一种ip会话标识方法、装置和系统的制作方法

文档序号:7920771阅读:142来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种ip会话标识方法、装置和系统的制作方法
技术领域
本发明涉及通信技术领域,特别是涉及一种IP会话标识方法、装置和系统。
背景技术
在接入网中,IP会话(session)代表了与一个用户(Subscriber/user)设备的IP地址关联的网络接入连接会话,IP Session与点到点的链路层协议会话(Point-to-PointProtocol Session, PPP Session)是对等的,用户设备会话(Subscriber Session)是IPSession和PPP Session的统称。PPP Session采用特有的PPP存活检测机制,版本4的IP协议(IP vision 4, IPv4)会话采用特有的双向转发检测(Bidirectional ForwardingDetection, BFD)/地址解析协议(AddressResolution Protocol, ARP)存活检测机制。
IP Session通常在IP边缘设备(IP Edge device),例如宽带网络网关(Broadband Network Gateway, BNG) /宽带接入月艮务器(Broadband RemoteAccess Server,BRAS)上终结,IP Session的另一侧通常在用户设备,例如家庭网关(Home Gateway, HGW)或HGW之后的用户终端设备(User Equipment, UE)上终结,S卩,IP Session是在用户设备与IP边缘设备建立的一条会话连接。 IP Session用于网络对用户接入网络的管理,如计费、状态等。 在实现本发明的过程中,发明人发现现有技术至少存在以下问题 现有技术IP Session的数据通信过程与认证过程/IP地址分配过程没有耦合关
系,容易出现虽然认证通过,但在IP Session的数据通信过程中,还是有可能被攻击者通过
伪造IP地址或MAC地址假冒,存在较大安全隐患。

发明内容
本发明实施例提供了一种IP会话标识方法、装置和系统,通过检验IP会话中是否
加入按照预设规则生成的IP会话标识,实现对IP会话的过滤,从而,使IP会话在数据通信
过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性。 为达到上述目的,本发明实施例一方面提出一种IP会话标识方法,包括以下步
骤 根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识; 根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述的IP会话标识生成规则根据IP会话标识参数生成; 当所述接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
另一方面,本发明实施例还提出一种网络网关,包括
生成模块,用于根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配 过程中为IP会话生成IP会话标识; 第一判断模块,用于根据所述生成模块生成的IP会话标识,判断接收到的所述IP 会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备 按照所述IP会话标识生成规则根据IP会话标识参数生成; 处理模块,用于当所述第一判断模块判断接收到的所述IP会话的报文中预设的 IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述第一判断模块判断接 收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述 报文。 另一方面,本发明实施例还提出一种用户设备,包括
接收模块,用于接收网络网关发送的IP会话标识生成规则; 生成模块,用于根据所述接收模块接收的所述IP会话标识生成规则,生成IP会话 的IP会话标识; 发送模块,用于向所述网络网关发送报文,所述报文中预设的IP会话标识域内包 含所述生成模块生成的IP会话标识。 另一方面,本发明实施例还提出一种IP会话处理系统,包括用户设备和网络网 关 所述用户设备,用于接收所述网络网关发送的IP会话标识生成规则,按照所述IP 会话标识生成规则生成相应的IP会话标识,并向所述网络网关发送预设的IP会话标识域 内包含所述IP会话标识的报文; 所述网络网关,用于设置所述IP会话标识生成规则,将所述IP会话标识生成规则 发送给所述用户设备,按照所述IP会话标识生成规则在认证过程和/或IP地址分配过程 中为IP会话生成IP会话标识,并根据所述IP会话标识对所述IP会话进行过滤。
本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。


为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的 附图。
图1为本发明实施例一提出的一种IP会话标识方法的流程示意图 图2为本发明实施例一提出的一种IP会话标识方法的流程示意图 图3为本发明实施例二提出的一种IP会话处理系统的结构示意图


图4为本发明实施例三提出的一种动态IPv6Session中的IP会话标识方法的、》
'右
程示意图; 图5为本发明实施例四提出的另一种动态IPv6Session中的IP会话标识方法的流程示意图; 图6为本发明实施例五提出的另一种动态IPv6Session中的IP会话标识方法的 流程示意图; 图7为本发明实施例六提出的另一种动态IPv6Session中的IP会话标识方法的 流程示意图; 图8为本发明实施例七提出的另一种动态IPv6Session中的IP会话标识方法的 流程示意图; 图9为本发明实施例八提出的一种静态IPv6Session中的IP会话标识方法的流 程示意图。
具体实施例方式
本发明实施例提出了一种IP会话标识方法、装置和系统。该技术方案的具体内容 是在IPv6的流标签(Flow label)中设定IPv6Session ID域,或者在IPv6地址中设定 IPv6Session ID域(例如,IPv6地址前缀),IPv6Session ID在用户认证/IP地址分配过 程成功后,按Subscriber与运营商约定的规则产生,实现IPv6Session与认证过程/IP地 址分配过程的耦合。 IPv6Session ID在IP Session存活过程中保持不变,BNG对接收到的数据包进行 IPv6Session ID的过滤,有效地防止攻击者通过伪造IP地址或MAC地址假冒,解决了共享 介质接入的安全。 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基 于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其 他实施例,都属于本发明保护的范围。 如图1所示,为本发明实施例一提出的一种IP会话标识方法的流程示意图,该方 法包括以下步骤 步骤S101、网络网关根据预设的IP会话标识生成规则,在认证过程和/或IP地址 分配过程中为IP会话生成IP会话标识。 具体的,为方便描述,本发明实施例中以IPv6会话(IPv6Session)为例进行说明,
但是,需要进一步指出的是,其他符合本发明实施例实施场景要求的会话也同样属于本发
明的保护范围,这一点在全文均适用,后文不再重复强调。 IPv6Session分为动态IPv6Session禾口静态IPv6Session。 其中,动态IPv6Session可以被动态创建和终止,静态IPv6Session则只能被静态 配置生成。 本发明实施例所提出的技术方案是在IPv6的流标签(IPv6Flow label)中设定 IPv6Session ID域或者在IPv6地址中设定IPv6Session ID域(例如,IPv6地址前缀)。对 于动态IP Session,可通过认证Session ID和动态主机分配协议执行标识(Dynamic Host Configuration Protocol Transaction ID, DHCPT屋saction ID,简称xid)按约定的规则 映射到IPv6Flow label的IPv6SessionlD域,产生IPv6Session ID ;或者,Subsriber可通 过DHCP PD或无状态地址自动分配过程(StateLess Address AutoConf iguration, SLAAC)的IPv6地址前缀,然后按约定的规则映射作为IPv6Session ID,即将Subsriber的IPv6地 址前缀与IPv6Session进行绑定。;对于静态IP Session,可根据IPv6地址/IPv6地址前 缀按约定的规则产生IPv6Session ID。 IPv6Session ID产生规则对于动态IPv6Session,可以在IPv6Session建立前通 过技术规范TR069的方式动态配置到用户设备上,或者在认证/IP地址分配成功后通过认 证协议/DHCP动态配置到用户设备上;对于静态IPv6Session, IPv6Session ID产生规则可 以静态配置,即在步骤S101之前,还包括以下两种情况 当IP会话为动态IP会话时,在网络网关中设置IP会话标识生成规则,并通过向 用户设备发送认证确认消息或地址分配响应消息,在用户设备中设置IP会话标识生成规 则; 当IP会话为静态IP会话时,在网络网关和用户设备设置IP会话标识生成规则。
对应上述的两种情况,步骤S101的具体内容也相应的分为两种情况
当IP会话为动态IP会话时,按照预设的IP会话标识生成规则,根据通过地址分 配前缀委派或通过路由器通告(router advertisement)所得到的IP会话地址前缀,或认 证确认消息中的认证识别符,或地址分配响应消息中的执行标识,在认证过程和/或IP地 址分配过程中为IP会话生成IP会话标识; 当IP会话为静态IP会话时,按照预设的IP会话标识生成规则,根据用户设备中 预设的IP会话地址或IP会话地址前缀,在IP地址分配过程中为IP会话生成IP会话标识。
需要进一步指出的是,当IP会话为动态IP会话时,按照地址分配响应消息中的执 行标识生成IP会话标识之后,还包括以下步骤 当IP会话的IP地址分配结果发生更新时,按照预设的IP会话标识生成规则,根 据更新的地址分配响应消息中的执行标识,为IP会话生成更新的IP会话标识。
IPv6Session ID在IP Session存活过程中不变。
IPv6Session由IPv6Session ID进行标识。 步骤S102、根据网络网关生成的IP会话标识,网络网关判断接收到的IP会话的报 文中预设的IP会话标识域内是否含有IP会话标识。 其中,该IP会话标识为用户设备按照IP会话标识生成规则根据IP会话标识参数 生成。 当网络网关判断接收到的IP会话的报文中预设的IP会话标识域内含有IP会话 标识时,转入步骤S103 ; 当网络网关判断接收到的IP会话的报文中预设的IP会话标识域内未含有IP会
话标识时,转入步骤S104。 步骤S103、网络网关允许报文通过。 即发送该报文的用户设备是通过认证的用户设备,该报文安全,允许该报文通过。
步骤S104、网络网关丢弃报文。 即发送该报文的用户设备不是通过认证的用户设备,由于该报文的安全性未知, 所以将该报文丢弃。 进一步的,当IP会话为动态IP会话时,上述的方法还包括
当IP会话终止时,释放IP会话标识。
进一步的,上述的步骤S102在具体的应用环境中,也可以分为两次判断,相对于 上述的如图1所示的IP会话标识方法,包含两次判断过程的IP会话标识方法的具体实现 过程如图2所示,包括以下步骤 步骤S201、网络网关根据预设的IP会话标识生成规则,在认证过程和/或IP地址 分配过程中为IP会话生成IP会话标识。 本步骤与步骤SIOI的具体说明内容相同,本实施例不再重复叙述。
步骤S202、网络网关判断接收到的IP会话的报文中是否含有IP会话标识。
S卩,网络网关识别接收到的IP会话的报文中是否含有与该网络网关根据预设的 IP会话标识生成规则所生成的IP会话标识相同的IP会话标识。 当网络网关判断接收到的IP会话的报文中含有IP会话标识时,转入步骤S203 ;
当网络网关判断接收到的IP会话的报文中未含有IP会话标识时,转入步骤S205。
步骤S203、网络网关判断IP会话标识与发送该IP会话的地址是否符合预设的绑 定关系表。 在本步骤中,网络网关判断接收到的IP会话的报文中含有该IP会话标识时,进一 步判断发送该IP会话的地址与该IP会话标识的对应关系是否与预设的绑定关系表中的信 息相一致,判断接收到的IP会话的报文是否来自预设的MAC地址或接入端口,即判断该IP 会话是否是认证通过的端口发起的符合认证要求的IP会话。 其中的绑定关系表具体是在用户设备完成认证时所生成的IP会话标识与用户设 备MAC地址或接入端口的绑定关系表。 其中,接入端口可以是接入物理端口 (如数字用户线端口或无源光网络物理接 口 ),也可以是接入逻辑端口 (如虚拟局域网端口或千兆无源光网络封装模式端口 )。
当网络网关判断IP会话标识与发送该IP会话的地址符合预设的绑定关系表时, 转入步骤S204 ; 当网络网关判断IP会话标识与发送该IP会话的地址不符合预设的绑定关系表 时,转入步骤S205。 步骤S204 、网络网关允许报文通过。 即发送该报文的用户设备是通过认证的用户设备,该报文安全,允许该报文通过。
步骤S205、网络网关丢弃报文。 即发送该报文的用户设备不是通过认证的用户设备,由于该报文的安全性未知, 所以将该报文丢弃。 进一步的,当IP会话为动态IP会话时,上述的方法还包括
当IP会话终止时,释放IP会话标识。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应本发明实施例一所提出的技术方案,本发明实施例二提出了一种IP会话处 理系统,结构示意图如图3所示,包括用户设备1和网络网关2 : 用户设备1,用于接收网络网关2发送的IP会话标识生成规则,按照IP会话标识生成规则生成相应的IP会话标识,并向网络网关2发送包含IP会话标识的报文,包括
接收模块ll,用于接收网络网关2发送的IP会话标识生成规则;
生成模块12,用于根据接收模块11接收的IP会话标识生成规则,生成IP会话的 IP会话标识; 发送模块13,用于向网络网关2发送报文,报文中包含生成模块12生成的IP会话 标识。 进一步的,用户设备l还包括 设置模块14,用于设置IP会话地址或IP会话地址前缀,以为生成模块12提供生 成IP会话标识的依据信息。 网络网关2,用于设置IP会话标识生成规则,将IP会话标识生成规则发送给用户 设备1,按照IP会话标识生成规则在认证过程和/或IP地址分配过程中为IP会话生成IP 会话标识,并根据IP会话标识对IP会话进行过滤,具体包括 设置模块21,用于在网络网关2设置IP会话标识生成规则和绑定关系表;
发送模块22,用于将设置模块21设置的IP会话标识生成规则发送给用户设备1, 以在用户设备1中设置IP会话标识生成规则; 生成模块23,用于根据设置模块21预设的IP会话标识生成规则,在认证过程和/ 或IP地址分配过程中为IP会话生成IP会话标识,该模块具体包括 获取子模块231,用于通过地址分配前缀委派或通过路由器通告获取IP会话地址 前缀,或在认证确认消息中获取认证识别符,或在地址分配响应消息中获取执行标识,或获 取用户设备1中预设的IP会话地址或IP会话地址前缀; 生成子模块232,用于根据获取子模块231所获取的IP会话地址前缀,或认证识别 符,或执行标识,或用户设备1中预设的IP会话地址或IP会话地址前缀,按照设置模块21 预设的IP会话标识生成规则,为IP会话生成IP会话标识; 更新子模块233,用于当IP会话的IP地址分配结果发生更新时,按照设置模块21 预设的IP会话标识生成规则,根据获取子模块231获取的更新的地址分配响应消息中的执 行标识,为IP会话生成更新的IP会话标识。 第一判断模块24,用于根据生成模块23生成的IP会话标识,判断接收到的IP会 话的报文中预设的IP会话标识域内是否含有IP会话标识。 其中,该IP会话标识为用户设备按照IP会话标识生成规则根据IP会话标识参数 生成。 处理模块26,用于当第一判断模块24判断接收到的IP会话的报文中预设的IP会 话标识域内含有IP会话标识时,允许报文通过;当第一判断模块24判断接收到的IP会话 的报文中预设的IP会话标识域内未含有IP会话标识时,丢弃报文。
释放模块27,用于当IP会话终止时,释放生成模块23所生成的IP会话标识。
进一步的,网络网关2还可以包括 第二判断模块25,用于判断IP会话标识与发送IP会话的地址是否符合设置模块 21所设置的绑定关系表; 当网络网关2含有第二判断模块25时,处理模块26还用于当第二判断模块24判 断IP会话标识与发送IP会话的地址符合预设的绑定关系表时,允许报文通过;当第一判断模块24判断接收到的IP会话的报文中未含有IP会话标识,或第二判断模块25判断IP会 话标识与发送IP会话的地址不符合预设的绑定关系表时,丢弃该报文。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一 个模块,也可以进一步拆分成多个子模块。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的系统,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例三提出了一种 动态IPv6Session中的IP会话标识方法,该方法在认证阶段进行IP会话标识的创建,具体 方法流程图如图4所示,包括以下步骤 步骤S401、用户(Subscriber)设备通过BNG到认证服务器进行EAP认证。
其中,BNG即为前述本发明实施例中所提及的网络网关,用户设备在具体的应用环 境中即为Subscriber,可以具体为一个接入的用户终端,也可以是连接有多个终端的网络 接入设备,如家庭网关,这一点在后文的实施例中也是一致的,后文不再重复叙述,具体名 称的变化并不影响本发明的保护范围。 步骤S402、当用户设备的EAP认证成功时,EAP Success消息由认证服务器通过 BNG发送给用户设备,并在该用户所对应的用户设备中配置IPv6Session ID产生规则。
步骤S403、当用户设备的EAP认证成功后,用户设备启动DHCP PD (Prefix Delegation,前缀委派),产生DHCP Transaction ID(简称xid),用户设备可根据EAP Success消息的EAP Identifier按一定的规则产生xid,如果采用PANA,还可根据PANA Session ID按一定的规则产生xid。 步骤S404、用户设备通过DHCP PD申请IPv6地址前缀,在IPv6地址前缀委派过程 中,所有DHCP消息的xid保持不变。 需要指出的是,由于在DHCP PD过程之前缺乏象PPP的Session ID协商过程,所 以xid就相当于IP Session ID,在同一个IP Session的生命周期内保持一致;如果对用 户设备进行IPv6地址前缀重新分配(renumbering),则认为由一个旧的IP Session更新为 新的IP Session, xid也将随着新的IP Session进行变化。 步骤S405、当IPv6地址前缀委派成功,DHCP服务器通过DHCP R印ly消息将IPv6 地址前缀发送给用户设备。 步骤S406、 BNG和用户设备可根据DHCP R印ly消息委派的IPv6地址前缀作为 IPv6Session ID。 即将IPv6地址前缀与IPv6Session绑定,进一步的,还可以对IPv6SessionlD与 用户设备的MAC地址/或接入端口绑定,形成绑定关系表。 需要指出的是,如果对Subscriber进行IPv6地址前缀重新分配,则认为由一个旧 的IP Session更新为新的IP Session, IP Session ID也将随着新的IPv6地址前缀的重 新分配由新的DHCP R印ly消息触发产生。 步骤S407、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 BNG对接收到的由用户设备发送的所有报文进行检测,判断其中是否含有IPv6Session ID,当报文中含有IPv6Session ID时,进一步将报文中的IPv6Session ID 与BNG根据前述的IPv6Session ID产生规则所生成的IPv6Session ID相比较,判断两个 IPv6Session ID是否相同。 当两个IPv6Session ID相同时,判断两个IPv6Session ID均是根据前述 IPv6Session ID产生规则生成的,则BNG进一步根据预设的IPv6SessionlD与用户设备的 MAC地址/或接入端口绑定关系过滤IP会话的报文,即BNG通过检查预设的绑定关系表,判 断接收到的IP会话的报文是否来自预设的MAC地址或接入端口 。 当网络网关判断接收到的IP会话的报文来自预设的MAC地址或接入端口时,即判 定发送该报文的用户设备是通过认证的用户设备,BNG允许该用户设备发送的报文通过。
当网络网关判断接收到的IP会话的报文并非来自预设的MAC地址或接入端口时, BNG将该报文进行丢弃。 相对应的,当检测所接收到的报文不含有IPv6Session ID,或者所含有的
IPv6Session ID与BNG根据前述的IPv6Session ID产生规则所生成的IPv6Session ID不
同时,判断发送该报文的用户设备不是通过认证的用户设备,BNG直接将该报文进行丢弃。
需要进一步指出的是,在后文的实施例中,BNG对接收到的IPv6报文的IPv6Session ID进
行过滤的过程与本步骤是一致的,后文不再重复叙述。 步骤S408、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S409、通过携带IPv6Session ID的存活监控报文(ke印alive)进行数据通 信状态存活监控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的 IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S408和步骤S409在具体实施环境中,没有必然的时间先后关
系,两个步骤顺序的改变并不影响本发明的保护范围。 步骤S410、 IPv6地址前缀被释放或被重新分配(renumbering)。 IPv6地址前缀被释放或被重新分配(renumbering)时,则认为由一个旧的IP
Session更新为新的IP Session,即判断为当前IPv6会话终止。 步骤S411、 IPv6Session ID释放。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例四提出了另一 种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的 创建,具体方法流程图如图5所示,包括以下步骤
步骤S501、用户设备通过BNG到认证服务器进行EAP认证。 步骤S502、当用户设备的EAP认证成功时,EAP Success消息由认证服务器通过 BNG发送给用户设备,并在该用户设备中配置IPv6Session ID产生规则。
步骤S503、当用户设备的EAP认证成功后,用户设备启动SLAAC,向BNG发出路由 器恳求RS(Router Solicitation)消息。 步骤S504、 BNG收到RS消息后,向用户设备发送路由器宣告 RA(RouterAdvertisement)消息。 RA消息的源地址是BNG的IPv6地址,RA消息包含IPv6地址前缀。 步骤S505、BNG和用户设备可根据RA消息携带的IPv6地址前缀作为IPv6SessionID。 即将IPv6地址前缀与IPv6Session绑定,进一步的,还可以对IPv6SessionlD与 用户设备MAC地址/或接入端口绑定,形成绑定关系表; 需要指出的是,如果对Subscriber进行IPv6地址前缀重新分配,则认为由一个旧 的IP Session更新为新的IP Session, IP Session ID也将随着新的IPv6地址前缀的重 新分配由新的RA消息触发产生。 步骤S506、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 步骤S507、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S508、通过携带IPv6Session ID的存活监控报文(ke印alive)进行数据通 信状态存活监控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的 IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S507和步骤S508在具体实施环境中,没有必然的时间先后关
系,两个步骤顺序的改变并不影响本发明的保护范围。 步骤S509、 IPv6地址前缀被释放或被重新分配(renumbering)。 IPv6地址前缀被释放或被重新分配(renumbering)时,则认为由一个旧的IP
Session更新为新的IP Session,即判断为当前IPv6会话终止。 步骤S510、 IPv6Session ID释放。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例五提出了另一 种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的 创建,具体方法流程图如图6所示,包括以下步骤
步骤S601、用户设备通过BNG到认证服务器进行EAP认证。 步骤S602、当用户设备EAP认证成功,EAP Success消息由认证服务器通过BNG发 送给用户设备,并在该用户设备中配置IPv6Session ID产生规则。 步骤S603、 BNG和用户设备根据IPv6Session ID产生规则,分别为BNG和用户设 备生成IPv6Session ID。BNG和用户设备可根据EAP Success消息的EAP Identifier按 一 定的规则产生IPv6Session ID ;如果采用PANA,还可根据PANA Session ID按一定的规则产生 IPv6Session ID。 步骤S604、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 步骤S605、用户设备通过无状态或有状态地址分配方式申请IPv6地址。 在IPv6地址分配过程中,所有的上行消息皆携带根据认证成功后确定的
IPv6Session ID产生规则所产生的IPv6Session ID。 步骤S606、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S607、通过携带IPv6Session ID的存活监控报文(ke印alive)进行数据通 信状态存活监控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的 IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S606和步骤S607在具体实施环境中,没有必然的时间先后关 系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S608、 IPv6地址被释放。 步骤S609、 IPv6Session被终止,IPv6Session ID释放。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例六提出了另一 种动态IPv6Session中的IP会话标识方法,该方法在IP地址分配阶段进行IP会话标识的 创建,具体方法流程图如图7所示,包括以下步骤
步骤S701、用户设备通过BNG到认证服务器进行EAP认证。 步骤S702、当用户设备EAP认证成功,EAP Success消息由认证服务器通过BNG发 送给用户设备,并配置IPv6Session ID产生规则。 步骤S703、当用户设备EAP认证成功后,用户设备启动有状态地址分配,产生DHCP Transaction ID(简称xid);用户设备可根据EAP Success消息的EAP Identifier按一定 的规则产生xid;如果采用PANA,还可根据PANA Session ID按一定的规则产生xid。
步骤S704、用户设备通过有状态地址分配方式申请IPv6地址,在IPv6地址分配过 程中,所有DHCP消息的xid保持不变。 需要进一步指出的是,由于在DHCP地址分配过程之前缺乏像PPP的Session ID 协商过程,所以xid就相当于IP Session ID,建议在同一个IPSession的生命周期内保持 一致;如果DHCP过程通过reconfigure消息更换IP地址,则认为由一个旧的IP Session 更新为新的IP Session, xid也将随着新的IP Session进行变化。 步骤S705、当IPv6地址申请成功,DHCP服务器通过DHCP R印ly消息将IPv6地址 发送给用户设备。 步骤S706、 BNG和用户设备可根据DHCP R印ly消息的DHCPTransaction ID按一定的规则产生IPv6Session ID。 需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址, 则认为由一个旧的IP Session更新为新的IP Session, IP SessionID也将随着新的IP地 址的重新分配由新的DHCP R印ly消息触发产生。 步骤S707、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 步骤S708、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S709、通过携带IPv6Session ID的存活监控报文进行数据通信状态存活监 控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的 IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S708和步骤S709在具体实施环境中,没有必然的时间先后关 系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S710、 IPv6地址被释放。 步骤S711、 IPv6Session被终止,IPv6Session ID释放。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加 入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话 在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效 果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例七提出了另一 种动态IPv6Session中的IP会话标识方法,在本方法中,IP地址分配阶段和认证阶段是合 并的,本方法在该阶段进行IP会话标识的创建,具体方法流程图如图8所示,包括以下步 骤 步骤S801、用户设备产生DHCP Transaction ID(简称xid)。 步骤S802、用户设备通过DHCP认证,实现用户设备认证和有状态地址分配,在 DHCP认证过程中,所有DHCP消息的xid保持不变。 需要进一步指出的是,由于在DHCP地址分配过程之前缺乏象PPP的Session ID 协商过程,所以xid就相当于IP Session ID,建议在同一个IPSession的生命周期内保 持一致;如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session, xid也将随着新的IP Session进行变化。
步骤S803、当DHCP认证成功,BNG通过DHCP R印ly消息将IPv6地址发送给用户 设备,通知用户设备认证成功,并配置IPv6Session ID产生规则。 需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址, 则认为由一个旧的IP Session更新为新的IP Session, IP SessionID也将随着新的IP地 址的重新分配由新的DHCP R印ly消息触发产生。 步骤S804、 BNG和用户设备可根据DHCP R印ly消息的DHCPTransaction ID按认 证成功后确定的IPv6Session ID产生规则产生IPv6Session ID。 需要进一步指出的是,如果DHCP过程通过reconfigure/renew消息更换IP地址,则认为由一个旧的IP Session更新为新的IP Session, IP SessionID也将随着新的IP地址的重新分配由新的DHCP R印ly消息触发产生。 步骤S805、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 步骤S806、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S807、通过携带IPv6Session ID的存活监控报文进行数据通信状态存活监控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S806和步骤S807在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。
步骤S808、 IPv6地址被释放。 步骤S809、 IPv6Session被终止,IPv6Session ID释放。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。 对应上述的本发明实施例一所提出的技术方案,本发明通过实施例八提出了一种静态IPv6Session中的IP会话标识方法,在本方法中,由于是静态IPv6会话,所以不存在认证阶段,而直接是IP地址分配阶段,本方法在该阶段进行IP会话标识的创建,具体方法流程图如图9所示,包括以下步骤 步骤S901、网络静态配置用户设备的IPv6地址/地址前缀,以及IPv6Session ID的产生规则。 步骤S902、 BNG和用户设备根据用户设备的IPv6地址/地址前缀,按预先配置的IPv6Session ID的产生规则产生IPv6Session ID。 步骤S903、 BNG对接收到的IPv6报文的IPv6Session ID进行过滤。 步骤S904、通过携带IPv6Session ID的数据流进行数据通信。 在数据通信阶段,IPv6数据报文皆携带根据认证成功后确定的IPv6Session ID
产生规则所产生的IPv6Session ID。 步骤S905、通过携带IPv6Session ID的存活监控报文(ke印alive)进行数据通信状态存活监控。 IPv6Session的存活监控报文(如BFD报文)皆携带根据认证成功后确定的IPv6Session ID产生规则所产生的IPv6Session ID。 需要指出的是,步骤S904和步骤S905在具体实施环境中,没有必然的时间先后关系,两个步骤顺序的改变并不影响本发明的保护范围。 本发明实施例的技术方案具有以下优点,因为采用了通过检验IP会话中是否加入按照预设规则生成的IP会话标识,实现对IP会话的过滤的方法,从而,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通
过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解,本
发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存
储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可
以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。 本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流
程并不一定是实施本发明所必须的。 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
权利要求
一种IP会话标识方法,其特征在于,包括以下步骤根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;当所述接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
2. 如权利要求1所述方法,其特征在于,所述根据预设的IP会话标识生成规则,生成IP会话标识之前,还包括以下步骤当所述IP会话为动态IP会话时,本地设置所述IP会话标识生成规则,并通过向用户设备发送认证确认消息或地址分配响应消息,在所述用户设备中设置所述IP会话标识生成规则,其中所述用户设备根据所述IP会话标识生成规则在IP会话报文中加入IP会话标识。当所述IP会话为静态IP会话时,在本地和所述用户设备设置所述IP会话标识生成规则,其中所述用户设备根据所述IP会话标识生成规则在IP会话报文中加入IP会话标识。
3. 如权利要求2所述方法,其特征在于,所述根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,具体为当所述IP会话为动态IP会话时,按照所述预设的IP会话标识生成规则,根据通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,或所述认证确认消息中的认证识别符,或所述地址分配响应消息中的执行标识,在认证过程和/或IP地址分配过程中为所述IP会话生成IP会话标识;当所述IP会话为静态IP会话时,按照所述预设的IP会话标识生成规则,根据获取到的所述用户设备中预设的IP会话地址或IP会话地址前缀,在IP地址分配过程中为所述IP会话生成IP会话标识。
4. 如权利要求3所述方法,其特征在于,按照所述预设的IP会话标识生成规则,根据所述地址分配响应消息中的执行标识,在IP地址分配过程或认证与IP地址分配过程中为所述IP会话生成IP会话标识之后,还包括当所述IP会话的IP地址分配结果发生更新时,按照所述预设的IP会话标识生成规则,根据更新的地址分配响应消息中的执行标识,为所述IP会话生成更新的IP会话标识。
5. 如权利要求1所述方法,其特征在于,所述预设的IP会话标识域,具体为在IP会话报文的流标签或者IP地址中预设的IP会话标识域。
6. 如权利要求5所述方法,其特征在于,所述IP会话标识为用户设备按照所述预设的IP会话标识生成规则根据IP会话标识参数生成,具体包括当所述IP会话为动态IP会话时,所述用户设备按照所述预设的IP会话标识生成规则,根据通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,或所述认证确认消息中的认证识别符,或所述地址分配响应消息中的执行标识,为所述IP会话生成IP当所述IP会话为静态IP会话时,所述用户设备按照所述预设的IP会话标识生成规则,根据预设的IP会话地址或IP会话地址前缀,为所述IP会话生成IP会话标识。
7. 如权利要求1所述方法,其特征在于,所述判断接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识之后,还包括判断所述IP会话标识与发送所述IP会话的地址是否符合预设的绑定关系表;当所述IP会话标识与发送所述IP会话的地址符合所述预设的绑定关系表时,允许所述报文通过;当所述接收到的所述IP会话的报文中未含有所述IP会话标识,或所述IP会话标识与发送所述IP会话的地址不符合所述预设的绑定关系表时,丢弃所述报文。
8. 如权利要求7所述方法,其特征在于,所述预设的绑定关系表,具体为在用户设备的认证完成后,设置的IP会话标识与所述用户设备的MAC地址或接入端口的绑定关系表。
9. 如权利要求1或3所述方法,其特征在于,当根据所述通过地址分配前缀委派或通过路由器通告所得到的IP会话地址前缀,在认证过程和/或IP地址分配过程中为所述IP会话生成IP会话标识时,所述方法还包括当所述IP会话地址前缀被释放或被重新分配时,释放所述IP会话标识。
10. 如权利要求1或2所述方法,其特征在于,当所述IP会话为动态IP会话时,所述方法还包括当所述IP会话终止时,释放所述IP会话标识。
11. 一种网络网关,其特征在于,包括生成模块,用于根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;第一判断模块,用于根据所述生成模块生成的IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;处理模块,用于当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内含有所述IP会话标识时,允许所述报文通过;当所述第一判断模块判断接收到的所述IP会话的报文中预设的IP会话标识域内未含有所述IP会话标识时,丢弃所述报文。
12. 如权利要求11所述网络网关,其特征在于,还包括第二判断模块,用于判断所述IP会话标识与发送所述IP会话的地址是否符合预设的绑定关系表;当所述网络网关中包括所述第二判断模块时,所述处理模块,还用于当所述第二判断模块判断所述IP会话标识与发送所述IP会话的地址符合预设的绑定关系表时,允许所述报文通过;当所述第一判断模块判断接收到的所述IP会话的报文中未含有所述IP会话标识,或所述第二判断模块判断所述IP会话标识与发送所述IP会话的地址不符合预设的绑定关系表时,丢弃所述报文。
13. 如权利要求11或12所述网络网关,其特征在于,还包括设置模块,用于在本地设置所述IP会话标识生成规则和所述绑定关系表;发送模块,用于将所述设置模块设置的所述IP会话标识生成规则发送给用户设备,以在所述用户设备中设置所述IP会话标识生成规则;释放模块,用于当所述IP会话终止时,释放所述生成模块所生成的IP会话标识。
14. 如权利要求13所述网络网关,其特征在于,所述生成模块,具体包括获取子模块,用于通过地址分配前缀委派或通过路由器通告获取IP会话地址前缀,或在认证确认消息中获取认证识别符,或在地址分配响应消息中获取执行标识,或获取所述用户设备中预设的IP会话地址或IP会话地址前缀;生成子模块,用于根据所述获取子模块所获取的所述IP会话地址前缀,或所述认证识别符,或所述执行标识,或所述用户设备中预设的IP会话地址或IP会话地址前缀,按照所述设置模块预设的IP会话标识生成规则,为所述IP会话生成IP会话标识。
15. 如权利要求14所述网络网关,其特征在于,所述生成模块,还包括更新子模块,用于当所述IP会话的IP地址分配结果发生更新时,按照所述设置模块设置的IP会话标识生成规则,根据所述获取子模块获取的更新的地址分配响应消息中的执行标识,为所述IP会话生成更新的IP会话标识。
16. —种用户设备,其特征在于,包括接收模块,用于接收网络网关发送的IP会话标识生成规则;生成模块,用于根据所述接收模块接收的所述IP会话标识生成规则,生成IP会话的IP会话标识;发送模块,用于向所述网络网关发送报文,所述报文中预设的IP会话标识域内包含所述生成模块生成的IP会话标识。
17. 如权利要求16所述用户设备,其特征在于,还包括设置模块,用于设置IP会话地址或IP会话地址前缀,所述生成模块根据所述IP会话地址或IP会话地址前缀生成IP会话标识。
18. —种IP会话处理系统,其特征在于,包括用户设备和网络网关所述用户设备,用于接收所述网络网关发送的IP会话标识生成规则,按照所述IP会话标识生成规则生成相应的IP会话标识,并向所述网络网关发送预设的IP会话标识域内包含所述IP会话标识的报文;所述网络网关,用于设置所述IP会话标识生成规则,将所述IP会话标识生成规则发送给所述用户设备,按照所述IP会话标识生成规则在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识,并根据所述IP会话标识对所述IP会话进行过滤。
19. 如权利要求18所述IP会话处理系统,其特征在于,还包括所述用户设备和所述网络网关在所述IP会话结束后,释放所述IP会话标识。
全文摘要
本发明实施例公开了一种IP会话标识方法、装置和系统。所述方法包括以下步骤根据预设的IP会话标识生成规则,在认证过程和/或IP地址分配过程中为IP会话生成IP会话标识;根据所述IP会话标识,判断接收到的所述IP会话的报文中预设的IP会话标识域内是否含有IP会话标识,所述IP会话标识为用户设备按照所述IP会话标识生成规则根据IP会话标识参数生成;当判断的结果为是时,允许所述报文通过;当判断的结果为否时,丢弃所述报文。通过应用本发明的技术方案,达到了使IP会话在数据通信过程与认证过程/IP地址分配过程中建立耦合关系,提高IP会话的安全性的效果。
文档编号H04L12/66GK101729500SQ20081017231
公开日2010年6月9日 申请日期2008年10月31日 优先权日2008年10月31日
发明者郑若滨 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:郑若滨
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2