[发明专利]移动回程网络

权利要求书

1.一种移动回程网络，其特征在于，所述网络包括接入网网元和核心网网元，所述核心网网元与所述接入网元通过IPsec封装安全负载(IPsec ESP)连接进行通信。

2.根据权利要求1所述的网络，其特征在于，所述IPsec ESP连接通过如下方式建立的：

如果所述网络为可信安全域且所述接入网网元和核心网网元支持IPsec ESP连接和一种以上版本的互联网密钥交换协议，在所述接入网网元和核心网网元之间配置NDS架构中的Zb接口；

在所述网络为非可信安全域时，所述接入网网元所在第一区域与所述核心网网元所在的第二区域之间配置NDS架构中的Za接口。

3.根据权利要求2所述的网络，其特征在于，通过如下方式判断所述网络为非可信安全域，包括：

判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个不归属于所述网络的运营商；

判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个未配置有安全保护机制。

4.根据权利要求3所述的网络，其特征在于，所述接入网网元的安全保护机制包括安全监控或专人保护，所述回程链路的安全机制包括L2VPN保护或者L3VPN保护等。

5.根据权利要求3所述的网络，其特征在于，还包括：

确定所述网络中的可信区域和非可信区域；

在所述可信区域的边界配置SEG，所述SEG对所述可信区域的信息进行聚合，并与非可信区域进行通信。

6.根据权利要求4所述的网络，其特征在于，在所述可信区域内的网元之间配置Zb接口，如果所述可信区域内的网元支持IPsec ESP连接和一种以上的互联网密钥交换协议，所述可信区域内的至少两个网元通过IPsec ESP连接进行通信。

7.根据权利要求4所述的网络，其特征在于，当所述非可信区域为第一区域时，为所述第一区域内的接入网网元之间配置Zb接口，如果所述接入网网元支持IPsec ESP连接和一种以上的互联网密钥交换协议，所述至少两个接入网网元通过IPsec ESP连接进行通信。

8.根据权利要求6所述的网络，其特征在于，还包括：

判断所述第一区域中的接入网网元之间的链路以及接入网网元是否可信；

如果可信，在所述第一区域的边界配置SEG，所述第一区域的SEG对所述第一区域的信息进行聚合，并与第二区域进行通信。

9.根据权利要求7所述的网络，其特征在于，在所述接入网网元与所述第一区域的SEG之间配置Zb接口，如果所述接入网网元支持IPsec ESP连接和一种以上的互联网密钥交换协议，所述接入网网元与所述第一区域的SEG通过IPsec ESP连接进行通信。

10.根据权利要求2至9中任一所述的网络，其特征在于，

当所述IPsec ESP连接是通过Za接口建立时，所述IPsec ESP连接对该连接上传输的信息进行认证、完整性保护以及加密；

当所述IPsec ESP连接是通过Zb接口建立时，所述IPsec ESP连接对该连接上传输的信息进行认证和完整性保护。