CN106027387B - 一种语音业务的处理方法、网关设备及系统 - Google Patents
一种语音业务的处理方法、网关设备及系统 Download PDFInfo
- Publication number
- CN106027387B CN106027387B CN201610524521.6A CN201610524521A CN106027387B CN 106027387 B CN106027387 B CN 106027387B CN 201610524521 A CN201610524521 A CN 201610524521A CN 106027387 B CN106027387 B CN 106027387B
- Authority
- CN
- China
- Prior art keywords
- address
- gateway
- vcpe
- message
- voice service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种语音业务的处理方法、网关设备及系统。本发明方法包括:网关设备为广域网接口配置第一IP地址,第一IP地址是vCPE根据网关设备的请求为网关设备分配的;网关设备使用广域网接口上配置的第一IP地址与vCPE建立IPsec通道;网关设备将在IPsec通道建立过程中从vCPE获得的第二IP地址分配给语音业务;网关设备对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过IPsec通道发送给vCPE,以使vCPE将语音业务报文传输至语音业务服务器。本发明能够提高语音业务的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种语音业务的处理方法、网关设备及系统。
背景技术
接入层网络是各种业务开展的基础平台,随着接入业务的快速发展,特别是随着中小企业网络接入市场的不断发展,实现用户内部数据、语音统一接入,满足用户对成本低、通信便捷、沟通高效的诉求是当前融合通信系统解决方案的目标。目前的解决方案中,企业网关作为一种接入产品,可通过无源光纤(Passive Optical,PON)网络,接入到宽带远程接入服务器(Broadband Remote Access Server,BRAS),然后通过各个运营商的城域网,接入互联网(Internet)。
图1示出了目前面向企业用户接入网方案的结构示意图。如图1所示,业务网所对应的网关设备101与光网络单元(Optical Network Unit,ONU)102建立连接,再通过光线路终端(Optical Line Terminal,OLT)103接入到BRAS104,进而通过BRAS104与核心路由器(Core Router,CR)105连接,通过位于城域网的网络侧边缘(Provider Edge,PE)设备106,接入到位于业务平台或网络的虚拟专用网络服务器(Virtual Private Network Server,VPN Server)107。其中,PE设备106通常要求具备封装与解封装能力。OLT103和ONU102组成了PON网络,OLT103和ONU102之间通过光分配网(Optical Distribution Network,ODN)连接。
基于如图1所示的接入网示意架构,在需要进行语音业务时,将通过网关设备的语音模块直接发送没有加密的语音业务报文,并需要经由一系列的网络设备的传递到达语音业务服务器,比如图1所示出的,网关设备101发送的语音业务报文经由ONU102到OLT103,再到BRAS104、再通过CR105以及PE106,最后传输到语音业务服务器107。网关设备与语音业务服务器之间的通信数据需经过大量的网络设备的传递,如果网关设备需要与语音业务服务器之间频繁互换信息时,大量的信息在通信网络中传递,十分容易被截取甚至篡改,无法保证语音业务的安全性。
因此,如何提高语音业务的安全性,是业界所亟待研究和解决的问题。
发明内容
本发明实施例提供一种语音业务的处理方法、网关设备以及系统,用以提高语音业务的安全性。
本发明的一个实施例提供的语音业务的处理方法,包括:
网关设备为广域网接口配置第一IP地址,所述第一IP地址是vCPE根据所述网关设备的请求为所述网关设备分配的;
所述网关设备使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;
所述网关设备将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;
所述网关设备对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE,以使所述vCPE将所述语音业务报文传输至语音业务服务器。
可选地,所述网关设备获得所述第一IP地址后,拒绝分配给语音业务。
可选地,所述网关设备上配置有DHCP客户端,所述vCPE上配置有DHCP服务器;
所述网关设备为广域网接口配置第一IP地址之前,还包括:
所述网关设备上的DHCP客户端,向所述vCPE上的DHCP服务器发送DHCP报文,所述DHCP报文用于请求分配IP地址;
所述网关设备根据所述DHCP服务器反馈的DHCP报文,获取为所述网关设备分配的第一IP地址。
可选地,本发明的一个实施例提供的语音业务的处理方法还包括:
所述网关设备根据所述DHCP服务器反馈的DHCP报文,获取所述vCPE的IP地址,并将所述vCPE的IP地址写入用于建立IPsec通道的配置文件中;
所述网关设备使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道,包括:
所述网关设备根据所述用于建立IPsec通道的配置文件,使用所述广域网接口上配置的第一IP地址以及所述配置文件中的所述vCPE的IP地址,与所述vCPE建立IPsec通道。
可选地,所述网关设备将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务之前,包括:
所述网关设备在所述IPsec通道建立过程中,向所述vCPE发起IKE协商过程,根据所述vCPE反馈的IKE协商报文,获取第二IP地址。
可选地,所述网关设备从所述vCPE获得第二IP地址之后,还包括:
所述网关设备为所述广域网接口配置所述第二IP地址;
所述网关设备对使用第二IP地址封装的语音业务报文进行加密之前,还包括:
所述网关设备的所述广域网接口从用户侧接收到报文后,根据所述报文封装的IP地址以及所述广域网接口上配置的所述第二IP地址,判断所述报文是否是语音业务报文。
本发明的一个实施例提供的网关设备,包括:
配置模块,用于为广域网接口配置第一IP地址,所述第一IP地址是vCPE根据所述网关设备的请求为所述网关设备分配的;
建立模块,用于使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;
分配模块,用于将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;
发送模块,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE,以使所述vCPE将所述语音业务报文传输至语音业务服务器。
可选地,所述网关设备获得所述第一IP地址后,拒绝分配给语音业务。
可选地,所述网关设备上配置有DHCP客户端,所述vCPE上配置有DHCP服务器;
所述网关设备上的DHCP客户端,用于向所述vCPE上的DHCP服务器发送DHCP报文,所述DHCP报文用于请求分配IP地址;
所述网关设备,还包括:
第一获取模块,用于根据所述DHCP服务器反馈的DHCP报文,获取为所述网关设备分配的第一IP地址。
可选地,所述第一获取模块,还用于:根据所述DHCP服务器反馈的DHCP报文,获取所述vCPE的IP地址,并将所述vCPE的IP地址写入用于建立IPsec通道的配置文件中;
所述建立模块,具体用于:
根据所述用于建立IPsec通道的配置文件,使用所述广域网接口上配置的第一IP地址以及所述配置文件中的所述vCPE的IP地址,与所述vCPE建立IPsec通道。
可选地,所述建立模块,具体用于:在所述IPsec通道建立过程中,向所述vCPE发起IKE协商过程;
所述网关设备还包括:
第二获取模块,用于根据所述IKE协商过程中所述vCPE反馈的IKE协商报文,获取第二IP地址。
可选地,所述配置模块,还用于:为所述广域网接口配置所述第二IP地址;
所述网关设备还包括:
判断模块,用于在所述网关设备的所述广域网接口从用户侧接收到报文后,根据所述报文封装的IP地址以及所述广域网接口上配置的所述第二IP地址,判断所述报文是否是语音业务报文。
本发明的一个实施例提供的语音业务的处理系统,该系统包括:网关设备、以及vCPE;
所述网关设备,用于为广域网接口配置第一IP地址,所述第一IP地址是所述vCPE根据所述网关设备的请求为所述网关设备分配的;以及,用于使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;以及,用于将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;以及,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE;
所述vCPE,用于根据所述网关设备的请求为所述网关设备分配第一IP地址;以及,用于与所述网关设备建立IPsec通道,并在所述IPsec通道过程中向所述网关设备分配第二IP地址;以及,用于接收所述网关设备通过所述IPsec通道发送的使用第一IP地址进行外层封装的加密后的语音业务报文,并在解密后将所述语音业务报文传输至语音业务服务器。
在本发明的实施例所提供的语音业务的处理技术方案中,网关设备通过为广域网接口配置由vCPE为网关设备分配的第一IP地址,进而能够使用该广域网接口上配置的第一IP地址与vCPE建立IPsec通道,并通过将在该IPsec通道建立过程中从vCPE获得的第二IP地址分配给语音业务,从而能够进一步地对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过该IPsec通道发送给vCPE,以使vCPE将语音业务报文传输至语音业务服务器。可以看到,通过本发明实施例所提供的技术方案,网关设备能够与vCPE之间建立IPsec通道,并能够通过该IPsec通道传输加密封装的语音业务报文,从而达到了提高了语音业务安全性的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中面向企业用户接入网方案的结构示意图;
图2为本发明的一个实施例提供的接入网的结构示意图;
图3为本发明的一个实施例提供的语音业务的处理方法的流程示意图;
图4为本发明的一个实施例提供的语音业务的处理方法流程在语音业务的注册场景中的应用示意图;
图5为本发明的一个实施例提供的网关设备的结构示意图;
图6为本发明的一个实施例提供的语音业务的处理系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
随着企业信息化率的提高,企业网络接入市场的不断发展,以及用户对网络的差异化需求不断增强,传统的接入业务,比如图1所示出的传统接入网结构已无法完全满足用户快速增长的需求。考虑到如图1所示出的传统接入网结构不能很好的适应企业用户接入网络的挑战的缺陷,本发明的实施例所提供的语音业务的处理方案,在基于图1所示的传统接入网的结构中,引入了基于虚拟化技术的接入网络服务联盟(Access Network ServiceUnion,ANSU)虚拟企业用户驻地设备(visual Customer Premise Equipment,vCPE),来构建出新的接入网结构,以满足不断发展和变化的用户需求。
图2示出了本发明的一些实施例提供的基于vCPE的接入网结构示意图。
如图2所示,网关设备201经由ONU202、OLT203以及BRAS204,与vCPE205进行交互并建立连接,由vCPE205再通过BRAS204,经由CR206、PE207后与远端业务平台或网络中的业务服务器208建立连接,从而实现网关设备201与远端的业务服务器208之间的宽带、语音等业务信息的交互。其中,该接入网结构由管理编排域(Management and Orchestration,MANO)来实现对整体资源的管理和编排,并由运营支持系统(Operation Support System,OSS)和业务支撑系统(Business Support System,BSS)支撑。
其中,基于虚拟化技术的ANSU主要通过渐进式的业务驱动,将接入网的网络功能进行虚拟化,并将需要增值的业务流量通过虚拟化的分流器引入ANSU的云平台,再通过驻在ANSU的云平台虚拟化网络功能,如vCPE,实现增值服务,最后,将增值后的网络流量通过分流器引入到原有网络中。
传统上的企业用户使用用户终端设备(Customer Premise Equipment,CPE)连接到电信网络以及访问通信服务供应商提供的服务。而现在企业客户的大多数CPE功能(比如路由、VPN或防火墙等)都是虚拟化,这些功能位于服务边缘或通信服务提供商数据中心,因而vCPE是通信服务供应商向企业客户提供宽带服务的新方式。vCPE可利用通用硬件虚拟化来简化网络服务的交付过程,将原本部署在接入网关上复杂的功能和增值业务应用上移到网络侧业务平台,简化实体网关的功能。通过利用网络功能虚拟化和vCPE,基于vCPE可以虚拟出多个服务器与网关设备等业务设备进行通信,虚拟服务器在不需要时释放回归即可。
可以看到,在如图2所示的接入网结构中,vCPE可以作为虚拟出来的服务器,因而可以根据需要虚拟出多个服务器,也可以根据需求释放不需要的服务器。同时,网关设备上的一些上层应用,比如深度包检测(Deep Packet Inspection,DPI),可以转移到vCPE上进行处理,减轻网关设备的负担。此外,vCPE位于BRAS旁,一方面能够将增值流量安全接入,另一方面,能够将经过vCPE处理后的流量转发到相应的业务网络和业务平台中。反向流量也做相应处理。
为了提高语音业务的安全性,本发明实施例提供了一种语音业务的处理技术方案。基于如图2所示的基于vCPE的接入网示意结构,可以看到语音业务的安全性与网关和vCPE之间的信息传递的安全性密切相关。考虑到目前通信业务中互联网协议安全性(Internet Protocol Security,IPSec)通过使用加密的安全服务以确保在互联网协议(Internet Protocol,IP)网络上进行保密而安全的通讯,是一种较好的用以防止通信中信息被篡改的措施,本发明实施例所提供的语音业务的处理方案中采取了在网关设备与vCPE之间建立IPsec通道来进行语音业务传输的措施,从而使得网关设备与vCPE间数据的保密性得到了保障,进而能够实现对语音业务安全性的保障。
具体地,基于如图2所示的接入网示意结构,本发明的实施例所提供的语音业务的处理技术方案中,网关设备能够获得两个IP地址,通过使用广域网接口上配置的第一IP地址与vCPE建立IPsec通道,并使用第二IP地址封装语音业务报文,进而能够对使用第二IP地址封装的语音业务报文进行加密,使用第一IP地址进行外层封装,再通过IPsec通道发送给vCPE,以使vCPE将语音业务报文传输至语音业务服务器。可以看到,通过本发明实施例所提供的技术方案,网关设备与vCPE之间建立IPsec通道,通过IPsec通道传输加密封装的语音业务报文,从而能够达到提高了语音业务安全性的效果。
下面将结合附图对本发明实施例进行详细描述。
图3示出了本发明实施例提供的一种语音业务的处理方法的流程示意图,该流程可由网关设备实现,该流程可应用于如图2所示的接入网的结构示例,比如具体可以是由图2中所示的网关设备实现,该流程包括如下步骤:
步骤301:网关设备为广域网接口配置第一IP地址,该第一IP地址是vCPE根据网关设备的请求为网关设备分配的。
步骤302:网关设备使用该广域网接口上配置的第一IP地址与vCPE建立IPsec通道。
步骤303:网关设备将在该IPsec通道建立过程中从vCPE获得的第二IP地址分配给语音业务。
步骤304:网关设备对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过IPsec通道发送给vCPE,以使vCPE将该语音业务报文传输至语音业务服务器。
在本发明的一些可选实施例中,网关设备上配置有动态主机配置协议(DynamicHost Configuration Protocol,DHCP)客户端,vCPE上配置有DHCP服务器。进一步地,在网关设备执行步骤301中为广域网接口配置第一IP地址之前,可以通过以下过程来获取第一IP地址:
网关设备上的DHCP客户端,向vCPE上的DHCP服务器发送DHCP报文,其中,该DHCP报文用于请求分配IP地址;网关设备进而能够根据DHCP服务器反馈的DHCP报文,获取为网关设备分配的第一IP地址。
其中,DHCP是在传输控制协议/因特网互联协议(Transmission ControlProtocol/Internet Protocol,TCP/IP)网络上使客户端设备获得配置信息的协议,是基于客户端/服务器模式,IP网络设定数据由DHCP服务器集中管理,并负责处理DHCP客户端的DHCP请求;DHCP客户端则使用从DHCP服务器分配下来的IP环境数据。
具体地,vCPE上的DHCP服务器开启后,可以监听网络中的用于请求分配IP地址的DHCP报文,并与发送DHCP报文的DHCP客户端进行匹配,匹配后向DHCP客户端回应匹配的DHCP报文,从而使得DHCP客户端能够根据接收到的DHCP报文获得第一IP地址。
具体地,网关设备在获取vCPE根据网关设备的请求为网关设备分配的第一IP地址后,可以执行步骤301,即为广域网接口配置该第一IP地址。
进一步地,网关设备可以执行步骤302,使用该广域网接口上配置的第一IP地址与vCPE建立IPsec通道。
具体地,在本发明的一些实施例中,网关设备在通过步骤301获得第一IP地址后,将拒绝分配给语音业务。
由于本发明的实施例所提供的语音业务的处理方案是采取将语音业务在网关设备与vCPE之间建立的IPsec通道中进行传输,来实现对语音业务安全性的保障,其中,网关设备与vCPE之间建立的IPsec通道则是网关设备使用广域网接口上配置的第一IP地址与vCPE之间的建立的。
考虑到在现有技术中,网关设备中的语音业务模块通常被设置为检查广域网接口的状态,在检查到广域网接口状态为up(连接正常)时,将直接获取广域网接口的IP地址作为语音业务的IP地址并同时将该广域网接口作为发送语音业务报文的接口,在检查到广域网接口状态为down(连接不正常)时不发送语音业务报文,因此,针对与要处理的语音业务需要在广域网口上所建立的IPsec通道,如果按照现有技术中对网关设备中的语音业务的处理方式,则对于广域网接口将出现语音业务的IP地址与IPsec通道的IP地址的冲突,也就是说如果要建立一个IPsec通道,则广域网接口将需要一个IP地址来建立IPsec通道,而如果要进行语音业务的处理,广域网接口则需要一个IP地址来进行语音业务的处理,但是广域网接口上又不能同时使用两个IP地址,即这两个IP地址又不能相同,那么网关设备的广域网接口地址是绑定语音业务的IP地址还是绑定用于建立IPsec通道的IP地址则出现了一种矛盾的状况。
为了解决上述广域网接口IP地址的矛盾,在本发明的一些实施例中,网关设备在通过步骤301获得第一IP地址后,将拒绝分配给语音业务。
具体比如在本发明的一些实施例中,可以在编译网关设备需要的版本文件时,将网关设备的语音业务检查广域网接口状态的功能删除,比如删除语音业务中检查广域网接口up/down内容的代码段,或者设置网关设备在获取到第一IP并将第一IP配置给广域网接口时,不通知网关设备的语音业务该IP地址等。
在本发明的一些可选实施例中,网关设备根据DHCP服务器反馈的DHCP报文,还可以进一步地获取到vCPE的IP地址,并将该vCPE的IP地址写入用于建立IPsec通道的配置文件中。
进而,网关设备可以在步骤302中使用广域网接口上配置的第一IP地址与vCPE建立IPsec通道时,具体地根据用于建立IPsec通道的配置文件,使用广域网接口上配置的第一IP地址以及配置文件中的vCPE的IP地址,vCPE建立IPsec通道。
通过进一步地根据DHCP报文获取vCPE的IP地址,使得网管设备在建立IPsec通道时,能够根据用于建立IPsec通道的配置文件,使用广域网接口上配置的第一IP地址以及配置文件中的vCPE的IP地址,建立IPsec通道,避免了还要再到IPsec的配置页面去配置对端IP地址,即vCPE的IP地址,使得IPsec通道的建立更加的方便快捷。
比如,在本发明的一些实施例中,在通过DHCP报文获得vCPE的IP地址后,可以修改用于建立IPsec通道的配置文件中的对应项的取值。
进一步地,为了使语音业务获得语音业务的IP地址,在本发明的一些可选实施例中,网关设备可以在执行步骤302建立IPsec通道的过程中,获取vCPE分配给该网关设备的第二IP地址,从而可以在步骤303中,将获取到的该第二IP地址分配给语音业务。
具体地,网关设备在IPsec通道建立过程中,向vCPE发起网络密钥交换(InternetKey Exchange,IKE)协商过程,根据vCPE反馈的IKE协商报文,获取第二IP地址。
其中,IPSec为一个工业标准网络安全协议,为IP网络提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,有效抵御网络攻击,同时保持易用性。IPSec通常分为两个阶段:隧道协商阶段和数据传送阶段。其中,隧道协商阶段主要通过IKE协商过程完成,隧道的建立需要经过两个阶段的协商。第一阶段建立一个验证的安全联盟和密钥,称为IKE SA(Security Association,安全联盟)。第二阶段建立一个用于IPSec的安全联盟,称为IPSecSA。
进一步地,通过对IKEv2(版本2)协议的研究,确定了在本发明的一些实施例提供的语音业务的处理方案中,在建立IPsec通道的过程中使用IKEv2进行协商,并在使用IKEv2的协商过程中,在vCPE向所述网关设备发送的最后一个报文中,利用其中一个有效载荷类型(payload type)为配置(configuration)它的一个特性类型INTERNAL_IP4_ADDRESS(标准IPv4配置属性),该类型值为一个IP地址。从而,可以使得vCPE将分配给网关设备的第二IP地址写入该类型对应的IP地址取值,从而通过该最后一个向网关设备发送的IKE协商报文将第二IP地址发送给网关设备,进而网关设备在解析该报文后,得到第二IP地址并分配给语音业务使用,因而使得语音业务也获取到了语音业务的IP地址,保证了语音业务能够进入IPsec通道进行处理。
在本发明的一些具体实施例中,IKE协商过程中共涉及到4个报文,网关设备发送的每个协商报文中都携带有源IP地址(即第一IP地址),vCPE在协商的最后一个报文中填写分配给网关设备的语音业务的IP地址(即第二IP地址),并发送给网关设备的,网关在收到该报文后通过IPsec进程进行解析,获取到在该报文里面的一个payload type为configuration,它的一个特性类型为INTERNAL_IP4_ADDRESS,该类型对应的值是一个IP地址(第二IP地址),该IP地址即为分配给语音业务使用的IP地址。
可选地,在本发明的一些具体实施例中,可以在预设在网关设备以及vCPE上的用于建立IPsec通道的配置文件中将对端IP地址(即用来分配给语音业务的IP地址)设置为配置方式,从而能够使得vCPE在最后一个IKE协商报文中写入为网关设备分配的第二IP地址。
进一步地,在本发明的一些实施例中,网关设备在执行步骤303中将获取到的该第二IP地址分配给语音业务之后,便可以进一步地执行步骤304中所描述的,对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过IPsec通道发送给vCPE,以使vCPE将该语音业务报文传输至语音业务服务器。
具体地,网关设备的语音业务组织语音业务报文,使用网关设备在步骤303中分配的第二IP地址进行封装,传送到网关设备在步骤302中使用广域网接口上配置的第一IP地址与vCPE建立的IPsec通道,将使用第二IP地址封装的语音业务报文进行IPsec通道加密后,使用第一IP地址进行外层封装,并通过IPsec通道发送给vCPE,可以看到,使用第二IP地址封装的语音业务报文进一步地被IPsec加密封装,即第二IP地址是与语音业务报文被加密封装在内部,在外部还封装有第一IP地址。当vCPE通过IPsec通道接收到该加密封装后的报文后要进行解封装,从而将封装在内部的语音业务报文取出来传输给语音业务服务器。
可选地,在本发明的一些具体实施例中,网关设备在步骤302建立IPsec通道的过程中从vCPE获得第二IP地址之后,还可以进一步地为广域网接口配置该第二IP地址,其中,广域网接口可以是多IP地址配置的接口。
进一步地,在本发明的一些具体实施例中,在网关设备执行步骤304对使用第二IP地址封装的语音业务报文进行加密之前,网关设备还可以在该网关设备的广域网接口从用户侧接收到报文后,根据所接收到的报文封装的IP地址以及广域网接口上配置的第二IP地址,来判断该报文是否是语音业务报文。具体地,如果报文封装的IP地址与广域网接口上配置的第二IP地址一致,则可以判断该报文为语音业务报文,从而可以执行步骤304对使用第二IP地址封装的该语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE;若判断不是语音业务报文,则不采取上述措施进行加密和封装等。
可以看到,在本发明的一些具体实施例中,网关设备的广域网接口被配置了两个不同的IP地址,其中,第一IP地址是用于建立IPsec通道所使用的IP地址,是该广域网接口所使用的IP地址,第二IP地址则是语音业务使用的IP地址,是在该广域网上存储的IP地址。通过上述的流程,在网关设备与vCPE之间建立了IPsec通道,同时语音业务也被分配到了自己的业务IP地址,并能通过该IPsec通道进行加密封装,进而传输到vCPE,由vCPE解封装后传输到语音业务服务器,从而保证了语音业务的安全性。
综上所述,本发明的实施例所提供的语音业务的处理技术方案中,网关设备的语音业务通过vCPE传输到语音业务服务器,语音业务报文在网关设备与vCPE之间的传输,采用了IPsec通道加密封包的措施,从而能够很好的防止语音业务报文被非法截获或者篡改,使得语音业务的安全性得到了很好的保障。
进一步地,在本发明的一些实施例所提供的语音业务的处理技术方案中,网关设备在获取用于建立IPsec通道的IP地址时,采用了在广域网接口启动DHCP客户端请求vCPE上的DHCP服务器为其分配IP地址的方式,并可以同时根据DHCP报文来获取vCPE的IP地址,通过将获取到的vCPE的IP地址写入用于建立IPsec通道的配置文件中,从而建立IPsec通道时,将不需要再到IPsec的配置页面去配置对端IP地址,使得IPsec通道的建立更加方便快捷。
进一步地,在本发明的一些实施例所提供的语音业务的处理技术方案中,基于对IKEv2协商过程的研究,对于网关设备对语音业务的IP地址的获取,利用了在IKEv2协商过程中vCPE发送的最后一个IKE协商报文具有一个payload type为配置configuration且它的一个特性类型为INTERNAL_IP4_ADDRESS,以及该类型值为一个IP地址的特性,具体地,vCPE可以在发送的IKE协商报文中写入为网关设备分配的IP地址,网关设备在解析IKE协商报文后,便可以将获取到的IP地址分配给语音业务使用,从而使得语音业务具有用于业务处理的IP地址,从而保障了语音业务能够正常的组织业务报文以及处理。
进一步地,在本发明的一些实施例所提供的语音业务的处理技术方案中,网关设备可以将语音业务原来检查广域网接口状态的功能删除,并在广域网接口配置两个IP地址,其中,第一IP地址可以是通过DHCP客户端获得的,用于建立IPsec通道,第二IP地址则是分配给语音业务使用的,配置到该广域网接口上进行存储。通过这样的处理使得语音业务能够使用自身的业务IP地址,即第二IP地址封装语音业务报文,使用第二IP地址封装的语音业务报文并不能直接从广域网接口中传输出去,而是进一步地通过IPsec通道进行加密,使得语音业务的IP地址封装在里面,外面再封装一层IPsec通道的IP地址后,再进行传输,从而使得语音业务的安全性得到了很好的保障。
进一步地,在本发明的一些实施例所提供的语音业务的处理技术方案中,由于引入了vCPE,还可以利用vCPE的所具有的优点,比如网关设备上的一些上层应用可以转移到vCPE上进行处理,从而可以减轻网关的负担。同时vCPE是一种虚拟化的服务器,因此可以根据需要虚拟出多个服务器,也可以根据需求释放不需要的服务器。此外,如图2所示的,将vCPE设置在位于BRAS旁,一方面能够将增值流量安全接入,另一方面,还能够将经过vCPE处理后的流量转发到相应的业务网络和业务平台中,反向流量也做相应处理。
为了更清楚的说明本发明实施例所提供的语音业务的处理技术方案,下面将基于将本发明实施例所提供的语音业务的处理技术方案应用在语音业务需要初始注册到语音业务服务器的情形为示例,来具体说明本发明实施例所提供的语音业务的处理技术方案。
图4示出了本发明的一些实施例提供的语音业务的注册流程示意图。
其中,与前述方法实施例类似的,网关设备可以预先被配置为在获得第一IP地址后,拒绝分配给语音业务。具体地比如可以在预先编译网关设备的版本文件时,将语音业务中检查广域网接口的状态up/down的部分删除。如图4所示,本发明的一些实施例提供的语音业务的注册流程的具体步骤包括:
步骤401:vCPE启动DHCP服务器。
步骤402:网关设备启动DHCP客户端,发送请求分配IP地址的DHCP报文给DHCP服务器;DHCP服务器匹配后给DHCP客户端回应匹配报文,网关设备接收到回应的DHCP报文后,获取到vCPE根据网关设备的请求为网关设备分配的第一IP地址,并为广域网接口配置该第一IP地址。
其中,在现有技术中,DHCP客户端获取到第一IP时将会向网关设备的各个模块发送通知信息,以通知DHCP任务完成了,因而在现有技术中,语音业务处理模块此时将会接收到通知信息,并将广域网接口所配置的第一IP地址绑定给语音业务使用。而在本发明的实施例所提供的技术方案中,采取了将网关设备配置为在获取第一IP地址后,拒绝分配给语音业务的方式,比如,通过删除这部分代码,使得网关设备在获取第一IP地址后,不向语音业务处理模块发送通知消息,从而避免了语音业务在此时获取不正确的IP地址,为后续语音业务IP地址的分配创造了可能。
步骤403:网关设备在接收到回应的DHCP报文后,还将获取vCPE的IP地址(对端IP地址),并将获得的对端IP地址写入用于建立IPsec通道的配置文件内,比如下面所示的一种配置文件的示例,该配置文件的文件名为ipsec.conf,ipsec.conf内容具体可以如下所示:
其中,在该示例的ipsec.conf配置文件中:conn sample-with-ca-cert表示在该网关设备上建立的IPsec通道的名称;leftid表示本端证书里面的身份信息(Identification,ID)信息;
其中,Leftsourceip表示本端的虚拟IP,这里为%config,表示采用配置的方式,从而在后续步骤中能够获取到vCPE配置给语音业务的IP地址;
Leftfirewal表示本端的防火墙的开启状态,这里为no不开启;Leftcert表示本端证书的名称,这里为“combacert-hnb1.cer”;
其中,Right表示对端的IP地址,这里为30.0.0.30,在通过DHCP报文获得对端IP地址后,将修改该项的IP地址为通过DHCP客户端获取到的对端IP地址;
Rightid表示对端证书里面的ID内容;Rightsubnet表示对端的子网,这里是“60.0.0.0/24”;
Keyexchange表示IKE协商,这里采用的是IKEv2协议;
Auto为定义IPsec启动该连接的行为,这里为start是启动,add是添加连接类型但不启动;
Lifetime表示建立好的IPsec通道的生命周期,这里为7天;Ikelifetime表示IKE的生命周期,这里为7天;Margintime表示边际时间,这里为60秒;Rekeyfuzz表示边际时间的误差,这里为100%;Dpdaction表示DPD功能,这里为不开启;Dpddelay表示DPD的延迟时间,这里为10秒;Ike为指定第一阶段的加密方式,这里为aes128-sha-modp768;Esp为指定第二阶段的加密方式,这里为aes128-sha-modp768。
其中,上述示例是以证书认证的方式进行举例的,在本发明的一些实施例中,IPsec的其他认证方式都可以使用该方法。
步骤404:在将vCPE的IP地址写入用于建立IPsec通道的配置文件中后,网关设备可以使用广域网接口上配置的第一IP地址启动与vCPE之间的IPsec通道的建立进程,即启动IPsec进程建立IPsec通道。
具体地,网关设备可以根据用于建立IPsec通道的配置文件,使用广域网接口上配置的第一IP地址以及配置文件中的vCPE的IP地址,与vCPE建立IPsec通道。
步骤405:网关设备上的IPsec进程将根据ipsec.conf配置文件的内容,通过广域网接口发送IKE协商报文给vCPE,进行IKE协商过程。
具体地,基于IKEv2的IKE协商过程中共涉及到4个报文,其中,网关设备发送的每个协商报文中都携带有源IP地址(即网关设备从DHCP服务器获取到的第一IP地址);在IKE协商过程中的最后一个报文即第4个报文是vCPE发给网关设备的,其中携带有网关设备的语音业务所需的私有IP地址。其中,由于在网关设备和vCPE的ipsec.conf配置文件中都将leftsourceip设置为配置模式(如上所示的leftsourceip=%config),从而vCPE在最后一个IKE报文中将写入为网关设备分配的私有IP地址。
步骤406:vCPE在IKE协商过程中最后一个发送的IKE报文中填写为网关设备分配的IP地址,该IP地址即为第二IP地址,并将该IKE报文发送给网关设备,该第二IP地址不同于协商报文中的源IP地址,其中协商报文的源IP即为第一IP地址。
步骤407:网关设备收到vCPE在IKE协商过程中最后一个发送的IKE报文后通过IPsec进程进行解析,获得vCPE为该网关设备分配的第二IP地址。
具体地,在该报文中的一个payload type为configuration,它的一个特性类型为INTERNAL_IP4_ADDRESS,该类型对应的值是一个IP地址,网关设备解析payload type可以取出该类型对应的IP地址,而这个IP地址即为vCPE为该网关设备分配的语音业务所需要的IP地址(即第二IP地址)。
步骤408:网关设备将所获得的第二IP地址分配给语音业务使用,并为广域网接口配置该第二IP地址进行存储。可以看到,通过上述步骤,语音业务获得了业务IP地址,广域网接口被配置了两个IP地址:一个是通过步骤401和402中的DHCP过程所得到的第一IP地址,该第一IP地址将用于建立IPsec通道,该广域网接口将使用该第一IP地址;另一个是通过步骤404至407的IPsec建立过程中的协商过程所得到的第二IP地址,该第二IP地址将分配给语音业务使用,在该广域网接口上存储。
步骤409:网关设备的语音业务进程将使用该第二IP地址组织语音业务的注册报文,即使用第二IP地址封装语音业务的注册报文后,发送到IPsec通道。在IPsec通道中,对使用第二IP地址封装的语音业务的注册报文将进行加密,并使用第一IP地址进行外层封装,即使用第二IP地址封装的语音业务报文将被IPsec通道使用第一IP地址进行外层封装,再将加密封装后的报文通过IPsec通道发送给vCPE。vCPE接收到该加密封装后的报文后将会进行解封装,从而将封装在内部的语音业务的IP地址,即第二IP地址取出来发送给语音服务器进行注册。
通过上述如图4所示的流程,网关设备将语音业务的注册报文通过IPsec通道加密封装传输给了vCPE,从而语音业务被分配到的业务IP地址,即第二IP地址,将经由vCPE传输到语音业务服务器进行注册,注册成功后,网关设备的语音业务便可以使用第二IP地址组织语音业务的业务报文,同样地,语音业务的业务报文也首先由语音业务使用第二IP地址进行封装,在发送到IPsec通道时进行加密,并使用第一IP地址进行外层封装,再传输到vCPE,由vCPE解封装后,将语音业务的业务报文传输至语音业务服务器,从而实现安全性较高的语音业务。
进一步地,在本发明的一些实施例提供的语音业务的处理的技术方案中,对于网关设备与vCPE之间发生了语音业务报文的传输时,还可以通过抓包(packet capture)的方式验证在网关设备与vCPE之间传输的语音业务报文是否是经过IPsec加密后的报文。比如使用抓包工具在网关设备发送语音业务传输时,截获发送的数据包来检查该数据包是否是经过IPsec加密的语音业务报文。如果验证是经过IPsec加密后的报文,则该语音业务的传输得到了很好的保护,语音业务报文是安全和保密的。
通过以上描述可以看出,在本发明实施例中提供的语音业务的处理技术方案中,网关设备通过为广域网接口配置由vCPE为网关设备分配的第一IP地址,进而能够使用该广域网接口上配置的第一IP地址与vCPE建立IPsec通道,并通过将在该IPsec通道建立过程中从vCPE获得的第二IP地址分配给语音业务,从而能够进一步地对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过该IPsec通道发送给vCPE,以使vCPE将语音业务报文传输至语音业务服务器。可以看到,通过本发明实施例所提供的技术方案,网关设备能与vCPE之间建立IPsec通道,并能通过该IPsec通道传输加密封装的语音业务报文,从而达到了提高了语音业务安全性的效果。
同时,在本发明实施例中提供的语音业务的处理技术方案中,网关设备还采用了获取vCPE的IP地址并将获取到的vCPE的IP地址写入用于建立IPsec通道的配置文件中,从而建立IPsec通道时,将不需要再到IPsec的配置页面去配置对端IP地址,使得IPsec通道的建立更加方便快捷。并且,网关设备对第二IP地址的获取,是基于IKEv2协议中IKE报文的一个特性类型来获取的,从而是在技术上易于实现的。
进一步地,在本发明的一些实施例所提供的语音业务的处理技术方案中,还可以利用vCPE的所具有的优点,比如网关设备上的一些上层应用可以转移到vCPE上进行处理,从而可以减轻网关的负担等。此外,如图2所示的,将vCPE设置在位于BRAS旁,一方面能够将增值流量安全接入,另一方面,还能够将经过vCPE处理后的流量转发到相应的业务网络和业务平台中,反向流量也做相应处理。
基于相同的技术构思,本发明实施例还提供一种网关设备,该网关设备可执行上述语音业务的处理方法实施例,该网关设备可应用在如图2所示的基于vCPE的接入网的示例结构中。
图5示出了本发明的一些实施例提供的网关设备。
如图5所示,本发明的一些实施例提供的网关设备中包括:
配置模块501,用于为广域网接口配置第一IP地址,所述第一IP地址是vCPE根据网关设备的请求为网关设备分配的;
建立模块502,用于使用广域网接口上配置的第一IP地址与vCPE建立IPsec通道;
分配模块503,用于将在IPsec通道建立过程中从vCPE获得的第二IP地址分配给语音业务;
发送模块504,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过IPsec通道发送给vCPE,以使所述vCPE将所述语音业务报文传输至语音业务服务器。
可选地,本发明的一些实施例提供的网关设备中,网关设备的语音业务可以由语音业务模块505来处理以及实现。
可选地,本发明的一些实施例提供的网关设备中,网关设备获得所述第一IP地址后,拒绝分配给语音业务。
可选地,本发明的一些实施例提供的网关设备中,网关设备上配置有DHCP客户端,vCPE上配置有DHCP服务器。
所述网关设备上的DHCP客户端,用于向所述vCPE上的DHCP服务器发送DHCP报文,所述DHCP报文用于请求分配IP地址。
可选地,本发明的一些实施例提供的网关设备中,还包括:
第一获取模块,用于根据所述DHCP服务器反馈的DHCP报文,获取为所述网关设备分配的第一IP地址。
可选地,本发明的一些实施例提供的网关设备中,所述第一获取模块还用于:根据所述DHCP服务器反馈的DHCP报文,获取所述vCPE的IP地址,并将所述vCPE的IP地址写入用于建立IPsec通道的配置文件中。
可选地,本发明的一些实施例提供的网关设备中,建立模块502,具体用于:根据所述用于建立IPsec通道的配置文件,使用所述广域网接口上配置的第一IP地址以及所述配置文件中的所述vCPE的IP地址,与所述vCPE建立IPsec通道。
可选地,本发明的一些实施例提供的网关设备中,建立模块502,具体用于:在所述IPsec通道建立过程中,向所述vCPE发起IKE协商过程;
可选地,本发明的一些实施例提供的网关设备中,还包括:第二获取模块,用于根据所述IKE协商过程中所述vCPE反馈的IKE协商报文,获取第二IP地址。
可选地,本发明的一些实施例提供的网关设备中,配置模块501还用于:为广域网接口配置所述第二IP地址。
可选地,本发明的一些实施例提供的网关设备中还包括:判断模块,用于在所述网关设备的所述广域网接口从用户侧接收到报文后,根据所述报文封装的IP地址以及所述广域网接口上配置的所述第二IP地址,判断所述报文是否是语音业务报文。
可选地,本发明的一些实施例提供的网关设备中,发送模块504,具体用于:在所述判断模块判断是语音业务报文时,对使用所述第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE。
基于相同的技术构思,本发明实施例还提供一种语音业务的处理系统,该语音业务的处理系统中语音业务的处理可参照前述方法实施例,该语音业务的处理系统具体可应用在如图2所示的基于vCPE的接入网的示例结构中。
图6示出了本发明的一些实施例提供的语音业务的处理系统。
如图6所示,本发明的一些实施例提供的语音业务的处理系统中包括:网关设备601、以及vCPE602。
其中,网关设备601,具体可以参见前文中设备实施例所描述的网关设备。
可选地,网关设备601,可以用于为广域网接口配置第一IP地址,所述第一IP地址是所述vCPE根据所述网关设备的请求为所述网关设备分配的;以及,用于使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;以及,用于将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;以及,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE;
其中,vCPE602可以用于根据网关设备601的请求为网关设备601分配第一IP地址;以及,用于与网关设备601建立IPsec通道,并在IPsec通道过程中向网关设备601分配第二IP地址;以及,用于接收网关设备601通过IPsec通道发送的使用第一IP地址进行外层封装的加密后的语音业务报文,并在解密后将语音业务报文传输至语音业务服务器603。
其中,图6中仅示意性地示出了vCPE与一个网关设备之间进行通信的示例,应当理解的是,vCPE可以与一个或多个网关设备之间建立通信连接进行通信。还应当理解的是,在图6中仅示意性地表示了vCPE与网关设备之间进行通信,以及vCPE与语音业务服务器之间进行通信,并未具体示出vCPE与网关设备之间的一个或多个网络节点,比如可以包括有图2所示出的如ONU、OLT、BRAS等,也未具体示出vCPE与语音业务服务器之间的一个或多个网络节点,比如可以包括有如图2所示出的BRAS、CR、PE等。
对于软件实施,这些技术可以用实现这里描述的功能的模块(例如程序、功能等等)实现。软件代码可以储存在存储器单元中,并且由处理器执行。存储器单元可以在处理器内或者在处理器外实现。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种语音业务的处理方法,其特征在于,该方法包括:
网关设备上配置的动态主机配置协议DHCP客户端向虚拟企业用户驻地设备vCPE上配置的DHCP服务器发送DHCP报文,所述DHCP报文用于请求分配IP地址,所述网关设备根据所述DHCP服务器反馈的DHCP报文,获取为所述网关设备分配的第一IP地址,并为广域网接口配置所述第一IP地址;
所述网关设备使用所述广域网接口上配置的第一IP地址与所述vCPE建立网络协议安全IPsec通道;
所述网关设备将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;
所述网关设备对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE,以使所述vCPE将所述语音业务报文传输至语音业务服务器。
2.如权利要求1所述的方法,其特征在于,所述网关设备获得所述第一IP地址后,拒绝分配给语音业务。
3.如权利要求1所述的方法,其特征在于,还包括:
所述网关设备根据所述DHCP服务器反馈的DHCP报文,获取所述vCPE的IP地址,并将所述vCPE的IP地址写入用于建立IPsec通道的配置文件中;
所述网关设备使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道,包括:
所述网关设备根据所述用于建立IPsec通道的配置文件,使用所述广域网接口上配置的第一IP地址以及所述配置文件中的所述vCPE的IP地址,与所述vCPE建立IPsec通道。
4.如权利要求1所述的方法,其特征在于,所述网关设备将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务之前,包括:
所述网关设备在所述IPsec通道建立过程中,向所述vCPE发起网络密钥交换IKE协商过程,根据所述vCPE反馈的IKE协商报文,获取第二IP地址。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述网关设备从所述vCPE获得第二IP地址之后,还包括:
所述网关设备为所述广域网接口配置所述第二IP地址;
所述网关设备对使用第二IP地址封装的语音业务报文进行加密之前,还包括:
所述网关设备的所述广域网接口从用户侧接收到报文后,根据所述报文封装的IP地址以及所述广域网接口上配置的所述第二IP地址,判断所述报文是否是语音业务报文。
6.一种网关设备,其特征在于,该网关设备包括:
配置模块,用于为广域网接口配置第一IP地址,所述第一IP地址是vCPE根据所述网关设备的请求为所述网关设备分配的;
建立模块,用于使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;
分配模块,用于将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;
发送模块,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE,以使所述vCPE将所述语音业务报文传输至语音业务服务器;
其中,所述网关设备上配置有DHCP客户端,所述vCPE上配置有DHCP服务器;
所述网关设备上的DHCP客户端,用于向所述vCPE上的DHCP服务器发送DHCP报文,所述DHCP报文用于请求分配IP地址;
所述网关设备,还包括:
第一获取模块,用于根据所述DHCP服务器反馈的DHCP报文,获取为所述网关设备分配的第一IP地址。
7.如权利要求6所述的网关设备,其特征在于,所述网关设备获得所述第一IP地址后,拒绝分配给语音业务。
8.如权利要求6所述的网关设备,其特征在于,所述第一获取模块,还用于:根据所述DHCP服务器反馈的DHCP报文,获取所述vCPE的IP地址,并将所述vCPE的IP地址写入用于建立IPsec通道的配置文件中;
所述建立模块,具体用于:
根据所述用于建立IPsec通道的配置文件,使用所述广域网接口上配置的第一IP地址以及所述配置文件中的所述vCPE的IP地址,与所述vCPE建立IPsec通道。
9.如权利要求6所述的网关设备,其特征在于,所述建立模块,具体用于:在所述IPsec通道建立过程中,向所述vCPE发起IKE协商过程;
所述网关设备还包括:
第二获取模块,用于根据所述IKE协商过程中所述vCPE反馈的IKE协商报文,获取第二IP地址。
10.如权利要求6至9中任一项所述的网关设备,其特征在于,所述配置模块,还用于:为所述广域网接口配置所述第二IP地址;
所述网关设备还包括:
判断模块,用于在所述网关设备的所述广域网接口从用户侧接收到报文后,根据所述报文封装的IP地址以及所述广域网接口上配置的所述第二IP地址,判断所述报文是否是语音业务报文。
11.一种语音业务的处理系统,其特征在于,该系统包括:如权利要求6至10中任一项所述的网关设备、以及vCPE;
所述网关设备,用于为广域网接口配置第一IP地址,所述第一IP地址是所述vCPE根据所述网关设备的请求为所述网关设备分配的;以及,用于使用所述广域网接口上配置的第一IP地址与所述vCPE建立IPsec通道;以及,用于将在所述IPsec通道建立过程中从所述vCPE获得的第二IP地址分配给语音业务;以及,用于对使用第二IP地址封装的语音业务报文进行加密后,使用第一IP地址进行外层封装,并通过所述IPsec通道发送给所述vCPE;
所述vCPE,用于根据所述网关设备的请求为所述网关设备分配第一IP地址;以及,用于与所述网关设备建立IPsec通道,并在所述IPsec通道过程中向所述网关设备分配第二IP地址;以及,用于接收所述网关设备通过所述IPsec通道发送的使用第一IP地址进行外层封装的加密后的语音业务报文,并在解密后将所述语音业务报文传输至语音业务服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610524521.6A CN106027387B (zh) | 2016-07-05 | 2016-07-05 | 一种语音业务的处理方法、网关设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610524521.6A CN106027387B (zh) | 2016-07-05 | 2016-07-05 | 一种语音业务的处理方法、网关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106027387A CN106027387A (zh) | 2016-10-12 |
| CN106027387B true CN106027387B (zh) | 2019-06-04 |
Family
ID=57107241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610524521.6A Active CN106027387B (zh) | 2016-07-05 | 2016-07-05 | 一种语音业务的处理方法、网关设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106027387B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3118561A1 (fr) * | 2020-12-29 | 2022-07-01 | Thales | Procede de configuration d'une interface securisee entre un reseau de transport et un reseau elementaire d'une pluralite de reseaux elementaires federes a travers le reseau de transport ; interface associee |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257222B (zh) * | 2018-09-27 | 2019-11-15 | 中国联合网络通信有限公司广东省分公司 | 一种基于业务编排器的城域网网络架构 |
| CN111262762B (zh) * | 2020-01-20 | 2021-08-03 | 烽火通信科技股份有限公司 | 基于vCPE租户SFC业务链多WAN业务的实现方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376424A (zh) * | 2014-08-18 | 2016-03-02 | 中兴通讯股份有限公司 | 一种提高客户终端设备性能的方法及客户终端设备 |
| CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
| CN105516062A (zh) * | 2014-09-25 | 2016-04-20 | 中兴通讯股份有限公司 | 一种实现L2TP over IPsec接入的方法 |
-
2016
- 2016-07-05 CN CN201610524521.6A patent/CN106027387B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376424A (zh) * | 2014-08-18 | 2016-03-02 | 中兴通讯股份有限公司 | 一种提高客户终端设备性能的方法及客户终端设备 |
| CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
| CN105516062A (zh) * | 2014-09-25 | 2016-04-20 | 中兴通讯股份有限公司 | 一种实现L2TP over IPsec接入的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3118561A1 (fr) * | 2020-12-29 | 2022-07-01 | Thales | Procede de configuration d'une interface securisee entre un reseau de transport et un reseau elementaire d'une pluralite de reseaux elementaires federes a travers le reseau de transport ; interface associee |
| EP4024820A1 (fr) * | 2020-12-29 | 2022-07-06 | Thales | Procédé de configuration d'une interface sécurisée entre un réseau de transport et un réseau élémentaire d'une pluralité de réseaux élémentaires fédérés à travers le réseau de transport; interface associée |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106027387A (zh) | 2016-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| CN104811444B (zh) | 一种安全的云端控制方法 | |
| CN105493453B (zh) | 一种实现远程接入的方法、装置及系统 | |
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| CN108966174A (zh) | 一种无人机与地面站的通讯加密方法 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| CN103166909B (zh) | 一种虚拟网络系统的接入方法、装置和系统 | |
| CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
| CN106169952A (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| US9730074B2 (en) | System, methods and apparatuses for providing network access security control | |
| Liyanage et al. | Securing virtual private LAN service by efficient key management | |
| CN102546429B (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100094 First to Fifth Floors of Building 11, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Applicant after: Raisecom Technology Inc. Address before: 100085 No. 2 Building, No. 28 Shangdi Sixth Street, Haidian District, Beijing Applicant before: Raisecom Technology Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |