CN108848090B - 基于ipsec的报文转发方法、网关设备及系统 - Google Patents
基于ipsec的报文转发方法、网关设备及系统 Download PDFInfo
- Publication number
- CN108848090B CN108848090B CN201810622592.9A CN201810622592A CN108848090B CN 108848090 B CN108848090 B CN 108848090B CN 201810622592 A CN201810622592 A CN 201810622592A CN 108848090 B CN108848090 B CN 108848090B
- Authority
- CN
- China
- Prior art keywords
- address
- base station
- ipsec tunnel
- target
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于IPSEC的报文转发方法、网关设备及系统,该方法包括:根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;对所述目标S1接口报文进行封装得到ESP包;通过所述IPSEC隧道将所述ESP包传输至安全网关。本发明解决了现有LTE基站直接连接安全网关情况下,在接入网中无法流量卸载、本地分流的问题,通过将原本基站负责处理的IPSEC环节剥离出来,进而更好地为需要连接安全网关的接入网分流提供可行性支撑基础。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种基于IPSEC的报文转发方法、网关设备及系统。
背景技术
在LTE移动通信技术领域,大量使用网关设备,基站与网关之间构建IPsec隧道,进行数据传输的网络侧安全加密传输。但是,现有LTE基站在连接传统网关的情况下,其实质为安全网关,专门负责IPsec数据传输处理,在基站数据均被加密的情况下,基站与传统安全网关之间的任何网元设备都无法做流量卸载/本地分流。如果在传统网关后端核心网中进行分流则涉及成本较高,而且很难充分考虑具体覆盖场景的流量卸载定制化需要。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于IPSEC的报文转发方法、网关设备及系统。
本发明的一个方面,提供了一种基于IPSEC的报文转发方法,包括:
根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;
采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
对所述目标S1接口报文进行封装得到ESP包;
通过所述IPSEC隧道将所述ESP包传输至安全网关。
可选地,在所述根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道之前,所述方法还包括:
接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道;
获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
可选地,所述根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,包括:
判断是否存在与所述基站IP地址对应的虚拟IP地址;
若存在与所述基站IP地址对应的虚拟IP地址,则查找所述虚拟IP地址对应的IPSEC隧道。
可选地,若不存在与所述基站IP地址对应的虚拟IP地址,则将所述S1接口报文传输至安全网关。
可选地,在所述通过所述IPSEC隧道将所述ESP包传输至安全网关之后,所述方法还包括:
接收安全网关下发的ESP包;
对接收到的ESP包进行解封装,获取ESP包内的IP报文;
获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
将所述目标IP报文通过网络直接传输至基站。
可选地,在所述将所述目标IP报文通过网络直接传输至基站之后,所述方法还包括:
接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
本发明的另一个方面,提供了另一种基于IPSEC的报文转发方法,包括:
对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
将所述目标IP报文通过网络直接传输至基站。
可选地,当不存在与所述目标IP地址对应的基站IP地址时,则根据所述目标IP地址对所述IP报文进行传输。
本发明的另一个方面,还提供了一种网关设备,所述网关设备部署于基站与安全网关之间,包括:
查找模块,用于根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;
配置模块,用于采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
封装/解封装模块,用于对所述目标S1接口报文进行封装得到ESP包;
通信模块,用于通过所述IPSEC隧道将所述ESP包传输至安全网关。
可选地,所述通信模块,还用于在所述查找模块根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道之前,接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
所述网关设备还包括:
隧道建立模块,用于根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道,获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
可选地,所述通信模块,还用于在通过所述IPSEC隧道将所述ESP包传输至安全网关之后,接收安全网关下发的ESP包;
所述封装/解封装模块,还用于对接收到的ESP包进行解封装,获取ESP包内的IP报文;
所述配置模块,还用于获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
所述通信模块,还用于将所述目标IP报文通过网络直接传输至基站。
可选地,所述通信模块,还用于在将所述目标IP报文通过网络直接传输至基站之后,接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
所述网关设备还包括:
隧道释放模块,用于根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
本发明的另一个方面,还提供了另一种网关设备,所述网关设备部署于基站与安全网关之间,包括:
第二解封装模块,用于对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
第二配置模块,用于获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
第二通信模块,用于将所述目标IP报文通过网络直接传输至基站。
可选地,所述第二通信模块,还用于当不存在与所述目标IP地址对应的基站IP地址时,根据所述目标IP地址对所述IP报文进行传输。
此外,本发明还提供了一种基于IPSEC的报文转发系统,包括如上所述的网关设备,所述网关设备部署于基站与安全网关之间。
本发明实施例提供的基于IPSEC的报文转发方法、网关设备及系统,通过在传统基站和安全网关部署场景的接入网中,引入独立的网关设备专门负责IPsec集中处理、并为基站提供安全隧道代理服务,将原本基站负责处理的IPsec环节剥离出来,从根本上解决了原有接入网中由于数据被加密而无法分流的问题,进而更好地为需要连接安全网关的接入网分流提供可行性支撑基础,且无需核心侧的改造。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例的一种基于IPSEC的报文转发方法的流程图;
图2为本发明实施例中基站网络部署架构图;
图3为本发明实施例中传输S1-MME数据时各处理节点所涉数据层次的结构图;
图4为本发明实施例中传输S1-U数据时各处理节点所涉数据层次的结构图;
图5为本发明实施例中第一网关进行IPSEC运维交互的实现流程图;
图6为本发明实施例基于IPSEC的报文转发方法中上行数据处理流程的实现流程图;
图7为本发明实施例基于IPSEC的报文转发方法中下行数据处理流程的实现流程图;
图8为本发明另一实施例的一种基于IPSEC的报文转发方法的流程图;
图9为本发明实施例的一种网关设备的结构示意图;
图10为本发明另一实施例的一种网关设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非被特定定义,否则不会用理想化或过于正式的含义来解释。
图1示意性示出了本发明一个实施例的基于IPSEC的报文转发方法的流程图。参照图1,本发明实施例的基于IPSEC的报文转发方法具体包括以下步骤:
S11、根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系。其中,S1接口报文主要包括S1-MME数据、S1-U数据。
本实施例中,所述根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,具体包括:判断是否存在与所述基站IP地址对应的虚拟IP地址;若存在与所述基站IP地址对应的虚拟IP地址,则查找所述虚拟IP地址对应的IPSEC隧道。
进一步地,若不存在与所述基站IP地址对应的虚拟IP地址,则将所述S1接口报文传输至安全网关。
S12、采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
S13、对所述目标S1接口报文进行封装得到ESP包;
S14、通过所述IPSEC隧道将所述ESP包传输至安全网关。
本发明实施例提供的基于IPSEC的报文转发方法,通过在传统基站和安全网关部署场景的接入网中,引入独立的网关设备专门负责IPsec集中处理、并为基站提供安全隧道代理服务,将原本基站负责处理的IPsec环节剥离出来,从根本上解决了原有接入网中由于数据被加密而无法分流的问题,进而更好地为需要连接安全网关的接入网分流提供可行性支撑基础,且无需核心侧的改造,实现成本低。
在一个具体实施例中,在所述通过所述IPSEC隧道将所述ESP包传输至安全网关之后,所述方法还包括以下附图中未示出的步骤:
S15、接收安全网关下发的ESP包;
S16、对接收到的ESP包进行解封装,获取ESP包内的IP报文;
S17、获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
S18、将所述目标IP报文通过网络直接传输至基站。
本实施例中,在步骤S11之前,所述方法还包括建立IPsec隧道的步骤,,具体实现流程如下:
接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道;
获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
本实施例中,在步骤S18之后,即完成了隧道的使用过程,则所述方法还包括释放IPsec隧道的步骤,具体实现流程如下:
接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
本发明整体网络传输架构如图2所示,主要包括基站、第一网关、第二网关。本发明在传统LTE基站接入第二网关(即传统安全网关)的部署模式下,引入IPsec聚合网关(即第一网关)的网络设备单元。其主要功能包括受理基站建立/释放IPsec隧道的请求、加解密基站S1接口数据,例如S1-MME数据、S1-U数据,执行IPsec建立/使用/维护/释放等过程运维。当基站上行明文数据传输至第一网关时,第一网关负责将明文数据加密后,利用相应IPsec隧道传输至传统安全网关即第二网关;当第二网关下行密文数据传输至第一网关时,第一网关负责将密文数据解密后,直接传输至基站。从而实现IPSEC在接入网聚合的功能,第一网关处理下属基站群体对IPsec隧道的建立、使用、释放诉求,并承担与第二网关在传输IPsec协议上的日常处理工作。本发明将原本基站负责处理的IPsec环节剥离出来,并集中于自身代理与运维,其中第二网关以及“核心网”感知不到第一网关的存在,从而更好的兼容了现有核心侧的设备部署,并未引入改造成本。进而更好地为需要连接安全网关的接入网分流提供了可行性支撑基础。对于各处理节点所涉数据层次的结构图,如图3-图4所示。其中,图3为传输S1-MME数据时各处理节点所涉数据层次的结构图,图4为传输S1-U数据时各处理节点所涉数据层次的结构图。
在本发明实施例中,第一网关IPsec运维交互流程具体涵盖了建立隧道、使用隧道、释放隧道的三个环节,实现流程如图5所示,具体包括:
步骤S301,第一网关收到基站发起的“建立IPsec隧道请求”,转S302;
其中,“建立IPsec隧道请求”中包括,基站独立建立IPsec时所必须提供给安全网关的信息,比如基站MAC地址、基站IP地址等,在此不做具体化。
步骤S302,第一网关与第二网关开展“建立IPsec隧道过程”,转S303;
其中,“建立IPsec隧道过程”为常规IPsec建立过程,并无任何改动,在此不做累述。IPsec建立成功后,第一网关保存基站IP地址与IPsec隧道的对应关系,即第二网关(传统安全网关)会给申请IPsec隧道的第一网关分配一个供基站使用的IPsec隧道内部IP地址,此IP地址与实际基站IP地址形成对应关系并保存,以供后续逻辑处理流程查找使用。
步骤S303,第一网关向基站返回“建立IPsec隧道响应(成功)”,转S304;
步骤S304,第一网关与基站之间交互“S1数据传输(明文)”,转S305;
其中,S304/S305之间的上下行明文密文数据的转换流程如图6-图7所示。
步骤S305,第一网关与第二网关交互“S1数据传输(密文)”,转S306;
步骤S306,第一网关收到基站发起的“释放IPsec隧道请求”,转S307;
其中,“释放IPsec隧道请求”中包含基站IP地址即可,根据基站IP地址可以在第一网关中检索出相应的IPsec隧道,从而进行相应的常规释放。
步骤S307,第一网关与第二网关开展“释放IPsec隧道过程”,转S308;
其中,“释放IPsec隧道过程”为常规IPsec释放过程,并无任何改动,在此不做累述。
步骤S308,第一网关向基站返回“释放IPsec隧道响应(成功)”。
至此,本发明所涉的IPsec聚合系统的建立IPsec隧道、使用IPsec隧道、释放IPsec隧道的三个核心环节已简述完毕。
具体的,本发明所涉第一网关转换明文/密文过程,具体实施方案包含以下核心步骤。
上行数据处理流程,如图6所示,具体包括:
步骤S401,接收基站上行S1-MME报文和S1-U报文,转S402;
步骤S402,根据上述报文的源IP地址,即基站IP地址,查询对应的IPsec隧道,根据基站IP地址与IPsec隧道内IP地址的对应关系,转S403;
步骤S403,判断是否存在相应IPsec隧道,若存在转S404,否则转S407;
步骤S404,将所述IP报文的源IP地址(基站IP地址)修改为相应IPsec隧道所分配的内部IP地址,转S405;
步骤S405,根据相应IPsec隧道信息进行加密,并将上述报文加密封装为ESP报文,转步骤S406;
步骤S406,将上述ESP报文通过UDP隧道传输至第二网关;
步骤S407,不做任何处理,将报文根据路由透明传输转发。
下行数据处理流程,如图7所示,具体包括:
步骤S501,接收第二网关下行ESP报文,转S502;
步骤S502,根据IPsec隧道信息进行传统的ESP报文解密,转S503;
步骤S503,根据解密后ESP包内IP报文的目标IP地址(所分配的隧道内部地址),查询对应的基站IP地址,转步骤S504;
步骤S504,是否存在相应的基站IP地址,若存在转S505,否则转S507;
步骤S505,将所述IP报文的目标IP地址(所分配的隧道内部地址)修改为对应基站的IP地址,转S506;
步骤S506,将上述处理后的IP报文直接发往基站;
步骤S507,不做任何处理,将报文根据路由透明传输转发。
图8示意性示出了本发明另一个实施例的基于IPSEC的报文转发方法的流程图。参照图8,本发明实施例的基于IPSEC的报文转发方法具体包括以下步骤:
S21、对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
S22、获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
S23、将所述目标IP报文通过网络直接传输至基站。
进一步地,当不存在与所述目标IP地址对应的基站IP地址时,则根据所述目标IP地址对所述IP报文进行传输。
本发明实施例通过在基站连接安全网关的场景下如何接入网流量卸载、本地分流可行性的解决方案,其核心为引入第一网关代理基站IPsec环节,衔接基站与第二网关的明文密文交互;从根本上解决了原有接入网中数据被加密无法分流的问题,为此类场景中流量卸载提供了基础性支持,且无需核心侧的改造。只要在此基础上,对基站与第一网关之间所涉“建立IPsec隧道请求及响应”、“释放IPsec隧道请求及响应”的具体内容改动,也在本发明的保护范围。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
图9示意性示出了本发明一个实施例的网关设备的结构示意图。所述网关设备部署于基站与安全网关之间,参照图9,本发明实施例的网关设备具体包括查找模块601、配置模块602、封装/解封装模块603以及通信模块604,其中:
查找模块601,用于根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;
配置模块602,用于采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
封装/解封装模块603,用于对所述目标S1接口报文进行封装得到ESP包;
通信模块604,用于通过所述IPSEC隧道将所述ESP包传输至安全网关。
具体的,所述查找模块601,具体用于判断是否存在与所述基站IP地址对应的虚拟IP地址;若存在与所述基站IP地址对应的虚拟IP地址,则查找所述虚拟IP地址对应的IPSEC隧道。
进一步地,若不存在与所述基站IP地址对应的虚拟IP地址,则通信模块604直接将所述S1接口报文传输至安全网关。
在一个实施例中,所述通信模块604,还用于在所述查找模块根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道之前,接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
相应的,所述网关设备还包括隧道建立模块,所述隧道建立模块,用于根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道,获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
在一个实施例中,所述通信模块604,还用于在通过所述IPSEC隧道将所述ESP包传输至安全网关之后,接收安全网关下发的ESP包;
所述封装/解封装模块603,还用于对接收到的ESP包进行解封装,获取ESP包内的IP报文;
所述配置模块602,还用于获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
所述通信模块604,还用于将所述目标IP报文通过网络直接传输至基站。
进一步地,所述通信模块604,还用于在将所述目标IP报文通过网络直接传输至基站之后,接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
相应的,所述网关设备还包括隧道释放模块,该隧道释放模块,用于根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
图10示意性示出了本发明另一个实施例的网关设备的结构示意图。所述网关设备部署于基站与安全网关之间,参照图10,本发明实施例的网关设备具体包括第二解封装模块701、第二配置模块702以及第二通信模块703,其中:
第二解封装模块701,用于对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
第二配置模块702,用于获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
第二通信模块703,用于将所述目标IP报文通过网络直接传输至基站。
进一步地,所述第二通信模块703,还用于当不存在与所述目标IP地址对应的基站IP地址时,根据所述目标IP地址对所述IP报文进行传输。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
此外,本发明还提供了一种基于IPSEC的报文转发系统,包括如上任一实施例所述的网关设备,所述网关设备部署于基站与安全网关之间。具体的,该网关设备的主要功能包括受理基站建立/释放IPsec隧道的请求、加解密基站S1数据、执行IPsec建立/使用/维护/释放等过程运维。当基站上行明文数据传输至第一网关时,第一网关负责将明文数据加密后,利用相应IPsec隧道传输至第二网关;当第二网关下行密文数据传输至第一网关时,第一网关负责将密文数据解密后,直接传输至基站。本实施例通过将原本基站负责处理的IPsec环节剥离出来,并集中于自身代理与运维,其中第二网关以及“核心网”感知不到第一网关的存在,从而更好的兼容了现有核心侧的设备部署,并未引入改造成本。进而更好地为需要连接安全网关的接入网分流提供了可行性支撑基础。
与现有技术相比,本发明实施例提供的基于IPSEC的报文转发方法、网关设备及系统具备如下优点和有益效果:
本发明实施例提供的基于IPSEC的报文转发方法、网关设备及系统,通过在传统基站和安全网关部署场景的接入网中,引入独立的网关设备专门负责IPsec集中处理、并为基站提供安全隧道代理服务,将原本基站负责处理的IPsec环节剥离出来,从根本上解决了原有接入网中由于数据被加密而无法分流的问题,进而更好地为需要连接安全网关的接入网分流提供可行性支撑基础,且无需核心侧的改造。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash drive)、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random accessmemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种基于IPSEC的报文转发方法,其特征在于,所述方法由部署于基站与安全网关之间的网关设备执行,包括:
根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;
采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
对所述目标S1接口报文进行封装得到ESP包;
通过所述IPSEC隧道将所述ESP包传输至安全网关。
2.根据权利要求1所述的方法,其特征在于,在所述根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道之前,所述方法还包括:
接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道;
获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,包括:
判断是否存在与所述基站IP地址对应的虚拟IP地址;
若存在与所述基站IP地址对应的虚拟IP地址,则查找所述虚拟IP地址对应的IPSEC隧道。
4.根据权利要求3所述的方法,其特征在于,若不存在与所述基站IP地址对应的虚拟IP地址,则将所述S1接口报文传输至安全网关。
5.根据权利要求1所述的方法,其特征在于,在所述通过所述IPSEC隧道将所述ESP包传输至安全网关之后,所述方法还包括:
接收安全网关下发的ESP包;
对接收到的ESP包进行解封装,获取ESP包内的IP报文;
获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
将所述目标IP报文通过网络直接传输至基站。
6.根据权利要求5所述的方法,其特征在于,在所述将所述目标IP报文通过网络直接传输至基站之后,所述方法还包括:
接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
7.一种基于IPSEC的报文转发方法,其特征在于,所述方法由部署于基站与安全网关之间的网关设备执行,包括:
对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
将所述目标IP报文通过网络直接传输至基站。
8.根据权利要求7所述的方法,其特征在于,当不存在与所述目标IP地址对应的基站IP地址时,则根据所述目标IP地址对所述IP报文进行传输。
9.一种网关设备,其特征在于,所述网关设备部署于基站与安全网关之间,包括:
查找模块,用于根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道,所述IPSEC隧道分配有虚拟IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系;
配置模块,用于采用所述IPSEC隧道的虚拟IP地址替换所述S1接口报文的基站IP地址,得到目标S1接口报文;
封装/解封装模块,用于对所述目标S1接口报文进行封装得到ESP包;
通信模块,用于通过所述IPSEC隧道将所述ESP包传输至安全网关。
10.根据权利要求9所述的网关设备,其特征在于,所述通信模块,还用于在所述查找模块根据基站侧S1接口报文的基站IP地址查找当前基站对应的IPSEC隧道之前,接收基站发送的IPsec隧道建立请求,所述IPsec隧道建立请求中携带有基站IP地址;
所述网关设备还包括:
隧道建立模块,用于根据所述IPsec隧道建立请求建立与安全网关之间的IPsec隧道,获取安全网关为所述IPsec隧道分配的虚拟IP地址,并建立所述虚拟IP地址与所述基站IP地址之间的对应关系。
11.根据权利要求9所述的网关设备,其特征在于,所述通信模块,还用于在通过所述IPSEC隧道将所述ESP包传输至安全网关之后,接收安全网关下发的ESP包;
所述封装/解封装模块,还用于对接收到的ESP包进行解封装,获取ESP包内的IP报文;
所述配置模块,还用于获取所述IP报文的目标IP地址,所述目标IP地址为所述IPSEC隧道的虚拟IP地址,根据所述目标IP地址获取对应的基站IP地址,采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
所述通信模块,还用于将所述目标IP报文通过网络直接传输至基站。
12.根据权利要求11所述的网关设备,其特征在于,所述通信模块,还用于在将所述目标IP报文通过网络直接传输至基站之后,接收基站发送的IPsec隧道释放请求,所述IPsec隧道释放请求中携带有基站IP地址;
所述网关设备还包括:
隧道释放模块,用于根据所述基站IP地址查找对应的虚拟IP地址,释放所述虚拟IP地址对应的IPsec隧道。
13.一种网关设备,其特征在于,所述网关设备部署于基站与安全网关之间,包括:
第二解封装模块,用于对安全网关下发的ESP包进行解封装,获取ESP包内的IP报文;
第二配置模块,用于获取所述IP报文的目标IP地址,若所述目标IP地址为IPSEC隧道的虚拟IP地址,则根据所述目标IP地址获取对应的基站IP地址,所述基站IP地址与对应IPSEC隧道的虚拟IP地址之间具有对应关系,并采用所述基站IP地址替换所述IP报文的目标IP地址,得到目标IP报文;
第二通信模块,用于将所述目标IP报文通过网络直接传输至基站。
14.根据权利要求13所述的网关设备,其特征在于,所述第二通信模块,还用于当不存在与所述目标IP地址对应的基站IP地址时,根据所述目标IP地址对所述IP报文进行传输。
15.一种基于IPSEC的报文转发系统,其特征在于,包括如权利要求9-14任一项所述的网关设备,所述网关设备部署于基站与安全网关之间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810622592.9A CN108848090B (zh) | 2018-06-15 | 2018-06-15 | 基于ipsec的报文转发方法、网关设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810622592.9A CN108848090B (zh) | 2018-06-15 | 2018-06-15 | 基于ipsec的报文转发方法、网关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108848090A CN108848090A (zh) | 2018-11-20 |
| CN108848090B true CN108848090B (zh) | 2020-12-15 |
Family
ID=64202109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810622592.9A Active CN108848090B (zh) | 2018-06-15 | 2018-06-15 | 基于ipsec的报文转发方法、网关设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108848090B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112019568B (zh) * | 2020-10-19 | 2021-02-02 | 北京太一星晨信息技术有限公司 | 一种报文转发方法、设备和通信方法、系统 |
| CN115529180B (zh) * | 2022-09-28 | 2024-05-31 | 芯云晟(杭州)电子科技有限公司 | IPSec加解密卸载方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BRPI0924923A2 (pt) * | 2009-03-30 | 2020-08-11 | Huawei Technologies Co., Ltd. | método, aparelho e sistema para roteamento local |
| US9602470B2 (en) * | 2013-05-23 | 2017-03-21 | Sercomm Corporation | Network device, IPsec system and method for establishing IPsec tunnel using the same |
| WO2018057473A1 (en) * | 2016-09-22 | 2018-03-29 | Intel Corporation | Support for session continuity and control plane signaling in multi-radio access technology environments |
-
2018
- 2018-06-15 CN CN201810622592.9A patent/CN108848090B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108848090A (zh) | 2018-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102246671B1 (ko) | 제5세대 코어 네트워크에 대한 비-3gpp 액세스를 위한 사용자 평면 모델 | |
| CN101663864B (zh) | 用于在用户设备(ue)中配置链路最大传输单元(mtu)的方法 | |
| CN102763435B (zh) | 用户设备与3gpp演进分组核心网间的多宿服务相关信息传输 | |
| CN106797335B (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| WO2013068790A1 (en) | Protocol for layer two multiple network links tunnelling | |
| CN112492622B (zh) | 一种数据报文处理方法及设备 | |
| CN112492584B (zh) | 终端设备和用户面网元之间的安全通信方法、装置及系统 | |
| CN108848090B (zh) | 基于ipsec的报文转发方法、网关设备及系统 | |
| CN101783789A (zh) | 网络数据包传输处理方法、设备及系统 | |
| CN103200068B (zh) | 一种基于用户业务多隧道传输装置 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| CN110557785A (zh) | 一种基于mec的数据分流方法及装置 | |
| EP3813481B1 (en) | Information transmission methods and system | |
| CN107409335A (zh) | 通信装置、通信系统和控制方法 | |
| US11317322B2 (en) | Data offloading method and gateway | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| CN111917621B (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
| KR20190125438A (ko) | 데이터 라우팅 방법 및 장치 | |
| US12028747B2 (en) | Methods and apparatus for reducing communications delay | |
| CN104509046B (zh) | 一种数据通信方法、设备和系统 | |
| CN114338116A (zh) | 加密传输方法、装置及sd-wan网络系统 | |
| CN113709015A (zh) | 数据传输方法、电子设备及存储介质 | |
| CN108243082B (zh) | 一种数据传输方法及设备 | |
| CN115298662A (zh) | 5g虚拟ran中的选择性用户平面保护 | |
| US20240357423A1 (en) | Methods and apparatus for reducing communications delay |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200203 Address after: 510663 Guangzhou Science City, Guangdong Shenzhou Road, No. 10 Applicant after: Comba Telecom System (China) Ltd. Address before: 510663 Shenzhou Road 10, Guangzhou Science City, Guangdong, Guangzhou Applicant before: Comba Telecom System (China) Ltd. Applicant before: COMBA TELECOM SYSTEMS (GUANGZHOU) Ltd. Applicant before: COMBA TELECOM TECHNOLOGY (GUANGZHOU) Ltd. Applicant before: TIANJIN COMBA TELECOM SYSTEMS Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 510663 Shenzhou Road 10, Science City, Guangdong, Guangzhou Patentee after: Jingxin Network System Co.,Ltd. Address before: 510663 Shenzhou Road 10, Science City, Guangdong, Guangzhou Patentee before: Comba Telecom System (China) Ltd. |
|
| CP01 | Change in the name or title of a patent holder |