CN103957197B - 一种蜂窝移动通信网分组数据网保护方法 - Google Patents
一种蜂窝移动通信网分组数据网保护方法 Download PDFInfo
- Publication number
- CN103957197B CN103957197B CN201410150935.8A CN201410150935A CN103957197B CN 103957197 B CN103957197 B CN 103957197B CN 201410150935 A CN201410150935 A CN 201410150935A CN 103957197 B CN103957197 B CN 103957197B
- Authority
- CN
- China
- Prior art keywords
- special
- purpose terminal
- boundary protection
- data
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种蜂窝移动通信网分组数据网保护方法,其特征在于,该方法包括:S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界;S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关;S3.向专用终端及边界保护网关提供密码服务;S4.在所述密码服务功能的支持下,在边界保护网关与专用终端之间建立点到点安全协议;S5.根据所述密码服务功能及所述点到点安全协议,通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。
Description
技术领域
本发明涉及移动通信领域,具体涉及一种蜂窝移动通信网分组数据网保护方法。
背景技术
随着蜂窝移动通信网由以语音为中心的网络向以数据为中心的网络过渡,蜂窝移动通信网构成计算机网络的物理层和数据链路层,蜂窝移动通信网不再直接向用户提供具体的服务。
蜂窝移动通信网覆盖范围大,系统设备数量众多,很难采取物理和信息技术手段进行保护。来自蜂窝蜂窝移动通信网络的攻击对用户的分组数据内网构成安全威胁。针对来自蜂窝移动通信网络的安全威胁,分组数据内网可以在计算机网络的网络层采取安全抵御措施加以防护,例如IPSec技术。IPSec等网络层安全协议通常在计算机操作系统内实现。支持这些协议的操作系统包括WINDOWS、UNIX、LINUX等。
在计算机网络层实现的安全协议,由于计算机操作系统代码量庞大,安全漏洞的搜索和排查很难在较短的时间内完成,因此在产品的生命周期内,仅靠计算机网络层安全协议很难保证计算机内网的安全。虽然,蜂窝移动通信网络自身提供了安全措施,抵御多种安全威胁,特别是蜂窝移动通信网络提供终端鉴别机制和空中信道的机密性、完整性保护,但是蜂窝移动通信网是商用移动通信系统,用户数据在移动通信网的核心网仍然采用明文传送,蜂窝移动通信网的终端鉴别和密码保护强度都不能满足高安全级别用户的要求。特别是蜂窝移动通信网的设备都没有经过高级别的安全保证评估,这些设备的安全功能是否正确实现并没有充分可靠的证据进行证明。因此,对于高安全级别的专用的计算机网络,无论依靠计算机网络层的安全协议还是依靠移动通信网络的安全措施都不能满足用户的安全要求。
发明内容
本发明所要解决的技术问题是现有的蜂窝移动通信网络的安全措施无法满足高安全级别用户要求的问题。
为此目的,本发明提出一种蜂窝移动通信网分组数据网保护方法,该方法包括:
S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界;
S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关;
S3.向专用终端及边界保护网关提供密码服务;
S4.在所述密码服务功能的支持下,在边界保护网关与专用终端之间建立点到点安全协议;
S5.根据所述密码服务功能及所述点到点安全协议,通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。
其中,在步骤S1中,蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口,分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内;
蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口,专用终端TE内受保护的资产位于终端安全边界内。
其中,在步骤S2中,所述设置边界保护网关包括:
在所述交互的接口设置分组数据网关;
在所述分组数据网关内增加数据链路层密码机,所述边界保护网关为内含数据链路层密码机的分组数据网关。
其中,所述步骤S3包括:在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能,所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。
其中,在步骤S4中,专用终端的点到点安全协议设置在数据链路层的分组数据汇聚协议PDCP和网络层的因特网协议IP之间,边界保护网关的点到点安全协议设置在数据链路层。
其中,所述步骤S5包括:
S51.所述边界保护网关与所述专用终端通过所述密码服务功能完成双向鉴别;
S52.判断双向鉴别是否成功,如果成功,则专用终端通过边界保护网关获得生成工作密钥所需的预设参数,执行步骤S53,否则,边界保护网关或专用终端提示鉴别失败;
S53.所述边界保护网关与所述专用终端通过所述密码服务功能在数据链路层对专用终端或分组数据网发起的上层会话进行保护。
其中,所述步骤S51包括:
S511.所述边界保护网关接收并处理专用终端发送的上行数据,所述上行数据包括专用终端的密码服务功能数据;
S512.所述边界保护网关向专用终端发送下行数据,所述专用终端处理接收到的下行数据,所述下行数据包括专用终端的密码服务功能数据。
其中,所述步骤S53包括:
所述边界保护网关与所述专用终端依照数据链路层预设的安全功能策略,对传送的数据链路层净荷提供机密性和完整性保护。
较佳的,该方法进一步包括:
S6.所述边界保护网关根据用户的数据链路层身份标识即用户使用的终端的访问令牌标识、用户的网络层标识即IP地址、用户数据的网络层安全属性以及三者之间保持的预设的访问控制规则或预设的信息流控制规则,控制访问动作的实施或信息的流动,所述安全属性包括目的地址和数据的类型。
相比于现有技术,本发明提供的方法的有益效果是:与网络层安全协议相比,本发明所用的数据链层安全协议具有协议简单、实现方便、运算及协议开销小的技术优势,特别是在信息安全领域,更适合满足高保证安全要求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了一种蜂窝移动通信网分组数据网保护方法流程图;
图2示出了实施例2中在蜂窝移动通信网与分组数据网之间确定安全边界的示意图
图3示出了实施例2中在蜂窝移动通信网中的专用终端内部确定安全边界以及密码服务功能的示意图;
图4示出了实施例2中在边界保护网关与专用终端之间建立点到点安全协议的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本发明实施例公开一种蜂窝移动通信网分组数据网保护方法,如图1所示,该方法包括:
S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界;
S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关;
S3.向专用终端及边界保护网关提供密码服务;
S4.在所述密码服务功能的支持下,在边界保护网关与专用终端之间建立点到点安全协议;
S5.根据所述密码服务功能及所述点到点安全协议,通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。
其中,在步骤S1中,蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口,分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内;
蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口,专用终端TE内受保护的资产位于终端安全边界内。
其中,在步骤S2中,所述设置边界保护网关包括:
在所述交互的接口设置分组数据网关;
在所述分组数据网关内增加数据链路层密码机,所述边界保护网关为内含数据链路层密码机的分组数据网关。
其中,所述步骤S3包括:在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能,所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。
其中,在步骤S4中,专用终端的点到点安全协议设置在数据链路层的分组数据汇聚协议PDCP和网络层的因特网协议IP之间,边界保护网关的点到点安全协议设置在数据链路层。
其中,所述步骤S5包括:
S51.所述边界保护网关与所述专用终端通过所述密码服务功能完成双向鉴别;
S52.判断双向鉴别是否成功,如果成功,则专用终端通过边界保护网关获得生成工作密钥所需的预设参数,执行步骤S53,否则,边界保护网关或专用终端提示鉴别失败;
S53.所述边界保护网关与所述专用终端通过所述密码服务功能在数据链路层对专用终端或分组数据网发起的上层会话进行保护。
其中,所述步骤S51包括:
S511.所述边界保护网关接收并处理专用终端发送的上行数据,所述上行数据包括专用终端的密码服务功能数据;
S512.所述边界保护网关向专用终端发送下行数据,所述专用终端处理接收到的下行数据,所述下行数据包括专用终端的密码服务功能数据。
其中,所述步骤S53包括:
所述边界保护网关与所述专用终端依照数据链路层预设的安全功能策略,对传送的数据链路层净荷提供机密性和完整性保护。
较佳的,该方法进一步包括:
S6.所述边界保护网关根据用户的数据链路层身份标识即用户使用的终端的访问令牌标识、用户的网络层标识即IP地址、用户数据的网络层安全属性以及三者之间保持的预设的访问控制规则或预设的信息流控制规则,控制访问动作的实施或信息的流动,所述安全属性包括目的地址和数据的类型。
实施例2
本实施例公开一种蜂窝移动通信网分组数据网保护方法,如图1所示,本实施例以LTE移动通信网为例,该方法包括:
S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界,如图2和图3所示,蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口,分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内;
蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口,专用终端TE内受保护的资产位于终端安全边界内。
S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关,如图2所示,所述设置边界保护网关包括:
在所述交互的接口设置分组数据网关;
在所述分组数据网关内增加数据链路层密码机,所述边界保护网关为内含数据链路层密码机的分组数据网关。
S3.向专用终端及边界保护网关提供密码服务,如图3所示,在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能,所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间,在图3中,边界保护网关的密码服务功能由其内部的数据链路层密码机提供。
S4.在所述密码服务功能的支持下,在边界保护网关与专用终端之间建立点到点安全协议,如图4所示,专用终端的点到点安全协议设置在数据链路层的分组数据汇聚协议PDCP和网络层的因特网协议IP之间,边界保护网关的点到点安全协议设置在数据链路层,在图4中,边界保护网关的专用接口可自定义,不需按照国际标准分层接口进行设计,可提高安全性。
S5.根据所述密码服务功能及所述点到点安全协议,通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护,具体包括:
S51.所述边界保护网关与所述专用终端通过所述密码服务功能完成双向鉴别;
S511.所述边界保护网关接收并处理专用终端发送的上行数据,所述上行数据包括专用终端的密码服务功能数据;
S512.所述边界保护网关向专用终端发送下行数据,所述专用终端处理接收到的下行数据,所述下行数据包括专用终端的密码服务功能数据;
S52.判断双向鉴别是否成功,如果成功,则专用终端通过边界保护网关获得生成工作密钥所需的预设参数,执行步骤S53,否则,边界保护网关或专用终端提示鉴别失败;
S53.所述边界保护网关与所述专用终端通过所述密码服务功能在数据链路层对专用终端或分组数据网发起的上层会话进行保护,所述边界保护网关与所述专用终端依照数据链路层预设的安全功能策略,对传送的数据链路层净荷提供机密性和完整性保护。
S6.所述边界保护网关根据用户的数据链路层身份标识即用户使用的终端的访问令牌标识、用户的网络层标识即IP地址、用户数据的网络层安全属性以及三者之间保持的预设的访问控制规则或预设的信息流控制规则,控制访问动作的实施或信息的流动,所述安全属性包括目的地址和数据的类型。
本实施例中当专用终端或分组数据内网发起网络层会话时,专用终端和分组数据边界保护网关密码服务功能实体依照数据链路层安全功能策略,对在GTP-U隧道内传送的网络层用户数据(IP数据包)提供机密性和完整性保护。
用户真实身份由链路层点到点协议保护,用户真实身份与用户的移动通信网络身份去耦合。用户在分组数据内网的权限由用户真实身份以及与其关联的属性确定,与用户的移动通信网络身份无关。
本实施例本方法所需的设备可以通过改造商用现货实现。特别是本实施例公开的边界保护网关,可以由商用的PGW通过简单的软件、硬件改造实现。
由于本实施例提出改造的移动通信网的网元是分组数据网关,服从3GPP规范的移动通信运营商均支持归属地漫游方式,因此无论用户在哪个运营商的无线网络覆盖下漫游都可以以安全的方式访问归属地分组数据网边界网关。因此,这种方法适合多运营商接入。
本实施例公开的蜂窝移动通信网分组数据网边界保护方法通过改造移动通信终端(专用终端)和移动通信网分组数据网关,在移动通信终端和移动通信网分组数据网关之间的数据链路上实现点到点的安全协议,通过简单高效的数据链路层密码服务抵御高强度远程攻击,采用网络访问控制技术,根据用户真实身份以及其访问对象的属性,控制信息在链路层与网络层之间的流动从源头上抵御威胁主体在网络层发动的攻击,同时将用户真实身份与用户的移动通信网络身份分离,保护用户身份的真实信息,抵御攻击者对用户的跟踪和定位。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (8)
1.一种蜂窝移动通信网分组数据网保护方法,其特征在于,该方法包括:
S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界;
S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关;
S3.向专用终端及边界保护网关提供密码服务;
S4.在所述密码服务功能的支持下,在边界保护网关与专用终端之间建立点到点安全协议;
S5.根据所述密码服务功能及所述点到点安全协议,通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护;
在步骤S1中,蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口;
在步骤S2中,所述设置边界保护网关包括:
在所述交互的接口设置分组数据网关;
在所述分组数据网关内增加数据链路层密码机,所述边界保护网关为内含数据链路层密码机的分组数据网关。
2.根据权利要求1所述的方法,其特征在于,分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内;
蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口,专用终端内受保护的资产位于终端安全边界内。
3.根据权利要求1所述的方法,其特征在于,所述步骤S3包括:在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能,所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。
4.根据权利要求1所述的方法,其特征在于,在步骤S4中,专用终端的点到点安全协议设置在数据链路层的分组数据汇聚协议PDCP和网络层的因特网协议IP之间,边界保护网关的点到点安全协议设置在数据链路层。
5.根据权利要求1所述的方法,其特征在于,所述步骤S5包括:
S51.所述边界保护网关与所述专用终端通过所述密码服务功能完成双向鉴别;
S52.判断双向鉴别是否成功,如果成功,则专用终端通过边界保护网关获得生成工作密钥所需的参数,执行步骤S53,否则,边界保护网关或专用终端提示鉴别失败;
S53.所述边界保护网关与所述专用终端通过所述密码服务功能在数据链路层对专用终端或分组数据网发起的上层会话进行保护。
6.根据权利要求5所述的方法,其特征在于,所述步骤S51包括:
S511.所述边界保护网关接收并处理专用终端发送的上行数据,所述上行数据包括专用终端的密码服务功能数据;
S512.所述边界保护网关向专用终端发送下行数据,所述专用终端处理接收到的下行数据,所述下行数据包括专用终端的密码服务功能数据。
7.根据权利要求5所述的方法,其特征在于,所述步骤S53包括:
所述边界保护网关与所述专用终端依照数据链路层预设的安全功能策略,对传送的数据链路层净荷提供机密性和完整性保护。
8.根据权利要求1所述的方法,其特征还在于,该方法进一步包括:
S6.所述边界保护网关根据用户的数据链路层身份标识即用户使用的终端的访问令牌标识、用户的网络层标识即IP地址、用户数据的网络层安全属性以及三者之间保持的预设的访问控制规则或预设的信息流控制规则,控制访问动作的实施或信息的流动,所述安全属性包括目的地址和数据的类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410150935.8A CN103957197B (zh) | 2014-04-15 | 2014-04-15 | 一种蜂窝移动通信网分组数据网保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410150935.8A CN103957197B (zh) | 2014-04-15 | 2014-04-15 | 一种蜂窝移动通信网分组数据网保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103957197A CN103957197A (zh) | 2014-07-30 |
| CN103957197B true CN103957197B (zh) | 2017-05-24 |
Family
ID=51334423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410150935.8A Active CN103957197B (zh) | 2014-04-15 | 2014-04-15 | 一种蜂窝移动通信网分组数据网保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103957197B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286930A (zh) * | 2018-10-18 | 2019-01-29 | 广州市科航通信科技有限公司 | 一种蜂窝移动通信网分组数据网保护方法 |
| CN111757322B (zh) * | 2020-06-19 | 2023-11-17 | 兴唐通信科技有限公司 | 基站密码服务中心化的蜂窝移动通信网保护方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
-
2014
- 2014-04-15 CN CN201410150935.8A patent/CN103957197B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103957197A (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
| Navarro-Ortiz et al. | Integration of LoRaWAN and 4G/5G for the Industrial Internet of Things | |
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| CN104270250B (zh) | 基于非对称全程加密的WiFi互联网上网连接认证方法 | |
| CN112997454A (zh) | 经由移动通信网络连接到家庭局域网 | |
| CN109788474A (zh) | 一种消息保护的方法及装置 | |
| CN101990211B (zh) | 网络接入方法、装置和系统 | |
| CN110199509A (zh) | 使用多路径验证的未授权接入点检测 | |
| Li et al. | Transparent AAA security design for low-latency MEC-integrated cellular networks | |
| CN107968774A (zh) | 一种车联网终端设备的信息安全防护方法 | |
| US11412386B2 (en) | Cybersecurity system for inbound roaming in a wireless telecommunications network | |
| CN109691154A (zh) | 基于密钥刷新的按需网络功能重新认证 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| WO2016007052A1 (en) | A wireless device, network node and respective methods therein for transmitting data therebetween | |
| US20230247434A1 (en) | Cybersecurity system for outbound roaming in a wireless telecommunications network | |
| CN109803262A (zh) | 一种网络参数的传输方法及装置 | |
| CN109964500A (zh) | 导出用于中继通信的安全密钥 | |
| US20140269427A1 (en) | Mobile access controller for fixed mobile convergence of data service over an enterprise wlan | |
| Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
| CN103795736B (zh) | 针对移动终端不同联网通道的防火墙联网系统 | |
| CN103957197B (zh) | 一种蜂窝移动通信网分组数据网保护方法 | |
| CN106465117A (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| CN104168564A (zh) | 基于gprs网络和一体化标识网络的认证方法和装置 | |
| CN108738015A (zh) | 网络安全保护方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |