CN109428852A - 通信隧道端点地址分离方法、终端、ePDG及存储介质 - Google Patents

通信隧道端点地址分离方法、终端、ePDG及存储介质 Download PDF

Info

Publication number
CN109428852A
CN109428852A CN201710588081.5A CN201710588081A CN109428852A CN 109428852 A CN109428852 A CN 109428852A CN 201710588081 A CN201710588081 A CN 201710588081A CN 109428852 A CN109428852 A CN 109428852A
Authority
CN
China
Prior art keywords
terminal
tunnel
request message
epdg
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710588081.5A
Other languages
English (en)
Other versions
CN109428852B (zh
Inventor
李道红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201710588081.5A priority Critical patent/CN109428852B/zh
Priority to PCT/CN2018/096172 priority patent/WO2019015618A1/zh
Publication of CN109428852A publication Critical patent/CN109428852A/zh
Application granted granted Critical
Publication of CN109428852B publication Critical patent/CN109428852B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange

Abstract

本发明公开了一种通信隧道端点地址分离方法、终端、ePDG以及存储介质,该方法包括步骤:ePDG根据终端发送的第一请求消息建立IKE SA隧道,生成对应的第一响应消息返回给终端;ePDG根据所接收的终端发送的第二请求消息建立IPSec SA隧道,生成对应的第二响应消息返回给终端,以完成IPSec SA隧道的建立;第二请求消息中携带有分离标识,表示终端支持ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。本发明在终端侧和/或ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离。

Description

通信隧道端点地址分离方法、终端、ePDG及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种通信隧道端点地址分离方法、终端、ePDG及存储介质。
背景技术
非授信的非3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)接入网络接入3GPP演进分组核心网的网络架构中,IPSec(Internet Protocol Security,Internet协议安全性)隧道的两端端点分别是终端和ePDG(Evolved Packet DataGateway,演进的分组数据网关)。在终端侧,IKE(Internet key exchange,Internet密钥交换协议)SA(Security Association,安全联盟)隧道和IPSec SA隧道的端点地址相同;在ePDG侧,IKE SA隧道和IPSec SA隧道的端点地址相同。由此可知,在现有的架构下,在终端侧和ePDG侧,IKE SA隧道和IPSec SA隧道的端点地址必须相同。
在虚拟化环境下,为了优化控制面和用户面的性能,可以将IKE SA隧道的功能体和IPSec SA隧道的功能体部署在不同的VM(Virtual Machine,虚拟机)上,每个VM对应一个业务地址。然而由于目前在终端侧和ePDG侧,IKE SA隧道和IPSec SA隧道的端点地址必须相同,导致不能将IKE SA隧道的功能体和IPSec SA隧道的功能体部署在不同的VM。
发明内容
本发明的主要目的在于提供一种通信隧道端点地址分离方法、终端、ePDG及存储介质,旨在解决现有不能将IKE SA隧道的功能体和IPSec SA隧道的功能体部署在不同的虚拟机的技术问题。
为实现上述目的,本发明提供一种通信隧道端点地址分离方法,所述通信隧道端点地址分离方法包括步骤:
当演进的分组数据网关ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
优选地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
优选地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
优选地,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当所述ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数,并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKESA隧道;
所述ePDG根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
优选地,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立的步骤包括:
当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息,并将所述明文信息发送给认证授权计费服务器;
所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,并根据所述认证结果生成第二响应消息,加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
优选地,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端的步骤之后,还包括:
当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据,并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW;
所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据,并将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
优选地,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当所述ePDG接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,所述ePDG根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息;
所述ePDG使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
优选地,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤之后,还包括:
当所述ePDG接收到所述终端发送的创建子安全联盟的请求消息,所述ePDG根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
此外,为实现上述目的,本发明还提供一种终端,所述终端应用于通信隧道端点地址分离方法,所述通信隧道端点地址分离方法包括以下步骤:
所述终端发送第一请求消息给演进的分组数据网关ePDG;
当所述终端接收到所述ePDG根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道后发送的第一响应消息时,生成第二请求消息,并将所述第二请求消息发送给所述ePDG;
所述终端接收所述ePDG根据所述第二请求消息建立因特网协议安全IPSec SA隧道后发送的第二响应消息,完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
此外,为实现上述目的,本发明还提供一种演进的分组数据网关ePDG,所述ePDG包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的通信隧道端点地址分离程序,所述通信隧道端点地址分离程序被所述处理器执行时实现如下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有通信隧道端点地址分离程序,所所述计算机可读存储介质上存储有通信隧道端点地址分离程序,所述通信隧道端点地址分离程序被处理器执行时实现如下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
本发明通过当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息与所述终端建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;其中,所述第二请求消息中携带有分离标识,表示所述终端支持ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。在终端侧和/或ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离,以将IKE SA隧道的功能体和IPSec SA隧道的功能体部署在不同的虚拟机,从而提高IPSec SA隧道用户面的数据处理效率。
附图说明
图1是本发明实施例中非授信的非3GPP接入网络的一种网络架构;
图2为本发明通信隧道端点地址分离方法第一实施例的流程示意图;
图3为本发明实施例中在ePDG侧实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图;
图4为本发明实施例中在终端侧实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图;
图5为本发明实施例中在终端侧和ePDG侧都实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图;
图6为本发明通信隧道端点地址分离方法第二实施例的流程示意图;
图7为本发明实施例中在ePDG侧实现IKE SA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图;
图8为本发明实施例中在终端侧实现IKE SA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图;
图9为本发明实施例中在终端侧和ePDG侧都实现IKE SA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:当演进的分组数据网关ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSecSA隧道的建立;其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。以解决不能将IKE SA隧道的功能体和IPSecSA隧道的功能体部署在不同的虚拟机的问题。
图1是本发明实施例中非授信的非3GPP接入网络的一种网络架构,如图1所示。在该架构中,非授信的非3GPP接入网络指的是WLAN(Wireless Local Area Networks)网络,终端可以通过WLAN网络与LTE(Long Term Evolution,长期演进)网络互通,如进行语音业务。
图1所示的网络架构主要包含了如下设备/网元:
UE(User Equipment,用户设备):在本发明中,用户设备可理解为终端,终端可以接入WLAN或LTE网络,访问3GPP演进分组核心网的业务。
E-UTRAN(Evolved UMTS Terrestrial Radio Access Network,演进的通用移动通讯系统陆地无线接入网):LTE中的移动通信无线网络。
MME(Mobility Management Entity,移动管理实体):控制面功能实体,临时存储用户数据的服务器,负责管理和存储终端上下文(比如终端/用户标识,移动性管理状态,用户安全参数等),为用户分配临时标识,处理MME和终端之间的所有非接入层消息。
HSS(Home Subscriber Server,归属用户服务器):用于永久存储用户签约数据。
Serving GW(Gateway),也即SGW:称为服务网关,该网关是一个用户面实体,负责用户面数据路由的处理,用于管理和存储终端的承载(bearer)上下文,如IP(InternetProtocol,网络之间互连的协议)承载业务参数和网络内部路由信息等。Serving GW是3GPP系统内部用户面的锚点,一个用户在一个时刻只能有一个Serving GW;
PDN GW(Packet Data Network Gateway,分组数据网网关),也即PGW:用于负责终端接入PDN(Public Data Network,公共数据网)的网关,分配用户IP地址,同时是3GPP和非3GPP接入系统的移动性锚点,用户在同一时刻能够接入多个PDN GW。
PCRF(Policy and Charging Rule Functionality,策略与计费规则功能单元):用于根据业务信息和用户签约信息以及运营商的配置信息产生控制用户数据传递的Qos(Quality of Service,服务质量)规则以及计费规则,该功能实体也可以控制接入网中承载的建立和释放。
WLAN(Wireless Local Area Network,无线局域网),非授信的非3GPP接入网络。
3GPP AAA Server(3GPP Authentication、Authorization、Accounting Server,3GPP认证授权计费服务器):负责对终端的认证和签约。
ePDG:演进的分组数据网关是非授信的非3GPP网络(WLAN)和3GPP网络互操作的接入网关。从WLAN接入的终端,通过ePDG到3GPP AAA Server进行认证和签约,并通过ePDG接入PDN GW,进一步使用LTE核心网的资源。
IMS(IP Multimedia Subsystem,网际协议多媒体子系统):是3GPP提出的支持IP多媒体业务的子系统,其显著特征是采用了SIP(Session Initial Protocol,会话初始协议)体系,通信与接入方式无关,具备多种多媒体业务的控制功能与承载能力分离、呼叫与会话分离、应用与服务分离、业务与网络分离,以及移动网与因特网业务融合等多种能力。
在非授信非3GPP IP接入网络(WLAN)中,终端和EPC(Evolved Packet Core,4G核心网络)之间的通信是不授信且不安全的。终端和EPC之间的安全通信需要通过在终端和ePDG之间建立IPSec(因特网协议安全)隧道来保证。IPSec隧道的建立主要包括以下阶段:
①IKE_SA_INIT(因特网密钥交换_安全联盟_初始化)交互阶段,为IKE SA(因特网密钥交换_安全联盟)协商安全参数,发送临时随机数(nonce),并发送Diffie-Hellman值;
②IKE_AUTH(因特网密钥交换_认证)交互阶段,为第一个(通常只有一个)CHILD_SA(子_安全联盟)建立SA(安全联盟),即第一个IPSec SA(因特网协议安全_安全联盟);
③CREATE_CHILD_SA(创建_子_安全联盟)交互阶段,创建一个CHILD_SA。
本发明还提供一种ePDG,所述ePDG包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的通信隧道端点地址分离程序,存储器可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器可选的还可以是独立于前述处理器的存储装置。处理器可以用于调用存储器中存储的通信隧道端点地址分离程序,并执行以下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
进一步地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
进一步地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数,并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKE SA隧道;
根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
进一步地,所述接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立的步骤包括:
当接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息,并将所述明文信息发送给认证授权计费服务器;
接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,并根据所述认证结果生成第二响应消息,加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
进一步地,所述接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端的步骤之后,处理器还可以用于调用存储器中存储的通信隧道端点地址分离程序,执行以下步骤:
当接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据,并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW;
接收所述PGW响应所述因特网协议安全数据后发送的响应数据,并将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息;
使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤之后,处理器还可以用于调用存储器中存储的通信隧道端点地址分离程序,执行以下步骤:
当接收到所述终端发送的创建子安全联盟的请求消息,根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
基于上述的结构,提出通信隧道端点地址分离方法的各个实施例。
参照图2,图2为本发明通信隧道端点地址分离方法第一实施例的流程示意图。
在本实施例中,提供了通信隧道端点地址分离方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
所述通信隧道端点地址分离方法包括:
步骤S10,当演进的分组数据网关ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端。
本发明可应用于IKEv2协议建立IPSec隧道的场景,如可应用于非授信非3GPP IP接入网络(WLAN),或者接入EPC网络中,终端和ePDG之间建立IPSec隧道的场景。IKE SA隧道用于保护终端和ePDG之间的IKE信令报文,属于控制面的SA;IPSec SA隧道用于保护终端和ePDG之间的数据报文,属于用户面的SA。在本发明实施例中,以终端作为IKEv2机制的发起者initiator,ePDG作为IKEv2机制的响应者responder。
在本发明实施例中,可在ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离,也可在终端侧实现IKE SA隧道和IPSec SA隧道的端点地址分离,或者在ePDG侧和终端侧都实现IKE SA隧道和IPSec SA隧道的端点地址分离。具体地,可参照图3、图4和图5,图3为本发明实施例中在ePDG侧实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图;图4为本发明实施例中在终端侧实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图;图5为本发明实施例中在终端侧和ePDG侧都实现IKE SA隧道和IPSec SA隧道端点地址分离的一种示意图。
当建立IPSec SA隧道之前,需要先建立IKE SA隧道时,在建立IKE SA隧道时,终端向ePDG发送第一请求消息,其中,第一请求消息为因特网密钥交换_安全联盟_初始化请求消息(IKE_SA_INIT)。终端可通过第一请求消息请求与ePDG协商密钥参数,交换临时随机数,以及交换Diffie-Hellman值。终端的临时随机数为终端的当前时间载荷。终端通过第一请求消息请求与ePDG协商密钥参数过程中,是终端提供密钥算法,以供ePDG选择。密钥算法包括但不限于DES(Data Encryption Standard,数据加密标准)和AES(AdvancedEncryption Standard,高级加密标准)。需要说明的是,DES可包括多种密钥长度,AES的加密形式也不止一种。Diffie-Hellman是一种密钥交换算法,是一种确保共享密钥安全穿越不安全网络的方法,它是OAKLEY算法的一个组成部分。
当ePDG接收到终端发送的第一请求消息时,根据第一请求消息建立IKE SA(因特网密钥交换_安全联盟)隧道,具体地,当ePDG与终端协商好密钥参数,完成临时随机数和Diffie-Hellman值交换后,即表明成功建立了IKE SA隧道。当成功建立IKE SA隧道后,ePDG生成与第一请求消息对应的第一响应消息,返回给终端,以供终端在接收到第一响应消息后,发送第二请求消息给ePDG。其中,第二请求消息中携带有分离标识,表示终端支持ePDG的控制面地址和用户面地址分离,即终端支持ePDG侧的IKE SA隧道和IPSec SA隧道的端点地址分离。第二请求消息为因特网密钥交换_认证请求消息(IKE_AUTH),分离标识为CU_SEPARATE_SUPPORT(控制面用户面_分离_支持)Notify payload(通知载荷)。第二请求消息还可携带有终端标识和APN(Access Point Name,接入点名称)信息。
进一步地,通信隧道端点地址分离方法还包括:
步骤a,当所述ePDG接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,所述ePDG根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息。
步骤b,所述ePDG使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
具体地,终端使用Local IP(本地IP)作为源地址向ePDG侧的IKE SA隧道的端点地址(SWu IKE IP)发送IKE_SA_INIT的协商请求,请求ePDG协商密钥参数,并将其临时随机数和Diffie-Hellman值发送给ePDG。当ePDG接收到IKE_SA_INIT的协商请求,以及终端的临时随机数和Diffie-Hellman值时,根据IKE_SA_INIT的协商请求协商密钥参数,并将其临时随机数和终端的临时随机数进行交换,以及将其Diffie-Hellman值与终端的Diffie-Hellman值进行交换,以建立IKE SA隧道。ePDG根据协商所得的密钥参数、其临时随机数和Diffie-Hellman值生成IKE_SA_INIT协商的响应消息,即生成第一响应消息,使用其SWu IKE IP作为源地址向终端的Local IP发送第一响应消息。需要说明的是,在建立IKE SA隧道后,终端和ePDG在后续传输IKE信令报文时,所传输的IKE信令报文受IKE SA保护。
进一步地,步骤S10包括:
步骤c,当所述ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数,并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKE SA隧道。
步骤d,所述ePDG根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
当ePDG接收到终端发送的第一请求消息时,根据第一请求消息与终端协商密钥参数,并与终端交换随机数和Diffie-Hellman值,以建立IKE SA隧道。ePDG根据协商所得的密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将第一响应消息发送给终端。终端在接收到第一响应消息后,终端生成第二请求消息,并获取第一响应消息中的密钥参数对应的加密算法。终端采用该加密算法加密第二请求消息,得到加密后的第二请求消息,并将加密后的第二请求消息发送给ePDG。需要说明的是,终端加密第二请求消息的加密算法是在建立IKE SA隧道过程中,ePDG与终端协商好的。
步骤S20,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。
当ePDG接收到终端发送的第二请求消息时,ePDG根据第二请求消息建立IPSec SA隧道,并生成与第二请求消息对应的第二响应消息,将第二响应消息返回给终端。
进一步,步骤S20还包括:
步骤e,当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息,并将所述明文信息发送给认证授权计费服务器。
步骤f,所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,并根据所述认证结果生成第二响应消息,加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
具体地,当ePDG接收到终端发送加密后的第二请求消息时,采用与终端协商好的解密算法解密加密后的第二请求消息,即采用与终端加密第二请求消息加密算法对应的解密算法解密加密后的第二请求消息,以得到第二请求消息对应的明文信息。可以理解的是,终端加密第二请求消息的加密算法与ePDG解密加密后的第二请求消息的解密算法是同一算法。
当ePDG得到明文信息后,将明文信息发送给认证授权计费服务器AAA Server,以供AAA Server根据明文信息完成对终端的鉴权认证,得到认证结果,并将认证结果返回给ePDG。具体地,对终端的认证可采用PSK(pre-shared key,预共享密钥模式)、PK3(publickey infrustructure,公钥基础设施),以及RSA(RSA algorithm)等算法;当使用WLAN接入EPC的场景下,对终端的认证采用EPA(Extensible Authentication Protocol)算法。
当ePDG接收到AAA Server发送的认证结果后,根据认证结果生成第二响应消息,并采用与终端协商好的加密算法加密第二响应消息,得到加密后的第二响应,并将加密后的第二响应消息返回给终端。在第二响应消息中,携带有ePDG标识,以及认证载荷。
进一步地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
当在ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端将第一请求消息、第二请求消息发送给ePDG的控制面,由ePDG的控制面返回对应的第一响应消息和第二响应消息,且第二响应消息中还携带有ePDG的IPSec SA隧道端点地址,即第二响应消息中携带有IPSEC_SA_ADDRESSES_R Notify payload(因特网协议安全_安全管理_地址_响应者通知载荷),以将ePDG用户面地址告知终端,即将ePDG侧的IPSec SA隧道端点地址告知终端,以供终端后续根据ePDG侧IPSec SA隧道的端点地址与ePDG进行数据交互。
进一步地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
当在终端侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,是由终端的控制面将第一请求消息、第二请求消息发送给ePDG,由ePDG返回对应的第一响应消息和第二响应消息。此时,第二请求消息携带有终端的IPSec SA隧道端点地址(UE SWu IPSec IP),即第二请求消息中携带有IPSEC_SA_ADDRESSES_I Notify payload(因特网协议安全_安全管理_地址_发起者通知载荷),在IPSEC_SA_ADDRESSES_I Notify payload中,包含终端的IPSec SA隧道端点地址。若第二请求消息中不携带IPSEC_SA_ADDRESSES_I Notifypayload,则表示终端侧的IKE SA隧道和IPSec SA隧道的端点地址相同。
进一步地,当在终端侧和ePDG侧都是实现IKE SA隧道,以及IPSec SA隧道的端点地址都分离时,是由终端控制面将第一请求消息和第二请求消息发送给ePDG控制面,然后由ePDG控制面返回对应的第一响应消息和第二响应消息给终端控制面。此时,第二请求消息携带有IPSEC_SA_ADDRESSES_I Notify payload,第二响应消息携带有IPSEC_SA_ADDRESSES_R Notify payload。
进一步,在本实施例所涉及的到通知载荷CU_SEPARATE_SUPPORT,IPSEC_SA_ADDRESSES_R,以及IPSEC_SA_ADDRESSES_I中,可定义不同的消息类型,且IPSEC_SA_ADDRESSES_R和IPSEC_SA_ADDRESSES_I对应到的载荷数据可为IPv4(Internet Protocol,互联网协议)地址或IPv6地址。
本实施例通过当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息与所述终端建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;其中,所述第二请求消息中携带有分离标识,表示所述终端支持ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。在终端侧和/或ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离,以将IKE SA隧道的功能体和IPSec SA隧道的功能体部署在不同的虚拟机,从而提高IPSec SA隧道用户面的数据处理效率。
进一步地,提出本发明通信隧道端点地址分离方法第二实施例。
所述通信隧道端点地址分离方法第二实施例与所述通信隧道端点地址分离方法第一实施例的区别在于,参照图6,通信隧道端点地址分离方法还包括:
步骤S30,当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据,并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW。
步骤S40,所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据,并将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
当IPSec SA隧道建立完成后,终端加密因特网协议安全数据,并将加密后的因特网协议安全数据发送给ePDG。ePDG接收到终端发送的加密后的因特网协议安全数据时,解密加密后的因特网协议安全数据,得到解密后的因特网协议安全数据,并将解密后的因特网协议安全数据通过S2b接口发送给PGW。当PGW接收到因特网协议安全数据,响应该因特网协议安全数据,得到响应数据,并通过S2b接口将响应数据发送给ePDG。当ePDG接收到PGW返回的响应数据时,加密响应数据,得到加密后的响应数据,将加密后的响应数据发送给终端,以实现终端和PGW之间的数据交互。需要说明的是,终端加密因特网协议安全数据的加密算法、ePDG解密因特网协议安全数据的解密算法、以及加密响应数据的加密算法是终端和ePDG之前协商好的。
当在ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端向ePDG用户面发送因特网协议安全数据。具体地,终端通过IPSEC_SA_ADDRESSES_R Notify payload中携带的ePDG用户面IPSec SA隧道端点地址将因特网协议安全数据发送给ePDG用户面,再由ePDG用户面与PGW进行数据交互。具体地,参照图7,图7为本发明实施例中在ePDG侧实现IKESA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图。
当在终端侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端用户面向ePDG发送因特网协议安全数据。具体地,终端通过IPSEC_SA_ADDRESSES_I Notify payload中携带的终端用户面IPSec SA隧道端点地址将因特网协议安全数据发送给ePDG,再由ePDG与PGW进行数据交互。具体地,参照图8,图8为本发明实施例中在终端侧实现IKE SA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图。
当在终端侧和ePDG侧的IKE SA隧道,以及IPSec SA隧道的端点地址都分离时,是由终端用户面向ePDG用户面发送因特网协议安全数据,具体地,终端用户面通过IPSEC_SA_ADDRESSES_I Notify payload中携带的终端用户面IPSec SA隧道端点地址将因特网协议安全数据发送给ePDG用户面,终端用户面通过IPSEC_SA_ADDRESSES_R Notify payload中携带的ePDG用户面IPSec SA隧道端点地址确定ePDG用户面,再由ePDG用户面与PGW进行数据交互。具体地,参照图9,图9为本发明实施例中在终端侧和ePDG侧都实现IKE SA隧道和IPSec SA隧道端点地址分离过程中数据交互的一种示意图。
需要说明的是,在本实施例中,将ePDG的加密解密功能单独作为一个组件进行描述,即加解密组件,在其它实施例中,可将ePDG的加密解密功能与ePDG控制面功能体或ePDG用户面功能体相结合。
本实施例在终端侧和/或ePDG侧实现IKE SA隧道和IPSec SA隧道端点地址分离后,终端通过分离后的端点地址与ePDG进行数据交互,以提高终端和PGW之间的数据交互效率。
进一步地,提出本发明通信隧道端点地址分离方法第三实施例。
所述通信隧道端点地址分离方法第三实施例与所述通信隧道端点地址分离方法第一、二实施例的区别在于,通信隧道端点地址分离方法还包括:
步骤g,当所述ePDG接收到所述终端发送的创建子安全联盟的请求消息,所述ePDG根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
在建立IKE SA隧道后,后续如果需要进行IKE信令交互,终端直接发送创建子安全联盟(CREATE_CHILD_SA)的请求消息给ePDG。ePDG在接收到终端发送的创建子安全联盟的请求消息时,根据该请求消息创建子安全联盟,即创建CHILD_SA,在创建CHILD_SA后,返回创建子安全联盟的响应消息给终端。
具体地,当在终端侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端控制面将创建子安全联盟的请求消息发送给ePDG;当在ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端将创建子安全联盟的请求消息发送给ePDG控制面;当在终端侧和ePDG侧都实现IKE SA隧道,以及IPSec SA隧道的端点地址分离时,终端控制面将创建子安全联盟的请求消息发送给ePDG控制面。
进一步地,在建立IKE SA隧道后,在终端和ePDG在密钥协商过程中,若是终端需要发送消息或者需要通知ePDG某些事件时,如终端发现发送给ePDG的第一请求消息有错误时,终端向ePDG发送信息请求消息。ePDG在接收到该信息请求消息时,响应该信息请求消息,并返回对应的信息响应消息给终端。若是ePDG需要发送消息或者需要通知终端某些事件时,如ePDG发现发送给终端的第一响应消息有错误时,ePDG向终端发送信息请求消息。终端接收到该信息请求消息,响应该信息请求消息,并返回对应的信息响应消息给ePDG。
具体地,当在终端侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端控制面将信息请求消息发送给ePDG;当在ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离时,终端将信息请求消息发送给ePDG控制面;当在终端侧和ePDG侧都实现IKE SA隧道,以及IPSec SA隧道的端点地址分离时,终端控制面将信息请求消息发送给ePDG控制面。
本实施例通过将终端和/或ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离,以实现将终端和/或ePDG的用户面和控制面分离部署在不同的虚拟机中,从而提高终端和ePDG数据传输效率。
此外,本发明实施例还提出一种终端,所述终端应用于通信隧道端点地址分离方法,所述通信隧道端点地址分离方法包括以下步骤:
所述终端发送第一请求消息给演进的分组数据网关ePDG;
当所述终端接收到所述ePDG根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道后发送的第一响应消息时,生成第二请求消息,并将所述第二请求消息发送给所述ePDG;
所述终端接收所述ePDG根据所述第二请求消息建立因特网协议安全IPSec SA隧道后发送的第二响应消息,完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
进一步地,进一步地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
进一步地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
进一步地,所述终端在接收到所述ePDG发送的第一响应消息后,生成第二请求消息,并采用所述密钥参数对应的加密算法加密所述第二请求消息,将加密后的所述第二请求消息发送给所述ePDG。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有通信隧道端点地址分离程序,所述通信隧道端点地址分离程序被处理器执行时实现如下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
进一步地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
进一步地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数,并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKE SA隧道;
根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
进一步地,所述接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立的步骤包括:
当接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息,并将所述明文信息发送给认证授权计费服务器;
接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,并根据所述认证结果生成第二响应消息,加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
进一步地,所述接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端的步骤之后,所述通信隧道端点地址分离程序被处理器执行时实现如下步骤:
当接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据,并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW;
接收所述PGW响应所述因特网协议安全数据后发送的响应数据,并将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息;
使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
进一步地,所述当接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤之后,所述通信隧道端点地址分离程序被处理器执行时实现如下步骤:
当接收到所述终端发送的创建子安全联盟的请求消息,根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
本发明计算机可读存储介质具体实施方式与上述通信隧道端点地址分离方法各实施例基本相同,在此不再赘述。
此外,本发明实施例还提出一种通信隧道端点地址分离装置,所述通信隧道端点地址分离装置应用于演进的分组数据网关ePDG,通信隧道端点地址分离装置包括:
第一建立模块,用于当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
第二建立模块,用于接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKESA隧道和IPSec SA隧道的端点地址分离。
进一步地,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
进一步地,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
进一步地,所述第一建立模块包括:
协商单元,用于当接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数;
交换单元,用于与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKE SA隧道;
第一生成单元,用于根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
进一步地,所述第二建立模块包括:
解密单元,用于当接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息;
发送单元,用于将所述明文信息发送给认证授权计费服务器;
第二生成单元,用于接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,根据所述认证结果生成第二响应消息;
加密单元,用于加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
进一步地,所述通信隧道端点地址分离装置还包括:
解密模块,用于当接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据;
发送模块,用于将解密后的所述因特网协议安全数据发送给分组数据网网关PGW;
接收模块,用于接收所述PGW响应所述因特网协议安全数据后发送的响应数据;
所述发送模块还用于将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
进一步地,所述第一建立模块还用于当接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息;使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
进一步地,所述通信隧道端点地址分离装置还包括:
创建模块,用于当接收到所述终端发送的创建子安全联盟的请求消息,根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
本发明通信隧道端点地址分离装置具体实施方式与上述通信隧道端点地址分离方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (11)

1.一种通信隧道端点地址分离方法,其特征在于,所述通信隧道端点地址分离方法包括以下步骤:
当演进的分组数据网关ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。
2.如权利要求1所述的通信隧道端点地址分离方法,其特征在于,所述第二请求消息中携带所述终端的IPSec SA隧道端点地址。
3.如权利要求2所述的通信隧道端点地址分离方法,其特征在于,所述第二响应消息中携带所述ePDG的IPSec SA隧道端点地址。
4.如权利要求1所述的通信隧道端点地址分离方法,其特征在于,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当所述ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息与所述终端协商密钥参数,并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值,以建立IKE SA隧道;
所述ePDG根据所述密钥参数,以及交换后的随机数和Diffie-Hellman值生成第一响应消息,并将所述第一响应消息发送给所述终端。
5.如权利要求4所述的通信隧道端点地址分离方法,其特征在于,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立的步骤包括:
当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时,所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息,得到第二请求消息对应的明文信息,并将所述明文信息发送给认证授权计费服务器;
所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果,并根据所述认证结果生成第二响应消息,加密所述第二响应消息,将加密后的所述第二响应消息返回给所述终端。
6.如权利要求1所述的通信隧道端点地址分离方法,其特征在于,所述ePDG接收所述终端发送的第二请求消息,根据所述第二请求消息建立IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端的步骤之后,还包括:
当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时,解密所述因特网协议安全数据,并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW;
所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据,并将所述响应数据发送给所述终端,以实现所述终端和所述PGW之间的数据交互。
7.如权利要求1所述的通信隧道端点地址分离方法,其特征在于,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤包括:
当所述ePDG接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时,所述ePDG根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息;
所述ePDG使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。
8.如权利要求1至7任一项所述的通信隧道端点地址分离方法,其特征在于,所述当ePDG接收到终端发送的第一请求消息时,根据所述第一请求消息建立IKE SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端的步骤之后,还包括:
当所述ePDG接收到所述终端发送的创建子安全联盟的请求消息,所述ePDG根据所述创建子安全联盟的请求消息创建子安全联盟,并返回创建子安全联盟的响应消息给所述终端。
9.一种终端,其特征在于,所述终端应用于通信隧道端点地址分离方法,所述通信隧道端点地址分离方法包括以下步骤:
所述终端发送第一请求消息给演进的分组数据网关ePDG;
当所述终端接收到所述ePDG根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道后发送的第一响应消息时,生成第二请求消息,并将所述第二请求消息发送给所述ePDG;
所述终端接收所述ePDG根据所述第二请求消息建立因特网协议安全IPSec SA隧道后发送的第二响应消息,完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。
10.一种演进的分组数据网关ePDG,其特征在于,所述ePDG包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的通信隧道端点地址分离程序,所述通信隧道端点地址分离程序被所述处理器执行时实现如下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有通信隧道端点地址分离程序,所述通信隧道端点地址分离程序被处理器执行时实现如下步骤:
当接收到终端发送的第一请求消息时,根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道,并生成与所述第一请求消息对应的第一响应消息,返回给所述终端;
接收所述终端发送的第二请求消息,根据所述第二请求消息建立因特网协议安全IPSec SA隧道,并生成与所述第二请求消息对应的第二响应消息,将所述第二响应消息返回给所述终端,以完成IPSec SA隧道的建立;
其中,所述第二请求消息中携带有分离标识,表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。
CN201710588081.5A 2017-07-18 2017-07-18 通信隧道端点地址分离方法、终端、ePDG及存储介质 Active CN109428852B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710588081.5A CN109428852B (zh) 2017-07-18 2017-07-18 通信隧道端点地址分离方法、终端、ePDG及存储介质
PCT/CN2018/096172 WO2019015618A1 (zh) 2017-07-18 2018-07-18 通信隧道端点地址分离方法、终端、网关及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710588081.5A CN109428852B (zh) 2017-07-18 2017-07-18 通信隧道端点地址分离方法、终端、ePDG及存储介质

Publications (2)

Publication Number Publication Date
CN109428852A true CN109428852A (zh) 2019-03-05
CN109428852B CN109428852B (zh) 2023-09-15

Family

ID=65015448

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710588081.5A Active CN109428852B (zh) 2017-07-18 2017-07-18 通信隧道端点地址分离方法、终端、ePDG及存储介质

Country Status (2)

Country Link
CN (1) CN109428852B (zh)
WO (1) WO2019015618A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114422205A (zh) * 2021-12-30 2022-04-29 广西电网有限责任公司电力科学研究院 一种电力专用cpu芯片网络层数据隧道建立方法
CN114697989A (zh) * 2020-12-31 2022-07-01 大唐移动通信设备有限公司 一种通信传输的方法、设备及系统
WO2022178888A1 (zh) * 2021-02-27 2022-09-01 华为技术有限公司 一种通信方法及装置

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060105741A1 (en) * 2004-11-18 2006-05-18 Samsung Electronics Co., Ltd. Method and apparatus for security of IP security tunnel using public key infrastructure in mobile communication network
WO2006068450A1 (en) * 2004-12-24 2006-06-29 Samsung Electronics Co., Ltd. System and method for providing mobility and secure tunnel using mobile internet protocol within internet key exchange protocol version 2
US20070157305A1 (en) * 2005-12-30 2007-07-05 Nokia Corporation Controlling the number of internet protocol security (IPsec) security associations
US20080080509A1 (en) * 2006-09-29 2008-04-03 Nortel Networks Limited Method and apparatus for learning endpoint addresses of IPSec VPN tunnels
US20080101598A1 (en) * 2006-11-01 2008-05-01 Microsoft Corporation Separating Control and Data Operations to Support Secured Data Transfers
CN101188542A (zh) * 2006-11-17 2008-05-28 华为技术有限公司 建立ip隧道的方法及系统及分发ip地址的装置
CN101217435A (zh) * 2008-01-16 2008-07-09 中兴通讯股份有限公司 一种L2TP over IPSEC远程接入的方法及装置
US7606191B1 (en) * 2006-05-01 2009-10-20 Sprint Spectrum L.P. Methods and systems for secure mobile-IP traffic traversing network address translation
CN102223280A (zh) * 2011-06-17 2011-10-19 中兴通讯股份有限公司 一种隧道重建的方法及网元
US20120096269A1 (en) * 2010-10-14 2012-04-19 Certes Networks, Inc. Dynamically scalable virtual gateway appliance
CN102833359A (zh) * 2011-06-14 2012-12-19 中兴通讯股份有限公司 隧道信息获取方法、安全网关及演进家庭基站/家庭基站
WO2013037273A1 (zh) * 2011-09-13 2013-03-21 中兴通讯股份有限公司 一种对用户设备能力进行处理的方法和系统
WO2014117376A1 (zh) * 2013-01-31 2014-08-07 华为技术有限公司 可定制的移动宽带网络系统和定制移动宽带网络的方法
CN104883687A (zh) * 2014-02-28 2015-09-02 华为技术有限公司 无线局域网隧道建立方法、装置及接入网系统
WO2016124016A1 (zh) * 2015-02-05 2016-08-11 华为技术有限公司 IPSec加速方法、装置及系统
CN106686666A (zh) * 2015-11-09 2017-05-17 中兴通讯股份有限公司 一种网关信息更新的方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102378399B (zh) * 2010-08-20 2016-02-10 中兴通讯股份有限公司 用户设备接入方法、装置及系统
CN105812322B (zh) * 2014-12-30 2019-11-12 华为数字技术(苏州)有限公司 因特网安全协议安全联盟的建立方法及装置
CN107615825B (zh) * 2015-05-28 2021-01-05 瑞典爱立信有限公司 在不可信wlan接入上的多个pdn连接
CN106686589B (zh) * 2015-11-09 2020-04-28 中国电信股份有限公司 一种实现VoWiFi业务的方法、系统及AAA服务器

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060105741A1 (en) * 2004-11-18 2006-05-18 Samsung Electronics Co., Ltd. Method and apparatus for security of IP security tunnel using public key infrastructure in mobile communication network
WO2006068450A1 (en) * 2004-12-24 2006-06-29 Samsung Electronics Co., Ltd. System and method for providing mobility and secure tunnel using mobile internet protocol within internet key exchange protocol version 2
US20070157305A1 (en) * 2005-12-30 2007-07-05 Nokia Corporation Controlling the number of internet protocol security (IPsec) security associations
US7606191B1 (en) * 2006-05-01 2009-10-20 Sprint Spectrum L.P. Methods and systems for secure mobile-IP traffic traversing network address translation
US20080080509A1 (en) * 2006-09-29 2008-04-03 Nortel Networks Limited Method and apparatus for learning endpoint addresses of IPSec VPN tunnels
US20080101598A1 (en) * 2006-11-01 2008-05-01 Microsoft Corporation Separating Control and Data Operations to Support Secured Data Transfers
CN101188542A (zh) * 2006-11-17 2008-05-28 华为技术有限公司 建立ip隧道的方法及系统及分发ip地址的装置
CN101217435A (zh) * 2008-01-16 2008-07-09 中兴通讯股份有限公司 一种L2TP over IPSEC远程接入的方法及装置
US20120096269A1 (en) * 2010-10-14 2012-04-19 Certes Networks, Inc. Dynamically scalable virtual gateway appliance
CN102833359A (zh) * 2011-06-14 2012-12-19 中兴通讯股份有限公司 隧道信息获取方法、安全网关及演进家庭基站/家庭基站
CN102223280A (zh) * 2011-06-17 2011-10-19 中兴通讯股份有限公司 一种隧道重建的方法及网元
WO2013037273A1 (zh) * 2011-09-13 2013-03-21 中兴通讯股份有限公司 一种对用户设备能力进行处理的方法和系统
WO2014117376A1 (zh) * 2013-01-31 2014-08-07 华为技术有限公司 可定制的移动宽带网络系统和定制移动宽带网络的方法
CN104883687A (zh) * 2014-02-28 2015-09-02 华为技术有限公司 无线局域网隧道建立方法、装置及接入网系统
US20160373273A1 (en) * 2014-02-28 2016-12-22 Huawei Technologies Co., Ltd. Method for establishing wireless local area network tunnel, apparatus, and access network system
WO2016124016A1 (zh) * 2015-02-05 2016-08-11 华为技术有限公司 IPSec加速方法、装置及系统
CN105991562A (zh) * 2015-02-05 2016-10-05 华为技术有限公司 IPSec加速方法、装置及系统
CN106686666A (zh) * 2015-11-09 2017-05-17 中兴通讯股份有限公司 一种网关信息更新的方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
瞿霞: "IPSec中密钥交换协议IKE的安全性分析与改进", 《武夷学院学报》 *
瞿霞: "IPSec中密钥交换协议IKE的安全性分析与改进", 《武夷学院学报》, no. 12, 31 December 2015 (2015-12-31), pages 65 - 68 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697989A (zh) * 2020-12-31 2022-07-01 大唐移动通信设备有限公司 一种通信传输的方法、设备及系统
WO2022142373A1 (zh) * 2020-12-31 2022-07-07 大唐移动通信设备有限公司 一种通信传输的方法、设备及系统
WO2022178888A1 (zh) * 2021-02-27 2022-09-01 华为技术有限公司 一种通信方法及装置
CN114422205A (zh) * 2021-12-30 2022-04-29 广西电网有限责任公司电力科学研究院 一种电力专用cpu芯片网络层数据隧道建立方法
CN114422205B (zh) * 2021-12-30 2024-03-01 广西电网有限责任公司电力科学研究院 一种电力专用cpu芯片网络层数据隧道建立方法

Also Published As

Publication number Publication date
CN109428852B (zh) 2023-09-15
WO2019015618A1 (zh) 2019-01-24

Similar Documents

Publication Publication Date Title
CN113630773B (zh) 安全实现方法、设备以及系统
US11588626B2 (en) Key distribution method and system, and apparatus
Prasad et al. 3GPP 5G security
US9231759B2 (en) Internet key exchange protocol using security associations
CN107615825B (zh) 在不可信wlan接入上的多个pdn连接
CN109560929A (zh) 密钥配置及安全策略确定方法、装置
CN105874766B (zh) 在用户设备之间提供受控证书的方法和设备
EP3284276B1 (en) Security improvements in a cellular network
CN101322428A (zh) 用于传递密钥信息的方法和设备
JP2003524353A (ja) 通信システムにおける完全性のチェック
JP2010521932A (ja) 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布
CN113228721B (zh) 通信方法和相关产品
WO2013185735A2 (zh) 一种加密实现方法及系统
CN104683304A (zh) 一种保密通信业务的处理方法、设备和系统
CN109560919A (zh) 一种密钥衍生算法的协商方法及装置
WO2006137625A1 (en) Device for realizing security function in mac of portable internet system and authentication method using the device
CN109788474A (zh) 一种消息保护的方法及装置
US20070157305A1 (en) Controlling the number of internet protocol security (IPsec) security associations
WO2021244509A1 (zh) 数据传输方法和系统、电子设备及计算机可读存储介质
WO2021244569A1 (zh) 数据传输方法、系统、电子设备、存储介质
CN109428852A (zh) 通信隧道端点地址分离方法、终端、ePDG及存储介质
US20200169885A1 (en) Method and system for supporting security and information for proximity based service in mobile communication system environment
WO2019219209A1 (en) Establishing new ipsec sas
US20210385722A1 (en) Method and apparatus for security context handling during inter-system change
WO2015165250A1 (zh) 一种终端接入通信网络的方法、装置及通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant