连接建立方法及装置
技术领域
本发明涉及通信领域,具体而言,涉及一种连接建立方法及装置。
背景技术
3GPP标准化组织引入的本地IP接入(Local IP Access,LIPA)与选择性IP流量卸载(Selected IP Traffic Offload,简称为SIPTO)技术最初是基于毫微微小区(Femtocell)网络提出的,其作用是用户的数据可直接连接到家里的局域网络到因特网(Internet),不经过营运商的核心网络,因此减轻核心网络的负荷和传输成本。
在LIPA/SIPTO技术中,UE注册到网络后,核心网可以选择基站或本地网关作为UE的数据网关,使UE发送到Internet的数据可以不用通过核心网而是从基站或本地网关处直接发送到Internet,来自Internet的数据也可以不用经过核心网而直接发送到UE所接入的基站或网关。UE与Internet节点间的数据传递完全可以直接通过基站或本地网关实现,而毋须再传递到核心网络,这样既能减少数据传输时延,也能减少核心网络的负荷与降低传输成本。一般来说,LIPA技术在HeNB(Home evolved NodeB,家庭演进基站)上实现,图1为在HeNB上实现LIPA的网络架构,其方法为在HeNB上新增一个本地网关(Local Gateway,L-GW),其功能与PGW相似并可以透过直接通道不通过S-GW直接连接HeNB,来自UE的数据可以通过L-GW直接发送到Internet。SIPTO技术一般在宏基站上实现,图2为在宏基站上实现SIPTO的网络架构。如图2所示,MME在为UE选择P-GW的时候,要考虑用户的位置,选择一个在地理/逻辑上靠近UE的L-GW来执行SIPTO(本地S-GW和本地P-GW可合设)。
在现有技术中,UE的接入设备(无线网络接入点或者本地网关)一般是跟核心网的安全网关之间建立有安全连接(如IPSec隧道,VPN连接),但是从无线网络接入点/本地网关分流到Internet的数据或Internet发送到无线网络接入点/本地网关的用户数据不经过核心网,因此分流到Internet的数据缺少安全保证机制,很容易被网络黑客攻击、窃取或篡改。即使是同一个运营商或设备提供商子网之间也无法保证传输的安全性。例如,图1是根据相关技术的LIPA网络架构的示意图,如图1所示,在LIPA网络架构中,HeNB与安全网关SeGW之间建立IPSec隧道,保证HeNB与核心网之间传输的安全性,但无法保证从HeNB分流到Internet的数据的安全性;图2是根据相关技术的SIPTO网络架构的示意图,如图2所示,在SIPTO网络架构中,eNB与S-GW之间的连接保证了eNB与核心网之间传输的安全性,但无法保证从SGW分流到Internet的数据的安全性。
针对相关技术中终端与Internet网络中的设备传输数据的安全性低的问题,目前还没有有效地解决方案。
发明内容
本发明实施例提供了一种连接建立方法及装置,以至少解决相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
根据本发明的一个实施例,提供了一种连接建立方法,用于安全连接管理设备,包括:获取终端的接入设备发送的安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立所述终端的接入设备与互联网中的第一远端设备之间的安全连接;响应于所述安全连接建立请求信息向所述终端的接入设备发送安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示所述终端的接入设备是否建立所述安全连接;在所述安全连接建立响应用于指示所述终端的接入设备建立所述安全连接的情况下,向所述第一远端设备发送安全连接建立指示信息,其中,所述安全连接建立指示信息用于指示所述第一远端设备建立所述安全连接。
可选地,向所述终端的接入设备发送所述安全连接建立响应信息包括:在所述安全连接建立请求信息中携带的第一IP地址用于触发允许所述终端的接入设备建立所述安全连接的情况下,向所述终端的接入设备发送用于指示所述终端的接入设备建立所述安全连接的第一安全连接建立响应信息。
可选地,向所述终端的接入设备发送所述安全连接建立响应信息包括:在所述安全连接建立请求信息中携带的第一IP地址用于触发不允许所述终端的接入设备建立所述安全连接的情况下,向所述终端的接入设备发送用于指示所述终端的接入设备不建立所述安全连接的第二安全连接建立响应信息。
可选地,向所述终端的接入设备发送所述第一安全连接建立响应信息包括:根据所述第一IP地址确定与所述终端的接入设备建立所述安全连接的第二远端设备,其中,所述第二远端设备包括所述第一IP地址对应的设备或者所述第一IP地址对应的设备所在网络中的网络设备;向所述终端的接入设备发送所述第一安全连接建立响应信息,其中,所述第一安全连接建立响应信息携带有所述第二远端设备的第二IP地址和所述安全连接的配置信息。
可选地,所述第一IP地址对应的设备所在网络中的网络设备包括以下之一:服务提供商部署所述第一IP地址对应的设备所在网络中的网络设备时登记的所述第一IP地址对应的设备所在网络的安全网关或者路由器;使用所述第一IP地址对应的终端设备接入网络时登记的所述第一IP地址对应的终端设备接入的接入点设备、安全网关或者路由器;所述第一远端设备。
可选地,所述安全连接建立请求信息中携带的第一IP地址用于触发允许所述终端的接入设备建立所述安全连接包括:在所述终端的接入设备的IP地址与所述第一IP地址属于同一服务提供商部署的设备的IP地址的情况下,确定所述安全连接建立请求信息中携带的第一IP地址用于触发允许所述终端的接入设备建立所述安全连接,其中,所述服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
可选地,所述安全连接建立请求信息中携带的第一IP地址用于触发不允许所述终端的接入设备建立所述安全连接包括:在所述终端的接入设备的IP地址与所述第一IP地址不属于同一服务提供商部署的设备的IP地址的情况下,确定所述安全连接建立请求信息中携带的第一IP地址用于触发不允许所述终端的接入设备建立所述安全连接,其中,所述服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
根据本发明的另一个实施例,提供了一种连接建立方法,用于终端接入设备,包括:向安全连接管理设备发送安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;接收所述安全连接管理设备响应于所述安全连接建立请求信息的安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示是否建立所述安全连接;在所述安全连接建立响应用于指示建立所述安全连接的情况下,根据所述安全连接建立响应信息的指示建立所述安全连接。
可选地,发送所述安全连接建立请求信息包括:对终端数据进行检测,得到所述终端数据的第一IP地址,其中,所述第一IP地址为所述第一远端设备的IP地址;发送携带有所述第一IP地址的所述安全连接建立请求信息。
可选地,在发送携带有所述第一IP地址的所述安全连接建立请求信息之前,所述方法还包括:判断是否已建立所述第一IP地址对应的安全连接;在判断出已建立所述第一IP地址对应的安全连接的情况下,通过已建立的所述第一IP地址对应的安全连接发送上述终端数据;在判断出未建立所述第一IP地址对应的安全连接的情况下,确定发送携带有所述第一IP地址的所述安全连接建立请求信息。
根据本发明的另一个实施例,提供了一种连接建立装置,用于安全连接管理设备,包括:第一接收模块,用于接收终端的接入设备发送的安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立所述终端的接入设备与互联网中的第一远端设备之间的安全连接;第一发送模块,用于响应于所述安全连接建立请求信息向所述终端的接入设备发送安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示所述终端的接入设备是否建立所述安全连接;第二发送模块,用于在所述安全连接建立响应用于指示所述终端的接入设备建立所述安全连接的情况下,向所述第一远端设备发送安全连接建立指示信息,其中,所述安全连接建立指示信息用于指示所述第一远端设备建立所述安全连接。
根据本发明的另一个实施例,提供了一种连接建立装置,用于终端接入设备,包括:第三发送模块,用于向安全连接管理设备发送安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;第二接收模块,用于接收所述安全连接管理设备响应于所述安全连接建立请求信息的安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示是否建立所述安全连接;建立模块,用于在所述安全连接建立响应用于指示建立所述安全连接的情况下,根据所述安全连接建立响应信息的指示建立所述安全连接。
根据本发明的另一个实施例,提供了一种连接建立装置,用于安全连接管理设备,包括:第一处理器和第一通讯接口,其中,所述第一处理器,与所述第一通讯接口连接,所述第一处理器用于获取通过所述第一通讯接口接收到的终端的接入设备发送的安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立所述终端的接入设备与互联网中的第一远端设备之间的安全连接;响应于所述安全连接建立请求信息指示所述第一通讯接口向所述终端的接入设备发送安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示所述终端的接入设备是否建立所述安全连接;在所述安全连接建立响应用于指示所述终端的接入设备建立所述安全连接的情况下,指示所述第一通讯接口向所述第一远端设备发送安全连接建立指示信息,其中,所述安全连接建立指示信息用于指示所述第一远端设备建立所述安全连接。
根据本发明的另一个实施例,提供了一种连接建立装置,用于终端接入设备,包括:第二处理器和第二通讯接口,其中,所述第二处理器,与所述第二通讯接口连接,所述第二处理器用于指示所述第二通讯接口向安全连接管理设备发送安全连接建立请求信息,其中,所述安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;通过所述第二通讯接口接收所述安全连接管理设备响应于所述安全连接建立请求信息的安全连接建立响应信息,其中,所述安全连接建立响应信息用于指示是否建立所述安全连接;在所述安全连接建立响应用于指示建立所述安全连接的情况下,根据所述安全连接建立响应信息的指示建立所述安全连接。
通过本发明,接收终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接,由此可见,采用上述方案根据安全连接建立请求信息指示终端的接入设备是否建立安全连接,并在允许建立连接的情况下利用安全连接建立指示信息通知第一远端设备建立该安全连接,通过安全连接的建立使数据在安全环境中传输,因此,提高了终端与Internet网络中的设备传输数据的安全性,从而解决了相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的LIPA网络架构的示意图;
图2是根据相关技术的SIPTO网络架构的示意图;
图3是根据本发明实施例的一种连接建立方法的流程图;
图4是根据本发明实施例的另一种连接建立方法的流程图;
图5是根据本发明实施例的一种连接建立装置的结构框图一;
图6是根据本发明实施例的一种连接建立装置的结构框图二;
图7是根据本发明可选实施例的一种建立安全连接的方法的示意图一;
图8是根据本发明可选实施例的一种建立安全连接的方法的示意图二。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
在本实施例中提供了一种连接建立方法,该方法可以但不限于用于安全连接管理设备,图3是根据本发明实施例的一种连接建立方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,获取终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;
步骤S304,响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;
步骤S306,在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接。
可选地,上述连接建立方法可以但不限于应用于终端与Internet网络中的设备传输数据的场景中。例如:使用本地IP接入(Local IP Access,简称为LIPA)与选择性IP流量卸载(Selected IP Traffic Offload,简称为SIPTO)技术。
可选地,上述连接建立方法可以但不限于应用于网络管理设备。
通过上述步骤,获取终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接,由此可见,采用上述方案根据安全连接建立请求信息指示终端的接入设备是否建立安全连接,并在允许建立连接的情况下利用安全连接建立指示信息通知第一远端设备建立该安全连接,通过安全连接的建立使数据在安全环境中传输,因此,提高了终端与Internet网络中的设备传输数据的安全性,从而解决了相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
可选地,在上述步骤S304中,可以但不限于根据安全连接建立请求信息中携带的第一IP地址来触发是否允许终端的接入设备建立安全连接,并根据第一IP地址发送用于指示该判断结果的安全连接建立响应信息。例如:在安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备建立安全连接的第一安全连接建立响应信息,在安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备不建立安全连接的第二安全连接建立响应信息。
可选地,通知终端的接入设备允许建立安全连接的方式可以但不限于是向终端的接入设备发送上述第一安全连接建立响应信息,第一安全连接建立响应信息中可以但不限于携带将于终端的接入设备建立安全连接的第二远端设备的第二IP地址和安全连接的配置信息。例如:根据第一IP地址确定与终端的接入设备建立安全连接的第二远端设备,其中,第二远端设备包括第一IP地址对应的设备或者第一IP地址对应的设备所在网络中的网络设备,并向终端的接入设备发送第一安全连接建立响应信息,其中,第一安全连接建立响应信息携带有第二远端设备的第二IP地址和安全连接的配置信息。
可选地,第一IP地址对应的设备所在网络中的网络设备可以但不限于包括以下之一:服务提供商部署第一IP地址对应的设备所在网络中的网络设备时登记的第一IP地址对应的设备所在网络的安全网关或者路由器;使用第一IP地址对应的终端设备接入网络时登记的第一IP地址对应的终端设备接入的接入点设备、安全网关或者路由器;第一远端设备。
可选地,在终端的接入设备的IP地址与第一IP地址属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端,在终端的接入设备的IP地址与第一IP地址不属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
在本实施例中提供了另一种连接建立方法,该方法可以但不限于用于终端接入设备,图4是根据本发明实施例的另一种连接建立方法的流程图,如图4所示,该流程包括如下步骤:
步骤S402,向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;
步骤S404,接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示是否建立安全连接;
步骤S406,在安全连接建立响应用于指示建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接。
可选地,上述连接建立方法可以但不限于应用于终端与Internet网络中的设备传输数据的场景中。例如:使用本地IP接入(Local IP Access,简称为LIPA)与选择性IP流量卸载(Selected IP Traffic Offload,简称为SIPTO)技术。
可选地,上述连接建立方法可以但不限于应用于终端的接入设备,例如:无线网络接入点、服务网关等。
通过上述步骤,向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示是否建立安全连接;在安全连接建立响应用于指示建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接,由此可见,采用上述方案通过发送安全连接建立请求信息请求建立安全连接,接收响应于上述安全连接建立响应信息,并根据安全连接建立响应信息的指示建立安全连接,通过安全连接的建立使数据在安全环境中传输,因此,提高了终端与Internet网络中的设备传输数据的安全性,从而解决了相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
可选地,在上述步骤S402中,通过对终端数据的检测,将检测到的与终端进行数据传输的第一远端设备的IP地址携带在安全连接建立请求信息,并发送该携带有第一IP地址的安全连接建立请求信息。例如:对终端数据进行检测,得到终端数据的第一IP地址,其中,第一IP地址为第一远端设备的IP地址,发送携带有第一IP地址的安全连接建立请求信息。
可选地,在发送携带有第一IP地址的安全连接建立请求信息之前,可以先判断是否已经存在了第一IP地址对应的安全连接,如果安全连接已经存在,则利用已经存在的安全连接传输数据,如果安全连接不存在,再建立安全连接建立请求信息请求的安全连接。例如:判断是否已建立第一IP地址对应的安全连接,在判断出已建立第一IP地址对应的安全连接的情况下,通过已建立的第一IP地址对应的安全连接发送上述终端数据,在判断出未建立第一IP地址对应的安全连接的情况下,确定发送携带有第一IP地址的安全连接建立请求信息。
实施例2
在本实施例中还提供了一种连接建立装置,该装置可以但不限于用于安全连接管理设备,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的一种连接建立装置的结构框图一,如图5所示,该装置包括:
获取模块52,用于获取终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;
第一发送模块54,耦合至获取模块52,用于响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;
第二发送模块56,耦合至第一发送模块54,用于在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接。
可选地,上述连接建立装置可以但不限于应用于终端与Internet网络中的设备传输数据的场景中。例如:使用本地IP接入(Local IP Access,简称为LIPA)与选择性IP流量卸载(Selected IP Traffic Offload,简称为SIPTO)技术。
可选地,上述连接建立装置可以但不限于应用于网络管理设备。
通过上述步骤,获取模块获取终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;第一发送模块响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;第二发送模块在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接,由此可见,采用上述方案根据安全连接建立请求信息指示终端的接入设备是否建立安全连接,并在允许建立连接的情况下利用安全连接建立指示信息通知第一远端设备建立该安全连接,通过安全连接的建立使数据在安全环境中传输,因此,提高了终端与Internet网络中的设备传输数据的安全性,从而解决了相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
可选地,第一发送模块54用于:在安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备建立安全连接的第一安全连接建立响应信息。
可选地,第一发送模块54用于:在安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备不建立安全连接的第二安全连接建立响应信息。
可选地,第一发送模块54用于:根据第一IP地址确定与终端的接入设备建立安全连接的第二远端设备,其中,第二远端设备包括第一IP地址对应的设备或者第一IP地址对应的设备所在网络中的网络设备;向终端的接入设备发送第一安全连接建立响应信息,其中,第一安全连接建立响应信息携带有第二远端设备的第二IP地址和安全连接的配置信息。
可选地,第一IP地址对应的设备所在网络中的网络设备包括以下之一:服务提供商部署第一IP地址对应的设备所在网络中的网络设备时登记的第一IP地址对应的设备所在网络的安全网关或者路由器;使用第一IP地址对应的终端设备接入网络时登记的第一IP地址对应的终端设备接入的接入点设备、安全网关或者路由器;第一远端设备。
可选地,第一发送模块54用于:在终端的接入设备的IP地址与第一IP地址属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
可选地,第一发送模块54用于:在终端的接入设备的IP地址与第一IP地址不属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
在本实施例中还提供了另一种连接建立装置,该装置可以但不限于用于终端接入设备,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本发明实施例的一种连接建立装置的结构框图二,如图6所示,该装置包括:
第三发送模块62,用于向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;
接收模块64,耦合至第三发送模块62,用于接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示是否建立安全连接;
建立模块66,耦合至接收模块64,用于在安全连接建立响应用于指示建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接。
可选地,上述连接建立装置可以但不限于应用于终端与Internet网络中的设备传输数据的场景中。例如:使用本地IP接入(Local IP Access,简称为LIPA)与选择性IP流量卸载(Selected IP Traffic Offload,简称为SIPTO)技术。
可选地,上述连接建立装置可以但不限于应用于终端的接入设备,例如:无线网络接入点、服务网关等。
通过上述装置,第三发送模块向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;第二接收模块接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示是否建立安全连接;建立模块在安全连接建立响应用于指示建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接,由此可见,采用上述方案通过发送安全连接建立请求信息请求建立安全连接,接收响应于上述安全连接建立响应信息,并根据安全连接建立响应信息的指示建立安全连接,通过安全连接的建立使数据在安全环境中传输,因此,提高了终端与Internet网络中的设备传输数据的安全性,从而解决了相关技术中终端与Internet网络中的设备传输数据的安全性低的问题。
可选地,第三发送模块用于:对终端数据进行检测,得到终端数据的第一IP地址,其中,第一IP地址为第一远端设备的IP地址;发送携带有第一IP地址的安全连接建立请求信息。
可选地,上述装置还包括:判断模块,用于判断是否已建立第一IP地址对应的安全连接;第四发送模块,耦合至判断模块,用于在判断出已建立第一IP地址对应的安全连接的情况下,通过已建立的第一IP地址对应的安全连接发送上述终端数据;确定模块,耦合至第四发送模块与第三发送模块之间,用于在判断出未建立第一IP地址对应的安全连接的情况下,确定发送携带有第一IP地址的安全连接建立请求信息。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述模块分别位于多个处理器中。
实施例3
在本实施例中还提供了一种连接建立装置,用于安全连接管理设备,该装置包括:第一处理器和第一通讯接口,其中,
第一处理器,与第一通讯接口连接,第一处理器用于获取通过第一通讯接口接收到的终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;响应于安全连接建立请求信息指示第一通讯接口向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,指示第一通讯接口向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接。
可选地,第一处理器还用于:在安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备建立安全连接的第一安全连接建立响应信息。
可选地,第一处理器还用于:在安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接的情况下,向终端的接入设备发送用于指示终端的接入设备不建立安全连接的第二安全连接建立响应信息。
可选地,第一处理器还用于:根据第一IP地址确定与终端的接入设备建立安全连接的第二远端设备,其中,第二远端设备包括第一IP地址对应的设备或者第一IP地址对应的设备所在网络中的网络设备;向终端的接入设备发送第一安全连接建立响应信息,其中,第一安全连接建立响应信息携带有第二远端设备的第二IP地址和安全连接的配置信息
可选地,第一IP地址对应的设备所在网络中的网络设备包括以下之一:服务提供商部署第一IP地址对应的设备所在网络中的网络设备时登记的第一IP地址对应的设备所在网络的安全网关或者路由器;使用第一IP地址对应的终端设备接入网络时登记的第一IP地址对应的终端设备接入的接入点设备、安全网关或者路由器;第一远端设备。
可选地,第一处理器还用于:在终端的接入设备的IP地址与第一IP地址属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
可选地,第一处理器还用于:在终端的接入设备的IP地址与第一IP地址不属于同一服务提供商部署的设备的IP地址的情况下,确定安全连接建立请求信息中携带的第一IP地址用于触发不允许终端的接入设备建立安全连接,其中,服务提供商部署的设备包括:接入设备、终端设备或者用户终端。
在本实施例中还提供了一种连接建立装置,用于终端接入设备,该装置包括:第二处理器和第二通讯接口,其中,
第二处理器,与第二通讯接口连接,第二处理器用于指示第二通讯接口向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立与互联网中的第一远端设备之间的安全连接;通过第二通讯接口接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示是否建立安全连接;在安全连接建立响应用于指示建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接。
可选地,第二处理器还用于:对终端数据进行检测,得到终端数据的第一IP地址,其中,第一IP地址为第一远端设备的IP地址;发送携带有第一IP地址的安全连接建立请求信息。
可选地,第二处理器还用于:判断是否已建立第一IP地址对应的安全连接;在判断出已建立第一IP地址对应的安全连接的情况下,通过已建立的第一IP地址对应的安全连接发送上述终端数据;在判断出未建立第一IP地址对应的安全连接的情况下,确定发送携带有第一IP地址的安全连接建立请求信息。
下面结合本发明可选实施例进行详细说明。
在相关技术中,UE的接入设备(无线网络接入点或者本地网关)一般是跟核心网的安全网关之间建立有安全连接(如IPSec隧道,VPN连接),但是从UE的接入设备分流到Internet的数据或Internet发送到UE的接入设备的数据不经过核心网,因此分流到Internet的数据缺少安全保证机制,很容易被网络黑客攻击、窃取或篡改。
本发明可选实施例提供了一种建立安全连接的方法,在应用本地卸载技术的无线通信网络中使用该方法,可以保障从UE从接入设备直接分流到Internet的数据或者从Internet直接经由UE接入设备发送给UE的数据的安全性。
下面通过几个可选实施例对本发明可选实施例提供的建立安全连接的方法进行描述与说明。
可选实施例一
本可选实施例提供了一种建立安全连接的方法,可以但不限于用于采用LIPA技术进行本地业务分流的无线网络中。图7是根据本发明可选实施例的一种建立安全连接的方法的示意图一,如图7所示,UE的接入设备为无线网络接入点,采用该方法可保证经由UE的接入设备直接接入Internet的数据的安全性。该流程包括以下步骤:
步骤S702,无线网络接入点对所接入的使用LIPA技术进行本地分流的UE数据进行检测,获取UE通过无线接入点的L-GW直接发送或接收数据的IP地址。
在本可选实施例中,上述无线网络接入点为已配置自动建立安全连接功能的无线接入设备。管理设备可根据网络管理策略为无线网络接入点配置自动建立安全连接的功能,当无线网络接入点配置有自动建立安全连接功能后,对所接入的使用LIPA技术进行本地IP业务分流的UE进行IP数据包检测,以便于获得该UE发送的端到端数据包的远端IP地址,并进一步地建立针对该IP地址的安全连接。由于实际网络结构和业务的多样性,无线网络接入点检测到的IP地址可能为终端用户/目标服务器的IP地址,也可能是终端用户/目标服务器所连接的无线网络接入点的IP地址,还可能是终端用户/目标服务器所连接的安全网关或路由器的IP地址。该安全连接可以是直接与该IP地址建立的安全连接,也可以是与该IP所属网络的网络设备((无线)接入点、安全网关或路由器)之间建立的安全连接。该安全连接可以是标准的IPSec隧道也可以是任何私有安全连接。
步骤S704,无线网络接入点判断是否已建立有针对上述IP地址的安全连接,若没有建立,则向管理设备发送自动安全连接建立请求,其中携带有上述IP地址。
在本可选实施例中,无线网络接入点判断是否已建立针对该IP地址的安全连接,包括与该IP地址建立有安全连接或者与该IP所属的网络中的网络设备((无线)接入点、安全网关或路由器)之间已建立有安全连接,若已建立则通过该IP地址的安全连接发送向该IP地址的数据或者从安全连接接收来自该IP地址的数据;若没有建立,则向管理设备发送自动安全连接建立请求,其中携带有上述IP地址,以请求建立针对该IP地址的安全连接。
步骤S706,管理设备收到自动安全连接建立请求后,向无线网络接入点发送自动安全连接建立响应,以指示无线网络接入点是否建立针对该IP地址的安全连接。
在本可选实施例中,管理设备收到自动安全连接建立请求后,确定是否允许无线网络接入点建立针对该IP地址的安全连接。例如,当保存有该IP地址的相关信息,如子网掩码、无线接入点、安全网关或路由器地址、建立针对该IP地址的安全连接的目标IP地址和安全连接配置信息时,管理设备允许建立针对该IP地址的安全连接。
若不允许建立,则向无线网络接入点发送自动安全连接建立响应指示无线网络接入点不建立针对该IP地址的安全连接。
否则,允许建立,则向无线网络接入点发送自动安全连接建立响应指示无线网络接入点建立针对该IP地址的安全连接。
自动安全连接建立响应中包含针对该IP地址建立的安全连接的远端设备IP地址和该安全连接的配置信息,其中,该安全连接的远端设备可以是该IP地址设备或者该IP地址设备所属的网络中的网络设备(如接入点设备、安全网关或路由器等)。
其中,上述安全连接的配置信息包括本地标识(本地IP地址或本地主机名)、远端标识(远端IP地址或远端主机名)、安全协议、所要保护的数据流(例如以UDP/TCP端口号标识)、密钥和算法信息,其中密钥和算法包括该安全连接使用的身份认证、数据完整性保护或数据加密所需的密钥和算法。举例来说,若安全连接为IPSec隧道,则配置信息包括IKE策略(IKE的hash算法、加密算法、D-H组和生存时间)、预共享密钥、所要保护的数据流、本地标识、远端标识、所要保护的数据流使用的加密算法和安全协议、IPSec SA的生存时间、是否支持PFS等。
步骤S708,若管理设备指示无线网络接入点建立针对该IP地址的安全连接,管理设备向该安全连接的远端设备发送自动安全连接建立指示消息。
根据以上步骤,若管理设备指示无线网络接入点建立针对该IP地址的安全连接,则管理设备向该安全连接的远端设备发送自动安全连接建立指示消息,其中包括该安全连接的配置信息,以便于该无线网络接入点与该远端设备之间建立针对该IP地址的安全连接。例如,如图3所示,安全连接的远端设备为一个网关设备,管理设备向该网关设备发送自动安全连接建立指示消息。
其中,上述安全连接的配置信息包括本地标识(本地IP地址或本地主机名)、远端标识(远端IP地址或远端主机名)、安全协议、所要保护的数据流(例如以UDP/TCP端口号标识)、密钥和算法信息,其中密钥和算法包括该安全连接使用的身份认证、数据完整性保护或数据加密所需的密钥和算法。举例来说,若安全连接为IPSec隧道,则配置信息包括IKE策略(IKE的hash算法、加密算法、D-H组和生存时间)、预共享密钥、所要保护的数据流、本地标识、远端标识、所要保护的数据流使用的加密算法和安全协议、IPSec SA的生存时间、是否支持PFS等。
步骤S710,无线网络接入点与该远端设备之间建立安全连接,通过安全连接发送该UE发送到该IP地址的数据并通过该安全连接接收来自该IP地址的数据。
例如,无线网络接入点与网关设备之间建立安全连接。
可选实施例二
本可选实施例提供了一种建立安全连接的方法,可以但不限于用于采用SIPTO技术进行本地流量卸载的网络中。图8是根据本发明可选实施例的一种建立安全连接的方法的示意图二,如图8所示,UE的接入设备为服务网关,采用该方法可保证经由UE的接入设备直接接入Internet的数据的安全性。该流程包括以下步骤:
步骤S802,服务网关对所接入的使用SIPTO技术进行本地流量卸载的UE数据进行检测,获取UE通过服务网关直接发送或接收数据的IP地址。
在本可选实施例中,上述服务网关为已配置自动建立安全连接功能的设备。管理设备可根据网络管理策略为服务网关配置自动建立安全连接的功能,当服务网关配置有自动建立安全连接功能后,对所接入的使用SIPTO技术进行本地IP流量卸载的UE进行IP数据包检测,以便于获得该UE发送的端到端数据包的远端IP地址,并进一步地建立针对该IP地址的安全连接。由于实际网络结构和业务的多样性,服务网关检测到的IP地址可能为终端用户/目标服务器的IP地址,也可能是终端用户/目标服务器所连接的无线网络接入点的IP地址,还可能是终端用户/目标服务器所连接的安全网关或路由器的IP地址。该安全连接可以是直接与该IP地址建立的安全连接,也可以是与该IP所连接的无线接入点、安全网关或路由器之间建立的安全连接。
步骤S804,服务网关判断是否已建立有针对上述IP地址的安全连接,若没有建立,则向管理设备发送自动安全连接建立请求,其中携带有上述IP地址。
本步骤的具体实现方式与上述步骤S704类似,在此不再赘述。
步骤S806,管理设备收到自动安全连接建立请求后,向服务网关发送自动安全连接建立响应,以指示服务网关是否建立针对该IP地址的安全连接。
本步骤的具体实现方式与上述步骤S706类似,在此不再赘述。
步骤S808,若管理设备指示服务网关建立针对该IP地址的安全连接,管理设备向该安全连接的远端设备发送自动安全连接建立指示消息。
根据以上步骤,若管理设备指示服务网关建立针对该IP地址的安全连接,则管理设备向该安全连接的远端设备发送自动安全连接建立指示消息,其中包括该安全连接的配置信息,以便于该服务网关与该远端设备之间建立针对该IP地址的安全连接。例如,如图4所示,安全连接的远端设备为一个无线接入点设备,管理设备向该无线接入点设备发送自动安全连接建立指示消息。
步骤S810,服务网关与该远端设备之间建立安全连接,通过安全连接发送该UE发送到该IP地址的数据并通过该安全连接接收来自该IP地址的数据。
例如,服务网关与无线接入点设备之间建立安全连接。
可选实施例三
本可选实施例描述上述可选实施例一的步骤S706以及上述可选实施例二的步骤S806,在本可选实施例中,管理设备收到自动安全连接建立请求后,向UE的接入设备(无线接入点或服务网关)发送自动安全连接建立响应,以指示UE的接入设备是否建立针对请求消息中指定的IP地址的安全连接的具体实施方法。
管理设备收到自动安全连接建立请求后,确定是否允许建立针对该IP地址的安全连接。例如,当保存有该IP地址的相关信息,如子网掩码、无线接入点、安全网关或路由器地址、建立针对该IP地址的安全连接的目标IP地址和安全连接配置信息时,管理设备允许建立针对该IP地址的安全连接。
若不允许建立,则向UE的接入设备发送自动安全连接建立响应指示无线网络接入点不建立针对该IP地址的安全连接。
否则,允许建立,管理设备首先确定针对该IP地址的安全连接的远端设备。该远端设备可以是该IP地址设备或该IP地址设备所属的网络中的网络设备。
在一些可行的实施方式中,该IP地址设备所属的网络中的网络设备为服务提供商部署该IP地址的网络设备时在管理设备处登记的其所属网络的安全网关或路由器的IP地址,或者为,使用该IP地址的终端设备接入网络时,在管理设备中登记的该IP地址的终端设备所接入的接入点设备、安全网关或路由器的IP地址。
在一些可行的实施方式中,该IP地址设备所属的网络中的网络设备为UE的接入设备发送的自动安全连接建立请求所指示的远端设备。其中,自动安全连接建立请求所指示的远端设备的地址是UE的接入设备通过自动路由发现功能获取的设备地址。UE的接入设备在发送安全连接建立请求之前,可以通过自动路由发现功能获取数据到达该IP地址所经路径上的网关和路由器的地址。
自动路由发现的实现就是利用了ICMP协议对TTL超时报文的处理。其实现过程如下:源主机先向目的主机发送一个回应请求报文(IP协议类型8),其中TTL值设为1,第一个路由器收到后将TTL减1,这样TTL变为0,分组被丢弃,同时第一个路由器向源主机发送一个TTL超时报文(IP协议类型为11),其IP包头中的源IP地址就是第一个路由器的IP地址。源主机就可以通过对该TTL超时报文的分析得到第一个路由器的IP地址,使用同样的方法,源主机发送TTL等于2的报文得到第二个路由器地址,发送TTL为3的报文,如此下去直到收到目的主机的回应应答报文(IP协议类型为0)或目的不可达报文(IP协议类型为3)。
然后,管理设备向无线网络接入点或服务网关发送自动安全连接建立响应指示无线网络接入点建立针对该IP地址的安全连接。
自动安全连接建立响应中包含针对该IP地址建立的安全连接的远端设备IP地址和该安全连接的配置信息。
可选实施例四
本可选实施例描述上述可选实施例一的步骤S706以及上述可选实施例二的步骤S806,在本可选实施例中,管理设备收到自动安全连接建立请求后确定是否允许建立针对指定IP地址的安全连接的具体实施方法。
在一些可行的实施方式中,支持对指定服务提供商(包括运营商、设备提供商或内容提供商)的UE的直接由接入点或服务网关分流到Internet的数据进行安全性保护。具体的,管理设备可以判断UE的接入设备(例如无线接入设备或服务网关设备)与自动安全连接建立请求中的IP地址分别属于同一个服务提供商部署的接入设备和用户终端的IP地址,或者判断UE的接入设备与该IP地址属于同一个服务提供商所部署的网络设备,若是则允许建立针对该IP地址的安全连接,否则不允许建立。
为了使管理设备能够根据自动安全连接建立请求中的IP地址判断是否允许建立安全连接,管理设备可以保存指定服务提供商所部署的网络设备(包括(无线)接入点设备、安全网关或路由器)的IP地址。当终端设备接入指定运营商、设备提供商、服务提供商或内容提供商所部署的网络时,管理设备保存该终端设备的IP地址;特别地,为了建立与终端设备所连接的网络设备(接入点设备、安全网关或路由器)之间的安全连接,终端接入指定服务提供商所部署的网络时,管理设备还可同时保存终端设备的IP地址及其所接入的网络设备(无线接入点设备、安全网关或路由器)的IP地址。
可选地,本发明中所述的无线接入点,可以是蜂窝移动通信网络中的基站(或手机)、WiFi的AP、蓝牙接收设备,或者其它能够发送或接收无线信号的设备,包括用户设备(终端)、个人数字助理(PDA)、无线调制调解器、无线通信装置、手持装置、膝上型计算机、无绳电话、无线本地回路(WLL)站、能够将移动信号转换为wifi信号的CPE或Mifi、智能家电、或其它不通过人的操作就能自发与移动通信网络通信的设备等。
可选地,在本发明中,基站的形式不限,可以是宏基站(Macro BaseStation)、微基站(Pico Base Station)、Node B、增强型基站(ENB)、家庭增强型基站(Femto eNB或HomeeNode B或Home eNB或HENB)、中继站、接入点、RRU、RRH等。
综上所述,在应用本地卸载技术的无线通信网络中使用本发明实施例、可选实施例提供的连接建立方法,可以保障从UE从接入设备直接分流到Internet的数据或者从Internet直接经由UE接入设备发送给UE的数据的安全性。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
实施例3
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S11,获取终端的接入设备发送的安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;
S12,响应于安全连接建立请求信息向终端的接入设备发送安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;
S13,在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,向第一远端设备发送安全连接建立指示信息,其中,安全连接建立指示信息用于指示第一远端设备建立安全连接。
可选地,存储介质还被设置为存储用于执行上述实施例记载的方法步骤的程序代码:
S21,向安全连接管理设备发送安全连接建立请求信息,其中,安全连接建立请求信息用于请求建立终端的接入设备与互联网中的第一远端设备之间的安全连接;
S22,接收安全连接管理设备响应于安全连接建立请求信息的安全连接建立响应信息,其中,安全连接建立响应信息用于指示终端的接入设备是否建立安全连接;
S23,在安全连接建立响应用于指示终端的接入设备建立安全连接的情况下,根据安全连接建立响应信息的指示建立安全连接。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。