专利名称:基站中的防火墙配置的制作方法
技术领域:
本发明涉及无线广域网领域。更具体地,本发明涉及配置无线广域网中第一基站 中的防火墙的方法,以及防火墙配置设备和第一基站。
背景技术:
在典型的无线广域网(如LTE(长期演进)网络)中,移动台经由无线接入网与 一个或多个核心网通信。移动台可以是诸如移动电话(“蜂窝”电话)和具有移动终端的 膝上型计算机之类的站台,因此例如可以是与无线接入网进行语音和/或数据通信的便携 式、袖珍式、手持式、包含于计算机中的、或车载的移动设备。无线接入网覆盖被划分为小区区域的地理区域,由基站为每个小区区域提供服 务,在LTE中基站又被称为eNodeB。小区是由位于基站站点处的无线基站设备提供无线覆 盖的地理区域。每个小区由唯一标识(全球小区标识符)来标识。基站通过空中接口(例 如射频)与基站范围内的移动台通信。在许多这样的系统中,网络的各种固定实体(如基站、支持系统等)利用通信网络 的逻辑地址,经由通信网络彼此通信,通信网络的逻辑地址可以是所谓IP地址。这是与上 述小区的标识符不同类型的标识符。为了在这样的通信中提供安全性,每个基站还配备了 防火墙,所述防火墙包括对通信应用的规则。LTE中的基站将包括防火墙,防火墙执行数据分组过滤以限制对网络资源的访问。 分组过滤防火墙基于数据分组首部字段(如源IP地址、目的IP地址和端口)来阻止数据 分组。基站中的防火墙对输入业务和输出业务进行过滤。然而,分组过滤需要根据指定的过滤规则对分组进行分类的能力。通常,无线广域 网的管理员手动指定过滤规则,如接受的网络地址、IP地址和端口。一种可选方案是从中 央服务器分发过滤规则。如果所有节点能够使用相同的过滤规则,则这是容易实现的。然 而,LTE网络可能由具有不同过滤规则的数百个基站组成。典型地,基站与核心网和OSS (操 作支持系统)中的一些节点联系,还与一些相邻基站联系。不同的基站与不同的相邻基站 联系。因此,不同基站具有不同的过滤规则。此外,基站还必须能够与新增加的相邻基站通 信。然而,改变防火墙配置以允许在包括大量基站的无线广域网中增加基站并非易事。因此,需要一种改进的对在基站中提供的防火墙的更新。
发明内容
因此,本发明涉及改进对无线广域网中防火墙的更新。因此,本发明的一个目的是提供一种配置无线广域网中第一基站中的防火墙的方法。该目的是根据本发明的第一方面,通过一种配置无线广域网中第一基站中的防火 墙的方法来实现的,所述第一基站具有第一逻辑地址,并且所述方法包括以下步骤获取新的相邻基站数据,所述新的相邻基站数据与无线广域网的支持系统中的防
5火墙更新设备中所述第一基站的相邻基站列表的更新有关;以及防火墙更新设备基于所述新的相邻基站数据,以安全方式向第一基站提供防火墙 配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站的第二真实逻辑地 址,在执行所述更新和提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站 的相邻基站列表中未提供所述第二真实逻辑地址。本发明的另一目的是提供一种无线广域网中改进基站中的防火墙更新的防火墙 配置设备。该目的是根据本发明的第二方面,通过一种无线广域网的支持系统中的防火墙配 置设备来实现的,所述防火墙配置设备用于配置无线广域网中第一基站中的防火墙,所述 第一基站具有第一逻辑地址,并且所述设备包括控制单元,被配置为获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站的相邻基站列表 的更新有关;以及基于所述新的相邻基站数据,以安全方式向第一基站提供防火墙配置数据,所述 防火墙配置数据包括在第一基站附近提供的第二基站的第二真实逻辑地址,在执行所述更 新和提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站的相邻基站列表中 未提供所述第二真实逻辑地址。本发明的另一目的是提供另一种配置无线广域网中第一基站中的防火墙的方法。该目的是根据本发明的第三方面,通过一种配置无线广域网中第一基站中的防火 墙的方法来实现的,所述第一基站具有第一逻辑地址,并且所述方法包括以下步骤在第一基站中,获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站 的相邻基站列表的更新有关,并且包括标识在第一基站附近提供的第二基站的数据;以安全方式向无线广域网的支持系统中的防火墙配置设备提供所述相邻基站数 据,以安全方式从防火墙配置设备接收包括第二基站的第二真实逻辑地址在内的防 火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新 以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑 地址;以及使用所述防火墙配置数据来更新第一基站的防火墙。本发明的另一目的是提供一种无线广域网中具有改进的防火墙更新能力的基站。该目的是根据本发明的第四方面,通过一种无线广域网中的第一基站来实现的, 所述第一基站具有第一逻辑地址,并且包括防火墙,根据安全规则来允许网络接入,防火墙更新单元,用于更新所述防火墙,第一网络接口,用于与无线广域网的支持系统中的防火墙配置设备通信,第二无线接口,用于与无线广域网中的移动台通信,以及控制单元,被配置为获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站的相邻基站列表 的更新有关,并且包括标识在第一基站附近提供的第二基站的数据,
以安全方式向所述防火墙配置设备提供所述相邻基站数据,以安全方式从防火墙配置设备接收包括第二基站的第二真实逻辑地址在内的防 火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新 以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑 地址,以及向所述防火墙配置单元提供所述防火墙配置数据以更新防火墙。本发明具有允许在基站中自动更新防火墙设置的优势。采用该方式,可以避免手 动更新。在包括多个基站的无线广域网中这是有利的。此外,以安全方式执行防火墙更新。应当强调的是,当在本说明书中使用时,术语“包括”指存在所述特征、整体、步骤 或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、组件或或其组合。
现在结合附图,更详细地描述本发明,附图中图1示意性地示出了无线广域网中互连的一些单元,图2示出了根据本发明与移动台相连的第一基站的框图,图3示出了根据本发明的防火墙配置设备的框图,图4示出了根据本发明在第一基站中执行的配置防火墙的方法中所采取的多个 方法步骤的流程图,以及图5示出了在防火墙配置设备中执行的根据本发明用于配置第一基站中的防火 墙的方法中执行的多个方法步骤的流程图。
具体实施例方式在以下描述中,为了说明和非限制的目的,阐述了特定的细节(如具体架构、接 口、技术等),以提供对本发明的透彻理解。然而,对于所属领域技术人员显而易见,可以以 不具有这些特定细节的其他实施例来实现本发明。在其他实例中,省略了公知设备、电路和 方法的详细描述,以免以不必要的细节模糊本发明的描述。本发明涉及由于无线广域网的改变来动态改变防火墙设置。下面,将在无线广域网的非限制示例上下文中更详细地描述本发明,此处无线广 域网是图1所示的LTE (长期演进)网络形式的蜂窝网络。LTE网络仅仅是可以实现本发明 的无线广域网的一个示例。例如,可以在其他类型的网络(如在WiMAX网络)中提供本发 明。LTE网络包括核心网部分CN和无线接入网部分RAN。核心网部分CN具有节点10,节 点10提供与如PSTN(公共电话交换网)或GSM(全球移动通信系统)等各种其他网络的通 信。节点10还可以提供与如互联网等面向无连接的网络的通信。核心网节点10经由通信网络N与无线接入网部分RAN连接,通信网络N是面向分 组的通信网络,如互联网或内网等计算机通信网络。无线接入网部分RAN包括多个基站,其 中,图1示出了两个基站12和14。基站12和14中的每一个控制小区内的通信。此处,应 当意识到,一个基站可以处理多于一个小区。在图中,示出了与第一基站12相关的唯一一 个小区16。在由无线接入网部分RAN覆盖的地理区域中提供这些小区。在图1中,移动台 18被示为在小区16中并与第一基站12进行通信。应当意识到,通常可能提供与基站通信
7的多个移动台。在图1中还示出了防火墙配置设备20,两个基站12和14正在与防火墙配置设 备20进行通信。此处,两个基站12和14也经由通信网络N与防火墙配置设备20进行通 信,通信网络N可以是互联网或内网。利用如SSH(安全外壳)、TLS(传输层安全性)以及 SFTP(SSH文件传输协议)之类的安全协议,基站12以及14和防火墙配置设备间的通信可 以是安全的。此处,优选地,通信网络N是计算机通信网络。防火墙配置设备20可以被提供 为由无线广域网的网络运营商提供的OSS(操作支持系统)系统的一部分。防火墙配置设 备20还与DNS (域名服务器)服务器22通信。此处,该域名服务器22被示为外部服务器, 即不属于无线广域网的一部分的服务器。然而,应当意识到,可选地,服务器22可以被提供 为无线广域网的一部分以及提供为OSS系统的一部分。图1中的通信由虚线箭头指示。图2示出了第一基站12的框图。第一基站12包括用于通过通信网络通信的第一 网络接口 34。该第一网络接口 34与防火墙32相连,防火墙32继而与防火墙更新单元30、 第一控制单元26和无线电电路24相连。第一控制单元26还与防火墙更新单元30、无线 电电路24和第一相邻基站列表存储器28相连。无线电电路24还与用于与移动台18无线 通信的天线23相连。因此,此处无线电电路24和天线23构成了用于与移动台通信的第二 无线接口。这里,第一相邻基站列表存储器28包括相邻基站列表。该列表包括与相邻基站 (即位于第一基站12附近或邻近区域并且第一基站12可与其通信的基站)有关的数据。对 于每个这样的相邻基站,存储了无线广域网标识符(此处为全球小区标识符)和与计算机 通信网络相关的相关逻辑地址(此处为IP地址),接入网中的移动台通过无线广域网标识 符来标识基站。然而,它不包括针对第二基站的任何条目,稍后将更详细地对此进行描述。 第一基站12还具有自身的逻辑地址(此处称为第一逻辑地址)。图3示出了防火墙配置设备20的框图。防火墙配置设备20还包括用于通过计算 机网络进行通信的第三网络接口 36。该第三网络接口 36与第二控制单元38相连。第二控 制单元38最终与第二相邻基站列表存储器40相连。基站经由通信网络N与无线广域网内外的其他实体通信。为此,它们均具备逻辑 地址。然而,为了提供无线广域网的安全性,每个这样的基站包括分组过滤防火墙,以限制 对网络资源的访问。分组过滤防火墙可以例如基于分组的首部字段来阻止分组。此时,可 以基于如逻辑地址(如源IP地址、目的IP地址以及端口 )等数据来进行阻止。此时,基站 中的防火墙对输入业务和输出业务进行过滤,以限制对无线广域网中具有真实逻辑地址的 实体的通信。然而,分组过滤需要根据指定的过滤规则对分组进行分类的能力。通常,无线广域 网的管理员手动指定过滤规则,如接受的网络地址、IP地址和端口。一种可选方案是从中 央服务器(例如从OSS中的服务器)分发过滤规则。如果所有节点能够使用相同的过滤规 则,则这是容易实现的。然而,无线广域网可能由具有不同过滤规则的数百个基站组成。典 型地,基站与核心网部分CN和OSS中的一些节点联系,还与一些相邻基站联系。不同的基 站与不同的相邻基站联系。因此,不同基站具有不同的过滤规则。此外,基站还必须能够与 新增加的相邻基站通信。因此,需要动态改变过滤规则。此处,基站中的防火墙具有基本配置,包括用于与核心网和OSS通信的分组过滤 规则。根据本发明,针对新基站或逻辑地址发生改变的基站,以安全的方式动态配置这些过滤规则。这是为了实现基站间的通信,基站间的通信可以通过所谓X2接口来执行。在无线广域网中,每个基站还可以具有与无线广域网相关的一个或多个标识符。 在LTE情况下,这些标识符是小区标识符,即与蜂窝网络的小区相关的标识。此处,这样的 小区标识符是全球小区标识符。针对每个基站所要覆盖的每个小区,每个基站配备有一个 这样的全球小区标识符。这是移动台已知并可用于与基站的通信的基站标识。然而,如果 基站将彼此通信和与接入网或核心网中的其他实体通信,则它们不能使用该标识,它们使 用基站的逻辑地址,所述逻辑地址与计算机通信网络相关。为了实现通信(例如与切换相 关),每个基站在其相邻基站列表存储器中包括相邻基站列表。因此,在这样的存储器中,存 在每个相邻基站的全球小区标识符和逻辑地址间的关联。这样的映射可以是预先进行的并 且可以针对每个基站手动或自动进行。由于基站分布于地理区域上,基站间的相邻基站列 表都不相同。因此,无线广域网中存在大量的各种相邻基站列表。OSS系统确实还具有无线 广域网中的基站的相邻基站列表。此处,在防火墙配置设备的第二相邻基站列表存储器中 提供这些列表。基站的防火墙确实还需要包括相邻基站列表中的相邻基站的真实逻辑地址,以允 许这些基站间的通信。在许多情况下,可以在建立无线广域网时预先提供这种包括。然 而,如果发生改变(如添加新基站、旧基站接收到新逻辑地址、或从相邻基站列表中删除基 站),则相邻基站列表和防火墙中的设置都是不正确的,这导致当基站之一是新基站或改变 了其逻辑地址时在基站间的通信是不可能的。本发明旨在解决该问题。因此,下面将参照前述图1-3以及图4和图5来描述本发明,图4示出了在第一基 站中执行的用于配置防火墙的方法中所采取的多个方法步骤的流程图,图5示出了在防火 墙配置设备中执行的用于配置第一基站中的防火墙的方法中所采取的多个方法步骤的流 程图。可能引起对第一基站12的防火墙进行更新的一种情形是当移动台(此处为移动 台18)要从一个源基站切换至另一目标基站时(此处从第一基站12切换至第二基站14), 第一相邻基站列表存储器28中的相邻基站列表中不包括目标基站的情形。此时,移动台18 可以指示其想要切换至第二基站14。接着,第一基站12检查其相邻基站列表中是否具有 目标小区。如果源基站(即第一基站12)的相邻基站列表中不具有目标小区,则移动台18 将与第二基站14相关的小区的全球小区标识符信号通知给第一基站12。然而,由于第一 基站12先前未与第二基站14通信,第一基站12不具有到第二基站14的逻辑地址(即IP 地址)。因此,第二基站14在第一基站12的附近提供,但不包含在第一相邻基站列表存储 器28中的相邻基站列表中。因此,它将新基站添加至相邻基站列表。从而,用第二基站更 新相邻基站列表。从而,本发明的方法起始于第一基站12获取新的相邻基站数据(步骤42),新的 相邻基站数据是与第二基站14有关的数据。在本示例中,新的相邻基站数据是由第一控制 单元26经由无线电通信单元24和天线23从移动台18接收的上述第二基站14的全球小 区标识符。如上所述,可以与切换相关来接收该标识符。然而,也可以与对移动台18进行 跟踪相关或由于某些其他原因来接收该标识符。然后,控制单元26检查第一相邻基站列表 存储器28中其相邻基站列表中是否具有与第二基站相关的数据,并且由于没有该数据,其继续经由第一网络接口 34以安全方式向OSS系统的防火墙配置设备20发送相邻基站数据 (步骤54)。该安全方式可以是通过安全连接或安全通信会话。在本示例中,相邻基站数据 仅包括上述全球小区标识符。防火墙32还包括允许与防火墙配置设备20进行通信的规则, 所述规则确保所述相邻基站数据到达防火墙配置设备20。接着,防火墙配置设备20的第二控制单元38经由网络接口 36接收相邻基站数据 (步骤52)。此后,它获取目标基站的真实逻辑地址(步骤54)。一种获取真实逻辑地址是 经由安全连接或经由安全通信会话连接至DNS服务器22。通过这些方式,DNS服务器22被 认为是可靠的。接着,第二控制单元38可以发送第二基站14的名称,该名称可能已通过针 对相应全球小区标识符来调查列出基站名称的表格来定位。作为响应,第二控制单元38接 收从DNS服务器22接收第二基站14的真实逻辑地址,即IP地址。在DNS服务器22是OSS 系统一部分的情况下,还可以基于全球小区标识符直接获取真实IP地址。由于已经进行了 上述操作,防火墙配置设备20可以调查其自身的相邻基站列表存储器40,并定位第一基站 12的相邻基站列表。在第二基站14未包含在该列表中的情况下,防火墙配置设备20得知 也未针对与第二基站14的通信对第一基站12的防火墙进行配置。因此,防火墙配置设备 20决定由于第一基站12的相邻基站存在改变,需要更新基站12和14的防火墙。因此,防 火墙配置设备20经由网络接口 36以安全方式向第一基站12发送防火墙配置数据(步骤 56),所述防火墙配置数据包括第二基站14的真实逻辑地址。防火墙配置设备20还以安全 方式向第二基站14发送防火墙配置数据(步骤58),此时所述防火墙配置数据包括第一基 站12的真实逻辑地址。此处,该安全方式也可以是通过安全连接或安全通信会话。第一基站12的第一控制单元26经由网络接口 34接收该防火墙配置数据(步骤 46)。然后,所述数据被转发至防火墙更新单元30。此后,防火墙更新单元30更新防火墙 32的规则,使得允许与第二基站14进行通信(步骤48)。此后,可以更新第一相邻基站列 表存储器28中的相邻基站列表(步骤50)。一旦获取了真实地址就可以立即进行该更新。 还可以基于从防火墙配置设备20发送的更新列表的命令来更新相邻基站列表(步骤60)。 此处,防火墙配置设备20还可以在其自身的相邻基站列表存储器40中更新针对第一和第 二基站的相邻基站列表,并命令第一和第二基站更新它们的相邻基站列表。因此,更新防火墙是与更新第一基站的相邻基站列表相关来自动进行的。这是由 更新相邻基站列表触发的。在以上给出的示例中,在更新防火墙中的规则后,更新第一相邻 基站列表存储器中的相邻基站列表。然而,应当意识到,可以在第一基站中接收到与新相邻 基站相关的数据后的任意时刻更新相邻基站列表。因此,可以在接收到真实逻辑地址前更 新相邻基站列表。第一基站自身可以通过查询DNS服务器来定位第二基站的逻辑地址。然而,在这 种情况下,由于第一基站通常不具有与DNS服务器的安全连接,第一基站不知道该逻辑地 址是否真实。在这种情况下,第一基站可以用从DNS服务器接收的逻辑地址来更新相邻基 站列表。在这种情况下,发送至防火墙配置设备的相邻基站数据还可以包括该逻辑地址,接 着防火墙配置设备对该逻辑地址进行验证。因此,此处第一基站可以通过查询OSS中的服 务器来将全球小区标识符转换为DNS名称。接着,第一基站可以在DNS服务器中执行DNS查 找,以接收第二基站的逻辑地址。可选地,第一基站可以仅向服务器发送全球小区标识符, 服务器可以执行上述全球小区标识符至DNS名称的转换,并此后执行DNS查找。作为另一
10可选方案,上述OSS服务器可以直接从小区标识符转换为逻辑地址。在基站的冷启动后可能发生逻辑地址的改变。如果第一基站预期与之通信的相邻 基站发生了逻辑地址改变,则通信网络将通知第一基站分组中所使用的特定逻辑地址不再 有效。接着,第一基站中的第一控制单元将注意到该通知并从OSS请求新的真实逻辑地址。 以下是防火墙的配置。在这种情况下,新基站数据确实包括与相邻基站的正确逻辑地址有 关的请求。作为防火墙配置设备向DNS服务器发送查询的可选方案,防火墙配置设备可以取 而代之地直接经由如SSH(安全外壳)或TLS (传输层安全性)等安全连接或安全信道直接
查询第二基站。作为另一可选方案,每当无线广域网中的每个基站接收到新逻辑地址,就经由安 全连接向防火墙配置设备报告其自身的逻辑地址。从而,在这种情况下,防火墙配置设备直 接从基站以真实逻辑地址的形式接收相邻基站数据。从而,新增加的基站或接收到新逻辑 地址的基站可以始终通过安全信道向OSS发送其新的真实逻辑地址。防火墙配置设备还可以在每当接收到更新的相邻基站列表或每当在OSS系统中 集中更新相邻基站列表时执行更新。从而,从基站发送的相邻基站数据还可以具有更新的 相邻基站列表的形式。由于干扰问题,可以由OSS系统对相邻基站列表进行集中更新,在集 中更新中,新基站被添加至相邻基站列表。在以下情况下,每当相邻基站列表发生改变或者将要改变时,可以对防火墙进行 配置·添加至相邻基站列表的新小区不由当前被允许与源基站通信的目标基站处理, 或反之。·从相邻基站列表删除的小区由在相邻基站列表中不再包括任何小区的目标基站处理。·相邻基站列表中的基站改变了逻辑地址。当从相邻基站列表删除基站时,此时防火墙配置数据包括将该基站的逻辑地址从 防火墙设置中删除的指令。由于防火墙设置是自动更新的,避免了手动更新。这在包括多个基站的无线广域 网中是有利的。还可以以安全方式进行防火墙更新,这也是有利的。根据本发明的第一基站的控制单元和防火墙更新单元以及防火墙配置设备的控 制单元可以通过一个或多个处理器与用于执行其功能的计算机程序代码一起实现。上述程 序代码还可作为计算机程序产品(例如以承载用于在被加载至计算机时执行根据本发明 的方法的计算机程序代码的数据载体的形式)来提供。虽然结合目前被认为最实际且优选的实施例描述了本发明,但应理解本发明不限 于所公开的实施例,相反应涵盖各种修改和等效配置。因此,本发明仅由所附权利要求来限定。
权利要求
一种配置无线广域网(CN,RAN)中第一基站(12)中的防火墙(32)的方法,所述第一基站(12)具有第一逻辑地址,所述方法包括以下步骤获取(52)新的相邻基站数据,所述新的相邻基站数据与无线广域网的支持系统中的防火墙更新设备(20)中所述第一基站(12)的相邻基站列表的更新有关;以及防火墙更新设备(20)基于所述新的相邻基站数据,以安全方式向第一基站(12)提供(56)防火墙配置数据,所述防火墙配置数据包括在第一基站附近提供的第二基站(14)的第二真实逻辑地址,在执行所述更新和所述提供防火墙配置数据以允许与第二基站进行通信之前,在第一基站的相邻基站列表中未提供所述第二真实逻辑地址。
2.根据权利要求1所述的方法,其中,在第二基站(14)的第二相邻基站列表中缺少第 一逻辑地址,所述方法还包括以下步骤向第二基站(14)提供(58)包括第一基站(12)的 第一真实逻辑地址在内的防火墙配置数据,以允许与第一基站(12)进行通信。
3.根据权利要求1或2所述的方法,其中,获取新的相邻基站数据的步骤包括经由安 全连接发送与第二基站的逻辑地址有关的查询,以及作为对所述查询的响应,接收(54)所 述第二真实逻辑地址。
4.根据权利要求3所述的方法,其中,所述查询被发送至第二基站。
5.根据前述权利要求中任一项所述的方法,其中,获取新的相邻基站数据的步骤包括 直接从所述第二基站接收第二相邻基站的所述第二真实逻辑地址。
6.根据权利要求3所述的方法,其中,所述查询被发送至可靠的地址提供服务器(22)。
7.根据权利要求3所述的方法,其中,获取新的相邻基站数据的步骤包括从第一基站 接收关于第二基站的查询。
8.根据权利要求7所述的方法,其中,所接收的查询包括来自所述第一基站的与所述 第二相邻基站相关的至少一个无线广域网标识符。
9.根据权利要求7或8所述的方法,其中,所接收的查询包括第二基站的逻辑地址,并 且执行发送查询的步骤以验证所述接收的逻辑地址是所述第二真实逻辑地址。
10.根据权利要求7-9中任一项所述的方法,其中,所接收的查询包括针对第二基站的 真实逻辑地址的请求。
11.根据权利要求1-6中任一项所述的方法,其中,获取新的相邻基站数据的步骤包 括从第一基站接收包括标识第二基站的数据在内的更新后的相邻基站列表。
12.根据前述权利要求中任一项所述的方法,还包括以下步骤更新(60)第一基站的 相邻基站列表,其中,更新后的相邻基站列表包括第二基站的真实逻辑地址。
13.根据权利要求12所述的方法,还包括以下步骤更新(60)第二基站的相邻基站列表。
14.根据权利要求1或2所述的方法,其中,获取新的相邻基站数据的步骤包括获取 集中更新的第一基站的相邻基站列表。
15.根据前述权利要求中任一项所述的方法,其中,向第一基站提供防火墙配置数据的 步骤是由对第一基站的相邻基站列表的更新来触发的。
16.一种无线广域网(CN,RAN)的支持系统中的防火墙配置设备(20),用于配置无线广 域网(CN,RAN)中第一基站(12)中的防火墙(32),所述第一基站(12)具有第一逻辑地址, 所述设备(20)包括控制单元(38),被配置为获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站(12)的相邻基站列 表的更新有关;以及基于所述新的相邻基站数据,以安全方式向第一基站(12)提供防火墙配置数据,所述 防火墙配置数据包括在第一基站附近提供的第二基站(14)的第二逻辑地址,在执行所述 更新和所述提供防火墙配置数据以允许与第二基站(14)进行通信之前,在第一基站(12) 的相邻基站列表中未提供所述第二真实逻辑地址。
17.—种配置无线广域网(CN,RAN)中第一基站(12)中的防火墙(32)的方法,所述第 一基站(12)具有第一逻辑地址,所述方法包括以下步骤在第一基站中,获取(42)新的相邻基站数据,所述新的相邻基站数据与所述第一基站 (12)的相邻基站列表的更新有关,并且包括标识在第一基站附近提供的第二基站的数据;以安全方式向无线广域网(CN,RAN)的支持系统中的防火墙配置设备(20)提供(44) 所述相邻基站数据,以安全方式从所述防火墙配置设备(20)接收(46)包括第二基站(14)的第二真实逻 辑地址在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得 的,在所述更新以允许与第二基站(14)进行通信之前,在第一基站的相邻基站列表中未提 供所述第二真实逻辑地址;以及使用所述防火墙配置数据来更新(48)第一基站的防火墙(32)。
18.根据权利要求17所述的方法,其中,所述基站数据包括与第二基站(14)相关的 无线广域网标识符。
19.根据权利要求17或18所述的方法,其中,所述新的基站数据包括第二基站(14) 的逻辑地址。
20.根据权利要求19所述的方法,还包括以下步骤从地址提供服务器获取第二基站 (14)的所述逻辑地址。
21.根据权利要求17-20中任一项所述的方法,还包括以下步骤使用所述真实第二逻 辑地址来更新(50)第一基站的相邻基站列表。
22.一种无线广域网(CN,RAN)中的第一基站(12),所述第一基站(12)具有第一逻辑 地址,并且包括防火墙(32),根据安全规则来允许网络接入,防火墙更新单元(30),用于更新所述防火墙(32),第一网络接口(34),用于与无线广域网(CN,RAN)的支持系统中的防火墙配置设备 (20)通信,第二无线接口(23,24),用于与无线广域网(CN,RAN)中的移动台(18)通信,以及控制单元(26),被配置为获取新的相邻基站数据,所述新的相邻基站数据与所述第一基站(12)的相邻基站列 表的更新有关,并且包括标识在第一基站(12)附近提供的第二基站(14)的数据,以安全方式向所述防火墙配置设备(20)提供所述相邻基站数据,以安全方式从所述防火墙配置设备(20)接收包括第二基站(14)的第二真实逻辑地址 在内的防火墙配置数据,所述防火墙配置数据是基于所述新的相邻基站数据而获得的,在所述更新以允许与第二基站(14)进行通信之前,在第一基站(12)的相邻基站列表中未提 供所述第二真实逻辑地址,以及向所述防火墙配置单元(30)提供所述防火墙配置数据以更新防火墙(32)。
全文摘要
本发明涉及配置无线广域网(CN,RAN)中第一基站(12)中的防火墙的方法,以及防火墙配置设备(20)和第一基站(12)。所述第一基站(12)获取新的相邻基站数据,所述新的相邻基站数据与第一基站(12)的相邻基站列表的更新有关,所述数据包括标识在第一基站附近提供的第二基站(14)的数据。防火墙配置设备(20)基于该数据,向第一基站(12)提供包括第二基站(14)的第二真实逻辑地址在内的防火墙配置数据,在所述更新之前,该相邻基站列表中未提供该真实逻辑地址。第一基站(12)利用防火墙配置数据更新其防火墙,以允许与第二基站(14)进行通信。
文档编号H04L29/06GK101884231SQ200780101778
公开日2010年11月10日 申请日期2007年12月6日 优先权日2007年12月6日
发明者伊丽莎白·汉森 申请人:艾利森电话股份有限公司