CN111355698B - 一种传输方法、装置、报文发送端和接收端 - Google Patents

一种传输方法、装置、报文发送端和接收端 Download PDF

Info

Publication number
CN111355698B
CN111355698B CN201811584907.1A CN201811584907A CN111355698B CN 111355698 B CN111355698 B CN 111355698B CN 201811584907 A CN201811584907 A CN 201811584907A CN 111355698 B CN111355698 B CN 111355698B
Authority
CN
China
Prior art keywords
message
information
negotiation
sending end
receiving end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811584907.1A
Other languages
English (en)
Other versions
CN111355698A (zh
Inventor
李锐
周礼兵
廖俊锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201811584907.1A priority Critical patent/CN111355698B/zh
Priority to PCT/CN2019/124216 priority patent/WO2020135011A1/zh
Priority to EP19906425.4A priority patent/EP3866427A4/en
Publication of CN111355698A publication Critical patent/CN111355698A/zh
Application granted granted Critical
Publication of CN111355698B publication Critical patent/CN111355698B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种传输方法、装置、报文发送端和接收端,其中,所述传输方法,包括:报文发送端使用五元组信息和协商属性信息与报文接收端协商确定网际协议安全性IPSec安全隧道;所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端。本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的加密需求。

Description

一种传输方法、装置、报文发送端和接收端
技术领域
本发明实施例涉及但不限于一种传输方法、装置、报文发送端、报文接收端和计算机可读存储介质。
背景技术
随着互联网和移动通信的发展,各种网络安全问题也随之出现,网络安全是每个用户、政府、网络服务提供商以及设备制造商都非常关心的事情,确保网络安全也成为每个公司应该具备的基本能力之一。
网络安全发展至今,有比较成熟的框架和理论,涉及的场景和方法也非常多,如密码学,基础设施安全,接入控制,鉴权管理,传输安全,敏感数据保护等。其中传输安全是解决非可信网络环境中数据传输的机密性和完整性的主要技术,传输安全代表技术有SSL/TLS(Secure Socket Layer/Transport Layer Security,安全套接字层/传输层安全性),IPSec(Internet Protocol Security,网际协议安全性)等,其中IPSec协议可以解决网络层安全问题,而被3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)等标准组织推荐为基站到核心网之间的安全传输协议(3GPP TS33.310)。
RAN(Radio Access Network无线接入网络)是无线通信中非常重要的组成部分,随着5G(the 5th Generation,第五代)网络的来临,当前网络安全协议IPSec等面临着极大的挑战。
目前基站到核心网的用户面数据通常承载在同一个IPSec安全隧道中,而加密芯片的处理能力有限,无法满足5G高流量业务的加密需求。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本发明实施例提供了一种传输方法、装置、报文发送端和接收端。
本发明实施例提供了一种传输方法,包括:
报文发送端使用五元组信息和协商属性信息与报文接收端协商确定网际协议安全性IPSec安全隧道;
所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端。
本发明实施例还提供一种传输方法,包括:
报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道;
所述报文接收端通过所述IPSec安全隧道接收所述报文接收端发送的报文。
本发明实施例还提供一种传输装置,包括:
第一协商模块,用于使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道;
发送模块,用于将报文通过所述IPSec安全隧道发送至所述报文接收端。
本发明实施例还提供一种传输装置,包括:
第二协商模块,用于根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道;
接收模块,用于通过所述IPSec安全隧道接收所述报文接收端发送的报文。
本发明实施例还提供一种报文发送端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述传输方法。
本发明实施例还提供一种报文接收端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述传输方法。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行所述传输方法。
本发明实施例包括:报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道;所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端。本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的加密需求。
在阅读并理解了附图和详细描述后,可以明白其他方面。
附图说明
图1是基站开启IPSec功能典型组网示意图;
图2是标准的IPSec安全隧道协商示意图;
图3是本发明实施例的传输方法流程图(应用于报文发送端);
图4是本发明另一实施例的传输方法流程图(应用于报文发送端);
图5是本发明实施例的步骤301的流程图;
图6是本发明实施例的步骤302的流程图;
图7是本发明再一实施例的传输方法流程图(应用于报文发送端);
图8是本发明一实施例的传输方法流程图;
图9是本发明实施例的IPSec发起方属性SA的协商和发送报文的示意图;
图10是本发明实施例的IPSec响应方属性SA的协商示意图和发送报文的示意图;
图11是传统IPSec装置和新增属性SA协商后的IPSec装置对比图;
图12是本发明实施例的传输方法流程图(应用于报文接收端);
图13是本发明另一实施例的传输方法流程图(应用于报文接收端);
图14是本发明实施例的传输装置示意图(应用于报文发送端);
图15是本发明实施例的传输装置示意图(应用于报文接收端);
图16是本发明实施例的报文发送端示意图;
图17是本发明实施例的报文接收端示意图。
具体实施方式
下文中将结合附图对本发明的实施例进行详细说明。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
IPSec是一个协议簇,其控制协商协议为IKE(Internet Key Exchange,网际密钥交换),当前主用版本是IKEv2,数据封装协议基于ESP(Encapsulating Security Payload,封装安全负载)协议。IKE协议使用一个基于五元组(源IP(Internet Protocol,网际协议)地址,目的IP地址,协议号,源端口(Port),目的端口)来协商一个SA(SecurityAssociation,安全联盟)(参考RFC5996:Request for Comments 5996),不同类型的业务流归于不同的SA,一个SA一般对应一个IPSec隧道(IPSec tunnel),IPSec协议已经成熟部署并运行很长时间了。
随着5G的来临,IPSec协议已经逐渐不能满足业务的需求了。5G基站网络架构和4G差别不大,采用扁平化的基站和核心网,用户面数据承载在基站到核心网GTPU(GPRStunneling protocol user plane,通用分组无线业务隧道协议用户平面)隧道中。但是5G单个基站的流量远远超过了4G,下行流量可达40Gbps,上行流量20Gbps。大部分情况下,基站只会配置一个用户面IP地址,与之对接的核心网用户面网关也只有一个IP地址,基站和核心网之间的用户面数据只有一个五元组,即相同的源IP地址,目的IP地址,协议号(UDP,User Datagram Protocol,用户数据报协议),源端口、目的端口。即如果遵循现有的IPSec协议,以及IPSec SN(Sequence Number,序列号)和滑窗机制的限制(参考RFC2406:3.4.3Sequence Number Verification),基站到核心网的用户面数据大部分情况下将承载在同一个IPSec安全隧道中。
目前IPSec的解决方案大部分选用内加密芯片来处理数据的加解密,而芯片对于单个安全隧道的解决方案都集中在单个核,或者单个加密引擎。同一个SA的数据很难分布在不同核、不同CPU(Central Processing Unit,中央处理单元)、不同单板间处理,而单个加密芯片的处理能力有限,很难实现高流量处的加解密处理能力。
如图1所示,为基站开启IPSec功能典型组网示意图,其中,基站101将报文加密,通过IPSec安全隧道发送给安全网关102,安全网关102对接收到的加密报文进行解密,将得到的明文发送给EMS(Element Management System,网元管理系统)103、EPC(Evolved PacketCore,核心分组网演进,4G的核心网)/NG-Core(Next Generation Core,下一代核心网,5G的核心网)104。
如图2所示,IPSec发起方(Initiator)为报文发送端为例,标准的IPSec安全隧道协商包括如下步骤:
步骤201,IPSec发起方(Initiator)通过IKE的五元组与IPSec响应方(Responder)协商到一个SA。
步骤202,IPSec发起方接收到其他网元发来的发送报文;
步骤203,IPSec发起方将报文与当前的五元组匹配,将报文由对应的SA加密,并发给SA对应的IPSec安全隧道。
步骤204,IPSec响应方(Responder)接收到报文,根据IP地址以及SPI(SecurityParameter Index,安全参数索引)的匹配,解密报文。
IPSec响应方也会与IPSec发起方协商SA,用于IPSec响应方向IPSec发起方发送报文,过程与图2类似,不再赘述。也就是说,IPSec发起方与IPSec响应方之间传输报文使用一对SA(分别对应上行和下行两个方向)。
本发明实施例中,提出针对5G等的高流量,单隧道的IPSec解决方案,在兼顾兼容IPSec标准协议的情况,对协议进行一些扩展。
如图3所示,本发明实施例的传输方法,应用于报文发送端,包括:
步骤301,报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道。
其中,所述报文发送端为IPSec发起方,所述报文接收端为IPSec响应方;或者所述报文发送端为IPSec响应方,所述报文接收端为IPSec发起方。
所述IPSec发起方包括但不限于无线基站(包括2G,3G,4G,5G等基站),机顶盒等硬件设备,还可以包括通用的软件模块。
所述IPSec响应方包括但不限于安全网关,无线基站,还可以包括通用的软件模块。
所述五元组信息包括:源IP地址、目的IP地址、协议号、源端口信息。
所述协商属性信息可以与业务特性相关。
在一实施例中,协商属性信息和报文的业务类型相关,用以区分除五元组信息外其余的业务信息,不同的协商属性信息可以协商不同的安全隧道,并将不同报文的业务数据分配到不同的安全隧道(Security Tunnel)中。
在一实施例中,所述协商属性信息包括如下信息:
业务类型;或者
业务类型和长度;或者
业务类型、长度和值。
其中,业务类型(Type)可根据具体业务来区分,可以是报文发送端和报文接收端双方事先定义好的枚举值(比如1,2,3…),也可以是具体业务类型,比如DSCP(Differentiated Services Code Point,差分服务代码点),UE(User Equipment,用户设备)IP地址,TE ID(Tunnel Endpoint ID,隧道终点标识)。长度(Length)为业务类型参数的长度,值(Value)为业务类型对应的值或一个范围,比如QoS(Quality of Service,服务质量):36~46等。
在一实施例中,步骤301之前,所述方法还包括:
所述报文发送端确定开启属性SA协商功能。
其中,也可以是网络管理员确定开启属性SA协商功能。
网络管理员或者报文发送端可以据当前的流量,报文特性等,确定开启属性SA协商功能。
如图4所示,在一实施例中,步骤301之前,所述方法还包括:
步骤401,所述报文发送端根据待发送的报文中携带的标识信息确定所述协商属性信息中的业务类型。
在一实施例中,所述报文发送端根据待发送的报文中携带的标识信息确定所述协商属性信息中的业务类型,包括如下至少之一:
在待发送的报文为IP报文时,所述标识信息包括所述IP报文中的DSCP信息,所述报文发送端将所述DSCP信息作为协商属性信息中的业务类型;
在待发送的报文为通用分组无线业务隧道协议用户平面GTPU报文时,所述标识信息包括所述GTPU报文中的用户设备UE IP地址,所述报文发送端将所述UE IP地址作为协商属性信息中的业务类型;
在待发送的报文为GTPU报文时,所述标识信息包括所述GTPU报文中的隧道终点标识TE ID,所述报文发送端将所述TE ID作为协商属性信息中的业务类型。
也就是说,协商属性信息可以包含网络数据包中的一些字段,比如IP报文的DSCP字段,GTPU报文中的UE IP字段,GTPU报文中的TEID(Tunnel Endpoint ID)字段等,涉及的IP可以既包含IPv4,也包括IPv6。
在一实施例中,步骤301,包括:
在所述报文发送端使用协商属性信息与所述报文接收端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,所述报文发送端使用五元组信息与所述报文接收端协商确定一个缺省(Default SA)SA,所述缺省SA对应一条IPSec安全隧道(SecurityTunnel)。
其中,所述报文发送端和所述报文接收端协商时,按照标准的IPSec协议,根据五元组信息,由TS(Traffic Selector,流量筛选器)协商生成一个缺省SA。
如果报文接收端不支持属性SA协商,或者双方协商属性SA失败,则报文发送端默认把报文全部关联到缺省SA,并只在缺省安全隧道中发送报文。
如图5所示,在另一实施例中,步骤301,包括:
步骤501,所述报文发送端使用所述五元组信息与所述报文接收端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道。
其中,所述报文发送端和所述报文接收端协商时,按照标准的IPSec协议,根据五元组信息,由TS(Traffic Selector,流量筛选器)协商生成一个缺省SA。
步骤502,所述报文发送端使用所述五元组信息和协商属性信息与报文接收端协商确定一个或多个属性SA(Attribute SA),每个属性SA对应一条IPSec安全隧道。
其中,所述报文发送端根据五元组信息,以及新增协商属性信息,生成属性SA,协商属性信息可以是多个,每个协商属性信息都可以协商出一个属性SA,一个属性SA也对应一条IPSec安全隧道。
步骤302,所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端。
如图6所示,在一实施例中,步骤302,包括:
步骤601,所述报文发送端根据五元组信息和协商属性信息对待发送的报文进行分类。
步骤602,在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联,通过所述属性SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
其中,报文发送端根据报文的特性,在五元组信息之外,根据协商属性信息,将不同类型的报文分类,并和属性SA关联,发送到不同的属性安全隧道中。
步骤603,在所述报文与所述五元组信息匹配,但无法与所述协商属性信息匹配时,将所述报文与缺省SA相关联,通过所述缺省SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
如图7所示,在一实施例中,所述方法还包括:
步骤701,所述报文发送端监测每个SA的状态,所述SA包括缺省SA和属性SA中的至少之一。
在一实施例中,所述SA的状态包括所述SA所在核心CPU利用率和所述SA对应的IPSec安全隧道的网络流量中的至少之一。
步骤702,所述报文发送端根据所述SA的状态向所述报文接收端发送调整请求,与所述报文接收端协商调整所述协商属性信息与属性SA的关联关系。
在一实施例中,所述报文发送端根据所述SA的状态,按照负载均衡算法,向所述报文接收端发送调整请求。
所述负载均衡算法可以是轮询、权重等算法。
调整所述协商属性信息与属性SA的关联关系,也就是调整不同类型报文与属性SA的关联关系,例如,调整所述协商属性信息中值的范围,相当于调整了不同类型报文与属性SA的关联关系。
本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的加密需求。
如图8所示,为一实施例的传输方法流程图,包括:
步骤801,根据当前应用,确定是否开启属性SA协商,如果是,则执行步骤803,如果否,执行步骤802;
其中,可以是网络管理员控制是否开启属性SA协商。
步骤802,执行标准的IPSec流程。
步骤803,根据五元组信息和协商属性信息和配置缺省SA以及属性SA;
步骤804,协商缺省SA以及属性SA;
步骤805,判断属性SA协商是否成功,如果是,执行步骤806,如果否,执行步骤808;
步骤806,将不同类型的报文匹配不同的SA(包括缺省SA和属性SA);
步骤807,将报文分配给缺省SA和属性SA对应的IPSec安全隧道,执行步骤810;
步骤808,将报文直接匹配缺省SA;
步骤809,将报文分配给缺省SA对应的IPSec安全隧道;
步骤810,发送报文。
如图9所示,为IPSec发起方属性SA的协商和发送报文的示意图,其中:
步骤901,根据五元组信息协商缺省SA。
步骤902,根据属性协商属性SA1~SAn。
步骤903,发送报文。
其中,所有不能匹配协商属性,但是能够匹配五元组的报文,送入缺省SA对应的安全隧道队列;
匹配上属性SA1的报文,送入SA1对应的安全隧道;
匹配上属性SA2的报文,送入SA2对应的安全隧道;
……
匹配上属性SAn的报文,送入SAn对应的安全隧道;
步骤904,响应方接收到报文后,根据IP地址以及SPI的匹配,解密后接收报文。
如图10所示,与图9类似,为IPSec响应方属性SA的协商示意图和发送报文的示意图,其中:
步骤1001,根据五元组信息协商缺省SA。
步骤1002,根据属性协商属性SA1~SAn。
步骤1003,发送报文。
其中,所有不能匹配协商属性,但是能够匹配五元组的报文,送入缺省SA对应的安全隧道队列;
匹配上属性SA1的报文,送入SA1对应的安全隧道;
匹配上属性SA2的报文,送入SA2对应的安全隧道;
……
匹配上属性SAn的报文,送入SAn对应的安全隧道;
步骤1004,发起方接收到报文后,根据IP地址以及SPI的匹配,解密后接收报文。
需要说明的是,图9中各SA对应IPSec发起方至IPSec响应方方向,图10中各SA对应IPSec响应方至IPSec发起方方向,方向不同。
如图11所示,为传统IPSec装置和新增属性SA协商后的IPSec装置对比图,其中,传统IPSec装置中,包含了IKE协议模块、ESP(Encapsulating Security Payload,封装安全载荷)协议模块、SPD(Security Policy Database,安全策略数据库,是多个安全策略的集合)模块、SAD(Security Association Database,安全联盟数据库,多个安全联盟的集合)模块、其他协议模块等模块,相比传统IPSec装置,新增属性SA协商后的IPSec装置增加了属性SA开关模块、属性分类配置模块、属性SA模块和报文分类算法模块。
其中,所述属性SA开关模块用于控制是否开启属性SA协商功能。
所述属性分类配置模块用于配置协商属性信息。
所述属性SA模块用于配置属性SA。
所述报文分类算法模块用于根据协商属性信息对报文进行分类。
如图12所示,与报文发送端对应,本发明实施例的报文接收端的传输方法,包括:
步骤1201,报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道。
其中,所述报文发送端为IPSec发起方,所述报文接收端为IPSec响应方;或者所述报文发送端为IPSec响应方,所述报文接收端为IPSec发起方。
所述IPSec发起方包括但不限于无线基站(包括2G,3G,4G,5G等基站),机顶盒等硬件设备,还可以包括通用的软件模块。
所述IPSec响应方包括但不限于安全网关,无线基站,还可以包括通用的软件模块。
所述五元组信息包括:源IP地址、目的IP地址、协议号、源端口信息。
所述协商属性信息可以与业务特性相关。
在一实施例中,协商属性信息和报文的业务类型相关,用以区分除五元组信息外其余的业务信息,不同的协商属性信息可以协商不同的安全隧道。
在一实施例中,所述协商属性信息包括如下信息:
业务类型;或者
业务类型和长度;或者
业务类型、长度和值。
其中,业务类型(Type)可根据具体业务来区分,可以是报文发送端和报文接收端双方事先定义好的枚举值(比如1,2,3…),也可以是具体业务类型,比如DSCP(Differentiated Services Code Point,差分服务代码点),UE(User Equipment,用户设备)IP地址,TE ID(Tunnel Endpoint ID,隧道终点标识)。长度(Length)为业务类型参数的长度,值(Value)为业务类型对应的值或一个范围,比如QoS(Quality of Service,服务质量):36~46等。
在一实施例中,步骤1201,包括:
在根据所述协商属性信息与所述报文发送端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条安全隧道。
在一实施例中,步骤1201,包括:
所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道;以及
所述报文接收端根据所述五元组信息和协商属性信息与所述报文发送端协商确定定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道。
步骤1202,所述报文接收端通过所述IPSec安全隧道接收所述报文接收端发送的报文。
其中,所述报文接收端根据不同业务类型的报文分类,在相应的IPSec安全隧道接收报文。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
如图13所示,在一实施例中,所述方法还包括:
步骤1301,所述报文接收端根据所述报文发送端的发送的调整请求,与所述报文发送端协商调整所述协商属性信息与属性SA的关联关系。
调整所述协商属性信息与属性SA的关联关系,也就是调整不同类型报文与属性SA的关联关系,例如,调整所述协商属性信息中值的范围,相当于调整了不同类型报文与属性SA的关联关系。
本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的解密需求。
下面以一些应用实例进行说明。
应用实例1:(基站和安全网关协商,使用GTPU报文的TEID作为协商属性)
1、基站当前流量超过了IPSec单核或单隧道流量规格,开启属性SA协商功能。
2、基站作为IPSec发起方,安全网关作为IPSec响应方,基站和安全网关协商IPSec隧道时,除携带除五元组信息之外,还携带GTPU报文的TEID信息作为协商属性信息。
协商属性信息由类型,长度,值等部分组成,类型配置为TEID,长度为GTPU报文内TEID字段的长度,值为TEID值,一般配置在一个范围的TEID值。
3、基站和安全网关协商时,按照标准的IPSec协议,根据五元组信息,由TS协商生成一对缺省SA(对应两个方向),一个缺省SA对应一条安全隧道。
4、基站根据五元组信息,以及TEID范围的配置,生成属性SA,每一个TEID段都可以协商出一个属性SA,一个属性SA也对应一条安全隧道。
5、基站根据数据报文的特性,在五元组属性之外,将不同的报文根据TEID的值分类,并和对应的属性SA(根据TEID值范围生成)关联,发送到不同的属性安全隧道中。
6、基站监测当前缺省SA和各属性SA的状态,状态包括当前SA所在CPU核心的利用率,网络流量等,并根据一定负载均衡的算法(如轮询,或权重等)来调整不同类型报文和属性SA的关联关系,并保证同一属性的报文在同一属性SA中处理。
7、如果安全网关不支持属性SA协商,或者双方协商属性SA失败,则基站默认把报文全部关联到缺省SA,并在缺省安全隧道中发送报文。
安全网关和基站的SA建立流程和上述流程一致。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
应用实例2:(基站和安全网关协商,使用报文的DSCP作为协商属性)
1、基站当前流量超过了IPSec单核或单隧道流量规格,开启属性SA协商功能。
2、基站作为IPSec发起方,安全网关作为IPSec响应方,基站和安全网关协商IPSec隧道时,除携带除五元组信息之外,还携带GTPU隧道内层报文的DSCP信息作为协商属性信息。
协商属性信息由类型,长度,值等部分组成,类型配置为DSCP,长度为GTPU报文内DSCP字段的长度,值为DSCP值,一般配置在一个范围内。
3、基站和安全网关协商时,按照标准的IPSec协议,根据五元组信息,由TS协商生成一对缺省SA,一个缺省SA对应一条安全隧道。
4、基站根据五元组信息,以及DSCP范围的配置,生成属性SA,每一个DSCP段都可以协商出一个属性SA,一个属性SA也对应一条安全隧道。
5、基站根据数据报文的特性,在五元组属性之外,将不同的报文根据DSCP的值分类,并和对应的属性SA(根据DSCP值范围生成)关联,发送到不同的属性安全隧道中。
6、基站监测当前缺省SA和各属性SA的状态,状态包括当前SA所在CPU核心的利用率,网络流量等,并根据一定负载均衡的算法(如轮询,或权重等)来调整不同类型报文和属性SA的关联关系,并保证同一属性的报文还是在同一属性SA中处理。
7、如果安全网关不支持属性SA协商,或者双方协商属性SA失败,则基站默认把报文全部关联到缺省SA,并在缺省安全隧道中发送。
安全网关和基站的SA建立流程和上述流程一致。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
应用实例3:(基站A和基站B协商,使用GTPU报文的UE IP作为协商属性)
1、基站当前流量超过了IPSec单核或单隧道流量规格,开启属性SA协商功能。
2、基站A作为IPSec发起方,另外一个基站B作为IPSec响应方,基站A和基站B协商IPSec隧道时,除携带除五元组信息之外,还携带GTPU报文的UE IP信息作为协商属性信息。
协商属性信息由类型,长度,值等部分组成,类型配置为UE IP,长度为GTPU报文内UE IP字段的长度,值为UE IP值,一般配置在一个范围的UE IP值,涉及的IP既可以是IPv4,也可以是IPv6。
3、基站A和基站B协商时,按照标准的IPSec协议,根据五元组信息,由TS协商生成一对缺省SA,一个缺省SA对应一条安全隧道。
4、基站A根据五元组信息,以及UE IP范围的配置,生成属性SA,每一个UE IP段都可以协商出一个属性SA,一个属性SA也对应一条安全隧道。
5、基站A根据数据报文的特性,在五元组属性之外,将不同的报文根据UE IP的值分类,并和对应的属性SA(根据UE IP值范围生成)关联,发送到不同的属性安全隧道中。
6、基站A监测当前缺省SA和各属性SA的状态,状态包括当前SA所在CPU核心的利用率,网络流量等,并根据一定负载均衡的算法(如轮询,或权重等)来调整不同类型报文和属性SA的关联关系,并保证同一属性的报文在同一属性SA中处理。
7、如果基站B不支持属性SA协商,或者双方协商属性SA失败,则基站A默认把报文全部关联到缺省SA,并在缺省安全隧道中发送报文。
基站B和基站的SA建立流程和上述流程一致。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
应用实例4:(机顶盒和安全网关协商,使用报文的DSCP作为协商属性)
1、机顶盒当前流量超过了IPSec单核或单隧道流量规格,开启属性SA协商功能。
2、机顶盒作为IPSec发起方,安全网关作为IPSec响应方,机顶盒和安全网关协商IPSec隧道时,除携带除五元组信息之外,还携带报文的内层报文的DSCP信息作为协商属性信息。
协商属性信息由类型,长度,值等部分组成,类型配置为DSCP,长度为DSCP字段的长度(6比特),值为DSCP值,一般配置在一个范围内。
3、机顶盒和安全网关协商时,按照标准的IPSec协议,根据五元组信息,由TS协商生成一对缺省SA,一个缺省SA对应一条安全隧道。
4、机顶盒根据五元组信息,以及DSCP范围的配置,生成属性SA,每一个DSCP段都可以协商出一个属性SA,一个属性SA也对应一条安全隧道。
5、机顶盒根据数据报文的特性,在五元组属性之外,将不同的报文根据DSCP的值分类,并和对应的属性SA(根据DSCP值范围生成)关联,发送到不同的属性安全隧道中。
6、机顶盒监测当前缺省SA和各属性SA的状态,状态包括当前SA所在CPU核心的利用率,网络流量等,并根据一定负载均衡的算法(如轮询,或权重等)来调整不同类型报文和属性SA的关联关系,并保证同一属性的报文还是在同一属性SA中处理。
7、如果安全网关不支持属性SA协商,则机顶盒默认把报文全部关联到缺省SA,并在缺省安全隧道中发送。
安全网关和机顶盒的SA建立流程和上述流程一致。
通过协商属性协商出来的更多安全隧道,可以将不同业务类型的报文分流到不同的隧道内,提升设备或系统的IPSec处理能力。
如图14所示,本发明实施例还提供一种传输装置,应用于报文发送端,包括:
第一协商模块1401,用于使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道;
发送模块1402,用于将报文通过所述IPSec安全隧道发送至所述报文接收端。
在一实施例中,所述五元组信息包括:源网际协议IP地址、目的IP地址、协议号、源端口信息;
所述协商属性信息与所述报文的业务类型相关。
在一实施例中,所述协商属性信息包括如下信息:
业务类型;或者
业务类型和长度;或者
业务类型、长度和值。
在一实施例中,所述装置还包括:
确定模块,用于根据待发送的报文中携带的标识信息确定所述协商属性信息中的业务类型。
在一实施例中,所述确定模块,用于:
在待发送的报文为IP报文时,所述标识信息包括所述IP报文中的差分服务代码点DSCP信息,将所述DSCP信息作为协商属性信息中的业务类型;或者
在待发送的报文为通用分组无线业务隧道协议用户平面GTPU报文时,所述标识信息包括所述GTPU报文中的用户设备UE IP地址,将所述UE IP地址作为协商属性信息中的业务类型;或者
在待发送的报文为GTPU报文时,所述标识信息包括所述GTPU报文中的隧道终点标识TE ID,将所述TE ID作为协商属性信息中的业务类型。
在一实施例中,所述第一协商模块1401,用于:
在使用协商属性信息与所述报文接收端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,使用五元组信息与所述报文接收端协商确定一个缺省安全联盟SA,所述缺省SA对应一条IPSec安全隧道。
在一实施例中,所述第一协商模块1401,用于:
使用所述五元组信息与所述报文接收端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道;以及
使用所述五元组信息和协商属性信息与报文接收端协商确定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道。
在一实施例中,所述发送模块1402,用于:
根据五元组信息和协商属性信息对待发送的报文进行分类;
在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联,通过所述属性SA对应的IPSec安全隧道将所述报文发送至所述报文接收端;或者
在所述报文与所述五元组信息匹配,但无法与所述协商属性信息匹配时,将所述报文与缺省SA相关联,通过所述缺省SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
在一实施例中,所述装置还包括监测调整模块,用于:
监测每个SA的状态,所述SA包括缺省SA和属性SA中的至少之一;
根据所述SA的状态向所述报文接收端发送调整请求,与所述报文接收端协商调整所述协商属性信息与属性SA的关联关系。
在一实施例中,所述SA的状态包括所述SA所在核心CPU利用率和所述SA对应的IPSec安全隧道的网络流量中的至少之一。
在一实施例中,所述监测调整模块,用于:根据所述SA的状态,按照负载均衡算法,向所述报文接收端发送调整请求。
本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的加密需求。
如图15所示,本发明实施例还提供一种传输装置,包括:
第二协商模块1501,用于根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道;
接收模块1502,用于通过所述IPSec安全隧道接收所述报文接收端发送的报文。
在一实施例中,所述五元组信息包括:源网际协议IP地址、目的IP地址、协议号、源端口信息;
所述协商属性信息与业务类型相关。
在一实施例中,所述协商属性信息包括如下信息:
业务类型;或者
业务类型和长度;或者
业务类型、长度和值。
在一实施例中,所述第二协商模块1501,用于:
在根据所述协商属性信息与所述报文发送端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条安全隧道。
在一实施例中,所述第二协商模块1501,用于:
所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道;以及
所述报文接收端根据所述五元组信息和协商属性信息与所述报文发送端协商确定定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道。
在一实施例中,所述装置还包括:
调整模块,用于根据所述报文发送端的发送的调整请求,与所述报文发送端协商调整所述协商属性信息与属性SA的关联关系。
本发明实施例通过采用协商属性信息确定IPSec安全隧道,可以实现报文的分流,提升IPSec处理能力,满足5G高流量业务的解密需求。
如图16所示,本发明实施例还提供一种报文发送端,包括:存储器1601、处理器1602及存储在存储器1601上并可在处理器1602上运行的计算机程序1603,所述处理器1602执行所述程序时实现如图3所述传输方法。
如图17所示,本发明实施例还提供一种报文接收端,包括:存储器1701、处理器1702及存储在存储器1701上并可在处理器1702上运行的计算机程序1703,所述处理器1702执行所述程序时实现如图12所述传输方法。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行所述传输方法。
在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。

Claims (24)

1.一种传输方法,包括:
报文发送端使用五元组信息和协商属性信息与报文接收端协商确定网际协议安全性IPSec安全隧道,所述协商属性信息包括业务类型;
所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端;
所述报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道,包括:
所述报文发送端使用所述五元组信息和协商属性信息与报文接收端协商确定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道;
所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端,包括:
所述报文发送端根据五元组信息和协商属性信息对待发送的报文进行分类;
在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联,通过所述属性SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
2.如权利要求1所述的方法,其特征在于,
所述五元组信息包括:源网际协议IP地址、目的IP地址、协议号、源端口信息。
3.如权利要求2所述的方法,其特征在于,所述协商属性信息还包括如下信息:
长度;或者,长度和值;
其中,所述长度为业务类型参数的长度,所述值为业务类型对应的值或一个范围。
4.如权利要求1~3中任意一项所述的方法,其特征在于,所述报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道之前,所述方法还包括:
所述报文发送端根据待发送的报文中携带的标识信息确定所述协商属性信息中的业务类型。
5.如权利要求4所述的方法,其特征在于,所述报文发送端根据待发送的报文中携带的标识信息确定所述协商属性信息中的业务类型,包括如下至少之一:
在待发送的报文为IP报文时,所述标识信息包括所述IP报文中的差分服务代码点DSCP信息,所述报文发送端将所述DSCP信息作为协商属性信息中的业务类型;
在待发送的报文为通用分组无线业务隧道协议用户平面GTPU报文时,所述标识信息包括所述GTPU报文中的用户设备UE IP地址,所述报文发送端将所述UE IP地址作为协商属性信息中的业务类型;
在待发送的报文为GTPU报文时,所述标识信息包括所述GTPU报文中的隧道终点标识TEID,所述报文发送端将所述TE ID作为协商属性信息中的业务类型。
6.如权利要求1所述的方法,其特征在于,所述报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道,包括:
在所述报文发送端使用协商属性信息与所述报文接收端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,所述报文发送端使用五元组信息与所述报文接收端协商确定一个缺省安全联盟SA,所述缺省SA对应一条IPSec安全隧道。
7.如权利要求1所述的方法,其特征在于,所述报文发送端使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道,还包括:
所述报文发送端使用所述五元组信息与所述报文接收端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道。
8.如权利要求7所述的方法,其特征在于,所述报文发送端将报文通过所述IPSec安全隧道发送至所述报文接收端,还包括:
在所述报文与所述五元组信息匹配,但无法与所述协商属性信息匹配时,将所述报文与缺省SA相关联,通过所述缺省SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
9.如权利要求7所述的方法,其特征在于,所述方法还包括:
所述报文发送端监测每个SA的状态,所述SA包括缺省SA和属性SA中的至少之一;
所述报文发送端根据所述SA的状态向所述报文接收端发送调整请求,与所述报文接收端协商调整所述协商属性信息与属性SA的关联关系。
10.如权利要求9所述的方法,其特征在于,
所述SA的状态包括所述SA所在核心CPU利用率和所述SA对应的IPSec安全隧道的网络流量中的至少之一。
11.如权利要求9所述的方法,其特征在于,所述报文发送端根据所述SA的状态向所述报文接收端发送调整请求,包括:
所述报文发送端根据所述SA的状态,按照负载均衡算法,向所述报文接收端发送调整请求。
12.如权利要求1所述的方法,其特征在于,
所述报文发送端为IPSec发起方,所述报文接收端为IPSec响应方;或者
所述报文发送端为IPSec响应方,所述报文接收端为IPSec发起方。
13.如权利要求12所述的方法,其特征在于,
所述IPSec发起方包括如下至少之一:无线基站、机顶盒;
所述IPSec响应方包括如下至少之一:安全网关、无线基站。
14.一种传输方法,包括:
报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道,所述协商属性信息包括业务类型;
所述报文接收端通过所述IPSec安全隧道接收所述报文发送端发送的报文;
所述报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道,包括:
所述报文接收端根据所述五元组信息和协商属性信息与所述报文发送端协商确定定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道;
所述报文接收端通过所述IPSec安全隧道接收所述报文发送端发送的报文,包括:
所述报文发送端根据五元组信息和协商属性信息对待发送的报文进行分类,在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联;
所述报文接收端通过所述属性SA对应的IPSec安全隧道接收所述报文发送端发送的报文。
15.如权利要求14所述的方法,其特征在于,
所述五元组信息包括:源网际协议IP地址、目的IP地址、协议号、源端口信息。
16.如权利要求15所述的方法,其特征在于,所述协商属性信息还包括如下信息:
长度;或者,长度和值;
其中,所述长度为业务类型参数的长度,所述值为业务类型对应的值或一个范围。
17.如权利要求14所述的方法,其特征在于,所述报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道,包括:
在根据所述协商属性信息与所述报文发送端协商失败,或者所述报文接收端不支持使用协商属性信息协商时,所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条安全隧道。
18.如权利要求14所述的方法,其特征在于,所述报文接收端根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道,还包括:
所述报文接收端根据所述五元组信息与所述报文发送端协商确定一个缺省SA,所述缺省SA对应一条IPSec安全隧道。
19.如权利要求18所述的方法,其特征在于,所述方法还包括:
所述报文接收端根据所述报文发送端的发送的调整请求,与所述报文发送端协商调整所述协商属性信息与属性SA的关联关系。
20.一种传输装置,其特征在于,包括:
第一协商模块,用于使用五元组信息和协商属性信息与报文接收端协商确定IPSec安全隧道,所述协商属性信息包括业务类型;具体包括:所述报文发送端使用所述五元组信息和协商属性信息与报文接收端协商确定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道;
发送模块,用于将报文通过所述IPSec安全隧道发送至所述报文接收端;具体包括:所述报文发送端根据五元组信息和协商属性信息对待发送的报文进行分类;在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联,通过所述属性SA对应的IPSec安全隧道将所述报文发送至所述报文接收端。
21.一种传输装置,其特征在于,包括:
第二协商模块,用于根据报文发送端发送的五元组信息和协商属性信息,与所述报文发送端协商确定IPSec安全隧道,所述协商属性信息包括业务类型;具体包括:所述报文接收端根据所述五元组信息和协商属性信息与所述报文发送端协商确定定一个或多个属性SA,每个属性SA对应一条IPSec安全隧道;
接收模块,用于通过所述IPSec安全隧道接收所述报文发送端发送的报文;具体包括:所述报文接收端通过所述属性SA对应的IPSec安全隧道接收所述报文发送端发送的报文;所述报文发送端根据五元组信息和协商属性信息对待发送的报文进行分类,在所述报文与所述五元组信息和协商属性信息匹配时,将所述报文与对应的属性SA相关联。
22.一种报文发送端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~13中任意一项所述传输方法。
23.一种报文接收端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求14~19中任意一项所述传输方法。
24.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1~19中任意一项所述传输方法。
CN201811584907.1A 2018-12-24 2018-12-24 一种传输方法、装置、报文发送端和接收端 Active CN111355698B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201811584907.1A CN111355698B (zh) 2018-12-24 2018-12-24 一种传输方法、装置、报文发送端和接收端
PCT/CN2019/124216 WO2020135011A1 (zh) 2018-12-24 2019-12-10 传输方法、装置、报文发送端和接收端
EP19906425.4A EP3866427A4 (en) 2018-12-24 2019-12-10 Transmission method and device and message transmitting terminal and receiving terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811584907.1A CN111355698B (zh) 2018-12-24 2018-12-24 一种传输方法、装置、报文发送端和接收端

Publications (2)

Publication Number Publication Date
CN111355698A CN111355698A (zh) 2020-06-30
CN111355698B true CN111355698B (zh) 2022-05-20

Family

ID=71129068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811584907.1A Active CN111355698B (zh) 2018-12-24 2018-12-24 一种传输方法、装置、报文发送端和接收端

Country Status (3)

Country Link
EP (1) EP3866427A4 (zh)
CN (1) CN111355698B (zh)
WO (1) WO2020135011A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11368283B2 (en) * 2019-11-15 2022-06-21 Facebook Technologies, Llc Encryption and decryption engines with selective key expansion skipping
CN114697408B (zh) * 2020-12-28 2023-09-26 国家计算机网络与信息安全管理中心 一种隧道报文的处理方法和装置
CN114363078A (zh) * 2022-01-10 2022-04-15 中宇联云计算服务(上海)有限公司 基于云网融合技术的网络系统和网络优化方法
CN115883467B (zh) * 2022-12-09 2023-07-28 北京神州安付科技股份有限公司 一种IPSec VPN安全网关

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106450A (zh) * 2007-08-16 2008-01-16 杭州华三通信技术有限公司 分布式报文传输安全保护装置和方法
CN102098207A (zh) * 2009-12-09 2011-06-15 华为技术有限公司 建立因特网协议安全IPSec通道的方法、装置和系统
CN102420755A (zh) * 2011-11-29 2012-04-18 华为技术有限公司 一种数据报文的传输处理方法、通信设备及系统
CN104601483A (zh) * 2013-10-31 2015-05-06 华为技术有限公司 报文转发方法、装置及转发设备
CN105591926A (zh) * 2015-12-11 2016-05-18 杭州华三通信技术有限公司 一种流量保护方法及装置
CN105812322A (zh) * 2014-12-30 2016-07-27 华为数字技术(苏州)有限公司 因特网安全协议安全联盟的建立方法及装置
CN106161340A (zh) * 2015-03-26 2016-11-23 中兴通讯股份有限公司 业务分流方法和系统
CN106850672A (zh) * 2017-03-08 2017-06-13 迈普通信技术股份有限公司 IPSec隧道的安全联盟查找方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2697991B1 (en) * 2011-04-12 2019-12-11 Telefonaktiebolaget LM Ericsson (publ) Sending user plane traffic in a mobile communications network
CN102437931B (zh) * 2011-12-29 2015-07-08 华为技术有限公司 一种业务路径的探测方法及设备
WO2015010307A1 (zh) * 2013-07-25 2015-01-29 华为技术有限公司 业务路径分配方法、路由器和业务执行实体

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106450A (zh) * 2007-08-16 2008-01-16 杭州华三通信技术有限公司 分布式报文传输安全保护装置和方法
CN102098207A (zh) * 2009-12-09 2011-06-15 华为技术有限公司 建立因特网协议安全IPSec通道的方法、装置和系统
CN102420755A (zh) * 2011-11-29 2012-04-18 华为技术有限公司 一种数据报文的传输处理方法、通信设备及系统
CN104601483A (zh) * 2013-10-31 2015-05-06 华为技术有限公司 报文转发方法、装置及转发设备
CN105812322A (zh) * 2014-12-30 2016-07-27 华为数字技术(苏州)有限公司 因特网安全协议安全联盟的建立方法及装置
CN106161340A (zh) * 2015-03-26 2016-11-23 中兴通讯股份有限公司 业务分流方法和系统
CN105591926A (zh) * 2015-12-11 2016-05-18 杭州华三通信技术有限公司 一种流量保护方法及装置
CN106850672A (zh) * 2017-03-08 2017-06-13 迈普通信技术股份有限公司 IPSec隧道的安全联盟查找方法及装置

Also Published As

Publication number Publication date
EP3866427A4 (en) 2022-06-29
CN111355698A (zh) 2020-06-30
EP3866427A1 (en) 2021-08-18
WO2020135011A1 (zh) 2020-07-02

Similar Documents

Publication Publication Date Title
US11695742B2 (en) Security implementation method, device, and system
US10462828B2 (en) Policy and billing services in a cloud-based access solution for enterprise deployments
CN111355698B (zh) 一种传输方法、装置、报文发送端和接收端
US9712504B2 (en) Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
US10897509B2 (en) Dynamic detection of inactive virtual private network clients
CN108601043B (zh) 用于控制无线接入点的方法和设备
US20200396789A1 (en) Terminal apparatus, method, and integrated circuit
EP3164973B1 (en) Methods and first, second and network nodes for managing traffic characteristics
WO2020036928A1 (en) Service data flow awareness for latency reduction
KR20190050997A (ko) 무선 로컬 영역 네트워크를 통한 보안 링크 계층 연결을 위한 방법
US20150052348A1 (en) Session layer data security
US11240214B2 (en) Flow multiplexing in IPsec
ES2777606T3 (es) Comunicación de transacciones de aplicaciones en un enlace de radio
US20230239279A1 (en) Method and apparatus for security communication
WO2022002098A1 (zh) 信息发送的方法、信息接收的方法、网络端
US11646997B2 (en) Data transmission method with selective latency reduction
CN113872920A (zh) 处理报文的方法、网络端、计算机可读介质
NZ755869B2 (en) Security implementation method, device and system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant