CN101729500A - 一种ip会话标识方法、装置和系统 - Google Patents

一种ip会话标识方法、装置和系统 Download PDF

Info

Publication number
CN101729500A
CN101729500A CN200810172313.XA CN200810172313A CN101729500A CN 101729500 A CN101729500 A CN 101729500A CN 200810172313 A CN200810172313 A CN 200810172313A CN 101729500 A CN101729500 A CN 101729500A
Authority
CN
China
Prior art keywords
session
session identification
message
identification
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200810172313.XA
Other languages
English (en)
Other versions
CN101729500B (zh
Inventor
郑若滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN200810172313.XA priority Critical patent/CN101729500B/zh
Priority to EP09823066.7A priority patent/EP2346217B1/en
Priority to PCT/CN2009/074628 priority patent/WO2010048874A1/zh
Publication of CN101729500A publication Critical patent/CN101729500A/zh
Priority to US13/097,369 priority patent/US20110202670A1/en
Application granted granted Critical
Publication of CN101729500B publication Critical patent/CN101729500B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种IP会话标识方法、装置和系统。所述方法包括以下步骤:根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;当判断的结果为是时,允许所述报文通过;当判断的结果为否时,丢弃所述报文。通过应用本发明的技术方案,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。

Description

一种IP会话标识方法、装置和系统
技术领域
本发明涉及通信技术领域,特别是涉及一种IP会话标识方法、装置和系统。
背景技术
在接入网中,IP会话(session)代表了与一个用户(Subscriber/user)设备的IP地址关联的网络接入连接会话,IP Session与点到点的链路层协议会话(Point-to-Point Protocol Session,PPP Session)是对等的,用户设备会话(Subscriber Session)是IP Session和PPP Session的统称。PPP Session采用特有的PPP存活检测机制,版本4的IP协议(IP vision 4,IPv4)会话采用特有的双向转发检测(Bidirectional Forwarding Detection,BFD)/地址解析协议(AddressResolution Protocol,ARP)存活检测机制。
IP Session通常在IP边缘设备(IP Edge device),例如:宽带网络网关(Broadband Network Gateway,BNG)/宽带接入服务器(Broadband RemoteAccess Server,BRAS)上终结,IP Session的另一侧通常在用户设备,例如家庭网关(Home Gateway,HGW)或HGW之后的用户终端设备(User Equipment,UE)上终结,即,IP Session是在用户设备与IP边缘设备建立的一条会话连接。
IP Session用于网络对用户接入网络的管理,如计费、状态等。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
现有技术IP Session的数据通信过程与认证过程/IP地址分配过程没有耦合关系,容易出现虽然认证通过,但在IP Session的数据通信过程中,还是有可能被攻击者通过伪造IP地址或MAC地址假冒,存在较大安全隐患。
发明内容
本发明实施例提供了一种IP会话标识方法、装置和系统,通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤,从而,使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性。
为达到上述目的,本发明实施例一方面提出一种IP会话标识方法,包括以下步骤:
根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;
根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述的IP会话标识生成规则根据IP会话标识参数生成;
当所述接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
另一方面,本发明实施例还提出一种网络网关,包括:
生成模块,用于根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;
第一判断模块,用于根据所述生成模块生成的IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;
处理模块,用于当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
另一方面,本发明实施例还提出一种用户设备,包括:
接收模块,用于接收网络网关发送的IP会话标识生成规则;
生成模块,用于根据所述接收模块接收的所述IP会话标识生成规则,生成IP会话的IP会话标识;
发送模块,用于向所述网络网关发送报文,所述报文中预设的IP会话标识域内包含所述生成模块生成的IP会话标识。
另一方面,本发明实施例还提出一种IP会话处理系统,包括用户设备和网络网关:
所述用户设备,用于接收所述网络网关发送的IP会话标识生成规则,按照所述IP会话标识生成规则生成相应的IP会话标识,并向所述网络网关发送预设的IP会话标识域内包含所述IP会话标识的报文;
所述网络网关,用于设置所述IP会话标识生成规则,将所述IP会话标识生成规则发送给所述用户设备,按照所述IP会话标识生成规则在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,并根据所述IP会话标识对所述IP会话进行过滤。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提出的一种IP会话标识方法的流程示意图;
图2为本发明实施例一提出的一种IP会话标识方法的流程示意图;
图3为本发明实施例二提出的一种IP会话处理系统的结构示意图;
图4为本发明实施例三提出的一种动态IPv6Session中的IP会话标识方法的流程示意图;
图5为本发明实施例四提出的另一种动态IPv6Session中的IP会话标识方法的流程示意图;
图6为本发明实施例五提出的另一种动态IPv6Session中的IP会话标识方法的流程示意图;
图7为本发明实施例六提出的另一种动态IPv6Session中的IP会话标识方法的流程示意图;
图8为本发明实施例七提出的另一种动态IPv6Session中的IP会话标识方法的流程示意图;
图9为本发明实施例八提出的一种静态IPv6Session中的IP会话标识方法的流程示意图。
具体实施方式
本发明实施例提出了一种IP会话标识方法、装置和系统。该技术方案的具体内容是:在IPv6的流标签(Flow label)中设定IPv6Session ID域,或者在IPv6地址中设定IPv6Session ID域(例如,IPv6地址前缀),IPv6Session ID在用户认证/IP地址分配过程成功后,按Subscriber与运营商约定的规则产生,实现IPv6Session与认证过程/IP地址分配过程的耦合。
IPv6Session ID在IP Session存活过程中保持不变,BNG对接收到的数据包进行IPv6Session ID的过滤,有效地防止攻击者通过伪造IP地址或MAC地址假冒,解决了共享介质接入的安全。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例一提出的一种IP会话标识方法的流程示意图,该方法包括以下步骤:
步骤S101、网络网关根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识。
具体的,为方便描述,本发明实施例中以IPv6会话(IPv6Session)为例进行说明,但是,需要进一步指出的是,其他符合本发明实施例实施场景要求的会话也同样属于本发明的保护范围,这一点在全文均适用,后文不再重复强调。
IPv6Session分为动态IPv6Session和静态IPv6Session。
其中,动态IPv6Session可以被动态创建和终止,静态IPv6Session则只能被静态配置生成。
本发明实施例所提出的技术方案是在IPv6的流标签(IPv6Flow label)中设定IPv6Session ID域或者在IPv6地址中设定IPv6Session ID域(例如,IPv6地址前缀)。对于动态IP Session,可通过认证Session ID和动态主机分配协议执行标识(Dynamic Host Configuration Protocol Transaction ID,DHCPTransaction ID,简称xid)按约定的规则映射到IPv6Flow label的IPv6SessionID域,产生IPv6Session ID;或者,Subsriber可通过DHCP PD或无状态地址自动分配过程(StateLess Address AutoConfiguration,SLAAC)的IPv6地址前缀,然后按约定的规则映射作为IPv6Session ID,即将Subsriber的IPv6地址前缀与IPv6Session进行绑定。;对于静态IP Session,可根据IPv6地址/IPv6地址前缀按约定的规则产生IPv6Session ID。
IPv6Session ID产生规则对于动态IPv6Session,可以在IPv6Session建立前通过技术规范TR069的方式动态配置到用户设备上,或者在认证/IP地址分配成功后通过认证协议/DHCP动态配置到用户设备上;对于静态IPv6Session,IPv6Session ID产生规则可以静态配置,即在步骤S101之前,还包括以下两种情况:
当IP会话为动态IP会话时,在网络网关中设置IP会话标识生成规则,并通过向用户设备发送认证确认消息或地址分配响应消息,在用户设备中设置IP会话标识生成规则;
当IP会话为静态IP会话时,在网络网关和用户设备设置IP会话标识生成规则。
对应上述的两种情况,步骤S101的具体内容也相应的分为两种情况:
当IP会话为动态IP会话时,按照预设的IP会话标识生成规则,根据通过地址分配前缀委派或通过路由器通告(router advertisement)所得到的IP会话地址前缀,或认证确认消息中的认证识别符,或地址分配响应消息中的执行标识,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;
当IP会话为静态IP会话时,按照预设的IP会话标识生成规则,根据用户设备中预设的IP会话地址或IP会话地址前缀,在IP地址分配过程中为IP会话生成IP会话标识。
需要进一步指出的是,当IP会话为动态IP会话时,按照地址分配响应消息中的执行标识生成IP会话标识之后,还包括以下步骤:
当IP会话的IP地址分配结果发生更新时,按照预设的IP会话标识生成规则,根据更新的地址分配响应消息中的执行标识,为IP会话生成更新的IP会话标识。
IPv6Session ID在IP Session存活过程中不变。
IPv6Session由IPv6Session ID进行标识。
步骤S102、根据网络网关生成的IP会话标识,网络网关判断接收到的IP会话的报文中预设的IP会话标识域内是否含有IP会话标识。
其中,该IP会话标识为用户设备按照IP会话标识生成规则根据IP会话标识参数生成。
当网络网关判断接收到的IP会话的报文中预设的IP会话标识域内含有IP会话标识时,转入步骤S103;
当网络网关判断接收到的IP会话的报文中预设的IP会话标识域内未含有IP会话标识时,转入步骤S104。
步骤S103、网络网关允许报文通过。
即发送该报文的用户设备是通过认证的用户设备,该报文安全,允许该报文通过。
步骤S104、网络网关丢弃报文。
即发送该报文的用户设备不是通过认证的用户设备,由于该报文的安全性未知,所以将该报文丢弃。
进一步的,当IP会话为动态IP会话时,上述的方法还包括:
当IP会话终止时,释放IP会话标识。
进一步的,上述的步骤S102在具体的应用环境中,也可以分为两次判断,相对于上述的如图1所示的IP会话标识方法,包含两次判断过程的IP会话标识方法的具体实现过程如图2所示,包括以下步骤:
步骤S201、网络网关根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识。
本步骤与步骤S101的具体说明内容相同,本实施例不再重复叙述。
步骤S202、网络网关判断接收到的IP会话的报文中是否含有IP会话标识。
即,网络网关识别接收到的IP会话的报文中是否含有与该网络网关根据预设的IP会话标识生成规则所生成的IP会话标识相同的IP会话标识。
当网络网关判断接收到的IP会话的报文中含有IP会话标识时,转入步骤S203;
当网络网关判断接收到的IP会话的报文中未含有IP会话标识时,转入步骤S205。
步骤S203、网络网关判断IP会话标识与发送该IP会话的地址是否符合预设的绑定关系表。
在本步骤中,网络网关判断接收到的IP会话的报文中含有该IP会话标识时,进一步判断发送该IP会话的地址与该IP会话标识的对应关系是否与预设的绑定关系表中的信息相一致,判断接收到的IP会话的报文是否来自预设的MAC地址或接入端口,即判断该IP会话是否是认证通过的端口发起的符合认证要求的IP会话。
其中的绑定关系表具体是在用户设备完成认证时所生成的IP会话标识与用户设备MAC地址或接入端口的绑定关系表。
其中,接入端口可以是接入物理端口(如数字用户线端口或无源光网络物理接口),也可以是接入逻辑端口(如虚拟局域网端口或千兆无源光网络封装模式端口)。
当网络网关判断IP会话标识与发送该IP会话的地址符合预设的绑定关系表时,转入步骤S204;
当网络网关判断IP会话标识与发送该IP会话的地址不符合预设的绑定关系表时,转入步骤S205。
步骤S204、网络网关允许报文通过。
即发送该报文的用户设备是通过认证的用户设备,该报文安全,允许该报文通过。
步骤S205、网络网关丢弃报文。
即发送该报文的用户设备不是通过认证的用户设备,由于该报文的安全性未知,所以将该报文丢弃。
进一步的,当IP会话为动态IP会话时,上述的方法还包括:
当IP会话终止时,释放IP会话标识。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应本发明实施例一所提出的技术方案,本发明实施例二提出了一种IP会话处理系统,结构示意图如图3所示,包括用户设备1和网络网关2:
用户设备1,用于接收网络网关2发送的IP会话标识生成规则,按照IP会话标识生成规则生成相应的IP会话标识,并向网络网关2发送包含IP会话标识的报文,包括:
接收模块11,用于接收网络网关2发送的IP会话标识生成规则;
生成模块12,用于根据接收模块11接收的IP会话标识生成规则,生成IP会话的IP会话标识;
发送模块13,用于向网络网关2发送报文,报文中包含生成模块12生成的IP会话标识。
进一步的,用户设备1还包括:
设置模块14,用于设置IP会话地址或IP会话地址前缀,以为生成模块12提供生成IP会话标识的依据信息。
网络网关2,用于设置IP会话标识生成规则,将IP会话标识生成规则发送给用户设备1,按照IP会话标识生成规则在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,并根据IP会话标识对IP会话进行过滤,具体包括:
设置模块21,用于在网络网关2设置IP会话标识生成规则和绑定关系表;
发送模块22,用于将设置模块21设置的IP会话标识生成规则发送给用户设备1,以在用户设备1中设置IP会话标识生成规则;
生成模块23,用于根据设置模块21预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,该模块具体包括:
获取子模块231,用于通过地址分配前缀委派或通过路由器通告获取IP会话地址前缀,或在认证确认消息中获取认证识别符,或在地址分配响应消息中获取执行标识,或获取用户设备l中预设的IP会话地址或IP会话地址前缀;
生成子模块232,用于根据获取子模块231所获取的IP会话地址前缀,或认证识别符,或执行标识,或用户设备1中预设的IP会话地址或IP会话地址前缀,按照设置模块21预设的IP会话标识生成规则,为IP会话生成IP会话标识;
更新子模块233,用于当IP会话的IP地址分配结果发生更新时,按照设置模块21预设的IP会话标识生成规则,根据获取子模块231获取的更新的地址分配响应消息中的执行标识,为IP会话生成更新的IP会话标识。
第一判断模块24,用于根据生成模块23生成的IP会话标识,判断接收到的IP会话的报文中预设的IP会话标识域内是否含有IP会话标识。
其中,该IP会话标识为用户设备按照IP会话标识生成规则根据IP会话标识参数生成。
处理模块26,用于当第一判断模块24判断接收到的IP会话的报文中预设的IP会话标识域内含有IP会话标识时,允许报文通过;当第一判断模块24判断接收到的IP会话的报文中预设的IP会话标识域内未含有IP会话标识时,丢弃报文。
释放模块27,用于当IP会话终止时,释放生成模块23所生成的IP会话标识。
进一步的,网络网关2还可以包括:
第二判断模块25,用于判断IP会话标识与发送IP会话的地址是否符合设置模块21所设置的绑定关系表;
当网络网关2含有第二判断模块25时,处理模块26还用于当第二判断模块24判断IP会话标识与发送IP会话的地址符合预设的绑定关系表时,允许报文通过;当第一判断模块24判断接收到的IP会话的报文中未含有IP会话标识,或第二判断模块25判断IP会话标识与发送IP会话的地址不符合预设的绑定关系表时,丢弃该报文。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的系统,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例三提出了一种动态IPv6Session中的IP会话标识方法,该方法在认证阶段进行IP会话标识的创建,具体方法流程图如图4所示,包括以下步骤:
步骤S401、用户(Subscriber)设备通过BNG到认证服务器进行EAP认证。
其中,BNG即为前述本发明实施例中所提及的网络网关,用户设备在具体的应用环境中即为Subscriber,可以具体为一个接入的用户终端,也可以是连接有多个终端的网络接入设备,如家庭网关,这一点在后文的实施例中也是一致的,后文不再重复叙述,具体名称的变化并不影响本发明的保护范围。
步骤S402、当用户设备的EAP认证成功时,EAP Success消息由认证服务器通过BNG发送给用户设备,并在该用户所对应的用户设备中配置IPv6Session ID产生规则。
步骤S403、当用户设备的EAP认证成功后,用户设备启动DHCP PD(Prefix Delegation,前缀委派),产生DHCP Transaction ID(简称xid),用户设备可根据EAP Success消息的EAP Identifier按一定的规则产生xid,如果采用PANA,还可根据PANA Session ID按一定的规则产生xid。
步骤S404、用户设备通过DHCP PD申请IPv6地址前缀,在IPv6地址前缀委派过程中,所有DHCP消息的xid保持不变。
需要指出的是,由于在DHCP PD过程之前缺乏象PPP的Session ID协商过程,所以xid就相当于IP Session ID,在同一个IP Session的生命周期内保持一致;如果对用户设备进行IPv6地址前缀重新分配(renumbering),则认为由一个旧的IP Session更新为新的IP Session,xid也将随着新的IP Session进行变化。
步骤S405、当IPv6地址前缀委派成功,DHCP服务器通过DHCP Reply消息将IPv6地址前缀发送给用户设备。
步骤S406、BNG和用户设备可根据DHCP Reply消息委派的IPv6地址前缀作为IPv6Session ID。
即将IPv6地址前缀与IPv6Session绑定,进一步的,还可以对IPv6SessionID与用户设备的MAC地址/或接入端口绑定,形成绑定关系表。
需要指出的是,如果对Subscriber进行IPv6地址前缀重新分配,则认为由一个旧的IP Session更新为新的IP Session,IP Session ID也将随着新的IPv6地址前缀的重新分配由新的DHCP Reply消息触发产生。
步骤S407、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
BNG对接收到的由用户设备发送的所有报文进行检测,判断其中是否含有IPv6Session ID,当报文中含有IPv6Session ID时,进一步将报文中的IPv6Session ID与BNG根据前述的IPv6Session ID产生规则所生成的IPv6Session ID相比较,判断两个IPv6Session ID是否相同。
当两个IPv6Session ID相同时,判断两个IPv6Session ID均是根据前述IPv6Session ID产生规则生成的,则BNG进一步根据预设的IPv6SessionID与用户设备的MAC地址/或接入端口绑定关系过滤IP会话的报文,即BNG通过检查预设的绑定关系表,判断接收到的IP会话的报文是否来自预设的MAC地址或接入端口。
当网络网关判断接收到的IP会话的报文来自预设的MAC地址或接入端口时,即判定发送该报文的用户设备是通过认证的用户设备,BNG允许该用户设备发送的报文通过。
当网络网关判断接收到的IP会话的报文并非来自预设的MAC地址或接入端口时,BNG将该报文进行丢弃。
相对应的,当检测所接收到的报文不含有IPv6Session ID,或者所含有的IPv6Session ID与BNG根据前述的IPv6Session ID产生规则所生成的IPv6Session ID不同时,判断发送该报文的用户设备不是通过认证的用户设备,BNG直接将该报文进行丢弃。需要进一步指出的是,在后文的实施例中,BNG对接收到的IPv6报文的IPv6Session ID进行过滤的过程与本步骤是一致的,后文不再重复叙述。
步骤S408、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S409、通过携带IPv6Session ID的存活监控报文(keep alive)进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S408和步骤S409在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S410、IPv6地址前缀被释放或被重新分配(renumbering)。
IPv6地址前缀被释放或被重新分配(renumbering)时,则认为由一个旧的IP Session更新为新的IP Session,即判断为当前IPv6会话终止。
步骤S411、IPv6Session ID释放。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例四提出了另一种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的创建,具体方法流程图如图5所示,包括以下步骤:
步骤S501、用户设备通过BNG到认证服务器进行EAP认证。
步骤S502、当用户设备的EAP认证成功时,EAP Success消息由认证服务器通过BNG发送给用户设备,并在该用户设备中配置IPv6Session ID产生规则。
步骤S503、当用户设备的EAP认证成功后,用户设备启动SLAAC,向BNG发出路由器恳求RS(Router Solicitation)消息。
步骤S504、BNG收到RS消息后,向用户设备发送路由器宣告RA(RouterAdvertisement)消息。
RA消息的源地址是BNG的IPv6地址,RA消息包含IPv6地址前缀。
步骤S505、BNG和用户设备可根据RA消息携带的IPv6地址前缀作为IPv6Session ID。
即:将IPv6地址前缀与IPv6Session绑定,进一步的,还可以对IPv6SessionID与用户设备MAC地址/或接入端口绑定,形成绑定关系表;
需要指出的是,如果对Subscriber进行IPv6地址前缀重新分配,则认为由一个旧的IP Session更新为新的IP Session,IP Session ID也将随着新的IPv6地址前缀的重新分配由新的RA消息触发产生。
步骤S506、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
步骤S507、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S508、通过携带IPv6Session ID的存活监控报文(keep alive)进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S507和步骤S508在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S509、IPv6地址前缀被释放或被重新分配(renumbering)。
IPv6地址前缀被释放或被重新分配(renumbering)时,则认为由一个旧的IP Session更新为新的IP Session,即判断为当前IPv6会话终止。
步骤S510、IPv6Session ID释放。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例五提出了另一种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的创建,具体方法流程图如图6所示,包括以下步骤:
步骤S601、用户设备通过BNG到认证服务器进行EAP认证。
步骤S602、当用户设备EAP认证成功,EAP Success消息由认证服务器通过BNG发送给用户设备,并在该用户设备中配置IPv6Session ID产生规则。
步骤S603、BNG和用户设备根据IPv6Session ID产生规则,分别为BNG和用户设备生成IPv6Session ID。
BNG和用户设备可根据EAP Success消息的EAP Identifier按一定的规则产生IPv6Session ID;如果采用PANA,还可根据PANA Session ID按一定的规则产生IPv6Session ID。
步骤S604、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
步骤S605、用户设备通过无状态或有状态地址分配方式申请IPv6地址。
在IPv6地址分配过程中,所有的上行消息皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S606、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S607、通过携带IPv6Session ID的存活监控报文(keep alive)进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S606和步骤S607在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S608、IPv6地址被释放。
步骤S609、IPv6Session被终止,IPv6Session ID释放。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例六提出了另一种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的创建,具体方法流程图如图7所示,包括以下步骤:
步骤S701、用户设备通过BNG到认证服务器进行EAP认证。
步骤S702、当用户设备EAP认证成功,EAP Success消息由认证服务器通过BNG发送给用户设备,并配置IPv6Session ID产生规则。
步骤S703、当用户设备EAP认证成功后,用户设备启动有状态地址分配,产生DHCP Transaction ID(简称xid);用户设备可根据EAP Success消息的EAP Identifier按一定的规则产生xid;如果采用PANA,还可根据PANA Session ID按一定的规则产生xid。
步骤S704、用户设备通过有状态地址分配方式申请IPv6地址,在IPv6地址分配过程中,所有DHCP消息的xid保持不变。
需要进一步指出的是,由于在DHCP地址分配过程之前缺乏像PPP的Session ID协商过程,所以xid就相当于IP Session ID,建议在同一个IPSession的生命周期内保持一致;如果DHCP过程通过reconfigure消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session,xid也将随着新的IP Session进行变化。
步骤S705、当IPv6地址申请成功,DHCP服务器通过DHCP Reply消息将IPv6地址发送给用户设备。
步骤S706、BNG和用户设备可根据DHCP Reply消息的DHCPTransaction ID按一定的规则产生IPv6Session ID。
需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session,IP SessionID也将随着新的IP地址的重新分配由新的DHCP Reply消息触发产生。
步骤S707、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
步骤S708、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S709、通过携带IPv6Session ID的存活监控报文进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S708和步骤S709在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S710、IPv6地址被释放。
步骤S711、IPv6Session被终止,IPv6Session ID释放。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例七提出了另一种动态IPv6Session中的IP会话标识方法,在本方法中,IP地址分配阶段和认证阶段是合并的,本方法在该阶段进行IP会话标识的创建,具体方法流程图如图8所示,包括以下步骤:
步骤S801、用户设备产生DHCP Transaction ID(简称xid)。
步骤S802、用户设备通过DHCP认证,实现用户设备认证和有状态地址分配,在DHCP认证过程中,所有DHCP消息的xid保持不变。
需要进一步指出的是,由于在DHCP地址分配过程之前缺乏象PPP的Session ID协商过程,所以xid就相当于IP Session ID,建议在同一个IPSession的生命周期内保持一致;如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session,xid也将随着新的IP Session进行变化。
步骤S803、当DHCP认证成功,BNG通过DHCP Reply消息将IPv6地址发送给用户设备,通知用户设备认证成功,并配置IPv6Session ID产生规则。
需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session,IP SessionID也将随着新的IP地址的重新分配由新的DHCP Reply消息触发产生。
步骤S804、BNG和用户设备可根据DHCP Reply消息的DHCPTransaction ID按认证成功后确定的IPv6Session ID产生规则产生IPv6Session ID。
需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session,IP SessionID也将随着新的IP地址的重新分配由新的DHCP Reply消息触发产生。
步骤S805、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
步骤S806、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S807、通过携带IPv6Session ID的存活监控报文进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S806和步骤S807在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S808、IPv6地址被释放。
步骤S809、IPv6Session被终止,IPv6Session ID释放。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
对应上述的本发明实施例一所提出的技术方案,本发明通过实施例八提出了一种静态IPv6Session中的IP会话标识方法,在本方法中,由于是静态IPv6会话,所以不存在认证阶段,而直接是IP地址分配阶段,本方法在该阶段进行IP会话标识的创建,具体方法流程图如图9所示,包括以下步骤:
步骤S901、网络静态配置用户设备的IPv6地址/地址前缀,以及IPv6Session ID的产生规则。
步骤S902、BNG和用户设备根据用户设备的IPv6地址/地址前缀,按预先配置的IPv6Session ID的产生规则产生IPv6Session ID。
步骤S903、BNG对接收到的IPv6报文的IPv6Session ID进行过滤。
步骤S904、通过携带IPv6Session ID的数据流进行数据通信。
在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
步骤S905、通过携带IPv6Session ID的存活监控报文(keep alive)进行数据通信状态存活监控。
IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。
需要指出的是,步骤S904和步骤S905在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。

Claims (19)

1.一种IP会话标识方法,其特征在于,包括以下步骤:
根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;
根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;
当所述接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
2.如权利要求1所述方法,其特征在于,所述根据预设的IP会话标识生成规则,生成IP会话标识之前,还包括以下步骤:
当所述IP会话为动态IP会话时,本地设置所述IP会话标识生成规则,并通过向用户设备发送认证确认消息或地址分配响应消息,在所述用户设备中设置所述IP会话标识生成规则,其中所述用户设备根据所述IP会话标识生成规则在IP会话报文中加入IP会话标识。
当所述IP会话为静态IP会话时,在本地和所述用户设备设置所述IP会话标识生成规则,其中所述用户设备根据所述IP会话标识生成规则在IP会话报文中加入IP会话标识。
3.如权利要求2所述方法,其特征在于,所述根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,具体为:
当所述IP会话为动态IP会话时,按照所述预设的IP会话标识生成规则,根据通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,或所述认证确认消息中的认证识别符,或所述地址分配响应消息中的执行标识,在认证过程和/或IP地址分配过程中为所述IP会话生成IP会话标识;
当所述IP会话为静态IP会话时,按照所述预设的IP会话标识生成规则,根据获取到的所述用户设备中预设的IP会话地址或IP会话地址前缀,在IP地址分配过程中为所述IP会话生成IP会话标识。
4.如权利要求3所述方法,其特征在于,按照所述预设的IP会话标识生成规则,根据所述地址分配响应消息中的执行标识,在IP地址分配过程或认证与IP地址分配过程中为所述IP会话生成IP会话标识之后,还包括:
当所述IP会话的IP地址分配结果发生更新时,按照所述预设的IP会话标识生成规则,根据更新的地址分配响应消息中的执行标识,为所述IP会话生成更新的IP会话标识。
5.如权利要求1所述方法,其特征在于,所述预设的IP会话标识域,具体为:
在IP会话报文的流标签或者IP地址中预设的IP会话标识域。
6.如权利要求5所述方法,其特征在于,所述IP会话标识为用户设备按照所述预设的IP会话标识生成规则根据IP会话标识参数生成,具体包括:
当所述IP会话为动态IP会话时,所述用户设备按照所述预设的IP会话标识生成规则,根据通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,或所述认证确认消息中的认证识别符,或所述地址分配响应消息中的执行标识,为所述IP会话生成IP会话标识;
当所述IP会话为静态IP会话时,所述用户设备按照所述预设的IP会话标识生成规则,根据预设的IP会话地址或IP会话地址前缀,为所述IP会话生成IP会话标识。
7.如权利要求1所述方法,其特征在于,所述判断接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识之后,还包括
判断所述IP会话标识与发送所述IP会话的地址是否符合预设的绑定关系表;
当所述IP会话标识与发送所述IP会话的地址符合所述预设的绑定关系表时,允许所述报文通过;当所述接收到的所述IP会话的报文中未含有所述IP会话标识,或所述IP会话标识与发送所述IP会话的地址不符合所述预设的绑定关系表时,丢弃所述报文。
8.如权利要求7所述方法,其特征在于,所述预设的绑定关系表,具体为:
在用户设备的认证完成后,设置的IP会话标识与所述用户设备的MAC地址或接入端口的绑定关系表。
9.如权利要求1或3所述方法,其特征在于,当根据所述通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,在认证过程和/或IP地址分配过程中为所述IP会话生成IP会话标识时,所述方法还包括:
当所述IP会话地址前缀被释放或被重新分配时,释放所述IP会话标识。
10.如权利要求1或2所述方法,其特征在于,当所述IP会话为动态IP会话时,所述方法还包括:
当所述IP会话终止时,释放所述IP会话标识。
11.一种网络网关,其特征在于,包括:
生成模块,用于根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;
第一判断模块,用于根据所述生成模块生成的IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;
处理模块,用于当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
12.如权利要求11所述网络网关,其特征在于,还包括:
第二判断模块,用于判断所述IP会话标识与发送所述IP会话的地址是否符合预设的绑定关系表;
当所述网络网关中包括所述第二判断模块时,所述处理模块,还用于当所述第二判断模块判断所述IP会话标识与发送所述IP会话的地址符合预设的绑定关系表时,允许所述报文通过;当所述第一判断模块判断接收到的所述IP会话的报文中未含有所述IP会话标识,或所述第二判断模块判断所述IP会话标识与发送所述IP会话的地址不符合预设的绑定关系表时,丢弃所述报文。
13.如权利要求11或12所述网络网关,其特征在于,还包括:
设置模块,用于在本地设置所述IP会话标识生成规则和所述绑定关系表;
发送模块,用于将所述设置模块设置的所述IP会话标识生成规则发送给用户设备,以在所述用户设备中设置所述IP会话标识生成规则;
释放模块,用于当所述IP会话终止时,释放所述生成模块所生成的IP会话标识。
14.如权利要求13所述网络网关,其特征在于,所述生成模块,具体包括:
获取子模块,用于通过地址分配前缀委派或通过路由器通告获取IP会话地址前缀,或在认证确认消息中获取认证识别符,或在地址分配响应消息中获取执行标识,或获取所述用户设备中预设的IP会话地址或IP会话地址前缀;
生成子模块,用于根据所述获取子模块所获取的所述IP会话地址前缀,或所述认证识别符,或所述执行标识,或所述用户设备中预设的IP会话地址或IP会话地址前缀,按照所述设置模块预设的IP会话标识生成规则,为所述IP会话生成IP会话标识。
15.如权利要求14所述网络网关,其特征在于,所述生成模块,还包括:
更新子模块,用于当所述IP会话的IP地址分配结果发生更新时,按照所述设置模块设置的IP会话标识生成规则,根据所述获取子模块获取的更新的地址分配响应消息中的执行标识,为所述IP会话生成更新的IP会话标识。
16.一种用户设备,其特征在于,包括:
接收模块,用于接收网络网关发送的IP会话标识生成规则;
生成模块,用于根据所述接收模块接收的所述IP会话标识生成规则,生成IP会话的IP会话标识;
发送模块,用于向所述网络网关发送报文,所述报文中预设的IP会话标识域内包含所述生成模块生成的IP会话标识。
17.如权利要求16所述用户设备,其特征在于,还包括:
设置模块,用于设置IP会话地址或IP会话地址前缀,所述生成模块根据所述IP会话地址或IP会话地址前缀生成IP会话标识。
18.一种IP会话处理系统,其特征在于,包括用户设备和网络网关:
所述用户设备,用于接收所述网络网关发送的IP会话标识生成规则,按照所述IP会话标识生成规则生成相应的IP会话标识,并向所述网络网关发送预设的IP会话标识域内包含所述IP会话标识的报文;
所述网络网关,用于设置所述IP会话标识生成规则,将所述IP会话标识生成规则发送给所述用户设备,按照所述IP会话标识生成规则在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,并根据所述IP会话标识对所述IP会话进行过滤。
19.如权利要求18所述IP会话处理系统,其特征在于,还包括
所述用户设备和所述网络网关在所述IP会话结束后,释放所述IP会话标识。
CN200810172313.XA 2008-10-31 2008-10-31 一种ip会话标识方法、装置和系统 Active CN101729500B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN200810172313.XA CN101729500B (zh) 2008-10-31 2008-10-31 一种ip会话标识方法、装置和系统
EP09823066.7A EP2346217B1 (en) 2008-10-31 2009-10-27 Method, device and system for identifying an IPv6 session
PCT/CN2009/074628 WO2010048874A1 (zh) 2008-10-31 2009-10-27 一种ip会话标识方法、装置和系统
US13/097,369 US20110202670A1 (en) 2008-10-31 2011-04-29 Method, device and system for identifying ip session

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810172313.XA CN101729500B (zh) 2008-10-31 2008-10-31 一种ip会话标识方法、装置和系统

Publications (2)

Publication Number Publication Date
CN101729500A true CN101729500A (zh) 2010-06-09
CN101729500B CN101729500B (zh) 2013-03-27

Family

ID=42128257

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810172313.XA Active CN101729500B (zh) 2008-10-31 2008-10-31 一种ip会话标识方法、装置和系统

Country Status (4)

Country Link
US (1) US20110202670A1 (zh)
EP (1) EP2346217B1 (zh)
CN (1) CN101729500B (zh)
WO (1) WO2010048874A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078829A (zh) * 2011-10-25 2013-05-01 中兴通讯股份有限公司 应用信息上报方法及装置
CN103179224A (zh) * 2013-03-08 2013-06-26 华为技术有限公司 一种ip地址配置的方法、客户端及服务器
CN103259764A (zh) * 2012-02-17 2013-08-21 精品科技股份有限公司 一种局域网络防护系统与方法
CN103546385A (zh) * 2012-07-10 2014-01-29 杭州华三通信技术有限公司 流量转发控制方法和设备

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012092261A2 (en) * 2010-12-29 2012-07-05 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
US8976807B2 (en) * 2011-06-07 2015-03-10 Cisco Technology, Inc. Dynamically determining hostnames of network devices
US10262310B1 (en) * 2011-09-07 2019-04-16 Amazon Technologies, Inc. Generating a verifiable download code
US8886775B2 (en) 2012-03-08 2014-11-11 Cisco Technology, Inc. Dynamic learning by a server in a network environment
WO2014075213A1 (zh) * 2012-11-13 2014-05-22 华为技术有限公司 双向转发检测bfd会话协商方法、设备及系统
US9185170B1 (en) 2012-12-31 2015-11-10 Juniper Networks, Inc. Connectivity protocol delegation
US9497107B1 (en) * 2013-06-06 2016-11-15 Cisco Technology, Inc. Seamless path monitoring and rapid fault isolation using bidirectional forwarding detection in a network environment
EP2835944B1 (en) * 2013-08-08 2017-09-27 Compal Broadband Networks Inc. A device having ipv6 firewall functionality and method related thereto
US11159480B2 (en) * 2019-03-26 2021-10-26 Cisco Technology, Inc. Identifier locator addressing for IPv6-based software defined fabric

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
WO2003069842A1 (en) * 2002-02-13 2003-08-21 Nokia Corporation Filtering of data packets in a communication network according to interface identifiers
US7245620B2 (en) * 2002-03-15 2007-07-17 Broadcom Corporation Method and apparatus for filtering packet data in a network device
CN1830190A (zh) * 2003-07-29 2006-09-06 汤姆森特许公司 使用重定向控制对网络的接入
JP2007523401A (ja) * 2003-12-31 2007-08-16 アプライド アイデンティティー コンピュータトランザクションの発信者が本人であることを立証する方法と装置
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
CN100593927C (zh) * 2004-04-15 2010-03-10 日本电气株式会社 集群系统、集群成员和程序
US7941512B2 (en) * 2004-12-13 2011-05-10 Cisco Technology, Inc. Use of IPv6 in access networks
EP1966977B1 (en) * 2005-12-30 2016-05-04 Telecom Italia S.p.A. Method and system for secure communication between a public network and a local network
FI120927B (fi) * 2007-03-28 2010-04-30 Teliasonera Ab Autentikointi- ja salausprotokolla langattomassa viestintäjärjestelmässä
US9871872B2 (en) * 2007-04-13 2018-01-16 Nokia Technologies Oy Mechanism for executing server discovery
US8205246B2 (en) * 2007-05-10 2012-06-19 Cisco Technology, Inc. User sensitive filtering of network application layer resources
US8713666B2 (en) * 2008-03-27 2014-04-29 Check Point Software Technologies, Ltd. Methods and devices for enforcing network access control utilizing secure packet tagging
US8953601B2 (en) * 2008-05-13 2015-02-10 Futurewei Technologies, Inc. Internet protocol version six (IPv6) addressing and packet filtering in broadband networks

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078829A (zh) * 2011-10-25 2013-05-01 中兴通讯股份有限公司 应用信息上报方法及装置
WO2013060214A1 (zh) * 2011-10-25 2013-05-02 中兴通讯股份有限公司 应用信息上报方法及装置
CN103259764A (zh) * 2012-02-17 2013-08-21 精品科技股份有限公司 一种局域网络防护系统与方法
CN103259764B (zh) * 2012-02-17 2017-12-15 精品科技股份有限公司 一种局域网络防护系统与方法
CN103546385A (zh) * 2012-07-10 2014-01-29 杭州华三通信技术有限公司 流量转发控制方法和设备
US10050808B2 (en) 2012-07-10 2018-08-14 Hewlett Packard Enterprise Development Lp Traffic forwarding
US10419241B2 (en) 2012-07-10 2019-09-17 Hewlett Packard Enterprise Development Lp Traffic forwarding
CN103179224A (zh) * 2013-03-08 2013-06-26 华为技术有限公司 一种ip地址配置的方法、客户端及服务器
CN103179224B (zh) * 2013-03-08 2017-01-25 华为技术有限公司 一种ip地址配置的方法、客户端及服务器

Also Published As

Publication number Publication date
WO2010048874A1 (zh) 2010-05-06
EP2346217A1 (en) 2011-07-20
CN101729500B (zh) 2013-03-27
EP2346217A4 (en) 2012-12-26
US20110202670A1 (en) 2011-08-18
EP2346217B1 (en) 2016-03-30

Similar Documents

Publication Publication Date Title
CN101729500B (zh) 一种ip会话标识方法、装置和系统
EP2608491B1 (en) Method, apparatus and system for allocating public IP address
US7962584B2 (en) Usage of host generating interface identifiers in DHCPv6
CN107925626B (zh) 用于在网络元件中使用的方法和装置
CN108011824B (zh) 一种报文处理方法以及网络设备
CN100583904C (zh) 一种ipv6网络中主机地址的自动配置方法
CN106559292A (zh) 一种宽带接入方法和装置
WO2009138034A1 (en) Method and apparatus for internet protocol version six (ipv6) addressing and packet filtering in broadband networks
EP3108643B1 (en) Ipoe dual-stack subscriber for routed residential gateway configuration
CN109495594B (zh) 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统
EP2928141A1 (en) Ipv6 address tracing method, device, and system
CN102957759B (zh) 一种IPv6地址前缀的分配方法和系统
CN109194525A (zh) 一种网络节点配置方法及管理节点
US8867542B2 (en) Method and apparatus for connecting subscriber devices to an IPv6-capable aggregation network
CN104601743A (zh) 基于以太的IP转发IPoE双栈用户接入控制方法和设备
EP3108642B1 (en) Ipoe dual-stack subscriber for bridged residential gateway configuration
CN104378457A (zh) 一种分配ip地址的方法、装置及系统
CN105591848A (zh) 一种IPv6无状态自动配置的认证方法及装置
CN107579988B (zh) 配置安全策略的方法和装置
CN101945053B (zh) 一种报文的发送方法和装置
US6917977B2 (en) Method and system of automatic allocation of unique subnet identifier to a subnet in the network having multiple subnets and a plurality of associated routers and router interfaces
EP2566139A1 (en) Method and device for obtaining remote ip address
CN102761425A (zh) 计费方法及装置
CN109981813A (zh) 报文处理方法及装置
CN101945143A (zh) 一种在混合组网下防止报文地址欺骗的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant