專(zhuān)利名稱(chēng):協(xié)商業(yè)務(wù)承載隧道的方法��、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及協(xié)商業(yè)務(wù)承載隧道的方法��、設(shè)備及系統(tǒng)�。
背景技術(shù):
IKEdnternet Key Exchange,互聯(lián)網(wǎng)密鑰交換)協(xié)議是 IPSec (Internet Protocol Security,互聯(lián)網(wǎng)協(xié)議安全)實(shí)現(xiàn)中的首選密鑰交換協(xié)議��,新版的IKEv2 (IKE version 2���,互聯(lián)網(wǎng)密鑰交換版本幻協(xié)議保留了傳統(tǒng)IKE的基本功能����,并針對(duì)IKE研究過(guò)程 中發(fā)現(xiàn)的問(wèn)題進(jìn)行修訂,同時(shí)兼顧簡(jiǎn)潔性��、高效性�、安全性和健壯性的需要。通過(guò)核心功能 和默認(rèn)密碼算法的最小化規(guī)定��,IKEv2協(xié)議極大地提高了不同msec系統(tǒng)的互操作性�����。IKEv2的協(xié)商過(guò)程如下IKEv2建立一對(duì)IPkc_SA (Security Association�����,安全聯(lián)盟)��,正常情況使用兩 次交換4條消息就可以完成一個(gè)IKE_SA和一對(duì)IPkc_SA的協(xié)商建立�����,如果要求建立的 IPSec_SA大于一對(duì)時(shí)�,每一對(duì)IPkc_SA只需額外增加一次交換,也就是2條消息就可以 完成��。IKEv2定義了三種交互初始交互(Initial Exchanges)����、創(chuàng)建子SA交互(CREATE_ CHILD_SA Exchange)以及信息交互(INFORMATIONAL Exchange)。另一方面�,由于 NAT (Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換),包括 PAT (Port AddressTranslation��,端口地址轉(zhuǎn)換)����,在目前網(wǎng)絡(luò)中應(yīng)用非常廣泛,當(dāng)通信鏈路 中存在NAT設(shè)備時(shí)�����,IPSec-NAT穿越需使用UDP^serDatagram Protocol��,用戶(hù)數(shù)據(jù)報(bào)協(xié)議) 傳輸�,因此在IKEv2初始交互階段協(xié)商中需要先探測(cè)是否存在NAT設(shè)備,也就是進(jìn)行NAT探 測(cè)�。為了探測(cè)通信鏈路中是否存在NAT設(shè)備,可在協(xié)商雙方增加兩個(gè)Notify (通報(bào)) 載荷�����,其中的一個(gè)Notify載荷包括NAT_DETECTI0N_S0URCE_IP (NAT探測(cè)源IP地址),標(biāo)識(shí) 發(fā)起方的IP地址���;另一個(gè)Notify載荷包括NAT_DETECTI0N_DESTINATI0N_IP(NAT探測(cè)目 的IP地址)���,標(biāo)識(shí)接收方(目的方)的IP地址。這一過(guò)程在IKEv2協(xié)商的IKE_SA_INIT 階段中進(jìn)行�,其中,前述兩個(gè) Notify 載荷NAT_DETECTI0N_S0URCE_IP 和 NAT_DETECTI0N_ DESTINATI0N_IP主要是為了探測(cè)通信雙方是否存在NAT設(shè)備�����,并且確定哪一方處在NAT設(shè) 備之后�。在 IKEv2 中�,NAT_DETECTI0N_S0URCE_IP 和 NAT_DETECTI0N_DESTINATI0N_IP 在 Notify消息類(lèi)型中的編號(hào)分別為16388和16389。載荷使用通用的ISAKMP載荷頭��,載荷 的值是hash值(IKEv2規(guī)定使用SHA-1)��,hash值的計(jì)算如下hash = SHA-I (SPIs | IP | Port)其中��,SPIs為 HDR 載荷中的 SPI Security Parameter Index����,安全參數(shù)索引)��;IP 為數(shù)據(jù)包發(fā)出方或接受方的IP地址�����;Port為數(shù)據(jù)包發(fā)出方或接受方的端口號(hào)�。當(dāng)響應(yīng)方收到數(shù)據(jù)包后����,對(duì)數(shù)據(jù)包中的SPIs、IP地址�、端口號(hào)進(jìn)行hash運(yùn)算,并與 本地存儲(chǔ)的Notify載荷進(jìn)行比較���,如果不匹配���,則說(shuō)明通信鏈路中存在NAT設(shè)備。如果與 NAT_DETECT10N_S0URCE_IP不匹配����,則說(shuō)明發(fā)起方在NAT設(shè)備之后;如果與NAT_DETECTI0N_ DESTINATI0N_IP不匹配�����,則說(shuō)明響應(yīng)方在NAT設(shè)備之后。
現(xiàn)有技術(shù)中至少存在如下不足所協(xié)商的承載業(yè)務(wù)的IPSec隧道為加密隧道�,通過(guò)該加密隧道進(jìn)行業(yè)務(wù)承載時(shí), 要求對(duì)用戶(hù)數(shù)據(jù)流進(jìn)行不同算法的加解密處理和/或一致性檢查�,將增大報(bào)文的傳輸時(shí) 延,對(duì)用戶(hù)設(shè)備和分組網(wǎng)關(guān)設(shè)備的處理能力要求高����,設(shè)備成本高。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種協(xié)商業(yè)務(wù)承載隧道的方法��,用以協(xié)商業(yè)務(wù)承載隧道����,該方 法包括接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持 的非加密隧道的信息���;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信 息��,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道�����;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù) 的非加密隧道的信息�。本發(fā)明實(shí)施例還提供一種協(xié)商業(yè)務(wù)承載隧道的方法,用以協(xié)商業(yè)務(wù)承載隧道��,該 方法包括發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持 的非加密隧道的信息��;接收互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù) 的非加密隧道的信息����,所述承載所述業(yè)務(wù)的非加密隧道是分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù)的安全級(jí)別 低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息從所述用戶(hù)設(shè)備支持的非加 密隧道中選擇的��。本發(fā)明實(shí)施例還提供一種分組網(wǎng)關(guān)設(shè)備�,用以協(xié)商業(yè)務(wù)承載隧道,該分組網(wǎng)關(guān)設(shè) 備包括接收模塊����,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜 帶用戶(hù)設(shè)備支持的非加密隧道的信息��;選擇模塊,用于在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)��,根據(jù)所述用戶(hù)設(shè)備支持的非 加密隧道的信息�,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道;發(fā)送模塊���,用于發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜 帶承載所述業(yè)務(wù)的非加密隧道的信息���。本發(fā)明實(shí)施例還提供一種用戶(hù)設(shè)備����,用以協(xié)商業(yè)務(wù)承載隧道���,該用戶(hù)設(shè)備包括發(fā)送模塊�,用于發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求�,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜 帶所述用戶(hù)設(shè)備支持的非加密隧道的信息��;接收模塊����,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜 帶承載所述業(yè)務(wù)的非加密隧道的信息���,所述承載所述業(yè)務(wù)的非加密隧道是分組網(wǎng)關(guān)設(shè)備在 業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息從所述用戶(hù) 設(shè)備支持的非加密隧道中選擇的��。本發(fā)明實(shí)施例還提供一種通信系統(tǒng)����,用以協(xié)商業(yè)務(wù)承載隧道,該通信系統(tǒng)包括分組網(wǎng)關(guān)設(shè)備����,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非加密隧道的信息����;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述 用戶(hù)設(shè)備支持的非加密隧道的信息���,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè) 務(wù)的非加密隧道�;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載 所述業(yè)務(wù)的非加密隧道的信息���;所述用戶(hù)設(shè)備�,用于發(fā)送所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求�;接收所述互聯(lián)網(wǎng)密鑰交 換認(rèn)證應(yīng)答。本發(fā)明實(shí)施例中���,接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求 攜帶用戶(hù)設(shè)備支持的非加密隧道的信息����;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用 戶(hù)設(shè)備支持的非加密隧道的信息�����,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù) 的非加密隧道���;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所 述業(yè)務(wù)的非加密隧道的信息����,從而完成業(yè)務(wù)承載隧道的協(xié)商�����,不同于現(xiàn)有技術(shù)中對(duì)不同安 全級(jí)別的業(yè)務(wù)均采用IKEv2協(xié)商IPSec隧道��,而是對(duì)于安全級(jí)別低于預(yù)設(shè)級(jí)別的業(yè)務(wù)��,協(xié)商 承載該業(yè)務(wù)的非加密隧道��,以便后續(xù)在進(jìn)行業(yè)務(wù)承載時(shí)����,不進(jìn)行加解密處理和/或一致性 檢查,降低報(bào)文的傳輸時(shí)延及設(shè)備成本���,提升業(yè)務(wù)的處理效率�����。本發(fā)明實(shí)施例中�,發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求 攜帶用戶(hù)設(shè)備支持的非加密隧道的信息�����;接收互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰 交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非加密隧道的信息����,所述承載所述業(yè)務(wù)的非加密隧道是 分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的 信息從所述用戶(hù)設(shè)備支持的非加密隧道中選擇的���,從而完成業(yè)務(wù)承載隧道的協(xié)商�����,不同于 現(xiàn)有技術(shù)中對(duì)不同安全級(jí)別的業(yè)務(wù)均采用IKEv2協(xié)商IPSec隧道��,而是對(duì)于安全級(jí)別低于 預(yù)設(shè)級(jí)別的業(yè)務(wù)�����,協(xié)商承載該業(yè)務(wù)的非加密隧道,以便后續(xù)在進(jìn)行業(yè)務(wù)承載時(shí)�,不進(jìn)行加解 密處理和/或一致性檢查,降低報(bào)文的傳輸時(shí)延及設(shè)備成本���,提升業(yè)務(wù)的處理效率����。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖��。在附圖中圖1為本發(fā)明實(shí)施例中協(xié)商業(yè)務(wù)承載隧道的方法處理流程圖��;圖2為本發(fā)明實(shí)施例中IKEv2的初始交互流程圖�;圖3為本發(fā)明實(shí)施例中SA載荷的結(jié)構(gòu)示意圖�;圖4為本發(fā)明實(shí)施例中安全提議載荷的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例中IP和PPP包的UDP封裝承載隧道報(bào)文格式示意圖�����;圖6為本發(fā)明實(shí)施例中協(xié)商業(yè)務(wù)承載隧道的方法處理流程圖�����;圖7為本發(fā)明實(shí)施例中協(xié)商業(yè)務(wù)承載隧道的方法的一個(gè)具體實(shí)例的流程圖����;圖8為本發(fā)明實(shí)施例中用戶(hù)業(yè)務(wù)流傳輸過(guò)程中各承載網(wǎng)段報(bào)文格式一個(gè)示意圖����;圖9為本發(fā)明實(shí)施例中協(xié)商業(yè)務(wù)承載隧道的方法的另一具體實(shí)例的流程圖�����;圖10為本發(fā)明實(shí)施例中用戶(hù)業(yè)務(wù)流傳輸過(guò)程中各承載網(wǎng)段報(bào)文格式另一示意 圖11為本發(fā)明實(shí)施例中分組網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖�����;圖12A�����、圖12B為本發(fā)明實(shí)施例中分組網(wǎng)關(guān)設(shè)備的一個(gè)具體實(shí)例的結(jié)構(gòu)示意圖���;圖13為本發(fā)明實(shí)施例中用戶(hù)設(shè)備的結(jié)構(gòu)示意圖;圖14為本發(fā)明實(shí)施例中通信系統(tǒng)的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,下面結(jié)合附圖對(duì)本發(fā) 明實(shí)施例做進(jìn)一步詳細(xì)說(shuō)明�����。在此���,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,但并 不作為對(duì)本發(fā)明的限定����。實(shí)際應(yīng)用場(chǎng)景中存在一些對(duì)安全性要求較高的業(yè)務(wù)�����,比如該些業(yè)務(wù)的用戶(hù)為企業(yè) 用戶(hù)或該些業(yè)務(wù)傳輸?shù)氖瞧髽I(yè)的重要數(shù)據(jù)���,另外也存在一些對(duì)安全性要求較低的業(yè)務(wù)����,比 如該些業(yè)務(wù)的用戶(hù)為個(gè)人用戶(hù)或該些業(yè)務(wù)傳輸HTTP (Hyper Text Transport Protocol,超 文本傳輸協(xié)議)新聞���、娛樂(lè)業(yè)務(wù)�;在傳輸對(duì)安全性要求較低的業(yè)務(wù)時(shí)�����,不必要進(jìn)行加解密處 理和/或一致性檢查�,因此也不必一定采用IKEv2協(xié)商IPSec隧道進(jìn)行業(yè)務(wù)承載��,在業(yè)務(wù)的 安全性要求較低時(shí)�����,完全可以采用非加密隧道進(jìn)行業(yè)務(wù)承載��,從而降低對(duì)用戶(hù)設(shè)備和分組 網(wǎng)關(guān)設(shè)備的處理能力要求�,降低報(bào)文的傳輸時(shí)延及設(shè)備成本?����;诖耍景l(fā)明實(shí)施例提供一種協(xié)商業(yè)務(wù)承載隧道的方法���,如圖1所示����,該協(xié)商業(yè) 務(wù)承載隧道的方法處理流程可以包括步驟101、接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求�,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù) 設(shè)備支持的非加密隧道的信息;步驟102����、在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)��,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧 道的信息�,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道���;步驟103�、發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載 所述業(yè)務(wù)的非加密隧道的信息�。由圖1所示流程可以得知,本發(fā)明實(shí)施例中����,接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述 互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非加密隧道的信息�;在業(yè)務(wù)的安全級(jí)別低于 預(yù)設(shè)級(jí)別時(shí)�,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息,從所述用戶(hù)設(shè)備支持的非加密 隧道中選擇承載所述業(yè)務(wù)的非加密隧道�;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰 交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非加密隧道的信息���,從而完成業(yè)務(wù)承載隧道的協(xié)商����,不 同于現(xiàn)有技術(shù)中對(duì)不同安全級(jí)別的業(yè)務(wù)均采用IKEv2協(xié)商IPkc隧道,而是對(duì)于安全級(jí)別 低于預(yù)設(shè)級(jí)別的業(yè)務(wù)�����,協(xié)商承載該業(yè)務(wù)的非加密隧道��,以便后續(xù)在進(jìn)行業(yè)務(wù)承載時(shí)�����,不進(jìn)行 加解密處理和/或一致性檢查����,降低對(duì)用戶(hù)設(shè)備和分組網(wǎng)關(guān)設(shè)備的處理能力要求,降低報(bào) 文的傳輸時(shí)延及設(shè)備成本�����,提升業(yè)務(wù)的處理效率。具體實(shí)施時(shí)��,圖1所示流程中互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非加 密隧道的信息可以有多種實(shí)現(xiàn)方式��,能夠?qū)崿F(xiàn)由互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支 持的非加密隧道的信息即可��,例如�,可以通過(guò)在互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中加入指示信息, 由該指示信息來(lái)指示用戶(hù)設(shè)備支持的非加密隧道���;該指示信息可以有多種形式���,例如,該指 示信息可以是互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中已有字段的自定義取值�����,可以通過(guò)在互聯(lián)網(wǎng)密鑰 交換認(rèn)證請(qǐng)求中對(duì)某些已有字段設(shè)置自定義取值,由該自定義取值來(lái)指示用戶(hù)設(shè)備支持的9非加密隧道���。為減小對(duì)現(xiàn)有協(xié)議的改動(dòng)���,有利于協(xié)商業(yè)務(wù)承載隧道的用戶(hù)設(shè)備和分組網(wǎng)關(guān)設(shè)備 的后續(xù)演進(jìn),一個(gè)實(shí)施例中�,通過(guò)在互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中對(duì)某些已有字段設(shè)置自定 義取值,由該自定義取值來(lái)指示用戶(hù)設(shè)備支持的非加密隧道��。當(dāng)然�,互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng) 求中可選擇用于設(shè)置自定義取值的字段有多個(gè),有私有值部分(Private use)的字段均可�, 下面以互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中安全提議載荷中協(xié)議標(biāo)識(shí)字段以例進(jìn)行說(shuō)明。為便于理解�����,首先簡(jiǎn)要說(shuō)明IKEv2的三種交互流程及該流程中互聯(lián)網(wǎng)密鑰交換認(rèn) 證請(qǐng)求中安全提議載荷的結(jié)構(gòu)����。IKEv2定義了三種交互初始交互(Initial Exchanges)�、創(chuàng)建子SA交互(CREATE_ CHILD_SA Exchange)以及信息交互(INFORMATIONAL Exchange)��。其中,初始交互此過(guò)程包括四條消息,建立IKE_SA和第一條CHILD_SA (子SA����,即 IPSec_SA)。分為兩個(gè)階段�,分別是 IKE_SA_INIT (IKE_SA 初始化)�����、IKE_AUTH(IKE 認(rèn)證)�, 通過(guò)IKE_SA_INIT階段可以建立IKE_SA�,為后續(xù)的IKEv2消息交換創(chuàng)建一條安全可靠的加 密傳輸通道,也就是說(shuō)后續(xù)的IKEv2協(xié)商消息是通過(guò)這條加密通道進(jìn)行傳輸?shù)?�,協(xié)商消息 在傳輸之前是被加密了的��。通過(guò)IKE_AUTH階段可以建立第一條CHILD_SA����,即創(chuàng)建第一個(gè)用 于傳輸用戶(hù)業(yè)務(wù)數(shù)據(jù)流的IPSec安全隧道。創(chuàng)建子SA交互如果兩臺(tái)安全網(wǎng)關(guān)之間需要建立多條隧道����,則需要進(jìn)行下一階段 的協(xié)商�����,使用IKE_SA生成多個(gè)CHILD_SA��。此過(guò)程包括2條消息�,并經(jīng)過(guò)加密和完整性保護(hù)�。信息交互IKEv2定義了信息交互來(lái)實(shí)現(xiàn)在密鑰協(xié)商期間,通信一方告知對(duì)方發(fā) 生的錯(cuò)誤或通知某些事件�����,此階段在初始交互之后�����,在協(xié)商完成的IKE_SA保護(hù)下進(jìn)行信息 交互����。如刪除IPkc_SA、探測(cè)對(duì)端是否處于存活狀態(tài)等情況下就要進(jìn)行此類(lèi)信息交換��。如圖2所示�,IKEv2的初始交互流程包括IKE_SA初始化(IKE_SA_INIT)階段��,通 過(guò)IKE_SA_INIT階段雙方完成DH(DifTie-Hellman)交換�、Nonce (隨機(jī)數(shù))交換、密碼算法 協(xié)商��,建立IKE_SA����,從而為后續(xù)的IKEv2消息交互建立一條安全可靠的加密傳輸通道,也就 是說(shuō)后續(xù)的IKEv2協(xié)商消息是通過(guò)這條加密通道進(jìn)行傳輸?shù)?���,協(xié)商消息在傳輸之前是被加 密了的。步驟201�����、發(fā)起方anitiator)發(fā)起IKE_SA_INIT請(qǐng)求����,消息中攜帶發(fā)起方分配的 SPI���、建議的密碼算法、DH值����、Nonce ;步驟202���、響應(yīng)方(Responder)返回IKE_SA_INIT應(yīng)答,消息中包含響應(yīng)方分配的 SPI����、DH值、Nonce�����,以及根據(jù)發(fā)起方建議選擇的密碼算法��;KEv2的初始交互流程還包括IKE認(rèn)證(IKE_AUTH)階段��,通過(guò)IKE_AUTH階段雙方 交換ID互相確認(rèn)對(duì)方身份���,并建立第一條CHILD_SA����,該IKE_AUTH階段包括步驟203和步驟 204 步驟203、發(fā)起方發(fā)起IKE_AUTH請(qǐng)求����,消息中攜帶加密的發(fā)起方ID(例如發(fā)起方的 名字或者IP地址等)、前述IKE_SA_INIT請(qǐng)求消息的確認(rèn)字段�、建議的CHILD_SA等�����;步驟204����、響應(yīng)方返回IKE_AUTH應(yīng)答�,消息中包含加密的響應(yīng)方ID、前述IKE_SA_ INIT響應(yīng)消息的確認(rèn)字段,以及根據(jù)發(fā)起方建議選擇的密碼算法���。圖2所示IKE_AUTH階段即步驟203�、204,用于發(fā)起方和響應(yīng)方者通過(guò)AUTH (認(rèn)證) 載荷確認(rèn)雙方的IKE_SA_INIT請(qǐng)求與應(yīng)答�,并協(xié)商創(chuàng)建第一個(gè)用于傳輸用戶(hù)業(yè)務(wù)數(shù)據(jù)流的互聯(lián)網(wǎng)協(xié)議安全聯(lián)盟(IPkc_SA)。協(xié)商IPkc_SA所用載荷為SA��,在RFC4306標(biāo)準(zhǔn)定義中�,SA載荷中包括多個(gè)優(yōu)先級(jí) 不同的安全提議載荷Proposal),用于反映用戶(hù)配置的IPSec安全策略�。每個(gè)安全提議載 荷中包括多個(gè)不同轉(zhuǎn)換載荷(Transforms),用于指定用戶(hù)配置的IPSec安全策略中的加密 算法和/或驗(yàn)證算法�。每個(gè)轉(zhuǎn)換載荷中根據(jù)加密算法或驗(yàn)證算法可以攜帶零個(gè)或多個(gè)不同 的參數(shù)(parameter)��。圖3�����、圖4中分別給出了 RFC4306標(biāo)準(zhǔn)中定義的SA載荷和安全提議 載荷的結(jié)構(gòu)��。圖3中SA載荷中的主要字段包括下一載荷(Next Payload)����、重要性指 示(C :Critical)、保留字段(RESERVED)�、載荷長(zhǎng)度(Payload Length)���、安全提議載荷 (Proposal)���;圖4中安全提議載荷中的主要字段定義及取值如下協(xié)議標(biāo)識(shí)(Protocol ID)用于指示IPSec協(xié)議ID����,取值及含義如表一所示表一 Protocol ID取值及含義Protocol ID說(shuō)明0保留(Reserved)1互聯(lián)網(wǎng)密鑰交換協(xié)議(IKE)2認(rèn)證頭協(xié)議(AH)3封裝安全載荷協(xié)議(ESP)4-200為Internet號(hào)分配機(jī)構(gòu)所保留(Reserve d to IANA)201-255禾A有值(Private use)安全參數(shù)索引大小(SPI Size)指示SPI的以字節(jié)為單位的長(zhǎng)度,如果為0�����,則無(wú) SPI字段����;安全參數(shù)索引(SPI)發(fā)起方的SPI ;#of Transforms 轉(zhuǎn)換載荷的數(shù)目����。為支持通過(guò)IKEv2協(xié)商非加密隧道,實(shí)現(xiàn)互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求指示用戶(hù)設(shè)備 支持的非加密隧道�,本例中,對(duì)安全提議載荷中協(xié)議標(biāo)識(shí)(Protocol ID)字段私有值部分 進(jìn)行了自定義���,預(yù)定義安全提議載荷中協(xié)議標(biāo)識(shí)字段的取值與非加密隧道的對(duì)應(yīng)關(guān)系�����,從 而在后續(xù)發(fā)送的互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中,通過(guò)設(shè)置安全提議載荷中協(xié)議標(biāo)識(shí)字段的取 值�����,以指示用戶(hù)設(shè)備支持的非加密隧道���。表二舉例說(shuō)明了對(duì)協(xié)議標(biāo)識(shí)字段私有值部分的一 種自定義示例表二 Protocol ID字段私有值部分定義
權(quán)利要求
1.一種協(xié)商業(yè)務(wù)承載隧道的方法����,其特征在于,該方法包括接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非 加密隧道的信息�����;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)��,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息�,從 所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非 加密隧道的信息。
2.如權(quán)利要求1所述的方法��,其特征在于����,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇 承載所述業(yè)務(wù)的非加密隧道之前���,還包括在接入第三代合作伙伴計(jì)劃3GPP或長(zhǎng)期演進(jìn)LTE網(wǎng)絡(luò)時(shí)��,根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn) 證請(qǐng)求中的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)名稱(chēng)��,以及預(yù)設(shè)的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)名稱(chēng)與業(yè)務(wù)的安全級(jí)別 的對(duì)應(yīng)關(guān)系�,確定業(yè)務(wù)的安全級(jí)別�;或,在接入3GPP2網(wǎng)絡(luò)時(shí)��,根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中的域名��,以及預(yù)設(shè)的域名 與業(yè)務(wù)的安全級(jí)別的對(duì)應(yīng)關(guān)系�,確定業(yè)務(wù)的安全級(jí)別�����。
3.如權(quán)利要求1所述的方法,其特征在于����,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇 承載所述業(yè)務(wù)的非加密隧道之前,還包括讀取所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中攜帶的指示信息���,該指示信息指示所述用戶(hù)設(shè)備 支持的非加密隧道���,根據(jù)該指示信息�,確定所述用戶(hù)設(shè)備支持的非加密隧道;和/或�,所述發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載 所述業(yè)務(wù)的非加密隧道的信息,包括在發(fā)送的所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答中���,攜帶指示信息����,該指示信息指示承載所述 業(yè)務(wù)的非加密隧道����。
4.如權(quán)利要求3所述的方法����,其特征在于,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中攜帶的指 示信息����,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中已有字段的自定義取值;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答中攜帶的指示信息�����,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng) 答中已有字段的自定義取值�����。
5.如權(quán)利要求1所述的方法�����,其特征在于���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求還攜帶所述 用戶(hù)設(shè)備支持的加密隧道的信息;所述方法還包括在業(yè)務(wù)的安全級(jí)別高于預(yù)設(shè)級(jí)別時(shí)���,根據(jù)所述用戶(hù)設(shè)備支持的加密隧道的信息����,從所 述用戶(hù)設(shè)備支持的加密隧道中選擇承載所述業(yè)務(wù)的加密隧道�����;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答還攜帶承載所述業(yè)務(wù)的加密隧道的信息�����。
6.一種協(xié)商業(yè)務(wù)承載隧道的方法��,其特征在于�����,該方法包括發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非 加密隧道的信息����;接收互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非 加密隧道的信息���,所述承載所述業(yè)務(wù)的非加密隧道是分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù)的安全級(jí)別低于 預(yù)設(shè)級(jí)別時(shí)��,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息從所述用戶(hù)設(shè)備支持的非加密隧 道中選擇的����。
7.如權(quán)利要求6所述的方法��,其特征在于���,發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求�����,所述互聯(lián)網(wǎng) 密鑰交換認(rèn)證請(qǐng)求攜帶所述用戶(hù)設(shè)備支持的非加密隧道的信息���,包括在發(fā)送的所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中,攜帶指示信息�,該指示信息指示所述用戶(hù) 設(shè)備支持的非加密隧道;和/或,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非加密隧道的信息�����,包括所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶指示信息����,該指示信息指示承載所述業(yè)務(wù)的非加密 隧道�。
8.如權(quán)利要求7所述的方法����,其特征在于,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中攜帶的指 示信息����,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中已有字段的自定義取值;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶的指示信息����,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答 中已有字段的自定義取值�����。
9.如權(quán)利要求6所述的方法����,其特征在于�����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求還攜帶所述 用戶(hù)設(shè)備支持的加密隧道的信息����;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答還攜帶承載所述業(yè)務(wù)的加密隧道的信息,所述承載所述 業(yè)務(wù)的加密隧道是分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù)的安全級(jí)別高于預(yù)設(shè)級(jí)別時(shí)��,根據(jù)所述用戶(hù)設(shè)備支 持的加密隧道的信息��,從所述用戶(hù)設(shè)備支持的加密隧道中選擇的����。
10.一種分組網(wǎng)關(guān)設(shè)備�,其特征在于����,該設(shè)備包括接收模塊,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用 戶(hù)設(shè)備支持的非加密隧道的信息�;選擇模塊,用于在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)�����,根據(jù)所述用戶(hù)設(shè)備支持的非加密 隧道的信息���,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道�;發(fā)送模塊���,用于發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�����,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承 載所述業(yè)務(wù)的非加密隧道的信息��。
11.如權(quán)利要求10所述的分組網(wǎng)關(guān)設(shè)備��,其特征在于�����,還包括第一確定模塊����,用于在接入3GPP或LTE網(wǎng)絡(luò)時(shí),根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn) 名稱(chēng)��,以及預(yù)設(shè)的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)名稱(chēng)與業(yè)務(wù)的安全級(jí)別的對(duì)應(yīng)關(guān)系����,確定業(yè)務(wù)的安全 級(jí)別;或�,在接入3GPP2網(wǎng)絡(luò)時(shí),根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中的域名�,以及預(yù)設(shè)的域名 與業(yè)務(wù)的安全級(jí)別的對(duì)應(yīng)關(guān)系,確定業(yè)務(wù)的安全級(jí)別��。
12.如權(quán)利要求10所述的分組網(wǎng)關(guān)設(shè)備����,其特征在于���,還包括第二確定模塊,用于讀取所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中攜帶的指示信息�,該指示信 息指示所述用戶(hù)設(shè)備支持的非加密隧道;根據(jù)該指示信息�,確定所述用戶(hù)設(shè)備支持的非加 密隧道;和/或����,所述發(fā)送模塊具體用于在發(fā)送的所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答中,攜帶指示信息���,該指示信息指示承載所述 業(yè)務(wù)的非加密隧道。
13.如權(quán)利要求12所述的分組網(wǎng)關(guān)設(shè)備�,其特征在于,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求 中攜帶的指示信息�����,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中已有字段的自定義取值����;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答中攜帶的指示信息�,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng) 答中已有字段的自定義取值�。
14.如權(quán)利要求10所述的分組網(wǎng)關(guān)設(shè)備,其特征在于���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求 還攜帶所述用戶(hù)設(shè)備支持的加密隧道的信息�����;所述選擇模塊還用于在業(yè)務(wù)的安全級(jí)別高于預(yù)設(shè)級(jí)別時(shí)�,根據(jù)所述用戶(hù)設(shè)備支持的 加密隧道的信息�����,從所述用戶(hù)設(shè)備支持的加密隧道中選擇承載所述業(yè)務(wù)的加密隧道�����;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答還攜帶承載所述業(yè)務(wù)的加密隧道的信息�����。
15.一種用戶(hù)設(shè)備�,其特征在于,包括發(fā)送模塊���,用于發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶所 述用戶(hù)設(shè)備支持的非加密隧道的信息����;接收模塊,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承 載所述業(yè)務(wù)的非加密隧道的信息��,所述承載所述業(yè)務(wù)的非加密隧道是分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù) 的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)���,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息從所述用戶(hù)設(shè)備 支持的非加密隧道中選擇的。
16.如權(quán)利要求15所述的用戶(hù)設(shè)備��,其特征在于��,所述發(fā)送模塊具體用于在發(fā)送的所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中��,攜帶指示信息�����,該指示信息指示所述用戶(hù) 設(shè)備支持的非加密隧道��;和/或���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非加密隧道的信息�����,包括所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶指示信息�����,該指示信息指示承載所述業(yè)務(wù)的非加密 隧道�����。
17.如權(quán)利要求16所述的用戶(hù)設(shè)備����,其特征在于��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中攜 帶的指示信息��,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中已有字段的自定義取值��;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶的指示信息,是指所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答 中已有字段的自定義取值�。
18.如權(quán)利要求15所述的用戶(hù)設(shè)備,其特征在于���,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求還攜 帶所述用戶(hù)設(shè)備支持的加密隧道的信息����;所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答還攜帶承載所述業(yè)務(wù)的加密隧道的信息��,所述承載所述 業(yè)務(wù)的加密隧道是分組網(wǎng)關(guān)設(shè)備在業(yè)務(wù)的安全級(jí)別高于預(yù)設(shè)級(jí)別時(shí),根據(jù)所述用戶(hù)設(shè)備支 持的加密隧道的信息�,從所述用戶(hù)設(shè)備支持的加密隧道中選擇的。
19.一種通信系統(tǒng)���,其特征在于�����,包括分組網(wǎng)關(guān)設(shè)備����,用于接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜 帶用戶(hù)設(shè)備支持的非加密隧道的信息�����;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)���,根據(jù)所述用戶(hù) 設(shè)備支持的非加密隧道的信息��,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的 非加密隧道��;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答�,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述 業(yè)務(wù)的非加密隧道的信息�����;所述用戶(hù)設(shè)備���,用于發(fā)送所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求��;接收所述互聯(lián)網(wǎng)密鑰交換認(rèn) 證應(yīng)答�。
20.如權(quán)利要求19所述的通信系統(tǒng),其特征在于��,所述分組網(wǎng)關(guān)設(shè)備進(jìn)一步用于在接入第三代合作伙伴計(jì)劃3GPP或長(zhǎng)期演進(jìn)LTE網(wǎng)絡(luò)時(shí),根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)名稱(chēng)�,以及預(yù)設(shè)的無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)名稱(chēng)與業(yè)務(wù)的安全級(jí)別 的對(duì)應(yīng)關(guān)系,確定業(yè)務(wù)的安全級(jí)別��;或���,在接入3GPP2網(wǎng)絡(luò)時(shí)�����,根據(jù)所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求中的域名���,以及預(yù)設(shè)的域名 與業(yè)務(wù)的安全級(jí)別的對(duì)應(yīng)關(guān)系,確定業(yè)務(wù)的安全級(jí)別�����。
全文摘要
本發(fā)明公開(kāi)了一種協(xié)商業(yè)務(wù)承載隧道的方法���,該方法包括接收互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證請(qǐng)求攜帶用戶(hù)設(shè)備支持的非加密隧道的信息����;在業(yè)務(wù)的安全級(jí)別低于預(yù)設(shè)級(jí)別時(shí)����,根據(jù)所述用戶(hù)設(shè)備支持的非加密隧道的信息,從所述用戶(hù)設(shè)備支持的非加密隧道中選擇承載所述業(yè)務(wù)的非加密隧道���;發(fā)送互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答��,所述互聯(lián)網(wǎng)密鑰交換認(rèn)證應(yīng)答攜帶承載所述業(yè)務(wù)的非加密隧道的信息��。本發(fā)明同時(shí)公開(kāi)一種分組網(wǎng)關(guān)設(shè)備���、用戶(hù)設(shè)備和通信系統(tǒng)。采用本發(fā)明可以協(xié)商承載業(yè)務(wù)的非加密隧道�����,以便在后續(xù)進(jìn)行業(yè)務(wù)承載時(shí),不進(jìn)行加解密處理和/或一致性檢查����,降低報(bào)文的傳輸時(shí)延及設(shè)備成本。
文檔編號(hào)H04L12/46GK102055733SQ20091020942
公開(kāi)日2011年5月11日 申請(qǐng)日期2009年10月30日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者武二華, 蔡安寧, 高曉峰 申請(qǐng)人:華為技術(shù)有限公司