一种隧道的创建方法、装置及存储介质
阅读:969发布:2020-05-08
专利汇可以提供一种隧道的创建方法、装置及存储介质专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种隧道的创建方法,所述方法包括:在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚拟信息私人网络VPN隧道的能 力 ;当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;根据所述扩展码创建所述扩展VPN隧道。本发明还同时公开了一种隧道的创建装置及存储介质。,下面是一种隧道的创建方法、装置及存储介质专利的具体信息内容。
1.一种隧道的创建方法,所述方法包括:
在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚拟信息私人网络VPN隧道的能力;
当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
根据所述扩展码创建所述扩展VPN隧道。
2.根据权利要求1所述的方法,所述方法还包括:
检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;
当所述检测结果表征检测到所述数据流量达到第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。
3.根据权利要求1所述的方法,在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展VPN隧道的能力,包括:
在所述初始协商阶段的交互信息中提取能力协商信息,得到提取结果;
当所述提取结果表征在所述初始协商阶段的交互信息中,成功提取到所述能力协商信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。
4.根据权利要求1所述的方法,所述特征信息包括:除五元组信息以外的用于创建所述扩展VPN隧道的信息;
其中,所述五元组信息包括:源IP地址,源端口,目的IP地址,目的端口和传输层协议号。
5.根据权利要求1所述的方法,根据所述扩展码创建所述扩展VPN隧道,包括:
在针对密钥的第二协商阶段,在流量TS载荷的扩展字段加载所述扩展码;
向所述消息接收方发送携带有所述扩展码的交互信息;
接收所述消息接收方针对所述第二协商阶段的交互信息的响应信息;
确定所述响应信息中包含有所述扩展码时,确定所述扩展VPN隧道创建完成。
6.根据权利要求1所述的方法,根据所述扩展码创建所述扩展VPN隧道,包括:
在针对密钥的第二协商阶段,向所述消息接收方发送携带有通知载荷信息的交互信息;
接收所述消息接收方针对所述携带有通知载荷信息的交互信息发送的响应消息;
确定所述响应消息中携带有所述通知载荷信息时,根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
7.根据权利要求1所述的方法,在根据所述扩展码创建所述扩展VPN隧道之后,所述方法还包括:
检测所述扩展VPN隧道的流量数据,得到检测结果;
当所述检测结果表征所述扩展VPN隧道的流量数据小于第二预设流量阈值时,回收所述扩展VPN隧道。
8.根据权利要求7所述的方法,所述第二预设阈值与确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件的第一预设阈值相同或不同。
9.一种隧道的创建装置,所述装置包括:
确定单元,用于在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展VPN隧道的能力;
提取单元,用于当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
生成单元,用于根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
创建单元,用于根据所述扩展码创建所述扩展VPN隧道。
10.一种隧道的创建装置,所述装置包括:存储器和处理器;
其中,所述存储器,用于存储能够在所述处理器上运行的计算机程序;
所述处理器,用于运行所述计算机程序时,执行权利要求1至8任一项所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
一种隧道的创建方法、装置及存储介质
技术领域
[0001] 本发明涉及网络通讯技术,具体涉及一种互联网协议安全IPSec(Internet Protocol Security)隧道的创建方法、装置及存储介质。
背景技术
[0002] VPN指在公用网络上建立专用网络的技术,VPN支持通信双方之间建立VPN隧道,以便对传输过程进行加密,提高传输安全性。在建立VPN隧道的过程中,通信双方VM根据各自配置的参数、密钥和证书等,经过多次协商确定双方的VPN隧道公用参数,其中VPN隧道公用参数包括加解密算法、认证算法、密钥、证书等,在确定VPN隧道公用参数后,通信双方各自生成包含VPN隧道公用参数的隧道描述符(Security Association,SA),以此完成通信双方之间的隧道建立。
[0003] 现有技术中,通过源IP地址,目的IP地址,传输层协议号,源端口,目的端口的五元组信息生成TS(Traffic Selector,流量筛选器)载荷,从而创建单个不同的虚拟私人网络(VPN,Virtual Private Network)隧道。
[0004] 但是,在5G(第5代通讯系统)基站通讯中,由于用户面的数据吞吐量较大,导致很多设备利用五元组信息创建的单VPN隧道的处理能力有限。
发明内容
[0005] 为解决现有存在的技术问题,本发明实施例期望提供一种隧道的创建方法、装置及存储介质,能够在数据量较大时,动态创建多个扩展VPN隧道对数据业务流进行分流处理。
[0006] 本发明实施例的技术方案是这样实现的:
[0007] 根据本发明实施例中的一方面,提供一种隧道的创建方法,所述方法包括:
[0008] 在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚拟信息私人网络VPN隧道的能力;
[0009] 当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0010] 根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0011] 根据所述扩展码创建所述扩展VPN隧道。
[0012] 上述方案中,所述方法还包括:
[0013] 检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;
[0014] 当所述检测结果表征检测到所述数据流量达到第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。
[0015] 上述方案中,在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展VPN隧道的能力,包括:
[0016] 在所述初始协商阶段的交互信息中提取能力协商信息,得到提取结果;
[0017] 当所述提取结果表征在所述初始协商阶段的交互信息中,成功提取到所述能力协商信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。
[0018] 上述方案中,所述特征信息包括:除五元组信息以外的用于创建所述扩展VPN隧道的信息;
[0019] 其中,所述五元组信息包括:源IP地址,源端口,目的IP地址,目的端口和传输层协议号。
[0020] 上述方案中,根据所述扩展码创建所述扩展VPN隧道,包括:
[0021] 在针对密钥的第二协商阶段,在流量筛选器TS载荷的扩展字段加载所述扩展码;
[0022] 向所述消息接收方发送携带有所述扩展码的第二交互信息;
[0023] 接收所述消息接收方针对所述第二交互信息的第一响应信息;
[0024] 确定所述第一响应信息中包含有所述扩展码时,确定所述扩展VPN隧道创建完成。
[0025] 上述方案中,根据所述扩展码创建所述扩展VPN隧道,包括:
[0026] 在针对密钥的第二协商阶段,向所述消息接收方发送第二次交互信息,所述第二交互信息中携带有通知载荷信息;
[0027] 接收所述消息接收方针对所述第二次交互信息发送的第二响应消息;
[0028] 确定所述第二响应消息中携带有所述通知载荷信息时,根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
[0029] 上述方案中,在根据所述扩展码创建所述扩展VPN隧道之后,所述方法还包括:
[0030] 检测所述扩展VPN隧道的流量数据,得到检测结果;
[0031] 当所述检测结果表征所述扩展VPN隧道的流量数据小于第二预设流量阈值时,回收所述扩展VPN隧道。
[0032] 上述方案中,所述第二预设阈值与确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件的第一预设阈值相同或不同。
[0033] 根据本发明实施例中的另一方面,提供一种隧道的创建装置,所述装置包括:
[0034] 确定单元,用于在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展VPN隧道的能力;
[0035] 提取单元,用于当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0036] 生成单元,用于根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0037] 创建单元,用于根据所述扩展码创建所述扩展VPN隧道。
[0038] 根据本发明实施例中的第三方面,提供一种隧道的创建装置,所述装置包括:存储器和处理器;
[0039] 其中,所述存储器,用于存储能够在所述处理器上运行的计算机程序;
[0040] 所述处理器,用于运行所述计算机程序时,执行上述一种隧道的创建方法中的任一项所述方法的步骤。
[0041] 根据本发明实施例中的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现上述一种隧道的创建方法中的任一项所述方法的步骤。
[0042] 本发明实施例提供一种隧道的创建方法、装置及存储介质,通过在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚拟私人网络(VPN,Virtual Private Network)隧道的能力;当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;根据所述扩展码创建所述扩展VPN隧道。如此,通过数据流量的多少动态创建扩展VPN隧道,能够突破现有技术中只能通过五元组信息创建单IPSec隧道的限制,而且还解决了在例如第五代移动通信技术(5G,5th-Generation)的大流量业务中的IPSec加密通道问题。
附图说明
附图说明
[0043] 图1为本发明实施例一种隧道的创建方法流程示意图;
[0044] 图2为现有技术中IKEv2协议过程中通信双方在初始协商阶段的消息交互示意图;
[0045] 图3是本申请在IKEv2协议过程中通信双方在初始协商阶段的消息交互示意图;
[0046] 图4为现有技术中TS载荷结构示意图;
[0047] 图5为本申请中TS载荷结构示意图;
[0048] 图6为利用图5中所示的TS载荷结构建立子安全联萌的消息交互示意图;
[0049] 图7为本申请中建立子安全联萌的消息交互示意图;
[0050] 图8为本申请中隧道的创建装置的结构组成示意图一;
[0051] 图9为本发明实施例中隧道的创建装置的结构组成示意图二。
具体实施方式
[0052] 下面结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
[0053] 图1为本发明实施例一种隧道的创建方法流程示意图;如图1所示,该方法包括:
[0054] 步骤101,在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚拟信息私人网络VPN隧道的能力;
[0055] 本申请中,该方法主要应用于能够支持协议编程处理的设备,例如,该设备可以是基站。
[0056] 本申请中,该设备可以采用因特网密钥交换协议(IKE,Internet Key Exchange)在通信双方之间进行IPSec的处理过程中,对通信双方的身份进行鉴别,同时还可以进行安全策略的协商,以及处理会话密钥的交互。
[0057] 这里,通信双方可以是基站与基站,也可以是基站与虚拟专用网网关(VPN,Virtual Private Network Gateway),还可以是VPN与VPN。
[0058] 下面,以IKE的第二版本IKEv2协议为例对本申请是如何根据初始协商阶段的交互信息,来确定接收方是否具备创建扩展VPN隧道的能力进行详细描述。
[0059] 首先,通信双方在IKEv2协议的协商过程中,通常分为两个协商阶段。分别为第一协商阶段和第二协商阶段。
[0060] 其中,第一协商阶段又称初始协商阶段,主要用于协商IKE.SA。第二协商阶段又称为协商子SA交换阶段,主要用于协商CHILD.SA。另外还可以有信息交换阶段,主要用来在IKEv2协的通信双方之间通知一些出错、配置、删除等信息。
[0061] 图2为现有技术中IKEv2协议过程中通信双方在初始协商阶段的消息交互示意图,如图2所示:
[0062] 在初始协商阶段中,通信双方主要进行两次消息交换,每次消息交换包括2条消息。
[0063] 其中,第一次消息交互中的第一条消息201是消息发送方20向消息接收方30发送的消息,第一次消息交互中的第二条消息301是消息接收方30接收到消息发送方20发送的第一条消息201后,向消息发送方20发送的响应消息。
[0064] 具体地,该响应消息可以是消息接收方30接收到消息发送方20发送的第一条消息201后,在SAi1中选择某种提案形成SAr1,并且将KEr和Nr分别作为消息接收方30的Diffle-Hellman公开值以及Nonce值发送给消息发送方20。另外,消息接收方30在向消息发送方20发送的响应消息301中还可以包含可选的证书。
[0065] 通常,在第一次消息交互(IKE.SA)交换完成之后,通信双方(消息发送方20和消息接收方30)之间可以计算种子密钥SKE USEED,以便得到7个其他秘密:SK_d,SK_ai,SK_ar,SK_ei,SK_er,SK_pi,SK_pr。
[0066] 随后进行第二次消息交互,也就是IKE.AUTH交换。
[0067] 如图2所示,通信双方在第二次消息协商阶段(IKE.AUTH)中,使用第一次消息交互中得到的IKE.SA中包含的加密、认证算法以及密钥进行安全保护,并且使用认证载荷对已经结束的初始协商阶段(IKE,SA,INIT)交换过程进行认证,最终协商得到第一个CHILD.SA,即IPSec SA。
[0068] 如图2所示,在第二次消息交互中,第一条消息202和第二条消息302均是由IKEv2消息头HDR以及一个加密载荷组成,在这个加密载荷中包含了身份载荷(ID)、可选的证书载荷(CERT)以及证书请求载荷(CERTREQ)、认证载荷(AUTH)、安全关联载荷(SA)、流量选择载荷(TS)等。其中,SK{}表示被包含的载荷均被相应方向的SK.e和SK.a加密和认证保护。
[0069] 图3是本申请在IKEv2协议过程中通信双方在初始协商阶段的消息交互示意图,该图3与图2的协商过程基本类似,其相同之处在此不再赘述,其不同之处在于,图3中的消息发送方20与消息接收方30在初始协商阶段的交互信息中加入了附带动态创建VPN隧道的能力协商字段,比如该能力协商字段是通知载荷[Nx]。其中该能力协商字段可以在初始协商阶段的第一次交互消息中加载,也可以在第二次交互消息中加载。
[0070] 本申请中,当消息发送方20在针对密钥的初始协商阶段,向消息接收方发送了携带有能力协商字段的报文消息后,消息接收方30会在接收到该报文消息后,向消息发送方20发送针对该报文消息的响应消息。
[0071] 消息发送方20接收到消息接收方发送的该响应消息后,在该响应消息中提取所述能力协商字段的信息,并得到提取结果。
[0072] 当所述提取结果表征在所述响应消息中成功提取到能力协商字段的信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。相反,如果所述提取结果表征在所述响应消息中针对能力协商信息提取失败时,确定所述消息接收方30不具备创建扩展VPN隧道的能力。
[0073] 本申请中,当消息发送方20与消息接收方30之间对于能力协商失败时,则后续不再进行动态创建VPN隧道。
[0074] 步骤102,当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0075] 本申请中,当消息发送方确定消息接收方具备动态创建扩展VPN隧道的能力时,检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;并将所述检测结果中的数据流量与表征创建扩展VPN隧道的第一预设阈值进行比较,得到比较结果,当所述比较结果表征检测到所述数据流量大于或等于该第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。则在当前的用户报文中提取用于创建扩展VPN隧道的特征信息。
[0076] 这里,用户报文是指消息发送方与消接收方在协商过程中产生的消息报文。例如,该消息报文包括:隧道终端标识符(TEID,Tunnel Endpoint Identifier),差分服务代码点(DSCP,Differentiated Service Code Point)等等。
[0077] 本申请中,所述特征信息包括:除五元组信息以外的用于创建所述扩展VPN隧道的信息;例如,TEID、DSCP等信息。
[0078] 其中,所述五元组信息包括:源IP地址,源端口,目的IP地址,目的端口和传输层协议号。如此,根据除五元组信息之外的信息能够在业务流量较大时,动态创建扩展VPN隧道,以通过创建的扩展VPN隧道来承载更多的业务流量。
[0079] 步骤103,根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0080] 本申请中,具体可以通过哈唏(HASH)算法对所述特征信息中的特征参数进行计算,得到计算结果。然后,将所述计算结果生成所述扩展码。
[0081] 这里,所述HASH算法是一个算法集。
[0082] 本申请中,还可以直接基于所述特征信息,将所述特征信息中的每个子特征信息进行组合,生成所述扩展码。
[0083] 步骤104,根据所述扩展码创建所述扩展VPN隧道。
[0084] 本申请中,具体可以由消息发送方在针对密钥的第二次协商阶段,在流量筛选器TS载荷的扩展字段加载所述扩展码(参见图5)。
[0085] 图4为现有技术中TS载荷结构示意图,如图4所示,在该TS载荷中,包括有TS类型信息、IP协议ID信息、选样器长度信息、启动端口、结束端口、起始地址和结束地址信息。
[0086] 图5为本申请中TS载荷结构示意图,图5与图4大致相同,其相同之处在此不再赘述,其不同之处在于,图5中在TS载荷的结束地址之后的扩展字段中加载有扩展码(Extended Code)。
[0087] 本申请中,当消息发送方在第二次协商阶段中,在TS载荷的扩展字段中加载进所述扩展码之后,还会将携带有所述扩展码的交互信息在第二次协商阶段向所述消息接收方发送;所述消息接收方接收到消息发送方在第二次协商阶段发送的交互消息时,向消息发送方发送针对所述第二次协商阶段的交互消息的响应消息(参见图6)。
[0088] 图6为利用图5中所示的TS载荷结构建立子安全联萌的消息交互示意图。如图6所示,
[0089] 消息发送方20与消息接收方30的交互消息中包均携带有TSi和TSr;其中,TSi和TSr则是表示扩展码。
[0090] 所述消息发送方接收到所述消息接收方针对第二次协商阶段的所述交互信息发送的响应信息后,在所述响应消息中提取所述扩展码。当所述消息发送方在所述响应消息中成功提取到所述扩展码时,表征所述扩展VPN隧道已创建完成。
[0091] 相反,当所述消息发送方在所述响应消息中针对所述扩展码提取失败时,表征所述扩展VPN隧道创建操失败。
[0092] 另一实施例中,消息发送方还可以在针对密钥的第二协商阶段,向消息接收方发送携带有通知载荷信息的交互信息;消息接收方接收到消息发达方发送的携带有通知载荷信息的交互消息时,向消息发送方发送针对该交互消息的响应消息(参见图7)。
[0093] 图7为本申请中建立子安全联萌的消息交互示意图,如图7所示,消息发送方20与消息接收方30的交互报文中携带有通知载荷信息(N-EXC,)。而(N-EXC,)表示携带扩展码(Extended Code)的Notify载荷。
[0094] 具体地,消息发送方向消息接收方发送携带有通知载荷信息的消息,消息接收方接收到消息发送方发送的携带有通知载荷信息的消息时,针对该消息向消息发送方发送响应消息。
[0095] 消息发送方接收到消息接收方发送的针对第二次协调阶段的交互信息的响应消息时,在所述响应消息中提取所述通知载荷信息。
[0096] 当消息发送方在该响应消息中提取到所述通知载荷信息时,则根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
[0097] 本申请中,当第一个扩展VPN隧道的数据流量达到第一预设流量阈值时,根据当前的业务流量的特征信息,生成新的扩展码,并利用新的扩展码协商出新的扩展VPN隧道。
[0098] 这里,例如第一阈值流量阈值是单VPN隧道所处理数据流量的60%。
[0099] 本申请,还可以根据业务需要,重复生成新的扩展码以及创建新的扩展VPN隧道。
[0100] 本申请中,消息发送方在根据所述扩展码成功创建所述扩展VPN隧道之后,还可以根据当前的业务流量,对创建的扩展VPN隧道进行回收。
[0101] 具体地,消息发送方在根据所述扩展码成功创建所述扩展VPN隧道之后,还可以检测所述扩展VPN隧道的流量数据,得到检测结果;并将所述检测结果中的流量数据与表征回收已创建的扩展VPN隧道的第二预设流量阈值进行比较,并得到比较结果。当所述比较结果表征所述扩展VPN隧道的流量数据小于所述第二预设流量阈值时,回收所述扩展VPN隧道。以释放更多的业务资源。
[0102] 当然,本申请中,当业务资料比较丰富的情况下,也可以不对已创建的扩展VPN隧道进行回收。
[0103] 这里,表征回收已创建的扩展VPN隧道的第二预设流量阈值与表征创建扩展VPN隧道的第一预设流量阈值可以相同,也可以不同。具体可以根据当前的业务资源进行设定或调整。
[0104] 采用本发明所述动态创建扩展VPN隧道方法,与现有技术相比,突破了五元组信息只能创建单IPSec隧道的限制,解决5G通讯大吞吐量的IPSec加密通道问题,达到了根据业务流量动态创建IPSec隧道的效果。
[0105] 图8为本申请中隧道的创建装置的结构组成示意图,如图8所示,所述装置包括:确定单元801、提取单元802,生成单元803和创建单元804;
[0106] 其中,所述确定单元801用于在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展VPN隧道的能力;
[0107] 所述提取单元802用于当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0108] 所述生成单元803用于根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0109] 所述创建单元804用于根据所述扩展码创建所述扩展VPN隧道。
[0110] 本申请中,所述装置还包括:检测单元805;
[0111] 所述检测单元805用于检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;
[0112] 所述确定单元801还用于当所述检测结果表征检测到所述数据流量达到第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。
[0113] 本申请中,所述提取单元802还用于在所述初始协商阶段的交互信息中提取能力协商信息,得到提取结果;
[0114] 所述确定单元801具体用于当所述提取结果表征在所述初始协商阶段的交互信息中,成功提取到所述能力协商信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。
[0115] 本申请中,所述特征信息包括:除五元组信息以外的用于创建所述扩展VPN隧道的信息;其中,所述五元组信息包括:源IP地址,源端口,目的IP地址,目的端口和传输层协议号。
[0116] 本申请中,所述装置还包括:加载单元806、发送单元807和接收单元808;
[0117] 所述加载单元806,用于在针对密钥的第二协商阶段,在流量筛选器TS载荷的扩展字段加载所述扩展码;
[0118] 所述发送单元807用于向所述消息接收方发送携带有所述扩展码的第二交互信息;
[0119] 所述接收单元808用于接收所述消息接收方针对所述第二交互信息的第一响应信息;
[0120] 所述确定单元801具体还用于确定所述第一响应信息中包含有所述扩展码时,确定所述扩展VPN隧道创建完成。
[0121] 本申请的另一实施例中,所述发送单元807还用于在针对密钥的第二协商阶段,向所述消息接收方发送第二次交互信息,所述第二交互信息中携带有通知载荷信息;
[0122] 所述接收单元808还用于接收所述消息接收方针对所述第二次交互信息发送的第二响应消息;
[0123] 所述确定单元801具体还用于确定所述第二响应消息中携带有所述通知载荷信息时,根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
[0124] 本申请中,所述装置还包括:回收单元809;
[0125] 所述回收单元809用于检测到所述扩展VPN隧道的流量数据小于第二预设流量阈值时,回收所述扩展VPN隧道。
[0126] 其中,所述第二预设流量阈值与第一预设流量阈值可以相同,也可以不同,具体可以根据当前的业务资源进行设定。
[0127] 需要说明的是:上述实施例提供的隧道的创建装置在创建扩展VPN隧道时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将隧道的创建装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的隧道的创建装置与隧道的创建方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0128] 图9为本发明实施例中隧道的创建装置的结构组成示意图二;如图9所示,所述隧道的创建装置900可以是移动电话、计算机、数字广播终端、信息收发设备、游戏控制台、平板设备、个人数字助理、信息推送服务器、内容服务器、身份认证服务器等。图9所示的隧道的创建装置900包括:至少一个处理器901、存储器902、至少一个网络接口904和用户接口903。隧道的创建装置900中的各个组件通过总线系统905耦合在一起。可理解,总线系统905用于实现这些组件之间的连接通信。总线系统905除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统
905。
905。
[0130] 可以理解,存储器902可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器902旨在包括但不限于这些和任意其它适合类型的存储器。
[0131] 本发明实施例中的存储器902用于存储各种类型的数据以支持隧道的创建装置900的操作。这些数据的示例包括:用于在隧道的创建装置900上操作的任何计算机程序,如操作系统9021和应用程序9022;其中,操作系统9021包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序9022可以包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序9022中。
[0132] 上述本发明实施例揭示的方法可以应用于处理器901中,或者由处理器901实现。处理器901可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器901可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器901可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成前述方法的步骤。
[0133] 在示例性实施例中,隧道的创建装置900可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
[0134] 具体所述处理器901运行所述计算机程序时,执行:在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚信息拟私人网络VPN隧道的能力;
[0135] 当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0136] 根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0137] 根据所述扩展码创建所述扩展VPN隧道。
[0138] 所述处理器901运行所述计算机程序时,还执行:检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;
[0139] 当所述检测结果表征检测到所述数据流量达到第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。
[0140] 所述处理器901运行所述计算机程序时,还执行:在所述初始协商阶段的交互信息中提取能力协商信息,得到提取结果;
[0141] 当所述提取结果表征在所述初始协商阶段的交互信息中,成功提取到所述能力协商信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。
[0142] 所述处理器901运行所述计算机程序时,还执行:在针对密钥的第二协商阶段,在流量筛选器TS载荷的扩展字段加载所述扩展码;
[0143] 向所述消息接收方发送携带有所述扩展码的第二交互信息;
[0144] 接收所述消息接收方针对所述第二交互信息的第一响应信息;
[0145] 确定所述第一响应信息中包含有所述扩展码时,确定所述扩展VPN隧道创建完成。
[0146] 所述处理器901运行所述计算机程序时,还执行:在针对密钥的第二协商阶段,向所述消息接收方发送第二次交互信息,所述第二交互信息中携带有通知载荷信息;
[0147] 接收所述消息接收方针对所述第二次交互信息发送的第二响应消息;
[0148] 确定所述第二响应消息中携带有所述通知载荷信息时,根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
[0149] 所述处理器901运行所述计算机程序时,还执行:当所述检测结果表征所述扩展VPN隧道的流量数据小于第二预设流量阈值时,回收所述扩展VPN隧道。
[0150] 所述第二预设阈值与确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件的第一预设阈值相同或不同。
[0151] 在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器902,上述计算机程序可由隧道的创建装置900的处理器901执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备,如移动电话、计算机、平板设备、个人数字助理等。
[0152] 一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器运行时,执行:在针对密钥的初始协商阶段,根据所述初始协商阶段的交互信息,确定消息接收方具备创建扩展虚信息拟私人网络VPN隧道的能力;
[0153] 当所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件时,在当前的用户报文中提取用于创建所述扩展VPN隧道的特征信息;
[0154] 根据所述特征信息生成用于创建所述扩展VPN隧道的扩展码;
[0155] 根据所述扩展码创建所述扩展VPN隧道。
[0156] 该计算机程序被处理器运行时,还执行:检测所述扩展VPN隧道内所承载的数据流量,得到检测结果;
[0157] 当所述检测结果表征检测到所述数据流量达到第一预设流量阈值时,确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件。
[0158] 该计算机程序被处理器运行时,还执行:在所述初始协商阶段的交互信息中提取能力协商信息,得到提取结果;
[0159] 当所述提取结果表征在所述初始协商阶段的交互信息中,成功提取到所述能力协商信息时,确定所述消息接收方具备创建所述扩展VPN隧道的能力。
[0160] 该计算机程序被处理器运行时,还执行:在针对密钥的第二协商阶段,在流量筛选器TS载荷的扩展字段加载所述扩展码;
[0161] 向所述消息接收方发送携带有所述扩展码的第二交互信息;
[0162] 接收所述消息接收方针对所述第二交互信息的第一响应信息;
[0163] 确定所述第一响应信息中包含有所述扩展码时,确定所述扩展VPN隧道创建完成。
[0164] 该计算机程序被处理器运行时,还执行:在针对密钥的第二协商阶段,向所述消息接收方发送第二次交互信息,所述第二交互信息中携带有通知载荷信息;
[0165] 接收所述消息接收方针对所述第二次交互信息发送的第二响应消息;
[0166] 确定所述第二响应消息中携带有所述通知载荷信息时,根据所述通知载荷信息中携带的扩展码创建所述扩展VPN隧道。
[0167] 该计算机程序被处理器运行时,还执行:检测所述扩展VPN隧道的流量数据,得到检测结果;
[0168] 当所述检测结果表征所述扩展VPN隧道的流量数据小于第二预设流量阈值时,回收所述扩展VPN隧道。
[0169] 所述第二预设阈值与确定所述扩展VPN隧道内所承载的数据满足扩展VPN隧道的条件的第一预设阈值相同或不同。
[0170] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种液压支架与刮板输送机浮动连接机构姿态描述方法 | 2020-05-11 | 672 |
| 一种实现蒙层画笔的方法和系统 | 2020-05-08 | 926 |
| 随机事例的估计方法、装置及计算机可读存储介质 | 2020-05-11 | 847 |
| 基于CDN和MEC的车联网移动性管理方法 | 2020-05-08 | 332 |
| 一种基于虚拟训练的机器人智能抓取方法 | 2020-05-08 | 997 |
| 基于多视图卷积神经网络的三维模型检索方法 | 2020-05-08 | 409 |
| 基于安全态势感知的计算环境重构动态防御方法及系统 | 2020-05-08 | 808 |
| 一种基于云平台的云硬盘创建方法和装置 | 2020-05-08 | 635 |
| 一种后端微服务架构下的高并发解决方法 | 2020-05-08 | 290 |
| 一种多系统终端设备及其实现方法、存储介质 | 2020-05-08 | 797 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈