CN108390847A - 一种无线专网实时通信业务加密方法及系统 - Google Patents
一种无线专网实时通信业务加密方法及系统 Download PDFInfo
- Publication number
- CN108390847A CN108390847A CN201711487637.8A CN201711487637A CN108390847A CN 108390847 A CN108390847 A CN 108390847A CN 201711487637 A CN201711487637 A CN 201711487637A CN 108390847 A CN108390847 A CN 108390847A
- Authority
- CN
- China
- Prior art keywords
- encryption
- packet
- decryption
- module
- gtp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线专网实时通信业务加密方法及系统,所述方法及系统不仅实现了加密后带来的时延和开销更小,更适合实时业务,而且避免带来额外的处理开销,避免业务性能瓶颈,同时涉及到的各个网元逻辑处理变动很小,易于实现。另外,所述方法具有逻辑结构清晰,方案复杂度适中,方便在现有系统进行集成的特点。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种无线专网实时通信业务加密方法及系统。
背景技术
随着4G LTE无线通信技术的成熟和发展,越来越多的行业已经开始了无线专网的建设和使用。无线专网具备广覆盖、高带宽、低时延、用户容量大等特别,行业用户可以根据实不同需求开展业务,较为典型的就是基于高速率、低时延传输的数据通信业务,如语音通信、集群通信、视频通信等。
虽然基于LTE无线技术的专网系统已在无线空口、接入层、核心处理层已经具备较为完备的加密体系,但是为了进一步提高系统的安全性,需要在无线专网上增加通信业务加解密系统,保证业务传输以及数据功能使用的安全。
实时通信业务一般有语音通信、视频通信、集群通信等几种,而加密涉及到终端、无线基站、基带处理单元、核心网、通信服务器、加解密机等节点,其中终端加解密通过内置加解密TF卡来实现,通信业务服务器通过与加解密机实体机进行交互实现数据报文加解密。
当前业界比较通用的实现方式是通过终端的APP层(应用层)来进行加解密,加密业务流程如图1所示,包括以下步骤:步骤S110、终端的APP层调用加密TF卡提供的加密驱动,将要加密的业务内容如语音、视频、集群数据等进行加密;步骤S120:终端的APP层调用无线通信模块提供的驱动接口,将加密后的数据发到空中接口;步骤S130:无线基站收到终端无线空中接口信号后解析,将其转发给基带处理单元;步骤S140:基带处理单将收到的接数据报文封装成GTP报文,并发给核心网;步骤S150:核心网收到报文后,进行报文重组,并通过SGI口发到业务服务器;步骤S160:业务服务器收到数据报文后将APP层数据拆封处理,然后发给加解密机;步骤S170:加解密机在目标解密端口收到要解密的APP层数据后,进行解密,并再发给业务服务器;步骤S180:业务服务器收到解密后的APP层数据,再进行相应的业务处理,如语音混音、视频编解码,报文路由转发等。如果为下行是下行业务,业务服务器将APP层数据通过内部加密端口交给加解密机加密后,再通过SGI口发到无线专网网络;终端APP层收到加密后的业务数据后,再调用TF加密卡提供的解密驱动,进行数据解密,以获得APP层数据对应的明文数据,最后交由APP层的上层业务处理。
然而上述存在以下不足:1)业务服务器承担了多终端用户业务接入(通常情况下,并发接入用户数1000+用户不等),且实时业务要对业务数据进行处理,如语音混音、视频编解码等,业务负荷大,处理能力有限,再叠加加解密数据的封装、解封装以及传输过程,额外开销大,很难保障实时业务处理性能;2)通过APP层数据加密的方式,在业务服务器侧,涉及到频繁内存拷贝和搬移。考虑到实时性,无法对实时业务数据缓冲到一定数量后再统一交由加解密机。而诸如像语音数据、集群对讲数据等业务包,包长小、数量多,因此造成额外的通信开销很大,实时性无法得到保证;3)通信业务服务器现有业务逻辑处理变动巨大,特别叠加加解密私有接口后,业务处理模块(如DSP芯片)负荷增大,可能导致性能瓶颈,难于保证系统稳定性。
发明内容
本发明的目的在于,提供一种无线专网实时通信业务加密方法及系统,所述方法及系统不仅实现了加密后带来的时延和开销更小,更适合实时业务,而且避免带来额外的处理开销,避免业务性能瓶颈,同时涉及到的各个网元逻辑处理变动很小,易于实现。另外,所述方法具有逻辑结构清晰,方案复杂度适中,方便在现有系统进行集成的特点。
为了实现上述目的,本发明提供了一种无线专网实时通信业务加密方法,所述方法包括以下步骤:(a)终端的系统驱动层调用一加密TF卡所提供的加密驱动,将待加密的业务数据报文和UDP报文一起进行加密,并添加一IP报文头以封装成IP报文;(b)所述终端的系统驱动层调用无线通信模块组件所提供的驱动接口,将所述IP报文发送至空中接口;(c)无线基站在接收所述终端所发送的空中接口信号并调制解调后通过Ir接口将所述IP报文发送至基带处理单元;(d)基带处理单元将所接收到的IP报文添加一GTP报文头并封装成GTP报文,并发送至核心网;(e)所述核心网在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并对所述IP报文进行重组操作之后发送至加解密机;(f)所述加解密机在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的加密的业务数据报文和UDP报文进行解密操作;(g)所述加解密机在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头并发送业务服务器;(h)所述业务服务器在收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。
在本发明的一实施例中,在步骤(a)之中,进一步包括:在添加一IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
在本发明的一实施例中,所述加解密钥索引为终端的IMSI号或者TMSI号。
本发明还提供一种无线专网实时通信业务加密方法,所述方法包括以下步骤:(1)业务服务器将业务数据报文、UDP报文和一IP报文头封装成IP报文,并发送至加解密机;(2)所述加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的业务数据报文和UDP报文进行加密操作;(3)所述加解密机在完成加密操作之后,重构IP报文头形成一IP报文,并发送至核心网;(4)所述核心网在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,并发送至基带处理单元;(5)基带处理单元在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并发送至无线基站;(6)无线基站将所述IP报文通过空中接口发送至终端;(7)终端在接收到所述IP报文后,去除IP报文头,并通过所述终端的系统驱动层调用一加密TF卡所提供的解密驱动,将待解密的业务数据报文和UDP报文一起进行解密;(8)所述终端在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端的应用层的上层业务进行相应处理。
在本发明的一实施例中,在步骤(3)中,进一步包括:在重构IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
在本发明的一实施例中,所述加解密钥索引为终端的IMSI号或者TMSI号。
另外,本发明还提供一种无线专网实时通信业务加密系统,所述系统包括:终端、无线基站、基带处理单元、核心网、加解密机和业务服务器;所述终端包括:一系统驱动层、一加密TF卡、一IP报文封装模块、一无线通信模块组件;所述系统驱动层用于调用加密TF卡所提供的加密驱动以及调用无线通信模块组件所提供的驱动接口,所述加密TF卡用于将待加密的业务数据报文和UDP报文一起进行加密;所述IP报文封装模块将加密的业务数据报文和UDP报文添加一IP报文头并封装成IP报文;所述无线通信模块组件用于将所述IP报文发送至空中接口;所述无线基站与所述终端相连,所述无线基站用于在接收所述终端所发送的空中接口信号并调制解调后,通过Ir接口将所述IP报文发送至基带处理单元;所述基带处理单元与所述无线基站相连,所述基带处理单元包括一GTP报文封装模块,所述GTP报文封装模块用于将所接收到的IP报文添加一GTP报文头并封装成GTP报文,以发送至核心网;所述核心网与所述基带处理单元相连,所述核心网包括:一去除GTP报文模块和一IP重组模块;所述去除GTP报文模块用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文;所述IP重组模块用于对所述IP报文进行重组操作,以发送至加解密机;
所述加解密机与所述核心网相连,所述加解密机包括:一IP地址查询匹配模块、一密钥获取模块、一报文解密模块和一IP报文重构模块;所述IP地址查询匹配模块用于在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获取加解密钥索引;所述密钥获取模块用于根据所述加解密钥索引获得相对应的密钥;所述报文解密模块用于对所述IP报文中的加密的业务数据报文和UDP报文进行解密;所述IP报文重构模块用于在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头,以发送至业务服务器;所述业务服务器与加解密机相连,所述业务服务器用于在接收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。
在本发明的一实施例中,所述终端还包括一加密标识位设置模块,所述加密标识位设置模块用于在添加一IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
另外,本发明还提供一种无线专网实时通信业务加密系统,所述系统包括:终端、无线基站、基带处理单元、核心网、加解密机和业务服务器;所述业务服务器包括:一IP报文封装模块,所述IP报文封装模块用于将业务数据报文、UDP报文和一IP报文头封装成IP报文,以发送至加解密机;所述加解密机与所述业务服务器相连,所述加解密机包括:一IP地址查询匹配模块、一密钥获取模块、一报文加密模块和一IP报文重构模块;所述IP地址查询匹配模块用于加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引;所述密钥获取模块用于根据所述加解密钥索引获得相对应的密钥;所述报文解密模块用于对所述IP报文中的业务数据报文和UDP报文进行加密操作;所述IP报文重构模块用于在完成加密操作之后,重构IP报文头形成一IP报文,以发送至核心网;所述核心网与所述加解密机相连,所述核心网包括:一GTP报文封装模块,所述GTP报文封装模块用于在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,以发送至基带处理单元;所述基带处理单元与所述核心网相连,所述基带处理单元包括:一去除GTP报文模块,所述去除GTP报文模块用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文;所述无线基站与所述基带处理单元相连,所述无线基站用于在接收到所述IP报文后通过空中接口将其发送至终端;所述终端与无线基站相连,所述终端包括:一去除IP报文模块、一系统驱动层、一加密TF卡和一数据处理模块;所述去除IP报文模块用于终端在接收到所述IP报文后,去除IP报文头;所述系统驱动层用于调用一加密TF卡所提供的解密驱动;所述加密TF卡用于将待解密的业务数据报文和UDP报文一起进行解密;所述数据处理模块用于在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端的应用层的上层业务进行相应处理。
在本发明的一实施例中,所述加解密机还包括一加密标识位设置模块,所述加密标识位设置模块用于在重构IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
本发明的优点在于,本发明所述无线专网实时通信业务加密方法及系统通过建立了“静态业务IP地址—IMSI号—用户加解密Key”的对应关系,方便进行业务报文与对应加解密关系的索引;而且将无线专网中常用的应用层(APP层)加密变成传输层(UDP层)加密,从而提高效率。另外,本发明所述方法不用涉及到实时通信业务流程变动,带来的处理额外开销更小,能保证实时通信业务需要的低时延特性,而且网络侧加解密工作主要由加解密机实体来完成,避免现有方案中涉及到网元的改动,因此具有逻辑功能清晰,易于实现等特点。
附图说明
图1是传统加密业务流程的步骤流程示意图。
图2是本发明一实施例的无线专网实时通信业务加密方法的步骤流程示意图。
图3是本发明另一实施例的无线专网实时通信业务加密方法的步骤流程示意图。
图4是本发明一实施例的无线专网实时通信业务加密系统的架构示意图。
图5是本发明另一实施例的无线专网实时通信业务加密系统的架构示意图。
具体实施方式
下面结合附图对本发明提供的无线专网实时通信业务加密方法及系统的具体实施方式做详细说明。
在本文中,UDP是User Datagram Protocol的缩写,表示用户数据报协议;IP是Internet Protocol的缩写,表示网络之间的协议;GTP是GPRS Tunneling Protocol的缩写,表示GPRS隧道协议;TF卡是Trans-flash Card的缩写,其为一种闪存资料卡;IMSI是International Mobile Subscriber Identification Number的缩写,表示国际移动用户识别;TMSI是Temporary Mobile Subscriber Identity的缩写,表示临时移动用户标识。上述的术语为本领域技术人员所公知,在此赘述。
另外,在本文中,各网元之间在传输报文的过程中遵守标准的网络分层模型(OSI及TCP/IP)规范及协议,所述网络分层模型的定义、规范及协议为本领域的技术人员所公知的,在此也不再赘述。另外,在本文中出现的某某某报文,其定义及封装方式也是本领域的技术人员所公知的,在此也不再赘述。
参见图2,本发明提供了一种无线专网实时通信业务加密方法,所述方法包括以下步骤:
步骤S210:终端的系统驱动层调用一加密TF卡所提供的加密驱动,将待加密的业务数据报文和UDP报文一起进行加密,并添加一IP报文头以封装成IP报文。
其中业务数据报文可以包括语音数据报文、视频数据报文等,但不限于此。
在此步骤S210之中,进一步包括:在添加一IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。在执行后继的步骤S260时,由于设置了通加密标识位,因此,加解密机能够快速地判断是否要对UDP报文进行解密,从而提高处理能力。
步骤S220:所述终端的系统驱动层调用无线通信模块组件所提供的驱动接口,将所述IP报文发送至空中接口。
步骤S230:无线基站在接收所述终端所发送的空中接口信号并调制解调后通过Ir接口将所述IP报文发送至基带处理单元。
其中Ir接口可以采用光纤方式。
步骤S240:基带处理单元将所接收到的IP报文添加一GTP报文头并封装成GTP报文,并发送至核心网。
所述基带处理单元将GTP报文通过LTE的S1接口发送至核心网。
步骤S250:所述核心网在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并对所述IP报文进行重组操作之后发送至加解密机。
在此步骤中,去除GTP报文头,从而识别目标用户。另外,在去除GTP报文头后,保持IP报文不变,只是将加解密机的MAC地址写入至MAC报文中。另外,可以通过以太网,将IP报文发送至加解密机。
步骤S260:所述加解密机在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的加密的业务数据报文和UDP报文进行解密操作。
其中,所述加解密钥索引为终端的IMSI号或者TMSI号。所述数据库为设置在加解密机中的一数据库(或数据库模块)。
在此,建立了IP地址—IMSI号(或TMSI号)—加解密KEY的对应关系,方便进行业务报文与对应加解密关系的索引。
步骤S270:所述加解密机在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头并发送业务服务器。
其中,重构IP报文头包括:IP地址保持不变,重构长度、校验参数等。
步骤S280:所述业务服务器在收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。
当获得业务数据报文之后,可以根据相应的业务,比如语音混音、视频编辑码、报文路由转发等。
参见图3所示,本发明还提供一种无线专网实时通信业务加密方法,所述方法包括以下步骤:
步骤S310:业务服务器将业务数据报文、UDP报文和一IP报文头封装成IP报文,并发送至加解密机。
业务服务器通过以太网将IP报文直接发送至加解密机。
步骤S320:所述加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的业务数据报文和UDP报文进行加密操作。
其中,所述加解密钥索引为终端的IMSI号或者TMSI号。
步骤S330:所述加解密机在完成加密操作之后,重构IP报文头形成一IP报文,并发送至核心网。
重构IP报文头包括:IP地址保持不变,重构长度、校验参数等。另外,可以通过以太网,将IP报文发送至核心网。
在此步骤S330中,进一步包括:在重构IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。在执行后继的步骤S370时,当终端去除IP报文头后,由于设置了加密标识位,因此,终端能够快速地判断是否要对UDP报文进行解密,从而提高处理能力。
步骤S340:所述核心网在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,并发送至基带处理单元。
步骤S350:基带处理单元在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并发送至无线基站。
步骤S360:无线基站将所述IP报文通过空中接口发送至终端。
步骤S370:终端在接收到所述IP报文后,去除IP报文头,并通过所述终端的系统驱动层调用一加密TF卡所提供的解密驱动,将待解密的业务数据报文和UDP报文一起进行解密。
步骤S380:所述终端在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端的应用层的上层业务进行相应处理。
上述步骤S210至S280是终端与业务服务器交互过程中的上行业务(从终端至业务服务器)的步骤。上述步骤S310至S380是终端与业务服务器交互过程中的下行业务(从业务服务器至终端)的步骤。
另外,本发明所述方法与现有的方法相比,将无线专网中常用的应用层(即APP层)加密变为传输层(即UDP层)加密,避免了在业务服务器侧所涉及到频繁内存拷贝和搬移,从而提高了效率。另外,本发明所述方法不用涉及到实时通信业务流程变动,带来的处理额外开销更小,能保证实时通信业务需要的低时延特性,而且网络侧加解密工作主要由加解密机实体来完成,避免现有方案中涉及到网元的改动,因此具有逻辑功能清晰,易于实现等特点。
参见图4所示,本发明还提供一种无线专网实时通信业务加密系统。该系统与图2所示的所述加密方法相对应。
所述系统包括:终端410、无线基站420、基带处理单元430、核心网440、加解密机450和业务服务器460。所述终端410、无线基站420、基带处理单元430、核心网440、加解密机450和业务服务器460为基本的网元。
所述终端410包括:一系统驱动层411、一加密TF卡412、一IP报文封装模块413、一无线通信模块组件414;所述系统驱动层411用于调用加密TF卡412所提供的加密驱动以及调用无线通信模块组件414所提供的驱动接口,所述加密TF卡412用于将待加密的业务数据报文和UDP报文一起进行加密;所述IP报文封装模块413将加密的业务数据报文和UDP报文添加一IP报文头并封装成IP报文;所述无线通信模块组件414用于将所述IP报文发送至空中接口。
另外,在本发明的一实施例中,所述终端410还包括一加密标识位设置模块(图中未示),所述加密标识位设置模块用于在添加一IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
继续参见图4所示,所述无线基站420与所述终端410相连,所述无线基站420用于在接收所述终端410所发送的空中接口信号并调制解调后,通过Ir接口将所述IP报文发送至基带处理单元430。其中Ir接口可以采用光纤方式。
所述基带处理单元430与所述无线基站420相连,所述基带处理单元430包括一GTP报文封装模块431,所述GTP报文封装模块431用于将所接收到的IP报文添加一GTP报文头并封装成GTP报文,以发送至核心网440。其中,所述基带处理单元430将GTP报文通过LTE的S1接口发送至核心网440。
所述核心网440与所述基带处理单元430相连,所述核心网440包括:一去除GTP报文模块441和一IP重组模块442;所述去除GTP报文模块441用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文;所述IP重组模块442用于对所述IP报文进行重组操作,以发送至加解密机450。其中,可以通过以太网,将IP报文发送至加解密机450。
所述加解密机450与所述核心网440相连,所述加解密机450包括:一IP地址查询匹配模块451、一密钥获取模块452、一报文解密模块453和一IP报文重构模块454。所述IP地址查询匹配模块451用于在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获取加解密钥索引;所述密钥获取模块452用于根据所述加解密钥索引获得相对应的密钥;所述报文解密模块453用于对所述IP报文中的加密的业务数据报文和UDP报文进行解密;所述IP报文重构模块454用于在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头,以发送至业务服务器460。在此,建立了IP地址—IMSI号(或TMSI号)—加解密KEY的对应关系,方便进行业务报文与对应加解密关系的索引。
所述业务服务器460与加解密机450相连,所述业务服务器460用于在接收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。当获得业务数据报文之后,可以根据相应的业务,比如语音混音、视频编辑码、报文路由转发等。
参见图5所示,本发明还提供一种无线专网实时通信业务加密系统。该系统与图3所示的所述加密方法相对应。
所述系统包括:终端560、无线基站550、基带处理单元540、核心网530、加解密机520和业务服务器510。
所述业务服务器510包括:一IP报文封装模块511,所述IP报文封装模块511用于将业务数据报文、UDP报文和一IP报文头封装成IP报文,以发送至加解密机。其中,业务服务器通过以太网将IP报文直接发送至加解密机520。
继续参见图5所示,所述加解密机520与所述业务服务器510相连,所述加解密机520包括:一IP地址查询匹配模块521、一密钥获取模块522、一报文加密模块523和一IP报文重构模块524;所述IP地址查询匹配模块521用于加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引;所述密钥获取模块522用于根据所述加解密钥索引获得相对应的密钥;所述报文解密模块523用于对所述IP报文中的业务数据报文和UDP报文进行加密操作;所述IP报文重构模块524用于在完成加密操作之后,重构IP报文头形成一IP报文,以发送至核心网530。
在本发明的一实施例中,所述加解密机520还包括一加密标识位设置模块,所述加密标识位设置模块用于在重构IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
所述核心网530与所述加解密机520相连,所述核心网530包括:一GTP报文封装模块531,所述GTP报文封装模块531用于在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,以发送至基带处理单元540。
所述基带处理单元540与所述核心网530相连,所述基带处理单元540包括:一去除GTP报文模块541,所述去除GTP报文模块541用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文。
所述无线基站550与所述基带处理单元540相连,所述无线基站550用于在接收到所述IP报文后通过空中接口将其发送至终端560。
所述终端560与所述无线基站550相连,所述终端560包括:一去除IP报文模块561、一系统驱动层562、一加密TF卡563和一数据处理模块564;所述去除IP报文模块561用于终端在接收到所述IP报文后,去除IP报文头;所述系统驱动层562用于调用一加密TF卡563所提供的解密驱动;所述加密TF卡563用于将待解密的业务数据报文和UDP报文一起进行解密;所述数据处理模块564用于在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端560的应用层的上层业务进行相应处理。
本发明所述系统能够不仅实现了加密后带来的时延和开销更小,更适合实时业务,而且避免带来额外的处理开销,避免业务性能瓶颈,同时涉及到的各个网元逻辑处理变动很小,易于实现。另外,所述系统配合上述方法具有逻辑结构清晰,方案复杂度适中,方便在现有系统进行集成的特点。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种无线专网实时通信业务加密方法,其特征在于,包括以下步骤:
(a)终端的系统驱动层调用一加密TF卡所提供的加密驱动,将待加密的业务数据报文和UDP报文一起进行加密,并添加一IP报文头以封装成IP报文;
(b)所述终端的系统驱动层调用无线通信模块组件所提供的驱动接口,将所述IP报文发送至空中接口;
(c)无线基站在接收所述终端所发送的空中接口信号并调制解调后通过Ir接口将所述IP报文发送至基带处理单元;
(d)基带处理单元将所接收到的IP报文添加一GTP报文头并封装成GTP报文,并发送至核心网;
(e)所述核心网在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并对所述IP报文进行重组操作之后发送至加解密机;
(f)所述加解密机在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的加密的业务数据报文和UDP报文进行解密操作;
(g)所述加解密机在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头并发送业务服务器;
(h)所述业务服务器在收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。
2.根据权利要求1所述的方法,其特征在于,在步骤(a)之中,进一步包括:在添加一IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
3.根据权利要求1所述的方法,其特征在于,所述加解密钥索引为终端的IMSI号或者TMSI号。
4.一种无线专网实时通信业务加密方法,其特征在于,包括以下步骤:
(1)业务服务器将业务数据报文、UDP报文和一IP报文头封装成IP报文,并发送至加解密机;
(2)所述加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引,并且根据所述加解密钥索引获得相对应的密钥,以对所述IP报文中的业务数据报文和UDP报文进行加密操作;
(3)所述加解密机在完成加密操作之后,重构IP报文头形成一IP报文,并发送至核心网;
(4)所述核心网在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,并发送至基带处理单元;
(5)基带处理单元在接收到GTP报文后去除GTP报文头,以获得相应的IP报文,并发送至无线基站;
(6)无线基站将所述IP报文通过空中接口发送至终端;
(7)终端在接收到所述IP报文后,去除IP报文头,并通过所述终端的系统驱动层调用一加密TF卡所提供的解密驱动,将待解密的业务数据报文和UDP报文一起进行解密;
(8)所述终端在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端的应用层的上层业务进行相应处理。
5.根据权利要求4所述的方法,其特征在于,在步骤(3)中,进一步包括:在重构IP报文头之前,添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
6.根据权利要求4所述的方法,其特征在于,所述加解密钥索引为终端的IMSI号或者TMSI号。
7.一种无线专网实时通信业务加密系统,其特征在于,包括:终端、无线基站、基带处理单元、核心网、加解密机和业务服务器;
所述终端包括:一系统驱动层、一加密TF卡、一IP报文封装模块、一无线通信模块组件;
所述系统驱动层用于调用加密TF卡所提供的加密驱动以及调用无线通信模块组件所提供的驱动接口,所述加密TF卡用于将待加密的业务数据报文和UDP报文一起进行加密;所述IP报文封装模块将加密的业务数据报文和UDP报文添加一IP报文头并封装成IP报文;
所述无线通信模块组件用于将所述IP报文发送至空中接口;
所述无线基站与所述终端相连,所述无线基站用于在接收所述终端所发送的空中接口信号并调制解调后,通过Ir接口将所述IP报文发送至基带处理单元;
所述基带处理单元与所述无线基站相连,所述基带处理单元包括一GTP报文封装模块,所述GTP报文封装模块用于将所接收到的IP报文添加一GTP报文头并封装成GTP报文,以发送至核心网;
所述核心网与所述基带处理单元相连,所述核心网包括:一去除GTP报文模块和一IP重组模块;所述去除GTP报文模块用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文;所述IP重组模块用于对所述IP报文进行重组操作,以发送至加解密机;
所述加解密机与所述核心网相连,所述加解密机包括:一IP地址查询匹配模块、一密钥获取模块、一报文解密模块和一IP报文重构模块;所述IP地址查询匹配模块用于在接收到所述IP报文之后,根据所述IP报文头中的IP地址在一数据库中进行查找匹配,以获取加解密钥索引;所述密钥获取模块用于根据所述加解密钥索引获得相对应的密钥;所述报文解密模块用于对所述IP报文中的加密的业务数据报文和UDP报文进行解密;所述IP报文重构模块用于在获得所述加密的UDP报文和业务数据报文对应的明文数据之后,重构IP报文头,以发送至业务服务器;
所述业务服务器与加解密机相连,所述业务服务器用于在接收到所述加解密机所传送的明文数据之后,在根据所述明文数据中的业务数据报文进行相应的业务处理。
8.根据权利要求7所述的系统,其特征在于,所述终端还包括一加密标识位设置模块,所述加密标识位设置模块用于在添加一IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
9.一种无线专网实时通信业务加密系统,其特征在于,包括:终端、无线基站、基带处理单元、核心网、加解密机和业务服务器;
所述业务服务器包括:一IP报文封装模块,所述IP报文封装模块用于将业务数据报文、UDP报文和一IP报文头封装成IP报文,以发送至加解密机;
所述加解密机与所述业务服务器相连,所述加解密机包括:一IP地址查询匹配模块、一密钥获取模块、一报文加密模块和一IP报文重构模块;所述IP地址查询匹配模块用于加解密机在接收到IP报文之后,根据IP报文头中的IP地址在一数据库中进行查找匹配,以获得相应的加解密钥索引;所述密钥获取模块用于根据所述加解密钥索引获得相对应的密钥;
所述报文解密模块用于对所述IP报文中的业务数据报文和UDP报文进行加密操作;所述IP报文重构模块用于在完成加密操作之后,重构IP报文头形成一IP报文,以发送至核心网;
所述核心网与所述加解密机相连,所述核心网包括:一GTP报文封装模块,所述GTP报文封装模块用于在接收到从加解密机所发送的IP报文后,添加一GTP报文头并封装成GTP报文,以发送至基带处理单元;
所述基带处理单元与所述核心网相连,所述基带处理单元包括:一去除GTP报文模块,所述去除GTP报文模块用于在接收到GTP报文后去除GTP报文头,以获得相应的IP报文;
所述无线基站与所述基带处理单元相连,所述无线基站用于在接收到所述IP报文后通过空中接口将其发送至终端;
所述终端与无线基站相连,所述终端包括:一去除IP报文模块、一系统驱动层、一加密TF卡和一数据处理模块;所述去除IP报文模块用于终端在接收到所述IP报文后,去除IP报文头;所述系统驱动层用于调用一加密TF卡所提供的解密驱动;所述加密TF卡用于将待解密的业务数据报文和UDP报文一起进行解密;所述数据处理模块用于在获得解密的业务数据报文和UDP报文对应的明文数据之后,通过所述终端的应用层的上层业务进行相应处理。
10.根据权利要求9所述的系统,其特征在于,所述加解密机还包括一加密标识位设置模块,所述加密标识位设置模块用于在重构IP报文头之前添加一加密标识位,所述加密标识位用于表明是否已对UDP报文进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487637.8A CN108390847B (zh) | 2017-12-29 | 2017-12-29 | 一种无线专网实时通信业务加密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487637.8A CN108390847B (zh) | 2017-12-29 | 2017-12-29 | 一种无线专网实时通信业务加密方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108390847A true CN108390847A (zh) | 2018-08-10 |
CN108390847B CN108390847B (zh) | 2020-08-25 |
Family
ID=63076710
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711487637.8A Active CN108390847B (zh) | 2017-12-29 | 2017-12-29 | 一种无线专网实时通信业务加密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108390847B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222512A (zh) * | 2008-01-25 | 2008-07-16 | 华为技术有限公司 | 加解密卡及加密方法和解密方法 |
CN102098725A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 一种服务网关与中继终端间传输数据的系统及方法 |
CN102231707A (zh) * | 2011-06-27 | 2011-11-02 | 中国建设银行股份有限公司 | 一种银行网点内数据报文可靠传输的方法和系统 |
CN102300210A (zh) * | 2011-09-01 | 2011-12-28 | 重庆中天重邮通信技术有限公司 | Lte非接入层密文解密方法及其信令监测装置 |
CN105610792A (zh) * | 2015-12-18 | 2016-05-25 | 宁波大学 | 近场通信移动签到系统 |
CN106330262A (zh) * | 2016-08-31 | 2017-01-11 | 国网河南省电力公司开封供电公司 | 基于载波聚合的电力无线通信系统 |
US20170127273A1 (en) * | 2015-10-30 | 2017-05-04 | Brocade Communications Systems, Inc. | Method and System for Secure Distribution of Mobile Data Traffic to Closer Network Endpoints |
CN107071781A (zh) * | 2017-05-04 | 2017-08-18 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网核心网的安全防护性能测评方法 |
-
2017
- 2017-12-29 CN CN201711487637.8A patent/CN108390847B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222512A (zh) * | 2008-01-25 | 2008-07-16 | 华为技术有限公司 | 加解密卡及加密方法和解密方法 |
CN102098725A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 一种服务网关与中继终端间传输数据的系统及方法 |
CN102231707A (zh) * | 2011-06-27 | 2011-11-02 | 中国建设银行股份有限公司 | 一种银行网点内数据报文可靠传输的方法和系统 |
CN102300210A (zh) * | 2011-09-01 | 2011-12-28 | 重庆中天重邮通信技术有限公司 | Lte非接入层密文解密方法及其信令监测装置 |
US20170127273A1 (en) * | 2015-10-30 | 2017-05-04 | Brocade Communications Systems, Inc. | Method and System for Secure Distribution of Mobile Data Traffic to Closer Network Endpoints |
CN105610792A (zh) * | 2015-12-18 | 2016-05-25 | 宁波大学 | 近场通信移动签到系统 |
CN106330262A (zh) * | 2016-08-31 | 2017-01-11 | 国网河南省电力公司开封供电公司 | 基于载波聚合的电力无线通信系统 |
CN107071781A (zh) * | 2017-05-04 | 2017-08-18 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网核心网的安全防护性能测评方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108390847B (zh) | 2020-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878138B (zh) | 一种报文传输方法和装置 | |
CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
FI108827B (fi) | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa | |
CN102377803B (zh) | 一种数据处理方法、装置和系统 | |
JP4823359B2 (ja) | マルチホップメッシュネットワークを介する管理トラフィックの送信 | |
CN107027152B (zh) | 用于虚拟软交换的方法和装置 | |
CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
US20080022390A1 (en) | Bridged cryptographic VLAN | |
CN103401773B (zh) | 一种实现板间通信的方法及网络设备 | |
CN106716951A (zh) | 用于优化隧道流量的方法和装置 | |
CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
CN103139222A (zh) | 一种ipsec隧道数据传输方法及装置 | |
CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
CN104067562A (zh) | 用于第二层多网络链路隧道的协议 | |
CN102469509A (zh) | 一种数据传输方法、装置及系统 | |
CN112492622B (zh) | 一种数据报文处理方法及设备 | |
CN104184646A (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
CN107154917B (zh) | 数据传输方法及服务器 | |
CN110636078B (zh) | 实现Cloudsec的方法及装置 | |
CN101741552A (zh) | 报文转发方法、设备及系统 | |
CN109714295B (zh) | 一种语音加解密同步处理方法和装置 | |
CN104754521A (zh) | 一种报文转发方法、无线接入点、无线控制器和系统 | |
CN101557386A (zh) | 数据发送方法与装置及数据接收方法与装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |