CN101005495A - 一种在通讯系统中保障信息安全的处理方法 - Google Patents
一种在通讯系统中保障信息安全的处理方法 Download PDFInfo
- Publication number
- CN101005495A CN101005495A CN 200610066032 CN200610066032A CN101005495A CN 101005495 A CN101005495 A CN 101005495A CN 200610066032 CN200610066032 CN 200610066032 CN 200610066032 A CN200610066032 A CN 200610066032A CN 101005495 A CN101005495 A CN 101005495A
- Authority
- CN
- China
- Prior art keywords
- terminal
- secure tunnel
- core net
- access network
- net gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种在通讯系统中保障信息安全的处理方法,适用于核心网网关和终端间通过安全隧道传输信息以保障信息安全的通讯系统,包括:a、在终端进入非激活状态时,触发删除终端与接入网间的数据通道;b、核心网网关在给终端下发信息时,通知接入网建立与该终端间的数据通道,将所述信息通过核心网网关与终端间的安全隧道下发给终端。本发明可以实现在终端进入非激活状态下,既避免空口资源浪费,又可缩短向终端下发下行数据包的时间。
Description
技术领域
本发明涉及通讯系统中的信息安全保障技术,尤其涉及通讯系统的核心网网关和终端间通过安全隧道传输信息以保障信息安全的处理方法。
背景技术
当前,通讯领域的网络主要分为接入网和核心网。接入网包括多种,例如无线局域网(WLAN,Wireless Local Area Network),全球微波接入互操作性(WiMax,World Interoperability for Microwave Access)网络等等;核心网已发展到第三代,例如3GPP核心网。各种接入网与核心网融合时的各种问题已经成为业界关注的对象。
WLAN/WiMax和3GPP的融合架构希望能通过WLAN/WiMax的接入网络(Access Network)访问现有的3GPP的核心网的业务。
3GGP已经定义了和WLAN的融合架构。图1为WLAN和3GPP的融合架构图。参见图1,WLAN终端(UE)通过WLAN接入网访问内部网/因特网(Intranet/Internet)和3GPP归属网络(HOME Network)即核心网,3GPP归属网络中包括签约定位器功能(SLF)、归属用户服务器(HSS)、归属位置寄存器(HLR)、脱机计费系统(Offline Charging System)、3GPP认证/授权/计费(AAA,Authentication,Authorization,and Accounting)服务器、开放业务架构能力服务器(OCS)、以及3GPP IP接入部分,3GPP IP接入部分包括WLAN接入网关(WAG,WLAN Access Gateway)和分组数据网关(PDG,Packet Data Gateway)。WLAN接入网通过Wa接口与3GPP AAA服务器通信,通过Wn接口与WAG通信,WLAN终端通过Wu接口与PDG通信。
为了与3GGP和无线接入网的融合架构保持一致,WiMax和3GPP的融合架构也要采取与WLAN和3GPP的融合架构同样的模型。图2为WiMax和3GPP的融合架构图。参见图2,终端(MS)通过WiMax接入网接入3GPP归属网络,WiMax接入网中包括WiMAX的接入服务网络(ASN,AccessService Network),和连接服务网络(CSN)的互通单元(IWU,InterWorkingUnit))。MS通过WiMAX ASN的AAA代理以及WiMAX CSM IWU中的AAA中继连接到3GPP AAA服务器。与WLAN相同,WiMAX接入网通过Wa接口与3GPP AAA服务器通信,通过Wn接口与WAG通信,MS通过Wu接口与PDG通信。
上述现有技术的架构使3GPP的网络允许自己的授权用户通过WLAN/WiMax接入网络访问现有的3GPP核心网分组域(PS)的业务。从3GPP的角度来看认为WLAN/WiMAX是不信任的网络。为了保证安全,3GPP AAA服务器和WLAN/WiMAX接入网络之间必须存在信任的关系来传输认证、授权和计费的信息。同时3GPP选择了在网关(PDG)和终端之间通过基于IP安全协议(IPSec)的安全隧道(本文中将IPSec安全隧道简称为安全隧道)来解决安全问题。
下面以WLAN和3GPP融合方案中的相关流程为例对现有的保证信息安全的方案进行说明。
首先介绍利用WLAN接入点名称(W-APN)的解析建立安全隧道的过程。图3为UE在用W-APN选择PDG和发起安全隧道建立过程的示意图。参见图3,在WLAN和3GPP的融合网络中,UE发起的安全隧道建立是通过解析W-APN来找到PDG的。具体过程如下:
步骤31、分配UE的本地地址,根据需要选择对WLAN接入网(WLANAN)的鉴权和授权。
步骤32、根据内部的配置,UE通过解析W-APN选择一个拜访网络的PDG以建立UE与该PDG之间的安全隧道。具体过程参见步骤321~步骤324。
步骤321、UE用W-APN的网络标识符和拜访公共陆地移动网络(PLMN)的标识符组成一个正式的域名,并到DNS中解析该域名;DNS的响应中包含一个或者多个支持所述W-APN的PDG的IP地址。
步骤322、UE选择一个PDG并发起端到端的安全隧道建立。
步骤323、在安全隧道的建立过程中PDG通过3GPP AAA Proxy访问3GPPAAA Server对UE进行认证授权,并得到在安全隧道建立过程中相互认证所需要的信息;如果相互认证成功3GPP AAA Server就会把自己注册在HSS中;如果UE不能通过拜访的PDG访问网络3GPP AAA Server则会发送拒绝消息给该PDG,那么建立安全隧道就会失败;如果UE从步骤321中得到的PDG建立安全隧道全都失败,则执行步骤33。
步骤324、在安全隧道的建立过程中PDG和WAG通过3GPP AAA Proxy相互交换信息,以便建立一个过滤策略,只允许安全隧道的上行数据包发送到PDG。
步骤33、根据内部配置或者由于步骤321或者步骤323的失败,UE通过解析W_APN建立与归属网络的PDG之间的安全隧道。具体过程包括以下步骤331至步骤334:
步骤331、UE用W-APN的网络标识符和归属PLMN的标识符组成一个正式的域名,并到DNS中解析该域名;DNS在返回的响应中包含一个或者多个支持所述W-APN的PDG的IP地址。
步骤332、UE选择一个PDG并发起端到端的安全隧道建立。
步骤333、在安全隧道的建立过程中PDG访问3GPP AAA Server对UE进行认证授权,并得到在安全隧道建立过程中相互认证所需要的信息;如果相互认证成功3GPP AAA Server就会把自己注册在HSS中;如果UE不能通过拜访的PDG访问网络3GPP AAA Server就会发拒绝消息给PDG,那么建立安全隧道会被归属的PDG拒绝。
步骤334、在安全隧道的建立过程中PDG和WAG通过3GPP AAA Server相互交换信息,以便建立一个过滤策略,只允许安全隧道的上行数据包发送到PDG。
其次,介绍安全隧道的删除流程。在3GPP的23234-IWLAN系统描述(System description)的协议中公开了当业务结束的时候删除PDG和UE之间的安全隧道的详细流程,分别有WLAN AN触发的删除安全隧道和UE触发的删除安全隧道两种情况。图4为由WLAN AN触发的删除安全隧道过程的流程图。参见图4,该流程包括:
步骤41、WLAN AN检测到应该结束UE的会话则触发删除安全隧道的过程。例如WLAN AN检测到UE已经移动到这个AN覆盖范围以外了。
步骤42、WLAN AN向3GPP AAA Server/Proxy发起中止会话消息。
步骤43、如果UE和PDG之间有一个或者多个安全隧道而且3GPP AAAServer需要删除这些安全隧道,3GPP AAA Server通知PDG并释放相应的资源。
步骤44、如果需要,则3GPP AAA Server删除和WAG之间的相关的过滤策略。
步骤45、3GPP AAA Server决定删除UE的信息并通知HSS删除3GPPAAA Server在HSS的注册信息。
图5为UE触发的删除安全隧道流程的流程图。参见图5,其具体流程包括:
步骤51、终端进入非激活状态,则决定删除安全隧道,例如终端进入空闲(IDLE)状态,或者正常的会话结束。
步骤52、UE向PDG发送删除安全隧道请求(Release tunnel Request)消息。
步骤53、PDG收到删除请求以后回响应给UE,并且删除安全隧道和相关的信息;同时PDG向3GPP AAA Server发送删除安全隧道的报告。
步骤54、收到删除响应以后UE删除安全隧道并释放和安全隧道相关的信息。
步骤55a、3GPP AAA Server收到删除安全隧道的报告后更新UE的相关业务信息和状态信息;步骤55b、3GPP AAA Server删除和WAG之间的相关的过滤策略。
在上述现有的融合方案中,如果终端(例如WLAN终端、WiMAX终端)在保持附着在现有接入网情况下进入非激活状态,例如进入IDLE状态或者会话正常结束时,终端会删除与PDG之间的相应安全隧道,而PDG在收到删除请求后就会释放相应的资源和信息,即删除安全隧道的同时也删除了和安全隧道相关的信息(例如,终端的IP地址,PDG和终端相互认证的信息等)。这样虽然由于删除了安全隧道而节约了空口资源,但是,如果网络下发给终端的数据包到达PDG的时候,由于PDG没有任何关于终端的信息,则会延迟了PDG与终端间的通讯,甚至在PDG找不到终端的情况下,会丢弃这个数据包导致数据丢失。
发明内容
有鉴于此,本发明的主要目的在于提供一种通讯系统中保障信息安全的处理方法,以实现在终端进入非激活状态下,既避免空口资源浪费,又可缩短向终端下发下行数据包的时间。
为了实现上述发明目的,本发明的主要技术方案为:
一种在通讯系统中保障信息安全的处理方法,适用于核心网网关和终端间通过安全隧道传输信息以保障信息安全的通讯系统,包括:
a、在终端进入非激活状态时,触发删除终端与接入网间的数据通道;
b、核心网网关在给终端下发信息时,通知接入网建立与该终端间的数据通道,将所述信息通过核心网网关与终端间的安全隧道下发给终端。
优选地,所述下发的信息为网络侧给终端的下行数据包,且所述步骤b具体包括:
b1、核心网网关收到网络侧向终端下发的下行数据包;
b2、核心网网关通知接入网建立所述下行数据包的目的终端与接入网间的数据通道;
b3、接入网建立与所述终端间的数据通道;
b4、核心网网关通过自身与该终端间的安全隧道下发所述下行数据包到该终端。
优选地,所述步骤b2与步骤b3之间,进一步包括:
b21、接入网判断所述下行数据包的目标终端是否处于空闲状态,如果是则执行步骤b22,否则,执行步骤b3;
b22、接入网对所述终端进行寻呼,使其重新回到激活状态,执行步骤b3。
优选地,所述下发的信息为核心网网关决定发起的安全隧道刷新请求,所述步骤b具体包括:
b1`、核心网网关决定向终端下发的安全隧道刷新请求;
b2`、核心网网关通知接入网建立所述安全隧道刷新请求中所标记终端与接入网间的数据通道;
b3`、接入网建立与所述终端间的数据通道;
b4`、核心网网关通过自身与该终端间的安全隧道下发所述安全隧道刷新请求到该终端;
b5`、终端收到后对核心网网关与该终端间的安全隧道进行刷新操作。
优选地,所述步骤b2`与步骤b3`之间,进一步包括:
b21`、接入网判断安全隧道刷新请求所标记的终端是否处于空闲状态,如果是则执行步骤b22`,否则,执行步骤b3`;
b22`、接入网对终端进行寻呼,使终端重新回到激活状态,执行步骤b3`。
优选地,所述下发的信息为网络侧给终端的下行数据包,且:
步骤A中,在终端进入非激活状态时,进一步包括:触发删除核心网网关与终端间的安全隧道,且核心网网关在删除与终端间的安全隧道时保存建立该安全隧道所需的信息;
步骤B中,当核心网网关收到网络发送给终端的下行数据包时,进一步包括:根据所保存的信息触发新建立核心网网关和终端之间的安全隧道,再将数据包通过该安全隧道下发给终端。
优选地,所述步骤A具体包括:
A1、终端进入非激活状态时触发删除所述数据通道和安全隧道;
A2、终端发送删除安全隧道的请求消息到核心网网关;
A3、核心网网关收到删除请求消息后,返回删除响应给终端,删除与该终端之间的安全隧道,但保存建立与该终端间安全隧道所需要的信息;核心网网关还向该核心网的认证/授权/计费AAA服务器发送删除安全隧道的报告;
A4、收到删除响应的终端删除所述安全隧道和并通知接入网删除数据通道,并释放和该安全隧道与数据通道相关的信息;收到删除安全隧道报告的AAA服务器更新终端的相关信息,并且删除与接入网接入网关之间该安全隧道相关的过滤策略。
优选地,所述步骤B具体包括:
B1、核心网网关收到网络侧向终端下发的下行数据包;
B2、核心网网关检查自身与该下行数据包中目的终端间的安全隧道是否存在,如果存在则通知接入网建立与该终端间的数据通道,执行步骤B6,否则执行步骤B3;
B3、核心网网关提取所保存的建立所述安全隧道所必需的信息,发起建立安全隧道的请求到接入网络,该请求中携带所提取出的建立该安全隧道必需的信息;
B4、接入网建立与所述终端间的数据通道,通过该数据通道继续下发建立安全隧道的请求到终端;
B5、终端与核心网网关之间根据所述建立安全隧道请求中的信息进行交互以建立该安全隧道;
B6、核心网网关通过与所述终端间的安全隧道把所述下行数据包下发给终端。
优选地,所述建立安全隧道所需的信息中包括安全策略库;所述步骤B1和步骤B2之间进一步包括:所述核心网网关根据所述安全策略库检查是否要对所述下行数据包进行安全处理,如果需要,则执行步骤B2;如果不需要,则通知接入网建立与所述终端间的数据通道,将所述下行数据包直接通过接入网下发给终端,结束本流程。
优选地,所述步骤B3与步骤B4之间,进一步包括:
B31、接入网判断建立安全隧道的请求中所标识的目标终端是否处于空闲状态,如果是执行步骤B32,否则,执行步骤B4;
B32、接入网对终端进行寻呼,使终端重新回到激活状态,执行步骤B4。
优选地,步骤B5和B6之间进一步包括:
B51、核心网网关向核心网的AAA服务器发送安全隧道建立成功的报告;
B52、核心网AAA服务器收到安全隧道建立成功的报告后更新所述终端的相关信息。
优选地,所述建立安全隧道所必需的信息至少包括:终端的地址,核心网网关与终端之间相互认证的信息。
优选地,所述根据所保存的建立安全隧道所必需的信息建立核心网网关和终端之间安全隧道的具体方法为:
终端和核心网网关协商创建一个因特网密钥交换协议IKE通信信道,并通过核心网网关与终端之间相互认证的信息对该IKE通信信道进行认证;使用已建立的IKE通信信道建立安全隧道的逻辑连接。
优选地,所述的安全隧道为基于IP安全协议的安全隧道。
优选地,所述非激活状态为正常的会话结束状态或者终端进入空闲模式状态。
优选地,所述的核心网为3GPP核心网,所述的核心网网关为分组数据网关。
优选地,所述的接入网为无线局域网,或者为全球微波接入互操作性网络。
由于本发明在终端进入非激活状态时,只删除终端与接入网间的数据通道,这样可以节约终端与接入网间的空口资源;当网络侧向终端下发下行数据包时,建立接入网与终端间的数据通道,而建立数据通道的时间比较短,因此可以向终端下发数据包的时间,更避免了现有技术由于PDG找不到终端而导致的数据包丢失问题。
本发明在终端进入非激活状态时,还可触发删除安全隧道的过程中,但是核心网的网关在删除与终端间的安全隧道时保存建立该安全隧道所需的信息,当网络下发给终端的下行数据包到核心网网关的时候,核心网网关可以利用所保存的建立安全隧道所需的信息找到终端,主动发起与终端间的安全隧道建立过程,最后通过所建立安全隧道将下行数据包下发给终端,从而缩短了数据包下发时间,避免了下行数据丢失。
另外,由于本发明的核心网网关(例如PDG)可以主动发起安全隧道的建立过程,因此增强了PDG的功能,加强了PDG灵活处理的能力。本发明还利用安全隧道的重建请求,触发接入网的寻呼功能,使得终端重新进入激活状态,实现了终端空闲状态下的被叫功能。
附图说明
图1为WLAN和3GPP的融合架构图;
图2为WiMax和3GPP的融合架构图;
图3为UE在用W-APN选择PDG和发起安全隧道建立过程的示意图;
图4为由WLAN AN触发的删除安全隧道过程的流程图;
图5为UE触发的删除安全隧道流程的流程图;
图6为本发明所述方法的流程图;
图7为本发明所述第一实施例当终端会话的正常结束或者终端进入Idle而引起的删除数据通道的流程图;
图8为本发明所述第一实施例分组数据网关下发下行数据包或安全隧道刷新请求给终端的流程图;
图9为本发明第二实施例所述当终端会话的正常结束或者终端进入Idle而引起的安全隧道删除流程的流程图;
图10为本发明第二实施例所述分组数据网关触发安全隧道建立过程的流程图。
具体实施方式
下面通过具体实施例和附图对本发明做进一步详细说明。
图6为本发明所述方法的流程图。参见图6,本发明为一种通讯系统中的信息安全处理方法,适用于核心网网关和终端间通过安全隧道传输信息以保证信息安全的通讯系统,包括:
步骤61、在终端进入非激活状态时,触发删除终端与接入网间的数据通道。
步骤62、核心网网关在给终端下发信息时,通知接入网建立与该终端间的数据通道,将所述信息通过核心网网关与终端间的安全隧道下发给终端。
本发明所述的接入网络可以为无线接入网络例如WLAN接入网络、WiMax接入网络,也可以为固定网络的接入网络,本文中以WLAN和WiMax为例进行说明。
在本发明中,如果是由于终端移动到本地网络的覆盖范围以外而引起的处理流程与上述现有技术中采用的方法相同,即图4所述的方法。但是,如果是由于终端会话的正常结束或者终端进入Idle而引起的处理方法则与现有技术的处理方法不同。
图7为本发明所述第一实施例当终端会话的正常结束或者终端进入Idle而引起的删除数据通道的流程图。参见图7:该流程包括:
步骤71、终端(本实施例可以为WiMax终端或WLAN终端等)由激活状态进入非激活状态,例如正常的会话结束或者终端进入Idle模式。
步骤72、终端发送删除数据通道请求到接入网。
步骤73、接收网删除所述终端与接入网间的数据通道,释放相关资源,并返回删除数据通道响应给终端。
通过上述第一实施例的处理,在终端进入菲激活状态,只删除终端与接入网的数据通道,但是并不删除终端与PDG之间的安全隧道,这样当网络侧向终端下发信息时,PDG只要通过接入网触发建立终端和接入网之间的数据通道即可正常通信。
图8为本发明所述第一实施例分组数据网关下发下行数据包或安全隧道刷新请求给终端的流程图。参见图8,该流程包括:
步骤81、PDG收到网络侧(3GPP AAA服务器)向终端下发的下行数据包或者PDG决定发起安全隧道刷新。
步骤82、PDG将下行数据包或安全隧道刷新请求发送给接入网,通知接入网建立所述下行数据包的目的终端或安全隧道刷新请求中所标记终端与接入网间的数据通道。
步骤83、接入网判断所述终端是否处于空闲状态,如果是则执行步骤84,否则,执行步骤85。
步骤84、接入网对所述终端进行寻呼,使其重新回到激活状态,执行步骤85。
上述步骤83和步骤84为可选步骤,也可在步骤82后直接执行步骤85。
步骤85、接入网建立与所述终端间的数据通道。
步骤86、PDG通过自身与该终端间的安全隧道下发所述下行数据包或安全隧道刷新请求到该终端。
如果终端收到安全隧道刷新请求,则对PDG与该终端间的安全隧道进行刷新操作。
在本发明的第二实施例中,所述步骤61在终端进入非激活状态时,进一步包括:触发删除核心网网关与终端间的安全隧道,且核心网网关在删除与终端间的安全隧道时保存建立该安全隧道所需的信息;步骤62中,当核心网网关收到网络发送给终端的下行数据包时,进一步包括:根据所保存的信息触发新建立核心网网关和终端之间的安全隧道,再将数据包通过该安全隧道下发给终端。
图9为本发明第二实施例所述当终端会话的正常结束或者终端进入Idle而引起的安全隧道删除流程的流程图。参见图9,该流程具体包括:
步骤91、终端(本实施例可以为WiMax终端或WLAN终端等)决定删除数据通道和安全隧道。此步骤的触发条件为终端由激活状态进入非激活状态,例如正常的会话结束或者终端进入Idle模式。
步骤92、终端向PDG发送删除安全隧道请求消息。
步骤93、PDG收到删除请求以后回响应给终端,删除与该终端之间的安全隧道,但保存下次主动建立与该终端间安全隧道所需要的相关信息,例如,终端的IP地址,PDG和终端相互认证的信息(包括生成公钥的材料信息),以及处于激活状态的安全策略库等信息;这些信息在原建立安全隧道时已经存在于PDG中,其中至少要保存所述终端地址信息和PDG与该终端相互认证的信息;同时PDG向3GPP AAA Server发送删除安全隧道的报告。
步骤94、收到删除响应的终端删除安全隧道,通知接入网删除本终端与接入网间的数据通道,并释放和安全隧道与数据通道相关的信息。
步骤95、3GPP AAA Server收到删除安全隧道的报告后更新UE的相关信息,例如业务信息和状态信息,将UE的状态设置为在网、非激活状态;并且删除和WAG之间的相关的过滤策略。
不管是基于什么样的安全隧道删除方式,当终端要进行3GPP PS业务的时候如果已经有安全隧道的存在,就可以直接通过安全隧道传送数据包。如果没有安全隧道存在,终端就要触发安全隧道建立的流程。当网络由数据包下发到PDG的时候,如果是基于上述图4所描述的删除流程网络认为终端已经移动到了自己的覆盖范围以外不会对数据包做任何处理直接丢弃。如果是基于上述图9安全隧道删除方式,因为在删除安全隧道的时候PDG删除了安全隧道但是保存有建立安全隧道所需的信息。所以PDG在收到网络下发的数据包的时候可以触发安全隧道的建立过程。
图10为本发明第二实施例所述分组数据网关触发安全隧道建立过程的流程图。参见图10,该流程具体包括:
步骤101、PDG收到网络侧向终端下发的下行数据包。
步骤102、PDG可检查是否要对对数据包进行IPSec安全处理;即查询所保存信息中的安全策略库,该策略库中预先记录着下行数据包的安全处理策略;
如果需要进行安全处理则检查该下行数据包所需要的相应安全隧道是否存在(即检查该下行数据包的目标终端与PDG之间是否存在安全隧道),如果安全隧道存在则通知接入网建立与该终端间的数据通道,执行步骤1011,否则执行步骤103;
如果不需要进行安全处理,则不进行安全处理过程,而是通知接入网建立与该终端间的数据通道,将所述数据包直接通过所述接入网下发给终端。
步骤103、PDG判定需要建立与所述目标终端之间的安全隧道,提取所保存的建立该安全隧道的相关信息,即所述步骤93所保存的信息,其中至少包括终端的IP地址,PDG和终端相互认证的信息等;PDG发起建立安全隧道的请求到接入网络,其请求中包括所提取出的建立该安全隧道所需的信息。
步骤104、接入网可判断所述终端是否处于Idle状态,如果是执行步骤105,否则,执行步骤106。
步骤105、接入网对终端进行寻呼,使得终端重新回到激活状态。
步骤106、建立终端与接入网的基本数据通道。
步骤107、接入网继续下发建立安全隧道的请求到终端,其中包括建立该安全隧道所需的信息,至少包括终端IP地址,以及PDG和终端相互认证的信息。
步骤108、终端和PDG之间根据所述PDG和终端相互认证的信息互相交互以完成端到端的安全隧道建立。
可利用现有的方法建立所述安全隧道,主要是利用IPSec的信令协议即因特网密钥交换协议(IKE,Internet Key Exchange)建立安全隧道的安全联盟(SA),一个SA就是两个IPSec系统之间的一个单向逻辑连接,输入数据流和输出数据流分别由输入安全联盟与输出安全联盟分别处理。所述安全隧道的建立过程,主要就是SA的建立过程。
IKE建立SA分两个阶段:
第一阶段,终端和PDG协商创建一个通信信道(IKE SA),并根据所述PDG和终端相互认证的信息对该信道进行认证,为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务。
第二阶段,使用已建立的IKE SA建立Ipsec安全隧道的SA即逻辑连接,该SA建立后,所述的安全隧道即建立起来;在安全隧道的建立过程中PDG和WAG通过3GPP AAA Server相互交换信息,以便建立一个过滤策略,只允许安全隧道的上行数据包发送到PDG。
详细的安全隧道建立过程请参见现有的IPSec协议。
步骤109、PDG向3GPP AAA Server发送安全隧道建立成功的报告。
步骤1010、3GPP AAA Server收到安全隧道建立成功的报告后更新UE的相关信息,即业务信息和状态信息,将UE的状态设置为在网、激活状态。
步骤1011、PDG通过与所述终端间的安全隧道把下行的数据包传给终端。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (17)
1、一种在通讯系统中保障信息安全的处理方法,适用于核心网网关和终端间通过安全隧道传输信息以保障信息安全的通讯系统,其特征在于:
a、在终端进入非激活状态时,触发删除终端与接入网间的数据通道;
b、核心网网关在给终端下发信息时,通知接入网建立与该终端间的数据通道,将所述信息通过核心网网关与终端间的安全隧道下发给终端。
2、根据权利要求1所述的方法,其特征在于,所述下发的信息为网络侧给终端的下行数据包,且所述步骤b具体包括:
b1、核心网网关收到网络侧向终端下发的下行数据包;
b2、核心网网关通知接入网建立所述下行数据包的目的终端与接入网间的数据通道;
b3、接入网建立与所述终端间的数据通道;
b4、核心网网关通过自身与该终端间的安全隧道下发所述下行数据包到该终端。
3、根据权利要求2所述的方法,其特征在于,所述步骤b2与步骤b3之间,进一步包括:
b21、接入网判断所述下行数据包的目标终端是否处于空闲状态,如果是则执行步骤b22,否则,执行步骤b3;
b22、接入网对所述终端进行寻呼,使其重新回到激活状态,执行步骤b3。
4、根据权利要求1所述的方法,其特征在于,所述下发的信息为核心网网关决定发起的安全隧道刷新请求,所述步骤b具体包括:
b1`、核心网网关决定向终端下发的安全隧道刷新请求;
b2`、核心网网关通知接入网建立所述安全隧道刷新请求中所标记终端与接入网间的数据通道;
b3`、接入网建立与所述终端间的数据通道;
b4`、核心网网关通过自身与该终端间的安全隧道下发所述安全隧道刷新请求到该终端;
b5`、终端收到后对核心网网关与该终端间的安全隧道进行刷新操作。
5、根据权利要求4所述的方法,其特征在于,所述步骤b2`与步骤b3`之间,进一步包括:
b21`、接入网判断安全隧道刷新请求所标记的终端是否处于空闲状态,如果是则执行步骤b22`,否则,执行步骤b3`;
b22`、接入网对终端进行寻呼,使终端重新回到激活状态,执行步骤b3`。
6、根据权利要求1所述的方法,其特征在于,所述下发的信息为网络侧给终端的下行数据包,且:
步骤A中,在终端进入非激活状态时,进一步包括:触发删除核心网网关与终端间的安全隧道,且核心网网关在删除与终端间的安全隧道时保存建立该安全隧道所需的信息;
步骤B中,当核心网网关收到网络发送给终端的下行数据包时,进一步包括:根据所保存的信息触发新建立核心网网关和终端之间的安全隧道,再将数据包通过该安全隧道下发给终端。
7、根据权利要求6所述的方法,其特征在于,所述步骤A具体包括:
A1、终端进入非激活状态时触发删除所述数据通道和安全隧道;
A2、终端发送删除安全隧道的请求消息到核心网网关;
A3、核心网网关收到删除请求消息后,返回删除响应给终端,删除与该终端之间的安全隧道,但保存建立与该终端间安全隧道所需要的信息;核心网网关还向该核心网的认证/授权/计费AAA服务器发送删除安全隧道的报告;
A4、收到删除响应的终端删除所述安全隧道和并通知接入网删除数据通道,并释放和该安全隧道与数据通道相关的信息;收到删除安全隧道报告的AAA服务器更新终端的相关信息,并且删除与接入网接入网关之间该安全隧道相关的过滤策略。
8、根据权利要求6所述的方法,其特征在于,所述步骤B具体包括:
B1、核心网网关收到网络侧向终端下发的下行数据包;
B2、核心网网关检查自身与该下行数据包中目的终端间的安全隧道是否存在,如果存在则通知接入网建立与该终端间的数据通道,执行步骤B6,否则执行步骤B3;
B3、核心网网关提取所保存的建立所述安全隧道所必需的信息,发起建立安全隧道的请求到接入网络,该请求中携带所提取出的建立该安全隧道必需的信息;
B4、接入网建立与所述终端间的数据通道,通过该数据通道继续下发建立安全隧道的请求到终端;
B5、终端与核心网网关之间根据所述建立安全隧道请求中的信息进行交互以建立该安全隧道;
B6、核心网网关通过与所述终端间的安全隧道把所述下行数据包下发给终端。
9、根据权利要求8所述的方法,其特征在于,所述建立安全隧道所需的信息中包括安全策略库;所述步骤B1和步骤B2之间进一步包括:所述核心网网关根据所述安全策略库检查是否要对所述下行数据包进行安全处理,如果需要,则执行步骤B2;如果不需要,则通知接入网建立与所述终端间的数据通道,将所述下行数据包直接通过接入网下发给终端,结束本流程。
10、根据权利要求8所述的方法,其特征在于,所述步骤B3与步骤B4之间,进一步包括:
B31、接入网判断建立安全隧道的请求中所标识的目标终端是否处于空闲状态,如果是执行步骤B32,否则,执行步骤B4;
B32、接入网对终端进行寻呼,使终端重新回到激活状态,执行步骤B4。
11、根据权利要求8所述的方法,其特征在于,步骤B5和B6之间进一步包括:
B51、核心网网关向核心网的AAA服务器发送安全隧道建立成功的报告;
B52、核心网AAA服务器收到安全隧道建立成功的报告后更新所述终端的相关信息。
12、根据权利要求6至11任一项所述的方法,其特征在于,所述建立安全隧道所必需的信息至少包括:终端的地址,核心网网关与终端之间相互认证的信息。
13、根据权利要求12所述的方法,其特征在于,所述根据所保存的建立安全隧道所必需的信息建立核心网网关和终端之间安全隧道的具体方法为:
终端和核心网网关协商创建一个因特网密钥交换协议IKE通信信道,并通过核心网网关与终端之间相互认证的信息对该IKE通信信道进行认证;使用已建立的IKE通信信道建立安全隧道的逻辑连接。
14、根据权利要求12所述的方法,其特征在于,所述的安全隧道为基于IP安全协议的安全隧道。
15、根据权利要求1至11任一项所述的方法,其特征在于,所述非激活状态为正常的会话结束状态或者终端进入空闲模式状态。
16、根据权利要求1至11任一项所述的方法,其特征在于,所述的核心网为3GPP核心网,所述的核心网网关为分组数据网关。
17、根据权利要1至11任一项所述的方法,其特征在于,所述的接入网为无线局域网,或者为全球微波接入互操作性网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610066032A CN100579123C (zh) | 2006-01-18 | 2006-03-21 | 一种在通讯系统中保障信息安全的处理方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610006584 | 2006-01-18 | ||
| CN200610006584.9 | 2006-01-18 | ||
| CN200610066032A CN100579123C (zh) | 2006-01-18 | 2006-03-21 | 一种在通讯系统中保障信息安全的处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101005495A true CN101005495A (zh) | 2007-07-25 |
| CN100579123C CN100579123C (zh) | 2010-01-06 |
Family
ID=38704359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610066032A Expired - Fee Related CN100579123C (zh) | 2006-01-18 | 2006-03-21 | 一种在通讯系统中保障信息安全的处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100579123C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009115045A1 (zh) * | 2008-03-21 | 2009-09-24 | 华为技术有限公司 | 无线通信的方法、系统及基站 |
| CN102045676A (zh) * | 2009-10-15 | 2011-05-04 | 中兴通讯股份有限公司 | 用户设备接入家用基站的方法及系统 |
| WO2011050663A1 (zh) * | 2009-10-28 | 2011-05-05 | 中兴通讯股份有限公司 | 支持本地ip访问的通信系统中隧道更新方法与系统 |
| CN101789896B (zh) * | 2009-01-24 | 2012-10-17 | 华为技术有限公司 | 一种用户设备访问因特网的方法及系统 |
| CN102917355A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| WO2013017032A1 (zh) * | 2011-07-29 | 2013-02-07 | 电信科学技术研究院 | 一种pdn连接的管理方法和设备 |
| CN103002430A (zh) * | 2011-09-09 | 2013-03-27 | 中国移动通信集团公司 | 一种终端应用和终端号码绑定的方法、装置及系统 |
| CN107005540A (zh) * | 2014-09-23 | 2017-08-01 | 高通股份有限公司 | 支持将wlan接入上的设备列入黑名单 |
| WO2018019030A1 (zh) * | 2016-07-29 | 2018-02-01 | 电信科学技术研究院 | 一种数据传输方法、第一设备及第二设备 |
| CN108024221A (zh) * | 2016-11-03 | 2018-05-11 | 电信科学技术研究院 | 一种寻呼方法、基站及终端 |
| CN108617000A (zh) * | 2017-01-13 | 2018-10-02 | 中兴通讯股份有限公司 | 信息传输方法及装置 |
| CN108667699A (zh) * | 2013-08-06 | 2018-10-16 | 华为终端有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
| WO2020025028A1 (zh) * | 2018-08-03 | 2020-02-06 | 中兴通讯股份有限公司 | 数据保护方法、装置及计算机存储介质 |
| CN111669214A (zh) * | 2020-05-25 | 2020-09-15 | 南通先进通信技术研究院有限公司 | 一种基于机载WiFi的机上语音通信方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103096500B (zh) * | 2011-11-01 | 2016-03-09 | 中国电信股份有限公司 | Epc、网络融合系统及终端接入epc的方法 |
-
2006
- 2006-03-21 CN CN200610066032A patent/CN100579123C/zh not_active Expired - Fee Related
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009115045A1 (zh) * | 2008-03-21 | 2009-09-24 | 华为技术有限公司 | 无线通信的方法、系统及基站 |
| CN101789896B (zh) * | 2009-01-24 | 2012-10-17 | 华为技术有限公司 | 一种用户设备访问因特网的方法及系统 |
| CN102045676A (zh) * | 2009-10-15 | 2011-05-04 | 中兴通讯股份有限公司 | 用户设备接入家用基站的方法及系统 |
| CN102056136B (zh) * | 2009-10-28 | 2014-04-09 | 中兴通讯股份有限公司 | 支持本地ip访问的通信系统中隧道更新方法与系统 |
| CN102056136A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 支持本地ip访问的通信系统中隧道更新方法与系统 |
| WO2011050663A1 (zh) * | 2009-10-28 | 2011-05-05 | 中兴通讯股份有限公司 | 支持本地ip访问的通信系统中隧道更新方法与系统 |
| WO2013017032A1 (zh) * | 2011-07-29 | 2013-02-07 | 电信科学技术研究院 | 一种pdn连接的管理方法和设备 |
| CN102917355A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN103002430A (zh) * | 2011-09-09 | 2013-03-27 | 中国移动通信集团公司 | 一种终端应用和终端号码绑定的方法、装置及系统 |
| CN103002430B (zh) * | 2011-09-09 | 2016-05-25 | 中国移动通信集团公司 | 一种终端应用和终端号码绑定的方法、装置及系统 |
| CN108667699B (zh) * | 2013-08-06 | 2021-07-20 | 华为终端(深圳)有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
| CN108667699A (zh) * | 2013-08-06 | 2018-10-16 | 华为终端有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
| CN107005540A (zh) * | 2014-09-23 | 2017-08-01 | 高通股份有限公司 | 支持将wlan接入上的设备列入黑名单 |
| CN107005540B (zh) * | 2014-09-23 | 2020-01-17 | 高通股份有限公司 | 支持将wlan接入上的设备列入黑名单 |
| WO2018019030A1 (zh) * | 2016-07-29 | 2018-02-01 | 电信科学技术研究院 | 一种数据传输方法、第一设备及第二设备 |
| US10609553B2 (en) | 2016-07-29 | 2020-03-31 | China Academy Of Telecommunications Technology | Data transmission method, first device, and second device |
| TWI650026B (zh) * | 2016-07-29 | 2019-02-01 | 電信科學技術研究院 | Data transmission method, first device and second device |
| CN108024221A (zh) * | 2016-11-03 | 2018-05-11 | 电信科学技术研究院 | 一种寻呼方法、基站及终端 |
| US11184873B2 (en) | 2016-11-03 | 2021-11-23 | Datang Mobile Communications Equipment Co., Ltd. | Paging method, base station and user equipment |
| US11963132B2 (en) | 2016-11-03 | 2024-04-16 | Datang Mobile Communications Equipment Co., Ltd. | Paging method, base station and user equipment |
| CN108617000A (zh) * | 2017-01-13 | 2018-10-02 | 中兴通讯股份有限公司 | 信息传输方法及装置 |
| US11546887B2 (en) | 2017-01-13 | 2023-01-03 | Zte Corporation | Information transmission method and apparatus, and computer storage medium |
| CN108617000B (zh) * | 2017-01-13 | 2023-04-07 | 中兴通讯股份有限公司 | 信息传输方法及装置 |
| CN110798437A (zh) * | 2018-08-03 | 2020-02-14 | 中兴通讯股份有限公司 | 一种数据保护方法、装置及计算机存储介质 |
| WO2020025028A1 (zh) * | 2018-08-03 | 2020-02-06 | 中兴通讯股份有限公司 | 数据保护方法、装置及计算机存储介质 |
| CN110798437B (zh) * | 2018-08-03 | 2023-02-21 | 中兴通讯股份有限公司 | 一种数据保护方法、装置及计算机存储介质 |
| CN111669214A (zh) * | 2020-05-25 | 2020-09-15 | 南通先进通信技术研究院有限公司 | 一种基于机载WiFi的机上语音通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100579123C (zh) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100579123C (zh) | 一种在通讯系统中保障信息安全的处理方法 | |
| US11109280B2 (en) | Method for PDU session establishment procedure and AMF node | |
| CN101156488B (zh) | 无线电通信系统和无线电通信方法 | |
| JP4669002B2 (ja) | 異種ネットワークにおけるインターワーキングのための高速なコンテキスト確立 | |
| EP2052492A1 (en) | Method of managing interworking for transferring multiple service sessions between a mobile network and a wireless local area network, and corresponding equipment | |
| CN100499536C (zh) | 无线局域网中选定业务的解析接入处理方法 | |
| CN101094497B (zh) | 移动用户在不同接入系统间切换的方法 | |
| KR101268578B1 (ko) | 범용 이동 통신시스템망과 무선 근거리 통신망과의 서비스연속성을 위한 장치 및 방법 | |
| US20190394647A1 (en) | Communication system, connection control apparatus, mobile terminal, base station control method, service request method, and program | |
| WO2007006227A1 (fr) | Procédé et système de négociation destinés à l’établissement de chemins de données d’interface | |
| JP2006203641A (ja) | パケット制御装置、認証サーバ及び無線通信システム | |
| WO2010124486A1 (zh) | 链式连接建立方法、服务网关及分组数据网网关 | |
| WO2004112319A1 (fr) | Procede de demande d'informations d'acheminement dans un environnement wlan interagissant avec un reseau mobile | |
| CN109792787A (zh) | 一种建立公用数据网连接的方法及相关设备 | |
| CN1845523B (zh) | 互通无线局域网中实现服务质量协商的方法 | |
| MX2014013183A (es) | Puerta de enlace, sistema de comunicacion, metodo para controlar puerta de enlace y medio legible por computadora para el mismo. | |
| US9031566B2 (en) | Home base station access method, home base station system and home base station access point | |
| CN101155126A (zh) | 一种实现移动性管理的系统、装置和方法 | |
| CN101964968A (zh) | 一种移动网络中域名查询的方法及系统 | |
| CN101442478A (zh) | 一种无线网络中数据通道建立的方法、系统及设备 | |
| CN1323526C (zh) | 无线局域网中业务连接建立的方法 | |
| CN102448185B (zh) | 远程接入方法及设备 | |
| CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| CN101079804B (zh) | 在WiMAX与3GPP互连中建立隧道的方法 | |
| WO2011035521A1 (zh) | 一种家庭基站接入点的共享方法和家庭基站接入点系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100106 Termination date: 20130321 |