一种小型基站的通信方法、系统及设备与流程

本发明涉及通信技术领域，尤其涉及一种小型基站的通信方法、系统及设备。

背景技术：

小型基站(smallcell)是低功率的无线接入节点，体积很小，部署的位置比较灵活，能够扩展覆盖范围和加大网络容量、提升用户感知。对于小型基站灵活的部署位置，小型基站可以通过无源光纤网络(passiveopticalnetwork，pon)或者移动运营商提供的开放网络接入移动网络。为了保证信令和业务数据的安全，移动运营商一般会在核心网络边缘部署安全网关(securitygateway，segw)，完成小型基站的接入认证，并在小型基站与安全网关之间开启internet协议安全性(ipsec)。比如，图1示出了现网中小型基站通信系统的一个示例，包括有终端101、smallcell102，segw103，家庭演进基站网关(homeevolvednodebgateway，hegw)104，演进分组核心网设备(evolvedpacketcore，epc)105；其中，在smallcell102和segw103之间建立有ipsec隧道。

图2示出了现网中小型基站接入认证及ipsec协商的流程示意图，该流程中包括有：smallcell102向segw103发送认证请求(201)；segw103返回认证成功响应(202)；smallcell102向segw103发送证书申请(203)；segw103颁发证书(204)；smallcell102向segw103发起ipsec的sa协商过程(205-208)；其中，在ikesa协商过程中，smallcell102会获得用于移动网络的业务ip地址，smallcell102可以使用该ip地址发起流量控制传输协议(streamcontroltransmissionprotocol，sctp)偶联、s1连接的建立过程以及后续的用户信令以及数据过程；ipsec的sa协商完成后，smallcell102与segw103之间建立起ipsec隧道，所有的该ipsec隧道上的数据都按照协商的算法进行加密传输(209)。

现网中还进一步地通过部署本地分流设备以减轻移动网络负荷，本地分流设备的作用在于识别终端业务，通过将本地业务分流到本地服务器，从而不需要通过移动网络访问公网，实现本地流量的卸载。图3示出了现网中部署有本地分流设备的小型基站通信系统的一个示例，包括有smallcell301，本地分流设备302，本地服务器303，segw304，hegw305，epc306以及远端服务器307；其中，本地分流设备302识别终端的业务，将访问本地业务的数据报文，不发送给移动网络，而是直接发给本地服务器303，同样，本地服务器303的下行报文，将报文放入终端隧道，直接发往对应的smallcell301。

由于小型基站在接入移动网络时会开启ipsec对信令以及业务数据进行加密，ipsec的安全性保证了端点之间的任何设备都无法解析ipsec加密后的报文，无法获取消息内容。本地分流设备串接在小型基站与segw之间，将无法识别用户业务，这就导致了本地分流设备在小型基站通过ipsec接入情况下无法完成预期的本地业务分流的功能。

因此，如何克服现有技术中本地分流设备在小型基站通过ipsec接入情况下无法实现本地业务分流的缺陷，是业界所亟待研究和解决的问题。

技术实现要素：

本发明实施例提供一种小型基站的通信方法、系统及设备，用以克服现有技术中本地分流设备在小型基站通过ipsec接入情况下无法实现本地业务分流的缺陷。

第一方面，本发明实施例提供一种小型基站的通信方法，应用于小型基站的通信系统，所述系统中包括小型基站、本地分流设备、本地服务器以及安全网关segw，所述本地分流设备中配置有本地安全网关，所述本地分流设备通过所述本地安全网关与所述小型基站之间建立第一ipsec隧道，以及与所述segw之间建立第二ipsec隧道，所述方法包括：

所述本地分流设备通过所述第一ipsec隧道接收所述小型基站发送的上行报文，并对接收到的所述上行报文进行解密；

所述本地分流设备若判断所述上行报文为业务报文、且目的ip指向所述本地服务器，则将解密后的所述上行报文发送至所述本地服务器；

所述本地分流设备若判断所述上行报文为信令报文、或所述上行报文为业务报文且目的ip不指向所述本地服务器，则根据所述第二ipsec隧道对解密后的所述上行报文进行加密，并通过所述第二ipsec隧道发送至所述segw。

在一种可能的实现方式中，所述方法还包括：

所述本地分流设备通过所述第二ipsec隧道接收所述segw发送的下行报文；

所述本地分流设备解密所述下行报文；

所述本地分流设备根据所述下行报文的目的ip，确定所述下行报文的目的小型基站以及所述本地分流设备与所述目的小型基站之间的第一ipsec隧道；

所述本地分流设备根据所述第一ipsec隧道对解密后的所述下行报文进行加密，并通过所述第一ipsec隧道发送至所述目的小型基站。

在一种可能的实现方式中，所述方法还包括：

所述本地分流设备接收所述本地服务器发送的下行报文；

所述本地分流设备根据所述下行报文的目的ip，确定所述下行报文的目的小型基站以及所述本地分流设备与所述目的小型基站之间的第一ipsec隧道；

所述本地分流设备根据所述第一ipsec隧道对所述下行报文进行加密，并通过所述第一ipsec隧道发送至所述目的小型基站。

在一种可能的实现方式中，所述方法还包括：

所述本地分流设备在开机时，向所述segw发送认证请求，获取所述segw对所述本地分流设备成功认证后分配的业务ip地址；

所述本地分流设备在所述小型基站开机接入时，通过所述本地安全网关接收所述小型基站发送的认证请求，并响应所述认证请求，对所述小型基站进行认证，为所述小型基站分配业务ip地址。

在一种可能的实现方式中，所述本地安全网关中配置有每个接入所述本地分流设备的小型基站的证书以及用于为每个接入所述本地分流设备的小型基站分配业务ip地址的ip地址池；

所述segw中配置有所述本地分流设备的证书、所述本地分流设备的业务ip地址以及所述ip地址池；

所述小型基站中配置有所述本地分流设备的第一设备地址，所述第一设备地址用于建立所述第一ipsec隧道。

第二方面，本发明实施例提供一种小型基站的通信系统，所述系统包括：小型基站、本地分流设备、本地服务器以及segw；其中，所述本地分流设备中配置有本地安全网关；所述本地分流设备通过所述本地安全网关与所述小型基站之间建立第一ipsec隧道，以及与所述segw之间建立第二ipsec隧道；

所述小型基站，用于通过所述第一ipsec隧道向所述本地分流设备发送上行报文；

所述本地分流设备，用于通过所述第一ipsec隧道接收所述小型基站发送的上行报文，并对接收到的所述上行报文进行解密；以及，用于

在判断所述上行报文为业务报文、且目的ip指向所述本地服务器时，将解密后的所述上行报文发送至所述本地服务器；

在判断所述上行报文为信令报文、或所述上行报文为业务报文且目的ip不指向所述本地服务器时，根据所述第二ipsec隧道对解密后的所述上行报文进行加密，并通过所述第二ipsec隧道发送至所述segw。

在一种可能的实现方式中，所述本地分流设备，还用于：

通过所述第二ipsec隧道接收所述segw发送的下行报文；

解密所述下行报文；

根据所述下行报文的目的ip，确定所述下行报文的目的小型基站以及所述本地分流设备与所述目的小型基站之间的第一ipsec隧道；

根据所述第一ipsec隧道对解密后的所述下行报文进行加密，并通过所述第一ipsec隧道发送至所述目的小型基站。

在一种可能的实现方式中，所述本地分流设备，还用于：

接收所述本地服务器发送的下行报文；

根据所述下行报文的目的ip，确定所述下行报文的目的小型基站以及所述本地分流设备与所述目的小型基站之间的第一ipsec隧道；

根据所述第一ipsec隧道对所述下行报文进行加密，并通过所述第一ipsec隧道发送至所述目的小型基站。

在一种可能的实现方式中，所述本地分流设备，还用于：

在开机时，向所述segw发送认证请求，获取所述segw对所述本地分流设备成功认证后分配的业务ip地址；

在所述小型基站开机接入时，通过所述本地安全网关接收所述小型基站发送的认证请求，并响应所述认证请求，对所述小型基站进行认证，为所述小型基站分配业务ip地址。

在一种可能的实现方式中，所述本地安全网关中配置有每个接入所述本地分流设备的小型基站的证书以及用于为每个接入所述本地分流设备的小型基站分配业务ip地址的ip地址池；

所述segw中配置有所述本地分流设备的证书、所述本地分流设备的业务ip地址以及所述ip地址池；

所述小型基站中配置有所述本地分流设备的第一设备地址，所述第一设备地址用于建立所述第一ipsec隧道。

第三方面，本发明实施例提供一种本地分流设备，，应用于小型基站的通信系统，所述系统中还包括小型基站、本地服务器以及segw，所述本地分流设备包括：收发机、存储器和处理器；所述收发机用于在所述处理器的指示下收发报文；所述存储器与所述处理器耦合连接；所述存储器用于存储计算机可执行程序代码，所述程序代码包括指令；当所述处理器执行所述指令时，所述指令使所述本地分流设备执行根据上述第一方面和第一方面的各可能的小型基站的通信方法。由于该本地分流设备解决问题的实施方式以及有益效果可以参见上述第一方面和第一方面的各可能的小型基站的通信方法的实施方式以及所带来的有益效果，因此该本地分流设备的实施可以参见上述第一方面和第一方面的各可能的小型基站的通信方法的实施，重复之处不再赘述。

第四方面，本发明实施例提供一种本地分流设备，应用于小型基站的通信系统，所述系统中还包括小型基站、本地服务器以及segw，所述本地分流设备中配置有本地安全网关，所述本地分流设备通过所述本地安全网关与所述小型基站之间建立第一ipsec隧道，以及与所述segw之间建立第二ipsec隧道；所述本地分流设备中包括：第一接收单元，用于通过所述第一ipsec隧道接收所述小型基站发送的上行报文；第一解密单元，用于对接收到的所述上行报文进行解密；判断单元，用于判断解密后的所述上行报文是否为业务报文或信令报文；以及用于判断所述上行报文的目的ip是否指向本地服务器；第一发送单元，用于在所述判断单元判断所述上行报文为业务报文、且目的ip指向本地服务器时，将解密后的所述上行报文发送至所述本地服务器；第二发送单元，用于在所述判断单元判断所述上行报文为信令报文、或所述上行报文为业务报文且目的ip不指向本地服务器时，根据所述第二ipsec隧道对解密后的所述上行报文进行加密，并通过所述第二ipsec隧道发送至所述segw。基于同一发明构思，由于该本地分流设备解决问题的原理以及有益效果可以参见上述第一方面和第一方面的各可能的小型基站的通信方法的实施方式以及所带来的有益效果，因此该本地分流设备的实施可以参见方法的实施，重复之处不再赘述。

可以看到，本发明上述实施例提供了一种小型基站的通信解决方案，应用有本发明上述实施例所提供的通信解决方案的小型基站的通信系统中包括小型基站、本地分流设备、本地服务器和segw；其中，在本地分流设备中配置有本地安全网关，因而本地分流设备可以通过本地安全网关与小型基站之间建立第一ipsec隧道，与segw之间建立第二ipsec隧道，进而，本地分流设备可以通过第一ipsec隧道接收小型基站发送的上行报文，并进行解密，在判断上行报文为业务报文、且目的ip指向本地服务器时，可以将解密后的上行报文发送至本地服务器，从而克服了现有技术中本地分流设备在小型基站通过ipsec接入安全网关的情况下，由于无法解析ipsec而导致无法实现本地分流的问题，在实现小型基站安全接入的同时，实现了本地流量的卸载，有利于小型基站以及本地分流业务的发展。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现网中小型基站的通信系统结构示意图；

图2为现网中小型基站接入认证及ipsec协商的流程示意图；

图3为现网中部署有本地分流设备的小型基站的通信系统结构示意图；

图4为本发明一些实施例提供的小型基站的通信系统的系统架构示意图；

图5为本发明一些实施例中本地分流设备对上行报文的处理流程示意图；

图6为本发明一些实施例中本地分流设备对下行报文的处理流程示意图；

图7为本发明一些实施例提供的小型基站的通信方法的流程示意图；

图8为本发明一些实施例中本地分流设备对来自于segw的下行报文的处理流程示意图；

图9为本发明一些实施例中本地分流设备对来自于本地服务器的下行报文的处理流程示意图；

图10为本发明一些实施例提供的本地分流设备的结构示意图；

图11为本发明一些实施例提供的本地分流设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供了一种小型基站的通信方法、系统及设备，目的在于针对现有技术中本地分流设备在小型基站通过ipsec接入安全网关的情况下，由于无法解析ipsec而导致无法实现本地分流的问题，提供一种小型基站的通信网络架构以及相应的通信解决方案，在实现小型基站安全接入的同时，实现本地流量的卸载，从而推动小型基站以及本地分流业务的发展。

本发明实施例所提供的小型基站的通信解决方案，主要通过在本地分流设备中内置一个本地安全网关，并配置由该本地安全网关负责小型基站的安全认证以及ipsec隧道的建立，同时将本地分流设备作为一个小型基站接入segw中，从而使得各小型基站在安全接入时，能够与本地分流设备中的本地安全网关建立ipsec隧道，本地分流设备则能够通过本地安全网关与移动网络中的segw建立ipsec隧道，进而能够实现小型基站的安全接入，并同时使得本地分流设备能够解析通过ipsec加密的报文，实现本地分流的功能。

图4示出了本发明的一些实施例提供的小型基站的通信系统的系统架构示意图。如图4所示，该系统架构中包括小型基站401、本地分流设备402、本地服务器403和segw404。图4还示出了位于移动网络中的hegw405以及epc406。其中，在本地分流设备402中配置有本地安全网关4021。为了简化描述，下文将使用l-segw表示本地安全网关，应该理解的是，这里的命名仅用于简化描述，而不具有限定作用。

如图4所示的本发明的一些实施例所提供的小型基站的通信系统，接入本地分流设备402的小型基站401可以为多个，相应地，尽管未在图4中示出，由于本地分流设备可作为小型基站接入segw404中，接入segw404的本地分流设备402也可以为多个。

可以看到，由于本地分流设备402中配置有l-segw4021，因而本地分流设备402可以通过l-segw4021与各个小型基站401之间分别建立起第一ipsec隧道，并可以通过l-segw4021与segw404之间建立起第二ipsec隧道，从而通过第一ipsec隧道和第二ipsec隧道建立起从小型基站401到移动网络的安全传输路径，同时由于第一ipsec隧道建立在小型基站401与l-segw4021之间，因而本地分流设备可以解析小型基站发送的ipesc报文，进而能够实现本地业务分流的功能。

具体地，接入本地分流设备402的多个小型基站401分别与本地分流设备402建立有各自对应的第一ipsec隧道，接入segw404的多个本地分流设备402也分别与segw404建立有各自对应的第二ipsec隧道。

应当理解的是，虽然术语“第一”、“第二”等可能在本申请中用来描述各种元素(比如ipsec隧道)，但是这些术语只是用来将一个元素与另一个元素区分开，这些元素并不被这些术语所限定。

由于接入segw的本地分流设备可以为多个，接入本地分流设备的小型基站也可以为多个，下面为了描述上的方便，将主要以接入segw的一个本地分流设备，以及接入该本地分流设备的一个小型基站为例进行描述，应当理解的是，该示例的描述适用于接入segw的其它本地分流设备，接入该本地分流设备的其它小型基站以及接入其它本地分流设备的小型基站。

基于图4所示系统架构，本发明的一些实施例中，为了在小型基站401与l-segw4021之间以及l-segw4021与segw404之间分别建立起ipsec隧道，小型基站401可以向l-segw4021发起接入请求，由l-segw4021完成对小型基站401的认证及业务ip地址的分配；l-segw4021则可以向segw404发起接入请求，由segw404负责l-segw4021的认证及业务ip地址的分配。

具体地，为了实现上述认证过程和业务ip地址的分配，保证小型基站和本地分流设备正常开机并接入移动网络，在本发明的一些实施例中，本地分流设备402的l-segw4021中可配置有各个接入本地分流设备402的小型基站401的证书以及ip地址池。

其中，该ip地址池具体可以是移动网络为接入本地分流设备402的小型基站401所规划的业务ip地址段。在小型基站401向本地分流设备402认证成功发起ipsec隧道建立的过程中，l-segw4021可以从该ip地址池中为各个小型基站401分配业务ip地址，从而在小型基站401与l-segw4021之间成功建立起第一ipsec隧道之后，小型基站401便可以使用其所分配到的业务ip地址进行加密业务数据的通信。

下表1为l-segw中相关配置的一个示例，该表所示配置中包括接入该本地分流设备的各个小型基站的证书，以及用于为小型基站分配业务ip地址的ip地址池：

表1、l-segw中相关配置示例

相应地，移动网络的segw404中可以配置有本地分流设备402的业务ip地址以及与在本地分流设备402的l-segw中所配置的ip地址池相同的ip地址。进一步地，由于与segw进行连接的本地分流设备个数可以为多个，因而，segw404中可以配置有分别对应于各个本地分流设备402的上述信息记录。

具体地，在本地分流设备402向segw404认证成功发起ipsec隧道建立的过程中，segw404可以向本地分流设备分配业务ip地址，从而在l-segw4021与segw404之间成功建立起第二ipsec隧道之后，本地分流设备402便可以使用其所分配到的业务ip地址进行加密业务数据的通信。

下表2为segw中相关配置的一个示例，该表所示配置中包括本地分流设备的证书、业务ip地址、以及用于为接入该本地分流设备的各个小型基站分配业务ip地址的ip地址池：

表2、segw中相关配置示例

相应地，小型基站401中可以配置有hegw405的业务ip地址以及本地分流设备402的第一设备地址。

其中，本地分流设备402的第一设备地址或者也可称为本地分流设备402的对内设备地址，通过该配置，小型基站401将能够使用该第一设备地址发起向本地分流设备402的认证过程，从而在认证成功后发起ipsec隧道的建立过程，获取业务ip地址；相应地，本地分流设备402还具有第二设备地址，该第二设备地址或者也可称为本地分流设备402的对外设备地址，本地分流设备402将使用该第二设备地址发起向segw404的认证过程，并相应地在认证成功后发起ipsec隧道的建立过程，获取业务ip地址。在小型基站401中所配置的hegw405的业务ip地址，将能够保证在小型基站401与l-segw4021之间的第一ipsec隧道以及l-segw4021与segw404之间的第二ipsec隧道成功建立后，小型基站401的信令报文和业务报文向网络侧的成功传输。

下表3为小型基站401中相关配置的一个示例，该表所示配置中包括本地分流设备的第一设备地址(对于小型基站401而言可以认为是安全网关的地址)以及hegw的业务ip地址(对于小型基站401而言可以认为是信令网关的地址)：

表3、小型基站中相关配置示例

可以看到，基于上述配置，在本发明的一些实施例中，对于本地分流设备的接入认证以及通过l-segw与segw之间建立第二ipsec隧道的过程，由于segw中配置有本地分流设备的证书以及业务ip地址，因而本地分流设备可以作为一个小型基站，使用第二设备地址向segw发起接入认证，由segw进行响应，在认证成功后，建立与segw之间的第二ipsec隧道并获取业务ip地址。具体比如，本地分流设备在开机时，可以向segw发送认证请求，获取segw颁发的证书完成认证，进而发起ipsec隧道的建立过程，获取segw分配的业务ip地址，在成功通过l-segw建立起与segw之间的第二ipsec隧道之后，与segw之间开启ipsec加密的数据通信。

相应地，在本发明的一些实施例中，对于小型基站的接入认证以及与本地分流设备中的l-segw之间建立第一ipsec隧道的过程，由于本地分流设备中配置有各个小型基站的证书以及用于为小型基站分配业务ip地址的ip地址池，小型基站中配置有本地分流设备的第一设备地址，因而，小型基站可使用该第一设备地址向本地分流设备发起接入认证，由本地分流设备进行响应，从而在认证成功后，建立与本地分流设备的l-segw之间的第一ipsec隧道并获取业务ip地址。具体比如，小型基站开机后发起认证过程，本地分流设备通过l-segw接收小型基站发送的认证请求，并响应该认证请求，对小型基站进行认证，为小型基站颁发证书，并在ipsec隧道的建立过程中为小型基站分配业务ip地址，即由l-segw取代segw给小型基站分配业务ip地址，在成功通过l-segw建立起与小型基站之间的第一ipsec隧道之后，与小型基站之间之间开启ipsec加密的数据通信。

考虑到小型基站与本地分流设备在实际网络部署上位置相对较近，因而，可以认为小型基站与本地分流设备之间的网络可信，因而小型基站与l-segw之间也可以选择不开启ipsec加密，从而减小本地分流设备的性能压力。

可以看到，本发明的一些实施例中，通过上述的配置以及认证过程，能够保证小型基站以及本地分流设备的正常开机和接入，并使得本地分流设备能够通过l-segw分别与小型基站和segw之间成功建立起ipsec隧道，从而能够分别与小型基站和segw之间进行ipsec加密的数据通信，具体比如能够接收并处理来自于小型基站的经过ipsec加密后的上行报文以及来自与segw的经过ipsec加密后的下行报文，实现小型基站在如图4所示系统架构中的通信。

具体地，基于图4所示的小型基站的通信系统的系统架构示意，本发明的一些实施例中，本地分流设备402可以通过l-segw4021与小型基站401之间建立第一ipsec隧道，以及与segw404之间建立第二ipsec隧道，进而，本地分流设备402可以通过第一ipsec隧道接收小型基站401发送的上行报文，并对接收到的所述上行报文进行解密，从而可以在该上行报文的目标ip指向本地服务器403时，将该上行报文分流到本地服务器403处理，实现本地分流。

在本发明的一些实施例中，小型基站401通过其与本地分流设备402中的l-segw4021之间建立起的第一ipsec隧道向本地分流设备402发送上行报文；本地分流设备402通过该第一ipsec隧道接收到该上行报文后，可以根据该第一ipsec隧道的ipsec密钥对接收到的上行报文进行解密，进而可以在判断该上行报文为业务报文且目的ip指向本地服务器403时，将解密后的该上行报文发送给本地服务器403，达到本地分流的目的；此外，如果判断出该上行报文为为信令报文、或者该上行报文为业务报文但目的ip不指向本地服务器403，则可以根据第二ipsec隧道对解密后的该上行报文进行加密，并通过第二ipsec隧道发送给segw404。

具体地，在本发明的一些实施例中，本地分流设备402对于上行报文的处理可以参照但不限于以下流程：

本地分流设备402在对该上行报文进行解密后，判断该上行报文的类型：

如果判断该上行报文为信令报文，比如，流量控制传输协议(streamcontroltransmissionprotocol，sctp)报文，则可以确定该上行报文需要转发给移动网络，因而可以根据该上行报文的目的ip地址，查找出该本地分流设备402中l-segw4021与segw404之间建立的第二ipsec隧道，并进行加密，从而通过该第二ipsec隧道发送给segw404，由segw404解密后进行路由；

如果判断该上行报文为业务报文，比如，gprs隧道协议用户平面(gprstunnelingprotocoluserplane，gtpu)报文，则可以进一步地解析gtpu隧道内层报文，若内层报文的目的ip地址指向本地服务器403，那么可以确定该上行报文需要发往本地服务器403，进而可以将解密后的该上行报文发送给本地服务器403(比如可以将解密后的该上行报文按照明文的方式发给本地服务器403)；否则，可以认为该上行报文是发往移动网络的业务报文，进而可以根据gtpu隧道外层的目的ip地址查找该本地分流设备402中l-segw4021与segw404之间建立的第二ipsec隧道，并进行加密，从而通过该第二ipsec隧道发送给segw404，由segw404解密后进行路由；

如果判断该上行报文既不是信令报文也不是业务报文(比如，非sctp和非gtpu的上行报文)，则可以路由或者丢弃处理，本申请对此类上行报文的处理不作约束。

比如，图5示出了本发明的一些实施例中本地分流设备对于上行报文的处理流程示例，如图5所示，该示例流程如下：

本地分流设备通过第一ipsec隧道接收小型基站发送的上行报文(501)；对该上行报文进行解密(502)，若解密失败则丢弃该上行报文(503)；若解密成功则判断该上行报文是否为sctp报文(504)；如果是sctp报文，则查找与segw之间建立的第二ipsec隧道，并进行加密，进而由segw解密后路由(505)；如果不是sctp报文，则进一步判断该上行报文是否为gtpu报文(506)；如果不是gtpu报文，则可以路由或者丢弃该上行报文(507)；如果是gtpu报文，则可以进一步判断该上行报文的目的ip是否指向本地服务器，即发送该上行报文的终端是否访问的是本地服务器(508)；如果是，则将可以该解密后的上行报文发送至本地服务器(509)，如果不是，则可以执行前述(505)的步骤，找与segw之间建立的第二ipsec隧道，并进行加密，进而由segw解密后路由。

具体地，基于图4所示出的本发明的一些实施例提供的小型基站的通信系统的系统架构示意，本地分流设备402对报文的处理还包括有对下行报文的处理，本地分流设备所接收到的下行报文可以是来自与本地服务器403或者也可以是来自于移动网络中segw404。

在本发明的一些实施例中，segw404可以通过其与本地分流设备402中的l-segw4021之间建立起的第二ipsec隧道向本地分流设备402发送下行报文；本地分流设备402通过该第二ipsec隧道接收到该下行报文后，可以根据该第二ipsec隧道的ipsec密钥对接收到的下行报文进行解密，进而可以确定出该下行报文的目的ip，根据该下行报文的目的ip，可以确定该下行报文的目的小型基站以及本地分流设备与该目的小型基站之间的第一ipsec隧道，从而可以根据该第一ipsec隧道对解密后的该下行报文进行加密，并通过该第一ipsec隧道发送至目的小型基站。

具体地，在本发明的一些实施例中，本地服务器403可以向本地分流设备402发送下行报文；本地分流设备402在接收到该下行报文后，可以确定出该下行报文的目的ip，从而该下行报文的目的ip，可以确定该下行报文的目的小型基站以及本地分流设备与该目的小型基站之间的第一ipsec隧道，从而可以根据该第一ipsec隧道对解密后的该下行报文进行加密，并通过该第一ipsec隧道发送至目的小型基站。

具体地，在本发明的一些实施例中，本地分流设备402对于下行报文的处理可以参照但不限于以下流程：

本地分流设备402判断该下行报文是否来自本地服务器403：

如果判断为来自本地服务器403的下行报文，则该下行报文需要通过目的小型基站发给目的终端，进而本地分流设备402可以获取该目的终端在承载建立过程中建立的业务隧道信息，并将该下行报文装入该隧道中。根据目的终端的ip地址，本地分流设备402可以查找出对应的目的小型基站以及隧道，封装gtpu隧道，然后查找出对应该目的小型基站的第一ipsec隧道，进行ipsec加密后发给该目的小型基站，该目的小型基站通过第一ipsec隧道接收并解密后，通过空口发给目的终端；

如果判断为来自移动网络中的segw404的下行报文，则本地分流设备402需要首先根据第二ipsec隧道对该下行报文进行ipsec解密，从而确定出目的小型基站的ip地址，进而可以根据目的小型基站的ip地址，查找出对应目的小型基站的第一ipsec隧道并对解密后的下行报文进行加密，再通过该第一ipsec隧道发给该目的小型基站，该目的小型基站通过第一ipsec隧道接收并解密后，通过空口发给目的终端。

比如，图6示出了本发明的一些实施例中本地分流设备对于下行报文的处理流程示例，如图6所示，该示例流程如下：

本地分流设备接收到下行报文(601)；判断该下行报文是否来自于本地服务器(602)，若来自于本地服务器，则根据该下行报文的目的ip查找目的小型基站以及对应的gtpu隧道(603a)，进而查找对应目的小型基站的第一ipsec隧道(604a)，从而根据第一ipsec隧道并对解密后的下行报文进行加密，再通过该第一ipsec隧道发给该目的小型基站(605)；若非来自于本地服务器，而是来自于移动网络，即通过第二ipsec隧道接收到的来自与segw的下行报文，则对该下行报文进行ipsec解密(603b)，进而根据目的小型基站的ip地址查找对应的第一ipsec隧道(604b)，从而根据第一ipsec隧道并对解密后的下行报文进行加密，再通过该第一ipsec隧道发给该目的小型基站(605)。

相应地，基于图4所示本发明的一些实施例提供的小型基站的通信系统的系统架构，在本发明的一些实施例中，对于segw404而言，由于本地分流设备402通过l-segw4021与segw404之间建立有第二ipsec隧道，因而segw404将只需要通过第二ipsec隧道与本地分流设备402之间进行报文转发，对于目的ip指向接入本地分流设备402的所有小型基站401的报文都将通过该第二ipsec隧道下发到本地分流设备402，由本地分流设备402进一步地查找出对应目的小型基站的第一ipsec隧道，再传输至给目的小型基站。

为了实现上述过程，在segw中可配置有关于接入该segw的每个本地分流设备以及用于为接入本地分流设备的小型基站分配ip地址的ip地址池的信息记录，具体配置信息可以参见本申请前述实施例中对segw配置的相关描述，本申请在此不再赘述。

具体地，在本发明的一些实施例中，segw404接收到由移动网络中hegw405发送的业务报文之后，由于本地分流设备的业务ip地址与接入该本地分流设备的小型基站的ip地址对应同一个第二ipsec隧道，因而对于目的ip为小型基站的报文，可以根据目的ip查找到对应目的本地分流设备的第二ipsec隧道，进而可以通过该第二ipsec隧道进行加密，具体可通过查找segw404本地所配置的本地分流设备的信息记录来确定对应的本地分流设备，进而确定出与该本地分流设备的l-segw之间建立的第二ipsec隧道。可以看到，移动网络向各个小型基站下发的下行报文将均可以由segw通过第二ipsec隧道首先发送到相应的本地分流设备，再由本地分流设备转发到相应的小型基站，因而在一定程度上能够节省小型基站对于公网地址的占用。

通过以上描述可以看出，本发明实施例针对于现有技术中，小型基站在通过ipsec接入segw的情况下，本地分流设备无法解析由ipsec加密后的报文，进而无法实现本地分流的问题，提供了一种小型基站的通信系统以及相应的通信解决方案。在本发明实施例所提供的小型基站的通信系统中，本地分流设备中配置有本地安全网关，本地分流设备通过该本地安全网关与小型基站之间建立第一ipsec隧道，并与segw之间建立第二ipsec隧道，此外，为了保证隧道的成功建立，本地分流设备中可配置用于为小型基站分配业务ip地址的ip地址池，该地址池同样配置在segw中，并与本地分流设备的业务ip地址对应，从而保证小型基站向本地分流设备的接入认证、本地分流设备向segw的接入认证，以及小型基站与本地分流设备之间、本地分流设备与segw之间ipsec隧道的正确建立，进而本地分流设备通过与小型基站之间的第一ipsec隧道，以及与segw之间之间的第二ipsec隧道，能够在小型基站通过ipsec接入时，成功执行对上行报文的分流，实现正常的上下行业务的处理流程，同时还能够减少小型基站对于公网地址的占用。

可以看出，本发明实施例所提供的小型基站的通信系统相应的通信解决方案能够很好的实现小型基站的安全接入，并能够同时实现本地流量的卸载，对小型基站的发展以及本地分流业务的发展具有一定的推动作用，同时还可以达到节省公网地址的目的。

基于相同的技术构思，本发明实施例还提供了一种小型基站的通信方法。图7示出了本发明一些实施例提供的小型基站的通信方法的流程示意图，该流程可应用于如图4所示的本发明的一些实施例提供的小型基站的通信系统的示例中，该系统中包括小型基站、本地分流设备、本地服务器以及segw；该流程具体可由本地分流设备执行，并具体可通过软件、硬件或软硬件的结合来实现，比如图4所示系统架构中的本地分流设备可提供用于执行如图7所示的流程步骤的装置或功能模块，其中，该本地分流设备中配置有本地安全网关，该本地分流设备通过该本地安全网关与小型基站之间建立有第一ipsec隧道，以及与segw之间建立有第二ipsec隧道。

如图7所示，该流程包括有如下步骤：

步骤701：本地分流设备通过第一ipsec隧道接收小型基站发送的上行报文，并对接收到的上行报文进行解密；

步骤702：本地分流设备若判断该上行报文为业务报文、且目的ip指向本地服务器，则将解密后的该上行报文发送至本地服务器；

步骤703：本地分流设备若判断该上行报文为信令报文、或该上行报文为业务报文且目的ip不指向本地服务器，则根据第二ipsec隧道对解密后的该上行报文进行加密，并通过第二ipsec隧道发送至segw。

具体地，为了实现本地分流设备与小型基站之间、以及与segw之间ipsec隧道的建立，在本发明的一些实施例中，本地安全网关中可以配置有每个接入该本地分流设备的小型基站的证书以及用于为每个接入该本地分流设备的小型基站分配业务ip地址的ip地址池；segw中可以配置有本地分流设备的证书、本地分流设备的业务ip地址以及所述ip地址池；小型基站中可以配置有本地分流设备的第一设备地址，该第一设备地址用于建立第一ipsec隧道。具体地，对于本地分流设备、segw以及小型基站的上述配置具体可参见本申请前述实施例中对于本地分流设备、segw以及小型基站配置的关于描述，本申请在此不再赘述。

相应地，基于上述配置，在本发明的一些实施例中，本地分流设备在开机时，可以向segw发送认证请求，从而获取segw对该本地分流设备成功认证后分配的业务ip地址；本地分流设备还可以在所述小型基站开机接入时，通过本地安全网关接收小型基站发送的认证请求，并响应该认证请求，对小型基站进行认证，为小型基站分配业务ip地址。具体地，上述对于本地分流设备的接入认证和获取业务ip地址的过程以及小型基站的接入认证和获取业务ip地址的过程同样可参见本申请前述实施例中对于本地分流设备以及小型基站接入认证和获取业务ip地址的相关描述，本申请在此不再赘述。

具体地，本发明的一些实施例所提供的小型基站的通信方法流程的具体实施可以参见前述实施例中对于本地分流设备执行如图7所示上行报文的处理流程的描述，本申请在此将不再赘述。

进一步地，本发明的一些实施例中本地分流设备还可以包括有对于下行报文的处理流程，其中，下行报文可以来自于移动网络或者来自于本地服务器；具体比如，图8示出了本发明一些实施例中本地分流设备对于来自于segw的下行报文的处理流程，图9示出了本发明一些实施例中本地分流设备对于来自于本地服务器的下行报文的处理流程。

如图8所示，本发明的一些实施例中本地分流设备对于来自于segw的下行报文的处理流程包括有以下步骤：

步骤801：本地分流设备通过第二ipsec隧道接收segw发送的下行报文；

步骤802：本地分流设备解密该下行报文；

步骤803：本地分流设备根据下行报文的目的ip，确定下行报文的目的小型基站以及本地分流设备与目的小型基站之间的第一ipsec隧道；

步骤804：本地分流设备根据该第一ipsec隧道对解密后的该下行报文进行加密，并通过该第一ipsec隧道发送至目的小型基站。

如图9所示，本发明的一些实施例中本地分流设备对于来自于本地服务器的下行报文的处理流程包括有以下步骤：

步骤901：本地分流设备接收本地服务器发送的下行报文；

步骤902：本地分流设备根据下行报文的目的ip，确定下行报文的目的小型基站以及本地分流设备与目的小型基站之间的第一ipsec隧道；

步骤903：本地分流设备根据该第一ipsec隧道对该下行报文进行加密，并通过该第一ipsec隧道发送至目的小型基站。

具体地，本发明的一些实施例所提供的小型基站的通信方法流程的具体实施可以参见前述实施例中对于本地分流设备执行如图8以及图9所示下行报文的处理流程的描述，本申请在此将不再赘述。

基于相同的技术构思，本发明实施例还提供了一种本地分流装置，该本地分流装置可应用于如图4所示的小型基站的通信系统，并可以具体实现为如图4所示的本地分流设备，该本地分流设备中配置有本地安全网关，该系统中还包括小型基站、本地服务器以及segw，该本地分流设备通过本地安全网关与小型基站之间建立第一ipsec隧道，以及与segw之间建立第二ipsec隧道；该本地分流设备可用于执行前述实施例所描述的方法流程步骤。

图10示出了本发明一些实施例所提供的本地分流装置的结构示意图，如图10所示，该本地分流设备1000中包括：

第一接收单元1001，用于通过第一ipsec隧道接收小型基站发送的上行报文；

第一解密单元1002，用于对接收到的上行报文进行解密；

判断单元1003，用于判断解密后的上行报文是否为业务报文或信令报文；以及用于判断上行报文的目的ip是否指向本地服务器；

第一发送单元1004，用于在判断单元1003判断上行报文为业务报文、且目的ip指向本地服务器时，将解密后的上行报文发送至本地服务器；

第二发送单元1005，用于在判断单元1003判断上行报文为信令报文、或上行报文为业务报文且目的ip不指向本地服务器时，根据第二ipsec隧道对解密后的上行报文进行加密，并通过第二ipsec隧道发送至segw。

在本发明的一些实施例所提供的本地分流设备中还可以进一步地包括：

第二接收单元1006，用于通过第二ipsec隧道接收segw发送的下行报文；

第二解密单元1007，用于解密下行报文；

确定单元1008，用于根据第二解密单元1007解密后的下行报文的目的ip，确定下行报文的目的小型基站以及本地分流设备与目的小型基站之间的第一ipsec隧道；

第三发送单元1009，用于根据第一ipsec隧道对解密后的下行报文进行加密，并通过第一ipsec隧道发送至目的小型基站。

在本发明的一些实施例所提供的本地分流设备中还可以进一步地包括：

第三接收单元1010，用于接收本地服务器发送的下行报文；

确定单元1008，还可以用于根据第三接收单元1010接收到的下行报文的目的ip，确定下行报文的目的小型基站以及本地分流设备与目的小型基站之间的第一ipsec隧道；

第三发送单元1009，还可以用于根据第一ipsec隧道对下行报文进行加密，并通过第一ipsec隧道发送至目的小型基站。

在本发明的一些实施例所提供的本地分流设备中还可以进一步地包括：

第一认证单元1011，用于在该本地分流设备开机时，向segw发送认证请求，获取segw对该本地分流设备成功认证后分配的业务ip地址；

第二认证单元1012，用于在小型基站开机接入时，通过本地安全网关接收小型基站发送的认证请求，并响应认证请求，对小型基站进行认证，为小型基站分配业务ip地址。

具体地，上述本发明的一些实施例所提供的本地分流设备1000中的各个功能单元所执行的具体过程可参见前述实施例的描述，本申请在此不再赘述。

基于同一发明构思，本发明的一些实施例所提供的本地分流设备1000中的各个功能单元解决问题的原理以及有益效果可以参见上述图7所示方法以及图4所示系统的实施方式以及所带来的有益效果，因此该本地分流设备1000的实施可以参见上述图4所示本地分流设备的实施，重复之处不再赘述。

基于相同的技术构思，本发明的一个实施例还提供了一种本地分流设备，该本地分流装置可应用于如图4所示的小型基站的通信系统，并可以具体实现为如图4所示的本地分流设备，该本地分流设备中配置有本地安全网关，该系统中还包括小型基站、本地服务器以及segw，该本地分流设备通过本地安全网关与小型基站之间建立第一ipsec隧道，以及与segw之间建立第二ipsec隧道；参见图11，为本发明的一个实施例提供的本地分流设备的结构示意图，该本地分流设备可包括：处理器1101、存储器1102、收发机1103以及总线；其中，收发机1103用于在处理器1101的指示下收发报文；存储器1102与处理器1101耦合连接；存储器1102用于存储计算机可执行程序代码，所述程序代码包括指令；当处理器1101执行所述指令时，所述指令使所述本地分流设备执行本发明前述实施例所描述的小型基站的通信方法的流程步骤。

具体地，上述本发明的一些实施例所提供的本地分流设备中的处理器1101、存储器1102以及收发机1103所执行的具体过程可以参见前述实施例的描述，本申请在此将不再赘述。

对于软件实施，这些技术可以用实现这里描述的功能的模块(例如程序、功能等等)实现。软件代码可以储存在存储器单元中，并且由处理器执行。存储器单元可以在处理器内或者在处理器外实现。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。