專利名稱:一種ip會(huì)話標(biāo)識(shí)方法���、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,特別是涉及一種IP會(huì)話標(biāo)識(shí)方法����、裝置和系統(tǒng)�����。
背景技術(shù):
在接入網(wǎng)中�����,IP會(huì)話(session)代表了與一個(gè)用戶(Subscriber/user)設(shè)備的IP地址關(guān)聯(lián)的網(wǎng)絡(luò)接入連接會(huì)話���,IP Session與點(diǎn)到點(diǎn)的鏈路層協(xié)議會(huì)話(Point-to-PointProtocol Session, PPP Session)是對(duì)等的����,用戶設(shè)備會(huì)話(Subscriber Session)是IPSession和PPP Session的統(tǒng)稱。PPP Session采用特有的PPP存活檢測(cè)機(jī)制���,版本4的IP協(xié)議(IP vision 4�����, IPv4)會(huì)話采用特有的雙向轉(zhuǎn)發(fā)檢測(cè)(Bidirectional ForwardingDetection, BFD)/地址解析協(xié)議(AddressResolution Protocol, ARP)存活檢測(cè)機(jī)制��。
IP Session通常在IP邊緣設(shè)備(IP Edge device)����,例如寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(Broadband Network Gateway, BNG) /寬帶接入月艮務(wù)器(Broadband RemoteAccess Server,BRAS)上終結(jié)�����,IP Session的另一側(cè)通常在用戶設(shè)備�,例如家庭網(wǎng)關(guān)(Home Gateway, HGW)或HGW之后的用戶終端設(shè)備(User Equipment, UE)上終結(jié),S卩�����,IP Session是在用戶設(shè)備與IP邊緣設(shè)備建立的一條會(huì)話連接���。 IP Session用于網(wǎng)絡(luò)對(duì)用戶接入網(wǎng)絡(luò)的管理�����,如計(jì)費(fèi)��、狀態(tài)等����。 在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 現(xiàn)有技術(shù)IP Session的數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程沒有耦合關(guān)
系�����,容易出現(xiàn)雖然認(rèn)證通過�����,但在IP Session的數(shù)據(jù)通信過程中��,還是有可能被攻擊者通過
偽造IP地址或MAC地址假冒�,存在較大安全隱患�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種IP會(huì)話標(biāo)識(shí)方法、裝置和系統(tǒng)�,通過檢驗(yàn)IP會(huì)話中是否
加入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí),實(shí)現(xiàn)對(duì)IP會(huì)話的過濾�,從而,使IP會(huì)話在數(shù)據(jù)通信
過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系����,提高IP會(huì)話的安全性。 為達(dá)到上述目的���,本發(fā)明實(shí)施例一方面提出一種IP會(huì)話標(biāo)識(shí)方法��,包括以下步
驟 根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則�,在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)��; 根據(jù)所述IP會(huì)話標(biāo)識(shí)�,判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí),所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照所述的IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成�����; 當(dāng)所述接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)含有所述IP會(huì)話標(biāo)識(shí)時(shí)���,允許所述報(bào)文通過���;當(dāng)所述接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有所述IP會(huì)話標(biāo)識(shí)時(shí)�����,丟棄所述報(bào)文�。
另一方面���,本發(fā)明實(shí)施例還提出一種網(wǎng)絡(luò)網(wǎng)關(guān)��,包括
生成模塊����,用于根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,在認(rèn)證過程和/或IP地址分配 過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí); 第一判斷模塊���,用于根據(jù)所述生成模塊生成的IP會(huì)話標(biāo)識(shí),判斷接收到的所述IP 會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí)����,所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備 按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成����; 處理模塊���,用于當(dāng)所述第一判斷模塊判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的 IP會(huì)話標(biāo)識(shí)域內(nèi)含有所述IP會(huì)話標(biāo)識(shí)時(shí)���,允許所述報(bào)文通過;當(dāng)所述第一判斷模塊判斷接 收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有所述IP會(huì)話標(biāo)識(shí)時(shí)�����,丟棄所述 報(bào)文����。 另一方面,本發(fā)明實(shí)施例還提出一種用戶設(shè)備��,包括
接收模塊�,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則; 生成模塊����,用于根據(jù)所述接收模塊接收的所述IP會(huì)話標(biāo)識(shí)生成規(guī)則,生成IP會(huì)話 的IP會(huì)話標(biāo)識(shí); 發(fā)送模塊�,用于向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送報(bào)文,所述報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)包 含所述生成模塊生成的IP會(huì)話標(biāo)識(shí)�����。 另一方面��,本發(fā)明實(shí)施例還提出一種IP會(huì)話處理系統(tǒng)���,包括用戶設(shè)備和網(wǎng)絡(luò)網(wǎng) 關(guān) 所述用戶設(shè)備�,用于接收所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則�,按照所述IP 會(huì)話標(biāo)識(shí)生成規(guī)則生成相應(yīng)的IP會(huì)話標(biāo)識(shí),并向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域 內(nèi)包含所述IP會(huì)話標(biāo)識(shí)的報(bào)文��; 所述網(wǎng)絡(luò)網(wǎng)關(guān)�,用于設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則,將所述IP會(huì)話標(biāo)識(shí)生成規(guī)則 發(fā)送給所述用戶設(shè)備�����,按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則在認(rèn)證過程和/或IP地址分配過程 中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)��,并根據(jù)所述IP會(huì)話標(biāo)識(shí)對(duì)所述IP會(huì)話進(jìn)行過濾�����。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)��,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)�,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法,從而�����,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系����,提高IP會(huì)話的安全性的效 果。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案�����,下面將對(duì)實(shí)施例描述中所需要使用 的附圖作簡(jiǎn)單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本 領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的 附圖����。
圖1為本發(fā)明實(shí)施例一提出的一種IP會(huì)話標(biāo)識(shí)方法的流程示意圖 圖2為本發(fā)明實(shí)施例一提出的一種IP會(huì)話標(biāo)識(shí)方法的流程示意圖 圖3為本發(fā)明實(shí)施例二提出的一種IP會(huì)話處理系統(tǒng)的結(jié)構(gòu)示意圖
圖4為本發(fā)明實(shí)施例三提出的一種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的、》
'右
程示意圖����; 圖5為本發(fā)明實(shí)施例四提出的另一種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的流程示意圖; 圖6為本發(fā)明實(shí)施例五提出的另一種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的 流程示意圖����; 圖7為本發(fā)明實(shí)施例六提出的另一種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的 流程示意圖; 圖8為本發(fā)明實(shí)施例七提出的另一種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的 流程示意圖���; 圖9為本發(fā)明實(shí)施例八提出的一種靜態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法的流 程示意圖�。
具體實(shí)施例方式
本發(fā)明實(shí)施例提出了一種IP會(huì)話標(biāo)識(shí)方法�、裝置和系統(tǒng)。該技術(shù)方案的具體內(nèi)容 是在IPv6的流標(biāo)簽(Flow label)中設(shè)定IPv6Session ID域���,或者在IPv6地址中設(shè)定 IPv6Session ID域(例如���,IPv6地址前綴),IPv6Session ID在用戶認(rèn)證/IP地址分配過 程成功后����,按Subscriber與運(yùn)營(yíng)商約定的規(guī)則產(chǎn)生�����,實(shí)現(xiàn)IPv6Session與認(rèn)證過程/IP地 址分配過程的耦合。 IPv6Session ID在IP Session存活過程中保持不變��,BNG對(duì)接收到的數(shù)據(jù)包進(jìn)行 IPv6Session ID的過濾���,有效地防止攻擊者通過偽造IP地址或MAC地址假冒��,解決了共享 介質(zhì)接入的安全�。 下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例�����,而不是全部的實(shí)施例�����。基 于本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其 他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。 如圖1所示,為本發(fā)明實(shí)施例一提出的一種IP會(huì)話標(biāo)識(shí)方法的流程示意圖�����,該方 法包括以下步驟 步驟S101����、網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則,在認(rèn)證過程和/或IP地址 分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)�。 具體的,為方便描述��,本發(fā)明實(shí)施例中以IPv6會(huì)話(IPv6Session)為例進(jìn)行說明���,
但是����,需要進(jìn)一步指出的是,其他符合本發(fā)明實(shí)施例實(shí)施場(chǎng)景要求的會(huì)話也同樣屬于本發(fā)
明的保護(hù)范圍��,這一點(diǎn)在全文均適用�����,后文不再重復(fù)強(qiáng)調(diào)��。 IPv6Session分為動(dòng)態(tài)IPv6Session禾口靜態(tài)IPv6Session��。 其中�,動(dòng)態(tài)IPv6Session可以被動(dòng)態(tài)創(chuàng)建和終止��,靜態(tài)IPv6Session則只能被靜態(tài) 配置生成��。 本發(fā)明實(shí)施例所提出的技術(shù)方案是在IPv6的流標(biāo)簽(IPv6Flow label)中設(shè)定 IPv6Session ID域或者在IPv6地址中設(shè)定IPv6Session ID域(例如��,IPv6地址前綴)��。對(duì) 于動(dòng)態(tài)IP Session,可通過認(rèn)證Session ID和動(dòng)態(tài)主機(jī)分配協(xié)議執(zhí)行標(biāo)識(shí)(Dynamic Host Configuration Protocol Transaction ID�, DHCPT屋saction ID,簡(jiǎn)稱xid)按約定的規(guī)則 映射到IPv6Flow label的IPv6SessionlD域�,產(chǎn)生IPv6Session ID ;或者�����,Subsriber可通 過DHCP PD或無狀態(tài)地址自動(dòng)分配過程(StateLess Address AutoConf iguration�, SLAAC)的IPv6地址前綴�����,然后按約定的規(guī)則映射作為IPv6Session ID���,即將Subsriber的IPv6地 址前綴與IPv6Session進(jìn)行綁定�。����;對(duì)于靜態(tài)IP Session,可根據(jù)IPv6地址/IPv6地址前 綴按約定的規(guī)則產(chǎn)生IPv6Session ID。 IPv6Session ID產(chǎn)生規(guī)則對(duì)于動(dòng)態(tài)IPv6Session�����,可以在IPv6Session建立前通 過技術(shù)規(guī)范TR069的方式動(dòng)態(tài)配置到用戶設(shè)備上���,或者在認(rèn)證/IP地址分配成功后通過認(rèn) 證協(xié)議/DHCP動(dòng)態(tài)配置到用戶設(shè)備上����;對(duì)于靜態(tài)IPv6Session, IPv6Session ID產(chǎn)生規(guī)則可 以靜態(tài)配置�����,即在步驟S101之前����,還包括以下兩種情況 當(dāng)IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí),在網(wǎng)絡(luò)網(wǎng)關(guān)中設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī)則���,并通過向 用戶設(shè)備發(fā)送認(rèn)證確認(rèn)消息或地址分配響應(yīng)消息,在用戶設(shè)備中設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī) 則����; 當(dāng)IP會(huì)話為靜態(tài)IP會(huì)話時(shí),在網(wǎng)絡(luò)網(wǎng)關(guān)和用戶設(shè)備設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī)則�����。
對(duì)應(yīng)上述的兩種情況�,步驟S101的具體內(nèi)容也相應(yīng)的分為兩種情況
當(dāng)IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí),按照預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則��,根據(jù)通過地址分 配前綴委派或通過路由器通告(router advertisement)所得到的IP會(huì)話地址前綴,或認(rèn) 證確認(rèn)消息中的認(rèn)證識(shí)別符��,或地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)�,在認(rèn)證過程和/或IP地 址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí); 當(dāng)IP會(huì)話為靜態(tài)IP會(huì)話時(shí)�����,按照預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,根據(jù)用戶設(shè)備中 預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴,在IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)���。
需要進(jìn)一步指出的是��,當(dāng)IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)���,按照地址分配響應(yīng)消息中的執(zhí) 行標(biāo)識(shí)生成IP會(huì)話標(biāo)識(shí)之后,還包括以下步驟 當(dāng)IP會(huì)話的IP地址分配結(jié)果發(fā)生更新時(shí)�,按照預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則,根 據(jù)更新的地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)��,為IP會(huì)話生成更新的IP會(huì)話標(biāo)識(shí)����。
IPv6Session ID在IP Session存活過程中不變�。
IPv6Session由IPv6Session ID進(jìn)行標(biāo)識(shí)�����。 步驟S102��、根據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)生成的IP會(huì)話標(biāo)識(shí)�����,網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào) 文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí)�����。 其中�,該IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù) 生成�。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)含有IP會(huì)話 標(biāo)識(shí)時(shí),轉(zhuǎn)入步驟S103 ; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有IP會(huì)
話標(biāo)識(shí)時(shí)���,轉(zhuǎn)入步驟S104��。 步驟S103�、網(wǎng)絡(luò)網(wǎng)關(guān)允許報(bào)文通過。 即發(fā)送該報(bào)文的用戶設(shè)備是通過認(rèn)證的用戶設(shè)備����,該報(bào)文安全,允許該報(bào)文通過���。
步驟S104����、網(wǎng)絡(luò)網(wǎng)關(guān)丟棄報(bào)文�����。 即發(fā)送該報(bào)文的用戶設(shè)備不是通過認(rèn)證的用戶設(shè)備����,由于該報(bào)文的安全性未知, 所以將該報(bào)文丟棄�。 進(jìn)一步的,當(dāng)IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)�����,上述的方法還包括
當(dāng)IP會(huì)話終止時(shí)����,釋放IP會(huì)話標(biāo)識(shí)��。
進(jìn)一步的����,上述的步驟S102在具體的應(yīng)用環(huán)境中����,也可以分為兩次判斷,相對(duì)于 上述的如圖1所示的IP會(huì)話標(biāo)識(shí)方法����,包含兩次判斷過程的IP會(huì)話標(biāo)識(shí)方法的具體實(shí)現(xiàn) 過程如圖2所示,包括以下步驟 步驟S201��、網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,在認(rèn)證過程和/或IP地址 分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)。 本步驟與步驟SIOI的具體說明內(nèi)容相同�����,本實(shí)施例不再重復(fù)敘述��。
步驟S202���、網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中是否含有IP會(huì)話標(biāo)識(shí)��。
S卩���,網(wǎng)絡(luò)網(wǎng)關(guān)識(shí)別接收到的IP會(huì)話的報(bào)文中是否含有與該網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)預(yù)設(shè)的 IP會(huì)話標(biāo)識(shí)生成規(guī)則所生成的IP會(huì)話標(biāo)識(shí)相同的IP會(huì)話標(biāo)識(shí)。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中含有IP會(huì)話標(biāo)識(shí)時(shí)���,轉(zhuǎn)入步驟S203 ;
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中未含有IP會(huì)話標(biāo)識(shí)時(shí)�����,轉(zhuǎn)入步驟S205�����。
步驟S203��、網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會(huì)話標(biāo)識(shí)與發(fā)送該IP會(huì)話的地址是否符合預(yù)設(shè)的綁 定關(guān)系表��。 在本步驟中����,網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文中含有該IP會(huì)話標(biāo)識(shí)時(shí),進(jìn)一 步判斷發(fā)送該IP會(huì)話的地址與該IP會(huì)話標(biāo)識(shí)的對(duì)應(yīng)關(guān)系是否與預(yù)設(shè)的綁定關(guān)系表中的信 息相一致����,判斷接收到的IP會(huì)話的報(bào)文是否來自預(yù)設(shè)的MAC地址或接入端口,即判斷該IP 會(huì)話是否是認(rèn)證通過的端口發(fā)起的符合認(rèn)證要求的IP會(huì)話��。 其中的綁定關(guān)系表具體是在用戶設(shè)備完成認(rèn)證時(shí)所生成的IP會(huì)話標(biāo)識(shí)與用戶設(shè) 備MAC地址或接入端口的綁定關(guān)系表�。 其中,接入端口可以是接入物理端口 (如數(shù)字用戶線端口或無源光網(wǎng)絡(luò)物理接 口 )����,也可以是接入邏輯端口 (如虛擬局域網(wǎng)端口或千兆無源光網(wǎng)絡(luò)封裝模式端口 )。
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會(huì)話標(biāo)識(shí)與發(fā)送該IP會(huì)話的地址符合預(yù)設(shè)的綁定關(guān)系表時(shí)���, 轉(zhuǎn)入步驟S204 ; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷IP會(huì)話標(biāo)識(shí)與發(fā)送該IP會(huì)話的地址不符合預(yù)設(shè)的綁定關(guān)系表 時(shí)����,轉(zhuǎn)入步驟S205�����。 步驟S204 �����、網(wǎng)絡(luò)網(wǎng)關(guān)允許報(bào)文通過�����。 即發(fā)送該報(bào)文的用戶設(shè)備是通過認(rèn)證的用戶設(shè)備����,該報(bào)文安全,允許該報(bào)文通過�����。
步驟S205��、網(wǎng)絡(luò)網(wǎng)關(guān)丟棄報(bào)文�����。 即發(fā)送該報(bào)文的用戶設(shè)備不是通過認(rèn)證的用戶設(shè)備�����,由于該報(bào)文的安全性未知��, 所以將該報(bào)文丟棄�����。 進(jìn)一步的,當(dāng)IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)��,上述的方法還包括
當(dāng)IP會(huì)話終止時(shí)�����,釋放IP會(huì)話標(biāo)識(shí)�。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)���,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法���,從而,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系����,提高IP會(huì)話的安全性的效 果。 對(duì)應(yīng)本發(fā)明實(shí)施例一所提出的技術(shù)方案�,本發(fā)明實(shí)施例二提出了一種IP會(huì)話處 理系統(tǒng),結(jié)構(gòu)示意圖如圖3所示���,包括用戶設(shè)備1和網(wǎng)絡(luò)網(wǎng)關(guān)2 : 用戶設(shè)備1���,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,按照IP會(huì)話標(biāo)識(shí)生成規(guī)則生成相應(yīng)的IP會(huì)話標(biāo)識(shí)�����,并向網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送包含IP會(huì)話標(biāo)識(shí)的報(bào)文����,包括
接收模塊ll��,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則���;
生成模塊12���,用于根據(jù)接收模塊11接收的IP會(huì)話標(biāo)識(shí)生成規(guī)則,生成IP會(huì)話的 IP會(huì)話標(biāo)識(shí)�����; 發(fā)送模塊13,用于向網(wǎng)絡(luò)網(wǎng)關(guān)2發(fā)送報(bào)文����,報(bào)文中包含生成模塊12生成的IP會(huì)話 標(biāo)識(shí)。 進(jìn)一步的���,用戶設(shè)備l還包括 設(shè)置模塊14���,用于設(shè)置IP會(huì)話地址或IP會(huì)話地址前綴,以為生成模塊12提供生 成IP會(huì)話標(biāo)識(shí)的依據(jù)信息���。 網(wǎng)絡(luò)網(wǎng)關(guān)2�����,用于設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī)則����,將IP會(huì)話標(biāo)識(shí)生成規(guī)則發(fā)送給用戶 設(shè)備1����,按照IP會(huì)話標(biāo)識(shí)生成規(guī)則在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP 會(huì)話標(biāo)識(shí),并根據(jù)IP會(huì)話標(biāo)識(shí)對(duì)IP會(huì)話進(jìn)行過濾��,具體包括 設(shè)置模塊21,用于在網(wǎng)絡(luò)網(wǎng)關(guān)2設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī)則和綁定關(guān)系表�����;
發(fā)送模塊22�����,用于將設(shè)置模塊21設(shè)置的IP會(huì)話標(biāo)識(shí)生成規(guī)則發(fā)送給用戶設(shè)備1��, 以在用戶設(shè)備1中設(shè)置IP會(huì)話標(biāo)識(shí)生成規(guī)則���; 生成模塊23,用于根據(jù)設(shè)置模塊21預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則���,在認(rèn)證過程和/ 或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)��,該模塊具體包括 獲取子模塊231����,用于通過地址分配前綴委派或通過路由器通告獲取IP會(huì)話地址 前綴���,或在認(rèn)證確認(rèn)消息中獲取認(rèn)證識(shí)別符����,或在地址分配響應(yīng)消息中獲取執(zhí)行標(biāo)識(shí),或獲 取用戶設(shè)備1中預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴�����; 生成子模塊232�,用于根據(jù)獲取子模塊231所獲取的IP會(huì)話地址前綴,或認(rèn)證識(shí)別 符�����,或執(zhí)行標(biāo)識(shí)���,或用戶設(shè)備1中預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴�����,按照設(shè)置模塊21 預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則�,為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)�����; 更新子模塊233����,用于當(dāng)IP會(huì)話的IP地址分配結(jié)果發(fā)生更新時(shí)��,按照設(shè)置模塊21 預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,根據(jù)獲取子模塊231獲取的更新的地址分配響應(yīng)消息中的執(zhí) 行標(biāo)識(shí)�,為IP會(huì)話生成更新的IP會(huì)話標(biāo)識(shí)。 第一判斷模塊24�����,用于根據(jù)生成模塊23生成的IP會(huì)話標(biāo)識(shí)���,判斷接收到的IP會(huì) 話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí)。 其中�����,該IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù) 生成�����。 處理模塊26�,用于當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì) 話標(biāo)識(shí)域內(nèi)含有IP會(huì)話標(biāo)識(shí)時(shí)��,允許報(bào)文通過��;當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會(huì)話 的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有IP會(huì)話標(biāo)識(shí)時(shí)�,丟棄報(bào)文����。
釋放模塊27,用于當(dāng)IP會(huì)話終止時(shí)�����,釋放生成模塊23所生成的IP會(huì)話標(biāo)識(shí)���。
進(jìn)一步的�,網(wǎng)絡(luò)網(wǎng)關(guān)2還可以包括 第二判斷模塊25���,用于判斷IP會(huì)話標(biāo)識(shí)與發(fā)送IP會(huì)話的地址是否符合設(shè)置模塊 21所設(shè)置的綁定關(guān)系表���; 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)2含有第二判斷模塊25時(shí),處理模塊26還用于當(dāng)?shù)诙袛嗄K24判 斷IP會(huì)話標(biāo)識(shí)與發(fā)送IP會(huì)話的地址符合預(yù)設(shè)的綁定關(guān)系表時(shí)��,允許報(bào)文通過�����;當(dāng)?shù)谝慌袛嗄K24判斷接收到的IP會(huì)話的報(bào)文中未含有IP會(huì)話標(biāo)識(shí),或第二判斷模塊25判斷IP會(huì) 話標(biāo)識(shí)與發(fā)送IP會(huì)話的地址不符合預(yù)設(shè)的綁定關(guān)系表時(shí)�����,丟棄該報(bào)文���。
上述模塊可以分布于一個(gè)裝置�,也可以分布于多個(gè)裝置���。上述模塊可以合并為一 個(gè)模塊���,也可以進(jìn)一步拆分成多個(gè)子模塊。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)����,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)���,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的系統(tǒng)����,從而,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系��,提高IP會(huì)話的安全性的效 果���。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案�����,本發(fā)明通過實(shí)施例三提出了一種 動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法��,該方法在認(rèn)證階段進(jìn)行IP會(huì)話標(biāo)識(shí)的創(chuàng)建��,具體 方法流程圖如圖4所示���,包括以下步驟 步驟S401、用戶(Subscriber)設(shè)備通過BNG到認(rèn)證服務(wù)器進(jìn)行EAP認(rèn)證����。
其中,BNG即為前述本發(fā)明實(shí)施例中所提及的網(wǎng)絡(luò)網(wǎng)關(guān)��,用戶設(shè)備在具體的應(yīng)用環(huán) 境中即為Subscriber,可以具體為一個(gè)接入的用戶終端�,也可以是連接有多個(gè)終端的網(wǎng)絡(luò) 接入設(shè)備,如家庭網(wǎng)關(guān)��,這一點(diǎn)在后文的實(shí)施例中也是一致的,后文不再重復(fù)敘述��,具體名 稱的變化并不影響本發(fā)明的保護(hù)范圍�����。 步驟S402�����、當(dāng)用戶設(shè)備的EAP認(rèn)證成功時(shí)��,EAP Success消息由認(rèn)證服務(wù)器通過 BNG發(fā)送給用戶設(shè)備�,并在該用戶所對(duì)應(yīng)的用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則。
步驟S403��、當(dāng)用戶設(shè)備的EAP認(rèn)證成功后�����,用戶設(shè)備啟動(dòng)DHCP PD (Prefix Delegation,前綴委派)�,產(chǎn)生DHCP Transaction ID(簡(jiǎn)稱xid),用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按一定的規(guī)則產(chǎn)生xid�,如果采用PANA��,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生xid。 步驟S404����、用戶設(shè)備通過DHCP PD申請(qǐng)IPv6地址前綴,在IPv6地址前綴委派過程 中����,所有DHCP消息的xid保持不變。 需要指出的是��,由于在DHCP PD過程之前缺乏象PPP的Session ID協(xié)商過程�����,所 以xid就相當(dāng)于IP Session ID����,在同一個(gè)IP Session的生命周期內(nèi)保持一致;如果對(duì)用 戶設(shè)備進(jìn)行IPv6地址前綴重新分配(renumbering)�����,則認(rèn)為由一個(gè)舊的IP Session更新為 新的IP Session, xid也將隨著新的IP Session進(jìn)行變化�。 步驟S405、當(dāng)IPv6地址前綴委派成功,DHCP服務(wù)器通過DHCP R印ly消息將IPv6 地址前綴發(fā)送給用戶設(shè)備�����。 步驟S406�、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息委派的IPv6地址前綴作為 IPv6Session ID。 即將IPv6地址前綴與IPv6Session綁定����,進(jìn)一步的,還可以對(duì)IPv6SessionlD與 用戶設(shè)備的MAC地址/或接入端口綁定��,形成綁定關(guān)系表��。 需要指出的是��,如果對(duì)Subscriber進(jìn)行IPv6地址前綴重新分配�,則認(rèn)為由一個(gè)舊 的IP Session更新為新的IP Session, IP Session ID也將隨著新的IPv6地址前綴的重 新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生。 步驟S407����、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾。 BNG對(duì)接收到的由用戶設(shè)備發(fā)送的所有報(bào)文進(jìn)行檢測(cè)�,判斷其中是否含有IPv6Session ID,當(dāng)報(bào)文中含有IPv6Session ID時(shí)����,進(jìn)一步將報(bào)文中的IPv6Session ID 與BNG根據(jù)前述的IPv6Session ID產(chǎn)生規(guī)則所生成的IPv6Session ID相比較����,判斷兩個(gè) IPv6Session ID是否相同�����。 當(dāng)兩個(gè)IPv6Session ID相同時(shí)���,判斷兩個(gè)IPv6Session ID均是根據(jù)前述 IPv6Session ID產(chǎn)生規(guī)則生成的,則BNG進(jìn)一步根據(jù)預(yù)設(shè)的IPv6SessionlD與用戶設(shè)備的 MAC地址/或接入端口綁定關(guān)系過濾IP會(huì)話的報(bào)文��,即BNG通過檢查預(yù)設(shè)的綁定關(guān)系表�����,判 斷接收到的IP會(huì)話的報(bào)文是否來自預(yù)設(shè)的MAC地址或接入端口 ����。 當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文來自預(yù)設(shè)的MAC地址或接入端口時(shí),即判 定發(fā)送該報(bào)文的用戶設(shè)備是通過認(rèn)證的用戶設(shè)備����,BNG允許該用戶設(shè)備發(fā)送的報(bào)文通過��。
當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)判斷接收到的IP會(huì)話的報(bào)文并非來自預(yù)設(shè)的MAC地址或接入端口時(shí)���, BNG將該報(bào)文進(jìn)行丟棄。 相對(duì)應(yīng)的��,當(dāng)檢測(cè)所接收到的報(bào)文不含有IPv6Session ID�����,或者所含有的
IPv6Session ID與BNG根據(jù)前述的IPv6Session ID產(chǎn)生規(guī)則所生成的IPv6Session ID不
同時(shí)�,判斷發(fā)送該報(bào)文的用戶設(shè)備不是通過認(rèn)證的用戶設(shè)備,BNG直接將該報(bào)文進(jìn)行丟棄�����。
需要進(jìn)一步指出的是��,在后文的實(shí)施例中�,BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)
行過濾的過程與本步驟是一致的,后文不再重復(fù)敘述�。 步驟S408、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信�。 在數(shù)據(jù)通信階段,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 步驟S409��、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文(ke印alive)進(jìn)行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控�����。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 需要指出的是��,步驟S408和步驟S409在具體實(shí)施環(huán)境中�,沒有必然的時(shí)間先后關(guān)
系���,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍���。 步驟S410、 IPv6地址前綴被釋放或被重新分配(renumbering)����。 IPv6地址前綴被釋放或被重新分配(renumbering)時(shí),則認(rèn)為由一個(gè)舊的IP
Session更新為新的IP Session,即判斷為當(dāng)前IPv6會(huì)話終止�。 步驟S411、 IPv6Session ID釋放��。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)����,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)�����,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法�����,從而�����,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系�,提高IP會(huì)話的安全性的效 果��。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案��,本發(fā)明通過實(shí)施例四提出了另一 種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法�����,該方法在IP地址分配階段進(jìn)行IP會(huì)話標(biāo)識(shí)的 創(chuàng)建���,具體方法流程圖如圖5所示����,包括以下步驟
步驟S501、用戶設(shè)備通過BNG到認(rèn)證服務(wù)器進(jìn)行EAP認(rèn)證���。 步驟S502�����、當(dāng)用戶設(shè)備的EAP認(rèn)證成功時(shí)����,EAP Success消息由認(rèn)證服務(wù)器通過 BNG發(fā)送給用戶設(shè)備��,并在該用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則��。
步驟S503�����、當(dāng)用戶設(shè)備的EAP認(rèn)證成功后���,用戶設(shè)備啟動(dòng)SLAAC,向BNG發(fā)出路由 器懇求RS(Router Solicitation)消息���。 步驟S504�、 BNG收到RS消息后,向用戶設(shè)備發(fā)送路由器宣告 RA(RouterAdvertisement)消息�。 RA消息的源地址是BNG的IPv6地址,RA消息包含IPv6地址前綴��。 步驟S505����、BNG和用戶設(shè)備可根據(jù)RA消息攜帶的IPv6地址前綴作為IPv6SessionID。 即將IPv6地址前綴與IPv6Session綁定���,進(jìn)一步的����,還可以對(duì)IPv6SessionlD與 用戶設(shè)備MAC地址/或接入端口綁定�����,形成綁定關(guān)系表��; 需要指出的是����,如果對(duì)Subscriber進(jìn)行IPv6地址前綴重新分配��,則認(rèn)為由一個(gè)舊 的IP Session更新為新的IP Session, IP Session ID也將隨著新的IPv6地址前綴的重 新分配由新的RA消息觸發(fā)產(chǎn)生�����。 步驟S506�、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾����。 步驟S507、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信���。 在數(shù)據(jù)通信階段�,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID��。 步驟S508�����、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文(ke印alive)進(jìn)行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控����。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID���。 需要指出的是��,步驟S507和步驟S508在具體實(shí)施環(huán)境中����,沒有必然的時(shí)間先后關(guān)
系,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍�����。 步驟S509��、 IPv6地址前綴被釋放或被重新分配(renumbering)���。 IPv6地址前綴被釋放或被重新分配(renumbering)時(shí)���,則認(rèn)為由一個(gè)舊的IP
Session更新為新的IP Session,即判斷為當(dāng)前IPv6會(huì)話終止。 步驟S510���、 IPv6Session ID釋放����。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)���,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法�,從而��,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系�����,提高IP會(huì)話的安全性的效 果��。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案����,本發(fā)明通過實(shí)施例五提出了另一 種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法,該方法在IP地址分配階段進(jìn)行IP會(huì)話標(biāo)識(shí)的 創(chuàng)建���,具體方法流程圖如圖6所示�,包括以下步驟
步驟S601�����、用戶設(shè)備通過BNG到認(rèn)證服務(wù)器進(jìn)行EAP認(rèn)證��。 步驟S602�����、當(dāng)用戶設(shè)備EAP認(rèn)證成功�����,EAP Success消息由認(rèn)證服務(wù)器通過BNG發(fā) 送給用戶設(shè)備���,并在該用戶設(shè)備中配置IPv6Session ID產(chǎn)生規(guī)則����。 步驟S603����、 BNG和用戶設(shè)備根據(jù)IPv6Session ID產(chǎn)生規(guī)則,分別為BNG和用戶設(shè) 備生成IPv6Session ID����。BNG和用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按 一 定的規(guī)則產(chǎn)生IPv6Session ID ;如果采用PANA,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生 IPv6Session ID�����。 步驟S604、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾�����。 步驟S605��、用戶設(shè)備通過無狀態(tài)或有狀態(tài)地址分配方式申請(qǐng)IPv6地址�����。 在IPv6地址分配過程中��,所有的上行消息皆攜帶根據(jù)認(rèn)證成功后確定的
IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 步驟S606、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信��。 在數(shù)據(jù)通信階段���,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID��。 步驟S607����、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文(ke印alive)進(jìn)行數(shù)據(jù)通 信狀態(tài)存活監(jiān)控�����。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID����。 需要指出的是,步驟S606和步驟S607在具體實(shí)施環(huán)境中����,沒有必然的時(shí)間先后關(guān) 系,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍���。
步驟S608����、 IPv6地址被釋放�����。 步驟S609���、 IPv6Session被終止��,IPv6Session ID釋放���。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)��,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)���,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法,從而�����,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系�����,提高IP會(huì)話的安全性的效 果����。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案,本發(fā)明通過實(shí)施例六提出了另一 種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法�,該方法在IP地址分配階段進(jìn)行IP會(huì)話標(biāo)識(shí)的 創(chuàng)建,具體方法流程圖如圖7所示��,包括以下步驟
步驟S701���、用戶設(shè)備通過BNG到認(rèn)證服務(wù)器進(jìn)行EAP認(rèn)證���。 步驟S702���、當(dāng)用戶設(shè)備EAP認(rèn)證成功���,EAP Success消息由認(rèn)證服務(wù)器通過BNG發(fā) 送給用戶設(shè)備�,并配置IPv6Session ID產(chǎn)生規(guī)則����。 步驟S703、當(dāng)用戶設(shè)備EAP認(rèn)證成功后����,用戶設(shè)備啟動(dòng)有狀態(tài)地址分配,產(chǎn)生DHCP Transaction ID(簡(jiǎn)稱xid);用戶設(shè)備可根據(jù)EAP Success消息的EAP Identifier按一定 的規(guī)則產(chǎn)生xid;如果采用PANA��,還可根據(jù)PANA Session ID按一定的規(guī)則產(chǎn)生xid����。
步驟S704、用戶設(shè)備通過有狀態(tài)地址分配方式申請(qǐng)IPv6地址����,在IPv6地址分配過 程中���,所有DHCP消息的xid保持不變。 需要進(jìn)一步指出的是�,由于在DHCP地址分配過程之前缺乏像PPP的Session ID 協(xié)商過程,所以xid就相當(dāng)于IP Session ID��,建議在同一個(gè)IPSession的生命周期內(nèi)保持 一致��;如果DHCP過程通過reconfigure消息更換IP地址�,則認(rèn)為由一個(gè)舊的IP Session 更新為新的IP Session, xid也將隨著新的IP Session進(jìn)行變化。 步驟S705�����、當(dāng)IPv6地址申請(qǐng)成功���,DHCP服務(wù)器通過DHCP R印ly消息將IPv6地址 發(fā)送給用戶設(shè)備�。 步驟S706����、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息的DHCPTransaction ID按一定的規(guī)則產(chǎn)生IPv6Session ID。 需要進(jìn)一步指出的是�,如果DHCP過程通過reconfigure/renew消息更換IP地址, 則認(rèn)為由一個(gè)舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地 址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生。 步驟S707���、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾�。 步驟S708��、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信���。 在數(shù)據(jù)通信階段,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID��。 步驟S709�、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文進(jìn)行數(shù)據(jù)通信狀態(tài)存活監(jiān) 控。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的 IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�����。 需要指出的是���,步驟S708和步驟S709在具體實(shí)施環(huán)境中��,沒有必然的時(shí)間先后關(guān) 系�����,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍�。
步驟S710、 IPv6地址被釋放����。 步驟S711、 IPv6Session被終止�,IPv6Session ID釋放。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)����,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加 入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí),實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法����,從而,達(dá)到了使IP會(huì)話 在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系�,提高IP會(huì)話的安全性的效 果。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案����,本發(fā)明通過實(shí)施例七提出了另一 種動(dòng)態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法,在本方法中����,IP地址分配階段和認(rèn)證階段是合 并的,本方法在該階段進(jìn)行IP會(huì)話標(biāo)識(shí)的創(chuàng)建,具體方法流程圖如圖8所示��,包括以下步 驟 步驟S801���、用戶設(shè)備產(chǎn)生DHCP Transaction ID(簡(jiǎn)稱xid)�����。 步驟S802�����、用戶設(shè)備通過DHCP認(rèn)證,實(shí)現(xiàn)用戶設(shè)備認(rèn)證和有狀態(tài)地址分配��,在 DHCP認(rèn)證過程中��,所有DHCP消息的xid保持不變�����。 需要進(jìn)一步指出的是��,由于在DHCP地址分配過程之前缺乏象PPP的Session ID 協(xié)商過程�,所以xid就相當(dāng)于IP Session ID,建議在同一個(gè)IPSession的生命周期內(nèi)保 持一致;如果DHCP過程通過reconfigure/renew消息更換IP地址���,則認(rèn)為由一個(gè)舊的IP Session更新為新的IP Session, xid也將隨著新的IP Session進(jìn)行變化�。
步驟S803�����、當(dāng)DHCP認(rèn)證成功����,BNG通過DHCP R印ly消息將IPv6地址發(fā)送給用戶 設(shè)備,通知用戶設(shè)備認(rèn)證成功�,并配置IPv6Session ID產(chǎn)生規(guī)則。 需要進(jìn)一步指出的是�,如果DHCP過程通過reconfigure/renew消息更換IP地址, 則認(rèn)為由一個(gè)舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地 址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生���。 步驟S804��、 BNG和用戶設(shè)備可根據(jù)DHCP R印ly消息的DHCPTransaction ID按認(rèn) 證成功后確定的IPv6Session ID產(chǎn)生規(guī)則產(chǎn)生IPv6Session ID���。 需要進(jìn)一步指出的是,如果DHCP過程通過reconfigure/renew消息更換IP地址�����,則認(rèn)為由一個(gè)舊的IP Session更新為新的IP Session, IP SessionID也將隨著新的IP地址的重新分配由新的DHCP R印ly消息觸發(fā)產(chǎn)生。 步驟S805����、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾。 步驟S806���、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信�����。 在數(shù)據(jù)通信階段���,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 步驟S807����、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文進(jìn)行數(shù)據(jù)通信狀態(tài)存活監(jiān)控�。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 需要指出的是��,步驟S806和步驟S807在具體實(shí)施環(huán)境中��,沒有必然的時(shí)間先后關(guān)系,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍���。
步驟S808���、 IPv6地址被釋放。 步驟S809����、 IPv6Session被終止,IPv6Session ID釋放��。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)�����,因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)���,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法����,從而���,達(dá)到了使IP會(huì)話在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系�,提高IP會(huì)話的安全性的效果。 對(duì)應(yīng)上述的本發(fā)明實(shí)施例一所提出的技術(shù)方案����,本發(fā)明通過實(shí)施例八提出了一種靜態(tài)IPv6Session中的IP會(huì)話標(biāo)識(shí)方法,在本方法中�,由于是靜態(tài)IPv6會(huì)話,所以不存在認(rèn)證階段����,而直接是IP地址分配階段,本方法在該階段進(jìn)行IP會(huì)話標(biāo)識(shí)的創(chuàng)建�����,具體方法流程圖如圖9所示�,包括以下步驟 步驟S901、網(wǎng)絡(luò)靜態(tài)配置用戶設(shè)備的IPv6地址/地址前綴�,以及IPv6Session ID的產(chǎn)生規(guī)則。 步驟S902�、 BNG和用戶設(shè)備根據(jù)用戶設(shè)備的IPv6地址/地址前綴,按預(yù)先配置的IPv6Session ID的產(chǎn)生規(guī)則產(chǎn)生IPv6Session ID�。 步驟S903����、 BNG對(duì)接收到的IPv6報(bào)文的IPv6Session ID進(jìn)行過濾�。 步驟S904���、通過攜帶IPv6Session ID的數(shù)據(jù)流進(jìn)行數(shù)據(jù)通信�����。 在數(shù)據(jù)通信階段����,IPv6數(shù)據(jù)報(bào)文皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID
產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID�。 步驟S905、通過攜帶IPv6Session ID的存活監(jiān)控報(bào)文(ke印alive)進(jìn)行數(shù)據(jù)通信狀態(tài)存活監(jiān)控�。 IPv6Session的存活監(jiān)控報(bào)文(如BFD報(bào)文)皆攜帶根據(jù)認(rèn)證成功后確定的IPv6Session ID產(chǎn)生規(guī)則所產(chǎn)生的IPv6Session ID。 需要指出的是��,步驟S904和步驟S905在具體實(shí)施環(huán)境中���,沒有必然的時(shí)間先后關(guān)系�����,兩個(gè)步驟順序的改變并不影響本發(fā)明的保護(hù)范圍����。 本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧送ㄟ^檢驗(yàn)IP會(huì)話中是否加入按照預(yù)設(shè)規(guī)則生成的IP會(huì)話標(biāo)識(shí)��,實(shí)現(xiàn)對(duì)IP會(huì)話的過濾的方法���,從而���,達(dá)到了使IP會(huì)話在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系,提高IP會(huì)話的安全性的效果��。 通過以上的實(shí)施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通
過硬件實(shí)現(xiàn),也可以可借助軟件加必要的通用硬件平臺(tái)的方式來實(shí)現(xiàn)基于這樣的理解�,本
發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存
儲(chǔ)介質(zhì)(可以是CD-ROM�����,U盤�����,移動(dòng)硬盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可
以是個(gè)人計(jì)算機(jī)����,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。 本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖�����,附圖中的模塊或流
程并不一定是實(shí)施本發(fā)明所必須的�。 以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出�����,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說�����,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍���。
權(quán)利要求
一種IP會(huì)話標(biāo)識(shí)方法����,其特征在于��,包括以下步驟根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí);根據(jù)所述IP會(huì)話標(biāo)識(shí)���,判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí)���,所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成;當(dāng)所述接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)含有所述IP會(huì)話標(biāo)識(shí)時(shí)��,允許所述報(bào)文通過����;當(dāng)所述接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有所述IP會(huì)話標(biāo)識(shí)時(shí),丟棄所述報(bào)文����。
2. 如權(quán)利要求1所述方法�,其特征在于�����,所述根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,生成IP會(huì)話標(biāo)識(shí)之前����,還包括以下步驟當(dāng)所述IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí),本地設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則���,并通過向用戶設(shè)備發(fā)送認(rèn)證確認(rèn)消息或地址分配響應(yīng)消息�,在所述用戶設(shè)備中設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則����,其中所述用戶設(shè)備根據(jù)所述IP會(huì)話標(biāo)識(shí)生成規(guī)則在IP會(huì)話報(bào)文中加入IP會(huì)話標(biāo)識(shí)。當(dāng)所述IP會(huì)話為靜態(tài)IP會(huì)話時(shí)���,在本地和所述用戶設(shè)備設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則�,其中所述用戶設(shè)備根據(jù)所述IP會(huì)話標(biāo)識(shí)生成規(guī)則在IP會(huì)話報(bào)文中加入IP會(huì)話標(biāo)識(shí)。
3. 如權(quán)利要求2所述方法���,其特征在于�����,所述根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則�����,在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)����,具體為當(dāng)所述IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)���,按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,根據(jù)通過地址分配前綴委派或通過路由器通告所得到的IP會(huì)話地址前綴�,或所述認(rèn)證確認(rèn)消息中的認(rèn)證識(shí)別符,或所述地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)���,在認(rèn)證過程和/或IP地址分配過程中為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)���;當(dāng)所述IP會(huì)話為靜態(tài)IP會(huì)話時(shí)��,按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則�����,根據(jù)獲取到的所述用戶設(shè)備中預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴�,在IP地址分配過程中為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)�����。
4. 如權(quán)利要求3所述方法�,其特征在于�����,按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則�,根據(jù)所述地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí),在IP地址分配過程或認(rèn)證與IP地址分配過程中為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)之后�,還包括當(dāng)所述IP會(huì)話的IP地址分配結(jié)果發(fā)生更新時(shí),按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則����,根據(jù)更新的地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)�,為所述IP會(huì)話生成更新的IP會(huì)話標(biāo)識(shí)��。
5. 如權(quán)利要求1所述方法����,其特征在于,所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域���,具體為在IP會(huì)話報(bào)文的流標(biāo)簽或者IP地址中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域���。
6. 如權(quán)利要求5所述方法,其特征在于���,所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成�,具體包括當(dāng)所述IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)���,所述用戶設(shè)備按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則��,根據(jù)通過地址分配前綴委派或通過路由器通告所得到的IP會(huì)話地址前綴�,或所述認(rèn)證確認(rèn)消息中的認(rèn)證識(shí)別符���,或所述地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)��,為所述IP會(huì)話生成IP當(dāng)所述IP會(huì)話為靜態(tài)IP會(huì)話時(shí)�����,所述用戶設(shè)備按照所述預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則��,根據(jù)預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴��,為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)���。
7. 如權(quán)利要求1所述方法�����,其特征在于,所述判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)含有所述IP會(huì)話標(biāo)識(shí)之后����,還包括判斷所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址是否符合預(yù)設(shè)的綁定關(guān)系表;當(dāng)所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址符合所述預(yù)設(shè)的綁定關(guān)系表時(shí)�,允許所述報(bào)文通過;當(dāng)所述接收到的所述IP會(huì)話的報(bào)文中未含有所述IP會(huì)話標(biāo)識(shí)����,或所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址不符合所述預(yù)設(shè)的綁定關(guān)系表時(shí)���,丟棄所述報(bào)文。
8. 如權(quán)利要求7所述方法�����,其特征在于����,所述預(yù)設(shè)的綁定關(guān)系表,具體為在用戶設(shè)備的認(rèn)證完成后�,設(shè)置的IP會(huì)話標(biāo)識(shí)與所述用戶設(shè)備的MAC地址或接入端口的綁定關(guān)系表。
9. 如權(quán)利要求1或3所述方法�����,其特征在于�����,當(dāng)根據(jù)所述通過地址分配前綴委派或通過路由器通告所得到的IP會(huì)話地址前綴��,在認(rèn)證過程和/或IP地址分配過程中為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)時(shí)����,所述方法還包括當(dāng)所述IP會(huì)話地址前綴被釋放或被重新分配時(shí)��,釋放所述IP會(huì)話標(biāo)識(shí)���。
10. 如權(quán)利要求1或2所述方法,其特征在于�����,當(dāng)所述IP會(huì)話為動(dòng)態(tài)IP會(huì)話時(shí)�����,所述方法還包括當(dāng)所述IP會(huì)話終止時(shí)���,釋放所述IP會(huì)話標(biāo)識(shí)����。
11. 一種網(wǎng)絡(luò)網(wǎng)關(guān)�,其特征在于�����,包括生成模塊�����,用于根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則,在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)����;第一判斷模塊,用于根據(jù)所述生成模塊生成的IP會(huì)話標(biāo)識(shí)����,判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí),所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成����;處理模塊,用于當(dāng)所述第一判斷模塊判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)含有所述IP會(huì)話標(biāo)識(shí)時(shí)��,允許所述報(bào)文通過�;當(dāng)所述第一判斷模塊判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)未含有所述IP會(huì)話標(biāo)識(shí)時(shí),丟棄所述報(bào)文�����。
12. 如權(quán)利要求11所述網(wǎng)絡(luò)網(wǎng)關(guān)����,其特征在于�����,還包括第二判斷模塊�,用于判斷所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址是否符合預(yù)設(shè)的綁定關(guān)系表���;當(dāng)所述網(wǎng)絡(luò)網(wǎng)關(guān)中包括所述第二判斷模塊時(shí)����,所述處理模塊����,還用于當(dāng)所述第二判斷模塊判斷所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址符合預(yù)設(shè)的綁定關(guān)系表時(shí),允許所述報(bào)文通過�����;當(dāng)所述第一判斷模塊判斷接收到的所述IP會(huì)話的報(bào)文中未含有所述IP會(huì)話標(biāo)識(shí)�����,或所述第二判斷模塊判斷所述IP會(huì)話標(biāo)識(shí)與發(fā)送所述IP會(huì)話的地址不符合預(yù)設(shè)的綁定關(guān)系表時(shí)���,丟棄所述報(bào)文����。
13. 如權(quán)利要求11或12所述網(wǎng)絡(luò)網(wǎng)關(guān)�,其特征在于,還包括設(shè)置模塊���,用于在本地設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則和所述綁定關(guān)系表���;發(fā)送模塊,用于將所述設(shè)置模塊設(shè)置的所述IP會(huì)話標(biāo)識(shí)生成規(guī)則發(fā)送給用戶設(shè)備��,以在所述用戶設(shè)備中設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則���;釋放模塊����,用于當(dāng)所述IP會(huì)話終止時(shí)�,釋放所述生成模塊所生成的IP會(huì)話標(biāo)識(shí)。
14. 如權(quán)利要求13所述網(wǎng)絡(luò)網(wǎng)關(guān)��,其特征在于�����,所述生成模塊,具體包括獲取子模塊���,用于通過地址分配前綴委派或通過路由器通告獲取IP會(huì)話地址前綴�����,或在認(rèn)證確認(rèn)消息中獲取認(rèn)證識(shí)別符����,或在地址分配響應(yīng)消息中獲取執(zhí)行標(biāo)識(shí)��,或獲取所述用戶設(shè)備中預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴��;生成子模塊��,用于根據(jù)所述獲取子模塊所獲取的所述IP會(huì)話地址前綴�,或所述認(rèn)證識(shí)別符,或所述執(zhí)行標(biāo)識(shí)���,或所述用戶設(shè)備中預(yù)設(shè)的IP會(huì)話地址或IP會(huì)話地址前綴�����,按照所述設(shè)置模塊預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則���,為所述IP會(huì)話生成IP會(huì)話標(biāo)識(shí)。
15. 如權(quán)利要求14所述網(wǎng)絡(luò)網(wǎng)關(guān)�,其特征在于,所述生成模塊����,還包括更新子模塊,用于當(dāng)所述IP會(huì)話的IP地址分配結(jié)果發(fā)生更新時(shí)�,按照所述設(shè)置模塊設(shè)置的IP會(huì)話標(biāo)識(shí)生成規(guī)則,根據(jù)所述獲取子模塊獲取的更新的地址分配響應(yīng)消息中的執(zhí)行標(biāo)識(shí)�,為所述IP會(huì)話生成更新的IP會(huì)話標(biāo)識(shí)。
16. —種用戶設(shè)備�,其特征在于,包括接收模塊�����,用于接收網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則�;生成模塊,用于根據(jù)所述接收模塊接收的所述IP會(huì)話標(biāo)識(shí)生成規(guī)則��,生成IP會(huì)話的IP會(huì)話標(biāo)識(shí)���;發(fā)送模塊��,用于向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送報(bào)文����,所述報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)包含所述生成模塊生成的IP會(huì)話標(biāo)識(shí)。
17. 如權(quán)利要求16所述用戶設(shè)備��,其特征在于���,還包括設(shè)置模塊�,用于設(shè)置IP會(huì)話地址或IP會(huì)話地址前綴����,所述生成模塊根據(jù)所述IP會(huì)話地址或IP會(huì)話地址前綴生成IP會(huì)話標(biāo)識(shí)。
18. —種IP會(huì)話處理系統(tǒng)���,其特征在于����,包括用戶設(shè)備和網(wǎng)絡(luò)網(wǎng)關(guān)所述用戶設(shè)備����,用于接收所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的IP會(huì)話標(biāo)識(shí)生成規(guī)則��,按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則生成相應(yīng)的IP會(huì)話標(biāo)識(shí)���,并向所述網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)包含所述IP會(huì)話標(biāo)識(shí)的報(bào)文;所述網(wǎng)絡(luò)網(wǎng)關(guān)���,用于設(shè)置所述IP會(huì)話標(biāo)識(shí)生成規(guī)則,將所述IP會(huì)話標(biāo)識(shí)生成規(guī)則發(fā)送給所述用戶設(shè)備�����,按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)����,并根據(jù)所述IP會(huì)話標(biāo)識(shí)對(duì)所述IP會(huì)話進(jìn)行過濾。
19. 如權(quán)利要求18所述IP會(huì)話處理系統(tǒng)��,其特征在于��,還包括所述用戶設(shè)備和所述網(wǎng)絡(luò)網(wǎng)關(guān)在所述IP會(huì)話結(jié)束后��,釋放所述IP會(huì)話標(biāo)識(shí)�����。
全文摘要
本發(fā)明實(shí)施例公開了一種IP會(huì)話標(biāo)識(shí)方法、裝置和系統(tǒng)�����。所述方法包括以下步驟根據(jù)預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)生成規(guī)則���,在認(rèn)證過程和/或IP地址分配過程中為IP會(huì)話生成IP會(huì)話標(biāo)識(shí)�;根據(jù)所述IP會(huì)話標(biāo)識(shí)�����,判斷接收到的所述IP會(huì)話的報(bào)文中預(yù)設(shè)的IP會(huì)話標(biāo)識(shí)域內(nèi)是否含有IP會(huì)話標(biāo)識(shí)�����,所述IP會(huì)話標(biāo)識(shí)為用戶設(shè)備按照所述IP會(huì)話標(biāo)識(shí)生成規(guī)則根據(jù)IP會(huì)話標(biāo)識(shí)參數(shù)生成����;當(dāng)判斷的結(jié)果為是時(shí),允許所述報(bào)文通過��;當(dāng)判斷的結(jié)果為否時(shí)����,丟棄所述報(bào)文��。通過應(yīng)用本發(fā)明的技術(shù)方案�,達(dá)到了使IP會(huì)話在數(shù)據(jù)通信過程與認(rèn)證過程/IP地址分配過程中建立耦合關(guān)系��,提高IP會(huì)話的安全性的效果��。
文檔編號(hào)H04L12/66GK101729500SQ20081017231
公開日2010年6月9日 申請(qǐng)日期2008年10月31日 優(yōu)先權(quán)日2008年10月31日
發(fā)明者鄭若濱 申請(qǐng)人:華為技術(shù)有限公司