[发明专利]通信隧道端点地址分离方法、终端、ePDG及存储介质

权利要求书

1.一种通信隧道端点地址分离方法，其特征在于，所述通信隧道端点地址分离方法包括以下步骤：

当演进的分组数据网关ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立因特网密钥交换IKE安全联盟SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端;

所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立因特网协议安全IPSec SA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSec SA隧道的建立；所述第二响应消息中的因特网协议安全_安全管理_地址_响应者通知载荷携带有所述ePDG的IPSec SA隧道端点地址；

其中，所述第二请求消息的控制面用户面_分离_支持通知载荷中携带有分离标识，表示所述终端支持所述ePDG的IKE SA隧道和IPSec SA隧道的端点地址分离；所述第二请求消息的因特网协议安全_安全管理_地址_发起者通知载荷中携带有所述终端的IPSec SA隧道端点地址。

2. 如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKE SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤包括：

当所述ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息与所述终端协商密钥参数，并与所述终端交换随机数和迪菲-赫尔曼Diffie-Hellman值，以建立IKE SA隧道；

所述ePDG根据所述密钥参数，以及交换后的随机数和Diffie-Hellman值生成第一响应消息，并将所述第一响应消息发送给所述终端。

3. 如权利要求2所述的通信隧道端点地址分离方法，其特征在于，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSec SA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端，以完成IPSec SA隧道的建立的步骤包括：

当所述ePDG接收到所述终端发送的采用密钥参数对应加密算法加密后的所述第二请求消息时，所述ePDG采用与所述加密算法对应的解密算法解密加密后的所述第二请求消息，得到第二请求消息对应的明文信息，并将所述明文信息发送给认证授权计费服务器；

所述ePDG接收所述认证授权计费服务器发送的根据所述明文信息认证所述终端所得的认证结果，并根据所述认证结果生成第二响应消息，加密所述第二响应消息，将加密后的所述第二响应消息返回给所述终端。

4. 如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述ePDG接收所述终端发送的第二请求消息，根据所述第二请求消息建立IPSec SA隧道，并生成与所述第二请求消息对应的第二响应消息，将所述第二响应消息返回给所述终端的步骤之后，还包括：

当所述ePDG接收到所述终端发送的加密后的因特网协议安全数据时，解密所述因特网协议安全数据，并将解密后的所述因特网协议安全数据发送给分组数据网网关PGW；

所述ePDG接收所述PGW响应所述因特网协议安全数据后发送的响应数据，并将所述响应数据发送给所述终端，以实现所述终端和所述PGW之间的数据交互。

5. 如权利要求1所述的通信隧道端点地址分离方法，其特征在于，所述当ePDG接收到终端发送的第一请求消息时，根据所述第一请求消息建立IKE SA隧道，并生成与所述第一请求消息对应的第一响应消息，返回给所述终端的步骤包括：

当所述ePDG接收到所述终端使用本地网络之间互连的协议IP地址作为源地址发送的第一请求消息时，所述ePDG根据所述第一请求消息建立IKE SA隧道，并生成与所述第一请求消息对应的第一响应消息；

所述ePDG使用ePDG侧的IKE SA隧道端点地址作为源地址向所述终端的本地IP地址发送所述第一响应消息。