CN102055733A - 协商业务承载隧道的方法、设备及系统 - Google Patents
协商业务承载隧道的方法、设备及系统 Download PDFInfo
- Publication number
- CN102055733A CN102055733A CN2009102094271A CN200910209427A CN102055733A CN 102055733 A CN102055733 A CN 102055733A CN 2009102094271 A CN2009102094271 A CN 2009102094271A CN 200910209427 A CN200910209427 A CN 200910209427A CN 102055733 A CN102055733 A CN 102055733A
- Authority
- CN
- China
- Prior art keywords
- key exchange
- internet key
- exchange authentication
- tunnel
- subscriber equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种协商业务承载隧道的方法,该方法包括:接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。本发明同时公开一种分组网关设备、用户设备和通信系统。采用本发明可以协商承载业务的非加密隧道,以便在后续进行业务承载时,不进行加解密处理和/或一致性检查,降低报文的传输时延及设备成本。
Description
技术领域
本发明涉及通信技术领域,尤其涉及协商业务承载隧道的方法、设备及系统。
背景技术
IKE(Internet Key Exchange,互联网密钥交换)协议是IPSec(Internet Protocol Security,互联网协议安全)实现中的首选密钥交换协议,新版的IKEv2(IKE version 2,互联网密钥交换版本2)协议保留了传统IKE的基本功能,并针对IKE研究过程中发现的问题进行修订,同时兼顾简洁性、高效性、安全性和健壮性的需要。通过核心功能和默认密码算法的最小化规定,IKEv2协议极大地提高了不同IPsec系统的互操作性。
IKEv2的协商过程如下:
IKEv2建立一对IPSec_SA(Security Association,安全联盟),正常情况使用两次交换4条消息就可以完成一个IKE_SA和一对IPSec_SA的协商建立,如果要求建立的IPSec_SA大于一对时,每一对IPSec_SA只需额外增加一次交换,也就是2条消息就可以完成。IKEv2定义了三种交互:初始交互(Initial Exchanges)、创建子SA交互(CREATE_CHILD_SA Exchange)以及信息交互(INFORMATIONAL Exchange)。
另一方面,由于NAT(Network Address Translation,网络地址转换),包括PAT(Port AddressTranslation,端口地址转换),在目前网络中应用非常广泛,当通信链路中存在NAT设备时,IPSec-NAT穿越需使用UDP(UserDatagram Protocol,用户数据报协议)传输,因此在IKEv2初始交互阶段协商中需要先探测是否存在NAT设备,也就是进行NAT探测。
为了探测通信链路中是否存在NAT设备,可在协商双方增加两个Notify(通报)载荷,其中的一个Notify载荷包括NAT_DETECTION_SOURCE_IP(NAT探测源IP地址),标识发起方的IP地址;另一个Notify载荷包括NAT_DETECTION_DESTINATION_IP(NAT探测目的IP地址),标识接收方(目的方)的IP地址。这一过程在IKEv2协商的IKE_SA_INIT阶段中进行,其中,前述两个Notify载荷:NAT_DETECTION_SOURCE_IP和NAT_DETECTION_DESTINATION_IP主要是为了探测通信双方是否存在NAT设备,并且确定哪一方处在NAT设备之后。在IKEv2中,NAT_DETECTION_SOURCE_IP和NAT_DETECTION_DESTINATION_IP在Notify消息类型中的编号分别为:16388和16389。载荷使用通用的ISAKMP载荷头,载荷的值是hash值(IKEv2规定使用SHA-1),hash值的计算如下:
hash=SHA-1(SPIs|IP|Port)
其中,SPIs为HDR载荷中的SPI(Security Parameter Index,安全参数索引);IP为数据包发出方或接受方的IP地址;Port为数据包发出方或接受方的端口号。
当响应方收到数据包后,对数据包中的SPIs、IP地址、端口号进行hash运算,并与本地存储的Notify载荷进行比较,如果不匹配,则说明通信链路中存在NAT设备。如果与NAT_DETECTION_SOURCE_IP不匹配,则说明发起方在NAT设备之后;如果与NAT_DETECTION_DESTINATION_IP不匹配,则说明响应方在NAT设备之后。
现有技术中至少存在如下不足:
所协商的承载业务的IPSec隧道为加密隧道,通过该加密隧道进行业务承载时,要求对用户数据流进行不同算法的加解密处理和/或一致性检查,将增大报文的传输时延,对用户设备和分组网关设备的处理能力要求高,设备成本高。
发明内容
本发明实施例提供一种协商业务承载隧道的方法,用以协商业务承载隧道,该方法包括:
接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
本发明实施例还提供一种协商业务承载隧道的方法,用以协商业务承载隧道,该方法包括:
发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
本发明实施例还提供一种分组网关设备,用以协商业务承载隧道,该分组网关设备包括:
接收模块,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
选择模块,用于在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
发送模块,用于发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
本发明实施例还提供一种用户设备,用以协商业务承载隧道,该用户设备包括:
发送模块,用于发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带所述用户设备支持的非加密隧道的信息;
接收模块,用于接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
本发明实施例还提供一种通信系统,用以协商业务承载隧道,该通信系统包括:
分组网关设备,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息;
所述用户设备,用于发送所述互联网密钥交换认证请求;接收所述互联网密钥交换认证应答。
本发明实施例中,接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便后续在进行业务承载时,不进行加解密处理和/或一致性检查,降低报文的传输时延及设备成本,提升业务的处理效率。
本发明实施例中,发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便后续在进行业务承载时,不进行加解密处理和/或一致性检查,降低报文的传输时延及设备成本,提升业务的处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中协商业务承载隧道的方法处理流程图;
图2为本发明实施例中IKEv2的初始交互流程图;
图3为本发明实施例中SA载荷的结构示意图;
图4为本发明实施例中安全提议载荷的结构示意图;
图5为本发明实施例中IP和PPP包的UDP封装承载隧道报文格式示意图;
图6为本发明实施例中协商业务承载隧道的方法处理流程图;
图7为本发明实施例中协商业务承载隧道的方法的一个具体实例的流程图;
图8为本发明实施例中用户业务流传输过程中各承载网段报文格式一个示意图;
图9为本发明实施例中协商业务承载隧道的方法的另一具体实例的流程图;
图10为本发明实施例中用户业务流传输过程中各承载网段报文格式另一示意图;
图11为本发明实施例中分组网关设备的结构示意图;
图12A、图12B为本发明实施例中分组网关设备的一个具体实例的结构示意图;
图13为本发明实施例中用户设备的结构示意图;
图14为本发明实施例中通信系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
实际应用场景中存在一些对安全性要求较高的业务,比如该些业务的用户为企业用户或该些业务传输的是企业的重要数据,另外也存在一些对安全性要求较低的业务,比如该些业务的用户为个人用户或该些业务传输HTTP(Hyper Text Transport Protocol,超文本传输协议)新闻、娱乐业务;在传输对安全性要求较低的业务时,不必要进行加解密处理和/或一致性检查,因此也不必一定采用IKEv2协商IPSec隧道进行业务承载,在业务的安全性要求较低时,完全可以采用非加密隧道进行业务承载,从而降低对用户设备和分组网关设备的处理能力要求,降低报文的传输时延及设备成本。
基于此,本发明实施例提供一种协商业务承载隧道的方法,如图1所示,该协商业务承载隧道的方法处理流程可以包括:
步骤101、接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
步骤102、在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
步骤103、发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
由图1所示流程可以得知,本发明实施例中,接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便后续在进行业务承载时,不进行加解密处理和/或一致性检查,降低对用户设备和分组网关设备的处理能力要求,降低报文的传输时延及设备成本,提升业务的处理效率。
具体实施时,图1所示流程中互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息可以有多种实现方式,能够实现由互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息即可,例如,可以通过在互联网密钥交换认证请求中加入指示信息,由该指示信息来指示用户设备支持的非加密隧道;该指示信息可以有多种形式,例如,该指示信息可以是互联网密钥交换认证请求中已有字段的自定义取值,可以通过在互联网密钥交换认证请求中对某些已有字段设置自定义取值,由该自定义取值来指示用户设备支持的非加密隧道。
为减小对现有协议的改动,有利于协商业务承载隧道的用户设备和分组网关设备的后续演进,一个实施例中,通过在互联网密钥交换认证请求中对某些已有字段设置自定义取值,由该自定义取值来指示用户设备支持的非加密隧道。当然,互联网密钥交换认证请求中可选择用于设置自定义取值的字段有多个,有私有值部分(Private use)的字段均可,下面以互联网密钥交换认证请求中安全提议载荷中协议标识字段以例进行说明。
为便于理解,首先简要说明IKEv2的三种交互流程及该流程中互联网密钥交换认证请求中安全提议载荷的结构。
IKEv2定义了三种交互:初始交互(Initial Exchanges)、创建子SA交互(CREATE_CHILD_SA Exchange)以及信息交互(INFORMATIONAL Exchange)。
其中,初始交互:此过程包括四条消息,建立IKE_SA和第一条CHILD_SA(子SA,即IPSec_SA)。分为两个阶段,分别是IKE_SA_INIT(IKE_SA初始化)、IKE_AUTH(IKE认证),通过IKE_SA_INIT阶段可以建立IKE_SA,为后续的IKEv2消息交换创建一条安全可靠的加密传输通道,也就是说后续的IKEv2协商消息是通过这条加密通道进行传输的,协商消息在传输之前是被加密了的。通过IKE_AUTH阶段可以建立第一条CHILD_SA,即创建第一个用于传输用户业务数据流的IPSec安全隧道。
创建子SA交互:如果两台安全网关之间需要建立多条隧道,则需要进行下一阶段的协商,使用IKE_SA生成多个CHILD_SA。此过程包括2条消息,并经过加密和完整性保护。
信息交互:IKEv2定义了信息交互来实现在密钥协商期间,通信一方告知对方发生的错误或通知某些事件,此阶段在初始交互之后,在协商完成的IKE_SA保护下进行信息交互。如删除IPSec_SA、探测对端是否处于存活状态等情况下就要进行此类信息交换。
如图2所示,IKEv2的初始交互流程包括IKE_SA初始化(IKE_SA_INIT)阶段,通过IKE_SA_INIT阶段双方完成DH(Diffie-Hellman)交换、Nonce(随机数)交换、密码算法协商,建立IKE_SA,从而为后续的IKEv2消息交互建立一条安全可靠的加密传输通道,也就是说后续的IKEv2协商消息是通过这条加密通道进行传输的,协商消息在传输之前是被加密了的。
步骤201、发起方(Initiator)发起IKE_SA_INIT请求,消息中携带发起方分配的SPI、建议的密码算法、DH值、Nonce;
步骤202、响应方(Responder)返回IKE_SA_INIT应答,消息中包含响应方分配的SPI、DH值、Nonce,以及根据发起方建议选择的密码算法;
KEv2的初始交互流程还包括IKE认证(IKE_AUTH)阶段,通过IKE_AUTH阶段双方交换ID互相确认对方身份,并建立第一条CHILD_SA,该IKE_AUTH阶段包括步骤203和步骤204:
步骤203、发起方发起IKE_AUTH请求,消息中携带加密的发起方ID(例如发起方的名字或者IP地址等)、前述IKE_SA_INIT请求消息的确认字段、建议的CHILD_SA等;
步骤204、响应方返回IKE_AUTH应答,消息中包含加密的响应方ID、前述IKE_SA_INIT响应消息的确认字段,以及根据发起方建议选择的密码算法。
图2所示IKE_AUTH阶段即步骤203、204,用于发起方和响应方者通过AUTH(认证)载荷确认双方的IKE_SA_INIT请求与应答,并协商创建第一个用于传输用户业务数据流的互联网协议安全联盟(IPSec_SA)。
协商IPSec_SA所用载荷为SA,在RFC4306标准定义中,SA载荷中包括多个优先级不同的安全提议载荷(Proposal),用于反映用户配置的IPSec安全策略。每个安全提议载荷中包括多个不同转换载荷(Transforms),用于指定用户配置的IPSec安全策略中的加密算法和/或验证算法。每个转换载荷中根据加密算法或验证算法可以携带零个或多个不同的参数(parameter)。图3、图4中分别给出了RFC4306标准中定义的SA载荷和安全提议载荷的结构。
图3中SA载荷中的主要字段包括:下一载荷(Next Payload)、重要性指示(C:Critical)、保留字段(RESERVED)、载荷长度(Payload Length)、安全提议载荷(Proposal);
图4中安全提议载荷中的主要字段定义及取值如下:
协议标识(Protocol ID):用于指示IPSec协议ID,取值及含义如表一所示:
表一 Protocol ID取值及含义
安全参数索引大小(SPI Size):指示SPI的以字节为单位的长度,如果为0,则无SPI字段;
安全参数索引(SPI):发起方的SPI;
#of Transforms:转换载荷的数目。
为支持通过IKEv2协商非加密隧道,实现互联网密钥交换认证请求指示用户设备支持的非加密隧道,本例中,对安全提议载荷中协议标识(Protocol ID)字段私有值部分进行了自定义,预定义安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,从而在后续发送的互联网密钥交换认证请求中,通过设置安全提议载荷中协议标识字段的取值,以指示用户设备支持的非加密隧道。表二举例说明了对协议标识字段私有值部分的一种自定义示例:
表二 Protocol ID字段私有值部分定义
表二中,Protocol ID取值为201和202的UDP-IP(Internet Protocol,互联网协议)和UDP-PPP(The Point-to-Point Protocol,点对点协议)用于用户设备和分组网关设备之间存在NAT设备情况下,分别表示IP和PPP包的UDP封装承载,对应的隧道报文格式如图5所示。
图5中UDP的源、目的端口号与IKEv2所选一致,用于支持NAT穿越。SPI通过IKEv2协商获得,与协商IPSec隧道的SPI方式相同。
Protocol ID取值为203、204、205的协议定义遵循相关隧道协议标准(分别参见RFC2003、RFC1701、RFC2004),用于用户设备和分组网关设备之间无NAT设备情况下的隧道承载。
表二中预定义了安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,其中Protocol ID取值为201-205时对应于不同的非加密隧道的协议类型,通过Protocol ID取值可以确定对应的隧道协议类型,从而确定支持该协议类型的非加密隧道;当然,表二中的对应关系是一个具体实例,非加密隧道和安全提议载荷中协议标识字段的取值(Protocol ID值)的对应关系可以改变,具体实施时可预定义二者的对应关系。除表二所示几种非加密隧道的协议类型之外,本发明实施例还可实施于其它类型的非加密隧道,实施方式均与表二所示相类似,这里不再赘述。
通过上述实施例设置安全提议载荷中协议标识字段的取值,实现由互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息后,在业务的安全级别低于预设级别,即在业务对安全性要求较低时,从用户设备支持的非加密隧道中选择承载所述业务的非加密隧道之前,还需确定用户设备支持的非加密隧道,例如可以读取所述互联网密钥交换认证请求中携带的指示信息,该指示信息指示用户设备支持的非加密隧道;根据该指示信息,确定用户设备支持的非加密隧道;又如,可以根据互联网密钥交换认证请求中安全提议载荷中的协议标识字段,确定用户设备支持的非加密隧道。
具体实施时,可以先读取所述互联网密钥交换认证请求中安全提议载荷中协议标识字段的取值;再根据读取的取值、以及预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,确定用户设备支持的非加密隧道。其中,预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系可存储于一装置中,该装置可以是用户设备,也可以是分组网关设备,还可以是网络中的其它设备,能够提供存储功能即可;实施时,从该存储装置获取该对应关系,并根据接收的互联网密钥交换认证请求中安全提议载荷中协议标识字段的取值,确定用户设备支持的非加密隧道;由于互联网密钥交换认证请求中可携带至少一个安全提议载荷,因此包含有至少一个协议标识字段,根据这些至少一个协议标识字段的取值可以确定用户设备支持的至少一种非加密隧道;后续从用户设备支持的至少一种非加密隧道中选择一种用于承载业务的非加密隧道;选择时可以设置一定的规则,例如按字段的取值大小进行选择,或者也可以随机选择。例如,在互联网密钥交换认证请求中包含有取值为201、202、203的协议标识字段时,可以确定用户设备支持的非加密隧道有三种,分别是:UDP-IP承载隧道方式的非加密隧道、UDP-PP承载隧道方式的非加密隧道、IPinIP承载隧道方式的非加密隧道;则可以从这三种非加密隧道中选择一种作为承载业务的非加密隧道,例如选择UDP-IP承载隧道方式的非加密隧道作为承载业务的非加密隧道。
具体实施时,与前述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息的实现方式相类似,图1所示流程中互联网密钥交换认证应答携带承载业务的非加密隧道的信息也可以有多种实现方式,能够实现由互联网密钥交换认证应答携带承载业务的非加密隧道的信息即可,例如,可以通过在互联网密钥交换认证应答中加入指示信息,由该指示信息来指示承载业务的非加密隧道;该指示信息可以有多种形式,例如,该指示信息可以是互联网密钥交换认证应答中已有字段的自定义取值,可以通过在互联网密钥交换认证应答中对某些已有字段设置自定义取值,由该自定义取值来指示承载业务的非加密隧道。
为减小对现有协议的改动,有利于协商业务承载隧道的用户设备和分组网关设备的后续演进,一个实施例中,通过在互联网密钥交换认证应答中对某些已有字段设置自定义取值,由该自定义取值来指示承载业务的非加密隧道。当然,互联网密钥交换认证应答中可选择用于设置自定义取值的字段有多个,有私有值部分的字段均可,例如也可以在互联网密钥交换认证应答中,设置安全提议载荷中协议标识字段的取值,以指示承载业务的非加密隧道。实施时,对安全提议载荷中协议标识字段私有值部分进行自定义,预定义安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,从而在后续发送的互联网密钥交换认证应答中,通过设置安全提议载荷中协议标识字段的取值,以指示承载业务的非加密隧道。具体实施与前述实现互联网密钥交换认证请求指示用户设备支持的非加密隧道时,自定义安全提议载荷中协议标识字段私有值部分相类似,这里不再赘述。同样,这里预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系也可存储于一装置中,该装置可以是用户设备,也可以是分组网关设备,还可以是网络中的其它设备,能够提供存储功能即可;实施时,从该存储装置获取该对应关系,以进行后续处理流程。
由此可见,在IKEv2 IKE_AUTH交互阶段,通过安全提议载荷中Protocol ID字段指定非加密隧道的协议类型,并分配给定SPI值,但不指定加解密算法和/或一致性检查算法,可以协商出非加密隧道,以便后续进行对安全性要求较低的业务的非加密传输。
图1所示流程中,在从用户设备支持的非加密隧道中选择承载所述业务的非加密隧道之前,还可以包括确定业务的安全级别。具体实施时,确定业务的安全级别低的具体实现方式也可以有多种,例如在互联网密钥交换认证请求中加入指示业务安全性要求高低的信息,通过该信息确定业务的安全级别,后续再与预设级别进行比较;事实上,在互联网密钥交换认证请求中,一些已有的参数就可以指示业务安全性要求高低,例如,在3GPP接入、通信链路中存在NAT设备的情况下、协商UDP-IP承载隧道的场景中,互联网密钥交换认证请求中包含W-APN(WLAN-AccessPointName,无线局域网接入点名称),利用W-APN即可确定业务的安全级别;又如,在3GPP2接入、通信链路中不存在NAT设备的情况下、协商GRE承载隧道的场景中,互联网密钥交换认证请求中包含中域名(Domain),利用域名也可确定业务的安全级别。
先以WLAN-3GPP系统为例,介绍一下W-APN的概念,3GPP2中的Domain与W-APN概念基本相同。
W-APN是WLAN-3GPP系统定义的网络标识。一方面,W-APN标识了WLAN-3GPP核心网PDG;另一方面,它也标识了通过该PDG所连接的外部PDN(如ISP网络、企业网等)或所关联的某种类型的业务(如Internet接入、WAP业务等)。W-APN的命名包括下面两个部分:
APN网络标识:定义了移动用户通过该PDG接入的外部网络或业务,这部分是必须的。
APN运营商标识:定义PDG所在的WLAN-3GPP核心网,这部分是可选的。
对PDG而言,首先需要知道的是移动用户将被允许通过PDG接入哪些外部PDN或业务,一旦确定后,就应当规划连接那些外部PDN或业务的接入点,并在PDG上配置相应W-APN信息。
本发明实施例根据图1流程确认用户业务安全级高低的方式可以是:预先根据PDG能够接入的外部网络或业务,在PDG设备上或其AAA Server上配置相应的W-APN,并为每个W-APN配置业务安全级别:例如1级、2级、3级、4级、5级,数字越大,安全级别越高,并可规定预设级别为3级,则业务安全级别小于3级的为低安全级业务,可建立非加密隧道。
这样在3GPP接入、通信链路中存在NAT设备的情况下、协商UDP-IP承载隧道的场景中,UE在发送的互联网密钥交换认证请求中包含请求的W-APN,PDG根据请求的W-APN对用户进行鉴权和授权,获取PDG本地或其AAA Server上配置的该W-APN对应的业务安全级别并确定是否可建立非加密隧道。类似的,在3GPP2接入、通信链路中不存在NAT设备的情况下、协商GRE承载隧道的场景中,UE在发送的互联网密钥交换认证请求中包含请求的域名(Domain),PDG根据请求的Domain对用户进行鉴权和授权,获取PDG本地或其AAA Server上配置的该Domain对应的业务安全级别并确定是否可建立非加密隧道。
即,上述确定业务的安全级别,具体实施时可以包括:
在接入3GPP或LTE(Long Term Evolution,长期演进)网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;
或者,在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
另一实施例中,图1所示流程中,互联网密钥交换认证请求还可以携带用户设备支持的加密隧道的信息;后续若业务的安全级别高于预设级别,则可以根据用户设备支持的加密隧道的信息,从用户设备支持的加密隧道中选择承载所述业务的加密隧道;在发送的互联网密钥交换认证应答中携带承载所述业务的加密隧道的信息。这样,对安全性要求较高的业务,可以建立正常的IPSec隧道,满足高安全性要求;实施时根据业务的安全性要求,既能协商IPSec隧道,即支持加解密和/或一致性检查的业务承载隧道,又能协商非加密隧道,运营商可以灵活部署网络,降低分组网关设备和用户设备的成本,吸引客户;非加密隧道和正常的IPSec隧道能够共存,即可以根据不同业务的安全性要求,同时为同一用户或不同用户建立非加密隧道和IPSec隧道。
图1所示流程及具体实施可由能够实现其功能的设备完成,例如实施于不同的网络侧设备,如PDG、PDIF、LTE中的ePDG网关等分组网关设备。
本发明实施例还提供一种协商业务承载隧道的方法,其处理流程如图6所示,可以包括:
步骤601、发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
步骤602、接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
由图6所示流程可以得知,本发明实施例中,发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便在后续进行业务承载时,不进行加解密处理和/或一致性检查,降低对用户设备和分组网关设备的处理能力要求,降低报文的传输时延及设备成本,提升业务的处理效率。
图6所示流程具体实施时,发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息,可以包括:
在发送的所述互联网密钥交换认证请求中,携带指示信息,该指示信息指示所述用户设备支持的非加密隧道;
和/或,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,可以包括:
所述互联网密钥交换认证携带指示信息,该指示信息指示承载所述业务的非加密隧道。
一个实施例中,所述互联网密钥交换认证请求中携带的指示信息,可以指:所述互联网密钥交换认证请求中已有字段的自定义取值;即,在发送的所述互联网密钥交换认证请求中,携带指示信息,该指示信息指示所述用户设备支持的非加密隧道,可以包括:在发送的所述互联网密钥交换认证请求中,设置已有字段的自定义取值,以指示所述用户设备支持的非加密隧道;例如可以根据预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,在发送的所述互联网密钥交换认证请求中,设置安全提议载荷中协议标识字段的取值,以指示用户设备支持的非加密隧道。
所述互联网密钥交换认证应答携带的指示信息,可以是:所述互联网密钥交换认证应答中已有字段的自定义取值;即,所述互联网密钥交换认证携带指示信息,该指示信息指示承载所述业务的非加密隧道,可以包括:所述互联网密钥交换认证应答中已有字段的自定义取值,指示根据该取值、以及预定义的该已有字段的取值与非加密隧道的对应关系,确定的承载所述业务的非加密隧道;例如可以包括:所述互联网密钥交换认证应答中安全提议载荷中协议标识字段的取值,指示根据该取值、以及预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系,确定的承载所述业务的非加密隧道。
同样的,这里预定义的安全提议载荷中协议标识字段的取值与非加密隧道的对应关系可存储于一装置中,该装置可以是用户设备,也可以是分组网关设备,还可以是网络中的其它设备,能够提供存储功能即可;实施时,从该存储装置获取该对应关系,以进行后续处理流程。
另一实施例中,所述互联网密钥交换认证请求还可以携带用户设备支持的加密隧道的信息;则接收的互联网密钥交换认证应答还可以携带承载所述业务的加密隧道的信息,所述承载所述业务的加密隧道是分组网关设备在业务的安全级别高于预设级别时,根据用户设备支持的加密隧道的信息,从用户设备支持的加密隧道中选择的。
前述图6所示流程的具体实施与图1所示流程的具体实施相类似,这里不再赘述。图6所示流程及具体实施可由能够实现其功能的设备完成,例如实施于不同的用户设备,如可以是3GPP接入、通信链路中存在NAT设备的情况下、协商UDP-IP承载隧道的场景中的UE,又或者是3GPP2接入、通信链路中不存在NAT设备的情况下、协商GRE承载隧道的场景中的MS(Mobile Station)。
为便于理解,下面先简要说明现有技术中3GPP接入、通信链路中存在NAT设备的情况下、协商UDP-IP承载隧道的场景,以及3GPP2接入、通信链路中不存在NAT设备的情况下、协商GRE承载隧道的场景。
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)工作组提出3GPP-WLAN(Wireless Local Area Network,无线局域网)Interworking(互通)概念,允许WLAN用户接入3GPP网络,使用3GPP业务和功能。标准中定义WLAN UE(User Equipment,用户设备)用IKEv2作为接入PDG(Packet Data Gateway,分组数据网关)的信令。
WLAN会话建立流程中,先完成UE和PDG之间IKE_SA的协商,为后续信令传输建立安全链路,再进行二者之间的EAP-AKA(EAP:Extensible Authentication Protocol,扩展认证协议;AKA:Authentication and Key Agreement,鉴权与密钥协商)认证过程,也就是UE和3GPP AAA(Authentication,Authorization and Accounting,认证、授权和计费)、HSS(Home Subscriber Server,归属签约用户服务器)/HLR(Home Location Register,归属位置寄存器)之间的业务接入认证过程,认证方法是EAP-AKA。之后完成UE、PDG通信双方对IKE_SA_INIT消息的确认,同时协商完成第一个IPSec_SA。如果用户有多业务流,需要建立新的IPSec安全业务通道,则再额外增加一次交换。
3GPP2工作组也将WLAN作为一种非常重要的接入手段,允许WLAN UE通过PDIF(Packet Data Interworking Function,分组数据互通功能)接入3GPP2核心网。3GPP2支持多种接入场景,例如对于WLAN UE接入CDMA2000(Code Division Multiple Access 2000码分多址2000)的场景,接入处理与3GPP中的类似,先完成IKE SA的协商,再完成MS和CDMA2000H-AAA的业务接入认证,以及完成MS和PDIF通信双方IKE_SA_INIT的确认和IPSec_SA的协商。之后利用建立的IPSec安全隧道进行用户数据业务流传输。
下面举一具体实例说明本发明实施例中协商业务承载隧道的方法。本例实施场景为3GPP接入、通信链路中存在NAT设备的情况下、协商UDP-IP承载隧道。
如图7所示,本例的具体实施流程可以包括:
步骤701、用户设备(UE)向分组数据网关(PDG)发起IKE_SA_INIT请求;
步骤702、PDG向UE返回IKE_SA_INIT应答;通过步骤701、702的实施,在IKE_SA_INIT阶段通过NAT_Di(即NAT_DETECT_SOURCE_IP)、NAT_Dr(即NAT_DETECT_DESTINATION_IP),可以检测到UE和PDG之间是否有NAT设备,以及NAT方向,并为后续的IKEv2消息交换创建一条安全加密通道,这里的安全加密通道是为业务承载隧道的协商过程而创建的,不同于后续协商出的承载业务的非加密隧道或加密隧道;
步骤703、UE向PDG发起互联网密钥交换认证请求(IKE_AUTH Request),消息中携带加密的UE ID、W-APN、支持的非加密隧道和加密隧道、加密算法等,用于请求用户认证和授权,以及请求协商创建传输用户业务数据流的承载隧道;
在存在NAT的情况下,PDG通过对用户请求的W-APN进行认证和授权,获得PDG本地或其AAA Server上保存的该W-APN对应的业务安全级别并判断出业务的安全级别低于预设级别,则从互联网密钥交换认证请求中获得用户设备支持的非加密隧道的信息,进而根据该信息,从用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;通过步骤706的IKE_AUTH应答,返回PDG选择建立的承载所述业务的非加密隧道,例如UDP-IP隧道,步骤706的IKE_AUTH应答的SA中的安全提议载荷的主要字段数据取值可以如下:Protocol ID=201,SPI Size=4,#of Transforms=0,SPI=0xXXXXXXXX。通过其中的Protocol ID=201,指示所选择的承载所述业务的非加密隧道为UDP-IP承载隧道方式。这样UE和PDG之间就协商建立了UDP-IP承载隧道方式的非加密隧道。
在协商建立了非加密隧道后,业务通过非加密隧道进行承载,用户业务流传输过程中各承载网段报文格式可以如图8所示。
图8中,PDG对上行包的处理过程可以包括:UE发出的用户业务包封装为IP+UDP+SPI+IP(Service)格式,外层IP源地址为UE本地地址,可以是私网地址,目的地址为PDG Wu逻辑接口地址。隧道报文在网关接收后根据包中SPI查找用户上下文,解封装上行包并向网络侧PDN转发内层的IP(Service)包。下行包处理与之相反。
上述处理流程是在业务的安全级别低于预设级别时,协商承载业务的非加密隧道;当然,实施中若业务的安全级别高于预设级别,还可以协商承载业务的加密隧道:
在存在NAT的情况下,PDG通过对用户请求的W-APN进行认证和授权,获得PDG本地或其AAA Server上保存的该W-APN对应的业务安全级别并判断出业务的安全级别高于预设级别,则从用户设备支持的加密隧道中选择承载所述业务的加密隧道;发送指示承载所述业务的加密隧道的互联网密钥交换认证应答,这样UE和PDG之间就协商建立了加密隧道;
具体实施时,首先在步骤703之后,执行UE与PDG之间的EAP-AKA认证过程,在UE和3GPP AAA、HSS/HLR之间进行业务接入认证;再按如下流程实施步骤704-步骤706:
步骤704、分组数据网关通过IKE_AUTH应答(IKE_AUTH Response),通知用户设备认证成功;
步骤705、用户设备通过互联网密钥交换认证请求(IKE_AUTH Request),对步骤701中IKE_SA_INIT请求消息进行确认,表明步骤701和步骤705的消息为同一合法的用户设备发送;
步骤706、通过IKE_AUTH应答(IKE_AUTH Response)完成UE、PDG通信双方对IKE_SA_INIT消息的确认,同时协商完成第一个IPSec_SA;
如果用户有多业务流,需要建立新的IPSec安全业务通道,则通过步骤707的创建子安全联盟请求(CREATE_CHILD_SA)和步骤708的创建子安全联盟应答(CREATE_CHILD_SA),再额外增加一次交换。
下面再举一具体实例说明本发明实施例中协商业务承载隧道的方法。本例实施场景为3GPP2接入、通信链路中不存在NAT设备的情况下、协商GRE承载隧道。
如图9所示,本例的具体实施流程可以包括:
步骤901、在IKE_SA_INIT阶段检测MS和PDIF之间是否有NAT设备,以及NAT方向。
步骤902、MS向PDIF发送互联网密钥交换认证请求(IKE_AUTH,CFG_REQUEST),消息中携带加密的MS ID、支持的非加密隧道和加密隧道、加密算法等;
在不存在NAT的情况下,PDIF通过步骤902中的互联网密钥交换认证请求中的IDi载荷中Domain(域名),经过认证和授权之后,获取与Domain对应的请求的业务安全级别,若业务的安全级别低于预设级别,则从互联网密钥交换认证请求中获得用户设备支持的非加密隧道的信息,进而根据该信息,从用户设备支持的非加密隧道中选择一种隧道例如GRE隧道,通过步骤906的IKE_AUTH应答,返回PDIF选择建立的承载所述业务的非加密隧道,例如GRE隧道,步骤906的IKE_AUTH应答的SA载荷中,安全提议载荷的主要字段数据取值如下:Protocol ID=204,SPI Size=4,#of Transforms=0,SPI=0xYYYYYYYY。通过其中的Protocol ID=204,指示所选择的承载所述业务的非加密隧道为GRE承载隧道方式。这样MS和PDIF之间就协商建立了GRE承载隧道方式的非加密承载隧道。
在协商建立了非加密隧道后,利用非加密隧道进行业务的承载传输,用户业务流传输过程中各承载网段报文格式可以如图10所示。
图10中,PDIF对上行包的处理过程可以包括:从MS发出时,用户业务包封装为IP+GRE+IP(Service)格式,外层IP源地址为MS本地地址,可以是私网地址,目的地址为PDIF逻辑接口5的IP地址。隧道报文在网关接收后根据包中GRE Key即PDIF在IKE_AUTH阶段指定的SPI查找用户上下文,解封装上行包,并通过VPN(Virtual Private Network,虚拟专用网络)隧道向网络侧转发用户业务包。下行包处理与之相反。
上述处理流程是在业务的安全级别低于预设级别时,协商承载业务的非加密隧道;当然,实施中若业务的安全级别高于预设级别,还可以协商承载业务的加密隧道:
在不存在NAT的情况下,PDIF通过步骤902中的互联网密钥交换认证请求中的IDi载荷中Domain,经过认证和授权之后,获取与Domain对应的请求的业务安全级别,若业务的安全级别高于预设级别,则从用户设备支持的加密隧道中选择承载所述业务的加密隧道;发送指示承载所述业务的加密隧道的互联网密钥交换认证应答,这样MS和PDIF之间就协商建立了加密隧道;
具体实施可以包括:先执行步骤903,进行MS和CDMA2000H-AAA的业务接入认证;再实施步骤904-步骤906:
步骤904、PDIF通过IKE_AUTH应答(IKE_AUTH,CFG_REPLY),通知MS认证成功;
步骤905、MS通过互联网密钥交换认证请求(IKE_AUTH,CFG_REQUEST),对步骤901中IKE_SA_INIT阶段的IKE_SA_INIT请求进行确认,表明步骤901和步骤905中的消息为同一合法的MS发送;
步骤906、通过IKE_AUTH应答(IKE_AUTH,CFG_REPLY)完成MS和PDIF通信双方IKE_SA_INIT的确认和IPSec_SA的协商;
如果用户有多业务流,需要建立新的IPSec安全业务通道,则通过步骤907的创建子安全联盟请求(CREATE_CHILD_SA)和步骤908的创建子安全联盟应答(CREATE_CHILD_SA),再额外增加一次交换。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,可以包括上述实施例方法中的全部或部分步骤,所述的存储介质可以包括:ROM、RAM、磁盘、光盘等。
本发明实施例中还提供了一种分组网关设备、用户设备及通信系统,如下面的实施例所述。由于这些设备、系统解决问题的原理与协商业务承载隧道的方法相似,因此这些设备、系统的实施可以参见方法的实施,重复之处不再赘述。
如图11所示,本发明实施例中的分组网关设备可以包括:
接收模块1101,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
选择模块1102,用于在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
发送模块1103,用于发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
如图12A所示,一个实施例中,图11所示的分组网关设备还可以包括:
第一确定模块1201,可用于:
在接入3GPP或LTE网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;或,
在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
如图12B所示,一个实施例中,图11所示的分组网关设备还可以包括:
第二确定模块1202,用于读取所述互联网密钥交换认证请求中携带的指示信息,该指示信息指示所述用户设备支持的非加密隧道;根据该指示信息,确定所述用户设备支持的非加密隧道;
和/或,发送模块1103具体可用于:
在发送的所述互联网密钥交换认证应答中,携带指示信息,该指示信息指示承载所述业务的非加密隧道。
一个实施例中,所述互联网密钥交换认证请求中携带的指示信息,可以是:所述互联网密钥交换认证请求中已有字段的自定义取值;即,第二确定模块1202具体可用于:
读取所述互联网密钥交换认证请求中已有字段的自定义取值,该已有字段的自定义取值指示所述用户设备支持的非加密隧道,根据该已有字段的自定义取值,确定所述用户设备支持的非加密隧道;
所述互联网密钥交换认证应答中携带的指示信息,可以是:所述互联网密钥交换认证应答中已有字段的自定义取值;即,发送模块1103具体可用于:在发送的所述互联网密钥交换认证应答中,设置已有字段的自定义取值,以指示承载所述业务的非加密隧道。
一个实施例中,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;选择模块1102还可以用于:在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择承载所述业务的加密隧道;所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息。
如图13所示,本发明实施例中的用户设备可以包括:
发送模块1301,用于发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带所述用户设备支持的非加密隧道的信息;
接收模块1302,用于接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
一个实施例中,发送模块1301具体可用于:
在发送的所述互联网密钥交换认证请求中,携带指示信息,该指示信息指示所述用户设备支持的非加密隧道;
和/或,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,可以包括:所述互联网密钥交换认证携带指示信息,该指示信息指示承载所述业务的非加密隧道。
一个实施例中,所述互联网密钥交换认证请求中携带的指示信息,可以是:所述互联网密钥交换认证请求中已有字段的自定义取值;即,发送模块1301具体可用于:在发送的所述互联网密钥交换认证请求中,设置已有字段的自定义取值,以指示所述用户设备支持的非加密隧道;
所述互联网密钥交换认证应答携带的指示信息,可以是:所述互联网密钥交换认证应答中已有字段的自定义取值;即,所述互联网密钥交换认证携带指示信息,该指示信息指示承载所述业务的非加密隧道,可以包括:所述互联网密钥交换认证应答中已有字段的自定义取值,指示根据该取值、以及预定义的该已有字段的取值与非加密隧道的对应关系,确定的承载所述业务的非加密隧道。
一个实施例中,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息,所述承载所述业务的加密隧道是分组网关设备在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择的。
如图14所示,本发明实施例中的通信系统可以包括:
分组网关设备1401,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备1402支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据用户设备1402支持的非加密隧道的信息,从用户设备1402支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息;
用户设备1402,用于发送所述互联网密钥交换认证请求;接收所述互联网密钥交换认证应答。
一个实施例中,分组网关设备1401还可用于:
在接入第三代合作伙伴计划3GPP或长期演进LTE网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;或,
在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
本发明实施例中,接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便后续在进行业务承载时,不进行加解密处理和/或一致性检查,降低对用户设备和分组网关设备的处理能力要求,降低报文的传输时延及设备成本,提升业务的处理效率。
本发明实施例中,发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的,从而完成业务承载隧道的协商,不同于现有技术中对不同安全级别的业务均采用IKEv2协商IPSec隧道,而是对于安全级别低于预设级别的业务,协商承载该业务的非加密隧道,以便后续在进行业务承载时,不进行加解密处理和/或一致性检查,降低对用户设备和分组网关设备的处理能力要求,降低报文的传输时延及设备成本,提升业务的处理效率。
本发明实施例对现有协议影响小,有利于分组网关设备和用户设备的后续演进;具体实施中,用户设备在接入PDG、PDIF以及LTE中的ePDG网关时,可以通过W-APN/Domain确定业务安全性要求,并根据业务安全性要求,协商IPSec隧道,即支持加解密和/或一致性检查的隧道,或者协商非加密隧道,对安全性要求较低的用户业务,可以建立非加密隧道,不进行加解密和/或一致性检查,降低对用户设备和分组网关设备的处理能力要求,降低传输时延,以及设备成本;对安全性要求较高的用户业务,可以建立正常的IPSec隧道,满足高安全性要求。这样运营商可以灵活部署网络,降低分组网关设备和用户设备成本,吸引客户。
本发明实施例还支持NAT穿越,可根据通信链路中是否存在NAT,协商创建不同的非加密承载隧道。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种协商业务承载隧道的方法,其特征在于,该方法包括:
接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
2.如权利要求1所述的方法,其特征在于,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道之前,还包括:
在接入第三代合作伙伴计划3GPP或长期演进LTE网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;或,
在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
3.如权利要求1所述的方法,其特征在于,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道之前,还包括:
读取所述互联网密钥交换认证请求中携带的指示信息,该指示信息指示所述用户设备支持的非加密隧道,根据该指示信息,确定所述用户设备支持的非加密隧道;
和/或,所述发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,包括:
在发送的所述互联网密钥交换认证应答中,携带指示信息,该指示信息指示承载所述业务的非加密隧道。
4.如权利要求3所述的方法,其特征在于,所述互联网密钥交换认证请求中携带的指示信息,是指:所述互联网密钥交换认证请求中已有字段的自定义取值;
所述互联网密钥交换认证应答中携带的指示信息,是指:所述互联网密钥交换认证应答中已有字段的自定义取值。
5.如权利要求1所述的方法,其特征在于,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;
所述方法还包括:
在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择承载所述业务的加密隧道;
所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息。
6.一种协商业务承载隧道的方法,其特征在于,该方法包括:
发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
7.如权利要求6所述的方法,其特征在于,发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带所述用户设备支持的非加密隧道的信息,包括:
在发送的所述互联网密钥交换认证请求中,携带指示信息,该指示信息指示所述用户设备支持的非加密隧道;
和/或,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,包括:
所述互联网密钥交换认证应答携带指示信息,该指示信息指示承载所述业务的非加密隧道。
8.如权利要求7所述的方法,其特征在于,所述互联网密钥交换认证请求中携带的指示信息,是指:所述互联网密钥交换认证请求中已有字段的自定义取值;
所述互联网密钥交换认证应答携带的指示信息,是指:所述互联网密钥交换认证应答中已有字段的自定义取值。
9.如权利要求6所述的方法,其特征在于,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;
所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息,所述承载所述业务的加密隧道是分组网关设备在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择的。
10.一种分组网关设备,其特征在于,该设备包括:
接收模块,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;
选择模块,用于在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;
发送模块,用于发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息。
11.如权利要求10所述的分组网关设备,其特征在于,还包括:
第一确定模块,用于:
在接入3GPP或LTE网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;或,
在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
12.如权利要求10所述的分组网关设备,其特征在于,还包括:
第二确定模块,用于读取所述互联网密钥交换认证请求中携带的指示信息,该指示信息指示所述用户设备支持的非加密隧道;根据该指示信息,确定所述用户设备支持的非加密隧道;
和/或,所述发送模块具体用于:
在发送的所述互联网密钥交换认证应答中,携带指示信息,该指示信息指示承载所述业务的非加密隧道。
13.如权利要求12所述的分组网关设备,其特征在于,所述互联网密钥交换认证请求中携带的指示信息,是指:所述互联网密钥交换认证请求中已有字段的自定义取值;
所述互联网密钥交换认证应答中携带的指示信息,是指:所述互联网密钥交换认证应答中已有字段的自定义取值。
14.如权利要求10所述的分组网关设备,其特征在于,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;
所述选择模块还用于:在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择承载所述业务的加密隧道;
所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息。
15.一种用户设备,其特征在于,包括:
发送模块,用于发送互联网密钥交换认证请求,所述互联网密钥交换认证请求携带所述用户设备支持的非加密隧道的信息;
接收模块,用于接收互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,所述承载所述业务的非加密隧道是分组网关设备在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息从所述用户设备支持的非加密隧道中选择的。
16.如权利要求15所述的用户设备,其特征在于,所述发送模块具体用于:
在发送的所述互联网密钥交换认证请求中,携带指示信息,该指示信息指示所述用户设备支持的非加密隧道;
和/或,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息,包括:
所述互联网密钥交换认证应答携带指示信息,该指示信息指示承载所述业务的非加密隧道。
17.如权利要求16所述的用户设备,其特征在于,所述互联网密钥交换认证请求中携带的指示信息,是指:所述互联网密钥交换认证请求中已有字段的自定义取值;
所述互联网密钥交换认证应答携带的指示信息,是指:所述互联网密钥交换认证应答中已有字段的自定义取值。
18.如权利要求15所述的用户设备,其特征在于,所述互联网密钥交换认证请求还携带所述用户设备支持的加密隧道的信息;
所述互联网密钥交换认证应答还携带承载所述业务的加密隧道的信息,所述承载所述业务的加密隧道是分组网关设备在业务的安全级别高于预设级别时,根据所述用户设备支持的加密隧道的信息,从所述用户设备支持的加密隧道中选择的。
19.一种通信系统,其特征在于,包括:
分组网关设备,用于接收互联网密钥交换认证请求,所述互联网密钥交换认证请求携带用户设备支持的非加密隧道的信息;在业务的安全级别低于预设级别时,根据所述用户设备支持的非加密隧道的信息,从所述用户设备支持的非加密隧道中选择承载所述业务的非加密隧道;发送互联网密钥交换认证应答,所述互联网密钥交换认证应答携带承载所述业务的非加密隧道的信息;
所述用户设备,用于发送所述互联网密钥交换认证请求;接收所述互联网密钥交换认证应答。
20.如权利要求19所述的通信系统,其特征在于,所述分组网关设备进一步用于:
在接入第三代合作伙伴计划3GPP或长期演进LTE网络时,根据所述互联网密钥交换认证请求中的无线局域网接入点名称,以及预设的无线局域网接入点名称与业务的安全级别的对应关系,确定业务的安全级别;或,
在接入3GPP2网络时,根据所述互联网密钥交换认证请求中的域名,以及预设的域名与业务的安全级别的对应关系,确定业务的安全级别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910209427 CN102055733B (zh) | 2009-10-30 | 2009-10-30 | 协商业务承载隧道的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910209427 CN102055733B (zh) | 2009-10-30 | 2009-10-30 | 协商业务承载隧道的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102055733A true CN102055733A (zh) | 2011-05-11 |
| CN102055733B CN102055733B (zh) | 2013-08-07 |
Family
ID=43959663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910209427 Active CN102055733B (zh) | 2009-10-30 | 2009-10-30 | 协商业务承载隧道的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102055733B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752317A (zh) * | 2012-07-27 | 2012-10-24 | 汉柏科技有限公司 | 对ipsec报文加解密的方法及系统 |
| CN105703999A (zh) * | 2016-03-29 | 2016-06-22 | 华为技术有限公司 | 建立gre隧道的方法和设备 |
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
| CN107204994A (zh) * | 2017-07-24 | 2017-09-26 | 杭州迪普科技股份有限公司 | 一种基于IKEv2确定保护网段的方法和装置 |
| CN107302428A (zh) * | 2017-05-26 | 2017-10-27 | 北京国电通网络技术有限公司 | 一种配电网中数据传送业务的密码算法的协商方法 |
| CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN109246138A (zh) * | 2018-10-23 | 2019-01-18 | 深信服科技股份有限公司 | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 |
| CN111903105A (zh) * | 2018-03-27 | 2020-11-06 | 微软技术许可有限责任公司 | 多路复用安全隧道 |
| CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
| WO2022002098A1 (zh) * | 2020-06-30 | 2022-01-06 | 中兴通讯股份有限公司 | 信息发送的方法、信息接收的方法、网络端 |
| CN115242560A (zh) * | 2022-09-23 | 2022-10-25 | 浙江大华技术股份有限公司 | 多通道数据传输方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1643947A (zh) * | 2002-03-20 | 2005-07-20 | Ut斯达康有限公司 | 用于提供动态互联网协议安全策略服务的方法 |
| CN1812406A (zh) * | 2004-12-21 | 2006-08-02 | 株式会社理光 | 通信设备、通信方法、通信程序和记录媒体 |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN101079804A (zh) * | 2006-05-25 | 2007-11-28 | 华为技术有限公司 | 在WiMAX与3GPP互连中建立隧道的方法 |
| CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和系统 |
| WO2009068603A2 (fr) * | 2007-11-30 | 2009-06-04 | Thales | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede |
| US20090310622A1 (en) * | 2008-06-12 | 2009-12-17 | Alcatel Lucent | Minimal GAN RTP packet length via multi-level header compression |
-
2009
- 2009-10-30 CN CN 200910209427 patent/CN102055733B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1643947A (zh) * | 2002-03-20 | 2005-07-20 | Ut斯达康有限公司 | 用于提供动态互联网协议安全策略服务的方法 |
| CN1812406A (zh) * | 2004-12-21 | 2006-08-02 | 株式会社理光 | 通信设备、通信方法、通信程序和记录媒体 |
| CN1863048A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 用户与接入设备间因特网密钥交换协商方法 |
| CN101079804A (zh) * | 2006-05-25 | 2007-11-28 | 华为技术有限公司 | 在WiMAX与3GPP互连中建立隧道的方法 |
| CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和系统 |
| WO2009068603A2 (fr) * | 2007-11-30 | 2009-06-04 | Thales | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede |
| US20090310622A1 (en) * | 2008-06-12 | 2009-12-17 | Alcatel Lucent | Minimal GAN RTP packet length via multi-level header compression |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752317A (zh) * | 2012-07-27 | 2012-10-24 | 汉柏科技有限公司 | 对ipsec报文加解密的方法及系统 |
| CN105703999A (zh) * | 2016-03-29 | 2016-06-22 | 华为技术有限公司 | 建立gre隧道的方法和设备 |
| CN105703999B (zh) * | 2016-03-29 | 2019-06-11 | 华为技术有限公司 | 建立gre隧道的方法和设备 |
| CN106254376A (zh) * | 2016-09-05 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种认证协商方法及装置 |
| CN106254376B (zh) * | 2016-09-05 | 2019-10-11 | 新华三技术有限公司 | 一种认证协商方法及装置 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN107302428A (zh) * | 2017-05-26 | 2017-10-27 | 北京国电通网络技术有限公司 | 一种配电网中数据传送业务的密码算法的协商方法 |
| CN107204994B (zh) * | 2017-07-24 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种基于IKEv2确定保护网段的方法和装置 |
| CN107204994A (zh) * | 2017-07-24 | 2017-09-26 | 杭州迪普科技股份有限公司 | 一种基于IKEv2确定保护网段的方法和装置 |
| CN107682284A (zh) * | 2017-08-02 | 2018-02-09 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| CN107682284B (zh) * | 2017-08-02 | 2021-06-01 | 华为技术有限公司 | 发送报文的方法和网络设备 |
| US11277391B2 (en) | 2017-08-02 | 2022-03-15 | Huawei Technologies Co., Ltd. | Packet sending method and apparatus |
| CN111903105A (zh) * | 2018-03-27 | 2020-11-06 | 微软技术许可有限责任公司 | 多路复用安全隧道 |
| CN109246138A (zh) * | 2018-10-23 | 2019-01-18 | 深信服科技股份有限公司 | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 |
| WO2022002098A1 (zh) * | 2020-06-30 | 2022-01-06 | 中兴通讯股份有限公司 | 信息发送的方法、信息接收的方法、网络端 |
| CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
| CN115242560A (zh) * | 2022-09-23 | 2022-10-25 | 浙江大华技术股份有限公司 | 多通道数据传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102055733B (zh) | 2013-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102055733B (zh) | 协商业务承载隧道的方法、设备及系统 | |
| US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
| Dragomir et al. | A survey on secure communication protocols for IoT systems | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| CN102801695B (zh) | 虚拟专用网通信设备及其数据包传输方法 | |
| CN101299665B (zh) | 报文处理方法、系统及装置 | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| CN103283203B (zh) | 安全关联 | |
| CN101300861A (zh) | 用于把具有接入节点的第二通信网络连接到具有接触节点的第一通信网络的方法 | |
| CN105763318B (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN105376239A (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
| CN103929299A (zh) | 地址即公钥的自安全轻量级网络报文传输方法 | |
| FI119863B (fi) | Etäasiakkaan aitouden ja oikeuksien varmistaminen | |
| CN104618902A (zh) | 不加密的网络操作解决方案 | |
| Dhall et al. | Implementation of IPSec protocol | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| Pérez et al. | Architecture of security association establishment based on bootstrapping technologies for enabling secure IoT infrastructures | |
| CN102025742A (zh) | 一种ike报文的协商方法和设备 | |
| CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
| Migault et al. | Diet-ESP: IP layer security for IoT | |
| CN114245332A (zh) | 一种物联网设备的dtls连接建立方法及系统 | |
| Ajay et al. | Packet encryption for securing real-time Mobile cloud applications | |
| CN101360096A (zh) | 一种应用于数字医疗的系统安全规划方案 | |
| Somaya et al. | Secure communication in E-health care system monitoring | |
| CN104509046B (zh) | 一种数据通信方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |