CN1901486A - 一种无线局域网中隧道建立方法及*** - Google Patents

一种无线局域网中隧道建立方法及*** Download PDF

Info

Publication number
CN1901486A
CN1901486A CNA2006100016518A CN200610001651A CN1901486A CN 1901486 A CN1901486 A CN 1901486A CN A2006100016518 A CNA2006100016518 A CN A2006100016518A CN 200610001651 A CN200610001651 A CN 200610001651A CN 1901486 A CN1901486 A CN 1901486A
Authority
CN
China
Prior art keywords
tunnel
wlan terminal
wlan
ike
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006100016518A
Other languages
English (en)
Other versions
CN100499548C (zh
Inventor
张鹏
张文林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2006100016518A priority Critical patent/CN100499548C/zh
Priority to CNA2007800002274A priority patent/CN101313529A/zh
Priority to PCT/CN2007/000195 priority patent/WO2007082479A1/zh
Publication of CN1901486A publication Critical patent/CN1901486A/zh
Priority to US12/176,077 priority patent/US8102828B2/en
Application granted granted Critical
Publication of CN100499548C publication Critical patent/CN100499548C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种无线局域网中隧道建立方法及***。该方法包括:A.无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;B.判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;C.为所述无线局域网终端建立隧道;D.拒绝为所述无线局域网终端建立隧道。本发明通过在无线局域网终端隧道建立过程中,判断各IKE SA中所建隧道数量是否达到对应的阈值而决定是否为所述的无线局域网终端建立隧道,可以有效的控制建立隧道的合理性和有效性。

Description

一种无线局域网中隧道建立方法及***
技术领域
本发明涉及通信领域,尤其涉及一种无线局域网中隧道建立方法及***。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP,Internet Protocol)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP,Access Point)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)***、宽带码分多址(WCDMA)***、时分双工-同步码分多址(TD-SCDMA)***、CDMA2000***的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP***的归属网络或3GPP***的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入网关(WAG,WLAN Access Gateway)与3GPP归属网络中的分组数据网关(PDG,Packet Data Gateway)等等。互通***结构图如图1,2,3所示。其中图1是非漫游情况互通***结构示意图,图2为漫游情况互通***结构示意图,图3是另一个漫游情况互通***结构示意图。
分组数据网关在互通***其中起着重要的作用,是WLAN UE和外部网络数据交互的关口,对用户数据起控制和管理的作用,同时还要产生计费信息。WLAN UE和PDG之间的通信,是采用基于IPsec的隧道。WLAN UE和PDG之间的隧道实际上是一种双层逻辑关系,WLAN UE和PDG之间用于隧道建立和加密的信息是通过因特网密钥交换(IKEv2)协议建立的因特网密钥交换安全联盟(IKE SA)保证的,在每个IKE SA内,可以建立一个或多个IP安全协议-安全联盟(IPsec SA),每个IPsec SA就是一条隧道(Tunnel),IKE SA和IPsec SA的关系,可以用图4所示内容简单表示。
为了控制用户建立的隧道数量,目前的规范中定义了两个参数:一个是Max number of IPsec SA(I-WLAN tunnels)per IKE,由运营商配置在PDG上,限定了每个IKE SA中最多可以建立几条隧道;另一个是per user count,用来计算当前用户总共建立的隧道数。
上述方案是通过比较Max number of IPsec SA(I-WLAN tunnels)per IKE参数和per user count来决定是否允许用户建立更多的隧道,例如,per user count大于Max number of IPsec SA(I-WLAN tunnels)per IKE参数,则不允许用户建立更多的隧道,否则就可以。但问题在于,Max number of IPsec SA(I-WLANtunnels)per IKE参数和per user count不是同一个层面的参数,例如,在图5中,PDG上配置的Max number of IPsec SA(I-WLAN tunnels)per IKE参数为3,意味着,每个IKE SA中最多可以建立3条隧道。如图5,WLAN UE和PDG之间建立了两个IKE SA,其中每个IKE SA中又建立了两个隧道(IPsec SA),此时,per user count就为4,大于Max number of IPsec SA(I-WLAN tunnels)perIKE,如果此时用户需要建立更多一条隧道,就会被拒绝,因为4>3,但是实际上,每个IKE SA中的隧道数量为2,小于3,不应该被禁止,因此,只设置一个per user count是不够的。
发明内容
本发明提供一种无线局域网中隧道建立方法及***,用以解决现有技术中存在无线局域网终端建立隧道方案不完善,无法有效控制建立隧道的问题。
本发明方法包括:
一种无线局域网中隧道建立方法,包括:
A、无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;
B、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;
C、为所述无线局域网终端建立隧道;
D、拒绝为所述无线局域网终端建立隧道。
所述步骤B中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
所述步骤C,进一步包括:
C1、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤D。
所述步骤C1中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
一种无线局域网中隧道建立方法,包括:
a、无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;
b、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,进入步骤c,如果是进入步骤d;
c、为所述无线局域网终端建立隧道;
d、拒绝为所述无线局域网终端建立隧道。
所述步骤b中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
所述步骤c,进一步包括:
c1、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤d。
所述步骤c1中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
本发明***包括:
一种无线局域网中隧道建立***,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,
所述隧道建立单元设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第一阈值存储单元以获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到第一阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元还设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第二阈值存储单元获取第二阈值,根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
一种无线局域网中隧道建立***,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,
所述的隧道建立单元设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第二阈值存储单元获取第二阈值,并根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
所述隧道建立单元还设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第一阈值存储单元获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,决定是否为所述无线局域网终端建立隧道。
所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
本发明有益效果如下:
本发明通过无线局域网中隧道建立方法和***,可以在无线局域网终端隧道建立过程中,判断各IKE SA中所建隧道数量是否达到对应的第一阈值,和/或判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,而决定是否为所述的无线局域网终端建立隧道,可以有效的控制建立隧道的合理性和有效性。
附图说明
图1为现有技术中非漫游情况互通***结构示意图;
图2为现有技术中漫游情况互通***结构示意图;
图3是现有技术中另一个漫游情况互通***结构示意图;
图4为现有技术中IKE SA和IPsecSA关系示意图;
图5为现有技术中另一个IKE SA和IPsecSA关系示意图;
图6为本发明具体实施方式1的流程示意图;
图7为本发明具体实施方式1的***结构示意图;
图8为本发明具体实施方式2的流程示意图;
图9为本发明具体实施方式2的***结构示意图;
图10为本发明具体实施方式3的流程示意图;
图11为本发明具体实施方式3的***结构示意图。
具体实施方式
下面结合说明书附图来说明本发明的具体实施方式。
本发明中,为WLAN UE分配隧道的隧道建立单元可以是PDG,或3GPPAAA Server,或者其他具有相同功能的网元,在下述方案中可以等效替换,不影响本发明方案的实现。
具体实施方式1:
在PDG中预设IKE SA的建立隧道数量阈值,在WLAN UE发起隧道建立时,根据该IKE SA中已经建立隧道数量是否达到该设定的阈值来决定是否为该WLAN UE分配隧道,如图6所示,具体包括以下步骤:
S11、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S12、PDG判断该IKE SA中所建隧道数量是否达到对应预设IKE SA建立隧道数量阈值,如果否,进入步骤S3,如果是进入步骤S4;
S13、PDG为所述WLAN UE建立隧道。
PDG向WLAN UE发送隧道建立应答,该隧道建立应答接受WLAN UE的隧道建立请求,并针对该IKE的隧道计数器加1。
S14、拒绝为所述WLAN UE建立隧道。
该步骤中,IKE SA中所建隧道数量可以通过设置的第一计数器计数得出。
该流程中,该IKE SA中已经建立隧道数量如果小于预设IKE SA建立隧道数量阈值,则说明该IKE SA还可以继续建立隧道,如果该IKE SA中已经建立隧道数量等于预设IKE SA建立隧道数量阈值,说明该IKE SA建立隧道数量已经饱和,不能再建立新的隧道了。
具体实施方式1中,该PDG判断该IKE SA中已经建立的隧道数量是否达到预设IKE SA建立隧道数量阈值,根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图7所示,是针对该方案的***结构示意图,从图中可见,该***包括:
WLAN UE 100,为所述WLAN UE 100提供接入的WLANAN 200和为所述WLAN UE 100建立隧道的PDG 300。
该***在PDG 300设置有第一阈值存储单元301,用于存储对应IKE SA中所建隧道数量的阈值,当WLAN UE100在一个已建立的IKE SA中发起隧道建立请求时,PDG301查询所述第一阈值存储单元301以获取该阈值,并根据该IKE SA中所建隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该PDG300还可以设置第一计数器302,用于统计各IKE SA中所建隧道数量。
具体实施方式2:
在3GPP AAA Server中预设当前用户建立隧道数量阈值,在WLAN UE发起隧道建立时,根据当前用户已经建立隧道数量是否达到该设定的阈值来决定是否为该WLAN UE分配隧道,如图8所示,具体包括以下步骤:
S21、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S22、3GPP AAA Server判断当前用户已经建立隧道数量是否达到对应阈值,如果否,进入步骤S23,如果是进入步骤S24;
该步骤中,当前用户已经建立隧道数量可以通过设置的第二计数器计数得出。
S23、3GPPAAA Server为所述WLAN UE建立隧道。
3GPPAAA Server向WLAN UE(可能通过PDG转发)发送隧道建立应答,该隧道建立应答接收WLAN UE的隧道建立请求,并针对该当前用户已经建立隧道计数器加1。
S24、拒绝为所述WLAN UE建立隧道。
具体实施方式2中,该3GPPAAA Server判断当前用户已经建立隧道数量是否达到对应阈值,根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图9所示,是针对该方案的***结构示意图,从图中可见,该***包括:
WLAN UE100,为所述WLAN UE 100提供接入的WLAN AN200和为所述WLAN UE100建立隧道的3GPPAAA Server 400,
该***在3GPP AAA Server 400设置有第二阈值存储单元401,用于存储当前用户建立隧道数量阈值,当WLAN UE100发起隧道建立请求时,3GPPAAA Server 400查询所述第二阈值存储单元401以获取该阈值,并根据当前用户建立隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该3GPP AAA Server 400还可以设置第二计数器402,用于统计当前用户建立隧道数量。
具体实施方式3:
在PDG中预设IKE SA的建立隧道数量阈值以及当前用户建立隧道数量阈值,在WLAN UE发起隧道建立时,根据各个IKE SA中已经建立隧道数量是否达到该设定的阈值以及当前用户建立隧道数量是否达到阈值来决定是否为该WLAN UE分配隧道,如图10所示,具体包括以下步骤:
S31、WLAN UE在一个已建立的IKE SA中发起隧道建立请求;
S32、PDG判断该IKE SA中所建隧道数量是否达到对应预设IKE SA建立隧道数量阈值,如果否,进入步骤S33,如果是进入步骤S35;
S33、PDG判断当前用户已经建立隧道数量是否达到对应阈值,如果否,进入步骤S34,如果是进入步骤S35;
S34、PDG为所述WLAN UE建立隧道。
PDG向WLAN UE发送隧道建立应答,该隧道建立应答接收WLAN UE的隧道建立请求,并针对该IKE的隧道计数器加1。
S35、拒绝为所述WLAN UE建立隧道。
具体实施方式3中,该PDG判断该IKE SA中已经建立的隧道数量是否达到预设IKE SA建立隧道数量阈值,以及判断当前用户已经建立隧道数量是达到于对应阈值,并根据判断结果决定是否接受该WLAN UE的隧道建立请求并为其分配隧道。
如图11所示,是针对该方案的***结构示意图,从图中可见,该***包括:
WLAN UE100,为所述WLAN UE 100提供接入的WLAN AN200和为所述WLAN UE100建立隧道的PDG300,
该***在PDG300设置有:
第一阈值存储单元301,用于存储对应IKE SA中所建隧道数量的阈值,当WLAN UE100发起隧道建立请求时,PDG301查询所述第一阈值存储单元301以获取该阈值,并根据该IKE SA中所建隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该***在PDG300设置有第二阈值存储单元303,用于存储当前用户建立隧道数量阈值,当WLAN UE100发起隧道建立请求时,PDG300查询所述第二阈值存储单元303以获取该阈值,并根据当前用户建立隧道数量是否达到该阈值,决定是否为所述WLAN UE100建立隧道。
该PDG300还可以设置:
第一计数器302,用于统计IKE SA中所建隧道数量;
第二计数器304,用于统计当前用户建立隧道数量。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1、一种无线局域网中隧道建立方法,包括:
A、无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;
B、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,进入步骤C,如果是进入步骤D;
C、为所述无线局域网终端建立隧道;
D、拒绝为所述无线局域网终端建立隧道。
2、如权利要求1所述的方法,其特征在于,所述步骤B中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
3、如权利要求1所述的方法,其特征在于,所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
4、如权利要求1所述的方法,其特征在于,所述步骤C,进一步包括:
C1、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤D。
5、如权利要求4所述的方法,其特征在于,所述步骤C1中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
6、一种无线局域网中隧道建立方法,包括:
a、无线局域网终端在已建立因特网密钥交换安全联盟IKE SA中发起隧道建立请求;
b、判断所述无线局域网终端所建立隧道数量是否达到该无线局域网终端建立隧道数量对应的第二阈值,如果否,进入步骤c,如果是进入步骤d;
c、为所述无线局域网终端建立隧道;
d、拒绝为所述无线局域网终端建立隧道。
7、如权利要求6所述的方法,其特征在于,所述步骤b中,所述无线局域网终端所建隧道数量,通过第二计数器计数得出。
8、如权利要求6所述的方法,其特征在于,所述步骤B中,所述的判断步骤由隧道建立单元完成,所述隧道建立单元为分组数据网关或认证鉴权计费服务器。
9、如权利要求6所述的方法,其特征在于,所述步骤c,进一步包括:
c1、判断所述因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,如果否,为所述无线局域网终端建立隧道,如果是进入步骤d。
10、如权利要求9所述的方法,其特征在于,所述步骤c1中,所述因特网密钥交换安全联盟IKE SA中所建隧道数量,通过第一计数器计数得出。
11、一种无线局域网中隧道建立***,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,其特征在于:
所述隧道建立单元设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第一阈值存储单元以获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到第一阈值,决定是否为所述无线局域网终端建立隧道。
12、如权利要求11所述的***,其特征在于,所述的隧道建立单元还设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第二阈值存储单元获取第二阈值,根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
13、如权利要求11或12所述的***,其特征在于,所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
14、如权利要求11所述的***,其特征在于,所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
15、一种无线局域网中隧道建立***,包括无线局域网终端,为所述无线局域网终端提供接入的无线局域网接入网和为所述无线局域网终端建立隧道的隧道建立单元,其特征在于:
所述的隧道建立单元设置有第二阈值存储单元,用于存储对应于无线局域网终端建立隧道数量的第二阈值,当无线局域网终端发起隧道建立请求时,所述隧道建立单元查询所述第二阈值存储单元获取第二阈值,并根据无线局域网终端已建立隧道数量是否达到所述的第二阈值,决定是否为所述无线局域网终端建立隧道。
16、如权利要求15所述的***,其特征在于,所述隧道建立单元还设置有第一阈值存储单元,用于存储对应因特网密钥交换安全联盟IKE SA中所建隧道数量的第一阈值,当所述无线局域网终端发起隧道建立请求时,所述隧道建立单元还查询所述第一阈值存储单元获取第一阈值,并根据各因特网密钥交换安全联盟IKE SA中所建隧道数量是否达到对应的第一阈值,决定是否为所述无线局域网终端建立隧道。
17、如权利要求15或16所述的***,其特征在于,所述的隧道建立单元,还设置有:
第一计数器,用于统计因特网密钥交换安全联盟IKE SA中所建隧道数量,和/或
第二计数器,用于统计无线局域网终端建立隧道数量。
18、如权利要求15所述的***,其特征在于,所述的隧道建立单元,为分组数据网关或者认证鉴权计费服务器。
CNB2006100016518A 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及*** Active CN100499548C (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CNB2006100016518A CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及***
CNA2007800002274A CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及***
PCT/CN2007/000195 WO2007082479A1 (fr) 2006-01-20 2007-01-18 Procédé et système destinés à établir un tunnel dans un wlan
US12/176,077 US8102828B2 (en) 2006-01-20 2008-07-18 Method and system for establishing tunnel in WLAN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2006100016518A CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及***

Publications (2)

Publication Number Publication Date
CN1901486A true CN1901486A (zh) 2007-01-24
CN100499548C CN100499548C (zh) 2009-06-10

Family

ID=37657234

Family Applications (2)

Application Number Title Priority Date Filing Date
CNB2006100016518A Active CN100499548C (zh) 2006-01-20 2006-01-20 一种无线局域网中隧道建立方法及***
CNA2007800002274A Pending CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及***

Family Applications After (1)

Application Number Title Priority Date Filing Date
CNA2007800002274A Pending CN101313529A (zh) 2006-01-20 2007-01-18 一种无线局域网中隧道建立方法及***

Country Status (3)

Country Link
US (1) US8102828B2 (zh)
CN (2) CN100499548C (zh)
WO (1) WO2007082479A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355419B (zh) * 2008-08-22 2011-01-05 成都市华为赛门铁克科技有限公司 一种网络攻击防范方法和装置
CN102780600A (zh) * 2011-05-11 2012-11-14 横河电机株式会社 通信***
CN104079558A (zh) * 2014-05-22 2014-10-01 汉柏科技有限公司 一种防止DoS攻击的方法及防火墙

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101600203B (zh) * 2009-06-30 2011-05-25 中兴通讯股份有限公司 一种安全服务的控制方法及无线局域网终端
KR20130040210A (ko) * 2010-06-01 2013-04-23 노키아 지멘스 네트웍스 오와이 모바일 스테이션을 통신 네트워크에 연결시키는 방법
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US11102100B2 (en) * 2019-11-19 2021-08-24 Vmware, Inc. Optimized and scalable method of detecting dead internet key exchange (IKE) peers
CN114024708A (zh) * 2021-09-23 2022-02-08 广东电力信息科技有限公司 一种基于入侵检测技术的网络边界防护方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6622019B1 (en) * 1999-11-17 2003-09-16 Eci Telecom, Ltd. Increasing channel capacity in fixed cellular networks
WO2005008997A1 (en) * 2003-07-03 2005-01-27 Sinett Corporation Hardware acceleration for unified ipsec and l2tp with ipsec processing in a device that integrates wired and wireless lan, l2 and l3 switching functionality
CN1323526C (zh) * 2003-10-29 2007-06-27 华为技术有限公司 无线局域网中业务连接建立的方法
CN1265607C (zh) 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
KR100918440B1 (ko) * 2004-11-12 2009-09-24 삼성전자주식회사 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치
US7979901B2 (en) * 2005-12-30 2011-07-12 Nokia Corporation Controlling the number of internet protocol security (IPsec) security associations

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355419B (zh) * 2008-08-22 2011-01-05 成都市华为赛门铁克科技有限公司 一种网络攻击防范方法和装置
CN102780600A (zh) * 2011-05-11 2012-11-14 横河电机株式会社 通信***
CN102780600B (zh) * 2011-05-11 2015-04-15 横河电机株式会社 通信***
CN104079558A (zh) * 2014-05-22 2014-10-01 汉柏科技有限公司 一种防止DoS攻击的方法及防火墙

Also Published As

Publication number Publication date
US20080298312A1 (en) 2008-12-04
WO2007082479A1 (fr) 2007-07-26
CN100499548C (zh) 2009-06-10
CN101313529A (zh) 2008-11-26
US8102828B2 (en) 2012-01-24

Similar Documents

Publication Publication Date Title
CN1901486A (zh) 一种无线局域网中隧道建立方法及***
CN1186906C (zh) 无线局域网安全接入控制方法
CN1645960A (zh) 无线局域网用户终端重新选择运营网络的交互方法
CN1889499A (zh) 实现在不同网络之间协商策略信息的方法和***
CN1960565A (zh) 演进的移动通信网络及终端向演进的3g接入网络注册方法
CN1645826A (zh) 无线局域网用户建立会话连接的方法
CN101047950A (zh) 在3gpp演进网络中配置默认承载的方法
CN1859776A (zh) 一种3gpp演进网络中漫游用户数据路由优化方法
CN1274181C (zh) 管理本地终端设备接入网络的方法
CN1794676A (zh) 用户接入无线通信网络的方法和无线网络接入控制装置
CN1674497A (zh) Wlan终端接入移动网络的认证方法
CN1666544A (zh) 用于通用无线接入网关的***和方法
CN1711791A (zh) 用于驱动移动无线电通信***的终端设备的方法
CN1404266A (zh) 网络***和网络构成方法
CN101064616A (zh) 一种网络计费方法、***及设备
CN1859335A (zh) 无线局域网中无线局域网接入网关策略加载方法
CN1283062C (zh) 无线局域网用户实现接入认证的方法
CN1756428A (zh) Ip多媒体子***中对终端用户标识模块进行鉴权的方法
CN1277368C (zh) 无线局域网用户终端重新选择运营网络的交互方法
CN1794682A (zh) 一种在无线接入网中建立安全通道的方法
CN1848898A (zh) 一种实现预付费的方法
CN100352211C (zh) 一种无线局域网中策略信息更新的方法和***
CN100344199C (zh) 无线局域网网络移动性管理的***及其方法
CN1921418A (zh) 一种无线局域网接入独立性的验证方法和装置
CN1859336A (zh) 无线局域网中无线局域网接入网关策略更新方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant