专利名称:代理服务器和方法以及具有该代理服务器的安全通信系统的制作方法
技术领域:
本发明涉及通信技术领域,具体而言,涉及代理服务器及其方法,以及具有该代理服务器的安全通信系统。
背景技术:
近年来,随着通信技术的不断进步,通信产业发展迅速。无线技术目前蓬勃发展,频谱资源非常宝贵。为了充分利用有限的频谱资源,国际电联专门划出免许可的频段(LE Band)。在不影响其他设备正常工作的前提下,LE设备可以使用该无线频段进行通信。
另外,某些地区的部分频段的使用非排他性的许可权授权,也就是说你在获得该频段的许可权的同时,其他人也可以在你不知情的情况下获取使用该频段的权利。
还有一种情况,虽然是某个企业或运营商获得了某区域的某频段的独享权,但是其没有手段或者不愿意利用先规划后布点的方式布设和设置站点,而希望各个设备之间灵活根据所处的空口资源实际占用情况动态的协商资源分配。
为了描述方便,将以上三种情况下的设备/基站通称为LE设备/基站或共存性基站。
网络中各个LE设备,其位置、占用的资源、发射功率等参数都不是事先规划和配置好的,都是由设备本身自主地去适应所处环境,在允许范围内自主进行资源的选择和与其他LE设备的协商分配工作。
LE设备工作中需要适应所处环境,即能检测到干扰和避开干扰,或与自己的干扰源协商。因此LE设备需要和其他LE设备协商如何分享该频段,这就牵涉到LE设备之间的信令通信。而两个LE设备事先并不知道对方的地址,这需要其中的至少一方把自己的联系方法公开,对方获取联系方法信息后即可建立相互的通信。
总之,LE设备之间需要通过某种方式公开自己且获得对方的联系方法,公开的方法可以是多样的。比如当覆盖范围存在重叠时可以通过共同覆盖区域内的将联系信息广播给对方的终端利用其中转到对方基站的联系方法,或者通过周知的区域服务器根据位置等信息查找对方及其联系方法等等。在获得对方的联系方法之后,可以切换到有线的方式进行后续的协商工作。
需要共存性协商的LE基站之间直接通过空口或公用服务器等手段公开并获取相关LE基站的网络地址,并利用公开的网络地址开始联络。这里说的地址,通常就是网络地址(如IP地址)。事实上,需要协商资源的设备往往属于不同的运营商或相互没有信任关系的网络,基站的业务IP地址的直接公开会带来很大的潜在危险。如果恶意攻击者获取了无线基站的业务IP地址,就可以对基站的网络端口直接发起各种攻击。
图1示出了相关技术中LE基站之间获取网络地址并进行通信的示意图。LE基站之间通过路径1相互公开网络地址,利用公开的网络地址通过路径2直接在有线网络上进行通信协商等交互。由于LE基站公开了网络地址,所以很容易受到攻击。
因此,需要一种能够保证LE基站之间的通信安全的技术。
发明内容
本发明旨在提供克服了由于现有技术的局限和缺陷而造成的一个或多个问题的可在固定网络和移动网络中使用的融合终端。
为了实现上述目的,本发明提供了一种代理服务器,用于代理至少一个基站进行安全通信,所述代理服务器具有代理服务器地址信息,包括数据库,用于储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息;以及处理单元,用于将来自所述至少一个基站的第一消息报文中的基站源地址信息替换为所述代理服务器的代理服务器地址信息,向目标地址发送带有所述代理服务器地址信息的第二消息报文。
在上述技术方案中,所述处理单元还用于解析来自所述至少一个基站的第一消息报文,并在来自所述第一消息报文中没有所述基站标识信息的情况下,在所述第一消息报文中添加对应于所述基站地址信息的基站标识信息,从而生成带有所述基站标识信息和所述代理服务器地址信息的第二消息报文。所述数据库还储存有映射关系表,用于使所述至少一个基站的基站地址信息与基站标识信息建立对应关系。
在上述技术方案中,所述处理单元进一步用于在从任意源地址接收到所述第二消息报文后,对所述第二消息报文进行解析,根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息,将所述第二消息报文的目标地址更改为所述基站地址信息后生成并发送第三消息报文。
在上述技术方案中,该代理服务器进一步包括基站侧逻辑接口,用于从所述至少一个基站接收所述第一消息报文,向所述至少一个基站发送所述第三消息报文;以及网络侧逻辑接口,用于向所述目标地址发送所述第二消息报文,并从所述源地址接收所述第二消息报文。所述处理单元进一步用于检测所述第二消息报文的目标地址是否与所述代理服务器地址相同,如果相同,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将第二消息报文的目标地址更改为所述基站地址信息后发送所述第三消息报文,如果不同,则根据所述第二消息报文的目标地址发送所述第二消息报文。所述处理单元还用于接收到所述检测所述第一消息报文的源地址是否属于所述代理服务器数据库中配置的基站地址,如果属于,则根据所述源地址信息在所述映射关系表查找所述基站标识信息,并发送所述第二消息报文。所述处理单元还用于检测接收到所述第二消息报文中基站标识是否属于所述代理服务器数据库中配置的基站标识,如果属于,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息。
在上述技术方案中,所述基站地址信息包括基站IP地址,所述代理服务器地址信息包括代理服务器IP地址。
在上述技术方案中,所述数据库还储存有非法代理服务器地址列表,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的消息。所述数据库还储存有所有代理服务器的非法消息记录或统计信息。所述数据库还储存有非法基站地址发送记录或统计信息,所述处理单元可对所述非法基站地址发送记录或统计记录进行更新。所述至少一个基站是免许可频段基站。所述处理单元通过无线网络向目标地址发送带有所述代理服务器地址信息的第二消息报文。所述代理服务器包括共存性代理服务器。所述代理服务器可以所述基站集成在一起。
在上述技术方案中,所述处理单元还用于检测接收到所述第二消息报文中基站标识是否属于所述代理服务器的数据库中配置的基站标识,如果属于,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并发送所述第三消息报文。
在上述技术方案中,所述基站标识包含但不限于全球唯一的基站标识或根据所述代理服务器内部规则对基站进行的在本代理服务器内的唯一标识。
另外,本发明还提供了一种用于代理至少一个基站进行安全通信的方法,包括以下步骤第一步骤,使用数据库储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息;第二步骤,使用处理单元将来自所述至少一个基站的第一消息报文中的基站源地址信息替换为所述代理服务器的代理服务器地址信息;以及第三步骤,向目标地址发送带有所述代理服务器地址信息的第二消息报文。
所述第二步骤进一步包括解析来自所述至少一个基站第一消息报文,并在来自所述至少一个基站的第一消息报文中没有所述基站标识信息的情况下,使用所述处理单元在所述第一消息报文中添加对应于所述至少一个基站的基站地址信息的基站标识信息,从而生成带有所述基站标识信息和所述代理服务器地址信息的第二消息报文。
所述第一步骤进一步包括在所述数据库中储存映射关系表,使所述至少一个基站的基站地址信息与基站标识信息建立对应关系。
所述第二步骤进一步包括所述处理单元在从任意源地址接收到所述第二消息报文后,根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将所述第二消息报文的目标地址更改为所述基站地址信息后发送第三消息报文。
上述方法进一步包括以下步骤提供基站侧逻辑接口,以从所述至少一个基站接收所述第一消息报文,向所述至少一个基站发送所述第三消息报文;以及提供网络侧逻辑接口,以向所述目标地址发送所述第二消息报文,并从所述源地址接收所述第二消息报文。
上述方法进一步包括以下步骤检测所述第二消息报文的目标地址是否与所述代理服务器地址相同,如果相同,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将第二消息报文的目标地址更改为所述基站地址信息后发送所述第三消息报文,如果不同,则根据所述第二消息的报文目标地址发送所述第二消息报文。
在上述技术方案中,所述基站地址信息包括基站IP地址,所述代理服务器地址信息包括代理服务器IP地址。所述处理单元还用于接收到所述检测所述第一消息报文的源地址是否属于所述代理服务器数据库中配置的基站地址,如果属于,则根据所述源地址信息在所述映射关系表查找所述基站标识信息,并发送所述第二消息报文。
在上述方法中,所述第一步骤进一步包括在所述数据库中储存非法代理服务器地址列表,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的信息。
所述第一步骤进一步包括在所述数据库中储存所有代理服务器的非法消息记录或统计信息,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的消息。
所述第一步骤进一步包括在所述数据库中储存非法基站地址发送记录或统计信息,所述处理单元可对所述非法基站地址发送记录或统计记录进行更新。
在上述技术方案中,所述至少一个基站是免许可频段基站。所述处理单元通过无线网络向目标地址发送带有所述代理服务器地址信息的第二消息报文。
上述方法进一步包括以下步骤判断目标基站的代理服务器是否是源基站的代理服务器如果是,则根据目标基站标识查找目标基站的网络地址,然后从基站侧接口向目标基站发送第一消息报文;以及如果不是,则从网络侧接口向目标基站的代理服务器发送第二消息报文。
所述基站标识包含但不限于全球唯一的基站标识或根据所述代理服务器内部规则对基站进行的在本代理服务器内的唯一标识。
另外,本发明还提供了一种安全通信系统,包括至少一个基站;以及如上所述的代理服务器,用于代理至少一个基站进行安全通信。
通过上述技术方案,本发明实现了如下技术效果1.因为基站自身的网络接口要承载大量的数据业务和相关控制,其IP地址的改变会带来很多不良影响。而与每个基站相连的共存性代理只用于代理收发共存性信令,所以其网络地址更改配置不影响基站的主业务,并且多代理之间可以相互备份。同时共存性代理需要处理的信息较少,所需带宽不大,受到攻击后瘫痪的可能性较小。共存性代理功能简单成本低,便于采用多个代理备份以提高可靠性;
2.在本发明中,基站的网络地址仅限制在信任的范围内,不会在公共网络内公开,使其在有线网络受到攻击的可能性降低;以及3.在单个代理收到攻击瘫痪时,可以通过更改代理IP地址或启用备份代理的方式继续和LE设备间的联系而不对基站自身的业务网络产生不良影响。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1示出了相关技术中LE基站之间获取网络地址并进行通信的网络拓扑图和逻辑框图;图2示出了根据本发明的代理服务器的逻辑框图;图3示出了根据本发明的用于代理至少一个基站进行安全通信的方法的流程图;图4示出了根据本发明的代理服务器的发送代理过程的流程图;图5示出了根据本发明的代理服务器的接收代理过程的流程图;图6示出了根据本发明的代理服务器与基站的连接形式的示意图;
图7a至图7c是表示根据本发明的代理服务器与基站之间的对应关系的示意图;以及图8a至图8f示出了根据本发明的代理服务器与基站的连接关系的网络拓扑图和逻辑框图。
具体实施例方式
现在将参考附图详细说明本发明。
图2示出了根据本发明的共存性代理服务器200的逻辑框图。共存性代理服务器(也可以称之为共存性代理)200可以是设备中的一个功能模块,也可以是一个单独的设备,其基本结构如图2所示。
共存性代理服务器200包括处理单元(代理功能处理模块)202、数据库(代理数据库)204、基站侧逻辑接口206、以及网络侧逻辑接口208。
代理数据库204储存有以下信息所代理的所有基站的标识列表;所代理的所有基站的网络地址;以及所代理的所有基站的标识与其网络地址的映射关系表。
作为优选的实施方式,代理数据库204还可以储存以下信息非法代理地址列表;各代理的非法消息记录或统计;以及非法源基站地址发送记录或统计信息。
代理功能处理模块202的基本功能如下1.共存消息发送代理功能
1)基站侧接口206接收通过已知的基站网络地址接收待发送消息,接收消息报文中必须含有目的基站标识和目的代理网络地址;2)发送消息源网络地址替换及基站标识追加根据源网络地址在映射表中获得基站标识,将该基站标识填充到待发送的消息报文中,并去除待发送消息中的源网络地址,将基站的网络地址替换为代理网络地址;3)共代理检测检测目的代理网络地址是否与本代理重合,如果重合则直接将代理发送消息转入共存消息接收代理功能处理(仅在代理多基站时提供此功能);以及4)网络侧接口206发送按照目的代理地址携带目的基站标识以本代理的网络地址携带源基站标识发送。
2.共存消息接收代理功能1)网络侧接口208接收从源代理处接受含有源基站标识的共存性消息,并获取目的基站标识;2)接收消息目的地址查找替换从接收的共存消息中根据目的基站标识在映射表中获取对应基站的网络地址,并去除消息中的目的代理网络地址信息;以及3)基站侧接口206发送按查询到的基站网络地址发送接收到的消息报文和源代理地址及源基站标识。
另外,代理功能处理模块202还可以实现以下扩展功能
1)代理工作状态判断及上报/反馈,判断代理服务器200是否能够正常工作,是否受到了非法攻击;2)异常消息判断及反馈,确定非法基站和非法代理服务器;3)启动备份通知;4)非法攻击消息报告;5)非法代理地址屏蔽;6)标识与网络地址映射表动态更新;7)非法代理地址更新;以及8)代理间协商联络。
图3示出了根据本发明的用于代理至少一个基站进行安全通信的方法的一个实施例的流程图。
首先,对数据库进行配置,用数据库储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息。该步骤为准备步骤,未在图3中示出。
然后,在步骤S302,使用处理单元202在来自所述至少一个基站的第一消息报文中添加对应于所述至少一个基站的基站地址信息的基站标识信息。接着,在步骤S304,将所述至少一个基站的所述基站地址信息替换为所述代理服务器地址信息。最后,在步骤S306,向目标地址发送带有所述基站标识信息和所述代理服务器地址信息的第二消息报文。
图4示出了根据本发明的代理服务器的发送代理过程的流程图。
在步骤S402,基站侧接口接收待发送消息。
在步骤S404,根据源基地址查找基站的网络表示并填入消息报文。
在步骤S406,将基站网络地址用代理服务器的网络地址替换。
在步骤S408,判断目标代理是否为本代理。
如果是,则进行到步骤S410,根据目标基站标识查找目标基站的网络地址。然后进行到步骤S412,从基站侧接口向目标基站发送转换后的消息。
如果不是,进行到步骤S414,则从网络侧接口向目标基站的代理发送转换后的消息。
图5示出了根据本发明的代理服务器的接收代理过程的流程图。
在步骤S502,通过网络侧接口接收消息报文。
在步骤S504,根据目标基站标识查找基站的网络地址。
在步骤S506,从基站侧接口转发接收到消息给目标基站。
图6示出了根据本发明的代理服务器与基站的连接形式的示意图。如图所示,基站A、基站B、基站C、以及与这些基站对应的代理服务器p1、p2、以及p3构成了安全通信系统600。为了清楚说明起见,在图6中给出了代理服务器与基站之间的三种连接方式,但是应当明白,这仅仅出于描述目的,并不用于对本发明构成限定。代理服务器与基站的设备连接方式也不局限于这三种接口形式。
如图6所示,图中粗线代表业务通道,细线代表共存性消息通道1)基站A与代理p1间通过其他设备(核心网)相连,此时A的共存性消息网络接口与业务通道接口即可以公用物理接口,也可以使用两个独立接口,p1对基站和对网络的逻辑接口可以公用物理接口也可以独立提供物理接口;2)基站B与代理p2直接连接,此时B的共存性消息网络接口与业务通道接口相互独立,p2对基站和对网络的逻辑接口也相互独立;以及3)基站C设备内部集成其共存性代理p3功能模块,此时基站C对外提供两个物理接口,分别对应于两个网络地址,各自承载业务通道和共存性消息通道。
图7a至图7c是表示根据本发明的代理服务器与基站之间的对应关系的示意图。
图7a示出了每个共存性基站分别拥有一个共存性代理服务器的情况。在这种情况下,第一基站702对应于第一代理服务器704,第二基站706对应于第二代理服务器708。第一基站702和第二基站706的安全通信通过第一代理服务器704和第二代理服务器708建立。另外,第一代理服务器704和第二代理服务器708可以是同一个代理服务器。
一个共存性代理可以与一个共存性基站唯一对应此时代理数据库中的所代理基站信息(基站标识和基站网络地址)只有一项,此时基站可以将共存性代理功能模块集成在基站设备内部,并在业务端口之外单独出共存性的网络端口,共存性通道与主业务通道隔离。这种情况下代理的基站侧接口在设备内部与基站连接,不需要设备外部的物理接口。当然也可以在基站设备之外设置一个独立的共存性代理设备,仅代理一个基站。
图7b示出了多个共存性基站共享一个共存性代理服务器的情况。
在这种情况下,多个第一基站702共享第一代理服务器704,多个第一基站702之间的安全通信通过第一代理服务器704建立。多个第二基站706共享第二代理服务器708,多个第二基站704之间的安全通信通过第二代理服务器708建立。多个第一基站702和多个第二基站706之间的安全连接通过第一代理服务器704以及第二代理服务器708建立。
此时代理数据库中的基站网络地址和基站标识及映射关系的表项为多条,此时共存性代理往往独立于基站之外。
图7c示出了一个共存性基站拥有多个共存性代理服务器的情况。
在这种情况下,第一基站702具有多个第一代理服务器704,这些代理服务器之间可以进行相互备份或者负荷分担。第二基站706具有多个第一代理服务器708,这些代理服务器之间同样可以进行相互备份或者负荷分担。
图8a至图8f是表示根据本发明的代理服务器的应用实例。
图8a示出了共存性基站各自独享一个共存性代理的情况。共存性代理p1代理基站A的共存性消息的收发,共存性代理p2代理基站B的共存性消息收发,A发出和接收的共存性消息都要经过p1转发,对于A和p1之外的共存性基站和代理均不知道基站A的网络地址,B和p2的关系与A和p1的关系一样。基站A和基站B之间的共存性消息交互均需要通过共存性代理p1和p2。
图8b示出了一个共存性代理处理多个基站的情况。图中共存性代理p2代理了两个共存性基站B和C,此时B和C之间的共存性消息交互需要通过p2进行,而基站A的共存性代理为p1,A与B之间及A与C之间的共存性消息交互均需要通过p1和p2进行中转。
图8c示出了一个基站拥有多个代理的情况。当一个基站拥有多个代理的时候,往往可以通过公开一个共存性代理的网络地址而将另外一个共存性代理作为备份,一旦正在使用的共存性代理出现问题,即可以通过公开并切换到另一个代理的方式继续进行后续的共存性消息交互。也可通过同时公开多个共存性代理的方式作为相互的负荷分担和在线备份。图中共存性代理p1和p2均代理基站A,p3代理基站B,A在与B进行共存性消息交互时选择p2进行消息转发。
图8d示出了共存性消息收发基站的代理重合的情况。这种情况下多个基站虽然使用同一个代理,但互相不知道对方的网络地址,共存性代理需要作为共存性协商的中介在两个共存性基站间进行共存性消息的转发,而让各共存性基站在有线网络上不能直接获得对方的网络地址。
图8e示出了一个基站具有多个代理和多个基站共享一个代理的情况。图8f示出了一个代理分别为多个基站服务而每个基站又分别拥有多个代理的情况。当一个基站拥有多个代理的时候,往往可以通过公开一个共存性代理的网络地址而将另外一个共存性代理作为备份,一旦正在使用的共存性代理出现问题,即可以通过公开并切换到另一个代理的方式继续进行后续的共存性消息交互。也可通过同时公开多个共存性代理的方式作为相互的负荷分担和在线备份。图中共存性代理p1和p2均代理基站A,p3代理基站B,A在与B进行共存性消息交互时选择p2进行消息转发。
总而言之,由于基站自身的网络接口要承载大量的数据业务和相关控制,其IP地址的改变会带来很多不良影响。而与每个基站相连的共存性代理只用于代理收发共存性信令,所以其网络地址更改配置不影响基站的主业务,并且多代理之间可以相互备份。同时共存性代理需要处理的信息较少,所需带宽不大,受到攻击后瘫痪的可能性较小。共存性代理功能简单成本低,便于采用多个代理备份以提高可靠性。
当代理服务器收到所代理的基站向外发送的共存性消息时,该代理服务器将消除消息中基站的源网络地址并添加自己的网络地址作为源,同时填入或保证消息中的基站标识,并将转换后的消息发送给目标地址。当代理服务器收到所代理基站之外的源发送来的共存性消息时,该代理将根据基站标识识别出发向所代理基站的共存性消息,并转发至对应的代理基站。根据本发明的共存性代理服务器可以但不限于共存性基站中集成的一个功能模块或是一个独立的共存性代理设备。
根据本发明,基站的网络地址仅限制在信任的范围内,不会在公共网络内公开,使其在有线网络受到攻击的可能性降低。
在单个代理收到攻击瘫痪时,可以通过更改代理IP地址或启用备份代理的方式继续和LE设备间的联系而不对基站自身的业务网络产生不良影响。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种代理服务器,用于代理至少一个基站进行安全通信,所述代理服务器具有代理服务器地址信息,其特征在于,包括数据库,用于储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息;以及处理单元,用于将来自所述至少一个基站的第一消息报文中的基站源地址信息替换为所述代理服务器的代理服务器地址信息,向目标地址发送带有所述代理服务器地址信息的第二消息报文。
2.根据权利要求1所述的代理服务器,其特征在于,所述处理单元还用于解析来自所述至少一个基站的第一消息报文,并在来自所述第一消息报文中没有所述基站标识信息的情况下,在所述第一消息报文中添加对应于所述基站地址信息的基站标识信息,从而生成带有所述基站标识信息和所述代理服务器地址信息的第二消息报文。
3.根据权利要求1或2所述的代理服务器,其特征在于,所述数据库还储存有映射关系表,用于使所述至少一个基站的基站地址信息与基站标识信息建立对应关系。
4.根据权利要求3所述的代理服务器,其特征在于,所述处理单元进一步用于在从任意源地址接收到所述第二消息报文后,对所述第二消息报文进行解析,根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息,将所述第二消息报文的目标地址更改为所述基站地址信息后生成并发送第三消息报文。
5.根据权利要求4所述的代理服务器,其特征在于,进一步包括基站侧逻辑接口,用于从所述至少一个基站接收所述第一消息报文,向所述至少一个基站发送所述第三消息报文;以及网络侧逻辑接口,用于向所述目标地址发送所述第二消息报文,并从所述源地址接收所述第二消息报文。
6.根据权利要求1至5中任一项所述的代理服务器,其特征在于,所述处理单元进一步用于检测所述第二消息报文的目标地址是否与所述代理服务器地址相同,如果相同,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将第二消息报文的目标地址更改为所述基站地址信息后生成并发送所述第三消息报文,如果不同,则根据所述第二消息报文的目标地址发送所述第二消息报文。
7.根据权利要求1至6中任一项所述的代理服务器,其特征在于,所述处理单元还用于接收到所述检测所述第一消息报文的源地址是否属于所述代理服务器数据库中配置的基站地址,如果属于,则根据所述源地址信息在所述映射关系表查找所述基站标识信息,并发送所述第二消息报文。
8.根据权利要求1至7中任一项所述的代理服务器,其特征在于,所述处理单元还用于检测接收到的所述第二消息报文中基站标识是否属于所述代理服务器数据库中配置的基站标识,如果属于,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息。
9.根据权利要求1至8中任一项所述的代理服务器,其特征在于,所述基站地址信息包括基站IP地址,所述代理服务器地址信息包括代理服务器IP地址。
10.根据权利要求1至9中任一项所述的代理服务器,其特征在于,所述数据库还储存有非法代理服务器地址列表,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的消息。
11.根据权利要求1至10中任一项所述的代理服务器,其特征在于,所述数据库还储存有所有代理服务器的非法消息记录或统计信息。
12.根据权利要求1至11中任一项所述的代理服务器,其特征在于,所述数据库还储存有非法基站地址发送记录或统计信息,所述处理单元可对所述非法基站地址发送记录或统计记录进行更新。
13.根据权利要求1至12中任一项所述的代理服务器,其特征在于,所述至少一个基站是免许可频段基站。
14.根据权利要求1至13中任一项所述的代理服务器,其特征在于,所述处理单元通过无线网络向目标地址发送带有所述代理服务器地址信息的第二消息报文。
15.根据权利要求1至14中任一项所述的代理服务器,其特征在于,所述代理服务器包括共存性代理服务器。
16.根据权利要求1至15中任一项所述的代理服务器,其特征在于,所述代理服务器与所述基站集成在一起。
17.根据权利要求1至16中任一项所述的代理服务器,其特征在于,所述处理单元还用于检测接收到所述第二消息报文中基站标识是否属于所述代理服务器的数据库中配置的基站标识,如果属于,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并发送所述第三消息报文。
18.根据权利要求1至17中任一项所述的代理服务器,其特征在于,所述基站标识包含但不限于全球唯一的基站标识或根据所述代理服务器内部规则对基站进行的在本代理服务器内的唯一标识。
19.一种用于代理至少一个基站进行安全通信的方法,其特征在于,包括以下步骤第一步骤,使用数据库储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息;第二步骤,使用处理单元将来自所述至少一个基站的第一消息报文中的基站源地址信息替换为所述代理服务器的代理服务器地址信息;以及第三步骤,向目标地址发送带有所述代理服务器地址信息的第二消息报文。
20.根据权利要求19所述的方法,其特征在于,所述第二步骤进一步包括解析来自所述至少一个基站第一消息报文,并在来自所述至少一个基站的第一消息报文中没有所述基站标识信息的情况下,使用所述处理单元在所述第一消息报文中添加对应于所述至少一个基站的基站地址信息的基站标识信息,从而生成带有所述基站标识信息和所述代理服务器地址信息的第二消息报文。
21.根据权利要求19或20所述的方法,其特征在于,所述第一步骤进一步包括在所述数据库中储存映射关系表,使所述至少一个基站的基站地址信息与基站标识信息建立对应关系。
22.根据权利要求21所述的方法,其特征在于,所述第二步骤进一步包括所述处理单元在从任意源地址接收到所述第二消息报文后,根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将所述第二消息报文的目标地址更改为所述基站地址信息后发送第三消息报文。
23.根据权利要求19至22中任一项所述的方法,其特征在于,进一步包括以下步骤提供基站侧逻辑接口,以从所述至少一个基站接收所述第一消息报文,向所述至少一个基站发送所述第三消息报文;以及提供网络侧逻辑接口,以向所述目标地址发送所述第二消息报文,并从所述源地址接收所述第二消息报文。
24.根据权利要求19至23中任一项所述的方法,其特征在于,进一步包括以下步骤检测所述第二消息报文的目标地址是否与所述代理服务器地址相同,如果相同,则根据所述基站标识信息在所述映射关系表查找所述基站地址信息,并根据所述基站地址信息将第二消息报文的目标地址更改为所述基站地址信息后发送所述第三消息报文,如果不同,则根据所述第二消息的报文目标地址发送所述第二消息报文。
25.根据权利要求19至24中任一项所述的方法,其特征在于,所述基站地址信息包括基站IP地址,所述代理服务器地址信息包括代理服务器IP地址。
26.根据权利要求19至25中任一项所述的方法,其特征在于,所述处理单元还用于接收到所述检测所述第一消息报文的源地址是否属于所述代理服务器数据库中配置的基站地址,如果属于,则根据所述源地址信息在所述映射关系表查找所述基站标识信息,并发送所述第二消息报文。
27.根据权利要求19至26中任一项所述的方法,其特征在于,所述第一步骤进一步包括在所述数据库中储存非法代理服务器地址列表,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的信息。
28.根据权利要求19至27中任一项所述的方法,其特征在于,所述第一步骤进一步包括在所述数据库中储存所有代理服务器的非法消息记录或统计信息,所述处理单元根据所述非法代理服务器地址列表屏蔽来自非法代理服务器的消息。
29.根据权利要求19至28中任一项所述的方法,其特征在于,所述第一步骤进一步包括在所述数据库中储存非法基站地址发送记录或统计信息,所述处理单元可对所述非法基站地址发送记录或统计记录进行更新。
30.根据权利要求19至29中任一项所述的方法,其特征在于,所述处理单元通过无线网络向目标地址发送带有所述代理服务器地址信息的第二消息报文。
31.根据权利要求19至30中任一项所述的方法,其特征在于,进一步包括以下步骤判断目标基站的代理服务器是否是源基站的代理服务器如果是,则根据目标基站标识查找目标基站的网络地址,然后从基站侧接口向目标基站发送第一消息报文;以及如果不是,则从网络侧接口向目标基站的代理服务器发送第二消息报文。
32.根据权利要求19至31中任一项所述的方法,其特征在于,所述基站标识包含但不限于全球唯一的基站标识或根据所述代理服务器内部规则对基站进行的在本代理服务器内的唯一标识。
33.一种安全通信系统,其特征在于,包括至少一个基站;以及根据权利要求1至17中任一项所述的代理服务器,用于代理至少一个基站进行安全通信。
全文摘要
本发明提供了一种代理服务器,用于代理至少一个基站进行安全通信,代理服务器具有代理服务器地址信息,包括数据库,用于储存所述至少一个基站的基站地址信息和对应于所述基站地址信息的基站标识信息;以及处理单元,用于将来自所述至少一个基站的第一消息报文中的基站源地址信息替换为所述代理服务器的代理服务器地址信息,向目标地址发送带有所述代理服务器地址信息的第二消息报文。根据本发明,基站的网络地址仅限制在信任的范围内,不会在公共网络内公开,使其在有线网络受到攻击的可能性降低。在单个代理收到攻击瘫痪时,可以通过更改代理IP地址或启用备份代理的方式继续和LE设备间的联系而不对基站自身的业务网络产生不良影响。
文档编号H04W92/20GK101031134SQ20061005805
公开日2007年9月5日 申请日期2006年2月28日 优先权日2006年2月28日
发明者邬旭永, 潘众, 赵泉波 申请人:华为技术有限公司