新消息,更新相關(guān)綁定信息���,并 給UE分配與在E-UTRAN網(wǎng)絡(luò)時相同的IP地址或前綴��。PDN GW發(fā)送PMIPv6 BA到HSGW��,攜帶IP地址或前綴�����。PMIP隧道建立成功���。
步驟S808.c���、 PDN GW向hPCRF發(fā)送Modify IP-CAN session消息, hPCRF回應(yīng)Modify IP-CAN session ACK消息��。消息中攜帶策略和計(jì)費(fèi)規(guī)則����。
步驟S808.d�����、 eAN向MME指示切換完成��,并收到確認(rèn)�����。
步驟S809�、 UE此時通過HRPD網(wǎng)絡(luò)進(jìn)行通信���,需要通過PDN GW以及 HSGW。
步驟S810�����、 E-UTRAN系統(tǒng)��,包括eNodeB, MME, Serving GW以及PDN GW釋力文資源���。
本發(fā)明實(shí)施例的Serving GW和HSGW交換隨機(jī)數(shù)��,分別計(jì)算用于保護(hù) 建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰�。在收到Serving GW發(fā)送的建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道請求消息后�,HSGW用之前計(jì)算的安全密鑰校驗(yàn)所述消息的合法性,如果成功��,則分配GRE key,建立數(shù)據(jù)隧道�,有效保i正了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全 性,防止了惡意攻擊����。
如圖9所示,為本發(fā)明實(shí)施例八的系統(tǒng)結(jié)構(gòu)圖���,包括目標(biāo)網(wǎng)關(guān)1�����、服務(wù) 網(wǎng)關(guān)2�����、目標(biāo)網(wǎng)絡(luò)實(shí)體3和服務(wù)網(wǎng)絡(luò)實(shí)體4�����。
上述系統(tǒng)中����,服務(wù)網(wǎng)絡(luò)實(shí)體4����,用于向目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送攜帶建立數(shù)據(jù) 轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)2的地址的信令。目標(biāo)網(wǎng)絡(luò)實(shí)體3��,用于將服務(wù)網(wǎng)絡(luò) 實(shí)體4發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)2的地址的信令發(fā)送給 目標(biāo)網(wǎng)關(guān)l����。服務(wù)網(wǎng)關(guān)2�����,用于向目標(biāo)網(wǎng)關(guān)l發(fā)送數(shù)據(jù)����。目標(biāo)網(wǎng)關(guān)l,用于接 收目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)2的地址的 信令�����,獲取服務(wù)網(wǎng)關(guān)2的地址�����,根據(jù)服務(wù)網(wǎng)關(guān)2的地址建立到服務(wù)網(wǎng)關(guān)2的 數(shù)據(jù)轉(zhuǎn)發(fā)隧道��,根據(jù)服務(wù)網(wǎng)關(guān)2的地址對網(wǎng)絡(luò)實(shí)體發(fā)送的數(shù)據(jù)的源地址進(jìn)行 驗(yàn)證�����,如果驗(yàn)證成功����,則接收所述數(shù)據(jù)。
上述系統(tǒng)中���,服務(wù)網(wǎng)關(guān)包括演進(jìn)的通用移動通信系統(tǒng)陸地?zé)o線接入網(wǎng) E-UTRAN的服務(wù)網(wǎng)關(guān)Serving-GW,所述目標(biāo)網(wǎng)關(guān)包括高速分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān) HSGW��。
上述系統(tǒng)中�,服務(wù)網(wǎng)絡(luò)實(shí)體4向目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示和服務(wù)網(wǎng)關(guān)2的地址的信令;目標(biāo)網(wǎng)絡(luò)實(shí)體3將所述攜帶建立數(shù)據(jù) 轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)2的地址的信令轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)關(guān)1;目標(biāo)網(wǎng)關(guān)1獲取 服務(wù)網(wǎng)關(guān)2的地址�����,并根據(jù)服務(wù)網(wǎng)關(guān)2的地址建立到服務(wù)網(wǎng)關(guān)2的數(shù)據(jù)轉(zhuǎn)發(fā) 隧道�;服務(wù)網(wǎng)關(guān)2向目標(biāo)網(wǎng)關(guān)1發(fā)送數(shù)據(jù);目標(biāo)網(wǎng)關(guān)1根據(jù)服務(wù)網(wǎng)關(guān)2的地 址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證��,如果驗(yàn)證成功���,則接收所述數(shù)據(jù)�。
如圖IO所示�,為本發(fā)明實(shí)施例八的系統(tǒng)中的目標(biāo)網(wǎng)關(guān)1的裝置結(jié)構(gòu)圖��, 包括第一接收模塊ll,用于接收目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示和服務(wù)網(wǎng)關(guān)2的地址的信令�����,獲取服務(wù)網(wǎng)關(guān)2的地址���。隧道建立模 塊12,用于根據(jù)服務(wù)網(wǎng)關(guān)2的地址建立到服務(wù)網(wǎng)關(guān)2的數(shù)據(jù)轉(zhuǎn)發(fā)隧道���。地址 驗(yàn)證模塊13�,用于根據(jù)服務(wù)網(wǎng)關(guān)2的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證����。 第二接收模塊14,用于當(dāng)所述地址驗(yàn)證模塊13驗(yàn)證所述數(shù)據(jù)的源地址成功時����, 接收所述數(shù)據(jù)。上述目標(biāo)網(wǎng)關(guān)1的隧道建立模塊12,進(jìn)一步包括參數(shù)生成子;f莫塊121����, 用于根據(jù)服務(wù)網(wǎng)關(guān)2的地址生成隧道建立參數(shù)。信令發(fā)送子模塊122,用于向 目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送攜帶所述隧道建立參數(shù)的應(yīng)答�。
上述發(fā)明實(shí)施例中目標(biāo)網(wǎng)關(guān)1獲取服務(wù)網(wǎng)關(guān)2的地址,并根據(jù)服務(wù)網(wǎng)關(guān)2 的地址建立到服務(wù)網(wǎng)關(guān)2的數(shù)據(jù)轉(zhuǎn)發(fā)隧道���,服務(wù)網(wǎng)關(guān)2向目標(biāo)網(wǎng)關(guān)1發(fā)送數(shù) 據(jù)��,目標(biāo)網(wǎng)關(guān)1根據(jù)服務(wù)網(wǎng)關(guān)2的地址對接收到數(shù)據(jù)的源地址進(jìn)行驗(yàn)證�,如 果驗(yàn)證成功,則接收所述數(shù)據(jù)�����,從而有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性���,防 止了惡意攻擊�。
如圖11所示����,為本發(fā)明實(shí)施例九的系統(tǒng)結(jié)構(gòu)圖,包括目標(biāo)網(wǎng)關(guān)1�����、服 務(wù)網(wǎng)關(guān)2�����、目標(biāo)網(wǎng)絡(luò)實(shí)體3和服務(wù)網(wǎng)絡(luò)實(shí)體4����。
上述系統(tǒng)中�����,服務(wù)網(wǎng)絡(luò)實(shí)體4,用于向目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送攜帶建立數(shù)據(jù) 轉(zhuǎn)發(fā)隧道指示的信令�,接收目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶參數(shù)的應(yīng)答,并轉(zhuǎn)發(fā) 給服務(wù)網(wǎng)關(guān)2�����。目標(biāo)網(wǎng)絡(luò)實(shí)體3��,用于將服務(wù)網(wǎng)絡(luò)實(shí)體4發(fā)送的攜帶建立數(shù)據(jù) 轉(zhuǎn)發(fā)隧道指示的信令發(fā)送給目標(biāo)網(wǎng)關(guān)l,接收目標(biāo)網(wǎng)關(guān)l發(fā)送的攜帶參數(shù)的應(yīng) 答����,并將所述攜帶參數(shù)的應(yīng)答發(fā)送給服務(wù)網(wǎng)絡(luò)實(shí)體4。服務(wù)網(wǎng)關(guān)2��,用于接收 目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶參數(shù)的應(yīng)答�����,獲取信令保護(hù)信息���,向目標(biāo)網(wǎng)關(guān)1 發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�����,接收目標(biāo)網(wǎng)關(guān)1發(fā)送的受所述信令保護(hù)信 息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�����。目標(biāo)網(wǎng)關(guān)l�,用于接收目標(biāo)網(wǎng)絡(luò)實(shí)體3 發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示的信令,獲取信令保護(hù)信息��,向目標(biāo)網(wǎng)絡(luò) 實(shí)體3發(fā)送的攜帶參數(shù)的應(yīng)答��,接收服務(wù)網(wǎng)關(guān)2發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請 求信令�����,根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信 令進(jìn)行校驗(yàn)�����,如果校驗(yàn)成功�����,則向服務(wù)網(wǎng)關(guān)2發(fā)送受所述信令保護(hù)信息保護(hù) 的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令��。
上述系統(tǒng)中���,服務(wù)網(wǎng)絡(luò)實(shí)體4向目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示的信令���。目標(biāo)網(wǎng)絡(luò)實(shí)體3將所述攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示的信令 發(fā)送給目標(biāo)網(wǎng)關(guān)l。目標(biāo)網(wǎng)關(guān)1獲取信令保護(hù)信息����,并向目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送 攜帶參數(shù)的應(yīng)答。目標(biāo)網(wǎng)絡(luò)實(shí)體3將所述攜帶參數(shù)的應(yīng)答轉(zhuǎn)發(fā)服務(wù)網(wǎng)絡(luò)實(shí)體4����, 由服務(wù)網(wǎng)絡(luò)實(shí)體4將所述攜帶參數(shù)的應(yīng)答轉(zhuǎn)發(fā)給服務(wù)網(wǎng)關(guān)2。服務(wù)網(wǎng)關(guān)2獲取信令保護(hù)信息���,并向目標(biāo)網(wǎng)關(guān)1發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�����。目標(biāo)網(wǎng)關(guān)1 接收服務(wù)網(wǎng)關(guān)2發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令���。根據(jù)所述獲取的信令保 護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn)。如果校驗(yàn)成功��,則
向所述服務(wù)網(wǎng)關(guān)2發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令���。
如圖12所示�����,為本發(fā)明實(shí)施例九的系統(tǒng)中的一種目標(biāo)網(wǎng)關(guān)1的裝置結(jié)構(gòu) 圖�,包括信息獲取模塊ll,用于獲取信令保護(hù)信息。信令接收模塊12,用 于接收服務(wù)網(wǎng)關(guān)2發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�。信令校驗(yàn)?zāi)K13,用 于根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行 校驗(yàn)。應(yīng)答發(fā)送模塊14,用于當(dāng)信令校驗(yàn)?zāi)K13校驗(yàn)所述信令成功時���,向服 務(wù)網(wǎng)關(guān)2發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�。參數(shù) 發(fā)送模塊15,用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體3向服務(wù)網(wǎng)絡(luò)實(shí)體4發(fā)送攜帶參數(shù)的應(yīng) 答�。地址獲取模塊16,用于獲取服務(wù)網(wǎng)關(guān)2的地址。驗(yàn)證模塊17,用于根據(jù) 服務(wù)網(wǎng)關(guān)3的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證��。數(shù)據(jù)接收模塊18,用 于當(dāng)驗(yàn)證模塊17驗(yàn)證所述數(shù)據(jù)的源地址成功時�,接收所述數(shù)據(jù)。
上述目標(biāo)網(wǎng)關(guān)1的信息獲取模塊11����,進(jìn)一步包括第一接收子模塊lll, 用于接收服務(wù)網(wǎng)絡(luò)實(shí)體4通過目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道 指示的信令�。第一生成子模塊112,用于根據(jù)所述信令生成所述安全參數(shù)�����,并 保存所述安全參數(shù)。
上述目標(biāo)網(wǎng)關(guān)1的信令校驗(yàn)?zāi)K13�����,進(jìn)一步包括第一校驗(yàn)子模塊131, 用于根據(jù)所述保存的安全參數(shù)對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校 驗(yàn)����。
上述目標(biāo)網(wǎng)關(guān)1的應(yīng)答發(fā)送模塊14�����,進(jìn)一步包括第一應(yīng)答發(fā)送模塊141, 用于當(dāng)?shù)谝恍r?yàn)子才莫塊131校驗(yàn)所述信令成功時��,向服務(wù)網(wǎng)關(guān)2發(fā)送受所述 安全參數(shù)保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令��。
上述目標(biāo)網(wǎng)關(guān)1的參數(shù)發(fā)送模塊15����,進(jìn)一步包括第一發(fā)送子模塊151, 用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體3向服務(wù)網(wǎng)絡(luò)實(shí)體4發(fā)送攜帶所述安全參數(shù)的應(yīng)答, 由服務(wù)網(wǎng)絡(luò)實(shí)體3將所述應(yīng)答轉(zhuǎn)發(fā)給服務(wù)網(wǎng)關(guān)2����。上述目標(biāo)網(wǎng)關(guān)1的地址獲取模塊16,進(jìn)一步包括第一獲取子模塊161, 用于接收服務(wù)網(wǎng)絡(luò)實(shí)體4通過目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道 指示和服務(wù)網(wǎng)關(guān)2的地址的信令��,根據(jù)所述信令獲取服務(wù)網(wǎng)關(guān)2的地址�。
如圖13所示���,為本發(fā)明實(shí)施例九的系統(tǒng)中的目標(biāo)網(wǎng)關(guān)1的另一種裝置結(jié) 構(gòu)圖�����,包括信息獲取模塊ll����,用于獲取信令保護(hù)信息��。信令接收模塊12��, 用于接收服務(wù)網(wǎng)關(guān)2發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�。信令校驗(yàn)?zāi)K13, 用于根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn) 行校驗(yàn)���。應(yīng)答發(fā)送模塊14,用于當(dāng)信令校驗(yàn)?zāi)K13校驗(yàn)所述信令成功時�,向 服務(wù)網(wǎng)關(guān)2發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�����。參 數(shù)發(fā)送^f莫塊15,用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體3向服務(wù)網(wǎng)絡(luò)實(shí)體4發(fā)送攜帶參數(shù)的 應(yīng)答。地址獲取模塊16,用于獲取服務(wù)網(wǎng)關(guān)2的地址��。驗(yàn)證模塊17,用于根 據(jù)服務(wù)網(wǎng)關(guān)3的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證�。數(shù)據(jù)接收模塊18, 用于當(dāng)驗(yàn)證模塊17驗(yàn)證所述數(shù)據(jù)的源地址成功時,接收所述數(shù)據(jù)����。
上述目標(biāo)網(wǎng)關(guān)1的信息獲取模塊11,進(jìn)一步包括第二接收子模塊113, 用于接收服務(wù)網(wǎng)絡(luò)實(shí)體4通過目標(biāo)網(wǎng)絡(luò)實(shí)體3發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道 指示和第一密鑰參數(shù)的信令。第二生成子模塊114���,用于根據(jù)所述信令生成第 二密鑰參數(shù)。計(jì)算子模塊115���,用于根據(jù)所述第一密鑰參數(shù)�、第二密鑰參數(shù)和 共享密鑰計(jì)算用于保護(hù)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰����,并保存所述安全 密鑰。
上述目標(biāo)網(wǎng)關(guān)1的信令校驗(yàn)?zāi)K13,進(jìn)一步包括第二校驗(yàn)子模塊132��, 用于根據(jù)所述保存的安全密鑰對接收到數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校 驗(yàn)���。
上述目標(biāo)網(wǎng)關(guān)1的應(yīng)答發(fā)送模塊14��,進(jìn)一步包括第二應(yīng)答發(fā)送模塊142����, 用于當(dāng)?shù)诙r?yàn)子模塊132校驗(yàn)所述信令成功時,向服務(wù)網(wǎng)關(guān)2發(fā)送受所述 安全密鑰保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令��。
上述目標(biāo)網(wǎng)關(guān)1的參數(shù)發(fā)送模塊15����,進(jìn)一步包括第二發(fā)送子模塊152, 用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體3向服務(wù)網(wǎng)絡(luò)實(shí)體4發(fā)送攜帶所述第二密鑰參數(shù)的應(yīng) 答。上述目標(biāo)網(wǎng)關(guān)1的地址獲取模塊16�,進(jìn)一步包括第二獲取子模塊162, 用于接收服務(wù)網(wǎng)關(guān)2發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令,所述信令中攜帶服 務(wù)網(wǎng)關(guān)2的地址�����,根據(jù)所述信令獲取服務(wù)網(wǎng)關(guān)2的地址����。
上述發(fā)明實(shí)施例中目標(biāo)網(wǎng)關(guān)1獲取信令保護(hù)信息,服務(wù)網(wǎng)關(guān)2向目標(biāo)網(wǎng) 關(guān)1發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令����,目標(biāo)網(wǎng)關(guān)1根據(jù)所述獲取的信令保護(hù) 信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn),如果校驗(yàn)成功,則向 所述服務(wù)網(wǎng)關(guān)2發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令�, 從而有效保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性,防止了惡意攻擊����。
本發(fā)明實(shí)施例中的"接收,����, 一詞可以理解為主動從其他模塊獲取也可以 是接收其他模塊發(fā)送來的信息。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實(shí)施例的示意圖���,附圖中的 模塊或流程并不一定是實(shí)施本發(fā)明所必須的��。
本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述 分布于實(shí)施例的裝置中�����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的 一個或 多個裝置中。上述實(shí)施例的模塊可以合并為一個模塊�,也可以進(jìn)一步拆分成 多個子模塊。
上述本發(fā)明實(shí)施例序號僅僅為了描述��,不代表實(shí)施例的優(yōu)劣�。 權(quán)利要求的內(nèi)容記載的方案也是本發(fā)明實(shí)施例的保護(hù)范圍。 通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可通過^f更件來實(shí)現(xiàn)����,當(dāng)然也可借助^L件加必需的通用^_件平臺的方式實(shí)現(xiàn), 但很多情況下前者是更佳的實(shí)施方式�����?����;谶@樣的理解����,本發(fā)明的技術(shù)方案
以上公開的僅為本發(fā)明的幾個具體實(shí)施例,但是����,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1�、一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法,其特征在于�����,包括以下步驟接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)的地址的信令,獲取所述服務(wù)網(wǎng)關(guān)的地址����;根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道;根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證����,如果驗(yàn)證成功,則接收所述數(shù)據(jù)����。
2、 如權(quán)利要求1所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法����,其特征在于,所述服務(wù) 網(wǎng)關(guān)包括演進(jìn)的通用移動通信系統(tǒng)陸地?zé)o線接入網(wǎng)E-UTRAN的服務(wù)網(wǎng)關(guān) Serving-GW,所述目標(biāo)網(wǎng)關(guān)包括高速分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)HSGW���。
3、 如權(quán)利要求1所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法���,其特征在于�,所述根據(jù) 服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道,包括根據(jù)所述服務(wù)網(wǎng)關(guān)的地址生成隧道建立參數(shù)�����;通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶所述隧道建立參數(shù) 的應(yīng)答����,由所述服務(wù)網(wǎng)絡(luò)實(shí)體將所述應(yīng)答轉(zhuǎn)發(fā)給所述服務(wù)網(wǎng)關(guān)。
4����、 一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法,其特征在于���,包括以下步驟 獲取信令保護(hù)信息�;接收服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令����;根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn) 行校驗(yàn),如果校驗(yàn)成功�����,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的 數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令����。
5�����、 如權(quán)利要求4所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法��,其特征在于�,所述信令 保護(hù)信息�����,包括安全參數(shù)或安全密鑰����,所述安全參數(shù)為已加密或未加密的安 全參數(shù)。
6���、 如權(quán)利要求4或5所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�,其特征在于�����,所述 獲取信令保護(hù)信息���,包括接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示 的信令�,根據(jù)所述信令生成所述安全參數(shù)��,并保存所述安全參數(shù)��;或者���,接收所述服務(wù)網(wǎng)絡(luò)實(shí)體通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和第一密鑰參數(shù)的信令,根據(jù)所述信令生成第二密鑰參數(shù), 根據(jù)所述第一密鑰參數(shù)��、第二密鑰參數(shù)和共享密鑰計(jì)算用于保護(hù)建立數(shù)據(jù)轉(zhuǎn) 發(fā)隧道信令的安全密鑰���,并保存所述安全密鑰�����。
7���、 如權(quán)利要求4或6所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法,其特征在于���,在所 述獲取信令保護(hù)信息之后�,還包括通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò) 實(shí)體發(fā)送攜帶參數(shù)的應(yīng)答。
8��、 如權(quán)利要求7所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法��,其特征在于���,所述通過 目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶參數(shù)的應(yīng)答�,包括通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶所述安全參數(shù)的應(yīng) 答���,由所述服務(wù)網(wǎng)絡(luò)實(shí)體將所述應(yīng)答轉(zhuǎn)發(fā)給所述服務(wù)網(wǎng)關(guān)��;或者���,通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶所述第二密 鑰參數(shù)的應(yīng)答,由所述服務(wù)網(wǎng)絡(luò)實(shí)體將所述第二密鑰參數(shù)轉(zhuǎn)發(fā)給所述服務(wù)網(wǎng) 關(guān)�,并由所述服務(wù)網(wǎng)關(guān)根據(jù)所述第二密鑰參數(shù)、第一密鑰參數(shù)和共享密鑰計(jì) 算用于保護(hù)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰���。
9���、 如權(quán)利要求6或8所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法,其特征在于,所述 計(jì)算用于保護(hù)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰的參數(shù)還包括服務(wù)網(wǎng)關(guān)的地址��,目標(biāo)網(wǎng)關(guān)的地址和用戶身傷—f言息����。
10���、 如權(quán)利要求8所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�,其特征在于�,所述接 收服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令,包括接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令���,所述數(shù)據(jù)轉(zhuǎn)發(fā)隧 道建立請求信令受所述安全參數(shù)或安全密鑰保護(hù)��。
11�����、 如權(quán)利要求4或6所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�,其特征在于����,所 述根據(jù)獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校 驗(yàn),如果校驗(yàn)成功����,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù) 轉(zhuǎn)發(fā)隧道建立應(yīng)答信令��,包括根據(jù)所述保存的安全參數(shù)對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校 驗(yàn)�,如果校驗(yàn)成功����,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述安全參數(shù)保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā) 隧道建立應(yīng)答信令;或者�����,根據(jù)所述保存的安全密鑰對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令 進(jìn)行校驗(yàn)���,如果校驗(yàn)成功����,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述安全參數(shù)保護(hù)的數(shù) 據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令��。
12���、 如權(quán)利要求4所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法��,其特征在于���,在所述 根據(jù)獲取的信令保護(hù)信息對所述令進(jìn)行校驗(yàn)之前���,還包括獲取所述服務(wù)網(wǎng)關(guān)的地址。
13�、 如權(quán)利要求12所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法��,其特征在于����,所述獲 取服務(wù)網(wǎng)關(guān)的地址,包括接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示 和服務(wù)網(wǎng)關(guān)的地址的信令���,根據(jù)所述信令獲取所述服務(wù)網(wǎng)關(guān)的地址�����;或者�����,接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�,所述信令 中攜帶所述服務(wù)網(wǎng)關(guān)的地址,根據(jù)所述信令獲取所述服務(wù)網(wǎng)關(guān)的地址���。
14�、 如權(quán)利要求4或13所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�����,其特征在于��,在 所述向服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令 之后����,還包括根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證,如果驗(yàn)證 成功�,則接收所述數(shù)據(jù)。
15�、 一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的系統(tǒng),其特征在于����,包括目標(biāo)網(wǎng)關(guān)、服 務(wù)網(wǎng)關(guān)��、目標(biāo)網(wǎng)絡(luò)實(shí)體和服務(wù)網(wǎng)絡(luò)實(shí)體��,所述服務(wù)網(wǎng)絡(luò)實(shí)體,用于向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示和服務(wù)網(wǎng)關(guān)的地址的信令�����;所述目標(biāo)網(wǎng)絡(luò)實(shí)體�����,用于將所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示和服務(wù)網(wǎng)關(guān)的地址的信令發(fā)送給所述目標(biāo)網(wǎng)關(guān)�����;所述服務(wù)網(wǎng)關(guān)�����,用于向所述目標(biāo)網(wǎng)關(guān)發(fā)送數(shù)據(jù)����;所述目標(biāo)網(wǎng)關(guān)��,用于接收目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指 示和服務(wù)網(wǎng)關(guān)的地址的信令�,獲取所述服務(wù)網(wǎng)關(guān)的地址,根據(jù)所述服務(wù)網(wǎng)關(guān) 的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道�,根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對網(wǎng) 絡(luò)實(shí)體發(fā)送的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證��,如果驗(yàn)證成功�����,則接收所述數(shù)據(jù)�����。
16���、 如權(quán)利要求15所述建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的系統(tǒng),其特征在于���,所述服 務(wù)網(wǎng)關(guān)包括演進(jìn)的通用移動通信系統(tǒng)陸地?zé)o線接入網(wǎng)E-UTRAN的服務(wù)網(wǎng)關(guān) Serving-GW,所述目標(biāo)網(wǎng)關(guān)包括高速分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)HSGW���。
17、 一種目標(biāo)網(wǎng)關(guān)���,其特征在于���,包括第一接收模塊,用于接收目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指 示和服務(wù)網(wǎng)關(guān)的地址的信令��,獲取所述服務(wù)網(wǎng)關(guān)的地址;隧道建立模塊�,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù) 據(jù)轉(zhuǎn)發(fā)隧道;地址驗(yàn)證模塊����,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址 進(jìn)行驗(yàn)證;第二接收模塊�,用于當(dāng)所述地址驗(yàn)證模塊驗(yàn)證所述數(shù)據(jù)的源地址成功時, 接收所述數(shù)據(jù)����。
18、 如權(quán)利要求17所述目標(biāo)網(wǎng)關(guān)����,其特征在于,所述隧道建立模塊����,包括參數(shù)生成子模塊���,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址生成隧道建立參數(shù)��; 信令發(fā)送子模塊���,用于向目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶所述隧道建立參數(shù)的應(yīng)答����。
19����、 一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的系統(tǒng),其特征在于�����,包括目標(biāo)網(wǎng)關(guān)�����、月良 務(wù)網(wǎng)關(guān)���、目標(biāo)網(wǎng)絡(luò)實(shí)體和服務(wù)網(wǎng)絡(luò)實(shí)體�,所述服務(wù)網(wǎng)絡(luò)實(shí)體���,用于向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示的信令���,接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的應(yīng)答����,并轉(zhuǎn)發(fā)給服 務(wù)網(wǎng)關(guān)���;所述目標(biāo)網(wǎng)絡(luò)實(shí)體�����,用于將所述服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā) 隧道指示的信令發(fā)送給所述目標(biāo)網(wǎng)關(guān)�����,接收所述目標(biāo)網(wǎng)關(guān)發(fā)送的攜帶參數(shù)的 應(yīng)答��,并將所述攜帶參數(shù)的應(yīng)答發(fā)送給所述服務(wù)網(wǎng)絡(luò)實(shí)體��;所述服務(wù)網(wǎng)關(guān)���,用于接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的應(yīng)答,獲 取信令保護(hù)信息�����,向所述目標(biāo)網(wǎng)關(guān)發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�,接收所 述目標(biāo)網(wǎng)關(guān)發(fā)送的受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令;所述目標(biāo)網(wǎng)關(guān)�����,用于接收所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧 道指示的信令��,獲取信令保護(hù)信息���,向所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶參數(shù)的 應(yīng)答����,接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令���,根據(jù)所述獲取 的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行才交驗(yàn)���,如果才交驗(yàn) 成功,則向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立 應(yīng)答信令����。
20、 一種目標(biāo)網(wǎng)關(guān)���,其特征在于�����,所述包括 信息獲取模塊����,用于獲取信令保護(hù)信息;信令接收模塊���,用于接收服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令�����; 信令校驗(yàn)?zāi)K��,用于根據(jù)所述獲取的信令保護(hù)信息對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn)����;應(yīng)答發(fā)送模塊�,用于當(dāng)所述信令校驗(yàn)?zāi)K校驗(yàn)所述信令成功時,向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述信令保護(hù)信息保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令����。
21、 如權(quán)利要求20所述目標(biāo)網(wǎng)關(guān),其特征在于��,所述信息獲取模塊����,包括第一接收子模塊�,用于接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶 建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示的信令;第一生成子模塊����,用于根據(jù)所述信令生成安全參數(shù),并保存所述安全參數(shù)��。
22��、 如權(quán)利要求20所述目標(biāo)網(wǎng)關(guān)����,其特征在于,所述信息獲取模塊�����,還 包括第二接收子模塊�����,用于接收所述服務(wù)網(wǎng)絡(luò)實(shí)體通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和第一密鑰參數(shù)的信令;第二生成子模塊�,用于根據(jù)所述信令生成第二密鑰參數(shù);計(jì)算子模塊�,用于根據(jù)所述第一密鑰參數(shù)、第二密鑰參數(shù)和共享密鑰計(jì)算用于保護(hù)建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道信令的安全密鑰���,并保存所述安全密鑰���。
23、 如權(quán)利要求21或22所述目標(biāo)網(wǎng)關(guān)���,其特征在于�����,還包括 參數(shù)發(fā)送模塊�����,用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體向服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶參數(shù)的應(yīng)答����。
24、 如權(quán)利要求23所述目標(biāo)網(wǎng)關(guān)�,其特征在于,所述參數(shù)發(fā)送模塊���,包括第 一發(fā)送子模塊,用于通過目標(biāo)網(wǎng)絡(luò)實(shí)體向服務(wù)網(wǎng)絡(luò)實(shí)體發(fā)送攜帶所述 安全參數(shù)的應(yīng)答�,由所述服務(wù)網(wǎng)絡(luò)實(shí)體將所述應(yīng)答轉(zhuǎn)發(fā)給所述服務(wù)網(wǎng)關(guān);或者�,第二發(fā)送子模塊,用于通過所述目標(biāo)網(wǎng)絡(luò)實(shí)體向所述服務(wù)網(wǎng)絡(luò)實(shí) 體發(fā)送攜帶所述第二密鑰參數(shù)的應(yīng)答�。
25、 如權(quán)利要求20或21所述目標(biāo)網(wǎng)關(guān)�,其特征在于,所述信令校驗(yàn)?zāi)?塊���,包括第一校驗(yàn)子模塊����,用于根據(jù)所述保存的安全參數(shù)對接收到的數(shù)據(jù)轉(zhuǎn)發(fā)隧 道建立請求信令進(jìn)行4吏驗(yàn)�;或者,第二校驗(yàn)子模塊�����,用于根據(jù)所述保存的安全密鑰對接收到的數(shù)據(jù) 轉(zhuǎn)發(fā)隧道建立請求信令進(jìn)行校驗(yàn)。
26�����、 如權(quán)利要求20或25所述目標(biāo)網(wǎng)關(guān)�,其特征在于,所述應(yīng)答發(fā)送模 塊���,包括第 一應(yīng)答發(fā)送模塊����,用于當(dāng)所述第 一校驗(yàn)子模塊校驗(yàn)所述信令成功時�, 向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述安全參數(shù)保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信令;或者����,第二應(yīng)答發(fā)送模塊,用于當(dāng)所述第二校驗(yàn)子模塊校驗(yàn)所述信令成 功時�����,向所述服務(wù)網(wǎng)關(guān)發(fā)送受所述安全密鑰保護(hù)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立應(yīng)答信 令��。
27���、 如^l利要求20所述目標(biāo)網(wǎng)關(guān)�,其特征在于,還包括 地址獲取模塊�����,用于獲取所述服務(wù)網(wǎng)關(guān)的地址�����。
28�、 如權(quán)利要求27所述目標(biāo)網(wǎng)關(guān)��,其特征在于�,所述地址獲取模塊,包括第 一獲取子模塊�,用于接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶 建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)的地址的信令,根據(jù)所述信令獲取所述服 務(wù)網(wǎng)關(guān)的地址�;或者,第二獲取子模塊����,用于接收所述服務(wù)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)隧道建立請求信令,所述信令中攜帶所迷服務(wù)網(wǎng)關(guān)的地址���,根據(jù)所述信令獲取所述 服務(wù)網(wǎng)關(guān)的地址��。
29�、如權(quán)利要求20所述目標(biāo)網(wǎng)關(guān),其特征在于���,還包括驗(yàn)證模塊�,用于根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收到的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證��;數(shù)據(jù)接收模塊��,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證所述數(shù)據(jù)的源地址成功時�����,接 收所述數(shù)據(jù)���。
全文摘要
本發(fā)明實(shí)施例公開了一種建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道的方法�����、系統(tǒng)和裝置�����,該方法包括以下步驟接收服務(wù)網(wǎng)絡(luò)實(shí)體通過目標(biāo)網(wǎng)絡(luò)實(shí)體發(fā)送的攜帶建立數(shù)據(jù)轉(zhuǎn)發(fā)隧道指示和服務(wù)網(wǎng)關(guān)的地址的信令���,獲取所述服務(wù)網(wǎng)關(guān)的地址���;根據(jù)所述服務(wù)網(wǎng)關(guān)的地址建立到所述服務(wù)網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)隧道;根據(jù)所述服務(wù)網(wǎng)關(guān)的地址對接收的數(shù)據(jù)的源地址進(jìn)行驗(yàn)證���,如果驗(yàn)證成功�,則接收所述數(shù)據(jù)����。通過本發(fā)明實(shí)施例保證了數(shù)據(jù)轉(zhuǎn)發(fā)隧道的安全性�,防止了惡意攻擊。
文檔編號H04L12/46GK101547132SQ20081008448
公開日2009年9月30日 申請日期2008年3月25日 優(yōu)先權(quán)日2008年3月25日
發(fā)明者劉繼興, 李志明, 潔 趙, 鑫 鐘, 黃龍貴 申請人:華為技術(shù)有限公司