一种数据路由及其控制方法及设备
技术领域
本发明涉及通信技术领域,尤其涉及一种数据路由及其控制方法及设备。
背景技术
随着无线通信技术的飞速发展,多种无线网络大量共存。如图1所示,长期演进网络(Long Term Evolution,LTE)(图1中的LTE宏基站和LTE微基站)和无线保真(Wireless-Fidelity,Wi-Fi)(图1中的Wi-Fi)共存,第二代移动通信技术(2-Generation,2G)(图1中的2G基站)、第三代移动通信技术(3rd-Generation,3G)(图1中的3G基站)和第四代移动通信技术4G(4-Generation,4G)共存,4G中分时长期演进(Time Division Long TermEvolution,TD-LTE)和分频长期演进(Frequency Division Long Term Evolution,FD-LTE)共存,以及4G与后续出现的第五代移动通信技术(5-Generation,5G)(图1中5G网络)共存。用户设备与多个无线网络保持连接是现在的普遍现象,也是后续发展的趋势。即使在同一个无线网络中,也可能有多个服务单元,不同基站同时为用户设备服务,例如:LTE系统中宏小区(宏基站)和小小区(微基站)同时为一个用户设备服务。
另外,在专网应用中,对于用户设备有互联互通的需求,具体来说:用户设备可以接入不同运营商部署的专网;同一个用户设备既可以接入专网也可以接入公网,例如:同一个用户设备和呼叫号码,既可以作为公网呼叫号码,也可以作为专网呼叫号码。
以煤矿专网为例,图2中的公网是运营商部署的公共通信网络(例如:移动、联通、电信网络),专网1是矿区地面专网,专网2是井下专网。用户只需一台用户设备和一个呼叫号码,其他公网用户可以通过公网呼叫该用户进行日常通信联络;矿区地面工作调度可以通过专网1与用户联系;在井下时,则通过专网2对用户进行安全生产调度。在网络覆盖范围内,用户设备可以与公网、专网1、专网2的一个或多个同时保持连接。
用户设备与多个无线网络保持连接时,具体的业务数据包由多个无线网络连接中的其中一个网络节点为其进行传输。例如:图1中用户设备同时与Wi-FiAP和LTE宏基站保持连接时,可以由Wi-Fi为用户提供数据业务传输;图2中用户设备同时与公网和专网1保持连接时,可以由专网1或公网提供上网服务。
不同通信系统对安全的要求不同,例如:蜂窝网的安全需求高于Wi-Fi,专网的安全需求高于公网。但在网络对数据的传输过程中,有些病毒会植入中间节点,如基站、网关、服务器等,再通过网络数据传输传送给该网络中的其他用户设备。
高级持续性威胁(Advanced Persistent Threat,APT)攻击已成为目前主要的网络安全威胁,需要解决可信启动和可信存储等问题。
以专网应用为例,专网提出与公网同号同用户设备的需求,但不能将外部病毒带入专网内,更不能将专网信息外泄。对企业内部无线网络,用户可以在企业网络内进行工作相关的信息传输,但不希望植入病毒或外泄企业机密。
综上所述,用户设备与多个无线网络保持连接是无线通信系统发展的趋势,当前网络结构无法对具有不同安全需求的无线网络进行差别化管理,只能通过防火墙或防火墙应用节点(例如:服务器)等被动方式进行安全防御,安全保障远远不能满足当前安全系统的需求,存在植入应用、安全攻击和信息窃取的风险。
发明内容
本发明实施例提供了一种数据路由及其控制方法及设备,用以确定路由策略信息,对数据的安全性进行分析,进而选择安全的数据传输路径,在保证数据有效传输的同时解决不同无线网络的安全性问题,对具有不同安全需求的无线网络进行差别化管理,满足安全系统的需求,降低了植入应用、安全攻击和信息窃取的风险。
本发明实施例提供的一种数据路由控制方法,该方法包括:路由策略制定实体确定路由策略信息;路由策略制定实体将所述路由策略信息发送至路由策略执行实体,以指示所述路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
本发明实施例提供的上述方法中,通过确定路由策略信息并指示路由策略执行实体根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据不同的网络安全需求确定不同的路由策略信息,并根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略信息用于对在无线网络中传输的数据进行安全性分析。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略信息包括以下信息之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略制定实体为:用户设备、安全网关、或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略制定实体为用户设备时,所述路由策略制定实体确定路由策略信息,包括:所述用户设备从本地读取预先配置的路由策略信息或接收路由策略信息。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略执行实体包括:安全网关和无线接入网侧的网络侧实体;所述路由策略制定实体将所述路由策略信息发送至路由策略执行实体,包括:所述用户设备通过所述无线接入网侧的网络侧实体将所述路由策略信息发送至所述安全网关。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略执行实体为无线接入网侧的网络侧实体时,所述路由策略制定实体确定路由策略消息,包括:所述无线接入网侧的网络侧实体基于预设的安全参数确定路由策略消息。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略执行实体包括:安全网关和用户设备;所述路由策略制定实体将所述路由策略信息发送至路由策略执行实体,包括:所述无线接入网侧的网络侧实体将确定的路由策略信息发送至所述安全网关;以及,所述无线接入网侧的网络侧实体将确定的路由策略消息发送至接入该无线接入网侧的网络侧实体所在网络的用户设备。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略制定实体为安全网关时,所述路由策略制定实体确定路由策略信息,包括:安全网关接收高级控制实体配置的路由策略信息。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略执行实体包括:无线接入网侧的网络侧实体和用户设备;所述路由策略制定实体将所述路由策略信息发送至路由策略执行实体,包括:所述安全网关通过所述无线接入网侧的网络侧实体将所述路由策略信息发送至所述用户设备;或者所述安全网关将所述路由策略信息发送至该安全网关控制的无线通信系统中的网络侧实体,以指示所述无线通信系统中的网络侧实体存储所述路由策略信息,并在用户设备接入该无线网络系统时所述无线通信系统中的网络侧实体将所述路由策略信息发送至所述用户设备。
本发明实施例提供的一种数据路由方法,包括:路由策略执行实体接收路由策略制定实体发送的路由策略信息;路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径;采用该路径进行数据传输。
本发明实施例提供的上述方法中,通过接收路由策略制定实体确定路由策略信息并根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略信息用于对在无线网络中传输的数据进行安全性分析;所述路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:所述路由策略执行实体根据所述路由策略信息对数据的安全性进行分析并在连接的多个无线网络中为该数据选择安全的数据传输路径。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略信息包括以下之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述路由策略执行实体为:用户设备、安全网关或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略执行实体为用户设备时,所述路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:所述用户设备识别待传输数据的应用;和/或识别待传输数据的业务类型;和/或识别待传输数据使用的操作系统;所述用户设备根据识别结果,基于路由策略信息在连接的多个无线网络中选择待传输数据的传输路径。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略执行实体为无线接入网侧的网络侧实体时,所述路由策略执行实体根据所述路由策略消息在连接的多个无线网络中选择安全的数据传输路径,包括:所述无线接入网侧的网络侧实体存储路由策略消息;当建立业务承载时,所述无线接入网侧的网络侧实体根据存储的路由策略消息,拒绝为禁止在该无线接入网侧的网络侧实体所在网络传输的数据建立承载;和/或所述无线接入网侧的网络侧实体识别在该无线接入网侧的网络侧实体所在网络传输的数据,当根据存储的路由策略信息确定传输的数据为禁止传输的数据时,丢弃或暂存所述数据,并通知传输该数据的用户设备和/或高级节点该数据禁止在该网络中传输。
在一种可能的实施方式中,本发明实施例提供的上述方法中,该方法还包括:所述无线接入网侧的网络侧实体统计预设时间内接收到的同一用户设备发送的禁止在该网络传输的数据的次数;当统计的次数大于或等于预设阈值时,所述无线接入网侧的网络侧实体进行提醒并释放与所述用户设备的网络连接。
在一种可能的实施方式中,本发明实施例提供的上述方法中,当所述路由策略执行实体为安全网关时,所述路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:所述安全网关基于路由策略信息检测该安全网关所控制网络的已有应用和消息;当检测到禁止传输的数据时,所述安全网关确定发送所述数据的用户设备,向所述用户设备发送警告并释放与所述用户设备的连接;所述安全网关存储所述用户设备的信息与禁止传输的数据的发送情况信息,并通知所述用户设备对应的无线接入网侧的网络侧实体,在预设时间内禁止所述用户设备接入网络。
本发明实施例提供的一种数据路由控制设备,包括:策略制定单元,用于确定路由策略信息;发送单元,连接至所述策略制定单元,用于将所述路由策略信息发送至路由策略执行实体,以指示所述路由策略执行实体根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
本发明实施例提供的上述设备中,通过确定路由策略信息并指示路由策略执行实体根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据不同的网络安全需求确定不同的路由策略信息,并根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略信息用于对在无线网络中传输的数据进行安全性分析。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略信息包括以下信息之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述数据路由控制设备为:用户设备、安全网关、或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由控制设备为用户设备时,所述策略制定单元确定路由策略信息,包括:所述策略制定单元从本地读取预先配置的路由策略信息或接收路由策略信息。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略执行实体包括:安全网关和无线接入网侧的网络侧实体;所述发送单元将所述路由策略信息发送至路由策略执行实体,包括:所述发送单元通过所述无线接入网侧的网络侧实体将所述路由策略信息发送至所述安全网关。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由控制设备为无线接入网侧的网络侧实体时,所述策略制定单元确定路由策略消息,包括:所述策略制定单元基于预设的安全参数确定路由策略消息。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略执行实体包括:安全网关和用户设备;所述发送单元将所述路由策略信息发送至路由策略执行实体,包括:所述发送单元将确定的路由策略信息发送至所述安全网关;以及,所述发送单元将确定的路由策略消息发送至接入该无线接入网侧的网络侧实体所在网络的用户设备。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由控制设备为安全网关时,所述策略制定单元确定路由策略信息,包括:所述策略制定单元接收高级控制实体配置的路由策略信息。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略执行实体包括:无线接入网侧的网络侧实体和用户设备;所述发送单元将所述路由策略信息发送至路由策略执行实体,包括:所述发送单元通过所述无线接入网侧的网络侧实体将所述路由策略信息发送至所述用户设备;或者所述发送单元将所述路由策略信息发送至该安全网关控制的无线通信系统中的网络侧实体,以指示所述无线通信系统中的网络侧实体存储所述路由策略信息,并在用户设备接入该无线网络系统时所述无线通信系统中的网络侧实体将所述路由策略信息发送至所述用户设备。
本发明实施例提供的一种数据路由设备,包括:接收单元,用于接收路由策略制定实体发送的路由策略信息;处理单元,连接至所述接收单元,用于根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径;发送单元,连接至所述处理单元,用于采用该路径进行数据传输。
本发明实施例提供的上述设备中,通过接收路由策略制定实体确定路由策略信息并根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略信息用于对在无线网络中传输的数据进行安全性分析;所述处理单元具体用于:根据所述路由策略信息对数据的安全性进行分析并在连接的多个无线网络中为该数据选择安全的数据传输路径。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述路由策略信息包括以下之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述数据路由设备为:用户设备、安全网关或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由设备为用户设备时,所述处理单元根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:所述处理单元识别待传输数据的应用;和/或识别待传输数据的业务类型;和/或识别待传输数据使用的操作系统;以及,根据识别结果,基于路由策略信息在连接的多个无线网络中选择待传输数据的传输路径。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由设备为无线接入网侧的网络侧实体时,所述处理单元根据所述路由策略消息在连接的多个无线网络中选择安全的数据传输路径,包括:所述处理单元存储路由策略消息;当建立业务承载时,所述处理单元根据存储的路由策略消息,拒绝为禁止在该无线接入网侧的网络侧实体所在网络传输的数据建立承载;和/或所述处理单元识别在该无线接入网侧的网络侧实体所在网络传输的数据,当根据存储的路由策略信息确定传输的数据为禁止传输的数据时,丢弃或暂存所述数据,并通知传输该数据的用户设备和/或高级节点该数据禁止在该网络中传输。
在一种可能的实施方式中,本发明实施例提供的上述设备中,所述处理单元还用于:统计预设时间内接收到的同一用户设备发送的禁止在该网络传输的数据的次数;当统计的次数大于或等于预设阈值时,所述处理单元进行提醒并释放与所述用户设备的网络连接。
在一种可能的实施方式中,本发明实施例提供的上述设备中,当所述数据路由设备为安全网关时,所述处理单元根据所述路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:所述处理单元基于路由策略信息检测该安全网关所控制网络的已有应用和消息;当检测到禁止传输的数据时,所述处理单元确定发送所述数据的用户设备,向所述用户设备发送警告并释放与所述用户设备的连接;所述处理单元存储所述用户设备的信息与禁止传输的数据的发送情况信息,并通知所述用户设备对应的无线接入网侧的网络侧实体,在预设时间内禁止所述用户设备接入网络。
附图说明
图1为现有技术中用户设备与多个无线通信网络系统保持连接的示意图;
图2为现有技术中煤矿专网系统中用户设备与多个无线通信网络系统保持连接的示意图;
图3为本发明实施例提供的路由策略制定实体侧的数据路由控制方法的流程示意图;
图4为本发明实施例提供的路由策略执行实体侧的数据路由方法的流程示意图;
图5为本发明实施例提供的路由策略制定实体侧的一种数据路由控制设备的结构示意图;
图6为本发明实施例提供的路由策略制定实体侧的另一种数据路由控制设备的结构示意图;
图7为本发明实施例提供的路由策略制定实体侧的又一种数据路由控制设备的结构示意图;
图8为本发明实施例提供的路由策略执行实体侧的一种数据路由设备的结构示意图;
图9为本发明实施例提供的路由策略执行实体侧的另一种数据路由设备的结构示意图;
图10为本发明实施例提供的路由策略执行实体侧的又一种数据路由设备的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种数据路由及其控制方法及设备的具体实施方式进行详细地说明。
在路由策略制定实体侧,本发明实施例提供的一种数据路由控制方法,如图3所示,该方法包括:
步骤302,路由策略制定实体确定路由策略信息;
步骤304,路由策略制定实体将路由策略信息发送至路由策略执行实体,以指示路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
本发明实施例提供的方法中,通过确定路由策略信息并指示路由策略执行实体根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据不同的网络安全需求确定不同的路由策略信息,并根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
路由策略制定实体用于确定路由策略信息,也即确定业务数据路径选择的策略,在本发明实施例中,路由策略消息确定的主要依据是网络安全,即不允许特定业务、应用或操作系统数据通过特定网络进行数据传输。在此基础上,路由策略信息的确定还可以考虑的因素有:用户对象特性,例如:用户优先级、用户偏好、业务数据优先级,例如:网络拥塞时优先级高的数据可优先通过特定网络等。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略信息用于对在无线网络中传输的数据进行安全性分析。
具体实施时,路由策略制定实体确定用于对数据安全性进行分析的路由策略信息;路由策略制定实体将所述路由策略信息发送至路由策略执行实体,以指示所述路由策略执行实体根据所述路由策略信息对数据的安全性进行分析并根据分析结果在连接的多个无线网络中为该数据选择安全的传输路径。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略信息包括以下信息之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
需要说明的是,传输路径限制指特定的应用、特定的业务或基于特定操作系统的应用,不能从指定无线网络进行数据传输,指定网络一般指安全性要求较高的网络,例如:专网系统。
作为较为具体的实施例,以安全网关为路由策略执行实体为例,安全网关负责基于安全的业务数据控制和分流,用于选择和控制多个无线网络的业务数据传输路径,此处控制公网和专网两个网络。出于专网内部安全需求,专网只能传输工作相关的业务数据,启动工作相关应用,包括各种办公软件数据,用户如果有视频娱乐等需求,对应的应用和业务数据传输路径设置为公网,相关应用和业务数据都不从专网路由传输。
从控制信令方面,由于专网是着重进行安全管理的网络,安全网关需要通知用户设备和专网特定业务和应用可以通过专网路由传输;安全网关可通知公网业务数据路由决策,也可以不通知,默认不能通过专网路由传输的业务和应用都通过公网承载。此外,路径选择受控于安全网关,如果有非授权的应用(如病毒攻击)试图访问专网,安全网关可以针对专网网络侧节点接入业务应用类型通知或配合定期安全自查等方式使非授权的应用不能在专网通道上传输。
路由策略信息用于对在无线网络中传输的数据进行安全性分析,具体指最有利于当前网络状况安全的标准,例如:公网与企业专网同时连接时,专网作为工作网络,着重考虑公司设备和信息安全,不考虑个人隐私等问题,只允许办公相关软件和业务数据路由。
路由策略信息根据不同应用和场景可以有不同设置,可以预先配置在决策点中,也可以通过运行管理维护(Operations Administration and Maintenance,OAM)实体或类似OAM的其他高级控制实体配置。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略制定实体为:用户设备、安全网关、或无线接入网侧的网络侧实体。
无线接入网侧的网络侧实体,可以是基站、网关或无线接入网(Radio AccessNetwork,RAN)集中控制实体。
当然,较佳地,路由策略制定实体一般为安全网关或核心网网关等实体。路由策略执行实体也可以为:用户设备、安全网关、或无线接入网侧的网络侧实体,当路由策略制定实体和路由策略执行实体为同一设备时,则路由策略制定实体不需要将路由策略信息发送至路由策略执行实体,但安全网关作为控制中心,用户设备或无线接入网侧的网络侧实体制定的路由策略信息均需发送至安全网关。路由策略制定实体制定路由策略信息有以下三种实施方式:
实施方式一、路由策略制定实体为用户设备。路由策略制定实体确定路由策略信息,包括:用户设备从本地读取预先配置的路由策略信息或接收路由策略信息。
具体来说,当路由策略制定实体为用户设备时,用户设备可以从本地读取预先配置的路由策略信息,也可以基于人机交互确定路由策略信息,例如:接收用户配置的路由策略信息。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略执行实体包括:安全网关和无线接入网侧的网络侧实体;路由策略制定实体将路由策略信息发送至路由策略执行实体,包括:用户设备通过无线接入网侧的网络侧实体将路由策略信息发送至安全网关。
具体实施时,用户设备确定路由策略信息之后,在用户设备初始接入网络时将确定的路由策略信息发送至基站,基站将路由策略信息发送至安全网关,当然,基站可以透传路由策略信息,也即基站不解读路由策略信息,但是需要说明的是,如果基站透传路由策略信息,则基站将不知道路由策略信息,则不能作为路由策略执行实体。
用户设备与多个无线网络连接时,可以只在初始接入网络时,或接入需要进行基于路由策略信息进行安全路径选择的无线网络时,发送基于路由策略信息,不需要接入每个无线网络时都发送路由策略信息。
另外,当用户设备进行更新路由策略信息时,可以通过主连接无线网络(例如:用户设备同时与公网和专网保持连接,可以将公网设置为主连接网络,优先使用公网传输数据),或根据路由策略信息确定传输该路由策略信息的无线网络,进而发送更新的路由策略信息。
实施方式二、路由策略执行实体为无线接入网侧的网络侧实体。路由策略制定实体确定路由策略消息,包括:无线接入网侧的网络侧实体基于预设的安全参数确定路由策略消息。
具体实施时,无线接入网侧的网络侧实体,包括:基站或RAN集中控制实体,下面以基站为例进行说明。基站作为路由策略制定实体时,基站基于预设的安全参数确定路由策略信息,预设的安全参数指示每个无线网络的安全需求,例如,可以包括:无线网络的安全等级,特定应用、特定业务或特定操作系统下的应用不能通过该无线网络传输数据等。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略执行实体包括:安全网关和用户设备;路由策略制定实体将路由策略信息发送至路由策略执行实体,包括:无线接入网侧的网络侧实体将确定的路由策略信息发送至安全网关;以及,无线接入网侧的网络侧实体将确定的路由策略消息发送至接入该无线接入网侧的网络侧实体所在网络的用户设备。
无线接入网侧的网络侧实体将确定的路由策略信息通知安全网关,安全网关与无线接入网侧的网络侧实体进行信令交互和确认,确定该路由策略信息。
当用户设备作为路由策略执行实体时,在用户设备接入该无线网络时,无线接入网侧的网络侧实体通知用户设备该路由策略信息。
实施方式三、路由策略制定实体为安全网关。路由策略制定实体确定路由策略信息,包括:安全网关接收高级控制实体配置的路由策略信息。
具体实施时,安全网关作为路由策略制定实体时,安全网关可以接收高级控制实体配置的路由策略信息,其中,高级控制实体可以是运行管理维护(OperationsAdministration and Maintenance,OAM)实体或类似高级控制实体。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略执行实体包括:无线接入网侧的网络侧实体和用户设备;安全网关将路由策略信息发送至无线接入网侧的网络侧实体或用户设备有以下两种方式。
方式一、安全网关通过无线接入网侧的网络侧实体将路由策略信息发送至用户设备。
方式二、安全网关将路由策略信息发送至该安全网关控制的无线通信系统中的网络侧实体,以指示无线通信系统中的网络侧实体存储路由策略信息,并在用户设备接入该无线网络系统时通过应用层消息或网络高层消息(例如:LTE系统的非接入层消息)将路由策略信息发送至用户设备。
当然,本领域技术人员应当理解的是,无线接入网侧的网络体实体(例如:基站或RAN集中控制实体)和无线通信系统中的网络侧实体(例如:基站或无线网络控制器)发送路由策略信息时,可以透传路由策略信息,也即不解读路由策略信息。
在路由策略执行实体侧,本发明实施例提供的一种数据路由方法,如图4所示,包括:
步骤402,路由策略执行实体接收路由策略制定实体发送的路由策略信息;
步骤404,路由策略执行实体根据,路由策略信息在连接的多个无线网络中选择安全的数据传输路径;采用该路径进行数据传输。
本发明实施例提供的方法中,通过接收路由策略制定实体确定路由策略信息并根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
路由策略执行实体指具体进行数据路径选择和传输的实体,具体为:下行传输数据时,路由策略执行实体可以是:核心网网关、无线接入网侧的网络侧实体,例如:基站等;上行传输数据时,路由策略执行实体可以是:用户设备、无线接入网侧的网络侧实体,例如:基站等。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略信息用于对在无线网络中传输的数据进行安全性分析;路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:路由策略执行实体根据路由策略信息对数据的安全性进行分析并在连接的多个无线网络中为该数据选择安全的数据传输路径。
具体实施时,路由策略执行实体接收路由策略制定实体发送的用于对数据安全性进行分析的路由策略信息;路由策略执行实体根据所述路由策略信息对数据的安全性进行分析并在连接的多个无线网络中为该数据选择安全的传输路径,采用该路径进行数据传输。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略信息包括以下之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的方法中,路由策略执行实体为:用户设备、安全网关或无线接入网侧的网络侧实体。
路由策略执行实体可以是:用户设备、安全网关和无线接入网侧的网络侧实体中的一个,但是为了多重保护,增强无线网络的安全性,也可以是用户设备、安全网关和无线接入网侧的网络侧实体中的多个。下面结合具体的实施方式进行具体说明。
实施方式一、路由策略执行实体为用户设备。路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:用户设备识别待传输数据的应用;和/或识别待传输数据的业务类型;和/或识别待传输数据使用的操作系统;用户设备根据识别结果,基于路由策略信息在连接的多个无线网络中选择待传输数据的传输路径。
具体实施时,用户设备根据路由策略信息对传输的数据进行识别,包括以下之一或组合:用户设备进行应用识别,针对特定的应用进行传输路径限制;用户设备进行业务类型识别,针对特定的业务进行传输路径限制;用户设备安装多种操作系统,针对特定的操作系统进行传输路径限制。
用户设备根据对传输数据的识别结果,选择特定的无线网络传输数据。
作为较为具体的实施例,用户设备同时与公网和专网连接,专网系统不允许传输实时游戏,用户设备将实时游戏数据通过公网传输,如果用户设备只与专网连接,则禁止实时游戏数据。
实施方式二、路由策略执行实体为无线接入网侧的网络侧实体。路由策略执行实体根据路由策略消息在连接的多个无线网络中选择安全的数据传输路径,包括:无线接入网侧的网络侧实体存储路由策略消息;当建立业务承载时,无线接入网侧的网络侧实体根据存储的路由策略消息,拒绝为禁止在该无线接入网侧的网络侧实体所在网络传输的数据建立承载;和/或无线接入网侧的网络侧实体识别在该无线接入网侧的网络侧实体所在网络传输的数据,当根据存储的路由策略信息确定传输的数据为禁止传输的数据时,丢弃或暂存该数据,并通知传输该数据的用户设备和/或高级节点该数据禁止在该网络中传输。
具体实施时,为了防止不受控用户设备或出于多重保护的需要,可以由无线接入网侧的网络侧实体,例如:基站或网关也作为路由策略执行实体。
无线接入网侧的网络侧实体作为路由策略执行实体时,通过以下方式的一种和多种对传输的数据进行分析,选择安全的数据传输路径,以基站为例进行说明。
基站存储路由策略信息;
业务承载建立时,基站拒绝为禁止在本无线网络传输的业务建立承载,例如,包括:演进分组系统(Evolved Packet System,EPS)承载和无线承载;
如果业务承载建立无法控制,例如:禁止的应用通过默认承载传输,基站可以对传输数据进行识别,确定传输的数据为禁止在本无线网络传输的数据时,丢弃或暂存该数据,并通知发送或接收该数据的用户设备或高级节点该数据禁止在本无线网络的空中接口传输。高级节点可以是无线接入网侧的服务器或OAM。
作为较为优选的实施例,基站统计预设时间内接收到的同一用户设备发送的禁止在该网络传输的数据的次数;当统计的次数大于或等于预设阈值时,基站进行提醒并释放与该用户设备的网络连接。
作为较为具体的实施例,基站统计60秒内接收到的同一用户设备发送的禁止在该网络传输的数据的次数,当同一用户设备在60秒内发送的禁止在该网络传输的数据的次数大于或等于20次时,确定该用户设备可能正在攻击本无线网络,则发出报警并释放与该用户设备的网络连接,当然,本领域技术人员应当理解的是,预设时间和预设阈值均可以根据实际情况进行灵活配置。
实施方式三、路由策略执行实体为安全网关。路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:安全网关基于路由策略信息检测该安全网关所控制网络的已有应用和消息;当检测到禁止传输的数据时,安全网关确定发送数据的用户设备,向用户设备发送警告并释放与用户设备的连接;安全网关存储用户设备的信息与禁止传输的数据的发送情况信息,并通知用户设备对应的无线接入网侧的网络侧实体,在预设时间内禁止用户设备接入网络。
具体实施时,安全网关不但存储、更新和发放路由策略信息,还需要对所控制的网络的应用和信息定期或触发式管控,并设置检测技术,例如:监测半夜自启动程序或应用,禁用或报警,追溯来源等。
在路由策略制定实体侧,本发明实施例提供的一种数据路由控制设备,如图5所示,包括:策略制定单元502,用于确定路由策略信息;发送单元504,连接至策略制定单元502,用于将路由策略信息发送至路由策略执行实体,以指示路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
本发明实施例提供的设备中,通过确定路由策略信息并指示路由策略执行实体根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据不同的网络安全需求确定不同的路由策略信息,并根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略信息用于对在无线网络中传输的数据进行安全性分析。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略信息包括以下信息之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的设备中,数据路由控制设备为:用户设备、安全网关、或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由控制设备为用户设备时,策略制定单元502确定路由策略信息,包括:策略制定单元502从本地读取预先配置的路由策略信息或接收路由策略信息。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略执行实体包括:安全网关和无线接入网侧的网络侧实体;发送单元504将路由策略信息发送至路由策略执行实体,包括:发送单元504通过无线接入网侧的网络侧实体将路由策略信息发送至安全网关。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由控制设备为无线接入网侧的网络侧实体时,策略制定单元502确定路由策略消息,包括:策略制定单元502基于预设的安全参数确定路由策略消息。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略执行实体包括:安全网关和用户设备;发送单元504将路由策略信息发送至路由策略执行实体,包括:发送单元504将确定的路由策略信息发送至安全网关;以及,发送单元504将确定的路由策略消息发送至接入该无线接入网侧的网络侧实体所在网络的用户设备。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由控制设备为安全网关时,策略制定单元502确定路由策略信息,包括:策略制定单元502接收高级控制实体配置的路由策略信息。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略执行实体包括:无线接入网侧的网络侧实体和用户设备;发送单元504将路由策略信息发送至路由策略执行实体,包括:发送单元504通过无线接入网侧的网络侧实体将路由策略信息发送至用户设备;或者发送单元504将路由策略信息发送至该安全网关控制的无线通信系统中的网络侧实体,以指示无线通信系统中的网络侧实体存储路由策略信息,并在用户设备接入该无线网络系统时无线通信系统中的网络侧实体将路由策略信息发送至用户设备。
本发明实施例提供的数据路由控制设备可以是用户设备、安全网关或无线接入网侧的网络实体的一部分,也可以是用户设备、安全网关或无线接入网侧的网络侧实体,数据路由控制设备中的策略制定单元502可以采用CPU处理器或单片机等,发送单元504可以采用发射机或信号发射器等。
参见图6,当路由策略制定实体为安全网关或无线接入网侧的网络侧实体时,本发明实施例提供的路由策略制定实体侧的另一种数据路由控制设备包括:
处理器600,用于读取存储器620中的程序,执行下列过程:
确定路由策略信息;
通过收发机610将路由策略信息发送至路由策略执行实体,以指示路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
其中,在图6中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机610可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
处理器600负责管理总线架构和通常的处理,存储器620可以存储处理器600在执行操作时所使用的数据。
参见图7,当路由策略制定实体为用户设备时,本发明实施例提供的路由策略制定实体侧的又一种数据路由控制设备包括:
处理器700,用于读取存储器720中的程序,执行下列过程:
确定路由策略信息;
通过收发机710将路由策略信息发送至路由策略执行实体,以指示路由策略执行实体根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口730还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器700负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
本发明实施例提供的一种数据路由设备,如图8所示,包括:接收单元802,用于接收路由策略制定实体发送的路由策略信息;处理单元804,连接至接收单元802,用于根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径;发送单元806,连接至处理单元804,用于采用该路径进行数据传输。
本发明实施例提供的设备中,通过接收路由策略制定实体确定路由策略信息并根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,与现有技术中只能通过防火墙被动防御且无法对具有不同需求的无线网络进行差别化管理相比,根据路由决策信息选择安全的数据传输路径,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略信息用于对在无线网络中传输的数据进行安全性分析;处理单元804具体用于:根据路由策略信息对数据的安全性进行分析并在连接的多个无线网络中为该数据选择安全的数据传输路径。
在一种可能的实施方式中,本发明实施例提供的设备中,路由策略信息包括以下之一或组合:针对特定应用设置的传输路径限制信息;针对特定业务设置的传输路径限制信息;针对特定操作系统设置的传输路径限制信息。
在一种可能的实施方式中,本发明实施例提供的设备中,数据路由设备为:用户设备、安全网关或无线接入网侧的网络侧实体。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由设备为用户设备时,处理单元804根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:处理单元804识别待传输数据的应用;和/或识别待传输数据的业务类型;和/或识别待传输数据使用的操作系统;以及,根据识别结果,基于路由策略信息在连接的多个无线网络中选择待传输数据的传输路径。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由设备为无线接入网侧的网络侧实体时,处理单元804根据路由策略消息在连接的多个无线网络中选择安全的数据传输路径,包括:处理单元804存储路由策略消息;当建立业务承载时,处理单元804根据存储的路由策略消息,拒绝为禁止在该无线接入网侧的网络侧实体所在网络传输的数据建立承载;和/或处理单元804识别在该无线接入网侧的网络侧实体所在网络传输的数据,当根据存储的路由策略信息确定传输的数据为禁止传输的数据时,丢弃或暂存该数据,并通知传输该数据的用户设备和/或高级节点该数据禁止在该网络中传输。
在一种可能的实施方式中,本发明实施例提供的设备中,处理单元804还用于:统计预设时间内接收到的同一用户设备发送的禁止在该网络传输的数据的次数;当统计的次数大于或等于预设阈值时,处理单元804进行提醒并释放与该用户设备的网络连接。
在一种可能的实施方式中,本发明实施例提供的设备中,当数据路由设备为安全网关时,处理单元804根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径,包括:处理单元804基于路由策略信息检测该安全网关所控制网络的已有应用和消息;当检测到禁止传输的数据时,处理单元804确定发送数据的用户设备,向用户设备发送警告并释放与用户设备的连接;处理单元804存储用户设备的信息与禁止传输的数据的发送情况信息,并通知用户设备对应的无线接入网侧的网络侧实体,在预设时间内禁止用户设备接入网络。
本发明实施例提供的数据路由设备可以是用户设备、安全网关或无线接入网侧的网络实体的一部分,也可以是用户设备、安全网关或无线接入网侧的网络侧实体,数据路由设备中的接收单元802可以采用接收机或信号接收器等,处理单元804可以采用CPU处理器或单片机等,发送单元806可以采用发射机或信号发射器等。
参见图9,当路由策略执行实体为安全网关或无线接入网侧的网络侧实体时,本发明实施例提供的路由策略执行实体侧的另一种数据路由设备包括:
处理器900,用于读取存储器920中的程序,执行下列过程:
通过收发机910接收路由策略制定实体发送的路由策略信息;
根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径;
通过收发机910采用选择的路径进行数据传输。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器900代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机910可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
处理器900负责管理总线架构和通常的处理,存储器920可以存储处理器900在执行操作时所使用的数据。
参见图10,当路由策略执行实体为用户设备时,本发明实施例提供的路由策略执行实体侧的又一种数据路由设备包括:
处理器100,用于读取存储器120中的程序,执行下列过程:
通过收发机110接收路由策略制定实体发送的路由策略信息;
根据路由策略信息在连接的多个无线网络中选择安全的数据传输路径;
通过收发机110采用选择的路径进行数据传输。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器100代表的一个或多个处理器和存储器120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口130还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器100负责管理总线架构和通常的处理,存储器120可以存储处理器100在执行操作时所使用的数据。
综上所述,本发明实施例提供的一种数据路由及其控制方法及设备,通过确定路由策略信息并指示路由策略执行实体根据路由策略信息选择安全的数据传输路径,在用户设备与多个无线网络保持连接时,针对不同网络的安全需求,选择安全的数据传输路径,保证数据有效传输的同时解决了不同网络的安全性问题,对具有不同需求的无线网络进行差别化管理,提高了网络的安全性,降低了植入应用、安全攻击和信息窃取的风险。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。