用于毫微微接入点之间的通信方法以及毫微微接入点

摘要

本发明涉及一种用于毫微微AP之间的通信方法以及一种毫微微AP。所述方法包括：第一毫微微AP与密钥服务器(KS)在所述第一毫微微AP和所述KS之间创建(101)第一隧道，以及所述第一毫微微AP通过所述第一隧道从所述KS中下载作为第一密钥的密钥和接入控制列表(ACL)，其中所述ACL用于指示所述第一毫微微AP和第二毫微微AP之间的数据流接入规则；所述第一毫微微AP使用所述第一密钥加密(104)第一数据以获得加密的第一数据，以及根据由所述ACL指示的所述数据流接入规则将所述加密的第一数据发送给所述第二毫微微AP，使得所述第二毫微微AP使用第二密钥解密所述加密的第一数据，其中，所述第二密钥是所述第二毫微微AP通过在所述第二毫微微AP和所述KS之间创建的第二隧道从所述KS中下载的所述密钥。

说明书

技术领域

本发明涉及通信技术领域，具体而言，涉及一种用于毫微微接入点之间 的通信方法以及一种毫微微接入点。

背景技术

在长期演进(长期演进，LTE)情况下，毫微微到毫微微切换用于使 用X2将UE从源H(e)NodeB(家庭E-UTRAN基站，H(e)NodeB)切换至目标 H(e)NodeB。在通用移动通讯系统(通用移动通讯系统，UMTS)情况下， 毫微微到毫微微切换用于使用Iurh将用户设备(用户设备，UE)从源H NodeB切换至目标HNodeB。控制消息交换和数据必须经过公共互联网。 假设安全网关(安全网关，S-GW)和源H(e)NodeB之间、S-GW和目标 H(e)NodeB之间以及源H(e)NodeB和目标H(e)NodeB之间存在公共IP连接， 这种连接是不安全的。

在这些情况下，应该受到保护的用户业务需要遍历一个非信任网络。 在这类情况下，3GPP(第三代合作伙伴项目，3GPP)规定了应该使用隧 道模式下的IPSec封装安全载荷(封装安全载荷，ESP)。该技术方案是使 用按需点对点IPSec隧道来保护Iurh/X2信令和数据业务。对于X2接口情况 而言，需要约64^2条IPSec隧道来创建网状拓扑，而对于Iurh接口情况而言， 需要约32^2条IPSec隧道来创建网状拓扑。该技术方案仅在切换时建立 IPSec隧道，一旦完成切换就断开隧道，所以每次切换都重复这个动作。为 了建立按需点对点IPSec隧道，需要IPSec密钥协商。在IPSec密钥协商的过 程中，DH算法用于计算DH密钥，这样消耗了大量计算资源和带宽，并且 存在50到100ms的延迟，这影响了信令的QoS(服务质量，QoS)。该技术 方案消耗了大量系统处理，而且通常需要硬件加速以减少全网拓扑的DH 密钥计算过程开销。因此，现有技术中的切换方法的效率较低，而且进一 步增加了用户数据的开销。

发明内容

本发明的实施例涉及一种用于毫微微AP之间的通信方法以及一种毫 微微AP以解决现有技术中两个毫微微AP之间协商和密钥生成情况下的资 源消耗和切换延迟问题，从而提高切换效率。

在一方面，本发明提供一种用于毫微微AP之间的通信方法，包括：

第一毫微微AP与密钥服务器(KS)在所述第一毫微微AP和所述KS之 间创建第一隧道，以及所述第一毫微微AP通过所述第一隧道从所述KS中 下载作为第一密钥的密钥和接入控制列表(ACL)，其中所述ACL用于指 示所述第一毫微微AP和第二毫微微AP之间的数据流接入规则；

所述第一毫微微AP使用所述第一密钥加密第一数据以获得加密的第 一数据，以及根据由所述ACL指示的所述数据流接入规则将所述加密的第 一数据发送给所述第二毫微微AP，使得所述第二毫微微AP使用第二密钥 解密所述加密的第一数据，其中，所述第二密钥是所述第二毫微微AP通过 在所述第二毫微微AP和所述KS之间创建的第二隧道从所述KS中下载的所 述密钥。

在另一方面，本发明提供一种用于毫微微AP之间的通信方法，包括：

第二毫微微AP与密钥服务器(KS)在所述第二毫微微AP和所述KS之 间建立第二隧道，以及所述第二毫微微AP通过所述第二隧道从所述KS中 下载密钥作为第二密钥；

所述第二毫微微AP使用所述第二密钥解密第一数据，所述第一数据由 第一毫微微AP使用第一密钥加密并且根据所述第一毫微微AP和所述第二 毫微微AP之间的接入控制列表(ACL)发送，其中，所述第一密钥是所述 第一毫微微AP通过在所述第一毫微微AP和所述KS之间创建的第一隧道从 所述KS中下载的所述密钥，所述ACL用于指示所述第一毫微微AP和所述 第二毫微微AP之间的数据流接入规则。

在另一方面，本发明提供一种用于毫微微AP之间的通信方法，包括：

密钥服务器(KS)生成密钥；

所述KS通过在第一毫微微AP和所述KS之间创建的第一隧道将作为第 一密钥的所述密钥和接入控制列表(ACL)发送给所述第一毫微微AP，以 及所述KS通过在第二毫微微AP和所述KS之间创建的第二隧道将作为第二 密钥的密钥发送给所述第二毫微微AP，使得所述第一毫微微AP使用所述 第一密钥加密第一数据以获得加密的第一数据并根据所述ACL将所述加 密的第一数据发送给所述第二毫微微AP，以及使得所述第二毫微微AP使 用所述第二密钥解密所述加密的第一数据，其中，所述ACL用于指示所述 第一毫微微AP和所述第二毫微微AP之间的数据流接入规则。

在另一方面，本发明提供第一毫微微AP，包括：

存储多个指令的存储器；以及

耦合至所述存储器的处理器，用于执行进行以下操作的指令：

创建与密钥服务器(KS)的第一隧道以及通过所述第一隧道从所述 KS中下载作为第一密钥的密钥和接入控制列表(ACL)，其中所述ACL 用于指示所述第一毫微微AP和第二毫微微AP之间的数据流接入规则；

使用所述第一密钥加密数据以获得加密的第一数据，以及根据由所述 ACL指示的所述数据流接入规则将所述加密的第一数据发送给所述第二 毫微微AP，使得所述第二毫微微AP使用第二密钥解密所述加密的第一数 据，其中，所述第二密钥是所述第二毫微微AP通过在所述第二毫微微AP 和所述KS之间创建的第二隧道从所述KS中下载的所述密钥。

在另一方面，本发明提供第二毫微微AP，包括：

存储多个指令的存储器；以及

耦合至所述存储器的处理器，用于执行进行以下操作的指令：

创建与密钥服务器(KS)的第二隧道以及通过所述第二隧道从所述 KS中下载密钥作为第二密钥；

使用所述第二密钥解密第一数据，所述第一数据由第一毫微微AP使用 第一密钥加密并且根据所述第一毫微微AP和所述第二毫微微AP之间的接 入控制列表(ACL)发送，其中，所述第一密钥是所述第一毫微微AP通过 在所述第一毫微微AP和所述KS之间创建的第一隧道从所述KS中下载的所 述密钥，所述ACL用于指示所述第一毫微微AP和所述第二毫微微AP之间 的数据流接入规则。

在另一方面，本发明提供一种密钥服务器(KS)，包括：

存储多个指令的存储器；以及

耦合至所述存储器的处理器，用于执行进行以下操作的指令：

生成密钥；

通过在第一毫微微AP和所述KS之间创建的第一隧道将作为第一密钥 的所述密钥和接入控制列表(ACL)发送给所述第一毫微微AP，以及通过 在第二毫微微AP和所述KS之间创建的第二隧道将作为第二密钥的所述密 钥发送给所述第二毫微微AP，使得所述第一毫微微AP使用所述第一密钥 加密第一数据以获得加密的第一数据并根据所述ACL将所述加密的第一 数据发送给所述第二毫微微AP，以及使得所述第二毫微微AP使用所述第 二密钥解密所述加密的第一数据，其中，所述ACL用于指示所述第一毫微 微AP和所述第二毫微微AP之间的数据流接入规则。

根据本发明实施例的毫微微AP之间的通信方法通过设置KS为所述毫 微微AP生成密钥，使得毫微微AP可以使用这些密钥与其它毫微微AP通信， 这样避免了在两个毫微微AP之间的协商和密钥生成情况下产生资源消耗 和切换延迟。

本发明将参考附图和实施例进行详细描述。

附图说明

图1为根据本发明实施例的用于毫微微AP之间的通信方法的流程图；

图2所示为根据本发明实施的GDOI如何在毫微微AP和密钥服务器之间工 作；

图3为根据本发明另一实施例的用于毫微微AP之间的通信方法的流程图；

图4所示为根据本发明实施例的NHRP如何在毫微微AP和毫微微GW/S-GW (NHRP服务器)之间工作；

图5所示为根据本发明实施的涉及GDOI交换和NHRP注册和更新的整个方 案如何在毫微微AP和毫微微GW(密钥服务器)之间工作；

图6为根据本发明实施例的毫微微AP的示意图；

图7为根据本发明另一实施例的毫微微AP的示意图；

图8为根据本发明实施例的用于毫微微AP之间的通信方法的流程图；

图9为根据本发明另一实施例的用于毫微微AP之间的通信方法的流程图；

图10为根据本发明实施例的用于毫微微AP之间的通信方法的流程图；

图11为根据本发明另一实施例的用于毫微微AP之间的通信方法的流程图；

图12为根据本发明实施例的第一毫微微AP的示意方框图；

图13为根据本发明实施例的第二毫微微AP的示意方框图；

图14为根据本发明实施例的密钥服务器的示意方框图。

具体实施方式

为了使本发明的目的、技术方案和优点更清楚，参考附图给出了本发明 实施例的详细描述。显而易见地，所述实施例仅仅是本发明实施例的一部分， 而不是全部。本领域技术人员在没有进行创造性工作的情况下所获得的其它 实施例都落入本发明的保护范围之中。

图1为根据本发明实施例的用于毫微微AP(接入点，AP)之间的通信 方法的流程图。如图1所示，本实施例提供的毫微微AP之间的通信方法可 以具体应用于通信系统中两个毫微微AP之间的通信过程，具体而言，应用 于当源毫微微AP需要将UE的数据发送给目标毫微微AP以保持UE和网络 侧之间的通信一致性时，在UE从源毫微微AP到目标毫微微AP的切换过程 期间，源毫微微AP和目标毫微微AP之间的通信过程。该通信系统可以是， 但不限于，LTE系统或UMTS系统。

根据实施例毫微微AP之间的通信方法包括：

步骤101，第一毫微微AP与密钥服务器(KS)在第一毫微微AP和KS 之间创建第一隧道，以及第一毫微微AP通过第一隧道从KS中下载作为第一 密钥的密钥和接入控制列表(ACL)，其中该ACL用于指示第一毫微微AP 和第二毫微微AP之间的数据流接入规则。该数据流接入规则包括IP地址、 端口信息和协议号等等。

步骤104，第一毫微微AP使用第一密钥加密第一数据以获得加密的第一 数据，以及根据由ACL指示的数据流接入规则将该加密的第一数据发送给第 二毫微微AP，使得第二毫微微AP使用第二密钥解密该加密的第一数据，其 中，第二密钥是第二毫微微AP通过在第二毫微微AP和KS之间创建的第二 隧道从KS中下载的密钥。

具体而言，KS可以集成在安全网关(安全网关，S-GW)中，也可以单 独放置，当单独放置时，KS可以与S-GW通信。网络中存在多个毫微微AP， 每个毫微微AP和KS之间以及毫微微AP和另一毫微微AP之间的通信过程 都可以通过采用本实施例提供的方法来实现。考虑到将单个毫微微AP作为 示例，毫微微AP在毫微微AP和KS之间创建一条隧道，具体而言，该隧道 可以是IPSec隧道，而且该隧道在创建之后可以永久存在。在隧道创建期间， 密钥协商在毫微微AP和KS之间执行，而且确认一个密钥来保护毫微微AP 和KS之间的交互过程。在创建隧道之后，毫微微AP从KS中下载密钥和 ACL。该密钥由KS根据预定规则生成，而该ALC由S-GW生成。具体而言， 此处生成的密钥可以是用来加密数据业务的业务加密密钥(业务加密密钥， TEK)，以及生成密钥加密密钥(密钥加密密钥，KEK)，用来保护TEK。 S-GW可以获得网络中每个毫微微AP的IP地址和IP地址的变化，并且S-GW 根据每对毫微微AP的IP地址为它们生成ACL。该ACL具体用于指示每对 毫微微AP之间的数据流接入规则，该数据流接入规则包括IP地址、端口和 协议号等等。S-GW将创建好的ACL发送给KS，然后KS通过对应的隧道将 ACL发送给毫微微AP。毫微微AP可以从KS中同时下载密钥和ACL，而且 还可以在两个不同时间点分别下载密钥和ACL。

为了方便描述，本实施例示出了网络中两个毫微微AP之间的通信过程。 这两个毫微微AP为第一毫微微AP和第二毫微微AP。此处的“第一”和“第 二”仅仅是用来区分这两个毫微微AP，而不是用于顺序限制。

第一毫微微AP可以是上面描述的切换中的源毫微微AP，而第二毫微微 AP可以是目标毫微微AP。第一毫微微AP和第二毫微微AP都可以与KS创 建一条隧道，第一毫微微AP和KS之间的隧道为第一隧道，第二毫微微AP 和KS之间的隧道为第二隧道。第一毫微微AP通过第一隧道从KS中下载第 一密钥和ACL，第二毫微微AP通过第二隧道从KS中下载第二密钥，第一 密钥和第二密钥完全相同，因此第一密钥可以由第二毫微微AP下载并用作 第二密钥。在UE从第一毫微微AP切换至第二毫微微AP的过程中，第一毫 微微AP使用第一密钥加密数据，并且根据ACL将加密的数据发送给第二毫 微微AP；第二毫微微AP根据第二密钥解密从第一毫微微AP接收到的加密 数据，这样实现了第一和第二毫微微AP之间的通信并且保证了通信过程的 安全性。

根据实施例的毫微微AP之间的通信方法通过设置KS为毫微微AP生成 密钥，使得毫微微AP可以使用这些密钥与其它毫微微AP通信，这样避免了 在两个毫微微AP之间的协商和密钥生成情况下产生资源消耗和切换延迟。

根据实施例，在步骤101中，第一毫微微AP在第一毫微微AP和密钥服 务器(KS)之间创建第一隧道包括：

第一毫微微AP通过因特网密钥交换(IKE)协商在第一毫微微AP和KS 之间创建第一隧道。

具体而言，第一毫微微AP通过IKE协商在第一毫微微AP和KS之间创 建第一隧道可以是：第一毫微微AP使用IKE与KS协商，并在协商过程中 通过DH算法获取DH密钥。DK密钥可以是预先建立为成对密钥以保护服务 器和每个主体之间业务的Kas和Kbs。第一毫微微AP和KS之间的其它通信 还可以使用DH密钥进行加密。KS在密钥协商过程之前可以认证第一毫微微 AP的身份，若认证成功，则密钥协商过程继续。

在实施例中，第一毫微微AP和第二毫微微AP属于同一GDOI(组解释 域，GDOI)组。

相应地，在步骤101中，第一毫微微AP通过第一隧道下载作为第一密 钥的密钥和ACL包括：

第一毫微微AP使用GDOI协议通过第一隧道从KS中下载作为第一密钥 的密钥和ACL。

具体而言，多个GDOI组可以被预先划分，而且每个GDOI组包括多个 毫微微AP。GDOI组可以根据区域划分，这样将可互相通信的毫微微AP划 分到同一GDOI组。KS上定义的每个GDOI组有一个标识，该标识在GDOI 组内的毫微微AP(在这种情况下的组成员)之间共享。当网络中的毫微微 AP被划分到多个GDOI组时，第一毫微微AP和第二毫微微AP属于同一 GDOI组。第一毫微微AP使用GDOI协议通过第一隧道从KS中下载密钥、 ACL和其它参数和配置信息，第二毫微微AP同样使用GDOI协议通过第二 隧道从KS中下载相同密钥和其它参数和配置信息。KS为同一GDOI组中的 毫微微AP提供的密钥是相同的。

图2所示为根据本发明实施例的GDOI如何在毫微微AP和密钥服务器 之间工作。对于上述实施例的详细内容，以下将介绍GDOI交换：

步骤201，在IKE阶段1中，在毫微微AP(发起者)和毫微微-GW/安 全-GW(密钥服务器)之间执行保护GDOI消息的协商。

GDOI是一种用于提供一组IPSec密钥给一组希望互相通信的毫微微AP (组成员)的组密钥管理协议。GDOI是一种由“阶段1安全联盟(SA)” 保护的‘阶段2’协议。此处的阶段1是指毫微微AP和KS之间的隧道已经 创建，阶段2是指阶段1之后的阶段，在其中执行GDOI交换。IKE阶段1 与在传统IPSec中的一样。所有毫微微AP使用IKE向密钥服务器认证它们 自己，该密钥服务器被静态配置用于所有毫微微AP。预共享密钥(PSK)或 RSA-签名(PKI)或RSA-加密支持所有IKE认证方法。

步骤202，将组密钥从毫微微AP推送到KS：ISAKMP头、HASH(1)、 NONCE(i)和ID。

在实际应用中，GDOI交换还称为注册。毫微微AP(发起者)向密钥服 务器发起请求并联系该密钥服务器。毫微微AP配置有组标识符和可接受的 阶段1策略。一旦阶段1完成，发起者则移动到GDOI协议。发起者通过选 择Ni(发起者的Nonce值)建立NONCE载荷，使用组标识符建立ID载荷， 以及生成HASH(1)。第一GDOI消息还被称为请求消息。

步骤203，KS将ISAKMP头、HASH(2)、NONCE(R)和SA返回给毫微 微AP。

接收到GDOI消息之后，密钥服务器(响应者)处理NONCE和ID载荷。 密钥服务器验证它的数据库包含组ID的组信息。密钥服务器构建第二GDOI 消息，为NONCE载荷选择Nr(响应者的Nonce值)，为ID载荷中的组选 择策略，ID载荷后面是业务SA的SATEK载荷和SAKEK载荷，以及生成 HASH(2)。第二GDOI消息还被称为推送消息。

步骤204，毫微微AP发送ISAKMP头、HASH(3)，可选地还有CERT 和KEY给KS。

毫微微AP接收第二GDOI消息，验证HASH(2)并处理NONCE和SA载 荷。如果组策略使用证书进行授权，则毫微微AP生成具有Ni和Nr的哈希 并进行签名。这就变成了POP载荷。CERT载荷拥有公共密钥。毫微微AP 使用POP和CERT载荷创建第三GDOI消息，并生成HASH(3)。第三GDOI 消息还被称为ACK消息。

步骤205，KS将ISAKMP头、HASH(4)、KD，可选地还有CERTPOP、 KEY和SEQ返回给毫微微AP。

接收到第三GDOI消息之后，KS验证哈希。KS构建第四GDOI消息， 该消息包括含有序列号的SEQ载荷、含有对应于先前在SATEK和KEK中 发送的密钥的KD载荷，以及POP和CERT载荷(若需要)，并且生成HASH(4)。 第四消息还被称为密钥下载消息。毫微微AP接收第四GDOI消息并验证哈 希，然后处理SATEK和KEK载荷。

步骤206，将组密钥从KS下发到毫微微AP：ISAKMP头、SEQ、SA、 KD，可选地还有CERT和SIG、动态ACL。

步骤207，NHRP知道其它侧毫微微AP的公共IP。

下文将在另一实施例中说明NHRP过程的详细内容。

互联网安全联盟和密钥管理协议(互联网安全联盟和密钥管理协议， ISAKMP)头由IKE阶段1保护，同时加密了头之后的所有部分。若设置了 完全正向保密(完全正向保密，PFS)，则使用KE载荷。

在实施例中，GDOI介绍两种不同类型的加密密钥，KEK用于保护业务 加密密钥，而TEK用于加密数据业务。通过使用KS为毫微微AP(组成员) 分发IPSec密钥，降低了管理大量IPSec隧道的操作成本，IPSEC隧道的数目 在毫微微AP的部署中不再是一个限制因素。此外，由于在一个毫微微AP和 KS之间仅创建一条隧道，所以降低了IPSec隧道的复杂性。因此，系统处理 资源的消耗变少。

图3为根据本发明另一实施例的用于毫微微AP(接入点，AP)之间的 通信方法的流程图。如图3所示，在本实施例的步骤104中，在第一毫微微 AP通过第一隧道从KS中下载作为第一密钥的密钥和ACL之前，该方法还 包括：

步骤103，第一毫微微AP将IP地址发送给下一跳解析协议(NHRP)服 务器，使得NHRP服务器将IP地址发送给安全网关(S-GW)，使得S-GW 根据IP地址生成ACL并将该ACL发送给KS。

具体而言，NHRP服务器可以在网络中设置，而且NHRP服务器可以集 成在S-GW中，也可以单独放置。当NHRP服务器单独放置时，NHRP服务 器可以与S-GW通信。网络中的所有毫微微AP将它们自己的IP地址报告给 NHRP服务器，并且当毫微微AP的IP地址更改时，毫微微AP将更改后的 IP地址报告给NHRP服务器。NHRP服务器将毫微微AP的IP地址发送给 S-GW，S-GW生成动态ACL并将该ACL发送给KS。当毫微微AP的IP地 址更改时，S-GW再生成ALC。

在本实施例的步骤101中，第一毫微微AP在第一毫微微AP和密钥服务 器(KS)之间创建第一隧道，以及通过第一隧道从KS中下载作为第一密钥 的密钥和接入控制列表(ACL)之后，该方法还包括：

步骤102，第一毫微微AP通过第一隧道周期性地从KS中接收更新密钥 作为更新的第一密钥；

步骤104’，第一毫微微AP使用更新的第一密钥加密第二数据以获得加 密的第二数据，以及根据由ACL指示的数据流接入规则将该加密的第二数据 发送给第二毫微微AP，使得第二毫微微AP使用更新的第二密钥解密该加密 的第二数据，其中，更新的第二密钥是第二毫微微AP通过在第二毫微微AP 和KS之间创建的第二隧道从KS中下载的更新密钥。

具体而言，KS可以周期性地更新每个GDOI组的密钥，并将更新密钥发 送给对应GDOI组的成员(AP)。当成员离开或当密钥生存期过期时，KS 将密钥材料下推到所有组成员(AP)。因此，使用称为密钥更新的过程在所 有毫微微AP上周期性地刷新密钥。下载密钥用于组的密钥更新以及数据安 全SA。密钥更新SA包括组公共的KEK，而数据安全SA包括用来加密/解密 数据业务的TEK。组密钥推送消息替换密钥更新SA和/或数据安全SA，而 且可以使用单播或组播推送该消息。它可以只是由KS生成的单个消息。当 密钥生存期过期时，该消息包括新的密钥，动态接入列表策略将要标识感兴 趣的业务。这种ACL策略将被下载至所有毫微微AP用于这种S-GW，其包 含密钥服务器。

图4所示为根据本发明实施例的NHRP如何在毫微微AP和毫微微 GW/S-GW(NHRP服务器)之间工作。对于上述实施例的详细内容，下面将 介绍NHRP机制：

步骤401/401’，第一毫微微AP(发起者)向毫微微GW/安全GW(NHRP 服务器)发起NHRP注册请求。

步骤402/402’，NHRP服务器更新另一毫微微AP的物理地址。

NHRP使希望通过NBMA(非广播多重访问，NBMA)子网进行通信的 源通信台(毫微微AP)确定联网层地址和目标通信台的合适NBMA下一跳 的NBMA地址。NHRP有助于动态隧道建立。NHRP客户端(毫微微AP) 向下一跳服务器(毫微微GW/S-GW)发出注册请求以更新另一分支路由器 的物理地址。

在实际应用中，毫微微AP的物理地址可能更改，当发生更改时，毫微 微AP将注册报告给NHRP服务器，然后如果NGRP服务器单独放置，则更 新毫微微AP的IP地址并将更新发送给S-GW。接收到毫微微AP的IP地址 的更新之后，S-GW将生成新的ACL并将新的ACL分发给其它与当前毫微 微AP通信的毫微微AP。

图5所示为根据本发明实施的包含GDOI交换和NHRP注册和更新的方 案如何在毫微微AP和毫微微GW(密钥服务器)之间工作。

步骤501/501’，IKE阶段1在毫微微AP和毫微微GW(密钥服务器) 之间执行。

步骤502/502’，GDOI交换在毫微微AP和毫微微GW之间执行。

步骤503/503’，毫微微AP向毫微微GW发起NHRP注册请求。

步骤504/504’，毫微微GW将NHRP更新返回至毫微微AP。

步骤505，IPSec数据/信令加密在两个毫微微AP之间执行。

在上述过程中，毫微微AP使用DHCP从ISP中获取IP地址。GDOI组 在毫微微GW/安全GW(密钥服务器)上创建。KS上定义的每个组均有一个 标识，该标识在该组内的毫微微AP(组成员)之间共享。毫微微AP建立通 向安全GW/毫微微GW的IKE阶段1隧道，使用GDOI下载安全参数，并且 在其认证之后从毫微微管理中下载毫微微AP配置。

动态ACL在毫微微GW/安全GW中基于分配给毫微微AP的DHCPIP 地址从DHCP服务器中得出。在毫微微GW/安全GW处，侦听DHCP确认消 息，提取IP地址范围并且在服务网关中形成动态ACL。将动态ACL和GDOI 组下的其它安全参数存储在毫微微GW/安全GW(密钥服务器)中，当加密 请求应用于毫微微AP时，毫微微AP立即发送注册消息给毫微微GW/安全 GW(密钥服务器)，使用GDOI协议下载安全参数(组SA)给毫微微AP。 所有毫微微AP遵循相同的过程。

每个毫微微AP具有通向毫微微网关的永久GDOIIPSec隧道，而不是通 向网络内的其它毫微微AP。每个毫微微AP向NHRP服务器(毫微微GW) 注册为客户端。当每个毫微微AP启动或实际IP地址改变时，它通过NGRP 协议注册它的实际IP地址。NHRP服务器通过IPSec隧道向其它毫微微AP 通知/更新毫微微AP的实际地址以建立直接的IPSec隧道。毫微微AP使用 NHRP(RFC2332)协议注册和获知下一毫微微AP的实际IP地址。

在毫微微AP侧，使用相同的GDOIIPSec隧道来保护它的所有满足ACL 规范的X2/Iurh。毫微微AP提供了有效的全网IPSecVPN连接。此处，数据 加密是“按需”进行的并且仅应用于满足ACL规范的业务。

密钥服务器将负责发送密钥更新消息。此处，密钥更新消息通过单播传 输机制周期性地发送。数据/信令业务的加密/解密使用组SA来执行。

本发明的实施例提供一种用于毫微微AP之间通信的方法，如图8所示， 该方法包括：

步骤801，第二毫微微AP与密钥服务器(KS)在第二毫微微AP和KS 之间建立第二隧道，以及第二毫微微AP通过第二隧道从KS中下载密钥作为 第二密钥。

步骤803，第二毫微微AP使用第二密钥解密第一数据，第一数据由第一 毫微微AP使用第一密钥加密并且根据第一毫微微AP和第二毫微微AP之间 的接入控制列表(ACL)发送，其中，第一密钥是第一毫微微AP通过在第 一毫微微AP和KS之间创建的第一隧道从KS中下载的密钥，该ACL用于 指示第一毫微微AP和第二毫微微AP之间的数据流接入规则。

其中，第二毫微微AP与KS在第二毫微微AP和KS之间创建第二隧道 包括：

第二毫微微AP与KS通过因特网密钥交换(IKE)协商在第二毫微微AP 和KS之间创建第二隧道。

其中，第二毫微微AP和第一毫微微AP属于相同的组解释域(GDOI) 组。

其中，第二毫微微AP通过第二隧道从密钥服务器(KS)中下载密钥作 为第二密钥包括：

第二毫微微AP使用GDOI协议通过第二隧道从KS中下载密钥作为第二 密钥。

如图9所示，在本实施例中，第二毫微微AP在第二毫微微AP和密钥服 务器(KS)之间创建第二隧道以及通过第二隧道从KS中下载密钥作为第二 密钥之后，该方法还包括：

步骤802，第二毫微微AP通过第二隧道周期性地从KS中接收更新密钥 作为更新的第二密钥。

步骤803’，第二毫微微AP使用更新的第二密钥解密第二数据，第二数 据由第一毫微微AP使用更新的第一密钥加密并且根据第一毫微微AP和第二 毫微微AP之间的接入控制列表(ACL)发送，其中，更新的第一密钥是第 一毫微微AP通过在第一毫微微AP和KS之间创建的第一隧道从KS中下载 的更新密钥，该ACL用于指示第一毫微微AP和第二毫微微AP之间的数据 流接入规则。

为了方便描述，本实施例提供的用于毫微微AP之间的通信方法的详细 内容，可以参考上述方法实施例，将不在此处描述。

本发明的实施例提供一种用于毫微微AP之间的通信方法，如图10所示， 包括：

步骤1001，密钥服务器(KS)生成密钥；

步骤1004，KS通过在第一毫微微AP和KS之间创建的第一隧道将作为 第一密钥的密钥和接入控制列表(ACL)发送给第一毫微微AP，以及KS通 过在第二毫微微AP和KS之间创建的第二隧道将作为第二密钥的密钥发送给 第二毫微微AP，使得第一毫微微AP使用第一密钥加密第一数据以获得加密 的第一数据并根据ACL将该加密的第一数据发送给第二毫微微AP，以及使 得第二毫微微AP使用第二密钥解密该加密的第一数据，其中，该ACL用于 指示第一毫微微AP和第二毫微微AP之间的数据流接入规则。

如图11所示，在本实施例中，KS通过在第一毫微微AP和KS之间创建 的第一隧道将作为第一密钥的密钥和ACL发送给第一毫微微AP之前，该方 法还包括：

步骤1003，KS接收安全网关(SGW)发送的ACL，其中，该ACL由 SGW根据下一跳解析协议(NHRP)服务器发送的IP地址生成，该IP地址 由第一毫微微AP发送给NHRP服务器。

其中，第一隧道由第一毫微微AP与KS通过互联网密钥交换(IKE)协 商创建；第二隧道由第二毫微微AP与KS通过互联网密钥交换(IKE)协商 创建。

其中，第一毫微微AP和第二毫微微AP属于相同的组解释域(GDOI) 组。

其中，KS通过在第一毫微微AP和KS之间创建的第一隧道将作为第一 密钥的密钥和ACL发送给第一毫微微AP，以及KS通过在第二毫微微AP和 KS之间创建的第二隧道将作为第二密钥的密钥发送给第二毫微微AP具体包 括：

KS使用GDOI协议通过第一隧道将作为第一密钥的密钥和ACL发送给 第一毫微微AP，以及KS使用GDOI协议通过第二隧道将作为第二密钥的密 钥发送给第二毫微微AP。

如图11所示，在本实施例中，KS生成密钥之后，该方法还包括：

步骤1002，KS更新密钥以获得更新密钥；

步骤1004’，KS通过第一隧道将作为更新的第一密钥的更新密钥和接 入控制列表(ACL)发送给第一毫微微AP，以及KS通过第二隧道将作为更 新的第二密钥的更新密钥发送给第二毫微微AP，使得第一毫微微AP使用更 新的第一密钥加密第二数据以获得加密的第二数据并根据ACL将该加密的 第二数据发送给第二毫微微AP，以及使得第二毫微微AP使用该更新的第二 密钥解密加密的第二数据，其中，该ACL用于指示第一毫微微AP和第二毫 微微AP之间的数据流接入规则。

图6为根据本发明实施例的毫微微AP的示意图，如图6所示，毫微微 AP包括：

隧道创建模块，用于在第一毫微微AP和密钥服务器(KS)之间创建第 一隧道以及通过第一隧道从KS中下载作为第一密钥的密钥和ACL，其中该 ACL用于指示第一毫微微AP和第二毫微微AP之间的数据流接入规则；

数据处理模块，用于使用第一密钥加密第一数据以获得加密的第一数据， 以及根据由ACL指示的数据流接入规则将该加密的第一数据发送给第二毫 微微AP，使得第二毫微微AP使用第二密钥解密该加密的第一数据，其中第 二密钥是通过在第二毫微微AP和KS之间创建的第二隧道从KS中下载的密 钥。

其中，隧道创建模块可以具体用于通过互联网密钥交换(IKE)协商在第 一毫微微AP和KS之间创建第一隧道。

图7为根据本发明另一实施例的毫微微AP的示意图，如图6所示，以 图6中的毫微微AP为基础，毫微微AP还包括：

报告模块，用于将IP地址报告给下一跳解析协议(下一跳解析协议， NHRP)服务器，使得NHRP服务器将IP地址发送给S-GW，使得S-GW根 据IP地址生成ACL并将该ACL发送给KS。

其中，第一毫微微AP和第二毫微微AP属于相同的组解释域组。

隧道创建模块可以具体用于使用GDOI协议通过第一隧道从KS中下载 作为第一密钥的密钥和ACL。

第一毫微微AP还包括：

更新模块，用于通过第一隧道从KS接收更新密钥作为更新的第一密钥， 使得数据处理模块使用更新的第一密钥加密第二数据。

根据本实施例的第一毫微微AP是用于根据执行本发明实施例的毫微微 AP之间通信方法的执行主体，详细内容参见上述实施例并将不在此处描述。

根据实施例的第一毫微微AP通过设置KS为毫微微AP生成密钥，使得 毫微微AP可以使用这些密钥与其它毫微微AP通信，这样避免了在两个毫微 微AP之间的协商和密钥生成情况下产生资源消耗和切换延迟。

图12为根据本发明实施例的第一毫微微AP的示意方框图，如图12所 示，第一毫微微AP包括：

存储多个指令的存储器120；以及

耦合至存储器的处理器121，用于执行进行以下操作的指令：

在第一毫微微AP和密钥服务器(KS)之间创建第一隧道以及通过第一 隧道从KS中下载作为第一密钥的密钥和接入控制列表(ACL)，其中该ACL 用于指示第一毫微微AP和第二毫微微AP之间的数据流接入规则；

使用第一密钥加密第一数据以获得加密的第一数据，以及根据由ACL指 示的数据流接入规则将该加密的第一数据发送给第二毫微微AP，使得第二毫 微微AP使用第二密钥解密该加密的第一数据，其中，第二密钥是第二毫微 微AP通过在第二毫微微AP和KS之间创建的第二隧道从KS中下载的密钥。

其中，在第一毫微微AP和密钥服务器(KS)之间创建第一隧道的步骤 中，处理器121还用于：

通过因特网密钥交换(IKE)协商在第一毫微微AP和KS之间创建第一 隧道。

其中，处理器121还用于：

将IP地址发送给下一跳解析协议(NHRP)服务器，使得NHRP服务器 将IP地址发送给安全网关(S-GW)，使得S-GW根据IP地址生成ACL并 将该ACL发送给KS。

其中，第一毫微微AP和第二毫微微AP属于相同的组解释域(GDOI) 组。

其中，在通过第一隧道下载作为第一密钥的密钥和ACL的步骤中，处理 器121还用于：

使用GDOI协议通过第一隧道从KS中下载作为第一密钥的密钥和ACL。

其中，处理器121还用于：

通过第一隧道周期性地从KS接收更新密钥作为更新的第一密钥；以及

使用更新的第一密钥加密第二数据以获得加密的第二数据，以及根据由 ACL指示的数据流接入规则将该加密的第二数据发送给第二毫微微AP，使 得第二毫微微AP使用更新的第二密钥解密该加密的第二数据，其中，更新 的第二密钥是第二毫微微AP通过在第二毫微微AP和KS之间创建的第二隧 道从KS中下载的更新密钥。

图13为根据本发明实施例的第二毫微微AP的示意方框图，如图13所 示，第二毫微微AP包括：

存储多个指令的存储器130；以及

耦合至存储器的处理器131，用于执行进行以下操作的指令：

在第二毫微微AP和密钥服务器(KS)之间创建第二隧道以及通过第二 隧道从KS中下载密钥作为第二密钥；

使用第二密钥解密第一数据，第一数据由第一毫微微AP使用第一密钥 加密并且根据第一毫微微AP和第二毫微微AP之间的接入控制列表(ACL) 发送，其中第一密钥是第一毫微微AP通过在第一毫微微AP和KS之间创建 的第一隧道从KS中下载的密钥，该ACL用于指示第一毫微微AP和第二毫 微微AP之间的数据流接入规则。

其中，在第二毫微微AP和密钥服务器(KS)之间创建第二隧道的步骤 中，处理器131还用于：

通过因特网密钥交换(IKE)协商在第二毫微微AP和KS之间创建第二 隧道。

其中，第二毫微微AP和第一毫微微AP属于相同的组解释域(GDOI) 组。

其中，在通过第二隧道下载密钥作为第二密钥的步骤中，处理器131还 用于：

使用GDOI协议通过第二隧道从KS中下载密钥作为第二密钥。

其中，处理器131还用于：

通过第二隧道周期性地从KS接收更新密钥作为更新的第二密钥；

使用更新的第二密钥解密第二数据，第二数据由第一毫微微AP使用更 新的第一密钥加密并且根据第一毫微微AP和第二毫微微AP之间的ACL发 送，其中更新的第一密钥是第一毫微微AP通过在第一毫微微AP和KS之间 创建的第一隧道从KS中下载的更新密钥，该ACL用于指示第一毫微微AP 和第二毫微微AP之间的数据流接入规则。

图14为根据本发明实施例的密钥服务器KS的示意方框图，如图14所 示，该KS包括：

存储多个指令的存储器140；以及

耦合至存储器的处理器141，用于执行进行以下操作的指令：

生成密钥；

通过在第一毫微微AP和KS之间创建的第一隧道将作为第一密钥的密钥 和接入控制列表(ACL)发送给第一毫微微AP，以及通过在第二毫微微AP 和KS之间创建的第二隧道将作为第二密钥的密钥发送给第二毫微微AP，使 得第一毫微微AP使用第一密钥加密第一数据以获得加密的第一数据并根据 ACL将该加密的第一数据发送给第二毫微微AP，以及使得第二毫微微AP使 用第二密钥解密该加密的第一数据，其中，该ACL用于指示第一毫微微AP 和第二毫微微AP之间的数据流接入规则。

其中，处理器141还用于：

接收安全网关(SGW)发送的ACL，其中，该ACL由SGW根据下一跳 解析协议(NHRP)服务器发送的IP地址生成，该IP地址由第一毫微微AP 发送给NHRP服务器。

其中，第一隧道由第一毫微微AP与KS通过互联网密钥交换(IKE)协 商创建，第二隧道由第二毫微微AP与KS通过互联网密钥交换(IKE)协商 创建。

其中，第一毫微微AP和第二毫微微AP属于相同的组解释域(GDOI) 组。

其中，在通过在第一毫微微AP和KS之间创建的第一隧道将作为第一密 钥的密钥和ACL发送给第一毫微微AP以及通过在第二毫微微AP和KS之 间创建的第二隧道将作为第二密钥的密钥和ACL发送给第二毫微微AP的步 骤中，处理器141还用于：

使用GDOI协议通过第一隧道将作为第一密钥的密钥和ACL发送给第一 毫微微AP，以及使用GDOI协议通过第二隧道将作为第二密钥的密钥发送给 第二毫微微AP。

其中，处理器141还用于：

更新密钥以获得更新密钥；

通过第一隧道将作为更新的第一密钥的更新密钥发送给第一毫微微AP， 以及通过第二隧道将作为更新的第二密钥的更新密钥发送给第二毫微微AP， 使得第一毫微微AP使用更新的第一密钥加密第二数据以获得加密的第二数 据并根据ACL将该加密的第二数据发送给第二毫微微AP，以及使得第二毫 微微AP使用更新的第二密钥解密该加密的第二数据，其中，该ACL用于指 示第一毫微微AP和第二毫微微AP之间的数据流接入规则。

本领域技术人员将理解：上述提及的方法实施例的所有或部分步骤的实 施方式可以由程序指令相关的硬件来完成。程序可以存储在计算机可读存储 介质中。运行期间，程序执行上述提及的方法实施例的步骤。存储介质可以 是能够存储程序代码的各种介质，例如ROM、RAM、软磁盘或光盘等。

最后，应理解，上述实施例仅用于解释，但不限于本发明技术方案和保 护范围。虽然通过上述实施例详细描述了本发明，但应该理解，本领域技术 人员可以进行各种修改、变化或等效替换而不脱离本发明的范围并且包含在 本发明的权利要求书中。