通信隧道端点地址分离方法、终端、ePDG及存储介质技术

本发明专利技术公开了一种通信隧道端点地址分离方法、终端、ePDG以及存储介质，该方法包括步骤：ePDG根据终端发送的第一请求消息建立IKE SA隧道，生成对应的第一响应消息返回给终端；ePDG根据所接收的终端发送的第二请求消息建立IPSec SA隧道，生成对应的第二响应消息返回给终端，以完成IPSec SA隧道的建立；第二请求消息中携带有分离标识，表示终端支持ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。本发明专利技术在终端侧和/或ePDG侧实现IKE SA隧道和IPSec SA隧道的端点地址分离。

【技术实现步骤摘要】
通信隧道端点地址分离方法、终端、ePDG及存储介质
本专利技术涉及通信
，尤其涉及一种通信隧道端点地址分离方法、终端、ePDG及存储介质。
技术介绍
非授信的非3GPP(3rdGenerationPartnershipProject，第三代合作伙伴计划)接入网络接入3GPP演进分组核心网的网络架构中，IPSec(InternetProtocolSecurity，Internet协议安全性)隧道的两端端点分别是终端和ePDG(EvolvedPacketDataGateway，演进的分组数据网关)。在终端侧，IKE(Internetkeyexchange，Internet密钥交换协议)SA(SecurityAssociation，安全联盟)隧道和IPSecSA隧道的端点地址相同；在ePDG侧，IKESA隧道和IPSecSA隧道的端点地址相同。由此可知，在现有的架构下，在终端侧和ePDG侧，IKESA隧道和IPSecSA隧道的端点地址必须相同。在虚拟化环境下，为了优化控制面和用户面的性能，可以将IKESA隧道的功能体和IPSecSA隧道的功能体部署在不同的VM(VirtualMachine，虚拟机)上，每个VM对应一个业务地址。然而由于目前在终端侧和ePDG侧，IKESA隧道和IPSecSA隧道的端点地址必须相同，导致不能将IKESA隧道的功能体和IPSecSA隧道的功能体部署在不同的VM。
技术实现思路
本专利技术的主要目的在于提供一种通信隧道端点地址分离方法、终端、ePDG及存储介质，旨在解决现有不能将IKESA隧道的功能体和IPSecSA隧道的功能体部署在不同的虚拟机的技术问题。为实现上述目的，本专利技术提供一种通信隧道端点地址分离方法，所述通信隧道端点地址分离方法包括步骤：当演进的分组数据网关ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端；所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立因特网协议安全IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSecSA隧道的建立；其中，所述第二请求消息中携带有分离标识，表示所述终端支持所述ePDG的IKESA隧道和IPSecSA隧道的端点地址分离。优选地，所述第二请求消息中携带所述终端的IPSecSA隧道端点地址。优选地，所述第二响应消息中携带所述ePDG的IPSecSA隧道端点地址。优选地，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKESA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤包括：当所述ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息与所述终端协商密钥参数，并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值，以建立IKESA隧道；所述ePDG根据所述密钥参数，以及交换后的随机数和Diffie-Hellman值生成第一响应消息，并将所述第一响应消息发送给所述终端。优选地，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSecSA隧道的建立的步骤包括：当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时，所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息，得到第二请求消息对应的明文信息，并将所述明文信息发送给认证授权计费服务器；所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果，并根据所述认证结果生成第二响应消息，加密所述第二响应消息，将加密后的所述第二响应消息返回给所述终端。优选地，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端的步骤之后，还包括：当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时，解密所述因特网协议安全数据，并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW；所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据，并将所述响应数据发送给所述终端，以实现所述终端和所述PGW之间的数据交互。优选地，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKESA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤包括：当所述ePDG接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时，所述ePDG根据所述第一请求消息建立IKESA隧道，并生成与所述第一请求消息对应的第一响应消息；所述ePDG使用ePDG侧的IKESA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。优选地，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKESA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤之后，还包括：当所述ePDG接收到所述终端发送的创建子安全联盟的请求消息，所述ePDG根据所述创建子安全联盟的请求消息创建子安全联盟，并返回创建子安全联盟的响应消息给所述终端。此外，为实现上述目的，本专利技术还提供一种终端，所述终端应用于通信隧道端点地址分离方法，所述通信隧道端点地址分离方法包括以下步骤：所述终端发送第一请求消息给演进的分组数据网关ePDG；当所述终端接收到所述ePDG根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道后发送的第一响应消息时，生成第二请求消息，并将所述第二请求消息发送给所述ePDG；所述终端接收所述ePDG根据所述第二请求消息建立因特网协议安全IPSecSA隧道后发送的第二响应消息，完成IPSecSA隧道的建立；其中，所述第二请求消息中携带有分离标识，表示所述终端支持所述ePDG的IKESA隧道和IPSecSA隧道的端点地址分离。此外，为实现上述目的，本专利技术还提供一种演进的分组数据网关ePDG，所述ePDG包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的通信隧道端点地址分离程序，所述通信隧道端点地址分离程序被所述处理器执行时实现如下步骤：当接收到终端发送的第一请求消息时，根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端；接收所述终端发送的第二请求消息，根据所述第二请求消息建立因特网协议安全IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSecSA隧道的建立；其中，所述第二请求消息中携带有分离标识，表示所述终端支持所述ePDG的IKESA隧道和IPSecSA隧道的端点地址分离。此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有通信隧道端点地址分离程序，所所述计算机可读存储介质上存储有通信隧本文档来自技高网...

【技术保护点】
1.一种通信隧道端点地址分离方法，其特征在于，所述通信隧道端点地址分离方法包括以下步骤：当演进的分组数据网关ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端；所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立因特网协议安全IPSec SA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSec SA隧道的建立；其中，所述第二请求消息中携带有分离标识，表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离。

【技术特征摘要】
1.一种通信隧道端点地址分离方法，其特征在于，所述通信隧道端点地址分离方法包括以下步骤：当演进的分组数据网关ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端；所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立因特网协议安全IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSecSA隧道的建立；其中，所述第二请求消息中携带有分离标识，表示所述终端支持所述ePDG的IKESA隧道和IPSecSA隧道的端点地址分离。2.如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述第二请求消息中携带所述终端的IPSecSA隧道端点地址。3.如权利要求2所述的通信隧道端点地址分离方法，其特征在于，所述第二响应消息中携带所述ePDG的IPSecSA隧道端点地址。4.如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKESA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤包括：当所述ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息与所述终端协商密钥参数，并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值，以建立IKESA隧道；所述ePDG根据所述密钥参数，以及交换后的随机数和Diffie-Hellman值生成第一响应消息，并将所述第一响应消息发送给所述终端。5.如权利要求4所述的通信隧道端点地址分离方法，其特征在于，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSecSA隧道的建立的步骤包括：当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时，所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息，得到第二请求消息对应的明文信息，并将所述明文信息发送给认证授权计费服务器；所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果，并根据所述认证结果生成第二响应消息，加密所述第二响应消息，将加密后的所述第二响应消息返回给所述终端。6.如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSecSA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端的步骤之后，还包括：当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时，解密所述因特网协议安全数据，并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW；所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据，并将所述响应数据发送给所述终端，以实现所述终端和所述PGW之间的数据交互。7.如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述当ePDG接收到终端发送的第一请求消...

【专利技术属性】
技术研发人员：李道红，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44