通信方法、基站、接入点及系统的制作方法
【技术领域】
[0001]本发明实施例涉及通信技术,尤其涉及一种与无线保真网络有关的安全通信方法、基站、接入点及系统。
【背景技术】
[0002]运营商部署基站(Basestat1n,简称:BTS)的时候,希望BTS也能提供无线保真(Wireless Fidelity,简称:WiFi)业务,因此越来越多的BTS产品普遍集成有WiFi接入点(Access Point,简称:AP),以提供无线业务和WiFi业务。而为了保证网络的安全,多数BTS支持网际协议安全(Internet Protocol Security,简称:IPSec),但是出于节省成本的考虑,通常WiFi AP不具备IPSec的处理能力。
[0003]目前,为了保证集成在BTS中的WiFiAP的网络安全,是将WiFi网络的AP控制器(APController,简称:AC)部署在非安全域(例如互联网),通过在WiFi AP和AC之间的隧道中增加加密技术来保证安全性。
[0004]但是,这样WiFi网络采用与BTS网络不相同的安全方案,运营商需要部署两套安全机制,兼容性低,代价太大,而且AC部署在非安全域中,存在很大的安全风险。另外,针对集成WiFi的基站,由于很多基站特别是小基站和WiFi AP类似,均为用户端的设备,为了简化配置、简化基站业务的发放,要求这类基站在支持IPSec功能的同时,依然要满足免规划、免配置的要求。
【发明内容】
[0005]本发明实施例提供一种通信方法、基站、接入点及系统,以将WiFi网络和BTS网络的安全机制统一起来,简化了通信系统的安全组网方案,降低建设成本。
[0006]第一方面,本发明实施例提供一种通信方法,包括:
[0007]获取无线保真WiFi接入点AP的网际协议IP地址;
[0008]根据所述WiFi AP的IP地址为所述WiFi AP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
[0009]通过与所述WiFiAP之间的共传接口接收所述WiFi AP发送的数据包;
[0010]根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
[0011]结合第一方面,在第一方面的第一种可能的实现方式中,所述获取WiFiAP的IP地址之前,还包括:
[0012]通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFi AP的IP地址;
[0013]根据所述广播消息与所述WiFi AP建立DHCP中继代理关系。
[0014]结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述广播消息与所述WiFi AP建立DHCP中继代理关系,包括:
[0015]根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFi AP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFi AP分配IP地址;
[0016]接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFi AP,以建立与所述WiFi AP之间的所述中继代理关系,所述分配消息包括所述WiFi AP的IP地址。
[0017]结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述获取WiFi AP的IP地址,包括:
[0018]根据所述分配消息获取所述WiFiAP的IP地址;或者,
[0019]通过与所述WiFi AP的交互通信获取所述WiFi AP的IP地址。
[0020]结合第一方面的第一种至第三种中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述通过所述共传接口接收所述WiFi AP发送的DHCP广播消息之前,还包括:
[0021 ]开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
[0022]结合第一方面、第一方面的第一种至第四种中任一种可能的实现方式,在第一方面的第五种可能的实现方式中,所述获取WiFi AP的IP地址之后,还包括:
[0023]监测所述WiFi AP以获取所述WiFi AP更新后的IP地址,并将所述更新后的IP地址作为所述WiFi AP的IP地址。
[0024]结合第一方面,在第一方面的第六种可能的实现方式中,所述获取WiFiAP的IP地址之前,还包括:
[0025]开启与所述WiFi AP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;
[0026]所述获取WiFi AP的IP地址,包括:
[0027]获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFiAP的IP地址,并生成相应的ACL规则。
[0028]结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,所述获取WiFi AP的IP地址之后,还包括:
[0029]向所述WiFi AP发送地址配置响应,所述地址配置响应包括所述WiFi AP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
[°03°]通过所述共传接口向所述WiFi AP发送广播消息,所述广播消息包括所述WiFi AP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
[0031]结合第一方面的第六种或第七种可能的实现方式,在第一方面的第八种可能的实现方式中,所述获取WiFi AP的IP地址之后,还包括:
[0032]通过与所述WiFiAP之间的共传接口接收所述WiFi AP发送的数据包,将所述数据包携带的所述WiFi AP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;
[0033]根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
[0034]第二方面,本发明实施例提供一种通信方法,包括:
[0035]通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数据包。
[0036]结合第二方面,在第二方面的第一种可能的实现方式中,所述通过与基站之间的共传接口向所述基站发送数据包之前,还包括:
[0037]通过所述共传接口向所述基站发送动态主机配置协议DHCP广播消息,以使所述基站根据所述广播消息建立DHCP中继代理;
[0038]接收所述基站转发的由WiFiAP控制器AC发出的DHCP分配消息,所述分配消息包括所述AC分配的所述WiFi AP的网际协议IP地址。
[0039]结合第二方面,在第二方面的第二种可能的实现方式中,所述通过与基站之间的共传接口向所述基站基站发送数据包之前,还包括:
[0040]接收所述基站发送的地址配置响应,所述地址配置响应包括所述WiFi AP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,
[0041 ]通过所述共传接口接收所述基站发送的广播消息,所述广播消息包括所述WiFiAP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
[0042]第三方面,本发明实施例提供一种基站,包括:
[0043]获取模块,用于获取无线保真WiFi接入点AP的网际协议IP地址;
[0044]路由建立模块,用于根据所述WiFi AP的IP地址为所述WiFi AP建立网际协议安全IPSec安全隧道上的路由,并生成相应的访问控制列表ACL规则;
[0045]数据包处理模块,用于通过与所述WiFiAP之间的共传接口接收所述WiFi AP发送的数据包;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
[0046]结合第三方面,在第三方面的第一种可能的实现方式中,还包括:
[0047]中继代理模块,用于通过所述共传接口接收所述WiFiAP发送的动态主机配置协议DHCP广播消息,所述广播消息用于请求获取所述WiFi AP的IP地址;根据所述广播消息与所述WiFi AP建立DHCP中继代理关系。
[0048]结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述中继代理模块,具体用于根据所述广播消息确定中继代理业务为开启状态,且已预先建立所述IPSec安全隧道,通过所述IPSec安全隧道所述向WiFi AP控制器AC发送DHCP地址请求消息,所述地址请求消息包括安全网关的IP地址,以使所述AC根据所述安全网关的IP地址为所述WiFi AP分配IP地址;接收所述AC回复的DHCP分配消息,将所述分配消息通过所述共传接口发送给所述WiFi AP,以建立与所述WiFi AP之间的所述中继代理关系,所述分配消息包括所述WiFi AP的IP地址。
[0049]结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述获取模块,具体用于根据所述分配消息获取所述WiFi AP的IP地址;或者,通过与所述WiFi AP的交互通信获取所述WiFi AP的IP地址。
[0050]结合第三方面的第一种至第三种中任一种可能的实现方式,在第三方面的第四种可能的实现方式中,所述中继代理模块,还用于开启中继代理业务,配置所述共传接口的参数,并建立所述IPSec安全隧道,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态。
[0051]结合第三方面、第三方面的第一种至第四种中任一种可能的实现方式,在第三方面的第五种可能的实现方式中,所述获取模块,还用于监测所述WiFi AP以获取所述WiFiAP更新后的IP地址,并将所述更新后的IP地址作为所述WiFi AP的IP地址。
[0052]结合第三方面,在第三方面的第六种可能的实现方式中,所述获取模块,具体用于开启与所述WiFi AP的共传输业务,获取AC的IP地址,并配置所述共传接口的参数,所述共传接口的参数包括所述共传接口的IP地址和所述共传接口的状态;获取根据预先配置的内部IP地址的网段分配所述共传接口的IP地址和所述WiFi AP的IP地址,并生成相应的ACL规则。
[0053]结合第三方面的第六种可能的实现方式,在第三方面的第七种可能的实现方式中,还包括:
[0054]发送模块,用于向所述WiFi AP发送地址配置响应,所述地址配置响应包括所述WiFi AP的IP地址、所述共传接口的IP地址以及所述AC的IP地址;或者,通过所述共传接口向所述WiFi AP发送广播消息,所述广播消息包括所述WiFi AP的IP地址、所述共传接口的IP地址以及所述AC的IP地址。
[0055]结合第三方面的第六种或第七种可能的实现方式,在第三方面的第八种可能的实现方式中,所述数据包处理模块,具体用于通过与所述WiFi AP之间的共传接口接收所述WiFi AP发送的数据包,将所述数据包携带的所述WiFi AP的IP地址通过网络地址转换NAT转换成所述IPSec安全隧道上的路由;根据IPSec协议对所述数据包进行加密,并根据所述IPSec安全隧道上的路由和所述ACL规则在所述IPSec安全隧道中转发加密后的数据包。
[0056]第四方面,本发明实施例提供一种无线保真WiFi接入点AP,包括:
[0057]收发模块,用于通过与基站之间的共传接口向所述基站发送数据包,以使所述基站根据网际协议安全IPSec协议对所述数据包进行加密,并根据预先建立的IPSec安全隧道的路由和访问控制列表ACL规则在所述IPSec安全隧道中转发加密后的数