CN108574589A - 一种互联网协议安全性隧道的维护方法、装置及系统 - Google Patents

Abstract

本申请公开了一种互联网协议安全性隧道的维护方法、装置及系统，涉及通信技术领域，能够解决在终端设备的IP地址改变时，VPN网关对该终端设备的服务中断的问题。包括：终端设备与VPN网关基于第一IP地址和IKE协议进行协商，根据协商得到的SA建立IPSec隧道；终端设备确定第一IP地址变化为第二IP地址；终端设备向VPN网关发送第一请求报文，第一请求报文中携带第二IP地址和第一隧道标识，第一请求报文用于请求更新第一SA记录，第一SA记录包含该SA、第一IP地址以及第一隧道标识之间的对应关系；终端设备根据第二IP地址和预设算法生成第二隧道标识；终端设备将第二SA记录中的第一隧道标识替换为第二隧道标识。

Description

一种互联网协议安全性隧道的维护方法、装置及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种互联网协议安全性(Internet ProtocolSecurity，IPSec)隧道的维护方法、装置及系统。

背景技术

IPSec协议是一种三层隧道加密协议，能够实现虚拟专用网络(Virtual PrivateNetwork，VPN)的安全技术。终端设备与VPN网关之间通过建立IPSec隧道来保护和传输用户的私有数据，并在IP层提供数据机密性、数据完整性、数据来源认证以及防重放等安全服务。

IPSec隧道是基于互联网密钥交换(Internet Key Exchange，IKE)协议建立的。通信双方通过两个阶段的IKE协商，确定该IPSec隧道所需安全联盟(Security Association，SA)。具体地，通信双方通过第一阶段的IKE协商，确定IKE SA。然后在IKE SA的保护下，进行第二阶段的IKE协商，确定IPSec SA。SA是终端设备与VPN网关对某些传输参数的约定，传输参数例如，使用的安全协议、算法、封装模式、保护的数据流类型、以及使用的密钥的生存周期等。当IPSec SA协商完成后，终端设备与VPN网关之间通过隧道方式，基于协商得到的IPSec SA对发送的IP报文进行封装，即建立IPSec隧道。通信双方从而将待传输的IP报文在该IPSec隧道进行加密传输。

通信双方一般以一一对应的方式保存IPSec隧道对应的SA(包括IKE SA和IPSecSA)与在该IPSec隧道上传输的IP报文的五元组信息(包括源IP地址、目的IP地址、源端口号、目的端口号以及协议)。在传输IP报文的过程中，接收端通常是通过五元组信息来查找对应的SA，并在确定存在对应的SA时，采用该SA中IPSec SA对该IP报文进行解密。若不存在与该五元组信息对应的SA，接收端丢弃该IP报文。那么，当终端设备的IP地址由于位置改变等因素而变化时，IPSec隧道上待传输的IP报文的五元组信息也会改变。VPN网关在接收到携带改变后的五元组信息的IP报文后，由于确定不存在与改变后的五元组信息对应的SA，而丢弃该终端设备发送的IP报文。另一方面，VPN网关在向该终端发送IP报文时，会根据与SA对应的改变前的五元组信息封装发送给终端设备的报文，因此当终端的IP地址变化时，VPN网关仍然向旧的IP地址发送该IP报文，从而无法将该IP报文发送至该终端设备。即已经建立的IPSec隧道，由于终端设备的IP地址变化而不可用，从而导致VPN网关对该终端设备的服务中断。

发明内容

本申请提供了一种IPSec隧道的维护方法、装置及系统，以解决在终端设备的IP地址改变时，由于IPSec隧道不可用而导致的VPN网关对该终端设备的服务中断的问题。

第一方面，本申请提供了一种IPSec隧道的维护方法方法，该方法包括：

终端设备与虚拟专用网VPN网关基于该终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立该终端设备与该VPN网关之间的IPSec隧道，该SA包括IKE SA和IPSec SA；该终端设备确定该终端设备的IP地址从该第一IP地址变化为第二IP地址；该终端设备向该VPN网关发送第一请求报文，该第一请求报文中携带该第二IP地址和第一隧道标识，该第一隧道标识为根据该第一IP地址生成的隧道标识，该第一请求报文用于请求该VPN网关根据该第二IP地址更新第一SA记录，该第一SA记录保存在该VPN网关中，该第一SA记录包含该SA、该第一IP地址以及该第一隧道标识之间的对应关系；该终端设备根据该第二IP地址和预设算法生成第二隧道标识，该预设算法与该VPN网关生成该第一隧道标识时采用的算法相同；该终端设备将第二SA记录中的该第一隧道标识替换为该第二隧道标识，该第二SA记录保存在该终端设备中，该第二SA记录保存有该SA和该第一隧道标识之间的对应关系。

采用本申请提供的IPSec隧道的维护方法，当终端设备的IP地址变换为第二IP地址时，终端设备通过向VPN网关发送携带新的第二IP地址和第一隧道标识的第一请求报文，以使得VPN网关在根据第一隧道标识查找到第一SA记录后，根据第二IP地址将第一SA记录中的第一隧道标识和第一IP地址替换为该第二隧道标识和该第二IP地址。且终端设备也根据第一IP地址将第二SA记录中的第一隧道标识替换为第二隧道标识。从而当终端设备在后续向VPN网关发送IP报文时，可以将第二隧道标识携带在IP报文中，以使得VPN网关在该终端的IP地址改变的情况下，能够根据第二隧道标识查找对应的第一SA记录，以从该第一SA记录中获取与VPN网关与终端设备之间已经建立的IPSec隧道对应的SA。以使得VPN网关能够继续使用该SA完成对IP报文的解密，即保证使得终端设备和VPN网关之间已经建立的IPSec隧道仍然可用。从而无需通过协商新的SA，来建立新的IPSec隧道，保证了VPN网关对该终端设备的服务的连续性、完整性。

在一种可能的设计中，该终端设备将第二SA记录中的该第一隧道标识替换为该第二隧道标识之后，该方法还包括：该终端设备等待接收该VPN网关发送的第一应答消息；若该终端设备接收到该VPN网关发送的第一应答消息、且该第一应答消息中携带该第二隧道标识，该终端设备确定该VPN网关完成对该第一SA记录的更新；若该终端设备在预设时间段内未接收到该VPN网关发送的第一应答消息，或者接收到的该第一应答消息未携带该第二隧道标识，该终端设备则重新向该VPN网关发送该第一请求报文。

在这种可能的设计中，终端设备通过确定是否接收携带第二隧道标识的第一应答消息，来确定VPN网关是否完成对第一SA记录的更新。在终端设备确定未接收到携带第二隧道标识的第一应答消息时，即可重新发送向VPN网关发送第一请求报文，重新请求VPN网关对第一SA记录的更新。以提高VPN网关在终端设备的IP地址变化时，完成更新第一SA记录的成功率。

在一种可能的设计中，建立该终端设备与该VPN网关之间的IPSec隧道之后，该终端设备确定该终端设备的IP地址从第一IP地址变化为第二IP地址之前，该方法还包括：该终端设备在该IPSec隧道上接收该VPN网关发送的加密后的第一IP报文，该加密后的第一IP报文中携带该第一隧道标识；该终端设备根据该第一隧道标识查找该第二SA记录，并获取该第二SA记录中的该IPSec SA；该终端设备根据该IPSec SA对该加密后的第一IP报文进行解密，以获取该第一IP报文中的数据。

在一种可能的设计中，建立该终端设备与该VPN网关之间的IPSec隧道之后，该终端设备确定该终端设备的IP地址从第一IP地址变化为第二IP地址之前，该方法还包括：该终端设备根据该第二SA记录中的该IPSec SA对第二IP报文进行加密；该终端设备在该IPSec隧道上向该VPN网关发送加密后的该第二IP报文，该加密后的该第二报文中携带该第一隧道标识。

在上述两种可能的设计中，终端设备和VPN网关均是通过传输的IP报文(包括第一IP报文和第二IP报文)中携带的第一隧道标识，查找与该IPSec隧道对应的SA。因此，即使终端设备的IP地址变换，通过第一隧道标识也能查找到对应的SA记录，从而获取该SA记录中与该IPSec隧道对应的IPSec SA。避免了现有技术中，在利用传输的IP报文的五元组信息，查找与该IPSec隧道对应的SA时，由于终端设备的IP地址的变化，导致五元组信息改变，从而导致无法查找到与该IPSec隧道对应的SA，进而导致已经建立的IPSec隧道不可用，VPN网关对该终端设备的服务中断的问题。

在一种可能的设计中，该终端设备与VPN网关基于该终端设备的第一IP地址和IKE协议进行协商，具体包括：该终端设备在协商得到该IKE SA之后，在根据该IKE SA协商该IPSec SA之前，向该VPN网关发送第二请求报文，该第二请求报文中包括该第一IP地址，该第二请求报文用于请求该VPN网关根据该第一IP地址创建该第一SA记录，并将该第一IP地址添加到该第一SA记录中；该终端设备根据该第一IP地址和该预设算法生成该第一隧道标识；该终端设备创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中。

在这种可能的设计中，终端设备和VPN网关在建立IPSec隧道的过程中创建与该IPSec隧道的相关的SA记录(包括第一SA记录和第二SA记录)，用来记录第一隧道标识和与该IPSec隧道对应的SA。以使得终端设备和VPN网关在后续进行IP报文传输时，终端设备和VPN网关可以根据在IP报文中携带的第一隧道标识，查找与对应的SA记录，以获取与该IPSec隧道对应的SA。从而解决现有技术中由于终端设备的IP地址的变化，导致IP报文的五元组信息改变，导致VPN网关无法查找到与该IPSec隧道对应的SA，而中断对该终端设备的服务的问题。

在一种可能的设计中，该第二请求报文为基于模式配置机制的请求报文，该终端设备创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中，具体包括：该终端设备等待接收该VPN网关发送的第二应答消息；若该终端设备接收到该VPN网关发送的第二应答消息，且该第二应答消息中携带该第一隧道标识，该终端设备创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中。

在这种可能的设计中，终端设备在VPN网关支持模式配置机制的情况下才进行第二SA记录的创建。通过采用基于模式配置机制的第二请求报文，可以无需改变现有的IKE协商过程，实现本申请提供的IPSec隧道的维护方法与现有的IKE协商过程的兼容。

第二方面，本申请提供一种IPSec隧道的维护方法，该方法包括：虚拟专用网VPN网关与终端设备基于该终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立该VPN网关与该终端设备之间的IPSec隧道，该SA包括IKE SA和IPSec SA；该VPN网关接收该终端设备发送第一请求报文，该第一请求报文中携带第二IP地址和第一隧道标识；该VPN网关根据该第一隧道标识查找第一SA记录，该第一SA记录包括该第一隧道标识、该第一IP地址以及该SA之间的对应关系；该VPN网关根据该第二IP地址和预设算法生成该第二隧道标识，该预设算法与该终端设备生成该第二隧道标识时采用的算法相同；该VPN网关将该第一SA记录中的该第一隧道标识替换为该第二隧道标识，将该第一SA记录中的该第一IP地址替换为该第二IP地址。

采用本申请提供的IPSec隧道的维护方法，当终端设备的IP地址变换为第二IP地址时，终端设备通过向VPN网关发送携带新的第二IP地址和第一隧道标识的第一请求报文，以使得VPN网关在根据第一隧道标识查找到第一SA记录后，根据第二IP地址将第一SA记录中的第一隧道标识和第一IP地址替换为该第二隧道标识和该第二IP地址。且终端设备也根据第一IP地址将第二SA记录中的第一隧道标识替换为第二隧道标识。从而当终端设备在后续向VPN网关发送IP报文时，可以将第二隧道标识携带在IP报文中，以使得VPN网关在该终端的IP地址改变的情况下，能够根据第二隧道标识查找对应的第一SA记录，以从该第一SA记录中获取与VPN网关与终端设备之间已经建立的IPSec隧道对应的SA。以使得VPN网关能够继续使用该SA完成对IP报文的解密，即保证使得终端设备和VPN网关之间已经建立的IPSec隧道仍然可用。从而无需通过协商新的SA，来建立新的IPSec隧道，保证了VPN网关对该终端设备的服务的连续性、完整性。

在一种可能的设计中，该VPN网关将该第一SA记录中的该第一隧道标识替换为该第二隧道标识，将该第一SA记录中的该第一IP地址替换为该第二IP地址之后，该方法还包括：

该VPN网关生成第一应答消息，该第一应答消息携带该第二隧道标识；该VPN网关根据该第二IP地址为该第一应答消息设置IP头；该VPN网关在该IPSec隧道上向该终端设备发送该第一应答消息。

在这种可能的设计中，终端设备通过确定是否接收携带第二隧道标识的第一应答消息，来确定VPN网关是否完成对第一SA记录的更新。在终端设备确定未接收到携带第二隧道标识的第一应答消息时，即可重新发送向VPN网关发送第一请求报文，重新请求VPN网关对第一SA记录的更新。以提高VPN网关在终端设备的IP地址变化时，完成更新第一SA记录的成功率。

在一种可能的设计中，该建立该VPN网关与该终端设备之间的IPSec隧道之后，该VPN网关接收该终端设备发送第一请求报文之前，该方法还包括：当该VPN网关需要向该终端设备发送第一IP报文时，该VPN网关根据该第一隧道标识查找该第一SA记录；该VPN网关根据该第一SA记录中的该IPSec SA对该第一IP报文进行加密；该VPN网关根据该第一SA记录中的该第一IP地址，为加密后的该第一IP报文设置IP头；该VPN网关在该IPSec隧道上向该终端设备发送该加密后的该第一IP报文，该加密后的该第一IP报文中携带该第一隧道标识。

在一种可能的设计中，建立该VPN网关与该终端设备之间的IPSec隧道之后，该VPN网关接收该终端设备发送第一请求报文之前，该方法还包括：该VPN网关在该IPSec隧道上接收该终端设备发送的加密后的第二IP报文，该加密后的第二报文中携带该第一隧道标识；该VPN网关根据该第一隧道标识查找该第一SA记录；该VPN网关根据该第一SA记录中的该IPSec SA对该加密后的第二IP报文解密，以获取该第二IP报文中的数据。

在上述两种可能的设计中，终端设备和VPN网关均是通过传输的IP报文(包括第一IP报文和第二IP报文)中携带的第一隧道标识，查找与该IPSec隧道对应的SA。因此，即使终端设备的IP地址变换，通过第一隧道标识也能查找到对应的SA记录，从而获取该SA记录中与该IPSec隧道对应的IPSec SA。避免了现有技术中，在利用传输的IP报文的五元组信息，查找与该IPSec隧道对应的SA时，由于终端设备的IP地址的变化，导致五元组信息改变，从而导致无法查找到与该IPSec隧道对应的SA，进而导致已经建立的IPSec隧道不可用，VPN网关对该终端设备的服务中断的问题。

在一种可能的设计中，该VPN网关与终端设备基于该终端设备的第一IP地址和IKE协议进行协商，具体包括：该VPN网关在协商得到该IKE SA之后，在根据该IKE SA协商该IPSec SA之前，接收该终端设备发送的第二请求报文，该第二请求报文中包括该第一IP地址；该VPN网关根据该第一IP地址和该预设算法生成该第一隧道标识；该VPN网关创建该第一SA记录，并将该第一隧道标识和该第一IP地址添加到该第一SA记录中。

在这种可能的设计中，终端设备和VPN网关在建立IPSec隧道的过程中创建与该IPSec隧道的相关的SA记录(包括第一SA记录和第二SA记录)，用来记录第一隧道标识和与该IPSec隧道对应的SA。以使得终端设备和VPN网关在后续进行IP报文传输时，终端设备和VPN网关可以根据在IP报文中携带的第一隧道标识，查找与对应的SA记录，以获取与该IPSec隧道对应的SA。从而解决现有技术中由于终端设备的IP地址的变化，导致IP报文的五元组信息改变，导致VPN网关无法查找到与该IPSec隧道对应的SA，而中断对该终端设备的服务的问题。

在一种可能的设计中，该第二请求报文为该基于模式配置机制的请求消息，该VPN网关根据该第一IP地址和该预设算法生成该第一隧道标识，具体包括：该VPN网关确定是否支持该模式配置机制；若该VPN网关支持该模式配置机制，该VPN网关则根据该第一IP地址和该预设算法生成该第一隧道标识；该VPN网关向该终端设备发送第二应答消息，该第二应答消息中包括该第一隧道标识。

在这种可能的设计中，VPN网关支持模式配置机制的情况下才进行第一SA记录的创建。通过采用基于模式配置机制的第二请求报文，可以无需改变现有的IKE协商过程，实现本申请提供的IPSec隧道的维护方法与现有的IKE协商过程的兼容。

第三方面，本申请提供一种终端设备，包括：处理单元，用于与虚拟专用网VPN网关基于该终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立该终端设备与该VPN网关之间的互联网协议安全性IPSec隧道，该SA包括IKE SA和IPSec SA；该处理单元，还用于确定该终端设备的IP地址从该第一IP地址变化为第二IP地址；发送单元，用于向该VPN网关发送第一请求报文，该第一请求报文中携带该第二IP地址和第一隧道标识，该第一隧道标识为根据该第一IP地址生成的隧道标识，该第一请求报文用于请求该VPN网关根据该第二IP地址更新第一SA记录，该第一SA记录保存在该VPN网关中，该第一SA记录包含该SA、该第一IP地址以及该第一隧道标识之间的对应关系；该处理单元，还用于根据该第二IP地址和预设算法生成第二隧道标识，该预设算法与该VPN网关生成该第一隧道标识时采用的算法相同；该处理单元，还用于将第二SA记录中的该第一隧道标识替换为该第二隧道标识，该第二SA记录保存在该终端设备中，该第二SA记录保存有该SA和该第一隧道标识之间的对应关系。

在一种可能的设计中，该终端设备还包括接收单元，该接收单元，用于在该处理单元将第二SA记录中的该第一隧道标识替换为该第二隧道标识之后，等待接收该VPN网关发送的第一应答消息；若接收到该VPN网关发送的第一应答消息、且该第一应答消息中携带该第二隧道标识，确定该VPN网关完成对该第一SA记录的更新；该发送单元，还用于若该接收单元在预设时间段内未接收到该VPN网关发送的第一应答消息，或者接收到的该第一应答消息未携带该第二隧道标识，则重新向该VPN网关发送该第一请求报文。

在一种可能的设计中，该接收单元，还用于在建立该终端设备与该VPN网关之间的IPSec隧道之后，确定该终端设备的IP地址从第一IP地址变化为第二IP地址之前，在该IPSec隧道上接收该VPN网关发送的加密后的第一IP报文，该加密后的第一IP报文中携带该第一隧道标识；该处理单元，还用于根据该第一隧道标识查找该第二SA记录，并获取该第二SA记录中的该IPSec SA；该处理单元，还用于根据该IPSec SA对该加密后的第一IP报文进行解密，以获取该第一IP报文中的数据。

在一种可能的设计中，该处理单元，还用于在建立该终端设备与该VPN网关之间的IPSec隧道之后，确定该终端设备的IP地址从第一IP地址变化为第二IP地址之前，根据该第二SA记录中的该IPSec SA对第二IP报文进行加密；该发送单元，还用于在该IPSec隧道上向该VPN网关发送加密后的该第二IP报文，该加密后的该第二报文中携带该第一隧道标识。

在一种可能的设计中，该处理单元与VPN网关基于该终端设备的第一IP地址和IKE协议进行协商，具体包括：在协商得到该IKE SA之后，在根据该IKE SA协商该IPSec SA之前，向该VPN网关发送第二请求报文，根据该第一IP地址和该预设算法生成该第一隧道标识，创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中，该第二请求报文中包括该第一IP地址，该第二请求报文用于请求该VPN网关根据该第一IP地址创建该第一SA记录，并将该第一IP地址添加到该第一SA记录中。

在一种可能的设计中，该第二请求报文为基于模式配置机制的请求报文，该处理单元创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中，具体包括：等待接收该VPN网关发送的第二应答消息；若接收到该VPN网关发送的第二应答消息，且该第二应答消息中携带该第一隧道标识，创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中。

本申请提供的终端设备的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果，此处不再赘述。

第四方面，本申请提供一种VPN网关，包括：处理单元，用于与终端设备基于该终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立该VPN网关与该终端设备之间的互联网协议安全性IPSec隧道，该SA包括IKESA和IPSec SA；接收单元，用于接收该终端设备发送第一请求报文，该第一请求报文中携带第二IP地址和第一隧道标识；该处理单元，还用于根据该第一隧道标识查找第一SA记录，该第一SA记录包括该第一隧道标识、该第一IP地址以及该SA之间的对应关系；该处理单元，还用于根据该第二IP地址和预设算法生成该第二隧道标识，该预设算法与该终端设备生成该第二隧道标识时采用的算法相同；该处理单元，还用于将该第一SA记录中的该第一隧道标识替换为该第二隧道标识，将该第一SA记录中的该第一IP地址替换为该第二IP地址。

在一种可能的设计中，VPN网关还包括发送单元，该处理单元，还用于在将该第一SA记录中的该第一隧道标识替换为该第二隧道标识，将该第一SA记录中的该第一IP地址替换为该第二IP地址之后，生成第一应答消息，该第一应答消息携带该第二隧道标识；该处理单元，还用于根据该第二IP地址为该第一应答消息设置IP头；该发送单元，用于在该IPSec隧道上向该终端设备发送该第一应答消息。

在一种可能的设计中，该处理单元，还用于在建立该VPN网关与该终端设备之间的IPSec隧道之后，该接收单元接收终端设备发送第一请求报文之前，当需要向该终端设备发送第一IP报文时，根据该第一隧道标识查找该第一SA记录；该处理单元，还用于根据该第一SA记录中的该IPSec SA对该第一IP报文进行加密；该处理单元，还用于根据该第一SA记录中的该第一IP地址，为加密后的该第一IP报文设置IP头；该发送单元，还用于在该IPSec隧道上向该终端设备发送该加密后的该第一IP报文，该加密后的该第一IP报文中携带该第一隧道标识。

在一种可能的设计中，该接收单元，还用于在该处理单元建立该VPN网关与该终端设备之间的IPSec隧道之后，接收该终端设备发送第一请求报文之前，在该IPSec隧道上接收该终端设备发送的加密后的第二IP报文，该加密后的第二报文中携带该第一隧道标识；该处理单元，还用于根据该第一隧道标识查找该第一SA记录；该处理单元，还用于根据该第一SA记录中的该IPSec SA对该加密后的第二IP报文解密，以获取该第二IP报文中的数据。

在一种可能的设计中，该处理单元与终端设备基于该终端设备的第一IP地址和IKE协议进行协商，具体包括：在协商得到该IKE SA之后，在根据该IKE SA协商该IPSec SA之前，接收该终端设备发送的第二请求报文，该第二请求报文中包括该第一IP地址，根据该第一IP地址和该预设算法生成该第一隧道标识，创建该第一SA记录，并将该第一隧道标识和该第一IP地址添加到该第一SA记录中。

在一种可能的设计中，该第二请求报文为该基于模式配置机制的请求消息，该处理单元根据该第一IP地址和该预设算法生成该第一隧道标识，具体包括：确定该VPN网关是否支持该模式配置机制，若该VPN网关支持该模式配置机制，则根据该第一IP地址和该预设算法生成该第一隧道标识，向该终端设备发送第二应答消息，该第二应答消息中包括该第一隧道标识。

本申请提供的VPN网关的技术效果可以参见上述第二方面或第二方面的各个实现方式的技术效果，此处不再赘述。

第五方面，本申请还提供了一种终端设备，包括：处理器、存储器及收发器；所述处理器可以执行所述存储器中所存储的程序或指令，从而实现以第一方面各种实现方式所述IPSec隧道的维护方法。

本申请提供的终端设备的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果，此处不再赘述。

第六方面，本申请还提供了一种VPN网关，包括：处理器、存储器及收发器；所述处理器可以执行所述存储器中所存储的程序或指令，从而实现以第二方面各种实现方式所述IPSec隧道的维护方法。

本申请提供的VPN网关的技术效果可以参见上述第二方面或第二方面的各个实现方式的技术效果，此处不再赘述。

第七方面，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第八方面，本申请还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第九方面，本申请还提供了一种通信系统，包括如第三方面或第三方面的任一种实现方式所述的终端设备，和如第四方面或第四方面的任一种实现方式所述的VPN网关；或者包括如第五方面或第五方面的任一种实现方式所述的终端设备，和如第六方面或第六方面的任一种实现方式所述的VPN网关。

附图说明

图1为本申请提供的一种通信系统的框图；

图2为本申请提供的一种VPN网关的结构示意图一；

图3为本申请提供的一种终端设备的结构示意图一；

图4为本申请提供的一种IPSec隧道的维护方法的一个实施例的流程图；

图5A为本申请提供的一种IPSec隧道的维护方法的另一个实施例的流程图；

图5B为本申请提供的一种IPSec隧道的维护方法的又一个实施例的流程图；

图6为本申请提供的一种IPSec隧道的维护方法的又一个实施例的流程图；

图7为本申请提供的一种IPSec隧道的维护方法的又一个实施例的流程图；

图8A为本申请提供的一种终端设备的结构示意图二；

图8B为本申请提供的一种终端设备的结构示意图三；

图8C为本申请提供的一种终端设备的结构示意图四；

图9A为本申请提供的一种VPN网关的结构示意图二；

图9B为本申请提供的一种VPN网关的结构示意图三；

图9C为本申请提供的一种VPN网关的结构示意图四。

具体实施方式

本文中字符“/”，一般表示前后关联对象是一种“或”的关系。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

当本发明实施例提及“第一”、“第二”、“第三”或者“第四”等序数词时，除非根据上下文其确实表达顺序之意，否则应当理解为仅仅是起区分之用。

如图1所示，本申请提供的IPSec隧道的维护方法可以应用于包括VPN网关和终端设备的通信系统中。其中，本申请所涉及到的终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,家用电器、医疗设备、工业器件、农业器件、或航空设备等上的通信节点，以及各种形式的用户设备(User Equipment,UE),移动台(Mobile station,MS)，终端(terminal)，终端设备(Terminal Equipment)等等。为方便描述，本申请中，上面提到的设备统称为终端设备。

通常，VPN可以通过软件、硬件或者系统集成的方式实现。本申请中，终端设备通过该终端设备上安装的VPN客户端软件，来实现本申请提供的IPSec隧道的维护方法。VPN客户端软件是指遵从VPN标准设计的软件，各VPN服务提供商、或者VPN网关设备提供商均会为用户提供适用于不同操作系统平台，例如Linux，Windows、Android的VPN客户端软件。

本申请所涉及到的VPN网关可以是路由器、三层交换机、防火墙、安全网关(Unified Threat Management，UTM)等具备IPSec功能的设备。这些设备可以通过安装VPN服务端软件或者硬件集成的方式，实现VPN网关的功能。

示例性的，如图2所示，为本申请提供的一种VPN网关的结构示意图，可以包括存储、处理器、总线以及通信接口。

其中，总线用于连接处理器、存储器和通信接口，并且在处理器、存储器、和通信接口之间实现数据传输。处理器通过总线从通信接口接收到命令，解密接收到的命令，根据解密的命令执行计算或数据处理，以及将处理后的数据通过总线从通信接口发送至其他设备。存储器包括程序模块以及数据模块等。程序模块可以由软件、固件、硬件或其中的至少两种组成，用于存储应用程序以及操作系统。通信接口用于将本VPN网关与基站、终端设备等网元节点以及网络进行连接，例如，通信接口可以通过无线连接到网络以连接到外部其它的网元节点。

如图3所示，为本申请提供的一种终端设备的结构示意图，包括处理器、存储器以及通信接口等。

其中，处理器是该终端设备的控制中心，利用各种接口和线路连接整个终端设备的各个部分，通过运行或执行存储在存储器内的应用程序和/或操作系统，以及调用存储在存储器内的数据，执行终端设备的各种功能和处理数据，从而对终端设备进行整体监控。处理器可以包括数字信号处理器设备、微处理器设备、模数转换器、数模转换器等等，这些设备能够根据各自的能力而分配终端设备的控制和信号处理功能。通信接口可以是RF电路，可用于收发信息，并将接收到的信息给处理器处理。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、LNA(low noise amplifier，低噪声放大器)、双工器等，通过无线通信与网络与其他设备通信。其中，该无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(global system of mobile communication，GSM)、通用分组无线服务(general packet radio service，GPRS)、码分多址(code division multipleaccess，CDMA)、宽带码分多址(wideband code division multiple access,WCDMA)、LTE(long term evolution,长期演进)、Wi-Fi或者低功耗Wi-Fi，以及WLAN技术等。此外，终端设备还可以包括输入/输出设备，以及显示器等。

基该于上述图1所示的通信系统，参见图4，为本申请提供的一种IPSec隧道的维护方法的一个实施例的流程图，该方法包括如下步骤：

步骤401，终端设备与VPN网关基于该终端设备的第一IP地址和IKE协议进行协商，根据协商得到的SA，建立该终端设备与该VPN网关之间的IPSec隧道，该SA包括IKE SA和IPSec SA。

可以理解的是，终端设备与VPN网关基于该终端设备的第一IP地址和IKE协议进行协商，包括两个阶段的IKE协商。即通过第一阶段的IKE协商得到IKE SA，在IKE SA的保护下进行第二阶段的IKE协商，得到IPSec SA。

在本申请中，终端设备和VPN网关进行两个阶段的IKE协商之间，即完成第一阶段协商之后且完成第二阶段协商之前的时间段中，终端设备和VPN网关可以根据第一IP地址生成能够唯一标识即将建立成功的该IPSec隧道的第一隧道标识，并创建相应的SA记录，该SA记录用来记录与该IPSec隧道对应的SA。

为了便于描述，在本申请中，可以将保存在VPN网关中的与该IPSec隧道对应的SA记录称为第一SA记录，第一SA记录中包括该IPSec隧道的SA、第一IP地址以及第一隧道标识之间的对应关系。将保存在终端设备中的与该IPSec隧道对应的SA记录称为第二SA记录，第二SA记录中包括该IPSec隧道的SA与第一隧道标识之间的对应关系。

步骤402，终端设备确定该终端设备的IP地址从第一IP地址变化为第二IP地址。

当终端设备和VPN网关之间的IPSec隧道建立成功后，终端设备即可开始周期性检测该终端设备的IP地址是否发生变化。示例性的，终端设备可以预先设置一个定时器，该定时器每次超时时，终端设备均可查看该终端设备的注册表中IP地址的值是否与上一次查看的值相同。若不同，终端设备即可确定IP地址发送变化。

步骤403，该终端设备向VPN网关发送第一请求报文，该第一请求报文中携带该第二IP地址和第一隧道标识。

其中，该第一请求报文用于请求该VPN网关根据该第二IP地址更新第一SA记录。

当终端设备的IP地址改变时，终端设备可以将第一隧道标识，携带在第一请求报文中，以使得VPN网关能够根据第一隧道标识查找到包括该第一隧道标识的第一SA记录。从而VPN网关可以根据新的IP地址更新第一SA记录。以避免了由于终端设备的IP地址的改变，而导致VPN网关无法查找到已建立的IPSec隧道的SA的问题。

步骤404，终端设备根据第二IP地址和预设算法生成第二隧道标识。

其中，终端设备采用的算法与VPN网关生成该第二隧道标识时采用的算法相同，从而保证终端设备和VPN网关能够生成相同的第二隧道标识。

示例性的，该算法可以是哈希运算消息认证码(Hash-based MessageAuthentication Code，HMAC)。通过HMAC算法生成第二隧道标识时采用的密钥可以是SKEYID_e，即该终端设备在与VPN网关进行第一阶段的IKE协商时生成的密钥。

该预设算法还可以是消息摘要算法第五版(Message Digest Algorithm，MD5)、安全哈希算法(Secure Hash Algorithm，SHA)1以及SHA2等。

可选的，终端设备在生成第二隧道标识时，还可以采用其他参数，例如，该终端设备的国际移动用户标识(英文：International mobile subscriber identity，缩写：IMSI)，该终端设备的全球唯一临时身份标识(英文：Globally Unique TemporaryIdentity，缩写：GUTI)，或者该终端设备在与VPN网关进行第一阶段的IKE协商时生成的参数，包括随机数(Nonce)等。

可以理解的是，若终端设备在生成第二隧道标识时，还采用了其他参数，那么VPN网关设备在生成第二隧道标识时，也采用相同的参数。

步骤405，终端设备将第二SA记录中的第一隧道标识替换为该第二隧道标识。

在本申请中，当终端设备的IP地址发生变化时，终端设备可以根据新的IP地址(即第二IP地址)生成新的隧道标识(即第二隧道标识)，并将第二SA记录中设置的第一隧道标识替换为第二隧道标识。以使得在后续的IP报文的传输过程中，能够使用第二隧道标识来唯一标识该IPSec隧道。即终端设备在其IP地址变化后，能够使用第二隧道标识来查找对应的第二SA记录，以获取该第二SA记录中已经建立IPSec隧道的SA，并继续使用该SA进行IP报文的传输，以保证已经建立IPSec隧道仍然可用。

需要说明的是，上述步骤401-405中终端设备的操作，具体可以是如图2所示终端设备的处理器完成。

步骤406，VPN网关根据第一隧道标识查找第一SA记录。

VPN网关接收到第一请求报文后，可以先对第一请求报文的第一隧道标识、目的IP地址、IPSec协议，以及安全参数索引(Security Parameter Index，SPI)验证，以检测该第一请求报文的完整性和完整性。若验证通过，则根据第一隧道标识查找包括第一隧道标识的第一SA记录。

步骤407，VPN网关根据该第二IP地址和预设算法生成该第二隧道标识。

当VPN网关查找到第一SA记录之后，即可根据第一请求报文中携带的第二IP地址生成新的隧道标识，即第二隧道标识。可以理解的是，VPN网关根据该第二IP地址和预设算法生成该第二隧道标识的实现方式，和终端设备根据该第二IP地址和预设算法生成该第二隧道标识的实现方式相同，具体可以参见上述步骤404中的相关描述，此处不再赘述。

步骤408，VPN网关将该第一SA记录中的第一隧道标识替换为第二隧道标识，将第一IP地址替换为第二IP地址。

在本申请中，终端设备通过向VPN网关发送携带新的IP地址和旧的隧道标识(即根据第一IP地址生成的，当前第一SA记录中设置的第一隧道标识)的第一请求报文，以请求VPN网关对第一SA记录进行更新。实现了VPN网关与终端设备之间，对新的IP地址和新的隧道标识的协商。

当VPN网关根据第二IP地址生成第二隧道标识后，即可对第一SA记录的更新，以将第一SA记录中的第一隧道标识和第一IP地址替换为第二隧道标识和第二IP地址。从而当终端设备向VPN网关发送IP报文时，可以将第二隧道标识携带在IP报文中，以使得VPN网关在该终端的IP地址改变的情况下，能够根据第二隧道标识查找对应的第一SA记录，以获取该第一SA记录中与已经建立的IPSec隧道对应的SA，进而采用该SA完成对IP报文的解密。且VPN网关当向终端设备发送IP报文时，VPN网关能够根据第二隧道标识查找到第一SA记录中更新的第二IP地址，以将该IP报文发送至终端设备。

可以理解的是，通过本申请提供的IPSec隧道的维护方法，当终端设备的IP地址变换时，VPN网关与终端设备之间无需协商新的SA，来建立新的IPSec隧道。只需将相应的SA记录中的隧道标识进行更新，以使得终端设备和VPN网关在后续仍然可以使用该SA记录中与已经建立的IPSec隧道对应的SA进行IP报文的传输，从而避免了服务中断的问题。

可选的，在本申请中，当VPN网关完成对第一SA记录的更新后，还可以向终端设备发送携带第二隧道标识的第一应答消息，以使得终端设备确定VPN网关已经完成对第一SA记录的更新。示例性的，在上述步骤407之后，该方法还包括：

步骤409，VPN网关生成第一应答消息，该第一应答消息携带第二隧道标识。

步骤410，VPN网关根据第二IP地址为第一应答消息设置IP头。

可以理解的是，当VPN网关对第一SA记录更新后，VPN网关即可采用新的IP地址设置待发送至该终端设备的第一应答消息的IP头，以使得VPN网关能够将第一应答消息发向新的IP地址，即第一应答消息的目的IP地址设置为第二IP地址，从而保证该终端设备能够接收到第一应答消息。

步骤411，VPN网关在该IPSec隧道上向终端设备发送所述第一应答消息。

步骤412，终端设备对该第二应答消息的合法性进行验证。

在本申请中，当终端设备将第二SA记录中的第一隧道标识替换为第二隧道标识后，即可等待接收VPN网关发送的第一应答消息。

若终端设备接收到第一应答消息，即可对第一应答消息的合法性进行验证，即对该第二应答消息中的隧道标识进行验证，判断该第二应答消息中携带的道标识与第二SA记录中的第二隧道标识是否相同。若相同，则该第二应答消息合法，终端设备即可确定VPN网关完成对第一SA记录的更新。

若该终端设备在预设时间段内未接收到该VPN网关发送的第一应答消息，或者接收到的该第一应答消息未携带该第二隧道标识(即第一应答消息中携带与第二隧道标识不同的隧道标识，或者携带错误的载荷)，该终端设备则重新向该VPN网关发送该第一请求报文。

参见图5A，为本申请提供的一种IPSec隧道的维护方法的另一个实施例的流程图，具体描述了VPN网关和终端设备建立该IPSec隧道的方法，即上述步骤401的具体实现方式，该方法可以包括：

步骤501，终端设备在协商得到该IKE SA之后，在根据该IKE SA协商IPSec SA之前，向该VPN网关发送第二请求报文，该第二请求报文中包括该第一IP地址。

其中，终端设备在与VPN网关设备完成第一阶段的IKE协商，得到IKE SA后，可以先向VPN网关发送第二请求报文，该第二请求报文用于请求该VPN网关根据该第一IP地址创建该第一SA记录，并将该第一IP地址添加到该第一SA记录中。

在一个示例中，可以在第二请求报文中携带一个首次协商隧道标识(例如一个赋值为0的标识)，用于表示识第二请求报文的请求是在该IPSec隧道开始建立以来，首次进行的隧道标识协商请求。以使得VPN网关能够在生成第一隧道标识后，执行创建第一SA记录，并将第一隧道标识和与该第一隧道标识对应的第一IP地址添加到第一SA记录中的动作。示例性的，该首次协商隧道标识可以携带在第二请求报文的属性载荷的私有载荷中。

步骤502，终端设备根据该第一IP地址和该预设算法生成该第一隧道标识。

其中，第一隧道标识的生成方式(包括采用的算法以及其他参数)，与第二隧道标识的生成方式完全相同，此处不再进行赘述。

步骤503，终端设备创建第二SA记录，并将第一隧道标识添加到第二SA记录中。

可以理解的是，第二SA记录用于终端设备记录与VPN网关隧道，此时，第二SA记录中包括第一隧道标识和已经协商好的IKE SA。当终端设备在IKE SA的保护下进行第二阶段的IKE协商，得到IPSec SA之后，即可将IPSec SA添加到该第二SA记录中。

步骤504，VPN网关根据该第一IP地址和该预设算法生成该第一隧道标识。

步骤505，该VPN网关创建该第一SA记录，并将该第一隧道标识和该第一IP地址添加到该第一SA记录中。

同样可以理解的是，第二SA记录用于终端设备记录与VPN网关隧道，此时，第二SA记录中包括第一隧道标识和已经协商好的IKE SA。当终端设备在IKE SA的保护下进行第二阶段的IKE协商，得到IPSec SA之后，即可将IPSec SA添加到该第二SA记录中。

可选的，第二请求报文可以是基于模式配置机制的请求报文。其中，模式配置机制是国际互联网工程任务组(Internet Engineering Task Force，IETF)提出的一种因特网安全协议与密钥管理协议(Internet security and key management protocol，ISAKMP)配置方法。ISAKMP配置方法一般称为模式配置或者虚拟身份。模式配置即使允许建立IPSec隧道的双方，在协商SA的过程中安全地交换配置条目。包括双方的内部IP地址池、内部域名系统(Domain Name System，DNS)、服务器IP地址、内部网络基本输入/输出系统协议(Netbios)名称服务器IP地址、内部动态主机配置协议(Dynamic Host ConfigurationProtocol，DHCP)服务器IP地址等。

即通过基于模式配置机制的第二请求报文，可以无需改变现有的IKE协商过程，实现本申请提供的IPSec隧道的维护方法与现有的IKE协商过程的兼容。

当第二请求报文为基于模式配置机制的请求报文时，在图5A的基础上，参见图5B，上述步骤504具体可以包括：

步骤504a，VPN网关确定是否支持模式配置机制。

示例性的，VPN网关可以通过判断第二请求报文的报文类型是否为该VPN网关支持的报文类型，来确定VPN网关是否支持模式配置机制。可以理解的是，若VPN网关支持的第二请求报文的报文类型，则VPN网关支持模式配置机制。若VPN网关不支持的第二请求报文的报文类型，则VPN网关不支持模式配置机制。

步骤504b，若VPN网关支持该模式配置机制，VPN网关则根据第一IP地址和预设算法生成第一隧道标识。

即VPN网关在支持模式配置机制的情况下，可以执行第二请求报文请求的操作，生成第一隧道标识，以及创建第一SA记录。

在步骤504b之后，该方法还包括：

步骤506，VPN网关向终端设备发送第二应答消息，该第二应答消息中包括该第一隧道标识。

在本申请中，若VPN网关支持模式配置机制，则可在生成第一隧道标识后，将该第一隧道标识携带在与第二请求报文对应的第二应答消息中发送至终端设备。

需要说明的是，上述步骤506可以步骤504b之后，步骤505之前执行，也可以在步骤505之后执行。

若VPN网关不支持模式配置机制，VPN网关则可以直接丢弃第二请求报文，且不向终端设备发送该第二应答消息，或者在第二应答消息中携带错误的载荷。

对于终端设备来说，终端设备在向VPN网关发送基于模式配置机制的第一请求报文后，在执行上述步骤503时，具体可以进行如下操作：

步骤503a，终端设备等待接收VPN网关发送的第二应答消息。

步骤503b，若该终端设备接收到VPN网关发送的第二应答消息，且第二应答消息中携带该第一隧道标识，该终端设备创建该第二SA记录，并将该第一隧道标识添加到该第二SA记录中。

即终端设备若接收到携带第一隧道标识的第二应答消息，那么终端设备可以确定VPN网关支持模式配置机制，进而可以完成第二SA记录的创建。

可以理解的是，若该终端设备未接收到第二应答消息，或者，接收到的第二应答消息中未携带第一隧道标识，终端设备则确定VPN网关不支持模式配置机制，从而终端设备即可将生成的第一隧道标识删除，不执行上述步骤503，按照现有的流程继续执行第二阶段的IKE协商，完成IPSec隧道的建立。

可选的，如图4所示的实施例中第一请求报文也可以是基于模式配置的请求报文，通过基于模式配置的第一请求报文，无需改变现有的数据传输过程，实现本申请提供的IPSec隧道的维护方法与现有的数据传输过程的兼容。

参见图6，为本申请提供的一种IPSec隧道的维护方法的又一个实施例的流程图，描述了在VPN网关与终端设备之间的IPSec隧道建立完成后，VPN网关使用该IPSec隧道向终端设备发送第一IP报文的方法。示例性的，当终端设备的IP地址为第一IP地址时，该方法可以包括：

步骤601，当VPN网关需要向终端设备发送第一IP报文时，该VPN网关根据该第一隧道标识查找该第一SA记录。

其中，当VPN网关需要向终端设备发送第一IP报文时，VPN网关可以先检测第一IP报文是否需要加密传输。若第一IP报文需要加密传输，VPN网关则可以根据第一隧道标识查找第一SA记录。

步骤602，VPN网关根据该第一SA记录中的IPSec SA对该第一IP报文进行加密。

可以理解的是，若VPN网关确定第一IP报文需要加密，则在查找到与第一隧道标识对应的第一SA记录后，即可根据第一SA记录中的IPSec SA中与终端设备协商好的加密模式、认证模式、加密密钥长度或者完整性算法等，对该第一IP报文进行加密。

步骤603，VPN网关根据该第一SA记录中的第一IP地址，为加密后的该第一IP报文设置IP头。

即在本申请中，VPN网关向终端设备发送加密的第一IP报文时，是从第一SA记录中获取第二IP地址来设置加密后的该第一IP报文的IP头。从而保证终端设备的IP地址改变后，VPN网关能够及时的将第一IP报文发向新的IP地址，以避免VPN网关由于将第一IP报文发向旧的IP地址，而导致的无法将第一IP报文发送至该终端设备的问题。

步骤604，VPN网关在该IPSec隧道上向该终端设备发送该加密后的该第一IP报文，该加密后的该第一IP报文中携带该第一隧道标识。

步骤605，端设备根据该第一隧道标识查找第二SA记录，并获取该第二SA记录中的IPSec SA。

步骤606，终端设备根据该IPSec SA对该加密后的第一IP报文进行解密，以获取该第一IP报文中的数据。

即终端设备通过IPSec SA中的与VPN网关协商好的加密模式、认证模式、加密密钥长度或者换完整性算法等，对该第一IP报文进行解密。

参见图7，为本申请提供的一种IPSec隧道的维护方法的又一个实施例的流程图，描述了在VPN网关与终端设备之间的IPSec隧道建立完成后，终端设备使用该IPSec隧道向VPN网关使用发送第二IP报文的方法。示例性的，该方法可以包括：

步骤701，终端设备根据该第二SA记录中的IPSec SA对第二IP报文进行加密。

当终端设备需要向VPN网关发送加密的第二IP报文时，终端设备即可根据IPSecSA中与VPN网关协商好的加密模式、认证模式、加密密钥长度或者完整性算法等，对该第一IP报文进行加密。

步骤702，终端设备在该IPSec隧道上向VPN网关发送加密后的第二IP报文，该加密后的第二报文中携带该第一隧道标识。

步骤703，VPN网关根据该第一隧道标识查找该第一SA记录。

VPN网关接收到第二IP报文后，可以先对第二IP报文进行验证。示例性的，假设第二IP报文为ESP报文。VPN网关接收到ESP报文后，即可根据该ESP报文使用的IP头中的目的IP地址和IPSec协议，以及ESP头中的SPI对ESP报文进行验证。若验证通过，则根据第一隧道标识查找包括第一隧道标识的第一SA记录。

步骤704，VPN网关根据该第一SA记录中的IPSec SA对该加密后的第二IP报文解密，以获取该第二IP报文中的数据。

通过上述如图6和如图7所示的实施例，介绍了本申请提供的通过IPSec隧道传输IP报文的方法。在本申请中，终端设备和VPN网关均是通过传输的IP报文中携带的第一隧道标识查找与与该第一隧道标识对应的SA记录，以并获取该SA记录中的与该IPSec隧道对应的SA。因此，即使终端设备的IP地址变换，通过第一隧道标识也能查找到与该IPSec隧道对应的SA。从而避免了现有技术中，在利用传输的IP报文的五元组信息，查找与该IPSec隧道对应的SA时，由于终端设备的IP地址的变化，导致五元组信息改变，从而导致无法查找到与该IPSec隧道对应的SA，进而导致已经建立的IPSec隧道不可用，VPN网关对该终端设备的服务中断的问题。

从上述实施例可以看出，采用本申请提供的IPSec隧道的维护方法，当终端设备的IP地址变换为第二IP地址时，终端设备通过向VPN网关发送携带新的第二IP地址和第一隧道标识的第一请求报文，以使得VPN网关在根据第一隧道标识查找到第一SA记录后，根据第二IP地址将第一SA记录中的第一隧道标识和第一IP地址替换为该第二隧道标识和该第二IP地址。且终端设备也根据第一IP地址将第二SA记录中的第一隧道标识替换为第二隧道标识。从而当终端设备在后续向VPN网关发送IP报文时，可以将第二隧道标识携带在IP报文中，以使得VPN网关在该终端的IP地址改变的情况下，能够根据第二隧道标识查找到对应的第一SA记录，以从该第一SA记录中获取与VPN网关与终端设备之间已经建立的IPSec隧道对应的SA。以使得VPN网关能够继续使用该SA完成对IP报文的解密，即保证使得终端设备和VPN网关之间已经建立的IPSec隧道仍然可用。从而无需通过协商新的SA，来建立新的IPSec隧道，保证了VPN网关对该终端设备的服务的连续性、完整性。

上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，各个网元，例如终端设备、VPN网关等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请可以根据上述方法示例对终端设备、VPN网关等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8A示出了上述实施例中所涉及的终端设备的一种可能的结构示意图，终端设备包括：处理单元、发送单元以及接收单元。处理单元用于支持终端设备执行图4中的步骤401、402、404、405以及412，图5A中的步骤501、502以及503，图5B中的步骤501、502、503a、506以及503a，图6中的步骤605以及606，图7中的步骤701；发送单元用于支持终端设备执行图4中的步骤403，图7中的步骤702；接收单元用于支持终端设备执行如图4中的步骤411，图6中的步骤604。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图8B示出了上述实施例中所涉及的终端设备的一种可能的结构示意图。终端设备包括：处理模块802和通信模块803。处理模块802用于对终端设备的动作进行控制管理，例如，处理模块802用于支持终端设备执行图4中步骤401-405以及411-412，图5A中的步骤501-503，图5B中的步骤501、502、503a、503b以及506，图6中的步骤604-606，以及图7中的步骤701-702，和/或用于本文所描述的技术的其它过程。通信模块803用于支持终端设备与其他网络实体的通信，例如与图1中示出的功能模块或网络实体之间的通信。终端设备还可以包括存储模块801，用于存储终端设备的程序代码和数据。

其中，处理模块802可以是处理器或控制器，例如可以是中央处理器(CentralProcessing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块803可以是收发器、收发电路或通信接口等。存储模块801可以是存储器。

当处理模块802为处理器，通信模块803为通信接口，存储模块801为存储器时，本申请所涉及的终端设备可以为图8C所示的终端设备。

参阅图8C所示，该终端设备包括：处理器812、通信接口813、存储器811以及总线814。其中，通信接口813、处理器812以及存储器811通过总线814相互连接；总线814可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8C中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用对应各个功能划分各个功能模块的情况下，图9A示出了上述实施例中所涉及的VPN网关的一种可能的结构示意图，VPN网关包括：发送单元、处理单元和接收单元。发送单元用于支持VPN网关执行图4中的步骤411，以及图6中的步骤604；处理单元用于支持VPN网关执行图4中的步骤406-411，图5A中的步骤501、504-505，图5B中的步骤501、504a、504b、505以及506，图6中的步骤601-603以及图7中的步骤703-704；接收单元用于支持VPN网关执行图4中的步骤403，以及图7中的步骤702。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图9B示出了上述实施例中所涉及的VPN网关的一种可能的结构示意图。VPN网关包括：处理模块902和通信模块903。处理模块902用于对VPN网关的动作进行控制管理，例如，处理模块902用于支持VPN网关执行图4中的步骤403，406-411，图5A中的步骤501，504-505，图5B中的501、504a，504b，505以及506，图6中的步骤601-604以及图7中的步骤702-704和/或用于本文所描述的技术的其它过程。通信模块903用于支持VPN网关与其他网络实体的通信，例如与图1中示出的功能模块或网络实体之间的通信。VPN网关还可以包括存储模块901，用于存储VPN网关的程序代码和数据。

其中，处理模块902可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块903可以是收发器、收发电路或通信接口等。存储模块901可以是存储器。

当处理模块902为处理器，通信模块903为通信接口，存储模块901为存储器时，本申请所涉及的VPN网关可以为图9C所示的VPN网关。

参阅图9C所示，该VPN网关包括：处理器912、通信接口913、存储器911以及总线914。其中，通信接口913、处理器912以及存储器911通过总线914相互连接；总线914可以是PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图9C中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(ReadOnly Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于核心网接口设备中。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的资源调度方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-only memory，简称：ROM)或随机存储记忆体(英文：random access memory，简称：RAM)等。

如图1所示，本申请还提供一种通信系统，包括如图8A、8B或8C所示的终端设备，和如图9A、9B或9C的VPN网关。

本领域的技术人员可以清楚地了解到本申请中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者VPN网关等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (25)

1.一种互联网协议安全性IPSec隧道的维护方法，其特征在于，所述方法包括：

终端设备与虚拟专用网VPN网关基于所述终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立所述终端设备与所述VPN网关之间的IPSec隧道，所述SA包括IKE SA和IPSec SA；

所述终端设备确定所述终端设备的IP地址从所述第一IP地址变化为第二IP地址；

所述终端设备向所述VPN网关发送第一请求报文，所述第一请求报文中携带所述第二IP地址和第一隧道标识，所述第一隧道标识为根据所述第一IP地址生成的隧道标识，所述第一请求报文用于请求所述VPN网关根据所述第二IP地址更新第一SA记录，所述第一SA记录保存在所述VPN网关中，所述第一SA记录包含所述SA、所述第一IP地址以及所述第一隧道标识之间的对应关系；

所述终端设备根据所述第二IP地址和预设算法生成第二隧道标识，所述预设算法与所述VPN网关生成所述第一隧道标识时采用的算法相同；

所述终端设备将第二SA记录中的所述第一隧道标识替换为所述第二隧道标识，所述第二SA记录保存在所述终端设备中，所述第二SA记录保存有所述SA和所述第一隧道标识之间的对应关系。

2.根据权利要求1所述的方法，其特征在于，所述终端设备将第二SA记录中的所述第一隧道标识替换为所述第二隧道标识之后，所述方法还包括：

所述终端设备等待接收所述VPN网关发送的第一应答消息；

若所述终端设备接收到所述VPN网关发送的第一应答消息、且所述第一应答消息中携带所述第二隧道标识，所述终端设备确定所述VPN网关完成对所述第一SA记录的更新；

若所述终端设备在预设时间段内未接收到所述VPN网关发送的第一应答消息，或者接收到的所述第一应答消息未携带所述第二隧道标识，所述终端设备则重新向所述VPN网关发送所述第一请求报文。

3.根据权利要求1或2所述的方法，其特征在于，所述建立所述终端设备与所述VPN网关之间的IPSec隧道之后，所述终端设备确定所述终端设备的IP地址从第一IP地址变化为第二IP地址之前，所述方法还包括：

所述终端设备在所述IPSec隧道上接收所述VPN网关发送的加密后的第一IP报文，所述加密后的第一IP报文中携带所述第一隧道标识；

所述终端设备根据所述第一隧道标识查找所述第二SA记录，并获取所述第二SA记录中的所述IPSec SA；

所述终端设备根据所述IPSec SA对所述加密后的第一IP报文进行解密，以获取所述第一IP报文中的数据。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述建立所述终端设备与所述VPN网关之间的IPSec隧道之后，所述终端设备确定所述终端设备的IP地址从第一IP地址变化为第二IP地址之前，所述方法还包括：

所述终端设备根据所述第二SA记录中的所述IPSec SA对第二IP报文进行加密；

所述终端设备在所述IPSec隧道上向所述VPN网关发送加密后的所述第二IP报文，所述加密后的所述第二报文中携带所述第一隧道标识。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述终端设备与VPN网关基于所述终端设备的第一IP地址和IKE协议进行协商，具体包括：

所述终端设备在协商得到所述IKE SA之后，在根据所述IKE SA协商所述IPSec SA之前，向所述VPN网关发送第二请求报文，所述第二请求报文中包括所述第一IP地址，所述第二请求报文用于请求所述VPN网关根据所述第一IP地址创建所述第一SA记录，并将所述第一IP地址添加到所述第一SA记录中；

所述终端设备根据所述第一IP地址和所述预设算法生成所述第一隧道标识；

所述终端设备创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中。

6.根据权利要求5所述的方法，其特征在于，所述第二请求报文为基于模式配置机制的请求报文，所述终端设备创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中，具体包括：

所述终端设备等待接收所述VPN网关发送的第二应答消息；

若所述终端设备接收到所述VPN网关发送的第二应答消息，且所述第二应答消息中携带所述第一隧道标识，所述终端设备创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中。

7.一种互联网协议安全性IPSec隧道的维护方法，其特征在于，所述方法包括：

虚拟专用网VPN网关与终端设备基于所述终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立所述VPN网关与所述终端设备之间的IPSec隧道，所述SA包括IKE SA和IPSec SA；

所述VPN网关接收所述终端设备发送第一请求报文，所述第一请求报文中携带第二IP地址和第一隧道标识；

所述VPN网关根据所述第一隧道标识查找第一SA记录，所述第一SA记录包括所述第一隧道标识、所述第一IP地址以及所述SA之间的对应关系；

所述VPN网关根据所述第二IP地址和预设算法生成所述第二隧道标识，所述预设算法与所述终端设备生成所述第二隧道标识时采用的算法相同；

所述VPN网关将所述第一SA记录中的所述第一隧道标识替换为所述第二隧道标识，将所述第一SA记录中的所述第一IP地址替换为所述第二IP地址。

8.根据权利要求7所述的方法，其特征在于，所述VPN网关将所述第一SA记录中的所述第一隧道标识替换为所述第二隧道标识，将所述第一SA记录中的所述第一IP地址替换为所述第二IP地址之后，所述方法还包括：

所述VPN网关生成第一应答消息，所述第一应答消息携带所述第二隧道标识；

所述VPN网关根据所述第二IP地址为所述第一应答消息设置IP头；

所述VPN网关在所述IPSec隧道上向所述终端设备发送所述第一应答消息。

9.根据权利要求7或8所述的方法，其特征在于，所述建立所述VPN网关与所述终端设备之间的IPSec隧道之后，所述VPN网关接收所述终端设备发送第一请求报文之前，所述方法还包括：

当所述VPN网关需要向所述终端设备发送第一IP报文时，所述VPN网关根据所述第一隧道标识查找所述第一SA记录；

所述VPN网关根据所述第一SA记录中的所述IPSec SA对所述第一IP报文进行加密；

所述VPN网关根据所述第一SA记录中的所述第一IP地址，为加密后的所述第一IP报文设置IP头；

所述VPN网关在所述IPSec隧道上向所述终端设备发送所述加密后的所述第一IP报文，所述加密后的所述第一IP报文中携带所述第一隧道标识。

10.根据权利要求7-9任一项所述的方法，其特征在于，所述建立所述VPN网关与所述终端设备之间的IPSec隧道之后，所述VPN网关接收所述终端设备发送第一请求报文之前，所述方法还包括：

所述VPN网关在所述IPSec隧道上接收所述终端设备发送的加密后的第二IP报文，所述加密后的第二报文中携带所述第一隧道标识；

所述VPN网关根据所述第一隧道标识查找所述第一SA记录；

所述VPN网关根据所述第一SA记录中的所述IPSec SA对所述加密后的第二IP报文解密，以获取所述第二IP报文中的数据。

11.根据权利要求7-10任一项所述的方法，其特征在于，所述VPN网关与终端设备基于所述终端设备的第一IP地址和IKE协议进行协商，具体包括：

所述VPN网关在协商得到所述IKE SA之后，在根据所述IKE SA协商所述IPSec SA之前，接收所述终端设备发送的第二请求报文，所述第二请求报文中包括所述第一IP地址；

所述VPN网关根据所述第一IP地址和所述预设算法生成所述第一隧道标识；

所述VPN网关创建所述第一SA记录，并将所述第一隧道标识和所述第一IP地址添加到所述第一SA记录中。

12.根据权利要求11所述的方法，其特征在于，所述第二请求报文为所述基于模式配置机制的请求消息，所述VPN网关根据所述第一IP地址和所述预设算法生成所述第一隧道标识，具体包括：

所述VPN网关确定是否支持所述模式配置机制；

若所述VPN网关支持所述模式配置机制，所述VPN网关则根据所述第一IP地址和所述预设算法生成所述第一隧道标识；

所述VPN网关向所述终端设备发送第二应答消息，所述第二应答消息中包括所述第一隧道标识。

13.一种终端设备，其特征在于，包括：

处理单元，用于与虚拟专用网VPN网关基于所述终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立所述终端设备与所述VPN网关之间的互联网协议安全性IPSec隧道，所述SA包括IKE SA和IPSec SA；

所述处理单元，还用于确定所述终端设备的IP地址从所述第一IP地址变化为第二IP地址；

发送单元，用于向所述VPN网关发送第一请求报文，所述第一请求报文中携带所述第二IP地址和第一隧道标识，所述第一隧道标识为根据所述第一IP地址生成的隧道标识，所述第一请求报文用于请求所述VPN网关根据所述第二IP地址更新第一SA记录，所述第一SA记录保存在所述VPN网关中，所述第一SA记录包含所述SA、所述第一IP地址以及所述第一隧道标识之间的对应关系；

所述处理单元，还用于根据所述第二IP地址和预设算法生成第二隧道标识，所述预设算法与所述VPN网关生成所述第一隧道标识时采用的算法相同；

所述处理单元，还用于将第二SA记录中的所述第一隧道标识替换为所述第二隧道标识，所述第二SA记录保存在所述终端设备中，所述第二SA记录保存有所述SA和所述第一隧道标识之间的对应关系。

14.根据权利要求13所述的终端设备，其特征在于，所述终端设备还包括接收单元，

所述接收单元，用于在所述处理单元将第二SA记录中的所述第一隧道标识替换为所述第二隧道标识之后，等待接收所述VPN网关发送的第一应答消息；若接收到所述VPN网关发送的第一应答消息、且所述第一应答消息中携带所述第二隧道标识，确定所述VPN网关完成对所述第一SA记录的更新；

所述发送单元，还用于若所述接收单元在预设时间段内未接收到所述VPN网关发送的第一应答消息，或者接收到的所述第一应答消息未携带所述第二隧道标识，则重新向所述VPN网关发送所述第一请求报文。

15.根据权利要求14所述的终端设备，其特征在于，

所述接收单元，还用于在建立所述终端设备与所述VPN网关之间的IPSec隧道之后，确定所述终端设备的IP地址从第一IP地址变化为第二IP地址之前，在所述IPSec隧道上接收所述VPN网关发送的加密后的第一IP报文，所述加密后的第一IP报文中携带所述第一隧道标识；

所述处理单元，还用于根据所述第一隧道标识查找所述第二SA记录，并获取所述第二SA记录中的所述IPSec SA；

所述处理单元，还用于根据所述IPSec SA对所述加密后的第一IP报文进行解密，以获取所述第一IP报文中的数据。

16.根据权利要求13-15任一项所述的终端设备，其特征在于，

所述处理单元，还用于在建立所述终端设备与所述VPN网关之间的IPSec隧道之后，确定所述终端设备的IP地址从第一IP地址变化为第二IP地址之前，根据所述第二SA记录中的所述IPSec SA对第二IP报文进行加密；

所述发送单元，还用于在所述IPSec隧道上向所述VPN网关发送加密后的所述第二IP报文，所述加密后的所述第二报文中携带所述第一隧道标识。

17.根据权利要求13-16任一项所述的终端设备，其特征在于，所述处理单元与VPN网关基于所述终端设备的第一IP地址和IKE协议进行协商，具体包括：

在协商得到所述IKE SA之后，在根据所述IKE SA协商所述IPSec SA之前，向所述VPN网关发送第二请求报文，根据所述第一IP地址和所述预设算法生成所述第一隧道标识，创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中，所述第二请求报文中包括所述第一IP地址，所述第二请求报文用于请求所述VPN网关根据所述第一IP地址创建所述第一SA记录，并将所述第一IP地址添加到所述第一SA记录中。

18.根据权利要求17所述的方法，其特征在于，所述第二请求报文为基于模式配置机制的请求报文，所述处理单元创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中，具体包括：

等待接收所述VPN网关发送的第二应答消息；若接收到所述VPN网关发送的第二应答消息，且所述第二应答消息中携带所述第一隧道标识，创建所述第二SA记录，并将所述第一隧道标识添加到所述第二SA记录中。

19.一种虚拟专用网VPN网关，其特征在于，包括：

处理单元，用于与终端设备基于所述终端设备的第一互联网协议IP地址和互联网密钥交换IKE协议进行协商，根据协商得到的安全联盟SA，建立所述VPN网关与所述终端设备之间的互联网协议安全性IPSec隧道，所述SA包括IKE SA和IPSec SA；

接收单元，用于接收所述终端设备发送第一请求报文，所述第一请求报文中携带第二IP地址和第一隧道标识；

所述处理单元，还用于根据所述第一隧道标识查找第一SA记录，所述第一SA记录包括所述第一隧道标识、所述第一IP地址以及所述SA之间的对应关系；

所述处理单元，还用于根据所述第二IP地址和预设算法生成所述第二隧道标识，所述预设算法与所述终端设备生成所述第二隧道标识时采用的算法相同；

所述处理单元，还用于将所述第一SA记录中的所述第一隧道标识替换为所述第二隧道标识，将所述第一SA记录中的所述第一IP地址替换为所述第二IP地址。

20.根据权利要求19所述的VPN网关，其特征在于，所述VPN网关还包括发送单元，

所述处理单元，还用于在将所述第一SA记录中的所述第一隧道标识替换为所述第二隧道标识，将所述第一SA记录中的所述第一IP地址替换为所述第二IP地址之后，生成第一应答消息，所述第一应答消息携带所述第二隧道标识；

所述处理单元，还用于根据所述第二IP地址为所述第一应答消息设置IP头；

所述发送单元，用于在所述IPSec隧道上向所述终端设备发送所述第一应答消息。

21.根据权利要求20所述的VPN网关，其特征在于，

所述处理单元，还用于在建立所述VPN网关与所述终端设备之间的IPSec隧道之后，所述接收单元接收终端设备发送第一请求报文之前，当需要向所述终端设备发送第一IP报文时，根据所述第一隧道标识查找所述第一SA记录；

所述处理单元，还用于根据所述第一SA记录中的所述IPSec SA对所述第一IP报文进行加密；

所述处理单元，还用于根据所述第一SA记录中的所述第一IP地址，为加密后的所述第一IP报文设置IP头；

所述发送单元，还用于在所述IPSec隧道上向所述终端设备发送所述加密后的所述第一IP报文，所述加密后的所述第一IP报文中携带所述第一隧道标识。

22.根据权利要求19-21任一项所述的VPN网关，其特征在于，

所述接收单元，还用于在所述处理单元建立所述VPN网关与所述终端设备之间的IPSec隧道之后，接收所述终端设备发送第一请求报文之前，在所述IPSec隧道上接收所述终端设备发送的加密后的第二IP报文，所述加密后的第二报文中携带所述第一隧道标识；

所述处理单元，还用于根据所述第一隧道标识查找所述第一SA记录；

所述处理单元，还用于根据所述第一SA记录中的所述IPSec SA对所述加密后的第二IP报文解密，以获取所述第二IP报文中的数据。

23.根据权利要求19-22任一项所述的VPN网关，其特征在于，所述处理单元与终端设备基于所述终端设备的第一IP地址和IKE协议进行协商，具体包括：

在协商得到所述IKE SA之后，在根据所述IKE SA协商所述IPSec SA之前，接收所述终端设备发送的第二请求报文，所述第二请求报文中包括所述第一IP地址，根据所述第一IP地址和所述预设算法生成所述第一隧道标识，创建所述第一SA记录，并将所述第一隧道标识和所述第一IP地址添加到所述第一SA记录中。

24.根据权利要求23所述的VPN网关，其特征在于，所述第二请求报文为所述基于模式配置机制的请求消息，所述处理单元根据所述第一IP地址和所述预设算法生成所述第一隧道标识，具体包括：

确定所述VPN网关是否支持所述模式配置机制，若所述VPN网关支持所述模式配置机制，则根据所述第一IP地址和所述预设算法生成所述第一隧道标识，向所述终端设备发送第二应答消息，所述第二应答消息中包括所述第一隧道标识。

25.一种通信系统，其特征在于，包括：

如权利要求13-18任一项所述的终端设备，和如权利要求19-24任一项所述的虚拟专用网VPN网关。