CN105992197B - 数据传输方法及装置 - Google Patents
数据传输方法及装置 Download PDFInfo
- Publication number
- CN105992197B CN105992197B CN201510101161.4A CN201510101161A CN105992197B CN 105992197 B CN105992197 B CN 105992197B CN 201510101161 A CN201510101161 A CN 201510101161A CN 105992197 B CN105992197 B CN 105992197B
- Authority
- CN
- China
- Prior art keywords
- data packet
- random
- network element
- forwarding
- network elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了数据传输方法及装置,其中,该方法包括:确定用于向目标网元传输的数据包;将确定的该数据包通过随机确定的一个或多个转发网元传输给该目标网元,其中,该数据包中携带有供该一个或多个转发网元将该数据包传输给该目标网元的标识信息,该一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。通过本发明,解决了相关技术中在新型的网络结构下如何避免第三方对于移动通信系统中重要数据的监听、捕获的问题,提高了移动通信的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及数据传输方法及装置。
背景技术
随着现代科技的不断发展,互联网已经成为了人们生活中不可缺少的一部分,而承载在互联网上的内容,更加是五花八门,深入了人们的生活当中。互联网的快速发展大大提高了人类使用互联网的频度,改变了人类的生活。例如,人们可以通过互联网进行即时的沟通、交流,可以通过互联网进行购物,可以通过互联网进行投资、理财等等。
互联网,又称因特网(Internet),网际网路,是指通过一组通用的协议将不同的网络进行相连,从而形成逻辑上的单一巨大国际网络。在互联网下,连接网络的任何两台计算机或者终端设备,均可以互相找到对方并进行通信。
网络互连协议(Internet Protocol,简称为IP)是实现互联网下设备互通互联的根本要素,IP规定了计算机在因特网上进行通信需要遵守的规则。在网络中,存在着不同的设备,支持不同的业务,还存在着不同的网络传输方式,如以太网、分组交换网等。本来因为各个网络、设备采用的数据包的格式,或基本数据单元互不相同,这些相互的网络、设备之间不能够互相通信。而IP协议实际上是一套由软件、程序组成的协议软件,它把各种不同的数据包统一转换为“IP数据包”的格式,从而使得不同节点之间可以互相通信。这种转换是因特网的一个重要特点,是所有计算机或者其他终端可以在因特网上实现互通的根本要素,具有“开放性”的特点。
IP地址是一种被用来在因特网上为计算机、终端分配的一个编号,也称为网际协议地址。互联网下的每个计算机、终端有了其自己的IP地址,就可以通过IP寻址找到地球上连接网络的任何一台其他计算机或终端。目前常用的IP地址的长度为32位(共有2^32个IP地址),分为4段,每段8位,用十进制数字表示,每段数字范围为0~255,段与段之间用句点隔开。例如159.226.10.2。IP地址可以视为网络标识号码与主机标识号码两部分,因此IP地址可分两部分组成,一部分为网络地址,另一部分为主机地址。IP地址分为A、B、C、D、E5类,它们适用的类型分别为:大型网络;中型网络;小型网络;多目的地址;备用。常用的是B和C两类。下表1示出了常用的A、B、C三类网络地址的一些特性。
表1
如上表1中所示的私有IP地址,是为了解决由于计算机以及其他各种用户终端的普及,数目暴增而提出的一种增加IP地址容量的方案。其基本思想在于将IP地址分为公有IP和私有IP,公有IP是在互联网上被分配的IP地址,所有在互联网连接的设备都可以直接路由的IP地址;私有IP不会在互联网上被分配,是在本地局域网内被分配的IP地址,是不可以被非本局域网的其他互联网的设备直接寻址到的IP地址。
然而,为了保证网络的互联互通,还需要使处于各个不同局域网的计算机进行互相寻址,网络地址转换(Network Address Translation,简称为NAT)技术即可以实现这一诉求。NAT功能,是指在一个网络内部,根据需要可以随意自定义IP地址而不需要申请。在网络内部,各计算机间通过内部的IP地址进行通信,当内部的计算机需要和外部的Internet网络进行通信时,具有NAT功能的设备,如路由器,负责将其内部的私有IP地址转换为公有IP地址进行通信。
在传统的移动通信系统中,如第二代移动通信系统全球移动通信(Global systemfor Mobile Communication,简称为GSM),第三代移动通信系统宽带码分多址接入(Wideband Code Division Multiple Access,简称为WCDMA)、码分多址(Code DivisionMultiple Access2000,简称为CDMA2000)、时分同步码分多址接入(Time Division-Synchronous Code Division Multiple Access,简称为TD-SCDMA),第四代移动通信系统长期演进/高级长期演进系统(Long-Term Evolution/Long-Term Evolution Advance,简称为LTE/LTE-A),我们可以讲网络划分为两个部分,即接入网和核心网。接入网指用户终端(如手机)和移动基站之间的连接,核心网是指移动基站以上,运营商建设的各种网关、路由等网元组成的用于和互联网相连的部分。相比于仅包括移动基站和用户终端的接入网,核心网具有更多的网元和相对复杂的功能,包括如分组数据网关(PDN Gateway,简称为P-GW),服务网关(Serving Gateway,简称为S-GW),策略与计费规则功能单元(Policy andCharging Rules Function,简称为PCRF),业务运营支撑系统(Business&OperationSupport System,简称为BOSS)等。传统移动通信的用户终端在通信时,通过移动通信基站和核心网进行连接,并通过核心网连接到外部的互联网,即核心网是全部移动通信用户和互联网相连的唯一出口,而用户终端、基站和核心网之间的连接全部属于内部的私有连接。
随着移动互联网的爆发式发展,承载在移动通信上的业务类型、数量、以及所需的数据吞吐量都呈现出指数型上升的态势,从而也引爆了对移动通信可以提供的带宽的需求。为了满足用户不断增长的对移动通信带宽的需求,目前国际上流行的一种有效的方案即部署更多的覆盖较小的小型基站,从而更充分的复用频率资源。小型基站目前分为微基站(Pico eNB),微微基站(Nano eNB)以及家庭式基站(Home eNB、Femto eNB)。对于家庭式基站,目前移动通信的国际标准化组织3GPP定义了一种称为本地IP接入(Local IPAccess,简称为LIPA)的技术,其基本思想在于在HeNB可以直接连接家庭用户的固定宽带,并且和网内的其他具有IP功能的实体进行通信而不需要通过核心网的参与。此外,与之相应的,还有一项称为选择性IP流量卸载(Selected IP Traffic Offloading,简称为SIPTO)的技术,其基本思想在于用户的部分数据传输可以不通过运营商的核心网而直接通过基站本地网关或者附近路由的网关和互联网相连,从而降低核心网处理数据的压力并且通过就近路由减轻了骨干网的负载。图1是根据相关技术中的LIPA/SIPTO的示意图,如图1所示,用户终端和基站之间传输的数据包,在不同的功能下,可以流向本地局域网,可以直接流向互联网,或者流向运营商的核心网。
对于上述提到的各种技术,可以将核心网同样置于互联网侧,通过互联网协议和基站进行连接,即将核心网放在云端。对于此类操作,基站需要将普通的数据、发送给核心网的相关信令,均通过互联网发送到相应的目的地。图2是根据相关技术中的支持云端核心网的网络结构的示意图,如图2所示,对于上面提到的移动通信网络新型的网络结构,和传统的网络结构相比,其特点在于以往的用户终端和基站之间传输的数据,可以不需要通过核心网而直接在互联网上进行传输。传统的移动通信系统,基站和核心网之间为内部的私有连接,不存在安全的问题;而这种新方案在带来降低路由成本,降低核心网压力的同时,却也会带来其他的可能的安全问题。比如基站侧需要经常性的向核心网侧发送用户终端的鉴权信息、计费信息,还有基站本身的运行状态信息等。相比于普通的用户数据,此类信息具有周期性较强、数据格式相对固定、对安全性要求较高等特点,在传输的过程中也需要以密文的形式进行。
尽管目前的加密算法已经相当复杂,但由于其密文需要在互联网上公开的传输,仍然存在被捕获并破解的可能性。比如,该密文需要经常性的或者甚至周期性的发送到某一固定的目的IP地址(即安全服务器、支付服务器等),而其数据包格式又相对固定。网络入侵者或者黑客在捕获该密文并破解后,可以变造、伪造相应的内容,已达到非法获利的目的;而运营者本身却可能在一段时间后才可以察觉,从而带来经济损失。除此之外,还有潜在的其他恶意竞争对手,通过分析并寻找到经常性发送到某一固定目的IP地址的数据包,认定其为支付或者用户身份鉴权等信息,并发送大量的类似虚假数据包到该IP地址从而扰乱正常运营。
除了在互联网上进行重要信息(如鉴权、计费、状态信息等)的传输而潜在的数据包被监听、捕获的风险外,还有一个重要的风险在于第三方将有可能根据数据包的流向,发现移动通信系统中某些重要的服务器、网关的IP地址,从而对此类IP地址发起攻击、侵入并篡改服务器配置、内容等等。
移动通信由于应用范围广泛,涉及的市场资金量庞大,并且已经渗透到了人们生活的方方面面,所以对安全性的要求也非常之高。如何在新型的网络结构下,避免第三方对于移动通信系统中重要数据的监听、捕获,并且对于重要服务器、网关的互联网地址进行隐藏,是关乎包括运营商、设备商、用户在内切身利益的,急需解决的重要问题。
针对相关技术中在新型的网络结构下如何避免第三方对于移动通信系统中重要数据的监听、捕获的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了数据传输方法及装置,以至少解决相关技术中在新型的网络结构下如何避免第三方对于移动通信系统中重要数据的监听、捕获的问题。
根据本发明的一个方面,提供了一种数据传输方法,应用于移动通信系统,包括:确定用于向目标网元传输的数据包;将确定的所述数据包通过随机确定的一个或多个转发网元传输给所述目标网元,其中,所述数据包中携带有供所述一个或多个转发网元将所述数据包传输给所述目标网元的标识信息,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
进一步地,在将确定的所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元之前,还包括:判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元向所述目标网元传输所述数据包;和/或,在判断结果为否的情况下,直接将所述数据包传输给所述目标网元。
进一步地,在将确定的所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元之后,还包括:接收通过随机确定的所述一个或多个转发网元转发的所述目标网元对接收到的所述数据包处理完毕的反馈消息。
进一步地,所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的。
进一步地,确定用于向所述目标网元传输的所述数据包包括:将第一数据包进行随机性处理得到聚合数据包;将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
进一步地,将所述第一数据包进行随机性处理得到所述聚合数据包包括:随机混合第二数据包和特殊数据包得到所述聚合数据包,其中,所述特殊数据包为防止网络监听和捕获的数据包。
进一步地,将所述第一数据包进行随机性处理得到所述聚合数据包包括:周期性地生成携带有时间标识的所述数据包;随机选择N个与所述数据包同类的数据包,其中,N为大于等于1的整数;将随机选择出的N个数据包进行聚合处理得到所述聚合数据包。
进一步地,在将随机选择出的N个数据包进行聚合处理之前,还包括:随机确定一个M值,其中,M为大于等于1的整数;将随机选择出的所述N个数据包重复M次后进行聚合处理得到所述聚合数据包。
根据本发明的另一方面,提供了一种数据传输方法,应用于移动通信系统,包括:通过随机确定的一个或多个转发网元接收数据包,其中,所述数据包为所述一个或多个转发网元根据所述数据包中携带的将所述数据包传输给目标网元的标识信息传输的,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
进一步地,在通过转发网元接收数据包之后还包括:通过随机确定的所述一个或多个转发网元反馈对接收到的所述数据包处理完毕的反馈消息。
进一步地,在通过随机确定的所述一个或多个转发网元接收所述数据包之后还包括:对接收到的所述数据包进行重复性检查;丢弃检查结果为重复的数据包。
根据本发明的另一方面,提供了一种数据传输装置,应用于移动通信系统,包括:确定模块,用于确定用于向目标网元传输的数据包;传输模块,用于将确定的所述数据包通过随机确定的一个或多个转发网元传输给所述目标网元,其中,所述一个或多个数据包中携带有供所述转发网元将所述数据包传输给所述目标网元的标识信息,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
进一步地,所述装置还包括:判断模块,用于判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;第一传输模块,用于在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元将确定的所述数据包通过转发网元将所述数据包传输给所述目标网元;和/或,第二传输模块,用于在判断结果为否的情况下,直接将所述数据包传输给所述目标网元。
进一步地,所述装置还包括:接收模块,用于接收通过随机确定的所述一个或多个转发网元转发的所述目标网元对接收到所述数据包处理完毕的反馈消息。
进一步地,所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的。
进一步地,所述确定模块包括:处理子模块,用于将第一数据包进行随机性处理得到聚合数据包;第四传输子模块,用于将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
进一步地,所述处理子模块包括:随机混合单元,用于随机混合第二数据包和特殊数据包得到所述聚合数据包,其中,所述特殊数据包为防止网络监听和捕获的数据包。
进一步地,所述处理子模块包括:生成单元,用于周期性地生成携带有时间标识的所述数据包;随机选择单元,用于随机选择N个与所述数据包同类的数据包,其中,N为大于等于1的整数;第一聚合处理单元,用于将随机选择出的N个数据包进行聚合处理得到所述聚合数据包。
进一步地,所述装置还包括:确定单元,用于随机确定一个M值,其中,M为大于等于1的整数;第二聚合处理单元,用于将随机选择出的所述N个数据包重复M次后进行聚合处理得到所述聚合数据包。
根据本发明的另一方面,提供了一种数据传输装置,应用于移动通信系统,包括:接收模块,用于通过随机确定的一个或多个转发网元接收数据包,其中,所述数据包为所述一个或多个转发网元根据所述数据包中携带的将所述数据包传输给目标网元的标识信息传输的,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
进一步地,所述装置还包括:反馈模块,用于通过随机确定的所述一个或多个转发网元反馈对接收到的所述数据包处理完毕的反馈消息。
进一步地,所述装置还包括:检查模块,用于对接收到的所述数据包进行重复性检查;丢弃模块,用于丢弃检查结果为重复的数据包。
通过本发明,采用确定用于向目标网元传输的数据包;将确定的所述数据包通过随机确定的一个或多个转发网元传输给所述目标网元,其中,所述数据包中携带有供所述一个或多个转发网元将所述数据包传输给所述目标网元的标识信息,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元,解决了相关技术中在新型的网络结构下如何避免第三方对于移动通信系统中重要数据的监听、捕获的问题,提高了移动通信的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术中的LIPA/SIPTO的示意图;
图2是根据相关技术中的支持云端核心网的网络结构的示意图;
图3是根据本发明实施例的数据传输方法的流程图;
图4是根据本发明实施例的防止网络监听、捕获的数据包传输的示意图;
图5是根据本发明实施例的数据传输装置的框图;
图6是根据本发明优选实施例的数据传输装置的框图一;
图7是根据本发明优选实施例的数据传输装置的框图二;
图8是根据本发明实施例的周期性数据包的随机化的示意图;
图9是根据本发明实施例的事件触发性数据包的随机化的示意图;
图10是根据本发明实施例的多目的IP接收转发的示意图;
图11是根据本发明实施例的将核心网云化使目的IP随机化的示意图;
图12是根据本发明实施例的目的地网元的重复性检查的示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种数据传输方法,应用于移动通信系统,图3是根据本发明实施例的数据传输方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,确定用于向目标网元传输的数据包;
步骤S304,将确定的该数据包通过随机确定的一个或多个转发网元传输给该目标网元,其中,该数据包中携带有供该一个或多个转发网元将该数据包传输给该目标网元的标识信息,该一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
图4是根据本发明实施例的防止网络监听、捕获的数据包传输的示意图,如图4所示,第一网络设备将需要发送给第二网络设备的数据包,发送给除第二网络设备IP地址的其他多个目的IP地址,在其他多个目的IP地址处识别此类数据包,并将其发送给真正的目的IP地址的第二网络设备。
在一个可选的实施例中,第一网络设备还可以对其需要发送的全部数据包进行筛选,筛选出可以直接发送到第二网络设备的数据包和需要通过多个其他目的IP进行转发的数据包,分别进行直接发送和转发发送。在将确定的该数据包通过随机确定的该一个或多个转发网元传输给该目标网元之前,还包括:判断是否将该数据包通过随机确定的该一个或多个转发网元进行转发;在判断结果为是的情况下,通过随机确定的该一个或多个转发网元向该目标网元传输该数据包;和/或,在判断结果为否的情况下,直接将该数据包传输给该目标网元。
在将确定的该数据包通过随机确定的该一个或多个转发网元传输给该目标网元之后,还可以接收通过随机确定的该一个或多个转发网元转发的该目标网元对接收到的该数据包处理完毕的反馈消息。
上述的数据包的尺寸以及将该数据包通过随机确定的该一个或多个转发网元传输给该目标网元的时间是随机确定的。
确定用于向该目标网元传输的该数据包可以包括:将第一数据包进行随机性处理得到聚合数据包,将得到的该聚合数据包通过随机确定的该一个或多个转发网元传输给该目标网元,其中,该第一数据包为原始生成的数据包。在一个可选的实施例中,将该第一数据包进行随机性处理得到该聚合数据包可以包括:随机混合第二数据包和特殊数据包得到该聚合数据包,其中,该特殊数据包为防止网络监听和捕获的数据包。在本发明实施例中,该第二数据包为普通数据包。在另一个可选的实施例中,将该第一数据包进行随机性处理得到该聚合数据包包括:周期性地生成携带有时间标识的该数据包;随机选择N个与该数据包同类的数据包,其中,N为大于等于1的整数;将随机选择出的N个数据包进行聚合处理得到该聚合数据包。
在将随机选择出的N个数据包进行聚合处理之前,随机确定一个M值,其中,M为大于等于1的整数,将随机选择出的该N个数据包重复M次后进行聚合处理得到该聚合数据包。
本发明实施例还提供了一种数据传输方法,应用于移动通信系统,包括:通过随机确定的一个或多个转发网元接收数据包,其中,该数据包为该一个或多个转发网元根据该数据包中携带的将该数据包传输给目标网元的标识信息传输的,该一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
在通过转发网元接收数据包之后,通过随机确定的该一个或多个转发网元反馈对接收到的该数据包处理完毕的反馈消息。
在通过随机确定的该一个或多个转发网元接收该数据包之后,对接收到的该数据包进行重复性检查;丢弃检查结果为重复的数据包。
本发明实施例提供了一种数据传输装置,应用于移动通信系统,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的数据传输装置的框图,如图5所示,包括:
确定模块52,用于确定用于向目标网元传输的数据包;
传输模块54,用于将确定的该数据包通过随机确定的一个或多个转发网元传输给该目标网元,其中,该一个或多个数据包中携带有供该转发网元将该数据包传输给该目标网元的标识信息,该一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
该装置还包括:判断模块,用于判断是否将该数据包通过随机确定的该一个或多个转发网元进行转发;第一传输模块,用于在判断结果为是的情况下,通过随机确定的该一个或多个转发网元将确定的该数据包通过转发网元将该数据包传输给该目标网元;和/或,第二传输模块,用于在判断结果为否的情况下,直接将该数据包传输给该目标网元。
图6是根据本发明优选实施例的数据传输装置的框图一,如图6所示,该装置还包括:
接收模块62,用于接收通过随机确定的该一个或多个转发网元转发的该目标网元对接收到该数据包处理完毕的反馈消息。
需要说明的是,上述的数据包的尺寸以及将该数据包通过随机确定的该一个或多个转发网元传输给该目标网元的时间是随机确定的。
图7是根据本发明优选实施例的数据传输装置的框图二,如图7所示,确定模块52包括:
处理子模块72,用于将第一数据包进行随机性处理得到聚合数据包;
第四传输子模块74,用于将得到的该聚合数据包通过随机确定的该一个或多个转发网元传输给该目标网元。
在一个可选的实施例中,处理子模块72可以包括:随机混合单元,用于随机混合第二数据包和特殊数据包得到该聚合数据包,其中,该特殊数据包为防止网络监听和捕获的数据包。
在另一个可选的实施例中,处理子模块72还可以包括:生成单元,用于周期性地生成携带有时间标识的该数据包;随机选择单元,用于随机选择N个与该数据包同类的数据包,其中,N为大于等于1的整数;第一聚合处理单元,用于将随机选择出的N个数据包进行聚合处理得到该聚合数据包。
进一步地,该装置还包括:确定单元,用于随机确定一个M值,其中,M为大于等于1的整数;第二聚合处理单元,用于将随机选择出的该N个数据包重复M次后进行聚合处理得到该聚合数据包。
本发明实施例还提供了一种数据传输装置,应用于移动通信系统,包括:接收模块,用于通过随机确定的一个或多个转发网元接收数据包,其中,该数据包为该一个或多个转发网元根据该数据包中携带的将该数据包传输给目标网元的标识信息传输的,该一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元。
在一个可选的实施例中,该装置包括:反馈模块,用于通过随机确定的该一个或多个转发网元反馈对接收到的该数据包处理完毕的反馈消息。
在另一个可选的实施例中,该装置还包括:检查模块,用于对接收到的该数据包进行重复性检查;丢弃模块,用于丢弃检查结果为重复的数据包。
上述的第一网络设备可以是基站,下面以第一网络是基站为例,进行进一步说明。
基站将需要防止网络监听、捕获的数据包格式、大小进行变换使其具有一定的随机性,基站将变换后的数据包,不直接发送给需要该信息的网络单元的目的IP,而发送给多个其他的目的IP地址。可以在多个其他目的IP地址中,随机选择一个进行发送,也可以选择多个同时进行发送,可以将需要保护的数据包和不需要保护的数据包进行混合发送,部署在其他目的IP地址处的转发设备识别收到的此类数据包,将其转发到真正的最终目的地址。最终目的地接收此类数据包,将重复接收到的数据包丢弃。最终目的地对此类数据包反馈的信息,可以采用同样的方式进行发送。通过上述方式,在移动通信系统中,解决了相关技术中在新型的网络结构下避免第三方对于移动通信系统中重要数据的监听、捕获的问题,从而尽可能的保证数据包在网络中传输的安全性和对于第三方的不可预见性。
图8是根据本发明实施例的周期性数据包的随机化的示意图,如图8所示,基站将需要防止网络监听、捕获的数据包进行处理,使其具有一定的随机性:可以周期性的生成此类数据包,添加时间标识,随机选择1~N个此类数据包进行聚合之后发送,从而改变数据包的发送周期和尺寸。此方式适合需要周期性生成的数据包,如心跳信息上报等。基站按照固定的周期生成此类数据包,包括当时的时间信息以及基站的状态信息,生成数据包之后进行缓存。基站在1~N之间随机选择一个整数p,则发送缓存队列中按照时间顺序的前p个心跳信息的数据包。从而达到发送的数据包的周期、数据包大小均为随机。
图9是根据本发明实施例的事件触发性数据包的随机化的示意图,如图9所示,可以随机选择1~N之间的一个数字q,将该数据包内容重复q次后变成新的数据包进行发送。此方式适合事件触发性生成的数据包,如鉴权信息,计费信息等。基站生成数据包需要发送时,随机在1~N之间选择一个整数q,将该数据包重复q次,组成一个新的更大的数据包进行发送。由于事件触发性的数据包本身不具备周期性发送的特点,而通过本方法又将数据包大小随机化,从而实现了周期、大小均随机化的目标。
基站将处理后的数据包,不直接发送给目标网元的IP地址,而发送给多个其他的IP地址:可以在多个其他IP目的地部署转发设备,该转发设备识别出此类数据包后,将其转发到相应的目标网元的特定IP地址。基站可以将普通数据包和需要防止网络监听、捕获的数据包混合在一起,将各类数据包做出标记以便区分,在多个转发设备所对应的IP地址中随机选择一个或者多个进行发送。
图10是根据本发明实施例的多目的IP接收转发的示意图,如图10所示,基站在四个可供数据转发的IP地址中选择了IP-3,将发送给IP-Destination-A和IP-Destination-B的数据包混合在一起发送给IP-3的转发设备,转发设备识别各数据包的目标,将其转发到对应的目的IP。优选地,上述将发送给IP-Destination-A和IP-Destination-B的数据包,可以将分别发送给核心网的重要信令数据以及需要发送给互联网的普通用户数据进行混合,以充分利用其数据包的周期、尺寸的随机性来防止第三方通过类似的检测机制进行监听和捕获。需要说明的是,可供选择的多个其他IP地址,可以采用目前已经在网络上申请、注册并应用于其他用途的IP地址。例如,将转发设备部署于其他商业机构如大型商场、饭店、银行数据中心,运营商数据中心的后台以供转发,可以令网络攻击者、捕获者认为是其他数据而不进行拦截、监听或者捕获。
图11是根据本发明实施例的将核心网云化使目的IP随机化的示意图,如图11所示,可以采用将核心网云化的网络架构,同样配置多个IP地址(可对应多个物理设备)为云端核心网的IP地址。基站在多个云端核心网的IP地址中,随机选择一个或者多个进行发送。为组成云端核心网的各个计算器配置独立的公有IP地址,各个计算器组成虚拟专用网络(Virtual Private Network,简称为VPN)并在内部具有私有IP地址。从外部来看,各计算器拥有相互独立的IP地址,而其又结合起来完成核心网的功能。
图12是根据本发明实施例的目的地网元的重复性检查的示意图,如图12所示,最终目的地网元在接收到相应的数据包后,进行重复性检查,将重复收到的数据包丢弃后,处理完整的数据流。基站可以选择一个或者多个目的IP地址进行数据包的传输,所以可能导致在最终目的地网元处,接收到多个相同的数据包。该网元在接收到来自于不同IP的转发设备或者云计算单元传送的数据包后,需要进行重复性检查,丢弃相同的数据包。在目的地网元对接收到的数据包处理完毕之后,可能需要向基站发送相应的反馈信息。此处可以将上述提到的传输方案,反方向进行传输,这里不再赘述。
需要说明的是,上述主要描述由基站向核心网侧某一网元发送信息的情况,本发明实施例应用于在核心网的网元之间进行传输的情况与上述情况是类似的,在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种数据传输方法,应用于移动通信系统,其特征在于,包括:
确定用于向目标网元传输的数据包;
将确定的所述数据包通过随机确定的一个或多个转发网元传输给所述目标网元,其中,所述数据包中携带有供所述一个或多个转发网元将所述数据包传输给所述目标网元的标识信息,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元;
其中,在将确定的所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元之前,还包括:判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元向所述目标网元传输所述数据包;和/或,在判断结果为否的情况下,直接将所述数据包传输给所述目标网元;
所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的;
确定用于向所述目标网元传输的所述数据包包括:将第一数据包进行随机性处理得到聚合数据包;将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
2.根据权利要求1所述的方法,其特征在于,在将确定的所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元之后,还包括:
接收通过随机确定的所述一个或多个转发网元转发的所述目标网元对接收到的所述数据包处理完毕的反馈消息。
3.根据权利要求1所述的方法,其特征在于,将所述第一数据包进行随机性处理得到所述聚合数据包包括:
随机混合第二数据包和特殊数据包得到所述聚合数据包,其中,所述特殊数据包为防止网络监听和捕获的数据包。
4.根据权利要求1所述的方法,其特征在于,将所述第一数据包进行随机性处理得到所述聚合数据包包括:
周期性地生成携带有时间标识的所述数据包;
随机选择N个与所述数据包同类的数据包,其中,N为大于等于1的整数;
将随机选择出的N个数据包进行聚合处理得到所述聚合数据包。
5.根据权利要求4所述的方法,其特征在于,在将随机选择出的N个数据包进行聚合处理之前,还包括:
随机确定一个M值,其中,M为大于等于1的整数;
将随机选择出的所述N个数据包重复M次后进行聚合处理得到所述聚合数据包。
6.一种数据传输方法,应用于移动通信系统,其特征在于,包括:
通过随机确定的一个或多个转发网元接收数据包,其中,所述数据包为所述一个或多个转发网元根据所述数据包中携带的将所述数据包传输给目标网元的标识信息传输的,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元;
其中,在通过随机确定的所述一个或多个转发网元接收数据包之前,还包括:判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元向所述目标网元传输所述数据包;和/或,在判断结果为否的情况下,直接将所述数据包传输给所述目标网元;
所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的;
确定用于向所述目标网元传输的所述数据包包括:将第一数据包进行随机性处理得到聚合数据包;将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
7.根据权利要求6所述的方法,其特征在于,在通过转发网元接收数据包之后还包括:
通过随机确定的所述一个或多个转发网元反馈对接收到的所述数据包处理完毕的反馈消息。
8.根据权利要求6所述的方法,其特征在于,在通过随机确定的所述一个或多个转发网元接收所述数据包之后还包括:
对接收到的所述数据包进行重复性检查;
丢弃检查结果为重复的数据包。
9.一种数据传输装置,应用于移动通信系统,其特征在于,包括:
确定模块,用于确定用于向目标网元传输的数据包;
传输模块,用于将确定的所述数据包通过随机确定的一个或多个转发网元传输给所述目标网元,其中,所述一个或多个数据包中携带有供所述转发网元将所述数据包传输给所述目标网元的标识信息,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元;
其中,所述装置还包括:判断模块,用于判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;第一传输模块,用于在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元将确定的所述数据包通过转发网元将所述数据包传输给所述目标网元;和/或,第二传输模块,用于在判断结果为否的情况下,直接将所述数据包传输给所述目标网元;
所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的;
所述确定模块包括:处理子模块,用于将第一数据包进行随机性处理得到聚合数据包;第四传输子模块,用于将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收通过随机确定的所述一个或多个转发网元转发的所述目标网元对接收到所述数据包处理完毕的反馈消息。
11.根据权利要求9所述的装置,其特征在于,所述处理子模块包括:
随机混合单元,用于随机混合第二数据包和特殊数据包得到所述聚合数据包,其中,所述特殊数据包为防止网络监听和捕获的数据包。
12.根据权利要求9所述的装置,其特征在于,所述处理子模块包括:
生成单元,用于周期性地生成携带有时间标识的所述数据包;
随机选择单元,用于随机选择N个与所述数据包同类的数据包,其中,N为大于等于1的整数;
第一聚合处理单元,用于将随机选择出的N个数据包进行聚合处理得到所述聚合数据包。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
确定单元,用于随机确定一个M值,其中,M为大于等于1的整数;
第二聚合处理单元,用于将随机选择出的所述N个数据包重复M次后进行聚合处理得到所述聚合数据包。
14.一种数据传输装置,应用于移动通信系统,其特征在于,包括:
接收模块,用于通过随机确定的一个或多个转发网元接收数据包,其中,所述数据包为所述一个或多个转发网元根据所述数据包中携带的将所述数据包传输给目标网元的标识信息传输的,所述一个或多个转发网元为随机确定一个或多个具有不同IP地址的网元;
其中,所述装置还包括:接收模块,用于在通过随机确定的一个或多个转发网元接收数据包之前,判断是否将所述数据包通过随机确定的所述一个或多个转发网元进行转发;在判断结果为是的情况下,通过随机确定的所述一个或多个转发网元向所述目标网元传输所述数据包;和/或,在判断结果为否的情况下,直接将所述数据包传输给所述目标网元;
所述数据包的尺寸以及将所述数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元的时间是随机确定的;
确定模块包括:处理子模块,用于将第一数据包进行随机性处理得到聚合数据包;第四传输子模块,用于将得到的所述聚合数据包通过随机确定的所述一个或多个转发网元传输给所述目标网元。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
反馈模块,用于通过随机确定的所述一个或多个转发网元反馈对接收到的所述数据包处理完毕的反馈消息。
16.根据权利要求14所述的装置,其特征在于,所述装置还包括:
检查模块,用于对接收到的所述数据包进行重复性检查;
丢弃模块,用于丢弃检查结果为重复的数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510101161.4A CN105992197B (zh) | 2015-03-06 | 2015-03-06 | 数据传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510101161.4A CN105992197B (zh) | 2015-03-06 | 2015-03-06 | 数据传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105992197A CN105992197A (zh) | 2016-10-05 |
| CN105992197B true CN105992197B (zh) | 2019-11-08 |
Family
ID=57040453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510101161.4A Active CN105992197B (zh) | 2015-03-06 | 2015-03-06 | 数据传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105992197B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277263A (zh) * | 2008-03-21 | 2008-10-01 | 中南大学 | 基于偏移夹角的wsn源位置保护方法 |
| WO2010135628A2 (en) * | 2009-05-22 | 2010-11-25 | Qualcomm Incorporated | Setting up a communication session within a wireless communications system |
| CN103248672A (zh) * | 2013-04-01 | 2013-08-14 | 北京邮电大学 | 基于拓扑发现的车辆自组织网络的数据分发方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834829A (zh) * | 2009-03-13 | 2010-09-15 | 深圳市均方根科技有限公司 | 动态组网方法和通讯部件 |
-
2015
- 2015-03-06 CN CN201510101161.4A patent/CN105992197B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277263A (zh) * | 2008-03-21 | 2008-10-01 | 中南大学 | 基于偏移夹角的wsn源位置保护方法 |
| WO2010135628A2 (en) * | 2009-05-22 | 2010-11-25 | Qualcomm Incorporated | Setting up a communication session within a wireless communications system |
| CN103248672A (zh) * | 2013-04-01 | 2013-08-14 | 北京邮电大学 | 基于拓扑发现的车辆自组织网络的数据分发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105992197A (zh) | 2016-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11303727B2 (en) | Method and system for routing user data traffic from an edge device to a network entity | |
| CN106376003B (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
| CN103650424B (zh) | 一种家庭网关服务功能的实现方法和服务器 | |
| CN103430487B (zh) | 用于检测分组数据连接的服务数据的方法、设备和系统 | |
| Liyanage et al. | Enhancing security of software defined mobile networks | |
| CN104521210B (zh) | 网络辅助的邻近服务会话管理 | |
| CN108886697A (zh) | 使用软件定义联网(sdn)控制器向已切换用户设备(ue)进行服务递送 | |
| RU2660635C2 (ru) | Способ и устройство для управления цепочкой услуги потока услуги | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN106131068A (zh) | 用户自主选择域名系统dns解析线路的系统和方法 | |
| CN108702701A (zh) | 用于接入具有非接入层过程的局域范围网络的方法、装置和计算机程序产品 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN104601541B (zh) | 数据传输的方法、服务器和用户设备 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| Fan et al. | A novel SDN based stealthy TCP connection handover mechanism for hybrid honeypot systems | |
| CN105357180B (zh) | 网络系统、攻击报文的拦截方法、装置和设备 | |
| Kabir et al. | Implementing a security policy management for 5G customer edge nodes | |
| CN105684381A (zh) | 用于合法监听的装置和方法 | |
| CN109525544B (zh) | 一种基于密码机集群的业务系统访问方法及系统 | |
| US20120076303A1 (en) | Intercept access point for communications within local breakouts | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| US10212090B2 (en) | Policy control method and related apparatus and system | |
| CN105992197B (zh) | 数据传输方法及装置 | |
| KR101767472B1 (ko) | Sdn 기반의 제어기의 데이터 경로 변경 방법 | |
| CN111901284A (zh) | 流量控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100080 9th and 10th floors, building 1, zone 1, No. 81, Beiqing Road, Haidian District, Beijing Patentee after: Beijing baicaibang Technology Co.,Ltd. Address before: 100080 the 10 floor of block B, Ding Hao Electronics Building, 3 Haidian Avenue, Haidian District, Beijing. Patentee before: Beijing Bai Caibang Technology Co.,Ltd. |
|
| CP03 | Change of name, title or address |