一种基于安全网关的通信方法、系统及设备的制作方法

一种基于安全网关的通信方法、系统及设备的制作方法
【专利摘要】本发明公开了一种基于安全网关的通信方法、系统及设备，主要内容包括：通过将安全网关从系统网关中独立出来，在源家庭基站与目标家庭基站处于同一个安全网关中的情况下，由安全网关替代系统网关和核心网完成通信数据包从源家庭基站到目标家庭基站的发送过程，使得通信业务中的部分通信数据包的传输过程无需经过系统网关和核心网，大大减轻了系统网关和核心网的业务压力。
【专利说明】一种基于安全网关的通信方法、系统及设备
【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种基于安全网关的通信方法、系统及设备。【背景技术】
[0002]随着用户对通信资源需求的不断增加，一种基于家庭基站的femto系统应运而生。在femto系统中，家庭基站通过固网宽带接入到移动核心网，大大拓展了移动通信信号的覆盖范围，使得接入家庭基站的通信终端能够很好地进行日常通信。
[0003]如图1所示，为传统的femto系统架构示意图，从图1中可以看出，通信终端通过空口接入家庭基站，系统网关中内置具有IPSec (Internet Protocol Security,互联网协议安全性)能力的安全网关模块，家庭基站通过互联网连接至系统网关中内置的安全网关模块，与之建立IPSec安全隧道，系统网关通过交换机连接至核心网。
[0004]利用图1所示的femto系统架构进行通信时通信数据的传输过程为:源通信终端(源通信终端是指一次通信数据包的传输过程中发出通信数据包的通信终端)生成的通信数据包发送至接入的源家庭基站(所述源家庭基站是指源通信终端接入的家庭基站)，由源家庭基站将所述通信数据包通过与安全网关模块之间的IPSec安全隧道传输至系统网关，再由系统网关将该通信数据包传输至核心网；当核心网对接收到的通信数据包进行处理后发送给系统网关，再由系统网关中的安全网关模块将来自核心网的所述通信数据包通过与目标家庭基站之间的IPSec安全隧道传输至目标家庭基站，最后由目标家庭基站从接收到的通信数据包中提取出目标通信终端的标识并发送给对应的目标通信终端(所述目标通信终端是指一次通信数据包的传输过程中接收通信数据包的通信终端)，完成源通信终端和目标通信终端之间的通信过程。
[0005]在利用图1所示的femto系统架构进行通信时，接入家庭基站的通信终端进行通信时产生的通信数据包须经过系统网关传输至核心网，由核心网对来自通信终端的数据包进行处理，可能会导致系统网关和核心网负荷比较大，特别是在通信业务繁忙时，大量的通信终端在短时间内同时向系统网关发送通信数据包，再由系统网关发送至核心网，由核心网对通信数据包进行处理的过程会导致系统网关和核心网的负荷压力更加明显；另一方面，宽带的制式可以多种多样，如宽带制式I或宽带制式2，其中，宽带制式I和宽带制式2可以为不同运营商提供的宽带制式，当多种宽带制式的通信终端接入各自宽带制式下的家庭基站进行通信时，系统网关需要对每种宽带制式的通信终端发出的通信数据包进行相应处理后传输至核心网，且核心网也需要对不同宽带制式的通信终端发出的通信数据包进行业务处理后再生成相应宽带制式的通信数据包，再由系统网关将核心网生成的针对不同宽带制式的通信数据包分别传输至相应宽带制式下的家庭基站，这将会进一步加重系统网关和核心网的业务压力，甚至可能出现通信数据包丢包的现象，导致通信质量较差，特别是应用在语音业务时，可能会使语音业务出现问题。
[0006]例如，当宽带制式I的源通信终端UEl通过源家庭基站与宽带制式2的目标通信终端UE2进行通信时，其通信过程产生的数据流如图2所示，以语音通信为例，假设UEl为主叫，UE2为被叫，当UEl拨通UE2的号码时，UEl通过Uu接口将宽带制式I的语音数据包发送至宽带制式I下的家庭基站，宽带制式I下的家庭基站通过与系统网关中的安全网关模块建立的IPSec安全隧道将宽带制式I的语音数据包传输至系统网关，系统网关对接收到的宽带制式I的语音数据包进行处理后通过交换机将该语音数据包传输至核心网，核心网从宽带制式I的语音数据包中提取出被叫UE2的标识，并根据本地存储的UE2所驻留的目标家庭基站信息，确定目标通信终端接入的是宽带制式2下的家庭基站，之后，核心网将接收到的宽带制式I的语音数据包处理后生成宽带制式2的语音数据包，核心网将该语音数据包传输至系统网关，再由系统网关将核心网生成的宽带制式2的语音数据包经宽带制式2下的家庭基站最终到达UE2,建立呼叫链路，之后UEl与UE2可开始语音通信。
[0007]在上述通信过程中，系统网关和核心网需要对大量的通信数据包进行处理，给系统网关和核心网带来较大的业务压力，导致系统网关和核心网的处理能力大幅下降，甚至出现丢包现象，造成通信业务质量较差的问题。

【发明内容】

[0008]本发明实施例提供了一种基于安全网关的通信方法、系统及设备，用以解决现有技术中存在的系统网关和核心网业务压力大的问题。
[0009]一种基于安全网关的通信方法，所述方法包括:
[0010]安全网关经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包；
[0011]安全网关在确定目标家庭基站是与自身建立了安全隧道的家庭基站时，将所述通信数据包发送至所述目标家庭基站，所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站。
[0012]一种基于安全网关的通信系统，所述系统包括:源家庭基站、目标家庭基站和与源家庭基站之间建立有安全隧道的安全网关，其中:
[0013]安全网关，用于经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包，并在确定目标家庭基站是与自身建立了安全隧道的家庭基站时，将所述通信数据包发送至所述目标家庭基站。
[0014]一种安全网关，所述安全网关包括:
[0015]隧道建立模块，用于与家庭基站之间建立安全隧道；
[0016]第一接收模块，用于接收源通信终端通过所接入的源家庭基站经由所述安全隧道发送的通信数据包；
[0017]第一判断模块，用于判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站；
[0018]第一发送模块，用于在判断结果是目标家庭基站与自身建立了安全隧道时，将所述通信数据包发送至所述目标家庭基站。
[0019]本发明有益效果如下:
[0020]本发明实施例通过将安全网关从系统网关中独立出来，在源家庭基站与目标家庭基站处于同一个安全网关中的情况下，由安全网关替代系统网关和核心网完成通信数据包从源家庭基站到目标家庭基站的发送过程，使得通信业务中的部分通信数据包的传输过程无需经过系统网关和核心网，大大减轻了系统网关和核心网的业务压力。
【专利附图】

【附图说明】
[0021]图1为【背景技术】中的femto系统架构示意图；
[0022]图2为【背景技术】中的femto系统架构下，宽带制式I的通信终端与宽带制式2的通信终端进行语音通信时的通信数据流示意图；
[0023]图3为本发明实施例一中基于安全网关的通信系统的架构示意图；
[0024]图4为本发明实施例二中基于安全网关的通信方法的步骤示意图；
[0025]图5为本发明实施例三中基于安全网关的通信方法的步骤示意图；
[0026]图6为本发明实施例四中基于安全网关的通信系统内网元间的通信数据流示意图；
[0027]图7为本发明实施例五中安全网关的结构示意图。
【具体实施方式】
[0028]本发明实施例的方案通过将安全网关从系统网关中独立出来，在源家庭基站与目标家庭基站处于同一个安全网关中的情况下，由安全网关替代系统网关和核心网完成通信数据包从源家庭基站到目标家庭基站的发送过程，使得通信业务中的部分通信数据包的传输过程无需经过系统网关和核心网，大大减轻了系统网关和核心网的业务压力，同时也减少了通信过程中出现的丢包现象，提升了通信业务质量。
[0029]需要说明的是，本发明实施例方案中的源通信终端是指一次通信数据包的传输过程中发出通信数据包的通信终端，目标通信终端是指一次通信数据包的传输过程中接收通信数据包的通信终端。以语音通信业务为例，源通信终端可以是主叫终端也可以是被叫终端，在一次语音数据包的传输过程中，语音数据包从源通信终端传输至目标通信终端。
[0030]源家庭基站是源通信终端所接入的家庭基站，目标家庭基站是目标通信终端所接入的家庭基站，所述源通信终端和目标通信终端的通信制式可以相同，也可以不同。
[0031]下面结合说明书附图对本发明实施例作进一步说明，但本发明不局限于下面的实施例。
[0032]实施例一:
[0033]如图3所示，为本发明实施例一中基于安全网关的通信系统的架构示意图，在如图3所示的系统架构中，通信终端通过空口接入家庭基站；家庭基站与安全网关之间建立有安全隧道，并可利用该安全隧道进行通信；安全网关独立于系统网关，安全网关通过专有传输线路连接至系统网关；系统网关通过交换机连接至核心网。
[0034]下面对所述系统架构进行详细说明:
[0035]以宽带制式I下的家庭基站1、家庭基站2接入宽带制式I下的安全网关1、宽带制式2下的家庭基站3、家庭基站4接入宽带制式2的安全网关2为例。
[0036]在本实施例一的系统架构下，通信终端通过空口(如Uu接口)接入家庭基站，当通信终端探测到多个可接入的家庭基站时，可选择接入其中的一个家庭基站，这里通信终端选择可接入的家庭基站以及接入家庭基站的方式可以为按照信号强度选择接入的家庭基站，或选择接入相同宽带制式的家庭基站等。当通信终端发生位移时，通信终端可按照目前的常规方式进行基站间的切换。
[0037]在本实施例一中的安全网关可具有IPSec能力，家庭基站与安全网关之间可进行交互认证，建立加密隧道，即建立IPSec安全隧道，所述IPSec安全隧道的建立方式与常规的IPSec安全隧道的建立方式相同。需要说明的是，本实施例一中家庭基站与安全网关之间建立的安全隧道不限于IPSec安全隧道，也可以是其他通信协议下的安全隧道。家庭基站与安全网关的认证方式与目前常规的家庭基站与集成在系统网关中的安全网关模块之间的认证方式相同，本实施例不限于任一可用的认证方式。
[0038]较优地，由于安全网关独立于系统网关，因此，安全网关设置的位置不局限于系统网关所在的位置，可将安全网关放置在家庭基站和系统网关之间，最好是距离家庭基站较近的位置(如与家庭基站距离在设定长度内的位置)，以缩短数据传输线路，减少复杂的网络环境对IPSec安全隧道稳定性的影响。
[0039]特殊地，若家庭基站可与多个安全网关建立安全隧道，则家庭基站可根据诸如网络质量、负载状况、宽带制式等因素，灵活选择可建立安全隧道的安全网关，例如，家庭基站选择相同宽带制式的安全网关，并与选择的安全网关建立安全隧道。
[0040]由于安全网关从系统网关中独立出来，家庭基站可直接接入与其宽带制式相同的且距离较近的安全网关，从而避免出现当家庭基站接入不同宽带制式的安全网关时，该家庭基站传输的通信数据包需经过多重设备到达不同宽带制式的安全网关，加重通信数据包时延和丢包的问题。
[0041]由于本实施例一中的安全网关独立于系统网关，因此，为了确保安全网关与系统网关之间通信的可靠性，可在安全网关和系统网关之间架设专有传输线路，安全网关和系统网关之间的通信不经过其他设备，也不进入互联网线路，可减少外部环境对安全网关与系统网关之间的通信质量的影响。所述专有传输线路可以是有线线路(例如光纤线路)。
[0042]特殊地，若安全网关可与多个系统网关相连，则安全网关可根据诸如网络质量、负载状况等因素，灵活选择一个系统网关进行通信数据包的传输，例如，安全网关选择负载小于第二设定值的系统网关进行通信数据包的传输，以实现良好的通信效果。
[0043]系统网关通过交换机与核心网网元连接，本实施例一中交换机的型号不受限制，具体的连接方式与常规的系统网关与核心网网元之间的连接方式相同。
[0044]当家庭基站、安全网关、系统网关之间按照上述架构建立通信链路后，家庭基站可通过IPSec安全隧道和专有传输线路，与系统网关进行注册过程的信息交互，进而注册至系统网关中。这里家庭基站注册至系统网关的方式与常规方式相同，可使用目前任一可用的注册方式。当家庭基站注册至系统网关后，接入家庭基站的通信终端就可以进行语音通信等通信业务了。
[0045]实施例二:
[0046]假设本实施例二和实施例三中安全网关的宽带制式和与所述安全网关建立了安全隧道的各家庭基站的宽带制式相同，避免出现当家庭基站接入不同宽带制式的安全网关时，该家庭基站传输的通信数据包需经过多重设备到达不同宽带制式的安全网关，加重通信数据包时延和丢包的问题。
[0047]如图4所示，为本发明实施例二中基于安全网关的通信方法的步骤示意图，所述方法主要包括以下步骤:[0048]步骤101:安全网关经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包。
[0049]步骤102:安全网关判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，若是，则执行步骤103 ;否则，执行步骤104。
[0050]所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站。
[0051]由于在步骤101中，安全网关通过与源家庭基站之间的IPSec安全隧道接收到来自源家庭基站的通信数据包，因此，如果在本步骤102中，安全网关与目标家庭基站之间也建立了 IPSec安全隧道，则表示源家庭基站与目标家庭基站都与同一个安全网关相连，在此情况下，安全网关可将来自源家庭基站的通信数据包发送给目标家庭基站。
[0052]如果在本步骤102中，安全网关与目标家庭基站之间没有建立安全隧道，则表示源家庭基站与目标家庭基站分别与不同的安全网关相连，在此情况下，安全网关无法将来自源家庭基站的通信数据包发送给目标家庭基站，因此，需按照常规技术进行通信数据包的传输。
[0053]步骤103:安全网关将所述通信数据包发送至所述目标家庭基站，完成一次通信，实现通信数据包在源家庭基站和目标家庭基站之间的本地回环。
[0054]由于在本步骤103中，安全网关代替系统网关和核心网的一部分工作，将来自源家庭基站的所述通信数据包转发给目标家庭基站，而不经过系统网关和核心网的处理，因此，本发明实施例所涉及的安全网关对转发的通信数据包有一定的处理能力，能够使得目标家庭基站在接收到安全网关转发的通信数据包后，可正确执行通信业务。所述安全网关对通信数据包的处理能力可以是:在常规方式下，核心网对源通信终端发送的通信数据包进行处理的能力，如对通信数据包的制式转换能力等。
[0055]步骤104:安全网关将所述通信数据包通过专有传输线路传输至系统网关，再由系统网关传输至核心网，由核心网按照常规技术进行通信数据包的处理和传输过程，完成
一次通信。
[0056]下面通过实施例三对本实施例二的方案进行详细说明。
[0057]实施例三:
[0058]如图5所示，为本发明实施例三中基于安全网关的通信方法的步骤示意图，所述方法主要包括以下步骤:
[0059]步骤201:安全网关接收核心网发送的通信链路信息。
[0060]所述通信链路信息是源通信终端和目标通信终端之间建立通信链路时由核心网生成的，所述通信链路信息中包含源通信终端标识、源家庭基站标识、目标通信终端标识以及目标家庭基站标识。
[0061]以源通信终端(称之为UEl)和目标通信终端(称之为UE2)之间执行语音呼叫业务为例，假设UEl为主叫端，接入源家庭基站，UE2为被叫端，接入目标家庭基站，则UE1、源家庭基站、安全网关、系统网关、核心网、目标豕庭基站和UE2之间建立图3所不的系统架构后，从UEI发起呼叫请求直至UE2摘机并接续呼叫，建立了 UEI和UE2之间的语音呼叫链路，所述语音呼叫链路的建立过程与常规技术中安全网关集成在系统网关下的情况相同。
[0062]UEl和UE2之间语音呼叫链路建立后，核心网将为本次的链路建立过程生成通信链路信息，在所述通信链路信息中携带UEl标识、源家庭基站标识、UE2标识以及目标家庭基站标识，并将该通信链路信息发送给源家庭基站连接的安全网关。
[0063]进一步地，当上述UEl或UE2中至少一个UE在通信业务执行过程中所接入的家庭基站发生变化时(如通信终端发生位移后进行了家庭基站切换)，核心网将指示安全网关更新本地存储的通信链路信息。
[0064]例如，UEl在发生位移之前接入的源家庭基站是家庭基站1，UE2接入的目标家庭基站是家庭基站2，核心网发送给安全网关的通信链路信息中包含:UE1标识、家庭基站I标识、UE2标识以及家庭基站2标识。
[0065]当UEl在发生位移之后，从家庭基站I切换至家庭基站3，由于UE在家庭基站间的切换业务会上报至核心网，因此，在UEl切换至家庭基站3后，核心网将指示安全网关更新本地存储的通信链路信息。具体地，核心网指示安全网关更新本地存储的通信链路信息的方式包含但不限于以下两种方式:
[0066]第一种方式:
[0067]核心网生成更新后的通信链路信息，并将更新后的通信链路信息发送给安全网关。
[0068]核心网生成的更新后的链路信息中包含:UE1标识、家庭基站3标识、UE2标识以及豕庭基站2标识。
[0069]安全网关收到来自核心网的更新后的通信链路信息后，从本地已存储的通信链路信息中查找出待更新的通信链路信息，其中，所述待更新的通信链路信息与接收到的更新后的通信链路信息中包含的UEl标识和UE2标识相同，即安全网关确定当前接收到的更新后的通信链路信息是针对已存储的哪一条通信链路信息的更新。
[0070]安全网关利用接收到的更新后的通信链路信息替换查找出的待更新的通信链路信息，之后利用所述更新后的通信链路信息来进行业务操作。
[0071]第二种方式:
[0072]核心网向安全网关发送更新消息，所述更新消息中包含了 UEl标识，以及UEl在接入变化如后分别接入的家庭基站的标识，即包含了 UEl标识、家庭基站I标识和家庭基站3标识。
[0073]安全网关在接收到所述更新消息后，确定本地已存储的包含了 UEl标识的通信链路信息，并将该确定的通信链路信息中记录的UEl所接入的家庭基站标识由家庭基站I标识更新为家庭基站3标识。
[0074]步骤202:安全网关接收源家庭基站发送的通信数据包。
[0075]所述通信数据包是源通信终端通过所接入的源家庭基站向安全网关发送的。
[0076]本步骤202和步骤201的执行先后顺序不固定，安全网关可以在本实施例三的执行过程中多次接收到来自核心网的通信链路信息，以及多次接收到不同的源家庭基站传输的通信数据包，例如，安全网关在执行步骤202之后的某一时刻，再次接收来自核心网的通信链路信息。
[0077]步骤203:安全网关判断所述通信数据包是否是结束本次通信业务的通信数据包，若是，则转至步骤208 ;若否，则转至步骤204。
[0078]由于源通信终端通过接入的源家庭基站发送的通信数据包可能是源通信终端与目标通信终端之间进行通信业务过程中传输的通信数据包，也可能是本次通信业务结束时传输的通信数据包，因此，安全网关可根据通信数据包的类型来判定所述通信数据包是否是用于结束本次通信业务的通信数据包。例如，以语音通话业务为例，源通信终端挂机时生成的通信数据包可确定为结束本次语音通话业务的通信数据包。
[0079]若是，则安全网关需要将所述通信数据包传输至核心网，由核心网执行源通信终端和目标通信终端之间的通信业务结束过程。
[0080]若否，则安全网关可进一步判断是否需要执行将通信数据包发送至目标家庭基站的操作。
[0081]步骤204:安全网关根据通信链路信息判断是否能够确定出目标家庭基站，若是，则转至步骤205 ;否则转至步骤208。
[0082]本步骤204的具体实现方法为:
[0083]第一步:安全网关从接收到的通信数据包中提取出源通信终端标识和目标通信终端标识；
[0084]第二步:安全网关从已存储的通信链路信息中，确定出包含所述源通信终端标识和目标通信终端标识的通信链路信息。
[0085]在上述第二步中，安全网关本地存储的通信链路信息中可能存在包含所述源通信终端标识和目标通信终端标识的通信链路信息，也可能不存在包含所述源通信终端标识和目标通信终端标识的通信链路信息。
[0086]若存在包含所述源通信终端标识和目标通信终端标识的通信链路信息，则可继续执行第三步；否则，安全网关无法根据通信链路信息确定出目标家庭基站，将转至步骤208。
[0087]第三步:安全网关从第二步确定出的通信链路信息中查找出目标家庭基站标识，进而确定出对应的目标家庭基站。
[0088]步骤205:安全网关判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，若是，则转至步骤206 ;否则，转至步骤208。
[0089]步骤206:安全网关将所述通信数据包发送给目标家庭基站。
[0090]步骤207:安全网关通知核心网当前执行了一次源通信终端和目标通信终端之间的通信数据包的传输过程，结束本次通信数据包的传输过程。
[0091]本步骤207的具体实现方式为:
[0092]安全网关可生成包含源通信终端标识和目标通信终端标识的通知消息，并将所述通知消息通过系统网关发送至核心网，用于通知核心网当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。安全网关可以以静默帧的形式生成所述通知消息。
[0093]需要说明的是，本实施例的方案中，安全网关也不限于通过其他方式通知核心网当前执行了 一次通信数据包的传输过程。
[0094]较优地，假设在步骤204中，安全网关是根据通信链路信息A确定出目标家庭基站的，因此，在本步骤207的方案中，安全网关在向核心网发送所述通知消息之前，判断在步骤204中是否是首次根据所述通信链路信息A来确定目标家庭基站的。
[0095]若是，表示针对通信链路信息A所反映的通信业务而言，安全网关首次为该通信业务中的通信数据包在源家庭基站和目标家庭基站之间进行转发，因此，安全网关可在所述通知消息中开辟特殊字段，如开辟特殊字段的内容为O时，表示当前是该通信业务的通信数据包首次由安全网关进行源家庭基站和目标家庭基站之间的转发。核心网接收到所述通知消息后，根据其中特殊字段中的内容可知当前安全网关首次替代核心网为该通信业务进行通信数据包的转发，可开始为该通信业务进行计时。
[0096]若否，安全网关可将所述特殊字段的内容置为1，核心网接收到所述通知消息后，根据其中特殊字段中的内容可知当前安全网关又执行了一次替代核心网为该通信业务进行通信数据包的转发的操作，以便核心网对通信数据包的发送过程进行监控。
[0097]步骤208:安全网关将通信数据包通过系统网关传输至核心网，由核心网完成本次通信数据包的处理及传输过程。
[0098]在本步骤208中，安全网关通过专有传输线路将通信数据包传输至系统网关，再由系统网关通过交换机将通信数据包传输至核心网，之后，核心网可按照传统通信方法进行通信数据包的处理以及传输，此处不再赘述。
[0099]在本实施例三的步骤201中，核心网在源通信终端和目标通信终端之间建立通信链路时不判断目标家庭基站与源家庭基站是否与同一安全网关相连，而直接将生成的通信链路信息发送给安全网关，由安全网关在步骤205中判断目标家庭基站是否是与自身建立了安全隧道的家庭基站。本实施例三的方案也不限于:
[0100]在步骤201之前，由核心网确定源通信终端和目标通信终端之间建立通信链路后，判断目标通信终端所接入的目标家庭基站与源家庭基站是否与同一安全网关相连，若是，则执行步骤201 ;若否，核心网可不向安全网关发送通信链路信息。
[0101]在核心网判断目标家庭基站与源家庭基站是否与同一安全网关相连的方案下，安全网关在步骤205中可对目标家庭基站是否是与自身建立了安全隧道的家庭基站再次进行判断，也可不判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，而直接确认目标家庭基站是与自身建立了安全隧道的家庭基站。
[0102]通过本发明实施例三的方案，将安全网关从系统网关中独立出来，用于在源家庭基站和目标家庭基站都接入同一安全网关时，由该安全网关替代系统网关和核心网的部分功能，将来自源家庭基站的通信数据包处理后直接转发给目标家庭基站，实现了通信数据包的本地回环，大大减轻了系统网关和核心网的业务压力，减少了通信过程中出现的丢包现象，提升了通信业务质量。同时，安全网关还通过静默帧的方式将每次进行本地回环的过程通知核心网，以便核心网对通信数据包的发送过程做到实时监控。另外，由于安全网关与系统网关之间通过专有传输线路进行通信，为了保证专有传输线路的可靠性，安全网关和系统网关之间可进行同步操作，如安全网关和系统网关之间通过静默帧进行线路可用性的探测，以确保安全网关与系统网关之间的专有传输线路实时可用。
[0103]实施例四:
[0104]本发明实施例四是基于实施例一所示的通信系统架构基础上，通信系统内的各网元进行通信业务的过程，如图6所示，具体为:
[0105]安全网关，用于经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包，并在确定目标家庭基站是与自身建立了安全隧道的家庭基站时，将所述通信数据包发送至所述目标家庭基站，实现了通信数据包的本地回环。
[0106]优选地，所述安全网关的宽带制式和与所述安全网关建立了安全隧道的各家庭基站的宽带制式相同。
[0107]安全网关通过专有传输线路与系统网关连接，系统网关可用于在安全网关确定所述目标家庭基站没有与自身建立安全隧道时，接收所述安全网关通过所述专有传输线路传输的所述通信数据包，并发送给核心网；核心网用于接收所述系统网关传输的所述通信数据包。
[0108]所述系统网关，用于在安全网关无法确定所述目标家庭基站时，接收所述安全网关通过所述专有传输线路传输的所述通信数据包，并发送给核心网；核心网，用于接收所述系统网关传输的所述通信数据包。
[0109]所述核心网，还用于在所述源通信终端和目标通信终端之间建立通信链路时，生成包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识的通信链路信息，并发送给所述安全网关；所述安全网关，还用于从接收到的通信链路信息中，确定出包含所述通信数据包中的源通信终端标识和目标通信终端标识的通信链路信息，并根据确定的所述通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。
[0110]所述核心网，还用于当所述源通信终端和目标通信终端中的至少一个通信终端所接入的家庭基站发生变化时，向安全网关发送更新后的通信链路信息，或者，向安全网关发送更新消息，所述更新消息中包含了所接入的家庭基站发生变化的通信终端的标识，以及该通信终端在接入变化前后分别接入的家庭基站的标识。
[0111]所述安全网关，还用于将包含源通信终端标识和目标通信终端标识的通知消息通过所述专有传输线路发送至系统网关；所述系统网关，还用于将所述通知消息发送至所述核心网；所述核心网，还用于根据接收到的所述通知消息，确定当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。
[0112]所述安全网关，还用于在确定所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，将所述通信数据包通过所述专有传输线路发送至系统网关；所述系统网关，还用于将所述通信数据包发送至所述核心网。
[0113]所述安全网关与所述系统网关之间进行同步操作，以确定所述专有传输线路是否可用。
[0114]所述安全网关，还用于从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关通过专有传输线路建立传输通道。
[0115]实施例五:
[0116]本发明实施例五还提供一种安全网关，如图7所示，所述安全网关包括隧道建立模块11、第一接收模块12、第一判断模块13和第一发送模块14，其中:
[0117]隧道建立模块11用于与家庭基站之间建立安全隧道；第一接收模块12用于接收源通信终端通过所接入的源家庭基站经由所述安全隧道发送的通信数据包；第一判断模块13用于判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站；第一发送模块14用于在判断结果是目标家庭基站与自身建立了安全隧道时，将所述通信数据包发送至所述目标家庭基站。
[0118]优选地，所述安全网关的宽带制式和与所述安全网关建立了安全隧道的各家庭基站的宽带制式相同，即隧道建立模块11与相同宽带制式的家庭基站之间建立安全隧道。
[0119]所述安全网关还包括线路连接模块15和第二发送模块16，其中:
[0120]线路连接模块15用于与系统网关之间建立专有传输线路；第二发送模块16用于在判断结果是目标家庭基站没有与自身建立安全隧道时，将所述通信数据包通过所述专有传输线路发送至所述系统网关。
[0121]所述安全网关还包括第二判断模块17、线路连接模块15和第二发送模块16，其中:
[0122]所述第二判断模块17用于判断是否能够确定所述目标家庭基站，若是，则触发所述第一判断模块13，若否，则触发所述第二发送模块16 ;所述线路连接模块15用于与系统网关之间建立专有传输线路；所述第二发送模块16用于在受到所述第二判断模块17的触发时，将所述通信数据包通过所述专有传输线路发送至所述系统网关。
[0123]所述安全网关还包括第二接收模块18，用于接收核心网通过所述系统网关经由所述专有传输线路发送的通信链路信息，所述通信链路信息中包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识；所述第二判断模块17，具体用于从接收到的通信链路信息中，确定出包含所述通信数据包中的源通信终端标识和目标通信终端标识的通信链路信息，并根据确定的所述通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。
[0124]第二接收模块18还用于当所述源通信终端和目标通信终端中的至少一个通信终端所接入的家庭基站发生变化时，接收核心网通过系统网关发送的更新后的通信链路信息，或者，接收核心网通过系统网关发送的更新消息，所述更新消息中包含了所接入的家庭基站发生变化的通信终端的标识，以及该通信终端在接入变化前后分别接入的家庭基站的标识。
[0125]所述安全网关还包括第三发送模块19，用于将包含源通信终端标识和目标通信终端标识的通知消息通过所述系统网关发送至核心网，通知核心网当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。
[0126]第二发送模块16还用于在确定所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，将所述通信数据包发送至系统网关。
[0127]所述安全网关还包括同步模块10，用于与系统网关之间进行同步操作，以确定所述专有传输线路是否可用。
[0128]线路连接模块15具体用于从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关建立专有传输线路。
[0129]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0130]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0131]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0132]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0133]尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0134]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种基于安全网关的通信方法，其特征在于，所述方法包括: 安全网关经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包； 安全网关在确定目标家庭基站是与自身建立了安全隧道的家庭基站时，将所述通信数据包发送至所述目标家庭基站，所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站。
2.如权利要求1所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关在确定所述目标家庭基站没有与自身建立安全隧道时，将所述通信数据包通过专有传输线路传输至系统网关，再由系统网关传输至核心网。
3.如权利要求1所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关在无法确定所述目标家庭基站时，将所述通信数据包通过专有传输线路传输至系统网关，再由系统网关传输至核心网。
4.如权利要求1所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关确定所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，将所述通信数据包通过专有传输线路传输至系统网关，再由系统网关传输至核心网。
5.如权利要求1?4任一所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关接收核心网发送的通信 链路信息，所述通信链路信息是所述源通信终端和目标通信终端之间建立通信链路时由核心网生成的，所述通信链路信息中包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识； 安全网关通过以下方式确定所述目标家庭基站: 安全网关从所述通信数据包中提取出源通信终端标识和目标通信终端标识； 安全网关从核心网发送的通信链路信息中，确定出包含所述通信数据包中的源通信终端标识和目标通信终端标识的通信链路信息； 安全网关根据确定的所述通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。
6.如权利要求5所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 当所述源通信终端和目标通信终端中的至少一个通信终端所接入的家庭基站发生变化时，安全网关接收核心网发送的更新后的通信链路信息； 或者 安全网关接收核心网发送的更新消息，所述更新消息中包含了所接入的家庭基站发生变化的通信终端的标识，以及该通信终端在接入变化前后分别接入的家庭基站的标识；安全网关根据接收到的所述更新消息更新通信链路信息中的内容。
7.如权利要求5所述的基于安全网关的通信方法，其特征在于，安全网关根据该通信链路信息确定目标家庭基站，并将所述通信数据包向所述目标家庭基站发送后，所述方法还包括: 安全网关将包含源通信终端标识和目标通信终端标识的通知消息通过系统网关发送至核心网，通知核心网当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。
8.如权利要求2?4任一所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关与系统网关之间进行同步操作，以确定所述专有传输线路是否可用。
9.如权利要求2?4任一所述的基于安全网关的通信方法，其特征在于，所述方法还包括: 安全网关从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关通过专有传输线路建立传输通道。
10.如权利要求1?4任一所述的基于安全网关的通信方法，其特征在于， 安全网关的宽带制式和与所述安全网关建立了安全隧道的家庭基站的宽带制式相同。
11.一种基于安全网关的通信系统，其特征在于，所述系统包括:源家庭基站、目标家庭基站和与源家庭基站之间建立有安全隧道的安全网关，其中: 安全网关，用于经与源家庭基站之间的安全隧道，接收源通信终端通过所接入的源家庭基站发送的通信数据包，并在确定目标家庭基站是与自身建立了安全隧道的家庭基站时，将所述通信数据包发送至所述目标家庭基站。
12.如权利要求11所述的基于安全网关的通信系统，其特征在于，所述系统还包括: 与安全网关之间通过专有传输线路连接的系统网关，用于在安全网关确定所述目标家庭基站没有与自身建立安全隧道时，接收所述安全网关通过所述专有传输线路传输的所述通信数据包；` 核心网，用于接收所述系统网关传输的所述通信数据包。
13.如权利要求11所述的基于安全网关的通信系统，其特征在于，所述系统还包括: 与安全网关之间通过专有传输线路连接的系统网关，用于在安全网关无法确定所述目标家庭基站时，接收所述安全网关通过所述专有传输线路传输的所述通信数据包； 核心网，用于接收所述系统网关传输的所述通信数据包。
14.如权利要求11所述的基于安全网关的通信系统，其特征在于，所述系统还包括: 与安全网关之间通过专有传输线路连接的系统网关，用于在安全网关确定所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，接收所述安全网关通过所述专有传输线路传输的所述通信数据包； 核心网，用于接收所述系统网关传输的所述通信数据包。
15.如权利要求12?14任一所述的基于安全网关的通信系统,其特征在于， 所述核心网，还用于在所述源通信终端和目标通信终端之间建立通信链路时，生成包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识的通信链路信息，并发送给所述安全网关； 所述安全网关，还用于从接收到的通信链路信息中，确定出包含所述通信数据包中的源通信终端标识和目标通信终端标识的通信链路信息，并根据确定的所述通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。
16.如权利要求15所述的基于安全网关的通信系统，其特征在于， 所述核心网，还用于当所述源通信终端和目标通信终端中的至少一个通信终端所接入的家庭基站发生变化时，向安全网关发送更新后的通信链路信息，或者，向安全网关发送更新消息，所述更新消息中包含了所接入的家庭基站发生变化的通信终端的标识，以及该通信终端在接入变化前后分别接入的家庭基站的标识。
17.如权利要求12?14任一所述的基于安全网关的通信系统，其特征在于， 所述安全网关，还用于将包含源通信终端标识和目标通信终端标识的通知消息通过所述专有传输线路发送至系统网关； 所述系统网关，还用于将所述通知消息发送至所述核心网； 所述核心网，还用于根据接收到的所述通知消息，确定当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。
18.如权利要求12?14任一所述的基于安全网关的通信系统，其特征在于， 所述安全网关与所述系统网关之间进行同步操作，以确定所述专有传输线路是否可用。
19.如权利要求12?14任一所述的基于安全网关的通信系统，其特征在于， 所述安全网关，还用于 从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关通过专有传输线路建立传输通道。
20.如权利要求11?14任一所述的基于安全网关的通信系统，其特征在于， 所述安全网关的宽带制式和与所述安全网关建立了安全隧道的家庭基站的宽带制式相同。
21.一种安全网关，其特征在于，所述安全网关包括: 隧道建立模块，用于与家庭基站之间建立安全隧道； 第一接收模块，用于接收源通信终端通过所接入的源家庭基站经由所述安全隧道发送的通信数据包； 第一判断模块，用于判断目标家庭基站是否是与自身建立了安全隧道的家庭基站，所述目标家庭基站是接收所述通信数据包的目标通信终端所接入的家庭基站； 第一发送模块，用于在判断结果是目标家庭基站与自身建立了安全隧道时，将所述通信数据包发送至所述目标家庭基站。
22.如权利要求21所述的安全网关，其特征在于，所述安全网关还包括: 线路连接模块，用于与系统网关之间建立专有传输线路； 第二发送模块，用于在判断结果是目标家庭基站没有与自身建立安全隧道时，将所述通信数据包通过所述专有传输线路发送至所述系统网关。
23.如权利要求21所述的安全网关，其特征在于，所述安全网关还包括第二判断模块、线路连接模块和第二发送模块，其中: 所述第二判断模块，用于判断是否能够确定所述目标家庭基站，若是，则触发所述第一判断模块，若否，则触发所述第二发送模块； 所述线路连接模块，用于与系统网关之间建立专有传输线路； 所述第二发送模块，用于在受到所述第二判断模块的触发时，将所述通信数据包通过所述专有传输线路发送至所述系统网关。
24.如权利要求21所述的安全网关，其特征在于，所述安全网关还包括: 第二发送模块，用于在所述通信数据包是源通信终端发起的结束本次通信业务的通信数据包时，将所述通信数据包发送至系统网关。
25.如权利要求23所述的安全网关，其特征在于，所述安全网关还包括: 第二接收模块，用于接收核心网通过所述系统网关经由所述专有传输线路发送的通信链路信息，所述通信链路信息中包含源通信终端标识、源家庭基站标识、目标通信终端标识和目标家庭基站标识； 第二判断模块，具体用于从接收到的通信链路信息中，确定出包含所述通信数据包中的源通信终端标识和目标通信终端标识的通信链路信息，并根据确定的所述通信链路信息中包含的目标家庭基站标识，确定对应的目标家庭基站。
26.如权利要求25所述的安全网关，其特征在于， 第二接收模块，还用于当所述源通信终端和目标通信终端中的至少一个通信终端所接入的家庭基站发生变化时，接收核心网通过系统网关发送的更新后的通信链路信息，或者，接收核心网通过系统网关发送的更新消息，所述更新消息中包含了所接入的家庭基站发生变化的通信终端的标识，以及该通信终端在接入变化前后分别接入的家庭基站的标识。
27.如权利要求21所述的安全网关，其特征在于，所述安全网关还包括: 第三发送模块，用于将包含源通信终端标识和目标通信终端标识的通知消息通过所述系统网关发送至核心网，通知核心网当前安全网关执行了一次源通信终端标识和目标通信终端标识对应的源通信终端和目标通信终端之间的通信数据包的传输过程。
28.如权利要求22所述的安全网关，其特征在于，所述安全网关还包括: 同步模块，用于与系统网关之间进行同步操作，以确定所述专有传输线路是否可用。
29.如权利要求22所述的安全网关，其特征在于， 线路连接模块，具体用 于从允许连接的系统网关中选择负载小于设定值的系统网关，并与选择的系统网关建立专有传输线路。
【文档编号】H04W76/02GK103428701SQ201310334482
【公开日】2013年12月4日 申请日期:2013年8月2日 优先权日:2013年8月2日
【发明者】李剑荣, 郑绍功, 罗伟潮, 谢小梅, 黄汉钊, 余筱, 吴双 申请人:京信通信系统（中国）有限公司