用于进行隧道检测的方法、装置及系统制造方法及图纸

本申请公开了一种用于进行隧道检测的方法，能够对承载用户的数据的隧道进行检测，有助于提高安全性。所述方法中，网关设备根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；所述网关设备向控制设备发送所述认证请求；所述网关设备接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息，所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道；所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表，所述隧道表用于为来自合法的用户的报文进行隧道封装。

Method, device and system for tunnel inspection

The present invention discloses a method for carrying out tunnel detection, which can detect a tunnel carrying data of a user and improve security. In the method, the gateway device according to the identification information of the user, to obtain certification request, the user requests for access network users, requests the user identification information including the authentication; the gateway device control device sends the request to the certification; the gateway equipment received from the control equipment authentication response, the authentication response parameters including tunnel and the identification information control device authentication for the user is legitimate, the tunnel for the transmission of the gateway device using the message from the user of the tunnel; the gateway equipment according to the parameters of the tunnel and the identification information control device authentication for the user is legitimate, the formation of tunnel, tunnel table for message from legitimate users of the tunnel encapsulation.

【技术实现步骤摘要】
用于进行隧道检测的方法、装置及系统
本专利技术涉及通信技术，尤其涉及一种用于进行隧道检测的方法、一种网关设备、一种控制设备和一种用于进行隧道检测的系统。
技术介绍
在数据通信网络中，网关设备可对用户侧设备进行认证、授权、计费等访问控制。网关设备还可为用户侧设备分配网络资源，如互联网协议(英文全称为InternetProtocol，简称为IP)地址。网关设备对用户侧设备的访问控制通常基于用户会话。用户会话可基于用户所采用的接入网络的方式，比如接入网络的方式可以为以太网承载IP协议(英文全称为InternetProtocoloverEthernet，简称为IPoE)、以太网承载PPP协议(英文全称为Point-to-PointProtocoloverEthernet，简称为PPPoE)、802.1x等。网关设备可以是宽带网络网关(英文全称为broadbandnetworkgateway，简称为BNG)、宽带远程接入服务器(英文全称为broadbandremoteaccessserver，简称为BRAS)、宽带接入服务器(英文全称为broadbandaccessserver，简称为BAS)、系统架构演进网关(英文全称为systemarchitectureevolutiongateway，简称为SAEGW)等。用户侧设备可以是用户驻地设备(英文全称为customerpremisesequipment，简称为CPE)、光网络终端(英文全称为opticalnetworkterminal，简称为ONT)、家庭路由器、个人电脑、用户设备(英文名称为userequipment)等。用户侧设备还可以是网关设备与CPE之间的设备，比如交换机。如果用户侧设备采用隧道承载用户的数据，则用户侧设备可与网络侧设备之间建立隧道。用户侧设备将需要发送至网络侧设备的数据封装于隧道报文中。用户侧设备可发送隧道报文至网关设备，经网关设备转发至网络侧设备。但是，通常的网关设备无法对所述用户侧设备所采用的隧道进行检测，存在安全隐患。
技术实现思路
有鉴于此，本专利技术实施例提供一种用于进行隧道检测的方法，能够对承载用户的数据的隧道进行检测，有助于提高安全性。本专利技术实施例还提供一种网关设备、控制设备和用于进行隧道检测的系统。本专利技术实施例提供的技术方案如下。第一方面，提供了一种用于进行隧道检测的方法，包括：网关设备根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；所述网关设备向控制设备发送所述认证请求；所述网关设备接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息，所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道；所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表，所述隧道表用于为来自合法的用户的报文进行隧道封装。上述第一方面的第一种可能的实现方式中，所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址为所述网关设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备。结合上述第一方面，还提供了第一方面的第二种可能的实现方式，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应，所述隧道的源地址为所述网关设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息，生成所述隧道表。结合上述第一方面，还提供了第一方面的第三种可能的实现方式，所述隧道的参数包括分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备。结合上述第一方面，还提供了第一方面的第四种可能的实现方式，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签，生成所述隧道表。结合上述第一方面、或第一方面的第一种可能的实现方式至第一方面的第四种可能的实现方式中的任意一种可能的实现方式，还提供了第一方面的第五种可能的实现方式，所述网关设备根据用户的标识信息，获得认证请求包括：所述网关设备接收来自用户侧设备的接入请求，所述接入请求包括所述用户的标识信息，所述用户侧设备为所述用户接入所述网络所采用的设备；所述网关设备根据所述接入请求包括的所述用户的标识信息，生成所述认证请求。结合上述第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，还提供了第一方面的第六种可能的实现方式，所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第一用户的标识信息，所述用户侧设备为所述第一用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第一用户的标识信息，则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址，获得第二报文，所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述隧道的目的地址，转发所述第二报文。结合上述第一方面的第三种可能的实现方式或第一方面的第四种可能的实现方式，还提供了第一方面的第七种可能的实现方式，所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第二用户的标识信息，所述用户侧设备为所述第二用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第二用户的标识信息，则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签，获得第二报文，所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签，转发所述第二报文。结合上述第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，还提供了第一方面的第八种可能的实现方式，所述认证响应还包括所述隧道对应的流信息，所述流信息用于标识所述用户的数据流，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成所述隧道表；所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第一流信息和第三用户的标识信息，所述用户侧设备为所述第三用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第一流信息和所述第三用户的标识信息，则所述网关设备根据所述第一报本文档来自技高网...

【技术保护点】
一种用于进行隧道检测的方法，其特征在于，所述方法包括：网关设备根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；所述网关设备向控制设备发送所述认证请求；所述网关设备接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息，所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道；所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表，所述隧道表用于为来自合法的用户的报文进行隧道封装。

【技术特征摘要】
1.一种用于进行隧道检测的方法，其特征在于，所述方法包括：网关设备根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；所述网关设备向控制设备发送所述认证请求；所述网关设备接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用户的标识信息，所述隧道为所述网关设备采用的传输来自所述用户的报文的隧道；所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表，所述隧道表用于为来自合法的用户的报文进行隧道封装。2.根据权利要求1所述的方法，其特征在于，所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址为所述网关设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备。3.根据权利要求1所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应，所述隧道的源地址为所述网关设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述隧道的源地址、所述隧道的目的地址和所述控制设备认证为合法的所述用户的标识信息，生成所述隧道表。4.根据权利要求1所述的方法，其特征在于，所述隧道的参数包括分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备。5.根据权利要求1所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述控制设备认证为合法的所述用户的标识信息和所述分配给所述网络侧设备的标签，生成所述隧道表。6.根据权利要求1至5任意一项所述的方法，其特征在于，所述网关设备根据用户的标识信息，获得认证请求包括：所述网关设备接收来自用户侧设备的接入请求，所述接入请求包括所述用户的标识信息，所述用户侧设备为所述用户接入所述网络所采用的设备；所述网关设备根据所述接入请求包括的所述用户的标识信息，生成所述认证请求。7.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第一用户的标识信息，所述用户侧设备为所述第一用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第一用户的标识信息，则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址，获得第二报文，所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述隧道的目的地址，转发所述第二报文。8.根据权利要求4或5所述的方法，其特征在于，所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第二用户的标识信息，所述用户侧设备为所述第二用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第二用户的标识信息，则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签，获得第二报文，所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签，转发所述第二报文。9.根据权利要求2或3所述的方法，其特征在于，所述认证响应还包括所述隧道对应的流信息，所述流信息用于标识所述用户的数据流，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成所述隧道表；所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第一流信息和第三用户的标识信息，所述用户侧设备为所述第三用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第一流信息和所述第三用户的标识信息，则所述网关设备根据所述第一报文、所述隧道表包括的所述隧道的源地址和所述隧道的目的地址，获得第二报文，所述第二报文为利用所述隧道的源地址和所述隧道的目的地址对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述隧道的目的地址，转发所述第二报文。10.根据权利要求4或5所述的方法，其特征在于，所述认证响应还包括所述隧道对应的流信息，所述流信息用于标识所述用户的数据流，所述网关设备根据所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成隧道表包括：所述网关设备根据所述流信息、所述隧道的参数和所述控制设备认证为合法的所述用户的标识信息，生成所述隧道表；所述方法还包括：所述网关设备接收来自用户侧设备的第一报文，所述第一报文包括第二流信息和第四用户的标识信息，所述用户侧设备为所述第四用户接入所述网络所采用的设备；如果所述网关设备确定所述隧道表包括所述第二流信息和所述第四用户的标识信息，则所述网关设备根据所述第一报文和所述隧道表包括的所述分配给所述网络侧设备的标签，获得第二报文，所述第二报文为利用所述分配给所述网络侧设备的标签对所述第一报文进行隧道封装后获得的报文；所述网关设备根据所述第二报文包括的所述分配给所述网络侧设备的标签，转发所述第二报文。11.一种用于进行隧道检测的方法，其特征在于，所述方法包括：网关设备根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；所述网关设备向控制设备发送所述认证请求；所述网关设备接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数，所述隧道为所述控制设备认证为合法的用户采用的传输报文的隧道；所述网关设备根据所述隧道的参数，生成隧道表，所述隧道表用于对隧道进行合法性检测。12.根据权利要求11所述的方法，其特征在于，所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址为用户侧设备的地址，所述用户侧设备为所述用户接入所述网络所采用的设备，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备。13.根据权利要求11所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址和所述隧道的目的地址分别与所述隧道的标识信息对应，所述隧道的源地址为用户侧设备的地址，所述用户侧设备为所述用户接入所述网络所采用的设备，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述隧道的源地址和所述隧道的目的地址，生成所述隧道表。14.根据权利要求11所述的方法，其特征在于，所述隧道的参数包括分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备。15.根据权利要求11所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述网关设备根据所述隧道的参数，生成隧道表包括：所述网关设备根据所述隧道的标识信息，查询得到分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备；所述网关设备根据所述分配给所述网络侧设备的标签，生成所述隧道表。16.根据权利要求11至15任意一项所述的方法，其特征在于，所述网关设备根据用户的标识信息，获得认证请求包括：所述网关设备接收来自用户侧设备的接入请求，所述接入请求包括所述用户的标识信息，所述用户侧设备为所述用户接入所述网络所采用的设备；所述网关设备根据所述接入请求包括的所述用户的标识信息，生成所述认证请求。17.根据权利要求12或13所述的方法，其特征在于，所述方法还包括：所述网关设备接收来自所述用户侧设备的报文，所述报文包括第一隧道的源地址和第一隧道的目的地址；如果所述网关设备确定所述隧道表包括所述报文中的所述第一隧道的源地址和所述第一隧道的目的地址，则所述网关设备根据所述报文中的所述第一隧道的目的地址，转发所述报文。18.根据权利要求14或15所述的方法，其特征在于，所述方法还包括：所述网关设备接收来自用户侧设备的报文，所述报文包括分配给网络侧设备的第一标签；如果所述网关设备确定所述隧道表包括所述报文中的所述分配给网络侧设备的第一标签，则所述网关设备根据所述报文中的所述分配给网络侧设备的第一标签，转发所述报文。19.一种用于进行隧道检测的方法，其特征在于，所述方法包括：控制设备接收网关设备发送的认证请求，所述认证请求包括用户的标识信息，所述用户为请求接入网络的用户；所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息，确定所述用户为合法的用户，所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数；所述控制设备向所述网关设备发送认证响应，所述认证响应包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数。20.根据权利要求19所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述隧道的标识信息用于标识所述隧道，所述隧道为所述网关设备和网络侧设备间的隧道，所述网络侧设备为处于所述隧道的终止点的设备；或者所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址为所述网关设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备；或者所述隧道的参数包括分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备。21.根据权利要求19或20所述的方法，其特征在于，所述认证响应还包括所述隧道对应的流信息，所述流信息用于标识所述用户的数据流。22.一种用于进行隧道检测的方法，其特征在于，所述方法包括：控制设备接收网关设备发送的认证请求，所述认证请求包括用户的标识信息，所述用户为请求接入网络的用户；所述控制设备根据合法用户的信息和所述认证请求包括的所述用户的标识信息，确定所述用户为合法的用户，所述合法用户的信息包括所述控制设备认证为合法的用户的标识信息以及分配给所述控制设备认证为合法的用户的隧道的参数；所述控制设备向所述网关设备发送认证响应，所述认证响应包括分配给所述控制设备认证为合法的用户的隧道的参数。23.根据权利要求22所述的方法，其特征在于，所述隧道的参数包括所述隧道的标识信息，所述隧道的标识信息用于标识所述隧道，所述隧道为用户侧设备和网络侧设备间的隧道，所述用户侧设备为所述用户接入所述网络所采用的设备，所述网络侧设备为处于所述隧道的终止点的设备；或者所述隧道的参数包括所述隧道的源地址和所述隧道的目的地址，所述隧道的源地址为所述用户侧设备的地址，所述隧道的目的地址为网络侧设备的地址，所述网络侧设备为处于所述隧道的终止点的设备；或者所述隧道的参数包括分配给网络侧设备的标签，所述网络侧设备为处于所述隧道的终止点的设备。24.一种网关设备，其特征在于，所述网关设备包括：获得单元，用于根据用户的标识信息，获得认证请求，所述用户为请求接入网络的用户，所述认证请求包括所述用户的标识信息；发送单元，用于向控制设备发送所述认证请求；接收单元，用于接收来自所述控制设备的认证响应，所述认证响应包括隧道的参数和所述控制设备认证为合法的所述用...

【专利技术属性】
技术研发人员：徐卫平，牛乐宏，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44