專利名稱:一種ip會話標識方法�����、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別是涉及一種IP會話標識方法��、裝置和系統(tǒng)���。
背景技術(shù):
在接入網(wǎng)中�,IP會話(session)代表了與一個用戶(Subscriber/user)設(shè)備的IP地址關(guān)聯(lián)的網(wǎng)絡(luò)接入連接會話��,IP Session與點到點的鏈路層協(xié)議會話(Point-to-PointProtocol Session, PPP Session)是對等的�����,用戶設(shè)備會話(Subscriber Session)是IPSession和PPP Session的統(tǒng)稱�����。PPP Session采用特有的PPP存活檢測機制�,版本4的IP協(xié)議(IP vision 4, IPv4)會話采用特有的雙向轉(zhuǎn)發(fā)檢測(Bidirectional ForwardingDetection, BFD)/地址解析協(xié)議(AddressResolution Protocol, ARP)存活檢測機制�����。
IP Session通常在IP邊緣設(shè)備(IP Edge device),例如寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(Broadband Network Gateway, BNG) /寬帶接入月艮務(wù)器(Broadband RemoteAccess Server,BRAS)上終結(jié)��,IP Session的另一側(cè)通常在用戶設(shè)備�����,例如家庭網(wǎng)關(guān)(Home Gateway, HGW)或HGW之后的用戶終端設(shè)備(User Equipment, UE)上終結(jié)��,S卩��,IP Session是在用戶設(shè)備與IP邊緣設(shè)備建立的一條會話連接�����。 IP Session用于網(wǎng)絡(luò)對用戶接入網(wǎng)絡(luò)的管理����,如計費��、狀態(tài)等���。 在實現(xiàn)本發(fā)明的過程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 現(xiàn)有技術(shù)IP Session的數(shù)據(jù)通信過程與認證過程/IP地址分配過程沒有耦合關(guān)
系,容易出現(xiàn)雖然認證通過��,但在IP Session的數(shù)據(jù)通信過程中��,還是有可能被攻擊者通過
偽造IP地址或MAC地址假冒�,存在較大安全隱患。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種IP會話標識方法����、裝置和系統(tǒng),通過檢驗IP會話中是否
加入按照預(yù)設(shè)規(guī)則生成的IP會話標識���,實現(xiàn)對IP會話的過濾����,從而�,使IP會話在數(shù)據(jù)通信
過程與認證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會話的安全性��。 為達到上述目的��,本發(fā)明實施例一方面提出一種IP會話標識方法��,包括以下步
驟 根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則,在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識���; 根據(jù)所述IP會話標識��,判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識���,所述IP會話標識為用戶設(shè)備按照所述的IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成; 當(dāng)所述接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)含有所述IP會話標識時���,允許所述報文通過�����;當(dāng)所述接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有所述IP會話標識時�,丟棄所述報文����。
另一方面,本發(fā)明實施例還提出一種網(wǎng)絡(luò)網(wǎng)關(guān)��,包括
生成模塊�����,用于根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則��,在認證過程和/或IP地址分配 過程中為IP會話生成IP會話標識���; 第一判斷模塊����,用于根據(jù)所述生成模塊生成的IP會話標識����,判斷接收到的所述IP 會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識,所述IP會話標識為用戶設(shè)備 按照所述IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成�; 處理模塊,用于當(dāng)所述第一判斷模塊判斷接收到的所述IP會話的報文中預(yù)設(shè)的 IP會話標識域內(nèi)含有所述IP會話標識時���,允許所述報文通過����;當(dāng)所述第一判斷模塊判斷接 收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有所述IP會話標識時�����,丟棄所述 報文����。 另一方面�,本發(fā)明實施例還提出一種用戶設(shè)備����,包括
接收模塊,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會話標識生成規(guī)則���; 生成模塊�,用于根據(jù)所述接收模塊接收的所述IP會話標識生成規(guī)則�,生成IP會話 的IP會話標識; 發(fā)送模塊����,用于向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送報文,所述報文中預(yù)設(shè)的IP會話標識域內(nèi)包 含所述生成模塊生成的IP會話標識�����。 另一方面�����,本發(fā)明實施例還提出一種IP會話處理系統(tǒng)����,包括用戶設(shè)備和網(wǎng)絡(luò)網(wǎng) 關(guān) 所述用戶設(shè)備,用于接收所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會話標識生成規(guī)則���,按照所述IP 會話標識生成規(guī)則生成相應(yīng)的IP會話標識����,并向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送預(yù)設(shè)的IP會話標識域 內(nèi)包含所述IP會話標識的報文�; 所述網(wǎng)絡(luò)網(wǎng)關(guān),用于設(shè)置所述IP會話標識生成規(guī)則�,將所述IP會話標識生成規(guī)則 發(fā)送給所述用戶設(shè)備,按照所述IP會話標識生成規(guī)則在認證過程和/或IP地址分配過程 中為IP會話生成IP會話標識�����,并根據(jù)所述IP會話標識對所述IP會話進行過濾�。
本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識���,實現(xiàn)對IP會話的過濾的方法����,從而�����,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會話的安全性的效 果�����。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案���,下面將對實施例描述中所需要使用 的附圖作簡單地介紹�,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本 領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的 附圖。
圖1為本發(fā)明實施例一提出的一種IP會話標識方法的流程示意圖 圖2為本發(fā)明實施例一提出的一種IP會話標識方法的流程示意圖 圖3為本發(fā)明實施例二提出的一種IP會話處理系統(tǒng)的結(jié)構(gòu)示意圖
圖4為本發(fā)明實施例三提出的一種動態(tài)IPv6Session中的IP會話標識方法的���、》
'右
程示意圖�; 圖5為本發(fā)明實施例四提出的另一種動態(tài)IPv6Session中的IP會話標識方法的流程示意圖���; 圖6為本發(fā)明實施例五提出的另一種動態(tài)IPv6Session中的IP會話標識方法的 流程示意圖�����; 圖7為本發(fā)明實施例六提出的另一種動態(tài)IPv6Session中的IP會話標識方法的 流程示意圖�; 圖8為本發(fā)明實施例七提出的另一種動態(tài)IPv6Session中的IP會話標識方法的 流程示意圖��; 圖9為本發(fā)明實施例八提出的一種靜態(tài)IPv6Session中的IP會話標識方法的流 程示意圖��。
具體實施例方式
本發(fā)明實施例提出了一種IP會話標識方法����、裝置和系統(tǒng)。該技術(shù)方案的具體內(nèi)容 是在IPv6的流標簽(Flow label)中設(shè)定IPv6Session ID域�,或者在IPv6地址中設(shè)定 IPv6Session ID域(例如,IPv6地址前綴)���,IPv6Session ID在用戶認證/IP地址分配過 程成功后�����,按Subscriber與運營商約定的規(guī)則產(chǎn)生���,實現(xiàn)IPv6Session與認證過程/IP地 址分配過程的耦合����。 IPv6Session ID在IP Session存活過程中保持不變�����,BNG對接收到的數(shù)據(jù)包進行 IPv6Session ID的過濾����,有效地防止攻擊者通過偽造IP地址或MAC地址假冒,解決了共享 介質(zhì)接入的安全����。 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完 整地描述�,顯然,所描述的實施例僅僅是本發(fā)明的一部分實施例����,而不是全部的實施例。基 于本發(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其 他實施例���,都屬于本發(fā)明保護的范圍。 如圖1所示��,為本發(fā)明實施例一提出的一種IP會話標識方法的流程示意圖�����,該方 法包括以下步驟 步驟S101�、網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則����,在認證過程和/或IP地址 分配過程中為IP會話生成IP會話標識。 具體的���,為方便描述�����,本發(fā)明實施例中以IPv6會話(IPv6Session)為例進行說明����,
但是,需要進一步指出的是���,其他符合本發(fā)明實施例實施場景要求的會話也同樣屬于本發(fā)
明的保護范圍����,這一點在全文均適用��,后文不再重復(fù)強調(diào)����。 IPv6Session分為動態(tài)IPv6Session禾口靜態(tài)IPv6Session。 其中�,動態(tài)IPv6Session可以被動態(tài)創(chuàng)建和終止,靜態(tài)IPv6Session則只能被靜態(tài) 配置生成����。 本發(fā)明實施例所提出的技術(shù)方案是在IPv6的流標簽(IPv6Flow label)中設(shè)定 IPv6Session ID域或者在IPv6地址中設(shè)定IPv6Session ID域(例如,IPv6地址前綴)��。對 于動態(tài)IP Session,可通過認證Session ID和動態(tài)主機分配協(xié)議執(zhí)行標識(Dynamic Host Configuration Protocol Transaction ID�����, DHCPT屋saction ID,簡稱xid)按約定的規(guī)則 映射到IPv6Flow label的IPv6SessionlD域��,產(chǎn)生IPv6Session ID ;或者�,Subsriber可通 過DHCP PD或無狀態(tài)地址自動分配過程(StateLess Address AutoConf iguration, SLAAC)的IPv6地址前綴��,然后按約定的規(guī)則映射作為IPv6Session ID���,即將Subsriber的IPv6地 址前綴與IPv6Session進行綁定�。�;對于靜態(tài)IP Session,可根據(jù)IPv6地址/IPv6地址前 綴按約定的規(guī)則產(chǎn)生IPv6Session ID。 IPv6Session ID產(chǎn)生規(guī)則對于動態(tài)IPv6Session�����,可以在IPv6Session建立前通 過技術(shù)規(guī)范TR069的方式動態(tài)配置到用戶設(shè)備上�,或者在認證/IP地址分配成功后通過認 證協(xié)議/DHCP動態(tài)配置到用戶設(shè)備上�;對于靜態(tài)IPv6Session, IPv6Session ID產(chǎn)生規(guī)則可 以靜態(tài)配置����,即在步驟S101之前,還包括以下兩種情況 當(dāng)IP會話為動態(tài)IP會話時����,在網(wǎng)絡(luò)網(wǎng)關(guān)中設(shè)置IP會話標識生成規(guī)則�����,并通過向 用戶設(shè)備發(fā)送認證確認消息或地址分配響應(yīng)消息�,在用戶設(shè)備中設(shè)置IP會話標識生成規(guī) 則����; 當(dāng)IP會話為靜態(tài)IP會話時,在網(wǎng)絡(luò)網(wǎng)關(guān)和用戶設(shè)備設(shè)置IP會話標識生成規(guī)則���。
對應(yīng)上述的兩種情況����,步驟S101的具體內(nèi)容也相應(yīng)的分為兩種情況
當(dāng)IP會話為動態(tài)IP會話時��,按照預(yù)設(shè)的IP會話標識生成規(guī)則��,根據(jù)通過地址分 配前綴委派或通過路由器通告(router advertisement)所得到的IP會話地址前綴��,或認 證確認消息中的認證識別符��,或地址分配響應(yīng)消息中的執(zhí)行標識�,在認證過程和/或IP地 址分配過程中為IP會話生成IP會話標識���; 當(dāng)IP會話為靜態(tài)IP會話時,按照預(yù)設(shè)的IP會話標識生成規(guī)則����,根據(jù)用戶設(shè)備中 預(yù)設(shè)的IP會話地址或IP會話地址前綴,在IP地址分配過程中為IP會話生成IP會話標識����。
需要進一步指出的是,當(dāng)IP會話為動態(tài)IP會話時��,按照地址分配響應(yīng)消息中的執(zhí) 行標識生成IP會話標識之后��,還包括以下步驟 當(dāng)IP會話的IP地址分配結(jié)果發(fā)生更新時��,按照預(yù)設(shè)的IP會話標識生成規(guī)則��,根 據(jù)更新的地址分配響應(yīng)消息中的執(zhí)行標識�����,為IP會話生成更新的IP會話標識����。
IPv6Session ID在IP Session存活過程中不變。
IPv6Session由IPv6Session ID進行標識��。 步驟S102����、根據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)生成的IP會話標識,網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報 文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識�。 其中,該IP會話標識為用戶設(shè)備按照IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù) 生成�����。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)含有IP會話 標識時����,轉(zhuǎn)入步驟S103 ; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有IP會
話標識時,轉(zhuǎn)入步驟S104����。 步驟S103、網(wǎng)絡(luò)網(wǎng)關(guān)允許報文通過��。 即發(fā)送該報文的用戶設(shè)備是通過認證的用戶設(shè)備�����,該報文安全,允許該報文通過�����。
步驟S104�����、網(wǎng)絡(luò)網(wǎng)關(guān)丟棄報文����。 即發(fā)送該報文的用戶設(shè)備不是通過認證的用戶設(shè)備,由于該報文的安全性未知����, 所以將該報文丟棄。 進一步的�,當(dāng)IP會話為動態(tài)IP會話時,上述的方法還包括
當(dāng)IP會話終止時�����,釋放IP會話標識��。
進一步的����,上述的步驟S102在具體的應(yīng)用環(huán)境中,也可以分為兩次判斷�,相對于 上述的如圖1所示的IP會話標識方法,包含兩次判斷過程的IP會話標識方法的具體實現(xiàn) 過程如圖2所示����,包括以下步驟 步驟S201、網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則�,在認證過程和/或IP地址 分配過程中為IP會話生成IP會話標識。 本步驟與步驟SIOI的具體說明內(nèi)容相同���,本實施例不再重復(fù)敘述�����。
步驟S202����、網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中是否含有IP會話標識��。
S卩��,網(wǎng)絡(luò)網(wǎng)關(guān)識別接收到的IP會話的報文中是否含有與該網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的 IP會話標識生成規(guī)則所生成的IP會話標識相同的IP會話標識����。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中含有IP會話標識時�����,轉(zhuǎn)入步驟S203 ;
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中未含有IP會話標識時�,轉(zhuǎn)入步驟S205��。
步驟S203��、網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會話標識與發(fā)送該IP會話的地址是否符合預(yù)設(shè)的綁 定關(guān)系表����。 在本步驟中,網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文中含有該IP會話標識時����,進一 步判斷發(fā)送該IP會話的地址與該IP會話標識的對應(yīng)關(guān)系是否與預(yù)設(shè)的綁定關(guān)系表中的信 息相一致,判斷接收到的IP會話的報文是否來自預(yù)設(shè)的MAC地址或接入端口��,即判斷該IP 會話是否是認證通過的端口發(fā)起的符合認證要求的IP會話�。 其中的綁定關(guān)系表具體是在用戶設(shè)備完成認證時所生成的IP會話標識與用戶設(shè) 備MAC地址或接入端口的綁定關(guān)系表。 其中���,接入端口可以是接入物理端口 (如數(shù)字用戶線端口或無源光網(wǎng)絡(luò)物理接 口 )���,也可以是接入邏輯端口 (如虛擬局域網(wǎng)端口或千兆無源光網(wǎng)絡(luò)封裝模式端口 )。
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會話標識與發(fā)送該IP會話的地址符合預(yù)設(shè)的綁定關(guān)系表時�, 轉(zhuǎn)入步驟S204 ; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會話標識與發(fā)送該IP會話的地址不符合預(yù)設(shè)的綁定關(guān)系表 時,轉(zhuǎn)入步驟S205�����。 步驟S204 ����、網(wǎng)絡(luò)網(wǎng)關(guān)允許報文通過。 即發(fā)送該報文的用戶設(shè)備是通過認證的用戶設(shè)備���,該報文安全�����,允許該報文通過���。
步驟S205、網(wǎng)絡(luò)網(wǎng)關(guān)丟棄報文���。 即發(fā)送該報文的用戶設(shè)備不是通過認證的用戶設(shè)備����,由于該報文的安全性未知, 所以將該報文丟棄���。 進一步的����,當(dāng)IP會話為動態(tài)IP會話時�,上述的方法還包括
當(dāng)IP會話終止時,釋放IP會話標識��。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點���,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識��,實現(xiàn)對IP會話的過濾的方法��,從而���,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會話的安全性的效 果�。 對應(yīng)本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明實施例二提出了一種IP會話處 理系統(tǒng),結(jié)構(gòu)示意圖如圖3所示��,包括用戶設(shè)備1和網(wǎng)絡(luò)網(wǎng)關(guān)2 : 用戶設(shè)備1�����,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送的IP會話標識生成規(guī)則���,按照IP會話標識生成規(guī)則生成相應(yīng)的IP會話標識,并向網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送包含IP會話標識的報文�,包括
接收模塊ll,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送的IP會話標識生成規(guī)則���;
生成模塊12�,用于根據(jù)接收模塊11接收的IP會話標識生成規(guī)則����,生成IP會話的 IP會話標識; 發(fā)送模塊13�,用于向網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送報文,報文中包含生成模塊12生成的IP會話 標識�。 進一步的,用戶設(shè)備l還包括 設(shè)置模塊14�����,用于設(shè)置IP會話地址或IP會話地址前綴,以為生成模塊12提供生 成IP會話標識的依據(jù)信息���。 網(wǎng)絡(luò)網(wǎng)關(guān)2����,用于設(shè)置IP會話標識生成規(guī)則���,將IP會話標識生成規(guī)則發(fā)送給用戶 設(shè)備1�,按照IP會話標識生成規(guī)則在認證過程和/或IP地址分配過程中為IP會話生成IP 會話標識��,并根據(jù)IP會話標識對IP會話進行過濾���,具體包括 設(shè)置模塊21���,用于在網(wǎng)絡(luò)網(wǎng)關(guān)2設(shè)置IP會話標識生成規(guī)則和綁定關(guān)系表;
發(fā)送模塊22���,用于將設(shè)置模塊21設(shè)置的IP會話標識生成規(guī)則發(fā)送給用戶設(shè)備1��, 以在用戶設(shè)備1中設(shè)置IP會話標識生成規(guī)則�����; 生成模塊23���,用于根據(jù)設(shè)置模塊21預(yù)設(shè)的IP會話標識生成規(guī)則�����,在認證過程和/ 或IP地址分配過程中為IP會話生成IP會話標識�����,該模塊具體包括 獲取子模塊231,用于通過地址分配前綴委派或通過路由器通告獲取IP會話地址 前綴��,或在認證確認消息中獲取認證識別符�����,或在地址分配響應(yīng)消息中獲取執(zhí)行標識�,或獲 取用戶設(shè)備1中預(yù)設(shè)的IP會話地址或IP會話地址前綴; 生成子模塊232�,用于根據(jù)獲取子模塊231所獲取的IP會話地址前綴,或認證識別 符��,或執(zhí)行標識,或用戶設(shè)備1中預(yù)設(shè)的IP會話地址或IP會話地址前綴��,按照設(shè)置模塊21 預(yù)設(shè)的IP會話標識生成規(guī)則��,為IP會話生成IP會話標識��; 更新子模塊233���,用于當(dāng)IP會話的IP地址分配結(jié)果發(fā)生更新時�����,按照設(shè)置模塊21 預(yù)設(shè)的IP會話標識生成規(guī)則��,根據(jù)獲取子模塊231獲取的更新的地址分配響應(yīng)消息中的執(zhí) 行標識�,為IP會話生成更新的IP會話標識�。 第一判斷模塊24,用于根據(jù)生成模塊23生成的IP會話標識���,判斷接收到的IP會 話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識�。 其中�,該IP會話標識為用戶設(shè)備按照IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù) 生成。 處理模塊26��,用于當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會話的報文中預(yù)設(shè)的IP會 話標識域內(nèi)含有IP會話標識時,允許報文通過�����;當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會話 的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有IP會話標識時�����,丟棄報文����。
釋放模塊27,用于當(dāng)IP會話終止時���,釋放生成模塊23所生成的IP會話標識。
進一步的�,網(wǎng)絡(luò)網(wǎng)關(guān)2還可以包括 第二判斷模塊25,用于判斷IP會話標識與發(fā)送IP會話的地址是否符合設(shè)置模塊 21所設(shè)置的綁定關(guān)系表����; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)2含有第二判斷模塊25時,處理模塊26還用于當(dāng)?shù)诙袛嗄K24判 斷IP會話標識與發(fā)送IP會話的地址符合預(yù)設(shè)的綁定關(guān)系表時���,允許報文通過��;當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會話的報文中未含有IP會話標識����,或第二判斷模塊25判斷IP會 話標識與發(fā)送IP會話的地址不符合預(yù)設(shè)的綁定關(guān)系表時,丟棄該報文��。
上述模塊可以分布于一個裝置�,也可以分布于多個裝置。上述模塊可以合并為一 個模塊�,也可以進一步拆分成多個子模塊。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點�����,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識�,實現(xiàn)對IP會話的過濾的系統(tǒng),從而�,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會話的安全性的效 果�。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明通過實施例三提出了一種 動態(tài)IPv6Session中的IP會話標識方法����,該方法在認證階段進行IP會話標識的創(chuàng)建,具體 方法流程圖如圖4所示����,包括以下步驟 步驟S401��、用戶(Subscriber)設(shè)備通過BNG到認證服務(wù)器進行EAP認證��。
其中�,BNG即為前述本發(fā)明實施例中所提及的網(wǎng)絡(luò)網(wǎng)關(guān)��,用戶設(shè)備在具體的應(yīng)用環(huán) 境中即為Subscriber,可以具體為一個接入的用戶終端�����,也可以是連接有多個終端的網(wǎng)絡(luò) 接入設(shè)備�,如家庭網(wǎng)關(guān),這一點在后文的實施例中也是一致的����,后文不再重復(fù)敘述,具體名 稱的變化并不影響本發(fā)明的保護范圍���。 步驟S402、當(dāng)用戶設(shè)備的EAP認證成功時��,EAP Success消息由認證服務(wù)器通過 BNG發(fā)送給用戶設(shè)備����,并在該用戶所對應(yīng)的用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則���。
步驟S403、當(dāng)用戶設(shè)備的EAP認證成功后����,用戶設(shè)備啟動DHCP PD (Prefix Delegation,前綴委派),產(chǎn)生DHCP Transaction ID(簡稱xid)�����,用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按一定的規(guī)則產(chǎn)生xid�����,如果采用PANA����,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生xid。 步驟S404���、用戶設(shè)備通過DHCP PD申請IPv6地址前綴�,在IPv6地址前綴委派過程 中,所有DHCP消息的xid保持不變����。 需要指出的是,由于在DHCP PD過程之前缺乏象PPP的Session ID協(xié)商過程��,所 以xid就相當(dāng)于IP Session ID���,在同一個IP Session的生命周期內(nèi)保持一致����;如果對用 戶設(shè)備進行IPv6地址前綴重新分配(renumbering)����,則認為由一個舊的IP Session更新為 新的IP Session, xid也將隨著新的IP Session進行變化。 步驟S405����、當(dāng)IPv6地址前綴委派成功,DHCP服務(wù)器通過DHCP R印ly消息將IPv6 地址前綴發(fā)送給用戶設(shè)備���。 步驟S406�����、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息委派的IPv6地址前綴作為 IPv6Session ID�。 即將IPv6地址前綴與IPv6Session綁定��,進一步的�����,還可以對IPv6SessionlD與 用戶設(shè)備的MAC地址/或接入端口綁定�����,形成綁定關(guān)系表��。 需要指出的是���,如果對Subscriber進行IPv6地址前綴重新分配���,則認為由一個舊 的IP Session更新為新的IP Session, IP Session ID也將隨著新的IPv6地址前綴的重 新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生。 步驟S407�����、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾���。 BNG對接收到的由用戶設(shè)備發(fā)送的所有報文進行檢測���,判斷其中是否含有IPv6Session ID�,當(dāng)報文中含有IPv6Session ID時��,進一步將報文中的IPv6Session ID 與BNG根據(jù)前述的IPv6Session ID產(chǎn)生規(guī)則所生成的IPv6Session ID相比較�,判斷兩個 IPv6Session ID是否相同。 當(dāng)兩個IPv6Session ID相同時���,判斷兩個IPv6Session ID均是根據(jù)前述 IPv6Session ID產(chǎn)生規(guī)則生成的��,則BNG進一步根據(jù)預(yù)設(shè)的IPv6SessionlD與用戶設(shè)備的 MAC地址/或接入端口綁定關(guān)系過濾IP會話的報文�,即BNG通過檢查預(yù)設(shè)的綁定關(guān)系表�,判 斷接收到的IP會話的報文是否來自預(yù)設(shè)的MAC地址或接入端口 。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文來自預(yù)設(shè)的MAC地址或接入端口時����,即判 定發(fā)送該報文的用戶設(shè)備是通過認證的用戶設(shè)備,BNG允許該用戶設(shè)備發(fā)送的報文通過�。
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會話的報文并非來自預(yù)設(shè)的MAC地址或接入端口時, BNG將該報文進行丟棄��。 相對應(yīng)的����,當(dāng)檢測所接收到的報文不含有IPv6Session ID�����,或者所含有的
IPv6Session ID與BNG根據(jù)前述的IPv6Session ID產(chǎn)生規(guī)則所生成的IPv6Session ID不
同時,判斷發(fā)送該報文的用戶設(shè)備不是通過認證的用戶設(shè)備����,BNG直接將該報文進行丟棄。
需要進一步指出的是�,在后文的實施例中,BNG對接收到的IPv6報文的IPv6Session ID進
行過濾的過程與本步驟是一致的���,后文不再重復(fù)敘述�。 步驟S408���、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信��。 在數(shù)據(jù)通信階段��,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID��。 步驟S409����、通過攜帶IPv6Session ID的存活監(jiān)控報文(ke印alive)進行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID���。 需要指出的是���,步驟S408和步驟S409在具體實施環(huán)境中,沒有必然的時間先后關(guān)
系��,兩個步驟順序的改變并不影響本發(fā)明的保護范圍��。 步驟S410���、 IPv6地址前綴被釋放或被重新分配(renumbering)�����。 IPv6地址前綴被釋放或被重新分配(renumbering)時����,則認為由一個舊的IP
Session更新為新的IP Session,即判斷為當(dāng)前IPv6會話終止���。 步驟S411��、 IPv6Session ID釋放�。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識����,實現(xiàn)對IP會話的過濾的方法,從而���,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會話的安全性的效 果�。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明通過實施例四提出了另一 種動態(tài)IPv6Session中的IP會話標識方法�����,該方法在IP地址分配階段進行IP會話標識的 創(chuàng)建�,具體方法流程圖如圖5所示,包括以下步驟
步驟S501�、用戶設(shè)備通過BNG到認證服務(wù)器進行EAP認證。 步驟S502����、當(dāng)用戶設(shè)備的EAP認證成功時,EAP Success消息由認證服務(wù)器通過 BNG發(fā)送給用戶設(shè)備��,并在該用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則。
步驟S503�����、當(dāng)用戶設(shè)備的EAP認證成功后�����,用戶設(shè)備啟動SLAAC���,向BNG發(fā)出路由 器懇求RS(Router Solicitation)消息�����。 步驟S504����、 BNG收到RS消息后�,向用戶設(shè)備發(fā)送路由器宣告 RA(RouterAdvertisement)消息。 RA消息的源地址是BNG的IPv6地址�,RA消息包含IPv6地址前綴。 步驟S505���、BNG和用戶設(shè)備可根據(jù)RA消息攜帶的IPv6地址前綴作為IPv6SessionID���。 即將IPv6地址前綴與IPv6Session綁定����,進一步的�,還可以對IPv6SessionlD與 用戶設(shè)備MAC地址/或接入端口綁定,形成綁定關(guān)系表���; 需要指出的是�����,如果對Subscriber進行IPv6地址前綴重新分配,則認為由一個舊 的IP Session更新為新的IP Session, IP Session ID也將隨著新的IPv6地址前綴的重 新分配由新的RA消息觸發(fā)產(chǎn)生����。 步驟S506、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾�。 步驟S507、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信��。 在數(shù)據(jù)通信階段���,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 步驟S508、通過攜帶IPv6Session ID的存活監(jiān)控報文(ke印alive)進行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控�����。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�����。 需要指出的是���,步驟S507和步驟S508在具體實施環(huán)境中����,沒有必然的時間先后關(guān)
系����,兩個步驟順序的改變并不影響本發(fā)明的保護范圍。 步驟S509���、 IPv6地址前綴被釋放或被重新分配(renumbering)�。 IPv6地址前綴被釋放或被重新分配(renumbering)時�,則認為由一個舊的IP
Session更新為新的IP Session,即判斷為當(dāng)前IPv6會話終止。 步驟S510、 IPv6Session ID釋放�����。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點�,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識,實現(xiàn)對IP會話的過濾的方法��,從而�����,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系���,提高IP會話的安全性的效 果��。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明通過實施例五提出了另一 種動態(tài)IPv6Session中的IP會話標識方法���,該方法在IP地址分配階段進行IP會話標識的 創(chuàng)建����,具體方法流程圖如圖6所示�,包括以下步驟
步驟S601、用戶設(shè)備通過BNG到認證服務(wù)器進行EAP認證。 步驟S602��、當(dāng)用戶設(shè)備EAP認證成功���,EAP Success消息由認證服務(wù)器通過BNG發(fā) 送給用戶設(shè)備����,并在該用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則����。 步驟S603、 BNG和用戶設(shè)備根據(jù)IPv6Session ID產(chǎn)生規(guī)則�����,分別為BNG和用戶設(shè) 備生成IPv6Session ID�。BNG和用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按 一 定的規(guī)則產(chǎn)生IPv6Session ID ;如果采用PANA,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生 IPv6Session ID���。 步驟S604����、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾���。 步驟S605���、用戶設(shè)備通過無狀態(tài)或有狀態(tài)地址分配方式申請IPv6地址����。 在IPv6地址分配過程中�����,所有的上行消息皆攜帶根據(jù)認證成功后確定的
IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID����。 步驟S606、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信�����。 在數(shù)據(jù)通信階段�,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 步驟S607�����、通過攜帶IPv6Session ID的存活監(jiān)控報文(ke印alive)進行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控�����。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID����。 需要指出的是,步驟S606和步驟S607在具體實施環(huán)境中����,沒有必然的時間先后關(guān) 系,兩個步驟順序的改變并不影響本發(fā)明的保護范圍�。
步驟S608、 IPv6地址被釋放����。 步驟S609、 IPv6Session被終止�����,IPv6Session ID釋放�。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識�,實現(xiàn)對IP會話的過濾的方法,從而���,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系�����,提高IP會話的安全性的效 果����。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明通過實施例六提出了另一 種動態(tài)IPv6Session中的IP會話標識方法�,該方法在IP地址分配階段進行IP會話標識的 創(chuàng)建,具體方法流程圖如圖7所示��,包括以下步驟
步驟S701����、用戶設(shè)備通過BNG到認證服務(wù)器進行EAP認證。 步驟S702�、當(dāng)用戶設(shè)備EAP認證成功,EAP Success消息由認證服務(wù)器通過BNG發(fā) 送給用戶設(shè)備���,并配置IPv6Session ID產(chǎn)生規(guī)則����。 步驟S703���、當(dāng)用戶設(shè)備EAP認證成功后���,用戶設(shè)備啟動有狀態(tài)地址分配,產(chǎn)生DHCP Transaction ID(簡稱xid);用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按一定 的規(guī)則產(chǎn)生xid;如果采用PANA����,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生xid。
步驟S704�����、用戶設(shè)備通過有狀態(tài)地址分配方式申請IPv6地址���,在IPv6地址分配過 程中����,所有DHCP消息的xid保持不變�����。 需要進一步指出的是�����,由于在DHCP地址分配過程之前缺乏像PPP的Session ID 協(xié)商過程,所以xid就相當(dāng)于IP Session ID���,建議在同一個IPSession的生命周期內(nèi)保持 一致���;如果DHCP過程通過reconfigure消息更換IP地址,則認為由一個舊的IP Session 更新為新的IP Session, xid也將隨著新的IP Session進行變化��。 步驟S705����、當(dāng)IPv6地址申請成功,DHCP服務(wù)器通過DHCP R印ly消息將IPv6地址 發(fā)送給用戶設(shè)備���。 步驟S706��、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息的DHCPTransaction ID按一定的規(guī)則產(chǎn)生IPv6Session ID��。 需要進一步指出的是�����,如果DHCP過程通過reconfigure/renew消息更換IP地址��, 則認為由一個舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地 址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生����。 步驟S707、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾��。 步驟S708��、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信��。 在數(shù)據(jù)通信階段�����,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID��。 步驟S709����、通過攜帶IPv6Session ID的存活監(jiān)控報文進行數(shù)據(jù)通信狀態(tài)存活監(jiān) 控�����。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 需要指出的是,步驟S708和步驟S709在具體實施環(huán)境中�����,沒有必然的時間先后關(guān) 系,兩個步驟順序的改變并不影響本發(fā)明的保護范圍�。
步驟S710、 IPv6地址被釋放���。 步驟S711���、 IPv6Session被終止,IPv6Session ID釋放�。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了通過檢驗IP會話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會話標識���,實現(xiàn)對IP會話的過濾的方法�,從而���,達到了使IP會話 在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系��,提高IP會話的安全性的效 果�����。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案�����,本發(fā)明通過實施例七提出了另一 種動態(tài)IPv6Session中的IP會話標識方法���,在本方法中����,IP地址分配階段和認證階段是合 并的�����,本方法在該階段進行IP會話標識的創(chuàng)建�,具體方法流程圖如圖8所示��,包括以下步 驟 步驟S801���、用戶設(shè)備產(chǎn)生DHCP Transaction ID(簡稱xid)�����。 步驟S802��、用戶設(shè)備通過DHCP認證��,實現(xiàn)用戶設(shè)備認證和有狀態(tài)地址分配���,在 DHCP認證過程中���,所有DHCP消息的xid保持不變。 需要進一步指出的是���,由于在DHCP地址分配過程之前缺乏象PPP的Session ID 協(xié)商過程����,所以xid就相當(dāng)于IP Session ID�,建議在同一個IPSession的生命周期內(nèi)保 持一致;如果DHCP過程通過reconfigure/renew消息更換IP地址�����,則認為由一個舊的IP Session更新為新的IP Session, xid也將隨著新的IP Session進行變化����。
步驟S803、當(dāng)DHCP認證成功�,BNG通過DHCP R印ly消息將IPv6地址發(fā)送給用戶 設(shè)備��,通知用戶設(shè)備認證成功����,并配置IPv6Session ID產(chǎn)生規(guī)則���。 需要進一步指出的是����,如果DHCP過程通過reconfigure/renew消息更換IP地址���, 則認為由一個舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地 址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生���。 步驟S804���、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息的DHCPTransaction ID按認 證成功后確定的IPv6Session ID產(chǎn)生規(guī)則產(chǎn)生IPv6Session ID����。 需要進一步指出的是���,如果DHCP過程通過reconfigure/renew消息更換IP地址��,則認為由一個舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生��。 步驟S805�����、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾�。 步驟S806、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信�。 在數(shù)據(jù)通信階段,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID����。 步驟S807、通過攜帶IPv6Session ID的存活監(jiān)控報文進行數(shù)據(jù)通信狀態(tài)存活監(jiān)控����。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 需要指出的是�,步驟S806和步驟S807在具體實施環(huán)境中,沒有必然的時間先后關(guān)系��,兩個步驟順序的改變并不影響本發(fā)明的保護范圍����。
步驟S808�����、 IPv6地址被釋放����。 步驟S809��、 IPv6Session被終止,IPv6Session ID釋放。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點���,因為采用了通過檢驗IP會話中是否加入按照預(yù)設(shè)規(guī)則生成的IP會話標識�,實現(xiàn)對IP會話的過濾的方法,從而�����,達到了使IP會話在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系����,提高IP會話的安全性的效果��。 對應(yīng)上述的本發(fā)明實施例一所提出的技術(shù)方案��,本發(fā)明通過實施例八提出了一種靜態(tài)IPv6Session中的IP會話標識方法,在本方法中�,由于是靜態(tài)IPv6會話,所以不存在認證階段����,而直接是IP地址分配階段,本方法在該階段進行IP會話標識的創(chuàng)建���,具體方法流程圖如圖9所示��,包括以下步驟 步驟S901��、網(wǎng)絡(luò)靜態(tài)配置用戶設(shè)備的IPv6地址/地址前綴���,以及IPv6Session ID的產(chǎn)生規(guī)則。 步驟S902����、 BNG和用戶設(shè)備根據(jù)用戶設(shè)備的IPv6地址/地址前綴,按預(yù)先配置的IPv6Session ID的產(chǎn)生規(guī)則產(chǎn)生IPv6Session ID���。 步驟S903�����、 BNG對接收到的IPv6報文的IPv6Session ID進行過濾���。 步驟S904�����、通過攜帶IPv6Session ID的數(shù)據(jù)流進行數(shù)據(jù)通信�����。 在數(shù)據(jù)通信階段���,IPv6數(shù)據(jù)報文皆攜帶根據(jù)認證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 步驟S905�、通過攜帶IPv6Session ID的存活監(jiān)控報文(ke印alive)進行數(shù)據(jù)通信狀態(tài)存活監(jiān)控。 IPv6Session的存活監(jiān)控報文(如BFD報文)皆攜帶根據(jù)認證成功后確定的IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID����。 需要指出的是,步驟S904和步驟S905在具體實施環(huán)境中��,沒有必然的時間先后關(guān)系����,兩個步驟順序的改變并不影響本發(fā)明的保護范圍。 本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點��,因為采用了通過檢驗IP會話中是否加入按照預(yù)設(shè)規(guī)則生成的IP會話標識���,實現(xiàn)對IP會話的過濾的方法�����,從而����,達到了使IP會話在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系��,提高IP會話的安全性的效果��。 通過以上的實施方式的描述�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通
過硬件實現(xiàn)�����,也可以可借助軟件加必要的通用硬件平臺的方式來實現(xiàn)基于這樣的理解,本
發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該軟件產(chǎn)品可以存儲在一個非易失性存
儲介質(zhì)(可以是CD-ROM,U盤��,移動硬盤等)中�,包括若干指令用以使得一臺計算機設(shè)備(可
以是個人計算機,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法�����。 本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖�,附圖中的模塊或流
程并不一定是實施本發(fā)明所必須的。 以上所述僅是本發(fā)明的優(yōu)選實施方式����,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進和潤飾���,這些改進和潤飾也應(yīng)視本發(fā)明的保護范圍�����。
權(quán)利要求
一種IP會話標識方法,其特征在于����,包括以下步驟根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則,在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識����;根據(jù)所述IP會話標識,判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識����,所述IP會話標識為用戶設(shè)備按照所述IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成;當(dāng)所述接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)含有所述IP會話標識時�,允許所述報文通過;當(dāng)所述接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有所述IP會話標識時���,丟棄所述報文����。
2. 如權(quán)利要求1所述方法,其特征在于�����,所述根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則���,生成IP會話標識之前�����,還包括以下步驟當(dāng)所述IP會話為動態(tài)IP會話時���,本地設(shè)置所述IP會話標識生成規(guī)則,并通過向用戶設(shè)備發(fā)送認證確認消息或地址分配響應(yīng)消息����,在所述用戶設(shè)備中設(shè)置所述IP會話標識生成規(guī)則,其中所述用戶設(shè)備根據(jù)所述IP會話標識生成規(guī)則在IP會話報文中加入IP會話標識�。當(dāng)所述IP會話為靜態(tài)IP會話時,在本地和所述用戶設(shè)備設(shè)置所述IP會話標識生成規(guī)則����,其中所述用戶設(shè)備根據(jù)所述IP會話標識生成規(guī)則在IP會話報文中加入IP會話標識。
3. 如權(quán)利要求2所述方法����,其特征在于�,所述根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則����,在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識���,具體為當(dāng)所述IP會話為動態(tài)IP會話時�����,按照所述預(yù)設(shè)的IP會話標識生成規(guī)則�����,根據(jù)通過地址分配前綴委派或通過路由器通告所得到的IP會話地址前綴��,或所述認證確認消息中的認證識別符���,或所述地址分配響應(yīng)消息中的執(zhí)行標識,在認證過程和/或IP地址分配過程中為所述IP會話生成IP會話標識�;當(dāng)所述IP會話為靜態(tài)IP會話時,按照所述預(yù)設(shè)的IP會話標識生成規(guī)則����,根據(jù)獲取到的所述用戶設(shè)備中預(yù)設(shè)的IP會話地址或IP會話地址前綴�,在IP地址分配過程中為所述IP會話生成IP會話標識�����。
4. 如權(quán)利要求3所述方法��,其特征在于�����,按照所述預(yù)設(shè)的IP會話標識生成規(guī)則����,根據(jù)所述地址分配響應(yīng)消息中的執(zhí)行標識,在IP地址分配過程或認證與IP地址分配過程中為所述IP會話生成IP會話標識之后�,還包括當(dāng)所述IP會話的IP地址分配結(jié)果發(fā)生更新時,按照所述預(yù)設(shè)的IP會話標識生成規(guī)則�����,根據(jù)更新的地址分配響應(yīng)消息中的執(zhí)行標識��,為所述IP會話生成更新的IP會話標識��。
5. 如權(quán)利要求1所述方法,其特征在于�,所述預(yù)設(shè)的IP會話標識域,具體為在IP會話報文的流標簽或者IP地址中預(yù)設(shè)的IP會話標識域���。
6. 如權(quán)利要求5所述方法��,其特征在于���,所述IP會話標識為用戶設(shè)備按照所述預(yù)設(shè)的IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成��,具體包括當(dāng)所述IP會話為動態(tài)IP會話時�,所述用戶設(shè)備按照所述預(yù)設(shè)的IP會話標識生成規(guī)則,根據(jù)通過地址分配前綴委派或通過路由器通告所得到的IP會話地址前綴����,或所述認證確認消息中的認證識別符,或所述地址分配響應(yīng)消息中的執(zhí)行標識��,為所述IP會話生成IP當(dāng)所述IP會話為靜態(tài)IP會話時���,所述用戶設(shè)備按照所述預(yù)設(shè)的IP會話標識生成規(guī)則��,根據(jù)預(yù)設(shè)的IP會話地址或IP會話地址前綴����,為所述IP會話生成IP會話標識。
7. 如權(quán)利要求1所述方法�����,其特征在于�����,所述判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)含有所述IP會話標識之后�����,還包括判斷所述IP會話標識與發(fā)送所述IP會話的地址是否符合預(yù)設(shè)的綁定關(guān)系表��;當(dāng)所述IP會話標識與發(fā)送所述IP會話的地址符合所述預(yù)設(shè)的綁定關(guān)系表時����,允許所述報文通過;當(dāng)所述接收到的所述IP會話的報文中未含有所述IP會話標識�����,或所述IP會話標識與發(fā)送所述IP會話的地址不符合所述預(yù)設(shè)的綁定關(guān)系表時����,丟棄所述報文��。
8. 如權(quán)利要求7所述方法�����,其特征在于�����,所述預(yù)設(shè)的綁定關(guān)系表��,具體為在用戶設(shè)備的認證完成后�����,設(shè)置的IP會話標識與所述用戶設(shè)備的MAC地址或接入端口的綁定關(guān)系表。
9. 如權(quán)利要求1或3所述方法���,其特征在于��,當(dāng)根據(jù)所述通過地址分配前綴委派或通過路由器通告所得到的IP會話地址前綴�,在認證過程和/或IP地址分配過程中為所述IP會話生成IP會話標識時����,所述方法還包括當(dāng)所述IP會話地址前綴被釋放或被重新分配時�,釋放所述IP會話標識���。
10. 如權(quán)利要求1或2所述方法��,其特征在于��,當(dāng)所述IP會話為動態(tài)IP會話時���,所述方法還包括當(dāng)所述IP會話終止時,釋放所述IP會話標識�����。
11. 一種網(wǎng)絡(luò)網(wǎng)關(guān)�����,其特征在于����,包括生成模塊,用于根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則,在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識�����;第一判斷模塊�,用于根據(jù)所述生成模塊生成的IP會話標識,判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識�����,所述IP會話標識為用戶設(shè)備按照所述IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成����;處理模塊,用于當(dāng)所述第一判斷模塊判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)含有所述IP會話標識時���,允許所述報文通過����;當(dāng)所述第一判斷模塊判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)未含有所述IP會話標識時��,丟棄所述報文���。
12. 如權(quán)利要求11所述網(wǎng)絡(luò)網(wǎng)關(guān),其特征在于,還包括第二判斷模塊����,用于判斷所述IP會話標識與發(fā)送所述IP會話的地址是否符合預(yù)設(shè)的綁定關(guān)系表;當(dāng)所述網(wǎng)絡(luò)網(wǎng)關(guān)中包括所述第二判斷模塊時���,所述處理模塊��,還用于當(dāng)所述第二判斷模塊判斷所述IP會話標識與發(fā)送所述IP會話的地址符合預(yù)設(shè)的綁定關(guān)系表時�����,允許所述報文通過����;當(dāng)所述第一判斷模塊判斷接收到的所述IP會話的報文中未含有所述IP會話標識����,或所述第二判斷模塊判斷所述IP會話標識與發(fā)送所述IP會話的地址不符合預(yù)設(shè)的綁定關(guān)系表時,丟棄所述報文�。
13. 如權(quán)利要求11或12所述網(wǎng)絡(luò)網(wǎng)關(guān),其特征在于��,還包括設(shè)置模塊�����,用于在本地設(shè)置所述IP會話標識生成規(guī)則和所述綁定關(guān)系表;發(fā)送模塊�,用于將所述設(shè)置模塊設(shè)置的所述IP會話標識生成規(guī)則發(fā)送給用戶設(shè)備,以在所述用戶設(shè)備中設(shè)置所述IP會話標識生成規(guī)則��;釋放模塊��,用于當(dāng)所述IP會話終止時����,釋放所述生成模塊所生成的IP會話標識。
14. 如權(quán)利要求13所述網(wǎng)絡(luò)網(wǎng)關(guān)�,其特征在于,所述生成模塊����,具體包括獲取子模塊,用于通過地址分配前綴委派或通過路由器通告獲取IP會話地址前綴����,或在認證確認消息中獲取認證識別符,或在地址分配響應(yīng)消息中獲取執(zhí)行標識��,或獲取所述用戶設(shè)備中預(yù)設(shè)的IP會話地址或IP會話地址前綴�����;生成子模塊�,用于根據(jù)所述獲取子模塊所獲取的所述IP會話地址前綴,或所述認證識別符���,或所述執(zhí)行標識����,或所述用戶設(shè)備中預(yù)設(shè)的IP會話地址或IP會話地址前綴�,按照所述設(shè)置模塊預(yù)設(shè)的IP會話標識生成規(guī)則,為所述IP會話生成IP會話標識���。
15. 如權(quán)利要求14所述網(wǎng)絡(luò)網(wǎng)關(guān)��,其特征在于�,所述生成模塊��,還包括更新子模塊����,用于當(dāng)所述IP會話的IP地址分配結(jié)果發(fā)生更新時,按照所述設(shè)置模塊設(shè)置的IP會話標識生成規(guī)則����,根據(jù)所述獲取子模塊獲取的更新的地址分配響應(yīng)消息中的執(zhí)行標識���,為所述IP會話生成更新的IP會話標識。
16. —種用戶設(shè)備�����,其特征在于����,包括接收模塊,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會話標識生成規(guī)則���;生成模塊�,用于根據(jù)所述接收模塊接收的所述IP會話標識生成規(guī)則��,生成IP會話的IP會話標識�;發(fā)送模塊,用于向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送報文�����,所述報文中預(yù)設(shè)的IP會話標識域內(nèi)包含所述生成模塊生成的IP會話標識��。
17. 如權(quán)利要求16所述用戶設(shè)備,其特征在于�����,還包括設(shè)置模塊��,用于設(shè)置IP會話地址或IP會話地址前綴�����,所述生成模塊根據(jù)所述IP會話地址或IP會話地址前綴生成IP會話標識����。
18. —種IP會話處理系統(tǒng)��,其特征在于�����,包括用戶設(shè)備和網(wǎng)絡(luò)網(wǎng)關(guān)所述用戶設(shè)備�,用于接收所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會話標識生成規(guī)則,按照所述IP會話標識生成規(guī)則生成相應(yīng)的IP會話標識�����,并向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送預(yù)設(shè)的IP會話標識域內(nèi)包含所述IP會話標識的報文;所述網(wǎng)絡(luò)網(wǎng)關(guān)�����,用于設(shè)置所述IP會話標識生成規(guī)則��,將所述IP會話標識生成規(guī)則發(fā)送給所述用戶設(shè)備����,按照所述IP會話標識生成規(guī)則在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識,并根據(jù)所述IP會話標識對所述IP會話進行過濾��。
19. 如權(quán)利要求18所述IP會話處理系統(tǒng)���,其特征在于��,還包括所述用戶設(shè)備和所述網(wǎng)絡(luò)網(wǎng)關(guān)在所述IP會話結(jié)束后��,釋放所述IP會話標識�����。
全文摘要
本發(fā)明實施例公開了一種IP會話標識方法���、裝置和系統(tǒng)�����。所述方法包括以下步驟根據(jù)預(yù)設(shè)的IP會話標識生成規(guī)則����,在認證過程和/或IP地址分配過程中為IP會話生成IP會話標識���;根據(jù)所述IP會話標識,判斷接收到的所述IP會話的報文中預(yù)設(shè)的IP會話標識域內(nèi)是否含有IP會話標識�����,所述IP會話標識為用戶設(shè)備按照所述IP會話標識生成規(guī)則根據(jù)IP會話標識參數(shù)生成����;當(dāng)判斷的結(jié)果為是時,允許所述報文通過���;當(dāng)判斷的結(jié)果為否時�����,丟棄所述報文�。通過應(yīng)用本發(fā)明的技術(shù)方案,達到了使IP會話在數(shù)據(jù)通信過程與認證過程/IP地址分配過程中建立耦合關(guān)系���,提高IP會話的安全性的效果��。
文檔編號H04L12/66GK101729500SQ20081017231
公開日2010年6月9日 申請日期2008年10月31日 優(yōu)先權(quán)日2008年10月31日
發(fā)明者鄭若濱 申請人:華為技術(shù)有限公司