CN106713057B - 用于进行隧道检测的方法、装置及系统 - Google Patents
用于进行隧道检测的方法、装置及系统 Download PDFInfo
- Publication number
- CN106713057B CN106713057B CN201510460170.2A CN201510460170A CN106713057B CN 106713057 B CN106713057 B CN 106713057B CN 201510460170 A CN201510460170 A CN 201510460170A CN 106713057 B CN106713057 B CN 106713057B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- user
- message
- gateway
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种用于进行隧道检测的方法,能够对承载用户的数据的隧道进行检测,有助于提高安全性。所述方法中,网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;所述网关设备向控制设备发送所述认证请求;所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
Description
技术领域
本发明涉及通信技术,尤其涉及一种用于进行隧道检测的方法、一种网关设备、一种控制设备和一种用于进行隧道检测的系统。
背景技术
在数据通信网络中,网关设备可对用户侧设备进行认证、授权、计费等访问控制。网关设备还可为用户侧设备分配网络资源,如互联网协议(英文全称为InternetProtocol,简称为IP)地址。网关设备对用户侧设备的访问控制通常基于用户会话。用户会话可基于用户所采用的接入网络的方式,比如接入网络的方式可以为以太网承载IP协议(英文全称为Internet Protocol over Ethernet,简称为IPoE)、以太网承载PPP协议(英文全称为Point-to-Point Protocol over Ethernet,简称为PPPoE)、802.1x等。网关设备可以是宽带网络网关(英文全称为broadband network gateway,简称为BNG)、宽带远程接入服务器(英文全称为broadband remote access server,简称为BRAS)、宽带接入服务器(英文全称为broadband access server,简称为BAS)、系统架构演进网关(英文全称为systemarchitecture evolution gateway,简称为SAE GW)等。用户侧设备可以是用户驻地设备(英文全称为customer premises equipment,简称为CPE)、光网络终端(英文全称为optical network terminal,简称为ONT)、家庭路由器、个人电脑、用户设备(英文名称为user equipment)等。用户侧设备还可以是网关设备与CPE之间的设备,比如交换机。
如果用户侧设备采用隧道承载用户的数据,则用户侧设备可与网络侧设备之间建立隧道。用户侧设备将需要发送至网络侧设备的数据封装于隧道报文中。用户侧设备可发送隧道报文至网关设备,经网关设备转发至网络侧设备。但是,通常的网关设备无法对所述用户侧设备所采用的隧道进行检测,存在安全隐患。
发明内容
有鉴于此,本发明实施例提供一种用于进行隧道检测的方法,能够对承载用户的数据的隧道进行检测,有助于提高安全性。
本发明实施例还提供一种网关设备、控制设备和用于进行隧道检测的系统。
本发明实施例提供的技术方案如下。
第一方面,提供了一种用于进行隧道检测的方法,包括:
网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
所述网关设备向控制设备发送所述认证请求;
所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
上述第一方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第一方面,还提供了第一方面的第二种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。
结合上述第一方面,还提供了第一方面的第三种可能的实现方式,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第一方面,还提供了第一方面的第四种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签,生成所述隧道表。
结合上述第一方面、或第一方面的第一种可能的实现方式至第一方面的第四种可能的实现方式中的任意一种可能的实现方式,还提供了第一方面的第五种可能的实现方式,所述网关设备根据用户的标识信息,获得认证请求包括:
所述网关设备接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
所述网关设备根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
结合上述第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,还提供了第一方面的第六种可能的实现方式,所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第一用户的标识信息,则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
结合上述第一方面的第三种可能的实现方式或第一方面的第四种可能的实现方式,还提供了第一方面的第七种可能的实现方式,所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息,所述用户侧设备为所述第二用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第二用户的标识信息,则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
结合上述第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,还提供了第一方面的第八种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息,所述用户侧设备为所述第三用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
结合上述第一方面的第三种可能的实现方式或第一方面的第四种可能的实现方式,还提供了第一方面的第九种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第二流信息和第四用户的标识信息,所述用户侧设备为所述第四用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第二流信息和所述第四用户的标识信息,则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
第二方面,提供了一种用于进行隧道检测的方法,包括:
网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
所述网关设备向控制设备发送所述认证请求;
所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道;
所述网关设备根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。
在第二方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第二方面,还提供了第二方面的第二种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。
结合上述第二方面,还提供了第二方面的第三种可能的实现方式,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第二方面,还提供了第二方面的第四种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述分配给所述网络侧设备的标签,生成所述隧道表。
结合上述第二方面、或第二方面的第一种可能的实现方式至第二方面的第四种可能的实现方式中的任意一种实现方式,还提供了第二方面的第五种可能的实现方式,所述网关设备根据用户的标识信息,获得认证请求包括:
所述网关设备接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
所述网关设备根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
结合上述第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,还提供了第二方面的第六种可能的实现方式,所述方法还包括:
所述网关设备接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址;
如果所述网关设备确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,则所述网关设备根据所述报文中的所述第一隧道的目的地址,转发所述报文。
结合上述第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式,还提供了第二方面的第七种可能的实现方式,所述方法还包括:
所述网关设备接收来自用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签;
如果所述网关设备确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,则所述网关设备根据所述报文中的所述分配给网络侧设备的第一标签,转发所述报文。
第三方面,提供了一种用于进行隧道检测的方法,包括:
控制设备接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
所述控制设备向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
上述第三方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第三方面或第三方面的第一种可能的实现方式,还提供了第三方面的第二种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流。
第四方面,提供了一种用于进行隧道检测的方法,包括:
控制设备接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
所述控制设备向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
在第四方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述用户侧设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
第五方面,提供了一种网关设备,包括:
获得单元,用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
发送单元,用于向控制设备发送所述认证请求;
接收单元,用于接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;
生成单元,用于根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
结合上述第五方面,还提供了第五方面的第一种可能的实现方式,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第五方面,还提供了第五方面的第二种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,所述生成单元具体用于:
根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。
结合上述第五方面,还提供了第五方面的第三种可能的实现方式,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第五方面,还提供了第五方面的第四种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,所述生成单元具体用于:
根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签,生成所述隧道表。
结合上述第五方面、或第五方面的第一种可能的实现方式至第五方面的第四种可能的实现方式中的任意一种可能的实现方式,还提供了第五方面的第五种可能的实现方式,所述获得单元具体用于:
接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
结合上述第五方面的第一种可能的实现方式或第五方面的第二种可能的实现方式,还提供了第五方面的第六种可能的实现方式,所述网关设备还包括第一判断单元和第一处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备;
所述第一判断单元用于判断所述隧道表是否包括所述第一用户的标识信息;
所述第一处理单元用于在所述第一判断单元确定所述隧道表包括所述第一用户的标识信息,根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
结合上述第五方面的第三种可能的实现方式或第五方面的第四种可能的实现方式,还提供了第五方面的第七种可能的实现方式,所述网关设备还包括第一判断单元和第一处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息,所述用户侧设备为所述第二用户接入所述网络所采用的设备;
所述第一判断单元用于判断所述隧道表是否包括所述第二用户的标识信息;
所述第一处理单元用于在所述第一判断单元确定所述隧道表包括所述第二用户的标识信息,根据所述第一报文、所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
结合上述第五方面的第一种可能的实现方式或第五方面的第二种可能的实现方式,还提供了第五方面的第八种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述生成单元具体用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述网关设备还包括第二判断单元和第二处理单元;
所述接收单元用于接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息,所述用户侧设备为所述第三用户接入所述网络所采用的设备;
所述第二判断单元用于判断所述隧道表是否包括所述第一流信息和所述第三用户的标识信息;
所述第二处理单元用于在所述第二判断单元确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
结合上述第五方面的第三种可能的实现方式或第五方面的第四种可能的实现方式,还提供了第五方面的第九种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述生成单元具体用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述网关设备还包括第二判断单元和第二处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第二流信息和所述第四用户的标识信息,所述用户侧设备为所述第四用户接入所述网络所采用的设备;
所述第二判断单元用于判断所述隧道表是否包括所述第二流信息和所述第四用户的标识信息;
所述第二处理单元在所述第二判断单元确定所述隧道表包括所述第二流信息和所述第四用户的标识信息,根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
第六方面,提供了一种网关设备,包括:
获得单元,用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
发送单元,用于向控制设备发送所述认证请求;
接收单元,用于接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道;
生成单元,用于根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。
在第六方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第六方面,还提供了第六方面的第二种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述生成单元具体用于:
根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。
结合上述第六方面,还提供了第六方面的第三种可能的实现方式,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第六方面,还提供了第六方面的第四种可能的实现方式,所述隧道的参数包括所述隧道的标识信息,
所述生成单元具体用于:
根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述分配给所述网络侧设备的标签,生成所述隧道表。
结合上述第六方面、或第六方面的第一种可能的实现方式至第六方面的第四种可能的实现方式中的任意一种实现方式,还提供了第六方面的第五种可能的实现方式,所述获得单元具体用于:
接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
结合上述第六方面的第一种可能的实现方式或第六方面的第二种可能的实现方式,还提供了第六方面的第六种可能的实现方式,所述报文还包括判断单元;
所述接收单元还用于接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址;
所述判断单元用于判断所述隧道表是否包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址;
所述发送单元还用于在所述判断单元确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,根据所述报文中的所述第一隧道的目的地址转发所述报文。
结合上述第六方面的第三种可能的实现方式或第六方面的第四种可能的实现方式,还提供了第六方面的第七种可能的实现方式,所述网关设备还包括判断单元;
所述接收单元还用于接收来自用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签;
所述判断单元还用于判断所述隧道表是否包括所述报文中的所述分配给网络侧设备的第一标签;
所述发送单元还用于在所述判断单元确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,根据所述报文中的所述分配给网络侧设备的第一标签转发所述报文。
第七方面,提供了一种控制设备,包括:
接收单元,用于接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
判断单元,用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
发送单元,用于在所述判断单元确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
上述第七方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
结合上述第七方面或第七方面的第一种可能的实现方式,还提供了第七方面的第二种可能的实现方式,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流。
第八方面,提供了一种控制设备,包括:
接收单元,用于接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
判断单元,用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
发送单元,用于在所述判断单元确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
在第八方面的第一种可能的实现方式中,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述用户侧设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
第九方面,提供了一种用于进行隧道检测的系统,其特征在于,所述系统包括:上述第五方面或第五方面的任意一种实现方式提供的网关设备和上述第六方面或第六方面的任意一种实现方式提供的控制设备;或者
所述系统包括:上述第七方面或第七方面的任意一种实现方式提供的网关设备和上述第八方面或第八方面的任意一种实现方式提供的控制设备。
通过上述方案,本发明实施例提供的用于进行隧道检测的方法、网关设备、控制设备和用于进行隧道检测的系统,网关设备根据控制设备下发的认证响应包括的隧道的参数和经控制器认证为合法的用户的标识信息,生成隧道表。所述网关设备可从用户侧设备接收来自第一用户的第一报文,所述第一报文未经隧道封装的报文。所述网关设备确定所述隧道表包含所述第一用户的标识信息后,可采用所述隧道表完成对所述第一报文的封装,获得第二报文。所述网关设备向所述网络侧设备发送所述第二报文。这样,所述网关设备能够在检测到所述第一用户为经控制器认证为合法的用户后,利用隧道表封装所述第一用户的报文并转发,有助于提高安全性。此外,所述网关设备可根据所述控制设备下发的认证响应包括的隧道的参数,生成隧道表,所述隧道是经所述控制设备认证为合法的用户传输报文的隧道。所述网关设备可从用户侧设备接收来自用户的报文,所述报文是经第一隧道封装的报文,所述第一隧道为所述用户侧设备与网络侧设备间的隧道。所述网关设备确定所述隧道表包含所述报文中的第一隧道的参数后,向所述网络侧设备发送所述报文。这样,所述网关设备能够在检测所述用户所采用的隧道的合法性后,向网络侧设备转发所述报文,有助于提高安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种网络场景示意图。
图2为本发明实施例一提供的用于进行隧道检测的方法流程图。
图3为本发明实施例一提供的用于进行隧道检测的方法流程图。
图4为本发明实施例提供的另一种网络场景示意图。
图5为本发明实施例二提供的用于进行隧道检测的方法流程图。
图6为本发明实施例二提供的用于进行隧道检测的方法流程图。
图7为本发明实施例三提供的网关设备的结构示意图。
图8为本发明实施例三提供的控制设备的结构示意图。
图9为本发明实施例四提供的网关设备的结构示意图。
图10为本发明实施例四提供的控制设备的结构示意图。
图11为本发明实施例五提供的网关设备的结构示意图。
图12为本发明实施例五提供的控制设备的结构示意图。
图13为本发明实施例六提供的网关设备的结构示意图。
图14为本发明实施例六提供的控制设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种用于进行隧道检测的方法,所述方法包括:网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;所述网关设备向控制设备发送所述认证请求;所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。这样,所述网关设备在确定一个用户为所述合法的用户后,利用所述隧道表中的参数封装来自所述合法的用户的报文并进行传输。
本发明实施例还提供了另一种用于进行隧道检测的方法,所述方法包括:网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;所述网关设备向控制设备发送所述认证请求;所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道;所述网关设备根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。这样,所述网关设备在确定用户采用的第一隧道的合法性后,利用所述第一隧道向网络侧设备发送来自所述用户的报文。
本发明实施例提供的网关设备可以是BNG、BRAS、BAS、SAE GW或能够实现上述设备的功能的设备,在此不再逐一举例说明。本发明实施例提供的用户侧设备可以是CPE、ONT、家庭路由器、个人电脑、用户设备、终端或所述网关设备与所述CPE之间的设备,在此不再逐一举例说明。
图1为本发明实施例提供的一种网络场景示意图。如图1所示,C1为控制设备,G1为网关设备,D1、D2和D3属于网络侧设备,R1、R2和R3属于网络侧设备。其中,D1为第一用户终端,D2为第二用户终端,D3为第三用户终端。R1为第一路由器,R2为第二路由器,R3为第三路由器。T1为D1和R1间的隧道,T2为D2和R2间的隧道,T3为D3和R3间的隧道。T1、T2和T3均为经过G1的隧道,G1可对T1、T2和T3进行检测。
图2为本发明实施例一提供的用于进行隧道检测的方法流程图。图2对应的实施例一是从网关设备的角度对本发明实施提供的方法进行说明。图2对应的实施例一提供的方法中,所述网关设备可对用户侧设备和网络侧设备间的第一隧道进行检测,即图2对应的实施例一提及的报文是利用第一隧道的参数进行封装后获得的报文。所述第一隧道为所述用户侧设备和所述网络侧设备间的隧道,且所述第一隧道经过所述网关设备。所述用户侧设备为所述用户接入所述网络所采用的设备。下面结合图1和图2,对本发明实施例一提供的方法进行具体说明。
S201,网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息。
举例说明,所述网关设备根据用户的标识信息,获得认证请求包括:所述网关设备接收到用户侧设备发送的接入请求,所述接入请求包括所述用户的标识信息;所述网关设备根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。其中,所述接入请求可以为基于IPoE、PPPoE或802.1x的接入请求,在此不在对所述接入请求进行赘述。所述用户的标识信息可以是用户侧设备的媒体接入控制(英文全称为Media Access Control,简称为MAC)地址、用户侧设备的IP地址、用户侧设备所属的虚拟局域网(英文全称为virtuallocal area network,简称为VLAN)、所述用户的账户信息、线路标识(英文名称为line-ID)等可用于标识所述用户的信息。所述用户侧设备为所述用户接入运营商的网络所采用的设备。所述用户的账户信息可以为所述用户接入运营商的网络所需的用户名和/或密码等信息。所述line-ID用于表示所述用户接入的链路的标识。
举例说明,所述网关设备可根据其与控制设备之间的协议,生成所述认证请求。其中,所述认证请求为基于拨号用户远程认证服务(英文全称为Remote AuthenticationDial In User Service,简称为RADIUS)协议的报文。基于RADIUS协议的认证请求包括属性(英文名称为attribute)。所述基于RADIUS协议的认证请求中的一个或多个attribute可用于携带所述用户的标识信息。或者,所述认证请求为基于计费认证(英文名称为Diameter)协议的报文,基于Diameter协议的认证请求的Diameter头包括属性值对(英文全称为attribute-value pair,简称为AVP),所述Diameter头中的一个或多个AVP用于携带所述用户的标识信息。
举例说明,所述网关设备根据用户的标识信息获得认证请求的方式还可以为:所述网关设备将所述用户的标识信息发给用于生成所述认证请求的设备,所述网关设备从所述用于生成所述认证请求的设备获得所述认证请求,所述认证请求包括所述用户的标识信息。其中,所述用于生成所述认证请求的设备可根据来自所述网关设备的所述用户的标识信息,生成所述认证请求。所述用于生成所述认证请求的设备生成所述认证请求的方法,与所述网关设备生成所述认证请求的方法相同,在此不再赘述。
举例说明,所述网关设备可从控制设备获取所述用户的标识信息,或者所述控制设备可周期性地向所述网关设备发送所述用户的标识信息。其中,所述控制设备发送所述用户的标识信息的周期可根据设备的性能和需要进行设定,在此不再赘述。
如图1所示,在一种场景中,T1为D1和R1之间的隧道,T1属于互联网协议(英文全称为Internet Protocol,简称为IP)隧道。G1可接收来自D1的第一接入请求,所述第一接入请求可以是请求访问R1。所述第一接入请求包括D1的标识信息。G1从所述第一接入请求中获得D1的标识信息。G1根据D1的标识信息,生成第一认证请求。所述第一认证请求包括D1的标识信息。
如图1所示,在另一种场景中,T2为D2和R2之间的隧道,T2属于多协议标签交换(英文全称为Multiprotocol Label Switching,简称为MPLS)隧道。G1可接收来自D2的第二接入请求,所述第二接入请求可以是请求访问R2。所述第二接入请求包括D2的标识信息。G1从所述第二接入请求中获得D2的标识信息。G1根据D2的标识信息,生成第二认证请求。所述第二认证请求包括D2的标识信息。
如图1所示,T3为D3和R3之间的隧道,T3属于IP隧道。G1可接收来自D3的第三接入请求。所述第三接入请求可以是请求访问R3。所述第三接入请求包括D3的标识信息。G1从所述第三接入请求中获得D3的标识信息。G1根据D3的标识信息,生成第三认证请求,所述第三认证请求包括D3的标识信息。
S202,所述网关设备向控制设备发送所述认证请求。
举例说明,所述网关设备上可配置有其所属的控制设备的标识或地址。所述网关设备所属的控制设备是用于向所述网关设备下发认证响应的设备。所述网关设备可根据所述控制设备的标识或所述控制设备的地址,向所述控制设备发送所述认证请求。或者,所述认证请求的源IP地址为所述网关设备的IP地址,所述认证请求的目的IP地址为所述控制设备的IP地址。所述网关设备可根据所述认证请求的目的IP地址,向所述控制设备发送所述认证请求。
举例说明,所述控制设备可以是软件定义网络(英文全称为software definenetwork,简称SND)控制器、拨号用户远程认证服务(英文全称为Remote AuthenticationDial In User Service,简称RADIUS)服务器、认证、授权和计费(英文全称为Authentication,Authorization and Accounting,简称AAA)服务器等能够实现本发明实施例中控制设备所能实现的功能的设备,在此不再逐一举例说明。
如图1所示,G1向C1发送所述第一认证请求、所述第二认证请求和所述第三认证请求。图1是以G1向C1发送所述第一认证请求、所述第二认证请求和所述第三认证请求为例进行的说明,在其他场景中,G1可同时或依次向C1发送所述第一认证请求、所述第二认证请求和所述第三认证请求中的一个或多个认证请求,在此不再逐一举例说明。所述第一认证请求、所述第二认证请求和所述第三认证请求中的第一、第二和第三是用来区分不同的认证请求,并不表示发送次序,比如G1可依次向C1发送所述第二认证请求、所述第一认证请求和所述第三认证请求。
S203,所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道。
举例说明,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述控制设备认证为合法的用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括所述隧道的标识信息。或者,所述隧道的参数包括分配给所述网络侧设备的标签。其中,所述隧道的源地址为所述隧道的源IP地址,比如所述用户侧设备的IP地址。所述隧道的目的地址为所述隧道的目的IP地址,比如所述网络侧设备的IP地址。
举例说明,所述认证响应所采用的协议与所述认证请求所采用的协议可相同。所述认证响应为基于RADIUS协议的报文。基于RADIUS协议的认证响应包括attribute,所述基于RADIUS协议的认证响应中的一个或多个attribute用于携带所述隧道的参数。或者,所述认证响应为基于Diameter协议的报文。基于Diameter协议的认证响应的Diameter头包括AVP,所述Diameter头中的一个或多个AVP用于携带所述隧道的参数。
如图1所示,G1接收来自C1的第一认证响应,所述第一认证响应包括分配给D1的隧道的源地址和分配给D1的隧道的目的地址。G1接收来自C1的第二认证响应,所述第二认证响应包括分配给R2的标签。G1接收来自C1的第三认证响应,所述第三认证响应包括分配给D3的隧道的标识信息。其中,D1、R2和D3均为所述控制设备认证为合法的用户采用的用户侧设备。
S204,所述网关设备根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。
举例说明,在所述隧道为IP隧道的场景下,如果所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,则所述网关设备根据所述隧道的参数生成隧道表包括:所述网关设备根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。如图1所示的场景中,G1根据所述第一认证响应中的所述分配给D1的隧道的源地址和所述分配给D1的隧道的目的地址,生成第一隧道表。所述第一隧道表包括所述分配给D1的隧道的源地址和所述分配给D1的隧道的目的地址。
举例说明,在所述隧道为IP隧道的场景下,如果所述隧道的参数包括所述隧道的标识信息,则所述网关设备根据所述隧道的参数生成隧道表包括:所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;所述网关设备根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。其中,所述网关设备上可以预先存储有第一对应关系,所述第一对应关系包括所述隧道的标识信息、所述隧道的源地址和所述隧道的目的地址。所述网关设备可根据所述隧道的标识信息和预先存储的所述第一对应关系,查询获得所述隧道的源地址和所述隧道的目的地址。如图1所示的场景中,G1根据所述第三认证响应中的分配给D3的隧道的标识信息和预先存储的第一对应关系,获得分配给D3的隧道的源地址和分配给D3的隧道的目的地址。G1根据所述分配给D3的隧道的源地址和所述分配给D3的隧道的目的地址,生成第三隧道表。所述第三隧道表包括所述分配给D3的隧道的源地址和所述分配给D3的隧道的目的地址。
举例说明,在所述隧道为MPLS隧道的场景下,如果所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备,则所述网关设备根据所述隧道的参数生成隧道表包括:所述网关设备根据所述分配给网络侧设备的标签,生成所述隧道表。所述分配给网络侧设备的标签属于全局性的标签,即所述隧道所经过的转发设备可根据所述分配给网络侧设备的标签,获知处于所述隧道的终止点的设备。如图1所示的场景中,G1根据所述第二认证响应中的分配给R2的标签,生成第二隧道表。所述第二隧道表包括所述分配给R2的标签。
举例说明,在所述隧道为MPLS隧道的场景下,如果所述隧道参数包括所述隧道的标识信息,则所述网关设备根据所述隧道的参数生成隧道表包括:所述网关设备根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;所述网关设备根据所述分配给所述网络侧设备的标签,生成所述隧道表。其中,所述网关设备上可以预先存储有第二对应关系,所述第二对应关系包括所述隧道的标识信息和所述分配给所述网络侧设备的标签。所述网关设备可根据所述隧道的标识信息和预先存储的所述第二对应关系,查询获得所述分配给所述网络侧设备的标签。
本发明实施例中的所述隧道的标识信息可以是所述隧道的标识(英文全称为identifier,简称为ID),还可以是所述隧道的索引号(英文名称为index),在此不再对所述隧道的标识信息的可能的形式逐一举例说明。
可选地,S204之后,本发明实施例提供的方法还包括:
S205,所述网关设备接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址。
举例说明,所述报文为利用所述第一隧道的源地址和所述第一隧道的目的地址进行了封装后获得的报文,比如所述报文是所述用户侧设备利用所述第一隧道的源地址和所述第一隧道的目的地址进行了封装后获得的报文。所述网关设备可对来自所述用户侧设备的报文进行解析,获得所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址。其中,所述第一隧道是所述用户侧设备和所述网络侧设备间的隧道,所述第一隧道是需要经所述网关设备进行合法性检测的隧道。
如图1所示的场景中,G1接收到来自D1的报文,所述来自D1的报文包括T1的源地址和T1的目的地址。T1的源地址是D1的地址。T1的目的地址是R1的地址。G1还可接收到来自D3的报文,所述来自D3的报文包括T3的源地址和T3的目的地址。T3的源地址是D3的地址。T3的目的地址是R3的地址。
S206,所述网关设备判断所述隧道表是否包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,如果所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,则执行S207,如果所述隧道表不包括所述报文中的所述第一隧道的源地址或所述第一隧道的目的地址,则执行S208。
如图1所示的场景中,G1生成了第一隧道表和第三隧道表。所述第一隧道表包括所述分配给D1的隧道的源地址和所述分配给D1的隧道的目的地址。所述第三隧道表包括分配给D3的隧道的源地址和所述分配给D3的隧道的目的地址。G1接收到来自D1的报文后,可查询所述第一隧道表和所述第三隧道表,判断所述第一隧道表或所述第三隧道表是否包括所述来自D1的报文中的T1的源地址和T1的目的地址。如果所述第一隧道表包括T1的源地址和T1的目的地址,即分配给D1的隧道为T1,则G1可确定T1为合法的隧道,执行S207。如果所述第一隧道表不包括T1的源地址或T1的目的地址,即分配给D1的隧道不是T1,则G1可确定T1为不合法的隧道,执行S208。
如图1所示的场景中,G1接收到来自D3的报文后,可查询所述第一隧道表和所述第三隧道表,判断所述第一隧道表或所述第三隧道表是否包括来自D3的报文中的T3的源地址和T3的目的地址。如果所述第三隧道表包括T3的源地址和T3的目的地址,即分配给D3的隧道为T3,则G1可确定T3为合法的隧道,执行S207。如果所述第三隧道不包括T3的源地址或T3的目的地址,即分配给D3的隧道不是T3,则G1可确定T3为不合法的隧道,执行S208。
S207,所述网关设备根据所述报文中的所述第一隧道的目的地址,转发所述报文。
举例说明,所述网关设备上可以预存有第三对应关系。所述第三对应关系为所述网关设备的第一端口和所述第一隧道的目的地址的对应关系。所述网关设备可根据所述第三对应关系和所述报文中的所述第一隧道的目的地址,确定所述网关设备的第一端口。所述网关设备通过所述第一端口发送所述报文,以使得所述报文转发至所述网络侧设备。
如图1所示的场景中,如果G1确定所述第一隧道表包括T1的源地址和T1的目的地址,则G1向R1转发来自D1的报文。如果G1确定所述第三隧道表包括T3的源地址和T3的目的地址,则G1向R3转发来自D3的报文。
在本发明的另一实施例中,S207可以为:所述网关设备可根据所述隧道表中的所述第一隧道的目的地址,转发所述报文。即所述网关设备确定所述隧道表包括所述报文中的所述第一隧道的目的地址后,所述网关设备可根据所述隧道表包括的所述第一隧道的目的地址,转发所述报文。
S208,如果所述隧道表不包括所述报文中的所述第一隧道的源地址或所述第一隧道的目的地址,所述网关设备丢弃所述报文或缓存所述报文。
举例说明,所述网关设备确定所述隧道表不包括所述报文中的所述第一隧道的源地址或所述第一隧道的目的地址,则确定传输所述报文的第一隧道不是合法的隧道。所述网关设备可根据预设的策略处理所述报文。所述预设的策略为丢弃所述报文或缓存所述报文。所述预设的策略还可以是其他对报文的处理策略,在此不再赘述。
如图1所示的场景中,如果G1确定所述第一隧道表不包括T1的源地址或T1的目的地址,则G1丢弃所述来自D1的报文或缓存所述来自D1的报文。如果G1确定所述第三隧道表不包括T3的源地址或T3的目的地址,则G1丢弃所述来自D3的报文或缓存所述来自D3的报文。
可选地,S204之后,本发明实施例提供的方法还包括:
S205’,所述网关设备接收来自所述用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签。
举例说明,所述报文为利用所述分配给网络侧设备的第一标签进行封装后获得的报文,比如所述报文是所述用户侧设备利用所述分配给网络侧设备的第一标签进行封装后获得的报文。所述网关设备可对接收到的来自所述用户侧设备的报文进行解析,获得所述分配给网络侧设备的第一标签。其中,所述分配给网络侧设备的第一标签所对应的隧道是需要经所述网关设备进行合法性检测的隧道。
如图1所示的场景中,G1接收到来自D2的报文,所述来自D2的报文包括分配给R2的标签。
S206’,所述网关设备判断所述隧道表是否包括所述报文中的所述分配给网络侧设备的第一标签,如果所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,则执行S207’,如果所述隧道表不包括所述报文中的所述分配给网络侧设备的第一标签,则执行S208’。
如图1所示的场景中,G1生成了第二隧道表。所述第二隧道表包括分配给R2的标签。G1收到所述来自D2的报文后,可查询所述第二隧道表,判断所述第二隧道表是否包括所述来自D2的报文中的分配给R2的标签。如果所述第二隧道表包括所述来自D2的报文中的分配给R2的标签,则G1可确定T2为合法的隧道,执行S207’。如果所述第二隧道表不包括所述来自D2的报文中的分配给R2的标签,则G1可确定T2为不合法的隧道,执行S208’。
S207’,所述网关设备根据所述报文中的所述分配给网络侧设备的第一标签,转发所述报文。
举例说明,所述网关设备上可以预存有第四对应关系。所述第四对应关系为所述网关设备的第二端口和所述分配给网络侧设备的第一标签的对应关系。所述网关设备可根据所述第四对应关系和所述报文中的所述分配给网络侧设备的第一标签,确定所述网关设备的第二端口。所述网关设备通过所述第二端口发送所述报文,以使得所述报文转发至所述网络侧设备。
如图1所示的场景中,如果G1确定所述第二隧道表包括分配给R2的标签,则G1通过T2向R2转发来自D2的报文。
在本发明的另一实施例中,S207’可以为:所述网关设备可根据所述隧道表中的分配给网络侧设备的第一标签,转发所述报文。即所述网关设备确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,所述网关设备可根据所述隧道表包括的所述分配给网络侧设备第一标签,转发所述报文。
S208’,如果所述隧道表不包括所述报文中的所述分配给网络侧设备的第一标签,所述网关设备丢弃所述报文或缓存所述报文。
举例说明,所述网关设备确定所述隧道表不包括所述报文中的所述分配给网络侧设备的第一标签,则所述网关设备确定传输所述报文的隧道不是合法的隧道。所述传输所述报文的隧道是与所述分配给网络侧设备的第一标签对应的隧道。所述网关设备可根据预设的策略处理所述报文。所述预设的策略为丢弃所述报文或缓存所述报文。述预设的策略还可以是其他对报文的处理策略,在此不再赘述。
如图1所示的场景中,如果G1确定所述第二隧道表不包括所述分配给R2的标签,则G1丢弃所述来自D2的报文或缓存所述来自D2的报文。
可选地,所述网关设备接收到的来自所述控制设备的认证响应中还包括转发策略,所述转发策略用于指示所述网关设备对所述用户发送的所述报文所采用的处理方式。所述网关设备可根据所述转发策略处理所述报文,比如丢弃所述报文或缓存所述报文。
可选地,所述隧道的参数还可包括所述隧道的类型。所述网关设备可根据所述来自用户的报文的IP头包括的协议(英文名称为protocol)字段的数值或用户数据报协议(英文全称为User Datagram Protocol,简称UDP)目的端口号来确定所述隧道类型,即可确定所述隧道的类型为通用路由封装协议(英文全称为Generic Routing Encapsulation,简称GRE)、虚拟扩展局域网(英文全称为Virtual Extensible Local Area Network,简称VXLAN)、网络虚拟化叠加(英文全称为Network Virtualization over Layer 3,简称UDP)、因特网协议安全协议(英文全称为Internet Protocol Security,简称IPsec)等,在此不再逐一举例说明。相应地,所述网关设备获得的所述隧道表还包括所述隧道的类型。所述网关设备可根据包括所述隧道的类型的隧道表来检测用于传输所述报文的隧道,在此不再赘述。
可选地,所述网关设备接收到的来自所述控制设备的认证响应还包括服务质量(英文全称为quality of service,简称QoS)参数。所述网关设备可根据所述QoS参数,控制所述报文的传输质量,比如所述网关设备根据所述QoS参数转发所述报文。
可选地,所述网关设备接收到的来自所述控制设备的认证响应还包括告警指示。所述告警指示用于向所述控制设备提示所述网关设备接收到所述用户侧设备发送的报文。
本发明实施例一提供的方法中,网关设备根据来自控制设备的认证响应,生成隧道表。所述网关设备能够利用隧道表对用于传输所述报文的隧道进行检测。若所述隧道表包括所述报文中的第一隧道的参数,则所述网关设备向网络侧设备转发所述报文。这样,所述网关设备能够对与用户对应的隧道的合法性进行验证,有助于提高安全性。
图3为本发明实施例一提供的用于进行隧道检测的方法流程图。图3对应的实施例一是从控制设备的角度对本发明实施例提供的方法进行说明。图3对应的实施例一提供的方法中,所述网关设备可对用户侧设备和网络侧设备间的第一隧道进行检测,即图3对应的实施例一提及的报文是利用第一隧道的参数进行封装后获得的报文。所述第一隧道为所述用户侧设备和所述网络侧设备间的隧道,且所述第一隧道经过所述网关设备。所述用户侧设备为所述用户接入所述网络所采用的设备。下面结合图1和图3,对本发明实施例一提供的方法进行详细说明。
S301,控制设备接收来自网关设备的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户。
举例说明,本发明实施例中的认证请求、网关设备、用户的标识信息和控制设备可以与图2对应的实施例中的相应内容相同,在此不再赘述。所述认证请求还可携带有所述网关设备的标识或所述网关设备的地址,比如所述认证请求的源IP地址为所述网关设备的源IP地址。本实施例中的认证请求可以与图2对应的实施例的认证请求相同,在此不再赘述。
如图1所示的场景,C1为控制设备,G1为网关设备,D1、D2和D3属于网络侧设备,R1、R2和R3属于网络侧设备。其中,D1为第一用户终端,D2为第二用户终端,D3为第三用户终端。R1为第一路由器,R2为第二路由器,R3为第三路由器。T1为D1和R1间的隧道,T2为D2和R2间的隧道,T3为D3和R3间的隧道。T1、T2和T3均为经过G1的隧道,G1可对T1、T2和T3进行检测。C1接收来自G1的第一认证请求、第二认证请求和第三认证请求。所述第一认证请求包括D1的标识信息。所述第二认证请求包括D2的标识信息。所述第三认证请求包括D3的标识信息。
S302,所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。如果确定所述用户为所述合法的用户,则执行S303;如果确定所述用户不是所述合法的用户,则结束。
举例说明,所述控制设备保存有所述合法用户的信息。所述控制设备可根据所述认证请求包括的所述用户的标识信息,查找所述合法用户的信息。如果所述合法用户的信息包括所述用户的标识信息,则所述用户为所述控制设备认证为合法的用户。
如图1所示的场景中,C1保存有所述合法用户的信息,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。C1判断所述合法用户的信息是否包括D1的标识信息,如果所述合法用户的信息包括D1的标识信息,C1执行S303;如果所述合法用户的信息不包括D1的标识信息,则结束或C1向G1反馈D1未通过认证的消息。如果所述合法用户的信息包括D2的标识信息,C1执行S303;如果所述合法用户的信息不包括D2的标识信息,则结束或C1向G1反馈D2未通过认证的消息。如果所述合法用户的信息包括D3的标识信息,C1执行S303;如果所述合法用户的信息不包括D3的标识信息,则结束或C1向G1反馈D3未通过认证的消息。
S303,所述控制设备确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
举例说明,所述控制设备可确定所述用户为所述合法的用户后,根据所述用户的标识信息和所述合法用户的信息,获得所述分配给所述控制设备认证为合法的用户的隧道的参数。所述控制设备可根据所述分配给所述控制设备认证为合法的用户的隧道的参数,生成所述认证响应。所述分配给所述控制设备认证为合法的用户的隧道的参数可以是分配给所述控制设备认证为合法的用户的隧道的源地址和分配给所述控制设备认证为合法的用户的隧道的目的地址,或者所述分配给所述控制设备认证为合法的用户的隧道的参数可以是分配给所述控制设备认证为合法的用户的隧道的标识信息,或者所述分配给所述控制设备认证为合法的用户的隧道的参数可以是为网络侧设备分配的标签。所述网络侧设备与图2对应的实施例中的网络侧设备相同,在此不再赘述。图3对应的实施例中的认证响应可以和图2对应的实施例中的认证响应相同,在此不再赘述。
举例说明,所述控制设备可根据所述认证请求中携带的所述网关设备的标识或所述网关设备的地址,向所述网关设备发送所述认证响应。所述控制设备可通过所述控制设备与所述网关设备间的通信端口,向所述网关设备发送所述认证响应,在此不再对具体的发送过程进行赘述。
如图1所示场景,如果C1确定D1为合法用户,则C1可获得为D1分配的隧道的源地址和为D1分配的隧道的目的地址。C1根据所述为D1分配的隧道的源地址和所述为D1分配的隧道的目的地址,生成第一认证响应。所述第一认证响应包括为D1分配的隧道的源地址和为D1分配的隧道的目的地址。C1向G1发送所述第一认证响应。
如图1所示场景,如果C1确定D2为合法用户,则C1可获得为R2分配的标签。C1根据所述为R2分配的标签,生成第二认证响应。所述第二认证响应包括所述为R2分配的标签。C1向G1发送所述第二认证响应。
如图1所示场景,如果C1确定D3为合法用户,则C1可获得为D3分配的隧道的标识信息。C1根据为D3分配的隧道的标识信息,生成第三认证响应。所述第三认证响应包括为D3分配的隧道的标识信息。C1向G1发送所述第三认证响应。
可选地,所述分配给所述控制设备认证为合法的用户的隧道的参数还包括分配给所述控制设备认证为合法的用户的隧道的类型。所述隧道的类型与图2对应的实施例一中的隧道的类型相同,在此不再赘述。这样,所述网关设备生成的隧道表还可包括所述隧道的类型,即所述隧道的类型可作为验证隧道的合法性时附加的匹配项。
可选地,所述认证响应还可包括告警指示和/或转发策略。所述告警指示用于向所述控制设备提示所述网关设备接收到所述用户侧设备发送的报文。所述报文包括第一隧道的参数,即所述报文为利用所述第一隧道的参数进行封装后获得的报文。所述转发策略用于指示所述网关设备对所述用户发送的所述报文所采用的处理方式。
可选地,所述认证响应还可包括所述用户的标识信息。相应地,所述网关设备获得的隧道表还可包括所述用户的标识信息,即所述用户的标识信息可作为验证隧道合法性时附加的匹配项。
本发明实施例一提供的方法中,控制设备可根据来自网关设备的认证请求携带的用户的标识信息,对用户的合法性进行验证。所述控制设备验证所述用户为合法用户后,可向所述网关设备发送认证响应。这样,所述网关设备能够对与所述用户对应的隧道进行合法性验证,有助于提高安全性。
图4为本发明实施例提供的另一种网络场景示意图。如图4所示,C2为控制设备,G2为网关设备,D1、D2和D3属于网络侧设备,R1、R2和R3属于网络侧设备。其中,D1为第一用户终端,D2为第二用户终端,D3为第三用户终端。R1为第一路由器,R2为第二路由器,R3为第三路由器。T1为G2和R1间的隧道,T2为G1和R2间的隧道,T3为G1和R3间的隧道。
图5为本发明实施例二提供的用于进行隧道检测的方法流程图。图5对应的实施例二是从网关设备的角度对本发明实施提供的方法进行说明。图5对应的实施例二提供的方法中,所述网关设备在检测用户侧设备的合法性后与网络侧设备建立隧道,所述隧道为所述网关设备与所述网络侧设备间的隧道。所述网络侧设备为处于所述隧道的终止点的设备,即所述网络侧设备为所述用户侧设备需要访问的网络侧设备。所述用户侧设备为所述用户接入所述网络所采用的设备。图5对应的实施例二提及的第一报文是未经隧道封装的报文,第二报文是经隧道封装的报文。下面结合图4和图5,对本发明实施例二提供的方法进行具体说明。
S501,网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息。
图5对应的实施例二中的S501与图2对应的实施例一中的S201相同,在此不再赘述。
如图4所示的场景,G2可接收来自D1的第一接入请求,所述第一接入请求可以是请求访问R1。所述第一接入请求包括D1的标识信息。G2从所述第一接入请求中获得D1的标识信息。G2根据D1的标识信息,生成第一认证请求。所述第一认证请求包括D1的标识信息。G2可接收来自D2的第二接入请求,所述第二接入请求可以是请求访问R2。所述第二接入请求包括D2的标识信息。G2从所述第二接入请求中获得D2的标识信息。G2根据D2的标识信息,生成第二认证请求。所述第二认证请求包括D2的标识信息。G2可接收来自D3的第三接入请求。所述第三接入请求可以是请求访问R3。所述第三接入请求包括D3的标识信息。G2从所述第三接入请求中获得D3的标识信息。G2根据D3的标识信息,生成第三认证请求,所述第三认证请求包括D3的标识信息。
S502,所述网关设备向控制设备发送所述认证请求。
图5对应的实施例二中的S502与图2对应的实施例一中的S202相同,在此不再赘述。
如图4所示的场景,G2向C2发送所述第一认证请求、所述第二认证请求和所述第三认证请求。图4是以G2向C2发送所述第一认证请求、所述第二认证请求和所述第三认证请求为例进行的说明,在其他场景中,G2可同时或依次向C2发送所述第一认证请求、所述第二认证请求和所述第三认证请求中的一个或多个认证请求,在此不再逐一举例说明。所述第一认证请求、所述第二认证请求和所述第三认证请求中的第一、第二和第三是用来区分不同的认证请求,并不表示发送次序,比如G2可依次向C2发送所述第二认证请求、所述第一认证请求和所述第三认证请求。
S503,所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道。
举例说明,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括所述隧道的标识信息,所述隧道为所述网关设备和网络侧设备间的隧道。或者,所述隧道的参数包括分配给所述网络侧设备的标签。其中,所述隧道的源地址为所述隧道的源IP地址,比如所述网关设备的IP地址。所述隧道的目的地址为所述隧道的目的IP地址,比如所述网络侧设备的IP地址。
举例说明,所述认证响应所采用的协议与所述认证请求所采用的协议可相同。所述认证响应为基于RADIUS协议的报文。基于RADIUS协议的认证响应包括attribute,所述基于RADIUS协议的认证响应中的一个或多个attribute用于携带所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息。或者,所述认证响应为基于Diameter协议的报文。基于Diameter协议的认证响应的Diameter头包括AVP,所述Diameter头中的一个或多个AVP用于携带所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息。
如图4所示的场景,G2接收来自C2的第一认证响应,所述第一认证响应包括第一隧道的源地址和所述第一隧道的目的地址。所述第一隧道可用于传输D1发送给R1的报文。G2接收来自C2的第二认证响应,所述第二认证响应包括分配给R2的标签。所述分配给R2的标签可用于建立第二隧道。所述第二隧道可用于传输D2发送给R2的报文。G2接收来自C2的第三认证响应,所述第三认证响应包括第三隧道的标识信息。所述第三隧道可用于传输D3发送给R3的报文。
S504,所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
举例说明,在所述隧道为IP隧道的场景下,如果所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,则所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。如图4所示的场景中,G2根据所述第一认证响应中的D1的标识信息、所述第一隧道的源地址和所述第一隧道的目的地址,生成第一隧道表。所述第一隧道表包括D1的标识信息、所述第一隧道的源地址和所述第一隧道的目的地址。所述第一隧道的源地址为G2的地址,所述第一隧道的目的地址为R1的地址。
举例说明,在所述隧道为IP隧道的场景下,如果所述隧道的参数包括所述隧道的标识信息,所述隧道为所述网关设备和所述网络侧设备间的隧道,则所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应;所述网关设备根据所述用户的标识信息、所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。其中,所述网关设备上可以预先存储有第一对应关系,所述第一对应关系包括所述隧道的标识信息、所述隧道的源地址和所述隧道的目的地址。所述网关设备可根据所述隧道的标识信息和预先存储的所述第一对应关系,查询获得所述隧道的源地址和所述隧道的目的地址。如图4所示的场景中,G2根据所述第三认证响应中的第三隧道的标识信息和预先存储的第一对应关系,获得分配所述第三隧道的源地址和所述第三隧道的目的地址。所述第三隧道的源地址是G2的地址,所述第三隧道的目的地址是R3的地址。G2根据D3的标识信息、所述第三隧道的源地址和所述第三隧道的目的地址,生成第三隧道表。所述第三隧道表包括D3的标识信息、所述第三隧道的源地址和所述第三隧道的目的地址。
举例说明,在所述隧道为MPLS隧道的场景下,如果所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备,则所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述用户的标识信息和所述分配给网络侧设备的标签,生成所述隧道表。所述分配给网络侧设备的标签属于全局性的标签,即所述隧道所经过的转发设备可根据所述分配给网络侧设备的标签,获知处于所述隧道的终止点的设备。如图4所示的场景中,G2根据所述第二认证响应中的D2的标识信息和分配给R2的标签,生成第二隧道表。所述第二隧道表包括D2的标识信息和所述分配给R2的标签。
举例说明,在所述隧道为MPLS隧道的场景下,如果所述隧道参数包括所述隧道的标识信息,所述隧道为所述网关设备和所述网络侧设备间的隧道,则所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述隧道的标识信息,查询得到分配给所述网络侧设备的标签;所述网关设备根据所述用户的标识信息和所述分配给所述网络侧设备的标签,生成所述隧道表。其中,所述网关设备上可以预先存储有第二对应关系,所述第二对应关系包括所述隧道的标识信息和所述分配给所述网络侧设备的标签。所述网关设备可根据所述隧道的标识信息和预先存储的所述第二对应关系,查询获得所述分配给所述网络侧设备的标签。
本发明实施例中的所述隧道的标识信息可以是所述隧道的ID,还可以是所述隧道的index,在此不再对所述隧道的标识信息的可能的形式逐一举例说明。
可选地,S504之后,本发明实施例提供的方法还包括:
S505,所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备。
举例说明,所述第一报文为未经隧道封装的需要发送至所述网络侧设备的报文。所述网关设备可对来自所述用户侧设备的第一报文进行解析,获得所述第一报文包括的所述第一用户的标识信息。如图4所示的场景,G2接收来自D1的第一报文,所述来自D1的第一报文包括D1的标识信息。所述来自D1的第一报文是未经隧道封装的需要发送至R1的报文。G2还可接收来自D2的第一报文,所述来自D2的第一报文包括D2的标识信息。所述来自D2的第一报文是未经隧道封装的需要发送至R2的报文。G2还可接收来自D3的第一报文,所述来自D3的第一报文包括D3的标识信息。所述来自D3的第一报文是未经隧道封装的需要发送至R3的报文。
S506,所述网关设备判断所述隧道表是否包括所述第一报文中的所述第一用户的标识信息,如果所述隧道表包括所述第一报文中的所述第一用户的标识信息,则执行S507,如果所述隧道表不包括所述第一报文中的所述第一用户的标识信息,则执行S508。
如图4所示的场景,G2判断第一隧道表是否包括所述来自D1的第一报文中的D1的标识信息,如果所述第一隧道表包括D1的标识信息,则G2可执行S507。如果所述第一隧道表不包括D1的标识信息,则G2可执行S508。G2判断第三隧道表是否包括所述来自D3的第一报文中的D3的标识信息,如果所述第三隧道表包括D3的标识信息,则G2可执行S507。如果所述第三隧道表不包括D3的标识信息,则G2可执行S508。
S507,所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文,之后执行S509。
举例说明,所述网关设备确定所述隧道表包括所述第一报文中的所述第一用户的标识信息,即所述第一用户为所述控制设备认证为合法的用户。所述网关设备可根据所述隧道表,与所述网络侧设备建立用于传输所述第一报文的隧道,即所述网关设备利用所述隧道的参数对所述第一报文进行封装。
如图4所示的场景,如果G2确定所述第一隧道表包括D1的标识信息,则G2根据所述第一隧道表包括的第一隧道的源地址和第一隧道的目的地址,对所述来自D1的第一报文进行封装,获得需要发送至R1的第二报文。第一隧道的源地址是G2的地址。第一隧道的目的地址是R1的地址。如果G2确定所述第三隧道表包括D3的标识信息,则G2根据所述第三隧道表包括的第三隧道的源地址和第三隧道的目的地址,对所述来自D3的第一报文进行封装,获得需要发送至R3的第二报文。第三隧道的源地址是G2的地址。第三隧道的目的地址是R3的地址。
S508,如果所述隧道表不包括所述第一报文中的所述第一用户的标识信息,所述网关设备丢弃所述第一报文或缓存所述第一报文,之后可结束流程。
举例说明,所述网关设备确定所述隧道表不包括所述第一报文中的所述第一用户的标识信息,则确定所述第一用户不是所述控制设备认证为合法的用户。所述网关设备可根据预设的策略处理所述第一报文。所述预设的策略为丢弃所述第一报文或缓存所述第一报文。
如图4所示的场景,如果G2确定所述第一隧道表不包括D1的标识信息,则G2可根据预设的策略处理所述来自D1的第一报文。如果G2确定所述第三隧道表不包括D3的标识信息,则G2根据预设的策略处理所述来自D3的第一报文
S509,所述网关设备根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
举例说明,所述网关设备上可以预存有第三对应关系。所述第三对应关系为所述网关设备的第一端口和所述隧道的目的地址的对应关系。所述网关设备可根据所述第三对应关系和所述报文中的所述隧道的目的地址,确定所述网关设备的第一端口。所述网关设备通过所述第一端口发送所述第二报文,以使得所述第二报文转发至所述网络侧设备。如图4所示的场景中,G2向R1转发所述需要发送至R1的第二报文。G2向R3发送所述需要发送至R3的第二报文。
可选地,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,所述流信息与所述隧道表包括的所述用户的标识信息对应,S504中所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。相应地,S505中的所述第一报文还包括第一流信息。所述第一流信息用于标识第三用户的数据流。在该实施例中,所述第一报文来自第三用户接入网络所采用的用户侧设备。相应地,S506为所述网关设备判断所述隧道表是否包括所述第一流信息和所述第三用户的标识信息,如果所述隧道表包括所述第一流信息和所述第三用户的标识信息,则执行S507,如果所述隧道表不包括所述第一流信息或所述第三用户的标识信息,则执行S508。本发明实施例中利用所述第一流信息和所述第三用户的标识信息,可用于对所述第三用户的某一条数据流进行识别,即将合法的数据流通过隧道传输至所述网络侧设备。其中,所述第三用户是需要所述网关设备进行合法性检测的用户。
可选地,S504之后,本发明实施例提供的方法还包括:
S505’,所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息,所述用户侧设备为所述第二用户接入所述网络所采用的设备。
举例说明,所述第一报文为未经隧道封装的报文。所述网关设备可对接收到的来自所述用户侧设备的第一报文进行解析,获得所述第一报文包括的所述第二用户的标识信息。所述第二用户为需要所述网关设备进行合法性检测的用户。如图4所示的场景,G2接收来自D2的第一报文,所述来自D2的第一报文包括D2的标识信息。所述来自D2的第一报文是未经隧道封装的需要发送至R2的报文。
S506’,所述网关设备判断所述隧道表是否包括所述第一报文中的所述第二用户的标识信息,如果所述隧道表包括所述第一报文中的所述第二用户的标识信息,则执行S507’,如果所述隧道表不包括所述第一报文中的所述第二用户的标识信息,则执行S508’。
如图4所示的场景,G2判断第二隧道表是否包括所述来自D2的第一报文中的D2的标识信息,如果所述第二隧道表包括D2的标识信息,则G2可执行S507’。如果所述第二隧道表不包括D2的标识信息,则G2可执行S508’。
S507’,所述网关设备根据所述第一报文和所述隧道表包括的分配给网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给网络侧设备的标签对所述第一报文进行隧道封装后获得的报文,之后执行S509’。
举例说明,所述网关设备确定所述隧道表包括所述第一报文中的所述第二用户的标识信息,则确定所述第二用户为所述控制设备认证为合法的用户。所述网关设备可利用所述隧道表包括的所述分配给网络侧设备的标签,对所述第一报文进行隧道封装,获得第二报文。如图4所示的场景,如果G2确定所述第二隧道表包括所述来自D2的第一报文中的D2的标识信息,则确定D2为合法的用户。G2可根据所述第二隧道表包括的分配给R2的标签,对所述来自D2的第一报文进行封装,获得需要发送至R2的第二报文。
S508’,如果所述隧道表不包括所述第一报文中的所述第二用户的标识信息,所述网关设备丢弃所述第一报文或缓存所述第一报文,之后可结束流程。
举例说明,所述网关设备确定所述隧道表不包括所述第一报文中的所述第二用户的标识信息,则确定所述第二用户不是所述控制设备认证为合法的用户。所述网关设备可根据预设的策略处理所述第一报文。所述预设的策略为丢弃所述第一报文或缓存所述第一报文。如图4所示的场景,如果G2确定所述第二隧道表不包括D2的标识信息,则G2可根据预设的策略处理所述来自D2的第一报文。
S509’,所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
举例说明,所述网关设备上可以预存有第四对应关系。所述第四对应关系为所述网关设备的第二端口和所述分配给网络侧设备的标签的对应关系。所述网关设备可根据所述第四对应关系和所述隧道表中的所述分配给网络侧设备的标签,确定所述网关设备的第二端口。所述网关设备通过所述第二端口发送所述第二报文,以使得所述第二报文转发至所述网络侧设备。如图4所示的场景中,G2向R2转发所述需要发送至R2的第二报文。
可选地,所述网关设备接收到的来自所述控制设备的认证响应中还包括转发策略,所述转发策略用于指示所述网关设备对所述第一报文所采用的处理方式。所述网关设备可根据所述转发策略处理所述第一报文,比如丢弃所述第一报文或缓存所述第一报文。
可选地,所述隧道的参数还可包括所述隧道的类型。所述隧道的类型可以与实施例一中提及的隧道的类型相同,在此不再赘述。
可选地,所述网关设备接收到的来自所述控制设备的认证响应还包括QoS参数。所述网关设备可根据所述QoS参数,控制所述第二报文的传输质量,比如所述网关设备根据所述QoS参数转发所述第二报文。
可选地,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,所述流信息与所述隧道的参数对应。所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。相应地,S505’中的所述第一报文还包括第二流信息。所述第二流信息用于标识第四用户的数据流。在该实施例中,所述第一报文来自第四用户接入网络所采用的用户侧设备。S506’为所述网关设备判断所述隧道表是否包括第四用户的标识信息和第二流信息,如果所述隧道表包括所述第四用户的标识信息和所述第二流信息,则执行S507’,如果所述隧道表不包括所述第四用户的标识信息或所述第二流信息,则执行S508’。本发明实施例中利用所述流信息和所述用户的标识信息,可用于对第四用户的某一条数据流进行识别,即将合法的数据流通过隧道传输至网络侧设备。
本发明实施例二提供的方法中,网关设备根据来自控制设备的认证响应,生成隧道表。若所述隧道表包括所述第一报文中的用户的标识信息,则所述网关设备根据所述隧道表和所述第一报文生成第二报文。所述网关设备向网络侧设备转发所述第二报文。所述网关设备能够对所述用户进行合法性验证,且在通过合法性验证后,所述网关设备与网络侧设备建立合法的隧道,有助于提高安全性。
图6为本发明实施例二提供的用于进行隧道检测的方法流程图。图6对应的实施例二是从控制设备的角度对本发明实施例提供的方法进行说明。图6对应的实施例二提供的方法中,所述网关设备在检测用户侧设备的合法性后,可与网络侧设备建立用于传输用户的第一报文的隧道。图6对应的实施例二提及的第一报文是未经隧道封装的报文,第二报文是经隧道封装的报文。所述隧道是所述网关设备与所述网络侧设备间的隧道。下面结合图4和图6,对本发明实施例二提供的方法进行详细说明。
S601,控制设备接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户。
举例说明,本发明实施例中的认证请求、网关设备、用户的标识信息和控制设备可以与图5对应的实施例中的相应内容相同,在此不再赘述。所述认证请求还可携带有所述网关设备的标识或所述网关设备的地址,比如所述认证请求的源IP地址为所述网关设备的源IP地址。本实施例中的认证请求可以与图5对应的实施例的认证请求相同,在此不再赘述。
如图4所示的场景,C2为控制设备,G2为网关设备,D1、D2和D3属于网络侧设备,R1、R2和R3属于网络侧设备。其中,D1为第一用户终端,D2为第二用户终端,D3为第三用户终端。R1为第一路由器,R2为第二路由器,R3为第三路由器。T1为G2和R1间的隧道,T2为G2和R2间的隧道,T3为G2和R3间的隧道。C2接收来自G2的第一认证请求、第二认证请求和第三认证请求。所述第一认证请求包括D1的标识信息。所述第二认证请求包括D2的标识信息。所述第三认证请求包括D3的标识信息。
S602,所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。如果确定所述用户为所述合法的用户,则执行S603;如果确定所述用户不是所述合法的用户,则结束。
如图4所示的场景中,C2保存有所述合法用户的信息,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。C2判断所述合法用户的信息是否包括D1的标识信息,如果所述合法用户的信息包括D1的标识信息,C2执行S603;如果所述合法用户的信息不包括D1的标识信息,则结束或C2向G2反馈D1未通过认证的消息。如果所述合法用户的信息包括D2的标识信息,C2执行S603;如果所述合法用户的信息不包括D2的标识信息,则结束或C2向G2反馈D2未通过认证的消息。如果所述合法用户的信息包括D3的标识信息,C2执行S603;如果所述合法用户的信息不包括D3的标识信息,则结束或C2向G2反馈D3未通过认证的消息。
S603,所述控制设备确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
举例说明,所述控制设备可确定所述用户为所述合法的用户后,根据所述用户的标识信息和所述合法用户的信息,获得分配给所述控制设备认证为合法的用户的隧道的参数。所述控制设备可根据所述分配给所述控制设备认证为合法的用户的隧道的参数,生成所述认证响应。所述隧道的参数可以是隧道的源地址和隧道的目的地址,或者所述隧道的参数可以是隧道的标识信息,或者所述隧道的参数可以是为网络侧设备分配的标签。所述隧道为所述网关设备和所述网络侧设备间的隧道。图6对应的实施例中的认证响应可以和图5对应的实施例中的认证响应相同,在此不再赘述。
举例说明,所述控制设备可根据所述认证请求中携带的所述网关设备的标识或所述网关设备的地址,向所述网关设备发送所述认证响应。所述控制设备可通过所述控制设备与所述网关设备间的通信端口,向所述网关设备发送所述认证响应,在此不再对具体的发送过程进行赘述。
如图4所示场景,如果C2确定D1为合法用户,则C2可获得为第一隧道的源地址和所述第一隧道的目的地址。所述第一隧道为G2和R1间的隧道。C2根据所述第一隧道的源地址和所述第一隧道的目的地址,生成第一认证响应。所述第一认证响应包括所述第一隧道的源地址和所述第一隧道的目的地址。C2向G2发送所述第一认证响应。
如图4所示场景,如果C2确定D2为合法用户,则C2可获得为R2分配的标签。C2根据所述为R2分配的标签,生成第二认证响应。所述为R2分配的标签可用于通过第二隧道转发来自D2的报文。所述第二认证响应包括所述为R2分配的标签。C2向G2发送所述第二认证响应。
如图4所示场景,如果C2确定D3为合法用户,则C2可获得第三隧道的标识信息。C2根据所述第三隧道的标识信息,生成第三认证响应。所述第三认证响应包括为所述第三隧道的标识信息。C2向G2发送所述第三认证响应。
可选地,所述隧道的参数还包括所述隧道的类型。所述隧道的类型与图5对应的实施例中的隧道参数相同,在此不再赘述。
可选地,所述认证响应还可包括转发策略和/或所述隧道对应的流信息。所述转发策略用于指示所述网关设备对所述用户发送的所述第一报文所采用的处理方式。所述流信息用于标识所述用户的数据流。
本发明实施例二提供的方法中,控制设备可根据来自网关设备的认证请求携带的用户的标识信息,对用户的合法性进行验证。所述控制设备验证所述用户为合法的用户后,可向所述网关设备下发所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。这样,所述网关设备能够对与所述用户进行合法性验证,与网络侧设备建立合法的隧道,有助于提高安全性。
图7为本发明实施例三提供的网关设备的结构示意图。图7对应的实施例三提供的网关设备可执行图2对应的实施例一提供的方法。图7对应的实施例三中,所述网关设备可对用户侧设备和网络侧设备间的隧道进行检测,即本发明实施例三提及的报文是利用隧道的参数进行封装后获得的报文。
本发明实施例三提供的网关设备包括:获得单元701、发送单元702、接收单元703和生成单元704。
所述获得单元701用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息。
举例说明,所述获得单元701具体用于接收来自用户侧设备发送的接入请求,根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。或者,所述获得单元701具体用于接收来自用户侧设备发送的接入请求,将所述接入请求包括的所述用户的标识信息发送给用于生成所述认证请求的设备,从所述用于生成所述认证请求的设备获得所述认证请求。其中,实施例三中的所述用户侧设备可以是实施例一中的用户侧设备,实施例三中的网络侧设备可以是实施例一中的网络侧设备,在此不再赘述。
所述发送单元702用于向控制设备发送所述认证请求。所述认证请求以及发送所述认证请求的方法与实施例一相同,在此不再赘述。
所述接收单元703用于接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道。其中,所述隧道的参数与实施例一中的隧道的参数相同,在此不再赘述。
可选地,所述隧道的参数还可包括隧道的类型。所述隧道的类型与实施例一提供的隧道的类型相同,在此不再赘述。
所述生成单元704用于根据隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测,所述隧道表包括所述隧道的参数。
举例说明,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。所述生成单元704用于根据所述隧道的源地址和所述隧道的目的地址,生成隧道表。所述隧道表包括所述隧道的源地址和所述隧道的目的地址。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备,所述生成单元704具体用于:根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应;根据所述隧道的源地址和所述隧道的目的地址,生成隧道表,所述隧道表包括所述隧道的源地址和所述隧道的目的地址。
举例说明,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。所述生成单元704具体用于根据所述分配给网络侧设备的标签,生成隧道表。所述隧道表包括所述网络侧设备的标签。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备,所述生成单元704具体用于:根据所述隧道的标识信息,查询得到分配给所述网络侧设备的标签;根据所述分配给所述网络侧设备的标签,生成隧道表,所述隧道表包括所述分配给所述网络侧设备的标签。
可选地,所述网关设备还包括所述判断单元705。
举例说明,如果所述隧道表包括所述隧道的源地址和所述隧道的目的地址,则所述接收单元703还用于接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址。所述判断单元705用于判断所述隧道表是否包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址。所述发送单元702还用于在所述判断单元705确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,根据所述报文中的所述第一隧道的目的地址转发所述报文。或者,所述发送单元702还用于在所述判断单元705确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,根据所述隧道表的所述第一隧道的目的地址转发所述报文。
举例说明,如果所述隧道表包括分配给网络侧设备的标签,则所述接收单元703还用于接收来自用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签,所述用户侧设备为需要检测合法性的用户接入所述网络所采用的设备。所述判断单元705还用于判断所述隧道表是否包括所述报文中的所述分配给网络侧设备的第一标签。所述发送单元702还用于在所述判断单元705确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,根据所述报文中的所述分配给网络侧设备的第一标签转发所述报文。或者,所述发送单元702还用于在所述判断单元705确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,根据所述隧道表中的所述分配给网络侧设备的第一标签转发所述报文。
可选地,所述网关设备还包括处理单元706。若所述隧道表包括所述隧道的源地址和所述隧道的目的地址,来自用户侧设备的报文包括第一隧道的源地址和第一隧道的目的地址,所述判断单元705确定所述隧道表不包括所述报文中的所述第一隧道的源地址或所述报文中的所述第一隧道的目的地址,则所述处理单元706丢弃所述来自用户侧设备的报文或缓存所述来自用户侧设备的报文。举例说明,所述认证响应还包括转发策略,所述转发策略与实施例一中的转发策略相同,在此不再赘述。所述处理单元706可根据所述转发策略处理所述来自用户侧设备的报文。若所述隧道表包括分配给网络侧设备的标签,来自用户侧设备的报文包括分配给网络侧设备的第一标签,所述判断单元705确定所述隧道表不包括所述报文中的分配给网络侧设备的第一标签,则所述处理单元706丢弃所述来自用户侧设备的报文或缓存所述来自用户侧设备的报文。
可选地,所述认证响应还包括QoS参数。所述发送单元702还可根据所述QoS参数转发所述报文,即控制所述报文的传输质量。
可选地,所述隧道的参数还可包括所述隧道的类型。所述隧道的类型的内容与本发明实施例一的隧道的类型相同,在此不再赘述。
可选地,所述认证响应还包括告警指示和/或转发策略。所述告警指示用于向所述控制设备提示所述网关设备接收到所述用户侧设备发送的报文。所述转发策略用于指示所述网关设备对所述用户发送的所述报文所采用的处理方式。
本发明实施例三提供的网关设备中,生成单元704可根据接收单元接收到的认证响应,生成隧道表。判断单元705可根据隧道表和接收单元接收到的报文,判断用于转发所述报文的隧道的合法性。所述判断单元705在确定用于转发所述报文的隧道为合法的隧道后,发送单元702可通过所述隧道向网络侧设备转发所述报文。这样,所述网关设备能够对与用户对应的隧道的合法性进行验证,有助于提高安全性。
图8为本发明实施例三提供的控制设备的结构示意图。图8对应的实施例三提供的控制设备可执行图3对应的实施例一提供的方法。实施例三提供的控制设备包括:接收单元801、判断单元802和发送单元803。
所述接收单元801用于接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户。本发明实施例中的认证请求与图7对应的实施例中的认证请求相同,在此不再赘述。
所述判断单元802用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
所述发送单元803用于在所述判断单元802确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述用户侧设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
可选地,本发明实施例提供的控制设备还可包括生成单元。所述生成单元用于在所述判断单元802确定所述用户为所述合法的用户后,根据所述用户的标识信息和所述合法用户的信息,获得为所述分配给所述控制设备认证为合法的用户的隧道的参数。所述生成单元可根据所述分配给所述控制设备认证为合法的用户的隧道的参数,生成所述认证响应。
可选地,所述认证响应还可包括所述用户的标识信息、QoS参数、告警指示和转发策略中的任意一个或任意组合,在此不再逐一举例说明。本发明实施例中的认证响应与图7对应的实施例中的认证响应相同,在此不再赘述。
可选地,所述隧道参数还可包括隧道的类型。本发明实施例中的隧道的参数与图7对应的实施例中的隧道的参数相同,在此不再赘述。
本发明实施例三提供的控制设备中,判断单元802可在确定所述用户为合法的用户后,通过发送单元803向网关设备发送携带了隧道的参数的认证响应。这样,所述网关设备能够对与用户对应的隧道的合法性进行验证,有助于提高安全性。
图9为本发明实施例四提供的网关设备的结构示意图。图9对应的实施例四提供的网关设备可执行实施例一提供的方法。图7对应的网关设备和图9对应的网关设备为同一网关设备。图9从物理的角度显示了网关设备包括的内容,而图7从逻辑的角度显示了网关设备包括的内容。本发明实施例四提供的网关设备包括:处理器901、存储器902、通信接口903和通信总线904。处理器901、存储器902和通信接口903可通过通信总线904进行通信。所述存储器902用于存储程序代码。
所述处理器901用于读取所述存储器902中存储的程序代码后,执行以下内容:
根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
通过通信接口903,向控制设备发送所述认证请求;
通过通信接口903,接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道。所述隧道的参数可以是隧道的源地址和隧道的目的地址,或者所述隧道的参数可以是隧道的标识信息,或者所述隧道的参数可以是分配给网络侧设备的标签。所述网络侧设备是所述用户需要进行通信的设备;
根据所述隧道的参数生成隧道表,所述隧道表用于对隧道进行合法性检测。
举例说明,所述处理器901通过通信接口903,接收用户侧设备发送的接入请求,所述接入请求包括所述用户的标识信息;所述处理器901根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
可选地,所述处理器901还用于读取所述存储器902中存储的程序代码后,执行以下内容:
通过通信接口903,接收来自所述用户侧设备发送的报文,所述报文包括第一隧道的参数;所述第一隧道的参数包括所述第一隧道的源地址和所述第一隧道的目的地址,或者所述第一隧道的参数为分配给所述网络侧设备的第一标签。
确定所述隧道表包括所述报文中的第一隧道的参数后,根据所述报文中的所述第一隧道的参数,通过通信接口903转发所述报文。
在本发明实施例提供的另一种方法中,所述处理器901在确定所述隧道表包括所述报文中的第一隧道的参数后,根据所述隧道表中的所述第一隧道的参数,通过通信接口903转发所述报文。
本发明实施例提供的所述隧道的参数与图7对应的实施例中的隧道的参数相同,在此不再赘述。
可选地,所述认证响应还可包括所述用户的标识信息、QoS参数、告警指示和转发策略中的任意一个或任意组合。本发明实施例提供的QoS参数、告警指示和转发策略的内容与图2对应的实施例中的相应内容相同,在此不再赘述。
本发明实施例四提供的网关设备中,处理器901可根据通信接口903接收到的认证响应,生成隧道表。所述处理器901可根据隧道表和通过通信接口接903收到的报文,判断用于转发所述报文的隧道的合法性。所述处理器901在确定用于转发所述报文的隧道为合法的隧道后,通过通信接口903向网络侧设备转发所述报文。这样,所述网关设备能够对与用户对应的隧道的合法性进行验证,有助于提高安全性。
图10为本发明实施例四提供的控制设备的结构示意图。图10对应的实施例四提供的控制设备可执行图3对应的实施例一提供的方法。图10对应的控制设备和图8对应的控制设备可以为同一控制设备。图10从物理的角度显示了控制设备包括的内容,而图8从逻辑的角度显示了控制设备包括的内容。实施例四提供的控制设备包括:处理器1001、存储器1002、通信接口1003和通信总线1004。处理器1001、存储器1002和通信接口1003可通过通信总线1004进行通信。所述存储器1002用于存储程序代码。
所述处理器1001用于读取所述存储器1002中存储的程序代码后,执行以下内容:
通过通信接口1003,接收来自网关设备的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
确定所述用户为所述合法用户后,通过通信接口1003向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
本发明实施例中的隧道的参数可以与图9对应的实施例中的隧道的参数相同,在此不再赘述。
可选地,所述认证响应还可包括QoS参数、告警指示、转发策略和所述控制设备认证为合法的用户的标识信息中的任意一个或任意组合。本发明实施例提供的QoS参数、告警指示和转发策略的内容与图2对应的实施例中的相应内容相同,在此不再赘述。
本发明实施例四提供的控制设备中,处理器1001可在确定所述用户为合法的用户后,通过通信接口,向网关设备发送携带了所述隧道的参数的认证响应。这样,所述网关设备能够对与用户对应的隧道的合法性进行验证,有助于提高安全性。
图11为本发明实施例五提供的网关设备的结构示意图。图11对应的网关设备可执行图5对应的实施例二提供的方法。图11对应的实施例五中,所述网关设备在检测用户侧设备的合法性后,可与网络侧设备建立用于传输用户的第一报文的隧道。图11对应的实施例五提及的第一报文是未经隧道封装的报文。
本发明实施例五提供的网关设备包括:获得单元1101、发送单元1102、接收单元1103和生成单元1104。
所述获得单元1101用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息。
举例说明,所述获得单元1101具体用于接收来自用户侧设备发送的接入请求,根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。或者,所述获得单元1101具体用于接收来自用户侧设备发送的接入请求,将所述接入请求包括的所述用户的标识信息发送给用于生成所述认证请求的设备,从所述用于生成所述认证请求的设备获得所述认证请求。其中,实施例五中的所述用户侧设备可以是实施例二中的用户侧设备,实施例五中的网络侧设备可以是实施例二中的网络侧设备,在此不再赘述。
所述发送单元1102用于向控制设备发送所述认证请求。所述认证请求和发送所述认证请求的方法与实施例二相同,在此不再赘述。
所述接收单元1103用于接收所述控制设备发送的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道。本发明实施例提供的认证响应与实施例二中的认证响应相同,在此不再赘述。本发明实施例提供的隧道的参数与实施例二相同,在此不再赘述。
所述生成单元1104用于根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。其中,所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息对应。所述网关设备可利用所述隧道表对用户的合法性进行识别,并利用所述隧道表对识别为合法的用户发送的报文进行隧道封装。
举例说明,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。所述生成单元1104具体用于所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成隧道表。所述隧道表包括所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备,所述生成单元1104具体用于:根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应;根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成隧道表。所述隧道表包括所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息。
举例说明,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。所述生成单元1104具体用于根据所述分配给网络侧设备的标签和所述控制设备认证为合法的所述用户的标识信息,生成隧道表。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备,所述生成单元1104具体用于:根据所述隧道的标识信息,查询得到分配给所述网络侧设备的标签;根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签,生成隧道表。所述隧道表包括所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签。
可选地,所述认证响应还可包括QoS参数和/或转发策略。所述QoS参数和所述转发策略的内容与本发明实施例二中的相应内容相同,在此不再赘述。
可选地,所述隧道的参数还可包括隧道的类型。本发明实施例五中提及的认证请求、隧道的参数与实施例二中的相应内容相同,在此不再赘述。
可选地,所述网关设备还包括第一判断单元1105和第一处理单元1106。所述接收单元1103还用于接收来自所述用户侧设备的第一报文,所述第一报文包括第一用户的标识信息。本发明实施例中的第一报文与实施例二中的第一报文相同,在此不再赘述。所述第一判断单元1105用于判断所述隧道表是否包括所述第一用户的标识信息。如果所述第一判断单元1106确定所述隧道表包括所述第一用户的标识信息,则所述第一处理单元1106用于根据所述第一报文和所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为根据所述隧道的源地址和所述隧道的目的地址,对所述第一报文进行隧道封装后获得的报文。所述发送单元1102还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。或者,所述发送单元1102还用于根据所述隧道表包括的所述隧道的目的地址,转发所述第二报文。
可选地,所述网关设备还包括第一判断单元1105和第一处理单元1106。所述接收单元1103还用于接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息。所述第一判断单元1105用于判断所述隧道表是否包括所述第二用户的标识信息。所述第一处理单元1106用于在所述第一判断单元1105确定所述隧道表包括所述第二用户的标识信息,根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文。所述发送单元1102还用于根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
可选地,如果所述第一判断单元1105确定所述隧道表不包括所述第一报文中的所述第一用户的标识信息或所述第二用户的标识信息,则所述第一处理单元1106还用于丢弃所述第一报文或缓存所述第一报文。
可选地,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,所述生成单元1104用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。所述网关设备还包括第二判断单元1107和第二处理单元1108。所述接收单元1103还用于接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息,所述用户侧设备为所述第三用户接入所述网络所采用的设备。所述第二判断单元1107用于判断所述隧道表是否包括所述第一流信息和所述第三用户的标识信息。如果所述第二判断单元1107用于确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,则所述第二处理单元1108用于根据所述第一报文和所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为根据所述隧道的源地址和所述隧道的目的地址,对所述第一报文进行隧道封装后获得的报文。所述发送单元1102还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。或者,所述发送单元1102还用于根据所述隧道表包括的所述隧道的目的地址,转发所述第二报文。
可选地,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,所述生成单元1104用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。所述网关设备还包括第二判断单元1107和第二处理单元1108。所述接收单元1103还用于接收来自用户侧设备的第一报文,所述第一报文包括第二流信息和第四用户的标识信息,所述用户侧设备为所述第四用户接入所述网络所采用的设备。所述第二判断单元1107用于判断所述隧道表是否包括所述第二流信息和所述第四用户的标识信息。如果所述第二判断单元1107用于确定所述隧道表包括所述第二流信息和所述第四用户的标识信息,则所述第二处理单元1108用于根据所述第一报文和所述隧道表包括的分配给网络侧设备的标签,获得第二报文,所述第二报文为根据所述分配给网络侧设备的标签对所述第一报文进行隧道封装后获得的报文。所述发送单元1102还用于根据所述第二报文包括的所述分配给网络侧设备的标签,转发所述第二报文。或者,所述发送单元1102还用于根据所述隧道表包括的所述分配给网络侧设备的标签,转发所述第二报文。
可选地,如果所述第二判断单元1107还用于确定所述隧道表不包括所述第四用户的标识信息或所述第二流信息,则所述第二处理单元1108还用于丢弃所述第一报文或缓存所述第一报文。
本发明实施例五提供的网关设备中,生成单元1104根据来自控制设备的认证响应,生成隧道表。判断单元1105能够利用隧道表对用户的合法性进行检测。若所述隧道表包括所述第一报文中的用户的标识信息,则发送单元1102向网络侧设备转发根据所述第一报文生成的第二报文。所述网关设备能够在所述用户通过合法性验证后与网络侧设备建立合法的隧道,有助于提高安全性。
图12为本发明实施例五提供的控制设备的结构示意图。图12对应的控制设备能够执行图6对应的实施例二提供的方法。实施例五提供的控制设备包括:接收单元1201、判断单元1202和发送单元1203。
所述接收单元1201用于接收来自网关设备的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户。本发明实施例中的认证请求与图11对应的实施例中的认证请求相同,在此不再赘述。
所述判断单元1202用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
所述发送单元1203用于在所述判断单元1202确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
举例说明,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。或者,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
可选地,本发明实施例提供的控制设备还可包括生成单元。所述生成单元用于在所述判断单元1202确定所述用户为所述合法的用户后,根据所述用户的标识信息和所述合法用户的信息,获得分配给所述控制设备认证为合法的用户的隧道的参数。所述生成单元可根据所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数,生成所述认证响应。
可选地,所述认证响应还可包括QoS参数和/或转发策略。所述QoS参数和所述转发策略的内容与本发明实施例二中的相应内容相同,在此不再赘述。
可选地,所述隧道的参数还可包括隧道的类型。本发明实施例五中提及的认证请求、隧道的参数与实施例二中的相应内容相同,在此不再赘述。
可选地,所述认证响应还包括所述隧道对应的流信息。所述隧道对应的流信息与实施例二的内容相同,在此不再赘述。
本发明实施例五提供的控制设备中,判断单元1202可在确定所述用户为合法的用户后,通过发送单元1203,向网关设备发送携带了所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数的认证响应。这样,所述网关设备能够在确定所述用户为合法的用户后与网络侧设备建立隧道,有助于提高安全性。
图13为本发明实施例六提供的网关设备的结构示意图。图13对应的实施例六提供的网关设备可执行图5对应的实施例二提供的方法。图13对应的网关设备和图11对应的网关设备为同一网关设备。图13从物理的角度显示了网关设备包括的内容,而图11从逻辑的角度显示了网关设备包括的内容。实施例六提供的网关设备包括:处理器1301、存储器1302、通信接口1303和通信总线1304。处理器1301、存储器1302和通信接口1303可通过通信总线1304进行通信。所述存储器1302用于存储程序代码。
所述处理器1301用于读取所述存储器1302中存储的程序代码后,执行以下内容:
根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
通过通信接口1303,向控制设备发送所述认证请求;
通过通信接口1303,接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;
根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
可选地,所述处理器1301还用于读取所述存储器1302中存储的程序代码后,执行以下内容:
通过通信接口1303,接收来自所述用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备;
判断所述隧道表是否包括所述第一用户的标识信息;
在确定所述隧道表包括所述第一用户的标识信息后,根据所述隧道表包括的所述隧道的参数和所述第一报文,获得第二报文,所述第二报文为根据所述隧道的参数对所述第一报文进行隧道封装后获得的报文;
根据所述第二报文包括的所述隧道的参数,通过通信接口1303转发所述第二报文。
举例说明,所述隧道表包括的所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址。或者,所述隧道表包括的所述隧道的参数是为网络侧设备分配的标签。所述网络侧设备为所述用户需要进行交互的设备。
举例说明,所述处理器1301具体用于接收到用户侧设备发送的接入请求,所述接入请求包括用户的标识信息,所述用户为请求接入网络的用户;所述处理器1301具体用于根据所述接入请求包括的所述用户的标识信息,获得认证请求,所述认证请求包括所述用户的标识信息。
可选地,所述认证响应还可包括QoS参数和/或转发策略。所述QoS参数和所述转发策略的内容与本发明实施例二中的相应内容相同,在此不再赘述。
可选地,所述隧道的参数还可包括隧道的类型。本发明实施例五中提及的认证请求、隧道的参数与实施例二中的相应内容相同,在此不再赘述。
可选地,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,所述隧道表还包括所述流信息,所述处理器1301还用于执行以下内容:
接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息;
确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,则根据所述第一报文和所述隧道表包括的所述隧道的参数,获得第二报文,所述第二报文为根据所述隧道的参数对所述第一报文进行隧道封装后获得的报文;
根据所述第二报文包括的所述隧道的参数,转发所述第二报文。
本发明实施例六提供的网关设备中,处理器根据来自控制设备的认证响应,生成隧道表。所述处理器能够利用隧道表对用户的合法性进行检测。若所述隧道表包括所述第一报文中的用户的标识信息,则所述处理器通过通信接口向网络侧设备转发根据所述第一报文生成的第二报文。所述网关设备能够在所述用户通过合法性验证后与网络侧设备建立合法的隧道,有助于提高安全性。
图14为本发明实施例六提供的控制设备的结构示意图。图14对应的实施例六提供的控制设备可执行图6对应的实施例二提供的方法。图14对应的控制设备和图12对应的控制设备为同一控制设备。图14从物理的角度显示了控制设备包括的内容,而图12从逻辑的角度显示了控制设备包括的内容。实施例六提供的控制设备包括:处理器1401、存储器1402、通信接口1403和通信总线1404。处理器1401、存储器1402和通信接口1403可通过通信总线1404进行通信。所述存储器1402用于存储程序代码。
所述处理器1401用于读取所述存储器1402中存储的程序代码后,执行以下内容:
通过通信接口1403,接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户。本发明实施例中的认证请求与图13对应的实施例中的认证请求相同,在此不再赘述。
根据合法用户的信息和所述认证请求包括的所述用户的标识信息,判断所述用户是否为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
在确定所述用户为所述合法用户后,通过通信接口1403向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。其中,所述隧道的参数包括隧道的源地址和隧道的目的地址。或者所述隧道参数是所述隧道的标识信息。或者所述隧道参数是分配给网络侧设备的标签。
可选地,所述认证响应还可包括QoS参数和/或转发策略。所述QoS参数和所述转发策略的内容与本发明实施例二中的相应内容相同,在此不再赘述。
可选地,所述隧道的参数还可包括隧道的类型。本发明实施例六中提及的认证请求、隧道的参数与实施例二中的相应内容相同,在此不再赘述。
可选地,所述认证响应还包括所述隧道对应的流信息。所述隧道对应的流信息与实施例二相同,在此不再赘述。
本发明实施例六提供的控制设备中,处理器1401可在确定所述用户为所述合法的用户后,通过通信接口1403,向网关设备发送携带了所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数的认证响应。这样,所述网关设备能够在确定所述用户为合法的用户后与网络侧设备建立隧道,有助于提高安全性。
本发明实施例还提供了一种用于进行隧道检测的系统,所述系统包括图7对应的实施例提供的网关设备和图8对应的实施例提供的控制设备,或者所述系统包括图9对应的实施例提供的网关设备和图10对应的实施例提供的控制设备,或者所述系统包括图11对应的实施例提供的网关设备和图12对应的实施例提供的控制设备,或者图13对应的实施例提供的网关设备和图14对应的实施例提供的控制设备。具体内容可参见上述实施例提供的内容,在此不再赘述。
需要说明的是:本发明上述实施例中的第一报文和第二报文中的“第一”和“第二”仅是为了区分不同的报文,并不表示顺序关系。
本发明实施例还提供了一种用于进行隧道检测的系统。所述系统包括本发明实施例三提供的网关设备和本发明实施例三提供的控制设备。或者所述系统包括本发明实施例四提供的网关设备和本发明实施例四提供的控制设备。或者所述系统包括本发明实施例五提供的网关设备和本发明实施例五提供的控制设备。或者所述系统包括本发明实施例六提供网关设备和本发明实施例六提供的控制设备。
上述通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。当使用软件实现时,可以将实现上述功能的代码存储在计算机可读介质中。计算机可读介质包括计算机存储介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以是随机存取存储器(英文全称为random access memory,英文缩写为RAM)、只读存储器(英文全称为read-onlymemory,英文缩写为ROM)、电可擦可编程只读存储器(英文全称为electrically erasableprogrammable read-only memory,英文缩写为EEPROM)、只读光盘(英文全称为compactdisc read-only memory,英文缩写为CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其他介质。计算机可读介质可以是压缩光碟(英文全称为compact disc,英文缩写为CD)、激光碟、数字视频光碟(英文全称为digital video disc,英文缩写为DVD)、软盘或者蓝光碟。
最后应说明的是:以上实施例仅用以示例性说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明及本发明带来的有益效果进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求的范围。
Claims (47)
1.一种用于进行隧道检测的方法,其特征在于,所述方法包括:
网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
所述网关设备向控制设备发送所述认证请求;
所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
2.根据权利要求1所述的方法,其特征在于,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
3.根据权利要求1所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。
4.根据权利要求1所述的方法,其特征在于,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
5.根据权利要求1所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签,生成所述隧道表。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述网关设备根据用户的标识信息,获得认证请求包括:
所述网关设备接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
所述网关设备根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
7.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第一用户的标识信息,则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
8.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息,所述用户侧设备为所述第二用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第二用户的标识信息,则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
9.根据权利要求2或3所述的方法,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息,所述用户侧设备为所述第三用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
10.根据权利要求4或5所述的方法,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表包括:所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述方法还包括:
所述网关设备接收来自用户侧设备的第一报文,所述第一报文包括第二流信息和第四用户的标识信息,所述用户侧设备为所述第四用户接入所述网络所采用的设备;
如果所述网关设备确定所述隧道表包括所述第二流信息和所述第四用户的标识信息,则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
11.一种用于进行隧道检测的方法,其特征在于,所述方法包括:
网关设备根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
所述网关设备向控制设备发送所述认证请求;
所述网关设备接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道;
所述网关设备根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。
12.根据权利要求11所述的方法,其特征在于,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
13.根据权利要求11所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。
14.根据权利要求11所述的方法,其特征在于,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
15.根据权利要求11所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述网关设备根据所述隧道的参数,生成隧道表包括:
所述网关设备根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
所述网关设备根据所述分配给所述网络侧设备的标签,生成所述隧道表。
16.根据权利要求11至15任意一项所述的方法,其特征在于,所述网关设备根据用户的标识信息,获得认证请求包括:
所述网关设备接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
所述网关设备根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
17.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:
所述网关设备接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址;
如果所述网关设备确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,则所述网关设备根据所述报文中的所述第一隧道的目的地址,转发所述报文。
18.根据权利要求14或15所述的方法,其特征在于,所述方法还包括:
所述网关设备接收来自用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签;
如果所述网关设备确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,则所述网关设备根据所述报文中的所述分配给网络侧设备的第一标签,转发所述报文。
19.一种用于进行隧道检测的方法,其特征在于,所述方法包括:
控制设备接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
所述控制设备向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
20.根据权利要求19所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
21.根据权利要求19或20所述的方法,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流。
22.一种用于进行隧道检测的方法,其特征在于,所述方法包括:
控制设备接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
所述控制设备向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
23.根据权利要求22所述的方法,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述用户侧设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
24.一种网关设备,其特征在于,所述网关设备包括:
获得单元,用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
发送单元,用于向控制设备发送所述认证请求;
接收单元,用于接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息,所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道;
生成单元,用于根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成隧道表,所述隧道表用于为来自合法的用户的报文进行隧道封装。
25.根据权利要求24所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
26.根据权利要求24所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述生成单元具体用于:
根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表。
27.根据权利要求24所述的网关设备,其特征在于,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
28.根据权利要求24所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述生成单元具体用于:
根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签,生成所述隧道表。
29.根据权利要求24至28任意一项所述的网关设备,其特征在于,所述获得单元具体用于:
接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
30.根据权利要求25或26所述的网关设备,其特征在于,所述网关设备还包括第一判断单元和第一处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第一用户的标识信息,所述用户侧设备为所述第一用户接入所述网络所采用的设备;
所述第一判断单元用于判断所述隧道表是否包括所述第一用户的标识信息;
所述第一处理单元用于在所述第一判断单元确定所述隧道表包括所述第一用户的标识信息,根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
31.根据权利要求27或28所述的网关设备,其特征在于,所述网关设备还包括第一判断单元和第一处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第二用户的标识信息,所述用户侧设备为所述第二用户接入所述网络所采用的设备;
所述第一判断单元用于判断所述隧道表是否包括所述第二用户的标识信息;
所述第一处理单元用于在所述第一判断单元确定所述隧道表包括所述第二用户的标识信息,根据所述第一报文、所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
32.根据权利要求25或26所述的网关设备,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述生成单元具体用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述网关设备还包括第二判断单元和第二处理单元;
所述接收单元用于接收来自用户侧设备的第一报文,所述第一报文包括第一流信息和第三用户的标识信息,所述用户侧设备为所述第三用户接入所述网络所采用的设备;
所述第二判断单元用于判断所述隧道表是否包括所述第一流信息和所述第三用户的标识信息;
所述第二处理单元用于在所述第二判断单元确定所述隧道表包括所述第一流信息和所述第三用户的标识信息,根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址,获得第二报文,所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述隧道的目的地址,转发所述第二报文。
33.根据权利要求27或28所述的网关设备,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流,
所述生成单元具体用于根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息,生成所述隧道表;
所述网关设备还包括第二判断单元和第二处理单元;
所述接收单元还用于接收来自用户侧设备的第一报文,所述第一报文包括第二流信息和第四用户的标识信息,所述用户侧设备为所述第四用户接入所述网络所采用的设备;
所述第二判断单元用于判断所述隧道表是否包括所述第二流信息和所述第四用户的标识信息;
所述第二处理单元在所述第二判断单元确定所述隧道表包括所述第二流信息和所述第四用户的标识信息,根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签,获得第二报文,所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文;
所述发送单元还用于根据所述第二报文包括的所述分配给所述网络侧设备的标签,转发所述第二报文。
34.一种网关设备,其特征在于,所述网关设备包括:
获得单元,用于根据用户的标识信息,获得认证请求,所述用户为请求接入网络的用户,所述认证请求包括所述用户的标识信息;
发送单元,用于向控制设备发送所述认证请求;
接收单元,用于接收来自所述控制设备的认证响应,所述认证响应包括隧道的参数,所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道;
生成单元,用于根据所述隧道的参数,生成隧道表,所述隧道表用于对隧道进行合法性检测。
35.根据权利要求34所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备。
36.根据权利要求34所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述生成单元具体用于:
根据所述隧道的标识信息,查询得到所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应,所述隧道的源地址为用户侧设备的地址,所述用户侧设备为所述用户接入所述网络所采用的设备,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述隧道的源地址和所述隧道的目的地址,生成所述隧道表。
37.根据权利要求34所述的网关设备,其特征在于,所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
38.根据权利要求34所述的网关设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,
所述生成单元具体用于:
根据所述隧道的标识信息,查询得到分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备;
根据所述分配给所述网络侧设备的标签,生成所述隧道表。
39.根据权利要求34至38任意一项所述的网关设备,其特征在于,所述获得单元具体用于:
接收来自用户侧设备的接入请求,所述接入请求包括所述用户的标识信息,所述用户侧设备为所述用户接入所述网络所采用的设备;
根据所述接入请求包括的所述用户的标识信息,生成所述认证请求。
40.根据权利要求35或36所述的网关设备,其特征在于,所述报文还包括判断单元;
所述接收单元还用于接收来自所述用户侧设备的报文,所述报文包括第一隧道的源地址和第一隧道的目的地址;
所述判断单元用于判断所述隧道表是否包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址;
所述发送单元还用于在所述判断单元确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址,根据所述报文中的所述第一隧道的目的地址转发所述报文。
41.根据权利要求37或38所述的网关设备,其特征在于,所述网关设备还包括判断单元;
所述接收单元还用于接收来自用户侧设备的报文,所述报文包括分配给网络侧设备的第一标签;
所述判断单元还用于判断所述隧道表是否包括所述报文中的所述分配给网络侧设备的第一标签;
所述发送单元还用于在所述判断单元确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签,根据所述报文中的所述分配给网络侧设备的第一标签转发所述报文。
42.一种控制设备,其特征在于,所述控制设备包括:
接收单元,用于接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
判断单元,用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
发送单元,用于在所述判断单元确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。
43.根据权利要求42所述的控制设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为所述网关设备和网络侧设备间的隧道,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述网关设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
44.根据权利要求42或43所述的控制设备,其特征在于,所述认证响应还包括所述隧道对应的流信息,所述流信息用于标识所述用户的数据流。
45.一种控制设备,其特征在于,所述控制设备包括:
接收单元,用于接收网关设备发送的认证请求,所述认证请求包括用户的标识信息,所述用户为请求接入网络的用户;
判断单元,用于根据合法用户的信息和所述认证请求包括的所述用户的标识信息,确定所述用户为合法的用户,所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数;
发送单元,用于在所述判断单元确定所述用户为所述合法的用户后,向所述网关设备发送认证响应,所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。
46.根据权利要求45所述的控制设备,其特征在于,所述隧道的参数包括所述隧道的标识信息,所述隧道的标识信息用于标识所述隧道,所述隧道为用户侧设备和网络侧设备间的隧道,所述用户侧设备为所述用户接入所述网络所采用的设备,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址,所述隧道的源地址为所述用户侧设备的地址,所述隧道的目的地址为网络侧设备的地址,所述网络侧设备为处于所述隧道的终止点的设备;或者
所述隧道的参数包括分配给网络侧设备的标签,所述网络侧设备为处于所述隧道的终止点的设备。
47.一种用于进行隧道检测的系统,其特征在于,所述系统包括:前述权利要求24至33任意一项所述的网关设备和前述权利要求42至44任一项所述的控制设备;或者
所述系统包括:前述权利要求34至41任意一项所述的网关设备和前述权利要求45或46所述的控制设备。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510460170.2A CN106713057B (zh) | 2015-07-30 | 2015-07-30 | 用于进行隧道检测的方法、装置及系统 |
| PCT/CN2016/091781 WO2017016473A1 (zh) | 2015-07-30 | 2016-07-26 | 用于进行隧道检测的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510460170.2A CN106713057B (zh) | 2015-07-30 | 2015-07-30 | 用于进行隧道检测的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106713057A CN106713057A (zh) | 2017-05-24 |
| CN106713057B true CN106713057B (zh) | 2019-11-29 |
Family
ID=57885112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510460170.2A Active CN106713057B (zh) | 2015-07-30 | 2015-07-30 | 用于进行隧道检测的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106713057B (zh) |
| WO (1) | WO2017016473A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936515B (zh) * | 2017-12-18 | 2021-06-04 | 华为技术有限公司 | 接入配置方法、信息提供方法及装置 |
| CN110838963B (zh) * | 2018-08-15 | 2021-11-19 | 上海诺基亚贝尔股份有限公司 | 用于通信的设备、方法和装置以及计算机可读存储介质 |
| JP7395211B2 (ja) * | 2019-09-24 | 2023-12-11 | プライビット テクノロジー インク | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 |
| US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| EP4037278A4 (en) * | 2019-09-24 | 2022-11-16 | PRIBIT Technology, Inc. | SYSTEM FOR CONTROLLING NETWORK ACCESS OF A NODE BASED ON TUNNEL AND DATA FLOW AND METHOD THEREOF |
| CN111131496A (zh) * | 2019-12-31 | 2020-05-08 | 易票联支付有限公司 | 一种基于标识信息的通讯中转方法、系统、装置及介质 |
| CN114257543B (zh) * | 2022-03-01 | 2022-07-01 | 北京翼辉信息技术有限公司 | 报文转发方法、装置、存储介质及计算设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642076A (zh) * | 2004-01-14 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中分组数据关口获取用户身份标识的方法 |
| CN101572645A (zh) * | 2009-06-12 | 2009-11-04 | 杭州华三通信技术有限公司 | 隧道建立的方法及装置 |
| CN101815106A (zh) * | 2010-04-16 | 2010-08-25 | 杭州华三通信技术有限公司 | 动态gre隧道建立的方法和设备 |
| CN103259736A (zh) * | 2013-05-24 | 2013-08-21 | 杭州华三通信技术有限公司 | 一种隧道建立方法和网络设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1323526C (zh) * | 2003-10-29 | 2007-06-27 | 华为技术有限公司 | 无线局域网中业务连接建立的方法 |
| CN101621433B (zh) * | 2008-07-02 | 2011-12-21 | 上海华为技术有限公司 | 接入设备的配置方法、装置及系统 |
| US9226153B2 (en) * | 2013-08-23 | 2015-12-29 | Cisco Technology, Inc. | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP |
-
2015
- 2015-07-30 CN CN201510460170.2A patent/CN106713057B/zh active Active
-
2016
- 2016-07-26 WO PCT/CN2016/091781 patent/WO2017016473A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642076A (zh) * | 2004-01-14 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中分组数据关口获取用户身份标识的方法 |
| CN101572645A (zh) * | 2009-06-12 | 2009-11-04 | 杭州华三通信技术有限公司 | 隧道建立的方法及装置 |
| CN101815106A (zh) * | 2010-04-16 | 2010-08-25 | 杭州华三通信技术有限公司 | 动态gre隧道建立的方法和设备 |
| CN103259736A (zh) * | 2013-05-24 | 2013-08-21 | 杭州华三通信技术有限公司 | 一种隧道建立方法和网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106713057A (zh) | 2017-05-24 |
| WO2017016473A1 (zh) | 2017-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106713057B (zh) | 用于进行隧道检测的方法、装置及系统 | |
| US11095478B2 (en) | Access control method, apparatus, and system | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| CN104010049B (zh) | 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| Baker et al. | Internet protocols for the smart grid | |
| EP3272059B1 (en) | Apparatus and method for using certificate data to route data | |
| CN107819732A (zh) | 用户终端访问本地网络的方法和装置 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| CN101820344A (zh) | Aaa服务器、家庭网络接入方法和系统 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US11302451B2 (en) | Internet of things connectivity device and method | |
| US11985113B2 (en) | Computing system operational methods and apparatus | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN107241454A (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN106559785A (zh) | 认证方法、设备和系统以及接入设备和终端 | |
| CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 | |
| CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
| CN105871782B (zh) | 网络业务处理方法、装置、业务路由器及平台认证系统 | |
| CN106851634A (zh) | 一种Portal环境下管理设备在线状态的方法 | |
| CN105101195B (zh) | 网络准入的控制方法及装置 | |
| CN108076459A (zh) | 网络接入控制方法、相关设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |