CN110798437A - 一种数据保护方法、装置及计算机存储介质 - Google Patents
一种数据保护方法、装置及计算机存储介质 Download PDFInfo
- Publication number
- CN110798437A CN110798437A CN201810880301.6A CN201810880301A CN110798437A CN 110798437 A CN110798437 A CN 110798437A CN 201810880301 A CN201810880301 A CN 201810880301A CN 110798437 A CN110798437 A CN 110798437A
- Authority
- CN
- China
- Prior art keywords
- network element
- gateway
- address
- network
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种数据保护方法、装置及计算机存储介质;其中,所述方法包括:第一网元申请得到第二网元安全信息;第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。
Description
技术领域
本申请涉及但不限于通信领域,尤其涉及一种数据保护方法、装置及计算机存储介质。
背景技术
传统2G/3G/4G电信网是由大量专用设备和功能单一的网络节点构成的封闭网络,软件与硬件深度绑定,在物理设备部署之后,通常不会变化,其网络架构可以采用静态配置方式,比如,在无线接入网(RAN)和核心网(CN)之间的IP安全(IPSec,IP Security)隧道可通过预配置来实现。
5G电信网引入了软件定义和虚拟化技术对传统电信网进行重构,通过软硬件解耦,实现了在通用硬件资源上构建虚拟化弹性网络,并据此提供网络服务,可以根据应用需求对网络容量灵活进行扩缩。相比于传统2G/3G/4G电信网,5G网络是一个动态的弹性网络,比如,可以根据业务需求动态生成新的网元,为了确保在多个网元间数据传输的安全性,需要建立IPSec隧道。对于弹性网络,如果通过预配置来实现IPSec隧道的建立,需要基于业务需求的动态变化进行大量的后期维护(比如,修改预先配置的密钥等),运维成本高。
发明内容
本申请实施例提供了一种数据保护方法、装置及计算机存储介质,至少解决了运维成本高的问题。
本申请实施例的一种数据保护方法,所述方法包括:
第一网元申请得到第二网元安全信息;
第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
所述第一网关向网元注册功能实体发起用于查询所述第二网元安全信息的请求;
所述第一网关接收所述网元注册功能实体反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求,所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息之后,所述第一通信网元接收到所述第二通信网元反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元接收到用户设备附着到网络发起的第一注册请求,向网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
上述方案中,所述方法还包括:
所述第一网关接收所述第一通信网元转发的所述第一注册请求,准备建立IP安全隧道;
所述第一网关向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
所述第一网关接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
上述方案中,所述方法还包括:
所述第一通信网元启动第一网元功能并准备建立IP安全隧道;
所述第一通信网元向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
所述第一通信网元接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一通信网元根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
上述方案中,所述方法还包括:
所述第一网关接收到上行数据报文后判断是否建立IP安全隧道,向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息;
所述第一网关接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址;
所述第一网关根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
上述方案中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
上述方案中,所述方法还包括:
第一通信网元接收到上行数据报文后启动第一网元功能,判断是否建立IP安全隧道;
所述第一通信网元根据第三网关IP地址与所述第三网关建立所述IP安全隧道;
所述第三网关IP地址为与所述第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
所述第二网关向所述网元注册功能实体发起注册请求;
第一通信网元在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
上述方案中,所述方法还包括:
在所述第一网关获取所述第二网关的IP地址后,根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
本申请实施例的一种数据保护装置,所述装置包括:
申请单元,用于申请得到第二网元安全信息;
隧道建立单元,用于根据所述第二网元安全信息与第二网元建立IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
查询单元,用于向网元注册功能实体发起用于查询所述第二网元安全信息的请求;
第一接收单元,用于接收所述网元注册功能实体反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;
所述隧道建立单元,进一步用于根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二接收单元,用于在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求,所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息后,接收所述第二通信网元反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
上述方案中,所述装置还包括:
第三接收单元,用于接收所述第一通信网元转发的所述第一注册请求,准备建立IP安全隧道;
第一解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
第一信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第四请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
上述方案中,所述装置还包括:
第一启动单元,用于启动第一网元功能并准备建立IP安全隧道;
第二解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
第二信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第一切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
上述方案中,所述装置还包括:
第六请求单元,用于接收到上行数据报文后判断是否建立IP安全隧道,向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息;
第三信息接收单元,用于接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址;
所述隧道建立单元,进一步用于根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
上述方案中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
上述方案中,所述装置还包括:
第二启动单元,用于接收到上行数据报文后启动第一网元功能,判断是否建立IP安全隧道;
所述隧道建立单元,进一步用于根据第三网关IP地址与所述第三网关建立所述IP安全隧道;
所述第三网关IP地址为与所述第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
上述方案中,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第八请求单元,用于向所述网元注册功能实体发起第一注册请求;
第三启动单元,用于在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
上述方案中,所述隧道建立单元,进一步用于在所述第一网关获取所述第二网关的IP地址后,根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
本申请实施例的一种数据保护装置,所述装置包括:
存储有计算机程序的存储器;
处理器,配置为执行所述计算机程序时实现上述方案任一项所述方法的步骤。
本申请实施例的一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方案任一项所述方法的步骤。
本申请实施例的技术方案中,第一网元申请得到第二网元安全信息;第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。由于IP安全隧道的建立,是根据动态申请得到的第二网元安全信息来建立,不需要预先静态配置大量信息,如预先配置的密钥等,因此,降低了运维成本,解决了运维成本高的问题。
附图说明
图1为相关技术中5G网络架构的示意图;
图2为相关技术中采用网络切片提供服务的示意图;
图3为相关技术中建立IP安全隧道的示意图;
图4为本申请实施例中采用网络切片场景提供服务的示意图;
图5为本申请实施例一方法流程的示意图;
图6为应用本申请实施例一方法流程的示意图;
图7为应用本申请实施例又一方法流程的示意图;
图8为应用本申请实施例又一方法流程的示意图;
图9为应用本申请实施例又一方法流程的示意图;
图10为应用本申请实施例又一方法流程的示意图;
图11为应用本申请实施例又一方法流程的示意图;
图12本申请实施例一装置的组成模块示意图;
图13为本申请实施例又一装置的组成模块示意图;
图14为申请实施例一装置的硬件组成示意图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所提供的实施例仅用以解释本申请,并不用于限定本申请。另外,以下所提供的实施例是用于实施本申请的部分实施例,而非提供实施本申请的全部实施例,在不冲突的情况下,本申请实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本申请实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
例如,本申请实施例提供的数据保护方法包含了一系列的步骤,但是本申请实施例提供的该数据保护方法不限于所记载的步骤,同样地,本申请实施例提供的网元设备包括了一系列单元,但是本申请实施例提供的网元设备不限于包括所明确记载的单元,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的单元。
需要说明的是,本发明实施例所涉及的术语“第一\第二”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
5G电信网引入了软件定义和虚拟化技术对传统电信网进行重构,通过软硬件解耦,实现了在通用硬件资源上构建虚拟化弹性网络来提供网络服务,并可以根据应用需求对网络容量灵活进行扩缩。5G网络还打破了传统电信网络的封闭模式,将网络服务能力开放给第三方业务(如业务提供商、企业、垂直行业等),让第三方业务可以按需构建网络切片提供网络服务,以适应各种业务快速发展和不断变化的需求。5G网络的通信架构如图1所示,网络切片选择功能(NSSF,Network Slice Selection Function)用于网络切片选择,认证服务功能(AUSF,Authenticaiton Server Function)用于用户注册到网络时对用户进行鉴权认证,统一数据管理(UDM,Unified Data Management)主要用于管理用户签约信息,接入和移动性管理功能(AMF,Access and Mobility Management Function)用于接入和移动性管理,会话管理功能(SMF,Session Management Function)用于会话管理,策略控制功能(PCF,Policy Control Function)用于服务质量(QoS,Quality of Service)策略及切片选择策略的管理,应用功能(AF,Application Function)用于提供应用相关的信息,RAN为接入网络,用户面功能(UPF,User Plane Function)主要用于用户和数据网络(DN,DataNetwork)之间的数据交互,DN为外部数据网络,详细架构和功能可参考TS 23.501描述。
5G网络,可以采用网络切片形式为用户提供网络服务。网络切片是功能完整、逻辑独立、资源共享的虚拟网络。网络切片是应用本发明实施例的最佳应用场景。
如图2所示为传统网络中采用网络切片为用户提供服务的示意图,包括UE101、无线接入网络(RAN,Radio Access Network)102和核心网(CN,Core Network)103。RAN是用于第三代无线通信设备的必需的基于地面的基础架构,包括到因特网的高速移动接入等。CN103包括:公共网元域1031。用户接入5G网络后使用网络切片为用户提供服务的过程中,通过网络编排管理系统编排以1032标记的网络切片1连接至车联网应用服务器105,以便为车联网业务提供服务,以1033标记的编排网络切片2连接至互联网应用服务器106,以便为互联网业务提供服务。网络切片1与网络切片2之间逻辑隔离,网络切片1与网络切片2中均包含会话管理功能(SMF,Session Management Function)和用户面功能(UDF,User PlaneFunction)。公共网元域是被多个切片共享的公共网元,例如AMF,NSSF,AUSF,UDM等。UE如果使用车联网业务,就需要接入网络切片1;如果使用互联网业务,就需要接入网络切片2。
网络编排管理系统可以根据需求创建新的功能网元(即网元实例化),例如创建新的公共网元或者新的网络切片。当不在需要网络服务时,可终止网络切片,快速释放资源。另外,还可以根据网络流量、用户量等对网络切片容量进行弹性扩缩。因此,相比于传统电信网,5G网络是一个动态的弹性网络。
对于上述系统架构,由于RAN和CN之间的回传网络可能会跨越非信任域,存在数据被窃取的风险,为了保证信令/数据的传输安全,需要在RAN和CN之间部署安全网关功能(SeGW,Security GateWay),建立IP安全(IPSec,IP Security)隧道,对此部分数据进行加密传输。如图3所示,例如4G网络中,在演进的网络节点(eNB,evolved Network Node)和移动性管理实体(MME,Mobility Management Entity))之间部署SeGW,建立IPSec以实现数据加密传输。图3所示的传统网络由于是静态的,即物理设备部署之后,通常不会变化,因此RAN和CN之间的IPSec可通过预配置实现。
如图4所示为5G网络中采用网络切片为用户提供服务的示意图,包括UE101、无线接入网络(RAN,Radio Access Network)102和核心网(CN,Core Network)103。在RAN102侧部署安全网关(SeGW)1021。CN103包括:切片公共网元域1031。用户接入5G网络后使用网络切片为用户提供服务的过程中,通过网络编排管理系统编排以1034标记的网络切片1连接至车联网应用服务器105,以便为车联网业务提供服务,以1035标记的编排网络切片2连接至互联网应用服务器106,以便为互联网业务提供服务。网络切片1与网络切片2之间逻辑隔离,网络切片1与网络切片2中均包含会话管理功能(SMF,Session Management Function)和用户面功能(UDF,User Plane Function)。可以实例化新的安全网关并部署于网络切片中,如在网络切片1中部署SeGW2,在网络切片2中部署SeGW3。公共网元域是被多个切片共享的公共网元,例如AMF、NSSF、AUSF、UDM等。UE如果使用车联网业务,就需要接入网络切片1;如果使用互联网业务,就需要接入网络切片2。在公共网元域也可以部署安全网关,如SeGW1。在每个网络切片内部署的SeGW,并分别与RAN侧的SeGW建立IPSec。
由于图4所示的5G是弹性网络,即根据业务需求,需要动态生成新的核心网元(公网网元和/或网络切片)。为保证数据传输安全性,在新产生的公共网元和/或网络切片与无线接入之间需要对应部署SeGW,建立IPSec。5G网络支持多个网络切片,因此在RAN和CN之间会存在多条IPSec,且这些IPSec是动态部署,传统IPSec静态预配置的方式在弹性网络中不再适用,一方面,静态预配置方式下的加密和验证所使用的密钥都是手工配置,为保证IPSec的长期安全,需要经常修改这些密钥,随着RAN和CN之间的IPSec数量增加,密钥的配置和修改工作量越大;另一方面预配置的方式适用于IPSec两端的SeGW设备部署相对固定的情况,SeGW的IP地址预先分配,而弹性网络中的SeGW是动态部署,地址都是动态分配,因此弹性网络中不适合使用静态预配置方式建立IPSec,需要使用动态协商方式创建IPSec。采用本发明实施例,为了协商建立IPSec,加密端(例如RAN侧的SeGW)可以动态获取加密对端(例如CN侧SeGW)的信息,比如加密对端SeGW的IP地址,从而根据加密对端SeGW的IP地址在加密端和加密对端间建立IP安全隧道。
本发明实施例的一种数据保护方法,如图5所示,所述方法包括:
步骤S101、第一网元申请得到第二网元安全信息。
该第二网元安全信息存储于网元注册功能实体中。第一网元通过动态申请可以以多种渠道从网元注册功能实体中得到第二网元安全信息。
步骤S102、第一网元根据所述第二网元安全信息与第二网元建立IP安全(IPSec)隧道。
在网元注册功能实体中存储所有网元安全信息(如安全网关的网关安全信息),比如,第一网关安全信息,第二关元安全信息或者后续实施例中当实例化新的网关(第三网关)时还存储第三网关安全信息。这些网关安全信息的类型包括但不限于:安全网关功能IP地址、全限定域名(FQDN,Fully Qualified Domain Name)、安全能力等信息。
一可选实施例中,第一网元为部署于第一网络侧(无线接入网)的第一网关,第二网元为部署于第二网络侧(核心网)的第二网关,该方法包括:
步骤S201、第一网关向网元注册功能实体发起用于查询所述第二网元安全信息的请求。
步骤S202、第一网关接收所述网元注册功能实体反馈的第二网元安全信息。
第二网元安全信息为由第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息。
步骤S203、第一网关根据第二网关安全信息与所述第二网关建立所述IPSec隧道。
一可选实施例中,第一网元为部署于第一网络侧(无线接入网)的第一网关,第二网元为部署于第二网络侧(核心网)的第二网关,该方法还包括:
步骤S301、第一通信网元在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求后,接收所述第二通信网元反馈的所述第二网元安全信息。
第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息。
步骤S302、第一网关根据第二网关安全信息与第二网关建立所述IPSec隧道。
针对上述两种可选实施例,一个具体实例1的处理流程如图6所示,包括:
步骤501.第二安全网关功能模块向网元注册功能模块申请注册。
注册请求中包含第二安全网关功能信息。
步骤502.在网元注册功能模块中保存第二安全网关功能信息。
步骤503a.第一安全网关功能模块向网元注册功能模块查询第二安全网关功能信息。
步骤504a.网元注册功能模块返回第二安全网关功能信息,如IP地址/FQDN等给第一安全网关功能模块。
步骤503b.第二通信功能模块向网元注册功能模块查询第二安全网关功能信息,第二通信功能模块接收到网元注册功能实体反馈的第二网元安全信息,第二网元安全信息可以为第二网关IP地址。
步骤504b.网元注册功能模块发送第二安全网关功能信息,如IP地址/FQDN等给第一通信功能模块。
步骤505b.第一通信功能模块发送第二安全网关功能信息,如IP地址/FQDN等给第一安全网关功能模块。
步骤506.第一安全网关功能模块与第二安全网关功能模块间进行IKE SA协商、IPSecSA协商。
步骤507、建立IPSec隧道后,传输IP报文。
本实例中,第二网元安全信息存储于网元注册功能实体中。第一网元通过动态申请可以以多种渠道从网元注册功能实体中得到第二网元安全信息。比如,采用步骤503a-步骤504a,第一安全网关功能模块从网元注册功能模块得到第二安全网关功能信息,如IP地址/FQDN等。又如,采用步骤503b-步骤505b,第一安全网关功能模块从第一通信功能模块得到第二安全网关功能信息,如IP地址/FQDN等。
本文中,第二安全网关功能模块可以位于第二网关,第一安全网关功能模块可以位于第一网关或将第一网关功能集成的第一通信网元。第一通信功能模块可以位于第一通信网元,第二通信功能模块可以位于第二通信网元,网元注册功能模块可以位于网元注册功能实体中。第三安全网关功能模块可以位于第三网关,部署于网络切片中,后续不做赘述。
一可选实施例中,第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述方法包括:
步骤S401、第一通信网元接收到用户设备附着到网络发起的第一注册请求。
步骤S402、第一通信网元向网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
步骤S403、第一网关接收所述第一通信网元转发的所述第一注册请求,准备建立IPSec隧道。
步骤S404、第一网关向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第二注册请求中解析得到的AMF IP地址。
步骤S405、第一网关接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址。
步骤S406、第一网关根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。
对于该可选实施例,一个具体实例2的处理流程如图7所示,实例1描述了用户附着到网络发起的注册流程。RAN和CN之间的IPSec采用网关到网关模式,即在RAN侧(第一通信功能)部署SeGW1(第一安全网关功能),在公共网元域部署SeGW2(第二安全网关功能),所述公共网元域网元(例如AMF,AUSF等)为第二通信功能。网络存储功能(NRF,NetworkRepository Function)用于网元注册。具体实施过程包括:
步骤601、实例化SeGW instance——SeGW2用于部署在CN公共网元侧,并注册到NRF,包含IP地址、安全能力(安全能力包括所述SeGW2支持的IKE协议、封装协议、加密算法、验证算法等。NRF保存SeGW2信息。)等信息。NRF保存所述SeGW2信息,同时需要保存所述SeGW2信息与被SeGW2保护网元的信息(例如本实施例中的通信对端,即AMF,AUSF,UDM(Unified Data Management,统一数据管理)等)的关联关系。
IKE协议包括:因特网密钥交换协议版本1(IKEv1,Internet Key Exchangeversion 1)、IKEv2封装协议包括:验证头(AH,Authentication Header)、封装安全载荷(ESP,Encapsulating Security Payload)。
加密算法包括:数据加密标准(DES,Data Encryption Standard)、数字加密标准3(3DES,Triple DES)、高级加密标准(AES,Advanced Encryption Standard)
验证算法包括:消息摘要5(MD5,Message Digest 5)、安全哈希算法1(SHA1,Secure Hash Algorithm1)、SHA2。
在步骤601之前,在RAN侧部署SeGW1。
步骤602、下一代用户设备(NG-UE,Next Generation User Equipment)附着到网络,发起RAN请求,包含签约隐藏标识(SUCI,Subscription Concealed Identifier)/5G全球唯一临时标识(5G-GUTI,5G Globally Unique Temporary Identifier)等信息。
步骤603、RAN收到注册请求,执行AMF发现程序,寻找为NG-UE接入服务的AMF。NRF根据SUCI/5G-GUTI中的移动国家码(MCC,Mobile Country Code)和移动网络码(MNC,Mobile Network Code)等信息分配AMF,并返回AMF的IP地址或FQDN。
步骤604、根据NRF返回的AMF信息,RAN向所述AMF转发注册请求。
步骤605、SeGW1收到所述注册请求消息,准备建立IPSec隧道。SeGW1向NRF发起CN侧SeGW发现请求,请求消息中包含AMF IP地址(即SeGW1所接收的注册请求消息的目的IP地址)。
步骤606、NRF根据所述AMF IP地址信息,SeGW1的IP地址信息及NRF上保存的SeGW信息与AMFIP地址信息关联关系,查询、分配SeGW2,并将SeGW2的IP地址/FQDN返回给SeGW1。例如:
根据SeGW1的IP地址信息,查询SeGW1的安全能力;根据AMF IP地址和SeGW的IP地址,同时根据SeGW1的安全能力,查询和AMF IP地址存在关联关系,同时和SeGW1的安全能力相同的SeGW。当查询到SeGW2符合要求,则将SeGW2的IP地址/FQDN返回给SeGW1。
步骤607、SeGW1根据SeGW2的IP地址,和SeGW2进行因特网密钥交换安全联盟(IKESA,Internet Key Exchange Security Association)和IPSec SA协商,建立IPSec隧道。本发明以IKEv2方式建立IPSec,建立过程如下描述,详细过程可参考RFC 7296(Request ForComments 7296)。
IPSec隧道协商建立过程分为安全联盟(IKE SA,Security Association)协商和IPSec SA协商。
IKE SA协商过程包括:IKE双方(即SeGW1和SeGW2,下面简称双方)协商采用的IKE版本、封装协议(AH和ESP)、加密算法(DES、3DES、AES)、验证算法(MD5、SHA1、SHA2)、身份认证方法和交换模式、迪菲-赫尔曼秘钥交换(DH,Diffie-Hellman)算法等。IKE双方交换彼此的密钥材料(例如DH公开值、临时随机数等)。IKE双方结合自身配置的身份验证方法各自进行密钥计算(预共享密钥或数据证书参与到密钥计算过程中)。最终计算产生的共享密钥包括三个:K1:用于IKE协商消息完整性验证的密钥;K2:用于IKE协商消息加密的密钥;K3:用于衍生出IPSec报文加密和验证的密钥。
其中,K1和K2用于保证后续IKE协商消息的安全性,K3用于保证IPSec封装的数据报文的安全性。
整个密钥交换和计算过程在IKE SA超时时间的控制下以一定的周期进行自动刷新,避免了密钥长期不变带来的安全隐患。
IPSec SA协商用于双方协商被保护的数据流、交换密钥材料以便双方生成用于IPSec SA的密钥。
IKEv2使用IKE SA初始交换和IKE认证交换来完成上述IKE SA和IPSec SA的协商过程,以建立IPSec。
IKE SA初始交换:负责IKE SA参数协商,包括:SA载荷、KE(Key Exchange,密钥交换)载荷、NONCE载荷。
其中SA载荷用于协商双方支持的加密算法、验证算法、伪随机功能、DH值等;KE载荷和NONCE载荷用于交换密钥材料。
IKE SA初始交换之后,最终双方生成三类密钥:K1用于第二条消息(IKE认证交换)的完整性验证,K2用于第二条消息(IKE认证交换)的加密,K3用于为IPSec SA衍生出加密材料。
IKE认证交换用于双方身份认证,并创建IPSec SA。通常有三种身份认证技术:采用预共享密钥方式时,SeGW的身份信息为IP地址或名称;采用数字证书方式时,SeGW的身份信息为证书和通过证书私钥加密的部分消息Hash值(签名);采用扩展认证协议(EAP,Extensible Authentication Protocol)方式认证之后,衍生密钥:主要通过RADIUS协议进行认证,EAP认证的交换过程属于扩展交换的内容。
创建IPSec SA的过程包括双方协商被保护数据流,通过传输选择器(TS,TrafficSelector)载荷协商。
步骤608、SeGW1将所述注册请求消息进行IPSec加密后,发送给SeGW2。SeGW2对所述消息进行解密,并发送给AMF。
步骤609、剩余注册过程参考3GPP TS 23.502注册流程。
上述实施例在RAN侧和CN侧公共网元域建立网关到网关类型的IPSec隧道,实现了RAN和CN侧交互信令使用IPSec传输,保证信令传输安全性。其中,加密端SeGW1通过NRF发现加密对端SeGW2,并协商建立IPSec。
一可选实施例中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述方法包括:
步骤S501、第一通信网元接收到用户设备附着到网络发起的第一注册请求。
步骤S502、第一通信网元向网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
步骤S503、第一通信网元启动第一网元功能并准备建立IPSec隧道。
步骤S504、第一通信网元向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第二注册请求中解析得到的AMF IP地址。
步骤S505、第一通信网元接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址。
步骤S506、第一通信网元根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。
针对该可选实施例,一个具体实例3的具体处理流程如图8所示,实例3描述了用户附着到网络发起的注册流程。RAN和CN之间的IPSec采用点到网关模式,即RAN侧不单独部署SeGW,RAN集成SeGW功能(第一通信功能/第一安全网关功能),在公共网元域(第二通信功能)部署SeGW2(第二安全网关功能)。具体实施过程包括:
步骤701、实例化新的SeGWinstance——SeGW2用于部署在CN公共网元侧。
将SeGW2注册于NRF中,注册信息包含IP地址、安全能力(参考步骤601)等,NRF保存所述信息,并建立保存所述SeGW2信息与被所述SeGW2保护的网元的信息(例如AMF IP地址)的关联关系。
在步骤701之前,在RAN侧部署SeGW1。
步骤702、NG-UE附着到网络,发起RAN请求,包含SUCI/5G-GUTI等信息。
步骤703、RAN收到注册请求,执行AMF发现程序,寻找为NG-UE接入服务的AMF。请求消息中携带SUCI/5G-GUTI等信息。
步骤704、NRF根据SUCI/5G-GUTI中的MCC和MNC等信息分配AMF,并返回AMF的IP地址或FQDN,同时分配SeGW2(查询和分配过程参考步骤607),并将SeGW2的IP地址或FQDN返回给RAN。
步骤705、RAN根据SeGW2的IP地址,和SeGW2进行IKE SA和IPSec SA协商,建立IPSec隧道。
步骤706、RAN将所述注册请求消息进行IPSec加密后,发送给SeGW2。SeGW2对所述消息进行解密,并发送给AMF。
步骤707、剩余注册过程参考3GPP TS 23.502注册流程。
上述实施例在RAN侧和CN侧公共网元域建立点到网关类型的IPSec隧道,实现了RAN和CN侧交互信令使用IPSec传输,保证信令传输安全性,其中RAN通过AMF发现程序获取SeGW2的地址信息,并协商建立IPSec。
一可选实施例中,所述第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述方法包括:
步骤S601、编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
步骤S602、第一网关接收到上行数据报文后判断是否建立IP安全隧道,向网元注册功能实体发起网关发现请求。
网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息。
步骤S603、第一网关接收网元注册功能实体反馈的与该目的IP地址信息关联的第三网关IP地址。
步骤S604、第一网关根据所述第三网关IP地址与所述第三网关建立所述IPSec隧道。
对于本可选实施例,一个具体实例4的具体处理流程如图9所示,实例4描述了用户附着到网络之后,需要开展业务,从而接入到网络切片的过程。网络编排系统根据需求编排产生新的网络切片。本实例中,网络切片由SMF和UPF组成,同时为了保证RAN和所述网络切片之间数据传输安全性,需建立IPSec,因此在编排所述切片的同时,实例化新的SeGWinstance——SeGW3。RAN和所述切片之间采用网关到网关模式,即在RAN(第一通信功能)侧单独部署SeGW1(第一安全网关功能),在所述网络切片(第二通信功能)内部署SeGW3(第二安全网关功能)。具体实施过程包括:
步骤801、CN公共网元侧部署的SeGW2向NRF发起注册,包含IP地址、安全能力等信息。NRF保存所述SeGW2的信息。
步骤801之前,将SeGW1信息部署于NRF中,包含IP地址以及安全能力等信息。
步骤802、编排产生网络切片,同时编排产生SeGW3,并部署于所述网络切片内。SeGW3向NRF发起注册,包含IP地址、安全能力等信息,NRF保存所述信息,并建立所述SeGW3的信息与被所述SeGW3保护的网络切片信息(例如UPF IP地址、SMF IP地址等)的关联关系。
步骤803、在NG-UE注册阶段,已经建立SeGW1和SeGW2之间的IPSec,实现NG-UE与CN公网网元之间交互信令(步骤804、步骤810)的加密传输。
步骤804、NG-UE发起分组数据单元(PDU,Packet Data Unit)会话建立请求,请求中携带单个网络切片选择辅助信息(S-NSSAI,Single Network Slice SelectionAssistance Information),数据网络名称(DNN,Data Network Name),PDU Session ID等信息。
步骤805、AMF收到所述请求消息后,根据S-NSSAI,DNN等信息执行SMF选择。
步骤806、AMF向SMF发送PDU会话建立请求。
步骤807、SMF根据S-NSSAI,DNN等信息执行UPF选择。
步骤808、SMF向UPF下发N4会话建立/修改请求,下发报文检测规则、隧道信息等。
步骤809、SMF向AMF返回PDU会话建立响应,提供隧道信息、QoS等信息给AMF。
步骤810、AMF和RAN以及RAN和NG-UE之间完成PDU会话建立过程。
步骤811、NG-UE发送上行数据报文。
步骤812、当上行数据到达SeGW1后,根据报文外层目的地址(即UPF IP地址)判断还没有SeGW1和所述UPF对应的网络切片之间建立IPSec隧道。SeGW1向NRF发起所述网络切片对应的SeGW信息查询,所述查询信息中包含所述UPF IP地址。
步骤813、NRF根据所述网络切片信息(包含UPF IP地址)与SeGW信息的关联关系,分配SeGW3(参考步骤606),并将SeGW3的IP地址或者FQDN返回给SeGW1。
步骤814、SeGW1根据SeGW3的信息发起IKE SA和IPSec SA协商,建立IPSec隧道。
步骤815、SeGW1将所述上行报文经过IPSec加密后,发送给SeGW3。SeGW3对所述消息进行解密,并发送给UPF。
步骤816、剩余PDU会话建立过程参考3GPP TS 23.502(TechnicalSpecification,技术文档)PDU会话建立流程。
上述实例在RAN侧和CN侧网络切片内建立网关到网关类型的IPSec隧道,实现了RAN和网络切片之间交互数据使用IPSec传输,保证数据传输安全性。SeGW1是在接收到上行数据报文时,触发IPSec协商建立的过程(步骤814)。通过SeGW1向NRF查询SeGW3的IP地址/FQDN信息,以发起IPSec协商。
一可选实施例中,第一网元集成于第一网络侧(无线接入网)内,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述方法包括:
步骤S701、编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
步骤S702、第一通信网元接收到上行数据报文后启动第一网元功能,判断是否建立IP安全隧道,第一通信网元根据第三网关IP地址与所述第三网关建立所述IP安全隧道。
所述第三网关IP地址为与所述第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
对于该可选实施例,一个具体实例5的具体处理流程如图10所示,实例5描述了用户附着到网络之后,需要开展业务,从而接入到网络切片的过程。网络编排系统根据需求编排产生新的网络切片(本实施例中,网络切片由SMF和UPF组成),同时为了保证RAN和网络切片之间数据传输安全性,需要建立IPSec,因此在编排所述切片的同时,编排产生SeGW3并部署于所述网络切片内。RAN和所述切片之间采用点到网关模式,即在RAN侧不单独部署SeGW,RAN集成SeGW功能(第一通信功能/第一安全网关功能),所述切片(第二通信功能)内部署独立SeGW3(第二安全网关功能)。具体实施过程包括:
步骤901、CN公共网元侧SeGW2向NRF发起注册,包含IP地址、安全能力等信息。NRF保存SeGW2信息。
步骤901之前,RAN侧部署SeGW1。
步骤902、网络切片内部署SeGW3,例如当实例化新的UPF instance时,同时实例化新的SeGW instance——SeGW3,同时为其分配IP地址。SeGW3向NRF发起注册,包含IP地址、安全能力等,NRF保存所述信息,并建立所述UPF instance的IP地址和所述SeGW3instance的IP地址关联关系。
步骤903、在NG-UE注册阶段,已经建立SeGW1和SeGW2之间的IPSec,实现NG-UE和CN公共网元之间交互控制信令(步骤904、步骤913、步骤915)的加密传输。
步骤904、NG-UE发起PDU会话建立请求,请求中携带S-NSSAI,DNN,PDU Session ID等信息。
步骤905、AMF收到所述请求消息后,根据S-NSSAI,DNN等信息执行SMF选择。
步骤906、AMF向SMF发送PDU会话建立请求。
步骤907、SMF根据S-NSSAI,DNN等信息执行UPF选择。
步骤908、SMF向UPF下发N4会话建立/修改请求,下发报文检测规则、隧道信息等。
步骤909、UPF执行SeGW发现请求,向NRF发起查询,携带UPF IP地址信息。
步骤910、NRF根据网络切片信息(包含UPF IP地址)与SeGW信息的关联关系,分配SeGW3,并将SeGW3的IP地址或者FQDN返回给所述UPF。
步骤911、UPF向SMF返回N4会话建立/修改响应,将所述SeGW3的IP地址或者FQDN信息返回给SMF。
步骤912、SMF向AMF返回PDU会话建立响应,提供SeGW3的IP地址或者FQDN信息、隧道信息、服务质量(QoS,Quality of Service)等信息给AMF。
步骤913、AMF向RAN发起N2会话建立请求,将所述SeGW3的IP地址或者FQDN信息提供给RAN。AMF和RAN之间发送信息使用步骤903建立的IPSec隧道加密。
步骤914、RAN和NG-UE之间完成PDU会话无线资源的配置。
步骤915、RAN向AMF返回N2会话建立响应。
步骤916、NG-UE发送上行数据报文。
步骤917、当上行数据到达RAN后,根据SeGW3的信息发起IKE SA和IPSec SA协商,建立IPSec隧道。
步骤918、RAN将所述上行报文经过IPSec加密后,发送给SeGW3。SeGW3对所述消息进行解密,并发送给UPF。
步骤919、剩余PDU会话建立过程参考3GPP TS 23.502PDU会话建立流程。
上述实施例在RAN侧和网络切片建立点到网关类型的IPSec隧道,实现了RAN和网络切片之间交互的数据使用IPSec传输,保证数据传输安全性。
所述实例实现的是在切片创建阶段,由UPF选择SeGW3的IP地址/FQDN信息,并通过N4、N2会话消息发送给RAN,并由RAN在收到上行数据报文时,触发IPSec建立。需要说明的是,所述IPSec协商建立的过程(步骤917)也可在RAN接收到SeGW3的IP地址/FQDN信息后(即步骤913)触发协商建立。该流程下,如果RAN侧单独部署SeGW1,则RAN还需要通过消息将SeGW3的IP地址/FQDN信息发送给SeGW1。
一可选实施例中,第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述方法包括:
步骤S801、第二网关向网元注册功能实体发起注册请求。
步骤S802、第一通信网元在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IPSec隧道的建立。
步骤S803、在第一网关获取第二网关的IP地址后,根据该第二网关IP地址与所述第二网关建立所述IP安全隧道。
对于该可选实施例,一个具体实例6的具体处理流程如图11所示,上述实例1至实例5描述了RAN和CN之间的IPSec隧道都是由SeGW1接收到CP(Control Plane,控制面)/UP(User Plane,用户面)报文触发建立。这种IPSec隧道建立方式会影响报文交互的时延。本实例描述了在SeGW实例化后(例如实例化新的AMF,或者实例化产生新的网络切片时),随即启动RAN侧和CN侧之间的IPSec建立过程。所述建立过程可以由网元管理功能触发建立,这种建立方式不会影响报文交互时延。其具体实施过程包括:
RAN(第一通信功能)侧部署SeGW1(第一安全网关功能)。
步骤1001.SeGW2向NRF注册。
CN侧实例化新的网络切片(本实施例中以UPF代表)或者实例化新的公共网元域(本实施例中以AMF代表)时(第二通信功能),实例化新的SeGW Instance——SeGW2(第二安全网关功能)。SeGW2向NRF发起注册,包含IP地址、安全能力等信息,NRF保存所述信息,并建立UPF/AMF的IP地址和SeGW2信息的关联关系。
步骤1002.网元管理功能(负责对部署网元的运营、管理、维护,例如EMS(ElementManagement System,网元管理系统),OMS(Operation Management System,运营管理系统),MANO(Management ANd Orchestration,管理和编排)等管理网元)向SeGW1下发消息,要求建立和CN侧的IPSec。
步骤1003.SeGW1发起SeGW2发现请求,向NRF查询CN侧SeGW信息。
步骤1004.NRF将SeGW2的IP地址/FQDN信息返回给SeGW1。
步骤1005.SeGW1根据SeGW2的IP地址发起IKE SA和IPSec SA协商,建立IPSec。
步骤1006.用户注册流程或接入网络切片流程中发生的CP/UP报文在经过RAN和CN之间时使用所述IPSec隧道进行加密。所述注册流程、接入切片流程参考TS 23.502。
本实例是通过NRF保存SeGW的信息,以及所述信息和被保护网元信息的关联关系,供其他网元查询。除此之外,也可以通过DNS机制在DNS(Domain Name System,域名系统)上保存SeGW信息和所述关联关系,供其他网元查询以便选择合适的SeGW。
在本实施例中还提供了一种数据保护装置,该装置用于实现上述实施例及可选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图12是根据本发明实施例的数据保护装置的结构框图,该数据保护装置包括:申请单元51,用于申请得到第二网元安全信息;隧道建立单元52,用于根据所述第二网元安全信息与第二网元建立IPSec隧道。
一可选实施例中,如图13所示,第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:查询单元53,用于向网元注册功能实体发起用于查询所述第二网元安全信息的请求;第一接收单元54,用于接收所述网元注册功能实体反馈的所述第二网元安全信息;所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;隧道建立单元52,进一步用于根据所述第二网关安全信息与所述第二网关建立所述IPSec隧道。
一可选实施例中,所述第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第二接收单元,用于在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求后,接收所述第二通信网元反馈的所述第二网元安全信息;所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;所述隧道建立单元,进一步用于根据所述第二网关安全信息与所述第二网关建立所述IPSec隧道。
一可选实施例中,所述第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第二请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
一可选实施例中,所述装置还包括:第三接收单元,用于接收所述第一通信网元转发的第一注册请求,准备建立IPSec隧道;第一解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从第一注册请求中解析得到的AMF IP地址;第一信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。
一可选实施例中,第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第四请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
一可选实施例中,所述装置还包括:第一启动单元,用于启动第一网元功能并准备建立IPSec隧道;第二解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;第二信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。
一可选实施例中,第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第一切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。第六请求单元,用于接收到上行数据报文后判断是否准备建立IPSec隧道,向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息;第三信息接收单元,用于接收所述网元注册功能实体反馈的与该目的IP地址信息关联的第三网关IP地址;所述隧道建立单元,进一步用于根据所述第三网关IP地址与所述第三网关建立所述IPSec隧道。
一可选实施例中,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第二切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。第二启动单元,用于接收到上行数据报文后启动第一网元功能,判断是否准备建立IPSec隧道;所述隧道建立单元,进一步用于根据第三网关IP地址与所述第三网关建立所述IPSec隧道;所述第三网关IP地址为与第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
一可选实施例中,所述第一网元为部署于第一网络侧(无线接入网)的第一网关,所述第二网元为部署于第二网络侧(核心网)的第二网关,所述装置还包括:第八请求单元,用于向所述网元注册功能实体发起第一注册请求;第三启动单元,用于在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IPSec隧道的建立。
一可选实施例中,所述隧道建立单元,进一步用于在第一网关获取第二网关的IP地址后,根据该第二网关IP地址与所述第二网关建立所述IP安全隧道。
本发明实施例的一种数据保护装置,如图14所示,数据保护装置410包括:处理器81和用于存储能够在处理器上运行的计算机程序的存储器82。当然,实际应用时,如图14所示,数据保护装置410还可以包括至少一个通信接口83。数据保护装置410中的各个组件通过总线系统84耦合在一起。可理解,总线系统84用于实现这些组件之间的连接通信。总线系统84除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图14中将各种总线都标为总线系统84。其中,通信接口83,用于与其它设备进行交互。
可以理解,存储器82可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器82旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例中,还提供了一种计算机可读存储介质,用于存储上述实施例中提供的计算程序,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
需要说明的是:本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
尽管为示例目的,已经公开了本申请的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本申请的范围应当不限于上述实施例。
Claims (28)
1.一种数据保护方法,其特征在于,所述方法包括:
第一网元申请得到第二网元安全信息;
第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。
2.根据权利要求1所述的方法,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
所述第一网关向网元注册功能实体发起用于查询所述第二网元安全信息的请求;
所述第一网关接收所述网元注册功能实体反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
3.根据权利要求1所述的方法,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求,所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息之后,所述第一通信网元接收到所述第二通信网元反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
4.根据权利要求1所述的方法,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元接收到用户设备附着到网络发起的第一注册请求,向网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述第一网关接收所述第一通信网元转发的所述第一注册请求,准备建立IP安全隧道;
所述第一网关向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
所述第一网关接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
6.根据权利要求1所述的方法,其特征在于,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
第一通信网元接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述第一通信网元启动第一网元功能并准备建立IP安全隧道;
所述第一通信网元向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
所述第一通信网元接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道,包括:
所述第一通信网元根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
8.根据权利要求1所述的方法,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述第一网关接收到上行数据报文后判断是否建立IP安全隧道,向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息;
所述第一网关接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址;
所述第一网关根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
10.根据权利要求1所述的方法,其特征在于,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
第一通信网元接收到上行数据报文后启动第一网元功能,判断是否建立IP安全隧道;
所述第一通信网元根据第三网关IP地址与所述第三网关建立所述IP安全隧道;
所述第三网关IP地址为与所述第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
12.根据权利要求1所述的方法,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述方法还包括:
所述第二网关向所述网元注册功能实体发起注册请求;
第一通信网元在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
在所述第一网关获取所述第二网关的IP地址后,根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
14.一种数据保护装置,其特征在于,所述装置包括:
申请单元,用于申请得到第二网元安全信息;
隧道建立单元,用于根据所述第二网元安全信息与第二网元建立IP安全隧道。
15.根据权利要求14所述的装置,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
查询单元,用于向网元注册功能实体发起用于查询所述第二网元安全信息的请求;
第一接收单元,用于接收所述网元注册功能实体反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息;
所述隧道建立单元,进一步用于根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
16.根据权利要求14所述的装置,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二接收单元,用于在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求,所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息后,接收所述第二通信网元反馈的所述第二网元安全信息;
所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
17.根据权利要求14所述的装置,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
第三接收单元,用于接收所述第一通信网元转发的所述第一注册请求,准备建立IP安全隧道;
第一解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
第一信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
19.根据权利要求14所述的装置,其特征在于,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第四请求单元,用于接收到用户设备附着到网络发起的第一注册请求,向所述网元注册功能实体发起AMF发现请求,寻找为用户设备接入服务的AMF。
20.根据权利要求19所述的装置,其特征在于,所述装置还包括:
第一启动单元,用于启动第一网元功能并准备建立IP安全隧道;
第二解析单元,用于向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址;
第二信息接收单元,用于接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址;
所述隧道建立单元,进一步用于根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
21.根据权利要求14所述的装置,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第一切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
22.根据权利要求21所述的装置,其特征在于,所述装置还包括:
第六请求单元,用于接收到上行数据报文后判断是否建立IP安全隧道,向所述网元注册功能实体发起网关发现请求,所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息;
第三信息接收单元,用于接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址;
所述隧道建立单元,进一步用于根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
23.根据权利要求14所述的装置,其特征在于,所述第一网元集成于第一通信网元内,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第二切片生成单元,用于编排产生网络切片,实例化新的网元得到第三网关,所述第三网关部署于所述网络切片内。
24.根据权利要求23所述的装置,其特征在于,所述装置还包括:
第二启动单元,用于接收到上行数据报文后启动第一网元功能,判断是否建立IP安全隧道;
所述隧道建立单元,进一步用于根据第三网关IP地址与所述第三网关建立所述IP安全隧道;
所述第三网关IP地址为与所述第一通信网元接收的上行数据报文目的IP地址关联的第三网关IP地址。
25.根据权利要求14所述的装置,其特征在于,所述第一网元为部署于第一网络侧的第一网关,所述第二网元为部署于第二网络侧的第二网关,所述装置还包括:
第八请求单元,用于向所述网元注册功能实体发起第一注册请求;
第三启动单元,用于在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
26.根据权利要求25所述的装置,其特征在于,所述隧道建立单元,进一步用于在所述第一网关获取所述第二网关的IP地址后,根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
27.一种数据保护装置,其特征在于,所述装置包括:
存储有计算机程序的存储器;
处理器,配置为执行所述计算机程序时实现权利要求1至13任一项所述方法的步骤。
28.一种计算机存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至13任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810880301.6A CN110798437B (zh) | 2018-08-03 | 2018-08-03 | 一种数据保护方法、装置及计算机存储介质 |
| PCT/CN2019/098894 WO2020025028A1 (zh) | 2018-08-03 | 2019-08-01 | 数据保护方法、装置及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810880301.6A CN110798437B (zh) | 2018-08-03 | 2018-08-03 | 一种数据保护方法、装置及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110798437A true CN110798437A (zh) | 2020-02-14 |
| CN110798437B CN110798437B (zh) | 2023-02-21 |
Family
ID=69231466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810880301.6A Active CN110798437B (zh) | 2018-08-03 | 2018-08-03 | 一种数据保护方法、装置及计算机存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110798437B (zh) |
| WO (1) | WO2020025028A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023088404A1 (zh) * | 2021-11-22 | 2023-05-25 | 华为技术有限公司 | 一种安全隧道建立方法、装置及通信系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023094009A1 (en) * | 2021-11-29 | 2023-06-01 | Nokia Technologies Oy | Method, apparatus and computer program |
| CN116366445A (zh) * | 2021-12-21 | 2023-06-30 | 中兴通讯股份有限公司 | 切片配置方法、系统、服务器和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005495A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种在通讯系统中保障信息安全的处理方法 |
| CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
| CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
| CN102724102A (zh) * | 2011-03-29 | 2012-10-10 | 华为技术有限公司 | 与网管系统建立连接的方法、设备及通信系统 |
| US20130114432A1 (en) * | 2011-11-09 | 2013-05-09 | Verizon Patent And Licensing Inc. | Connecting to an evolved packet data gateway |
| CN103597779A (zh) * | 2011-06-08 | 2014-02-19 | 阿尔卡特朗讯 | 用于为用户实体提供网络接入的方法及装置 |
| CN104168173A (zh) * | 2010-08-20 | 2014-11-26 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| US20170295529A1 (en) * | 2016-04-08 | 2017-10-12 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
| CN108323245A (zh) * | 2017-06-19 | 2018-07-24 | 华为技术有限公司 | 一种注册及会话建立的方法、终端和amf实体 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104469772A (zh) * | 2014-12-29 | 2015-03-25 | 迈普通信技术股份有限公司 | 一种网点设备认证方法、装置及认证系统 |
| CN107707381B (zh) * | 2017-08-04 | 2021-01-12 | 北京天元创新科技有限公司 | 虚拟网元智能切片管理系统及方法 |
-
2018
- 2018-08-03 CN CN201810880301.6A patent/CN110798437B/zh active Active
-
2019
- 2019-08-01 WO PCT/CN2019/098894 patent/WO2020025028A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005495A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种在通讯系统中保障信息安全的处理方法 |
| CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
| CN104168173A (zh) * | 2010-08-20 | 2014-11-26 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN102724102A (zh) * | 2011-03-29 | 2012-10-10 | 华为技术有限公司 | 与网管系统建立连接的方法、设备及通信系统 |
| CN103597779A (zh) * | 2011-06-08 | 2014-02-19 | 阿尔卡特朗讯 | 用于为用户实体提供网络接入的方法及装置 |
| US20130114432A1 (en) * | 2011-11-09 | 2013-05-09 | Verizon Patent And Licensing Inc. | Connecting to an evolved packet data gateway |
| CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
| US20170295529A1 (en) * | 2016-04-08 | 2017-10-12 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
| CN108323245A (zh) * | 2017-06-19 | 2018-07-24 | 华为技术有限公司 | 一种注册及会话建立的方法、终端和amf实体 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023088404A1 (zh) * | 2021-11-22 | 2023-05-25 | 华为技术有限公司 | 一种安全隧道建立方法、装置及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110798437B (zh) | 2023-02-21 |
| WO2020025028A1 (zh) | 2020-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505718B1 (en) | Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform | |
| US11979798B2 (en) | Session establishment to join a group communication | |
| US10299128B1 (en) | Securing communications for roaming user equipment (UE) using a native blockchain platform | |
| US10660016B2 (en) | Location based coexistence rules for network slices in a telecommunication network | |
| RU2719447C1 (ru) | Способ конфигурирования ключа, способ определения политики безопасности и устройство | |
| US20210314857A1 (en) | Network Function Instance Selection | |
| US20200128614A1 (en) | Session processing method and device | |
| EP3648432B1 (en) | Discovery method and device for network function service | |
| EP3432532A1 (en) | Key distribution and authentication method, apparatus and system | |
| WO2017105777A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| JP2011024065A (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| CN110798437B (zh) | 一种数据保护方法、装置及计算机存储介质 | |
| CN109155734B (zh) | 基于身份标识密码技术的密钥生成和分发方法 | |
| WO2022078214A1 (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| US20140189357A1 (en) | Encryption and authentication based network management method and apparatus | |
| US20210219137A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| US20220141191A1 (en) | Secure distribution of configuration to facilitate a privacy-preserving virtual private network system | |
| US20220007277A1 (en) | A method and apparatus for attaching user equipment to a network slice | |
| WO2016078375A1 (zh) | 数据传送方法及装置 | |
| WO2020257986A1 (en) | Dynamic allocation of network slice-specific credentials | |
| CN111147273B (zh) | 一种数据安全的实现方法及相关设备 | |
| WO2021073382A1 (zh) | 注册方法及装置 | |
| KR20230156685A (ko) | 무선 네트워크에서의 코어 네트워크 디바이스 재할당을 위한 방법, 디바이스 및 시스템 | |
| EP3454583B1 (en) | Network connection method, and secure node determination method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |