[发明专利]隧道建立的方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种的隧道建立的方法及装置。

背景技术

VPN(Virtual Private Network，虚拟私有网络)是随着互联网的广泛应用而迅速发展起来的一种新技术，实现了在公共网络上构建私人专用网络。VPN能与底层承载网络之间保持资源独立性，即在一般情况下某个VPN资源不会被承载网络中的非该VPN的网络成员使用，确保VPN内部的信息不受外部的侵扰。

GRE(Generic Routing Encapsulation，通用路由封装)技术是VPN的一种实现技术。GRE协议是VPN(Virtual Private Network，虚拟私有网络)的第三层隧道协议，通过构建GRE隧道向用户提供VPN业务。

参见图1，为采用GRE技术的VPN组网结构示意图。图1中，LAN(LocalArea Network，据域网)A通过节点A连接公共网络；局域网B通过节点B连接公共网络，节点A和节点B可以为网关或路由器设备，节点A和节点B在公共网络中建立的GRE隧道，从而为局域网A和局域网B的用户提供VPN业务。

为了在节点A和节点B间构建GRE隧道，节点A和节点B需要分别配置该GRE隧道的IP(Internet Protocol，因特网协议)地址组。例如，节点A的IP地址为192.10.1.10，节点B的IP地址为202.18.4.10。则节点A需要在本地配置该GRE隧道的IP地址组为(192.10.1.10，202.18.4.10)，节点B需要在本地配置该GRE隧道的IP地址组为(202.18.4.10，192.10.1.10)。位于括号前端的IP地址为源节点的IP地址，即源IP地址；位于括号后端的IP地址为目的节点的IP地址，即目的IP地址。当节点A或节点B需要通过GRE隧道发送数据报文时，则使用本地配置的GRE隧道IP地址组对数据报文进行封装，然后通过GRE隧道将封装后的报文发送给对端节点。

由此可见，GRE隧道两端的节点设备需要获取对端设备的IP地址，才能与对端设备建立GRE隧道，在通常情况下，GRE隧道两端的节点设备在部署进入网络的时候都可以自动获取网络中其它节点设备的IP地址，但是，在一些特殊的组网方式下，例如HUB-SPOKE(星形)组网方式下，分支节点进入网络后可以自动获取中心节点的IP地址，但是中心节点无法自动获取分支节点的IP地址，若此时分支节点需要与中心节点建立GRE隧道，则需要将自身的IP地址告知中心节点，从而最终与中心节点建立GRE隧道。现有技术中提出，分支节点主动可以向中心节点发送报文信息，报文信息中携带分支节点的IP地址，这样，中心节点就可以根据该报文获知分支节点的IP地址了。结合现有技术中的PAP(Password Authentication Protocol，口令验证协议)认证机制或CHAP(Challenge Handshake Authentication Protocol，质询握手协议)认证机制，中心节点在收到分支节点的报文后可以对分支节点的身份进行认证，若认证通过，中心节点才会与分支节点建立GRE隧道，从而防止非法分支节点的接入。但是，分支节点却缺乏对中心节点的认证手段，若非法节点截获到分支节点发送的报文信息，可能会冒充中心节点强行与分支节点建立GRE隧道，从而对分支节点的自身的安全造成威胁。

发明内容

发明提供了一种隧道建立的方法和装置，保证了分支节点的数据安全。

本发明提供了一种隧道建立的方法，应用于包括分支节点和中心节点的系统中，所述方法包括以下步骤：

所述中心节点接收来自所述分支节点的隧道建立请求，所述隧道建立请求中包含所述分支节点的身份信息和IP地址；

所述中心节点根据所述分支节点的身份信息和IP地址生成唯一标识码；

所述中心节点向所述分支节点发送包含所述唯一标识码的身份认证请求，使所述分支节点根据所述唯一标识码对所述中心节点的合法性进行判断，若判断结果为所述中心节点合法，所述分支节点根据所述身份认证请求生成身份认证响应，并向所述中心节点发送所述身份认证响应；

所述中心节点根据所述身份认证响应判断所述分支节点是否合法，若判断结果为所述分支节点合法，根据所述分支节点的IP地址与所述分支节点建立GRE隧道。

其中，所述分支节点根据所述唯一标识码对所述中心节点的合法性进行判断包括：