CN101494538A - 一种数据传输控制方法及通讯系统以及加密控制网元 - Google Patents
一种数据传输控制方法及通讯系统以及加密控制网元 Download PDFInfo
- Publication number
- CN101494538A CN101494538A CNA2008100041862A CN200810004186A CN101494538A CN 101494538 A CN101494538 A CN 101494538A CN A2008100041862 A CNA2008100041862 A CN A2008100041862A CN 200810004186 A CN200810004186 A CN 200810004186A CN 101494538 A CN101494538 A CN 101494538A
- Authority
- CN
- China
- Prior art keywords
- indication
- encryption
- gateway
- data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种数据传输控制方法及通讯系统以及加密控制网元,用于提高网络性能。本发明方法包括:接入网关或接入点获取加密指示;根据所述加密指示确定所述接入网关和所述接入点之间的数据流中需要进行加密的数据包;根据预置的加密方式对所述需要加密的数据包进行加密控制。本发明还提供一种通讯系统以及加密控制网元。本发明可以有效地提高网络性能。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种数据传输控制方法及通讯系统以及加密控制网元。
背景技术
目前的分组移动通讯网络的架构示意图如图1所示,具体的,终端101通过基站系统102接入网络,在移动管理实体(MME,Mobile ManagementEntity)103中登记,其用户面数据经过接入网关104汇聚后,通过数据网关105接到业务网络106。策略控制功能实体107连接业务网络106和承载网络,将业务的服务质量(QoS,Quality of Service)和策略控制规则下发到承载网络执行。
在下一代演进网络中,基站系统102可以为演进基站(eNodeB),接入网关104为服务网关(S-GW,Serving GateWay),数据网关105为分组数据网络网关(PDN GW,Packet Data Network GateWay),用户签约数据库108为归属用户服务器(HSS,Home Subscriber Server)。
接入网关104和基站系统102之间的数据面接口称为S1-U接口,目前该接口是暴露在公共区域的,容易受到窃听或篡改,因此通过S1-U接口传输的数据可能需要进行加密。
现有技术中的数据传输控制方法为:
对S1-U接口传输的数据采用IPSec等传输层加密的方式进行加密,由于该加密是互联网协议(IP,Internet Protocol)加密技术,所以该方式加密针对的对象是一对IP地址之间传输的所有数据流。
但是,若采用该方式,则在eNodeB和S-GW之间(即一对IP地址之间)传输的数据流,要么全部加密,要么全部不加密,而实际上,可能只有一部分业务的数据流需要加密,例如语音电话、短信等,而其它一些业务的数据流可以不需要加密,如互联网访问,视频点播等。所以上述技术中对在eNodeB和S-GW之间传输的所有数据流都进行加密,从而对网络的性能会有很大的负面影响。
发明内容
本发明实施例提供了一种数据传输控制方法及通讯系统以及加密控制网元,能够提高网络性能。
本发明实施例提供的数据传输控制方法,包括:接入网关或接入点获取加密指示;根据所述加密指示确定所述接入网关和所述接入点之间的数据流中需要进行加密的数据包;根据预置的加密方式对所述需要加密的数据包进行加密控制。
本发明实施例提供的通讯系统,包括:移动管理实体,用于接收用户终端发送的业务流接入请求,向接入网关发送包含加密指示的创建网络承载请求,接收接入网关反馈的创建网络承载响应,向接入点发送包含加密指示的无线承载建立请求;接入点,用于接收移动管理实体发送的包含加密指示的无线承载建立请求,并保存该无线承载建立请求中的加密指示,与对应的用户终端建立无线承载,根据加密指示对转发的数据进行加密控制;接入网关,用于接收移动管理实体发送的创建网络承载请求,获取加密指示,保存所述加密指示,根据加密指示对转发的数据进行加密控制。
本发明实施例提供的通讯系统,包括:分组数据网络网关,用于向接入网关发送包含指定用户的加密指示的触发创建专有承载消息;接入网关,用于接收所述包含指定用户的加密指示的触发创建专有承载消息,向移动管理实体发送包含加密指示以及用户标识的创建专有承载请求,根据加密指示对转发的数据进行加密控制;移动管理实体,用于接收接入网关发送的创建专有承载请求,向接入点发送包含该用户标识以及加密指示的无线承载建立请求,接收接入点反馈的无线承载建立响应;接入点,用于接收移动管理实体发送的无线承载建立请求,并根据该无线承载建立请求中的用户标识对应的用户终端建立无线承载,保存加密指示,根据该加密指示对转发的数据进行加密控制。
本发明实施例提供的加密控制网元,包括:加密指示获取单元,用于获取加密指示;数据流接收单元,用于接收数据流;加密控制单元,用于根据加密指示获取单元获取到的加密指示确定接收到的数据流中需要进行加密的数据包,将需要进行加密的数据包发送至加密引擎,将数据流中不需要加密的数据包发送至数据转发单元;加密引擎,用于根据预置的加密算法对加密控制单元选取的需要进行加密的数据包进行加密,并将加密后的数据包转发至数据转发单元;数据转发单元,用于接收加密控制单元发送的不需要进行加密的数据包以及加密引擎发送的加密后的数据包,并将这些数据包进行组成后发送至对端。
本发明实施例提供的加密控制网元,包括:加密指示获取单元,用于获取加密指示;数据流接收单元,用于接收数据流;加密控制单元,用于根据加密指示获取单元获取到的加密指示确定数据流接收单元接收到的数据流中需要进行加密的数据包;标识单元,用于根据加密控制单元确定的需要加密的数据包对数据流中需要加密的数据包以及不需要加密的数据包进行区分标识,并将标识后的数据包组成数据流发送至数据流转发单元;数据流转发单元,用于将标识单元生成的数据流发送至加密网关进行加密处理。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,接入点或接入网关能够获取到加密指示,所以能够判断接收到的数据流中有哪些数据包符合该加密指示所规定的加密条件,对符合加密条件的数据包进行加密,而不需要对接入点与接入网关之间传输的所有数据流都进行加密,因此能够降低大量数据加密给网络带来的性能损失,进而能够提高网络性能。
附图说明
图1为现有技术中分组移动通讯网络架构示意图;
图2为本发明实施例中数据传输控制方法第一实施例信令流程图;
图3为本发明实施例中数据传输控制方法第二实施例信令流程图;
图4为本发明实施例中通讯系统实施例示意图;
图5为本发明实施例中加密控制网元第一实施例示意图;
图6为本发明实施例中加密控制网元第二实施例示意图。
具体实施方式
本发明实施例提供了一种数据传输控制方法及通讯系统以及加密控制网元,用于提高网络性能。
本发明实施例中,接入点或接入网关能够获取到业务流上下文的加密指示,所以能够判断接收到的数据流中有哪些数据包符合该加密指示所规定的加密条件,并且本发明中建立了上层业务流的上下文中加密指示和底层加密引擎之间的联系,使得加密引擎能以业务流的粒度对符合加密条件的数据包进行加密,而不需要对接入点与接入网关之间传输的所有数据流都进行加密,因此能够降低大量数据加密给网络带来的性能损失,进而能够提高网络性能。
在下面的实施例中,均以演进基站作为接入点的例子,以及服务网关作为接入网关的例子进行说明,可以理解的是,在实际应用中,接入点还可以是其他类型的网元,例如传统基站或其他接入设备,如固定网络中的接入点(AP,Access Point)等;且接入网关还可以是其他类型的,用于控制接入点接入核心网的设备,如GPRS网络中的SGSN,WiMax网络中的接入服务节点网关(ASN-GW,Access Service Network Gateway),CDMA网络中的接入网关(AGW,Access Gateway),无线局域网(WLAN)中的分组数据网关(PDG,Packet Data Gateway),固定网络中的边缘汇聚节点等,具体的其他类型的接入点以及接入网关的处理流程与演进基站以及服务网关的处理流程类似。
下面以两个具体应用中的流程对本发明实施例中的数据传输控制方法进行说明,具体地,可以按照流程的触发方的不同将本实施例中数据传输控制方法分为两类:
一、用户终端(UE,User Equipment)发起业务流接入请求:
本方式中,用户终端通过发起业务流接入请求从而使得演进基站与服务网关获取到加密指示,具体请参阅图2,本发明实施例中数据传输控制方法第一实施例包括:
201、UE向MME发送业务流接入请求;
当UE要发起一个业务时,会向MME发送业务流接入请求,用以请求为业务分配网络资源。
在实际应用中,该业务流接入请求可以为附着请求,承载上下文建立请求,分组数据网络(PDN,Packet Data Network)连接请求,承载资源分配请求,或专有承载创建请求等,本实施例中以PDN连接请求为例进行说明,可以理解的是,其他各种业务流接入请求的处理流程与PDN连接请求的处理流程类似。
本实施例中,该PDN连接请求中可以包含加密指示,该加密指示可以由UE根据预置的加密指示进行确定,该加密指示可以按用户的粒度指定,即针对本用户需要加密或不需要加密;
该加密指示还可以按照PDN的粒度指定,即针对不同的PDN需要加密或不需要加密,如下表所示:
表1
运营商专有PDN | Internet PDN | 虚拟专用网PDN |
加密 | 不加密 | 不加密 |
此外,该加密指示还可以针对每类业务分别指定,如下表所示:
表2
语音业务 | 短消息业务 | EMAIL业务 | WEB浏览业务 | 视频点播业务 |
加密 | 加密 | 加密 | 不加密 | 不加密 |
在具体的实现过程中,由于每一个PDN都可能有多种业务,则该加密指示还可以针对每个PDN的每类业务分别指定,如下表所示:
表3
语音业务 | 短消息业务 | EMAIL业务 | WEB浏览业务 | 视频点播业务 | |
运营商专 | 加密 | 加密 | 加密 | 加密 | 不加密 |
有PDN | |||||
InternetPDN | 不加密 | 不加密 | 不加密 | 不加密 | 不加密 |
虚拟专用网PDN | 加密 | 加密 | 加密 | 不加密 | 不加密 |
UE发起业务请求时,则将上述各表中描述的需要加密的情况作为加密指示携带于PDN连接请求中,将该业务流接入请求发送至MME。
除了上述获取加密指示的方式之外,还可以由用户临时指定需要加密的数据。
可以理解的是,UE发送给MME的PDN连接请求中同样可以不携带加密指示,而在后续流程中获取加密指示。
202、MME向服务网关发送创建网络承载请求;
MME在接收到UE发送的PDN连接请求之后,同样可以由该UE的用户标识查询对应的用户签约数据,该用户签约数据一般存储于HSS中,签约数据一般保存用户粒度或PDN粒度的签约信息,即针对用户或针对PDN的签约信息,MME从签约数据中获取到正在接入的业务流对应的加密指示,需要说明的是,若MME接收到的PDN连接请求中包含的加密指示与MME从HSS中获取到的加密指示不一致,则由MME决策在后续的加密过程中使用哪一个加密指示,可以以MME从HHS获取到的加密指示为准,可以理解的是,同样可以以从PDN连接请求中获取到的加密指示为准,例如,PDN连接请求中的加密指示中用户的短消息业务为不加密,但MME从HSS中查询到的用户的短消息业务为加密,则可以按照MME查询到的加密指示进行加密。
MME也可以依据自身的配置数据一起确定是否需要对业务流进行加密,例如MME上配置到某个PDN的所有数据流都需要加密,则MME确定所有用户连接到该PDN的业务流都要在演进基站和服务网关之间进行加密处理。又例如MME上配置签约数据中用户类型为“VIP”用户的所有数据流都需要进行加密,或者MME上配置业务流QoS属性为VoIP类业务的数据流都需要进行加密等等。
MME在确定了需要使用的加密指示之后,向服务网关发送包含该加密指示的创建网络承载请求,例如MME确定的加密指示为:该业务流需要加密。
需要说明的是,若UE发送给MME的PDN连接请求中不携带加密指示,则由MME在接收到PDN连接请求之后从HSS获取加密指示,并将获取到的加密指示通过创建网络承载请求发送至服务网关。
205、服务网关向MME反馈创建网络承载响应;
本实施例中,服务网关接收到MME发送的携带加密指示的创建网络承载请求之后,向MME反馈创建网络承载响应。
206、MME控制演进基站与UE之间建立无线承载;
MME向演进基站发送包含加密指示的无线承载建立请求,该加密指示与MME发送给服务网关的加密指示一致,演进基站接收到该无线承载建立请求之后,保存该加密指示,并建立与UE之间的无线承载,具体建立无线承载的过程为现有技术,此处不再赘述。
无线承载建立完成后,演进基站向MME反馈无线承载建立响应。
207、MME与服务网关之间更新网络承载;
MME在接收到无线承载建立响应之后,与服务网关之间更新网络承载。
208、演进基站与服务网关之间根据加密指示进行数据加密。
本实施例中,演进基站依据的加密指示为在步骤206中获取到的加密指示,服务网关依据的加密指示为在步骤202中获取到的加密指示。
具体的加密方式可以分为两类:
(1)紧耦合方式:
本方式中,演进基站或服务网关中集成有一个用于加密的加密引擎,则加密的过程在演进基站或服务网关的内部完成,由于演进基站与服务网关在数据处理的流程上类似,则下面以服务网关为例进行说明,具体的加密方式可以为:
服务网关接收到PDN网关发送的用户的下行数据包后,首先匹配到该数据包对应的业务流上下文,即获取该数据包对应的上下文,并检查该上下文中的加密指示是否表明需要加密,若加密指示为需要加密,则将数据包发送至加密引擎,按照预置的加密算法进行加密得到加密后数据包,并将加密后数据包转发至演进基站,如果上下文中的加密指示为不需要加密,则直接将数据包转发至演进基站。
(2)松耦合方式:
本方式中,演进基站或服务网关中并未集成用于加密的加密引擎,而采用专用的加密网关进行加密,则加密的过程完全在加密网关内完成,而演进基站与服务网关需要区分需要加密和不需要加密的数据包并予以标记以便加密网关能够区分需要加密和不需要加密的数据包并对需要加密的数据流进行加密,由于演进基站与服务网关在数据处理的流程上类似,则下面以服务网关为例进行说明,具体的加密方式可以为:
上述松耦合情况中,服务网关首先确定了需要加密的数据包之后,将这些数据包选择预置的路由发送至加密网关进行加密,而对不需要加密的数据包选择另外的路由不经过加密网关而直接转发至演进基站。服务网关同样可以根据自身保存的上下文加密指示标识那些需要进行加密的数据包,并将整个数据流发送至加密网关,由加密网关根据该数据流中各数据包携带的标识判断哪些数据包需要进行加密,并对这些数据包进行加密,加密之后再将整个数据流发送至演进基站。
下面对松耦合方式下,服务网关或者演进基站根据加密指示对数据包进行标识的方式进行描述,本实施例中具体给出以下几种可能的方式:
(2.1)采用不同的源IP地址标记不同种类的数据包:
演进基站和服务网关转发数据包时,数据包源地址填写自身地址,因此演进基站或服务网关可以根据加密指示对需要加密和不需要加密的数据包填写不同的源地址,即需要加密的数据包的源地址填写第一地址,不需要加密的数据包的源地址填写第二地址,并与加密网关进行约定,则数据包达到加密网关后,加密网关可以根据源地址不同区分需要加密和不需要加密的数据包。
(2.2)采用不同的源端口号标记不同种类的数据包:
演进基站和服务网关转发数据包时,数据包源端口和目的端口一般都填写通用无线分组业务隧道协议(GTP,General Packet Radio Service TunnellingProtocol)协议规定使用的用户数据包协议(UDP,User Datagram Protocol)端口2152。由于UDP应用中只有目的端口才用于在接收方匹配应用,因此在本发明中,演进基站或服务网关可以根据加密指示对需要加密和不需要加密的用户数据流填写不同的源UDP端口号,即需要加密的数据包的源端口填写第一端口,不需要加密的数据包的源端口填写第二端口,并与加密网关进行协商,数据包达到加密网关后,加密网关可以根据源端口号不同区分需要加密和不需要加密的数据包。
(2.3)采用不同的服务类型字段/差分服务标记字段TOS/DSCP值标记不同种类的数据包:
演进基站或服务网关可以根据加密指示对需要加密和不需要加密的数据包的IP头中填写不同的TOS/DSCP值,即需要加密的数据包的TOS/DSCP值填写第一数值,不需要加密的数据包的TOS/DSCP值填写第二数值,并与加密网关进行约定,则数据包达到加密网关后,加密网关可以根据源TOS/DSCP不同区分需要加密和不需要加密的数据包。
(2.4)采用不同的流标签(Flow Label)标记不同种类的数据包:
演进基站或服务网关可以根据加密指示对需要加密和不需要加密的用户数据流的IP头中填写不同的IPv6 Flow Label值,即需要加密的数据包的FlowLabel值填写第一标记值,不需要加密的数据包的Flow Label值填写第二标记值,并与加密网关进行约定,数据包达到加密网关后,加密网关可以根据源IPv6 Flow Label不同区分需要加密和不需要加密的数据包,由于只有IPv6协议头部才有Flow Label字段,因此本方式只适用于S1-U接口使用IPv6协议进行传输的情况。
(2.5)采用不同的路由或数据包封装方法标记不同种类的数据包:
演进基站或服务网关可以根据加密指示对需要加密和不需要加密的用户数据流选择不同的路由或封装方法,包括将需要加密的数据发到不同的物理端口或逻辑端口,即需要加密的数据包发送至第一端口,不需要加密的数据包发送至第二端口;通过在数据转发引擎和加密网关之间建立数据隧道(如通用路由封装(GRE,Generic Routing Encapsulation)隧道)以区分需要加密和不需要加密的用户数据,还包括将不需要加密的用户数据选择旁路路由不经过加密网关的处理方法。
经过上述的标识之后,演进基站或服务网关将数据流发送至加密网关,加密网关根据接收到的数据流中的数据包标识对数据包进行分类,即分为需要加密的数据包和不需要加密的数据包,以(2.1)的标识方法为例说明加密网关的处理流程:
加密网关接收演进基站或服务网关发送的数据流,读取该数据流中每一个数据包的源地址字段,判断每一个数据包的源地址字段中的地址为第一地址还是第二地址,若为第一地址,则确定该数据包需要加密,若为第二地址,则确定该数据包不需要加密。
上述实施例中,由于演进基站或服务网关能够获取到加密指示,所以能够判断接收到的数据流中有哪些数据包符合该加密指示所规定的加密条件,并对符合加密条件的数据包进行加密,而不需要对演进基站与服务网关之间传输的所有数据流都进行加密,因此能够降低大量数据加密给网络带来的性能损失,进而能够提高网络性能;
其次,若采用紧耦合的方式进行加密,则服务网关与演进基站之间传输的数据无需经过加密网关,减少了数据传输路径的迂回,从而可以提高数据的传输效率;
若采用松耦合的方式进行加密,则服务网关或演进基站无需自身对数据进行加密,而由专用的加密网关进行加密,从而降低了服务网关与演进基站的运行负荷;
上述紧耦合和松耦合的方式可以根据实际需要进行选取,可以在演进基站和服务网关两侧采用同样的耦合方式,也可以分别采取不同的耦合方式,例如在演进基站侧采用紧耦合方式,即在演进基站中集成有一个加密引擎,演进基站发送的数据通过该加密引擎被发送至服务网关,而在服务网关侧采用松耦合方式,则服务网关将数据区分为需要加密的数据和不需要加密的数据后通过加密网关将数据传输至演进基站。
在上述实施例中,最终使用的加密指示是由MME确定的,可以理解的是,在实际应用中还可以由PDN网关或者是策略控制和计费规则功能实体(PCRF,Policy Control and Charging Rules Function)确定,请参阅图2,此种方式的流程为:
201、UE向MME发送业务流接入请求;
当UE要发起一个业务时,会向MME发送业务流接入请求,用以请求为业务分配网络资源。
在实际应用中,该业务流接入请求可以为附着请求,承载上下文建立请求,PDN连接请求,承载资源分配请求,或专有承载创建请求等,本实施例中以PDN连接请求为例进行说明,可以理解的是,其他各种业务流接入请求的处理流程与PDN连接请求的处理流程类似。
本实施例中,该PDN连接请求中不包含加密指示。
202、MME向服务网关发送创建网络承载请求;
MME在接收到UE发送的PDN连接请求之后,向服务网关发送创建网络承载请求,需要说明的是,本实施例中,该创建网络承载请求中同样不包含加密指示。
203、服务网关向PDN网关发送加密指示获取请求;
服务网关在接收到MME发送的创建网络承载请求之后,即触发获取加密指示的流程。
服务网关还可以向PDN网关或者是向PCRF发送加密指示获取请求,用于请求PDN网关或PCRF向服务网关反馈该用户对应的加密指示。
204、PDN网关或PCRF向服务网关反馈加密指示;
PDN网关或PCRF查询该用户标识对应的加密指示,在具体实现过程中,PDN网关或PCRF生成的加密指示一般为PDN粒度或业务粒度,即该加密指示针对具体的PDN或针对具体的业务。
服务网关接收到PDN网关或PCRF发送的加密指示后,则将该加密指示保存于该业务流对应的上下文中。
205、服务网关向MME反馈创建网络承载响应;
本实施例中,服务网关获取到加密指示之后,向MME反馈包含该加密指示的创建网络承载响应。
206、MME控制演进基站与UE之间建立无线承载;
MME向演进基站发送包含加密指示的无线承载建立请求,该加密指示为从步骤205中从服务网关获取到的加密指示,演进基站接收到该无线承载建立请求之后,保存该加密指示,并建立与UE之间的无线承载,具体建立无线承载的过程为现有技术,此处不再赘述。
无线承载建立完成后,演进基站向MME反馈无线承载建立响应。
207、MME与服务网关之间更新网络承载;
MME在接收到无线承载建立响应之后,与服务网关之间更新网络承载。
208、演进基站与服务网关之间根据加密指示进行数据加密。
本实施例中,演进基站依据的加密指示为在步骤206中获取到的加密指示,服务网关依据的加密指示为在步骤204中获取到的加密指示。
在上述由PDN网关或PCRF确定加密指示的方案中,还可能有以下一些替代方式:
A、MME从PDN连接请求或者是从HSS中获取第一加密指示,并且将该第一加密指示通过步骤202发送至服务网关,由于服务网关在步骤204中从PDN网关或PCRF中获取到第二加密指示,则在服务网关获取到第一加密指示以及第二加密指示之后,判断第一加密指示和第二加密指示是否一致,若不一致,则由服务网关确定使用哪一个加密指示,例如服务网关确定使用第二加密指示,则本地保存第二加密指示,并通过步骤205将第二加密指示发送至MME,再由MME通过步骤206将第二加密指示发送至演进基站,则在步骤208中,演进基站与服务网关之间根据第二加密指示进行加密。
B、MME从PDN连接请求或者是从HSS中获取第一加密指示,并且将该第一加密指示通过步骤202发送至服务网关,由于服务网关在步骤204中从PDN网关或PCRF中获取到第二加密指示,则在服务网关获取到第一加密指示以及第二加密指示之后,将这两个加密指示通过步骤205同时发送给MME,MME根据接收到的两个加密指示确定使用哪一个加密指示,例如MME确定使用第一加密指示,则通过步骤206将第一加密指示发送至演进基站,再通过步骤207将第一加密指示发送至服务网关,则在步骤208中,演进基站与服务网关之间根据第一加密指示进行加密。
C、MME从PDN连接请求或者是从HSS中获取第一加密指示,并且将该第一加密指示通过步骤202发送至服务网关,由于服务网关在步骤204中从PDN网关或PCRF中获取到第二加密指示,则在服务网关获取到第一加密指示以及第二加密指示之后,判断第一加密指示和第二加密指示是否一致,若不一致,则由服务网关确定使用哪一个加密指示,例如服务网关确定使用第二加密指示,则本地保存第二加密指示,并通过步骤205将第二加密指示发送至MME,MME根据该第二加密指示以及步骤202中获取到的第一加密指示再次确定需要使用哪一个加密指示,若MME确定需要使用第二加密指示,则通过步骤206向演进基站发送第二加密指示,则在步骤208中,演进基站与服务网关之间根据第二加密指示进行加密,若MME确定需要使用第一加密指示,则通过步骤206向演进基站发送第一加密指示,并通过步骤207向服务网关发送第一加密指示,要求服务网关使用第一加密指示,则在步骤208中,演进基站与服务网关之间根据第一加密指示进行加密。
上述介绍了UE发起PDN连接请求的情况,下面介绍另外一种可能的流程:
二、服务网关发起创建专有承载请求:
本方式中,由服务网关发起创建专有承载请求,具体请参阅图3,本发明实施例中数据传输控制方法第二实施例包括:
301、PDN网关或PCRF向服务网关触发创建专有承载;
PDN网关或PCRF发送的触发消息中可以携带有业务流的加密指示,例如PDN网关或PCRF希望对该业务流进行加密,具体的加密指示还可以是前述实施例中描述的其他情况,此处不再赘述。
302、服务网关向MME发送创建专有承载请求;
服务网关在接收到PDN网关或PCRF的消息之后,向MME发送创建专有承载请求用于传输业务流,需要说明的是,若PDN网关或PCRF向服务网关发送了业务流加密指示,则服务网关需要将该加密指示携带于创建专有承载请求中,同时,该创建专有承载请求中还包括需要建立无线承载的用户的标识,该用户由PDN网关或PCRF指定。
303、MME控制演进基站与UE之间建立无线承载;
MME向演进基站发送包含加密指示的无线承载建立请求,该无线承载建立请求中包含有PDN网关或PCRF指定的用户标识以及从服务网关获取到的加密指示,演进基站接收到该无线承载建立请求之后,保存该加密指示,并根据用户标识建立与对应的UE之间的无线承载,具体建立无线承载的过程为现有技术,此处不再赘述。
无线承载建立完成后,演进基站向MME反馈无线承载建立响应。
304、MME与服务网关之间更新网络承载;
MME在接收到无线承载建立响应之后,与服务网关之间更新网络承载。
305、演进基站与服务网关之间根据加密指示进行数据加密。
具体的加密方式与前述实施例中的加密方式相同,也分为紧耦合和松耦合两种方式,具体的处理方式一致,此处不再赘述。
上述实施例中,PDN网关或PCRF直接确定需要使用的加密指示后,下发该加密指示,并通过MME将该加密指示发送至演进网关,则在后续的加密过程中使用该加密指示,可以理解的是,MME通过可以根据签约数据对加密指示进行修改,即在步骤303中,MME从服务网关获取第二加密指示后,访问HSS获取该用户对应的第一加密指示,并且判断第一加密指示与第二加密指示是否一致,若不一致,则由MME确定需要使用的加密指示,例如MME确定使用第一加密指示,则通过步骤303将第一加密指示发送给演进基站,并且通过步骤304将第一加密指示发送给服务网关,服务网关保存该第二加密指示,则在步骤305中,演进基站与服务网关之间通过该第二加密指示进行加密。
上述实施例中描述了数据传输控制方法的流程,需要说明的是,上述各个实施例中加密指示控制的业务流粒度可以是用户粒度,PDN连接粒度,承载粒度和业务数据流粒度,即针对用户,或针对PDN连接,或针对承载,或针对业务数据流,具体的,每个用户可能有若干个PDN连接,每个PDN连接上可能有若干个承载,每个承载上可能有若干业务数据流,上述实施例中加密指示针对的粒度可以根据实际应用有所不同,此处不做限定。
若加密指示针对某个用户进行加密,则在服务网关与演进基站之间传输的该用户的所有数据包都需要在演进基站和接入网关进行加密;若加密指示针对PDN连接粒度,则该用户至该PDN的所有数据包都需要在演进基站和接入网关之间进行加密;若加密指示针对承载粒度,则该用户属于该承载的所有数据包都需要在演进基站和接入网关进行加密。
上述实施例中,各网元之间传输加密指示,且该加密指示还需要进行各网元之间协商才能够确定最终的加密指示,演进基站和服务网关根据该最终加密指示进行数据的加密。
可以理解的是,在实际应用过程中,该加密指示同样可以不需要在网元之间协商和传递,而可以采取在演进基站和服务网关上基于业务类别配置加密策略的方法。
例如在演进网络中,业务流按照服务质量要求的不同分为若干种类别,用一个叫做服务质量类别标识(QCI,Quality of Service Class Identifier)的参数标识,在演进基站,移动管理实体和服务网关之间创建承载时,QCI是承载的属性之一,现有技术中的QCI用于标识服务质量需求近似的一类业务,但由于这种按照服务质量需求划分的业务类别在安全需求上也有相似性,如VoIP通常都需要加密,而WEB浏览或者TCP下载业务通常不需要加密,因此本实施例中同样可以按照QCI属性来区分是否需要对数据包进行加密。
若在演进基站和服务网关上分别对每个QCI类别是否需要在演进基站和服务网关之间加密进行配置,则演进基站和服务网关在转发数据时,可以先获得数据包对应的承载上下文的QCI类别,再查询配置中该QCI类别是否需要进行加密,并根据加密指示对数据包进行加密,该配置的一个示例如下表所示:
表4
QCI取值 | 业务类别 | 加密指示 |
1 | 实时游戏 | 不需要加密 |
2 | VoIP | 需要加密 |
3 | 实时视频 | 不需要加密 |
4 | 流媒体 | 不需要加密 |
5 | IMS信令 | 不需要加密 |
6 | 交互式游戏 | 不需要加密 |
7 | WEB浏览 | 不需要加密 |
8 | 优先TCP下载业务 | 需要加密 |
9 | 普通TCP下载业务 | 不需要加密 |
演进基站和服务网关则可以根据数据包对应的上下文的QCI类别查询是否需要对该数据包进行加密,具体的加密流程与上述实施例中的加密流程类似,此处不再赘述。
上述介绍了本发明实施例中的数据传输控制方法实施例,下面介绍本发明实施例中的通讯系统实施例,具体的,在下面的实施例中,均以演进基站作为接入点的例子,以及服务网关作为接入网关的例子进行说明,并且以PDN连接粒度作为所请求的业务流的粒度。可以理解的是,在实际应用中,接入点还可以是其他类型的网元,例如传统基站或其他接入设备,且接入网关还可以是其他类型的,用于控制接入点接入核心网的设备,具体的其他类型的接入点以及接入网关的处理流程与演进基站以及服务网关的处理流程类似,业务流还可以是用户粒度(终端粒度),承载粒度和业务数据流粒度等。请参阅图4,本发明实施例中,通讯系统实施例包括:
用户终端401,演进基站402,移动管理实体403,分组数据网络网关404以及服务网关405;
具体的各单元之间的功能按照场景的区别可以分为:
一、UE发送PDN连接请求的情况:
移动管理实体403,用于接收用户终端401发送的业务流接入请求,向服务网关405发送包含加密指示的创建网络承载请求,接收服务网关405反馈的创建网络承载响应,向演进基站402发送包含加密指示的无线承载建立请求;
演进基站402,用于接收移动管理实体403发送的包含加密指示的无线承载建立请求,并保存该无线承载建立请求中的加密指示,与对应的用户终端401建立无线承载,根据加密指示对转发的数据进行加密控制;
服务网关405,用于接收移动管理实体403发送的创建网络承载请求,获取加密指示,保存所述加密指示,根据加密指示对转发的数据进行加密控制。
本实施例中的通讯系统还可以进一步包括:
分组数据网络网关404,用于接收服务网关405发送的加密指示获取请求,查询用户对应的第二加密指示并向服务网关405反馈该第二加密指示;
所述服务网关405还用于向所述分组数据网络网关404发送加密指示获取请求,接收所述分组数据网络网关404反馈的第二加密指示,判断所述加密指示与所述第二加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向所述移动管理实体403发送包含所述最终加密指示的创建网络承载响应;
所述移动管理实体403还用于向演进基站402发送包含所述最终加密指示的无线承载建立请求。或者,
本实施例中的通讯系统还可以进一步包括:
分组数据网络网关404,用于接收服务网关405发送的加密指示获取请求,查询用户对应的第二加密指示并向服务网关405反馈该第二加密指示;
所述服务网关405还用于向所述分组数据网络网关404发送加密指示获取请求,接收所述分组数据网络网关404反馈的第二加密指示,向所述移动管理实体403发送包含所述加密指示以及所述第二加密指示的创建网络承载响应,接收移动管理实体403发送的包含最终加密指示的更新网络承载请求;
所述移动管理实体403还用于判断所述加密指示与所述第二加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向演进基站402发送包含所述最终加密指示的无线承载建立请求,向服务网关405发送包含所述最终加密指示的更新网络承载请求。
上述实施例中,
移动管理实体403接收用户终端401发送的包含加密指示的业务流接入请求,向服务网关405发送包含所述加密指示的创建网络承载请求,向演进基站402发送包含所述加密指示的无线承载建立请求;或
移动管理实体403根据接收到的业务流接入请求从HSS获取加密指示,向服务网关405发送包含所述加密指示的创建网络承载请求,向演进基站402发送包含所述加密指示的无线承载建立请求。
二、服务网关发送创建专有承载的情况:
分组数据网络网关404,用于向服务网关405发送包含指定用户的加密指示的触发创建专有承载消息;
服务网关405,用于接收所述包含指定用户的加密指示的触发创建专有承载消息,向移动管理实体403发送包含加密指示以及用户标识的创建专有承载请求,根据加密指示对转发的数据进行加密控制;
移动管理实体403,用于接收服务网关405发送的创建专有承载请求,向演进基站402发送包含该用户标识以及加密指示的无线承载建立请求,接收演进基站402反馈的无线承载建立响应;
演进基站402,用于接收移动管理实体403发送的无线承载建立请求,并根据该无线承载建立请求中的用户标识对应的用户终端401建立无线承载,保存加密指示,根据该加密指示对转发的数据进行加密控制。
本实施例中,所述移动管理实体403还用于根据所述用户标识从HSS中获取第二加密指示,判断所述第二加密指示与所述加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向演进基站402发送包含该用户标识以及最终加密指示的无线承载建立请求,向服务网关405发送包含所述最终加密指示的更新网络承载请求,服务网关405还用于接收包含所述最终加密指示的更新网络承载请求。
上述的通讯系统实施例中,演进基站402以及服务网关405可以在本地集成加密引擎,并采用该加密引擎对传输的数据流中的符合加密条件的数据包进行加密,同样也可以在该通讯系统中增添一对加密网关,而演进基站402以及服务网关405对接收到的数据流中的各数据包进行标识以区分需要加密的数据包以及不需要加密的数据包,并将标识后的数据流发送至加密网关,由加密网关根据标识对数据包进行分类,对需要加密的数据包加密。
上述实施例中的演进基站402以及服务网关405还可以对每个QCI类别是否需要在演进基站和服务网关之间加密进行配置,并在转发数据时,获取数据包对应的承载上下文的QCI类别,并查询配置中该QCI类别是否需要进行加密,并根据加密指示对数据包进行加密控制,包括自身加密或发送至加密网关进行加密。
请参阅图5,本实施例中加密控制网元第一实施例包括:
加密指示获取单元501,用于获取加密指示;
数据流接收单元502,用于接收数据流;
加密控制单元503,用于根据加密指示获取单元501获取到的加密指示确定数据流接收单元502接收到的数据流中需要进行加密的数据包,将需要进行加密的数据包发送至加密引擎504,将数据流中不需要加密的数据包发送至数据转发单元505;
加密引擎504,用于根据预置的加密算法对加密控制单元503选取的需要进行加密的数据包进行加密,并将加密后的数据包转发至数据转发单元505;
数据转发单元505,用于接收加密控制单元503发送的不需要进行加密的数据包以及加密引擎504发送的加密后的数据包,并将这些数据包进行组成后发送至对端。
请参阅图6,本实施例中加密控制网元第二实施例包括:
加密指示获取单元601,用于获取加密指示;
数据流接收单元602,用于接收数据流;
加密控制单元603,用于根据加密指示获取单元601获取到的加密指示确定数据流接收单元602接收到的数据流中需要进行加密的数据包;
标识单元604,用于根据加密控制单元603确定的需要加密的数据包对数据流中需要加密的数据包以及不需要加密的数据包进行区分标识,并将标识后的数据包组成数据流发送至数据流转发单元605;
数据流转发单元605,用于将标识单元604生成的数据流发送至加密网关进行加密处理。
上述描述的加密控制网元的实施例具体在实际中可以为演进基站或者为服务网关。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
接入网关或接入点获取加密指示;
根据所述加密指示确定所述接入网关和所述接入点之间的数据流中需要进行加密的数据包;
根据预置的加密方式对所述需要加密的数据包进行加密控制。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种数据传输控制方法及通讯系统以及加密控制网元进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (19)
1、一种数据传输控制方法,其特征在于,包括:
接入网关或接入点获取加密指示;
根据所述加密指示确定所述接入网关和所述接入点之间的数据流中需要进行加密的数据包;
根据预置的加密方式对所述需要加密的数据包进行加密控制。
2、根据权利要求1所述的方法,其特征在于,所述接入网关为服务网关,所述接入网关获取加密指示的步骤包括:
服务网关接收移动管理实体发送的包含加密指示的创建网络承载请求;
将所述加密指示保存于上下文中;
或
服务网关接收移动管理实体发送的创建网络承载请求;
向分组数据网络网关发送获取加密指示请求;
接收所述分组数据网络网关反馈的加密指示;
将所述加密指示保存于上下文中;
或
服务网关接收分组数据网络网关或策略控制功能实体发送的包含加密指示的触发创建专有承载请求消息;
将所述加密指示保存于上下文中。
3、根据权利要求1所述的方法,其特征在于,所述接入点为演进基站,所述接入点获取加密指示的步骤包括:
演进基站接收移动管理实体发送的包含加密指示的无线承载建立请求;
将所述加密指示保存于上下文中。
4、根据权利要求1所述的方法,其特征在于,所述接入网关或接入点获取加密指示的步骤包括:
接入网关或接入点获取预置的服务质量类别标识对应的加密指示;
将所述加密指示保存于上下文中。
5、根据权利要求2,3或4所述的方法,其特征在于,所述根据预置的加密方式对所述需要加密的数据包进行加密控制的步骤包括:
判断数据包对应的上下文中的加密指示是否为需要加密,若是,则演进基站通过自身集成的加密引擎,根据预置的加密方式对所述数据包进行加密;
将加密后的数据包以及未加密的数据包重新组成数据流;
将所述数据流通过移动管理实体发送至服务网关;
或
判断数据包对应的上下文中的加密指示是否为需要加密,若是,则服务网关通过自身集成的加密引擎,根据预置的加密方式对所述数据包进行加密;
将加密后的数据包以及未加密的数据包重新组成数据流;
将所述数据流通过移动管理实体发送至演进基站。
6、根据权利要求2,3或4所述的方法,其特征在于,所述根据预置的加密方式对所述需要加密的数据包进行加密控制的步骤包括:
演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识;
将携带有标识后的数据包的数据流发送至加密网关;
加密网关对接收到的数据流中的数据包标识对数据包进行分类;
对需要进行加密的数据包进行加密;
将加密后的数据包以及不需加密的数据包重新组成数据流;
将所述数据流发送至对应的目的端。
7、根据权利要求6所述的方法,其特征在于,所述演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识的步骤包括:
演进基站或服务网关在需要加密的数据包的源地址字段填入第一地址,在不需要加密的数据包的源地址字段填入第二地址;
所述加密网关对接收到的数据流中的数据包标识对数据包进行分类的步骤包括:
加密网关获取接收到的数据流中的数据包的源地址字段,若源地址字段为第一地址,则判断该数据包需要加密,若源地址字段为第二地址,则判断该数据包不需要加密。
8、根据权利要求6所述的方法,其特征在于,所述演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识的步骤包括:
演进基站或服务网关在需要加密的数据包的源端口字段填入第一端口,在不需要加密的数据包的源端口字段填入第二端口;
所述加密网关对接收到的数据流中的数据包标识对数据包进行分类的步骤包括:
加密网关获取接收到的数据流中的数据包的源端口字段,若源端口字段为第一端口,则判断该数据包需要加密,若源端口字段为第二端口,则判断该数据包不需要加密。
9、根据权利要求6所述的方法,其特征在于,所述演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识的步骤包括:
演进基站或服务网关在需要加密的数据包的互联网协议IP头中填入第一服务类型字段/差分服务标记字段TOS/DSCP值,在不需要加密的数据包的IP头中填入第二TOS/DSCP值;
所述加密网关对接收到的数据流中的数据包标识对数据包进行分类的步骤包括:
加密网关获取接收到的数据流中的数据包的IP头,若IP头为第一TOS/DSCP数值,则判断该数据包需要加密,若IP头为第二TOS/DSCP数值,则判断该数据包不需要加密。
10、根据权利要求6所述的方法,其特征在于,所述演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识的步骤包括:
演进基站或服务网关在需要加密的数据包的IP头中填入第一流标签FlowLabel标记值,在不需要加密的数据包的IP头中填入第二Flow Label标记值;
所述加密网关对接收到的数据流中的数据包标识对数据包进行分类的步骤包括:
加密网关获取接收到的数据流中的数据包的IP头,若IP头为第一FlowLabel标记值,则判断该数据包需要加密,若IP头为第二Flow Label标记值,则判断该数据包不需要加密。
11、根据权利要求6所述的方法,其特征在于,所述演进基站或服务网关对所述数据流中需要加密的数据包以及不需要加密的数据包分别进行标识的步骤包括:
演进基站或服务网关将需要加密的数据包通过第一路由路径发送至加密网关,将不需要加密的数据包通过第二路由路径发送至加密网关;
所述加密网关对接收到的数据流中的数据包标识对数据包进行分类的步骤包括:
加密网关获取接收到的数据包的路由路径,若该路由路径为第一路由路径,则判断该数据包需要加密,若该路由路径为第二路由路径,则判断该数据包不需要加密。
12、一种通讯系统,其特征在于,包括:
移动管理实体,用于接收用户终端发送的业务流接入请求,向接入网关发送包含加密指示的创建网络承载请求,接收接入网关反馈的创建网络承载响应,向接入点发送包含加密指示的无线承载建立请求;
接入点,用于接收移动管理实体发送的包含加密指示的无线承载建立请求,并保存该无线承载建立请求中的加密指示,与对应的用户终端建立无线承载,根据加密指示对转发的数据进行加密控制;
接入网关,用于接收移动管理实体发送的创建网络承载请求,获取加密指示,保存所述加密指示,根据加密指示对转发的数据进行加密控制。
13、根据权利要求12所述的通讯系统,其特征在于,所述通讯系统还包括:
分组数据网络网关,用于接收接入网关发送的加密指示获取请求,查询用户对应的第二加密指示并向接入网关反馈该第二加密指示;
所述接入网关还用于向所述分组数据网络网关发送加密指示获取请求,接收所述分组数据网络网关反馈的第二加密指示,判断所述加密指示与所述第二加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向所述移动管理实体发送包含所述最终加密指示的创建网络承载响应;
所述移动管理实体还用于向接入点发送包含所述最终加密指示的无线承载建立请求。
14、根据权利要求12所述的通讯系统,其特征在于,所述通讯系统还包括:
分组数据网络网关,用于接收接入网关发送的加密指示获取请求,查询用户对应的第二加密指示并向接入网关反馈该第二加密指示;
所述接入网关还用于向所述分组数据网络网关发送加密指示获取请求,接收所述分组数据网络网关反馈的第二加密指示,向所述移动管理实体发送包含所述加密指示以及所述第二加密指示的创建网络承载响应,接收移动管理实体发送的包含最终加密指示的更新网络承载请求;
所述移动管理实体还用于判断所述加密指示与所述第二加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向接入点发送包含所述最终加密指示的无线承载建立请求,向接入网关发送包含所述最终加密指示的更新网络承载请求。
15、根据权利要求12,13或14所述的通讯系统,其特征在于,
移动管理实体接收用户终端发送的包含加密指示的业务流接入请求,向所述接入网关发送包含所述加密指示的创建网络承载请求,向所述接入点发送包含所述加密指示的无线承载建立请求;
或
移动管理实体根据接收到的业务流接入请求从归属用户服务器HSS获取加密指示,向所述接入网关发送包含所述加密指示的创建网络承载请求,向所述接入点发送包含所述加密指示的无线承载建立请求。
16、一种通讯系统,其特征在于,包括:
分组数据网络网关,用于向接入网关发送包含指定用户的加密指示的触发创建专有承载消息;
接入网关,用于接收所述包含指定用户的加密指示的触发创建专有承载消息,向移动管理实体发送包含加密指示以及用户标识的创建专有承载请求,根据加密指示对转发的数据进行加密控制;
移动管理实体,用于接收接入网关发送的创建专有承载请求,向接入点发送包含该用户标识以及加密指示的无线承载建立请求,接收接入点反馈的无线承载建立响应;
接入点,用于接收移动管理实体发送的无线承载建立请求,并根据该无线承载建立请求中的用户标识对应的用户终端建立无线承载,保存加密指示,根据该加密指示对转发的数据进行加密控制。
17、根据权利要求16所述的通讯系统,其特征在于,
所述移动管理实体还用于根据所述用户标识从HSS中获取第二加密指示,判断所述第二加密指示与所述加密指示是否一致,若不一致,则选定需要使用的最终加密指示,向接入点发送包含该用户标识以及最终加密指示的无线承载建立请求,向接入网关发送包含所述最终加密指示的更新网络承载请求;
所述接入网关还用于接收包含所述最终加密指示的更新网络承载请求。
18、一种加密控制网元,其特征在于,包括:
加密指示获取单元,用于获取加密指示;
数据流接收单元,用于接收数据流;
加密控制单元,用于根据加密指示获取单元获取到的加密指示确定接收到的数据流中需要进行加密的数据包,将需要进行加密的数据包发送至加密引擎,将数据流中不需要加密的数据包发送至数据转发单元;
加密引擎,用于根据预置的加密算法对加密控制单元选取的需要进行加密的数据包进行加密,并将加密后的数据包转发至数据转发单元;
数据转发单元,用于接收加密控制单元发送的不需要进行加密的数据包以及加密引擎发送的加密后的数据包,并将这些数据包进行组成后发送至对端。
19、一种加密控制网元,其特征在于,包括:
加密指示获取单元,用于获取加密指示;
数据流接收单元,用于接收数据流;
加密控制单元,用于根据加密指示获取单元获取到的加密指示确定数据流接收单元接收到的数据流中需要进行加密的数据包;
标识单元,用于根据加密控制单元确定的需要加密的数据包对数据流中需要加密的数据包以及不需要加密的数据包进行区分标识,并将标识后的数据包组成数据流发送至数据流转发单元;
数据流转发单元,用于将标识单元生成的数据流发送至加密网关进行加密处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810004186.2A CN101494538B (zh) | 2008-01-23 | 2008-01-23 | 一种数据传输控制方法及通讯系统以及加密控制网元 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810004186.2A CN101494538B (zh) | 2008-01-23 | 2008-01-23 | 一种数据传输控制方法及通讯系统以及加密控制网元 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101494538A true CN101494538A (zh) | 2009-07-29 |
CN101494538B CN101494538B (zh) | 2014-04-02 |
Family
ID=40924959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810004186.2A Active CN101494538B (zh) | 2008-01-23 | 2008-01-23 | 一种数据传输控制方法及通讯系统以及加密控制网元 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101494538B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012019506A1 (zh) * | 2010-08-09 | 2012-02-16 | 中兴通讯股份有限公司 | 在固网移动网络融合场景下实现资源控制的方法和系统 |
CN102611548A (zh) * | 2011-12-08 | 2012-07-25 | 上海华御信息技术有限公司 | 基于信息传输端口来对信息进行加密的方法及系统 |
CN102625299A (zh) * | 2012-04-23 | 2012-08-01 | 北京市大富智慧云技术有限公司 | 一种数据传输方法、系统及设备 |
CN103491648A (zh) * | 2013-09-18 | 2014-01-01 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
CN104244309A (zh) * | 2014-09-29 | 2014-12-24 | 中国联合网络通信集团有限公司 | 配置rrc连接保障周期的方法及装置 |
WO2015032073A1 (zh) * | 2013-09-06 | 2015-03-12 | 华为技术有限公司 | 一种用于通用路由封装隧道的数据包转发方法及装置 |
CN105162789A (zh) * | 2015-09-21 | 2015-12-16 | 北京鼎普信息技术有限公司 | 一种数据加解密方法及装置 |
WO2017024905A1 (zh) * | 2015-08-07 | 2017-02-16 | 华为技术有限公司 | 一种确定数据传输路径的方法及装置 |
CN107786511A (zh) * | 2016-08-27 | 2018-03-09 | 北京信威通信技术股份有限公司 | 集群系统中实现群组通信安全的方法 |
CN109076631A (zh) * | 2016-04-25 | 2018-12-21 | 株式会社Ntt都科摩 | 交换机以及通信方法 |
WO2019015037A1 (zh) * | 2017-07-17 | 2019-01-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网接入点的选择加密方法及装置 |
CN109361667A (zh) * | 2018-10-16 | 2019-02-19 | 武大吉奥信息技术有限公司 | 一种空间举证信息防篡改的方法及装置 |
CN112351422A (zh) * | 2020-09-11 | 2021-02-09 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN114679326A (zh) * | 2022-03-30 | 2022-06-28 | 晨贝(天津)技术有限公司 | 一种业务消息转发的方法、装置及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
CN100563254C (zh) * | 2006-03-21 | 2009-11-25 | 华为技术有限公司 | 一种演进网络中漫游用户数据路由方法 |
CN101064921B (zh) * | 2006-04-30 | 2011-12-21 | 华为技术有限公司 | 一种用户设备与网络侧实现加密协商的方法 |
-
2008
- 2008-01-23 CN CN200810004186.2A patent/CN101494538B/zh active Active
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012019506A1 (zh) * | 2010-08-09 | 2012-02-16 | 中兴通讯股份有限公司 | 在固网移动网络融合场景下实现资源控制的方法和系统 |
CN102611548A (zh) * | 2011-12-08 | 2012-07-25 | 上海华御信息技术有限公司 | 基于信息传输端口来对信息进行加密的方法及系统 |
CN102625299A (zh) * | 2012-04-23 | 2012-08-01 | 北京市大富智慧云技术有限公司 | 一种数据传输方法、系统及设备 |
CN102625299B (zh) * | 2012-04-23 | 2015-11-25 | 北京市大富智慧云技术有限公司 | 一种数据传输方法、系统及设备 |
WO2015032073A1 (zh) * | 2013-09-06 | 2015-03-12 | 华为技术有限公司 | 一种用于通用路由封装隧道的数据包转发方法及装置 |
CN104798437A (zh) * | 2013-09-06 | 2015-07-22 | 华为技术有限公司 | 一种用于通用路由封装隧道的数据包转发方法及装置 |
CN103491648A (zh) * | 2013-09-18 | 2014-01-01 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
CN104244309A (zh) * | 2014-09-29 | 2014-12-24 | 中国联合网络通信集团有限公司 | 配置rrc连接保障周期的方法及装置 |
WO2017024905A1 (zh) * | 2015-08-07 | 2017-02-16 | 华为技术有限公司 | 一种确定数据传输路径的方法及装置 |
CN105162789A (zh) * | 2015-09-21 | 2015-12-16 | 北京鼎普信息技术有限公司 | 一种数据加解密方法及装置 |
CN105162789B (zh) * | 2015-09-21 | 2019-05-03 | 北京鼎普信息技术有限公司 | 一种数据加解密方法及装置 |
CN109076631A (zh) * | 2016-04-25 | 2018-12-21 | 株式会社Ntt都科摩 | 交换机以及通信方法 |
US11350287B2 (en) | 2016-04-25 | 2022-05-31 | Ntt Docomo, Inc. | Switch and communication method |
CN107786511A (zh) * | 2016-08-27 | 2018-03-09 | 北京信威通信技术股份有限公司 | 集群系统中实现群组通信安全的方法 |
WO2019015037A1 (zh) * | 2017-07-17 | 2019-01-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网接入点的选择加密方法及装置 |
CN109361667A (zh) * | 2018-10-16 | 2019-02-19 | 武大吉奥信息技术有限公司 | 一种空间举证信息防篡改的方法及装置 |
CN112351422A (zh) * | 2020-09-11 | 2021-02-09 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN112351422B (zh) * | 2020-09-11 | 2024-04-30 | 深圳Tcl新技术有限公司 | 加解密数据的方法、装置、设备及计算机存储介质 |
CN114679326A (zh) * | 2022-03-30 | 2022-06-28 | 晨贝(天津)技术有限公司 | 一种业务消息转发的方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101494538B (zh) | 2014-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101494538B (zh) | 一种数据传输控制方法及通讯系统以及加密控制网元 | |
US10666458B2 (en) | Method and apparatus for data transmission involving tunneling in wireless communication networks | |
EP3598784B1 (en) | Method and device enabling network side to identify and control remote user equipment | |
US10581747B2 (en) | System and method for low-overhead interoperability between 4G and 5G networks | |
US9693263B2 (en) | Method and system for data flow management of user equipment in a tunneling packet data network | |
WO2021000827A1 (zh) | 数据传输链路建立方法、装置以及计算机可读存储介质 | |
US20120287894A1 (en) | Method and system for setting up a bearer | |
TWI504198B (zh) | 經由虛擬專用網路來建立連接之方法及設備 | |
KR101936662B1 (ko) | 데이터 패킷을 포워딩하는 액세스 노드 장치 | |
KR20050048684A (ko) | 통신 시스템에서 마이크로-터널들을 사용하기 위한 방법 및장치 | |
US20160212778A1 (en) | Method and System for Data Flow Management of User Equipment in a Tunneling Packet Data Network | |
US10447503B2 (en) | Method and system for data flow management of user equipment in a tunneling packet data network | |
CN101442428A (zh) | 一种端到端QoS的申请方法、系统和设备 | |
CN112136305A (zh) | 虚拟联网环境中的协调数据共享 | |
KR20220160648A (ko) | 인터넷 프로토콜 버전 IPv6 기반 무선 네트워크 통신 방법 및 통신 디바이스 | |
CN108432212A (zh) | 基于流控制传输协议sctp的通信方法、装置和系统 | |
WO2018176187A1 (zh) | 数据传输方法、用户设备和控制面节点 | |
US10986209B2 (en) | Secure and reliable on-demand source routing in an information centric network | |
KR100997554B1 (ko) | 무선 통신 시스템에서의 헤더 압축 패킷 처리 방법, 단말,기지국, 및 제어국 | |
CN101227417B (zh) | 数据包分类方法及其系统 | |
US20140160936A1 (en) | Implementation of packet data service in a mobile communication network | |
WO2016197832A1 (zh) | 报文处理方法、设备和系统 | |
WO2008017275A1 (fr) | Procédé et système de classification de paquet, leur noeud de cryptage et noeud de classification | |
WO2023005314A1 (zh) | 通信方法及相关装置 | |
Suthar et al. | RFC 9269: Experimental Scenarios of Information-Centric Networking (ICN) Integration in 4G Mobile Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |