專利名稱:基站中的防火墻配置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線廣域網(wǎng)領(lǐng)域。更具體地���,本發(fā)明涉及配置無線廣域網(wǎng)中第一基站 中的防火墻的方法�,以及防火墻配置設(shè)備和第一基站�����。
背景技術(shù):
在典型的無線廣域網(wǎng)(如LTE(長期演進(jìn))網(wǎng)絡(luò))中,移動臺經(jīng)由無線接入網(wǎng)與 一個或多個核心網(wǎng)通信���。移動臺可以是諸如移動電話(“蜂窩”電話)和具有移動終端的 膝上型計算機之類的站臺���,因此例如可以是與無線接入網(wǎng)進(jìn)行語音和/或數(shù)據(jù)通信的便攜 式、袖珍式�����、手持式���、包含于計算機中的�、或車載的移動設(shè)備����。無線接入網(wǎng)覆蓋被劃分為小區(qū)區(qū)域的地理區(qū)域��,由基站為每個小區(qū)區(qū)域提供服 務(wù)��,在LTE中基站又被稱為eNodeB����。小區(qū)是由位于基站站點處的無線基站設(shè)備提供無線覆 蓋的地理區(qū)域。每個小區(qū)由唯一標(biāo)識(全球小區(qū)標(biāo)識符)來標(biāo)識?��;就ㄟ^空中接口(例 如射頻)與基站范圍內(nèi)的移動臺通信����。在許多這樣的系統(tǒng)中�����,網(wǎng)絡(luò)的各種固定實體(如基站�、支持系統(tǒng)等)利用通信網(wǎng)絡(luò) 的邏輯地址,經(jīng)由通信網(wǎng)絡(luò)彼此通信���,通信網(wǎng)絡(luò)的邏輯地址可以是所謂IP地址���。這是與上 述小區(qū)的標(biāo)識符不同類型的標(biāo)識符。為了在這樣的通信中提供安全性�����,每個基站還配備了 防火墻�����,所述防火墻包括對通信應(yīng)用的規(guī)則。LTE中的基站將包括防火墻�,防火墻執(zhí)行數(shù)據(jù)分組過濾以限制對網(wǎng)絡(luò)資源的訪問。 分組過濾防火墻基于數(shù)據(jù)分組首部字段(如源IP地址�����、目的IP地址和端口)來阻止數(shù)據(jù) 分組����。基站中的防火墻對輸入業(yè)務(wù)和輸出業(yè)務(wù)進(jìn)行過濾����。然而,分組過濾需要根據(jù)指定的過濾規(guī)則對分組進(jìn)行分類的能力�����。通常���,無線廣域 網(wǎng)的管理員手動指定過濾規(guī)則,如接受的網(wǎng)絡(luò)地址�����、IP地址和端口。一種可選方案是從中 央服務(wù)器分發(fā)過濾規(guī)則���。如果所有節(jié)點能夠使用相同的過濾規(guī)則����,則這是容易實現(xiàn)的��。然 而��,LTE網(wǎng)絡(luò)可能由具有不同過濾規(guī)則的數(shù)百個基站組成�。典型地,基站與核心網(wǎng)和OSS (操 作支持系統(tǒng))中的一些節(jié)點聯(lián)系��,還與一些相鄰基站聯(lián)系�����。不同的基站與不同的相鄰基站 聯(lián)系���。因此��,不同基站具有不同的過濾規(guī)則�。此外�����,基站還必須能夠與新增加的相鄰基站通 信。然而�,改變防火墻配置以允許在包括大量基站的無線廣域網(wǎng)中增加基站并非易事。因此����,需要一種改進(jìn)的對在基站中提供的防火墻的更新。
發(fā)明內(nèi)容
因此����,本發(fā)明涉及改進(jìn)對無線廣域網(wǎng)中防火墻的更新。因此����,本發(fā)明的一個目的是提供一種配置無線廣域網(wǎng)中第一基站中的防火墻的方法。該目的是根據(jù)本發(fā)明的第一方面�,通過一種配置無線廣域網(wǎng)中第一基站中的防火 墻的方法來實現(xiàn)的,所述第一基站具有第一邏輯地址����,并且所述方法包括以下步驟獲取新的相鄰基站數(shù)據(jù),所述新的相鄰基站數(shù)據(jù)與無線廣域網(wǎng)的支持系統(tǒng)中的防
5火墻更新設(shè)備中所述第一基站的相鄰基站列表的更新有關(guān)�;以及防火墻更新設(shè)備基于所述新的相鄰基站數(shù)據(jù),以安全方式向第一基站提供防火墻 配置數(shù)據(jù)���,所述防火墻配置數(shù)據(jù)包括在第一基站附近提供的第二基站的第二真實邏輯地 址�����,在執(zhí)行所述更新和提供防火墻配置數(shù)據(jù)以允許與第二基站進(jìn)行通信之前����,在第一基站 的相鄰基站列表中未提供所述第二真實邏輯地址�。本發(fā)明的另一目的是提供一種無線廣域網(wǎng)中改進(jìn)基站中的防火墻更新的防火墻 配置設(shè)備。該目的是根據(jù)本發(fā)明的第二方面���,通過一種無線廣域網(wǎng)的支持系統(tǒng)中的防火墻配 置設(shè)備來實現(xiàn)的�,所述防火墻配置設(shè)備用于配置無線廣域網(wǎng)中第一基站中的防火墻�,所述 第一基站具有第一邏輯地址,并且所述設(shè)備包括控制單元�,被配置為獲取新的相鄰基站數(shù)據(jù),所述新的相鄰基站數(shù)據(jù)與所述第一基站的相鄰基站列表 的更新有關(guān)����;以及基于所述新的相鄰基站數(shù)據(jù),以安全方式向第一基站提供防火墻配置數(shù)據(jù)�,所述 防火墻配置數(shù)據(jù)包括在第一基站附近提供的第二基站的第二真實邏輯地址,在執(zhí)行所述更 新和提供防火墻配置數(shù)據(jù)以允許與第二基站進(jìn)行通信之前�����,在第一基站的相鄰基站列表中 未提供所述第二真實邏輯地址。本發(fā)明的另一目的是提供另一種配置無線廣域網(wǎng)中第一基站中的防火墻的方法�����。該目的是根據(jù)本發(fā)明的第三方面����,通過一種配置無線廣域網(wǎng)中第一基站中的防火 墻的方法來實現(xiàn)的,所述第一基站具有第一邏輯地址���,并且所述方法包括以下步驟在第一基站中���,獲取新的相鄰基站數(shù)據(jù),所述新的相鄰基站數(shù)據(jù)與所述第一基站 的相鄰基站列表的更新有關(guān)��,并且包括標(biāo)識在第一基站附近提供的第二基站的數(shù)據(jù)�;以安全方式向無線廣域網(wǎng)的支持系統(tǒng)中的防火墻配置設(shè)備提供所述相鄰基站數(shù) 據(jù),以安全方式從防火墻配置設(shè)備接收包括第二基站的第二真實邏輯地址在內(nèi)的防 火墻配置數(shù)據(jù)��,所述防火墻配置數(shù)據(jù)是基于所述新的相鄰基站數(shù)據(jù)而獲得的�����,在所述更新 以允許與第二基站進(jìn)行通信之前,在第一基站的相鄰基站列表中未提供所述第二真實邏輯 地址��;以及使用所述防火墻配置數(shù)據(jù)來更新第一基站的防火墻���。本發(fā)明的另一目的是提供一種無線廣域網(wǎng)中具有改進(jìn)的防火墻更新能力的基站。該目的是根據(jù)本發(fā)明的第四方面�����,通過一種無線廣域網(wǎng)中的第一基站來實現(xiàn)的�, 所述第一基站具有第一邏輯地址,并且包括防火墻��,根據(jù)安全規(guī)則來允許網(wǎng)絡(luò)接入����,防火墻更新單元,用于更新所述防火墻��,第一網(wǎng)絡(luò)接口�,用于與無線廣域網(wǎng)的支持系統(tǒng)中的防火墻配置設(shè)備通信,第二無線接口����,用于與無線廣域網(wǎng)中的移動臺通信����,以及控制單元��,被配置為獲取新的相鄰基站數(shù)據(jù)�,所述新的相鄰基站數(shù)據(jù)與所述第一基站的相鄰基站列表 的更新有關(guān),并且包括標(biāo)識在第一基站附近提供的第二基站的數(shù)據(jù)�,
以安全方式向所述防火墻配置設(shè)備提供所述相鄰基站數(shù)據(jù),以安全方式從防火墻配置設(shè)備接收包括第二基站的第二真實邏輯地址在內(nèi)的防 火墻配置數(shù)據(jù)��,所述防火墻配置數(shù)據(jù)是基于所述新的相鄰基站數(shù)據(jù)而獲得的�,在所述更新 以允許與第二基站進(jìn)行通信之前,在第一基站的相鄰基站列表中未提供所述第二真實邏輯 地址���,以及向所述防火墻配置單元提供所述防火墻配置數(shù)據(jù)以更新防火墻�。本發(fā)明具有允許在基站中自動更新防火墻設(shè)置的優(yōu)勢����。采用該方式,可以避免手 動更新����。在包括多個基站的無線廣域網(wǎng)中這是有利的。此外,以安全方式執(zhí)行防火墻更新���。應(yīng)當(dāng)強調(diào)的是��,當(dāng)在本說明書中使用時���,術(shù)語“包括”指存在所述特征、整體����、步驟 或組件�,但不排除存在或添加一個或多個其他特征、整體���、步驟�����、組件或或其組合�。
現(xiàn)在結(jié)合附圖��,更詳細(xì)地描述本發(fā)明���,附圖中圖1示意性地示出了無線廣域網(wǎng)中互連的一些單元��,圖2示出了根據(jù)本發(fā)明與移動臺相連的第一基站的框圖��,圖3示出了根據(jù)本發(fā)明的防火墻配置設(shè)備的框圖���,圖4示出了根據(jù)本發(fā)明在第一基站中執(zhí)行的配置防火墻的方法中所采取的多個 方法步驟的流程圖�,以及圖5示出了在防火墻配置設(shè)備中執(zhí)行的根據(jù)本發(fā)明用于配置第一基站中的防火 墻的方法中執(zhí)行的多個方法步驟的流程圖����。
具體實施例方式在以下描述中,為了說明和非限制的目的��,闡述了特定的細(xì)節(jié)(如具體架構(gòu)��、接 口����、技術(shù)等),以提供對本發(fā)明的透徹理解�。然而,對于所屬領(lǐng)域技術(shù)人員顯而易見��,可以以 不具有這些特定細(xì)節(jié)的其他實施例來實現(xiàn)本發(fā)明���。在其他實例中�,省略了公知設(shè)備、電路和 方法的詳細(xì)描述�����,以免以不必要的細(xì)節(jié)模糊本發(fā)明的描述�。本發(fā)明涉及由于無線廣域網(wǎng)的改變來動態(tài)改變防火墻設(shè)置。下面�����,將在無線廣域網(wǎng)的非限制示例上下文中更詳細(xì)地描述本發(fā)明�,此處無線廣 域網(wǎng)是圖1所示的LTE (長期演進(jìn))網(wǎng)絡(luò)形式的蜂窩網(wǎng)絡(luò)����。LTE網(wǎng)絡(luò)僅僅是可以實現(xiàn)本發(fā)明 的無線廣域網(wǎng)的一個示例。例如���,可以在其他類型的網(wǎng)絡(luò)(如在WiMAX網(wǎng)絡(luò))中提供本發(fā) 明�。LTE網(wǎng)絡(luò)包括核心網(wǎng)部分CN和無線接入網(wǎng)部分RAN�。核心網(wǎng)部分CN具有節(jié)點10,節(jié) 點10提供與如PSTN(公共電話交換網(wǎng))或GSM(全球移動通信系統(tǒng))等各種其他網(wǎng)絡(luò)的通 信��。節(jié)點10還可以提供與如互聯(lián)網(wǎng)等面向無連接的網(wǎng)絡(luò)的通信。核心網(wǎng)節(jié)點10經(jīng)由通信網(wǎng)絡(luò)N與無線接入網(wǎng)部分RAN連接�����,通信網(wǎng)絡(luò)N是面向分 組的通信網(wǎng)絡(luò)����,如互聯(lián)網(wǎng)或內(nèi)網(wǎng)等計算機通信網(wǎng)絡(luò)。無線接入網(wǎng)部分RAN包括多個基站�,其 中,圖1示出了兩個基站12和14���?�;?2和14中的每一個控制小區(qū)內(nèi)的通信��。此處����,應(yīng) 當(dāng)意識到�����,一個基站可以處理多于一個小區(qū)��。在圖中,示出了與第一基站12相關(guān)的唯一一 個小區(qū)16��。在由無線接入網(wǎng)部分RAN覆蓋的地理區(qū)域中提供這些小區(qū)�����。在圖1中�,移動臺 18被示為在小區(qū)16中并與第一基站12進(jìn)行通信。應(yīng)當(dāng)意識到�����,通?���?赡芴峁┡c基站通信
7的多個移動臺。在圖1中還示出了防火墻配置設(shè)備20���,兩個基站12和14正在與防火墻配置設(shè) 備20進(jìn)行通信。此處����,兩個基站12和14也經(jīng)由通信網(wǎng)絡(luò)N與防火墻配置設(shè)備20進(jìn)行通 信,通信網(wǎng)絡(luò)N可以是互聯(lián)網(wǎng)或內(nèi)網(wǎng)�����。利用如SSH(安全外殼)、TLS(傳輸層安全性)以及 SFTP(SSH文件傳輸協(xié)議)之類的安全協(xié)議����,基站12以及14和防火墻配置設(shè)備間的通信可 以是安全的。此處�����,優(yōu)選地�,通信網(wǎng)絡(luò)N是計算機通信網(wǎng)絡(luò)。防火墻配置設(shè)備20可以被提供 為由無線廣域網(wǎng)的網(wǎng)絡(luò)運營商提供的OSS(操作支持系統(tǒng))系統(tǒng)的一部分�。防火墻配置設(shè) 備20還與DNS (域名服務(wù)器)服務(wù)器22通信。此處��,該域名服務(wù)器22被示為外部服務(wù)器�, 即不屬于無線廣域網(wǎng)的一部分的服務(wù)器。然而�,應(yīng)當(dāng)意識到,可選地�,服務(wù)器22可以被提供 為無線廣域網(wǎng)的一部分以及提供為OSS系統(tǒng)的一部分。圖1中的通信由虛線箭頭指示�����。圖2示出了第一基站12的框圖。第一基站12包括用于通過通信網(wǎng)絡(luò)通信的第一 網(wǎng)絡(luò)接口 34�����。該第一網(wǎng)絡(luò)接口 34與防火墻32相連���,防火墻32繼而與防火墻更新單元30����、 第一控制單元26和無線電電路24相連�。第一控制單元26還與防火墻更新單元30、無線 電電路24和第一相鄰基站列表存儲器28相連��。無線電電路24還與用于與移動臺18無線 通信的天線23相連���。因此��,此處無線電電路24和天線23構(gòu)成了用于與移動臺通信的第二 無線接口����。這里��,第一相鄰基站列表存儲器28包括相鄰基站列表��。該列表包括與相鄰基站 (即位于第一基站12附近或鄰近區(qū)域并且第一基站12可與其通信的基站)有關(guān)的數(shù)據(jù)��。對 于每個這樣的相鄰基站���,存儲了無線廣域網(wǎng)標(biāo)識符(此處為全球小區(qū)標(biāo)識符)和與計算機 通信網(wǎng)絡(luò)相關(guān)的相關(guān)邏輯地址(此處為IP地址)�����,接入網(wǎng)中的移動臺通過無線廣域網(wǎng)標(biāo)識 符來標(biāo)識基站����。然而����,它不包括針對第二基站的任何條目,稍后將更詳細(xì)地對此進(jìn)行描述�����。 第一基站12還具有自身的邏輯地址(此處稱為第一邏輯地址)���。圖3示出了防火墻配置設(shè)備20的框圖����。防火墻配置設(shè)備20還包括用于通過計算 機網(wǎng)絡(luò)進(jìn)行通信的第三網(wǎng)絡(luò)接口 36。該第三網(wǎng)絡(luò)接口 36與第二控制單元38相連��。第二控 制單元38最終與第二相鄰基站列表存儲器40相連���?;窘?jīng)由通信網(wǎng)絡(luò)N與無線廣域網(wǎng)內(nèi)外的其他實體通信����。為此,它們均具備邏輯 地址�����。然而��,為了提供無線廣域網(wǎng)的安全性�,每個這樣的基站包括分組過濾防火墻,以限制 對網(wǎng)絡(luò)資源的訪問�����。分組過濾防火墻可以例如基于分組的首部字段來阻止分組�。此時,可 以基于如邏輯地址(如源IP地址、目的IP地址以及端口 )等數(shù)據(jù)來進(jìn)行阻止�����。此時���,基站 中的防火墻對輸入業(yè)務(wù)和輸出業(yè)務(wù)進(jìn)行過濾,以限制對無線廣域網(wǎng)中具有真實邏輯地址的 實體的通信��。然而��,分組過濾需要根據(jù)指定的過濾規(guī)則對分組進(jìn)行分類的能力���。通常�����,無線廣域 網(wǎng)的管理員手動指定過濾規(guī)則���,如接受的網(wǎng)絡(luò)地址、IP地址和端口����。一種可選方案是從中 央服務(wù)器(例如從OSS中的服務(wù)器)分發(fā)過濾規(guī)則。如果所有節(jié)點能夠使用相同的過濾規(guī) 則,則這是容易實現(xiàn)的���。然而���,無線廣域網(wǎng)可能由具有不同過濾規(guī)則的數(shù)百個基站組成。典 型地�,基站與核心網(wǎng)部分CN和OSS中的一些節(jié)點聯(lián)系,還與一些相鄰基站聯(lián)系����。不同的基 站與不同的相鄰基站聯(lián)系。因此�����,不同基站具有不同的過濾規(guī)則����。此外,基站還必須能夠與 新增加的相鄰基站通信���。因此����,需要動態(tài)改變過濾規(guī)則。此處��,基站中的防火墻具有基本配置��,包括用于與核心網(wǎng)和OSS通信的分組過濾 規(guī)則����。根據(jù)本發(fā)明�,針對新基站或邏輯地址發(fā)生改變的基站,以安全的方式動態(tài)配置這些過濾規(guī)則����。這是為了實現(xiàn)基站間的通信,基站間的通信可以通過所謂X2接口來執(zhí)行�。在無線廣域網(wǎng)中,每個基站還可以具有與無線廣域網(wǎng)相關(guān)的一個或多個標(biāo)識符�����。 在LTE情況下��,這些標(biāo)識符是小區(qū)標(biāo)識符�����,即與蜂窩網(wǎng)絡(luò)的小區(qū)相關(guān)的標(biāo)識。此處���,這樣的 小區(qū)標(biāo)識符是全球小區(qū)標(biāo)識符�����。針對每個基站所要覆蓋的每個小區(qū)��,每個基站配備有一個 這樣的全球小區(qū)標(biāo)識符�����。這是移動臺已知并可用于與基站的通信的基站標(biāo)識��。然而����,如果 基站將彼此通信和與接入網(wǎng)或核心網(wǎng)中的其他實體通信�����,則它們不能使用該標(biāo)識��,它們使 用基站的邏輯地址��,所述邏輯地址與計算機通信網(wǎng)絡(luò)相關(guān)。為了實現(xiàn)通信(例如與切換相 關(guān))�,每個基站在其相鄰基站列表存儲器中包括相鄰基站列表。因此���,在這樣的存儲器中���,存 在每個相鄰基站的全球小區(qū)標(biāo)識符和邏輯地址間的關(guān)聯(lián)。這樣的映射可以是預(yù)先進(jìn)行的并 且可以針對每個基站手動或自動進(jìn)行��。由于基站分布于地理區(qū)域上��,基站間的相鄰基站列 表都不相同�。因此��,無線廣域網(wǎng)中存在大量的各種相鄰基站列表�����。OSS系統(tǒng)確實還具有無線 廣域網(wǎng)中的基站的相鄰基站列表�����。此處�,在防火墻配置設(shè)備的第二相鄰基站列表存儲器中 提供這些列表���。基站的防火墻確實還需要包括相鄰基站列表中的相鄰基站的真實邏輯地址���,以允 許這些基站間的通信����。在許多情況下���,可以在建立無線廣域網(wǎng)時預(yù)先提供這種包括���。然 而,如果發(fā)生改變(如添加新基站���、舊基站接收到新邏輯地址����、或從相鄰基站列表中刪除基 站)��,則相鄰基站列表和防火墻中的設(shè)置都是不正確的�,這導(dǎo)致當(dāng)基站之一是新基站或改變 了其邏輯地址時在基站間的通信是不可能的。本發(fā)明旨在解決該問題����。因此���,下面將參照前述圖1-3以及圖4和圖5來描述本發(fā)明,圖4示出了在第一基 站中執(zhí)行的用于配置防火墻的方法中所采取的多個方法步驟的流程圖����,圖5示出了在防火 墻配置設(shè)備中執(zhí)行的用于配置第一基站中的防火墻的方法中所采取的多個方法步驟的流 程圖?���?赡芤饘Φ谝换?2的防火墻進(jìn)行更新的一種情形是當(dāng)移動臺(此處為移動 臺18)要從一個源基站切換至另一目標(biāo)基站時(此處從第一基站12切換至第二基站14), 第一相鄰基站列表存儲器28中的相鄰基站列表中不包括目標(biāo)基站的情形����。此時���,移動臺18 可以指示其想要切換至第二基站14�。接著����,第一基站12檢查其相鄰基站列表中是否具有 目標(biāo)小區(qū)。如果源基站(即第一基站12)的相鄰基站列表中不具有目標(biāo)小區(qū)����,則移動臺18 將與第二基站14相關(guān)的小區(qū)的全球小區(qū)標(biāo)識符信號通知給第一基站12�����。然而���,由于第一 基站12先前未與第二基站14通信,第一基站12不具有到第二基站14的邏輯地址(即IP 地址)�����。因此�,第二基站14在第一基站12的附近提供,但不包含在第一相鄰基站列表存儲 器28中的相鄰基站列表中����。因此,它將新基站添加至相鄰基站列表�。從而,用第二基站更 新相鄰基站列表����。從而,本發(fā)明的方法起始于第一基站12獲取新的相鄰基站數(shù)據(jù)(步驟42),新的 相鄰基站數(shù)據(jù)是與第二基站14有關(guān)的數(shù)據(jù)����。在本示例中,新的相鄰基站數(shù)據(jù)是由第一控制 單元26經(jīng)由無線電通信單元24和天線23從移動臺18接收的上述第二基站14的全球小 區(qū)標(biāo)識符�。如上所述,可以與切換相關(guān)來接收該標(biāo)識符���。然而�,也可以與對移動臺18進(jìn)行 跟蹤相關(guān)或由于某些其他原因來接收該標(biāo)識符����。然后,控制單元26檢查第一相鄰基站列表 存儲器28中其相鄰基站列表中是否具有與第二基站相關(guān)的數(shù)據(jù)����,并且由于沒有該數(shù)據(jù),其繼續(xù)經(jīng)由第一網(wǎng)絡(luò)接口 34以安全方式向OSS系統(tǒng)的防火墻配置設(shè)備20發(fā)送相鄰基站數(shù)據(jù) (步驟54)���。該安全方式可以是通過安全連接或安全通信會話。在本示例中�����,相鄰基站數(shù)據(jù) 僅包括上述全球小區(qū)標(biāo)識符。防火墻32還包括允許與防火墻配置設(shè)備20進(jìn)行通信的規(guī)則��, 所述規(guī)則確保所述相鄰基站數(shù)據(jù)到達(dá)防火墻配置設(shè)備20��。接著����,防火墻配置設(shè)備20的第二控制單元38經(jīng)由網(wǎng)絡(luò)接口 36接收相鄰基站數(shù)據(jù) (步驟52)。此后�����,它獲取目標(biāo)基站的真實邏輯地址(步驟54)�����。一種獲取真實邏輯地址是 經(jīng)由安全連接或經(jīng)由安全通信會話連接至DNS服務(wù)器22�����。通過這些方式��,DNS服務(wù)器22被 認(rèn)為是可靠的�����。接著,第二控制單元38可以發(fā)送第二基站14的名稱��,該名稱可能已通過針 對相應(yīng)全球小區(qū)標(biāo)識符來調(diào)查列出基站名稱的表格來定位��。作為響應(yīng)���,第二控制單元38接 收從DNS服務(wù)器22接收第二基站14的真實邏輯地址���,即IP地址。在DNS服務(wù)器22是OSS 系統(tǒng)一部分的情況下�,還可以基于全球小區(qū)標(biāo)識符直接獲取真實IP地址。由于已經(jīng)進(jìn)行了 上述操作�,防火墻配置設(shè)備20可以調(diào)查其自身的相鄰基站列表存儲器40,并定位第一基站 12的相鄰基站列表����。在第二基站14未包含在該列表中的情況下,防火墻配置設(shè)備20得知 也未針對與第二基站14的通信對第一基站12的防火墻進(jìn)行配置����。因此,防火墻配置設(shè)備 20決定由于第一基站12的相鄰基站存在改變��,需要更新基站12和14的防火墻�。因此,防 火墻配置設(shè)備20經(jīng)由網(wǎng)絡(luò)接口 36以安全方式向第一基站12發(fā)送防火墻配置數(shù)據(jù)(步驟 56)�����,所述防火墻配置數(shù)據(jù)包括第二基站14的真實邏輯地址��。防火墻配置設(shè)備20還以安全 方式向第二基站14發(fā)送防火墻配置數(shù)據(jù)(步驟58)��,此時所述防火墻配置數(shù)據(jù)包括第一基 站12的真實邏輯地址��。此處��,該安全方式也可以是通過安全連接或安全通信會話���。第一基站12的第一控制單元26經(jīng)由網(wǎng)絡(luò)接口 34接收該防火墻配置數(shù)據(jù)(步驟 46)�。然后�����,所述數(shù)據(jù)被轉(zhuǎn)發(fā)至防火墻更新單元30��。此后����,防火墻更新單元30更新防火墻 32的規(guī)則�,使得允許與第二基站14進(jìn)行通信(步驟48)�。此后,可以更新第一相鄰基站列 表存儲器28中的相鄰基站列表(步驟50)�����。一旦獲取了真實地址就可以立即進(jìn)行該更新�����。 還可以基于從防火墻配置設(shè)備20發(fā)送的更新列表的命令來更新相鄰基站列表(步驟60)��。 此處�,防火墻配置設(shè)備20還可以在其自身的相鄰基站列表存儲器40中更新針對第一和第 二基站的相鄰基站列表,并命令第一和第二基站更新它們的相鄰基站列表�����。因此���,更新防火墻是與更新第一基站的相鄰基站列表相關(guān)來自動進(jìn)行的���。這是由 更新相鄰基站列表觸發(fā)的。在以上給出的示例中��,在更新防火墻中的規(guī)則后,更新第一相鄰 基站列表存儲器中的相鄰基站列表���。然而,應(yīng)當(dāng)意識到�,可以在第一基站中接收到與新相鄰 基站相關(guān)的數(shù)據(jù)后的任意時刻更新相鄰基站列表。因此���,可以在接收到真實邏輯地址前更 新相鄰基站列表�����。第一基站自身可以通過查詢DNS服務(wù)器來定位第二基站的邏輯地址�。然而��,在這 種情況下�����,由于第一基站通常不具有與DNS服務(wù)器的安全連接�,第一基站不知道該邏輯地 址是否真實。在這種情況下����,第一基站可以用從DNS服務(wù)器接收的邏輯地址來更新相鄰基 站列表�����。在這種情況下��,發(fā)送至防火墻配置設(shè)備的相鄰基站數(shù)據(jù)還可以包括該邏輯地址�,接 著防火墻配置設(shè)備對該邏輯地址進(jìn)行驗證�����。因此����,此處第一基站可以通過查詢OSS中的服 務(wù)器來將全球小區(qū)標(biāo)識符轉(zhuǎn)換為DNS名稱。接著���,第一基站可以在DNS服務(wù)器中執(zhí)行DNS查 找���,以接收第二基站的邏輯地址??蛇x地,第一基站可以僅向服務(wù)器發(fā)送全球小區(qū)標(biāo)識符�����, 服務(wù)器可以執(zhí)行上述全球小區(qū)標(biāo)識符至DNS名稱的轉(zhuǎn)換,并此后執(zhí)行DNS查找��。作為另一
10可選方案��,上述OSS服務(wù)器可以直接從小區(qū)標(biāo)識符轉(zhuǎn)換為邏輯地址�。在基站的冷啟動后可能發(fā)生邏輯地址的改變。如果第一基站預(yù)期與之通信的相鄰 基站發(fā)生了邏輯地址改變�,則通信網(wǎng)絡(luò)將通知第一基站分組中所使用的特定邏輯地址不再 有效�。接著,第一基站中的第一控制單元將注意到該通知并從OSS請求新的真實邏輯地址����。 以下是防火墻的配置。在這種情況下����,新基站數(shù)據(jù)確實包括與相鄰基站的正確邏輯地址有 關(guān)的請求。作為防火墻配置設(shè)備向DNS服務(wù)器發(fā)送查詢的可選方案���,防火墻配置設(shè)備可以取 而代之地直接經(jīng)由如SSH(安全外殼)或TLS (傳輸層安全性)等安全連接或安全信道直接
查詢第二基站�。作為另一可選方案����,每當(dāng)無線廣域網(wǎng)中的每個基站接收到新邏輯地址����,就經(jīng)由安 全連接向防火墻配置設(shè)備報告其自身的邏輯地址�。從而,在這種情況下�,防火墻配置設(shè)備直 接從基站以真實邏輯地址的形式接收相鄰基站數(shù)據(jù)。從而�����,新增加的基站或接收到新邏輯 地址的基站可以始終通過安全信道向OSS發(fā)送其新的真實邏輯地址�����。防火墻配置設(shè)備還可以在每當(dāng)接收到更新的相鄰基站列表或每當(dāng)在OSS系統(tǒng)中 集中更新相鄰基站列表時執(zhí)行更新���。從而�,從基站發(fā)送的相鄰基站數(shù)據(jù)還可以具有更新的 相鄰基站列表的形式��。由于干擾問題���,可以由OSS系統(tǒng)對相鄰基站列表進(jìn)行集中更新�����,在集 中更新中�����,新基站被添加至相鄰基站列表���。在以下情況下����,每當(dāng)相鄰基站列表發(fā)生改變或者將要改變時��,可以對防火墻進(jìn)行 配置·添加至相鄰基站列表的新小區(qū)不由當(dāng)前被允許與源基站通信的目標(biāo)基站處理�����, 或反之��?�!南噜徎玖斜韯h除的小區(qū)由在相鄰基站列表中不再包括任何小區(qū)的目標(biāo)基站處理����。·相鄰基站列表中的基站改變了邏輯地址�。當(dāng)從相鄰基站列表刪除基站時,此時防火墻配置數(shù)據(jù)包括將該基站的邏輯地址從 防火墻設(shè)置中刪除的指令����。由于防火墻設(shè)置是自動更新的,避免了手動更新����。這在包括多個基站的無線廣域 網(wǎng)中是有利的。還可以以安全方式進(jìn)行防火墻更新���,這也是有利的�����。根據(jù)本發(fā)明的第一基站的控制單元和防火墻更新單元以及防火墻配置設(shè)備的控 制單元可以通過一個或多個處理器與用于執(zhí)行其功能的計算機程序代碼一起實現(xiàn)�����。上述程 序代碼還可作為計算機程序產(chǎn)品(例如以承載用于在被加載至計算機時執(zhí)行根據(jù)本發(fā)明 的方法的計算機程序代碼的數(shù)據(jù)載體的形式)來提供�。雖然結(jié)合目前被認(rèn)為最實際且優(yōu)選的實施例描述了本發(fā)明�,但應(yīng)理解本發(fā)明不限 于所公開的實施例,相反應(yīng)涵蓋各種修改和等效配置�����。因此,本發(fā)明僅由所附權(quán)利要求來限定���。
權(quán)利要求
一種配置無線廣域網(wǎng)(CN���,RAN)中第一基站(12)中的防火墻(32)的方法,所述第一基站(12)具有第一邏輯地址�����,所述方法包括以下步驟獲取(52)新的相鄰基站數(shù)據(jù)��,所述新的相鄰基站數(shù)據(jù)與無線廣域網(wǎng)的支持系統(tǒng)中的防火墻更新設(shè)備(20)中所述第一基站(12)的相鄰基站列表的更新有關(guān)�;以及防火墻更新設(shè)備(20)基于所述新的相鄰基站數(shù)據(jù),以安全方式向第一基站(12)提供(56)防火墻配置數(shù)據(jù)����,所述防火墻配置數(shù)據(jù)包括在第一基站附近提供的第二基站(14)的第二真實邏輯地址�����,在執(zhí)行所述更新和所述提供防火墻配置數(shù)據(jù)以允許與第二基站進(jìn)行通信之前��,在第一基站的相鄰基站列表中未提供所述第二真實邏輯地址。
2.根據(jù)權(quán)利要求1所述的方法����,其中,在第二基站(14)的第二相鄰基站列表中缺少第 一邏輯地址��,所述方法還包括以下步驟向第二基站(14)提供(58)包括第一基站(12)的 第一真實邏輯地址在內(nèi)的防火墻配置數(shù)據(jù)���,以允許與第一基站(12)進(jìn)行通信�。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其中����,獲取新的相鄰基站數(shù)據(jù)的步驟包括經(jīng)由安 全連接發(fā)送與第二基站的邏輯地址有關(guān)的查詢,以及作為對所述查詢的響應(yīng)����,接收(54)所 述第二真實邏輯地址。
4.根據(jù)權(quán)利要求3所述的方法����,其中����,所述查詢被發(fā)送至第二基站���。
5.根據(jù)前述權(quán)利要求中任一項所述的方法���,其中,獲取新的相鄰基站數(shù)據(jù)的步驟包括 直接從所述第二基站接收第二相鄰基站的所述第二真實邏輯地址���。
6.根據(jù)權(quán)利要求3所述的方法�����,其中���,所述查詢被發(fā)送至可靠的地址提供服務(wù)器(22)。
7.根據(jù)權(quán)利要求3所述的方法�����,其中����,獲取新的相鄰基站數(shù)據(jù)的步驟包括從第一基站 接收關(guān)于第二基站的查詢。
8.根據(jù)權(quán)利要求7所述的方法����,其中,所接收的查詢包括來自所述第一基站的與所述 第二相鄰基站相關(guān)的至少一個無線廣域網(wǎng)標(biāo)識符��。
9.根據(jù)權(quán)利要求7或8所述的方法�,其中,所接收的查詢包括第二基站的邏輯地址���,并 且執(zhí)行發(fā)送查詢的步驟以驗證所述接收的邏輯地址是所述第二真實邏輯地址��。
10.根據(jù)權(quán)利要求7-9中任一項所述的方法�����,其中���,所接收的查詢包括針對第二基站的 真實邏輯地址的請求。
11.根據(jù)權(quán)利要求1-6中任一項所述的方法�,其中,獲取新的相鄰基站數(shù)據(jù)的步驟包 括從第一基站接收包括標(biāo)識第二基站的數(shù)據(jù)在內(nèi)的更新后的相鄰基站列表�。
12.根據(jù)前述權(quán)利要求中任一項所述的方法,還包括以下步驟更新(60)第一基站的 相鄰基站列表�,其中����,更新后的相鄰基站列表包括第二基站的真實邏輯地址�。
13.根據(jù)權(quán)利要求12所述的方法,還包括以下步驟更新(60)第二基站的相鄰基站列表�����。
14.根據(jù)權(quán)利要求1或2所述的方法��,其中��,獲取新的相鄰基站數(shù)據(jù)的步驟包括獲取 集中更新的第一基站的相鄰基站列表���。
15.根據(jù)前述權(quán)利要求中任一項所述的方法��,其中���,向第一基站提供防火墻配置數(shù)據(jù)的 步驟是由對第一基站的相鄰基站列表的更新來觸發(fā)的。
16.一種無線廣域網(wǎng)(CN�,RAN)的支持系統(tǒng)中的防火墻配置設(shè)備(20),用于配置無線廣 域網(wǎng)(CN�,RAN)中第一基站(12)中的防火墻(32),所述第一基站(12)具有第一邏輯地址, 所述設(shè)備(20)包括控制單元(38)����,被配置為獲取新的相鄰基站數(shù)據(jù)��,所述新的相鄰基站數(shù)據(jù)與所述第一基站(12)的相鄰基站列 表的更新有關(guān)�����;以及基于所述新的相鄰基站數(shù)據(jù)����,以安全方式向第一基站(12)提供防火墻配置數(shù)據(jù),所述 防火墻配置數(shù)據(jù)包括在第一基站附近提供的第二基站(14)的第二邏輯地址�����,在執(zhí)行所述 更新和所述提供防火墻配置數(shù)據(jù)以允許與第二基站(14)進(jìn)行通信之前���,在第一基站(12) 的相鄰基站列表中未提供所述第二真實邏輯地址���。
17.—種配置無線廣域網(wǎng)(CN,RAN)中第一基站(12)中的防火墻(32)的方法����,所述第 一基站(12)具有第一邏輯地址�,所述方法包括以下步驟在第一基站中��,獲取(42)新的相鄰基站數(shù)據(jù)�����,所述新的相鄰基站數(shù)據(jù)與所述第一基站 (12)的相鄰基站列表的更新有關(guān)�����,并且包括標(biāo)識在第一基站附近提供的第二基站的數(shù)據(jù)����;以安全方式向無線廣域網(wǎng)(CN,RAN)的支持系統(tǒng)中的防火墻配置設(shè)備(20)提供(44) 所述相鄰基站數(shù)據(jù)���,以安全方式從所述防火墻配置設(shè)備(20)接收(46)包括第二基站(14)的第二真實邏 輯地址在內(nèi)的防火墻配置數(shù)據(jù)���,所述防火墻配置數(shù)據(jù)是基于所述新的相鄰基站數(shù)據(jù)而獲得 的,在所述更新以允許與第二基站(14)進(jìn)行通信之前����,在第一基站的相鄰基站列表中未提 供所述第二真實邏輯地址;以及使用所述防火墻配置數(shù)據(jù)來更新(48)第一基站的防火墻(32)。
18.根據(jù)權(quán)利要求17所述的方法�,其中,所述基站數(shù)據(jù)包括與第二基站(14)相關(guān)的 無線廣域網(wǎng)標(biāo)識符�。
19.根據(jù)權(quán)利要求17或18所述的方法,其中��,所述新的基站數(shù)據(jù)包括第二基站(14) 的邏輯地址�����。
20.根據(jù)權(quán)利要求19所述的方法���,還包括以下步驟從地址提供服務(wù)器獲取第二基站 (14)的所述邏輯地址。
21.根據(jù)權(quán)利要求17-20中任一項所述的方法�����,還包括以下步驟使用所述真實第二邏 輯地址來更新(50)第一基站的相鄰基站列表��。
22.一種無線廣域網(wǎng)(CN����,RAN)中的第一基站(12),所述第一基站(12)具有第一邏輯 地址����,并且包括防火墻(32)����,根據(jù)安全規(guī)則來允許網(wǎng)絡(luò)接入����,防火墻更新單元(30),用于更新所述防火墻(32)��,第一網(wǎng)絡(luò)接口(34)����,用于與無線廣域網(wǎng)(CN,RAN)的支持系統(tǒng)中的防火墻配置設(shè)備 (20)通信��,第二無線接口(23�����,24)��,用于與無線廣域網(wǎng)(CN���,RAN)中的移動臺(18)通信����,以及控制單元(26),被配置為獲取新的相鄰基站數(shù)據(jù)���,所述新的相鄰基站數(shù)據(jù)與所述第一基站(12)的相鄰基站列 表的更新有關(guān)��,并且包括標(biāo)識在第一基站(12)附近提供的第二基站(14)的數(shù)據(jù)�����,以安全方式向所述防火墻配置設(shè)備(20)提供所述相鄰基站數(shù)據(jù),以安全方式從所述防火墻配置設(shè)備(20)接收包括第二基站(14)的第二真實邏輯地址 在內(nèi)的防火墻配置數(shù)據(jù)���,所述防火墻配置數(shù)據(jù)是基于所述新的相鄰基站數(shù)據(jù)而獲得的����,在所述更新以允許與第二基站(14)進(jìn)行通信之前�,在第一基站(12)的相鄰基站列表中未提 供所述第二真實邏輯地址,以及向所述防火墻配置單元(30)提供所述防火墻配置數(shù)據(jù)以更新防火墻(32)��。
全文摘要
本發(fā)明涉及配置無線廣域網(wǎng)(CN���,RAN)中第一基站(12)中的防火墻的方法�,以及防火墻配置設(shè)備(20)和第一基站(12)。所述第一基站(12)獲取新的相鄰基站數(shù)據(jù)����,所述新的相鄰基站數(shù)據(jù)與第一基站(12)的相鄰基站列表的更新有關(guān),所述數(shù)據(jù)包括標(biāo)識在第一基站附近提供的第二基站(14)的數(shù)據(jù)����。防火墻配置設(shè)備(20)基于該數(shù)據(jù),向第一基站(12)提供包括第二基站(14)的第二真實邏輯地址在內(nèi)的防火墻配置數(shù)據(jù)�����,在所述更新之前�����,該相鄰基站列表中未提供該真實邏輯地址�。第一基站(12)利用防火墻配置數(shù)據(jù)更新其防火墻,以允許與第二基站(14)進(jìn)行通信���。
文檔編號H04L29/06GK101884231SQ200780101778
公開日2010年11月10日 申請日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者伊麗莎白·漢森 申請人:艾利森電話股份有限公司