专利名称:一种在安全关联反应系统中传送消息的方法及装置的利记博彩app
技术领域:
本发明涉及无线通信技术,尤其涉及无线通信中在安全关联反应系统中传 送消息的方法及装置。
背景技术:
随着分组数据业务逐渐取代传统电路语音,移动运营商网络趋于IP化, 与此同时,网络中存在的病毒产生大量的数据流量不仅造成网络资源浪费,而 且严重影响了运营网络的效率和安全,对用户终端和业务产生不利的影响和安 全威胁。随着应用业务逐渐丰富,第三方ASP不断增加,业务趋向增值服务和精细 化经营。移动用户在获得更多样化的服务的同时,对自身和网络带来的安全风 险也大大增加。例如由于企业用户身份失窃,使企业的内部资源暴露给非授 权用户;应用系统遭到破坏或被滥用;应用服务质量下降甚至不可用等。由于用户终端分布范围广泛,移动终端的病毒侵入较容易,而且小的移动 终端因为资源有限导致防护能力较低下,无法保证用户终端都装有杀毒软件或 防火墙。即使用户终端都安装安全应用软件,由于没有统一控制,用户不能及 时进行安全更新,造成系统漏洞或病毒库的过期等安全隐患。为了解决由不安全终端带来的网络安全问题,采用安全关联反应系统 (CRS, Correlative Reacting System)提供从网络接入控制到应用服务控制的 多层安全控制手^:。参阅图1所示为CRS系统结构示意图,包括移动台侧的安全代理(SCA)、 网络侧的安全服务器(SCS)、网络侧的网络接入控制器(NAC)和应用服务控 制器(ASC)。安全代理和安全服务器通过Ic接口进行通信,同时,安全服务器通过Ics
接口和PLMN中的其它网元通信,通过它们之间的通信和交互,关联反应系统 提供对移动台的控制功能。安全代理SCA负责收集移动台的安全相关信息,对其进行处理并与安全 服务器进行通信。安全服务器SCS通过安全代理收集到的安全相关信息来评估 移动台的安全状况。当安全服务器判断出移动台不安全时,安全服务器会指示 NAC或ASC对移动台的网络访问和应用访问进行控制,安全服务器将对移动 台的控制情况通知SCA。当有适合移动台进行自身操作系统升级的补丁、组件 或者安全相关应用软件的更新时,SCS通知SCA协助移动台进行相应的升级 或者更新。SCS服务器通过对用户所使用的移动台的控制来实现对移动用户的网络 访问控制和应用服务控制,其基础信息来源是SCA向SCS服务器发送的SCI 报告和移动用户在移动数据网络中已经申请或定制的各种服务。采用CRS系统能有效提高防御不安全终端安全威胁的性能,但在无线网 络中如何布置安全关联反应系统以及如何进行相关消息的传送,提高无线网络 的安全性成为业界急待解决的问题。发明内容本发明提供一种在安全关联反应系统中传送消息的方法及装置,以便在无 线网络中部署安全关联反应系统(又称关联响应系统),从而提高无线网络的 通信安全。本发明提供以下技术方案一种在安全关联反应系统中传送消息的方法,应用于无线网络;该方法包 括步骤无线核心网络中的安全服务器以自身在接收消息的目标对象所关联的其 他网络中的IP地址为源地址,将发往所述目标对象的消息封装为第一报文;安全服务器将所述第一报文封装为能够在无线核心网络中传输的第二报 文,并将该第二报文发往无线核心网络的边界网元;
所述边界网元从所述第二报文中解封装出第 一报文,并将该第 一报文发往 所述目标网元。 其中所述方法还包括步骤无线核心网络的边界网元将从所述目标对象发往所 述安全服务器的第一报文封装为能够在所述无线核心网络中传输的第二报文; 所述边界网元将所述第二报文发往所述安全服务器;所述安全服务器从所述第 二报文中解封装出第 一报文,以及从该第 一报文中解封装出消息内容。所述安全服务器在封装第一报文时至少进行隧道协议封装,并且在解封装 第二报文时至少进行隧道协议解封装;所述边界网元在解封装第二报文时至少 进行相应的隧道协议解封装,并且在封装第一报文时至少进行隧道协议封装。所述无线核心网络中的每个安全^ll务器对应一个其他网络,并配置一个在 该其他网络中为所述安全服务器分配的IP地址;或者,所述无线核心网络中 的每个安全服务器对应多个所述其他网络,并配置在每个所述其他网络中为该 安全服务器分配的IP地址。一种在安全关联反应系统中传送消息的方法,应用于无线网络;该方法包 括步骤无线核心网络的边界网元将关联到其他网络的对象发往安全服务器的第 一报文封装为能够在所述无线核心网络中传输的第二报文;所述边界网元将所述第二报文发往所述安全服务器;所述安全服务器从所述第二报文中解封装出第一报文,并从该第一报文中 解封装出消息内容。一种应用于无线核心网络中的安全服务器,包括第一封^/解封装冲莫块,用于以本安全服务器在接收消息的目标对象所关联 的其他网络中的IP地址为源地址,将发往所述目标对象的消息封装为第一报 文,以及从接收到的第一报文中解封装出消息内容;第二封勤解封装模块,用于将所述第一报文封装为能够在无线核心网络中传输的第二报文,以及从接收到的第二报文中解封装出第 一报文。所述第 一封装/解封装模块包括用于根据所述外部网络标识从多个外部网 络分配的IP地址中选择对应的IP地址的模块。所述第二封装/解封装模块中包括用于对报文进行隧道协议封装或解封装 的子4莫块。一种无线核心网络,包括接入控制i殳备,用于控制所述移动台接入和访问网络; 边界网元,用于将接入无线核心网络的移动台接入到外部网络; 安全服务器SCS,分别连接到所述接入控制设备和所述边界网元,并具有 在所述外部网络中使用的IP地址,用于向所述接入控制设备下发控制移动台的策略,以及通过所述边界网元从外部网络获取与移动台相关的安全更新信 命其中,所述无线核心网络中仅设置一套安全服务器,该一套安全服务包括 一个安全服务器或包括多个相同的安全服务器,其中每个安全服务器分别连接到多个边界网元;或者,所述无线核心网络中设置多套安全服务器, 一套安全 服务包括一个安全服务器或包括多个相同的安全服务器, 一个安全服务器仅连 接到 一个边界网元或仅连接到两个边界网元。 本发明有益效果如下本发明在无线核心网中部署一台或多台安全服务器SCS,并在该SCS上配 置在外部网络中为SCS分配的IP地址,SCS根据接收消息的外部网络封装相 应的IP报文,以及对应接收到的报文进行相应的解封装,使SCS能够与核心 网络外的对象通信,从而在无线网络中实现关联反应系统,能够大幅度提高整 个无线网络的安全性。采用本发明仅需要增加SCS和进行相关配置,对现无线 核心网络结构影响小,其实现容易而且成本低。
图1为现有安全关联反应系统体系结构示意图2为本发明实施例中在无线核心网中部署一个安全服务器的结构示意图;图3为本发明实施例中安全服务器的结构示意图;图4为本发明实施例中在无线核心网中部署多个安全服务器的结构示意图;图5为本发明实施例中无线网络中相关实体协议栈的层次示意图;图6A为本发明实施例中在无线核心网内仅设置一套安全服务器时安全月良 务器的协议栈示意图;图6B、图6C为本发明实施例中在无线核心网内设置多套安全服务器时各 安全服务器的协议栈示意图;图7为本发明实施例中安全服务器向分组数据网PDN中的网元发送消息 的流程图;图8为本发明实施例中PDN中的网元向SCS发送消息的流程图; 图9为本发明实施例中安全服务器向移动台发送消息的流程图。
具体实施方式
为了提高无线网络的安全性,本发明通过在无线核心网络中设置安全服务 器SCS,在移动台MS侧设置安全代理SCA来实现安全关联反应系统(又称 关联响应系统)。对于发送到核心网络外其他目标对象的消息,安全服务器根 据接收消息的目标对象所关联的其他网络,以本服务器在该其他网络中的IP 地址为源地址将消息封装成报文,然后将该报文封装为能够在无线核心网中传 输的报文后发送到无线核心网的边界网元,由该边界网元解封装出IP报文后 发往目标对象;同样的,安全服务器对所述目标对象发送来的报文进行相应的 解封装处理,从而在无线网络中实现与安全关联反应系统相关消息的传送。图2所示为本实施中在无线核心网内部署一套安全服务器的无线通信系统 结构示意图,其中核心网络包括一套安全服务器,与该安全服务器连接的接入 控制设备、PDN网关和Internet网关(即GPRS支撑节点GGSN)。所述接入
控制设备用于控制移动台接入核心网络,该接入控制设备可以是网络访问控制器NAC,也可以是应用服务控制器ASC;如无线核心网络中的SGSN。所述 PDN网关和Internet网关作为核心网络的边界网元,分别将移动台接入到外部 分组数据网络PDN和Internet网络;安全服务器根据移动台的安全状态向接入 控制设备提供安全控制策略,接入控制设备执行该策略对移动台进行相应的安 全控制。在移动台侧设置有安全代理SCA,用于收集移动台的安全相关信息,对其 进行处理向安全服务器发送安全关联信息报告,安全服务器依据该安全相关信 息来评估移动台的安全状况,根据安全状态确定控制策略并下发给NAC或 ASC,由其对移动台的网络访问或应用服务进行控制。安全服务器通过PDN 网关、Internet网关从相应的网络获取适合移动台进行自身操作系统升级的补 丁、组件或者安全相关应用软件的更新信息,并通知移动台中的安全代理SCA 协助移动台进行相应的升级或者更新。所述一套安全服务器是指功能和协议栈结构相同的一个或者多个安全服 务器, 一套安全服务器至少包括一个处于正常工作状态的安全服务器,还可能 包含若干个处于备份状态的安全服务器。如果一套安全服务器中有多个工作的 安全服务器,则采用负载分担的方式为其管辖范围内的移动台服务。图3所示为本实施例中在一个无线核心网内为每个与无线核心网相连的 PDN或Internet分别部署一套安全服务器的无线通信系统结构示意图。与图2 所示系统不同的是,图3所示的无线核心网络中具有多套安全服务器,各套安 全服务器与一个GGSN相连,分别为移动台接入到相应的外部网络提供安全服 务。如,安全服务器1与一个PDN网关相连,安全服务器2与Internet网关相 连。另外,在图3的基础上,如果需要各安全服务器能够连接到Internet网络, 则将与PDN网关相连的安全服务器连接到Internet网关。在无线核心网络中部署安全服务器后,在外部网络中为安全服务器分配IP 地址并将其配置在安全服务器上。安全服务器与这些网络中的网元通信时,将 自身在相应的外部网全各中的IP地址封装在净艮文中。对于图2中的安全月艮务器, 分别在PDN网络和Internet网络中为其分配一个IP地址;对于图3中的安全 服务器1和安全月l务器2,分别在PDN网络和Internet网络为其分配一个IP 地址。如果需要图3中的安全服务器都能访问Internet网络,则各安全服务器 上具有分别在PDN网络和Internet网络为其分配一个IP地址。参阅图4所示,本实施例中的服务器包括第一封装/解封装模块40和第二 封装/解封装^^莫块41 。第 一封装/解封装模块40利用外部网络中的IP地址将上 层发往外部网络的消息封装IP报文,以及从相应的IP报文中解封装出消息内 容;第二封装/解封装模块41将第一封装模块40封装后的IP报文封装为能够 在无线核心网络中传送的报文。第一封^/解封装才莫块40包括TCP/UDP封装/解封装模块401和IP封装/ 解封装模块402; TCP/UDP封装/解封装模块401将上层应用产生的消息内容 封装为TCP或UDP报文,以及从相应的TCP或UDP报文中解封装出消息内 容;IP封装/解封装^t块402根据接收消息的外部网络标识从多个外部网络分 配的IP地址中选择对应的IP地址,以该IP地址为源IP地址,以及外部网络 中的目标网元的IP地址为目标IP地址,将TCP或UDP报文封装为IP报文, 以及从相应的IP报文中解封装出TCP或UDP报文。第二封装/解封装模块41包括隧道协议封装/解封装模块410、 TCP/UDP封 装/解封装模块411、 IP封装/解封装模块412和网络层传输协议封装/解封装模 块413。这些封装/解封装模块按照无线核心网络中的协议规定对报文进行封装 和解封装。在2.5G的情况下,本实施例中无线网络中相关实体协议栈的层次如图5 所示,安全服务器发送消息时,将上层应用产生的消息内容进行TCP或UDP 封装,然后,从本服务器上配置的外部网络IP址地中选择一个IP地址为源地 址,将所述TCP报文或UDP报文封装为IP报文,该IP报文能够在外部网络 中传送;之后,对IP报文进行隧道协议封装,以及依次进行底层的TCP/UDP 封装、IP封装和Ll/L2协议封装,使封装后的报文能够在无线核心网络中传送。 核心网络中的接入控制设备和GGSN接收到安全服务器发送的报文后,依次进 行L1/L2解封装、IP解封装、TCP/UDP解封装和隧道协议解封装,然后再将 其往目标网元传送。对于发送给移动台的消息,接入控制设备还需要按照无线 接入网络中的协议对解封装出的报文进行相关协议封装,然后通过无线接入网 络传送到移动台,由移动台进行对应的解封装处理,直到解封装出消息内容; 对于发送给外部网络中的网元的消息,GGSN直接向目标网元发送将解封装出 的报文。相应的,安全服务器接收到外部网络中的网元发送的消息后进行与发 送消息时相对应的解封装处理。当安全服务器与接入控制设备、网关设备的底层承载协议(Ll/L2层之上 的网络层和传输层协议)不同时,比如接入控制设备、网关设备的底层协议为 X.25,而安全服务器的底层协议为TCP/IP时,安全服务器与接入控制设备、 网关设备之间的通信需要封装在GTP隧道中传输,安全服务器发出的GTP报 文通过其它的X.25—TCP/IP双栈设备转换后,与接入控制设备、网关设备之 间通信,反之亦然。这样,用GTP隧道来屏蔽底层承载协议不同对上层信息 传输的影响。在3G下,BSS系统将由UTRAN取代,因此上述的GTP隧道范围从SGSN —GGSN之间变化为UTRAN—GGSN之间,其处理过程同理。另外,安全服务器与接入控制设备和网关设备通信,也可以通过无线核心 网的IP层直接通讯。图6A给出了本实施例中在无线核心网内仅设置一个安全服务器时,安全 服务器的协议栈。安全服务器拥有一个无线核心网内的静态IP地址,用于无 线网内的通信;同时,对于与无线核心网相连接的每一个外部网络,如PDN, 安全服务器分别拥有一个相应的PDN内的静态地址IP ( PDN n ),该IP地址用 于安全服务器与连接到该PDN的移动台MS、该PDN中的其他网元进行通信。图6B给出了本实施例中在无线核心网内设置多个安全服务器时,各安全 服务器的协议栈。每一个安全服务器分别拥有一个无线核心网内的静态IP地址,用于无线核心网内的通信;同时,对于与无线核心网相连接的外部分组数 据网络PDN,与之对应的安全月良务器拥有一个该PDN内的静态i也址IP,该IP 地址用于安全服务器与连接到该PDN的MS、该PDN中的其他网元进行通信。当安全服务器(可以是部分安全服务器,也可以是全部安全服务器)需要 访问Internet网络中时,该安全服务器还配置一个Internet网络中的静态IP地 址,此时,安全服务器的协议栈如图6C所示。其中,每一个安全服务器分别 拥有一个无线核心网内的静态IP地址,用于无线核心网内的通信;同时,各 安全服务器拥有一个对应的PDN中的静态IP地址和Internet中的静态IP地址。参阅图7所示,安全服务器向PDN中的网元发送消息的处理过程如下步骤701 、安全服务器将上层应用发往PDN网络中的网元的消息内容封装 为TCP或UDP才艮文。步骤702、安全服务器根据接收消息的目标网元所在的PDN,从配置的外 部网络地址中选择所述PDN内的IP地址作为源地址,以所述目标网元在PDN 中的IP地址为目标地址,将所述TCP或UDP报文封装为能够在该PDN网络 中传输的IP报文。步骤703 、安全服务器对步骤702得到的IP报文进行隧道协议封装。步骤704、安全服务器将步骤703得到GTP报文封装为TCP或UDP报文。步骤705、安全服务器将步骤704得到的TCP或UDP报文封装为IP报文, 其中源IP地址为安全服务器在无线核心网内的静态IP地址,目标地址为目标 GGSN在无线核心网络中的IP地址。步骤706、安全服务器对步骤706得到的IP报文进行无线核心网的网络层 传输协议封装,然后通过发送到目标GGSN。步骤707、 GGSN接收到报文后,依次对其进行无线核心网的网络层传输 协议解封装、IP解封装和隧道协议解封装,得到可以在PDN中传送的IP报文。步骤708、 GGSN将步骤707解封装的报文发送到PDN中的目标网元。
参阅图8所示,PDN中的网元向安全服务器发送消息的处理流程如下 步骤801、 PDN中的网元根据自身和安全服务器在PDN中的IP地址,将 需要发送的内容封装为IP报文,并发送到GGSN。 步骤802、 GGSN对IP报文进行隧道协议封装。步骤803、 GGSN将步骤802得到GTP报文封装为TCP或UDP报文。步骤804、 GGSN将步骤803得到的TCP或UDP报文封装为IP报文,其 中源IP地址为GGSN在无线核心网内的静态IP地址,目标地址为安全服务器 在无线核心网络中的IP地址。步骤805、 GGSN对步骤804得到的IP报文进行无线核心网的网络层传输 协议封装,然后发送到安全服务器。步骤806、安全服务器接收到报文后,依次对其进行无线核心网的网络层 传输协议解封装、IP解封装和隧道协议解封装,得到可以在PDN中传送的IP 报文。步骤807、安全服务器从步骤806中得到的IP报文中解封装出TCP/UDP报文,然后解封装出消息内容并送到上层应用。参阅图9所示,安全服务器向移动台发送消息的处理过程如下步骤901、安全服务器将上层应用发往移动台的消息内容封装为TCP或UDP报文(移动台已注册到PDN )。步骤902、安全服务器根据接收消息的目标网元所在的PDN,从配置的外部网络地址中选择所述PDN内的IP地址作为源地址,以移动台访问的PDN中的IP地址为目标地址,将所述TCP或UDP报文封装为IP报文。步骤903、安全服务器对步骤902得到的IP报文进行隧道协议封装。 步骤904、安全服务器将步骤903得到GTP报文封装为TCP或UDP报文。 步骤905、安全服务器将步骤904得到的TCP或UDP报文封装为IP报文,其中源IP地址为安全服务器在无线核心网内的静态IP地址,目标地址为目标GGSN在无线核心网络中的IP地址。
步骤906、安全服务器对步骤706得到的IP报文进行无线核心网的网络层 传输协议封装,然后通过发送到控制接入设备。步骤907、控制接入设备接收到报文后,依次对其进行无线核心网的网络 层传输协议解封装、IP解封装和隧道协议解封装,得到IP报文。步骤卯8、接入控制设备依次按照子网汇聚协议、基站-接入设备协议对IP 报文进行封装,然后发送到基站。步骤909、基站对接收到的4艮文进行基站-接入设备协议解封装,然后,对 解封装出的报文进行无线协议封装并发送到移动台。步骤910、移动台接收到报文后,依次进行无线协议解封装、子网汇聚协 议解封装、IP解封装和TCP/UDP解封装,得到消息内容并传送给SCA。根据图9所示的流程,本领域普通技术人员应知道,从移动台发往安全服 务器的消息的处理与此同理。应当理解,上述所描述的具体实施例仅用于解释本发明,并不用于限定本 发明。本领域的普通技术人员应该知道,上述对报文封装/解封装处理可以增加 和减少,但其基本的处理过程与上述同理。如,部分应用是直接基于IP的, 则不需要TCP或者UDP协议封装/解封装处理过程。明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求 及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种在安全关联反应系统中传送消息的方法,应用于无线网络系统;其特征在于,包括如下步骤无线核心网络中的安全服务器以本安全服务器在接收消息的目标对象所关联的其他网络中的IP地址为源地址,将发往所述目标对象的消息封装为第一报文;安全服务器将所述第一报文封装为能够在无线核心网络中传输的第二报文,并将该第二报文发往无线核心网络的边界网元;所述边界网元从所述第二报文中解封装出第一报文,并将该第一报文发往所述目标网元。
2、 如权利要求1所述的方法,其特征在于,该方法还包括步骤 无线核心网络的边界网元将从所述目标对象发往所述安全服务器的第一报文封装为能够在所述无线核心网络中传输的第二报文;所述边界网元将所述第二报文发往所述安全服务器;所述安全服务器从所述第二报文中解封装出第 一报文,以及从该第 一报文 中解封装出消息内容。
3、 如权利要求2所述的方法,其特征在于,所述安全服务器在封装第一 报文时至少进行隧道协议封装,并且在解封装第二报文时至少进行隧道协议解 封装;所述边界网元在解封装第二报文时至少进行相应的隧道协议解封装,并 且在封装第一《^艮文时至少进行隧道协议封装。
4、 如权利要求l、 2或3所述的方法,其特征在于,所述无线核心网络中 的每个安全服务器对应一个其他网络,并配置一个在该其他网络中为所述安全 服务器分配的IP地址;或者,所述无线核心网络中的每个安全服务器对应多 个所述其他网络,并配置在每个所述其他网络中为该安全服务器分配的IP地 址。
5、 一种在安全关联反应系统中传送消息的方法,应用于无线网络;其特 征在于,包括如下步骤无线核心网络的边界网元将关联到其他网络的对象发往安全服务器的第 一报文封装为能够在所述无线核心网络中传输的第二报文;所述边界网元将所述第二报文发往所述安全服务器;所述安全服务器从所述第二报文中解封装出第 一报文,并从该第 一报文中 解封装出消息内容。
6、 如权利要求5所述的方法,其特征在于,所述边界网元至少对所述第 一报文进行隧道协议封装;所述安全服务器至少对所述第二报文进行相应的隧 道协议解封装。
7、 如权利要求5或6所述的方法,其特征在于,所述无线核心网络中的 每个安全服务器对应一个其他网络,并配置一个在该其他网络中为所述安全服 务器分配的IP地址;或者,所述无线核心网络中的每个安全服务器对应多个 所述其他网络,并配置在每个所述其他网络中为该安全服务器分配的IP地址。
8、 一种应用于无线核心网络中的安全服务器,其特征在于,包括 第一封装/解封装模块,用于以本安全服务器在接收消息的目标对象所关联的其他网络中的IP地址为源地址,将发往所述目标对象的消息封装为第一报 文,以及从接收到的第一报文中解封装出消息内容;第二封装/解封装模块,用于将所述第一报文封装为能够在无线核心网络中 传输的第二报文,以及从接收到的第二报文中解封装出第 一报文。
9、 如权利要求8所述的安全服务器,其特征在于,所述第一封装/解封装 模块包括用于根据所述外部网络标识从多个外部网络分配的IP地址中选择对应的 IP地址的模块。
10、 如权利要求8或9所述的安全服务器,其特征在于,所述第二封装/ 解封装模块中包括 用于对报文进行隧道协议封装或解封装的模块。
11、 一种无线核心网络,包括接入控制设备,用于控制所述移动台接入和访问网络;边界网元,用于将接入无线核心网络的移动台接入到外部网络;其特征在于,还包括安全服务器SCS,分别连接到所述接入控制设备和所述边界网元,并具有 在所述外部网络中使用的IP地址,用于向所述接入控制设备下发控制移动台自
12、如权利要求11所述的无线核心网络,其特征在于,所述无线核心网 络中仅设置一套安全服务器,该一套安全服务包括一个安全服务器或包括多个 相同的安全服务器,其中每个安全服务器分别连接到多个边界网元;或者,所 述无线核心网络中设置多套安全服务器, 一套安全J3良务包括一个安全服务器或 包括多个相同的安全服务器, 一个安全服务器仅连接到一个边界网元或仅连接 到两个边界网元。
全文摘要
本发明公开了一种在安全关联反应系统中传送消息的方法,该方法为,无线核心网络中的安全服务器以自身在接收消息的目标对象所关联的其他网络中的IP地址为源地址,并以本服务器在该网络中的IP地址为源地址,将发往所述目标网元的消息封装为第一报文;安全服务器将所述第一报文封装为能够在无线核心网络中传输的第二报文,并将该第二报文发往无线核心网络的边界网元;所述边界网元从所述第二报文中解封装出第一报文,并将该第一报文发往所述目标网元。本发明同时公开了一种通信系统。
文档编号H04L12/02GK101127593SQ20061011216
公开日2008年2月20日 申请日期2006年8月15日 优先权日2006年8月15日
发明者位继伟, 姬长锋, 科 贾 申请人:华为技术有限公司