[发明专利]接入网关实现负荷分担的方法和装置

说明书

技术领域

本发明涉及网络领域，尤其涉及一种接入网关实现负荷分担的方法和装置。

背景技术

目前，IPsec(IP安全)隧道两端通过共享密钥对IP(Internet Protocol，网络之间互连的协议，简称网协)报文提供私密性、完整性、访问控制以及数据源认证服务。共享密钥的建立可以手工建立，也可以通过协商方式自动建立。在RFC2407、RFC2408和RFC2409中定义了一种密钥协商机制——IKE(Internet Key Exchange，因特网密钥交换)协议。

根据IKE协议，初始交互(INITIAL)建立了IKE_SA(因特网密钥交换安全联盟)和第一个CHILD_SA(子安全联盟)，即IPsec SA(IPSec安全联盟)，过程如图1所示。它由四条消息组成：前两条消息为IKE_SA_INIT(隧道认证)交互，主要用于协商加密算法、交换nonce(随机数)值并完成D-H(Diffie-Hellman，棣弗-赫尔曼)密钥交换，从而计算生成用于加密和完整性验证的后续交互密钥材料；后两条消息为IKE_SA_AUTH(隧道认证)交互，用于验证前两条消息、交换身份信息和证书(可选)，同时采用预共享密钥或数字签名方式进行身份认证，从而建立IKE_SA和第一个CHILD_SA。

目前，IKE、ESP(Encapsulating Security Payload，封装安全净荷)和AH(AuthenticationHeader，认证头)安全关联所用到的密钥材料是具有一定时间限制和保护数据多少的限制。一旦SA(Security Association，安全联盟)过期，必须停止使用。如果需要继续连接的话，双方可以协商建立一个新的SA。用重新建立的SA来代替已经过期的SA就是此处的重协商。通常，具体实现应在一个已经存在的IKE_SA基础上重协商CHILD_SA，并且删除掉旧的CHILD_SA；也可以和通信对等方一起重协商一个IKE_SA，并继承一切以旧IKE_SA为基础创建的CHILD_SA，接管对所有消息的控制，并删除旧的IKE_SA，新的SA在旧的SA因过期而不可使用之前建立。

发明人在实现上述协议过程中发现，在现有接入网关具有多业务处理模块时，接入网关也无法将不同UE的隧道认证消息均匀的分发到对应的业务处理模块来实现负荷分担。

发明内容

本发明实施例提供一种接入网关实现负荷分担的方法和装置，以解决在分布式系统中，UE发起首次附着时，接入网关无法实现均匀的负荷分担，UE发起隧道重协商时，接入网关无法将UE分发到上一次附着所在的业务处理模块上的问题。

一方面，本发明实施例提供一种接入网关实现负荷分担的方法，所述方法包括：

接收用户终端发送的包含COOKIE(缓存)信息的IPsec(网协安全)隧道认证请求消息；

根据所述COOKIE信息确定用户终端要分发的业务处理模块，将所述隧道认证请求消息发送到所述业务处理模块；

向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息，所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。

另一方面，本发明实施例提供一种接入网关，所述接入网关包括：

接收单元，用于接收用户终端发送的包含COOKIE(缓存)信息的IPsec(网协安全)隧道认证请求消息；

分发单元，用于根据所述COOKIE信息确定用户终端要分发的业务处理模块，将所述隧道认证请求消息发送到所述业务处理模块；

发送单元，用于向所述用户终端返回所述业务处理模块构建的IPsec隧道认证应答消息，所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。

再一方面，本发明实施例还提供一种用户终端，所述用户终端包括：

生成单元，用于在有业务处理模块的标识时，使用所述业务处理模块的标识生成COOKIE信息，在没有业务处理模块的标识时，使用分布性的非安全相关标识生成COOKIE信息；

发送单元，用于向接入网关发送包含所述COOKIE信息的IPsec隧道认证请求消息，以便所述接入网关将所述用户终端分发到相应的业务处理模块；

接收单元，用于接收所述接入网关返回的所述业务处理模块构建的IPsec隧道认证应答消息，所述IPsec隧道认证应答消息中包含所述用户终端被分发的业务处理模块的标识。