CN102006298A - 接入网关实现负荷分担的方法和装置 - Google Patents
接入网关实现负荷分担的方法和装置 Download PDFInfo
- Publication number
- CN102006298A CN102006298A CN2010105625716A CN201010562571A CN102006298A CN 102006298 A CN102006298 A CN 102006298A CN 2010105625716 A CN2010105625716 A CN 2010105625716A CN 201010562571 A CN201010562571 A CN 201010562571A CN 102006298 A CN102006298 A CN 102006298A
- Authority
- CN
- China
- Prior art keywords
- service processing
- processing module
- user terminal
- cookie information
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种接入网关实现负荷分担的方法和装置,所述方法包括:接收用户终端发送的包含缓存COOKIE信息的网协安全IPsec隧道认证请求消息;根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述IPsec隧道认证请求消息发送到所述业务处理模块;向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。通过本发明实施例提供的方法和装置,接入网关可以实现均匀的负荷分担。
Description
技术领域
本发明涉及网络领域,尤其涉及一种接入网关实现负荷分担的方法和装置。
背景技术
目前,IPsec(IP安全)隧道两端通过共享密钥对IP(Internet Protocol,网络之间互连的协议,简称网协)报文提供私密性、完整性、访问控制以及数据源认证服务。共享密钥的建立可以手工建立,也可以通过协商方式自动建立。在RFC2407、RFC2408和RFC2409中定义了一种密钥协商机制——IKE(Internet Key Exchange,因特网密钥交换)协议。
根据IKE协议,初始交互(INITIAL)建立了IKE_SA(因特网密钥交换安全联盟)和第一个CHILD_SA(子安全联盟),即IPsec SA(IPSec安全联盟),过程如图1所示。它由四条消息组成:前两条消息为IKE_SA_INIT(隧道认证)交互,主要用于协商加密算法、交换nonce(随机数)值并完成D-H(Diffie-Hellman,棣弗-赫尔曼)密钥交换,从而计算生成用于加密和完整性验证的后续交互密钥材料;后两条消息为IKE_SA_AUTH(隧道认证)交互,用于验证前两条消息、交换身份信息和证书(可选),同时采用预共享密钥或数字签名方式进行身份认证,从而建立IKE_SA和第一个CHILD_SA。
目前,IKE、ESP(Encapsulating Security Payload,封装安全净荷)和AH(AuthenticationHeader,认证头)安全关联所用到的密钥材料是具有一定时间限制和保护数据多少的限制。一旦SA(Security Association,安全联盟)过期,必须停止使用。如果需要继续连接的话,双方可以协商建立一个新的SA。用重新建立的SA来代替已经过期的SA就是此处的重协商。通常,具体实现应在一个已经存在的IKE_SA基础上重协商CHILD_SA,并且删除掉旧的CHILD_SA;也可以和通信对等方一起重协商一个IKE_SA,并继承一切以旧IKE_SA为基础创建的CHILD_SA,接管对所有消息的控制,并删除旧的IKE_SA,新的SA在旧的SA因过期而不可使用之前建立。
发明人在实现上述协议过程中发现,在现有接入网关具有多业务处理模块时,接入网关也无法将不同UE的隧道认证消息均匀的分发到对应的业务处理模块来实现负荷分担。
发明内容
本发明实施例提供一种接入网关实现负荷分担的方法和装置,以解决在分布式***中,UE发起首次附着时,接入网关无法实现均匀的负荷分担,UE发起隧道重协商时,接入网关无法将UE分发到上一次附着所在的业务处理模块上的问题。
一方面,本发明实施例提供一种接入网关实现负荷分担的方法,所述方法包括:
接收用户终端发送的包含COOKIE(缓存)信息的IPsec(网协安全)隧道认证请求消息;
根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述隧道认证请求消息发送到所述业务处理模块;
向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
另一方面,本发明实施例提供一种接入网关,所述接入网关包括:
接收单元,用于接收用户终端发送的包含COOKIE(缓存)信息的IPsec(网协安全)隧道认证请求消息;
分发单元,用于根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述隧道认证请求消息发送到所述业务处理模块;
发送单元,用于向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
再一方面,本发明实施例还提供一种用户终端,所述用户终端包括:
生成单元,用于在有业务处理模块的标识时,使用所述业务处理模块的标识生成COOKIE信息,在没有业务处理模块的标识时,使用分布性的非安全相关标识生成COOKIE信息;
发送单元,用于向接入网关发送包含所述COOKIE信息的IPsec隧道认证请求消息,以便所述接入网关将所述用户终端分发到相应的业务处理模块;
接收单元,用于接收所述接入网关返回的所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
通过本发明实施例提供的方法和装置,在分布式***中用户的IKE隧道协商消息中增加COOKIE信息,以该COOKIE信息作为业务处理模块分配的依据,如此,当UE发起首次附着时,接入网关可以实现均匀的负荷分担,而在UE发起隧道重协商时,接入网关能够将UE分发到上一次附着所在的业务处理模块上。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为目前根据IKE协议UE与接入网关进行初始交互时的流程图;
图2为本发明实施例的方法的应用场景示意图;
图3为本发明一实施例的方法流程图;
图4为本发明另一实施例的方法流程图;
图5为图4实施例的一个实施方式的交互流程图;
图6为图4实施例的另外一个实施方式的交互流程图;
图7为本发明实施例的接入网关组成框图;
图8为本发明实施例的用户设备组成框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
图2为本发明实施例提供的IKE协议下的接入网关实现负荷分担的方法的应用场景的示意图,请参照图2,该应用场景中包括有用户终端21以及接入网关22,其中,接入网关22包括一个业务分发管理模块221以及多个业务处理模块222,在本实施例中,以接入网关22包括两个业务处理模块222为例进行说明。
图3为本发明实施例提供的一种接入网关实现负荷分担的方法的流程图,请参照图3,该方法包括:
步骤301:接收用户终端发送的包含COOKIE信息的IPsec隧道认证请求消息;
步骤302:根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述隧道认证请求消息发送到所述业务处理模块;
步骤303:向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
通过本发明实施例提供的方法,在分布式***中用户的IKE隧道协商消息中增加COOKIE信息,以该COOKIE信息作为业务处理模块分配的依据,如此,当UE发起首次附着时,接入网关可以实现均匀的负荷分担;当UE发起隧道重协商时,接入网关可以将该UE分发到上一次附着所在的业务处理模块上。
图4为本发明实施例提供的一种接入网关实现负荷分担的方法的流程图,请参照图4,该方法包括:
步骤401:接收用户终端21发送的包含COOKIE信息的IPsec隧道认证请求消息;
在本实施例中,用户终端21首先向接入网关22发送IPsec隧道认证(IKE_SA_INIT)请求消息,在该IKE_SA_INIT消息中携带有用户终端生成的COOKIE信息,以便接入网关根据该COOKIE信息为该用户终端21分配业务处理模块。
在一个实施例中,用户终端在有业务处理模块的标识时,使用该业务处理模块的标识生成该COOKIE信息,则该COOKIE信息为业务处理模块的标识;在没有业务处理模块的标识时,使用分布性的非安全相关标识生成该COOKIE信息,则该COOKIE信息为该分布性的非安全相关标识。
这里的分布性的非安全相关标识为重复使用概率低且不参与安全算法的标识,其中分布性指的是不同用户的标识有非常小的概率碰撞,这样就避免了很多用户初始接入时选择同一个业务处理模块导致负载分担无法实现;非安全相关指的是该标识不参与用户认证、数据加密和/或完整性保护等运算,这样就避免了使用明文传送该标识可能出现的安全隐患。
其中,分布性的非安全相关标识可以是IMEI(International Mobile Equipment Identity,国际移动设备身份码),也可以是用户终端21构造的一个非安全参数,例如基于UE的Mac地址来构造,还可以是连续均匀分布的随机数生成器输出的随机数,本实施例并不以此作为限制。
其中,IMEI是国际移动装备辨识码,它是由15位数字组成的“电子串号”,与每台手机一一对应,由于IMEI并不代表使用手机的用户,所以不会参与基于用户的认证和安全相关过程,所以没有安全性问题。另外,每个手机的IMEI是不同的,同样保证了不会碰撞。
在本实施例中,可以通过复用IKE_SA_INI请求消息的头部会话标识信元携带上述COOKIE信息,例如将IMEI转换为BCD(Binary-Coded Decimal,二-十进制代码)码后,存放在IKE_SA_INI请求消息的应答方的会话标识信元中;也可以通过该IKE_SA_INI请求消息的扩展信元携带上述COOKIE信息。
步骤402:根据以上COOKIE信息确定用户终端21要分发的业务处理模块222,并将以上IPsec隧道认证请求消息发送到以上分发的业务处理模块;
在本实施例中,接入网关22的业务分发管理模块221从用户终端21发送的IKE_SA_INI请求消息中获取到该用户终端21的COOKIE信息,即可根据该COOKIE信息,将该用户终端21分发到相应的业务处理模块222,也即根据该COOKIE信息确定该用户终端21要分发的业务处理模块222,再将IPsec隧道认证请求消息发送到该确定出的业务处理模块222。
其中,如果COOKIE信息中包含业务处理模块的标识,可以确定用户终端21要分发的业务处理模块为该业务处理模块的标识对应的业务处理模块,则本步骤可以将隧道认证请求消息发送到该业务处理模块标识对应的业务处理模块处理。
其中,如果COOKIE信息中不包含业务处理模块的标识,可以根据负载均衡确定该用户终端要分发的业务处理模块,则本步骤可以将隧道认证请求消息发送到负载均衡确定的业务处理模块处理。
在一个实施例中,可以利用哈希算法来进行业务处理模块222的分配,例如,将该COOKIE信息作为哈希算法的输入,利用该哈希算法计算出要分发的业务处理模块222,再将IPsec隧道认证请求消息发送到计算出的业务处理模块处理,从而实现均匀的分发。
在另外一个实施例中,可以通过动态分担的方法来进行业务处理模块222的分配,这里的动态分担是通过对多个业务处理模块222的负荷情况来进行用户终端的分发。例如,先获取所有业务处理模块各自当前的负载情况,将当前负载最低的业务处理模块作为所述用户终端要分发的业务处理模块,再将该IPsec隧道认证请求消息发送到当前负载最低的业务处理模块处理。
步骤403:向用户终端返回业务处理模块222构建的IPsec隧道认证应答消息,该IPsec隧道认证应答消息中包含有用户终端被分发的业务处理模块的标识。
在本实施例中,该用户终端被分发的业务处理模块的标识可以通过IPsec隧道认证应答消息的应答方安全参数索引携带。
例如,当接入网关的业务分发管理模块221将用户终端21分配给某一个业务处理模块222后,该业务处理模块222会为该用户终端分配包含该业务处理模块222的标识的应答方安全参数索引SPI(Security Parameter Index),以便业务分发管理模块221通过IPsec隧道认证应答消息,将该应答方安全参数索引返回给该用户终端。其中,业务分发管理模块221还可以维护该安全参数索引与该用户终端21所在的业务处理模块222的映射关系。
在本实施例中,当UE初次认证时,也即首次附着时,接入网关还没有为其分配相应的业务处理模块,则UE可以利用分布性的非安全相关标识生成COOKIE信息,通过IPsec隧道认证请求消息发送给接入网关,以便接入网关根据该COOKIE信息为其分配业务处理模块,并在返回给UE的IPsec隧道认证应答消息中将该分配的业务处理模块的标识发送给UE。当UE进行隧道重协商时,可以利用接入网关为其分配的业务处理模块的标识生成COOKIE信息,再次通过IPsec隧道认证请求消息发送给接入网关时,接入网关即可将该UE分发到上一次附着所在的业务处理模块上。
仍以该业务处理模块的标识通过IPsec隧道认证应答消息的应答方安全参数索引携带为例,在本实施例中,业务分发管理模块221将业务处理模块222为用户终端21分配的应答方安全参数索引通过隧道认证应答消息返回给用户终端21后,用户终端可以在后续向接入网关22发送的隧道认证(IKE_SA_AUTH)请求消息中携带该应答方安全参数索引,以便接入网关22根据该应答方安全参数索引,找到映射的业务处理模块从而实现正确的分发。
通过本发明实施例提供的方法,在分布式***中用户的IKE隧道协商消息中增加COOKIE信息,以该COOKIE信息作为业务处理模块分配的依据,如此,当UE发起首次附着时,接入网关可以实现均匀的负荷分担;当UE发起隧道重协商时,接入网关可以将该UE分发到上一次附着所在的业务处理模块上。
图5为根据本实施例的方法,UE首次附着过程中,UE与接入网关的交互流程图,在本实施例中,仍然以接入网关包含两个业务处理模块为例,请参照图5,该流程包括:
步骤501:UE通过IKE_SA_INIT请求消息发起初次附着,在IKE_SA_INIT消息中携带该UE的COOKIE信息;
步骤502:业务分发管理模块根据该UE的COOKIE信息将该UE分发到业务处理模块1;
步骤503:业务分发管理模块获取业务处理模块1为该UE分配的应答方安全参数索引,该应答方安全参数索引中包含业务处理模块1的标识;
步骤504:业务分发管理模块维护该应答方安全参数索引与UE所在业务处理模块1的映射关系;
步骤505:业务分发管理模块在返回给UE的IKE_SA_INIT应答消息中,将该包含业务处理模块1的标识的应答方安全参数索引返回给UE。
通过本实施例的方法,UE在首次附着期间,接入网关的业务分发管理模块从UE发送的IKE_SA_INIT请求消息中获取UE的COOKIE信息,用该UE的COOKIE信息作为参数将该UE分发到业务处理模块1,后续业务处理模块1分配具有业务处理模块1的标识的应答方安全参数索引,业务分发管理模块通过IKE_SA_INIT应答消息将该应答方安全参数索引发送给UE。UE在后续的隧道认证请求消息中会把该应答方安全参数索引携带给接入网关,以便接入网关的业务分发管理模块据此进行分发。这样,在UE的首次附着期间中,能够确保所有请求消息正确分发到同一个业务处理模块,实现了负荷分担功能。
图6为根据本实施例的方法,UE进行隧道重协商过程中,UE与接入网关的交互流程图,在本实施例中,仍然以接入网关包含两个业务处理模块为例,请参照图6,该流程包括:
步骤601:UE通过IKE_SA_INIT请求消息发起隧道重协商,在IKE_SA_INIT消息中携带该UE的COOKIE信息;
步骤602:业务分发管理模块根据该UE的COOKIE信息将该UE分发到首次附着所在的业务处理模块1;
步骤603:业务分发管理模块获取业务处理模块1为该UE分配的应答方安全参数索引,该应答方安全参数索引中包含业务处理模块1的标识;
步骤604:业务分发管理模块维护该应答方安全参数索引与UE所在业务处理模块1的映射关系;
步骤605:业务分发管理模块在返回给UE的IKE_SA_INIT应答消息中,将该包含业务处理模块1的标识的应答方安全参数索引返回给UE。
通过本实施例的方法,UE在隧道重协商时,接入网关的业务分发管理模块从UE发送的IKE_SA_INIT消息中获取UE的COOKIE信息,用该UE的COOKIE信息作为参数分发到UE首次附着所在的业务处理模块1,业务处理模块1找到以前的会话,识别出是重协商场景。这样,UE以前的状态得以延续,例如继续以前的用户跟踪和监控。
通过本发明实施例提供的方法,在UE发起隧道重协商时,接入网关能够将UE分发到上一次附着所在的业务处理模块1上。根据该方法,运营商可以根据UE的身份标识配置黑白名单,接入网关的业务处理模块根据该配置,在UE首次附着的第一条消息就可以进行接入控制。由于业务处理模块识别出UE的身份标识,不需要缓存消息,收到的消息可以实时上报维护控制台,从而实现实时的用户跟踪和监控功能。
图7为本发明实施例提供的一种接入网关的组成框图,请参照图7,该接入网关包括:接收单元71、分发单元72、以及发送单元73,其中:
接收单元71用于接收用户终端发送的包含COOKIE信息的IPsec隧道认证请求消息。
其中,接收单元71接收到的IPsec隧道认证请求消息中的COOKIE信息为业务处理模块的标识或者分布性的非安全相关标识。所述分布性的非安全相关标识为国际移动设备身份码IMEI或者连续均匀分布的随机数生成器输出的随机数。
其中,接收单元71接收到的所述IPsec隧道认证请求消息的头部的会话标识信元携带所述用户终端的COOKIE信息,或者接收单元71接收到的所述IPsec隧道认证请求消息的扩展信元携带所述用户终端的COOKIE信息。
分发单元72用于根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述隧道认证请求消息发送到所述业务处理模块。
其中,如果COOKIE信息中包含业务处理模块的标识,则分发单元72确定用户终端要分发的业务处理模块为该业务处理模块标识对应的业务处理模块;如果COOKIE信息中不包含业务处理模块标识,则分发单元72根据负载均衡确定用户终端要分发的业务处理模块。
其中,如果COOKIE信息中不包含业务处理模块标识,则分发单元72具体用于将COOKIE信息作为哈希算法的输入,利用该哈希算法计算出所述用户终端要分发的业务处理模块;或者,该分发单元72具体用于获取所有业务处理模块的当前负责情况,将当前负载最低的业务处理模块作为用户终端要分发的业务处理模块。
发送单元73用于向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
本发明实施例的装置的各组成部分分别用于实现图3所示实施例的方法的各步骤,由于在图3所示实施例中,已经对各步骤进行了详细说明,在此不再赘述。
通过本发明实施例的接入网关,在分布式***中用户的IKE隧道协商消息中增加COOKIE信息,以该COOKIE信息作为业务处理模块分配的依据,如此,当UE发起首次附着时,接入网关可以实现均匀的负荷分担,而在UE发起隧道重协商时,接入网关能够将UE分发到上一次附着所在的业务处理模块上。
图8为本发明实施例提供的一种用户终端的组成框图,请参照图8,该用户终端包括:
生成单元81,用于在有业务处理模块的标识时,使用该业务处理模块的标识生成COOKIE信息,在没有业务处理模块的标识时,使用分布性的非安全相关标识生成COOKIE信息;
发送单元82,用于向接入网关发送包含该COOKIE信息的网协安全IPsec隧道认证请求消息,以便该接入网关将该用户终端分发到相应的业务处理模块;
接收单元83,用于接收该接入网关返回的业务处理模块构建的IPsec隧道认证应答消息,该IPsec隧道认证应答消息中包含用户终端被分发的业务处理模块的标识。
其中,分布性的非安全相关标识为国际移动设备身份码IMEI或者连续均匀分布的随机数生成器输出的随机数。
其中,该COOKIE信息通过IPsec隧道认证请求消息的头部的会话标识信元携带,或者通过IPsec隧道认证请求消息的扩展信元携带。
通过本发明实施例的用户终端,在分布式***中用户的IKE隧道协商消息中增加COOKIE信息,使得接入网关以该COOKIE信息作为业务处理模块分配的依据,如此,当UE发起首次附着时,接入网关可以实现均匀的负荷分担,而在UE发起隧道重协商时,接入网关能够将UE分发到上一次附着所在的业务处理模块上。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种接入网关实现负荷分担的方法,其特征在于,所述方法包括:
接收用户终端发送的包含缓存COOKIE信息的网协安全IPsec隧道认证请求消息;
根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述IPsec隧道认证请求消息发送到所述业务处理模块;
向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
2.根据权利要求1所述的方法,其特征在于,根据所述COOKIE信息确定用户终端要分发的业务处理模块,包括:
如果所述COOKIE信息中包含业务处理模块的标识,则确定所述用户终端要分发的业务处理模块为所述业务处理模块标识对应的业务处理模块;
如果所述COOKIE信息中不包含业务处理模块标识,则根据负载均衡确定所述用户终端要分发的业务处理模块。
3.根据权利要求2所述的方法,其特征在于,所述根据负载均衡确定所述用户终端要分发的业务处理模块,具体为:
将所述COOKIE信息作为哈希算法的输入,利用所述哈希算法计算出所述用户终端要分发的业务处理模块;或者
获取所有业务处理模块的当前负载情况,将当前负载最低的业务处理模块作为所述用户终端要分发的业务处理模块。
4.根据权利要求1所述的方法,其特征在于,所述COOKIE信息通过所述IPsec隧道认证请求消息的头部的会话标识信元携带,或者通过所述IPsec隧道认证请求消息的扩展信元携带。
5.根据权利要求1所述的方法,其特征在于,所述用户终端被分发的业务处理模块的标识通过所述IPsec隧道认证应答消息的应答方安全参数索引携带。
6.根据权利要求1所述的方法,其特征在于,所述接收用户终端发送的包含COOKIE信息的IPsec隧道认证请求消息之前,所述方法还包括:
所述用户终端在有业务处理模块的标识时,使用所述业务处理模块的标识生成所述COOKIE信息,在没有业务处理模块的标识时,使用分布性的非安全相关标识生成所述COOKIE信息。
7.根据权利要求6所述的方法,其特征在于,所述分布性的非安全相关标识为重复使用概率低且不参与安全算法的标识,所述安全算法包括用户认证、数据加密和/或完整性保护。
8.根据权利要求6所述的方法,其特征在于,所述分布性的非安全相关标识为国际移动设备身份码IMEI或者连续均匀分布的随机数生成器输出的随机数。
9.一种接入网关,其特征在于,所述接入网关包括:
接收单元,用于接收用户终端发送的包含COOKIE信息的IPsec隧道认证请求消息;
分发单元,用于根据所述COOKIE信息确定用户终端要分发的业务处理模块,将所述隧道认证请求消息发送到所述业务处理模块;
发送单元,用于向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
10.根据权利要求9所述的接入网关,其特征在于,如果所述COOKIE信息中包含业务处理模块的标识,则所述分发单元确定所述用户终端要分发的业务处理模块为所述业务处理模块标识对应的业务处理模块;如果所述COOKIE信息中不包含业务处理模块标识,则所述分发单元根据负载均衡确定所述用户终端要分发的业务处理模块。
11.根据权利要求10所述的接入网关,其特征在于,如果所述COOKIE信息中不包含业务处理模块标识,则所述分发单元具体用于将所述COOKIE信息作为哈希算法的输入,利用所述哈希算法计算出所述用户终端要分发的业务处理模块;或者,所述分发单元具体用于获取所有业务处理模块的当前负载情况,将当前负载最低的业务处理模块作为所述用户终端要分发的业务处理模块。
12.根据权利要求9所述的接入网关,其特征在于,所述接收单元接收到的所述IPsec隧道认证请求消息中的COOKIE信息包含的业务处理模块的标识为分布性的非安全相关标识,所述分布性的非安全相关标识为国际移动设备身份码IMEI或者连续均匀分布的随机数生成器输出的随机数。
13.一种用户终端,其特征在于,所述用户终端包括:
生成单元,用于在有业务处理模块的标识时,使用所述业务处理模块的标识生成COOKIE信息,在没有业务处理模块的标识时,使用分布性的非安全相关标识生成COOKIE信息;
发送单元,用于向接入网关发送包含所述COOKIE信息的网协安全IPsec隧道认证请求消息,以便所述接入网关将所述用户终端分发到相应的业务处理模块;
接收单元,用于接收所述接入网关返回的所述业务处理模块构建的IPsec隧道认证应答消息,所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105625716A CN102006298A (zh) | 2010-11-26 | 2010-11-26 | 接入网关实现负荷分担的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105625716A CN102006298A (zh) | 2010-11-26 | 2010-11-26 | 接入网关实现负荷分担的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102006298A true CN102006298A (zh) | 2011-04-06 |
Family
ID=43813369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010105625716A Pending CN102006298A (zh) | 2010-11-26 | 2010-11-26 | 接入网关实现负荷分担的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102006298A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012163016A1 (zh) * | 2011-10-21 | 2012-12-06 | 华为技术有限公司 | 识别服务请求类型的方法、媒体服务器和终端设备 |
CN103780654A (zh) * | 2012-10-24 | 2014-05-07 | 华为技术有限公司 | 业务请求处理方法、用户终端、业务路由器及网络*** |
CN103841195A (zh) * | 2014-03-06 | 2014-06-04 | 杭州华三通信技术有限公司 | 一种跨业务持续性实现方法和设备 |
CN106230925A (zh) * | 2016-07-28 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种访问控制方法及装置 |
WO2018046017A1 (zh) * | 2016-09-12 | 2018-03-15 | ***通信有限公司研究院 | 信息处理方法、装置、电子设备及计算机存储介质 |
CN109639553A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003107624A1 (en) * | 2002-06-13 | 2003-12-24 | Nvidia Corporation | Method and apparatus for enhanced security for communication over a network |
CN1217553C (zh) * | 2001-11-14 | 2005-08-31 | 中兴通讯股份有限公司 | 短消息起呼控制网关 |
CN1949764A (zh) * | 2005-10-10 | 2007-04-18 | 中兴通讯股份有限公司 | 软交换网络中基于流控制传输协议的偶联的负荷分担方法 |
CN101197664A (zh) * | 2008-01-03 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种密钥管理协议协商的方法、***和装置 |
CN101316205A (zh) * | 2007-05-28 | 2008-12-03 | 华为技术有限公司 | 触发安全隧道建立方法及其装置 |
CN101330723A (zh) * | 2007-06-19 | 2008-12-24 | 华为技术有限公司 | 演进网络中隧道的建立方法及*** |
CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和*** |
CN100479561C (zh) * | 2006-02-17 | 2009-04-15 | 中兴通讯股份有限公司 | 宽带无线接入***中寻呼控制器的选择方法 |
JP4351123B2 (ja) * | 2004-08-24 | 2009-10-28 | 株式会社日立コミュニケーションテクノロジー | ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント |
-
2010
- 2010-11-26 CN CN2010105625716A patent/CN102006298A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1217553C (zh) * | 2001-11-14 | 2005-08-31 | 中兴通讯股份有限公司 | 短消息起呼控制网关 |
WO2003107624A1 (en) * | 2002-06-13 | 2003-12-24 | Nvidia Corporation | Method and apparatus for enhanced security for communication over a network |
JP4351123B2 (ja) * | 2004-08-24 | 2009-10-28 | 株式会社日立コミュニケーションテクノロジー | ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント |
CN1949764A (zh) * | 2005-10-10 | 2007-04-18 | 中兴通讯股份有限公司 | 软交换网络中基于流控制传输协议的偶联的负荷分担方法 |
CN100479561C (zh) * | 2006-02-17 | 2009-04-15 | 中兴通讯股份有限公司 | 宽带无线接入***中寻呼控制器的选择方法 |
CN101316205A (zh) * | 2007-05-28 | 2008-12-03 | 华为技术有限公司 | 触发安全隧道建立方法及其装置 |
CN101330723A (zh) * | 2007-06-19 | 2008-12-24 | 华为技术有限公司 | 演进网络中隧道的建立方法及*** |
CN101351019A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 接入网关、终端及建立数据连接的方法和*** |
CN101197664A (zh) * | 2008-01-03 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种密钥管理协议协商的方法、***和装置 |
Non-Patent Citations (1)
Title |
---|
周敬利,李岩,余胜生,胡熠峰: "《OpenBSD下基于IPSec协议的VPN研究与设计》", 《计算机应用》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012163016A1 (zh) * | 2011-10-21 | 2012-12-06 | 华为技术有限公司 | 识别服务请求类型的方法、媒体服务器和终端设备 |
CN103181140A (zh) * | 2011-10-21 | 2013-06-26 | 华为技术有限公司 | 识别服务请求类型的方法、媒体服务器和终端设备 |
CN103181140B (zh) * | 2011-10-21 | 2016-09-14 | 华为技术有限公司 | 识别服务请求类型的方法、媒体服务器和终端设备 |
US9882794B2 (en) | 2011-10-21 | 2018-01-30 | Huawei Technologies Co., Ltd. | Method, media type server and terminal device for identifying service request type |
CN103780654A (zh) * | 2012-10-24 | 2014-05-07 | 华为技术有限公司 | 业务请求处理方法、用户终端、业务路由器及网络*** |
CN103780654B (zh) * | 2012-10-24 | 2018-05-18 | 华为技术有限公司 | 业务请求处理方法、用户终端、业务路由器及网络*** |
CN103841195A (zh) * | 2014-03-06 | 2014-06-04 | 杭州华三通信技术有限公司 | 一种跨业务持续性实现方法和设备 |
CN103841195B (zh) * | 2014-03-06 | 2017-05-10 | 杭州华三通信技术有限公司 | 一种跨业务持续性实现方法和设备 |
CN106230925A (zh) * | 2016-07-28 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种访问控制方法及装置 |
WO2018046017A1 (zh) * | 2016-09-12 | 2018-03-15 | ***通信有限公司研究院 | 信息处理方法、装置、电子设备及计算机存储介质 |
CN109639553A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
CN109639553B (zh) * | 2018-12-25 | 2021-04-27 | 杭州迪普科技股份有限公司 | IPSec协商方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及*** | |
US20190068591A1 (en) | Key Distribution And Authentication Method And System, And Apparatus | |
WO2017185999A1 (zh) | 密钥分发、认证方法,装置及*** | |
US7269730B2 (en) | Method and apparatus for providing peer authentication for an internet key exchange | |
CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
Xu et al. | Attacks on PKM protocols of IEEE 802.16 and its later versions | |
CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
CN107919956A (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和*** | |
CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
CN101242274B (zh) | 保证消息序列号不重复、防止重放攻击的方法及移动终端 | |
CN102111273B (zh) | 一种基于预共享的电力负荷管理***数据安全传输方法 | |
CN103095696A (zh) | 一种适用于用电信息采集***的身份认证和密钥协商方法 | |
CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及*** | |
CN113497778A (zh) | 一种数据的传输方法和装置 | |
WO2020220903A1 (zh) | 通信方法和装置 | |
CN101600204A (zh) | 一种文件传输方法及*** | |
CN102006298A (zh) | 接入网关实现负荷分担的方法和装置 | |
CN1770681A (zh) | 无线环境下的会话密钥安全分发方法 | |
CN103118363A (zh) | 一种互传秘密信息的方法、***、终端设备及平台设备 | |
CN105577377A (zh) | 带密钥协商的基于身份的认证方法和*** | |
CN104753937A (zh) | 基于sip的安全认证注册的方法 | |
Zhou et al. | A hybrid authentication protocol for LTE/LTE-A network | |
CN107104888B (zh) | 一种安全的即时通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110406 |