CN101119289A - 一种数据包分类方法及其系统 - Google Patents
一种数据包分类方法及其系统 Download PDFInfo
- Publication number
- CN101119289A CN101119289A CNA2006101038622A CN200610103862A CN101119289A CN 101119289 A CN101119289 A CN 101119289A CN A2006101038622 A CNA2006101038622 A CN A2006101038622A CN 200610103862 A CN200610103862 A CN 200610103862A CN 101119289 A CN101119289 A CN 101119289A
- Authority
- CN
- China
- Prior art keywords
- node
- packet
- encryption
- sorting parameter
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据包分类方法,该方法包括:加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;分类节点根据所述分类参数对该加密后IP数据包进行分类。本发明还提供了一种用于数据包分类的系统。通过本发明的实施,分类节点收到加密后IP数据包后,可以直接读取非加密部分的分类参数,从而可以根据分类参数对该数据包进行分类。本发明还提供了多种获取分类参数的方法,提高了分类的灵活性。
Description
技术领域
本发明涉及IP数据包分类技术领域,特别是一种数据包分类方法以及一种用于数据分类的系统。
背景技术
全球接入微波互操作性(Worldwide Interoperability for MicrowaveAccess,WiMAX)是一种基于电气与电子工程师协会(IEEE)802.1 6标准的无线城域网技术。图1是WiMAX网络架构体系图。参照图1,WiMAX网络主要由三个部分组成:终端;接入业务网(ASN),包括基站(BS)和接入业务网网关(ASN-GW);连接业务网(CSN),包括策略服务器(PF)、认证、授权和计费服务器(AAA Server)、应用服务器(AF)等逻辑实体。WiMAX网络无线侧是基于IEEE 802.16d/e标准的无线城域网接入技术。图1中的R1、R2、R3等表示参考点(reference point),也就是接口。
在WiMAX系统中,ASN是为终端提供无线接入服务的网络功能集合,包括网元BS和ASN-GW。CSN为终端提供IP连接服务。终端为移动用户设备,用户使用该终端接入WiMAX网络。
在WiMAX网络中,分类器用于将网络承载的各种业务分类到承载网络的具体业务流中。上行业务的分类器在终端上实现,下行业务分类器在BS或ASN-GW上实现。业务流是WiMAX承载网络服务质量(QoS)保证的最小操作对象,不同的业务流可以有不同的QoS保证,分类器可以根据上层业务不同的QoS要求,将其分配到相应的业务流中。分类器由一系列分类规则组成,具体分类参数见IEEE相关标准。如果承载的是IP业务,主要的分类参数之一就是IP地址。例如,对于IPv4数据包,根据源/目的IP地址、协议类型、源/目的传输控制协议/用户数据协议(TCP/UDP)端口号就可将特定IP包分类到某个具体业务流。
在移动IPv6协议(MIPv6)应用到WiMAX中后,终端和位于CSN的家乡代理(HA)之间通过隧道方式传输数据。但由于无线网络中,为了更好的利用空口资源,需要把不同QoS的数据分类到不同的数据通道中传输,对应到WiMAX网络就是要把IP数据包分类到不同的业务流中传输。
现有IEEE标准虽然定义了一系列的分类器规则,但在MIPv6应用到WiMAX网络后,有一种情况将无法处理。当终端与HA之间的数据采用IP安全/封装安全负荷(IPSec/ESP)加密的时候,由于终端与HA之间的数据包采用隧道模式,因此HA在加密的时候,把其收到的整个IP包都加密保护起来,并在加密的包前面加入隧道IP头,因此,如果分类器要依赖后面IP包中的信息区分不同的业务流就无法实现,因为这个包只能在终端或HA上才能解开,而分类器却需要在这两个实体传输路径之间的ASN-GW、接入路由器(AR)或BS等分类节点上对数据包进行分类。
发明内容
有鉴于此,本发明提出了一种数据包分类方法,用以实现对加密后数据包的进行分类。本发明的另一个目的在于提出一种用于数据包分类的系统。
根据上述目的,本发明提供了一种数据包分类方法,该方法包括:
加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;
分类节点根据所述分类参数对该加密后IP数据包进行分类。
所述分类参数包括:源地址、目的地址、上层协议、目的端口、源端口、传输类、流标签、安全参数索引(SPI)其中之一或者它们的任意组合。
所述非加密部分包括:隧道IP头、隧道IP扩展头、封装安全负荷(ESP)报头其中之一或者它们的任意组合。
该方法进一步包括:加密节点从加密前IP数据包中提取分类参数。
所述在加密后IP数据包的非加密部分添加分类参数的步骤包括:将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。
所述在加密后IP数据包的非加密部分添加分类参数的步骤包括:查询到所述分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。
该方法进一步包括:加密节点和解密节点通过交互为不同业务流分配不同的分类参数;加密节点和/或解密节点向分类节点通知所述业务流及对应的分类参数。
该方法进一步包括:加密节点和解密节点交换分类器信息。
该方法进一步包括:加密节点和分类节点通过交互为不同的业务流分配不同的分类参数。
在上述方案中,所述分类参数包括流标签。
该方法进一步包括:在加密节点为不同业务流配置不同的分类参数;加密节点在加密后IP数据包中添加为该数据包所属的业务流配置的分类参数。
该方法进一步包括:分类节点删除加密后IP数据包中部分或全部分类参数。
本发明还提供了一种用于数据包分类的系统,该系统包括:
加密节点,用于在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;
包括分类器的分类节点,所述分类器用于根据所述分类参数对该加密后IP数据包进行分类。
所述加密节点进一步包括:提取单元和/或查询单元。其中,提取单元,用于从加密前IP数据包中提取分类参数;查询单元,用于获取分类参数中与加密后IP数据包的隧道IP报头不重合的内容作为要添加的分类参数。
所述分类节点进一步包括:删除单元,用于删除加密后IP数据包中部分或全部分类参数。
所述加密节点进一步包括第一交互单元,所述分类节点进一步包括第二交互单元;所述第一交互单元和第二交互单元用于通过交互为不同业务流分配不同的分类参数。
所述加密节点进一步包括第一配置单元,所述分类节点进一步包括第二配置单元;所述第一配置单元和第二配置单元用于为不同业务流配置不同的分类参数。
所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或网关。
所述加密节点进一步包括第一交互单元;该系统进一步包括解密节点,该解密节点包括第三交互单元;所述第一交互单元和第三交互单元用于通过交互为不同业务流分配不同的分类参数,并向分类节点通知所述业务流及对应的分类参数。
所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或接入业务网网关或接入路由器AR;所述解密节点为WiMAX系统中的终端。
从上述方案中可以看出,由于本发明中加密节点在加密后IP数据包的非加密部分添加了用于分类的分类参数,当分类节点收到该数据包后,分类器可以直接读取非加密部分的分类参数,从而可以根据分类参数对该数据包进行分类。通过本发明的实施,即使加密后IP数据包只能在解密节点被解密,但是分类节点无需对数据包进行解密,即可获取分类参数,并根据分类参数进行分类。本发明提供了多种获取分类参数的方法,例如:从加密前IP数据包中提取分类参数,加密节点和分类节点或解密节点通过交互分配分了参数,直接配置分类参数等,提高了分类的灵活性。
附图说明
图1为WiMAX网络架构示意图;
图2为本发明第一实施例的流程示意图;
图3为本发明第二实施例的流程示意图;
图4为本发明第三实施例的流程示意图;
图5为本发明第四实施例的流程示意图;
图6为本发明第一实施例的系统结构示意图;
图7为本发明第二实施例和第三实施例的系统结构示意图;
图8为本发明第四实施例的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。
本发明的核心思想是,加密节点在加密后IP数据包的非加密部分添加分类参数,后续的加密后IP数据包都将携带分类参数,分类节点则根据所述分类参数对该加密后IP数据包进行分类。
下面首先说明采用隧道模式传输时加密前IP数据包和加密后IP数据包的结构。参见表1,加密前IP数据包包括:隧道IP报头、隧道IP扩展头、原IP报头、原IP扩展头、上层协议头以及数据。
表1
隧道IP报头 | 隧道IP扩展头 | 原IP报头 | 原IP扩展头 | 上层协议报头 | 数据 |
表2
隧道IP报头 | 隧道IP扩展头 | ESP报头 | 加密数据 | ESP AUTH |
参见表2,当对IP数据包进行加密传输时,例如采用IPSec/ESP加密时,加密后IP数据包包括:隧道IP报头、隧道IP扩展头、ESP报头、加密数据、ESP认证(ESP AUTH)。其中,加密部分包括加密数据,非加密部分包括隧道IP报头、隧道IP扩展头、ESP报头等。加密数据是对加密前IP数据包中原IP报头、原IP扩展头、上层协议头以及数据部分进行加密形成的;隧道IP报头中除了目的地址和源地址必须按实际情况构建外,其它的字段内容可以根据情况由加密节点构建或拷贝原IP报头的相应字段内容;隧道IP扩展头是由加密节点自己构建的,通常不能拷贝加密前IP数据包中的原IP扩展头。通过表1和表2所示的结构可以看出,如果加密节点和解密节点之间的分类节点需要通过加密前IP数据包中的信息进行分类,那么由于所用的信息被加密,因此分类节点上的分类器无法直接根据现有的加密后IP数据包完成分类。
本发明实施例中所述的分类参数如表3所示,但不局限于此。分类节点可以根据这些参数中的任意一个或者它们的任意组合来进行分类。
表3
类型 | 包过滤属性 | 大小(比特) |
1 | 源地址(Source Address) | 128 |
2 | 目的地址(Destination Address) | 128 |
3 | 上层协议(Upper Layer Protocol) | 8 |
4 | 目的端口(Destination Port) | 16 |
5 | 源端口(Source Port) | 16 |
6 | 传输类(Traffic Class) | 8 |
7 | 流标签(Flow Label) | 20 |
8 | 安全参数索引(SPI) | 8 |
第一实施例:
参照图2,本发明第一实施例的流程如下:
步骤101至步骤102,加密节点在对IP数据包加密之前将可能用于分类的分类信息提取出来,并将这些分类参数添加到加密后IP数据包的非加密部分。
这里以非加密部分为隧道IP扩展头为例进行说明。本实施例的隧道IP扩展头可以定义如下:名称为过滤器头(Filter Header);类型(Type)可以待定;结构可以如表4所示。参照表4,新隧道IP扩展头的前8比特为下一个头(Next Header)字段,表示Filter Header的开始;第二个8比特为扩展头长度(Hdr Ext Len)字段,表示Filter Header的长度;后面的比特为选项(Options)部分,用来表示具体的分类参数。其中,Next Header和Hdr ExtLen字段的定义可以与通常IPv6扩展头的定义相同,这里不再赘述。Options部分的形式可以如表5所示,按照Filter类型、Filter数值的顺序排列,其中Filter类型为表3中的类型,Filter数值为表3中包过滤器属性的值,例如分类参数为目的端口时,Filter类型为4,Filter数值为8E。另外,当扩展头的总长度不满足8字节的整数倍时,可以在最后采用填充位进行填充,使其达到8字节的整数倍。
表4
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 ...
Next Header | Hdr Ext Len | Options |
表5
Filter类型 | Filter数值 | Filter类型 | Filter数值 | ... |
以上所述的隧道IP扩展头只是作为本发明实施例的示例,本发明显然并不局限于此。
进一步,如果加密节点预先了解分类节点需要哪些分类信息对数据包进行分类传输,加密节点可以选择这些分类信息添加到加密后IP数据包的隧道IP扩展头中;如果加密节点不知道分类节点需要哪些信息对数据包进行分类传输,加密节点可以将表3中的全部分类信息都添加到加密后IP数据包的隧道IP扩展头中。
除了在隧道IP扩展头中添加分类参数外,还可以在ESP报头中添加诸如SPI等分类参数。
步骤103,加密节点将添加了分类参数的加密后IP数据包发送给分类节点中的分类器。
步骤104,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的分类参数进行分类,将其分配到相应的业务流中,从而通过相应的数据通道传输给解密节点。
进一步,如果分类节点知道后续节点不再需要Filter Header中部分或全部分类参数,则可以删除所述不需要的部分或全部分类参数。
步骤105,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。解密节点如果收到带有Filter Header扩展头的数据包时,可以忽略这个隧道IP扩展头,而不做任何处理。
另外,由于在隧道IP报头中也存在Traffic Class和Flow Label这两个字段,如果隧道IP报头中的这两个字段与原IP报头一致的话,在扩展头中就可以不用携带它们。因此,在步骤101之前还可以进一步包括查询到分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则在步骤101中将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,在步骤101之前进一步包括查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则在步骤101中将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。相应地,在步骤104中,分类节点根据隧道IP报头和隧道IP扩展头中的分类参数进行分类。
本实施例的上述方法可以通过如图6所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并发送该加密后IP数据包;分类节点包括分类器,该分类器根据所述分类参数对该加密后IP数据包进行分类,并将分类后的数据包发送给解密节点;解密节点则解密并处理所收到的加密后IP数据包。如图6所示,加密节点进一步可以包括提取单元和/或查询单元。其中,提取单元用于从加密前IP数据包中提取分类参数;查询单元用于获取分类参数中与加密后IP数据包的隧道IP报头中不重合的内容,以便填写到加密后IP数据包的隧道IP扩展头部分。分类节点还可以进一步删除单元,该删除单元用于删除加密后IP数据包中部分或全部分类参数。
本实施例的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。
第二实施例:
在第二实施例中,加密节点预先通过与解密节点或分类节点的交互为不同业务流分配不同的分类参数。简便起见,本实施例以分配流标签(FlowLabel)为例进行说明。首先简单介绍一下Flow Label,在IPv6的基本报头中有一个Flow Label域,用于唯一标识从源地址到目的地址的一个业务流,这个值由一般由源进行分配,也就是在加密节点进行分配。
步骤201,加密节点和解密节点通过交互,交换分类节点的加密前的分类器信息,为不同业务流分配不同的Flow Label。这个过程可以是在加密节点和解密节点生成安全联盟(SA)时进行,也可以是在其它时候进行。
这里假设解密节点已经获知分类节点的加密前的分类器信息,例如解密节点通过与分类节点交互获取分类器信息。
步骤202,加密节点将加密前的业务流分类器信息及对应的Flow Label通知给分类节点。由于解密节点也拥有加密前的业务流分类器信息及对应的Flow Label,在本步骤中,也可以由解密节点将加密前的业务流分类器信息及对应的Flow Label通知给分类节点。
步骤203,加密节点在加密后IP数据包的隧道IP扩展头中添加与该数据包所属业务流对应的步骤201中新分配的Flow Label。这样,加密节点就不必从加密前IP数据包中提取原始的Flow Label。
步骤204,加密节点将添加了步骤201中新分配的Flow Label的加密后IP数据包发送出去。
步骤205,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的Flow Label以及其它分类参数进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。
步骤206,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。
第三实施例:
与第二实施例不同的是,在第三实施例中,加密节点和分类节点直接通过交互为不同业务流分配不同的Flow Label。参见图4,第三实施例包括以下步骤:
步骤301,加密节点和解密节点生成SA,并交换加密前的分类器信息。
步骤302,加密节点和分类节点通过交互为不同业务流分配不同的FlowLabel。
步骤303,加密节点在加密后IP数据包的隧道IP扩展头中添加与该数据包所属业务流对应步骤302中分配的Flow Label。这样,加密节点就不必从加密前IP数据包中提取原始的Flow Label。
步骤304,加密节点将添加了步骤302中分配的Flow Label的加密后IP数据包发送出去。
步骤305,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的Flow Label以及其它分类参数进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。
步骤306,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。解密节点收到的该IP数据包后,可以忽略这个隧道IP扩展头,而不做任何处理。
本发明第二实施例和第三实施例的方法可以通过如图7所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并将其发送给分类节点;分类节点包括分类器,分类器根据所述分类参数对该加密后IP数据包进行分类,并将分类后的数据包发送给解密节点;解密节点则解密并处理所收到的加密后IP数据包。如图7所示,加密节点进一步包括第一交互单元,分类节点进一步包括第二交互单元,解密节点进一步包括第三交互单元。其中,对应于第三实施例,第一交互单元和第二交互单元通过交互为不同业务流分配不同的加密后的分类参数;对应于第二实施例,第一交互单元和第三交互单元通过交互为不同业务流分配不同的加密后的分类参数,并通知分类节点所述业务流及对应加密后的分类参数。
同样,第二实施例和第三实施例中的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。
第四实施例:
与前面的几个实施例不同,本发明的第四实施例在加密节点和分类节点直接为不同业务流配置不同的分类参数。参照图5,本发明第四实施例的包括以下步骤:
步骤401,在加密节点和分类节点为不同业务流配置不同的加密后的分类参数,例如人工配置或者自动配置。
步骤402,加密节点在加密后IP数据包的非加密部分添加与该数据包所属业务流对应的加密后的分类参数。
步骤403,加密节点将添加了加密后的分类参数的加密后IP数据包发送出去。
步骤404,分类节点收到来自加密节点的上述IP数据包,根据非加密部分的分类参数以及与其对应的业务流信息进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。
步骤405,分类节点将分类后的加密后IP数据包通过对应的数据通道发送给解密节点。解密节点收到该IP数据包时,可以忽略非加密部分的分了参数,而不做任何处理。
本实施例的上述方法可以通过如图8所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并发送该加密后IP数据包;分类节点包括分类器,分类器根据所述分类参数对该加密后IP数据包进行分类;解密节点则解密并处理所收到的加密后IP数据包。如图8所示,加密节点进一步包括第一配置单元,分类节点进一步包括第二配置单元。其中,第一配置单元和第二配置单元分别用于为不同业务流配置不同的加密后的分类参数。
同样,第四实施例中的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种数据包分类方法,其特征在于,该方法包括:
加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;
分类节点根据所述分类参数对该加密后IP数据包进行分类。
2.根据权利要求1所述的方法,其特征在于,所述分类参数包括:源地址、目的地址、上层协议、目的端口、源端口、传输类、流标签、安全参数索引SPI其中之一或者它们的任意组合。
3.根据权利要求1所述的方法,其特征在于,所述非加密部分包括:隧道IP头、隧道IP扩展头、封装安全负荷ESP报头其中之一或者它们的任意组合。
4.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
加密节点从加密前IP数据包中提取分类参数。
5.根据权利要求4所述的方法,其特征在于,所述在加密后IP数据包的非加密部分添加分类参数的步骤包括:
将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。
6.根据权利要求4所述的方法,其特征在于,所述在加密后IP数据包的非加密部分添加分类参数的步骤包括:
查询到所述分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,
查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。
7.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
加密节点和解密节点通过交互为不同业务流分配不同的分类参数;
加密节点和/或解密节点向分类节点通知所述业务流及对应的分类参数。
8.根据权利要求7所述的方法,其特征在于,该方法进一步包括:
加密节点和解密节点交换分类器信息。
9.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
加密节点和分类节点通过交互为不同的业务流分配不同的分类参数。
10.根据权利要求7、8或9所述的方法,其特征在于,所述分类参数包括流标签。
11.根据权利要求1所述的方法,其特征在于,该方法进一步包括:在加密节点为不同业务流配置不同的分类参数;
加密节点在加密后IP数据包中添加为该数据包所属的业务流配置的分类参数。
12.根据权利要求1所述的方法,其特征在于,该方法进一步包括:分类节点删除加密后IP数据包中部分或全部分类参数。
13.一种用于数据包分类的系统,其特征在于,该系统包括:
加密节点,用于在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;
包括分类器的分类节点,所述分类器用于根据所述分类参数对该加密后IP数据包进行分类。
14.根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括:提取单元和/或查询单元,
其中,提取单元,用于从加密前IP数据包中提取分类参数;
查询单元,用于获取分类参数中与加密后IP数据包的隧道IP报头不重合的内容作为要添加的分类参数。
15.根据权利要求13所述的系统,其特征在于,所述分类节点进一步包括:删除单元,用于删除加密后IP数据包中部分或全部分类参数。
16.根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一交互单元,所述分类节点进一步包括第二交互单元;所述第一交互单元和第二交互单元用于通过交互为不同业务流分配不同的分类参数。
17.根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一配置单元,所述分类节点进一步包括第二配置单元;所述第一配置单元和第二配置单元用于为不同业务流配置不同的分类参数。
18.根据权利要求13~17之一所述的系统,其特征在于,所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;
所述分类节点为WiMAX系统中的基站或网关。
19.根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一交互单元;该系统进一步包括解密节点,该解密节点包括第三交互单元;
所述第一交互单元和第三交互单元用于通过交互为不同业务流分配不同的分类参数,并向分类节点通知所述业务流及对应的分类参数。
20.根据权利要求19所述的系统,其特征在于,所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;
所述分类节点为WiMAX系统中的基站或接入业务网网关或接入路由器AR;
所述解密节点为WiMAX系统中的终端。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101038622A CN101119289A (zh) | 2006-08-04 | 2006-08-04 | 一种数据包分类方法及其系统 |
PCT/CN2007/070412 WO2008017275A1 (fr) | 2006-08-04 | 2007-08-03 | Procédé et système de classification de paquet, leur noeud de cryptage et noeud de classification |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101038622A CN101119289A (zh) | 2006-08-04 | 2006-08-04 | 一种数据包分类方法及其系统 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810080494.3A Division CN101227417B (zh) | 2006-08-04 | 2006-08-04 | 数据包分类方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101119289A true CN101119289A (zh) | 2008-02-06 |
Family
ID=39032651
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006101038622A Pending CN101119289A (zh) | 2006-08-04 | 2006-08-04 | 一种数据包分类方法及其系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101119289A (zh) |
WO (1) | WO2008017275A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561046A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | 一种融合通信公众账号内容加密的方法及装置 |
CN109819528A (zh) * | 2019-02-27 | 2019-05-28 | 努比亚技术有限公司 | 无网通讯方法、移动终端和计算机可读存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3759507B2 (ja) * | 2003-03-10 | 2006-03-29 | 株式会社東芝 | 通信装置、中継装置、通信制御方法及び通信制御プログラム |
JP2004274666A (ja) * | 2003-03-12 | 2004-09-30 | Mitsubishi Electric Information Systems Corp | 暗号装置及びコンソール端末及び管理装置及びプログラム |
CN100377545C (zh) * | 2004-03-13 | 2008-03-26 | 鸿富锦精密工业(深圳)有限公司 | 网络品质服务系统及方法 |
US20050220091A1 (en) * | 2004-03-31 | 2005-10-06 | Lavigne Bruce E | Secure remote mirroring |
-
2006
- 2006-08-04 CN CNA2006101038622A patent/CN101119289A/zh active Pending
-
2007
- 2007-08-03 WO PCT/CN2007/070412 patent/WO2008017275A1/zh active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561046A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | 一种融合通信公众账号内容加密的方法及装置 |
CN109819528A (zh) * | 2019-02-27 | 2019-05-28 | 努比亚技术有限公司 | 无网通讯方法、移动终端和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2008017275A1 (fr) | 2008-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210144075A1 (en) | Secure traffic visibility and analytics for encrypted traffic | |
US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
CN101494538B (zh) | 一种数据传输控制方法及通讯系统以及加密控制网元 | |
US8037297B2 (en) | Network and node for providing a secure transmission of mobile application part messages | |
CN101321383B (zh) | 一种通信系统和方法、家用基站网关及归属用户服务器 | |
EP1556990B1 (en) | Bridged cryptographic vlan | |
KR100956823B1 (ko) | 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법 | |
JP4523569B2 (ja) | 情報の暗号化方法およびデータ通信システム | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
IT201800002192U1 (it) | SGW-LBO solution for the MEC platform | |
US20080198863A1 (en) | Bridged Cryptographic VLAN | |
US7000120B1 (en) | Scheme for determining transport level information in the presence of IP security encryption | |
CN101180828A (zh) | 用于在综合网络中加密和传输数据的装置与方法 | |
CN107105457A (zh) | 一种实现接入点带宽限制的方法和装置 | |
CN104040966A (zh) | 处理报文的方法、转发面装置及网络设备 | |
KR20050048684A (ko) | 통신 시스템에서 마이크로-터널들을 사용하기 위한 방법 및장치 | |
CN101309273A (zh) | 一种生成安全联盟的方法和装置 | |
EP2777217A1 (en) | Protocol for layer two multiple network links tunnelling | |
CN105610790A (zh) | IPSec加密卡与CPU协同的用户面数据处理方法 | |
US8423760B2 (en) | Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment | |
CN103227742A (zh) | 一种IPSec隧道快速处理报文的方法 | |
CN104640107A (zh) | 一种多接口配合解密lte中s1-mme接口nas层密文识别方法 | |
KR20100021384A (ko) | 이동 통신 시스템의 비계층 프로토콜 처리 방법 및 이동통신 시스템 | |
CN101227417B (zh) | 数据包分类方法及其系统 | |
CN106161386A (zh) | 一种实现IPsec分流的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20080206 |