CN111147273B - 一种数据安全的实现方法及相关设备 - Google Patents
一种数据安全的实现方法及相关设备 Download PDFInfo
- Publication number
- CN111147273B CN111147273B CN201811313621.XA CN201811313621A CN111147273B CN 111147273 B CN111147273 B CN 111147273B CN 201811313621 A CN201811313621 A CN 201811313621A CN 111147273 B CN111147273 B CN 111147273B
- Authority
- CN
- China
- Prior art keywords
- security gateway
- information
- functional entity
- ipsec
- gateway function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明实施例公开了一种数据安全的实现方法及相关设备,其中方法之一包括:接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;根据所述第一信息,所述第一安全网关功能与核心网CN侧的第二安全网关功能之间协商建立IP安全隧道IPSec。如此,安全网关功能可以动态建立IPSec,实现弹性网络中接入网侧与核心网侧之间的数据安全。
Description
技术领域
本发明实施例涉及但不限于弹性网络数据安全领域,更具体的涉及一种数据安全的实现方法及相关设备。
背景技术
传统2G/3G/4G电信网是由大量专用设备和功能单一的网络节点构成的封闭网络,软件与硬件深度绑定,通常面临建设周期长、维护成本高、扩展性受限等问题,难以适应互联网OTT(Over The Top)、物联网等业务快速发展的需求。
5G(Fifth Generation,第五代移动通信)电信网引入了软件定义和虚拟化技术对传统电信网进行重构,通过软硬件解耦,实现了在通用硬件资源上构建虚拟化网络提供网络服务,并可根据应用需求对网络容量灵活进行扩缩。5G网络还打破了传统电信网络的封闭模式,将网络服务能力开放给第三方业务(如业务提供商、企业、垂直行业等),让第三方业务可以按需构建网络切片提供网络服务,以适应各种业务快速发展和不断变化的需求。
通信网络中,RAN(Radio Access Network,无线接入网络)和CN(Core Network,核心网络)之间的回传网络可能会跨越非信任域,存在数据被窃取的风险,为保证信令/数据的传输安全,需要在RAN和CN之间部署SeGW(Security GateWay,安全网关)功能,建立IP安全协议IPSec(IP Security,IP安全),对数据进行加密传输。
传统通信网络是静态的,即物理设备部署之后,通常不会变化,因此RAN和CN之间的IPSec建立可通过预配置实现IPSec静态部署的方式。但是,由于5G是弹性网络,显然,传统网络中IPSec静态部署的方式不适用于5G网络。因此5G网络中,如何部署IPSec成为需要解决的技术问题。
发明内容
有鉴于此,本发明实施例提供了一种数据安全的实现方法,包括:接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
根据所述第一信息,所述第一安全网关功能与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。
本发明实施例还提供了一种数据安全的实现方法,包括:
核心网侧的第二安全网关功能获取第二信息,所述第二信息包括以下至少之一:所述核心网网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第二信息,所述第二安全网关功能与接入网侧的第一安全网关功能之间协商建立IP安全隧道IPSec。
本发明实施例还提供了一种第一安全网关功能,位于接入网侧,包括:
获取单元,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
建立单元,用于根据所述第一信息,与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。
本发明实施例还提供了一种第二安全网关功能,位于核心网侧,包括:
获取单元,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网侧公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
建立单元,用于根据所述第二信息,与接入网侧的第一安全网关功能之间协商建立IP安全协议IPSec。
本发明实施例还提供了一种数据安全的实现系统,包括:
位于接入网侧的第一安全网关功能和位于核心网侧的第二安全网关功能;
所述第一安全网关功能,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
所述第二安全网关功能,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第一信息和所述第二信息,所述第一安全网关功能与所述第二安全网关功能之间协商建立IP安全隧道IPSec。
本发明实施例还提供了一种第一安全网关功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述第一安全网关功能执行的数据安全的实现方法。
本发明实施例还提供了一种第二安全网关功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述第二安全网关功能执行的数据安全的实现方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述任一项所述数据安全的实现方法的步骤。
与相关技术相比,本发明实施例提供了一种数据安全的实现方法及相关设备,其中方法之一包括:接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;根据所述第一信息,所述第一安全网关功能与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。如此,安全网关功能之间可以动态建立IPSec,实现弹性网络中接入网侧与核心网侧之间的数据安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为现有技术的5G网络架构;
图2是现有技术的5G网络切片示例的示意图;
图3是现有技术的3G/4G网络数据在RAN和CN之间交互的安全传输示例的示意图;
图4为本发明5G网络中数据在RAN和CN之间交互的安全传输示例的示意图;
图5为本发明5G网络中RAN侧和CN侧之间部署IPSec部署方案的示意图;
图6为本发明实施例一提供的数据安全的实现方法的流程示意图;
图7为本发明实施例二提供的数据安全的实现方法的流程示意图;
图8为本发明实施例三提供的数据保护的实现方法的流程示意图;
图9为本实施例四提供的用户附着到网络发起的注册流程的示意图;
图10为本实施例五提供的描述用户完成注册后接入网络切片过程的示意图;
图11为本实施例六提供的用户完成注册并接入网络切片过程的示意图;
图12为本发明实施例七提供的第一安全网关功能的结构示意图;
图13为本发明实施例八提供的第二安全网关功能的结构示意图;
图14为本发明实施例九提供的数据安全的实现系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
3GPP(The 3rd Generation Partnership Project,第三代伙伴计划)定义了5G通信架构,如图1所示,其架构和功能可参考TS 23.501描述,包括了用户设备UE、(R)AN(RadioAccess Network,无线接入网)、UPF(User plane Function,用户面功能)、DN(DataNetwork,数据网络)、AMF(Access Mobility Function,接入管理功能)、SMF(SessionManagement Functio,会话管理功能)、PCF(Policy Control function,策略控制功能)、AF(Application Function,应用功能)、NSSF(Network Slice Selection Function,网络切片选择功能)、AUSF(Authentication Server Function,认证服务功能)、UDM(UnifiedData Management,统一数据管理)等网元。5G网络以网络切片形式为用户提供网络服务。网络切片是功能完整、逻辑独立、资源共享的虚拟网络。
图2描述了5G使用网络切片提供服务的示例。通过网络编排管理系统编排网络切片1为车联网业务提供服务,编排网络切片2为互联网业务提供服务。切片1与切片2之间硬件资源共享,逻辑隔离。核心网CN(CoreNetwork)公共网元域是服务于多个切片的公共网元,包括AMF(Access and Mobility Management Function,接入和移动性管理功能),NSSF(Network Slice Selection Function,网络切片选择功能),AUSF(AuthenticationServer Function,认证服务功能)等。每一个网络切片包括:SMF(Session ManagementFunctio,会话管理功能)、UPF(User plane Function,用户面功能)等。如果用户UE(UserEquipment,用户设备)使用车联网应用,就需要接入网络切片1,使用互联网应用,就需要接入网络切片2。网络编排管理系统可编排创建新的网元(即网元实例化),组建网络切片。当不再需要网络服务时,终止网络切片,快速释放资源。另外,还可根据网络流量、用户量等对网络切片容量进行弹性扩缩。因此,5G网络是动态弹性网络。
通信网络架构中,RAN(Radio Access Network,无线接入网络)和CN(CoreNetwork,核心网络)之间的回传网络可能会跨越非信任域,存在数据被窃取的风险,为保证信令/数据的传输安全,需要在RAN和CN之间部署SeGW(Security GateWay,安全网关)功能,建立IP安全协议IPSec(IP Security,IP安全),对数据进行加密传输。
传统通信网络是静态的,即物理设备部署之后,通常不会变化,因此RAN和CN之间的IPSec建立可通过预配置实现IPSec静态部署的方式。例如图3所示,4G网络中,RAN由eNB(evolved Network Node,演进的网络节点)构成,eNB和MME(Mobility ManagementEntity,移动性管理实体)之间部署SeGW,建立IPSec实现数据加密传输。
5G网络是动态弹性网络。如图4所示,5G网络中,RAN由AAU(Active Antenna Unit,有源天线单元)、DU(Distribute Unit,分布式单元)、CU(Centralized Unit,集中单元)构成。核心网CN由多个网络切片以及服务于网络切片的公共网元域构成。每个网络切片提供功能独立的网络服务,且每个网络切片对安全要求存在差异,因此在RAN和CN之间需要建立多IPSec以满足每个网络切片和RAN之间交互数据的安全要求。当编排产生网络切片时,对应编排产生SeGW,以便在RAN和所述网络切片之间建立IPSec保证数据传输安全。当网络切片终止时,对应IPSec也需要终止释放。因此相比于传统网络中IPSec静态部署,5G网络在RAN和CN之间的IPSec部署是动态的。IPSec的传统静态预配置方式在5G网络中不适合使用。
5G网络中,RAN和CN之间交互的数据需要进行IPSec保护。如图5所示,以RAN和网络切片1的交互数据进行保护为例,SeGW1需要对由RAN发往网络切片1的数据流进行加密,SeGW3需要对由所述切片发往RAN的数据流进行加密,实现上述过程需要SeGW1和SeGW3之间协商建立IPSec,在协商阶段双方需要知道被保护的数据流信息,包括:
1、SeGW1获取RAN使用的IP地址段;SeGW3获取网络切片1使用的IP地址段;
2、SeGW1和SeGW3进行TS载荷协商,即SeGW1将所述RAN IP地址段发送给SeGW3,SeGW3将所述网络切片1IP地址段发送给SeGW1。
经过上述过程,SeGW1和SeGW3才知道需要保护的数据流,即对于RAN发往网络切片1的数据以及网络切片1发往RAN的数据进行IPSec加密保护
但是由于5G是弹性网络,网络切片都是根据需求动态产生,显然,传统网络中,通过在SeGW上预配置被保护数据流信息从而建立IPSec在弹性网络中不再适用。因此5G网络中,SeGW如何动态建立IPSec是本发明所要解决的技术问题。
实施例一
图6为本发明实施例一提供的数据安全的实现方法的流程示意图,如图6所示,该方法包括:
步骤601,接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
步骤602,根据所述第一信息,所述第一安全网关功能与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。
其中,所述第一安全网关功能获取第一信息,包括:
所述接入网侧的第一拓扑管理功能TMF获取并保存所述第一信息;
所述第一TMF获取第一安全网关功能地址信息,并根据所述第一安全网关功能地址信息将所述第一信息发送给所述第一安全网关功能。
其中,当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
所述第一安全网关功能接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能完成因特网密钥交换安全联盟IKE SA协商和IP安全联盟IPSec SA协商,建立IPSec。
其中,该方法还包括:
所述第一安全网关功能将所述注册请求和/或所述注册请求的后续信息进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网侧公共网元域的网元。
其中,当所述第二安全网关功能为部署于核心网侧网络切片的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
当用户UE接入所述网络切片后,所述第一安全网关功能接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能完成IKE SA协商和IPSec SA协商,建立IPSec。
其中,该方法还包括:
所述第一安全网关功能将所述上行数据报文进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对收到的所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,该方法还包括:
所述第一安全网关功能接收第二安全网关功能发送的进行了IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,当所述第二安全网关功能为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
所述第一安全网关功能接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能之间建立第一子IPSec。
其中,该方法还包括:
所述第一安全网关功能将所述注册请求和/或所述注册请求的后续信息进行第一子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述公共网元域网元。
其中,该方法还包括:
当用户UE接入所述网络切片后,所述第一安全网关功能接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在第二子IPSec;
如果不存在,根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能之间建立第二子IPSec。
其中,该方法还包括:
所述第一安全网关功能将所述上行数据报文进行第二子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec还包括:
当用户UE接入所述网络切片后且所述第二安全网关功能接收所述网络切片发送的下行数据报文时,所述第一安全网关功能与所述第二安全网关功能之间建立第二子IPSec。
其中,该方法还包括:
所述第一安全网关功能接收第二安全网关功能发送的进行了第二子IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,当所述网络切片扩容时,所述第一安全网关功能接收所述第二安全网关功能发送的重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
实施例二
图7为本发明实施例二提供的数据安全的实现方法的流程示意图,如图7所示,该方法包括:
步骤701,核心网侧的第二安全网关功能获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
步骤702,根据所述第二信息,所述第二安全网关功能与接入网侧的第一安全网关功能之间协商建立IP安全隧道IPSec。
其中,所述第二安全网关功能获取第二信息,包括:
所述核心网侧的第二拓扑管理功能TMF获取并保存所述第二信息;
所述第二TMF获取第二安全网关功能地址信息,并根据所述第二安全网关功能地址信息将所述第二信息发送给所述第二安全网关功能。
其中,当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec包括:
当所述第一安全网关功能接收用户UE发送的注册请求时,所述第二安全网关功能与所述第一安全网关功能之间建立IPSec。
其中,该方法还包括:
所述第二安全网关功能接收所述第一安全网关功能发送的进行了IPSec加密的注册请求和/或所述注册请求的后续信息,
对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
其中,当所述第二安全网关功能为部署于核心网侧网络切片的安全网关时,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec包括:
当所述第一安全网关功能接收到用户UE发送的上行数据报文时,所述第二安全网关功能与所述第一安全网关功能之间建立IPSec。
其中,该方法还包括:
所述第二安全网关功能接收所述第一安全网关功能发送的进行了IPSec加密的所述上行数据报文,
对收到的所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,当所述第二安全网关功能为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec包括:
当所述第一安全网关功能接收用户UE发送的注册请求时,所述第二安全网关功能与所述第一安全网关功能之间建立第一子IPSec。
其中,该方法还包括:
所述第二安全网关功能接收所述第一安全网关功能发送进行了第一子IPSec加密的注册请求和/或所述注册请求的后续信息;
对所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
其中,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec还包括:
当所述第一安全网关功能接收到用户UE发送的上行数据报文时,所述第二安全网关功能与所述第一安全网关功能之间建立第二子IPSec。
其中,该方法还包括:
所述第二安全网关功能接收所述第一安全网关功能发送的进行了第二子IPSec加密的上行数据报文;
对所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec还包括:
当用户接入所述网络切片后且所述第二安全网关功能接收到所述网络切片发送的下行数据报文时,所述第二安全网关功能与所述第一安全网关功能之间建立第二子IPSec。
其中,该方法还包括:
所述第二安全网关功能将所述网络切片发送的下行数据报文进行第二子IPSec加密后发送给所述第一安全网关功能,以便所述第一安全网关功能对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,该方法还包括:
当所述网络切片扩容时,所述第二拓扑管理功能TMF获取所述网络切片扩容后新的IP地址,并发送给所述第二安全网关功能;
所述第二安全网关功能向所述第一安全网关功能发送重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
本发明实施例一、二提供的技术方案,安全网关功能可以动态获取接入网侧待保护数据流信息或核心网侧待保护数据流信息,从而在接入网与核心网之间动态建立IPSec,实现弹性网络下的接入网与核心网之间的数据保护。
下面通过几个具体的实施例详细阐述本发明实施例一、二提供的技术方案。
实施例三
本实施例三应用于包括了通信功能、安全网关功能和拓扑管理功能(TopologyManagement Function,TMF)等功能的通信系统中。其中,通信功能为无线接入网络以及5GCN网络中的功能网元,例如CU,AMF等;安全网关功能为IPSec隧道终结点,用于对通信功能之间的交互数据进行IPSec保护;拓扑管理功能用于管理网络拓扑,例如各网元之间的组网结构以及网络所使用的IP地址段或者网络中各通信功能的IP地址。所述通信系统中,第一网络至少包括第一通信功能、第一安全网关功能、第一拓扑管理功能;第二网络至少包括:第二通信功能、第二安全网关功能、第二拓扑管理功能。
其中,第一、第二安全网关功能获取被保护数据流信息;第一和第二安全网关功能完成被保护数据流信息协商,建立IPSec。
具体而言,所述被保护数据流信息为发送所述数据流的网络的拓扑信息或者发送所述数据流的通信功能IP地址;所述网络的拓扑信息包括分配给所述网络使用的IP地址段信息,属于所述网络的任何通信功能的IP地址必须在所述IP地址段内分配;所述拓扑管理功能向所述安全网关功能提供所述被保护数据流信息。本实施例三提供的数据保护的实现方法的具体流程如图8所示:
步骤801,第二安全网关功能从第二拓扑管理功能获取第二网络的第二信息;
其中,该第二网络可以是核心网CN,该第二信息可以是所述CN的网络拓扑信息或者所述CN中通信功能的IP地址;所述网络拓扑信息包括分配给所述CN使用的IP地址段信息,属于所述CN的任何通信功能的IP地址必须在所述IP地址段内分配。
步骤802,第二安全网关功能保存所述第二信息;
步骤803,第一安全网关功能从第一拓扑管理功能获取第一网络的第一信息;
其中,该第一网络可以是接入网,该第一信息可以是所述接入网的网络拓扑信息或者所述接入网中通信功能的IP地址;所述网络拓扑信息包括分配给所述接入网网元使用的IP地址段信息,属于所述接入网的任何通信功能的IP地址必须在所述IP地址段内分配。
步骤804,第一安全网关功能保存所述第一信息;
步骤805,第一安全网关功能与第二安全网关功能进行IPSec协商;
步骤806,第一安全网关功能保存第二信息,第二安全网关功能保存第一信息,完成建立IPSec。
其中,需要使用动态协商方式建立IPSec隧道。使用动态协商方式建立IPSec的过程可分为IKE SA(Internet Key Exchange Security Association,因特网密钥交换安全联盟)协商和IPSec SA协商过程。
IKE SA协商过程包括:
1、IKE双方(即RAN侧SeGW和CN侧SeGW)协商采用的IKE版本、封装协议(AH(Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷))、加密算法(DES(Data Encryption Standard,数据加密标准)、3DES(Triple DES,数字加密标准3)、AES(Advanced Encryption Standard,高级加密标准))、验证算法(MD5(Message Digest 5,消息摘要5)、SHA1(Secure Hash Algorithm1,安全哈希算法1)、SHA2)、身份认证方法和交换模式等;
2、IKE双方交换彼此的密钥材料(例如DH(Diffie-Hellman)公开值、临时随机数等);
3、IKE双方结合自身配置的身份验证方法各自进行密钥计算(预共享密钥或数字证书参与到密钥计算过程中)。最终计算产生的共享密钥包括三个:
K1:用于IKE协商消息完整性验证的密钥;
K2:用于IKE协商消息加密的密钥;
K3:用于衍生出IPSec报文加密和验证的密钥。
其中,K1和K2用于保证后续IKE协商消息的安全性,K3用于保证IPSec封装的数据报文的安全性。
整个密钥交换和计算过程在IKE SA超时时间的控制下以一定的周期进行自动刷新,避免了密钥长期不变带来的安全隐患。
IPSec SA协商包括:
1、交换密钥材料以便双方生成用于IPSec SA的密钥;
2、双方通过TS(Traffic Selector,传输选择器)载荷协商被保护的数据流。
实施例四
实施例四描述了用户附着到网络发起的注册流程。RAN(第一通信功能)侧部署SeGW1(第一安全网关功能),CN侧部署SeGW2(第二安全网关功能),CN侧AMF为第二通信功能,CN侧TMF(第二拓扑管理功能)可以是单独功能,或者由其他网元(例如NRF,NSSF)执行该功能。所述TMF管理CN侧网络拓扑信息,例如CN公共网元域的组网结构,公共网元域使用的IP地址段或者各公共网元使用的IP地址。本实施例四描述的是对RAN和CN公共网元域之间的通信进行IPSec保护,具体实施过程如图9所示:
步骤901,实例化AMF进行部署;
步骤902,TMF获取AMF信息;
其中,TMF可以是单独功能,也可以是由其他网元执行该功能,例如本实施例中,可以由NRF(Network Repository Function,网络存储功能)执行TMF功能时,利用AMF向NRF注册过程,获取到AMF地址信息。
步骤903,TMF保存AMF地址信息;
步骤904,实例化SeGW2进行部署;
步骤905,TMF获取SeGW2地址信息;
步骤906,TMF将被保护数据流信息,即AMF IP地址发送给SeGW2,表示要求SeGW2对从AMF发送到跨安全域的数据进行IPSec保护;
其中,本实施例中TMF仅用于管理CN的网络拓扑。RAN侧可部署另外的TMF(第一拓扑管理功能)管理其网络拓扑,该情况下,RAN侧SeGW1获取被保护数据流信息可参考实施例三中步骤802-806过程。为方便描述,本实施例假设SeGW1已获取RAN IP地址,表示SeGW1需要对从所述RAN发送到跨安全域的数据进行IPSec保护。
步骤907,用户附着到网络,发起注册请求;
步骤908,当注册请求消息到达SeGW1时,根据消息报文的目的IP(AMF IP地址)向NRF发现SeGW2 IP地址;SeGW1判断是否和SeGW2建立了IPSec,如果没有建立,则执行步骤909;如果已经建立,则执行步骤910;
步骤909,SeGW1和SeGW2完成IKE SA协商和IPSec SA协商,建立IPSec。其中,IKESA协商和IPSec SA协商过程参考实施三中的描述。在IPSec SA协商阶段,SeGW1和SeGW2需要进行TS载荷协商,即交换双方被保护的数据流信息,具体的SeGW1将RAN IP地址发送给SeGW2,SeGW2将AMF IP地址发送给SeGW1,表示需要对RAN和AMF之间交互的消息报文进行IPSec保护。
步骤910,SeGW1和SeGW2建立IPSec后,SeGW1将步骤907的注册请求消息进行IPSec加密后发送给SeGW2,SeGW2接收所述消息进行解密后发送给AMF;
步骤911,剩余注册消息在经过SeGW1和SeGW2时都需要使用IPSec传输。
上述实施例四描述的被保护数据流信息(第一信息、第二信息)使用通信功能IP地址表示,即RAN IP地址、AMF IP地址。所述被保护数据流信息还可以用网络拓扑信息表示。例如,步骤906中TMF还可以向SeGW2返回公共网元域网络拓扑信息,即公共网元域所使用的IP地址段;步骤909中SeGW1和SeGW2进行TS载荷协商时,SeGW2将所述公共网元域网络拓扑信息发送给SeGW1。该情况下,要求实例化部署属于所述公共网元域的任何公共网元(例如AMF)所使用的IP地址必须在所述IP地址段内。
实施例五
实施例五描述了用户完成注册后接入网络切片的过程。在实施例四的基础上SeGW1和SeGW2已经建立IPSec1隧道,用于保护RAN和公共网元域交互的消息报文。本实施例五描述的是UE接入到网络切片(由UPF和SMF组成)过程,RAN(第一通信功能)侧部署SeGW1(第一安全网关功能),CN网络切片侧部署SeGW3(第二安全网关功能),SeGW1和SeGW3之间需要建立IPSec2,对RAN和所述网络切片交互的数据进行IPSec保护。所述网络切片内的UPF为第二通信功能。本实施例中的TMF(第二拓扑管理功能)用于管理CN网络拓扑信息,可以是单独功能,或者由其他网元(例如NRF)执行该功能,本实施例五描述的是对RAN和CN侧网络切片之间的通信进行IPSec保护,具体实施过程如图10所示:
步骤1001,编排网络切片,完成实例化部署,包括UPF1实例化部署;
步骤1002,TMF获取UPF1信息;
TMF可以是单独功能,也可以是由其他网元执行该功能,例如本实施例中,可以由NRF执行TMF功能时,利用UPF1向NRF注册过程,获取到UPF1地址信息。TMF保存UPF1地址信息。
步骤1003,实例化SeGW3进行部署。
步骤1004,TMF获取SeGW3信息。
步骤1005,TMF将被保护数据流信息,即UPF1 IP地址发送给SeGW3,要求SeGW3对从UPF1发送出网络切片的数据进行IPSec保护;
其中,本实施例中TMF仅用于管理CN的网络拓扑。RAN侧也可部署另外的TMF(第一拓扑管理功能)管理其网络拓扑。RAN侧SeGW1获取被保护数据流信息可参考实施例五中步骤901-905过程。为方便描述,本实施例假设SeGW1已获取到RAN IP地址,表示SeGW1需要对从所述RAN发送到跨安全域的数据进行IPSec保护。
步骤1006,用户接入网络切片,向AMF发起PDU会话建立,所述消息使用IPSec1加密传输;
步骤1007,AMF收到所述请求消息后,根据UE发送的S-NSSAI(Single NetworkSlice Selection Assistance Information,单网络切片选择辅助信息),DNN(DataNetwork Name,数据网络名称)等信息执行SMF选择。
步骤1008,AMF向SMF发送PDU会话建立请求;
步骤1009,SMF根据S-NSSAI,DNN等信息执行UPF选择;
步骤1010,SMF向UPF1下发N4会话建立/修改请求,下发报文检测规则、隧道信息等;
步骤1011,SMF向AMF返回PDU会话建立响应,提供隧道信息、QoS等信息给AMF;
步骤1012,AMF和RAN以及RAN和NG-UE之间完成PDU会话建立过程;
步骤1013,NG-UE发送上行数据报文;
步骤1014,当上行数据到达SeGW1后,根据报文外层目的地址(即UPF1IP地址)判断还没有建立到所述IP地址的IPSec隧道;SeGW1查询获取SeGW3IP地址;SeGW1判断与SeGW3之间是否建立了IPSec;如果没有建立,则执行步骤1015;如果已经建立,则执行步骤1016;
步骤1015,SeGW1和SeGW3完成IKE SA协商和IPSec SA协商,建立IPSec;
其中,IKE SA协商和IPSec SA协商过程参考实施例三中的描述。在IPSec SA协商阶段,SeGW1和SeGW3需要进行TS载荷协商,即交换双方被保护的数据流信息,具体的SeGW1将RAN IP地址发送给SeGW3,SeGW3将UPF1IP地址发送给SeGW1,表示需要对RAN和UPF1之间交互的数据进行IPSec保护。
步骤1016,SeGW1将所述上行报文经过IPSec加密后,发送给SeGW3;SeGW3对所述消息进行解密,并发送给UPF1。
步骤1017,剩余PDU会话建立过程参考3GPP TS 23.502(TechnicalSpecification,技术文档)PDU会话建立流程;
步骤1018,对网络切片进行扩容,新弹出UPF2部署于所述网络切片;UPF2向TMF保存地址信息;
步骤1019,新部署UPF2,网络拓扑发生变化,TMF向SeGW3发送更新消息,将UPF2 IP地址发送给SeGW3;
步骤1020,SeGW3向SeGW1发起重协商,重新进行TS载荷交换,将UPF2 IP地址发送给SeGW1。此后,SeGW1对从RAN发送给UPF2的数据报文也要进行IPSec保护。
本实施例描述的被保护数据流信息使用通信功能IP地址表示,即RAN IP地址(第一信息)、UPF IP地址(第二信息)。所述被保护数据流信息还可以用网络拓扑信息表示。例如,步骤1005中TMF还可以向SeGW3返回网络切片拓扑信息,即网络切片所使用的IP地址段;步骤1015中SeGW1和SeGW3进行TS载荷协商时,SeGW3将所述网络切片拓扑信息发送给SeGW1。该情况下,要求实例化部署的切片网元(例如UPF)所使用的IP地址必须在所述IP地址段内。该情况下,当对网络切片进行扩容时,例如新增部署UPF2,TMF不再需要向SeGW3发送信息更新,SeGW1和SeGW3的IPSec无需进行重协商,即步骤1018-1020省略。
实施例六
实施例六描述了用户完成注册并接入网络切片的过程。RAN和CN侧各部署一套SeGW,即RAN侧部署SeGW1,5GCN侧部署SeGW2。CN公共网元域、以及各网络切片共享SeGW2。CN公共网元域与RAN之间、各网络切片与RAN之间分别建立子IPSec。本实施例中的TMF用于管理CN网络拓扑信息,可以是单独功能,或者由其他网元(例如NRF)执行该功能。本实施例六描述的是对RAN和CN侧公共网元域、网络切片之间的通信进行IPSec保护,具体实施过程如下图11所示:
步骤1101,实例化AMF进行部署;
步骤1102,TMF获取AMF地址信息;
其中,TMF可以是单独功能,也可以是由其他网元执行该功能,例如本实施例中,可以由NRF(Network Repository Function,网络存储功能)执行TMF功能时,利用AMF向NRF注册过程,获取到AMF地址信息。
步骤1103,TMF保存AMF地址信息;
步骤1104,实例化SeGW2进行部署;
步骤1105,TMF获取SeGW2地址;
步骤1106,TMF将被保护数据流信息,即AMF IP地址发送给SeGW2,表示从AMF发送出核心网的数据需要SeGW2进行保护;
步骤1107,用户附着到网络,发起注册请求;
步骤1108,当请求消息到达SeGW1时,根据消息报文的目的IP(AMF IP地址)向NRF发现SeGW2 IP地址;SeGW1判断是否建立了与所属目的IP对应的子IPSec;如果没有建立,则执行步骤1109;如果已经建立,则执行步骤1111;
步骤1109,SeGW1和SeGW2完成IKE SA协商;
其中,IKE SA协商包括协商双方共同支持的协议版本,使用的加密算法、验证算法、封装格式等;双方交流密钥材料,并根据计算密钥材料,计算共享密钥,用于IPSec SA协商过程中的消息加密,以及使用IPSec进行报文加密的根密钥等,具体过程参见实施例三的描述。
步骤1110,SeGW1和SeGW2之间进行子IPSec SA协商;
其中,子IPSec SA协商,协商用于子IPSec加密的加密算法、验证算法等,同时双方进行TS载荷协商,SeGW1将RAN IP地址发送给SeGW2,SeGW2将5G CN公共网元域拓扑信息/AMF IP地址发送给SeGW1,具体协商过程参见实施例三的描述。
步骤1111,SeGW1和SeGW2之间建立子IPSec1,对UE注册请求消息进行加密传输;
其中,子IPSec1用于对RAN和5G CN公共网元域的消息报文进行IPSec保护。
步骤1112,剩余注册消息在经过SeGW1和SeGW2时都需要使用IPSec传输;
步骤1113,编排网络切片(由UPF和SMF组成),完成实例化部署;
例如UPF1实例化部署。
步骤1114,TMF获取网络切片拓扑信息/UPF地址信息;
步骤1115,TMF将被保护数据流信息,即网络切片拓扑信息/UPF IP地址发送给SeGW2,表示从UPF发送出网络切片的数据需要SeGW2进行保护;
步骤1116,SeGW2接收所述被保护数据流信息后,判断是否建立与所属网络切片对应的子IPSec。如果没有建立,与SeGW1进行子IPSec SA协商;如果已经建立,则执行步骤1117;
其中,子IPSec SA协商,双方进行TS载荷协商,SeGW2将网络切片拓扑信息/UPF IP地址信息发送给SeGW1。SeGW1和SeGW2之间子IPSec2用于对RAN和所述网络切片之间交互的数据进行IPSec保护,具体协商过程参见实施例三的描述。
其中,子IPSec1和子IPSec2相互独立,可以分别采用不同的加密算法、验证算法、封装格式等。
步骤1117,用户接入所述网络切片,其PDU会话建立过程的信令消息使用子IPSec1保护;用户和网络切片之间的数据报文使用子IPSec2保护。用户接入网络切片过程参考3GPP TS23.502描述的PDU会话建立过程。
上述实施例三至六提供的技术方案,安全网关可以动态获取网络或网络切片的IP地址或网络拓扑信息,从而动态建立IPSec,实现弹性网络的数据保护。
实施例七
图12为本发明实施例七提供的第一安全网关功能的结构示意图。如图12所示,该第一安全网关功能,位于接入网侧,包括:
获取单元,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
建立单元,用于根据所述第一信息,与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。
其中,所述获取单元获取第一信息,包括:
所述接入网侧的第一拓扑管理功能TMF获取并保存所述第一信息;
所述第一TMF获取第一安全网关功能地址信息,并根据所述第一安全网关功能地址信息将所述第一信息发送给所述第一安全网关功能的获取单元。
其中,当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述建立单元,具体用于接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;如果不存在,则根据所述第二安全网关功能地址信息,与所述第二安全网关功能完成因特网密钥交换安全联盟IKE SA协商和IP安全联盟IPSec SA协商,建立IPSec。
其中,所述第一安全网关功能还包括发送单元;
所述发送单元,用于将所述注册请求和/或所述注册请求的后续信息进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对接收的所述加密的所述注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网侧公共网元域的网元。
其中,当所述第二安全网关功能为部署于核心网侧网络切片的安全网关时,所述建立单元,具体用于当用户UE接入所述网络切片后,接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;如果不存在,则根据所述第二安全网关功能地址信息,与所述第二安全网关功能完成IKE SA协商和IPSec SA协商,建立IPSec。
其中,所述第一安全网关功能还包括发送单元;
所述发送单元,用于将所述上行数据报文进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对收到的所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,所述第一安全网关功能还包括接收单元;
所述接收单元,用于接收第二安全网关功能发送的进行了IPSec加密后的下行数据报文;对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,当所述第二安全网关功能为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述建立单元,具体用于接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;如果不存在,则根据所述第二安全网关功能地址信息,与所述第二安全网关功能之间建立第一子IPSec。
其中,所述第一安全网关功能还包括发送单元;
所述发送单元,用于将所述注册请求和/或所述注册请求的后续信息进行第一子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对加密信息进行解密后发送给所述公共网元域的网元。
其中,所述建立单元,还用于当用户UE接入所述网络切片后,接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在第二子IPSec;如果不存在,则根据所述第二安全网关功能地址信息,与所述第二安全网关功能之间建立第二子IPSec。
其中,所述发送单元,还用于将所述上行数据报文进行第二子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,所述建立单元,具体用于当用户UE接入所述网络切片后且所述第二安全网关功能接收所述网络切片发送的下行数据报文时,所述第一安全网关功能与所述第二安全网关功能之间建立第二子IPSec。
其中,所述第一安全网关功能还包括接收单元;
所述接收单元,用于接收第二安全网关功能发送的进行了第二子IPSec加密后的下行数据报文;对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,所述建立单元,还用于当所述网络切片扩容时,接收所述第二安全网关功能发送的重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
实施例八
图13为本发明实施例八提供的第二安全网关功能的结构示意图。如图13所示,该第一安全网关功能,位于核心网侧,包括:
获取单元,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网侧公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
建立单元,用于根据所述第二信息,与接入网侧的第一安全网关功能之间协商建立IP安全协议IPSec。
其中,所述获取单元用于获取第二信息,包括:
所述核心网侧的第二拓扑管理功能TMF获取并保存所述第二信息;
所述第二TMF获取第二安全网关功能地址信息,并根据所述第二安全网关功能地址信息将所述第二信息发送给所述第二安全网关功能的获取单元。
其中,当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述建立单元,具体用于当所述第一安全网关功能接收用户UE发送的注册请求时,与所述第一安全网关功能之间建立IPSec。
其中,所述第二安全网关功能还包括:接收单元;
所述接收单元,用于接收所述第一安全网关功能发送的进行了IPSec加密的注册请求和/或所述注册请求的后续信息,对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
其中,当所述第二安全网关功能为部署于核心网侧网络切片的安全网关时,所述建立单元,具体用于当所述第一安全网关功能接收到用户UE发送的上行数据报文时,与所述第一安全网关功能之间建立IPSec。
其中,所述第二安全网关功能还包括:接收单元;
所述接收单元,用于接收所述第一安全网关功能发送的进行了IPSec加密的所述上行数据报文,对收到的所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,当所述第二安全网关功能为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述建立功能,具体用于当所述第一安全网关功能接收用户UE发送的注册请求时,与所述第一安全网关功能之间建立第一子IPSec。
其中,所述第二安全网关功能还包括:接收单元;
所述接收单元,用于接收所述第一安全网关功能发送进行了第一子IPSec加密的注册请求和/或所述注册请求的后续信息;对所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
其中,所述建立单元,具体用于当所述第一安全网关功能接收到用户UE发送的上行数据报文时,与所述第一安全网关功能之间建立第二子IPSec。
其中,所述接收单元,还用于接收所述第一安全网关功能发送的进行了第二子IPSec加密的上行数据报文;对所述加密的上行数据报文进行解密后发送给所述网络切片。
其中,所述建立单元,具体用于当用户接入所述网络切片后且所述第二安全网关功能接收到所述网络切片发送的下行数据报文时,所述第二安全网关功能与所述第一安全网关功能之间建立第二子IPSec。
其中,所述第二安全网关功能还包括:发送单元;
所述发送单元,用于将所述网络切片发送的下行数据报文进行第二子IPSec加密后发送给所述第一安全网关功能,以便所述第一安全网关功能对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
其中,当所述网络切片扩容时,所述第二拓扑管理功能TMF获取所述网络切片扩容后新的IP地址,并发送给所述第二安全网关功能的建立单元;
所述建立单元,还用于向所述第一安全网关功能发送重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
实施例九
图14为本发明实施例九提供的数据安全的实现系统的结构示意图。如图14所示,该系统包括:
位于接入网侧的第一安全网关功能和位于核心网侧的第二安全网关功能;
所述第一安全网关功能,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
所述第二安全网关功能,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第一信息和所述第二信息,所述第一安全网关功能与所述第二安全网关功能之间协商建立IP安全隧道IPSec。
其中,所述系统还包括:
位于所述接入网侧的第一拓扑管理功能TMF和位于所述核心网侧的第二拓扑管理功能TMF;
所述第一TMF,用于获取并保存所述第一信息;以及获取第一安全网关功能地址信息,并根据所述第一安全网关功能地址信息将所述第一信息发送给所述第一安全网关功能。
所述第二TMF,用于获取并保存所述第二信息;以及获取第二安全网关功能地址信息,并根据所述第二安全网关功能地址信息将所述第二信息发送给所述第二安全网关功能。
其中,当所述网络切片扩容时,所述第二拓扑管理功能TMF获取所述网络切片扩容后新的IP地址,并发送给所述第二安全网关功能;
所述第二安全网关功能向所述第一安全网关功能发起发送重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
上述实施例七至九提供的技术方案,安全网关可以动态获取网络或网络切片的IP地址或网络拓扑信息,从而动态建立IPSec,实现弹性网络的数据保护。
本发明实施例还提供了一种第一安全网关功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任一项所述的数据安全的实现方法。
本发明实施例还提供了一种第二安全网关功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任一项所述的数据安全的实现方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述任一项所述数据安全的实现方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (32)
1.一种数据安全的实现方法,包括:
接入网侧的第一安全网关功能实体获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的 IP地址、所述接入网侧的网络拓扑信息;
根据所述第一信息,所述第一安全网关功能实体与核心网侧的第二安全网关功能实体之间协商建立IP 安全隧道IPSec;
所述第一安全网关功能实体获取第一信息,包括:
所述接入网侧的第一拓扑管理功能TMF获取并保存所述第一信息;
所述第一TMF获取第一安全网关功能实体地址信息,并根据所述第一安全网关功能实体地址信息将所述第一信息发送给所述第一安全网关功能实体。
2.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能实体为部署于核心网侧公共网元域的安全网关时,所述第一安全网关功能实体与所述第二安全网关功能实体之间协商建立IPSec包括:
所述第一安全网关功能实体接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能实体地址信息,并判断和所述第二安全网关功能实体之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能实体地址信息,所述第一安全网关功能实体与所述第二安全网关功能实体完成因特网密钥交换安全联盟IKE SA协商和IP安全联盟IPSec SA协商,建立IPSec。
3.根据权利要求2所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体将所述注册请求和/或所述注册请求的后续信息进行IPSec加密后发送给所述第二安全网关功能实体,以便所述第二安全网关功能实体对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网侧公共网元域的网元。
4.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能实体为部署于核心网侧网络切片的安全网关时,所述第一安全网关功能实体与所述第二安全网关功能实体之间协商建立IPSec包括:
当用户UE接入所述网络切片后,所述第一安全网关功能实体接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能实体地址信息,并判断和所述第二安全网关功能实体之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能实体地址信息,所述第一安全网关功能实体与所述第二安全网关功能实体完成IKE SA协商和IPSec SA协商,建立IPSec。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体将所述上行数据报文进行IPSec加密后发送给所述第二安全网关功能实体,以便所述第二安全网关功能实体对收到的加密数据报文进行解密后发送给所述网络切片。
6.根据权利要求4所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体接收第二安全网关功能实体发送的进行了IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
7.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能实体为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述第一安全网关功能实体与所述第二安全网关功能实体之间协商建立IPSec包括:
所述第一安全网关功能实体接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能实体地址信息,并判断和所述第二安全网关功能实体之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能实体地址信息,所述第一安全网关功能实体与所述第二安全网关功能实体之间建立第一子IPSec。
8.根据权利要求7所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体将所述注册请求和/或所述注册请求的后续信息进行第一子IPSec加密后发送给所述第二安全网关功能实体,以便所述第二安全网关功能实体对加密信息进行解密后发送给所述公共网元域的网元。
9.根据权利要求7所述的方法,其特征在于,该方法还包括:
当用户UE接入所述网络切片后,所述第一安全网关功能实体接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能实体地址信息,并判断和所述第二安全网关功能实体之间是否存在第二子IPSec;
如果不存在,则根据所述第二安全网关功能实体地址信息,所述第一安全网关功能实体与所述第二安全网关功能实体之间建立第二子IPSec。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体将所述上行数据报文进行第二子IPSec加密后发送给所述第二安全网关功能实体,以便所述第二安全网关功能实体对所述加密的上行数据报文进行解密后发送给所述网络切片。
11.根据权利要求7所述的方法,其特征在于,所述第一安全网关功能实体与所述第二安全网关功能实体之间协商建立IPSec还包括:
当用户UE接入所述网络切片后且所述第二安全网关功能实体接收所述网络切片发送的下行数据报文时,所述第一安全网关功能实体与所述第二安全网关功能实体之间建立第二子IPSec。
12.根据权利要求11所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能实体接收第二安全网关功能实体发送的进行了第二子IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
13.根据权利要求1所述的方法,其特征在于,该方法还包括:
当网络切片扩容时,所述第一安全网关功能实体接收所述第二安全网关功能实体发送的重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
14.一种数据安全的实现方法,包括:
核心网侧的第二安全网关功能实体获取第二信息,所述第二信息包括以下至少之一:所述核心网网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第二信息,所述第二安全网关功能实体与接入网侧的第一安全网关功能实体之间协商建立IP 安全隧道IPSec,
所述第二安全网关功能实体获取第二信息,包括:
所述核心网侧的第二拓扑管理功能实体TMF获取并保存所述第二信息;
所述第二TMF获取第二安全网关功能实体地址信息,并根据所述第二安全网关功能实体地址信息将所述第二信息发送给所述第二安全网关功能实体。
15.根据权利要求14所述的方法,其特征在于,
当所述第二安全网关功能实体为部署于核心网侧公共网元域的安全网关时,所述第二安全网关功能实体与所述第一安全网关功能实体之间协商建立IPSec包括:
当所述第一安全网关功能实体接收用户UE发送的注册请求时,所述第二安全网关功能实体与所述第一安全网关功能实体之间建立IPSec。
16.根据权利要求15所述的方法,其特征在于,该方法还包括:
所述第二安全网关功能实体接收所述第一安全网关功能实体发送的进行了IPSec加密的注册请求和/或所述注册请求的后续信息,
对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
17.根据权利要求14所述的方法,其特征在于,当所述第二安全网关功能实体为部署于核心网侧网络切片的安全网关时,所述第二安全网关功能实体与所述第一安全网关功能实体之间协商建立IPSec包括:
当所述第一安全网关功能实体接收到用户UE发送的上行数据报文时,所述第二安全网关功能实体与所述第一安全网关功能实体之间建立IPSec。
18.根据权利要求17所述的方法,其特征在于,该方法还包括:
所述第二安全网关功能实体接收所述第一安全网关功能实体发送的进行了IPSec加密的所述上行数据报文;
对收到的所述加密的上行数据报文进行解密后发送给所述网络切片。
19.根据权利要求14所述的方法,其特征在于,当所述第二安全网关功能实体为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述第二安全网关功能实体与所述第一安全网关功能实体之间协商建立IPSec包括:
当所述第一安全网关功能实体接收用户UE发送的注册请求时,所述第二安全网关功能实体与所述第一安全网关功能实体之间建立第一子IPSec。
20.根据权利要求19所述的方法,其特征在于,该方法还包括:
所述第二安全网关功能实体接收所述第一安全网关功能实体发送进行了第一子IPSec加密的注册请求和/或所述注册请求的后续信息;
对所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网公共网元域的网元。
21.根据权利要求19所述的方法,其特征在于,所述第二安全网关功能实体与所述第一安全网关功能实体之间协商建立IPSec还包括:
当所述第一安全网关功能实体接收到用户UE发送的上行数据报文时,所述第二安全网关功能实体与所述第一安全网关功能实体之间建立第二子IPSec。
22.根据权利要求21所述的方法,其特征在于,该方法还包括:
所述第二安全网关功能实体接收所述第一安全网关功能实体发送的进行了第二子IPSec加密的上行数据报文;
对所述加密的上行数据报文进行解密后发送给所述网络切片。
23.根据权利要求19所述的方法,其特征在于,所述第二安全网关功能实体与所述第一安全网关功能实体之间协商建立IPSec还包括:
当用户接入所述网络切片后且所述第二安全网关功能实体接收到所述网络切片发送的下行数据报文时,所述第二安全网关功能实体与所述第一安全网关功能实体之间建立第二子IPSec。
24.根据权利要求23所述的方法,其特征在于,该方法还包括:
所述第二安全网关功能实体将所述网络切片发送的下行数据报文进行第二子IPSec加密后发送给所述第一安全网关功能实体,以便所述第一安全网关功能实体对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
25.根据权利要求17或19所述的方法,其特征在于,该方法还包括:
当所述网络切片扩容时,第二拓扑管理功能实体TMF获取所述网络切片扩容后新的IP地址,并发送给所述第二安全网关功能实体;
所述第二安全网关功能向所述第一安全网关功能实体发送重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
26.一种第一安全网关功能实体,其特征在于,位于接入网侧,包括:
获取单元,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的 IP地址、所述接入网侧的网络拓扑信息;
建立单元,用于根据所述第一信息,与核心网侧的第二安全网关功能实体之间协商建立IP 安全隧道IPSec;
所述获取单元获取第一信息,包括:
所述接入网侧的第一拓扑管理功能TMF获取并保存所述第一信息;
所述第一TMF获取第一安全网关功能实体地址信息,并根据所述第一安全网关功能实体地址信息将所述第一信息发送给所述第一安全网关功能实体。
27.一种第二安全网关功能实体,其特征在于,位于核心网侧,包括:
获取单元,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网侧公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
建立单元,用于根据所述第二信息,与接入网侧的第一安全网关功能实体之间协商建立IP 安全隧道IPSec;
所述获取单元获取第二信息,包括:
所述核心网侧的第二拓扑管理功能实体TMF获取并保存所述第二信息;
所述第二TMF获取第二安全网关功能实体地址信息,并根据所述第二安全网关功能实体地址信息将所述第二信息发送给所述第二安全网关功能实体。
28.一种数据安全的实现系统,其特征在于,包括:
位于接入网侧的第一安全网关功能实体和位于核心网侧的第二安全网关功能实体;
所述第一安全网关功能实体,用于获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的 IP地址、所述接入网侧的网络拓扑信息;
所述第二安全网关功能实体,用于获取第二信息,所述第二信息包括以下至少之一:所述核心网侧网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第一信息和所述第二信息,所述第一安全网关功能与所述第二安全网关功能之间协商建立IP 安全隧道IPSec,
所述系统还包括:
位于所述接入网侧的第一拓扑管理功能实体TMF和位于所述核心网侧的第二拓扑管理功能实体TMF;
所述第一TMF,用于获取并保存所述第一信息;以及获取第一安全网关功能实体地址信息,并根据所述第一安全网关功能实体地址信息将所述第一信息发送给所述第一安全网关功能实体;
所述第二TMF,用于获取并保存所述第二信息;以及获取第二安全网关功能实体地址信息,并根据所述第二安全网关功能实体地址信息将所述第二信息发送给所述第二安全网关功能实体。
29.根据权利要求28所述的系统,其特征在于,
当所述网络切片扩容时,所述第二拓扑管理功能实体TMF获取所述网络切片扩容后新的IP地址,并发送给所述第二安全网关功能实体;
所述第二安全网关功能实体向所述第一安全网关功能实体发起发送重协商请求,完成IPSec SA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
30.一种第一安全网关功能实体,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至13中任一项所述的数据安全的实现方法。
31.一种第二安全网关功能实体,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求14至25中任一项所述的数据安全的实现方法。
32.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现如权利要求1至25中任一项所述数据安全的实现方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811313621.XA CN111147273B (zh) | 2018-11-06 | 2018-11-06 | 一种数据安全的实现方法及相关设备 |
| PCT/CN2019/110105 WO2020093834A1 (zh) | 2018-11-06 | 2019-10-09 | 一种数据安全的实现方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811313621.XA CN111147273B (zh) | 2018-11-06 | 2018-11-06 | 一种数据安全的实现方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111147273A CN111147273A (zh) | 2020-05-12 |
| CN111147273B true CN111147273B (zh) | 2023-03-24 |
Family
ID=70515890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811313621.XA Active CN111147273B (zh) | 2018-11-06 | 2018-11-06 | 一种数据安全的实现方法及相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111147273B (zh) |
| WO (1) | WO2020093834A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115065535B (zh) * | 2022-06-16 | 2023-12-15 | 南京第三极区块链科技有限公司 | 一种非侵入式安全通信与访问控制系统及其使用方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645814B (zh) * | 2008-08-04 | 2012-05-23 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
| CN101645898A (zh) * | 2009-09-11 | 2010-02-10 | 中兴通讯股份有限公司 | 一种重建IPSec链路的方法及网络设备 |
| CN103188228B (zh) * | 2011-12-29 | 2018-05-01 | 中兴通讯股份有限公司 | 一种实现端到端安全防护的方法、安全网关及系统 |
| CN108616877B (zh) * | 2016-12-27 | 2020-10-30 | 大唐移动通信设备有限公司 | 一种小型基站的通信方法、系统及设备 |
-
2018
- 2018-11-06 CN CN201811313621.XA patent/CN111147273B/zh active Active
-
2019
- 2019-10-09 WO PCT/CN2019/110105 patent/WO2020093834A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN111147273A (zh) | 2020-05-12 |
| WO2020093834A1 (zh) | 2020-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11576079B2 (en) | Ethernet header compression in a wireless network | |
| US11477693B2 (en) | Establishing a session with a user plane function supporting uplink classifier functionality | |
| US10555171B2 (en) | WiFi protected access 2 (WPA2) pass-through virtualization partition | |
| US11025597B2 (en) | Security implementation method, device, and system | |
| US10660016B2 (en) | Location based coexistence rules for network slices in a telecommunication network | |
| US10785683B2 (en) | Native fragmentation in WiFi protected access 2 (WPA2) pass-through virtualization protocol | |
| US11533610B2 (en) | Key generation method and related apparatus | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| CN110891269B (zh) | 一种数据保护方法、设备及系统 | |
| JP7461515B2 (ja) | データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体 | |
| WO2021244569A1 (zh) | 数据传输方法、系统、电子设备、存储介质 | |
| CN110798437B (zh) | 一种数据保护方法、装置及计算机存储介质 | |
| US20240022952A1 (en) | Resource Allocation in Non-Public Network | |
| CN111147273B (zh) | 一种数据安全的实现方法及相关设备 | |
| WO2021073382A1 (zh) | 注册方法及装置 | |
| US20240015630A1 (en) | Routing Between Networks Based on Identifiers | |
| CN114205814B (zh) | 一种数据传输方法、装置、系统、电子设备及存储介质 | |
| WO2024001524A1 (zh) | 一种通信方法及装置 | |
| CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| NZ755869B2 (en) | Security implementation method, device and system | |
| Nelle | Aspects of 5G Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |