CN116017429A - 5g网络加密组网方法、系统、装置及存储介质 - Google Patents
5g网络加密组网方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN116017429A CN116017429A CN202211565389.5A CN202211565389A CN116017429A CN 116017429 A CN116017429 A CN 116017429A CN 202211565389 A CN202211565389 A CN 202211565389A CN 116017429 A CN116017429 A CN 116017429A
- Authority
- CN
- China
- Prior art keywords
- encryption
- gateway
- information
- chip
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种5G网络加密组网方法、系统、装置及存储介质,属于网络安全技术领域。其方法包括获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。在机关内网与专用终端之间设置有加密网关,且在专用终端内设置有加密芯片。利用加密网关的网关信息以及加密芯片的芯片信息,在加密网关与专用终端之间构建通信连接,使加密网关与专用终端之间的数据在传输过程中不易被截取、复制或盗取,提高了通信信息的安全性。
Description
技术领域
本发明涉及一种网络安全技术领域,尤其涉及一种5G网络加密组网方法、系统、装置及存储介质。
背景技术
部分重要场所中通常布设有专用终端,用于与场所内网之间进行通讯。其中,重要场所诸如公共安全机关和财产机关等。机关内网与专用终端之间相互通讯时,通讯信息通常需要经过5G基站、BBU、SW、UPF和防火墙等设备。在现有技术中,依旧采用明文报文进行通讯,使得通信信息在各个设备之间传输时,容易被截取或复制盗取,增大了通信信息泄露风险。
发明内容
有鉴于此,本发明提供了一种5G网络加密组网方法、系统、装置及存储介质,用于解决现有技术中通信信息泄露风险高的问题。为达上述之一或部分或全部目的或是其他目的,本发明提出一种5G网络加密组网方法、系统、装置及存储介质,第一方面:
一种5G网络加密组网方法,包括:
获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;
根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
优选地,所述根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接的步骤包括:
根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联,并得到构建参数;
基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果;
在所述协商结果为协商成功时,判定所述通信连接构建完成。
优选地,所述根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联的步骤包括:
通过所述加密网关向所述专用终端传输所述网关信息中的IKE策略信息;
通过所述专用终端中所述加密芯片的所述芯片信息匹配所述IKE策略信息,并将匹配成功的所述IKE策略信息传输给所述加密网关;
在所述加密网关接收到所述IKE策略信息后,通过所述加密网关向所述专用终端传输所述网关信息中的网关秘钥信息;
通过所述专用终端的所述加密芯片根据所述网关秘钥信息生成第一秘钥,并向所述加密网关传输所述芯片信息中的终端秘钥信息;
通过所述加密网关根据所述终端秘钥信息生成第二秘钥,并利用第二秘钥向所述专用终端传输加密的网关特征信息;
通过所述专用终端验证所述网关特征信息,并在验证成功后利用所述第一秘钥向所述加密网关传输加密的终端特征信息;
通过所述加密网关对所述终端特征信息进行验证,并在验证成功后判定完成所述IKE安全关联。
优选地,所述基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果的步骤包括:
通过所述加密网关向所述专用终端传输安全参数和认证信息;所述认证信息通过所述构建参数获得;
通过所述专用终端匹配所述安全参数和所述认证信息,并将匹配成功的所述安全参数和所述认证信息以及根据所述构建参数生成的第三秘钥传输给所述加密网关;
通过所述加密网关在接收到所述安全参数、所述认证信息和所述第三秘钥后,向所述专用终端传输确认信息,以判定所述IPSec安全关联构建完成并生成为协商成功的所述协商结果。
优选地,在所述获取加密网关的网关信息之前,所述方法还包括:
获取所述加密网关产生的第一证书请求文件;
将所述第一证书请求文件传输给认证服务器;
接收所述认证服务器基于所述第一证书请求文件反馈的第一签发证书;
将所述第一签发证书传输给所述加密网关,以使所述加密网关加载并生效。
优选地,在所述获取专用终端内与所述加密网关适配的加密芯片的芯片信息之前,所述方法还包括:
获取所述加密芯片产生的第二证书请求文件;
将所述第二证书请求文件传输给认证服务器;
接收所述认证服务器基于所述第二证书请求文件反馈的第二签发证书;
将所述第二签发证书传输给所述加密芯片,以使所述加密芯片加载并生效。
优选地,所述加密网关与多个所述专用终端之间构建所述通信连接。
第二方面:
一种5G网络加密组网系统,包括获取模块,用于获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;
组网模块,用于根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
优选地,所述组网模块包括IKE子模块,用于根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联,并得到构建参数;
IPSec子模块,用于基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果;
判定子模块,用于在所述协商结果为协商成功时,判定所述通信连接构建完成。
优选地,所述IKE子模块包括第一传输单元,用于通过所述加密网关向所述专用终端传输所述网关信息中的IKE策略信息;
第一匹配单元,用于通过所述专用终端中所述加密芯片的所述芯片信息匹配所述IKE策略信息,并将匹配成功的所述IKE策略信息传输给所述加密网关;
第二传输单元,用于在所述加密网关接收到所述IKE策略信息后,通过所述加密网关向所述专用终端传输所述网关信息中的网关秘钥信息;
第一秘钥单元,用于通过所述专用终端的所述加密芯片根据所述网关秘钥信息生成第一秘钥,并向所述加密网关传输所述芯片信息中的终端秘钥信息;
第二秘钥单元,用于通过所述加密网关根据所述终端秘钥信息生成第二秘钥,并利用第二秘钥向所述专用终端传输加密的网关特征信息;
第二匹配单元,用于通过所述专用终端验证所述网关特征信息,并在验证成功后利用所述第一秘钥向所述加密网关传输加密的终端特征信息;
第三匹配单元,用于通过所述加密网关对所述终端特征信息进行验证,并在验证成功后判定完成所述IKE安全关联。
优选地,所述IPSec子模块包括第一协商单元,用于通过所述加密网关向所述专用终端传输安全参数和认证信息;所述认证信息通过所述构建参数获得;
第二协商单元,用于通过所述专用终端匹配所述安全参数和所述认证信息,并将匹配成功的所述安全参数和所述认证信息以及根据所述构建参数生成的第三秘钥传输给所述加密网关;
第三协商单元,用于通过所述加密网关在接收到所述安全参数、所述认证信息和所述第三秘钥后,向所述专用终端传输确认信息,以判定所述IPSec安全关联构建完成并生成为协商成功的所述协商结果。
优选地,所述系统还包括第一证书模块,用于在所述获取加密网关的网关信息之前,获取所述加密网关产生的第一证书请求文件;
第一请求模块,用于将所述第一证书请求文件传输给认证服务器;
第一接收模块,用于接收所述认证服务器基于所述第一证书请求文件反馈的第一签发证书;
第一加载模块,用于将所述第一签发证书传输给所述加密网关,以使所述加密网关加载并生效。
优选地,所述系统还包括第二证书模块,用于在所述获取加密网关的网关信息之前,获取所述加密芯片产生的第二证书请求文件;
第二请求模块,用于将所述第二证书请求文件传输给认证服务器;
第二接收模块,用于接收所述认证服务器基于所述第二证书请求文件反馈的第二签发证书;
第二加载模块,用于将所述第二签发证书传输给所述加密芯片,以使所述加密芯片加载并生效。
优选地,所述加密网关与多个所述专用终端之间构建所述通信连接。
第三方面:
一种5G网络加密组网装置,包括存储器和处理器,所述存储器中存储有5G网络加密组网方法,所述处理器用于在执行所述5G网络加密组网方法时采用上述所述的5G网络加密组网方法。
第四方面:
一种存储介质,存储有能够被处理器加载并执行上述所述方法的计算机程序。
实施本发明实施例,将具有如下有益效果:
在机关内网与专用终端之间设置有加密网关,且在专用终端内设置有加密芯片。利用加密网关的网关信息以及加密芯片的芯片信息,在加密网关与专用终端之间构建通信连接,使加密网关与专用终端之间的数据在传输过程中不易被截取、复制或盗取,提高了通信信息的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
其中:
图1为一个实施例中5G网络加密组网方法的整体流程图。
图2为一个实施例中5G网络加密组网方法中构建通信连接的流程图。
图3为一个实施例中5G网络加密组网中构建IKE安全关联的流程图。
图4为一个实施例中5G网络加密组网系统的结构框图。
图5为一个实施例中5G网络加密组网装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。用户平面功能组件(UPF):用于支持用户业务数据的路由和转发、数据和业务识别、动作和策略执行等。用户平面功能组件(UPF)是个5G的核心网设备,专用于处理用户数据流。
交换机/路由器(SW):用于把报文从私网转发到公网,或者将报文从公网路由到私网的设备。
基带处理单元(BBU):用于把从基站接收到的私有报文转换成通用的IP报文,或将IP报文转成到基站的私有报文。
本申请实施例提供一种5G网络加密组网方法。在现有技术中,机关内网与专用终端之间相互通讯时,通常采用明文报文,使得通信信息在各个设备之间进行传输时,容易被截取或复制盗取,增大了通信信息泄露概率。
为了克服上述技术缺陷,本申请实施例中提供的一种5G网络加密组网方法,在机关内网与专用终端之间进行通信时,通信数据以明文报文形式经过防火墙后,进入公网区域,而后依次经过用户平面功能组件(UPF)、交换机/路由器(SW)、基带处理单元(BBU)和基站,最后由专用终端接收。本申请实施例提供的5G网络加密组网方法适用于在防火墙与用户平面功能组件(UPF)之间增设加密网关,以及在专用终端中配置有与加密网关适配的加密芯片的通讯场景。具体的,本实施例所述的组网方法如图1所示,包括:
101、获取加密网关的网关信息。
在一实施例中,加密网关设置在防火墙与UPF之间。旨在通信数据进入公网之前或者离开内网之后,即进入加密网关,进行加密处理。具体的,在一应用场景中,加密网关为IPSeC VPN加密网关。
在一实施例中,网关信息包括加密网关的基本信息、配置参数和协议信息中的至少一个。对此本实施例不做具体限定。
102、获取专用终端内与所述加密网关适配的加密芯片的芯片信息。
在一实施例中,专用终端指用于与机关内网进行通讯的专有的智能终端设备。在一应用场景中,专用终端支持5G服务。专用终端内置有加密芯片。其中,加密芯片可以是硬件芯片,也可以是具有加密功能的虚拟芯片。对此本实施例不做具体限定。
在一实施例中,将支持IPSeC VPN功能的加密芯片判定为与加密网关适配。在一实施例中,芯片信息包括芯片的基本信息、配置参数和协议信息中的至少一个,对此本实施例不做具体限定。
103、根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
其中,在一实施例中,加密网关与专用终端之间构建的通信连接指IPSec VPN隧道。利用网关信息和芯片信息执行加密网关与专用终端之间的协议协商,从而建立IPSecVPN隧道,使加密网关与专用终端之间的通信数据呈加密形式进行5G网络的传输。
在机关内网与专用终端之间设置有加密网关,且在专用终端内设置有加密芯片。利用加密网关的网关信息以及加密芯片的芯片信息,在加密网关与专用终端之间构建通信连接,使加密网关与专用终端之间的数据在传输过程中不易被截取、复制或盗取,提高了通信信息的安全性。
在本申请的另一种实施方式中,如图2所示,所述根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接的步骤包括:
201、根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联,并得到构建参数。
其中,构建加密网关与专用终端之间的IKE安全关联即在加密网关与所述专用终端之间进行IKE协商,以进行部分信息的交互。其中,需要交互的信息可以包含在网关信息和芯片信息中,也可以预存在制定的存储路径下,对此本实施例不做具体限定。
202、基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果。
在构建加密网关与专用终端之间的IKE安全关联后,构建加密网关与专用终端之间的IPSec安全关联,以便于实现后续通信数据传输时的加密操作。
203、在所述协商结果为协商成功时,判定所述通信连接构建完成。
通过建立加密网关和专用终端之间的IKE安全关联和IPSec安全关联,并验证协商结果,有助于成功构建加密网关和专用终端之间的IPSeC VPN隧道以及提高构建加密网关和专用终端之间的IPSeC VPN隧道的成功率。
在本申请的另一种实施方式中,如图3所示,所述根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联的步骤包括:
301、通过所述加密网关向所述专用终端传输所述网关信息中的IKE策略信息。
其中,IKE策略信息为明文形式。在一实施例中,IKE策略信息包括至少一个IKE安全提议,用于供专用终端进行验证。首先当两个路由器或防火墙启用IPSEC的时候,我们以其中之一为起点。A->B,那么A开始发送IKE的数据报文。报文是UDP的类型,封装在端口500里面。
首先是第一个信息被发送,主要内容是COOKIE号码,标识一个唯一的IPSEC会话,也有防止重放的功能。它的建立是通常是基于IP地址,端口的号码,时间和日期等等进行一个散列算法,生成一个8位的随机数。对方的COOKIE为0。
第一个信息的内容还包含一个SA负载,还有提议负载,转换负载。SA负载是定位这个ISAKMP是为了IPSEC工作。因为IKE是一个标准的协议,所以在SA负载中通过DOI,解释域,来说明这条消息交换用于IPSEC。
提议负载的内容包含一个提议号,协议ID,SPI,转换号,其中SPI为0,转换号指向了相应的转换负载,转换负载的内容是加密的参数,如des,dh算法,存活时间,hash算法等等。
302、通过所述专用终端中所述加密芯片的所述芯片信息匹配所述IKE策略信息,并将匹配成功的所述IKE策略信息传输给所述加密网关。
具体的,芯片信息包含有IKE策略信息。在判断加密芯片中的IKE策略信息是否与加密网关传输的IKE策略信息匹配时,采用判定两个IKE策略信息中包括的加密算法、认证算法、认证方式和Diffie-Hellman组标识是否均相同;若均相同,则判定为匹配;否则,判定为不匹配。
在一应用场景中,在判定为不匹配时,返回失败信息。
303、在所述加密网关接收到所述IKE策略信息后,通过所述加密网关向所述专用终端传输所述网关信息中的网关秘钥信息。
具体的,在一实施例中,网关秘钥信息指秘钥生成信息,用于供专用终端生成IKE秘钥。在一实施例中,网关秘钥信息为加密网关的公钥。其中,公钥根据随机产生的私钥加上素数和一个产生器g产生,同时传输一个随机数。其中,素数已经交互完毕。
304、通过所述专用终端的所述加密芯片根据所述网关秘钥信息生成第一秘钥,并向所述加密网关传输所述芯片信息中的终端秘钥信息。
专用终端根据网关秘钥信息生成第一秘钥,同时,将终端秘钥信息传输给加密网关,使得加密网关能生成对应的秘钥。在一应用场景中,终端秘钥信息为公钥,包含一个随机数。
305、通过所述加密网关根据所述终端秘钥信息生成第二秘钥,并利用第二秘钥向所述专用终端传输加密的网关特征信息。
网关特征信息是被ekey加密过的数据,用于验证专用终端的身份。网关特征信息主要包括标识负载和散列负载。其中,标识负载主要包括加密网关的IP地址、ID或主机名称。散列负载主要包括使用session_a进行的散列计算,计算的参数有两端的cookie,pre-share key,提议,转换集,SA的内容等。
306、通过所述专用终端验证所述网关特征信息,并在验证成功后利用所述第一秘钥向所述加密网关传输加密的终端特征信息。
终端特征信息的格式与网关特征信息相同,不再赘述。
307、通过所述加密网关对所述终端特征信息进行验证,并在验证成功后判定完成所述IKE安全关联。
加密网关和专用终端通过不断的协商以及验证,建立IKE安全关联,有助于提高组网效率。
在本申请的另一种实施方式中,所述基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果的步骤包括:
401、通过所述加密网关向所述专用终端传输安全参数和认证信息;所述认证信息通过所述构建参数获得。
在一实施例中,安全参数包括被保护的数据流和IPSec安全提议。对此本实施例不做具体限定。认证信息包括第一秘钥。
402、通过所述专用终端匹配所述安全参数和所述认证信息,并将匹配成功的所述安全参数和所述认证信息以及根据所述构建参数生成的第三秘钥传输给所述加密网关
在一实施例中,专用终端确认接收到的安全参数和认证信息。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的秘钥。
403、通过所述加密网关在接收到所述安全参数、所述认证信息和所述第三秘钥后,向所述专用终端传输确认信息,以判定所述IPSec安全关联构建完成并生成为协商成功的所述协商结果。
在一实施例中,加密网关向专用终端传输确认信息后,即可确认加密网关与专用终端之间能够通信,此时加密网关与专用终端之间的协商过程完成,生成协商成功的协商结果。
通过交互必要的信息和秘钥,进行IPSec安全关联的构建,有助于保证加密网关与专用终端之间进行通讯时通讯数据的安全。
在本申请的另一种实施方式中,在所述获取加密网关的网关信息之前,所述方法还包括:
501、获取所述加密网关产生的第一证书请求文件。
在一实施例中,第一证书请求文件由IPSeC VPN加密网关产生。
502、将所述第一证书请求文件传输给认证服务器。
具体的,认证服务器即CA服务器,为预设的机关内部安全认证服务器,用于签发认证证书。
503、接收所述认证服务器基于所述第一证书请求文件反馈的第一签发证书。
504、将所述第一签发证书传输给所述加密网关,以使所述加密网关加载并生效。
在一实施例中,加密网关的USB/本地网口/串口等通道加载进系统并生效。
通过产生第一证书请求文件以及接收第一签发证书,有助于加密网关得到合法的加密证书,从而对后续的通讯数据进行加密,有助于保证加密网关与专用终端之间的通讯安全。
在本申请的另一种实施方式中,在所述获取专用终端内与所述加密网关适配的加密芯片的芯片信息之前,所述方法还包括:
601、获取所述加密芯片产生的第二证书请求文件。
602、将所述第二证书请求文件传输给认证服务器。
603、接收所述认证服务器基于所述第二证书请求文件反馈的第二签发证书。
604、将所述第二签发证书传输给所述加密芯片,以使所述加密芯片加载并生效。
具体的,第二签发证书烧写在内部ROM中生效。
通过产生第二证书请求文件以及接收第二签发证书,有助于专用终端得到合法的加密证书,从而对后续的通讯数据进行加密,有助于保证加密网关与专用终端之间的通讯安全。
在本申请的另一种实施方式中,所述加密网关与多个所述专用终端之间构建所述通信连接。
在机关内网与专用终端之间设置有加密网关,且在专用终端内设置有加密芯片。利用加密网关的网关信息以及加密芯片的芯片信息,在加密网关与专用终端之间构建通信连接,使加密网关与专用终端之间的数据在传输过程中不易被截取、复制或盗取,提高了通信信息的安全性。
本申请实施例还提供一种5G网络加密组网系统,如图4所示,获取模块1,用于获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;
组网模块2,用于根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
优选地,所述组网模块2包括IKE子模块,用于根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联,并得到构建参数;
IPSec子模块,用于基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果;
判定子模块,用于在所述协商结果为协商成功时,判定所述通信连接构建完成。
优选地,所述IKE子模块包括第一传输单元,用于通过所述加密网关向所述专用终端传输所述网关信息中的IKE策略信息;
第一匹配单元,用于通过所述专用终端中所述加密芯片的所述芯片信息匹配所述IKE策略信息,并将匹配成功的所述IKE策略信息传输给所述加密网关;
第二传输单元,用于在所述加密网关接收到所述IKE策略信息后,通过所述加密网关向所述专用终端传输所述网关信息中的网关秘钥信息;
第一秘钥单元,用于通过所述专用终端的所述加密芯片根据所述网关秘钥信息生成第一秘钥,并向所述加密网关传输所述芯片信息中的终端秘钥信息;
第二秘钥单元,用于通过所述加密网关根据所述终端秘钥信息生成第二秘钥,并利用第二秘钥向所述专用终端传输加密的网关特征信息;
第二匹配单元,用于通过所述专用终端验证所述网关特征信息,并在验证成功后利用所述第一秘钥向所述加密网关传输加密的终端特征信息;
第三匹配单元,用于通过所述加密网关对所述终端特征信息进行验证,并在验证成功后判定完成所述IKE安全关联。
优选地,所述IPSec子模块包括第一协商单元,用于通过所述加密网关向所述专用终端传输安全参数和认证信息;所述认证信息通过所述构建参数获得;
第二协商单元,用于通过所述专用终端匹配所述安全参数和所述认证信息,并将匹配成功的所述安全参数和所述认证信息以及根据所述构建参数生成的第三秘钥传输给所述加密网关;
第三协商单元,用于通过所述加密网关在接收到所述安全参数、所述认证信息和所述第三秘钥后,向所述专用终端传输确认信息,以判定所述IPSec安全关联构建完成并生成为协商成功的所述协商结果。
优选地,所述系统还包括第一证书模块,用于在所述获取加密网关的网关信息之前,获取所述加密网关产生的第一证书请求文件;
第一请求模块,用于将所述第一证书请求文件传输给认证服务器;
第一接收模块,用于接收所述认证服务器基于所述第一证书请求文件反馈的第一签发证书;
第一加载模块,用于将所述第一签发证书传输给所述加密网关,以使所述加密网关加载并生效。
优选地,所述系统还包括第二证书模块,用于在所述获取加密网关的网关信息之前,获取所述加密芯片产生的第二证书请求文件;
第二请求模块,用于将所述第二证书请求文件传输给认证服务器;
第二接收模块,用于接收所述认证服务器基于所述第二证书请求文件反馈的第二签发证书;
第二加载模块,用于将所述第二签发证书传输给所述加密芯片,以使所述加密芯片加载并生效。
优选地,所述加密网关与多个所述专用终端之间构建所述通信连接。
这里需要指出的是:以上应用于5G网络加密组网系统实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果。对于本发明5G网络加密组网系统实施例中未披露的技术细节,本领域的技术人员请参照本发明方法实施例的描述而理解。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
相应地,本申请实施例还公开一种存储介质,存储有能够被处理器加载并执行上述方法的计算机程序。
本申请实施例还公开一种5G网络加密组网装置,如图5所示,包括一个处理器100、至少一个通信总线200、用户接口300、至少一个外部通信接口400和存储器500。其中,通信总线200配置为实现这些组件之间的连接通信。其中,用户接口300可以包括显示屏,外部通信接口400可以包括标准的有线接口和无线接口。其中,存储器500中存储有5G网络加密组网方法。其中,处理器100用于在执行存储器500中存储的5G网络加密组网方法时采用上述方法。
以上应用于5G网络加密组网装置和存储介质实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本发明音频数据处理设备和存储介质实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种5G网络加密组网方法,其特征在于,包括:
获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;
根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
2.如权利要求1所述的5G网络加密组网方法,其特征在于,所述根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接的步骤包括:
根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联,并得到构建参数;
基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果;
在所述协商结果为协商成功时,判定所述通信连接构建完成。
3.如权利要求2所述的5G网络加密组网方法,其特征在于,所述根据所述网关信息和所述芯片信息构建所述加密网关与所述专用终端之间的IKE安全关联的步骤包括:
通过所述加密网关向所述专用终端传输所述网关信息中的IKE策略信息;
通过所述专用终端中所述加密芯片的所述芯片信息匹配所述IKE策略信息,并将匹配成功的所述IKE策略信息传输给所述加密网关;
在所述加密网关接收到所述IKE策略信息后,通过所述加密网关向所述专用终端传输所述网关信息中的网关秘钥信息;
通过所述专用终端的所述加密芯片根据所述网关秘钥信息生成第一秘钥,并向所述加密网关传输所述芯片信息中的终端秘钥信息;
通过所述加密网关根据所述终端秘钥信息生成第二秘钥,并利用第二秘钥向所述专用终端传输加密的网关特征信息;
通过所述专用终端验证所述网关特征信息,并在验证成功后利用所述第一秘钥向所述加密网关传输加密的终端特征信息;
通过所述加密网关对所述终端特征信息进行验证,并在验证成功后判定完成所述IKE安全关联。
4.如权利要求3所述的5G网络加密组网方法,其特征在于,所述基于所述构建参数构建所述加密网关与所述专用终端之间的IPSec安全关联,并得到协商结果的步骤包括:
通过所述加密网关向所述专用终端传输安全参数和认证信息;所述认证信息通过所述构建参数获得;
通过所述专用终端匹配所述安全参数和所述认证信息,并将匹配成功的所述安全参数和所述认证信息以及根据所述构建参数生成的第三秘钥传输给所述加密网关;
通过所述加密网关在接收到所述安全参数、所述认证信息和所述第三秘钥后,向所述专用终端传输确认信息,以判定所述IPSec安全关联构建完成并生成为协商成功的所述协商结果。
5.如权利要求1所述的5G网络加密组网方法,其特征在于,在所述获取加密网关的网关信息之前,所述方法还包括:
获取所述加密网关产生的第一证书请求文件;
将所述第一证书请求文件传输给认证服务器;
接收所述认证服务器基于所述第一证书请求文件反馈的第一签发证书;
将所述第一签发证书传输给所述加密网关,以使所述加密网关加载并生效。
6.如权利要求1所述的5G网络加密组网方法,其特征在于,在所述获取专用终端内与所述加密网关适配的加密芯片的芯片信息之前,所述方法还包括:
获取所述加密芯片产生的第二证书请求文件;
将所述第二证书请求文件传输给认证服务器;
接收所述认证服务器基于所述第二证书请求文件反馈的第二签发证书;
将所述第二签发证书传输给所述加密芯片,以使所述加密芯片加载并生效。
7.如权利要求1所述的5G网络加密组网方法,其特征在于,所述加密网关与多个所述专用终端之间构建所述通信连接。
8.一种5G网络加密组网系统,其特征在于,包括获取模块,用于获取加密网关的网关信息以及专用终端内与所述加密网关适配的加密芯片的芯片信息;
组网模块,用于根据所述网关信息和所述芯片信息在所述加密网关与所述专用终端之间构建通信连接,以通过所述通信连接进行5G网络加密传输。
9.一种5G网络加密组网装置,包括存储器和处理器,其特征在于,所述存储器中存储有5G网络加密组网方法,所述处理器用于在执行所述5G网络加密组网方法时采用权利要求1-7任意一项所述的5G网络加密组网方法。
10.一种存储介质,其特征在于,存储有能够被处理器加载并执行如权利要求1-7任一项所述方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211565389.5A CN116017429A (zh) | 2022-12-07 | 2022-12-07 | 5g网络加密组网方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211565389.5A CN116017429A (zh) | 2022-12-07 | 2022-12-07 | 5g网络加密组网方法、系统、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116017429A true CN116017429A (zh) | 2023-04-25 |
Family
ID=86034990
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211565389.5A Pending CN116017429A (zh) | 2022-12-07 | 2022-12-07 | 5g网络加密组网方法、系统、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116017429A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117062056A (zh) * | 2023-07-10 | 2023-11-14 | 武汉船舶通信研究所(中国船舶集团有限公司第七二二研究所) | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 |
-
2022
- 2022-12-07 CN CN202211565389.5A patent/CN116017429A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117062056A (zh) * | 2023-07-10 | 2023-11-14 | 武汉船舶通信研究所(中国船舶集团有限公司第七二二研究所) | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
US7813509B2 (en) | Key distribution method | |
JP5069320B2 (ja) | Uiccなしコールのサポート | |
US8468347B2 (en) | Secure network communications | |
US20130254531A1 (en) | Ims multimedia communication method and system, terminal and ims core network | |
CN108769292B (zh) | 报文数据处理方法及装置 | |
US20110246770A1 (en) | Authentication method, authentication system, server terminal, client terminal and computer programs therefor | |
WO2010003335A1 (zh) | IPv6网络中协商SA的方法、系统和设备 | |
CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及系统 | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
CN106685983A (zh) | 一种基于ssl协议的数据还原方法与装置 | |
CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
CN116017429A (zh) | 5g网络加密组网方法、系统、装置及存储介质 | |
CN100544247C (zh) | 安全能力协商方法 | |
CN105591748B (zh) | 一种认证方法和装置 | |
EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
Marques et al. | EAP-SH: an EAP authentication protocol to integrate captive portals in the 802.1 X security architecture | |
CN101572645A (zh) | 隧道建立的方法及装置 | |
CN110035082A (zh) | 一种交换机准入认证方法、交换机及系统 | |
Marques et al. | Integration of the Captive Portal paradigm with the 802.1 X architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |