WO2011110007A1 - 隧道重协商的方法和系统、以及接入网关和终端 - Google Patents

Abstract

本发明实施例提供了一种隧道重协商的方法和系统、以及接入网关和终端，涉及网络安全领域，所述方法包括：接收终端发送的第一隧道建立请求消息后，为终端分配一个标识和业务处理模块；建立标识和业务处理模块的映射关系；向终端返回携带标识的第一隧道建立响应消息；接收终端发送的携带标识的第二隧道建立请求消息；根据映射关系获取标识对应的业务处理模块，并将业务处理模块分配给终端。本实施例还包括相应的接入网关、终端以及由二者组成的隧道重协商的系统。本发明通过上述方案，使一个终端在多次隧道协商中分配到相同的业务处理模块，消除了接入网关上的垃圾用户资源，减轻了接入网关的处理负担。

Description

隧道重协商的方法和系统、 以及接入网关和终端 技术领域

本发明涉及网络安全领域， 特别涉及一种隧道重协商的方法和系统、 以及接入网关和 终端。 说

背景技术

为了保障接入的安全性， 终端和接入网关之间需要建立安全的隧道连接， 然后， 终端 使用该安全隧道进行业务应用等操作。

隧道建立过程包括初始隧道建立过程和隧道重协商过程， 初始隧道建立过程中终端和 书

接入网关之间建立了 SA ( Security Association, 安全联盟）， 由于安全隧道对应的 SA会 过期， 如果继续进行连接， 双方需要重新协商以建立新的 SA， 这个过程称为隧道重协商过 程。 下面结合终端的初始隧道建立过程， 介绍隧道重协商过程。

在初始隧道建立过程中， 接入网关的业务分发管理模块接收到终端发送的隧道建立请 求消息后， 为终端分配一个业务处理模块， 设为业务处理模块 1， 业务处理模块 1向终端发 送标识。

在隧道重协商过程中， 接入网关的业务分发管理模块接收到终端发送的隧道建立请求 消息后， 为终端分配一个业务处理模块， 设为业务处理模块 2， 业务处理模块 2向终端发送 标识。 终端发现标识在不同的业务处理模块上冲突， 向初始隧道建立过程中分配的业务处 理模块 1发起清除用户资源的过程。 其中， 用户资源可以是用户上下文信息。

在实现本发明的过程中， 发明人发现现有技术至少存在以下问题：

现有的隧道重协商方法造成接入网关上存在终端的垃圾用户资源， 需要额外的机制进 行垃圾资源的清理， 增加了接入网关的处理负担。 发明内容

为了消除接入网关上的垃圾用户资源， 从而减轻接入网关的处理负担， 本发明实施例 提供了一种隧道重协商的方法和系统、 以及接入网关和终端。 所述技术方案如下：

一种隧道重协商的方法， 所述方法包括：

接收终端发送的第一隧道建立请求消息后， 为所述终端分配一个标识和业务处理模块； 建立所述标识和所述业务处理模块的映射关系；

向所述终端返回携带所述标识的第一隧道建立响应消息；

接收所述终端发送的携带所述标识的第二隧道建立请求消息；

根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模块分 配给所述终端。

一种隧道重协商的方法， 所述方法包括：

终端向接入网关发送第一隧道建立请求消息， 使所述接入网关为所述终端分配一个标 识和业务处理模块， 并建立所述标识和所述业务处理模块的映射关系；

所述终端接收所述接入网关返回的携带所述标识的第一隧道建立响应消息； 所述终端向所述接入网关发送携带所述标识的第二隧道建立请求消息， 使所述接入网 关根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模块分配 给所述终端。

一种接入网关， 所述接入网关包括： 业务分发管理模块和至少一个业务处理模块； 所述业务分发管理模块包括：

第一分配单元， 用于接收终端发送的第一隧道建立请求消息后， 为所述终端分配一个 标识和业务处理模块；

建立单元， 用于建立所述标识和所述业务处理模块的映射关系；

发送单元， 用于向所述终端返回携带所述标识的第一隧道建立响应消息；

接收单元， 用于接收所述终端发送的携带所述标识的第二隧道建立请求消息； 第二分配单元， 用于根据所述映射关系获取所述标识对应的所述业务处理模块， 并将 所述业务处理模块分配给所述终端。

一种终端， 所述终端包括：

第一发送模块， 用于向接入网关发送第一隧道建立请求消息， 使所述接入网关为所述 终端分配一个标识和业务处理模块， 并建立所述标识和所述业务处理模块的映射关系； 接收模块， 用于接收所述接入网关返回的携带所述标识的第一隧道建立响应消息； 第二发送模块， 用于向所述接入网关发送携带所述标识的第二隧道建立请求消息， 使 所述接入网关根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处 理模块分配给所述终端。

一种隧道重协商的系统， 所述系统包括： 终端和接入网关；

所述终端， 用于向所述接入网关发送第一隧道建立请求消息； 接收所述接入网关返回 的携带标识的第一隧道建立响应消息； 向所述接入网关发送携带所述标识的第二隧道建立 请求消息；

所述接入网关， 用于接收所述终端发送的第一隧道建立请求消息后， 为所述终端分配 一个标识和业务处理模块； 建立所述标识和所述业务处理模块的映射关系； 向所述终端返 回携带所述标识的第一隧道建立响应消息； 接收所述终端发送的携带所述标识的第二隧道 建立请求消息； 根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务 处理模块分配给所述终端。

本发明实施例提供的技术方案的有益效果是：

通过接入网关接收终端发送的第一隧道建立请求消息后， 为终端分配一个标识和业务 处理模块， 并建立标识和业务处理模块的映射关系， 向终端返回携带标识的第一隧道建立 响应消息， 然后接收终端发送的携带标识的第二隧道建立请求消息， 根据映射关系获取标 识对应的业务处理模块， 并将业务处理模块分配给终端， 从而使一个终端在多次隧道协商 中分配到相同的业务处理模块， 从而消除了接入网关上的垃圾用户资源， 减轻了接入网关 的处理负担。 附图说明

图 1是本发明实施例 1提供的隧道重协商的方法流程图；

图 2是本发明实施例 1提供的隧道重协商的另一方法流程图;

图 3是本发明实施例 2提供的隧道重协商的方法流程图；

图 4是本发明实施例 3提供的接入网关结构示意图；

图 5是本发明实施例 4提供的终端结构示意图；

图 6是本发明实施例 5提供的隧道重协商的系统示意图。 具体实施方式

为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本发明实施方式作 进一步地详细描述。

实施例 1

参见图 1， 本实施例提供了一种隧道重协商的方法， 对于接入网关， 包括：

101a: 接收终端发送的第一隧道建立请求消息后， 为终端分配一个标识和业务处理模 块；

102a: 建立标识和业务处理模块的映射关系；

103a: 向终端返回携带标识的第一隧道建立响应消息； 104a: 接收终端发送的携带标识的第二隧道建立请求消息；

105a: 根据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端。 相应的， 参见图 2， 本实施例还提供了一种隧道重协商的方法， 对于终端， 包括： 101b: 终端向接入网关发送第一隧道建立请求消息， 使接入网关为终端分配一个标识 和业务处理模块， 并建立标识和业务处理模块的映射关系；

102b: 终端接收接入网关返回的携带标识的第一隧道建立响应消息；

103b: 终端向接入网关发送携带标识的第二隧道建立请求消息， 使接入网关根据映射 关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端。

本实施例提供的方法， 通过接入网关接收终端发送的第一隧道建立请求消息后， 为终 端分配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系， 向终端返回携 带标识的第一隧道建立响应消息， 然后接收终端发送的携带标识的第二隧道建立请求消息， 根据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端， 从而使一个 终端在多次隧道协商中分配到相同的业务处理模块， 消除了接入网关上的垃圾用户资源， 减轻了接入网关的处理负担。 实施例 2

参见图 3， 本实施例提供了一种隧道重协商的方法， 包括初始隧道建立过程和隧道重协 商过程。

在初始隧道建立过程中，

201： 接入网关的业务分发管理模块接收终端发送的第一隧道建立请求消息

IKE—SA T REQ;

202： 接入网关的业务分发管理模块为终端分配一个标识和业务处理模块；

其中， 标识可以唯一表示该终端在该接入网关的业务信息， 如业务处理模块。 标识具 体可以 SPI ( Security Parameter Index , 安全参数索引）、 终端的本地 IP ( Internet Protocol , 互联网协议） 地址、 或会话标识等， 本实施例并不限定。

其中， 接入网关包括至少一个业务处理模块， 通常包括多个业务处理模块， 图 2 中仅 以业务处理模块 1和业务处理模块 2为例进行了标示。 此处， 设分配的业务处理模块为业 务处理模块 1

203： 接入网关的业务分发管理模块建立该标识和该业务处理模块的映射关系； 此处， 建立了该标识和业务处理模块 1的映射关系。

204： 接入网关的业务分发管理模块向终端返回第一隧道建立响应消息 IKE_SA_INIT RSP， 消息中携带分配的标识。

进一步的， 终端可以保存该标识， 从而使终端在后续的多次隧道重协商中可以分配到 相同的业务处理模块。

在隧道重协商过程中，

301： 接入网关的业务分发管理模块接收终端发送的第二隧道建立请求消息

IKE_SA_INIT REQ, 消息中携带分配的标识；

302： 接入网关的业务分发管理模块根据映射关系获取该标识对应的业务处理模块； 此处， 根据映射关系获取到该标识对应的业务处理模块为业务处理模块 1， 也即初始隧 道建立过程为该终端分配的业务处理模块。

303： 接入网关的业务分发管理模块为终端分配获取到的业务处理模块；

304： 接入网关的业务分发管理模块向终端返回第二隧道建立响应消息 IKE_SA_INIT

RSP;

进一步的， 第二隧道建立响应消息中可以携带分配的标识， 从而使终端在下一次隧道 重协商过程中可以分配到相同的业务处理模块。 另外， 如果步骤 204中终端保存了该标识， 则第二隧道建立响应消息中也可以不携带分配的标识。

本实施例提供的方法， 通过接入网关接收终端发送的第一隧道建立请求消息后， 为终 端分配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系， 向终端返回携 带标识的第一隧道建立响应消息， 然后接收终端发送的携带标识的第二隧道建立请求消息， 根据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端， 从而使一个 终端在多次隧道协商中分配到相同的业务处理模块， 消除了接入网关上的垃圾用户资源， 减轻了接入网关的处理负担。 实施例 3

参见图 4， 本实施例提供了一种接入网关， 包括： 业务分发管理模块 401和至少一个业 务处理模块 402;

业务分发管理模块 401包括：

第一分配单元， 用于接收终端发送的第一隧道建立请求消息后， 为终端分配一个标识 和业务处理模块 402;

建立单元， 用于建立标识和业务处理模块 402的映射关系；

发送单元， 用于向终端返回携带标识的第一隧道建立响应消息；

接收单元， 用于接收终端发送的携带标识的第二隧道建立请求消息； 第二分配单元， 用于根据映射关系获取标识对应的业务处理模块 402， 并将业务处理模 块 402分配给终端。

其中， 标识是安全参数索引 SPI、 终端的本地 IP地址或会话标识。

本实施例提供的接入网关， 与方法实施例属于同一构思， 其具体实现过程详见方法实 施例， 这里不再赘述。

本实施例提供的接入网关， 通过接收终端发送的第一隧道建立请求消息后， 为终端分 配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系， 向终端返回携带标 识的第一隧道建立响应消息， 然后接收终端发送的携带标识的第二隧道建立请求消息， 根 据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端， 从而使一个终 端在多次隧道协商中分配到相同的业务处理模块， 消除了接入网关上的垃圾用户资源， 减 轻了接入网关的处理负担。 实施例 4

参见图 5， 本实施例提供了一种终端， 该终端包括：

第一发送模块 501， 用于向接入网关发送第一隧道建立请求消息， 使接入网关为终端分 配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系；

接收模块， 用于接收接入网关返回的携带标识的第一隧道建立响应消息；

第二发送模块 502， 用于向接入网关发送携带标识的第二隧道建立请求消息， 使接入网 关根据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端。

其中， 标识是安全参数索引 SPI、 终端的本地 IP地址或会话标识。

本实施例提供的终端， 与方法实施例属于同一构思， 其具体实现过程详见方法实施例， 这里不再赘述。

本实施例提供的终端， 通过向接入网关发送第一隧道建立请求消息， 使接入网关为终 端分配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系， 接收接入网关 返回的携带标识的第一隧道建立响应消息， 向接入网关发送携带标识的第二隧道建立请求 消息， 使接入网关根据映射关系获取标识对应的业务处理模块， 并将该业务处理模块分配 给终端， 从而使一个终端在多次隧道协商中分配到相同的业务处理模块， 消除了接入网关 上的垃圾用户资源， 减轻了接入网关的处理负担。 实施例 5

参见图 6， 本实施例提供了一种隧道重协商的系统， 包括： 终端 601和接入网关 602; 终端 601， 用于向接入网关 602发送第一隧道建立请求消息； 接收接入网关 602返回的 携带标识的第一隧道建立响应消息； 向接入网关 602 发送携带标识的第二隧道建立请求消 息；

接入网关 602， 用于接收终端 601发送的第一隧道建立请求消息后， 为终端 601分配一 个标识和业务处理模块； 建立标识和业务处理模块的映射关系； 向终端 601 返回携带标识 的第一隧道建立响应消息； 接收终端 601 发送的携带标识的第二隧道建立请求消息； 根据 映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端 601。

其中， 标识是安全参数索引 SPI、 终端的本地 IP地址或会话标识。

本实施例提供的系统， 与方法实施例属于同一构思， 其具体实现过程详见方法实施例， 这里不再赘述。

本实施例提供的系统， 通过接入网关接收终端发送的第一隧道建立请求消息后， 为终 端分配一个标识和业务处理模块， 并建立标识和业务处理模块的映射关系， 向终端返回携 带标识的第一隧道建立响应消息， 然后接收终端发送的携带标识的第二隧道建立请求消息， 根据映射关系获取标识对应的业务处理模块， 并将业务处理模块分配给终端， 从而使一个 终端在多次隧道协商中分配到相同的业务处理模块， 从而消除了接入网关上的垃圾用户资 源， 减轻了接入网关的处理负担。 本发明实施例可以利用软件实现， 相应的软件程序可以存储在可读取的存储介质中， 例如， 计算机的硬盘、 缓存或光盘中。 以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的精神和原则 之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1、 一种隧道重协商的方法， 其特征在于， 所述方法包括：

接收终端发送的第一隧道建立请求消息后， 为所述终端分配一个标识和业务处理模块； 建立所述标识和所述业务处理模块的映射关系；

向所述终端返回携带所述标识的第一隧道建立响应消息；

接收所述终端发送的携带所述标识的第二隧道建立请求消息；

根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模块分配 给所述终端。

2、 如权利要求 1所述的方法， 其特征在于， 所述标识是安全参数索引 SPI、 所述终端的 本地 IP地址或会话标识。

3、 一种隧道重协商的方法， 其特征在于， 所述方法包括：

终端向接入网关发送第一隧道建立请求消息， 使所述接入网关为所述终端分配一个标识 和业务处理模块， 并建立所述标识和所述业务处理模块的映射关系；

所述终端接收所述接入网关返回的携带所述标识的第一隧道建立响应消息；

所述终端向所述接入网关发送携带所述标识的第二隧道建立请求消息， 使所述接入网关 根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模块分配给所 述终端。

4、 如权利要求 3所述的方法， 其特征在于， 所述标识是安全参数索引 SPI、 所述终端的 本地 IP地址或会话标识。

5、 一种接入网关， 其特征在于， 所述接入网关包括： 业务分发管理模块和至少一个业务 处理模块；

所述业务分发管理模块包括：

第一分配单元， 用于接收终端发送的第一隧道建立请求消息后， 为所述终端分配一个标 识和业务处理模块；

建立单元， 用于建立所述标识和所述业务处理模块的映射关系；

发送单元， 用于向所述终端返回携带所述标识的第一隧道建立响应消息；

接收单元， 用于接收所述终端发送的携带所述标识的第二隧道建立请求消息； 第二分配单元， 用于根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所 述业务处理模块分配给所述终端。

6、 如权利要求 5所述的接入网关， 其特征在于， 所述标识是安全参数索引 SPI、 所述终 端的本地 IP地址或会话标识。

7、 一种终端， 其特征在于， 所述终端包括：

第一发送模块， 用于向接入网关发送第一隧道建立请求消息， 使所述接入网关为所述终 端分配一个标识和业务处理模块， 并建立所述标识和所述业务处理模块的映射关系；

接收模块， 用于接收所述接入网关返回的携带所述标识的第一隧道建立响应消息； 第二发送模块， 用于向所述接入网关发送携带所述标识的第二隧道建立请求消息， 使所 述接入网关根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模 块分配给所述终端。

8、 如权利要求 7所述的终端， 其特征在于， 所述标识是安全参数索引 SPI、 所述终端的 本地 IP地址或会话标识。

9、 一种隧道重协商的系统， 其特征在于， 所述系统包括： 终端和接入网关； 所述终端， 用于向所述接入网关发送第一隧道建立请求消息； 接收所述接入网关返回的 携带标识的第一隧道建立响应消息； 向所述接入网关发送携带所述标识的第二隧道建立请求 消息；

所述接入网关， 用于接收所述终端发送的第一隧道建立请求消息后， 为所述终端分配一 个标识和业务处理模块； 建立所述标识和所述业务处理模块的映射关系； 向所述终端返回携 带所述标识的第一隧道建立响应消息； 接收所述终端发送的携带所述标识的第二隧道建立请 求消息； 根据所述映射关系获取所述标识对应的所述业务处理模块， 并将所述业务处理模块 分配给所述终端。

10、 如权利要求 9所述的系统， 其特征在于， 所述标识是安全参数索引 SPI、 所述终端 的本地 IP地址或会话标识。