[发明专利]一种IPSec隧道共用方法、系统及设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种网络层安全(SecurityArchitecture for IP network，IPSec)隧道共用方法、系统及设备。

背景技术

IPSec是一种由因特网工程任务组(Internet Engineering Task Force，IETF)设计的端到端的确保网络(Internet Protocol，IP)层通信安全(保密性、完整性、真实性)的机制。为确保通信双方也即两个独立的网元的IP数据包的安全性，两个独立的网元之间可以建立IPSec隧道，则所述两个独立的网元交互的IP数据包就可以在已建立的IPSec隧道中传输，以避免IP数据包在传送中受到拦截、伪造和篡改。

两个独立的网元即第一网元和第二网元之间建立IPSec隧道的具体过程为：已安装IPSec引擎的第一网元启动所述IPSec引擎，通知其上的因特网密钥交换(Internet Key Exchange，IKE)向第二网元发起安全协商，安装IPSec引擎的第二网元上的IKE收到安全协商通知，和第一网元进行第一阶段协商建立用于保证第二阶段的协商安全的安全联盟(Security Association，SA)，此阶段的SA是通过IKE建立的，故也称为IKE SA，然后所述第一网元与所述第二网元进行第二阶段协商建立IPSec SA。两个独立的网元经过上述两个阶段协商建立IPSec隧道之后，就可以利用所述IPSec隧道实现IP数据包的安全传送。若与第一网元处于同一局域网的第三网元需要与所述第二网元进行安全通信，则需与第二网元经过上述两个阶段的协商建立属于所述第三网元和所述第二网元之间的IPSec隧道。

例如，在主要由家庭基站(Home NodeB，HNB)业务设备、家庭基站网关(Home NodeB Gate Way，HNB-GW)和用户终端(User Equipment，UE)构成的微蜂窝(Femto cell)系统中，为了提高网络的安全性能，在HNB业务设备与HNB-GW之间的逻辑接口即Iuh接口引入了IPSec协议，并在逻辑上，在HNB业务设备与HNB-GW之间增加了一个安全网关(Security GateWay，Se-GW)设备(Se-GW设备逻辑上是一个实体，在实际实施中，可以作为一个单独的物理设备，也可以整合在HNB-GW中)，由HNB业务设备与Se-GW设备进行上述两个阶段的协商，建立IPSec隧道。

在现有的通信系统中，部署了大量的网元，可以根据实际的传输需求，在两两网元之间建立IPSec隧道进行安全传输，但是，若在任意两个网元之间都建立IPSec隧道，则会导致网络资源的较大消耗。

仍以上述微蜂窝系统为例，在HNB业务设备与Se-GW之间建立IPSec隧道的同时，与HNB业务设备位于同一局域网的操作维护平台(OperationAdministration Maintenance，OAM)设备，为实现对HNB业务设备进行安全的小区参数配置、软件升级、上传性能文件以及远程操作等功能，OAM设备需要与连接在网管设备之前的Se-GW设备再建立OAM和Se-GW设备之间的一条IPSec隧道，这种在任意两个网元之间建立IPSec隧道的方式，会明显造成网络资源的损耗。

发明内容

本发明实施例提供一种IPSec隧道共用方法、系统及设备，以解决现有技术中任意两个网元之间建立IPSec隧道，造成网络资源损耗较大的问题。

一种IPSec隧道共用系统，该系统包括：第一网元、第二网元和第三网元，第一网元与第二网元之间已经建立有IPSec隧道，其中：

第一网元，用于接收第三网元发送的第一IP数据包，并利用所述IPSec隧道的私有IP地址替换所述第一IP数据包中的源地址，以及将替换源地址后的第一IP数据包通过所述IPSec隧道发送至第二网元；

第二网元，用于在接收到来自第一网元的第一IP数据包后，根据该第一IP数据包中的目的地址，发送所述第一IP数据包；

第三网元，用于生成并向第一网元发送第一IP数据包。

一种IPSec隧道共用方法，该方法包括：

第一网元接收第三网元发送的第一IP数据包；

第一网元利用与第二网元之间已建立的IPSec隧道的私有IP地址，替换所述第一IP数据包中的源地址，以及将替换源地址后的第一IP数据包通过所述IPSec隧道发送至第二网元，并指示第二网元根据第一IP数据包中的目的地址，发送所述第一IP数据包。