技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)層安全(SecurityArchitecture?for?IP?network，IPSec)隧道共用方法、系統(tǒng)及設(shè)備。

背景技術(shù)

IPSec是一種由因特網(wǎng)工程任務(wù)組(Internet?Engineering?Task?Force，IETF)設(shè)計(jì)的端到端的確保網(wǎng)絡(luò)(Internet?Protocol，IP)層通信安全(保密性、完整性、真實(shí)性)的機(jī)制。為確保通信雙方也即兩個(gè)獨(dú)立的網(wǎng)元的IP數(shù)據(jù)包的安全性，兩個(gè)獨(dú)立的網(wǎng)元之間可以建立IPSec隧道，則所述兩個(gè)獨(dú)立的網(wǎng)元交互的IP數(shù)據(jù)包就可以在已建立的IPSec隧道中傳輸，以避免IP數(shù)據(jù)包在傳送中受到攔截、偽造和篡改。

兩個(gè)獨(dú)立的網(wǎng)元即第一網(wǎng)元和第二網(wǎng)元之間建立IPSec隧道的具體過程為：已安裝IPSec引擎的第一網(wǎng)元啟動(dòng)所述IPSec引擎，通知其上的因特網(wǎng)密鑰交換(Internet?Key?Exchange，IKE)向第二網(wǎng)元發(fā)起安全協(xié)商，安裝IPSec引擎的第二網(wǎng)元上的IKE收到安全協(xié)商通知，和第一網(wǎng)元進(jìn)行第一階段協(xié)商建立用于保證第二階段的協(xié)商安全的安全聯(lián)盟(Security?Association，SA)，此階段的SA是通過IKE建立的，故也稱為IKE?SA，然后所述第一網(wǎng)元與所述第二網(wǎng)元進(jìn)行第二階段協(xié)商建立IPSec?SA。兩個(gè)獨(dú)立的網(wǎng)元經(jīng)過上述兩個(gè)階段協(xié)商建立IPSec隧道之后，就可以利用所述IPSec隧道實(shí)現(xiàn)IP數(shù)據(jù)包的安全傳送。若與第一網(wǎng)元處于同一局域網(wǎng)的第三網(wǎng)元需要與所述第二網(wǎng)元進(jìn)行安全通信，則需與第二網(wǎng)元經(jīng)過上述兩個(gè)階段的協(xié)商建立屬于所述第三網(wǎng)元和所述第二網(wǎng)元之間的IPSec隧道。

例如，在主要由家庭基站(Home?NodeB，HNB)業(yè)務(wù)設(shè)備、家庭基站網(wǎng)關(guān)(Home?NodeB?Gate?Way，HNB-GW)和用戶終端(User?Equipment，UE)構(gòu)成的微蜂窩(Femto?cell)系統(tǒng)中，為了提高網(wǎng)絡(luò)的安全性能，在HNB業(yè)務(wù)設(shè)備與HNB-GW之間的邏輯接口即Iuh接口引入了IPSec協(xié)議，并在邏輯上，在HNB業(yè)務(wù)設(shè)備與HNB-GW之間增加了一個(gè)安全網(wǎng)關(guān)(Security?GateWay，Se-GW)設(shè)備(Se-GW設(shè)備邏輯上是一個(gè)實(shí)體，在實(shí)際實(shí)施中，可以作為一個(gè)單獨(dú)的物理設(shè)備，也可以整合在HNB-GW中)，由HNB業(yè)務(wù)設(shè)備與Se-GW設(shè)備進(jìn)行上述兩個(gè)階段的協(xié)商，建立IPSec隧道。

在現(xiàn)有的通信系統(tǒng)中，部署了大量的網(wǎng)元，可以根據(jù)實(shí)際的傳輸需求，在兩兩網(wǎng)元之間建立IPSec隧道進(jìn)行安全傳輸，但是，若在任意兩個(gè)網(wǎng)元之間都建立IPSec隧道，則會(huì)導(dǎo)致網(wǎng)絡(luò)資源的較大消耗。

仍以上述微蜂窩系統(tǒng)為例，在HNB業(yè)務(wù)設(shè)備與Se-GW之間建立IPSec隧道的同時(shí)，與HNB業(yè)務(wù)設(shè)備位于同一局域網(wǎng)的操作維護(hù)平臺(tái)(OperationAdministration?Maintenance，OAM)設(shè)備，為實(shí)現(xiàn)對(duì)HNB業(yè)務(wù)設(shè)備進(jìn)行安全的小區(qū)參數(shù)配置、軟件升級(jí)、上傳性能文件以及遠(yuǎn)程操作等功能，OAM設(shè)備需要與連接在網(wǎng)管設(shè)備之前的Se-GW設(shè)備再建立OAM和Se-GW設(shè)備之間的一條IPSec隧道，這種在任意兩個(gè)網(wǎng)元之間建立IPSec隧道的方式，會(huì)明顯造成網(wǎng)絡(luò)資源的損耗。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種IPSec隧道共用方法、系統(tǒng)及設(shè)備，以解決現(xiàn)有技術(shù)中任意兩個(gè)網(wǎng)元之間建立IPSec隧道，造成網(wǎng)絡(luò)資源損耗較大的問題。

一種IPSec隧道共用系統(tǒng)，該系統(tǒng)包括：第一網(wǎng)元、第二網(wǎng)元和第三網(wǎng)元，第一網(wǎng)元與第二網(wǎng)元之間已經(jīng)建立有IPSec隧道，其中：

第一網(wǎng)元，用于接收第三網(wǎng)元發(fā)送的第一IP數(shù)據(jù)包，并利用所述IPSec隧道的私有IP地址替換所述第一IP數(shù)據(jù)包中的源地址，以及將替換源地址后的第一IP數(shù)據(jù)包通過所述IPSec隧道發(fā)送至第二網(wǎng)元；

第二網(wǎng)元，用于在接收到來自第一網(wǎng)元的第一IP數(shù)據(jù)包后，根據(jù)該第一IP數(shù)據(jù)包中的目的地址，發(fā)送所述第一IP數(shù)據(jù)包；

第三網(wǎng)元，用于生成并向第一網(wǎng)元發(fā)送第一IP數(shù)據(jù)包。

一種IPSec隧道共用方法，該方法包括：

第一網(wǎng)元接收第三網(wǎng)元發(fā)送的第一IP數(shù)據(jù)包；

第一網(wǎng)元利用與第二網(wǎng)元之間已建立的IPSec隧道的私有IP地址，替換所述第一IP數(shù)據(jù)包中的源地址，以及將替換源地址后的第一IP數(shù)據(jù)包通過所述IPSec隧道發(fā)送至第二網(wǎng)元，并指示第二網(wǎng)元根據(jù)第一IP數(shù)據(jù)包中的目的地址，發(fā)送所述第一IP數(shù)據(jù)包。