專(zhuān)利名稱(chēng):一種無(wú)線局域網(wǎng)中隧道建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域����,尤其涉及一種無(wú)線局域網(wǎng)中隧道建立方法及系統(tǒng)�。
背景技術(shù):
由于用戶對(duì)無(wú)線接入速率的要求越來(lái)越高,無(wú)線局域網(wǎng)(WLAN�,WirelessLocal Area Network)應(yīng)運(yùn)而生,它能在較小范圍內(nèi)提供高速的無(wú)線數(shù)據(jù)接入�����。無(wú)線局域網(wǎng)包括多種不同技術(shù),目前應(yīng)用較為廣泛的一個(gè)技術(shù)標(biāo)準(zhǔn)是IEEE802.11b�����,它采用2.4GHz頻段�����,最高數(shù)據(jù)傳輸速率可達(dá)11Mbps���,使用該頻段的還有IEEE 802.11g和藍(lán)牙(Bluetooth)技術(shù),其中��,802.11g最高數(shù)據(jù)傳輸速率可達(dá)54Mbps�����。其它新技術(shù)諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段��,最高傳輸速率也可達(dá)到54Mbps��。
盡管有多種不同的無(wú)線接入技術(shù)����,大部分WLAN都用來(lái)傳輸因特網(wǎng)協(xié)議(IP,Internet Protocol)分組數(shù)據(jù)包。對(duì)于一個(gè)無(wú)線IP網(wǎng)絡(luò)�,其采用的具體WLAN接入技術(shù)對(duì)于上層的IP一般是透明的。其基本的結(jié)構(gòu)都是利用接入點(diǎn)(AP��,Access Point)完成用戶終端的無(wú)線接入��,通過(guò)網(wǎng)絡(luò)控制和連接設(shè)備連接組成IP傳輸網(wǎng)絡(luò)��。
隨著WLAN技術(shù)的興起和發(fā)展�,WLAN與各種無(wú)線移動(dòng)通信網(wǎng),諸如GSM�、碼分多址(CDMA)系統(tǒng)、寬帶碼分多址(WCDMA)系統(tǒng)����、時(shí)分雙工-同步碼分多址(TD-SCDMA)系統(tǒng)、CDMA2000系統(tǒng)的互通正成為當(dāng)前研究的重點(diǎn)�����。在第三代合作伙伴計(jì)劃(3GPP��,3rd Generation Partnership Project)標(biāo)準(zhǔn)化組織中���,用戶終端可以通過(guò)WLAN的接入網(wǎng)絡(luò)與因特網(wǎng)(Internet)��、企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)相連���,還可以經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP系統(tǒng)的歸屬網(wǎng)絡(luò)或3GPP系統(tǒng)的訪問(wèn)網(wǎng)絡(luò)連接�,具體地說(shuō)就是����,WLAN用戶終端在本地接入時(shí),經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP的歸屬網(wǎng)絡(luò)相連�����;在漫游時(shí)�����,經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP的訪問(wèn)網(wǎng)絡(luò)相連�����,3GPP訪問(wèn)網(wǎng)絡(luò)中的部分實(shí)體分別與3GPP歸屬網(wǎng)絡(luò)中的相應(yīng)實(shí)體互連��,比如3GPP訪問(wèn)網(wǎng)絡(luò)中的3GPP認(rèn)證授權(quán)計(jì)費(fèi)(AAA)代理和3GPP歸屬網(wǎng)絡(luò)中的3GPP認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器�����;3GPP訪問(wèn)網(wǎng)絡(luò)中的無(wú)線局域網(wǎng)接入網(wǎng)關(guān)(WAG����,WLAN Access Gateway)與3GPP歸屬網(wǎng)絡(luò)中的分組數(shù)據(jù)網(wǎng)關(guān)(PDG,Packet Data Gateway)等等�����?�;ネㄏ到y(tǒng)結(jié)構(gòu)圖如圖1����,2,3所示���。其中圖1是非漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖�,圖2為漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖�,圖3是另一個(gè)漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖。
分組數(shù)據(jù)網(wǎng)關(guān)在互通系統(tǒng)其中起著重要的作用����,是WLAN UE和外部網(wǎng)絡(luò)數(shù)據(jù)交互的關(guān)口,對(duì)用戶數(shù)據(jù)起控制和管理的作用�,同時(shí)還要產(chǎn)生計(jì)費(fèi)信息����。WLAN UE和PDG之間的通信��,是采用基于IPsec的隧道�。WLAN UE和PDG之間的隧道實(shí)際上是一種雙層邏輯關(guān)系,WLAN UE和PDG之間用于隧道建立和加密的信息是通過(guò)因特網(wǎng)密鑰交換(IKEv2)協(xié)議建立的因特網(wǎng)密鑰交換安全聯(lián)盟(IKE SA)保證的�,在每個(gè)IKE SA內(nèi),可以建立一個(gè)或多個(gè)IP安全協(xié)議-安全聯(lián)盟(IPsec SA)���,每個(gè)IPsec SA就是一條隧道(Tunnel),IKE SA和IPsec SA的關(guān)系�����,可以用圖4所示內(nèi)容簡(jiǎn)單表示�。
為了控制用戶建立的隧道數(shù)量���,目前的規(guī)范中定義了兩個(gè)參數(shù)一個(gè)是Max number of IPsec SA(I-WLAN tunnels)per IKE�����,由運(yùn)營(yíng)商配置在PDG上��,限定了每個(gè)IKE SA中最多可以建立幾條隧道��;另一個(gè)是per user count����,用來(lái)計(jì)算當(dāng)前用戶總共建立的隧道數(shù)。
上述方案是通過(guò)比較Max number of IPsec SA(I-WLAN tunnels)per IKE參數(shù)和per user count來(lái)決定是否允許用戶建立更多的隧道�,例如,per user count大于Max number of IPsec SA(I-WLAN tunnels)per IKE參數(shù)�����,則不允許用戶建立更多的隧道����,否則就可以。但問(wèn)題在于�����,Max number of IPsec SA(I-WLANtunnels)per IKE參數(shù)和per user count不是同一個(gè)層面的參數(shù)�����,例如�����,在圖5中,PDG上配置的Max number of IPsec SA(I-WLAN tunnels)per IKE參數(shù)為3�,意味著�����,每個(gè)IKE SA中最多可以建立3條隧道����。如圖5�����,WLAN UE和PDG之間建立了兩個(gè)IKE SA,其中每個(gè)IKE SA中又建立了兩個(gè)隧道(IPsec SA)��,此時(shí)�����,per user count就為4,大于Max number of IPsec SA(I-WLAN tunnels)perIKE�,如果此時(shí)用戶需要建立更多一條隧道,就會(huì)被拒絕����,因?yàn)?>3,但是實(shí)際上��,每個(gè)IKE SA中的隧道數(shù)量為2���,小于3�,不應(yīng)該被禁止�����,因此�����,只設(shè)置一個(gè)per user count是不夠的����。
發(fā)明內(nèi)容
本發(fā)明提供一種無(wú)線局域網(wǎng)中隧道建立方法及系統(tǒng),用以解決現(xiàn)有技術(shù)中存在無(wú)線局域網(wǎng)終端建立隧道方案不完善�����,無(wú)法有效控制建立隧道的問(wèn)題�����。
本發(fā)明方法包括一種無(wú)線局域網(wǎng)中隧道建立方法�����,包括A����、無(wú)線局域網(wǎng)終端在已建立因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中發(fā)起隧道建立請(qǐng)求;B�、判斷所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值,如果否�,進(jìn)入步驟C,如果是進(jìn)入步驟D�;C、為所述無(wú)線局域網(wǎng)終端建立隧道�����;D��、拒絕為所述無(wú)線局域網(wǎng)終端建立隧道���。
所述步驟B中�,所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量�,通過(guò)第一計(jì)數(shù)器計(jì)數(shù)得出。
所述步驟B中�,所述的判斷步驟由隧道建立單元完成,所述隧道建立單元為分組數(shù)據(jù)網(wǎng)關(guān)或認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器�����。
所述步驟C����,進(jìn)一步包括C1、判斷所述無(wú)線局域網(wǎng)終端所建立隧道數(shù)量是否達(dá)到該無(wú)線局域網(wǎng)終端建立隧道數(shù)量對(duì)應(yīng)的第二閾值����,如果否,為所述無(wú)線局域網(wǎng)終端建立隧道�,如果是進(jìn)入步驟D。
所述步驟C1中�,所述無(wú)線局域網(wǎng)終端所建隧道數(shù)量���,通過(guò)第二計(jì)數(shù)器計(jì)數(shù)得出。
一種無(wú)線局域網(wǎng)中隧道建立方法����,包括a、無(wú)線局域網(wǎng)終端在已建立因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中發(fā)起隧道建立請(qǐng)求��;b�、判斷所述無(wú)線局域網(wǎng)終端所建立隧道數(shù)量是否達(dá)到該無(wú)線局域網(wǎng)終端建立隧道數(shù)量對(duì)應(yīng)的第二閾值,如果否�����,進(jìn)入步驟c����,如果是進(jìn)入步驟d;c�、為所述無(wú)線局域網(wǎng)終端建立隧道;d����、拒絕為所述無(wú)線局域網(wǎng)終端建立隧道。
所述步驟b中���,所述無(wú)線局域網(wǎng)終端所建隧道數(shù)量��,通過(guò)第二計(jì)數(shù)器計(jì)數(shù)得出����。
所述步驟B中�����,所述的判斷步驟由隧道建立單元完成����,所述隧道建立單元為分組數(shù)據(jù)網(wǎng)關(guān)或認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器。
所述步驟c�����,進(jìn)一步包括c1��、判斷所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值��,如果否���,為所述無(wú)線局域網(wǎng)終端建立隧道����,如果是進(jìn)入步驟d。
所述步驟c1中���,所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量����,通過(guò)第一計(jì)數(shù)器計(jì)數(shù)得出�。
本發(fā)明系統(tǒng)包括一種無(wú)線局域網(wǎng)中隧道建立系統(tǒng),包括無(wú)線局域網(wǎng)終端���,為所述無(wú)線局域網(wǎng)終端提供接入的無(wú)線局域網(wǎng)接入網(wǎng)和為所述無(wú)線局域網(wǎng)終端建立隧道的隧道建立單元���,所述隧道建立單元設(shè)置有第一閾值存儲(chǔ)單元,用于存儲(chǔ)對(duì)應(yīng)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量的第一閾值����,當(dāng)無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí),所述隧道建立單元查詢(xún)所述第一閾值存儲(chǔ)單元以獲取第一閾值���,并根據(jù)各因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到第一閾值����,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道。
所述的隧道建立單元還設(shè)置有第二閾值存儲(chǔ)單元��,用于存儲(chǔ)對(duì)應(yīng)于無(wú)線局域網(wǎng)終端建立隧道數(shù)量的第二閾值�����,當(dāng)所述無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)����,所述隧道建立單元還查詢(xún)所述第二閾值存儲(chǔ)單元獲取第二閾值�,根據(jù)無(wú)線局域網(wǎng)終端已建立隧道數(shù)量是否達(dá)到所述的第二閾值,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道��。
所述的隧道建立單元����,還設(shè)置有第一計(jì)數(shù)器,用于統(tǒng)計(jì)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量���,和/或第二計(jì)數(shù)器�����,用于統(tǒng)計(jì)無(wú)線局域網(wǎng)終端建立隧道數(shù)量���。
所述的隧道建立單元�,為分組數(shù)據(jù)網(wǎng)關(guān)或者認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器����。
一種無(wú)線局域網(wǎng)中隧道建立系統(tǒng),包括無(wú)線局域網(wǎng)終端���,為所述無(wú)線局域網(wǎng)終端提供接入的無(wú)線局域網(wǎng)接入網(wǎng)和為所述無(wú)線局域網(wǎng)終端建立隧道的隧道建立單元�����,所述的隧道建立單元設(shè)置有第二閾值存儲(chǔ)單元���,用于存儲(chǔ)對(duì)應(yīng)于無(wú)線局域網(wǎng)終端建立隧道數(shù)量的第二閾值,當(dāng)無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)��,所述隧道建立單元查詢(xún)所述第二閾值存儲(chǔ)單元獲取第二閾值�,并根據(jù)無(wú)線局域網(wǎng)終端已建立隧道數(shù)量是否達(dá)到所述的第二閾值,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道����。
所述隧道建立單元還設(shè)置有第一閾值存儲(chǔ)單元,用于存儲(chǔ)對(duì)應(yīng)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量的第一閾值,當(dāng)所述無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)�,所述隧道建立單元還查詢(xún)所述第一閾值存儲(chǔ)單元獲取第一閾值,并根據(jù)各因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值�����,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道�����。
所述的隧道建立單元��,還設(shè)置有
第一計(jì)數(shù)器�,用于統(tǒng)計(jì)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量��,和/或第二計(jì)數(shù)器���,用于統(tǒng)計(jì)無(wú)線局域網(wǎng)終端建立隧道數(shù)量����。
所述的隧道建立單元���,為分組數(shù)據(jù)網(wǎng)關(guān)或者認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器�����。
本發(fā)明有益效果如下本發(fā)明通過(guò)無(wú)線局域網(wǎng)中隧道建立方法和系統(tǒng)����,可以在無(wú)線局域網(wǎng)終端隧道建立過(guò)程中,判斷各IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值�����,和/或判斷所述無(wú)線局域網(wǎng)終端所建立隧道數(shù)量是否達(dá)到該無(wú)線局域網(wǎng)終端建立隧道數(shù)量對(duì)應(yīng)的第二閾值�����,而決定是否為所述的無(wú)線局域網(wǎng)終端建立隧道�����,可以有效的控制建立隧道的合理性和有效性�。
圖1為現(xiàn)有技術(shù)中非漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖;圖2為現(xiàn)有技術(shù)中漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖��;圖3是現(xiàn)有技術(shù)中另一個(gè)漫游情況互通系統(tǒng)結(jié)構(gòu)示意圖����;圖4為現(xiàn)有技術(shù)中IKE SA和IPsecSA關(guān)系示意圖;圖5為現(xiàn)有技術(shù)中另一個(gè)IKE SA和IPsecSA關(guān)系示意圖;圖6為本發(fā)明具體實(shí)施方式
1的流程示意圖��;圖7為本發(fā)明具體實(shí)施方式
1的系統(tǒng)結(jié)構(gòu)示意圖��;圖8為本發(fā)明具體實(shí)施方式
2的流程示意圖��;圖9為本發(fā)明具體實(shí)施方式
2的系統(tǒng)結(jié)構(gòu)示意圖����;圖10為本發(fā)明具體實(shí)施方式
3的流程示意圖;圖11為本發(fā)明具體實(shí)施方式
3的系統(tǒng)結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
下面結(jié)合說(shuō)明書(shū)附圖來(lái)說(shuō)明本發(fā)明的具體實(shí)施方式
。
本發(fā)明中���,為WLAN UE分配隧道的隧道建立單元可以是PDG,或3GPPAAA Server��,或者其他具有相同功能的網(wǎng)元��,在下述方案中可以等效替換���,不影響本發(fā)明方案的實(shí)現(xiàn)����。
具體實(shí)施方式
1在PDG中預(yù)設(shè)IKE SA的建立隧道數(shù)量閾值,在WLAN UE發(fā)起隧道建立時(shí)�����,根據(jù)該IKE SA中已經(jīng)建立隧道數(shù)量是否達(dá)到該設(shè)定的閾值來(lái)決定是否為該WLAN UE分配隧道����,如圖6所示,具體包括以下步驟S11�、WLAN UE在一個(gè)已建立的IKE SA中發(fā)起隧道建立請(qǐng)求;S12�、PDG判斷該IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)預(yù)設(shè)IKE SA建立隧道數(shù)量閾值,如果否��,進(jìn)入步驟S3�����,如果是進(jìn)入步驟S4����;S13、PDG為所述WLAN UE建立隧道����。
PDG向WLAN UE發(fā)送隧道建立應(yīng)答����,該隧道建立應(yīng)答接受WLAN UE的隧道建立請(qǐng)求��,并針對(duì)該IKE的隧道計(jì)數(shù)器加1����。
S14、拒絕為所述WLAN UE建立隧道��。
該步驟中����,IKE SA中所建隧道數(shù)量可以通過(guò)設(shè)置的第一計(jì)數(shù)器計(jì)數(shù)得出。
該流程中�,該IKE SA中已經(jīng)建立隧道數(shù)量如果小于預(yù)設(shè)IKE SA建立隧道數(shù)量閾值,則說(shuō)明該IKE SA還可以繼續(xù)建立隧道�����,如果該IKE SA中已經(jīng)建立隧道數(shù)量等于預(yù)設(shè)IKE SA建立隧道數(shù)量閾值�,說(shuō)明該IKE SA建立隧道數(shù)量已經(jīng)飽和��,不能再建立新的隧道了。
具體實(shí)施方式
1中����,該P(yáng)DG判斷該IKE SA中已經(jīng)建立的隧道數(shù)量是否達(dá)到預(yù)設(shè)IKE SA建立隧道數(shù)量閾值,根據(jù)判斷結(jié)果決定是否接受該WLAN UE的隧道建立請(qǐng)求并為其分配隧道����。
如圖7所示,是針對(duì)該方案的系統(tǒng)結(jié)構(gòu)示意圖�,從圖中可見(jiàn),該系統(tǒng)包括WLAN UE 100��,為所述WLAN UE 100提供接入的WLANAN 200和為所述WLAN UE 100建立隧道的PDG 300�����。
該系統(tǒng)在PDG 300設(shè)置有第一閾值存儲(chǔ)單元301����,用于存儲(chǔ)對(duì)應(yīng)IKE SA中所建隧道數(shù)量的閾值,當(dāng)WLAN UE100在一個(gè)已建立的IKE SA中發(fā)起隧道建立請(qǐng)求時(shí)��,PDG301查詢(xún)所述第一閾值存儲(chǔ)單元301以獲取該閾值��,并根據(jù)該IKE SA中所建隧道數(shù)量是否達(dá)到該閾值�����,決定是否為所述WLAN UE100建立隧道。
該P(yáng)DG300還可以設(shè)置第一計(jì)數(shù)器302�����,用于統(tǒng)計(jì)各IKE SA中所建隧道數(shù)量���。
具體實(shí)施方式
2在3GPP AAA Server中預(yù)設(shè)當(dāng)前用戶建立隧道數(shù)量閾值���,在WLAN UE發(fā)起隧道建立時(shí),根據(jù)當(dāng)前用戶已經(jīng)建立隧道數(shù)量是否達(dá)到該設(shè)定的閾值來(lái)決定是否為該WLAN UE分配隧道��,如圖8所示��,具體包括以下步驟S21�、WLAN UE在一個(gè)已建立的IKE SA中發(fā)起隧道建立請(qǐng)求;S22����、3GPP AAA Server判斷當(dāng)前用戶已經(jīng)建立隧道數(shù)量是否達(dá)到對(duì)應(yīng)閾值,如果否��,進(jìn)入步驟S23���,如果是進(jìn)入步驟S24����;該步驟中�����,當(dāng)前用戶已經(jīng)建立隧道數(shù)量可以通過(guò)設(shè)置的第二計(jì)數(shù)器計(jì)數(shù)得出���。
S23����、3GPPAAA Server為所述WLAN UE建立隧道��。
3GPPAAA Server向WLAN UE(可能通過(guò)PDG轉(zhuǎn)發(fā))發(fā)送隧道建立應(yīng)答�����,該隧道建立應(yīng)答接收WLAN UE的隧道建立請(qǐng)求���,并針對(duì)該當(dāng)前用戶已經(jīng)建立隧道計(jì)數(shù)器加1����。
S24、拒絕為所述WLAN UE建立隧道���。
具體實(shí)施方式
2中���,該3GPPAAA Server判斷當(dāng)前用戶已經(jīng)建立隧道數(shù)量是否達(dá)到對(duì)應(yīng)閾值,根據(jù)判斷結(jié)果決定是否接受該WLAN UE的隧道建立請(qǐng)求并為其分配隧道�����。
如圖9所示����,是針對(duì)該方案的系統(tǒng)結(jié)構(gòu)示意圖,從圖中可見(jiàn)���,該系統(tǒng)包括
WLAN UE100�,為所述WLAN UE 100提供接入的WLAN AN200和為所述WLAN UE100建立隧道的3GPPAAA Server 400��,該系統(tǒng)在3GPP AAA Server 400設(shè)置有第二閾值存儲(chǔ)單元401�,用于存儲(chǔ)當(dāng)前用戶建立隧道數(shù)量閾值,當(dāng)WLAN UE100發(fā)起隧道建立請(qǐng)求時(shí)�,3GPPAAA Server 400查詢(xún)所述第二閾值存儲(chǔ)單元401以獲取該閾值,并根據(jù)當(dāng)前用戶建立隧道數(shù)量是否達(dá)到該閾值,決定是否為所述WLAN UE100建立隧道��。
該3GPP AAA Server 400還可以設(shè)置第二計(jì)數(shù)器402����,用于統(tǒng)計(jì)當(dāng)前用戶建立隧道數(shù)量��。
具體實(shí)施方式
3在PDG中預(yù)設(shè)IKE SA的建立隧道數(shù)量閾值以及當(dāng)前用戶建立隧道數(shù)量閾值�,在WLAN UE發(fā)起隧道建立時(shí),根據(jù)各個(gè)IKE SA中已經(jīng)建立隧道數(shù)量是否達(dá)到該設(shè)定的閾值以及當(dāng)前用戶建立隧道數(shù)量是否達(dá)到閾值來(lái)決定是否為該WLAN UE分配隧道����,如圖10所示,具體包括以下步驟S31��、WLAN UE在一個(gè)已建立的IKE SA中發(fā)起隧道建立請(qǐng)求�����;S32����、PDG判斷該IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)預(yù)設(shè)IKE SA建立隧道數(shù)量閾值,如果否���,進(jìn)入步驟S33�����,如果是進(jìn)入步驟S35�����;S33���、PDG判斷當(dāng)前用戶已經(jīng)建立隧道數(shù)量是否達(dá)到對(duì)應(yīng)閾值�����,如果否����,進(jìn)入步驟S34�����,如果是進(jìn)入步驟S35���;S34��、PDG為所述WLAN UE建立隧道�。
PDG向WLAN UE發(fā)送隧道建立應(yīng)答,該隧道建立應(yīng)答接收WLAN UE的隧道建立請(qǐng)求����,并針對(duì)該IKE的隧道計(jì)數(shù)器加1。
S35�����、拒絕為所述WLAN UE建立隧道�����。
具體實(shí)施方式
3中��,該P(yáng)DG判斷該IKE SA中已經(jīng)建立的隧道數(shù)量是否達(dá)到預(yù)設(shè)IKE SA建立隧道數(shù)量閾值�����,以及判斷當(dāng)前用戶已經(jīng)建立隧道數(shù)量是達(dá)到于對(duì)應(yīng)閾值���,并根據(jù)判斷結(jié)果決定是否接受該WLAN UE的隧道建立請(qǐng)求并為其分配隧道。
如圖11所示��,是針對(duì)該方案的系統(tǒng)結(jié)構(gòu)示意圖,從圖中可見(jiàn)���,該系統(tǒng)包括WLAN UE100��,為所述WLAN UE 100提供接入的WLAN AN200和為所述WLAN UE100建立隧道的PDG300�����,該系統(tǒng)在PDG300設(shè)置有第一閾值存儲(chǔ)單元301��,用于存儲(chǔ)對(duì)應(yīng)IKE SA中所建隧道數(shù)量的閾值��,當(dāng)WLAN UE100發(fā)起隧道建立請(qǐng)求時(shí)�����,PDG301查詢(xún)所述第一閾值存儲(chǔ)單元301以獲取該閾值�����,并根據(jù)該IKE SA中所建隧道數(shù)量是否達(dá)到該閾值���,決定是否為所述WLAN UE100建立隧道。
該系統(tǒng)在PDG300設(shè)置有第二閾值存儲(chǔ)單元303��,用于存儲(chǔ)當(dāng)前用戶建立隧道數(shù)量閾值,當(dāng)WLAN UE100發(fā)起隧道建立請(qǐng)求時(shí)���,PDG300查詢(xún)所述第二閾值存儲(chǔ)單元303以獲取該閾值���,并根據(jù)當(dāng)前用戶建立隧道數(shù)量是否達(dá)到該閾值,決定是否為所述WLAN UE100建立隧道�����。
該P(yáng)DG300還可以設(shè)置第一計(jì)數(shù)器302�,用于統(tǒng)計(jì)IKE SA中所建隧道數(shù)量����;第二計(jì)數(shù)器304,用于統(tǒng)計(jì)當(dāng)前用戶建立隧道數(shù)量��。
顯然�,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�。
權(quán)利要求
1.一種無(wú)線局域網(wǎng)中隧道建立方法,包括A�、無(wú)線局域網(wǎng)終端在已建立因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中發(fā)起隧道建立請(qǐng)求�;B��、判斷所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值����,如果否,進(jìn)入步驟C���,如果是進(jìn)入步驟D�����;C��、為所述無(wú)線局域網(wǎng)終端建立隧道���;D、拒絕為所述無(wú)線局域網(wǎng)終端建立隧道��。
2.如權(quán)利要求1所述的方法����,其特征在于,所述步驟B中�����,所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量,通過(guò)第一計(jì)數(shù)器計(jì)數(shù)得出�����。
3.如權(quán)利要求1所述的方法��,其特征在于�����,所述步驟B中�����,所述的判斷步驟由隧道建立單元完成��,所述隧道建立單元為分組數(shù)據(jù)網(wǎng)關(guān)或認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器�。
4.如權(quán)利要求1所述的方法����,其特征在于,所述步驟C�����,進(jìn)一步包括C1、判斷所述無(wú)線局域網(wǎng)終端所建立隧道數(shù)量是否達(dá)到該無(wú)線局域網(wǎng)終端建立隧道數(shù)量對(duì)應(yīng)的第二閾值�,如果否,為所述無(wú)線局域網(wǎng)終端建立隧道�����,如果是進(jìn)入步驟D�����。
5.如權(quán)利要求4所述的方法��,其特征在于���,所述步驟C1中�����,所述無(wú)線局域網(wǎng)終端所建隧道數(shù)量����,通過(guò)第二計(jì)數(shù)器計(jì)數(shù)得出��。
6.一種無(wú)線局域網(wǎng)中隧道建立方法,包括a����、無(wú)線局域網(wǎng)終端在已建立因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中發(fā)起隧道建立請(qǐng)求;b���、判斷所述無(wú)線局域網(wǎng)終端所建立隧道數(shù)量是否達(dá)到該無(wú)線局域網(wǎng)終端建立隧道數(shù)量對(duì)應(yīng)的第二閾值����,如果否�����,進(jìn)入步驟c�,如果是進(jìn)入步驟d;c�、為所述無(wú)線局域網(wǎng)終端建立隧道;d���、拒絕為所述無(wú)線局域網(wǎng)終端建立隧道。
7.如權(quán)利要求6所述的方法��,其特征在于�,所述步驟b中�����,所述無(wú)線局域網(wǎng)終端所建隧道數(shù)量���,通過(guò)第二計(jì)數(shù)器計(jì)數(shù)得出。
8.如權(quán)利要求6所述的方法����,其特征在于,所述步驟B中�,所述的判斷步驟由隧道建立單元完成,所述隧道建立單元為分組數(shù)據(jù)網(wǎng)關(guān)或認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器����。
9.如權(quán)利要求6所述的方法,其特征在于��,所述步驟c���,進(jìn)一步包括c1��、判斷所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值��,如果否�����,為所述無(wú)線局域網(wǎng)終端建立隧道��,如果是進(jìn)入步驟d�。
10.如權(quán)利要求9所述的方法,其特征在于���,所述步驟c1中����,所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量��,通過(guò)第一計(jì)數(shù)器計(jì)數(shù)得出�����。
11.一種無(wú)線局域網(wǎng)中隧道建立系統(tǒng)�����,包括無(wú)線局域網(wǎng)終端����,為所述無(wú)線局域網(wǎng)終端提供接入的無(wú)線局域網(wǎng)接入網(wǎng)和為所述無(wú)線局域網(wǎng)終端建立隧道的隧道建立單元,其特征在于所述隧道建立單元設(shè)置有第一閾值存儲(chǔ)單元�,用于存儲(chǔ)對(duì)應(yīng)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量的第一閾值,當(dāng)無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)��,所述隧道建立單元查詢(xún)所述第一閾值存儲(chǔ)單元以獲取第一閾值���,并根據(jù)各因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到第一閾值���,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道。
12.如權(quán)利要求11所述的系統(tǒng)��,其特征在于�����,所述的隧道建立單元還設(shè)置有第二閾值存儲(chǔ)單元���,用于存儲(chǔ)對(duì)應(yīng)于無(wú)線局域網(wǎng)終端建立隧道數(shù)量的第二閾值�,當(dāng)所述無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)�����,所述隧道建立單元還查詢(xún)所述第二閾值存儲(chǔ)單元獲取第二閾值,根據(jù)無(wú)線局域網(wǎng)終端已建立隧道數(shù)量是否達(dá)到所述的第二閾值�����,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道���。
13.如權(quán)利要求11或12所述的系統(tǒng)�����,其特征在于�,所述的隧道建立單元���,還設(shè)置有第一計(jì)數(shù)器���,用于統(tǒng)計(jì)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量,和/或第二計(jì)數(shù)器���,用于統(tǒng)計(jì)無(wú)線局域網(wǎng)終端建立隧道數(shù)量�����。
14.如權(quán)利要求11所述的系統(tǒng)�,其特征在于,所述的隧道建立單元��,為分組數(shù)據(jù)網(wǎng)關(guān)或者認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器�。
15.一種無(wú)線局域網(wǎng)中隧道建立系統(tǒng)��,包括無(wú)線局域網(wǎng)終端�����,為所述無(wú)線局域網(wǎng)終端提供接入的無(wú)線局域網(wǎng)接入網(wǎng)和為所述無(wú)線局域網(wǎng)終端建立隧道的隧道建立單元���,其特征在于所述的隧道建立單元設(shè)置有第二閾值存儲(chǔ)單元����,用于存儲(chǔ)對(duì)應(yīng)于無(wú)線局域網(wǎng)終端建立隧道數(shù)量的第二閾值��,當(dāng)無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)�����,所述隧道建立單元查詢(xún)所述第二閾值存儲(chǔ)單元獲取第二閾值��,并根據(jù)無(wú)線局域網(wǎng)終端已建立隧道數(shù)量是否達(dá)到所述的第二閾值���,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道����。
16.如權(quán)利要求15所述的系統(tǒng),其特征在于�����,所述隧道建立單元還設(shè)置有第一閾值存儲(chǔ)單元����,用于存儲(chǔ)對(duì)應(yīng)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量的第一閾值,當(dāng)所述無(wú)線局域網(wǎng)終端發(fā)起隧道建立請(qǐng)求時(shí)�����,所述隧道建立單元還查詢(xún)所述第一閾值存儲(chǔ)單元獲取第一閾值�,并根據(jù)各因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值,決定是否為所述無(wú)線局域網(wǎng)終端建立隧道�。
17.如權(quán)利要求15或16所述的系統(tǒng),其特征在于�,所述的隧道建立單元,還設(shè)置有第一計(jì)數(shù)器�,用于統(tǒng)計(jì)因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量,和/或第二計(jì)數(shù)器�,用于統(tǒng)計(jì)無(wú)線局域網(wǎng)終端建立隧道數(shù)量��。
18.如權(quán)利要求15所述的系統(tǒng)�,其特征在于�,所述的隧道建立單元,為分組數(shù)據(jù)網(wǎng)關(guān)或者認(rèn)證鑒權(quán)計(jì)費(fèi)服務(wù)器�����。
全文摘要
本發(fā)明公開(kāi)了一種無(wú)線局域網(wǎng)中隧道建立方法及系統(tǒng)����。該方法包括A.無(wú)線局域網(wǎng)終端在已建立因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中發(fā)起隧道建立請(qǐng)求�����;B.判斷所述因特網(wǎng)密鑰交換安全聯(lián)盟IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的第一閾值����,如果否,進(jìn)入步驟C�,如果是進(jìn)入步驟D;C.為所述無(wú)線局域網(wǎng)終端建立隧道�����;D.拒絕為所述無(wú)線局域網(wǎng)終端建立隧道。本發(fā)明通過(guò)在無(wú)線局域網(wǎng)終端隧道建立過(guò)程中��,判斷各IKE SA中所建隧道數(shù)量是否達(dá)到對(duì)應(yīng)的閾值而決定是否為所述的無(wú)線局域網(wǎng)終端建立隧道��,可以有效的控制建立隧道的合理性和有效性���。
文檔編號(hào)H04L9/00GK1901486SQ20061000165
公開(kāi)日2007年1月24日 申請(qǐng)日期2006年1月20日 優(yōu)先權(quán)日2006年1月20日
發(fā)明者張鵬, 張文林 申請(qǐng)人:華為技術(shù)有限公司