CN111866865A - 一种数据传输方法、无线专网建立方法及系统 - Google Patents
一种数据传输方法、无线专网建立方法及系统 Download PDFInfo
- Publication number
- CN111866865A CN111866865A CN202010754179.5A CN202010754179A CN111866865A CN 111866865 A CN111866865 A CN 111866865A CN 202010754179 A CN202010754179 A CN 202010754179A CN 111866865 A CN111866865 A CN 111866865A
- Authority
- CN
- China
- Prior art keywords
- control channel
- terminal equipment
- private network
- terminal
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种数据传输方法、无线专网建立方法及系统,其中,无线专网建立方法包括:接收5G终端设备的终端信息;根据5G终端设备的终端信息建立控制通道;获取5G终端设备的第一控制通道密钥,对第一控制通道密钥进行验证,并向5G终端设备发送第二控制通道密钥;若对第一控制通道密钥验证通过且接收到5G终端设备发送的验证通过信号,则向5G终端设备发送新的控制通道密钥,验证通过信号用于表征5G终端设备对第二控制通道密钥验证通过;获取5G终端设备的状态信息;根据状态信息为5G终端设备建立无线专网。通过实施本发明建立的无线专网可以实现大带宽、低时延的要求,且保障了建立无线专网的安全性。
Description
技术领域
本发明涉及通信网络技术领域,具体涉及一种数据传输方法、无线专网建立方法及系统。
背景技术
在通信领域中,无线专网是区别于普通用户宽带上网而言的一类专用通信线路。无线专网服务于政府和企业两类客户。考虑到政府机构及企业通信的私密性、实时性,需要为这类客户提供一条独立于普通客户的专有线路。随着政府和企业的业务越来越繁杂,政府和企业对专线的带宽、安全性等要求也进一步提高。而现有的建立无线专网解决方案包括多业务接入平台(Muti-Services Access Platform,MSAP)解决方案、分组接入解决方案、无源光纤网络(Passive Optical Network,PON)接入解决方案三种。MSAP解决方案虽然保证了业务数据的完整性、安全性、私密性,但是灵活性较差,随着无线专网的带宽提升,IP分组化需求的增多,MSAP解决方案所形成的承载网络的容量不足,灵活性不够,已无法满足客户需求。分组接入解决方案可以对无线专网以太网业务进行统计复用、灵活调整、服务质量(Quality of Service,QOS)保障等操作,极大的扩充了业务容量。但由于其需要层层封装,导致开销越来越大,而客户业务的带宽需求越来越大,同时基于以太网的汇聚核心层,扩容复杂,因此该方案也已经不能满足当前千兆及以上无线专网客户的要求。PON接入解决方案虽然宽带可以达到千兆,但是其下行为广播方式,各光网络单元根据ID选择接收,终端用户有机会获取同一PON口下的其他用户数据,因此该方案的安全性较差。由此可见,亟需提供一种可以满足客户高带宽、高可靠性需求的无线专网建立方法。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的无法满足客户高带宽、高可靠性需求的缺陷,从而提供一种数据传输方法、无线专网建立方法及系统。
本发明第一方面提供了一种无线专网建立方法,包括:接收5G终端设备的终端信息;根据5G终端设备的终端信息建立控制通道;获取5G终端设备的第一控制通道密钥,对第一控制通道密钥进行验证,并向5G终端设备发送第二控制通道密钥;若对第一控制通道密钥验证通过且接收到5G终端设备发送的验证通过信号,则向5G终端设备发送新的控制通道密钥,验证通过信号用于表征5G终端设备对第二控制通道密钥验证通过;获取5G终端设备的状态信息;根据状态信息为5G终端设备建立无线专网。
可选地,在本发明提供的无线专网建立方法中,在接收5G终端设备的终端信息的步骤之后,根据5G终端设备的终端信息建立控制通道的步骤之前,还包括:对终端信息进行验证;若对终端信息验证通过,执行根据5G终端设备的终端信息建立控制通道的步骤。
可选地,在本发明提供的无线专网建立方法中,根据状态信息为5G终端设备建立无线专网的步骤,包括:为5G终端设备建立IPSEC隧道;在IPSEC隧道内建立内层VXLAN隧道。
可选地,在本发明提供的无线专网建立方法中,IPSEC隧道用于对通过IPSEC隧道传输的业务数据进行非对称加密,无线专网建立方法还包括:在预设时间间隔内通过控制通道与5G终端设备进行协商生成新的IPSEC隧道密钥。
本发明第二方面提供了一种数据传输方法,包括:通过5G模块向控制平台发送终端信息;根据控制平台建立的控制通道向控制平台发送第一控制通道密钥,获取控制平台的第二控制通道密钥,并对第二控制通道密钥进行验证;若验证通过,接收新的控制通道密钥,向控制平台发送状态信息,状态信息通过新的控制通道密钥进行加密;获取业务数据,通过控制平台建立的无线专网对业务数据进行传输,无线专网为控制平台通过状态信息所建立的,无线专网包括IPSEC隧道和VXLAN隧道。
可选地,在本发明提供的数据传输方法中,获取业务数据,通过控制平台建立的无线专网对业务数据进行传输的步骤,包括:通过5G模块获取业务数据,根据VXLAN协议封装业务数据,形成业务数据报文;利用IPSEC隧道密钥对业务数据报文进行加密,形成加密报文;通过5G模块发送加密报文。
可选地,在本发明提供的数据传输方法中,还包括:在预设时间间隔内通过控制通道与控制平台进行协商生成新的IPSEC隧道密钥。
本发明第三方面提供了一种无线专网建立系统,包括5G终端设备和控制平台,5G终端设备向控制平台发送终端信息;控制平台根据终端信息建立控制通道;5G终端设备和控制平台通过控制通道交换第一控制通道密钥和第二控制通道密钥,第一控制通道密钥为5G终端设备的密钥,第二控制通道密钥为控制平台的密钥;5G终端设备和控制平台分别对第二控制通道密钥和第一控制通道密钥进行验证;若5G终端设备和控制平台对第二控制通道密钥和第一控制通道密钥验证通过,控制平台向5G终端设备发送新的控制通道密钥;5G终端设备向控制平台发送状态信息,状态信息通过新的控制通道密钥进行加密;控制平台根据状态信息为5G终端设备建立无线专网;5G终端设备通过5G模块获取业务数据,通过无线专网对业务数据进行传输,无线专网包括IPSEC隧道和VXLAN隧道。
可选地,在本发明提供的无线专网建立系统中,控制平台在根据终端信息建立控制通道之前,还包括:对终端信息进行验证;若对终端信息验证通过,执行根据终端信息建立控制通道的步骤。
可选地,在本发明提供的无线专网建立系统中,在预设时间间隔内控制平台和5G终端设备通过控制通道进行协商生成新的IPSEC隧道密钥。
可选地,在本发明提供的无线专网建立系统中,5G终端设备通过5G模块获取业务数据,通过无线专网对业务数据进行传输的步骤,包括:5G终端通过5G模块获取业务数据,根据VXLAN协议封装业务数据,形成业务数据报文,利用IPSEC隧道密钥对业务数据报文进行加密,形成加密报文,通过5G模块发送加密报文。
本发明第四方面提供了一种计算机设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,从而执行如本发明第一方面提供的无线专网建立方法,或如本发明第二方面提供的数据传输方法。
本发明第五方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行如本发明第一方面提供的无线专网建立方法,或如本发明第二方面提供的数据传输方法
本发明技术方案,具有如下优点:
1.本发明提供的无线专网建立方法,先根据5G终端设备的终端信息建立控制通道,在对5G终端设备的第一控制通道密钥验证通过且收到5G终端设备发送的验证通过信号后,向5G终端设备发送新的控制通道密钥,通过新的控制通道密钥实现与5G终端设备的通信以及对5G终端设备的控制,然后获取5G终端设备的状态信息,并根据状态信息为5G终端设备建立无线专网。本发明提供的无线专网建立方法是针对5G终端设备进行无线专网建立,因此建立的无线专网可以实现大带宽、低时延的要求,且在建立专网前,先建立与5G终端设备的控制通道,在控制通道中与5G终端进行双向验证,保障了建立专网的安全性,并且建立控制通道后,为5G终端设备发送了新的控制通道密钥,通过新的控制通道密钥进行通信,保障了通过控制通道进行通信时的安全。
2.本发明提供的无线专网建立方法,在根据5G终端设备的终端信息建立控制通道前,先对终端信息进行验证,只有对终端信息验证通过时,才建立与5G终端设备相连通的控制通道,避免了连接到不安全的终端设备,从而进一步为专网的建立提供了安全保障。
3.本发明提供的无线专网建立方法,通过IPSEC隧道和VXLAN隧道相结合的方式构建专网,提高了构建专网的便捷性,并且为通过专网传输的业务数据提供了安全保障。
4.本发明提供的无线专网建立方法,通过IPSEC隧道对业务数据进行非对称加密,并且在预设时间间隔内通过控制通道与5G终端设备进行协商生成新的IPSEC隧道密钥,对IPSEC隧道密钥进行不断更新,减小了IPSEC隧道密钥被破解的几率,加强了业务数据传输的可靠性。
5.本发明提供的数据传输方法,首先通过5G模块向控制平台发送终端信息,在控制平台建立控制通道后,对控制通道的第二控制通道密钥进行验证,验证通过后,根据接收到的新的控制通道密钥与控制平台进行通信,在搭建无线专网后,通过5G模块获取业务数据,并通过无线专网对业务数据进行传输。该方法中,在建立专网前与控制平台的信息传输以及建立专网后对业务数据的传输是通过5G模块实现的无线传输,因此构建无线专网时无需布线,提高了无线专网的构建效率,且使得构建无线专网不受地域限制,且5G模块的使用满足了客户高带宽的需求。另外,对在控制平台建立控制通道后,在对控制平台的第二控制通道密钥进行验证后,才接受控制平台的控制,保障了业务数据传输的安全性。
6.本发明提供的数据传输方法,在获取业务数据后,对业务数据进行传输时,先通过VXLAN协议封装业务数据,形成业务数据报文,然后利用IPSEC隧道密钥对业务数据报文进行加密,形成加密报文,最后通过5G模块发送加密报文,对业务数据的多重封装及加密保障了业务数据的安全。
7.本发明提供的无线专网建立系统,包括5G终端设备和控制平台,5G终端设备对信息的传输以及对业务数据的传输通过5G模块实现,满足了数据传输时的高带宽需求。在建立无线专网前,5G终端设备和控制平台之间进行双向认证,为后续无线专网的正确建立提供了基础,并且保障了控制平台的安全,为5G终端设备建立的无线专网包括IPSEC隧道和VXLAN隧道,为后续业务数据的传输提供了保障。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中无线专网建立系统的应用场景示意图;
图2为本发明实施例中无线专网建立系统中5G终端设备和控制平台之间交互的一个信令流程图;
图3为本发明实施例中建立的无线专网的示意图;
图4为本发明实施例中通过VXLAN包装后的业务数据报文;
图5为本发明实施例中通过IPSEC隧道的传输模式包装后的报文;
图6为本发明实施例中通过IPSEC隧道的隧道模式包装后的报文;
图7-图9为本发明实施例中无线专网建立方法的具体示例的流程图;
图10、图11为本发明实施例中数据传输方法的具体示例的流程图;
图12为本发明实施例中提供的计算机设备的一个具体示例的原理框图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
在通信领域中,无线专网是区别于普通用户宽带上网而言的一类专用通信线路。无线专网服务于政府和企业两类客户。考虑到政府机构及企业通信的私密性、实时性,需要为这类客户提供一条独立于普通客户的专有线路。
本发明实施例提供了一种无线专网建立系统,如图1所示,是本发明实施例的应用场景示意图,包括5G终端设备和控制平台,5G终端设备是支持5G无线通信的终端设备,且装有支持本发明数据传输方法的应用程序,控制平台可以接收5G终端设备通过5G模块无线传输的数据,且装有支持本发明无线专网建立方法的应用程序。
如图2所示,为本发明实施例中无线专网建立流程图,具体包括:
步骤S101:5G终端设备向控制平台发送终端信息。
在一具体实施例中,5G终端设备向控制平台发送终端信息是为了证明5G终端设备的安全性和合法性,因此终端信息是指可以唯一标识5G终端设备且可以证明5G终端设备安全合法的信息,例如,可以包括5G终端设备的授权文件、设备序列号(Serial Number,SN)、设备ID等私有信息中的一项或多项。
步骤S102:控制平台接收5G终端设备的终端信息,根据终端信息建立控制通道。
在一具体实施例中,为了防止控制平台收到恶意攻击,只有在控制平台对终端信息进行验证并验证通过后,才会在控制平台与5G终端设备之间建立控制通道,实现与5G终端设备的通信。
步骤S103:5G终端设备和控制平台通过控制通道交换第一控制通道密钥和第二控制通道密钥,第一控制通道密钥为5G终端设备的密钥,第二控制通道密钥为控制平台的密钥。
在本发明实施例中,为了保障控制平台与5G终端设备通过控制通道进行通信时的安全,控制平台建立的控制通道采用2048bit RSA架构,使用SHA2算法作为hash函数,RSA作为身份认证,256位AES加密来实现Diffie-Hellman密钥交换。
步骤S104:5G终端设备和控制平台分别对第二控制通道密钥和第一控制通道密钥进行验证。
本发明实施例中,在控制平台对5G终端设备进行控制前,需要完成控制平台与5G终端设备的双向验证,控制平台只接收合法的5G终端设备连接,同时5G终端设备也保证只连接到正确的控制平台。控制平台和5G终端设备各自对对方进行验证时,若验证通过,会向对方发送验证通过的消息,若验证失败,会向对方发送验证失败的消息,只有在双方都接收到对方发送的验证通过的消息时,才会执行下一个过程。
步骤S105:若5G终端设备和控制平台对第二控制通道密钥和第一控制通道密钥验证通过,控制平台向5G终端设备发送新的控制通道密钥,在本发明实施例中,控制平台与5G终端设备之间的通信信息采用非对称加密,控制平台通过控制通道发送的第二控制通道密钥是指控制平台与5G终端设备通信时的公钥。
在本发明实施例中,在5G终端设备和控制平台双方验证通过后,控制平台向5G终端设备发送新的控制通道密钥,控制平台和5G终端设备之间通过新的控制通道密钥进行通信。
步骤S106:5G终端设备向控制平台发送状态信息,状态信息通过新的控制通道密钥进行加密。在一具体实施例中,5G终端设备向控制平台发送的状态信息包括5G终端设备的5G信号强度、位置信息、设备SN号、设备状态指示灯情况、接口收发包统计等信息。
步骤S107:控制平台根据状态信息为5G终端设备建立无线专网,如图3所示,通过本发明实施例提供的无线专网建立系统构建的无线专网包括汇聚模型和点对点模型两种,控制平台对5G终端设备进行统一管理,灵活配置成点对点隧道,或点到多点隧道,隧道可以以5G终端和另一5G终端为端点,也可以以5G终端和控制平台为端点。
步骤S108:5G终端设备通过5G模块获取业务数据,通过无线专网对业务数据进行传输,无线专网包括IPSEC隧道和VXLAN隧道。
在一具体实施例中,IPSEC隧道和VXLAN隧道构成了VXLAN隧道在内,IPSEC隧道在外的双层隧道,VXLAN隧道实现对业务数据的封装,IPSEC隧道实现对封装后的业务数据进行非对称加密,因此通过本系统建立的无线专网进行业务数据的传输安全性较高。
本发明提供的无线专网建立系统,包括5G终端设备和控制平台,5G终端设备对信息的传输以及对业务数据的传输通过5G模块实现,满足了数据传输时的高带宽需求。在建立无线专网前,5G终端设备和控制平台之间进行双向认证,为后续无线专网的正确建立提供了基础,并且保障了控制平台的安全,为5G终端设备建立的无线专网包括IPSEC隧道和VXLAN隧道,双层隧道为后续业务数据的传输提供了保障。
在一可选实施例中,在本发明实施例提供的无线专网建立系统中,还包括:在预设时间间隔内,控制平台和5G终端设备通过控制通道进行协商生成新的IPSEC隧道密钥。在一具体实施例中,IPSEC隧道密钥通过隧道两端的设备进行协商生成,若隧道两端的设备分别为5G终端设备和控制平台,则由控制平台和5G终端设备协商生成IPSEC隧道密钥,然后由控制平台通过控制终端将IPSEC隧道密钥的公钥发送给隧道另一端的5G终端。若隧道两端的设备都为5G终端设备,则有两个5G终端设备协商生成IPSEC隧道密钥,然后由控制平台通过控制终端将IPSEC隧道密钥的公钥发送给5G终端。
在一具体实施例中,对IPSEC隧道密钥的更新时间可以是周期性的,也可以是随机的,若是周期性更新,时间周期可根据实际需求进行调整,若对数据传输的安全性要求较高,可以设置较短的时间间隔,若终端设备的处理能力较弱,可以设置较长的时间间隔。
在本发明实施例中,控制平台和5G终端设备协商生成新的IPSEC隧道密钥的步骤具体包括:控制平台和5G终端设备之间建立IKE SA完成身份验证和密钥信息交换后,在IKESA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSEC隧道密钥。
本发明提供的无线专网建立系统,通过IPSEC隧道对业务数据进行非对称加密,并且在预设时间间隔内通过控制通道与5G终端设备进行协商生成新的IPSEC隧道密钥,对IPSEC隧道密钥进行不断更新,动态密钥机制减小了IPSEC隧道密钥被破解的几率,加强了业务数据传输的可靠性。
在一可选实施例中,在本发明实施例提供的无线专网建立系统中,上述步骤S108具体包括:
首先,5G终端通过5G模块获取业务数据。5G终端通过5G模块可以将客户业务数据接入到5G无线蜂窝网络。
然后,根据VXLAN协议封装业务数据,形成业务数据报文,形成的业务数据报文如图4所示,包括:
封装外层以太头(Outer MAC Header),14字节,如果有VLAN TAG则为18字节。其中,源MAC地址(Outer Source MAC Address)为源5G终端的MAC地址,目的MAC地址(OuterDestination MAC Address)为到达目的5G终端的路径上下一跳设备的MAC地址。类型字段为0x0800,指示内层封装的是IP报文;
封装外层IP头(Outer IP Header),20字节。其中,源IP地址(Outer Source IPAddress)为源5G终端的IP地址,目的IP地址(Outer Destination IP Address)为目的5G终端的IP地址。协议字段为0x11,指示内层封装的是UDP报文;
UDP报文头(UDP Header),8字节。其中,UDP目的端口号(UDP Destination Port)固定为4789,指示内层封装报文为VXLAN报文。UDP源端口号(UDP Source Port)为随机任意值,可以用于5G终端之间多路径负载分担的计算;
VXLAN协议新定义的VXLAN头(VXLAN Header),8字节,其中包括Flags、VXLAN ID(VNI)、两个Reserved,Flags为8bit,值为RRRRIRRR,“I”位为1时,表示VXLAN头中的VXLANID有效,为0时,表示VXLAN ID无效。“R”位保留未用,设置为0,两个Reserved为保留位,分别为24bit和8bit;
原始以太网报文(Original L2 Frame)。
从报文的封装可以看出,VXLAN头和原始二层报文是作为UDP报文的载荷存在的。在5G终端之间的网络设备,只需要根据Outer MAC Header和Outer IP Header进行转发,利用UDP Source Port进行负载分担,这一过程,与转发普通的IP报文完全相同。这样,除了VTEP设备,现网的大量设备无需更换或升级即可支持VXLAN网络。
最后,利用IPSEC隧道密钥对业务数据报文进行加密,形成加密报文,通过5G模块发送加密报文。
在一具体实施例中,通过利用IPSEC隧道对业务数据报文进行封装的模式包括传输模式和隧道模式。
以UDP报文为例,通过传输模式封装后的报文如图5所示,AH头或ESP头被插入到IP头与传输层协议头之间,保护UDP/TCP/ICMP等负载。由于传输模式未添加额外的IP头,所以原始报文中的IP地址在加密后报文的IP头中可见。
通过隧道模式封装后的报文如图6所示,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。
可以看出,从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口,因此本发明实施例中采用隧道模式对业务数据报文进行封装,然后对二次封装后的报文进行加密。
在本发明实施例中,通过VXLAN协议对业务数据进行封装时,将二层报文用三层协议进行封装,可实现二层网络在三层范围内进行扩展,同时满足数据中心大二层虚拟迁移和多用户的需求,且采用VXLAN技术封装的报文在不改变现有网络架构的基础上可以使业务数据跨越长距离的公有网络进行交互。但是,对于融入互联网的设备,通常会配置防火墙、网络地址转换(Network Address Translation,NAT)等功能,用于过滤病毒、防止分布式拒绝服务攻击(Distributed Denial of Service,DDOS)等,但是当开启NAT时,VXLAN报文头中的UDP端口会被NAT改变,因此封装后的报文无法穿越NAT网关,为了解决该问题,且同时保障业务数据传输的安全性,采用IPSEC隧道密钥对业务数据报文进行了二次封装,二次封装后的报文可以隐藏UDP端口,因此UDP端口不会被NAT改变,从而二次封装后的报文可以穿越NAT网关,并且,二次封装后的报报文隐藏了内部IP地址,避免了通过IP地址截取报文的情况,保障了业务数据传输的安全。
实施例2
本发明实施例提供了一种无线专网建立方法,适用于控制平台,如图7所示,包括:
步骤S201:接收5G终端设备的终端信息,详细描述见上述实施例1中对步骤S102的描述。
步骤S202:根据5G终端设备的终端信息建立控制通道,详细描述见上述实施例1中对步骤S102的描述。
步骤S203:获取5G终端设备的第一控制通道密钥,对第一控制通道密钥进行验证,并向5G终端设备发送第二控制通道密钥,详细描述见上述实施例1中对步骤S103的描述。
步骤S204:若对第一控制通道密钥验证通过且接收到5G终端设备发送的验证通过信号,则向5G终端设备发送新的控制通道密钥,验证通过信号用于表征5G终端设备对第二控制通道密钥验证通过,详细描述见上述实施例1中对步骤S105的描述。
步骤S205:获取5G终端设备的状态信息,详细描述见上述实施例1中对步骤S106的描述。
步骤S206:根据状态信息为5G终端设备建立无线专网,详细描述见上述实施例1中对步骤S107的描述。
本发明提供的无线专网建立方法,先根据5G终端设备的终端信息建立控制通道,在对5G终端设备的第一控制通道密钥验证通过且收到5G终端设备发送的验证通过信号后,向5G终端设备发送新的控制通道密钥,通过新的控制通道密钥实现与5G终端设备的通信以及对5G终端设备的控制,然后获取5G终端设备的状态信息,并根据状态信息为5G终端设备建立无线专网。本发明提供的无线专网建立方法是针对5G终端设备进行无线专网建立,因此建立的无线专网可以实现大带宽、低时延的要求,且在建立无线专网前,先建立与5G终端设备的控制通道,在控制通道中与5G终端进行双线验证,保障了建立专网的安全性。
在一可选实施例中,在上述步骤S201之后,步骤S202之前,本发明实施例提供的无线专网建立方法还包括:
对终端信息进行验证,若对终端信息验证通过,执行上述步骤S202。详细描述见上述实施例1。
在一可选实施例中,如图8所示,上述步骤S206具体包括:
步骤S2061:为5G终端设备建立IPSEC隧道。详细描述见上述实施例1。
步骤S2062:在IPSEC隧道内建立内层VXLAN隧道。详细描述见上述实施例1。
在一可选实施例中,如图9所示,本发明实施例提供的无线专网建立方法,还包括:
步骤S207:在预设时间间隔内通过控制通道与5G终端设备进行协商生成新的IPSEC隧道密钥。详细描述见上述实施例1。
实施例3
本发明实施例提供了一种数据传输方法,适用于5G终端设备,如图10所示,包括:
步骤S301:通过5G模块向控制平台发送终端信息,详细描述见上述步骤S101。
步骤S302:根据控制平台建立的控制通道向控制平台发送第一控制通道密钥,获取控制平台的第二控制通道密钥,并对第二控制通道密钥进行验证,详细描述见上述步骤S103和步骤S104。
步骤S303:若验证通过,接收新的控制通道密钥,向控制平台发送状态信息,状态信息通过新的控制通道密钥进行加密,详细描述见上述步骤S106。
步骤S304:通过5G模块获取业务数据,通过控制平台建立的无线专网对业务数据进行传输,无线专网为控制平台通过状态信息所建立的,无线专网包括IPSEC隧道和VXLAN隧道,详细描述见上述步骤S108。
本发明提供的数据传输方法,首先通过5G模块向控制平台发送终端信息,在控制平台建立控制通道后,对控制通道的第二控制通道密钥进行验证,验证通过后,根据接收到的新的控制通道密钥与控制平台进行通信,在搭建无线专网后,通过5G模块获取业务数据,并通过无线专网对业务数据进行传输。该方法中,在建立专网前与控制平台的信息传输以及建立专网后对业务数据的传输是通过5G模块实现的无线传输,因此构建无线专网时无需布线,提高了无线专网的构建效率,使得构建无线专网不受地域限制,且5G模块的使用满足了客户高带宽的需求。另外,对在控制平台建立控制通道后,在对控制平台的第二控制通道密钥进行验证后,才接受控制平台的控制,保障了业务数据传输的安全性。
在一可选实施例中,如图11所示,上述步骤S304具体包括:
步骤S3041:通过5G模块获取业务数据,根据VXLAN协议封装业务数据,形成业务数据报文。详细描述见上述实施例1。
步骤S3042:利用IPSEC隧道密钥对业务数据报文进行加密,形成加密报文。详细描述见上述实施例1。
步骤S3043:通过5G模块发送加密报文。详细描述见上述实施例1。
在一可选实施例中,本发明实施例提供的数据传输方法还包括:
在预设时间间隔内通过控制通道与控制平台进行协商生成新的IPSEC隧道密钥。详细描述见上述实施例1。
实施例4
本发明实施例提供一种计算机设备,如图12所示,该计算机设备主要包括一个或多个处理器41以及存储器42,图12中以一个处理器41为例。
该计算机设备还可以包括:输入装置43和输出装置44。
处理器41、存储器42、输入装置43和输出装置44可以通过总线或者其他方式连接,图12中以通过总线连接为例。
处理器41可以为中央处理器(Central Processing Unit,CPU)。处理器41还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器42可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据无线专网建立装置,或,数据传输装置的使用所创建的数据等。此外,存储器42可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器42可选包括相对于处理器41远程设置的存储器,这些远程存储器可以通过网络连接至无线专网建立装置,或,数据传输装置。输入装置43可接收用户输入的计算请求(或其他数字或字符信息),以及产生与无线专网建立装置,或,数据传输装置有关的键信号输入。输出装置44可包括显示屏等显示设备,用以输出计算结果。
实施例5
本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的无线专网建立方法,或,数据传输方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (13)
1.一种无线专网建立方法,其特征在于,包括:
接收5G终端设备的终端信息;
根据所述5G终端设备的终端信息建立控制通道;
获取所述5G终端设备的第一控制通道密钥,对所述第一控制通道密钥进行验证,并向所述5G终端设备发送第二控制通道密钥;
若对所述第一控制通道密钥验证通过且接收到所述5G终端设备发送的验证通过信号,则向所述5G终端设备发送新的控制通道密钥,所述验证通过信号用于表征所述5G终端设备对所述第二控制通道密钥验证通过;
获取所述5G终端设备的状态信息;
根据所述状态信息为所述5G终端设备建立无线专网。
2.根据权利要求1所述的无线专网建立方法,其特征在于,在所述接收5G终端设备的终端信息的步骤之后,所述根据所述5G终端设备的终端信息建立控制通道的步骤之前,还包括:
对所述终端信息进行验证;
若对所述终端信息验证通过,执行所述根据所述5G终端设备的终端信息建立控制通道的步骤。
3.根据权利要求1所述的无线专网建立方法,其特征在于,根据所述状态信息为所述5G终端设备建立无线专网的步骤,包括:
为所述5G终端设备建立IPSEC隧道;
在所述IPSEC隧道内建立内层VXLAN隧道。
4.根据权利要求3所述的无线专网建立方法,其特征在于,所述IPSEC隧道用于对通过所述IPSEC隧道传输的业务数据进行非对称加密,所述无线专网建立方法还包括:
在预设时间间隔内通过所述控制通道与所述5G终端设备进行协商生成新的IPSEC隧道密钥。
5.一种数据传输方法,其特征在于,包括:
通过5G模块向控制平台发送终端信息;
根据所述控制平台建立的控制通道向所述控制平台发送第一控制通道密钥,获取所述控制平台的第二控制通道密钥,并对所述第二控制通道密钥进行验证;
若验证通过,接收新的控制通道密钥,向所述控制平台发送状态信息,所述状态信息通过所述新的控制通道密钥进行加密;
通过5G模块获取业务数据,通过所述控制平台建立的无线专网对所述业务数据进行传输,所述无线专网为所述控制平台通过所述状态信息所建立的,所述无线专网包括IPSEC隧道和VXLAN隧道。
6.根据权利要求5所述的数据传输方法,其特征在于,获取业务数据,通过所述控制平台建立的无线专网对所述业务数据进行传输的步骤,包括:
通过5G模块获取业务数据,根据VXLAN协议封装所述业务数据,形成业务数据报文;
利用IPSEC隧道密钥对所述业务数据报文进行加密,形成加密报文;
通过所述5G模块发送所述加密报文。
7.根据权利要求6所述的数据传输方法,其特征在于,还包括:
在预设时间间隔内通过所述控制通道与所述控制平台进行协商生成新的IPSEC隧道密钥。
8.一种无线专网建立系统,其特征在于,包括5G终端设备和控制平台,
所述5G终端设备向控制平台发送终端信息;
所述控制平台接收5G终端设备的终端信息,并根据所述终端信息建立控制通道;
所述5G终端设备和所述控制平台通过所述控制通道交换第一控制通道密钥和第二控制通道密钥,所述第一控制通道密钥为所述5G终端设备的密钥,所述第二控制通道密钥为所述控制平台的密钥;
所述5G终端设备和所述控制平台分别对所述第二控制通道密钥和所述第一控制通道密钥进行验证;
若所述5G终端设备和所述控制平台对所述第二控制通道密钥和所述第一控制通道密钥验证通过,所述控制平台向所述5G终端设备发送新的控制通道密钥;
所述5G终端设备向所述控制平台发送状态信息,所述状态信息通过所述新的控制通道密钥进行加密;
所述控制平台根据所述状态信息为所述5G终端设备建立无线专网;
所述5G终端设备通过5G模块获取业务数据,通过所述无线专网对所述业务数据进行传输,所述无线专网包括IPSEC隧道和VXLAN隧道。
9.根据权利要求8所述的无线专网建立系统,其特征在于,所述控制平台在根据所述终端信息建立控制通道之前,还包括:
对所述终端信息进行验证;
若对所述终端信息验证通过,执行根据所述终端信息建立控制通道的步骤。
10.根据权利要求8所述的无线专网建立系统,其特征在于,
在预设时间间隔内所述控制平台和所述5G终端设备通过所述控制通道进行协商生成新的IPSEC隧道密钥。
11.根据权利要求10所述的无线专网建立系统,其特征在于,所述5G终端设备通过5G模块获取业务数据,通过所述无线专网对所述业务数据进行传输的步骤,包括:
所述5G终端通过5G模块获取业务数据,根据VXLAN协议封装所述业务数据,形成业务数据报文,利用IPSEC隧道密钥对所述业务数据报文进行加密,形成加密报文,通过所述5G模块发送所述加密报文。
12.一种计算机设备,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,从而执行如权利要求1-4任一项所述的无线专网建立方法,或如权利要求5-7任一项所述的数据传输方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-4任一项所述的无线专网建立方法,或如权利要求5-7任一项所述的数据传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010754179.5A CN111866865B (zh) | 2020-07-30 | 2020-07-30 | 一种数据传输方法、5g专网建立方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010754179.5A CN111866865B (zh) | 2020-07-30 | 2020-07-30 | 一种数据传输方法、5g专网建立方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111866865A true CN111866865A (zh) | 2020-10-30 |
| CN111866865B CN111866865B (zh) | 2023-07-14 |
Family
ID=72946383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010754179.5A Active CN111866865B (zh) | 2020-07-30 | 2020-07-30 | 一种数据传输方法、5g专网建立方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111866865B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113192265A (zh) * | 2021-04-30 | 2021-07-30 | 中国银行股份有限公司 | 远程开卡方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009018510A1 (en) * | 2007-08-02 | 2009-02-05 | Imagineer Software, Inc. | Systems and methods for implementing a mutating internet protocol security |
| WO2012022145A1 (zh) * | 2010-08-20 | 2012-02-23 | 成都市华为赛门铁克科技有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
| CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
-
2020
- 2020-07-30 CN CN202010754179.5A patent/CN111866865B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009018510A1 (en) * | 2007-08-02 | 2009-02-05 | Imagineer Software, Inc. | Systems and methods for implementing a mutating internet protocol security |
| WO2012022145A1 (zh) * | 2010-08-20 | 2012-02-23 | 成都市华为赛门铁克科技有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统 |
| CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 吴越,疏朝明,卜勇华,胡爱群,毕光国: "基于IPSec的虚拟专用网络密钥交换实现及其安全分析", 东南大学学报(自然科学版), no. 04 * |
| 胡焰智;马大玮;田增山;: "一种基于移动公网的安全专网认证与密钥协商方案", 电讯技术, no. 03 * |
| 赖韬;颜亮;郭庆;: "适用于以太网的密钥管理技术研究", 信息安全与通信保密, no. 08 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113192265A (zh) * | 2021-04-30 | 2021-07-30 | 中国银行股份有限公司 | 远程开卡方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111866865B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3298719B1 (en) | Network device and method for processing a session using a packet signature | |
| US9813380B2 (en) | Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network | |
| CN112583647B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| US9369550B2 (en) | Protocol for layer two multiple network links tunnelling | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
| KR100748698B1 (ko) | 보안 통신 시스템의 패킷 처리 방법 및 그 장치 | |
| US11924248B2 (en) | Secure communications using secure sessions | |
| CN111194541B (zh) | 用于数据传输的装置和方法 | |
| CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 | |
| CN105635076B (zh) | 一种媒体传输方法和设备 | |
| Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
| EP3541110B1 (en) | X2 service transmission method, and network apparatus | |
| CN112104601A (zh) | 数据传输方法、装置、终端设备和存储介质 | |
| CN115473729B (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
| CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
| CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
| WO2011023010A1 (zh) | 一种用于伪线网络的数据安全发送接收方法、装置及系统 | |
| Liyanage | Enhancing security and scalability of virtual private LAN services | |
| US11750581B1 (en) | Secure communication network | |
| RU2517405C2 (ru) | Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных | |
| CN115766063A (zh) | 数据传输方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201119 Address after: 303, 3 / F, building 2, yard 15, Guanghua Road, Chaoyang District, Beijing 100026 Applicant after: Beijing yiruilian Technology Co.,Ltd. Address before: 100026 Tongniu international building, Guanghua Road, Chaoyang District, Beijing 302 Applicant before: Feng Tianwang |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |