WO2010048874A1

WO2010048874A1 - 一种ip会话标识方法、装置和系统

Info

Publication number: WO2010048874A1
Application number: PCT/CN2009/074628
Authority: WO
Inventors: 郑若滨
Original assignee: 华为技术有限公司
Priority date: 2008-10-31
Filing date: 2009-10-27
Publication date: 2010-05-06
Also published as: CN101729500B; EP2346217A4; EP2346217A1; US20110202670A1; EP2346217B1; CN101729500A

Abstract

本发明实施例公开了一种IP会话标识方法、装置和系统。所述方法包括以下步骤：根据预设的IP会话标识生成规则，在认证过程和/或IP地址分配过程中为 IP会话生成IP会话标识；根据所述IP会话标识对接收到的 IP会话报文进行过滤。通过应用本发明的技术方案，达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系，提高IP会话的安全性的效果。

Description

一种 IP会话标识方法、装置和系统

本申请要求于 2008 年 10 月 31 日提交中国专利局、申请号为 200810172313.X, 发明名称为"一种 IP会话标识方法、装置和系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，特别是涉及一种 IP会话标识方法、装置和系统。背景技术

在接入网中，互联网协议 ( Internet Protocol , IP )会话（session )代表了与一个用户（ Subscriber/user )设备的 IP地址关联的网络接入连接会话， IP Session与点到点的链路层协议会话（ Point-to-Point Protocol Session , PPP Session )是对等的，用户设备会话（Subscriber Session )是 IP Session和 PPP Session的统称。 PPP Session釆用特有的 PPP存活检测机制，版本 4的 IP协议（ IP vision 4 , IPv4 ) 会话釆用特有的双向转发检测 ( Bidirectional Forwarding Detection, BFD ) /地址解析协议（ Address Resolution Protocol, ARP )存活检测机制。

IP Session通常在 IP边缘设备（IP Edge device ) , 例如：宽带网络网关 ( Broadband Network Gateway, BNG ) /宽带接入服务器（ Broadband Remote Access Server, BRAS )上终结， IP Session的另一侧通常在用户设备，例如家庭网关（ Home Gateway，以下简称： HGW )或 HGW之后的用户终端设备 ( User Equipment, UE )上终结，即， IP Session是在用户设备与 IP边缘设备建立的一条会话连接。

IP Session用于网络对用户接入网络的管理，如计费、状态等。在实现本发明的过程中，发明人发现现有技术至少存在以下问题：现有技术 IP Session的数据通信过程与认证过程 /IP地址分配过程没有耦合关系，容易出现虽然认证通过，但在 IP Session的数据通信过程中，攻击者还是有可能通过伪造 IP地址或 MAC地址假冒被攻击者的身份，存在较大安全隐患。发明内容

本发明实施例提供了一种 IP会话标识方法、装置和系统，通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤，从而，使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性。

为达到上述目的，本发明实施例一方面提出一种 IP会话标识方法，包括以下步骤：

根据预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识；

根据所述 IP会话标识对接收到的 IP会话报文进行过滤。

另一方面，本发明实施例还提出一种网络网关，包括：

生成模块，用于根据预设的 IP会话标识生成规则，在认证过程和 /或 IP 地址分配过程中为 IP会话生成 IP会话标识；

处理模块，用于根据所述 IP会话标识对接收到的 IP会话报文进行过滤。另一方面，本发明实施例还提出一种 IP会话处理系统，包括用户设备和网络网关：

所述用户设备，用于接收所述网络网关发送的 IP会话标识生成规则，按照所述 IP会话标识生成规则生成相应的 IP会话标识，并向所述网络网关发送 IP会话报文；所述网络网关，用于设置所述 IP会话标识生成规则，将所述 IP会话标识生成规则发送给所述用户设备，按照所述 IP会话标识生成规则在认证过程和 / 或 IP地址分配过程中为 IP会话生成 IP会话标识，并根据所述 IP会话标识对所述 IP会话进行过滤。

本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤的方法，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提出的一种 IP会话标识方法的流程示意图；图 2为本发明实施例一提出的一种 IP会话标识方法的流程示意图；图 3为本发明实施例二提出的一种 IP会话处理系统的结构示意图；图 4为本发明实施例三提出的一种动态 IPv6 Session中的 IP会话标识方法的流程示意图；

图 5为本发明实施例四提出的另一种动态 IPv6 Session中的 IP会话标识方法的流程示意图；

图 6为本发明实施例五提出的另一种动态 IPv6 Session中的 IP会话标识方法的流程示意图；

图 7为本发明实施例六提出的另一种动态 IPv6 Session中的 IP会话标识方法的流程示意图；图 8为本发明实施例七提出的另一种动态 IPv6 Session中的 IP会话标识方法的流程示意图；

图 9为本发明实施例八提出的一种静态 IPv6 Session中的 IP会话标识方法的流程示意图。具体实施方式

本发明实施例提出了一种 IP会话标识方法、装置和系统。该技术方案的具体内容是：在 IPv6的流标签（ Flow label )中设定 IPv6 Session标识（ Identity, ID )域，或者在 IPv6地址中设定 IPv6 Session ID域（例如， IPv6地址前缀 ) , IPv6 Session ID在用户认证 /IP地址分配过程成功后，按 Subscriber与运营商约定的规则产生，实现 IPv6 Session与认证过程 /IP地址分配过程的耦合。

IPv6 Session ID 在 IP Session存活过程中保持不变， BNG对接收到的数据包进行 IPv6 Session ID的过滤，有效地防止攻击者通过伪造 IP地址或 MAC 地址假冒，解决了共享介质接入的安全。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例 , 都属于本发明保护的范围。

如图 1所示，为本发明实施例一提出的一种 IP会话标识方法的流程示意图，该方法包括以下步骤：

步骤 S101、网络网关根据预设的 IP会话标识生成规则，在认证过程和 / 或 IP地址分配过程中为 IP会话生成 IP会话标识；

具体的，为方便描述，本发明实施例中以 IPv6会话 ( IPv6 Session )为例进行说明，但是，需要进一步指出的是，其他符合本发明实施例实施场景要求的会话也同样属于本发明的保护范围，这一点在全文均适用，后文不再重复强调。

IPv6 Session分为动态 IPv6 Session和静态 IPv6 Session„

其中，动态 IPv6 Session可以被动态创建和终止，静态 IPv6 Session则只能被静态配置生成。

本发明实施例所提出的技术方案是在 IPv6的流标签（ IPv6 Flow label )中设定 IPv6 Session ID域或者在 IPv6地址中设定 IPv6 Session ID域（例如， IPv6 地址前缀）。对于动态 IP Session, 可以在认证过程和 IP地址分配过程中为 IP会话生成 IP会话标识，具体为：通过认证 Session ID和动态主机分配协议执行标识 ( Dynamic Host Configuration Protocol Transaction ID , DHCP Transaction ID, xid )按约定的规则映射到 IPv6 Flow label的 IPv6 Session ID 域，产生 IPv6 Session ID; 对于动态 IP Session, 还可以在认证过程或 IP地址分配过程中为 IP会话生成 IP会话标识，具体为： Subsriber通过 DHCP前缀委派（ Prefix Delegation, PD )或无状态地址自动分配过程 ( StateLess Address AutoConfiguration, SLAAC ) 的 IPv6地址前缀，然后按约定的规则映射作为 IPv6 Session ID, 即将 Subsriber的 IPv6地址前缀与 IPv6 Session进行绑定。对于静态 IP Session, 可根据 IPv6地址 /IPv6地址前缀按约定的规则产生 IPv6 Session ID。

基于所述的 IPv6 Session ID (例如， IPv6地址前缀） , IP边缘节点可以根据 IPv6 Session ID作 IPv6 Session的授权， IPv6 Session的授权通常釆用认证、授权和计费 ( Authentication, Authorization and Accounting, AAA )协议实现， IPv6 Session ID (例如， IPv6地址前缀）可以携带于 IPv6 Session的 AAA 消息中。

IPv6 Session ID产生规则，对于动态 IPv6 Session, 可以在 IPv6 Session 建立前动态配置到用户设备上，或者在认证 /IP地址分配成功后通过认证协议 /DHCP动态配置到用户设备上；对于静态 IPv6 Session, IPv6 Session ID产生规则可以静态配置，即在步骤 S101之前，还包括以下两种情况：当 IP会话为动态 IP会话时，在网络网关中设置 IP会话标识生成规则，并通过向用户设备发送认证确认消息或地址分配响应消息，在用户设备中设置 IP会话标识生成规则；

当 IP会话为静态 IP会话时，在网络网关和用户设备设置 IP会话标识生成规则。

对应上述的两种情况，步骤 S101的具体内容也相应的分为两种情况：当 IP会话为动态 IP会话时，按照预设的 IP会话标识生成规则，根据通过地址分配前缀委派或通过路由器通告（ router advertisement, RA )所得到的 IP会话地址前缀，或认证确认消息中的认证识别符，或地址分配响应消息中的执行标识，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识；当 IP会话为静态 IP会话时，按照预设的 IP会话标识生成规则，根据用户设备中预设的 IP会话地址或 IP会话地址前缀，在 IP地址分配过程中为 IP 会话生成 IP会话标识。

需要进一步指出的是，当 IP会话为动态 IP会话时，按照地址分配响应消息中的执行标识生成 IP会话标识之后，还包括以下步骤：

当 IP会话的 IP地址分配结果发生更新时，按照预设的 IP会话标识生成规则，根据更新的地址分配响应消息中的执行标识，为 IP会话生成更新的 IP 会话标识。

IPv6 Session ID 在 IP Session存活过程中不变。

IPv6 Session由 IPv6 Session ID进行标 i只。

步骤 S102、根据 IP会话标识对接收到的 IP会话报文进行过滤。

进一步的，当 IP会话为动态 IP会话时，上述的方法还包括：

当 IP会话终止时，释放 IP会话标识。

进一步的，上述的步骤 S102在的应用环*中，如图 2所示，可以包括以下步骤：步骤 S201、网络网关根据预设的 IP会话标识生成规则，在认证过程和 / 或 IP地址分配过程中为 IP会话生成 IP会话标识；

本步骤与步骤 S101的具体说明内容相同，本实施例不再重复叙述。

步骤 S202、网络网关判断 IP会话标识与用户设备的 MAC地址或接入端口是否符合预设的绑定关系表；

在本步骤中，网络网关判断用户设备的 MAC地址或接入端口与该 IP会话标识的对应关系是否与预设的绑定关系表中的信息相一致，判断接收到的 IP会话的报文是否来自预设的 MAC地址或接入端口，即判断该 IP会话是否是认证通过的端口发起的符合认证要求的 IP会话。

其中的绑定关系表具体是在用户设备完成认证时所生成的 IP会话标识与用户设备 MAC地址或接入端口的绑定关系表。

其中，接入端口可以是接入物理端口（如数字用户线端口或无源光网络物理接口），也可以是接入逻辑端口（如虚拟局域网端口或千兆无源光网络封装模式端口 ) 。

当网络网关判断 IP会话标识与用户设备的 MAC地址或接入端口符合预设的绑定关系表时，转入步骤 S203;

当网络网关判断 IP会话标识与用户设备的 MAC地址或接入端口不符合预设的绑定关系表时，转入步骤 S204。

步骤 S203、网络网关允许 4艮文通过；

即发送该报文的用户设备是通过认证的用户设备，该报文安全，允许该报文通过。

步骤 S204、网络网关丟弃文。

即发送该报文的用户设备不是通过认证的用户设备，由于该报文的安全性未知，所以将该报文丟弃。

进一步的，当 IP会话为动态 IP会话时，上述的方法还包括：当 IP会话终止时，释放 IP会话标识。

本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤的方法，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。

对应本发明实施例一所提出的技术方案，本发明实施例二提出了一种 IP 会话处理系统，图 3为本发明实施例二提出的一种 IP会话处理系统的结构示意图，如图 3所示，包括用户设备 1和网络网关 2:

用户设备 1 , 用于接收网络网关 2发送的 IP会话标识生成规则，按照 IP 会话标识生成规则生成相应的 IP会话标识，并向网络网关 2发送 IP会话报文；进一步的，用户设备 1还用于设置 IP会话地址或 IP会话地址前缀，用来提供生成 IP会话标识的依据信息。

网络网关 2, 用于设置 IP会话标识生成规则，将 IP会话标识生成规则发送给用户设备 1 ,按照 IP会话标识生成规则在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识，并根据 IP会话标识对 IP会话进行过滤。网络网关 2具体包括：

设置模块 21 ,用于在网络网关 2设置 IP会话标识生成规则和绑定关系表；发送模块 22, 用于将设置模块 21设置的 IP会话标识生成规则发送给用户设备 1 , 以使用户设备 1设置 IP会话标识生成规则；

生成模块 23 , 用于根据设置模块 21预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识，该模块具体包括：获取子模块 231 , 用于通过地址分配前缀委派或通过路由器通告获取 IP 会话地址前缀，或在认证确认消息中获取认证识别符，或在地址分配响应消息中获取执行标识，或获取用户设备 1中预设的 IP会话地址或 IP会话地址前缀；生成子模块 232, 用于根据获取子模块 231所获取的 IP会话地址前缀，或认证识别符，或执行标识，或用户设备 1中预设的 IP会话地址或 IP会话地址前缀，按照设置模块 21预设的 IP会话标识生成规则，为 IP会话生成 IP会话标识；

更新子模块 233 , 用于当 IP会话的 IP地址分配结果发生更新时，按照设置模块 21预设的 IP会话标识生成规则，根据获取子模块 231获取的更新的地址分配响应消息中的执行标识，为 IP会话生成更新的 IP会话标识。

处理模块 24 , 用于根据 IP会话标识对接收到的 IP会话报文进行过滤。处理模块 24可以包括：

判断子模块 241 , 用于判断 IP会话标识与用户设备 1的 MAC地址或接入端是否符合设置模块 21所设置的绑定关系表；

过滤子模块 242, 用于若判断子模块 241判断 IP会话标识与用户设备 1 的 MAC地址或接入端符合预设的绑定关系表时，允许报文通过；若判断子模块 241判断 IP会话标识与用户设备 1的 MAC地址或接入端不符合预设的绑定关系表时，丟弃该报文。

释放模块 25 , 用于当 IP会话终止时，释放生成模块 23所生成的 IP会话标识。

上述模块可以分布于一个装置，也可以分布于多个装置。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤的系统，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例三提出了一种动态 IPv6 Session中的 IP会话标识方法，该方法在认证阶段进行 IP 会话标识的创建，具体方法流程图如图 4所示，包括以下步骤：

步骤 S401、用户（Subscriber )设备通过 BNG到认证服务器进行扩展认证协议 ( Extensible Authentication Protocol; 以下简称： EAP ) 认证；

其中， BNG即为前述本发明实施例中所提及的网络网关，用户设备在具体的应用环境中即为 Subscriber, 可以具体为一个接入的用户终端，也可以是连接有多个终端的网络接入设备，如家庭网关，这一点在后文的实施例中也是一致的，后文不再重复叙述，具体名称的变化并不影响本发明的保护范围。

步骤 S402、当用户设备的 EAP认证成功时， EAP Success消息由认证服务器通过 BNG发送给用户设备，并在该用户所对应的用户设备中配置 IPv6 Session ID产生规则；

步骤 S403、当用户设备的 EAP认证成功后，用户设备启动 DHCP 前缀委派（Prefix Delegation, 以下简称： PD ) , 产生 DHCP Transaction ID (简称 xid ) , 用户设备可根据 EAP Success消息的 EAP Identifier按一定的规则产生 xid, 如果釆用接入网认证信息载协议 ( Protocol for carrying Authentication for Network Access , PANA ) , 还可根据 PANA Session ID按一定的规则产生 xid;

步骤 S404、用户设备通过 DHCP PD申请 IPv6地址前缀，在 IPv6地址前缀委派过程中，所有 DHCP消息的 xid保持不变；

需要指出的是，由于在 DHCP PD过程之前缺乏像 PPP的 Session ID协商过程，所以 xid就相当于 IP Session ID , 在同一个 IP Session的生命周期内保持一致；如果对用户设备进行 IPv6地址前缀重新分配（renumbering ) , 则认为由一个旧的 IP Session更新为新的 IP Session, xid也将随着新的 IP Session 进行变化。

步骤 S405、当 IPv6地址前缀委派成功， DHCP服务器通过 DHCP Reply 消息将 IPv6地址前缀发送给用户设备；步骤 S406、 BNG和用户设备可将 DHCP Reply消息委派的 IPv6地址前缀作为 IPv6 Session ID;

即将 IPv6地址前缀与 IPv6 Session绑定，进一步的 ,还可以对 IPv6 Session ID与用户设备的 MAC地址 /或接入端口绑定，形成绑定关系表。

需要指出的是，如果对 Subscriber进行 IPv6地址前缀重新分配，则认为由一个旧的 IP Session更新为新的 IP Session, IP Session ID也将随着新的 IPv6 地址前缀的重新分配由新的 DHCP Reply消息触发产生。

步骤 S407、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；

BNG根据预设的 IPv6 Session ID与用户设备的 MAC地址 /或接入端口绑定关系过滤 IP会话的报文，即 BNG通过检查预设的绑定关系表，判断接收到的 IP会话的报文是否来自预设的 MAC地址或接入端口。

当网络网关判断接收到的 IP会话的报文来自预设的 MAC地址或接入端口时，即判定发送该报文的用户设备是通过认证的用户设备， BNG允许该用户设备发送的报文通过。

当网络网关判断接收到的 IP会话的报文并非来自预设的 MAC地址或接入端口时， BNG将该文进行丟弃。

相对应的，判断发送该报文的用户设备不是通过认证的用户设备， BNG 直接将该报文进行丟弃。需要进一步指出的是，在后文的实施例中， BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤的过程与本步骤是一致的，后文不再重复叙述。

步骤 S408、通过携带 IPv6 Session ID的数据流进行数据通信；

在数据通信阶段， IPv6 数据报文皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID。

步骤 S409、通过携带 IPv6 Session ID的存活监控报文（ keep alive )进行数据通信状态存活监控； IPv6 Session的存活监控报文（如 BFD报文）皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID。

需要指出的是，步骤 S408和步骤 S409在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。

步骤 S410、 IPv6地址前缀被释放或被重新分配（renumbering ) 。

IPv6地址前缀被释放或被重新分配（renumbering ) 时，则认为由一个旧的 IP Session更新为新的 IP Session, 即判断为当前 IPv6会话终止。

步骤 S411、 IPv6 Session ID释放。

本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例四提出了另一种动态 IPv6 Session中的 IP会话标识方法，该方法在 IP地址分配阶段进行 IP会话标识的创建，具体方法流程图如图 5所示，包括以下步骤：步骤 S501、用户设备通过 BNG到认证服务器进行 EAP认证；

步骤 S502、当用户设备的 EAP认证成功时， EAP Success消息由认证服务器通过 BNG发送给用户设备，并在该用户设备中配置 IPv6 Session ID产生规则；

步骤 S503、当用户设备的 EAP认证成功后，用户设备启动 SLAAC, 向

BNG发出路由器恳求（ Router Solicitation, RS ) 消息；

步骤 S504、 BNG收到 RS消息后，向用户设备发送路由器宣告（Router Advertisement, RA ) 消息；

RA消息的源地址是 BNG的 IPv6地址， RA消息包含 IPv6地址前缀。步骤 S505、 BNG和用户设备可根据 RA消息携带的 IPv6地址前缀作为 IPv6 Session ID;

即：将 IPv6地址前缀与 IPv6 Session绑定，进一步的，还可以对 IPv6 Session ID与用户设备 MAC地址 /或接入端口绑定，形成绑定关系表；

需要指出的是，如果对 Subscriber进行 IPv6地址前缀重新分配，则认为由一个旧的 IP Session更新为新的 IP Session, IP Session ID也将随着新的 IPv6 地址前缀的重新分配由新的 RA消息触发产生。

步骤 S506、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；步骤 S507、通过携带 IPv6 Session ID的数据流进行数据通信；

步骤 S508、通过携带 IPv6 Session ID的存活监控报文（ keep alive )进行数据通信状态存活监控；

IPv6 Session的存活监控报文（如 BFD报文 )皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID。

需要指出的是，步骤 S507和步骤 S508在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。

步骤 S509、 IPv6地址前缀被释放或被重新分配（renumbering ) ；

步骤 S510、 IPv6 Session ID释放。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例五提出了另一种动态 IPv6 Session中的 IP会话标识方法，该方法在 IP地址分配阶段进行 IP会话标识的创建，具体方法流程图如图 6所示，包括以下步骤：步骤 S601、用户设备通过 BNG到认证服务器进行 EAP认证；

步骤 S602、当用户设备 EAP认证成功， EAP Success消息由认证服务器通过 BNG发送给用户设备，并在该用户设备中配置 IPv6 Session ID产生规则；步骤 S603、 BNG和用户设备根据 IPv6 Session ID产生规则，分别为 BNG 和用户设备生成 IPv6 Session ID;

BNG和用户设备可根据 EAP Success消息的 EAP Identifier按一定的规则产生 IPv6 Session ID; 如果釆用 PANA, 还可根据 PANA Session ID按一定的规则产生 IPv6 Session ID。

步骤 S604、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；步骤 S605、用户设备通过无状态或有状态地址分配方式申请 IPv6地址；在 IPv6地址分配过程中，所有的上行消息皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID。

步骤 S606、通过携带 IPv6 Session ID的数据流进行数据通信；

步骤 S607、通过携带 IPv6 Session ID的存活监控报文（ keep alive )进行数据通信状态存活监控；

需要指出的是，步骤 S606和步骤 S607在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。

步骤 S608、 IPv6地址被释放；

步骤 S609、 IPv6 Session被终止， IPv6 Session ID释放。本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤的方法，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例六提出了另一种动态 IPv6 Session中的 IP会话标识方法，该方法在 IP地址分配阶段进行 IP会话标识的创建，具体方法流程图如图 7所示，包括以下步骤：步骤 S701、用户设备通过 BNG到认证服务器进行 EAP认证；

步骤 S702、当用户设备 EAP认证成功， EAP Success消息由认证服务器通过 BNG发送给用户设备，并配置 IPv6 Session ID产生规则；

步骤 S703、当用户设备 EAP认证成功后，用户设备启动有状态地址分配，产生 DHCP Transaction ID (简称 xid ) ；用户设备可根据 EAP Success消息的 EAP Identifier按一定的规则产生 xid;如果釆用 PANA,还可根据 PANA Session ID按一定的规则产生 xid;

步骤 S704、用户设备通过有状态地址分配方式申请 IPv6地址，在 IPv6 地址分配过程中，所有 DHCP消息的 xid保持不变；

需要进一步指出的是，由于在 DHCP地址分配过程之前缺乏像 PPP 的 Session ID协商过程，所以 xid就相当于 IP Session ID,建议在同一个 IP Session 的生命周期内保持一致；如果 DHCP过程通过 reconfigure消息更换 IP地址，则认为由一个旧的 IP Session更新为新的 IP Session, xid也将随着新的 IP Session进行变 4匕。

步骤 S705、当 IPv6地址申请成功， DHCP服务器通过 DHCP Reply消息将 IPv6地址发送给用户设备；

步骤 S706、 BNG和用户设备可根据 DHCP Reply消息的 DHCP Transaction ID按一定的规则产生 IPv6 Session ID；需要进一步指出的是，如果 DHCP过程通过 reconfigure/renew消息更换 IP地址，则认为由一个旧的 IP Session更新为新的 IP Session, IP Session ID 也将随着新的 IP地址的重新分配由新的 DHCP Reply消息触发产生。

步骤 S707、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；步骤 S708、通过携带 IPv6 Session ID的数据流进行数据通信；

在数据通信阶段， IPv6 数据报文皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID;

步骤 S709、通过携带 IPv6 Session ID的存活监控报文进行数据通信状态存活监控；

需要指出的是，步骤 S708和步骤 S709在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。

步骤 S710、 IPv6地址被释放；

步骤 S711、 IPv6 Session被终止， IPv6 Session ID释放。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例七提出了另一种动态 IPv6 Session中的 IP会话标识方法，在本方法中， IP地址分配阶段和认证阶段是合并的，本方法在该阶段进行 IP会话标识的创建，具体方法流程图如图 8所示，包括以下步骤：

步骤 S801、用户设备产生 DHCP Transaction ID (简称 xid ) ；

步骤 S802、用户设备通过 DHCP认证，实现用户设备认证和有状态地址分配 , 在 DHCP认证过程中 , 所有 DHCP消息的 xid保持不变；需要进一步指出的是，由于在 DHCP地址分配过程之前缺乏像 PPP 的

Session ID协商过程，所以 xid就相当于 IP Session ID,建议在同一个 IP Session 的生命周期内保持一致；如果 DHCP过程通过 reconfigure/renew消息更换 IP 地址，则认为由一个旧的 IP Session更新为新的 IP Session , xid也将随着新的

IP Session进行变 4匕。

步骤 S803、当 DHCP认证成功 , BNG通过 DHCP Reply消息将 IPv6地址发送给用户设备，通知用户设备认证成功，并配置 IPv6 Session ID产生规则；

需要进一步指出的是，如果 DHCP过程通过 reconfigure/renew消息更换

IP地址，则认为由一个旧的 IP Session更新为新的 IP Session, IP Session ID 也将随着新的 IP地址的重新分配由新的 DHCP Reply消息触发产生。

步骤 S804、 BNG和用户设备可根据 DHCP Reply消息的 DHCP Transaction ID按认证成功后确定的 IPv6 Session ID产生规则产生 IPv6 Session ID;

步骤 S805、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；步骤 S806、通过携带 IPv6 Session ID的数据流进行数据通信；

在数据通信阶段， IPv6 数据报文皆携带根据认证成功后确定的 IPv6

Session ID产生规则所产生的 IPv6 Session ID。

步骤 S807、通过携带 IPv6 Session ID的存活监控报文进行数据通信状态存活监控；

IPv6 Session的存活监控报文（如 BFD报文 )皆携带根据认证成功后确定的 IPv6 Session ID产生规则所产生的 IPv6 Session ID。需要指出的是，步骤 S806和步骤 S807在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。

步骤 S808、 IPv6地址被释放；

步骤 S809、 IPv6 Session被终止， IPv6 Session ID释放。

对应上述的本发明实施例一所提出的技术方案，本发明通过实施例八提出了一种静态 IPv6 Session中的 IP会话标识方法，在本方法中，由于是静态 IPv6会话，所以不存在认证阶段，而直接是 IP地址分配阶段，本方法在该阶段进行 IP会话标识的创建，具体方法流程图如图 9所示，包括以下步骤：步骤 S901、网络静态配置用户设备的 IPv6 地址 /地址前缀，以及 IPv6 Session ID的产生规则；

步骤 S902、 BNG和用户设备根据用户设备的 IPv6地址 /地址前缀，按预先配置的 IPv6 Session ID的产生规则产生 IPv6 Session ID;

步骤 S903、 BNG对接收到的 IPv6报文的 IPv6 Session ID进行过滤；步骤 S904、通过携带 IPv6 Session ID的数据流进行数据通信；

步骤 S905、通过携带 IPv6 Session ID的存活监控报文（ keep alive )进行数据通信状态存活监控。

需要指出的是，步骤 S904和步骤 S905在具体实施环境中，没有必然的时间先后关系，两个步骤顺序的改变并不影响本发明的保护范围。本发明实施例的技术方案具有以下优点，因为釆用了通过检验 IP会话中是否加入按照预设规则生成的 IP会话标识，实现对 IP会话的过滤的方法，从而，达到了使 IP会话在数据通信过程与认证过程 /IP地址分配过程中建立耦合关系，提高 IP会话的安全性的效果。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是 CD-ROM, U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims

权利要求

1、一种 IP会话标识方法，其特征在于，包括：

根据所述 IP会话标识对接收到的 IP会话报文进行过滤。

2、根据权利要求 1所述的 IP会话标识方法，其特征在于，所述根据所述 IP会话标识对接收到的 IP会话报文进行过滤具体为：

判断所述 IP会话标识与用户设备的 MAC地址或接入端口是否符合预设的绑定关系表；

若所述 IP会话标识与用户设备的 MAC地址或接入端口符合所述预设的绑定关系表时，允许所述 IP会话报文通过；若所述 IP会话标识与用户设备的 MAC地址或接入端口不符合所述预设的绑定关系表时，丟弃所述 IP会话报文。

3、根据权利要求 1或 2所述的 IP会话标识方法，其特征在于，所述根据预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识之前，所述方法还包括设置所述 IP会话标识生成规则的步骤：

当所述 IP会话为动态 IP会话时，本地设置所述 IP会话标识生成规则，并通过向用户设备发送认证确认消息或地址分配响应消息，在所述用户设备中设置所述 IP会话标识生成规则。

4、根据权利要求 3所述的 IP会话标识方法，其特征在于，所述根据预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识具体为：

按照所述预设的 IP会话标识生成规则，根据通过地址分配前缀委派或通过路由器通告所得到的 IP会话地址前缀，或所述认证确认消息中的认证识别符，或所述地址分配响应消息中的执行标识，在认证过程和 /或 IP地址分配过程中为所述 IP会话生成 IP会话标识。

5、根据权利要求 4所述的 IP会话标识方法，其特征在于，所述按照所述预设的 IP会话标识生成规则，根据所述地址分配响应消息中的执行标识，在认证过程和 /或 IP地址分配过程中为所述 IP会话生成 IP会话标识之后 ,还包括：

当所述 IP会话的 IP地址分配结果发生更新时，按照所述预设的 IP会话标识生成规则，根据更新的地址分配响应消息中的执行标识，为所述 IP会话生成更新的 IP会话标识。

6、根据权利要求 1或 2所述的 IP会话标识方法，其特征在于，所述根据预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识之前，所述方法还包括设置所述 IP会话标识生成规则的步骤：

当所述 IP会话为静态 IP会话时，在本地和所述用户设备设置所述 IP会话标识生成规则。

7、根据权利要求 6所述的 IP会话标识方法，其特征在于，所述根据预设的 IP会话标识生成规则，在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识具体为：

按照所述预设的 IP会话标识生成规则，根据获取到的所述用户设备中预设的 IP会话地址或 IP会话地址前缀，在 IP地址分配过程中为所述 IP会话生成 IP会话标识。

8、根据权利要求 1所述的 IP会话标识方法，其特征在于，所述 IP会话标识为 IP会话文的流标签或 IP地址前缀。

9、根据权利要求 1所述的 IP会话标识方法，其特征在于，所述 IP会话标识携带于 IP会话的 AAA消息中， IP边缘节点根据所述 IP会话标识作 IP 会话的授权。

10、根据权利要求 4所述的 IP会话标识方法，其特征在于，当根据所述通过地址分配前缀委派或通过路由器通告所得到的 IP会话地址前缀，在认证过程和 /或 IP地址分配过程中为所述 IP会话生成 IP会话标识时，所述方法还包括：

当所述 IP会话地址前缀被释放或被重新分配时，释放所述 IP会话标识。

11、根据权利要求 3所述的 IP会话标识方法，其特征在于，当所述 IP 会话为动态 IP会话时，所述方法还包括：

当所述 IP会话终止时，释放所述 IP会话标识。

12、一种网络网关，其特征在于，包括：

处理模块，用于根据所述 IP会话标识对接收到的 IP会话报文进行过滤。

13、根据权利要求 12所述的网络网关，其特征在于，所述处理模块包括：判断子模块，用于判断所述 IP会话标识与用户设备的 MAC地址或接入端口是否符合预设的绑定关系表；

过滤子模块，用于若所述判断子模块判断所述 IP会话标识与用户设备的

MAC地址或接入端口符合预设的绑定关系表时，允许所述报文通过；若所述判断子模块判断所述 IP会话标识与用户设备的 MAC地址或接入端口不符合预设的绑定关系表时，丟弃所述报文。

14、根据权利要求 12或 13所述的网络网关，其特征在于，还包括：设置模块，用于在本地设置所述 IP会话标识生成规则和所述绑定关系表；发送模块，用于将所述设置模块设置的所述 IP会话标识生成规则发送给用户设备，以在所述用户设备中设置所述 IP会话标识生成规则。

15、根据权利要求 12或 13所述的网络网关，其特征在于，还包括：释放模块，用于当所述 IP会话终止时，释放所述生成模块所生成的 IP 会话标识。

16、根据权利要求 12或 13所述的网络网关，其特征在于，所述生成模块具体包括：

获取子模块，用于通过地址分配前缀委派或通过路由器通告获取 IP会话地址前缀，或在认证确认消息中获取认证识别符，或在地址分配响应消息中获取执行标识，或获取所述用户设备中预设的 IP会话地址或 IP会话地址前缀；

生成子模块，用于根据所述获取子模块所获取的所述 IP会话地址前缀，或所述认证识别符，或所述执行标识，或所述用户设备中预设的 IP会话地址或 IP会话地址前缀，按照所述设置模块预设的 IP会话标识生成规则，为所述 IP会话生成 IP会话标识。

17、根据权利要求 16所述的网络网关，其特征在于，所述生成模块还包括：

更新子模块，用于当所述 IP会话的 IP地址分配结果发生更新时，按照所述设置模块设置的 IP会话标识生成规则，根据所述获取子模块获取的更新的地址分配响应消息中的执行标识，为所述 IP会话生成更新的 IP会话标识。

18、一种 IP会话处理系统，其特征在于，包括用户设备和网络网关：所述用户设备，用于接收所述网络网关发送的 IP会话标识生成规则，按照所述 IP会话标识生成规则生成相应的 IP会话标识，并向所述网络网关发送 IP会话报文；

所述网络网关，用于设置所述 IP会话标识生成规则，将所述 IP会话标识生成规则发送给所述用户设备，按照所述 IP会话标识生成规则在认证过程和 /或 IP地址分配过程中为 IP会话生成 IP会话标识，并根据所述 IP会话标识对所述 IP会话进行过滤。

19、根据权利要求 18所述的 IP会话处理系统，其特征在于，所述用户设备和所述网络网关在所述 IP会话结束后，释放所述 IP会话标识。