技術領域

本發明涉及通信技術領域，尤其涉及協商業務承載隧道的方法、設備及系統。

背景技術

IKE(Internet?Key?Exchange，互聯網密鑰交換)協議是IPSec(Internet?Protocol?Security，互聯網協議安全)實現中的首選密鑰交換協議，新版的IKEv2(IKE?version?2，互聯網密鑰交換版本2)協議保留了傳統IKE的基本功能，并針對IKE研究過程中發現的問題進行修訂，同時兼顧簡潔性、高效性、安全性和健壯性的需要。通過核心功能和默認密碼算法的最小化規定，IKEv2協議極大地提高了不同IPsec系統的互操作性。

IKEv2的協商過程如下：

IKEv2建立一對IPSec_SA(Security?Association，安全聯盟)，正常情況使用兩次交換4條消息就可以完成一個IKE_SA和一對IPSec_SA的協商建立，如果要求建立的IPSec_SA大于一對時，每一對IPSec_SA只需額外增加一次交換，也就是2條消息就可以完成。IKEv2定義了三種交互：初始交互(Initial?Exchanges)、創建子SA交互(CREATE_CHILD_SA?Exchange)以及信息交互(INFORMATIONAL?Exchange)。

另一方面，由于NAT(Network?Address?Translation，網絡地址轉換)，包括PAT(Port?AddressTranslation，端口地址轉換)，在目前網絡中應用非常廣泛，當通信鏈路中存在NAT設備時，IPSec-NAT穿越需使用UDP(UserDatagram?Protocol，用戶數據報協議)傳輸，因此在IKEv2初始交互階段協商中需要先探測是否存在NAT設備，也就是進行NAT探測。

為了探測通信鏈路中是否存在NAT設備，可在協商雙方增加兩個Notify(通報)載荷，其中的一個Notify載荷包括NAT_DETECTION_SOURCE_IP(NAT探測源IP地址)，標識發起方的IP地址；另一個Notify載荷包括NAT_DETECTION_DESTINATION_IP(NAT探測目的IP地址)，標識接收方(目的方)的IP地址。這一過程在IKEv2協商的IKE_SA_INIT階段中進行，其中，前述兩個Notify載荷：NAT_DETECTION_SOURCE_IP和NAT_DETECTION_DESTINATION_IP主要是為了探測通信雙方是否存在NAT設備，并且確定哪一方處在NAT設備之后。在IKEv2中，NAT_DETECTION_SOURCE_IP和NAT_DETECTION_DESTINATION_IP在Notify消息類型中的編號分別為：16388和16389。載荷使用通用的ISAKMP載荷頭，載荷的值是hash值(IKEv2規定使用SHA-1)，hash值的計算如下：

hash＝SHA-1(SPIs|IP|Port)

其中，SPIs為HDR載荷中的SPI(Security?Parameter?Index，安全參數索引)；IP為數據包發出方或接受方的IP地址；Port為數據包發出方或接受方的端口號。

當響應方收到數據包后，對數據包中的SPIs、IP地址、端口號進行hash運算，并與本地存儲的Notify載荷進行比較，如果不匹配，則說明通信鏈路中存在NAT設備。如果與NAT_DETECTION_SOURCE_IP不匹配，則說明發起方在NAT設備之后；如果與NAT_DETECTION_DESTINATION_IP不匹配，則說明響應方在NAT設備之后。

現有技術中至少存在如下不足：

所協商的承載業務的IPSec隧道為加密隧道，通過該加密隧道進行業務承載時，要求對用戶數據流進行不同算法的加解密處理和/或一致性檢查，將增大報文的傳輸時延，對用戶設備和分組網關設備的處理能力要求高，設備成本高。

發明內容

本發明實施例提供一種協商業務承載隧道的方法，用以協商業務承載隧道，該方法包括：

接收互聯網密鑰交換認證請求，所述互聯網密鑰交換認證請求攜帶用戶設備支持的非加密隧道的信息；

在業務的安全級別低于預設級別時，根據所述用戶設備支持的非加密隧道的信息，從所述用戶設備支持的非加密隧道中選擇承載所述業務的非加密隧道；

發送互聯網密鑰交換認證應答，所述互聯網密鑰交換認證應答攜帶承載所述業務的非加密隧道的信息。

本發明實施例還提供一種協商業務承載隧道的方法，用以協商業務承載隧道，該方法包括：