CN100499548C - 一种无线局域网中隧道建立方法及系统 - Google Patents

一种无线局域网中隧道建立方法及系统 Download PDF

Info

Publication number
CN100499548C
CN100499548C CNB2006100016518A CN200610001651A CN100499548C CN 100499548 C CN100499548 C CN 100499548C CN B2006100016518 A CNB2006100016518 A CN B2006100016518A CN 200610001651 A CN200610001651 A CN 200610001651A CN 100499548 C CN100499548 C CN 100499548C
Authority
CN
China
Prior art keywords
tunnel
wlan terminal
wlan
ike
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CNB2006100016518A
Other languages
English (en)
Other versions
CN1901486A (zh
Inventor
张鹏
张文林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2006100016518A priority Critical patent/CN100499548C/zh
Priority to PCT/CN2007/000195 priority patent/WO2007082479A1/zh
Priority to CNA2007800002274A priority patent/CN101313529A/zh
Publication of CN1901486A publication Critical patent/CN1901486A/zh
Priority to US12/176,077 priority patent/US8102828B2/en
Application granted granted Critical
Publication of CN100499548C publication Critical patent/CN100499548C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种无线局域网中隧道建立方法及系统。该方法包括:A、无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;B、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;C、为所述无线局域网终端建立隧道;D、拒绝为所述无线局域网终端建立隧道。本发明通过在无线局域网终端隧道建立过程中,判断各IKE SA中所建隧道数量是否达到对应的阈值而决定是否为所述的无线局域网终端建立隧道,可以有效的控制建立隧道的合理性和有效性。

Description

一种无线局域网中隧道建立方法及系统
技术领域
本发明涉及通信领域,尤其涉及一种无线局域网中隧道建立方法及系统。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP,Internet Protocol)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP,Access Point)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入网关(WAG,WLAN Access Gateway)与3GPP归属网络中的分组数据网关(PDG,Packet Data Gateway)等等。互通系统结构图如图1,2,3所示。其中图1是非漫游情况互通系统结构示意图,图2为漫游情况互通系统结构示意图,图3是另一个漫游情况互通系统结构示意图。
分组数据网关在互通系统其中起着重要的作用,是WLAN UE和外部网络数据交互的关口,对用户数据起控制和管理的作用,同时还要产生计费信息。WLAN UE和PDG之间的通信,是采用基于IPsec的隧道。WLAN UE和PDG之间的隧道实际上是一种双层逻辑关系,WLAN UE和PDG之间用于隧道建立和加密的信息是通过因特网密钥交换(IKEv2)协议建立的因特网密钥交换安全联盟(IKE SA)保证的,在每个IKE SA内,可以建立一个或多个IP安全协议-安全联盟(IPsec SA),每个IPsec SA就是一条隧道(Tunnel),IKE SA和IPsec SA的关系,可以用图4所示内容简单表示。
为了控制用户建立的隧道数量,目前的规范中定义了两个参数:一个是Max number of IPsec SA(I-WLAN tunnels)per IKE,由运营商配置在PDG上,限定了每个IKE SA中最多可以建立几条隧道;另一个是per user count,用来计算当前用户总共建立的隧道数。
上述方案是通过比较Max number of IPsec SA(I-WLAN tunnels)per IKE参数和per user count来决定是否允许用户建立更多的隧道,例如,per user count大于Max number of IPsec SA(I-WLAN tunnels)perIKE参数,则不允许用户建立更多的隧道,否则就可以。但问题在于,Max number of IPsec SA(I-WLANtunnels)per IKE参数和per user count不是同一个层面的参数,例如,在图5中,PDG上配置的Max number of IPsec SA(I-WLAN tunnels)per IKE参数为3,意味着,每个IKE SA中最多可以建立3条隧道。如图5,WLAN UE和PDG之间建立了两个IKE SA,其中每个IKE SA中又建立了两个隧道(IPsec SA),此时,per user count就为4,大于Max number of IPsec SA(I-WLAN tunnels)perIKE,如果此时用户需要建立更多一条隧道,就会被拒绝,因为4>3,但是实际上,每个IKE SA中的隧道数量为2,小于3,不应该被禁止,因此,只设置一个per user count是不够的。
发明内容
本发明提供一种无线局域网中隧道建立方法及系统,用以解决现有技术中存在无线局域网终端建立隧道方案不完善,无法有效控制建立隧道的问题。
本发明方法包括:
一种无线局域网中隧道建立方法,包括:
A、接收无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起的隧道建立请求;
B、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;
C、为所述无线局域网终端建立隧道;
D、拒绝为所述无线局域网终端建立隧道。
所述步骤B中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
所述步骤C,进一步包括:
C1、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤D。
所述步骤C1中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
一种无线局域网中隧道建立方法,包括:
a、接收无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起的隧道建立请求;
b、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,进入步骤c,如果是进入步骤d;
c、为所述无线局域网终端建立隧道;
d、拒绝为所述无线局域网终端建立隧道。
所述步骤b中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
所述步骤c,进一步包括:
c1、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤d。
所述步骤c1中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
本发明系统包括:
一种无线局域网中隧道建立系统,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,
所述隧道建立单元设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第一阈值存储单元以获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到第一阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元还设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第二阈值存储单元获取第二阈值,根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
一种无线局域网中隧道建立系统,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,
所述的隧道建立单元设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第二阈值存储单元获取第二阈值,并根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
所述隧道建立单元还设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第一阈值存储单元获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
本发明有益效果如下:
本发明通过无线局域网中隧道建立方法和系统,可以在无线局域网终端隧道建立过程中,判断各IKE SA中所建隧道数量是否达到对应的第一阈值,和/或判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,而决定是否为所述的无线局域网终端建立隧道,可以有效的控制建立隧道的合理性和有效性。
附图说明
图1为现有技术中非漫游情况互通系统结构示意图;
图2为现有技术中漫游情况互通系统结构示意图;
图3是现有技术中另一个漫游情况互通系统结构示意图;
图4为现有技术中IKE SA和IPsecSA关系示意图;
图5为现有技术中另一个IKE SA和IPsecSA关系示意图;
图6为本发明具体实施方式1的流程示意图;
图7为本发明具体实施方式1的系统结构示意图;
图8为本发明具体实施方式2的流程示意图;
图9为本发明具体实施方式2的系统结构示意图;
图10为本发明具体实施方式3的流程示意图;
图11为本发明具体实施方式3的系统结构示意图。
具体实施方式
下面结合说明书附图来说明本发明的具体实施方式。
本发明中,为WLAN UE分配隧道的隧道建立单元可以是PDG,或3GPPAAA Server,或者其他具有相同功能的网元,在下述方案中可以等效替换,不影响本发明方案的实现。
具体实施方式1:
在PDG中预设IKE SA的建立隧道数量阈值,在WLAN UE发起隧道建立时,根据该IKE SA中已经建立隧道数量是否达到该设定的阈值来决定是否为该WLAN UE分配隧道,如图6所示,具体包括以下步骤:
S11、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S12、PDG判断该IKE SA中所建隧道数量是否达到对应预设IKE SA建立隧道数量阈值,如果否,进入步骤S3,如果是进入步骤S4;
S13、PDG为所述WLAN UE建立隧道。
PDG向WLAN UE发送隧道建立应答,该隧道建立应答接受WLAN UE的隧道建立请求,并针对该IKE的隧道计数器加1。
S14、拒绝为所述WLAN UE建立隧道。
该步骤中,IKE SA中所建隧道数量可以通过设置的第一计数器计数得出。
该流程中,该IKE SA中已经建立隧道数量如果小于预设IKE SA建立隧道数量阈值,则说明该IKE SA还可以继续建立隧道,如果该IKE SA中已经建立隧道数量等于预设IKE SA建立隧道数量阈值,说明该IKE SA建立隧道数量已经饱和,不能再建立新的隧道了。
具体实施方式1中,该PDG判断该IKE SA中已经建立的隧道数量是否达到预设IKE SA建立隧道数量阈值,根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图7所示,是针对该方案的系统结构示意图,从图中可见,该系统包括:
WLAN UE 100,为所述WLAN UE 100提供接入的WLAN AN 200和为所述WLAN UE 100建立隧道的PDG 300。
该系统在PDG 300设置有第一阈值存储单元301,用于存储对应IKE SA中所建隧道数量的阈值,当WLAN UE100在一个已建立的IKE SA中发起隧道建立请求时,PDG301查询所述第一阈值存储单元301以获取该阈值,并根据该IKE SA中所建隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该PDG300还可以设置第一计数器302,用于统计各IKE SA中所建隧道数量。
具体实施方式2:
在3GPP AAA Server中预设当前用户建立隧道数量阈值,在WLAN UE发起隧道建立时,根据当前用户已经建立隧道数量是否达到该设定的阈值来决定是否为该WLAN UE分配隧道,如图8所示,具体包括以下步骤:
S21、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S22、3GPP AAA Server判断当前用户已经建立隧道数量是否达到对应阈值,如果否,进入步骤S23,如果是进入步骤S24;
该步骤中,当前用户已经建立隧道数量可以通过设置的第二计数器计数得出。
S23、3GPP AAA Server为所述WLAN UE建立隧道。
3GPPAAA Server向WLAN UE(可能通过PDG转发)发送隧道建立应答,该隧道建立应答接收WLAN UE的隧道建立请求,并针对该当前用户已经建立隧道计数器加1。
S24、拒绝为所述WLAN UE建立隧道。
具体实施方式2中,该3GPP AAA Server判断当前用户已经建立隧道数量是否达到对应阈值,根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图9所示,是针对该方案的系统结构示意图,从图中可见,该系统包括:
WLAN UE100,为所述WLAN UE 100提供接入的WLAN AN200和为所述WLAN UE100建立隧道的3GPP AAA Server 400,
该系统在3GPP AAA Server 400设置有第二阈值存储单元401,用于存储当前用户建立隧道数量阈值,当WLAN UE100发起隧道建立请求时,3GPPAAA Server 400查询所述第二阈值存储单元401以获取该阈值,并根据当前用户建立隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该3GPP AAA Server 400还可以设置第二计数器402,用于统计当前用户建立隧道数量。
具体实施方式3:
在PDG中预设IKE SA的建立隧道数量阈值以及当前用户建立隧道数量阈值,在WLAN UE发起隧道建立时,根据各个IKE SA中已经建立隧道数量是否达到该设定的阈值以及当前用户建立隧道数量是否达到阈值来决定是否为该WLAN UE分配隧道,如图10所示,具体包括以下步骤:
S31、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S32、PDG判断该IKE SA中所建隧道数量是否达到对应预设IKE SA建立隧道数量阈值,如果否,进入步骤S33,如果是进入步骤S35;
S33、PDG判断当前用户已经建立隧道数量是否达到对应阈值,如果否,进入步骤S34,如果是进入步骤S35;
S34、PDG为所述WLAN UE建立隧道。
PDG向WLAN UE发送隧道建立应答,该隧道建立应答接收WLAN UE的隧道建立请求,并针对该IKE的隧道计数器加1。
S35、拒绝为所述WLAN UE建立隧道。
具体实施方式3中,该PDG判断该IKE SA中已经建立的隧道数量是否达到预设IKE SA建立隧道数量阈值,以及判断当前用户已经建立隧道数量是达到于对应阈值,并根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图11所示,是针对该方案的系统结构示意图,从图中可见,该系统包括:
WLAN UE100,为所述WLAN UE 100提供接入的WLAN AN200和为所述WLAN UE100建立隧道的PDG300,
该系统在PDG300设置有:
第一阈值存储单元301,用于存储对应IKE SA中所建隧道数量的阈值,当WLAN UE100发起隧道建立请求时,PDG301查询所述第一阈值存储单元301以获取该阈值,并根据该IKE SA中所建隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该系统在PDG300设置有第二阈值存储单元303,用于存储当前用户建立隧道数量阈值,当WLAN UE100发起隧道建立请求时,PDG300查询所述第二阈值存储单元303以获取该阈值,并根据当前用户建立隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该PDG300还可以设置:
第一计数器302,用于统计IKE SA中所建隧道数量;
第二计数器304,用于统计当前用户建立隧道数量。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1、一种无线局域网中隧道建立方法,其特征在于,包括:
A、接收无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起的隧道建立请求;
B、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;
C、为所述无线局域网终端建立隧道;
D、拒绝为所述无线局域网终端建立隧道。
2、如权利要求1所述的方法,其特征在于,所述步骤B中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
3、如权利要求1所述的方法,其特征在于,所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
4、如权利要求1所述的方法,其特征在于,所述步骤C,进一步包括:
C1、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤D。
5、如权利要求4所述的方法,其特征在于,所述步骤C1中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
6、一种无线局域网中隧道建立方法,其特征在于,包括:
a、接收无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起的隧道建立请求;
b、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,进入步骤c,如果是进入步骤d;
c、为所述无线局域网终端建立隧道;
d、拒绝为所述无线局域网终端建立隧道。
7、如权利要求6所述的方法,其特征在于,所述步骤b中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
8、如权利要求6所述的方法,其特征在于,所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
9、如权利要求6所述的方法,其特征在于,所述步骤c,进一步包括:
c1、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤d。
10、如权利要求9所述的方法,其特征在于,所述步骤c1中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
11、一种无线局域网中隧道建立系统,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,其特征在于:
所述隧道建立单元设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第一阈值存储单元以获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到第一阈值,决定是否为所述无线局域网终端建立隧道。
12、如权利要求11所述的系统,其特征在于,所述的隧道建立单元还设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第二阈值存储单元获取第二阈值,根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
13、如权利要求11或12所述的系统,其特征在于,所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKESA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
14、如权利要求11所述的系统,其特征在于,所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
15、一种无线局域网中隧道建立系统,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,其特征在于:
所述的隧道建立单元设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第二阈值存储单元获取第二阈值,并根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
16、如权利要求15所述的系统,其特征在于,所述隧道建立单元还设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第一阈值存储单元获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,决定是否为所述无线局域网终端建立隧道。
17、如权利要求15或16所述的系统,其特征在于,所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
18、如权利要求15所述的系统,其特征在于,所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
CNB2006100016518A 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及系统 Active CN100499548C (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CNB2006100016518A CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及系统
PCT/CN2007/000195 WO2007082479A1 (fr) 2006-01-20 2007-01-18 Procédé et système destinés à établir un tunnel dans un wlan
CNA2007800002274A CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及系统
US12/176,077 US8102828B2 (en) 2006-01-20 2008-07-18 Method and system for establishing tunnel in WLAN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2006100016518A CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及系统

Publications (2)

Publication Number Publication Date
CN1901486A CN1901486A (zh) 2007-01-24
CN100499548C true CN100499548C (zh) 2009-06-10

Family

ID=37657234

Family Applications (2)

Application Number Title Priority Date Filing Date
CNB2006100016518A Active CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及系统
CNA2007800002274A Pending CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CNA2007800002274A Pending CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及系统

Country Status (3)

Country Link
US (1) US8102828B2 (zh)
CN (2) CN100499548C (zh)
WO (1) WO2007082479A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355419B (zh) * 2008-08-22 2011-01-05 成都市华为赛门铁克科技有限公司 一种网络攻击防范方法和装置
CN101600203B (zh) * 2009-06-30 2011-05-25 中兴通讯股份有限公司 一种安全服务的控制方法及无线局域网终端
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
JP5321707B2 (ja) * 2011-05-11 2013-10-23 横河電機株式会社 通信システム
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
CN104079558B (zh) * 2014-05-22 2018-02-13 汉柏科技有限公司 一种防止DoS攻击的方法及防火墙
US11102100B2 (en) * 2019-11-19 2021-08-24 Vmware, Inc. Optimized and scalable method of detecting dead internet key exchange (IKE) peers
CN114024708A (zh) * 2021-09-23 2022-02-08 广东电力信息科技有限公司 一种基于入侵检测技术的网络边界防护方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6622019B1 (en) * 1999-11-17 2003-09-16 Eci Telecom, Ltd. Increasing channel capacity in fixed cellular networks
WO2005008997A1 (en) * 2003-07-03 2005-01-27 Sinett Corporation Hardware acceleration for unified ipsec and l2tp with ipsec processing in a device that integrates wired and wireless lan, l2 and l3 switching functionality
CN1323526C (zh) * 2003-10-29 2007-06-27 华为技术有限公司 无线局域网中业务连接建立的方法
CN1265607C (zh) * 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
KR100918440B1 (ko) * 2004-11-12 2009-09-24 삼성전자주식회사 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치
US7979901B2 (en) * 2005-12-30 2011-07-12 Nokia Corporation Controlling the number of internet protocol security (IPsec) security associations

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
. RFC2401:Security Architecture for the Internet Protocol. 1998
. RFC2401:Security Architecture for the Internet Protocol. 1998 *

Also Published As

Publication number Publication date
US20080298312A1 (en) 2008-12-04
WO2007082479A1 (fr) 2007-07-26
CN101313529A (zh) 2008-11-26
CN1901486A (zh) 2007-01-24
US8102828B2 (en) 2012-01-24

Similar Documents

Publication Publication Date Title
CN100499548C (zh) 一种无线局域网中隧道建立方法及系统
Ala-Laurila et al. Wireless LAN access network architecture for mobile operators
CN1327663C (zh) 用户接入无线通信网络的方法和无线网络接入控制装置
CN101141822B (zh) 一种无线网络的网关选择方法
EP1699166A1 (en) A method for establishment of the service tunnel in wlan
CN101227494B (zh) 接入多分组数据网时因特网安全协议安全联盟的建立方法
JP2010104029A (ja) Wlanタイトカップリング解決法
US20060187892A1 (en) Interactive method for determining network selection information for a user terminal in a wireless local area network
CN101472263B (zh) 一种网络连接方式的决定方法
CN101990274A (zh) 通过无线局域网接入网络实现接入的方法及系统
US20080200147A1 (en) Authentication of Mobile Communication Networks
CN102223634A (zh) 一种用户终端接入互联网方式的控制方法及装置
CN102204306A (zh) Mtc终端通过网关与网络通信的方法、设备及系统
WO2005069533A1 (fr) Procede d'acquisition d'identification utilisateur permanente par passerelle de donnees par paquets (pdg) d'un reseau local (wlan)
US20230275883A1 (en) Parameter exchange during emergency access using extensible authentication protocol messaging
CN101459952B (zh) 分组数据系统及其p-gw获取无线接入技术类型的方法
CN100479441C (zh) 无线局域网中无线局域网接入网关策略更新方法
CN103686656A (zh) 一种基于wlan网络标识的策略和计费控制方法及系统
Tseng GPRS/UMTS-aided authentication protocol for wireless LANs
EP1977559A1 (en) Communication network access
KR100638590B1 (ko) 휴대 인터넷 시스템에서의 단말 인증 방법
CN103687049A (zh) 多连接建立的方法及系统
CN102625308A (zh) 一种基于lte-lan实现双向认证的方法、装置及系统
EP1659740B1 (en) WLAN tight coupling solution
EP1438869B1 (en) Roaming arrangement

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant