WO2019154017A1 - 多路径建立方法及装置 - Google Patents

Abstract

本申请公开了一种多路径建立方法及装置，属于通信技术领域。所述方法应用于代理设备，包括：对通过第一网络接入设备接入第一网络的终端进行身份验证，第一网络是通过基站实现通信；对通过第二网络接入设备接入第二网络的终端进行准入检查；在终端的身份验证和准入检查均通过后，在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，第一路径和所述第二路径用于在终端与业务服务器之间进行数据传输。本申请中在终端的身份验证和准入检查均通过后，才会建立终端与业务服务器之间的第一路径和第二路径，因而所建立的第一路径和第二路径的安全性较高，从而可以保证后续终端的数据传输安全。

Description

多路径建立方法及装置

本申请要求于2018年2月6日提交中国国家知识产权局、申请号为201810119602.7、发明名称为“多路径建立方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别涉及一种多路径建立方法及装置。

背景技术

随着通信技术的快速发展，网络信息量越来越大，终端所能支持的通信方式也越来越多，如终端通常可以同时支持无线保真(Wireless-Fidelity，Wi-Fi)通信和第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)通信。然而，传统的传输控制协议(Transmission Control Protocol，TCP)采用单路径传输，导致终端支持的多种通信方式无法同时为同一个业务服务，造成了资源浪费。为此，多路径传输控制协议(Multipath Transmission Control Protocol，MPTCP)应运而生，MPTCP通过提供多条路径来最大化资源的使用。

目前，终端通过MPTCP代理服务器实现多路径接入，具体地，终端与MPTCP代理服务器之间进行多路径的MPTCP传输，MPTCP代理服务器与终端需要进行的业务所在的业务服务器之间进行单路径的TCP传输。然而，这种情况下，终端所接入的多条路径的安全性无法保证，从而会严重影响终端的数据传输安全，因此，亟需一种可以提升数据传输的安全性的多路径建立方法。

发明内容

本申请提供了一种多路径建立方法及装置，可以解决相关技术中数据传输的安全性较低的问题。所述技术方案如下：

第一方面，提供了一种多路径建立方法，应用于代理设备，所述方法包括：

对通过第一网络接入设备接入第一网络的终端进行身份验证；

对通过第二网络接入设备接入第二网络的所述终端进行准入检查；

在所述终端的身份验证和准入检查均通过后，在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径，所述第一路径和所述第二路径用于在所述终端与所述业务服务器之间进行数据传输。

需要说明的是，第一网络接入设备用于接入第一网络，第一网络是通过基站实现通信，即第一网络可以为符合3GPP规范的网络，如第一网络可以为长期演进(Long Term Evolution，LTE)网络等。终端通过第一网络接入设备接入第一网络，即是终端对第一网络进行附着。

另外，第二网络接入设备用于接入第二网络，第二网络为第一网络之外的网络，第二网络不需通过基站来实现通信，即第二网络可以为不符合3GPP规范的网络，如第二网络可以为数字用户线路(Digital Subscriber Line，DSL)网络、Wi-Fi网络等。终端通过 第二网络接入设备接入第二网络，即是终端对第二网络进行附着。

再者，代理设备用于进行用户认证，即用于进行对终端的身份验证、准入检查等，实际应用中，代理设备可以是系统管理器或代理服务器。系统管理器管可以提供多代理服务器(即代理服务器集群)部署下对代理服务器的管理和分配，即系统管理器可以为终端分配较为合适的代理服务器。代理服务器用于实现终端在MPTCP下的多路径接入，即代理服务器可以提供MPTCP代理功能，代理服务器可以与终端之间进行MPTCP传输，与业务服务器之间进行TCP传输。

在本申请实施例中，在终端通过第一网络接入设备接入第一网络后，代理设备对终端进行身份验证，在终端通过第二网络接入设备接入第二网络后，代理设备对终端进行准入检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，因而代理设备在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，此时所建立的第一路径和第二路径的安全性较高，从而可以保证后续终端的数据传输安全。

其中，所述对通过第一网络接入设备接入第一网络的终端进行身份验证，包括：

接收所述第一网络接入设备发送的携带有第一网络地址的身份验证请求，所述第一网络地址是所述第一网络接入设备为所述终端分配的网络地址；

根据所述第一网络地址对所述终端进行身份验证，得到所述终端的身份验证结果。

在本申请实施例中，第一网络接入设备为终端分配的第一网络地址即为终端在第一网络中的互联网协议(Internet Protocol，IP)地址，代理设备可以根据第一网络接入设备为终端分配的第一网络地址来准确对终端进行身份验证，从而可以有效确定终端在第一网络中的合法性。

其中，所述对通过第二网络接入设备接入第二网络的所述终端进行准入检查，包括：

接收所述第二网络接入设备发送的携带有所述终端的物理地址的第一准入检查请求；

将携带有所述物理地址的登录状态查询请求发送给认证服务器，由所述认证服务器查询所述物理地址的登录状态；

接收所述认证服务器发送的所述物理地址的登录状态；

根据所述物理地址的登录状态，确定所述终端的准入检查结果。

需要说明的是，认证服务器用于提供网络安全中进行访问控制的安全管理机制，认证服务器可以记录有在认证服务器中进行接入认证成功的设备的物理地址的登录状态。

在本申请实施例中，代理设备通过从认证服务器中获取到的终端的物理地址的登录状态，可以获知终端当前是否正在连接第二网络，并据此准确实现对终端的准入检查，从而可以有效确定终端在第二网络中的合法性。

其中，所述在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径之后，还包括：

如果检测到所述第二路径在预设时长内未进行数据传输，则将携带有所述物理地址的登录状态查询请求发送给所述认证服务器，由所述认证服务器查询所述物理地址的登录状态；

接收所述认证服务器发送的所述物理地址的登录状态；

如果所述物理地址的登录状态为离线状态，则删除所述第二路径。

在本申请实施例中，当代理设备检测到第二路径在预设时长内未进行数据传输时，说 明终端已经较长时间未使用第二路径，因而此时可以触发终端下线查询，即可以从认证服务器中获取终端的物理地址的登录状态，当终端的物理地址的登录状态为离线状态时，说明此时终端未连接第二网络，因而代理设备可以删除第二路径，从而可以有效避免网络资源的浪费。

其中，所述对通过第二网络接入设备接入第二网络的所述终端进行准入检查，包括：

接收所述第二网络接入设备发送的携带有第二网络地址的第二准入检查请求，所述第二网络地址是所述第二网络接入设备为所述终端分配的网络地址；

根据所述第二网络地址和预设准入地址范围，确定所述终端的准入检查结果。

在本申请实施例中，第二网络接入设备为终端分配的第二网络地址即为终端在第二网络中的IP地址，代理设备可以根据第二网络接入设备为终端分配的第二网络地址来准确对终端进行准入检查，从而可以有效确定终端在第二网络中的合法性。

其中，所述在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径，包括：

接收所述终端发送的所述业务服务器的网络地址；

如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述第一网络上建立所述终端与所述业务服务器之间的第一路径，在所述第二网络上建立所述终端与所述业务服务器之间的第二路径。

在本申请实施例中，代理设备可以在业务白名单中包括业务服务器的网络地址，或者在业务黑名单中不包括业务服务器的网络地址的情况下，再在第一网络上建立终端与业务服务器之间的第一路径，在第二网络上建立终端与业务服务器之间的第二路径，此时所建立的第一路径和第二路径不仅安全性较高，而且满足业务接入需求，从而可以进一步地保证后续终端的数据传输安全。

第二方面，提供了一种多路径建立方法，应用于终端，所述方法包括：

在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，所述第一网络是通过基站实现通信；

在通过第二网络接入设备接入第二网络后，通过所述代理设备进行准入检查；

在身份验证和准入检查均通过后，获取业务服务器的网络地址；

如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述第一网络上建立与所述业务服务器之间的第一路径，在所述第二网络上建立与所述业务服务器之间的第二路径，所述业务白名单或所述业务黑名单是从所述代理设备中获取得到；

与所述业务服务器之间使用所述第一路径和所述第二路径中的至少一条路径进行数据传输。

在本申请实施例中，终端在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，终端在通过第二网络接入设备接入第二网络后，通过代理设备进行准入检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，此时终端可以获取业务服务器的网络地址。当业务白名单中包括业务服务器的网络地址，或者当业务黑名单中不包括业务服务器的网络地址时，终端在第一网络上建立与业务服务器之间的第一路径，并在第二网络上建立与业务服务器之间的第二路径，此时所建立的第一路径和第二路径不 仅安全性较高，而且满足业务接入需求，之后，终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输，从而可以有效保证终端的数据传输安全。

第三方面，提供了一种多路径建立装置，所述多路径建立装置具有实现上述第一方面中多路径建立方法行为的功能。所述多路径建立装置包括至少一个模块，所述至少一个模块用于实现上述第一方面所提供的多路径建立方法。

第四方面，提供了一种多路径建立装置，所述多路径建立装置具有实现上述第二方面中多路径建立方法行为的功能。所述多路径建立装置包括至少一个模块，所述至少一个模块用于实现上述第二方面所提供的多路径建立方法。

第五方面，提供了一种多路径建立装置，所述多路径建立装置的结构中包括处理器和存储器，所述存储器用于存储支持多路径建立装置执行上述第一方面所提供的多路径建立方法的程序，以及存储用于实现上述第一方面所述的多路径建立方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述多路径建立装置还可以包括通信总线，所述通信总线用于在所述处理器与所述存储器之间建立连接。

第六方面，提供了一种多路径建立装置，所述多路径建立装置的结构中包括处理器和存储器，所述存储器用于存储支持多路径建立装置执行上述第二方面所提供的多路径建立方法的程序，以及存储用于实现上述第二方面所述的多路径建立方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述多路径建立装置还可以包括通信总线，所述通信总线用于在所述处理器与所述存储器之间建立连接。

第七方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的多路径建立方法。

第八方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第二方面所述的多路径建立方法。

第九方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的多路径建立方法。

第十方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的多路径建立方法。

上述第三方面、第五方面、第七方面和第九方面所获得的技术效果与上述第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。

上述第四方面、第六方面、第八方面和第十方面所获得的技术效果与上述第二方面中对应的技术手段获得的技术效果近似，在这里不再赘述。

本申请提供的技术方案带来的有益效果是：在终端通过第一网络接入设备接入第一网络后，代理设备对终端进行身份验证，在终端通过第二网络接入设备接入第二网络后，代理设备对终端进行准入检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，因而可以在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，此时所建立的第一路径和第二路径的安全性较 高，之后，终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输，从而可以保证终端的数据传输安全。

附图说明

图1A是本申请实施例提供的一种通信系统的结构示意图；

图1B是本申请实施例提供的另一种通信系统的结构示意图；

图2A是本申请实施例提供的一种计算机设备的结构示意图；

图2B是本申请实施例提供的另一种计算机设备的结构示意图；

图3是本申请实施例提供的一种多路径建立方法的流程图；

图4A是本申请实施例提供的一种路径建立操作的流程图；

图4B是本申请实施例提供的一种路径删除操作的流程图；

图4C是本申请实施例提供的一种终端获取业务策略操作的流程图；

图4D是本申请实施例提供的一种业务策略更新操作的流程图；

图4E是本申请实施例提供的一种业务策略控制操作的流程图；

图4F是本申请实施例提供的另一种业务策略控制操作的流程图；

图5A是本申请实施例提供的一种多路径建立装置的结构示意图；

图5B是本申请实施例提供的一种身份验证模块的结构示意图；

图5C是本申请实施例提供的一种准入检查模块的结构示意图；

图5D是本申请实施例提供的另一种多路径建立装置的结构示意图；

图5E是本申请实施例提供的另一种准入检查模块的结构示意图；

图5F是本申请实施例提供的一种路径建立模块的结构示意图；

图6是本申请实施例提供的又一种多路径建立装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请的实施方式作进一步地详细描述。

在对本申请实施例进行详细地解释说明之前，对本申请实施例涉及的系统架构予以说明。

参见图1A，本申请实施例涉及的通信系统包括终端101、第一网络接入设备102、第二网络接入设备103和代理设备104。

其中，终端101可以通过第一网络接入设备102接入第一网络，且可以通过第二网络接入设备103接入第二网络；第一网络接入设备102在终端101接入第一网络后，可以通过代理设备104对终端101进行身份验证，且第二网络接入设备103在终端101接入第二网络后，可以通过代理设备104对终端101进行准入检查；在终端101的身份验证和准入检查均通过后，可以在第一网络上建立终端101与业务服务器之间的第一路径，并在第二网络上建立终端101与业务服务器之间的第二路径；终端101与业务服务器之间可以使用第一路径和第二路径之中的至少一条路径进行数据传输。

进一步地，参见图1B，该通信系统中还可以包括代理服务器105和业务服务器106。

在建立终端101与业务服务器106之间的第一路径和第二路径时，可以先在第一网络 上建立终端101与代理服务器105之间的一条子流，在第二网络上建立终端101与代理服务器105之间的另一条子流，再建立代理服务器105与业务服务器106之间的连接，从而实现终端101与业务服务器106之间的第一路径和第二路径的建立。此时终端101与代理服务器105之间为MPTCP传输，代理服务器105与业务服务器106之间为TCP传输，从而使得终端101可以通过多路径与业务服务器106进行业务。

图2A是本申请实施例提供的一种计算机设备的结构示意图，该计算机设备可以是图1A中所示的代理设备104。参见图2A，该计算机设备包括至少一个处理器2011，通信总线2021，存储器2031以及至少一个通信接口2041。

处理器2011可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信总线2021可包括一通路，在上述组件之间传送信息。

存储器2031可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器2031可以是独立存在，通过通信总线2021与处理器2011相连接。存储器2031也可以和处理器2011集成在一起。

通信接口2041，使用任何收发器一类的装置，用于与其它设备或通信网络通信，如以太网，无线接入网(Radio Access Network，RAN)，无线局域网(Wireless Local Area Networks，WLAN)等。

在具体实现中，作为一种实施例，处理器2011可以包括一个或多个CPU，例如图2A中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，计算机设备可以包括多个处理器，例如图2A中所示的处理器2011和处理器2051。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，存储器2031用于存储执行本申请方案的程序代码2101，处理器2011用于执行存储器2031中存储的程序代码2101。该计算机设备可以通过处理器2011以及存储器2031中的程序代码2101，来实现下文图3实施例提供的多路径建立方法中由代理设备执行的操作。

图2B是本申请实施例提供的一种计算机设备的结构示意图，该计算机设备可以是图1A或图1B中所示的终端101。参见图2B，该计算机设备包括至少一个处理器2012，通信总线2022，存储器2032以及至少一个通信接口2042。

处理器2012可以是一个通用CPU，微处理器，ASIC，或一个或多个用于控制本申请 方案程序执行的集成电路。

通信总线2022可包括一通路，在上述组件之间传送信息。

存储器2032可以是ROM或可存储静态信息和指令的其它类型的静态存储设备，RAM或者可存储信息和指令的其它类型的动态存储设备，也可以是EEPROM、CD-ROM或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器2032可以是独立存在，通过通信总线2022与处理器2012相连接。存储器2032也可以和处理器2012集成在一起。

通信接口2042，使用任何收发器一类的装置，用于与其它设备或通信网络通信，如以太网，RAN，WLAN等。

在具体实现中，作为一种实施例，处理器2012可以包括一个或多个CPU，例如图2B中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，计算机设备可以包括多个处理器，例如图2B中所示的处理器2012和处理器2052。这些处理器中的每一个可以是一个single-CPU，也可以是一个multi-CPU。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，计算机设备还可以包括输出设备2062和输入设备2072。输出设备2062和处理器2012通信，可以以多种方式来显示信息。例如，输出设备2062可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备2072和处理器2012通信，可以以多种方式接收用户的输入。例如，输入设备2072可以是鼠标、键盘、触摸屏设备或传感设备等。

其中，存储器2032用于存储执行本申请方案的程序代码2102，处理器2012用于执行存储器2032中存储的程序代码2102。该计算机设备可以通过处理器2012以及存储器2032中的程序代码2102，来实现下文图3实施例提供的多路径建立方法中由终端执行的操作。

图3是本申请实施例提供的一种多路径建立方法的流程图。参见图3，该方法包括：

步骤301：代理设备对通过第一网络接入设备接入第一网络的终端进行身份验证。

需要说明的是，第一网络接入设备用于接入第一网络，如第一网络接入设备可以为公用数据网网关(Public Data Network Gateway，PGW)、服务网关(Serving Gateway，SGW)等。

另外，第一网络是通过基站实现通信，即第一网络可以为符合3GPP规范的网络，如第一网络可以为LTE网络等。终端通过第一网络接入设备接入第一网络，即是终端对第一网络进行附着。

再者，代理设备用于进行用户认证，即用于进行对终端的身份验证、准入检查等，实际应用中，代理设备可以是系统管理器或代理服务器。系统管理器可以称为MP-manager，系统管理器可以提供多代理服务器(即代理服务器集群)部署下对代理服务器的管理和分配，即系统管理器可以为终端分配较为合适的代理服务器，如可以将与第一网络接入设备 距离较近的代理服务器分配给终端来使用。代理服务器用于实现终端在MPTCP下的多路径接入，即代理服务器可以提供MPTCP代理功能，代理服务器可以与终端之间进行MPTCP传输，与业务服务器之间进行TCP传输，如代理服务器可以为多路径网关(Multipath Gateway，MPGW)、混合接入网关(Hybrid Access Gateway，HAG)等。

具体地，步骤301的操作可以为：在终端通过第一网络接入设备接入第一网络后，第一网络接入设备为终端分配第一网络地址；第一网络接入设备将携带有第一网络地址的身份验证请求发送给代理设备；当代理设备接收到该身份验证请求时，根据第一网络地址对终端进行身份验证，得到终端的身份验证结果。

需要说明的是，第一网络接入设备为终端分配的第一网络地址即为终端在第一网络中的IP地址，如第一网络地址可以为互联网协议第4版(Internet Protocol Version 4，IPv4)地址、互联网协议第6版(Internet Protocol Version 6，IPv6)地址等，本申请实施例对此不作限定。

另外，第一网络接入设备将携带有第一网络地址的身份验证请求发送给代理设备的过程可以基于远程用户拨号认证系统(Remote Authentication Dial In User Service，RADIUS)抄送机制实现，此时该身份验证请求可以为RADIUS消息，第一网络接入设备使用该RADIUS消息向代理设备通告第一网络地址。

其中，代理设备根据第一网络地址对终端进行身份验证，得到终端的身份验证结果时，代理设备可以当第一网络地址在预设网络地址范围内时，确定终端的身份验证通过，当第一网络地址不在预设网络地址范围内时，确定终端的身份验证未通过，以得到终端的身份验证结果。

需要说明的是，预设网络地址范围可以预先进行设置，且可以根据运营商的网络情况及应用策略来进行设置，如预设网络地址范围内的网络地址可以为预先确定的一些安全性较高的网络地址等，本申请实施例对此不作限定。

需要说明的是，实际应用中，该身份验证请求中不仅可以携带第一网络地址，还可以携带与终端身份相关的其它信息，如还可以携带终端的国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)、接入点名称(Access Point Name，APN)等，之后，代理设备可以根据该身份验证请求中携带的第一网络地址和这些与终端身份相关的其它信息对终端进行身份验证，得到终端的身份验证结果。

步骤302：代理设备对通过第二网络接入设备接入第二网络的终端进行准入检查。

需要说明的是，第二网络接入设备用于接入第二网络，如第二网络接入设备可以为宽带远程接入服务器(Broadband Remote Access Server，BRAS)、宽带网络网关(Broadband Network Gateway，BNG)、演进分组数据网关(evolution Packet Data Gateway，ePDG)、透明网关(Transparent Gateway，TGW)等。

另外，第二网络为第一网络之外的网络，第二网络不需通过基站来实现通信，即第二网络可以为不符合3GPP规范的网络，如第二网络可以为DSL网络、Wi-Fi网络等，且当第二网络为Wi-Fi网络时，第二网络可以为自建Wi-Fi网络，也可以为合作Wi-Fi网络。终端通过第二网络接入设备接入第二网络，即是终端对第二网络进行附着。

具体地，步骤302的操作可以包括如下两种方式。

第一种方式：在终端通过第二网络接入设备接入第二网络后，第二网络接入设备获取终端的物理地址，将携带有该物理地址的第一准入检查请求发送给代理设备；当代理设备 接收到第一准入检查请求时，将携带有该物理地址的登录状态查询请求发送给认证服务器；当认证服务器接收到该登录状态查询请求时，查询该物理地址的登录状态，并将该物理地址的登录状态发送给代理设备；当代理设备接收到该物理地址的登录状态时，根据该物理地址的登录状态，确定终端的准入检查结果。

需要说明的是，认证服务器用于提供网络安全中进行访问控制的安全管理机制，认证服务器可以记录有在认证服务器中进行接入认证成功的设备的物理地址的登录状态，如认证服务器可以为认证授权计费(Authentication Authorization Accounting，AAA)服务器等。

另外，某个设备在尝试接入第二网络时，需要在认证服务器中进行接入认证，且当该设备在该认证服务器中进行接入认证成功时，认证服务器中将会记录该设备的物理地址的登录状态，且当该设备的物理地址的登录状态为在线状态时，表明该设备当前已连接第二网络，当该设备的物理地址的登录状态为离线状态时，表明该设备当前未连接第二网络。

再者，终端的物理地址即为终端的硬件地址，也称介质访问控制(Media Access Control，MAC)地址，终端的物理地址可以唯一标识终端。

其中，代理设备根据该物理地址的登录状态，确定终端的准入检查结果时，代理设备可以当终端的物理地址的登录状态为在线状态时，确定终端的准入检查通过，当终端的物理地址的登录状态为离线状态时，确定终端的准入检查未通过，以得到终端的准入检查结果。

其中，第二网络接入设备获取终端的物理地址时，第二网络接入设备可以主动从终端中获取终端的物理地址。或者，终端也可以主动将终端的物理地址发送给第二网络接入设备，这种情况下，终端可以先获取代理设备的地址，再根据代理设备的地址，将终端的物理地址上报到代理设备，终端将终端的物理地址上报到代理设备的过程，即为终端将终端的物理地址主动发送给第二网络接入设备，再由第二网络接入设备将携带有该物理地址的第一准入检查请求发送给代理设备的过程。

其中，终端获取代理设备的地址时，可以向第一网络接入设备或第二网络接入设备发送携带有代理设备的域名的地址查询请求；当第一网络接入设备或第二网络接入设备接收到该地址查询请求时，如果已存储代理设备的地址，则将代理设备的地址发送给终端，如果未存储代理设备的地址，则从域名服务器中获取代理设备的域名对应的地址，将获取到的地址作为代理设备的地址发送给终端。

第二种方式：在终端通过第二网络接入设备接入第二网络后，第二网络接入设备为终端分配第二网络地址；第二网络接入设备将携带有第二网络地址的第二准入检查请求发送给代理设备；当代理设备接收到第二准入检查请求时，根据第二网络地址和预设准入地址范围，确定终端的准入检查结果。

需要说明的是，第二网络接入设备为终端分配的第二网络地址即为终端在第二网络中的IP地址，如第二网络地址可以为IPv4地址、IPv6地址等，本申请实施例对此不作限定。

另外，预设准入地址范围可以预先进行设置，且可以根据运营商的网络情况及应用策略来进行设置，如预设准入地址范围可以包括161.1.1.0-161.1.1.255、161.1.2.0-161.1.2.255、10.111.0.0-10.111.255.255等。

其中，代理设备根据第二网络地址和预设准入地址范围，确定终端的准入检查结果时， 代理设备可以当第二网络地址位于预设准入地址范围内时，确定终端的准入检查通过，当第二网络地址位于预设准入地址范围之外时，确定终端的准入检查未通过，以得到终端的准入检查结果。

步骤303：在终端的身份验证和准入检查均通过后，在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径。

需要说明的是，第一路径和第二路径用于在终端与业务服务器之间进行数据传输，即在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径之后，终端与业务服务器之间可以使用第一路径和第二路径中的至少一条路径来进行数据传输。

另外，当终端的身份验证和准入检查均通过时，表明终端的多路径接入合法，在此情况下，当终端需要与业务服务器进行业务时，即可在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，此时建立的第一路径和第二路径的安全性较高，从而可以保证后续终端的数据传输安全。

值得注意的是，在终端的身份验证和准入检查均通过后，代理设备可以生成与第一网络地址和第二网络地址对应的第三地址来分配给终端。后续在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径的过程，即是终端通过代理服务器与业务服务器建立路径的过程，也即是，终端根据第一网络地址建立与代理服务器之间的一条子流，并根据第二网络地址建立与代理服务器之间的另一条子流，代理服务器根据第三地址建立与业务服务器之间的连接，以实现终端与业务服务器之间的第一路径和第二路径的建立。

另外，第三地址为终端的通用IP地址，第三地址可以在代理服务器与业务服务器之间建立连接时进行使用，如第三地址可以为IPv4地址、IPv6地址等，本申请实施例对此不作限定。

具体地，在终端的身份验证和准入检查均通过后，可以直接在第一网络上建立终端与业务服务器之间的第一路径，并直接在第二网络上建立终端与业务服务器之间的第二路径；当然，也可以根据预设的业务策略，来在第一网络上建立终端与业务服务器之间的第一路径，在第二网络上建立终端与业务服务器之间的第二路径，此时该路径建立操作可以包括如下方式1或方式2。

方式1：终端获取业务服务器的网络地址；如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则终端在第一网络上建立与业务服务器之间的第一路径，在第二网络上建立与业务服务器之间的第二路径。

进一步地，如果存储的业务白名单中不包括业务服务器的网络地址，或者如果存储的业务黑名单中包括业务服务器的网络地址，则终端不在第一网络上建立与业务服务器之间的第一路径，且不在第二网络上建立与业务服务器之间的第二路径，而是回落到传统的TCP建链流程，建立与业务服务器之间的单路径。

需要说明的是，业务白名单中存储有可以进行多路径加速的业务所在的业务服务器的网络地址，也即是，对于业务白名单中存储的网络地址指示的业务服务器，当终端需要与此业务服务器进行业务时，可以直接按照MPTCP建链流程，进行多路径建链和分流传输的正常处理。

另外，业务黑名单中存储有不可以进行多路径加速的业务所在的业务服务器的网络地址，也即是，对于业务黑名单中存储的网络地址指示的业务服务器，当终端需要与此业务服务器进行业务时，不能够进行多路径建立，而是需要按照传统的TCP建链流程，进行单路径建链和单流传输的处理。

需要说明的是，为了便于终端通过代理服务器与业务服务器建立路径，在终端的身份验证和准入检查均通过后，代理设备在将第三地址分配给终端的同时，还可以将代理服务器的接收端口号发送给终端。具体地，如果代理设备是代理服务器，则代理设备可以将本地接收端口号发送给终端，以便后续终端根据该接收端口号建立与代理设备之间的子流，继而建立与业务服务器之间的路径；如果代理设备为系统管理器，则代理设备可以为终端分配代理服务器，并将该代理服务器的地址和接收端口号发送给终端，以便后续终端根据该代理服务器的地址和接收端口号建立与该代理服务器之间的子流，继而建立与业务服务器之间的路径。

其中，代理设备为终端分配代理服务器时，代理设备可以获取第一网络接入设备的地址，根据第一网络接入设备的地址，从所管理的多个代理服务器中选择一个代理服务器分配给终端，如可以选择一个与第一网络接入设备距离最近的代理服务器分配给终端。

其中，代理设备获取第一网络接入设备的地址时，代理设备可以主动从第一网络接入设备中获取第一网络接入设备的地址，或者，第一网络接入设备也可以主动将第一网络接入设备的地址发送给代理设备。

其中，第一网络接入设备主动将第一网络接入设备的地址发送给代理设备的过程可以基于RADIUS抄送机制实现，此时第一网络接入设备可以使用RADIUS消息向代理设备通告第一网络接入设备的地址，这种情况下，为了减少交互次数，第一网络接入设备可以将第一网络接入设备的地址和步骤301中进行终端的身份验证所需的第一网络地址携带于一个RADIUS消息中来抄送给代理设备。

进一步地，在步骤303之前，即在终端通过第一网络接入设备接入第一网络，且通过第二网络接入设备接入第二网络后，终端还可以从代理设备中获取业务白名单或业务黑名单。具体地，终端可以向代理设备发送策略控制请求(Policy Control Request，PCR)，当代理设备接收到该PCR时，可以将存储的业务白名单或业务黑名单发送给终端。这种情况下，为了减少交互次数，终端可以将步骤302的第一种方式中进行终端的准入检查所需的终端的物理地址携带于该PCR中来发送给代理设备。

方式2：终端获取业务服务器的网络地址，并将业务服务器的网络地址发送给代理设备；当代理设备接收到业务服务器的网络地址时，如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则在第一网络上建立终端与业务服务器之间的第一路径，在第二网络上建立终端与业务服务器之间的第二路径。

其中，如果代理设备是代理服务器，则终端将业务服务器的网络地址发送给代理设备时，终端可以是在建立与业务服务器之间的目标路径的过程中，将业务服务器的网络地址发送给代理设备。当代理设备接收到业务服务器的网络地址时，如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则继续建立终端与业务服务器之间的目标路径，并在其后建立终端与业务服务器之间的除目标路径之外的路径，而如果存储的业务白名单中不包括业务服务器的网络地址，或者如 果存储的业务黑名单中包括业务服务器的网络地址，则中断终端与业务服务器之间的目标路径的建立，且不进行终端与业务服务器之间的除目标路径之外的路径的建立，而是指示终端回落到传统的TCP建链流程，由终端建立与业务服务器之间的单路径。

需要说明的是，目标路径为第一路径和第二路径中需要优先建立的路径，目标路径之外的路径为第一路径和第二路径中除目标路径之外的另一条路径。

另外，终端在建立与业务服务器之间的目标路径的过程中，将业务服务器的网络地址发送给代理设备时，终端可以是在建立与代理设备之间的第一条子流的过程中，将业务服务器的网络地址发送给代理设备，或者终端可以是在建立完成与代理设备之间的第一条子流后，将业务服务器的网络地址发送给代理设备，本申请实施例对此不作限定。

再者，当代理设备是代理服务器时，为了便于终端通过代理设备与业务服务器建立路径，在终端的身份验证和准入检查均通过后，代理设备在将第三地址分配给终端的同时，还可以将本地接收端口号发送给终端，以便后续终端可以根据该接收端口号建立与代理设备之间的子流，继而建立与业务服务器之间的路径。

其中，如果代理设备为系统管理设备，则终端将业务服务器的网络地址发送给代理设备时，终端可以是在建立与业务服务器之间的目标路径之前，将业务服务器的网络地址发送给代理设备。当代理设备接收到业务服务器的网络地址时，如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则系统管理器为终端分配代理服务器，并将该代理服务器的地址和接收端口号发送给终端，以便终端根据该代理服务器的地址和接收端口号建立与该代理服务器之间的两条子流，继而建立与业务服务器之间的第一路径和第二路径，而如果存储的业务白名单中不包括业务服务器的网络地址，或者如果存储的业务黑名单中包括业务服务器的网络地址，则代理设备指示终端回落到传统的TCP建链流程，由终端建立与业务服务器之间的单路径。

值得说明的是，实际应用中，上述方式1和方式2可以同时使用，且当方式1和方式2的业务策略结果不一致时，可以优先以方式2的业务策略结果为准，本申请实施例对此不作限定。

另外，代理设备中存储的业务白名单或业务黑名单可以是由代理设备自己生成得到，也可以是由其它设备动态下发得到，如可以是由策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)动态下发得到，本申请实施例对此不作限定。

再者，当业务白名单或业务黑名单是由代理设备自己生成得到时，如果代理设备对存储的业务白名单或业务黑名单进行更新，则在更新完成后，代理设备可以主动将更新后的业务白名单或业务黑名单发送给终端。当业务白名单或业务黑名单是由其它设备动态下发得到时，如果该其它设备对存储的业务白名单或业务黑名单进行更新，则在更新完成后，该其它设备可以将更新后的业务白名单或业务黑名单发送给代理设备，代理设备接收到更新后的业务白名单或业务黑名单时，可以将更新后的业务白名单或业务黑名单发送给终端。

进一步地，在步骤303之后，还可以删除第一路径或第二路径。

其中，删除第一路径时，终端可以向第一网络接入设备发送第一路径删除请求，当第一网络接入设备接收到第一路径删除请求时，可以删除第一路径；或者，当代理服务器或系统管理设备检测到第一路径在预设时长内未进行数据传输时，可以删除第一路径。

其中，删除第二路径时，终端可以向第二网络接入设备发送第二路径删除请求，当第二网络接入设备接收到第二路径删除请求时，可以删除第二路径；或者，当代理服务器或 系统管理设备检测到第二路径在预设时长内未进行数据传输时，可以删除第二路径；或者，当代理服务器或系统管理设备检测到第二路径在预设时长内未进行数据传输时，可以将携带有终端的物理地址的登录状态查询请求发送给认证服务器，当认证服务器接收到该登录状态查询请求时，查询该物理地址的登录状态，并将该物理地址的登录状态发送给代理服务器或系统管理设备，当代理服务器或系统管理设备接收到该物理地址的登录状态时，如果该物理地址的登录状态为离线状态，则删除第二路径。

需要说明的是，预设时长可以预先进行设置，且预设时长可以设置的较长，如预设时长可以为1小时、2小时、3小时等。

另外，当代理服务器或系统管理设备检测到第一路径或第二路径在预设时长内未进行数据传输时，说明终端已经较长时间未使用第一路径或第二路径，因而此时可以直接删除第一路径或第二路径，或者对于第二路径，还可以进一步进行确认，即代理服务器或系统管理设备可以获取终端的物理地址的登录状态，当终端的物理地址的登录状态为离线状态时，说明此时终端未连接第二网络，因而可以删除第二路径。

再者，当是第一网络接入设备删除第一路径时或是第二网络接入设备删除第二路径时，第一网络接入设备或第二网络接入设备可以向系统管理设备和代理服务器发送路径删除通知消息，以便系统管理设备和代理服务器均可以在特定的时长后(如可以在业务保活定时器到时后)删除第一路径的上下文资源或第二路径的上下文资源。当是代理服务器或系统管理设备中的一方删除第一路径或第二路径时，可以向另一方发送路径删除通知，以便系统管理设备和代理服务器均可以在特定的时长后删除第一路径的上下文资源或第二路径的上下文资源。

在本申请实施例中，在终端通过第一网络接入设备接入第一网络后，代理设备对终端进行身份验证，在终端通过第二网络接入设备接入第二网络后，代理设备对终端进行准入检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，因而可以在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，此时所建立的第一路径和第二路径的安全性较高，之后，终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输，从而可以保证终端的数据传输安全。

值得注意的是，上述图3实施例提供的多路径建立方法中主要涉及路径建立操作、路径删除操作、终端获取业务策略操作、业务策略更新操作和业务策略控制操作，接下来以代理设备是代理服务器为例，对这六个操作分别进行详细地举例说明。

路径建立操作

参见图4A，路径建立操作可以包括如下步骤1-步骤8。

步骤1(包括步骤11-步骤14)：终端通过第一网络接入设备接入第一网络，即终端附着第一网络。

终端对第一网络的附着过程可以通过策略与计费控制(Policy and Charging Control，PCC)流程实现。具体地，在步骤11中，终端向第一网络接入设备发送第一附着请求；在步骤12中，当第一网络接入设备接收到第一附着请求后，向PCRF发送携带有终端信息的信用控制请求(Credit-Control-Request，CCR)；在步骤13中，PCRF接收到该CCR后，基于该终端信息对终端进行接入认证，并在接入认证成功后，向第一网络接入设备返回信 用控制应答(Credit-Control-Answer，CCA)；在步骤14中，当第一网络接入设备接收到该CCA时，为终端分配第一网络地址，并向终端发送携带有第一网络地址的第一附着响应，此时终端即接入第一网络。

需要说明的是，终端信息为与终端身份相关的信息，如终端信息可以包括终端的IMSI、APN等信息，本申请实施例对此不作限定。

步骤2(包括步骤21-步骤22)：代理服务器对终端进行身份验证。

具体地，在步骤21中，第一网络接入设备将第一网络地址携带于RADIUS消息中抄送给代理服务器；在步骤22中，当代理服务器接收到该RADIUS消息时，根据第一网络地址对终端进行身份验证，得到终端的身份验证结果。

步骤3(包括步骤31-步骤34)：终端通过第二网络接入设备接入第二网络，即终端附着第二网络。

具体地，在步骤31中，终端向第二网络接入设备发送第二附着请求；在步骤32中，当第二网络接入设备接收到第二附着请求后，向认证服务器发送终端认证请求；在步骤33中，当认证服务器接收到该终端认证请求时，对终端进行接入认证，并在接入认证成功后，向第二网络接入设备返回认证响应；在步骤34中，当第二网络接入设备接收到该认证响应时，为终端分配第二网络地址，并向终端发送携带有第二网络地址的第二附着响应，此时终端即接入第二网络。

步骤4(包括步骤41-步骤43)：终端获取代理服务器的地址。

具体地，在步骤41中，终端向第一网络接入设备发送携带有代理服务器的域名的地址查询请求；在步骤42中，当第一网络接入设备接收到该地址查询请求时，直接获取存储的代理服务器的地址，或者从域名服务器中获取代理服务器的域名对应的地址作为代理服务器的地址；在步骤43中，第一网络接入设备将代理服务器的地址携带于地址查询应答中发送给终端。

步骤5(包括步骤51-步骤55)：代理服务器对终端进行准入检查。

具体地，终端根据代理服务器的地址，将终端的物理地址上报给代理服务器，即在步骤51中，终端根据代理服务器的地址，将终端的物理地址发送给第二网络接入设备，然后在步骤52中，由第二网络接入设备将携带有终端的物理地址的第一准入检查请求发送给代理服务器；在步骤53中，当代理服务器接收到终端的物理地址时，将携带有终端的物理地址的登录状态查询请求发送给认证服务器；在步骤54中，当认证服务器接收到该登录状态查询请求时，查询终端的物理地址的登录状态，并将终端的物理地址的登录状态发送给代理服务器；在步骤55中，当代理服务器接收到终端的物理地址的登录状态时，根据终端的物理地址的登录状态，确定终端的准入检查结果。

步骤6(包括步骤61-步骤63)：在终端的身份验证和准入检查均通过时，代理服务器为终端分配第三地址。

具体地，在步骤61中，在终端的身份验证和准入检查均通过后，代理服务器生成与第一网络地址和第二网络地址对应的第三地址；在步骤62中，代理服务器将第三地址发送给终端；在步骤63中，当终端接收到第三地址时，记录第三地址为第一网络地址和第二网络地址的别名。

步骤7：当终端需要与业务服务器进行业务时，建立终端与业务服务器之间的第一路径和第二路径。

步骤8：终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输。

路径删除操作

需要说明的是，在上述步骤7之后，还可以对第一路径和第二路径进行删除，参见图4B，路径删除操作可以包括如下步骤9-步骤12。

步骤9(包括步骤91-步骤93)：第一网络接入设备删除第一路径。

具体地，在步骤91中，终端向第一网络接入设备发送第一路径删除请求；在步骤92中，当第一网络接入设备接收到第一路径删除请求时，与PCRF之间使用IP连接访问网络(IP-Connectivity Access Network，IP-CAN)会话终止终端与第一网络之间的关联；在步骤93中，第一网络接入设备向终端发送第一路径删除应答。

步骤10：第一网络接入设备向代理服务器发送路径删除通知消息。

需要说明的是，该路径删除通知消息可以为RADIUS消息，且路径删除通知消息中可以携带终端信息、第一网络地址、第一网络接入设备的地址、原因值等。

步骤11(包括步骤111-113)：代理服务器删除第二路径。

具体地，在步骤111中，当代理服务器检测到第二路径在预设时长内未进行数据传输时，触发终端下线查询；在步骤112中，代理服务器将携带有终端的物理地址的登录状态查询请求发送给认证服务器；在步骤113中，当认证服务器接收到该登录状态查询请求时，查询终端的物理地址的登录状态，并将终端的物理地址的登录状态发送给代理服务器；在步骤114中，当代理服务器接收到终端的物理地址的登录状态时，如果终端的物理地址的登录状态为离线状态，则删除第二路径。

步骤12：代理服务器在特定的时长后删除第一路径和第二路径的上下文资源。

终端获取业务策略操作

需要说明的是，上述步骤7中在建立终端与业务服务器之间的第一路径和第二路径时，终端可以根据预设的业务策略来建立与业务服务器之间的第一路径和第二路径，此时终端需要预先获取业务策略。终端获取业务策略操作可以在终端已经接入第一网络和第二网络后执行，即可以在上述步骤1和步骤3之后执行，且可以在建立与业务服务器之间的第一路径和第二路径之前执行，即可以在上述步骤7之前执行。参见图4C，终端获取业务策略操作可以包括如下步骤131-步骤134。

步骤131：终端向代理服务器发送PCR。

需要说明的是，为了减少交互次数，实际应用中，终端还可以将上述步骤5中用于进行终端的准入检查的终端的物理地址携带于该PCR中发送给代理服务器。此时终端将该PCR发送给代理服务器的过程，即是终端将该PCR发送给第二网络接入设备，再由第二网络接入设备将该PCR发送给代理服务器的过程，这种情况下，该PCR即为上述步骤5中的第一准入检查请求。

步骤132：当代理服务器接收到该PCR时，如果未存储业务白名单和业务黑名单，则向PCRF发送携带有终端信息的CCR。

步骤133：当PCRF接收到该CCR时，向代理服务器发送携带有该终端信息对应的业务白名单或业务黑名单的CCA。

步骤134：当代理服务器接收到该CCA时，对业务白名单或业务黑名单进行存储，并将业务白名单或业务黑名单携带于策略控制应答(Policy Control Answer，PCA)中发送 给终端。

需要说明的是，当该PCR中还携带有终端的物理地址时，代理服务器接收到该PCR后，不仅可以与PCRF交互获得业务白名单和业务黑名单，还可以与认证服务器交互获得终端的物理地址的登录状态，并据此确定终端的准入检查结果。

这种情况下，当终端的准入检查通过时，代理服务器向终端返回的PCA中不仅可以携带业务白名单或业务黑名单，还可以携带第三地址、接收端口号等用于支持终端后续的多路径建立的信息。

业务策略更新操作

需要说明的是，生成业务策略的设备还可以对业务策略进行更新，并将更新后的业务策略发送给有使用该业务策略的需求的设备。参见图4D，业务策略更新操作可以包括如下步骤141-步骤144。

步骤141：PCRF对存储的业务白名单或业务黑名单进行更新，在更新完成后，将更新后的业务白名单或业务黑名单携带于重新认证请求(Re-Auth-Request，RAR)中发送给代理服务器。

步骤142：当代理服务器接收到该RAR时，向PCRF返回重新认证应答(Re-Auth-Answer，RAA)，并更新存储的业务白名单或业务黑名单。

步骤143：代理服务器将更新后的业务白名单或业务黑名单携带于策略更新请求(Policy-Update-Request，PUR)发送给终端。

步骤144：当终端接收到该PUR时，向代理服务器返回策略更新应答(Policy-Update-Answer，PUA)，并更新存储的业务白名单或业务黑名单。

业务策略控制操作

需要说明的是，在实现上述步骤7时，终端或者代理服务器可以根据预设的业务策略，来建立终端与业务服务器之间的第一路径和第二路径。此处以代理服务器根据预设的业务策略，建立终端与业务服务器之间的第一路径和第二路径为例来进行说明，此时业务策略控制操作可以包括如下两种情况：参见图4E，第一种情况包括如下步骤15-步骤16；参见图4F，第二种情况包括如下步骤17-步骤18。

第一种情况：

步骤15(包括步骤151-步骤154)：终端在建立与代理服务器之间的第一条子流的过程中，将业务服务器的网络地址发送给代理服务器，并完成终端与代理服务器之间的第一条子流的建立。

具体地，在步骤151中，终端向代理服务器发送携带有终端的连接密钥(Key-A)和业务服务器的网络地址的SYN MP_CAPABLE消息；在步骤152中，当代理服务器接收到该SYN MP_CAPABLE消息时，向终端返回携带有代理服务器的连接密钥(Key-B)的SYN ACK MP_CAPABLE消息；在步骤153中，当终端接收到该SYN ACK MP_CAPABLE消息时，向代理服务器发送携带有终端的连接密钥(Key-A)和代理服务器的连接密钥(Key-B)的ACK MP_CAPABLE消息，以完成终端与代理服务器之间的第一条子流的建立。

进一步地，当代理服务器接收到该ACK MP_CAPABLE消息时，还可以将携带有用于第二条子流建链的代理服务器的网络地址和端口号的ACK ADDR_ADDR消息发送给终端，以便后续终端可以据此建立与代理服务器之间的第二条子流。

步骤16(包括步骤161-步骤165)：当代理服务器接收到业务服务器的网络地址时， 对终端的路径建立进行业务策略控制。

具体地，在步骤161中，如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则代理服务器建立与业务服务器之间的连接；在步骤162中，终端向代理服务器发送携带有代理服务器的令牌(Token-B)和终端号码(RA)的SYN MP_JOIN消息；在步骤163中，当代理服务器接收到该SYN MP_JOIN消息时，向终端返回携带有代理服务器的物理地址(MAC-B)和代理服务器号码(RB)的SYN ACK MP_JOIN消息；在步骤164中，当终端接收到该SYN ACK MP_JOIN消息时，向代理服务器返回携带有终端的物理地址(MAC-A)的ACK MP_JOIN消息；在步骤165中，当代理服务器接收到该ACK MP_JOIN消息时，向终端返回ACK消息，以完成终端与代理服务器之间的第二条子流的建立。

第二种情况：

步骤17(包括步骤171-步骤175)：终端在建立完成与代理服务器之间的第一条子流后，将业务服务器的网络地址发送给代理服务器。

具体地，在步骤171中，终端向代理服务器发送携带有终端的连接密钥(Key-A)的SYN MP_CAPABLE消息；在步骤172中，当代理服务器接收到该SYN MP_CAPABLE消息时，向终端返回携带有代理服务器的连接密钥(Key-B)的SYN ACK MP_CAPABLE消息；在步骤173中，当终端接收到该SYN ACK MP_CAPABLE消息时，向代理服务器发送携带有终端的连接密钥(Key-A)和代理服务器的连接密钥(Key-B)的ACK MP_CAPABLE消息，以完成终端与代理服务器之间的第一条子流的建立；在步骤174中，终端将携带有业务服务器的网络地址的ACK MP_EXTENSION_FIELD消息发送给代理服务器；在步骤175中，当代理服务器接收到该ACK MP_EXTENSION_FIELD消息时，向终端发送MP_EXTENSION_ACK消息。

步骤18(包括步骤181-步骤182)：当代理服务器接收到业务服务器的网络地址时，对终端的路径建立进行业务策略控制。

具体地，在步骤181中，如果存储的业务白名单中不包括业务服务器的网络地址，或者如果存储的业务黑名单中包括业务服务器的网络地址，则代理服务器向终端发送携带有断链指示和错误码的ACK MP_FASTCLOSE ERR_CODE消息，从而断开与终端之间的第一条子流，且不进行与终端之间的第二条子流的建立；在步骤182中，当终端接收到该ACK MP_FASTCLOSE ERR_CODE消息时，回落到传统的TCP建链流程，重新发起到业务服务器的业务，按照标准TCP建链并进行数据传输。

需要说明的是，ACK MP_FASTCLOSE ERR_CODE消息可以通过对原有的MPTCP协议中的MP_FASTCLOSE消息进行扩展得到，即在原有的MP_FASTCLOSE消息中增加错误码域来得到ACK MP_FASTCLOSE ERR_CODE消息。错误码域中可以含有多种类型的数据，每种类型的数据代表不同的错误原因，例如，错误码域中可以含有A-F这6种类型的数据，其中，A设置为1时生效，代表缺省异常原因；B设置为1时生效，代表业务服务器访问失败；C设置为1时生效，代表业务服务器数据传输中断；D设置为1时生效，代表业务服务器的网络地址属于业务黑名单或不属于业务白名单，拒绝MPTCP接入；E设置为1时生效，代表只有Wi-Fi单链路，且Wi-Fi不可信，拒绝MPTCP接入；F：设置为1时生效，代表建链协商失败，拒绝MPTCP接入。

在本申请实施例中，通过上述六个操作可以在终端进行多路径接入的过程中，解决用户认证问题，且解决终端多流混合接入的业务策略问题，从而可以保证终端与业务服务器 之间建立的第一路径和第二路径的安全性，进而可以保证后续终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输时的安全性。

图5A是本申请实施例提供的一种多路径建立装置的结构示意图，该多路径建立装置可以由软件、硬件或者两者的结合实现成为计算机设备的部分或者全部，该计算机设备可以为图2A所示的计算机设备。参见图5A，该装置包括身份验证模块501，准入检查模块502和路径建立模块503。

身份验证模块501，用于执行上述图3实施例中的步骤301；

准入检查模块502，用于执行上述图3实施例中的步骤302；

路径建立模块503，用于执行上述图3实施例中的步骤303。

可选地，参见图5B，身份验证模块501包括：

第一接收单元5011，用于接收第一网络接入设备发送的携带有第一网络地址的身份验证请求，第一网络地址是第一网络接入设备为终端分配的网络地址；

身份验证单元5012，用于根据第一网络地址对终端进行身份验证，得到终端的身份验证结果。

可选地，参见图5C，准入检查模块502包括：

第二接收单元5021，用于接收第二网络接入设备发送的携带有终端的物理地址的第一准入检查请求；

发送单元5022，用于将携带有物理地址的登录状态查询请求发送给认证服务器，由认证服务器查询物理地址的登录状态；

第三接收单元5023，用于接收认证服务器发送的物理地址的登录状态；

第一确定单元5024，用于根据物理地址的登录状态，确定终端的准入检查结果。

可选地，参见图5D，该装置还包括：

发送模块504，用于如果检测到第二路径在预设时长内未进行数据传输，则将携带有物理地址的登录状态查询请求发送给认证服务器，由认证服务器查询物理地址的登录状态；

接收模块505，用于接收认证服务器发送的物理地址的登录状态；

路径删除模块506，用于如果物理地址的登录状态为离线状态，则删除第二路径。

可选地，参见图5E，准入检查模块502包括：

第四接收单元5025，用于接收第二网络接入设备发送的携带有第二网络地址的第二准入检查请求，第二网络地址是第二网络接入设备为终端分配的网络地址；

第二确定单元5026，用于根据第二网络地址和预设准入地址范围，确定终端的准入检查结果。

可选地，参见图5F，路径建立模块503包括：

第五接收单元5031，用于接收终端发送的业务服务器的网络地址；

路径建立单元5032，用于如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则在第一网络上建立终端与业务服务器之间的第一路径，在第二网络上建立终端与业务服务器之间的第二路径。

可选地，第一网络为LTE网络，第二网络为DSL网络或Wi-Fi网络。

在本申请实施例中，在终端通过第一网络接入设备接入第一网络后，代理设备对终端进行身份验证，在终端通过第二网络接入设备接入第二网络后，代理设备对终端进行准入 检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，因而代理设备在第一网络上建立终端与业务服务器之间的第一路径，并在第二网络上建立终端与业务服务器之间的第二路径，此时所建立的第一路径和第二路径的安全性较高，从而可以保证后续终端的数据传输安全。

图6是本申请实施例提供的一种多路径建立装置的结构示意图，该多路径建立装置可以由软件、硬件或者两者的结合实现成为计算机设备的部分或者全部，该计算机设备可以为图2B所示的计算机设备。参见图6，该装置包括身份验证模块601，准入检查模块602、获取模块603、路径建立模块604和数据传输模块605。

身份验证模块601，用于在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，第一网络是通过基站实现通信；

准入检查模块602，用于在通过第二网络接入设备接入第二网络后，通过代理设备进行准入检查；

获取模块603，用于在身份验证和准入检查均通过后，获取业务服务器的网络地址；

路径建立模块604，用于如果存储的业务白名单中包括业务服务器的网络地址，或者如果存储的业务黑名单中不包括业务服务器的网络地址，则在第一网络上建立与业务服务器之间的第一路径，在第二网络上建立与业务服务器之间的第二路径，业务白名单或业务黑名单是从代理设备中获取得到；

数据传输模块605，用于与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输。

在本申请实施例中，终端在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，终端在通过第二网络接入设备接入第二网络后，通过代理设备进行准入检查，在终端的身份验证和准入检查均通过后，表明终端的多路径接入合法，此时终端可以获取业务服务器的网络地址。当业务白名单中包括业务服务器的网络地址，或者当业务黑名单中不包括业务服务器的网络地址时，终端在第一网络上建立与业务服务器之间的第一路径，并在第二网络上建立与业务服务器之间的第二路径，此时所建立的第一路径和第二路径不仅安全性较高，而且满足业务接入需求，之后，终端与业务服务器之间使用第一路径和第二路径中的至少一条路径进行数据传输，从而可以有效保证终端的数据传输安全。

需要说明的是：上述实施例提供的多路径建立装置在多路径建立时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的多路径建立装置与多路径建立方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指 令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如：同轴电缆、光纤、数据用户线(Digital Subscriber Line，DSL))或无线(例如：红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如：软盘、硬盘、磁带)、光介质(例如：数字通用光盘(Digital Versatile Disc，DVD))、或者半导体介质(例如：固态硬盘(Solid State Disk，SSD))等。

以上所述为本申请提供的实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (16)

1. 一种多路径建立方法，其特征在于，应用于代理设备，所述方法包括：

   对通过第一网络接入设备接入第一网络的终端进行身份验证，所述第一网络是通过基站实现通信；

   对通过第二网络接入设备接入第二网络的所述终端进行准入检查；

   在所述终端的身份验证和准入检查均通过后，在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径，所述第一路径和所述第二路径用于在所述终端与所述业务服务器之间进行数据传输。
2. 如权利要求1所述的方法，其特征在于，所述对通过第一网络接入设备接入第一网络的终端进行身份验证，包括：

   接收所述第一网络接入设备发送的携带有第一网络地址的身份验证请求，所述第一网络地址是所述第一网络接入设备为所述终端分配的网络地址；

   根据所述第一网络地址对所述终端进行身份验证，得到所述终端的身份验证结果。
3. 如权利要求1所述的方法，其特征在于，所述对通过第二网络接入设备接入第二网络的所述终端进行准入检查，包括：

   接收所述第二网络接入设备发送的携带有所述终端的物理地址的第一准入检查请求；

   将携带有所述物理地址的登录状态查询请求发送给认证服务器，由所述认证服务器查询所述物理地址的登录状态；

   接收所述认证服务器发送的所述物理地址的登录状态；

   根据所述物理地址的登录状态，确定所述终端的准入检查结果。
4. 如权利要求3所述的方法，其特征在于，所述在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径之后，还包括：

   如果检测到所述第二路径在预设时长内未进行数据传输，则将携带有所述物理地址的登录状态查询请求发送给所述认证服务器，由所述认证服务器查询所述物理地址的登录状态；

   接收所述认证服务器发送的所述物理地址的登录状态；

   如果所述物理地址的登录状态为离线状态，则删除所述第二路径。
5. 如权利要求1所述的方法，其特征在于，所述对通过第二网络接入设备接入第二网络的所述终端进行准入检查，包括：

   接收所述第二网络接入设备发送的携带有第二网络地址的第二准入检查请求，所述第二网络地址是所述第二网络接入设备为所述终端分配的网络地址；

   根据所述第二网络地址和预设准入地址范围，确定所述终端的准入检查结果。
6. 如权利要求1所述的方法，其特征在于，所述在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径，包括：

   接收所述终端发送的所述业务服务器的网络地址；

   如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述第一网络上建立所述终端与所述业务服务器之间的第一路径，在所述第二网络上建立所述终端与所述业务服务器之间的第二路径。
7. 如权利要求1-6任一所述的方法，其特征在于，所述第一网络为长期演进技术LTE网络，所述第二网络为数字用户线路DSL网络或无线保真Wi-Fi网络。
8. 一种多路径建立方法，其特征在于，应用于终端，所述方法包括：

   在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，所述第一网络是通过基站实现通信；

   在通过第二网络接入设备接入第二网络后，通过所述代理设备进行准入检查；

   在身份验证和准入检查均通过后，获取业务服务器的网络地址；

   如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述第一网络上建立与所述业务服务器之间的第一路径，在所述第二网络上建立与所述业务服务器之间的第二路径，所述业务白名单或所述业务黑名单是从所述代理设备中获取得到；

   与所述业务服务器之间使用所述第一路径和所述第二路径中的至少一条路径进行数据传输。
9. 一种多路径建立装置，其特征在于，应用于代理设备，所述装置包括：

   身份验证模块，用于对通过第一网络接入设备接入第一网络的终端进行身份验证，所述第一网络是通过基站实现通信；

   准入检查模块，用于对通过第二网络接入设备接入第二网络的所述终端进行准入检查；

   路径建立模块，用于在所述终端的身份验证和准入检查均通过后，在所述第一网络上建立所述终端与业务服务器之间的第一路径，并在所述第二网络上建立所述终端与所述业务服务器之间的第二路径，所述第一路径和所述第二路径用于在所述终端与所述业务服务器之间进行数据传输。
10. 如权利要求9所述的装置，其特征在于，所述身份验证模块包括：

    第一接收单元，用于接收所述第一网络接入设备发送的携带有第一网络地址的身份验证请求，所述第一网络地址是所述第一网络接入设备为所述终端分配的网络地址；

    身份验证单元，用于根据所述第一网络地址对所述终端进行身份验证，得到所述终端的身份验证结果。
11. 如权利要求9所述的装置，其特征在于，所述准入检查模块包括：

    第二接收单元，用于接收所述第二网络接入设备发送的携带有所述终端的物理地址的第一准入检查请求；

    发送单元，用于将携带有所述物理地址的登录状态查询请求发送给认证服务器，由所述认证服务器查询所述物理地址的登录状态；

    第三接收单元，用于接收所述认证服务器发送的所述物理地址的登录状态；

    第一确定单元，用于根据所述物理地址的登录状态，确定所述终端的准入检查结果。
12. 如权利要求11所述的装置，其特征在于，所述装置还包括：

    发送模块，用于如果检测到所述第二路径在预设时长内未进行数据传输，则将携带有所述物理地址的登录状态查询请求发送给所述认证服务器，由所述认证服务器查询所述物理地址的登录状态；

    接收模块，用于接收所述认证服务器发送的所述物理地址的登录状态；

    路径删除模块，用于如果所述物理地址的登录状态为离线状态，则删除所述第二路径。
13. 如权利要求9所述的装置，其特征在于，所述准入检查模块包括：

    第四接收单元，用于接收所述第二网络接入设备发送的携带有第二网络地址的第二准入检查请求，所述第二网络地址是所述第二网络接入设备为所述终端分配的网络地址；

    第二确定单元，用于根据所述第二网络地址和预设准入地址范围，确定所述终端的准入检查结果。
14. 如权利要求9所述的装置，其特征在于，所述路径建立模块包括：

    第五接收单元，用于接收所述终端发送的所述业务服务器的网络地址；

    路径建立单元，用于如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述第一网络上建立所述终端与所述业务服务器之间的第一路径，在所述第二网络上建立所述终端与所述业务服务器之间的第二路径。
15. 如权利要求9-14任一所述的装置，其特征在于，所述第一网络为长期演进技术LTE网络，所述第二网络为数字用户线路DSL网络或无线保真Wi-Fi网络。
16. 一种多路径建立装置，其特征在于，应用于终端，所述装置包括：

    身份验证模块，用于在通过第一网络接入设备接入第一网络后，通过代理设备进行身份验证，所述第一网络是通过基站实现通信；

    准入检查模块，用于在通过第二网络接入设备接入第二网络后，通过所述代理设备进行准入检查；

    获取模块，用于在身份验证和准入检查均通过后，获取业务服务器的网络地址；

    路径建立模块，用于如果存储的业务白名单中包括所述业务服务器的网络地址，或者如果存储的业务黑名单中不包括所述业务服务器的网络地址，则在所述 第一网络上建立与所述业务服务器之间的第一路径，在所述第二网络上建立与所述业务服务器之间的第二路径，所述业务白名单或所述业务黑名单是从所述代理设备中获取得到；

    数据传输模块，用于与所述业务服务器之间使用所述第一路径和所述第二路径中的至少一条路径进行数据传输。

Images